2013/01/30 OGH verschärft Haftung von Betrieben bei Datenmissbrauch
MMag. Michael Krenn
Mitarbeiter versuchte in Eigeninitiative Passwort zu knacken - Arbeitgeber haftet für Verhalten der Mitarbeiter - "Übereifriger" Zeitungsmitarbeiter bringt wichtige Datensicherheits-Entscheidung des OGH (6Ob126/12s) - OGH bejaht Verantwortung des Arbeitgebers nach Versuchen des „Passwort-Knackens“ bei Unternehmen im Rahmen der BUWOG-Affäre - Angriffe auf fremdes IT-System sind (auch) Besitzstörung
OGH: Medieninhaber haftet für Verhalten der Redakteure
Ein Redakteur der Zeitung „Österreich“ hatte bei Recherchen - laut Urteil aus eigener Initiative und ohne Wissen der Medieninhaberin - versucht, durch „Erraten“ von Passwörtern in das interne EDV-System eines fremden Unternehmens einzusteigen. Dieser erfolglosen Versuch hatte ein gerichtliches Unterlassungsverfahren zur Folge, in welchem sich „Österreich“ auf den Standpunkt zurückzog, man habe den Eingriff in keiner Weise veranlasst und trage dafür auch keine Verantwortung.
Der OGH sah es anders: Aufgrund der Zurverfügungstellung des Computers und der faktischen Einflussmöglichkeiten des Arbeitgebers betrachtet dieser die Medieninhaberin als „mittelbare Störerin“, der eine Unterlassungsverpflichtung zukommt.
Versuch des Einstiegs in internes System
Stein des Anstoßes war der ehemalige Vizeleiter des Wirtschaftsressorts der Tageszeitung „Österreich“. Laut Urteilsfeststellungen hatte dieser ohne Absprache mit der Ressortleitung 2011 versucht, von seinem Arbeitsplatz im Redaktionsgebäude der Tageszeitung „Österreich“ mit einem Computer und einer IP-Adresse seines Arbeitgebers über das Internet durch Raten von Passwörtern in ein fremdes Computer-System zu gelangen. Er versuchte dies mehrmals und probierte verschiedene Passwörter - nämlich diverse Namen aus - der Versuch misslang. Er wollte an Informationen über die Konkurrenzunternehmung gelangen, um diese selbst zu verwerten. Über eine spezielle Computerausbildung verfügte der Betroffene nicht.
Das fremde Unternehmen erhielt von ihrem EDV-Betreuer die Information, dass ein Zugriff auf ihr System versucht worden sei. Durch Recherche in der „Whois-Datenbank“ konnte die Seiteninhaberin feststellen, dass der Zugriff von einer IP-Adresse der "Österreich" kam.
Einzelaktion eines Mitarbeiters oder Verantwortung des Arbeitgebers?
Das Fremdunternehmen brachte eine Unterlassungsklage gegen die Medieninhaberin von „Österreich“ ein. Die Beklagte habe das Ausprobieren von Passwörtern, um sich Zugang zu den Datenbanken der Klägerin zu verschaffen, zu unterlassen. Sie habe in ihrem System vertrauliche Daten gespeichert, darunter auch Geschäftsgeheimnisse. Durch die Angriffe habe der Mitarbeiter die Konkurrentin im Hinblick auf die grundrechtlichen Bestimmungen zum Datenschutz und zur Achtung der Geheimsphäre verletzt in ihre schutzwürdigen Interessen eingegriffen.
Die Beklagte wandte ein, die Versuche, auf das System der Klägerin zuzugreifen, habe der Verantwortliche ohne Rücksprache mit der Geschäftsführung, der Chefredaktion oder Ressortleitung durchgeführt. Sein Verhalten beruhe auf seiner eigenen, privaten Initiative, weiters sei der Angreifer umgehend gekündigt worden. Die Beklagte veranlasste eine Presseaussendung via APA-OTS dass sie sich aus den oben genannten Gründen von jeglicher Verantwortung distanzierte.
Das Erstgericht gab dem Klagebegehren statt, ein Vizeleiters unterliege der Kontrolle der Medieninhaberin. Der Versuch des Zugriffs auf fremde Daten sei rechtswidrig, darüber hinaus sogar strafrechtlich relevant. Dies stelle eine vorsätzliche und besonders gravierende Verletzung der Sorgfaltspflichten eines Journalisten dar.
Das Berufungsgericht änderte dieses Urteil im klagsabweisenden Sinn ab. Der Redakteur sei bei seinen Recherchen mangels Erledigung von Angelegenheiten der Beklagten nicht deren Besorgungsgehilfe gewesen. Er möge zwar als untüchtig oder sogar wissentlich gefährlich anzusehen sein, jedoch nicht als Repräsentant der Beklagten. Dadurch, dass jemand eine IP-Adresse Redakteuren eines Mediums zur Verfügung stelle, sei dieser noch nicht Medieninhaber.
