Cookies, Web-Logs, Location Based Services, eMail, Webbugs, Spyware - Datenschutz im Internet

Inhalt

Inhaltsverzeichnis...................................................................................................................  I  I

  Abkürzungsverzeichnis  IV

Verzeichnis  abgekürzt zitierter Literatur  VI

I.  Einleitung  1

  A) Problemaufriss  1

  B) Begriffsbestimmung  2

1.  Internet allgemein  2

  a) Entwicklung des Internets  2

  b) Struktur des Internets  5

2.  Cookies  7

  a) Begriffsbestimmung  7

  b) Zweck, Anwendungsbereich  8

3.  Web-Logs  9

  a) Begriffsbestimmung  9

  b) Zweck, Anwendungsbereich  10

4.  Location Based Services (LBS)  11

  a) Begriffsbestimmung  11

  b) Zweck, Anwendungsbereich  13

5  . eMail  14

  a) Begriffsbestimmung  14

  b) Zweck, Anwendungsbereich  15

6.  Webbugs  16

  a) Begriffsbestimmung  16

  b) Zweck, Anwendungsbereich  17

7.  Spyware  18

  a) Begriffsbestimmung  18

  b) Zweck, Anwendungsbereich  18

II.  Grundlagen  20

  A) Datenschutzgesetz (DSG)  20

1.  Allgemeines  20

2.  Grundrecht auf Datenschutz  20

3.  Zuständigkeit  24

4.  Räumlicher Anwendungsbereich  25

5.  Definitionen  27

6.  Zulässigkeit der Datenverwendung  33

  a) Grundsätze  34

  b) Zulässigkeit der Verwendung von Daten  35

  c) Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten  37

  d) Schutzwürdige Geheimhaltungsinteressen bei Verwendung von sensiblen Daten  39

7.  Überlassung von Daten  41

  a) Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen  41

  b) Pflichten des Dienstleisters  42

8.  Übermittlung von Daten ins Ausland  43

  a) Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland  43

  b) Genehmigungspflichtige Übermittlungen und Überlassungen von Daten ins  

  Ausland  45

I

9.  Datensicherheit  46

  a) Datensicherheitsmaßnahmen  46

  b) Datengeheimnis  49

10.  Pflichten des Auftraggebers  50

  a) Informationspflicht des Auftraggebers  50

  b) Pflicht zur Offenlegung der Identität des Auftraggebers  52

11.  Die Rechte des Betroffenen  53

  a) Auskunftsrecht  53

  b) Recht auf Richtigstellung und Löschung  58

  c) Widerspruchsrecht  62

  d) Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener  

  Daten  64

12.  Strafbestimmungen  64

  a) Datenverwendung in Gewinn- oder Schädigungsabsicht  64

  b) Verwaltungsstrafbestimmungen  65

  B) Telekommunikationsgesetz 2003 (TKG 2003 )  67

1.  Grundsätzliches  67

2.  Kommunikationsgeheimnis, Datenschutz  67

  a) Allgemeines  67

  b) Kommunikationsgeheimnis  74

  c) Datenschutz - Allgemeines  78

  d) Stammdaten  81

  e) Verkehrsdaten  82

  f) Inhaltsdaten  86

  g) Andere Standortdaten als Verkehrsdaten  87

III.  Cookies  90

  A) Problemstellung  90

  B) Rechtliche Beurteilung  91

1.  Nach dem DSG  91

2.  Nach dem TKG  103

  )C Schutzmöglichkeiten  107

IV.  Web-Logs  108

  A) Problemstellung  108

  B) Rechtliche Beurteilung  109

1.  Nach dem TKG  109

2.  Nach dem DSG  114

V.  Location Based Services (LBS)  119

  A) Problemstellung  119

  B) Rechtliche Beurteilung  119

VI.  eMail  126

  A) Problemstellung  126

  B) Rechtliche Beurteilung  128

1  . eMail-Übertragung vom Absender an den SMTP-Server  128

  a) Externer ISP  131

  b) Arbeitgeber als ISP  133

2.  Mailserver (SMTP-Server) Zielserver (POP3 Server)  138

  a) Externer ISP  139

  b) Arbeitgeber als ISP  139

3.  Zielserver - Empfänger  143

II

VII.  Webbugs  144

  A) Problemstellung  144

  B) Rechtliche Beurteilung  144

1.  Nach dem DSG  144

2.  Nach dem TKG  149

  )C Schutzmöglichkeiten  150

VIII.  Spyware  152

  A) Problemstellung  152

  B) Rechtliche Beurteilung  152

1.  Nach dem DSG  152

2.  Nach dem TKG  157

  )C Schutzmöglichkeiten  158

IX.  Zusammenfassung  159

  Literaturliste  168

III

Abkürzungsverzeichnis

AB Ausschussbericht ABl Amtsblatt Abs Absatz ABGB Allgemeines Bürgerliches Gesetzbuch ASVG Allgemeines Sozialversicherungsgesetz ADSL Asymmetric Digital Subscriber Line AG Aktiengesellschaft AGB Allgemeine Geschäftsbedingungen AIDS Acquired Immune Deficiency Syndrome (erworbene Immunschwäche) ArbVG Arbeitsverfassungsgesetz arg argumento Art ASVG AVG AVRAG BBC BCC Blind Carbon Copy B-VG Bundesverfassungsgesetz bzw beziehungsweise CC Carbon Copy CLF CPU d.h. DNS DSG DSK DSRL- eK DSRL Datenschutzrichtlinie EB Erläuternde Bemerkungen zur Regierungsvorlage EDV Elektronische Datenverarbeitung EO EU f FCC FETG

ff GIF GPS GSM HGB HIV Human Immunodeficiency Virus hL

Hrsg HTML HTTP IV

ICQ „I seek you“, deutsch „Ich suche Dich” IP Internet Protocol ISP Internet Service Provider LAN Local Area Network LBS leg cit lit mE MMS MR MRK OGH Oberster Gerichtshof ÖJZ Österreichische Juristenzeitung PC Personal Computer PDA Personal Digital Assistant POP3 Post Office Protocol Version 3 RL Richtlinie RSa Rückscheinbrief blau; „eigenhändige Zustellung“ RSb Rückscheinbrief weiß, Zustellung auch an Ersatzempfänger/-in RV SMS SMTP SozSi SPG StGB StGG StPO TCP TKG udgl UMTS Universal Mobile Telecommunications System URL Uniform Resource Locator US United States ua unter anderem usw und so weiter uU unter Umständen VStG Verwaltungsstrafgesetz wbl WMS WWW Z ZAS zB

ZfV V

I. Einleitung

I. Einleitung

A) Problemaufriss

In den letzten Jahren ist die Zahl derjenigen, die das Internet in Österreich nutzen, sprunghaft angestiegen.

Laut einer Publikation der Statistik Austria mit dem Titel „IKT-Einsatz in Haushalten 2004“ haben 52% aller Österreicher im Alter von 16 bis 74 Jahren das Internet in den letzten drei Monaten vor dem Befragungszeitpunkt (Befragungszeitpunkt: April bis Mai 2004) genutzt. Im Vergleichszeitraum des Vorjahres (erstes Quartal 2003) lag der entsprechende Prozentsatz bei 41% und im zweiten Quartal 2002 bei 37%. 1

Gründe für diese Entwicklung sind zweifellos in den vielzähligen Nutzungsmöglichkeiten zu finden. Neben dem Informationszugang sind eMail-Dienste, der eCommerce und das eGovernment zu nennen.

Nach der obengenannten Publikation war die beliebteste Art der Internetnutzung die Verwendung von eMail. 87% der Internetnutzer im Alter von 16 bis 74 Jahren bedienten sich dieser Form der Kommunikation. Der Anteil der Internetnutzer, die das Internet zur Informationssuche von Waren und Dienstleistungen verwendet haben, lag bei 69%. 35% der User haben das Internet in den letzten drei Monaten vor dem Befragungszeitpunkt für Internet-Banking verwendet. Das Internet wird auch zum Suchen von Informationen über Reisen und Unterkünfte genutzt. 28% der Internetnutzer nutzen das Internet zu diesem Zweck. In den letzten drei Monaten vor dem Befragungszeitpunkt haben 41% der Internetnutzer im Alter von 16 bis 74 Jahren das Internet für eGovernment-Angebote verwendet. 2

Durch die schier unüberschaubare Anzahl an Internetnutzungen der User kommt es auch zu einer Unmenge von Datenverarbeitungen, die rechtlich zu beurteilen sind. Hierbei ist sich der durchschnittliche User gar nicht bewusst, dass es nahezu unmöglich ist, seine Internet-Aktivitäten ohne sichtbaren Spuren durchzuführen. Diese stellen sich zB in kleinen Datenpaketen (zB Cookies, Web-Logs) dar, welche entweder auf dem Rechner des Users oder auf einem Server gespeichert werden. Auch kommt es vor, dass spezielle Programme (zB Webbugs, Spyware) im Internet, gegenüber dem User verborgen, gerade aus dem Grund geschaffen wurden, um solche und andere Daten zu sammeln und auszuwerten.

Wie aus der obengenannten Publikation hervorgeht, ist der beliebteste Dienst im Internet der Versand von eMails. Dem Nutzer ist hier jedoch nicht bewusst, dass er beim Versenden von

¹ http://www.statistik.at/cgi-bin/pressetext.pl?INDEX=2005003563

^{2 http://www.statistik.at/cgi-bin/pressetext.pl?INDEX=2005003563} 1/171

I. Einleitung

eMails eine Fülle von personenbezogenen Daten preisgibt, damit seine Nachrichten vom Empfänger empfangen werden können.

Mit dieser Arbeit werde ich versuchen, datenschutzrechtlich bedenkliche Vorgänge, wie die Abspeicherung von Cookies auf dem User-Rechner, das Einsetzen von Web-Logs, Webbugs und Spyware aber auch das Versenden von eMails sowie die Aufzeichnung von Daten bei der Verwendung von Telekommunikationseinrichtungen, wie etwa Location Based Services (LBS) zu untersuchen und auf ihre Gesetzeskonformität zu prüfen.

