Informationsrecht
Daten als Schatz
Der 17. Österreichische IT-Rechtstag machte deutlich, dass neben dem Schutz von Daten auch deren gesamtwirtschaftlicher Wert von Bedeutung ist.
Veranstaltet vom Verein Infolaw (infolaw.at ), fand am 4. und 5. Mai 2023 in Wien der 17. Österreichische IT-Rechtstag statt. Angemeldet hatten sich 115 Teilnehmerinnen und Teilnehmer. Die Themen der Vorträge waren in die Blöcke E-Commerce, künstliche Intelligenz sowie Datenschutz und Datenrecht untergliedert.
Bewertungen – Probleme.
Inwieweit das Recht auf Freiheit der Meinungsäußerung durch überzogene Bewertungen auf Plattformen in Persönlichkeitsrechte des Betroffenen eingreift und inwieweit der Betreiber der Plattform haftbar gemacht werden kann, erörterte Alexander Höller, LL.M, Head of Legal Austria von Google. Dieses Unternehmen erhält, wie der vom Referenten vermittelte „Blick hinter die Kulissen“ ergab, pro Jahr etwa 800 Millionen Löschungsanträge, in der Stunde somit etwa 100.000. In Österreich bewegt sich die Zahl derartiger Anträge in einem fünfstelligen Bereich.
Zentrale Anlaufstelle und alleinig zur Löschung befugt sind etwa 10.000 Trust-&-Safety-Teams, deren Aufgabe es zum einen ist, das Vertrauen in die Plattform und deren Selbstverpflichtung zur Einhaltung bestimmter Regeln aufrecht zu erhalten und damit die Freiheit der Meinungsäußerung zu schützen. Andererseits soll die Sicherheit der Plattform hergestellt werden durch die Entfernung rechtswidriger Inhalte. Da es bei der Beurteilung auf kulturelle Besonderheiten ankommt, wird dabei auf regionale Teams zurückgegriffen. Beispielsweise wird in Deutschland „Abzocke“ bereits als Wertungsexzess angesehen, in Österreich eher in der Bedeutung „teuer ist es schon“.
Ihre zivilrechtliche Schranke findet die Freiheit der Meinungsäußerung (Art 10 EMRK) in § 1330 ABGB. Während die Ehrenbeleidigung (Abs 1) ein einem Wahrheitsbeweis nicht zugängliches Werturteil darstellt, ist bei der Kreditschädigung (Abs 2), bei der unwahre Tatsachen behauptet werden, der Gegenbeweis möglich.
Geklagt werden können (Passivlegitimation) der intellektuelle Verbreiter (Autor, Medieninhaber), aber auch der technische Verbreiter (Host-Provider, Verlag). Dessen Haftung ist aber nur bei Offenkundigkeit der Rechtsverletzung gegeben (es besteht also keine Nachforschungspflicht). Die Rechtswidrigkeit muss auch für einen juristischen Laien ohne weitere Nachforschungen erkennbar sein (OGH 4 Ob 140/14p; OGH 4 Ob 66/04s „Megasex“).
Bewertungen unter einem Pseudonym sind zulässig. Es besteht keine Klarnamenpflicht, es gibt auch kein „digitales Vermummungsverbot“ (OGH 6 Ob 129/21w, „Lernsieg“; OLG Innsbruck 1 R 91/20x). Bloße Punktebewertungen – auch, wenn nur ein Punkt vergeben wurde – stellen keine Beleidigung dar und sind selbst dann keine Tatsachenbehauptung, wenn sie sich auf Tatsachen stützen (OGH 6 Ob198/21). Die Gefahr schlechter Bewertungen ist grundsätzlich hinzunehmen (OGH „Lernsieg“).
Das Nichtbestehen einer Kundenbeziehung begründet keine offensichtliche Rechtswidrigkeit (OLG Innsbruck 2 R 8/23b; Revisionsrekurs war zum Vortragszeitpunkt anhängig). Das Bestehen einer Kundenbeziehung ist nicht überprüfbar. Allenfalls wäre eine Verletzung von beruflicher Verschwiegenheit erforderlich (OGH 4 Ob 140/14p).
Aus strafrechtlicher Sicht stellt eine durch den Inhalt eines Mediums begangene, mit gerichtlicher Strafe bedrohte Handlung, die in einer an einen größeren Personenkreis gerichteten Mitteilung oder Darstellung besteht, ein Medieninhaltsdelikt dar. Im gegebenen Zusammenhang würde die üble Nachrede (§ 111 StGB) darunter fallen. Im Strafurteil ist auf Antrag des Anklägers auf Einziehung bzw. Löschung der die strafbare Handlung begründenden Stellen der Website zu erkennen (§ 33 Abs 1 MedienG).
