Excerpt
Inhalt
Abkürzungsverzeichnis
Verzeichnis abgekürzt zitierter Literatur
I. Einleitung
A) Problemaufriss
B) Begriffsbestimmung
1. Internet allgemein
a) Entwicklung des Internets
b) Struktur des Internets
2. Cookies
a) Begriffsbestimmung
b) Zweck, Anwendungsbereich
3. Web-Logs
a) Begriffsbestimmung
b) Zweck, Anwendungsbereich
4. Location Based Services (LBS)
a) Begriffsbestimmung
b) Zweck, Anwendungsbereich
5. eMail
a) Begriffsbestimmung
b) Zweck, Anwendungsbereich
6. Webbugs
a) Begriffsbestimmung
b) Zweck, Anwendungsbereich
7. Spyware
a) Begriffsbestimmung
b) Zweck, Anwendungsbereich
II. Grundlagen
A) Datenschutzgesetz (DSG)
1. Allgemeines
2. Grundrecht auf Datenschutz
3. Zuständigkeit
4. Räumlicher Anwendungsbereich
5. Definitionen
6. Zulässigkeit der Datenverwendung
a) Grundsätze
b) Zulässigkeit der Verwendung von Daten
c) Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten
d) Schutzwürdige Geheimhaltungsinteressen bei Verwendung von sensiblen Daten
7. Überlassung von Daten
a) Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen
b) Pflichten des Dienstleisters
8. Übermittlung von Daten ins Ausland
a) Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland
b) Genehmigungspflichtige Übermittlungen und Überlassungen von Daten ins Ausland
9. Datensicherheit
a) Datensicherheitsmaßnahmen
b) Datengeheimnis
10. Pflichten des Auftraggebers
a) Informationspflicht des Auftraggebers
b) Pflicht zur Offenlegung der Identität des Auftraggebers
11. Die Rechte des Betroffenen
a) Auskunftsrecht
b) Recht auf Richtigstellung und Löschung
c) Widerspruchsrecht
d) Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener Daten
12. Strafbestimmungen
a) Datenverwendung in Gewinn- oder Schädigungsabsicht
b) Verwaltungsstrafbestimmungen
1. Grundsätzliches
2. Kommunikationsgeheimnis, Datenschutz
a) Allgemeines
b) Kommunikationsgeheimnis
c) Datenschutz - Allgemeines
d) Stammdaten
e) Verkehrsdaten
f) Inhaltsdaten
g) Andere Standortdaten als Verkehrsdaten
III. Cookies
A) Problemstellung
B) Rechtliche Beurteilung
1. Nach dem DSG
2. Nach dem TKG
IV. Web-Logs
A) Problemstellung
B) Rechtliche Beurteilung
1. Nach dem TKG
2. Nach dem DSG
V. Location Based Services (LBS)
A) Problemstellung
B) Rechtliche Beurteilung
VI. eMail
A) Problemstellung
1. eMail-Übertragung vom Absender an den SMTP-Server
a) Externer ISP
b) Arbeitgeber als ISP
aa) Auftraggebereigenschaft des Arbeitgebers
bb) Zulässigkeit der Datenverwendung
2. Mailserver (SMTP-Server) - Zielserver (POP3-Server)
a) Externer ISP
b) Arbeitgeber als ISP
3. Zielserver - Empfänger
VII. Webbugs
A) Problemstellung
B) Rechtliche Beurteilung
1. Nach dem DSG
2. Nach dem TKG
C) Schutzmöglichkeiten
VIII. Spyware
A) Problemstellung
B) Rechtliche Beurteilung
1. Nach dem DSG
2. Nach dem TKG
C) Schutzmöglichkeiten
IX. Zusammenfassung
Literaturliste
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
I. Einleitung
A) Problemaufriss
In den letzten Jahren ist die Zahl derjenigen, die das Internet in Österreich nutzen, sprunghaft angestiegen.
Laut einer Publikation der Statistik Austria mit dem Titel „IKT-Einsatz in Haushalten 2004“ haben 52% aller Österreicher im Alter von 16 bis 74 Jahren das Internet in den letzten drei Monaten vor dem Befragungszeitpunkt (Befragungszeitpunkt: April bis Mai 2004) genutzt. Im Vergleichszeitraum des Vorjahres (erstes Quartal 2003) lag der entsprechende Prozentsatz bei 41% und im zweiten Quartal 2002 bei 37%.[1]
Gründe für diese Entwicklung sind zweifellos in den vielzähligen Nutzungsmöglichkeiten zu finden. Neben dem Informationszugang sind eMail-Dienste, der eCommerce und das eGovernment zu nennen.
Nach der obengenannten Publikation war die beliebteste Art der Internetnutzung die Verwendung von eMail. 87% der Internetnutzer im Alter von 16 bis 74 Jahren bedienten sich dieser Form der Kommunikation. Der Anteil der Internetnutzer, die das Internet zur Informationssuche von Waren und Dienstleistungen verwendet haben, lag bei 69%. 35% der User haben das Internet in den letzten drei Monaten vor dem Befragungszeitpunkt für Internet-Banking verwendet. Das Internet wird auch zum Suchen von Informationen über Reisen und Unterkünfte genutzt. 28% der Internetnutzer nutzen das Internet zu diesem Zweck. In den letzten drei Monaten vor dem Befragungszeitpunkt haben 41% der Internetnutzer im Alter von 16 bis 74 Jahren das Internet für eGovernment-Angebote verwendet.[2]
Durch die schier unüberschaubare Anzahl an Internetnutzungen der User kommt es auch zu einer Unmenge von Datenverarbeitungen, die rechtlich zu beurteilen sind. Hierbei ist sich der durchschnittliche User gar nicht bewusst, dass es nahezu unmöglich ist, seine Internet-Aktivitäten ohne sichtbaren Spuren durchzuführen. Diese stellen sich zB in kleinen Datenpaketen (zB Cookies, Web-Logs) dar, welche entweder auf dem Rechner des Users oder auf einem Server gespeichert werden. Auch kommt es vor, dass spezielle Programme (zB Webbugs, Spyware) im Internet, gegenüber dem User verborgen, gerade aus dem Grund geschaffen wurden, um solche und andere Daten zu sammeln und auszuwerten.
Wie aus der obengenannten Publikation hervorgeht, ist der beliebteste Dienst im Internet der Versand von eMails. Dem Nutzer ist hier jedoch nicht bewusst, dass er beim Versenden von eMails eine Fülle von personenbezogenen Daten preisgibt, damit seine Nachrichten vom Empfänger empfangen werden können.
Mit dieser Arbeit werde ich versuchen, datenschutzrechtlich bedenkliche Vorgänge, wie die Abspeicherung von Cookies auf dem User-Rechner, das Einsetzen von Web-Logs, Webbugs und Spyware aber auch das Versenden von eMails sowie die Aufzeichnung von Daten bei der Verwendung von Telekommunikationseinrichtungen, wie etwa Location Based Services (LBS) zu untersuchen und auf ihre Gesetzeskonformität zu prüfen.
B) Begriffsbestimmung
1. Internet allgemein
a) Entwicklung des Internets
Bereits in den 1960er Jahren, gerade als der kalte Krieg seinen Höhepunkt erreicht hatte[3], entstanden die Wurzeln des heutigen sogenannten „Internet“. In den USA suchte man nach einer Möglichkeit, wie die einzelnen Verwaltungseinheiten im Falle eines feindlichen Militärschlages weiterhin miteinander kommunizieren könnten. Es entstand die Idee sämtliche Regierungsstellen und Militärbasen in einem Netzwerk miteinander zu verbinden. Dieses Netzwerk konnte aber nur dann seinen Zweck erfüllen, wenn es unabhängig von Teilausfällen bzw. militärischen Angriffen weiter funktionstüchtig blieb. Ein Netzwerk mit einer zentralen Leitung konnte diesen Zweck nicht erfüllen, weshalb ein dezentrales Netzwerk errichtet wurde, bei dem die einzelnen Rechner miteinander verbunden wurden. Somit bestand das Netzwerk aus vielen „kleinen“ Leitungen.[4]
Will nun ein Standort A mit Standort B kommunizieren, sendet der Standort A das Datenpaket über verschiedene Standorte (C,D,E,...), wobei jeder einzelne Standort dieses Datenpaket an den jeweiligen nächsten Standort (ungelesen) weiterleitet, bis die gesendeten Daten bei Standort B empfangen werden. Stellt sich nunmehr das Problem, dass die Leitung zwischen zwei Standorten - aus welchem Grund auch immer - ausgefallen ist, wird das Datenpaket über eine andere, intakte Leitung zu einem anderen Standort gesendet, bis die Daten am Zielstandort angelangt sind. Diese Vorgangsweise führte dazu, dass sich dieses Netzwerk als sehr ausfalls- und angriffssicher darstellte und daher der ursprünglichen Zielsetzung entsprach.[5]
Es stellte sich nunmehr jedoch das Problem, dass sämtliche Nachrichten mit Informationen über den Zielstandort versehen werden mussten, damit die weiterleitenden Standorte auch in der Lage waren zu wissen, zu welcher Adresse die Nachricht gelangen sollte. Es war auch notwendig, den Weg der Nachricht flexibel zu beeinflussen, da mögliche Ausfälle von Leitungen auch eine divergierende Route der Nachricht nötig machen würde. Daher wurde die gesamte Nachricht in kleine Pakete unterteilt und mit der Adresse des Zielstandortes versehen. Auch wurden sämtliche Standorte des Netzwerkes mit eigenen Adressen ausgestattet. Daher war es den weiterleitenden Standorten möglich die jeweiligen Datenpakete in die entsprechende Richtung weiterzuleiten.[6]
Das erste derartige Netz wurde 1969[7] von der Advanced Research Project Agency (ARPA), dem Forschungsbereich des amerikanischen Verteidigungsministeriums[8], entwickelt und unter dem Namen ARPANET bekannt.[9] Neben der militärischen, wurde auch die wissenschaftliche Nutzbarkeit erkannt, sodass sich in den 1970er Jahren immer mehr Universitäten und Forschungszentren an das ARPANET anschlossen.[10] Aufgrund der vereinfachten Möglichkeit der Kommunikation (eMail) konnten gemeinsame wissenschaftliche Projekte leichter durchgeführt werden, aber auch der wissenschaftliche Informationsaustausch wurde durch diese Netzwerkverbindung vereinfacht.[11] Dieses Netz war auch nicht durch Landesgrenzen beschränkt, sodass internationale Verbindungen, etwa nach England und Norwegen errichtet wurden. Unabhängig vom Aufbau des ARPANETs wurden ähnliche Netzwerke zwischen Universitäten errichtet, aber es sind auch kommerzielle Netzwerke zum Informationsaustausch entstanden.[12] Nicht zuletzt aufgrund der Vielzahl der nunmehr vorhandenen Netzwerke, verlor das ARPANET Ende der 1970er Jahre an Bedeutung, da viele der Universitäten, welche am ARPANET beteiligt waren, ihre eigenen Forschungsnetze gründeten.[13]
Der militärische Teil des ARPANET wurde zu Beginn der 1980er Jahre in das MILNET ausgelagert[14], und es entstanden das CSNET und das BITNET. Diese Netzwerke waren zwar voneinander unabhängig, es gab jedoch spezielle Verbindungen um Nachrichten auch zwischen den einzelnen Netzwerken austauschen zu können.[15]
Während das ARPANET die Kommunikation ursprünglich mit Hilfe des Network Control Protocols (NCP) durchführte, setzte sich nunmehr das TCP/IP (Transmission Control Protocol/Internet Protocol) vollständig durch.[16] Das TCP/IP wurde 1982 im ARPANET Standard und ist es bis heute geblieben. Mit Hilfe des TCP/IP Standards war es nun gelungen netzwerkübergreifend zu arbeiten bzw. einen Zusammenschluss der unabhängig voneinander operierenden Netzwerke herbeizuführen, was die Geburtsstunde des Internet bedeutete.[17]
Wie bereits zuvor erwähnt, war es auch schon vor der Einführung des TCP/IP möglich Daten an die unterschiedlichen Netzwerke weiterzuleiten. Dies funktionierte über gemeinsam genutzte Knotenrechner (Gateways). Nunmehr wurde aber eine einheitliche Methode festgelegt.[18] Es wurden mithilfe des TCP/IP alle Parameter festgelegt, die Grundvoraussetzung für eine vollständige und fehlerfreie Datenübertragung zwischen den einzelnen Netzwerken sind.[19] Der große Vorteil an dieser netzwerkübergreifenden Verbindungsmöglichkeit war, dass sämtliche Netzwerke in ihrem Aufbau und ihrer Funktion unberührt blieben, sodass für den einzelnen Nutzer keinerlei Veränderungen in seiner Arbeitsweise notwendig wurden. Er konnte sämtliche Software genauso weiterbenützen wie zuvor und musste sich nicht mit einem neuen Aufbau und verschiedenen Darstellungen auseinandersetzen. Dies war wohl auch der ausschlaggebende Grund, warum sich viele Netzwerke am Internet anschlossen.[20]