B) Begriffsbestimmung

1. Internet allgemein

a) Entwicklung des Internets

Bereits in den 1960er Jahren, gerade als der kalte Krieg seinen Höhepunkt erreicht hatte ³ , entstanden die Wurzeln des heutigen sogenannten „Internet“. In den USA suchte man nach einer Möglichkeit, wie die einzelnen Verwaltungseinheiten im Falle eines feindlichen Militärschlages weiterhin miteinander kommunizieren könnten. Es entstand die Idee sämtliche Regierungsstellen und Militärbasen in einem Netzwerk miteinander zu verbinden. Dieses Netzwerk konnte aber nur dann seinen Zweck erfüllen, wenn es unabhängig von Teilausfällen bzw. militärischen Angriffen weiter funktionstüchtig blieb. Ein Netzwerk mit einer zentralen Leitung konnte diesen Zweck nicht erfüllen, weshalb ein dezentrales Netzwerk errichtet wurde, bei dem die einzelnen Rechner miteinander verbunden wurden. Somit bestand das Netzwerk aus vielen „kleinen“ Leitungen. ⁴ Will nun ein Standort A mit Standort B kommunizieren, sendet der Standort A das Datenpaket über verschiedene Standorte (C,D,E,...), wobei jeder einzelne Standort dieses Datenpaket an den jeweiligen nächsten Standort (ungelesen) weiterleitet, bis die gesendeten Daten bei Standort B empfangen werden. Stellt sich nunmehr das Problem, dass die Leitung zwischen zwei Standorten - aus welchem Grund auch immer - ausgefallen ist, wird das Datenpaket über eine andere, intakte Leitung zu einem anderen Standort gesendet, bis die Daten am Zielstandort angelangt sind. Diese Vorgangsweise führte dazu, dass sich dieses Netzwerk als sehr ausfalls- und angriffssicher darstellte und daher der ursprünglichen Zielsetzung entsprach. 5

³ Tanenbaum, Computernetzwerke ³ , 65.

⁴ Kröger/Kuner, Internet für Juristen ² , 2.

⁵ Kröger/Kuner, Internet für Juristen ^{2 , 2.} 2/171

I. Einleitung

Es stellte sich nunmehr jedoch das Problem, dass sämtliche Nachrichten mit Informationen über den Zielstandort versehen werden mussten, damit die weiterleitenden Standorte auch in der Lage waren zu wissen, zu welcher Adresse die Nachricht gelangen sollte. Es war auch notwendig, den Weg der Nachricht flexibel zu beeinflussen, da mögliche Ausfälle von Leitungen auch eine divergierende Route der Nachricht nötig machen würde. Daher wurde die gesamte Nachricht in kleine Pakete unterteilt und mit der Adresse des Zielstandortes versehen. Auch wurden sämtliche Standorte des Netzwerkes mit eigenen Adressen ausgestattet. Daher war es den weiterleitenden Standorten möglich die jeweiligen Datenpakete in die entsprechende Richtung weiterzuleiten. 6

Das erste derartige Netz wurde 1969 ⁷ von der Advanced Research Project Agency (ARPA), dem Forschungsbereich des amerikanischen Verteidigungsministeriums ⁸ , entwickelt und unter dem Namen ARPANET bekannt. ⁹ Neben der militärischen, wurde auch die wissenschaftliche Nutzbarkeit erkannt, sodass sich in den 1970er Jahren immer mehr Universitäten und Forschungszentren an das ARPANET anschlossen. ¹⁰ Aufgrund der vereinfachten Möglichkeit der Kommunikation (eMail) konnten gemeinsame wissenschaftliche Projekte leichter durchgeführt werden, aber auch der wissenschaftliche Informationsaustausch wurde durch diese Netzwerkverbindung vereinfacht. ¹¹ Dieses Netz war auch nicht durch Landesgrenzen beschränkt, sodass internationale Verbindungen, etwa nach England und Norwegen errichtet wurden. Unabhängig vom Aufbau des ARPANETs wurden ähnliche Netzwerke zwischen Universitäten errichtet, aber es sind auch kommerzielle Netzwerke zum Informationsaustausch entstanden. ¹² Nicht zuletzt aufgrund der Vielzahl der nunmehr vorhandenen Netzwerke, verlor das ARPANET Ende der 1970er Jahre an Bedeutung, da viele der Universitäten, welche am ARPANET beteiligt waren, ihre eigenen Forschungsnetze gründeten. 13

Der militärische Teil des ARPANET wurde zu Beginn der 1980er Jahre in das MILNET ausgelagert ¹⁴ , und es entstanden das CSNET und das BITNET. Diese Netzwerke waren zwar voneinander unabhängig, es gab jedoch spezielle Verbindungen um Nachrichten auch zwischen den einzelnen Netzwerken austauschen zu können. ¹⁵ Während das ARPANET die Kommunikation ursprünglich mit Hilfe des Network Control Protocols (NCP) durchführte, setzte sich nunmehr das TCP/IP (Transmission Control

⁶ Kröger/Kuner, Internet für Juristen ² , 2.

⁷ Ellmaier, Internet für Juristen, Praxisleitfaden für Rechtsanwälte, Notare, Richter, Juristen in Verwaltung und Wirtschaft, 4.

⁸ Tanenbaum, Computernetzwerke ³ , 65.

⁹ Bandzauner, Internet, Grundlagen und Anwendungen, 10; Kröger/Kuner, Internet für Juristen ² , 2.

¹⁰ Bandzauner, Internet, 10, Ellmaier, Internet für Juristen, 4; Kröger/Kuner, Internet für Juristen ² , 2.

¹¹ Kröger/Kuner, Internet für Juristen ² , 2.

¹² Kröger/Kuner, Internet für Juristen ² , 2,3.

¹³ Kröger/Kuner, Internet für Juristen ² , 3.

¹⁴ Ellmaier, Internet für Juristen, 4.

¹⁵ Kröger/Kuner, Internet für Juristen ^{2 , 3.} 3/171

I. Einleitung

Protocol/Internet Protocol) vollständig durch. ¹⁶ Das TCP/IP wurde 1982 im ARPANET Standard und ist es bis heute geblieben. Mit Hilfe des TCP/IP Standards war es nun gelungen netzwerkübergreifend zu arbeiten bzw. einen Zusammenschluss der unabhängig voneinander operierenden Netzwerke herbeizuführen, was die Geburtsstunde des Internet bedeutete. ¹⁷ Wie bereits zuvor erwähnt, war es auch schon vor der Einführung des TCP/IP möglich Daten an die unterschiedlichen Netzwerke weiterzuleiten. Dies funktionierte über gemeinsam genutzte Knotenrechner (Gateways). Nunmehr wurde aber eine einheitliche Methode festgelegt. ¹⁸ Es wurden mithilfe des TCP/IP alle Parameter festgelegt, die Grundvoraussetzung für eine vollständige und fehlerfreie Datenübertragung zwischen den einzelnen Netzwerken sind. ¹⁹ Der große Vorteil an dieser netzwerkübergreifenden Verbindungsmöglichkeit war, dass sämtliche Netzwerke in ihrem Aufbau und ihrer Funktion unberührt blieben, sodass für den einzelnen Nutzer keinerlei Veränderungen in seiner Arbeitsweise notwendig wurden. Er konnte sämtliche Software genauso weiterbenützen wie zuvor und musste sich nicht mit einem neuen Aufbau und verschiedenen Darstellungen auseinandersetzen. Dies war wohl auch der ausschlaggebende Grund, warum sich viele Netzwerke am Internet anschlossen. 20

Ein weiterer wichtiger Bestandteil in der Entwicklung des Internets stellte die Gründung des „National Science Foundation Network“ (NSFNET) durch die National Science Foundation (NSF) in den USA dar, welches von der US-Regierung finanziert wurde und auf deren Betreiben verschiedene Hauptstränge (Backbones) für das Internet errichtet wurden, um ihre sechs Superrechenzentren in San Diego, Boulder, Champain, Pittsburgh, Ithaca und Princeton anzuschließen ²¹ und somit die Datenübertragung im gesamten Internet erleichterte. ²² Parallel zum NSFNET entstanden auch in Europa vergleichbare Netze (EBONE, EuropaNET), wodurch zahlreiche Städte in Europa miteinander verbunden wurden. ²³ Aufgrund der verbesserten Infrastruktur und der fortwährenden Selbständigkeit wurde die Zahl der wissenschaftlichen und staatlichen Einrichtungen, die sich dem Internet anschlossen, immer größer. ²⁴ Diese Entwicklung wurde auch durch die Schließung des ARPANET nicht gebremst, sondern vielmehr erkannten nun auch kommerzielle Netzwerkbetreiber die

¹⁶ Bigus/Bigus, Intelligente Agenten mit Java programmieren: eCommerce und Informationsrecherche automatisieren ² , 30; Ellmaier, Internet für Juristen, 4; Kröger/Kuner, Internet für Juristen ² , 3.

¹⁷ Kröger/Kuner, Internet für Juristen ² , 3.

¹⁸ Kröger/Kuner, Internet für Juristen ² , 3.

¹⁹ Ellmaier, Internet für Juristen, 4.

²⁰ Kröger/Kuner, Internet für Juristen ² , 3.

²¹ Tanenbaum, Computernetzwerke ³ , 68.

²² Ellmaier, Internet für Juristen, 4.

²³ Tanenbaum, Computernetzwerke ³ , 70.

²⁴ Ellmaier, ^{Internet für Juristen, 4.} 4/171

I. Einleitung

Möglichkeiten des Internet und schlossen sich diesem an. ²⁵ 1995 wurden die Subventionen der US-Regierung für das Internet beendet und dieses privatisiert. 26

Die Popularität und der Wachstumsprozess des Internets wurde aber vor allem durch die Einführung des einfach zu bedienenden Informationssystems World Wide Web (WWW) ermöglicht. Musste man vor Einführung des WWW mit der Materie sehr gut vertraut gewesen sein, um im Internet arbeiten zu können, war es nunmehr aufgrund der Einfachheit der Bedienung auch einem Laien möglich, Vorteile aus dem Internet zu ziehen. Sowohl Unternehmer als auch Privatpersonen haben die Möglichkeiten des Internets erkannt, sodass die kommerzielle Nutzung des Internets immer bedeutungsvoller wurden. 27

b) Struktur des Internets

Beim Internet (Interconnected Network) handelt es sich um ein Netz zu Kommunikationszwecken, welches aus einem Verbund sämtlicher Computernetzwerke und Rechnern besteht, die mit Hilfe eines weltweit einheitlichen Protokolls miteinander kommunizieren. 28

Grundlegendes Merkmal des Internets ist die fehlende Zentralität und Einheitlichkeit der Organisationsstruktur. Vielmehr sind die einzelnen Netzwerke und Rechner nicht hierarchisch aufgebaut, sondern haben eine gleichrangige Stellung ²⁹ , wodurch in dieses auch nicht leitend durch eine Stelle eingegriffen werden kann. ³⁰ Aufgrund des gemeinsamen Standards der Datenübertragung - wie bereits erwähnt das TCP/IP - ist ein Unterschied in der Rechnerarchitektur, Betriebssoftware oder sonstigen Netzwerkvoraussetzungen bei der Datenübertragung ohne Bedeutung. ³¹ Das TCP/IP Referenzmodell funktioniert dahingehend, dass gemäß dem TCP die zu übertragenden Daten in kleinere Einheiten unterteilt werden ³² , wobei die einzelnen Teile mit einer Absender- und einer Zieladresse ausgestattet werden und jeder Teil eine Sequenznummer erhält, damit diese auch wieder richtig beim Empfänger zusammengesetzt werden können. ³³ Mit Hilfe des Internet Protocols (IP) können die einzelnen Einheiten über die verschiedenen Standorte (aber auch verschiedenen Netzwerke) ihren jeweiligen Zielstandort erreichen ³⁴ , wobei zwischen den beiden kommunizierenden

²⁵ Kröger/Kuner, Internet für Juristen ² , 4.