OGH: Eingriff in IT-System gleicht Besitzstörung
Der Oberste Gerichtshof stellte das Urteil der ersten Instanz wieder her. Entgegen der Rechtsansicht der Vorinstanzen handle es sich nicht um einen Schadenersatzanspruch. Vielmehr stehe der Klägerin ein Unterlassungsanspruch gegen unbefugtes Eindringen in ihr IT-System zu. Es seien daher die von der Rechtsprechung zur Besitzstörung entwickelten Grundsätze auch auf die vorliegende Konstellation zu übertragen. Es sei anerkannt, dass ein derartiger Unterlassungsanspruch sich auch gegen denjenigen richten könne, der die Störung nur mittelbar veranlasst habe. Demnach könne auch vom mittelbaren Störer - das ist derjenige, der die tatsächliche und rechtliche Möglichkeit hat, die auf ihn zurückgehende, seiner Interessenwahrung dienende, aber unmittelbar von Dritten vorgenommene Störhandlung zu steuern und gegebenenfalls auch zu verhindern - Unterlassung und nicht bloß Einwirkung auf den unmittelbaren Störer begehrt werden.
OGH: Abhilfemöglichkeit des Arbeitgebers reicht für Verantwortung aus
Handle der unmittelbare Störer im Interesse oder im Verantwortungsbereich eines Dritten, so wäre dem Gestörten mit einem Anspruch bloß gegen den jederzeit austauschbaren unmittelbaren Störer wenig geholfen. Diese Überlegungen ließen sich auf den vorliegenden Fall übertragen. Die Beklagte habe den Computer mit der entsprechenden IP-Adresse zur Verfügung gestellt. Damit habe die Beklagte aber schon aufgrund dieses Umstands Einfluss auf Art und Weise der Benutzung dieses Anschlusses. Im Übrigen habe die Beklagte nach ihrem eigenen Vorbringen offenbar sogar direkte Durchgriffsrechte, hätte doch der Geschäftsführer der Beklagten den betreffenden Redakteur direkt suspendieren können.
Resumee - Haftung der Unternehmen auch ohne Schaden
Was auf den ersten Blick eher als skurriles Detail im Streit zwischen zwei Unternehmen anmutet, ist im Endeffekt ein wegweisendes Urteil. Die Haftung von Arbeitgebern für „Eigenaktionen“ einzelner Mitarbeiter wird damit wesentlich ausgeweitet.
Fehlende interne Sicherheits- und Kontrollmaßnahmen können bei Betrieben rasch zu hohen zivil- und strafrechtlichen Verpflichtungen führen.
Durch die beiden Erstinstanzen war der Sachverhalt auch grob falsch bewertet worden. Nicht ein Schaden und Schadenersatz war entscheidend, sondern schon der Versuch der Störung. Damit gelten laut OGH die vereinfachten Bewertungskriterien eines Besitzstörungsverfahrens.
Schon der Umstand, dass der Arbeitgeber sich seine Mitarbeiter aussuchen kann, ihnen die Arbeitsressourcen übergibt, ein Weisungs- und Kontrollrecht hat und die Mitarbeiter letztlich in seinem Interesse tätig werden, führt zu dessen Verantwortlichkeit für rechtswidrige Eingriffe. Dies ist auch zu begrüßen - ein Unterlassungsanspruch nur gegen den unmittelbaren Täter wäre hier so gut wie wirkungslos.
Abhilfe schafft in solchen Fällen nur ein wirksames internes Sicherheitssystem, dass derartige Fälle verhindert.
Auswirkungen auf andere Internetverwendungen?
Unklar ist, ob sich die OGH-Beurteilung nur auf das Arbeitsverhältnis beschränkt. Analoge Anwendungsmöglichkeiten ergeben sich, wenn zum Beispiel ein Minderjähriger mit dem Computer der Eltern derartige Eingriffe setzt.
Gleiches gilt auch für Betreiber eines Internetcafes? Auch dieser stellt die Computer oder zumindest den Einwahlknoten zur Verfügung und hat beschränkte Kontrollmöglichkeiten bezüglich des Internetzugangs.
Offenbar hat der OGH - bewusst oder unbewusst - ein ganz neues Feld in der Auseinandersetzung zur freien Internetnutzung eröffnet.
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
mehr --> Datenverwendung im Unternehmen
mehr --> ftp://ftp.freenet.at/beh/OGH_6Ob126_12s.pdf
|
