IT-Rechtstag 2025

Neues im EU-Recht

Datenrechtliche EU-Vorgaben, Künstliche Intelligenz (KI) und Datenschutz waren die Schwerpunkte des 19. IT-Rechtstages in Wien.

„Wurden 2019 noch 28.434 Fälle von Internetkriminalität in der Kriminalstatistik erfasst, waren es – seither stetig ansteigend – 2023 bereits 65.864 Fälle“, führte Klaus Mits, Leiter des Cybercrime-Competence-Centers (C4) im Bundeskriminalamt, aus. Der Rückgang auf 62.328 Fälle im Jahr 2024 sei lediglich auf eine Umstellung in der statistischen Erfassung zurückzuführen, indem Delikte nach § 148a StGB (Betrügerischer Datenverarbeitungsmissbrauch) nicht mehr unter Cybercrime geführt wurden. Die Zahl würde sonst wesentlich höher liegen. Insgesamt sind in der Kriminalstatistik etwa 500.000 gerichtlich strafbare Handlungen erfasst.
Mit dem Einsatz von Cybercrime-Spezialisten hat das BMI im Jahr 2000 durch die Einrichtung des Cybercrime-Competence-Centers, mit derzeit etwa 100 Mitarbeiterinnen und Mitarbeitern, begonnen. Darüber hinaus werden laufend Kriminalbedienstete für diesen Deliktsbereich ausgebildet. In der Landespolizeidirektion Oberösterreich wurde ein Cybercrime-Trainingscenter eingerichtet, ein weiteres gibt es seit Ende Mai 2025 in Kärnten.

Ransomware.

Die Cyber-Kriminalität ist von Ransomware geprägt, die auch gemietet werden kann (Ransomware as a Service). 2024 wurden in Österreich 109 Fälle angezeigt, bei hoher Dunkelziffer. Die Fälle sollten aber angezeigt werden, denn nur wenn die Polizei von Straftaten erfährt, kann sie entsprechend handeln und Lösungen finden. Beim Umgang mit (Lösegeld-) Erpressern hat die Polizei Erfahrung, kann Ratschläge erteilen oder in Einzelfällen ein Entschlüsselungstool bereitstellen. So wurde in einem Fall über Europol in Japan ein spezielles Tool ausfindig gemacht und japanische Kriminalbeamte ins Bundeskriminalamt nach Österreich eingeladen. Von den 109 im Jahr 2024 angezeigten Fällen von Ransomware-Angriffen waren 98 (90 %) Unternehmen, fünf Privatpersonen, und vier Forschungs- und Bildungseinrichtungen betroffen. Je einmal wurden eine Behörde sowie ein Unternehmen, das zur kritischen Infrastruktur zählt, angegriffen. Am häufigsten wurde die Schadsoftware Lockbit 3.0 eingesetzt, gefolgt von Play und Black Cat.
Das Projekt No More Ransom (nomoreransom.org), eine Initiative der niederländischen Polizei, des Cyber-Crime-Centers von Europol sowie von Kaspersky und McAfee, zielt darauf ab, über Ransomware zu informieren, Infektionen zu vermeiden, Gegenmaßnahmen aufzuzeigen und Opfern bei der Entschlüsselung zu helfen.
Zur Prävention von Phishing-Attacken (Datendiebstahl) verwies Mits auf die Website Phishen Impossible! (phishen-impossible.at), einer Initiative von österreichischen Banken, des PSA Payment Services Austria und des BMI in Kooperation mit Watchlist Internet (watchlist-internet.at).
Zur Prävention von Cybercrime sollte in Form einer Quick Checklist ein Notfallplan erstellt werden mit Telefon- und Verständigungsliste, internen Leitfäden und Handlungsanweisungen, Verhaltensinformationen und Nominierung einer Kontaktperson. Auf allen Systemen sollten Uhrzeit und die richtige Zeitzone aktuell gehalten werden und der Ablauf jährlich geübt werden.
Wurde man angegriffen, gilt es, Ruhe zu bewahren und strukturiert vorzugehen; keine Veränderungen am Gerät, dem Systembetrieb oder an den Daten vorzunehmen (es könnten Beweise vernichtet werden) und die Kommunikation zum Vorfall über ein nicht infiziertes System zu führen. Die WKO bietet eine 24-Stunden-Cybersecurity-Hotline (0800 888 133) an. Zur Vorbereitung der Anzeige sollten Beweismittel gesichert, Kopien, Ereignisprotokolle, Tatzeiträume, Tatorte, Schäden, festgehalten und Informationen zu den betroffenen Systemen, Daten, gelöschte Logeinträge, deaktivierte Schutzmechanismen gesammelt und Personen- sowie Kontaktdaten zur Verfügung gestellt werden.