²⁶ Ellmaier, Internet für Juristen, 5.

²⁷ Ellmaier, Internet für Juristen, 5.

²⁸ Eichhorn, Internet-Recht, Ein Lehrbuch für das Recht im World Wide Web, 19; Fallenböck, ^{Internet und Internationales Privatrecht: Zu den internationalen Dimensionen des Rechts im Electronic Commerce, 11;} Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht ² , 17.

²⁹ Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht ² , 17; Ellmaier, Internet für Juristen, 21.

³⁰ Eichhorn, Internet-Recht, 19.

³¹ Fallenböck, Internet und Internationales Privatrecht, 11.

³² Kröger/Kuner, Internet für Juristen ² , 3.

³³ Fallenböck, Internet und Internationales Privatrecht, 11.

³⁴ Kröger/Kuner, Internet für Juristen ^{2 , 3.} 5/171

I. Einleitung

Standorten keine dauernde Verbindung aufgebaut wird, sondern die jeweiligen Datenpakete der gleichen Nachricht sich frei im Netz bewegen und von Standort zu Standort weitergeschickt werden. Hierbei können die jeweiligen Datenpakete auch durchwegs unterschiedliche Wege einschlagen und auch zu unterschiedlichen Zeitpunkten beim Zielstandort ankommen. Diese Datenpakete werden dann aufgrund ihrer Sequenznummer wieder in der richtigen Reihenfolge zusammengesetzt. 35

Dieses System der Datenübertragung kann aber lediglich dann effektiv funktionieren, wenn die jeweiligen Standorte (bzw Rechner) auch zweifelsfrei bestimmbar sind. Diese Identifikation wird durch die Vergabe einer eindeutigen Adresse ermöglicht. Im TCP/IP stellt sich diese IP-Adresse (Internet Protocol Adresse) aus vier durch Punkte getrennte Zahlen, welche zwischen 0 und 255 liegen können, dar (zB 2.255.13.147). Bei der Zuteilung der IP-Adressen muss zwischen statischen und dynamischen IP-Adressen unterschieden werden. Bei ersteren wird einem Rechner immer dieselbe IP-Adresse zugeteilt (etwa bei ADSL-Leitungen), während bei zweiteren an den Rechner bei jeder Anmeldung beim Provider eine neue IP-Adresse vergeben wird. So wird es selten vorkommen, dass einem Nutzer bei zwei aufeinanderfolgenden Sitzungen dieselbe IP-Adresse zugeteilt wird. Die Vergabe von dynamischen IP-Adressen entspricht einer ökonomischen Nutzung vorhandener IP-Adressen. 36

Die numerische Darstellungsweise der IP-Adressen ist aber nicht gerade benutzerfreundlich, da die Zahlenblöcke nicht einprägsam sind. Daher wurde das Domain Name System (DNS) eingeführt, bei dem sprachliche Begriffe (eventuell gemischt mit Zahlen) die Adresse bestimmen (zB www.car4you.at). ³⁷ Neben der größeren Benutzerfreundlichkeit zeichnet sich dieses System auch dadurch aus, dass nunmehr die Möglichkeit besteht, eine Marke, eine Firma oder einen Namen mit dem Inhalt einer Internetseite zu verbinden, was vor allem für Unternehmen und Dienstleister vorteilhaft ist, da die von ihnen im Internet zur Verfügung gestellten Informationen leichter gefunden werden können. ³⁸ Die eindeutige Identifizierbarkeit wird dadurch gewährleistet, dass jeder Domain Name nur einmal vergeben werden kann. 39

³⁵ Fallenböck, Internet und Internationales Privatrecht, 11.

³⁶ Fallenböck, Internet und Internationales Privatrecht, 12.

³⁷ Ellmaier, Internet für Juristen, 21; Fallenböck, ^{Internet und Internationales Privatrecht, 12;} Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht ² , 17.

³⁸ Fallenböck, Internet und Internationales Privatrecht, 13.

³⁹ Fallenböck, ^{Internet und Internationales Privatrecht, 13.} 6/171

I. Einleitung

2. Cookies

a) Begriffsbestimmung

Cookies sind Textinformationen, die auf Anforderung eines Web-Servers durch den Internetbrowser auf der Festplatte des Clients (Internetnutzers) abgespeichert werden. Wird nun später die gleiche Web-Site oder eine Site der gleichen Domain erneut aufgerufen, so schickt der Browser die im Cookie enthaltene Textinformation an den Web-Server zurück. Der Web-Server ist jedoch lediglich in der Lage ihm bereits bekannte Informationen im Cookie abzuspeichern, sodass auch nur solche Informationen vom Browser an ihn zurückgesandt werden. 40

Der Vorgang des Anlegens und Auslesens von Cookies erfolgt folgendermaßen: Der Web-Server, der die Web-Site für den Benutzer zur Verfügung stellt, empfängt die Daten des Nutzers bei dessen erstmaligem Besuch auf der Web-Site. Der Web-Server sendet diese Daten nun an den Browser des Nutzers, der diese Information in Form einer kleinen Textdatei auf dem Rechner des Nutzers abspeichert. An welcher Stelle dies auf dem Rechner geschieht, hängt vom verwendeten Browser (zB Netscape Navigator, Microsoft Internet Explorer, Mozilla Firefox, ...) ab. Dieser Vorgang wiederholt sich für jede Web-Site, die der Nutzer besucht. Daher entstehen beim Surfen im Internet eine Vielzahl von Cookies, die alle auf dem Rechner des Nutzers abgespeichert werden. Wird eine Web-Site später wieder einmal aufgesucht, wird das Cookie über den Browser an den betreffenden Web-Server zurückgereicht. Dieser wertet die Informationen aus, verändert diese gegebenenfalls und sendet sie zurück an den Browser, der die Textdatei wiederum auf dem Rechner des Nutzers speichert. 41

Nach einer weiteren Definition handelt es sich bei Cookies um eine Art Cache-Speicher, durch den eine bestimmte Anzahl von Informationen gespeichert wird, aufgrund derer der Web-Server einen User wiedererkennen kann. 42

Cookies können laut Festlegung lediglich von der Domain gelesen werden, auf deren Anforderung hin das Cookie auf der Festplatte des Nutzers gesetzt wurde. Diese Einschränkung kann jedoch technisch umgangen werden, sodass auch andere als die besuchte Domain die Möglichkeit haben, Cookies über den Browser auf die Festplatte des Nutzers zu setzen. Man spricht in diesen Fällen von Cookies von Drittanbietern. 43

⁴⁰ Peyton, Das neue PC Lexikon für Alle, 53.

⁴¹ Der Brockhaus, Computer und Informationstechnologie, 192.

⁴² Voss, Das große PC & Internet Lexikon 2003, 229.

⁴³ Peyton, Das neue PC Lexikon für Alle, 54.

7/171

I. Einleitung

Bei den gängigen Internet-Browsern (Microsoft Internet Explorer, Netscape Navigator) besteht die Möglichkeit das Abspeichern von Cookies zu deaktivieren, was aber für das reibungslose Surfen eine starke Beeinträchtigung mit sich bringt, da viele Internetseiten nur dann ordnungsgemäß aufgebaut werden können, wenn man das Abspeichern von Cookies zulässt. Eine weitere Einstellungsmöglichkeit besteht darin, dass man vor jedem Abspeichern von Cookies gefragt wird, ob man dies auch wirklich will. Bei dieser Option wird man das Surfen aber auch kaum genießen können, da man sich aufgrund der vielen Anfragen nicht mehr auf die Informationssuche im Internet konzentrieren kann.

b) Zweck, Anwendungsbereich

Der technische Hintergrund für das Setzen von Cookies besteht darin, dass durch das im WWW verwendete HTTP (HyperTextTransferProtokoll) keine Verbindung zwischen dem Web-Server und dem Clientrechner (User) besteht, die über die Übertragungen von Daten hinausgeht. Sämtliche Übertragungen sind von den vorhergehenden Übertragungen vollkommen unabhängig. Dies schlägt sich oftmals als Problem nieder, vor allem bei an sich zusammengehörenden Vorgängen wie etwa beim eCommerce. Die Erfindung der Cookies diente dazu, dass mit ihrer Hilfe zwischen dem Web-Server und dem Rechner des Nutzers eine Informationsaustausch stattfinden kann, welcher eine logische Sitzung und Identifizierung des Nutzers (Clients) ermöglicht. 44

Anwendungsfelder für Cookies sind weit gestreut, so können etwa Benutzerkennwörter in Cookies gespeichert werden. Dies dient vor allem dazu, damit die Anmeldung nicht vergessen wird, wenn von einer Web-Site auf eine andere gewechselt wird. Des weiteren werden Cookies beim eCommerce verwendet, indem etwa der Einkaufswagen der letzten Session oder der Name und die Adresse des Users gespeichert werden. Cookies werden auch verwendet, um das Datum des ersten und letzten Aufrufs der Internetseite anzuzeigen. Suchmaschinen können ebenfalls durch die Verwendung von Cookies personalisiert werden. 45

Auch die meisten Counter verwenden Cookies um zu verhindern, dass jeder erneute Aufruf der Web-Site durch denselben Nutzer mitgezählt wird, wenn dieser etwa den „Aktualisieren“-Knopf betätigt. Somit wird durch die Verwendung von Cookies eine Reload-Sperre ermöglicht. 46

Wie zuvor bereits erwähnt, werden Cookies also hauptsächlich dazu verwendet, Benutzerkennungen (User-ID´s) zu speichern. Cookies enthalten Informationen, mit denen der Server die persönlichen Voreinstellungen des Nutzers bei seinem nächsten Besuch auf der

⁴⁴ Hofer, datenschutz@internet, Die Privatsphäre im Informationszeitalter, 30.

⁴⁵ Brandl/Mayer-Schönberger, CPU-IDs, Cookies und Internet- Datenschutz, ecolex 1999, 368; Jahnel, Datenschutz im Internet, Rechtsgrundlagen, Cookies und Web-Logs, ecolex 2001, 87.

⁴⁶ Peyton, Das neue PC Lexikon für Alle, 54.