Ein weiterer wichtiger Bestandteil in der Entwicklung des Internets stellte die Gründung des „National Science Foundation Network“ (NSFNET) durch die National Science Foundation (NSF) in den USA dar, welches von der US-Regierung finanziert wurde und auf deren Betreiben verschiedene Hauptstränge (Backbones) für das Internet errichtet wurden, um ihre sechs Superrechenzentren in San Diego, Boulder, Champain, Pittsburgh, Ithaca und Princeton anzuschließen[21] und somit die Datenübertragung im gesamten Internet erleichterte.[22]
Parallel zum NSFNET entstanden auch in Europa vergleichbare Netze (EBONE, EuropaNET), wodurch zahlreiche Städte in Europa miteinander verbunden wurden.[23]
Aufgrund der verbesserten Infrastruktur und der fortwährenden Selbständigkeit wurde die Zahl der wissenschaftlichen und staatlichen Einrichtungen, die sich dem Internet anschlossen, immer größer.[24] Diese Entwicklung wurde auch durch die Schließung des ARPANET nicht gebremst, sondern vielmehr erkannten nun auch kommerzielle Netzwerkbetreiber die Möglichkeiten des Internet und schlossen sich diesem an.[25] 1995 wurden die Subventionen der US-Regierung für das Internet beendet und dieses privatisiert.[26]
Die Popularität und der Wachstumsprozess des Internets wurde aber vor allem durch die Einführung des einfach zu bedienenden Informationssystems World Wide Web (WWW) ermöglicht. Musste man vor Einführung des WWW mit der Materie sehr gut vertraut gewesen sein, um im Internet arbeiten zu können, war es nunmehr aufgrund der Einfachheit der Bedienung auch einem Laien möglich, Vorteile aus dem Internet zu ziehen. Sowohl Unternehmer als auch Privatpersonen haben die Möglichkeiten des Internets erkannt, sodass die kommerzielle Nutzung des Internets immer bedeutungsvoller wurden.[27]
b) Struktur des Internets
Beim Internet (Interconnected Network) handelt es sich um ein Netz zu Kommunikationszwecken, welches aus einem Verbund sämtlicher Computernetzwerke und Rechnern besteht, die mit Hilfe eines weltweit einheitlichen Protokolls miteinander kommunizieren.[28]
Grundlegendes Merkmal des Internets ist die fehlende Zentralität und Einheitlichkeit der Organisationsstruktur. Vielmehr sind die einzelnen Netzwerke und Rechner nicht hierarchisch aufgebaut, sondern haben eine gleichrangige Stellung[29], wodurch in dieses auch nicht leitend durch eine Stelle eingegriffen werden kann.[30] Aufgrund des gemeinsamen Standards der Datenübertragung - wie bereits erwähnt das TCP/IP - ist ein Unterschied in der Rechnerarchitektur, Betriebssoftware oder sonstigen Netzwerkvoraussetzungen bei der Datenübertragung ohne Bedeutung.[31] Das TCP/IP Referenzmodell funktioniert dahingehend, dass gemäß dem TCP die zu übertragenden Daten in kleinere Einheiten unterteilt werden[32], wobei die einzelnen Teile mit einer Absender- und einer Zieladresse ausgestattet werden und jeder Teil eine Sequenznummer erhält, damit diese auch wieder richtig beim Empfänger zusammengesetzt werden können.[33] Mit Hilfe des Internet Protocols (IP) können die einzelnen Einheiten über die verschiedenen Standorte (aber auch verschiedenen Netzwerke) ihren jeweiligen Zielstandort erreichen[34], wobei zwischen den beiden kommunizierenden Standorten keine dauernde Verbindung aufgebaut wird, sondern die jeweiligen Datenpakete der gleichen Nachricht sich frei im Netz bewegen und von Standort zu Standort weitergeschickt werden. Hierbei können die jeweiligen Datenpakete auch durchwegs unterschiedliche Wege einschlagen und auch zu unterschiedlichen Zeitpunkten beim Zielstandort ankommen. Diese Datenpakete werden dann aufgrund ihrer Sequenznummer wieder in der richtigen Reihenfolge zusammengesetzt.[35]
Dieses System der Datenübertragung kann aber lediglich dann effektiv funktionieren, wenn die jeweiligen Standorte (bzw Rechner) auch zweifelsfrei bestimmbar sind. Diese Identifikation wird durch die Vergabe einer eindeutigen Adresse ermöglicht. Im TCP/IP stellt sich diese IP-Adresse (Internet Protocol Adresse) aus vier durch Punkte getrennte Zahlen, welche zwischen 0 und 255 liegen können, dar (zB 2.255.13.147). Bei der Zuteilung der IP-Adressen muss zwischen statischen und dynamischen IP-Adressen unterschieden werden. Bei ersteren wird einem Rechner immer dieselbe IP-Adresse zugeteilt (etwa bei ADSL-Leitungen), während bei zweiteren an den Rechner bei jeder Anmeldung beim Provider eine neue IP-Adresse vergeben wird. So wird es selten vorkommen, dass einem Nutzer bei zwei aufeinanderfolgenden Sitzungen dieselbe IP-Adresse zugeteilt wird. Die Vergabe von dynamischen IP-Adressen entspricht einer ökonomischen Nutzung vorhandener IP-Adressen.[36]
Die numerische Darstellungsweise der IP-Adressen ist aber nicht gerade benutzerfreundlich, da die Zahlenblöcke nicht einprägsam sind. Daher wurde das Domain Name System (DNS) eingeführt, bei dem sprachliche Begriffe (eventuell gemischt mit Zahlen) die Adresse bestimmen (zB www.car4you.at).[37] Neben der größeren Benutzerfreundlichkeit zeichnet sich dieses System auch dadurch aus, dass nunmehr die Möglichkeit besteht, eine Marke, eine Firma oder einen Namen mit dem Inhalt einer Internetseite zu verbinden, was vor allem für Unternehmen und Dienstleister vorteilhaft ist, da die von ihnen im Internet zur Verfügung gestellten Informationen leichter gefunden werden können.[38] Die eindeutige Identifizierbarkeit wird dadurch gewährleistet, dass jeder Domain Name nur einmal vergeben werden kann.[39]
2. Cookies
a) Begriffsbestimmung
Cookies sind Textinformationen, die auf Anforderung eines Web-Servers durch den Internetbrowser auf der Festplatte des Clients (Internetnutzers) abgespeichert werden. Wird nun später die gleiche Web-Site oder eine Site der gleichen Domain erneut aufgerufen, so schickt der Browser die im Cookie enthaltene Textinformation an den Web-Server zurück. Der Web-Server ist jedoch lediglich in der Lage ihm bereits bekannte Informationen im Cookie abzuspeichern, sodass auch nur solche Informationen vom Browser an ihn zurückgesandt werden.[40]
Der Vorgang des Anlegens und Auslesens von Cookies erfolgt folgendermaßen: Der Web-Server, der die Web-Site für den Benutzer zur Verfügung stellt, empfängt die Daten des Nutzers bei dessen erstmaligem Besuch auf der Web-Site. Der Web-Server sendet diese Daten nun an den Browser des Nutzers, der diese Information in Form einer kleinen Textdatei auf dem Rechner des Nutzers abspeichert. An welcher Stelle dies auf dem Rechner geschieht, hängt vom verwendeten Browser (zB Netscape Navigator, Microsoft Internet Explorer, Mozilla Firefox, ...) ab. Dieser Vorgang wiederholt sich für jede Web-Site, die der Nutzer besucht. Daher entstehen beim Surfen im Internet eine Vielzahl von Cookies, die alle auf dem Rechner des Nutzers abgespeichert werden. Wird eine Web-Site später wieder einmal aufgesucht, wird das Cookie über den Browser an den betreffenden Web-Server zurückgereicht. Dieser wertet die Informationen aus, verändert diese gegebenenfalls und sendet sie zurück an den Browser, der die Textdatei wiederum auf dem Rechner des Nutzers speichert.[41]
Nach einer weiteren Definition handelt es sich bei Cookies um eine Art Cache-Speicher, durch den eine bestimmte Anzahl von Informationen gespeichert wird, aufgrund derer der Web-Server einen User wiedererkennen kann.[42]
Cookies können laut Festlegung lediglich von der Domain gelesen werden, auf deren Anforderung hin das Cookie auf der Festplatte des Nutzers gesetzt wurde. Diese Einschränkung kann jedoch technisch umgangen werden, sodass auch andere als die besuchte Domain die Möglichkeit haben, Cookies über den Browser auf die Festplatte des Nutzers zu setzen. Man spricht in diesen Fällen von Cookies von Drittanbietern.[43]
Bei den gängigen Internet-Browsern (Microsoft Internet Explorer, Netscape Navigator) besteht die Möglichkeit das Abspeichern von Cookies zu deaktivieren, was aber für das reibungslose Surfen eine starke Beeinträchtigung mit sich bringt, da viele Internetseiten nur dann ordnungsgemäß aufgebaut werden können, wenn man das Abspeichern von Cookies zulässt. Eine weitere Einstellungsmöglichkeit besteht darin, dass man vor jedem Abspeichern von Cookies gefragt wird, ob man dies auch wirklich will. Bei dieser Option wird man das Surfen aber auch kaum genießen können, da man sich aufgrund der vielen Anfragen nicht mehr auf die Informationssuche im Internet konzentrieren kann.
b) Zweck, Anwendungsbereich
Der technische Hintergrund für das Setzen von Cookies besteht darin, dass durch das im WWW verwendete HTTP (HyperTextTransferProtokoll) keine Verbindung zwischen dem Web-Server und dem Clientrechner (User) besteht, die über die Übertragungen von Daten hinausgeht. Sämtliche Übertragungen sind von den vorhergehenden Übertragungen vollkommen unabhängig. Dies schlägt sich oftmals als Problem nieder, vor allem bei an sich zusammengehörenden Vorgängen wie etwa beim eCommerce. Die Erfindung der Cookies diente dazu, dass mit ihrer Hilfe zwischen dem Web-Server und dem Rechner des Nutzers eine Informationsaustausch stattfinden kann, welcher eine logische Sitzung und Identifizierung des Nutzers (Clients) ermöglicht.[44]
Anwendungsfelder für Cookies sind weit gestreut, so können etwa Benutzerkennwörter in Cookies gespeichert werden. Dies dient vor allem dazu, damit die Anmeldung nicht vergessen wird, wenn von einer Web-Site auf eine andere gewechselt wird. Des weiteren werden Cookies beim eCommerce verwendet, indem etwa der Einkaufswagen der letzten Session oder der Name und die Adresse des Users gespeichert werden. Cookies werden auch verwendet, um das Datum des ersten und letzten Aufrufs der Internetseite anzuzeigen. Suchmaschinen können ebenfalls durch die Verwendung von Cookies personalisiert werden.[45]
Auch die meisten Counter verwenden Cookies um zu verhindern, dass jeder erneute Aufruf der Web-Site durch denselben Nutzer mitgezählt wird, wenn dieser etwa den „Aktualisieren“- Knopf betätigt. Somit wird durch die Verwendung von Cookies eine Reload-Sperre ermöglicht.[46]
Wie zuvor bereits erwähnt, werden Cookies also hauptsächlich dazu verwendet, Benutzerkennungen (User-ID´s) zu speichern. Cookies enthalten Informationen, mit denen der Server die persönlichen Voreinstellungen des Nutzers bei seinem nächsten Besuch auf der Homepage abfragen, wiederherstellen und ihn so wiedererkennen kann. Dadurch wird es überflüssig, sich bei jedem weiteren Besuch auf dieser Internetseite erneut durch die Einstellungen zu „kämpfen“. Somit kann der Anwender wiedererkannt werden, auch wenn er die Web-Site vor langer Zeit unter einer anderen IP-Adresse besucht hat.