Für den Begriff des Medieninhabers (§ 1 Abs 1 Z 8 MedienG) ist entscheidend, durch wen die inhaltliche Gestaltung erfolgt. Da Nutzer die von ihnen abgegebenen Bewertungen über ihren registrierten Zugang jederzeit ändern oder löschen können, sind sie als Medieninhaber verantwortlich und nicht der Dienst (Google), der lediglich die technische Plattform für den Nutzer bietet (OLG Wien 17 Bs 212/21g, LG St. Pölten 17 Hv 77/21x, LG Linz 32 R 100/22i, OLG Innsbruck 1 R 91/20x).
Gegenüber dem Host-Provider besteht ein Auskunftsanspruch (§ 18 Abs 4 ECG) hinsichtlich des Namens und der E-Mail- und Postadresse eines Nutzers, sofern ein überwiegendes berechtigtes Interesse an der Auskunft besteht und dies eine wesentliche Voraussetzung für die Rechtsverfolgung bildet. Die datenschutzrechtliche Zulässigkeit ergibt sich aus der Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung (Art 6 Abs 1 lit c DSGVO).
Das Thema Plattformregulierung und Meinungsfreiheit behandelte in weiterer Folge Univ. Prof. Dr. Michael Holoubek (WU Wien/VfGH) an Hand der Judikatur des EGMR und des EuGH und stellte die Dreiecksbeziehung zwischen staatlicher Regulierung, den Providern und den Usern dar.
Datenschutz.
Prof. Dr. Eva Souhrada-Kirchmayer berichtete über Judikatur zum Datenschutzrecht. Eine Justizwachebeamtin wurde durch einen Häftling schwer verletzt. Die Justizanstalt erstattete Strafanzeige, der die Verletzungsanzeige eines Klinikums angeschlossen war. Diese Daten wurden von der Staatsanwaltschaft dem Ermittlungsakt angeschlossen und dem Haft- und Rechtsschutzrichter übermittelt, der eine Kopie davon dem Verfahrenshelfer des Häftlings weiterleitete. Die – nicht als richterliches Organ anzusehende – Staatsanwaltschaft hat das Grundrecht auf Geheimhaltung verletzt (BVwG 21.6.2022, W292 2256548-1/27E). Einer Person nach statistischen Verfahren zugeordnete Daten über ihre Weltanschauung sind personenbezogene Daten iSd Art 9 DSGVO, deren Verarbeitung der Zustimmung des Betroffenen bedarf. Dass die Verwendung dieser Daten in Ausübung des Gewerbes der Adressverlage und Marketingunternehmen erfolgt, ändert daran nichts (BVwG 28.11.2022, W214 2248875-1/17E). Die im Herbst 2021 in drei Bundesländern versendeten „Impferinnerungsschreiben“, die zu einer „Beschwerdeflut“ bei der Datenschutzbehörde geführt haben, hat zu den grundsätzlichen Feststellungen geführt, dass der Impfstatus ein Gesundheitsdatum iSd Art 9 Abs 1 DSGVO darstellt. Auf das zentrale Impfregister, von dem die Daten für die Anschreiben bezogen wurden, haben weder nach dem GTelG 2012 noch nach dem ReichssanitätsG spezifische Zugriffsberechtigungen bestanden. Der den Gesundheitsminister zu Erinnerungen an eine Auffrischungsimpfung ermächtigende § 4g EpiG ist erst mit 1.7.2022 in Kraft getreten (BVwG 7.2.2023, W245 2263552-1/20E). Gegenüber einem Jäger, der vom Mitglied einer Tierschutzorganisation bei Ausübung der Fasanenjagd fotografiert und gefilmt wurde – wobei die Aufnahmen online gestellt wurden –, hätte eine Auskunftspflicht gemäß Art 15 DSGVO bestanden. Die Nichterteilung der Auskunft kann nicht auf das Medienprivileg des § 9 DSG gestützt werden (BVwG 28.2.2023, W214 2255545-1/4E. § 9 DSG wurde vom VfGH mit Erkenntnis vom 14.12.2022, Zlen G 287/2022-16 und G 288/2022-14, mit Ablauf des 30.6.2024 aufgehoben).
Zur Rechtmäßigkeit der Ortung von Firmenfahrzeugen über GPS hat das BVwG mit Erkenntnis vom 25.8.2022, W214 2207491-1/44E – erstmalig und richtungsweisend – ausgeführt, dass technische Vorkehrungen zu treffen sind, dass bei Privatfahrten und Aktivierung des Privatmodus ein Abrufen der Standortdaten durch das Unternehmen nur im Fall eines Diebstahls erfolgen kann. Die Standortdaten sind nach maximal 45 Tagen zu löschen. Eine längere Speicherung ist nur zur Durchsetzung von konkret dokumentierten Rechtsansprüchen des Unternehmens oder des betroffenen Arbeitnehmers zulässig oder soweit dies im Rahmen einer gesetzlichen Aufbewahrungspflicht erforderlich ist.