8/171

I. Einleitung

Homepage abfragen, wiederherstellen und ihn so wiedererkennen kann. Dadurch wird es überflüssig, sich bei jedem weiteren Besuch auf dieser Internetseite erneut durch die Einstellungen zu „kämpfen“. Somit kann der Anwender wiedererkannt werden, auch wenn er die Web-Site vor langer Zeit unter einer anderen IP-Adresse besucht hat. Cookies dienen allgemein der leichteren und besseren Nutzung des Internets, so können etwa mithilfe von Cookies die vom User getroffenen Einstellungen auf einer Web-Site für den nächsten Besuch derselben Site gespeichert und somit übernommen werden. 47

3. Web-Logs

a) Begriffsbestimmung

Neben dem hier zu betrachtenden Phänomen der Web-Logs im Sinne eines Zugriffsprotokolls, bezeichnet der Begriff Web-Log (auch Blog) zusätzlich eine Art „Onlinetagebuch“, bei dem die Verfasser ihre Surfaktivitäten, aber auch ihre „offline“-Aktivitäten für andere auf ihren Homepages zugänglich machen. ⁴⁸ Diese „Onlinetagebücher“ sollen aber in dieser Arbeit nicht weiter behandelt werden, womit der Begriff „Web-Log“ im Sinne eines Zugriffsprotokolls nun einer näheren Betrachtung zugeführt werden soll. Wird im Internet eine Ressource, wie zB eine HTML-Seite abgefragt, so verbindet sich der Browser mit dem jeweils angegebenen Web-Server und verlangt diese explizit. Bei jedem dieser Aufrufe (sog. ‚Hits’) protokolliert der Web-Server diese in der sogenannten Log-Datei. Unter Logfile wird eine Datei verstanden, in der Daten protokolliert werden, die bei bestimmten Aktivitäten des Rechners anfallen. Der Zweck dieser Logfiles besteht darin, dass gewisse Geschehnisse nachvollzogen werden können, wie zB Installationsvorgänge, Veränderungen von Daten oder auch Zugriffe auf einen Server. ⁴⁹ Es handelt sich dabei um eine Aufzeichnung über Zustände, Ereignisse oder Zugriffe. Web-Logs sind Zugriffsprotokolle, die den Aufruf aller Dateien an einen Internet-Server festhalten. Greift ein Anwender auf eine Datei auf dem Server zu, so wird dies in einer Log-Datei verzeichnet. 50

Das Speichern der Logfiles erfolgt in einer standardisierten Form, nämlich dem Common Logfile Format (CLF). 51

Hier sollen zwei typische Einträge eines Web-Logs ⁵² angezeigt werden:

⁴⁷ Der Brockhaus, Computer und Informationstechnologie, 192.

⁴⁸ Voss, Das große PC & Internet Lexikon 2003, 976.

⁴⁹ Peyton, Das neue PC Lexikon für Alle, 182.

⁵⁰ Jahnel, Datenschutz im Internet, 88.

⁵¹ Hofer, datenschutz@internet, 29.

^{52 http://de.wikipedia.org/wiki/Logfile, 2005-01-26.} 9/171

I. Einleitung

183.121.143.432 - - [18/Mar/2003:08:04:22 +0200] "GET /images/logo.jpg HTTP/1.1" 200 512 "http://www.wikipedia.org/"

183.121.143.432 - - [18/Mar/2003:08:05:03 +0200] "GET /images/bild.png HTTP/1.1" 200 805 "http://www.google.org/"

Teilbereiche eines Eintrages:

Wer? - 183.121.143.432 - anfordernde Host-Adresse

Wann? - [18/Mar/2003:08:04:22 +0200] - Zeitstempel (Datum, Uhrzeit, Zeitverschiebung) Was? - "GET /images/logo.jpg HTTP/1.1" - Anforderung, eines Bildes, Übertragungsprotokoll

Ok? - 200 - Statusnummer (200=Erfolgreiche Anfrage) Wieviel? - 512 - Menge der gesendeten Daten (Byte)

Woher? - "http://www.wikipedia.org/" - Von welcher Internetseite wird angefordert 53

In dieser Log-Datei befinden sich Informationen über den User (die IP oder URL), Datum und Zeit des Zugriffs, auf welche Datei der Nutzer zugreift, deren Umfang, die übermittelte Datenmenge sowie den Status. Weitere Inhalte können Daten über die URL, von der der Aufruf kommt oder welchen Agent (d.h. welches Betriebssystem und Browser) der Zugreifende verwendet, sein. ⁵⁴ Darüber hinaus werden in solchen Web-Logs auch die Anfrage im Volltext aber auch der Username, wenn etwa eine Passwortabfrage stattgefunden hat, mitgespeichert. 55

b) Zweck, Anwendungsbereich

Zweck dieser Web-Logs sind die Optimierung des Systems hinsichtlich der Software und Hardware, aber auch die Fehlererkennung bezüglich Software und Hardware, Sicherheitsrisiken und Verfügbarkeit der Infrastruktur. Die Erfassung der Besucheranzahl auf einer Web-Site stellt eine weitere Möglichkeit dar.

⁵³ http://de.wikipedia.org/wiki/Logfile, 2005-01-26.

⁵⁴ Jahnel, Datenschutz im Internet, 88.

⁵⁵ Hofer, ^{datenschutz@internet, 29.} 10/171

I. Einleitung

4. Location Based Services (LBS)

a) Begriffsbestimmung

Bereits 82 % aller Österreicher nutzen die Möglichkeit mobil zu telefonieren. Um diesen Dienst anbieten zu können, bedarf es der Ortung des Endgeräts als unumgängliche Voraussetzung. Die Ermittlung der Position des Mobiltelefon-Users dient also vorwiegend zum Verbindungsaufbau und zur Abwicklung des Mobilfunkgesprächs. Neben diesem Zweck bietet es sich aber auch an, diese Ortung für sogenannte standortbezogene Dienste (Location Based Services) heranzuziehen. 56

Die Ortung des Endgerätes kann auf verschiedene Arten erfolgen. Ein Mobilfunknetz besteht aus verschiedenen geografisch geordneten Gebieten, welche jeweils durch einen Mobil-Funksender abgedeckt wird. Diese Gebiete werden als sogenannte Mobilfunk-Zellen bezeichnet. Jedes aktivierte Mobiltelefon sendet ständig Signale, welche dem Mobilfunknetz mitteilen, in welcher Zelle sich das Endgerät befindet. Ohne diese Information wäre es nicht möglich Anrufe an das Mobiltelefon weiterzuleiten. Neben dieser Funktion können die ständigen Signale des Handys auch zur Lokalisierung verwendet werden, wobei die Messgenauigkeit von mehreren Faktoren, wie etwa von der Qualität des Mobilfunknetzes, baulichen Barrieren (Mauern, Keller, etc ...) oder anderen Störfaktoren abhängt. Derzeit kann bei GSM eine Genauigkeit von 200-500 Meter erreicht werden, wobei bei UMTS dies auf bis zu 25 Meter reduziert wird. 57

Durch technische Verfahren wie T-DOA (Time Difference of Arrival) oder E-OTD (Enhanced Observed Time Difference) kann die Berechnung der Laufzeitunterschiede eines Signals zwischen dem Mobiltelefon und mehreren Basisstationen zu noch exakteren Angaben führen. 58

Eine andere Möglichkeit der Ortung des Mobiltelefons erfolgt über das Global Positioning System (GPS). Bei den Handys der neueren Generation ist es der Regelfall, dass diese mit einem GPS-Satellitenempfänger versehen sind. Dieser verarbeitet Signale von bestimmten Satelliten und ist dadurch in der Lage seine Position zu bestimmen. Die Messgenauigkeit liegt hier bei ca. 20 Meter, allerdings funktioniert diese Technik innerhalb von Gebäuden eher schlecht. Im Gegensatz zur zuvor vorgestellten Methode sendet der GPS-Empfänger allerdings keine Signale. 59

⁵⁶ Fallenböck/Haberler, Ortsbezogene Dienste für Handys, Droht der gläserne Benutzer?, Die Presse 2002/24/01

⁵⁷ Lechner, Location Based Services, in: Schweighofer/Menzel/Kreuzbauer (Hrsg.), IT in Recht und Staat, 348.

⁵⁸ Kassai, „Location Based Services" im Gefüge des Datenschutzrechts, MR 2004, 433.

⁵⁹ Lechner, Location Based Services, 348.

11/171

I. Einleitung

Unter Location Based Services (LBS) versteht man nach Lechner ⁶⁰ einen Dienst der Informationsgesellschaft, dessen wesentliche Eigenschaft darin besteht, Informationen abhängig von der Position des Benutzers zu liefern.

Kassai ⁶¹ definiert LBS als Dienste, die ortsbezogene Informationen anhand des aktuellen Standorts eines Benutzers von mobilen Endgeräten bereitstellen. Für die Bereitstellung solcher Dienste sind daher drei Voraussetzungen zu realisieren: die Bestimmung des Standorts eines Benutzers, die Generierung eines Mehrwertdienstes auf Grundlage dieses Standorts und die Bereitstellung dieses Mehrwertdienstes. Die LBS setzen sich aus drei Komponenten zusammen, einem Server, auf dem sich die Datenbank, die die Informationen beinhaltet (dabei handelt es sich meist um eine Geodatenbank, weil ortsbezogene Daten benötigt werden), befindet, einem Client in Form eines Endgerätes (etwa Laptop, PDA oder Mobiltelefon) und einem Übertragungsweg, größtenteils das Internet, über den der Server mit dem Client verbunden ist. 62

Der Workflow eines LBS läuft meist folgendermaßen ab:

• Positionierung (etwa durch GPS oder Funkzellenortung)

• Anfrage des Clients an den Server

• Weiterleitung der Anfrage über eine Web-Server Schnittstelle

• Verarbeitung der Anfrage im Web-Map-Server (WMS)

• Zugriff auf die Datenbank

• Abgabe des Ergebnisses des Zugriffs von der Datenbank an den WMS

• Erzeugung einer Karte bzw. von Sachdaten als Reaktion auf die Antwort der Datenbank

• Abgabe der Karte an den Web-Server über eine Schnittstelle

• Versand der Karte an den Browser

• Graphische Darstellung auf dem Endgerät des Benutzers 63

⁶⁰ Lechner, Location Based Services, 347.

⁶¹ Kassai, Location Based Services, MR 2004, 433.

⁶² http://www.gis1.bv.tum.de/lehre/vertiefung/gis%2Dprojekte/Dokumente/Gruppe4.pdf

^{63 http://www.gis1.bv.tum.de/lehre/vertiefung/gis%2Dprojekte/Dokumente/Gruppe4.pdf} 12/171

I. Einleitung

b) Zweck, Anwendungsbereich

Location Based Services können für mehrere Anwendungsgebiete eingesetzt werden. So hat der User die Möglichkeit gegen Bezahlung Informationen zu erhalten, die sich vor allem auf seinen Aufenthaltsort beziehen.