Cookies dienen allgemein der leichteren und besseren Nutzung des Internets, so können etwa mithilfe von Cookies die vom User getroffenen Einstellungen auf einer Web-Site für den nächsten Besuch derselben Site gespeichert und somit übernommen werden.[47]
3. Web-Logs
a) Begriffsbestimmung
Neben dem hier zu betrachtenden Phänomen der Web-Logs im Sinne eines Zugriffsprotokolls, bezeichnet der Begriff Web-Log (auch Blog) zusätzlich eine Art „Onlinetagebuch“, bei dem die Verfasser ihre Surfaktivitäten, aber auch ihre „offline“-Aktivitäten für andere auf ihren Homepages zugänglich machen.[48] Diese „Onlinetagebücher“ sollen aber in dieser Arbeit nicht weiter behandelt werden, womit der Begriff „Web-Log“ im Sinne eines Zugriffsprotokolls nun einer näheren Betrachtung zugeführt werden soll.
Wird im Internet eine Ressource, wie zB eine HTML-Seite abgefragt, so verbindet sich der Browser mit dem jeweils angegebenen Web-Server und verlangt diese explizit. Bei jedem dieser Aufrufe (sog. ‚Hits’) protokolliert der Web-Server diese in der sogenannten Log-Datei.
Unter Logfile wird eine Datei verstanden, in der Daten protokolliert werden, die bei bestimmten Aktivitäten des Rechners anfallen. Der Zweck dieser Logfiles besteht darin, dass gewisse Geschehnisse nachvollzogen werden können, wie zB Installationsvorgänge, Veränderungen von Daten oder auch Zugriffe auf einen Server.[49]
Es handelt sich dabei um eine Aufzeichnung über Zustände, Ereignisse oder Zugriffe.
Web-Logs sind Zugriffsprotokolle, die den Aufruf aller Dateien an einen Internet-Server festhalten. Greift ein Anwender auf eine Datei auf dem Server zu, so wird dies in einer Log-Datei verzeichnet.[50]
Das Speichern der Logfiles erfolgt in einer standardisierten Form, nämlich dem Common Logfile Format (CLF).[51]
Hier sollen zwei typische Einträge eines Web-Logs[52] angezeigt werden:
183.121.143.432 - - [18/Mar/2003:08:04:22 +0200] "GET /images/logo.jpg HTTP/1.1" 200 512 "http://www.wikipedia.org/"
183.121.143.432 - - [18/Mar/2003:08:05:03 +0200] "GET /images/bild.png HTTP/1.1" 200 805 "http://www.google.org/"
Teilbereiche eines Eintrages:
Wer? - 183.121.143.432 - anfordernde Host-Adresse
Wann? - [18/Mar/2003:08:04:22 +0200] - Zeitstempel (Datum, Uhrzeit, Zeitverschiebung)
Was? - "GET /images/logo.jpg HTTP/1.1" - Anforderung, eines Bildes, Übertragungsprotokoll
Ok? - 200 - Statusnummer (200=Erfolgreiche Anfrage)
Wieviel? - 512 - Menge der gesendeten Daten (Byte)
Woher? - "http://www.wikipedia.org/" - Von welcher Internetseite wird angefordert[53]
In dieser Log-Datei befinden sich Informationen über den User (die IP oder URL), Datum und Zeit des Zugriffs, auf welche Datei der Nutzer zugreift, deren Umfang, die übermittelte Datenmenge sowie den Status. Weitere Inhalte können Daten über die URL, von der der Aufruf kommt oder welchen Agent (d.h. welches Betriebssystem und Browser) der Zugreifende verwendet, sein.[54] Darüber hinaus werden in solchen Web-Logs auch die Anfrage im Volltext aber auch der Username, wenn etwa eine Passwortabfrage stattgefunden hat, mitgespeichert.[55]
b) Zweck, Anwendungsbereich
Zweck dieser Web-Logs sind die Optimierung des Systems hinsichtlich der Software und Hardware, aber auch die Fehlererkennung bezüglich Software und Hardware, Sicherheitsrisiken und Verfügbarkeit der Infrastruktur. Die Erfassung der Besucheranzahl auf einer Web-Site stellt eine weitere Möglichkeit dar.
4. Location Based Services (LBS)
a) Begriffsbestimmung
Bereits 82 % aller Österreicher nutzen die Möglichkeit mobil zu telefonieren. Um diesen Dienst anbieten zu können, bedarf es der Ortung des Endgeräts als unumgängliche Voraussetzung. Die Ermittlung der Position des Mobiltelefon-Users dient also vorwiegend zum Verbindungsaufbau und zur Abwicklung des Mobilfunkgesprächs. Neben diesem Zweck bietet es sich aber auch an, diese Ortung für sogenannte standortbezogene Dienste (Location Based Services) heranzuziehen.[56]
Die Ortung des Endgerätes kann auf verschiedene Arten erfolgen.
Ein Mobilfunknetz besteht aus verschiedenen geografisch geordneten Gebieten, welche jeweils durch einen Mobil-Funksender abgedeckt wird. Diese Gebiete werden als sogenannte Mobilfunk-Zellen bezeichnet. Jedes aktivierte Mobiltelefon sendet ständig Signale, welche dem Mobilfunknetz mitteilen, in welcher Zelle sich das Endgerät befindet. Ohne diese Information wäre es nicht möglich Anrufe an das Mobiltelefon weiterzuleiten. Neben dieser Funktion können die ständigen Signale des Handys auch zur Lokalisierung verwendet werden, wobei die Messgenauigkeit von mehreren Faktoren, wie etwa von der Qualität des Mobilfunknetzes, baulichen Barrieren (Mauern, Keller, etc ...) oder anderen Störfaktoren abhängt. Derzeit kann bei GSM eine Genauigkeit von 200-500 Meter erreicht werden, wobei bei UMTS dies auf bis zu 25 Meter reduziert wird.[57]
Durch technische Verfahren wie T-DOA (Time Difference of Arrival) oder E-OTD (Enhanced Observed Time Difference) kann die Berechnung der Laufzeitunterschiede eines Signals zwischen dem Mobiltelefon und mehreren Basisstationen zu noch exakteren Angaben führen.[58]
Eine andere Möglichkeit der Ortung des Mobiltelefons erfolgt über das Global Positioning System (GPS). Bei den Handys der neueren Generation ist es der Regelfall, dass diese mit einem GPS-Satellitenempfänger versehen sind. Dieser verarbeitet Signale von bestimmten Satelliten und ist dadurch in der Lage seine Position zu bestimmen. Die Messgenauigkeit liegt hier bei ca. 20 Meter, allerdings funktioniert diese Technik innerhalb von Gebäuden eher schlecht. Im Gegensatz zur zuvor vorgestellten Methode sendet der GPS-Empfänger allerdings keine Signale.[59]
Unter Location Based Services (LBS) versteht man nach Lechner[60] einen Dienst der Informationsgesellschaft, dessen wesentliche Eigenschaft darin besteht, Informationen abhängig von der Position des Benutzers zu liefern.
Kassai[61] definiert LBS als Dienste, die ortsbezogene Informationen anhand des aktuellen Standorts eines Benutzers von mobilen Endgeräten bereitstellen. Für die Bereitstellung solcher Dienste sind daher drei Voraussetzungen zu realisieren: die Bestimmung des Standorts eines Benutzers, die Generierung eines Mehrwertdienstes auf Grundlage dieses Standorts und die Bereitstellung dieses Mehrwertdienstes.
Die LBS setzen sich aus drei Komponenten zusammen, einem Server, auf dem sich die Datenbank, die die Informationen beinhaltet (dabei handelt es sich meist um eine Geodatenbank, weil ortsbezogene Daten benötigt werden), befindet, einem Client in Form eines Endgerätes (etwa Laptop, PDA oder Mobiltelefon) und einem Übertragungsweg, größtenteils das Internet, über den der Server mit dem Client verbunden ist.[62]
Der Workflow eines LBS läuft meist folgendermaßen ab:
Positionierung (etwa durch GPS oder Funkzellenortung)
Anfrage des Clients an den Server
Weiterleitung der Anfrage über eine Web-Server Schnittstelle
Verarbeitung der Anfrage im Web-Map-Server (WMS)
Zugriff auf die Datenbank
Abgabe des Ergebnisses des Zugriffs von der Datenbank an den WMS
Erzeugung einer Karte bzw. von Sachdaten als Reaktion auf die Antwort der Datenbank
Abgabe der Karte an den Web-Server über eine Schnittstelle
Versand der Karte an den Browser
Graphische Darstellung auf dem Endgerät des Benutzers[63]
Abbildung in dieser Leseprobe nicht enthalten
b) Zweck, Anwendungsbereich
Location Based Services können für mehrere Anwendungsgebiete eingesetzt werden. So hat der User die Möglichkeit gegen Bezahlung Informationen zu erhalten, die sich vor allem auf seinen Aufenthaltsort beziehen.
Die wichtigsten Anwendungsbereiche hierbei sind das Finden der nächstgelegenen Point-of-Interests, wie etwa die nächste Autowerkstatt, die nächste Tankstelle, das nächste Restaurant, den nächsten Bankomat, die nächstgelegene Sehenswürdigkeit oder das nächstgelegene Hotel. Weiters können Informationen über die Verkehrslage, sowie Wegbeschreibungen mittels LBS übermittelt werden. Eine weitere interessante Möglichkeit der LBS stellt die „Find a friend“-Funktion dar, mittels der die Standorte bestimmter Personen angezeigt werden können.[64]
In der Zukunft wird vor allem für Unternehmen das Location Based Advertising interessant werden. So soll der Handy-Nutzer abhängig vom Ort, an dem er sich befindet, Werbung auf sein Mobiltelefon erhalten. So wird etwa, wenn er gerade an einem Geschäft vorbeigeht, ein spezielles Angebot dieses Geschäftes auf seinem Mobiltelefon angezeigt.[65]
Auch das Location Sensitive Billing wird in Zukunft für Mobilfunk-Betreiber von Interesse sein. Bei diesem Angebot ermöglicht der Mobilfunk-Betreiber dem Handy-Nutzer an einem bestimmten Ort billiger zu telefonieren. Dies wäre etwa dann interessant, wenn ein Sponsor sämtliche Gesprächsgebühren bei einer bestimmten Veranstaltung (zB Clubbing, Messe) zahlen würde.[66] In der Geschäftspraxis gibt es etwa ein Angebot der VIAG Interkom bei dem der Kunde, mit dem Mobiltelefon zu Hause und in einem Umkreis von einigen Hundert Metern zum Festnetztarif telefonieren kann.