Meldepflichten.

Über die im Anlassfall zu ergreifenden Maßnahmen hinaus wies Rechtsanwalt Nino Tlapak auf Kommunikationspflichten gegenüber Geschäftspartnern und der Versicherung sowie auf die bestehenden gesetzlichen Meldepflichten hin, die gegebenenfalls parallel zueinander zu erfüllen sind. So besteht nach der DSGVO bei einem Data Breach eine innerhalb von 72 Stunden zu erfüllende Berichtspflicht an die Datenschutzbehörde und es sind die Betroffenen jedenfalls bei drohenden Schäden oder dann zu benachrichtigen, wenn sie ihrerseits Maßnahmen setzen müssen.
Nach dem Digital-Operational-Resilience-Act (DORA) haben Finanzunternehmen bei schwerwiegenden IKT-bezogenen Vorfällen binnen 24 Stunden eine Erstmeldung herauszugeben, nach dieser binnen 72 Stunden eine Zwischenmeldung, gegebenenfalls weitere aktualisierte Meldungen und binnen einem Monat eine Abschlussmeldung, und zwar auch gegenüber Kunden, wenn der Vorfall Auswirkungen auf deren finanzielle Interessen hat.
Nach der NIS-2-RL und dem derzeit noch in parlamentarischer Behandlung stehenden NISG 2024 werden die betroffenen Unternehmen bei (drohender) schwerwiegender Betriebsstörung, finanziellen Verlusten oder erheblichen materiellen/immateriellen Schäden verpflichtet, binnen 24 Stunden eine Frühwarnung herauszugeben, binnen 72 Stunden eine Meldung mit Erstbewertung, gegebenenfalls Zwischenberichte und binnen einem Monat einen Abschlussbericht vorzulegen.
Dies gilt auch für den am 11. November 2024 in Kraft getretenen und ab dem 11. Dezember 2027 anwendbaren Cyber-Resilience-Act (CRA) über die Haftung für fehlerhafte Produkte, wobei die Meldepflichten bereits ab dem 11. September 2026 gelten.
Die Geldbußen liegen im Millionenbereich bzw. einstelligen Prozentsätzen des weltweiten Jahresumsatzes. Zur DSGVO hat der EuGH ausgeführt, dass ein Verstoß nicht einer zuvor identifizierten natürlichen Person zugerechnet werden muss. Die Zurechnung zu einem Leitungsorgan ist nicht mehr erforderlich (EuGH 5.12.2023, C-807/21, Deutsches Wohnen).
Hätte durch geeignete Sicherheitsmaßnahmen der Verlust von personenbezogenen Daten (Gäste-, Kundendaten) verhindert werden können, wurden gegen weltweit tätige Unternehmen bereits Geldstrafen in Millionenhöhe verhängt. Dazu kommt bei einem Verstoß gegen die DSGVO noch der zu leistende Schadenersatz sowohl bei materiellen als auch immateriellen Schäden, wobei vom Betroffenen sowohl der Verstoß als auch der Schaden und die Kausalität bewiesen werden müssen (EuGH 25.1.2024, C-687/21), doch liegt die Schwelle eher niedrig.
Grundsätzlich reicht bei einem Hackerangriff die Angst/Befürchtung einer zukünftigen missbräuchlichen Verwendung personenbezogener Daten zur Begründung eines immateriellen Schadens aus (EuGH 14.12.2023, C-340/21). Der Verantwortliche kann sich freibeweisen, aber nur mit großen Hürden.