Die wichtigsten Anwendungsbereiche hierbei sind das Finden der nächstgelegenen Point-of-Interests, wie etwa die nächste Autowerkstatt, die nächste Tankstelle, das nächste Restaurant, den nächsten Bankomat, die nächstgelegene Sehenswürdigkeit oder das nächstgelegene Hotel. Weiters können Informationen über die Verkehrslage, sowie Wegbeschreibungen mittels LBS übermittelt werden. Eine weitere interessante Möglichkeit der LBS stellt die „Find a friend“-Funktion dar, mittels der die Standorte bestimmter Personen angezeigt werden können. 64

In der Zukunft wird vor allem für Unternehmen das Location Based Advertising interessant werden. So soll der Handy-Nutzer abhängig vom Ort, an dem er sich befindet, Werbung auf sein Mobiltelefon erhalten. So wird etwa, wenn er gerade an einem Geschäft vorbeigeht, ein spezielles Angebot dieses Geschäftes auf seinem Mobiltelefon angezeigt. 65

⁶⁴ Fallenböck/Haberler, Ortsbezogene Dienste für Handys, Die Presse 2002/24/01

⁶⁵ Lechner, ^{Location Based Services, 349.} 13/171

I. Einleitung

Auch das Location Sensitive Billing wird in Zukunft für Mobilfunk-Betreiber von Interesse sein. Bei diesem Angebot ermöglicht der Mobilfunk-Betreiber dem Handy-Nutzer an einem bestimmten Ort billiger zu telefonieren. Dies wäre etwa dann interessant, wenn ein Sponsor sämtliche Gesprächsgebühren bei einer bestimmten Veranstaltung (zB Clubbing, Messe) zahlen würde. ⁶⁶ In der Geschäftspraxis gibt es etwa ein Angebot der VIAG Interkom bei dem der Kunde, mit dem Mobiltelefon zu Hause und in einem Umkreis von einigen Hundert Metern zum Festnetztarif telefonieren kann.

Eine weitere Einsatzmöglichkeit von LBS liegt bei Notfalldiensten. In den USA hat die Federal Communications Commission (FCC) entschieden, dass sämtliche Mobiltelefone, im Falle eines Notrufes lokalisierbar sein müssen. Dies soll die Identifizierung von Betroffenen bei Katastrophen erleichtern. 67

Weitere Einsatzbereiche bestehen bei der Verfolgung von Fracht, Fahrzeugen sowie bei der Maut oder der Kontrolle von Straftätern („elektronische Fußfessel“). 68

5. eMail

a) Begriffsbestimmung

Bei dem Begriff eMail handelt es sich um die Abkürzung des englischen Wortes electronic mail, was ins Deutsche übersetzt elektronische Post bedeutet. Gemeint ist dabei ein Dienst in Computernetzwerken. Hier ist vor allem das Internet zu nennen, mit dessen Hilfe es möglich ist, auf elektronischem Weg, Nachrichten zwischen einem Sender und einem Empfänger oder auch mehreren Empfängern auszutauschen. 69

Prinzipiell funktioniert der Austausch von Nachrichten folgendermaßen ⁷⁰ : Der Absender erstellt die zu sendende Nachricht mit Hilfe eines eMail-Programms (zB Microsoft Outlook) auf seinem Arbeitsplatzrechner. Diese Nachricht wird vom Absender mit diesem Mail-Programm an einen Mail-Server gesandt. Es handelt sich hierbei um einen SMTP-Server (SimpleMailTransferProtocol ⁷¹ -Server), welcher sich in der Regel bei einem Internet-Service-Provider (ISP) befindet. Größere Unternehmen verfügen mitunter jedoch über einen eigenen Mailserver.

⁶⁶ Kassai, Location Based Services, MR 2004, 434; Lechner, Location Based Services, 350.

⁶⁷ Lechner, Location Based Services, 350.

⁶⁸ Lechner, Location Based Services, 351.

⁶⁹ http://de.wikipedia.org/wiki/EMail, 2005-02-22.

⁷⁰ Jahnel, Das Versenden von e-Mails aus datenschutzrechtlicher Sicht, in: e-Mail- elektronische Post im Recht, 89.

^{71 ein Protokoll zum Mailversand und -transport.} 14/171

I. Einleitung

Dieser Mailserver schickt die Nachricht an den Server der Zieladresse (Zielserver, POP3 ⁷² -Server), welcher sich wiederum in der Regel bei einem ISP befinden wird, jedoch auch in einem Unternehmen selbst gelegen sein kann. Dieser Server wiederum legt die Nachricht in die betreffende Mailbox des Empfängers, wo sie für ihn bis zu ihrer Abholung durch den Empfänger bereitgehalten wird. Diese Bereitstellung dauert je nach Servereinstellung unterschiedlich lange, jedoch längstens bis der Empfänger die Nachricht auf seinen Arbeitsplatzrechner herunterlädt und sie gegebenenfalls dort speichert. Damit die eMail an den richtigen Adressaten gelangt, bedarf es einer spezifischen Adressierung. Eine eMail-Adresse hat folgenden Aufbau: benutzer@domain

Unter Benutzer versteht man jene Bezeichnung, die den Adressaten in einer domain eindeutig bezeichnet (zB max.mustermann@domain).

Mit domain wird die Domain verstanden, in der sich der Empfänger befindet, wobei die Syntax des Domain Name Systems (DNS) verwendet wird (zB max.mustermann@gmx.at). ⁷³ Als Alternative zum Herunterladen der eMail auf den eigenen Rechner, gibt es die Einrichtung des sogenannten Webmails. Ein Vorteil dieser Variante besteht darin, dass die Nachricht auf dem Großrechner des Servers verbleibt und dort angesehen und bearbeitet werden kann und somit die Gefahr schädliche (zB virenverseuchte) Attachments auf den eigenen Rechner herunterzuladen hintangehalten wird.

b) Zweck, Anwendungsbereich

Die eMail dient zum Nachrichtenaustausch auf elektronischem Weg. Durch diesen Dienst wird es den Nutzern ermöglicht, relativ kostengünstig auch über große Entfernungen Nachrichten zu versenden. Voraussetzung dafür ist ein Eingabegerät (PC, Mobiltelefon, PDA ...) und ein Zugang zu einem Netzwerk (Internet, Firmennetzwerk, LAN, ...). Diese einfache Möglichkeit Informationen auszutauschen, hat sich nicht nur zu privaten Zwecken, sondern auch in der Geschäftswelt durchgesetzt. Zudem können nicht nur reine Textnachrichten, sondern auch Bilder, Musikfiles und auch Programme (diese werden als Attachment an die Textnachricht angefügt) auf diese Weise versendet werden.

⁷² Post Office Protocoll Version 3.

^{73 http://de.wikipedia.org/wiki/EMail, 2005-02-22.} 15/171

I. Einleitung

6. Webbugs

a) Begriffsbestimmung

Webbugs können auch unter anderslautenden Namen, wie etwa „Clear-GIFs“ ⁷⁴ , „Invisible GIF“, „1-by-1 GIF“, „Beacon GIF“ oder „Tracker GIF“, auftreten. ⁷⁵ Bei diesen Webbugs handelt es sich um kleine Grafiken, welche meist im GIF-Format ⁷⁶ vorliegen, wobei dieser Umstand nicht Voraussetzung für die Einordnung als Webbug ist. Diese Grafiken befinden sich entweder auf einer Web-Site, in einem HTML-Dokument oder in einem eMail und werden von einem externen Server automatisch geladen und dienen zur Verfolgung der User. 77

In der Regel handelt es sich bei Webbugs um 1x1 große Pixel, wobei auch normal große Werbebanner die Funktion dieser „Wanzen“ erfüllen können. Des weiteren sind sie durchsichtig und lesen bzw setzen Cookies. ⁷⁸ Werden solche Grafiken nun durch das Ansurfen einer Web-Site, die solche Webbugs unterstützt, aufgerufen, erhält der Webbug-Server die gleichen Informationen, wie etwa bei Cookies oder Web-Logs, nämlich die IP-Adresse, der Referer und das Datum des Zugriffs. 79

Die bisherigen Ausführungen beziehen sich allerdings auf klassische Webbugs, welche sich von aktiven Webbugs dahingehend unterscheiden, dass bei letzteren zusätzlich Java bzw Javascript verwendet wird. Die Zusammenstellung der URL, mit dem das Bild (Webbug) geladen wird, erfolgt dynamisch, wodurch zusätzliche Informationen, etwa über die Bildschirmauflösung, Browser- und Java-Version, Farbtiefe und Betriebssystem erlangt werden können, die an den Webbug-Server weitergeleitet werden. Solche aktiven Webbugs können auch vom angewählten Webserver verwendet werden. 80

Nicht jedes kleine, transparente Bild muss jedoch ein Webbug sein. Bei der Gestaltung einer Homepage kommt es häufig vor, das solche Bilder („Spacer GIF“) verwendet werden, um ein bestimmtes Layout zu erreichen. Im Unterschied zum Webbug stammen diese Grafiken nicht von einem externen Server und setzen auch keine Cookies. 81

⁷⁴ Hofer, datenschutz@internet, 33.

⁷⁵ Sonntag, Webbugs, Wanzen im Internet, in: Schweighofer/Menzel/Kreuzbauer (Hrsg.), IT in Recht und Staat, 355.

⁷⁶ ein Grafikformat im WWW, das deshalb praktisch ist, weil die Dateien klein gehalten werden können.

⁷⁷ Sonntag, Webbugs, 355; Hofer, datenschutz@internet, 33; http://de.wikipedia.org/wiki/Web-Bug, 2005-01-26.

⁷⁸ Sonntag, Webbugs, 356.

⁷⁹ Hofer, datenschutz@internet, 33.

⁸⁰ Sonntag, Webbugs, 356.

⁸¹ Sonntag, ^{Webbugs, 357.} 16/171

I. Einleitung

b) Zweck, Anwendungsbereich

Webbugs dienen dazu, die Aktivitäten eines Users im Internet aufzuzeichnen, also sein Surfverhalten zu dokumentieren. Durch diese Einrichtung ist es für den Webbug-Server möglich, den User über mehrere Web-Sites hinweg zu „verfolgen“. Der Webbug wird nämlich jedes Mal über denselben Webbug-Server geladen und der User (bzw sein Rechner) wird über ein Cookie identifiziert. Somit ist es möglich, ein Surfprofil des Users über einen längeren Zeitraum zu erstellen. 82

Die meisten Suchmaschinen kodieren die Anfrage im URL, damit Bookmarks auf Suchergebnisse ermöglicht werden. Das Format dieser Kodierung ist jedoch allgemein bekannt und daher können auch die Anfragen in einer Suchmaschine mit Hilfe von Webbugs ausgewertet werden, wenn eine Suchanfrage direkt auf eine Web-Site mit Webbug verweist, denn hier wird der Such-URL als Referer automatisch mitgeschickt. 83

Ein weiteres Einsatzgebiet stellt die eMail in HTML-Format dar. Hier kann der Webbug-Server Informationen erlangen, zu denen er sonst nicht Zugang hat, wie etwa den Fakt, dass die eMail gelesen wurde und auch der Zeitpunkt, wann dies geschehen ist. ⁸⁴ Vor allem bei sogenannten Spam-Mails werden Webbugs dazu verwendet, um festzustellen, ob diese eMails auch gelesen werden. ⁸⁵ Gerade diese Information ist für einen Spam-Vertreiber von enormer Bedeutung, da er die nicht mehr aktiven eMail-Adressen aus seinem Verteiler nehmen kann. Werden eMails, welche Webbugs enthalten, weitergeleitet, so sind auch die IP-Adressen der weiteren Empfänger für den Webbug-Server ersichtlich. 86

Webbugs können jedoch auch für datenschutzrechtlich nicht bedenkliche Anwendungen verwendet werden. So können private Web-Site Betreiber durch Verwenden von Webbugs ohne Zugriff auf die Logfiles des Servers Informationen über die Besucher erhalten. So wird bei zahlreichen Web-Site-Zähler (Counter), das Prinzip der Webbugs verwendet. Hier wird bei jedem neuen Besucher ein neues Bild eingefügt, welches immer um eine Zahl erhöht wird. 87

⁸² Sonntag, Webbugs, 357.