Eine weitere Einsatzmöglichkeit von LBS liegt bei Notfalldiensten. In den USA hat die Federal Communications Commission (FCC) entschieden, dass sämtliche Mobiltelefone, im Falle eines Notrufes lokalisierbar sein müssen. Dies soll die Identifizierung von Betroffenen bei Katastrophen erleichtern.[67]
Weitere Einsatzbereiche bestehen bei der Verfolgung von Fracht, Fahrzeugen sowie bei der Maut oder der Kontrolle von Straftätern („elektronische Fußfessel“).[68]
5. eMail
a) Begriffsbestimmung
Bei dem Begriff eMail handelt es sich um die Abkürzung des englischen Wortes electronic mail, was ins Deutsche übersetzt elektronische Post bedeutet. Gemeint ist dabei ein Dienst in Computernetzwerken. Hier ist vor allem das Internet zu nennen, mit dessen Hilfe es möglich ist, auf elektronischem Weg, Nachrichten zwischen einem Sender und einem Empfänger oder auch mehreren Empfängern auszutauschen.[69]
Prinzipiell funktioniert der Austausch von Nachrichten folgendermaßen[70]:
Der Absender erstellt die zu sendende Nachricht mit Hilfe eines eMail-Programms (zB Microsoft Outlook) auf seinem Arbeitsplatzrechner. Diese Nachricht wird vom Absender mit diesem Mail-Programm an einen Mail-Server gesandt. Es handelt sich hierbei um einen SMTP-Server (SimpleMailTransferProtocol[71] -Server), welcher sich in der Regel bei einem Internet-Service-Provider (ISP) befindet. Größere Unternehmen verfügen mitunter jedoch über einen eigenen Mailserver.
Dieser Mailserver schickt die Nachricht an den Server der Zieladresse (Zielserver, POP3[72] -Server), welcher sich wiederum in der Regel bei einem ISP befinden wird, jedoch auch in einem Unternehmen selbst gelegen sein kann. Dieser Server wiederum legt die Nachricht in die betreffende Mailbox des Empfängers, wo sie für ihn bis zu ihrer Abholung durch den Empfänger bereitgehalten wird. Diese Bereitstellung dauert je nach Servereinstellung unterschiedlich lange, jedoch längstens bis der Empfänger die Nachricht auf seinen Arbeitsplatzrechner herunterlädt und sie gegebenenfalls dort speichert.
Damit die eMail an den richtigen Adressaten gelangt, bedarf es einer spezifischen Adressierung. Eine eMail-Adresse hat folgenden Aufbau:
benutzer@domain
Unter Benutzer versteht man jene Bezeichnung, die den Adressaten in einer domain eindeutig bezeichnet (zB max.mustermann@domain).
Mit domain wird die Domain verstanden, in der sich der Empfänger befindet, wobei die Syntax des Domain Name Systems (DNS) verwendet wird (zB max.mustermann@gmx.at).[73]
Als Alternative zum Herunterladen der eMail auf den eigenen Rechner, gibt es die Einrichtung des sogenannten Webmails. Ein Vorteil dieser Variante besteht darin, dass die Nachricht auf dem Großrechner des Servers verbleibt und dort angesehen und bearbeitet werden kann und somit die Gefahr schädliche (zB virenverseuchte) Attachments auf den eigenen Rechner herunterzuladen hintangehalten wird.
b) Zweck, Anwendungsbereich
Die eMail dient zum Nachrichtenaustausch auf elektronischem Weg. Durch diesen Dienst wird es den Nutzern ermöglicht, relativ kostengünstig auch über große Entfernungen Nachrichten zu versenden. Voraussetzung dafür ist ein Eingabegerät (PC, Mobiltelefon, PDA ...) und ein Zugang zu einem Netzwerk (Internet, Firmennetzwerk, LAN, ...). Diese einfache Möglichkeit Informationen auszutauschen, hat sich nicht nur zu privaten Zwecken, sondern auch in der Geschäftswelt durchgesetzt. Zudem können nicht nur reine Textnachrichten, sondern auch Bilder, Musikfiles und auch Programme (diese werden als Attachment an die Textnachricht angefügt) auf diese Weise versendet werden.
6. Webbugs
a) Begriffsbestimmung
Webbugs können auch unter anderslautenden Namen, wie etwa „Clear-GIFs“[74], „Invisible GIF“, „1-by-1 GIF“, „Beacon GIF“ oder „Tracker GIF“, auftreten.[75]
Bei diesen Webbugs handelt es sich um kleine Grafiken, welche meist im GIF-Format[76] vorliegen, wobei dieser Umstand nicht Voraussetzung für die Einordnung als Webbug ist. Diese Grafiken befinden sich entweder auf einer Web-Site, in einem HTML-Dokument oder in einem eMail und werden von einem externen Server automatisch geladen und dienen zur Verfolgung der User.[77]
In der Regel handelt es sich bei Webbugs um 1x1 große Pixel, wobei auch normal große Werbebanner die Funktion dieser „Wanzen“ erfüllen können. Des weiteren sind sie durchsichtig und lesen bzw setzen Cookies.[78] Werden solche Grafiken nun durch das Ansurfen einer Web-Site, die solche Webbugs unterstützt, aufgerufen, erhält der Webbug-Server die gleichen Informationen, wie etwa bei Cookies oder Web-Logs, nämlich die IP-Adresse, der Referer und das Datum des Zugriffs.[79]
Die bisherigen Ausführungen beziehen sich allerdings auf klassische Webbugs, welche sich von aktiven Webbugs dahingehend unterscheiden, dass bei letzteren zusätzlich Java bzw Javascript verwendet wird. Die Zusammenstellung der URL, mit dem das Bild (Webbug) geladen wird, erfolgt dynamisch, wodurch zusätzliche Informationen, etwa über die Bildschirmauflösung, Browser- und Java-Version, Farbtiefe und Betriebssystem erlangt werden können, die an den Webbug-Server weitergeleitet werden. Solche aktiven Webbugs können auch vom angewählten Webserver verwendet werden.[80]
Nicht jedes kleine, transparente Bild muss jedoch ein Webbug sein. Bei der Gestaltung einer Homepage kommt es häufig vor, das solche Bilder („Spacer GIF“) verwendet werden, um ein bestimmtes Layout zu erreichen. Im Unterschied zum Webbug stammen diese Grafiken nicht von einem externen Server und setzen auch keine Cookies.[81]
b) Zweck, Anwendungsbereich
Webbugs dienen dazu, die Aktivitäten eines Users im Internet aufzuzeichnen, also sein Surfverhalten zu dokumentieren. Durch diese Einrichtung ist es für den Webbug-Server möglich, den User über mehrere Web-Sites hinweg zu „verfolgen“. Der Webbug wird nämlich jedes Mal über denselben Webbug-Server geladen und der User (bzw sein Rechner) wird über ein Cookie identifiziert. Somit ist es möglich, ein Surfprofil des Users über einen längeren Zeitraum zu erstellen.[82]
Die meisten Suchmaschinen kodieren die Anfrage im URL, damit Bookmarks auf Suchergebnisse ermöglicht werden. Das Format dieser Kodierung ist jedoch allgemein bekannt und daher können auch die Anfragen in einer Suchmaschine mit Hilfe von Webbugs ausgewertet werden, wenn eine Suchanfrage direkt auf eine Web-Site mit Webbug verweist, denn hier wird der Such-URL als Referer automatisch mitgeschickt.[83]
Ein weiteres Einsatzgebiet stellt die eMail in HTML-Format dar. Hier kann der Webbug-Server Informationen erlangen, zu denen er sonst nicht Zugang hat, wie etwa den Fakt, dass die eMail gelesen wurde und auch der Zeitpunkt, wann dies geschehen ist.[84] Vor allem bei sogenannten Spam-Mails werden Webbugs dazu verwendet, um festzustellen, ob diese eMails auch gelesen werden.[85] Gerade diese Information ist für einen Spam-Vertreiber von enormer Bedeutung, da er die nicht mehr aktiven eMail-Adressen aus seinem Verteiler nehmen kann.
Werden eMails, welche Webbugs enthalten, weitergeleitet, so sind auch die IP-Adressen der weiteren Empfänger für den Webbug-Server ersichtlich.[86]
Webbugs können jedoch auch für datenschutzrechtlich nicht bedenkliche Anwendungen verwendet werden. So können private Web-Site Betreiber durch Verwenden von Webbugs ohne Zugriff auf die Logfiles des Servers Informationen über die Besucher erhalten. So wird bei zahlreichen Web-Site-Zähler (Counter), das Prinzip der Webbugs verwendet. Hier wird bei jedem neuen Besucher ein neues Bild eingefügt, welches immer um eine Zahl erhöht wird.[87]
7. Spyware
a) Begriffsbestimmung
Spyware ist der Sammelbegriff für jene Programme, die im Hintergrund des User-Rechners laufen und zB das Surfverhalten aufzeichnen, aber auch Informationen darüber sammeln, welche Programme auf dem Rechner installiert sind und die so gewonnenen Angaben an den Hersteller oder an dritte Unternehmen (zB Werbefirmen) zurücksenden („phone home feature“).[88]
In der Regel wird Spyware im Zusammenhang mit Gratisprogrammen („freeware“) ohne Wissen des Nutzers von diesem aus dem Internet heruntergeladen. Beispiele hierfür finden sich zahlreiche, wie etwa Spyware bei den online-Tauschbörsen KaZaA oder iMesh.
Spyware wird größtenteils in sogenannten „Adware“-Programmen „versteckt“. Diese Programme sind „freeware“, welche sich durch das Einblenden von Werbung, während das Programm aktiviert ist, finanzieren und daher für den User gratis sind.[89] Solche Programme dienen zwar in der Praxis zur Verbreitung von Spyware, dürfen mit diesen aber nicht gleichgesetzt werden.
Durch die immer beliebter werdenden Weblogs (Blogs), die größtenteils als online-Tagebücher verwendet werden, ist eine neue Angriffsfläche für Spyware entstanden. Die Programmierer machen sich hier eine Sicherheitslücke in der Blog-Software zu nutzen, sofern diese ActiveX und Javascript zulässt.
Im Gegensatz zu Cookies und Webbugs handelt es sich bei Spyware um ein eigenes Programm, das selbständig läuft und auch aktiv ist. Hier bedarf es nicht eines erneuten Aufsuchens einer bestimmten Internetseite, sondern dient das „phone home feature“ dazu, dass die von der Spyware gesammelten Informationen vom User unbemerkt an dessen Urheber, zwischen den „normalen“ Datenströmen versteckt, geschickt werden, während der Nutzer-Rechner online ist.
b) Zweck, Anwendungsbereich
Spyware wird in der Regel dazu verwendet, um das Surfverhalten der User im Internet zu analysieren. Dies dient meist dazu, dem User beim Surfen, die zu ihm „passenden“ Werbebanner oder Popups, anzuzeigen.[90] Anders ausgedrückt, kann man sagen, dass mit Hilfe der Erkenntnisse von Spyware die Werbung im Internet personalisiert wird.
Es kommt jedoch auch vor, dass Spyware dazu verwendet wird, um den Rechner des Users auf bestimmte oder ganz generell auf alle installierten Programme oder sonst vorhandenen Dateien zu durchsuchen. Mit dem „phone-home-feature“ wird der Urheber der Spyware über die Zusammensetzung des Rechners des Users informiert.