Eine Überprüfung von Arbeitszeiten und Ruhepausen der Arbeitnehmer an Hand von Standortdaten darf nur erfolgen, wenn sich der Verdacht einer fehlenden oder falschen Eintragung ergibt und eine Klärung beim Arbeitnehmer nicht möglich ist oder zu keinem klaren Ergebnis führt. Zu gewährleisten ist, dass eine Überprüfung von Schwarzfahrten (und Schwarzarbeit) mittels Standortdaten hinsichtlich der gefahrenen Routen nur bei Verdacht einer fehlenden oder falschen Eintragung erfolgt und auch hier eine Klärung beim Arbeitnehmer nicht möglich ist oder zu keinem klaren Ergebnis führt.
Das Unternehmen hat ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, das mit diesen Maßnahmen im Einklang steht. Eine (neue) Vereinbarung über einen Auftragsverarbeitungsvertrag nach Art 28 und 29 DSGVO ist abzuschließen oder eine bestehende Vereinbarung entsprechend zu ergänzen. Arbeitsrechtliche Einwilligungserklärungen sind abzuändern. Ferner ist eine Datenschutz-Folgenabschätzung durchzuführen.
Wird bei Einwilligungserklärungen zur Verarbeitung von Kundendaten zum Zweck interessengerichteter Werbung (Kundenbindungsprogramme) ein Profiling des Kunden durchgeführt, bedarf dies einer zusätzlichen Einwilligung (BVwG 13.12.2022, W 214 2234934-1/24E). In diesem Erkenntnis finden sich auch Ausführungen zur datenschutzrechtlichen Rollenverteilung, zur Anwendbarkeit des TKG und zum „Durchschnittsnutzer“, von dem etwa bei der Gestaltung von Buttons auszugehen sei.
Künstliche Intelligenz.
Dr. Hans Kristoferitsch und Dr. Günther Leissler stellten den Entwurf der Verordnung für künstliche Intelligenz (KI-VO) vor, wobei sie unter anderem auf die Höhe der vorgesehenen Strafen (bis zu 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes; Art 71 KI-VO) hinwiesen. Die KI-VO werde, so die Referenten, eine ähnliche Relevanz erhalten wie die DSGVO heute. Der Compliance-Aufwand werde weitaus höher sein als bei der DSGVO.
ChatGPT als praktischer Anwendungsfall von KI hat keine eigene Rechtspersönlichkeit, sondern ist bloßes Rechtsobjekt, kann also, wie Univ.-Prof. Ing. Dr. Clemens Appl (Universität Krems) und Univ.-Prof. Dr. Mag. Philipp Homar (JKU Linz) in einem Streitgespräch mit diesem Programm ausführten, weder Urheber noch Erfinder oder Markeninhaber sein. Oder, wie das Programm selbst sagte: „Als eine KI-Sprachmodell-Engine besitze ich keine geistigen Eigentumsrechte oder Urheberrechte an meinen Ausgaben.“ Fehlendes Urheberrecht am Output von ChatGPT bedeutet Gemeinfreiheit und freie Nutzbarkeit für dritte Personen, wobei allerdings der Nutzer durch die Nutzungsbedingungen gebunden ist. Nach herrschender Meinung ist die Sprachschöpfung nicht vorhersehbar. Wohl aber kann wie bei analogen Interviews ein (Mit)Urheberrecht des Fragestellers bestehen.
KI zu bloßem Profiling (Art 4 Z 4 DSGVO) einzusetzen, etwa in Kundenbindungsprogrammen oder zu einem internen Scoring, ist zulässig. Die so ermittelten Werte unmittelbar zu Entscheidungen heranzuziehen, stößt allerdings, wie RA Mag. Nino Tlapak erläuterte, auf das Verbot des Art 22 DSGVO, sofern der Betroffene nicht einer solchen Vorgangsweise zugestimmt hat. Selbst dann hat der Betroffene das Recht, die Intervention eines Menschen zu erwirken, seinen Standpunkt zu äußern und die Entscheidung anzufechten.