⁸³ Sonntag, Webbugs, 357.

⁸⁴ Sonntag, Webbugs, 358.

⁸⁵ Hofer, datenschutz@internet, 33.

⁸⁶ Sonntag, Webbugs, 358.

^{87 http://de.wikipedia.org/wiki/Web-Bug, 2005-01-26.} 17/171

I. Einleitung

7. Spyware

a) Begriffsbestimmung

Spyware ist der Sammelbegriff für jene Programme, die im Hintergrund des User-Rechners laufen und zB das Surfverhalten aufzeichnen, aber auch Informationen darüber sammeln, welche Programme auf dem Rechner installiert sind und die so gewonnenen Angaben an den Hersteller oder an dritte Unternehmen (zB Werbefirmen) zurücksenden („phone home feature“). 88

In der Regel wird Spyware im Zusammenhang mit Gratisprogrammen („freeware“) ohne Wissen des Nutzers von diesem aus dem Internet heruntergeladen. Beispiele hierfür finden sich zahlreiche, wie etwa Spyware bei den online-Tauschbörsen KaZaA oder iMesh. Spyware wird größtenteils in sogenannten „Adware“-Programmen „versteckt“. Diese Programme sind „freeware“, welche sich durch das Einblenden von Werbung, während das Programm aktiviert ist, finanzieren und daher für den User gratis sind. ⁸⁹ Solche Programme dienen zwar in der Praxis zur Verbreitung von Spyware, dürfen mit diesen aber nicht gleichgesetzt werden.

Durch die immer beliebter werdenden Weblogs (Blogs), die größtenteils als online-Tagebücher verwendet werden, ist eine neue Angriffsfläche für Spyware entstanden. Die Programmierer machen sich hier eine Sicherheitslücke in der Blog-Software zu nutzen, sofern diese ActiveX und Javascript zulässt.

Im Gegensatz zu Cookies und Webbugs handelt es sich bei Spyware um ein eigenes Programm, das selbständig läuft und auch aktiv ist. Hier bedarf es nicht eines erneuten Aufsuchens einer bestimmten Internetseite, sondern dient das „phone home feature“ dazu, dass die von der Spyware gesammelten Informationen vom User unbemerkt an dessen Urheber, zwischen den „normalen“ Datenströmen versteckt, geschickt werden, während der Nutzer-Rechner online ist.

b) Zweck, Anwendungsbereich

Spyware wird in der Regel dazu verwendet, um das Surfverhalten der User im Internet zu analysieren. Dies dient meist dazu, dem User beim Surfen, die zu ihm „passenden“

⁸⁸ Hofer, datenschutz@internet, 35.

⁸⁹ Hofer, ^{datenschutz@internet, 35.} 18/171

I. Einleitung

Werbebanner oder Popups, anzuzeigen. ⁹⁰ Anders ausgedrückt, kann man sagen, dass mit Hilfe der Erkenntnisse von Spyware die Werbung im Internet personalisiert wird. Es kommt jedoch auch vor, dass Spyware dazu verwendet wird, um den Rechner des Users auf bestimmte oder ganz generell auf alle installierten Programme oder sonst vorhandenen Dateien zu durchsuchen. Mit dem „phone-home-feature“ wird der Urheber der Spyware über die Zusammensetzung des Rechners des Users informiert.

Hier ist vor allem der Software-Riese Microsoft mit seinem Betriebssystem Windows XP zu nennen, bei dem das Betriebssystem aufgrund der phone-home-Komponenten regelmäßig mit Microsoft Kontakt aufnimmt. Dies geschieht teilweise auch vom User unbemerkt, wenn dieser online ist. So werden Fehlerberichte übertragen, das Datum abgefragt und aktualisiert, aber auch automatisch Betriebssystem-Updates durchgeführt. Dieser ständige Kontakt lässt viele Experten zweifeln, dass lediglich diese Informationen an Microsoft weitergeleitet werden. 91

Aber auch der Real-Player, eine mit Windows mitgelieferte Abspielsoftware für Musik- und Videodateien, von „Real Networks“ bietet regelmäßig an, dass Informationen über die abgespielten Dateien über das Internet verfügbar gemacht werden können. Es stellt sich hier die Frage, ob nicht Playlists überprüft und Daten darüber an Dritte weitergeleitet werden und somit die Hör- und Sehgewohnheiten der User dem Software-Hersteller zugänglich gemacht werden. 92

⁹⁰ http://de.wikipedia.org/wiki/Spyware, 2005-02-02.

⁹¹ Hofer, datenschutz@internet, 36.

⁹² Hofer, ^{datenschutz@internet, 36.} 19/171

II. Grundlagen

II. Grundlagen

A) Datenschutzgesetz (DSG)

1. Allgemeines

Das Datenschutzgesetz ⁹³ beinhaltet umfangreiche Bestimmungen, die den Datenschutz in Österreich regeln. Neben diesen allgemeinen Regelungen, bestehen in anderen Gesetzen sektorspezifische Normen (zB der 12. Abschnitt im TKG 2003), die jeweils detailliertere Regelungen für die betreffende Materie enthalten. Auf diese wird in dieser Arbeit ebenfalls eingegangen, sofern sie zur Lösung der aufgeworfenen Probleme von Bedeutung sind. In diesem Kapitel sollen nicht sämtliche Bestimmungen des DSG erörtert werden, sondern beschränken sich die Ausführungen auf jene Paragraphen, die für diese Arbeit relevant erscheinen.

2. Grundrecht auf Datenschutz

Nach § 1 Abs 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Das Grundrecht auf Datenschutz wird nicht durch die einfachgesetzlichen Bestimmungen des DSG ausgestaltet. Diese Bestimmungen können jedoch, im Falle der inhaltlichen Kompatibilität, zur Auslegung des Grundrechts herangezogen werden. ⁹⁴ Das Grundrecht auf Datenschutz, so wie es im § 1 DSG („jedermann“) verankert ist, ist als Menschenrecht ausgestaltet und verlangt somit nicht, dass der Betroffene die österreichische Staatsbürgerschaft besitzt. 95

Durch das Grundrecht auf Datenschutz werden jedoch nicht nur natürliche, sondern auch juristische Personen geschützt, wobei es sich um ein höchstpersönliches Recht handelt, sodass dieses nur lebenden Menschen (und auch nur rechtlich existierenden juristischen Personen

⁹³ Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000), BGBl.

165/1999.

⁹⁴ Drobesch/Grosinger, Das neue österreichische Datenschutzgesetz, 98.

⁹⁵ Dohr/Pollirer/Weiss, Kommentar Datenschutzrecht ^{2 , § 1 Anm. 4} 20/171

II. Grundlagen

und Personengemeinschaften, so sind etwa auch firmenbezogene Daten einer GmbH geschützt) zukommt. 96

Im Grundrecht auf Datenschutz ist ein Anspruch auf Geheimhaltung von personenbezogenen Daten verankert, wobei der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen ist. ⁹⁷ Im § 1 Abs 1 DSG werden keine Differenzierungen zwischen automationsunterstützt verarbeiteten Daten und herkömmlich verarbeiteten Daten getroffen, woraus sich ergibt, dass sämtliche Daten dem Grundrecht auf Datenschutz unterliegen. Auch ist die Strukturierung in einer Datei ⁹⁸ keine Voraussetzung für den Grundrechtsschutz. 99

Voraussetzung für das Bestehen des Grundrechts auf Datenschutz und auch der Anwendbarkeit des DSG ist das Vorhandensein eines schutzwürdigen Interesses. Grundsätzlich richtet sich die Einstufung, ob es sich um ein solches schutzwürdiges Geheimhaltungsinteresse handelt, nach den Wertvorstellungen der Gesellschaft. Dies vor allem dahingehend nach dem Umstand, wie diese Wertvorstellungen auch in die Rechtsordnung Eingang gefunden haben. 100

Ein schutzwürdiges Geheimhaltungsinteresse setzt voraus, dass es sich bei den betroffenen Daten um personenbezogene handelt. Diese sind nach § 4 Z 1 DSG „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.“ Es handelt sich hierbei um jegliche Angaben zu einer natürlichen oder juristischen Person. Als Beispiele seien, Name, Geburtsdatum, Staatsangehörigkeit, Geschlecht, Familienstand, Bildung, Kreditwürdigkeit aber auch der Vermögensstand genannt. ¹⁰¹ Es gibt aber auch indirekt personenbezogene Daten, bei denen man nur durch rechtlich unzulässige Mittel die Identität des Betroffenen bestimmen kann.

Weiters ist die faktische Möglichkeit der Geheimhaltung bedeutsam. Diese wird etwa dann nicht gegeben sein, wenn die betreffenden Daten allgemein zugänglich sind. ¹⁰² Eine allgemeine Verfügbarkeit von Daten ist dann gegeben, wenn diese entweder schon von der Rechtsordnung her öffentlich zugänglich sind, so etwa Daten im Grundbuch oder Firmenbuch, oder auf andere Weise, zB durch Medienberichte oder Telefonbuch, veröffentlicht wurden. Allerdings muss diese Veröffentlichung zulässig sein, andernfalls ja der Grundrechtsschutz durch eine unzulässige Veröffentlichung umgangen werden könnte. 103

⁹⁶ Dohr/Pollirer/Weiss, DSG ² , § 1 Anm. 5; Drobesch/Grosinger, Datenschutzgesetz, 98; Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 941.

⁹⁷ RV zum DSG 2000, Erläuterung zu § 1.

⁹⁸ anders in § 1 Abs 3 DSG.

⁹⁹ Dohr/Pollirer/Weiss, DSG ² , § 1 Anm. 6; Drobesch/Grosinger, Datenschutzgesetz, 98.

¹⁰⁰ Duschanek, Datenschutzrecht, 254.

¹⁰¹ Drobesch/Grosinger, Datenschutzgesetz, 117.

¹⁰² Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 940.