Hier ist vor allem der Software-Riese Microsoft mit seinem Betriebssystem Windows XP zu nennen, bei dem das Betriebssystem aufgrund der phone-home-Komponenten regelmäßig mit Microsoft Kontakt aufnimmt. Dies geschieht teilweise auch vom User unbemerkt, wenn dieser online ist. So werden Fehlerberichte übertragen, das Datum abgefragt und aktualisiert, aber auch automatisch Betriebssystem-Updates durchgeführt. Dieser ständige Kontakt lässt viele Experten zweifeln, dass lediglich diese Informationen an Microsoft weitergeleitet werden.[91]
Aber auch der Real-Player, eine mit Windows mitgelieferte Abspielsoftware für Musik- und Videodateien, von „Real Networks“ bietet regelmäßig an, dass Informationen über die abgespielten Dateien über das Internet verfügbar gemacht werden können. Es stellt sich hier die Frage, ob nicht Playlists überprüft und Daten darüber an Dritte weitergeleitet werden und somit die Hör- und Sehgewohnheiten der User dem Software-Hersteller zugänglich gemacht werden.[92]
II. Grundlagen
A) Datenschutzgesetz (DSG)
1. Allgemeines
Das Datenschutzgesetz[93] beinhaltet umfangreiche Bestimmungen, die den Datenschutz in Österreich regeln. Neben diesen allgemeinen Regelungen, bestehen in anderen Gesetzen sektorspezifische Normen (zB der 12. Abschnitt im TKG 2003), die jeweils detailliertere Regelungen für die betreffende Materie enthalten. Auf diese wird in dieser Arbeit ebenfalls eingegangen, sofern sie zur Lösung der aufgeworfenen Probleme von Bedeutung sind.
In diesem Kapitel sollen nicht sämtliche Bestimmungen des DSG erörtert werden, sondern beschränken sich die Ausführungen auf jene Paragraphen, die für diese Arbeit relevant erscheinen.
2. Grundrecht auf Datenschutz
Nach § 1 Abs 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Das Grundrecht auf Datenschutz wird nicht durch die einfachgesetzlichen Bestimmungen des DSG ausgestaltet. Diese Bestimmungen können jedoch, im Falle der inhaltlichen Kompatibilität, zur Auslegung des Grundrechts herangezogen werden.[94]
Das Grundrecht auf Datenschutz, so wie es im § 1 DSG („jedermann“) verankert ist, ist als Menschenrecht ausgestaltet und verlangt somit nicht, dass der Betroffene die österreichische Staatsbürgerschaft besitzt.[95]
Durch das Grundrecht auf Datenschutz werden jedoch nicht nur natürliche, sondern auch juristische Personen geschützt, wobei es sich um ein höchstpersönliches Recht handelt, sodass dieses nur lebenden Menschen (und auch nur rechtlich existierenden juristischen Personen und Personengemeinschaften, so sind etwa auch firmenbezogene Daten einer GmbH geschützt) zukommt.[96]
Im Grundrecht auf Datenschutz ist ein Anspruch auf Geheimhaltung von personenbezogenen Daten verankert, wobei der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen ist.[97]
Im § 1 Abs 1 DSG werden keine Differenzierungen zwischen automationsunterstützt verarbeiteten Daten und herkömmlich verarbeiteten Daten getroffen, woraus sich ergibt, dass sämtliche Daten dem Grundrecht auf Datenschutz unterliegen. Auch ist die Strukturierung in einer Datei[98] keine Voraussetzung für den Grundrechtsschutz.[99]
Voraussetzung für das Bestehen des Grundrechts auf Datenschutz und auch der Anwendbarkeit des DSG ist das Vorhandensein eines schutzwürdigen Interesses. Grundsätzlich richtet sich die Einstufung, ob es sich um ein solches schutzwürdiges Geheimhaltungsinteresse handelt, nach den Wertvorstellungen der Gesellschaft. Dies vor allem dahingehend nach dem Umstand, wie diese Wertvorstellungen auch in die Rechtsordnung Eingang gefunden haben.[100]
Ein schutzwürdiges Geheimhaltungsinteresse setzt voraus, dass es sich bei den betroffenen Daten um personenbezogene handelt. Diese sind nach § 4 Z 1 DSG „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.“ Es handelt sich hierbei um jegliche Angaben zu einer natürlichen oder juristischen Person. Als Beispiele seien, Name, Geburtsdatum, Staatsangehörigkeit, Geschlecht, Familienstand, Bildung, Kreditwürdigkeit aber auch der Vermögensstand genannt.[101] Es gibt aber auch indirekt personenbezogene Daten, bei denen man nur durch rechtlich unzulässige Mittel die Identität des Betroffenen bestimmen kann.
Weiters ist die faktische Möglichkeit der Geheimhaltung bedeutsam. Diese wird etwa dann nicht gegeben sein, wenn die betreffenden Daten allgemein zugänglich sind.[102] Eine allgemeine Verfügbarkeit von Daten ist dann gegeben, wenn diese entweder schon von der Rechtsordnung her öffentlich zugänglich sind, so etwa Daten im Grundbuch oder Firmenbuch, oder auf andere Weise, zB durch Medienberichte oder Telefonbuch, veröffentlicht wurden. Allerdings muss diese Veröffentlichung zulässig sein, andernfalls ja der Grundrechtsschutz durch eine unzulässige Veröffentlichung umgangen werden könnte.[103]
Es ist jedoch möglich, dass die betreffenden personenbezogenen Daten zum Zeitpunkt der Ermittlung allgemein zugänglich waren, dieser Zugang jedoch weggefallen ist und somit das Grundrecht auf Datenschutz wieder auflebt. In diesem Fall hat der Auftraggeber nicht mehr die Berechtigung, diese Daten weiterhin aufzubewahren bzw. weiterzuverwenden.[104]
Festzuhalten ist jedoch, dass „allgemein verfügbar“ nicht zwingend mit „veröffentlicht“ deckungsgleich sein muss. Hierbei wird auf die faktische Unmöglichkeit der Geheimhaltung abgezielt. Sind gewisse Informationen der „Allgemeinheit“ schon bekannt, zB sind diese bereits über die Medien verbreitet worden, kann kein schutzwürdiges Interesse an deren Geheimhaltung mehr angenommen werden.[105]
Das Vorhandensein eines schutzwürdigen Geheimhaltungsinteresses ist jedoch im Einzelfall zu prüfen, wobei diesem Umstand in der Zulässigkeitsprüfung der §§ 6 ff DSG erhöht Rechnung getragen wird.
Besteht nun ein schutzwürdiges Geheimhaltungsinteresse, so kann dieses - wie jedes Grundrecht - nicht absolut gelten, sondern darf durch bestimmte, zulässige Eingriffe beschränkt werden.
Soll der Geheimhaltungsanspruch beschränkt werden, so unterliegen solche Einschränkungen grundsätzlich einem Gesetzesvorbehalt, welcher eine Interessensabwägung voraussetzt.[106] Die Zulässigkeit der Eingriffe in das Grundrecht auf Geheimhaltungsschutz ist in § 1 Abs 2 DSG geregelt.
Nach dieser Bestimmung ist dann ein zulässiger Eingriff in den Geheimhaltungsschutz gegeben, wenn der Betroffene diesem zugestimmt hat. Hier wird anerkannt, dass der Betroffene als Herr seiner Daten selbst entscheiden soll, was mit den ihn betreffenden Daten geschehen soll.[107] Weitere zulässige Eingriffe in den Geheimhaltungsschutz sind bei lebenswichtigen Interessen des Betroffenen (etwa in der Medizin bzw bei medizinischen Notfällen) oder zur Wahrung überwiegender berechtigter Interessen eines anderen gegeben.
Der Begriff eines „anderen“ umfasst jegliche vom Betroffenen verschiedene natürliche oder juristische Person (auch juristische Personen des öffentlichen Rechts; somit auch Selbstverwaltungskörper und Gebietskörperschaften).[108]
Bei Eingriffen aufgrund überwiegender berechtigter Interessen anderer ist zwischen dem Eingriff durch eine staatliche Behörde und dem Eingriff Privater zu unterscheiden. Bei Ersterem bedarf es einer besonderen gesetzlichen Grundlage, die den Voraussetzungen des Art 8 Abs 2 MRK entsprechen muss. Bei zweiterem wird in § 1 Abs 2 DSG nicht gesondert festgelegt, wann diese berechtigten Interessen anderer vorliegen. Hier muss auf die einfachgesetzlichen Regelungen der §§ 6 ff DSG zurückgegriffen werden.[109]
Wird aufgrund von oben genannten Gesetzen in den Geheimnisschutz von sensiblen Daten („besonders schutzwürdige Daten“) eingegriffen, muss dies gemäß § 1 Abs 2 DSG zur Wahrung wichtiger öffentlicher Interessen geschehen, wobei diese Gesetze angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen müssen. Nach § 1 Abs 2 DSG letzter Satz darf aber auch im Falle zulässiger Beschränkung der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Aufgrund dieser Regelung wird der Verhältnismäßigkeitsgrundsatz für das Grundrecht auf Datenschutz verfassungsrechtlich verankert.[110]
In § 1 Abs 3 DSG werden neben dem Grundrecht auf Geheimhaltung weitere subjektive Rechte, die dem Betroffenen bei Verwendung ihn betreffender personenbezogener Daten zustehen, genannt.
Neben das Grundrecht auf Datenschutz treten aufgrund des § 1 Abs 3 DSG die subjektiven Rechte auf Auskunft, auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten. Diese subjektiven Rechte stehen dem Betroffenen jedoch nur dann zu, wenn bei den Daten ein Personenbezug vorhanden ist, diese automationsunterstützt verarbeitet werden. Dies gilt auch bei einer manuellen Verarbeitung, wenn die Daten in Dateien strukturiert werden.
Das Recht auf Auskunft beinhaltet Auskunft darüber, wer welche Daten über den Betroffenen verarbeitet, woher diese Daten stammen, wozu diese verwendet werden, aber auch an wen diese übermittelt werden.
In § 1 Abs 4 DSG wird klargestellt, dass Beschränkungen der Rechte nach Abs. 3 nur unter den in Abs 2 genannten Voraussetzungen zulässig sind.
Demnach kann der einfache Gesetzgeber Beschränkungen der subjektiven Rechte auf Auskunft, Richtigstellung und Löschung lediglich in den Grenzen des § 1 Abs 2 DSG vornehmen, also genauso wie bei Beschränkungen des Grundrechts auf Geheimhaltung.[111]
In § 1 Abs 5 DSG wird die gerichtliche bzw. die verwaltungsrechtliche Zuständigkeit bei der Wahrnehmung der subjektiven Rechte des Betroffenen festgelegt.
Aufgrund der Tatsache, dass das Grundrecht auf Geheimhaltung und die subjektiven Rechte auf Auskunft, auf Richtigstellung und Löschung nicht nur gegenüber Rechtsträgern des öffentlichen Bereichs, sondern auch gegenüber Rechtsträger des privaten Bereichs geltend gemacht werden können[112], kommt ihnen unmittelbare Drittwirkung zu.[113] So kann sich der in seinen Rechten Betroffene gegen Private bei Verletzung der Rechte auf Geheimhaltung, Richtigstellung und Löschung auf dem Zivilrechtsweg, bei Verletzung des Rechts auf Auskunft aber an die Datenschutzkommission (DSK) wenden. Für alle übrigen Fälle ist ebenfalls die Datenschutzkommission zuständig.