Data Act.

Ab dem 12. September 2025 gilt, ohne weitere innerstaatliche Umsetzung, der Data Act der EU (VO 2023/2854 vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung), über den Rechtsanwalt Stephan Winklbauer berichtete. Betroffen sind vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach diesem Stichtag in Verkehr gebracht werden. Es geht dabei um Rohdaten, die von Sensoren bei der Nutzung eines Produktes generiert und übermittelt werden können. Wenngleich wohl eher an große Industrie- oder Windkraftanlagen gedacht wird, sind auch Daten, die beim Betrieb etwa eines Kraftfahrzeuges oder eines Haushaltsgerätes entstehen, von der Verordnung umfasst, sofern diese Daten über einen geräteinternen Zugang übermittelt werden können. Sie werden von demjenigen, der ein vernetztes Produkt besitzt oder dem vertraglich Nutzungsrechte übertragen wurden (Nutzer) generiert. Der Nutzer ist der Herr dieser Daten. Derjenige, der Zugriff auf die Daten hat (Dateninhaber), muss dem Nutzer die Daten unverzüglich, einfach, sicher und unentgeltlich zur Verfügung stellen (Art 4 Abs 1). Datenempfänger ist darüber hinaus derjenige, der Interesse an den Daten hat und daraus Nutzen zieht. Der Dateninhaber darf die Daten nur auf Grund einer Vereinbarung mit dem Nutzer verwenden (Art 4 Abs 13). Die Gegenleistung, die zwischen Dateninhaber und Datenempfänger für die Bereitstellung von Daten vereinbart wird, darf eine Marge enthalten (Art 9 Abs 1).

EHDS.

Durch den am 26. März 2025 in Kraft getretenen European Health-Data-Space-Act wird, wie Rechtsanwältin Sabine Feichtinger berichtete, ein europäischer Raum für Gesundheitsdaten geschaffen, als gemeinsamer Rahmen für Nutzung und Austausch elektronischer Gesundheitsdaten in der EU. Wenngleich wichtige Durchführungsverordnungen erst erlassen werden müssen und das Inkrafttreten im März 2029 vorerst keine unmittelbare Wirkung entfalten wird, lohnt sich ein Ausblick auf die künftigen Vorhaben, etwa im Hinblick auf die Weiterverwendung bestimmter Daten für Zwecke des öffentlichen Interesses und Systeme für elektronische Patientenakten.

Barrierefreiheit.

Durch das am 28. Juni 2025 in Kraft getretene Barrierefreiheitsgesetz (BaFG), BGBl I 76/2023, wird der European-Accessibility-Act, Richtlinie (EU) 2019/882 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen, umgesetzt. Das hat, wie Rechtsanwalt Armin Schwabl und die Designerin Simona Ascher berichteten, unter anderem Auswirkungen auf die Gestaltung von Webseiten. Diese müssen für alle Nutzerinnen und Nutzer, insbesondere für Menschen mit (dauerhaften, aber auch temporären oder situativen) Einschränkungen, gleichermaßen wahrnehmbar, bedienbar, verständlich und robust gestaltet sein.
Wahrnehmbarkeit bedeutet Erfassung mit den Sinnen, dass also Alternativtexte angeboten werden, deutlicher Kontrast zwischen Text und Hintergrund besteht und Informationen nicht nur durch Farbe oder zusätzlich über Audio vermittelt werden.
Bedienbarkeit setzt voraus, dass alle Funktionen über die Tastatur bedienbar sind, ausreichend Zeit zur Bedienung zur Verfügung steht, bewegte Inhalte pausierbar oder stoppbar gestaltet und Links und Buttons aussagekräftig benannt sind.
Verständlichkeit bedeutet einfache, klare Sprache; einheitliche Navigation und dass jedes Formularfeld ein korrektes Label enthält.
Robust bedeutet, dass die Webseite mit möglichst vielen Browsern, Geräten und Hilfstechnologienkompatibel ist und funktioniert.
Bei Formularen müssen die Eingabefelder klar und eindeutig beschriftet sein, sowohl visuell als auch im HTML-Code.