¹⁰³ Dohr/Pollirer/Weiss, DSG ^{2 , § 1 Anm. 8.} 21/171

II. Grundlagen

Es ist jedoch möglich, dass die betreffenden personenbezogenen Daten zum Zeitpunkt der Ermittlung allgemein zugänglich waren, dieser Zugang jedoch weggefallen ist und somit das Grundrecht auf Datenschutz wieder auflebt. In diesem Fall hat der Auftraggeber nicht mehr die Berechtigung, diese Daten weiterhin aufzubewahren bzw. weiterzuverwenden. ¹⁰⁴ Festzuhalten ist jedoch, dass „allgemein verfügbar“ nicht zwingend mit „veröffentlicht“ deckungsgleich sein muss. Hierbei wird auf die faktische Unmöglichkeit der Geheimhaltung abgezielt. Sind gewisse Informationen der „Allgemeinheit“ schon bekannt, zB sind diese bereits über die Medien verbreitet worden, kann kein schutzwürdiges Interesse an deren Geheimhaltung mehr angenommen werden. 105

Das Vorhandensein eines schutzwürdigen Geheimhaltungsinteresses ist jedoch im Einzelfall zu prüfen, wobei diesem Umstand in der Zulässigkeitsprüfung der §§ 6 ff DSG erhöht Rechnung getragen wird.

Besteht nun ein schutzwürdiges Geheimhaltungsinteresse, so kann dieses - wie jedes Grundrecht - nicht absolut gelten, sondern darf durch bestimmte, zulässige Eingriffe beschränkt werden.

Soll der Geheimhaltungsanspruch beschränkt werden, so unterliegen solche Einschränkungen grundsätzlich einem Gesetzesvorbehalt, welcher eine Interessensabwägung voraussetzt. ¹⁰⁶ Die Zulässigkeit der Eingriffe in das Grundrecht auf Geheimhaltungsschutz ist in § 1 Abs 2 DSG geregelt.

Nach dieser Bestimmung ist dann ein zulässiger Eingriff in den Geheimhaltungsschutz gegeben, wenn der Betroffene diesem zugestimmt hat. Hier wird anerkannt, dass der Betroffene als Herr seiner Daten selbst entscheiden soll, was mit den ihn betreffenden Daten geschehen soll. ¹⁰⁷ Weitere zulässige Eingriffe in den Geheimhaltungsschutz sind bei lebenswichtigen Interessen des Betroffenen (etwa in der Medizin bzw bei medizinischen Notfällen) oder zur Wahrung überwiegender berechtigter Interessen eines anderen gegeben. Der Begriff eines „anderen“ umfasst jegliche vom Betroffenen verschiedene natürliche oder juristische Person (auch juristische Personen des öffentlichen Rechts; somit auch Selbstverwaltungskörper und Gebietskörperschaften). 108

Bei Eingriffen aufgrund überwiegender berechtigter Interessen anderer ist zwischen dem Eingriff durch eine staatliche Behörde und dem Eingriff Privater zu unterscheiden. Bei Ersterem bedarf es einer besonderen gesetzlichen Grundlage, die den Voraussetzungen des Art 8 Abs 2 MRK entsprechen muss. Bei zweiterem wird in § 1 Abs 2 DSG nicht gesondert

¹⁰⁴ Mayer-Schönberger/Brandl, Datenschutzgesetz 2000, 22.

¹⁰⁵ Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 941.

¹⁰⁶ Duschanek, Datenschutzrecht, 255.

¹⁰⁷ RV zum DSG 2000, Erläuterung zu § 1.

^{108 RV zum DSG 2000, Erläuterung zu § 1.} 22/171

II. Grundlagen

festgelegt, wann diese berechtigten Interessen anderer vorliegen. Hier muss auf die einfachgesetzlichen Regelungen der §§ 6 ff DSG zurückgegriffen werden. 109

Wird aufgrund von oben genannten Gesetzen in den Geheimnisschutz von sensiblen Daten („besonders schutzwürdige Daten“) eingegriffen, muss dies gemäß § 1 Abs 2 DSG zur Wahrung wichtiger öffentlicher Interessen geschehen, wobei diese Gesetze angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen müssen. Nach § 1 Abs 2 DSG letzter Satz darf aber auch im Falle zulässiger Beschränkung der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

Aufgrund dieser Regelung wird der Verhältnismäßigkeitsgrundsatz für das Grundrecht auf Datenschutz verfassungsrechtlich verankert. 110

In § 1 Abs 3 DSG werden neben dem Grundrecht auf Geheimhaltung weitere subjektive Rechte, die dem Betroffenen bei Verwendung ihn betreffender personenbezogener Daten zustehen, genannt.

Neben das Grundrecht auf Datenschutz treten aufgrund des § 1 Abs 3 DSG die subjektiven Rechte auf Auskunft, auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten. Diese subjektiven Rechte stehen dem Betroffenen jedoch nur dann zu, wenn bei den Daten ein Personenbezug vorhanden ist, diese automationsunterstützt verarbeitet werden. Dies gilt auch bei einer manuellen Verarbeitung, wenn die Daten in Dateien strukturiert werden.

Das Recht auf Auskunft beinhaltet Auskunft darüber, wer welche Daten über den Betroffenen verarbeitet, woher diese Daten stammen, wozu diese verwendet werden, aber auch an wen diese übermittelt werden.

In § 1 Abs 4 DSG wird klargestellt, dass Beschränkungen der Rechte nach Abs. 3 nur unter den in Abs 2 genannten Voraussetzungen zulässig sind.

Demnach kann der einfache Gesetzgeber Beschränkungen der subjektiven Rechte auf Auskunft, Richtigstellung und Löschung lediglich in den Grenzen des § 1 Abs 2 DSG vornehmen, also genauso wie bei Beschränkungen des Grundrechts auf Geheimhaltung. 111

In § 1 Abs 5 DSG wird die gerichtliche bzw. die verwaltungsrechtliche Zuständigkeit bei der Wahrnehmung der subjektiven Rechte des Betroffenen festgelegt. Aufgrund der Tatsache, dass das Grundrecht auf Geheimhaltung und die subjektiven Rechte auf Auskunft, auf Richtigstellung und Löschung nicht nur gegenüber Rechtsträgern des öffentlichen Bereichs, sondern auch gegenüber Rechtsträger des privaten Bereichs geltend

¹⁰⁹ RV zum DSG 2000, Erläuterung zu § 1.

¹¹⁰ Dohr/Pollirer/Weiss, DSG ² , § 1 Anm. 20.

¹¹¹ RV zum DSG 2000, Erläuterung zu § 1.

23/171

II. Grundlagen

gemacht werden können ¹¹² , kommt ihnen unmittelbare Drittwirkung zu. ¹¹³ So kann sich der in seinen Rechten Betroffene gegen Private bei Verletzung der Rechte auf Geheimhaltung, Richtigstellung und Löschung auf dem Zivilrechtsweg, bei Verletzung des Rechts auf Auskunft aber an die Datenschutzkommission (DSK) wenden. Für alle übrigen Fälle ist ebenfalls die Datenschutzkommission zuständig.

Die Zuständigkeit der DSK bei der Geltendmachung des Rechts auf Auskunft auch gegenüber einem Rechtsträger des privaten Bereichs erklärt sich aus dem Bestreben, den Zugang zum Rechtsschutz zu vereinfachen. Dies scheint deshalb zielführend, weil die Sinnhaftigkeit eines Verfahrens wegen Richtigstellung oder Löschung gerade vom Inhalt des Auskunftsbegehrens abhängt. 114

Die Kompetenzen der DSK werden aufgrund der Regelung in § 1 Abs 5 DSG verfassungsrechtlich abgesichert. § 1 Abs 5 DSG letzter Halbsatz stellt aber auch klar, dass Akte der Gesetzgebung oder der Gerichtsbarkeit nicht in der Zuständigkeit der DSK liegen. 115

3. Zuständigkeit

Im § 2 DSG finden sich die Regelungen über die Zuständigkeit bezüglich der Gesetzgebung und Vollziehung des Schutzes personenbezogener Daten.

In § 2 Abs 1 DSG wird festgelegt, dass die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten Bundessache ist.

Durch die RL 95/46/EG ¹¹⁶ und deren Umsetzungspflicht durch Österreich wurden auch manuell geführte Daten in den Datenschutz einbezogen. ¹¹⁷ Aufgrund der kompetenzrechtlichen Situation war der einfache Bundesgesetzgeber nicht in der Lage die RL im Hinblick auf die Einbeziehung von manuell verarbeiteter Daten in die umzusetzen. ¹¹⁸ Datenschutzbestimmungen vollständig So stellt auch die

Verfassungsbestimmung des § 2 Abs 1 DSG klar, dass eine Gesetzgebungskompetenz des Bundes in Angelegenheiten des Schutzes personenbezogener Daten nur bei automationsunterstütztem Datenverkehr besteht.

¹¹² Etwa in § 32 DSG.

¹¹³ Dohr/Pollirer/Weiss, DSG ² , § 1 Anm. 2; Drobesch/Grosinger, Datenschutzgesetz, 98; Duschanek, Neuerungen und offene Fragen im Datenschutzgesetz; ZfV 2000/1303, 529; Duschanek, Datenschutzrecht, 254.

¹¹⁴ RV zum DSG 2000, Erläuterung zu § 1.

¹¹⁵ RV zum DSG 2000, Erläuterung zu § 1.

¹¹⁶ Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl Nr. L 281.

¹¹⁷ Jahnel, Das Datenschutzgesetz 2000. Wichtige Neuerungen, wbl 2000, 50.

¹¹⁸ Rosenmayr-Klemenz, ^{Zum Schutz manuell verarbeiteter Daten durch das DSG 2000, ecolex 2001, 639.} 24/171

II. Grundlagen

Vor dem Hintergrund offener Fragen der Bundesstaatsreform ¹¹⁹ konnte zwischen Bund und Länder keine Einigung bezüglich der Verschiebung der Kompetenzen dahingehend getroffen werden, dass dem Bund auch bei manuell geführten Daten die Gesetzgebungskompetenz zugestanden wird. ¹²⁰ Da es sich beim Datenschutz um eine sogenannte Annexmaterie handelt, kann der einfache Bundesgesetzgeber nur jene Bereiche regeln, in denen manuell geführte Daten für Zwecke angelegt werden, die in die Gesetzgebungskompetenz des Bundes fallen. ¹²¹ Für diese Fälle legt die einfachgesetzliche Bestimmung des § 58 DSG fest, dass diese manuell geführten Dateien als Datenanwendungen gemäß § 4 Z 7 DSG gelten und somit unter die Bestimmungen des DSG fallen.