Die Zuständigkeit der DSK bei der Geltendmachung des Rechts auf Auskunft auch gegenüber einem Rechtsträger des privaten Bereichs erklärt sich aus dem Bestreben, den Zugang zum Rechtsschutz zu vereinfachen. Dies scheint deshalb zielführend, weil die Sinnhaftigkeit eines Verfahrens wegen Richtigstellung oder Löschung gerade vom Inhalt des Auskunftsbegehrens abhängt.[114]
Die Kompetenzen der DSK werden aufgrund der Regelung in § 1 Abs 5 DSG verfassungsrechtlich abgesichert. § 1 Abs 5 DSG letzter Halbsatz stellt aber auch klar, dass Akte der Gesetzgebung oder der Gerichtsbarkeit nicht in der Zuständigkeit der DSK liegen.[115]
3. Zuständigkeit
Im § 2 DSG finden sich die Regelungen über die Zuständigkeit bezüglich der Gesetzgebung und Vollziehung des Schutzes personenbezogener Daten.
In § 2 Abs 1 DSG wird festgelegt, dass die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten Bundessache ist.
Durch die RL 95/46/EG[116] und deren Umsetzungspflicht durch Österreich wurden auch manuell geführte Daten in den Datenschutz einbezogen.[117] Aufgrund der kompetenzrechtlichen Situation war der einfache Bundesgesetzgeber nicht in der Lage die RL im Hinblick auf die Einbeziehung von manuell verarbeiteter Daten in die Datenschutzbestimmungen vollständig umzusetzen.[118] So stellt auch die Verfassungsbestimmung des § 2 Abs 1 DSG klar, dass eine Gesetzgebungskompetenz des Bundes in Angelegenheiten des Schutzes personenbezogener Daten nur bei automationsunterstütztem Datenverkehr besteht.
Vor dem Hintergrund offener Fragen der Bundesstaatsreform[119] konnte zwischen Bund und Länder keine Einigung bezüglich der Verschiebung der Kompetenzen dahingehend getroffen werden, dass dem Bund auch bei manuell geführten Daten die Gesetzgebungskompetenz zugestanden wird.[120] Da es sich beim Datenschutz um eine sogenannte Annexmaterie handelt, kann der einfache Bundesgesetzgeber nur jene Bereiche regeln, in denen manuell geführte Daten für Zwecke angelegt werden, die in die Gesetzgebungskompetenz des Bundes fallen.[121] Für diese Fälle legt die einfachgesetzliche Bestimmung des § 58 DSG fest, dass diese manuell geführten Dateien als Datenanwendungen gemäß § 4 Z 7 DSG gelten und somit unter die Bestimmungen des DSG fallen.
Bestehen jedoch manuelle Dateien für Zwecke solcher Angelegenheiten, in denen die Zuständigkeit der Gesetzgebung Landessache ist (zB Jagd, Fischerei), so hat der Landesgesetzgeber die Berechtigung datenschutzrechtliche Regelungen diesbezüglich zu erlassen. Aufgrund dieser Kompetenzlage haben auch sämtliche Bundesländer (mit Ausnahme Burgenlands) eigene Landesdatenschutzgesetze erlassen.[122]
In § 2 Abs 2 DSG wird die Kompetenz für die Vollziehung dieser Gesetze festgelegt. Demnach vollzieht der Bund die Bundesgesetze. Soweit nicht die Datenschutzkommission, der Datenschutzrat oder Gerichte durch Bundesgesetz mit der Vollziehung betraut sind, haben die Länder die Bundesgesetze zu vollziehen, wenn personenbezogene Daten von einem Land im Bereich der Hoheitsverwaltung oder im Bereich der Privatwirtschaftsverwaltung des Landes entweder selbst oder durch Beauftragte verwendet werden.[123]
4. Räumlicher Anwendungsbereich
Grundsätzlich ist nach § 3 Abs 1 DSG auf jede Datenverwendung in Österreich („im Inland“) österreichisches Recht anzuwenden.[124] Nach § 3 Abs 1 zweiter Satz leg cit ist das DSG auch dann anzuwenden, wenn Daten in einem anderen Mitgliedstaat der EU für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers verwendet werden. Somit ist der Anwendungsbereich des österreichischen Datenschutzgesetzes sehr weit definiert. Dieser wird jedoch durch die Kollisionsregel des Abs 2 eingeschränkt.
In § 3 Abs 2 DSG wird das Sitzstaatprinzip als Ausnahme vom oben beschriebenen Grundsatz normiert.
Dieses Prinzip wird aufgrund der Dienstleistungsfreiheit der Europäischen Union gerne als Kollisionsregel verwendet. Werden Daten für einen Auftraggeber aus dem EU-Ausland im Inland verarbeitet, ohne dass der Auftraggeber eine feste Betriebsstätte im Inland hat, so ist das Recht des Staates anzuwenden, in dem der Auftraggeber eine solche besitzt.[125] Betriebsstätte ist im Sinne der Definition des § 4 Z 15 leg cit („Niederlassung“) zu verstehen.
Umgekehrt ist aber auch Österreichisches Recht anzuwenden, wenn für einen österreichischen Auftraggeber im EU-Ausland Daten verwendet werden und der österreichische Auftraggeber in diesem Land keine Niederlassung besitzt.[126]
Das Sitzstaatprinzip findet nur bei Auftraggebern mit einer Niederlassung in einem EU-Mitgliedstaat Anwendung. Hat der Auftraggeber seine Niederlassung außerhalb der EU, ist das Recht des Staates anzuwenden, in dem die Datenverwendung stattfindet.[127] Auch durch eine Auslagerung außerhalb der EU können die datenschutzrechtlichen Regelungen nicht so einfach umgangen werden, wie es vielleicht den Anschein hat. Der Begriff des Verwendens von Daten umfasst nach § 4 Z 8 DSG das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns von Daten. Sobald Daten in Österreich verwendet werden, ist auch österreichisches Recht anzuwenden.[128]
Gemäß § 3 Abs 3 DSG ist auf die Durchfuhr von personenbezogen Daten im Datenverkehr durch Österreich das DSG nicht anzuwenden.
Weder im DSG noch in der RL 95/46/EG ist der Begriff „Durchfuhr“ definiert. Es handelt sich hier zB um Übermittlungen, die nicht vom Inland aus veranlasst werden und auf die vom Inland her auch kein Einfluss genommen wird (etwa Bestimmung des Adressat/oder Auswahl des Inhaltes).[129] Eine kurzfristige Speicherung, zB zur Signalverstärkung oder sonstigen technischen Gründen, führt noch nicht dazu, dass der österreichische Provider für diese rein technische Durchfuhr dem DSG unterliegt.[130]
In § 3 Abs 4 DSG wird klargestellt, dass die Bestimmungen über den räumlichen Anwendungsbereich zwingend sind und nur dann abweichende Regelungen zulässig sind, sofern es sich um Angelegenheiten handelt, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
5. Definitionen
Die Begriffsbestimmungen sind in § 4 DSG geregelt.
Daten (personenbezogene Daten): „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; `nur indirekt personenbezogene Daten` sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.“ (Z 1)
Es handelt sich bei diesen Daten um jegliche Angaben zu einer natürlichen oder juristischen Person. Beispiele sind etwa die Sozialversicherungsnummer, Name, Geburtsdatum und -ort, Adresse, Staatsangehörigkeit, aber auch Angaben über Kenntnisse und Fähigkeiten eines Menschen (zB Leumund, Lebensgewohnheiten, Intelligenzquotient, Bonität); auch Wirtschaftsdaten (zB Umsatz, Gewinn, Beschäftigungszahl) können personenbezogene Daten sein.[131] Die geforderte Bestimmtheit oder Bestimmbarkeit muss beim Verwender oder einem Dritten vorliegen. Verknüpft man mehrere Angaben, die für sich alleine genommen keine Bestimmbarkeit ermöglichen miteinander, können daraus bestimmbare Daten entstehen. Verknüpft man etwa das Alter, den Wohnort, die Anzahl der Kinder und Beruf, so kann auf eine bestimmte Person Rückschlüsse gezogen werden.[132] Neben einer sprachlichen Darstellung eignen sich auch Ton- und Bilddarstellungen (Fotos, Videoaufnahmen einer Überwachungskamera, Mitschnitte von akustischen Aufnahmen, ...) für personenbezogene Daten. Die im Zuge der Terrorismusbekämpfung immer öfter diskutierten sogenannten biometrischen Daten (Fingerabdrücke, Stimmbild oder Iris-Muster) stellen ebenfalls personenbezogene Daten dar.[133]
Die Identität des Betroffenen muss entweder bestimmt oder bestimmbar sein. Bestimmt sind Daten dann, wenn sie eindeutig einer Person zugewiesen werden können, während Daten lediglich bestimmbar sind, wenn die Daten verschlüsselt sind, wobei der Schlüssel dazu vorhanden ist und die Daten daher jederzeit entschlüsselt werden können.[134]
Bei personenbezogenen Daten ist zwischen direkt personenbezogenen Daten, indirekt personenbezogenen Daten und anonymisierten Daten zu unterscheiden. Während letztere keinerlei datenrechtlichem Schutz unterliegen, weil sie ohnehin auf keine bestimmte Person rückführbar sind, genießen indirekt personenbezogene Daten gegenüber direkt personenbezogenen Daten einen vereinfachten Umgang. So wird die Datenverwendung im Inland vereinfacht, die Datenübermittlung und -überlassung im Ausland geschieht genehmigungsfrei und es bestehen Ausnahmen von der Meldepflicht. Es gibt weiters auch Sonderregelungen in Bezug auf wissenschaftliche Forschung und Statistik mit solchen Daten.[135] Indirekt personenbezogene Daten sind grundsätzlich auf eine bestimmte Person rückführbar und daher auch personenbezogen, aber nur für denjenigen, der den dafür notwendigen Schlüssel rechtmäßigerweise besitzt (wobei die Daten für denjenigen dann direkt personenbezogen sind).[136] Indirekt personenbezogene Daten zeichnen sich dadurch aus, dass die Identität des durch die personenbezogenen Daten Betroffenen ohne Zuhilfenahme rechtlich unzulässiger Mittel nicht herstellbar ist.
Sensible Daten (besonders schutzwürdige Daten): „Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben.“ (Z 2)
Bei dieser Aufzählung handelt es sich um eine taxative, die daher nicht erweitert werden darf.[137] Der Gedanke hinter der Einführung der Kategorie der sensiblen Daten liegt in der Gefahr einer diskriminierenden Verwendung. Es besteht kein Unterschied, ob die Daten die sensiblen Informationen unmittelbar oder mittelbar (etwa die Einnahme bestimmter Medikamente, aufgrund dessen man Rückschlüsse auf eine bestimmte Krankheit ziehen kann) zeigen.[138] Grundsätzlich ist die Verwendung sensibler Daten unzulässig, wenn in einfachen Gesetzen (etwa in § 9 DSG) nicht anderes bestimmt ist und gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festgelegt werden (§ 1 Abs 2 letzter Satz DSG).[139]
Betroffener: „jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden.“ (Z 3)
Dem Betroffenen stehen eine Reihe von Rechten zu (Recht auf Geheimhaltung, Auskunft, Richtigstellung, Löschung und Widerspruch). Mit Personengemeinschaft sind sowohl handelsrechtliche als auch sonstige Personengemeinschaften ohne Rechtspersönlichkeit gemeint. So ist etwa auch eine Wohnungseigentümergemeinschaft als Gesellschaft bürgerlichen Rechts Betroffener im Sinne des DSG. Nicht mehr existierende juristische Personen sowie verstorbene natürliche Personen sind keine Betroffenen und genießen dementsprechend deren Rechte nicht.[140]
Auftraggeber: „natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten, und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anlässlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber.“ (Z 4)
Auf Wunsch der Praxis wurde der Begriff des „Auftraggebers“ und „Dienstleisters“ auch auf Personengemeinschaften und auch auf Geschäftsapparate und Organe einer Gebietskörperschaft (zB Bundesministerien, Ämter der Landesregierungen, Bezirksverwaltungsbehörden, usw.) ausgedehnt.[141] Während bei Gebietskörperschaften sowohl Rechtsträger als auch dessen Organe Auftraggeber sein können, kann bei anderen Rechtsträgern als Gebietskörperschaften nur der Rechtsträger Auftraggeber sein. Für die Qualifikation als Auftraggeber ist entscheidend, dass derjenige entschieden hat, dass die betreffenden Daten verarbeitet werden und zwar unabhängig davon, ob er diese selbst verarbeitet oder ein anderer dafür herangezogen wird.[142]
Wichtig ist auch zu beachten, dass der datenschutzrechtliche Auftragsbegriff einen eigenständigen Rechtsbegriff darstellt, und somit mit dem zivilrechtlichen Auftrag bzw mit dem Begriff der Weisung keinesfalls ident sein muss.[143]
Dienstleister: „natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden.“ (Z 5)
Wesentliches Abgrenzungsmerkmal zwischen Auftraggeber und Dienstleiser liegt darin, dass der Dienstleister von einem Auftraggeber zur Verarbeitung von Daten beauftragt wurde. Die Verarbeitung darf nur auf Weisung des Auftraggebers erfolgen.[144] Entschließt sich der Dienstleister zur eigenverantwortlichen Verarbeitung von Daten, wird er selbst zum Auftraggeber.