Als Produkt im Sinn des Produkthaftpflichtgesetzes gelten nur körperliche Sachen, führten die Rechtsanwälte. Dr. Axel Anderl und Mag. Alexandra Ciarnau, Dorda Rechtsanwälte, aus. Softwarefehler führen erst dann zu einer Haftung nach dem PHG, wenn die Sache mit der Software verbunden ist (Smart Car, Steuerung von Industrieanlagen aus der Cloud). Rein durch KI verursachte Schäden (falsche medizinische Diagnosen) sind derzeit nicht erfasst, obwohl keine Software fehlerfrei ist. Zudem erhebt sich die Frage, wie ein Kläger nachweisen kann, dass die KI fehlerhaft ist. Bei der von den Referenten vorgeschlagenen Änderung der Produktsicherheits-RL sollten, neben einer Ausweitung der Definition des Produktfehlers (Art 6), Beweiserleichterungen (Art 9) vorgesehen werden.
Datenschatz – DGA und DA.
Durch den am 23.6.2022 in Kraft getretenen und seit 24.9.2023 in Geltung stehenden Data Governance Act – DGA, Verordnung (EU)2022/868, soll, wie RA Dr. Rainer Knyrim berichtete, die Weiterverwendung von Daten, die im Besitz öffentlicher Stellen sind, innerhalb der Union gefördert und ein EU-Datenmarkt geschaffen werden. Eine Verpflichtung zur Weitergabe dieser Daten besteht nicht (Art 1 Abs 2 DGA). Geregelt werden die Bedingungen, unter denen die Weiterverwendung erfolgen darf (Art 5). Es können Gebühren vorgeschrieben werden (Art 6). Für altruistische Zwecke und Ziele von allgemeinem Interesse (Gesundheitsvorsorge, Klimawandel, Forschung) können zur gemeinsamen Nutzung von Daten „Datenspenden“ erfolgen (Art 2 Z 16; Art 25 DGA). Die diesbezügliche Registrierung ist verpflichtend. Sie berechtigt zu Namensführung und Verwendung eines Logos.
Auf dem Datenportal data.gv.at konnten schon bisher, gestützt auf die RL (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors und das hierauf ergangene Bundesinformationsweiterverwendungsgesetz – IWG 2022, BGBl I 1016/2022, öffentliche Daten bereitgestellt werden. Die im Vortrag präsentierte Website https://www.drawingdata.net/datagvat zeigt (Stand 2021), dass der überwiegende Teil der Inhalte Finanzen und Rechnungswesen sowie Rechnungsabschlüsse betrifft.
Nach einer von privater Seite erstellten Analyse, auf die sich der Referent bezog, hatte (Stand 2021) Wien die meisten öffentlichen Daten bereitgestellt, gefolgt von der oberösterreichischen Gemeinde Engerwitzdorf (9.000 Einwohner) und Linz. Es zeige sich, so der Referent, dass große Unterschiede bei der Herausgabe öffentlicher Daten bestehen und dass zwar wichtige Themen dargestellt, aber nur wenige Daten geliefert werden. Um das Potenzial nutzbar machen, das in vernetzten Produkten (Smart Cars, Windräder, IoT-Produkte) bei der Nutzung entsteht, liegt, wie Dr. Knyrim des Weiteren ausführte, der Vorschlag 2022/0047 der Kommission über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act – DA) vom 23.2.2022 vor.
Diesem Vorschlag zufolge hat ein Nutzer das Recht, die bei der Nutzung erzeugten Daten direkt, kostenlos und in Echtzeit zu erhalten (Art 4). Der Hersteller hat das Produkt so zu konzipieren, dass die bei der Nutzung erzeugten Daten standardmäßig einfach, sicher und, soweit relevant und angemessen, direkt zugänglich sind. Es besteht eine vorvertragliche Informationsverpflichtung (Art 3). Der Dateninhaber hat auf Verlangen des Nutzers die Daten Dritten zur Verfügung zu stellen (Art 5). Die Pflichten der Dateninhaber, die rechtlich verpflichtet sind, Daten bereitzustellen, sind in den Art 9 – 12 (Kapitel III) geregelt. Bei außergewöhnlicher Notwendigkeit der Datennutzung (Notstand) sind Daten öffentlichen Stellen auf Verlangen unverzüglich herauszugeben (Art 14 – 18). Hindernisse für einen wirksamen Wechsel zwischen den Anbietern von Datenverarbeitungsdiensten sollen beseitigt werden (Art 23 bis 26). Betreiber von Datenräumen müssen verschiedene Anforderungen zur Erleichterung der Interoperabilität der Daten erfüllen (Art 28 – 30). Strafen können in dem von der DSGVO gezogenen Rahmen verhängt werden, also bis vier Prozent des Umsatzes.
Kurt Hickisch
Öffentliche Sicherheit, Ausgabe 9-10/2023
Druckversion des Artikels (PDF 420 kB)