Bestehen jedoch manuelle Dateien für Zwecke solcher Angelegenheiten, in denen die Zuständigkeit der Gesetzgebung Landessache ist (zB Jagd, Fischerei), so hat der Landesgesetzgeber die Berechtigung datenschutzrechtliche Regelungen diesbezüglich zu erlassen. Aufgrund dieser Kompetenzlage haben auch sämtliche Bundesländer (mit Ausnahme Burgenlands) eigene Landesdatenschutzgesetze erlassen. 122

In § 2 Abs 2 DSG wird die Kompetenz für die Vollziehung dieser Gesetze festgelegt. Demnach vollzieht der Bund die Bundesgesetze. Soweit nicht die Datenschutzkommission, der Datenschutzrat oder Gerichte durch Bundesgesetz mit der Vollziehung betraut sind, haben die Länder die Bundesgesetze zu vollziehen, wenn personenbezogene Daten von einem Land im Bereich der Hoheitsverwaltung oder im Bereich der Privatwirtschaftsverwaltung des Landes entweder selbst oder durch Beauftragte verwendet werden. 123

4. Räumlicher Anwendungsbereich

Grundsätzlich ist nach § 3 Abs 1 DSG auf jede Datenverwendung in Österreich („im Inland“) österreichisches Recht anzuwenden. ¹²⁴ Nach § 3 Abs 1 zweiter Satz leg cit ist das DSG auch dann anzuwenden, wenn Daten in einem anderen Mitgliedstaat der EU für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers verwendet werden. Somit ist der Anwendungsbereich des österreichischen Datenschutzgesetzes sehr weit definiert. Dieser wird jedoch durch die Kollisionsregel des Abs 2 eingeschränkt.

In § 3 Abs 2 DSG wird das Sitzstaatprinzip als Ausnahme vom oben beschriebenen Grundsatz normiert.

¹¹⁹ Duschanek, Datenschutzrecht, in Holoubek/Potacs (Hrsg.), Handbuch des öffentlichen Wirtschaftsrechts, Band I, 247.

¹²⁰ Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 942.

¹²¹ Dohr/Pollirer/Weiss, DSG ² , § 2 Anm. 4; Rosenmayr-Klemenz, manuelle Daten, ecolex 2001, 639.

¹²² Rosenmayr-Klemenz, manuelle Daten, ecolex 2001, 639.

¹²³ Drobesch/Grosinger, Datenschutzgesetz, 104.

^{124 RV zum DSG 2000, Erläuterung zu § 3.} 25/171

II. Grundlagen

Dieses Prinzip wird aufgrund der Dienstleistungsfreiheit der Europäischen Union gerne als Kollisionsregel verwendet. Werden Daten für einen Auftraggeber aus dem EU-Ausland im Inland verarbeitet, ohne dass der Auftraggeber eine feste Betriebsstätte im Inland hat, so ist das Recht des Staates anzuwenden, in dem der Auftraggeber eine solche besitzt. ¹²⁵ Betriebsstätte ist im Sinne der Definition des § 4 Z 15 leg cit („Niederlassung“) zu verstehen. Umgekehrt ist aber auch Österreichisches Recht anzuwenden, wenn für einen österreichischen Auftraggeber im EU-Ausland Daten verwendet werden und der österreichische Auftraggeber in diesem Land keine Niederlassung besitzt. 126

Das Sitzstaatprinzip findet nur bei Auftraggebern mit einer Niederlassung in einem EU-Mitgliedstaat Anwendung. Hat der Auftraggeber seine Niederlassung außerhalb der EU, ist das Recht des Staates anzuwenden, in dem die Datenverwendung stattfindet. ¹²⁷ Auch durch eine Auslagerung außerhalb der EU können die datenschutzrechtlichen Regelungen nicht so einfach umgangen werden, wie es vielleicht den Anschein hat. Der Begriff des Verwendens von Daten umfasst nach § 4 Z 8 DSG das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns von Daten. Sobald Daten in Österreich verwendet werden, ist auch österreichisches Recht anzuwenden. 128

Gemäß § 3 Abs 3 DSG ist auf die Durchfuhr von personenbezogen Daten im Datenverkehr durch Österreich das DSG nicht anzuwenden.

Weder im DSG noch in der RL 95/46/EG ist der Begriff „Durchfuhr“ definiert. Es handelt sich hier zB um Übermittlungen, die nicht vom Inland aus veranlasst werden und auf die vom Inland her auch kein Einfluss genommen wird (etwa Bestimmung des Adressat/oder Auswahl des Inhaltes). ¹²⁹ Eine kurzfristige Speicherung, zB zur Signalverstärkung oder sonstigen technischen Gründen, führt noch nicht dazu, dass der österreichische Provider für diese rein technische Durchfuhr dem DSG unterliegt. 130

In § 3 Abs 4 DSG wird klargestellt, dass die Bestimmungen über den räumlichen Anwendungsbereich zwingend sind und nur dann abweichende Regelungen zulässig sind, sofern es sich um Angelegenheiten handelt, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.

¹²⁵ RV zum DSG 2000, Erläuterung zu § 3.

¹²⁶ Duschanek, Datenschutzrecht, 252

¹²⁷ RV zum DSG 2000, Erläuterung zu § 3.

¹²⁸ Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht ² , 246.

¹²⁹ Drobesch/Grosinger, Datenschutzgesetz, 107.

¹³⁰ Dohr/Pollirer/Weiss, DSG ^{2 , § 3 Anm. 4.} 26/171

II. Grundlagen

5. Definitionen

Die Begriffsbestimmungen sind in § 4 DSG geregelt.

Daten (personenbezogene Daten): „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; `nur indirekt personenbezogene Daten` sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.“ (Z 1) Es handelt sich bei diesen Daten um jegliche Angaben zu einer natürlichen oder juristischen Person. Beispiele sind etwa die Sozialversicherungsnummer, Name, Geburtsdatum und -ort, Adresse, Staatsangehörigkeit, aber auch Angaben über Kenntnisse und Fähigkeiten eines Menschen (zB Leumund, Lebensgewohnheiten, Intelligenzquotient, Bonität); auch Wirtschaftsdaten (zB Umsatz, Gewinn, Beschäftigungszahl) können personenbezogene Daten sein. ¹³¹ Die geforderte Bestimmtheit oder Bestimmbarkeit muss beim Verwender oder einem Dritten vorliegen. Verknüpft man mehrere Angaben, die für sich alleine genommen keine Bestimmbarkeit ermöglichen miteinander, können daraus bestimmbare Daten entstehen. Verknüpft man etwa das Alter, den Wohnort, die Anzahl der Kinder und Beruf, so kann auf eine bestimmte Person Rückschlüsse gezogen werden. ¹³² Neben einer sprachlichen Darstellung eignen sich auch Ton- und Bilddarstellungen (Fotos, Videoaufnahmen einer Überwachungskamera, Mitschnitte von akustischen Aufnahmen, ...) für personenbezogene Daten. Die im Zuge der Terrorismusbekämpfung immer öfter diskutierten sogenannten biometrischen Daten (Fingerabdrücke, Stimmbild oder Iris-Muster) stellen ebenfalls personenbezogene Daten dar. 133

Die Identität des Betroffenen muss entweder bestimmt oder bestimmbar sein. Bestimmt sind Daten dann, wenn sie eindeutig einer Person zugewiesen werden können, während Daten lediglich bestimmbar sind, wenn die Daten verschlüsselt sind, wobei der Schlüssel dazu vorhanden ist und die Daten daher jederzeit entschlüsselt werden können. ¹³⁴ Bei personenbezogenen Daten ist zwischen direkt personenbezogenen Daten, indirekt personenbezogenen Daten und anonymisierten Daten zu unterscheiden. Während letztere keinerlei datenrechtlichem Schutz unterliegen, weil sie ohnehin auf keine bestimmte Person rückführbar sind, genießen indirekt personenbezogene Daten gegenüber direkt personenbezogenen Daten einen vereinfachten Umgang. So wird die Datenverwendung im Inland vereinfacht, die Datenübermittlung und -überlassung im Ausland geschieht

¹³¹ Dohr/Pollirer/Weiss, DSG ² , § 4 Anm. 2; Drobesch/Grosinger, Datenschutzgesetz, 118.

¹³² Drobesch/Grosinger, Datenschutzgesetz, 118.

¹³³ Drobesch/Grosinger, Datenschutzgesetz, 118; Knyrim, Datenschutzrecht, 15.

¹³⁴ Dohr/Pollirer/Weiss, DSG ² , § 4 Anm. 2; Knyrim, ^{Datenschutzrecht, 15.} 27/171

II. Grundlagen

genehmigungsfrei und es bestehen Ausnahmen von der Meldepflicht. Es gibt weiters auch Sonderregelungen in Bezug auf wissenschaftliche Forschung und Statistik mit solchen Daten. ¹³⁵ Indirekt personenbezogene Daten sind grundsätzlich auf eine bestimmte Person rückführbar und daher auch personenbezogen, aber nur für denjenigen, der den dafür notwendigen Schlüssel rechtmäßigerweise besitzt (wobei die Daten für denjenigen dann direkt personenbezogen sind). ¹³⁶ Indirekt personenbezogene Daten zeichnen sich dadurch aus, dass die Identität des durch die personenbezogenen Daten Betroffenen ohne Zuhilfenahme rechtlich unzulässiger Mittel nicht herstellbar ist.

Sensible Daten (besonders schutzwürdige Daten): „Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben.“ (Z 2) Bei dieser Aufzählung handelt es sich um eine taxative, die daher nicht erweitert werden darf. ¹³⁷ Der Gedanke hinter der Einführung der Kategorie der sensiblen Daten liegt in der Gefahr einer diskriminierenden Verwendung. Es besteht kein Unterschied, ob die Daten die sensiblen Informationen unmittelbar oder mittelbar (etwa die Einnahme bestimmter Medikamente, aufgrund dessen man Rückschlüsse auf eine bestimmte Krankheit ziehen kann) zeigen. ¹³⁸ Grundsätzlich ist die Verwendung sensibler Daten unzulässig, wenn in einfachen Gesetzen (etwa in § 9 DSG) nicht anderes bestimmt ist und gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festgelegt werden (§ 1 Abs 2 letzter Satz DSG). 139

Betroffener: „jede vom Auftraggeber verschiedene natürliche oder juristische Person oder

Personengemeinschaft, deren Daten verwendet werden.“ (Z 3)

Dem Betroffenen stehen eine Reihe von Rechten zu (Recht auf Geheimhaltung, Auskunft, Richtigstellung, Löschung und Widerspruch). Mit Personengemeinschaft sind sowohl handelsrechtliche als auch sonstige Personengemeinschaften ohne Rechtspersönlichkeit gemeint. So ist etwa auch eine Wohnungseigentümergemeinschaft als Gesellschaft bürgerlichen Rechts Betroffener im Sinne des DSG. Nicht mehr existierende juristische Personen sowie verstorbene natürliche Personen sind keine Betroffenen und genießen dementsprechend deren Rechte nicht. 140

¹³⁵ Drobesch/Grosinger, Datenschutzgesetz, 118.

¹³⁶ Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 943.

¹³⁷ RV zum DSG 2000, Erläuterung zu § 4.

¹³⁸ Drobesch/Grosinger, Datenschutzgesetz, 118.

¹³⁹ Jahnel, Datenschutzgesetz, wbl 2000, 51.

¹⁴⁰ Drobesch/Grosinger, ^{Datenschutzgesetz, 119,120.} 28/171