Datei: „strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind.“ (Z 6)
Um von einer Datei sprechen zu können, muss eine Mehrzahl von personenbezogenen Daten gesammelt werden. Diese Sammlung muss des weiteren eine gewisse Struktur besitzen. Diese Daten müssen darüber hinaus so dargestellt werden, dass sie nach mindestens einem Suchkriterium zugänglich sind.[145] Es gibt keinerlei Unterscheidung zwischen automatisierter und nicht automatisierter Verarbeitung. Bei manueller Verarbeitung sind nun auch Karteien und Listen eine Datei im Sinne der obigen Bestimmung.[146] Ein Aktenkonvolut ist aber keinesfalls eine Datei, da diese nicht nach einem Suchkriterium zugänglich ist.[147]
Datenanwendung (früher „Datenverarbeitung“): „die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte, die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zwecks der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung).“ (Z 7)
Die Datenanwendung bildet eine logische Einheit, welche aus verschiedenen Arbeitsschritten besteht (Verarbeiten, Übermitteln,...). Die Erreichung des Gesamtzwecks ist immer das Bindeglied der einzelnen Schritte.[148] Die Definition ist grundsätzlich auf die automationsunterstützte Datenanwendung ausgelegt. Erfolgen nun einzelne Arbeitsschritte nicht automationsunterstützt, sind diese Datenanwendungen dennoch von der Begriffsbestimmung umfasst. Werden aber sämtliche Arbeitsschritte manuell durchgeführt, handelt es sich um keine Datenanwendung gemäß Z 7.[149]
Verwenden von Daten: „ jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten als auch das Übermitteln von Daten.“ (Z 8)
Verarbeiten von Daten: „das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten, oder andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns von Daten.“ (Z 9)
Aufgrund der Angleichung an die Terminologie der Richtlinie wurde dem Begriff des Verarbeitens auch das Ermitteln hinzugefügt.[150]
Ermitteln von Daten: „das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden.“ (Z 10)
Es ist hier jedoch nicht von Bedeutung, ob die Daten mit oder ohne Mitwirkung des Betroffenen erhoben oder sonst wie verschafft wurden. Einzig wesentlich ist, ob die ermittelten Daten der Erreichung eines Zweckes im Sinne des § 4 Z 7 DSG dienen. Wird etwa beim Ausfüllen eines Formulars beabsichtigt, dieses für eine Datenanwendung heranzuziehen, fällt dies bereits unter die Definition des § 4 Z 10 DSG. Besteht jedoch die bloße Möglichkeit einer späteren Datenanwendung aufgrund dieses Formulars, handelt es sich dabei nicht um ein Ermitteln von Daten im Sinne dieser Definition.[151]
Überlassen von Daten: „die Weitergabe von Daten vom Auftraggeber an einen Dienstleister.“ (Z 11)
Die Weitergabe von Daten durch den Auftraggeber an den Dienstleister ist keine Übermittlung im Sinne des § 7 Abs 2 DSG, sondern handelt es sich bei dieser Vorgehensweise um eine Überlassung, auf die § 10 DSG anzuwenden ist. Bei einer Überlassung muss es sich jedoch nicht zwangsläufig um Daten einer Datenanwendung handeln, zB dann, wenn der Auftraggeber lediglich personenbezogene Daten anliefert und der Dienstleister die Datenanwendung durchführt.[152]
Übermitteln von Daten: die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers.“ (Z 12)
Als Übermitteln wird auch das Verwenden der Daten für ein anderes Aufgabengebiet desselben Auftraggebers verstanden. Ein Aufgabengebiet ist eines von mehreren Tätigkeitsfeldern des Auftraggebers, das für sich allein geeignet ist, den gesamten Geschäftsbetrieb des Auftraggebers zu bilden.[153] Verfolgt ein Auftraggeber mehrere Aufgabengebiete, so darf er Daten eines Aufgabengebietes nur bei Erfüllung der Voraussetzungen der §§ 6 ff übermitteln. Die Abgrenzung der Aufgabengebiete gestaltet sich oftmals als schwierig. So kann etwa bei einer Firma in Aufgabengebiete Marketing, Personalverwaltung, ... unterteilt werden. Auch die Weitergabe von Daten in konventioneller Form (Ausdrucke von Daten) sind Übermittlungen im Sinne der Z 12.[154]
Stammen die weiterzugebenden Daten aus keiner Datenanwendung im Sinne des DSG, handelt es sich auch bei einer elektronisch unterstützten Weitergabe nicht um eine Übermittlung. Für einen solchen Vorgang besteht jedoch der Grundrechtsschutz des § 1 DSG.[155]
Informationsverbundsystem: „die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden.“ (Z 13)
Beispiele für solche Informationsverbundsysteme sind etwa das Elektronische Kriminalpolizeiliche Informationssystem (EKIS) oder das Schengener Informationssystem (SIS). Auch auf privater Ebene bestehen solche Systeme etwa für Flug- oder Hotelbuchungen. Das Internet ist nicht zwingend ein solches System, kann aber für den Aufbau eines Informationsverbundsystem herangezogen werden.[156]
Zustimmung: „die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt.“ (Z 14)
Bei einer Zustimmung handelt es sich um eine Willenserklärung, welche rechtliche Folgen auslöst. Voraussetzung für die Gültigkeit einer solchen Willenserklärung ist das Bestehen der Geschäftsfähigkeit, welche nach dem ABGB zu beurteilen ist.[157]
Die Zustimmung muss gültig sein, d.h., dass diese weder mittlerweile widerrufen worden sein darf, noch dass sie ungültig ist. Die Klärung der Frage, ob die Voraussetzung der Gültigkeit erfüllt ist, stellt ein Beweisproblem dar, weshalb es sich immer empfiehlt, die Zustimmung zu Beweiszwecken schriftlich einzuholen. Überdies ist die Zustimmung nur ohne Zwang zulässig, d.h., sie darf nicht unter physischem oder psychischem Zwang bzw aufgrund von Drohungen erfolgen. Zu beachten ist jedoch hier auch, dass der Erklärende bei seiner Zustimmung nicht überrumpelt werden darf, was bei Web-Formularen unter Umständen der Fall sein kann. So dürfen vorher bereits angekreuzte Zustimmungserklärungen im Formular nicht versteckt werden. Es empfiehlt sich hier ausdrücklich um die Zustimmung des Betroffenen zu ersuchen. Der Betroffene muss sich darüber bewusst sein, dass er in eine Datenverwendung einwilligt, damit es sich bei der Zustimmung um eine Willenserklärung handelt. Eine sehr problematische, weil schwer definierbare Voraussetzung stellt jene dar, die besagt, dass die Zustimmung in Kenntnis der Sachlage zu erfolgen hat. Diese kann nur dann gegeben sein, wenn die Datenarten, der Übermittlungsempfänger und der Zweck der Datenverarbeitung und -übermittlung genau beschrieben werden. Schließlich muss sich die Zustimmung auf einen bestimmten Zweck beziehen um die letzte Voraussetzung, nämlich dass die Zustimmung für einen konkreten Fall erfolgen soll, zu erfüllen. Ändert sich der Zweck nach Einholung der Daten, bedarf es einer neuerlichen Einholung der Zustimmungserklärung für diesen geänderten Zweck.[158]
Die Zustimmung muss nach dieser Definition nicht unbedingt ausdrücklich und schriftlich erfolgen. Nur bei sensiblen Daten bedarf es der Ausdrücklichkeit.[159] Die Einwilligung muss aber für eine bestimmte Situation gegeben werden, was voraussetzt, dass der Betroffene weiß, um welche Daten es sich handelt und für welchen Zweck diese verwendet werden sollen. Zustimmungen im Voraus werden nur dann zulässig sein, wenn die weiteren Verwendungsfälle hinreichend konkretisierbar sind. Der Widerruf der gegebenen Einwilligung muss jederzeit möglich sein.[160]
Niederlassung: „jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt.“ (Z 15)
Eine Briefkastenfirma kann demnach keine solche Niederlassung darstellen.[161]
6. Zulässigkeit der Datenverwendung
Damit man beurteilen kann, ob eine Datenverwendung nach dem DSG zulässig ist, muss ein mehrstufiges Verfahren durchlaufen werden. In § 6 DSG werden allgemeine Grundsätze für die Datenverwendung aufgestellt. In § 7 DSG und § 8 DSG (für nicht-sensible Daten) bzw. § 9 DSG (für sensible Daten) wird die Zulässigkeit der konkreten Datenverwendung beurteilt.
Das DSG ist vom Verbotsprinzip bestimmt, d.h. die Verwendung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn die Zulässigkeitsprüfung führt zu einem positiven Ergebnis.[162]
Die nachgenannten Zulässigkeitskriterien gelten nicht nur für einzelne Verwendungsschritte, sondern beziehen sich auf alle Phasen (Ermitteln, Verarbeiten, Übermitteln, Überlassen usw.) der Datenverwendung.[163]
[...]
[1] http://www.statistik.at/cgi-bin/pressetext.pl?INDEX=2005003563
[2] http://www.statistik.at/cgi-bin/pressetext.pl?INDEX=2005003563
[3] Tanenbaum, Computernetzwerke3, 65.
[4] Kröger/Kuner, Internet für Juristen2, 2.
[5] Kröger/Kuner, Internet für Juristen2, 2.
[6] Kröger/Kuner, Internet für Juristen2, 2.
[7] Ellmaier, Internet für Juristen, Praxisleitfaden für Rechtsanwälte, Notare, Richter, Juristen in Verwaltung und Wirtschaft, 4.
[8] Tanenbaum, Computernetzwerke3, 65.
[9] Bandzauner, Internet, Grundlagen und Anwendungen, 10; Kröger/Kuner, Internet für Juristen2, 2.
[10] Bandzauner, Internet, 10, Ellmaier, Internet für Juristen, 4; Kröger/Kuner, Internet für Juristen2, 2.
[11] Kröger/Kuner, Internet für Juristen2, 2.
[12] Kröger/Kuner, Internet für Juristen2, 2,3.
[13] Kröger/Kuner, Internet für Juristen2, 3.
[14] Ellmaier, Internet für Juristen, 4.
[15] Kröger/Kuner, Internet für Juristen2, 3.
[16] Bigus/Bigus, Intelligente Agenten mit Java programmieren: eCommerce und Informationsrecherche automatisieren2, 30; Ellmaier, Internet für Juristen, 4; Kröger/Kuner, Internet für Juristen2, 3.
[17] Kröger/Kuner, Internet für Juristen2, 3.
[18] Kröger/Kuner, Internet für Juristen2, 3.