Datenschutz.

In einer Übersicht über die neuere Rechtsprechung des Bundesverwaltungsgerichts (BVwG) und der Höchstgerichte ging Eva Souhrada-Kirchmayer, Richterin am Bundesverwaltungsgericht, zunächst auf Grundsatzurteile des EuGH zu Fragen des Datenschutzes ein. Für die Verwaltungspraxis ist das Urteil des EuGH vom 9.1.2025, C-416/23 interessant, das in einem Verfahren wegen Verletzung des Auskunftsrechts ergangen ist. Die Datenschutzbehörde hatte die Behandlung einer Beschwerde wegen der Vielzahl von Eingaben (77 Beschwerden zwischen 28.8.2018 bis 7.4.2020) gemäß Art. 57 Abs 4 DSGVO abgelehnt. Über Vorlage durch den VwGH (27.6.2023, Ra 2023/04/0002) hat der EuGH mit dem bezeichneten Urteil entschieden, dass unter dem Begriff „Anfrage“ in der bezeichneten Gesetzesstelle auch Beschwerden umfasst sind. Anfragen können nicht allein auf Grund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ eingestuft werden. Es müsse das Vorliegen einer Missbrauchsabsicht nachgewiesen werden. Weigert sich die Behörde unter Berücksichtigung aller relevanten Umstände, auf Grund der Anfrage tätig zu werden, muss sie sich vergewissern, dass die gewählte Option der Weigerung (anstelle des Verlangens einer angemessenen Gebühr) geeignet, erforderlich und verhältnismäßig ist.
Zur Strafbarkeit juristischer Personen ist die bereits erwähnte, im Rahmen eines Vorabentscheidungsersuchens ergangene Entscheidung des EuGH vom 5.12.2023, C-807/21 (Deutsches Wohnen) in ihrem zweiten Spruchteil insofern von Bedeutung, als Art 83 DSGVO dahingehend auszulegen ist, dass eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art 83 Abs 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Als derzeitige Vorsitzende des Parlamentarischen Datenschutzkomitees referierte Sourada-Kirchmayer auch über diese durch BGBl I 70/2024 geschaffene Datenschutz-Aufsichtsbehörde für den Bereich der Gesetzgebung einschließlich des Rechnungshofes und der Volksanwaltschaft. Gesetzestechnisch wurden nach § 35 Datenschutzgesetz (DSG) die Abschnitte 6 und 7 eingefügt. Die Mitglieder (derzeit fünf, maximal sechs) werden vom Nationalrat für eine Funktionsperiode von fünf Jahren gewählt und vom Bundespräsidenten angelobt. Der Vorsitz wechselt jährlich zwischen den Mitgliedern. Das PDK hat mit 1. Jänner 2025 seine Tätigkeit aufgenommen.
Den Abschluss des IT-Rechtstages bildeten ein Impulsvortrag sowie eine abschließende Podiumsdiskussion zum Thema Datenschutzagenden in der Verhandlung von Betriebsvereinbarungen.
Der 19. IT-Rechtstag fand am 8. und 9. Mai 2025 in Wien statt. Veranstalter war der Forschungsverein für Informations- und Immaterialgüterrecht Infolaw.

www.infolaw.at/it-rechtstag  

Kurt Hickisch

---

​Öffentliche Sicherheit, Ausgabe 9-10/2025

 Druckversion des Artikels (pdf, 230 kB)