[19] Ellmaier, Internet für Juristen, 4.
[20] Kröger/Kuner, Internet für Juristen2, 3.
[21] Tanenbaum, Computernetzwerke3, 68.
[22] Ellmaier, Internet für Juristen, 4.
[23] Tanenbaum, Computernetzwerke3, 70.
[24] Ellmaier, Internet für Juristen, 4.
[25] Kröger/Kuner, Internet für Juristen2, 4.
[26] Ellmaier, Internet für Juristen, 5.
[27] Ellmaier, Internet für Juristen, 5.
[28] Eichhorn, Internet-Recht, Ein Lehrbuch für das Recht im World Wide Web, 19; Fallenböck, Internet und Internationales Privatrecht: Zu den internationalen Dimensionen des Rechts im Electronic Commerce, 11; Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht2, 17.
[29] Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht2, 17; Ellmaier, Internet für Juristen, 21.
[30] Eichhorn, Internet-Recht, 19.
[31] Fallenböck, Internet und Internationales Privatrecht, 11.
[32] Kröger/Kuner, Internet für Juristen2, 3.
[33] Fallenböck, Internet und Internationales Privatrecht, 11.
[34] Kröger/Kuner, Internet für Juristen2, 3.
[35] Fallenböck, Internet und Internationales Privatrecht, 11.
[36] Fallenböck, Internet und Internationales Privatrecht, 12.
[37] Ellmaier, Internet für Juristen, 21; Fallenböck, Internet und Internationales Privatrecht, 12; Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht2, 17.
[38] Fallenböck, Internet und Internationales Privatrecht, 13.
[39] Fallenböck, Internet und Internationales Privatrecht, 13.
[40] Peyton, Das neue PC Lexikon für Alle, 53.
[41] Der Brockhaus, Computer und Informationstechnologie, 192.
[42] Voss, Das große PC & Internet Lexikon 2003, 229.
[43] Peyton, Das neue PC Lexikon für Alle, 54.
[44] Hofer, datenschutz@internet, Die Privatsphäre im Informationszeitalter, 30.
[45] Brandl/Mayer-Schönberger, CPU-IDs, Cookies und Internet- Datenschutz, ecolex 1999, 368; Jahnel, Datenschutz im Internet, Rechtsgrundlagen, Cookies und Web-Logs, ecolex 2001, 87.
[46] Peyton, Das neue PC Lexikon für Alle, 54.
[47] Der Brockhaus, Computer und Informationstechnologie, 192.
[48] Voss, Das große PC & Internet Lexikon 2003, 976.
[49] Peyton, Das neue PC Lexikon für Alle, 182.
[50] Jahnel, Datenschutz im Internet, 88.
[51] Hofer, datenschutz@internet, 29.
[52] http://de.wikipedia.org/wiki/Logfile, 2005-01-26.
[53] http://de.wikipedia.org/wiki/Logfile, 2005-01-26.
[54] Jahnel, Datenschutz im Internet, 88.
[55] Hofer, datenschutz@internet, 29.
[56] Fallenböck/Haberler, Ortsbezogene Dienste für Handys, Droht der gläserne Benutzer?, Die Presse 2002/24/01
[57] Lechner, Location Based Services, in: Schweighofer/Menzel/Kreuzbauer (Hrsg.), IT in Recht und Staat, 348.
[58] Kassai, „Location Based Services" im Gefüge des Datenschutzrechts, MR 2004, 433.
[59] Lechner, Location Based Services, 348.
[60] Lechner, Location Based Services, 347.
[61] Kassai, Location Based Services, MR 2004, 433.
[62] http://www.gis1.bv.tum.de/lehre/vertiefung/gis%2Dprojekte/Dokumente/Gruppe4.pdf
[63] http://www.gis1.bv.tum.de/lehre/vertiefung/gis%2Dprojekte/Dokumente/Gruppe4.pdf
[64] Fallenböck/Haberler, Ortsbezogene Dienste für Handys, Die Presse 2002/24/01
[65] Lechner, Location Based Services, 349.
[66] Kassai, Location Based Services, MR 2004, 434; Lechner, Location Based Services, 350.
[67] Lechner, Location Based Services, 350.
[68] Lechner, Location Based Services, 351.
[69] http://de.wikipedia.org/wiki/EMail, 2005-02-22.
[70] Jahnel, Das Versenden von e-Mails aus datenschutzrechtlicher Sicht, in: e-Mail- elektronische Post im Recht, 89.
[71] ein Protokoll zum Mailversand und -transport.
[72] Post Office Protocoll Version 3.
[73] http://de.wikipedia.org/wiki/EMail, 2005-02-22.
[74] Hofer, datenschutz@internet, 33.
[75] Sonntag, Webbugs, Wanzen im Internet, in: Schweighofer/Menzel/Kreuzbauer (Hrsg.), IT in Recht und Staat, 355.
[76] ein Grafikformat im WWW, das deshalb praktisch ist, weil die Dateien klein gehalten werden können.
[77] Sonntag, Webbugs, 355; Hofer, datenschutz@internet, 33; http://de.wikipedia.org/wiki/Web-Bug, 2005-01-26.
[78] Sonntag, Webbugs, 356.
[79] Hofer, datenschutz@internet, 33.
[80] Sonntag, Webbugs, 356.
[81] Sonntag, Webbugs, 357.
[82] Sonntag, Webbugs, 357.
[83] Sonntag, Webbugs, 357.
[84] Sonntag, Webbugs, 358.
[85] Hofer, datenschutz@internet, 33.
[86] Sonntag, Webbugs, 358.
[87] http://de.wikipedia.org/wiki/Web-Bug, 2005-01-26.
[88] Hofer, datenschutz@internet, 35.
[89] Hofer, datenschutz@internet, 35.
[90] http://de.wikipedia.org/wiki/Spyware, 2005-02-02.
[91] Hofer, datenschutz@internet, 36.
[92] Hofer, datenschutz@internet, 36.
[93] Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000), BGBl. 165/1999.
[94] Drobesch/Grosinger, Das neue österreichische Datenschutzgesetz, 98.
[95] Dohr/Pollirer/Weiss, Kommentar Datenschutzrecht2, § 1 Anm. 4
[96] Dohr/Pollirer/Weiss, DSG2, § 1 Anm. 5; Drobesch/Grosinger, Datenschutzgesetz, 98; Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 941.
[97] RV zum DSG 2000, Erläuterung zu § 1.
[98] anders in § 1 Abs 3 DSG.
[99] Dohr/Pollirer/Weiss, DSG2, § 1 Anm. 6; Drobesch/Grosinger, Datenschutzgesetz, 98.
[100] Duschanek, Datenschutzrecht, 254.
[101] Drobesch/Grosinger, Datenschutzgesetz, 117.
[102] Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 940.
[103] Dohr/Pollirer/Weiss, DSG2, § 1 Anm. 8.
[104] Mayer-Schönberger/Brandl, Datenschutzgesetz 2000, 22.
[105] Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 941.
[106] Duschanek, Datenschutzrecht, 255.
[107] RV zum DSG 2000, Erläuterung zu § 1.
[108] RV zum DSG 2000, Erläuterung zu § 1.
[109] RV zum DSG 2000, Erläuterung zu § 1.
[110] Dohr/Pollirer/Weiss, DSG2, § 1 Anm. 20.
[111] RV zum DSG 2000, Erläuterung zu § 1.
[112] Etwa in § 32 DSG.
[113] Dohr/Pollirer/Weiss, DSG2, § 1 Anm. 2; Drobesch/Grosinger, Datenschutzgesetz, 98; Duschanek, Neuerungen und offene Fragen im Datenschutzgesetz; ZfV 2000/1303, 529; Duschanek, Datenschutzrecht, 254.
[114] RV zum DSG 2000, Erläuterung zu § 1.
[115] RV zum DSG 2000, Erläuterung zu § 1.
[116] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl Nr. L 281.
[117] Jahnel, Das Datenschutzgesetz 2000. Wichtige Neuerungen, wbl 2000, 50.
[118] Rosenmayr-Klemenz, Zum Schutz manuell verarbeiteter Daten durch das DSG 2000, ecolex 2001, 639.
[119] Duschanek, Datenschutzrecht, in Holoubek/Potacs (Hrsg.), Handbuch des öffentlichen Wirtschaftsrechts, Band I, 247.
[120] Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 942.
[121] Dohr/Pollirer/Weiss, DSG2, § 2 Anm. 4; Rosenmayr-Klemenz, manuelle Daten, ecolex 2001, 639.
[122] Rosenmayr-Klemenz, manuelle Daten, ecolex 2001, 639.
[123] Drobesch/Grosinger, Datenschutzgesetz, 104.
[124] RV zum DSG 2000, Erläuterung zu § 3.
[125] RV zum DSG 2000, Erläuterung zu § 3.
[126] Duschanek, Datenschutzrecht, 252
[127] RV zum DSG 2000, Erläuterung zu § 3.
[128] Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht2, 246.
[129] Drobesch/Grosinger, Datenschutzgesetz, 107.
[130] Dohr/Pollirer/Weiss, DSG2, § 3 Anm. 4.
[131] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 2; Drobesch/Grosinger, Datenschutzgesetz, 118.
[132] Drobesch/Grosinger, Datenschutzgesetz, 118.
[133] Drobesch/Grosinger, Datenschutzgesetz, 118; Knyrim, Datenschutzrecht, 15.
[134] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 2; Knyrim, Datenschutzrecht, 15.
[135] Drobesch/Grosinger, Datenschutzgesetz, 118.
[136] Souhrada-Kirchmayer, Das Datenschutzgesetz 2000, SozSi 2000, 943.
[137] RV zum DSG 2000, Erläuterung zu § 4.
[138] Drobesch/Grosinger, Datenschutzgesetz, 118.
[139] Jahnel, Datenschutzgesetz, wbl 2000, 51.
[140] Drobesch/Grosinger, Datenschutzgesetz, 119,120.
[141] RV zum DSG 2000, Erläuterung zu § 4.
[142] Drobesch/Grosinger, Datenschutzgesetz, 120.
[143] Jahnel/Schramm/Staudegger (Hrsg.), Informatikrecht2, 247.
[144] Drobesch/Grosinger, Datenschutzgesetz, 120.
[145] Drobesch/Grosinger, Datenschutzgesetz, 121.
[146] Jahnel, Datenschutzgesetz, wbl 2000, 51.
[147] RV zum DSG 2000, Erläuterung zu § 4.
[148] RV zum DSG 2000, Erläuterung zu § 4.
[149] Drobesch/Grosinger, Datenschutzgesetz, 121.
[150] RV zum DSG 2000, Erläuterung zu § 4.
[151] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 11.
[152] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 12.
[153] RV zum DSG 2000, Erläuterung zu § 4.
[154] Drobesch/Grosinger, Datenschutzgesetz, 123,124.
[155] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 13.
[156] Drobesch/Grosinger, Datenschutzgesetz, 124.
[157] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 15.
[158] Knyrim, Datenschutzrecht, 168.
[159] RV zum DSG 2000, Erläuterung zu § 4.
[160] Drobesch/Grosinger, Datenschutzgesetz, 125,126.
[161] Dohr/Pollirer/Weiss, DSG2, § 4 Anm. 16.
[162] Dohr/Pollirer/Weiss, DSG2, § 6 Anm. 2; Knyrim, Datenschutzrecht, 8.
[163] Duschanek, Fragen im Datenschutzgesetz, ZfV 2000/1303, 530.
- Quote paper
- Dr. Alexander Christl (Author), 2005, Datenschutz im Internet. Datenschutzrechtlich bedenkliche Vorgänge und Gesetzeskonformität, Munich, GRIN Verlag, https://www.grin.com/document/118754
Similar texts
Publish now - it's free
Comments