1991/12/31 Haftung bei fehlenden Datensicherheitsmaßnahmen
Die Konstruktion des Datenschutzgesetzes ist durch verbal strenge Formulierungen zum Thema Geheimnisschutz und Verpflichtungen der Datenverarbeiter bekannt.
Redaktionelle Anmerkung: Die zitierten Rechtsstellen beziehen sich auf die gültigen Datenschutzbestimmungen zum Zeitpunkt der Erstveröffentlichung des Artikels (1991).
Im Zuge mehrerer Diskussionen ergab sich die Frage, welche Sanktionen bei Nichteinhaltung der Datensicherheitsbestimmungen (DSG Par.Par. 10, 21) vorgesehen sind.
Zur Erinnerung für die Leser, Par.10 Abs. 2 normiert eine Reihe von Verpflichtungen. Es ist beispielsweise
1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,
2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,
5. die Zugriffsberechtigung auf Daten und Programme und den Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
7. zu prüfen, ob die erforderlichen Datensicherheitsmaßnahmen getroffen sind; zu diesem Zweck sind Aufzeichnungen zu führen, die es erlauben, die Verarbeitungsvorgänge nachzuvollziehen.
Überraschendes Ergebnis der Diskussion: Es sind keinerlei Sanktionen vorgesehen! Wieder einmal entpuppt sich das DSG als "Papiertiger" mit als Recht getarnten moralischen Aufträgen und Absichtserklärungen.
Tatsächlich kann jedoch die Sachlage komplizierter werden, wie die beiden nachstehenden Urteile deutlich machen.
Unter 9 Ob A 182/90 entschied am 29.08.1990 der OGH, daß bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist.
Die Begründung im einzelnen:
UUU war bis 28.9.1988 bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S 114.222,24. Diese Forderung wurde von XXX nicht bestritten, jedoch miteinem "Schaden" von S 200.000.- , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet.
Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden.
Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nurunvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat.
Das Fehlen von Sicherheitsbestimmungen ist aber kein Freibrief zur Nutzung von Datenbeständen für eigene Zwecke. Dazu soll nur ein schon älteres Urteil in Erinnerung gerufen werden, in der eine Buchhaltungskraft den Tatbestand der Untreue erfüllte.
Tatsituation: Eine mit der Bedienung eines Bildschirmes der EDV-Buchhaltung eines Unternehmens betraute Angestellte mißbrauchte die ihr durch Rechtsgeschäft eingeräumte Befugnis, über fremdes Vermögen zu verfügen, indem sie in ihrer Eigenschaft Geldbeträge aus dem Vermögen der Genossenschaft auf zudiesem Zwecke eigens angelegte Privatkonten übertragen hatte.
Unter Gw 296/84 verurteilte das Gericht die Beschuldigte zu einer Freiheitsstrafe von einem Jahr bedingt.
Hervorgehoben wurde in der Urteilsbegründung ausdrücklich die Problematik der fehlenden Datensicherheit: Sowohl die Verbuchung von Belegen als auch die Änderung von Stammdaten konnte ohne Legitimation bzw. ohne Beleg erfolgen. Dieses Fehlen von Sicherheitsmaßnahmen führte jedoch gegenüber demDatenverarbeiter zu keinerlei Sanktion.
Selbstverständlich ist klar, daß eine "offene Tür", als solches ist ein ungeschütztes EDV-System zu qualifizieren, nicht zum Datenmißbrauch berechtigt. Die ARGE DATEN fragt jedoch, welchen Sinn eine Bestimmung (eine Gesetzesstelle) haben kann, wenn Einhaltung oder Nicht-Einhaltung in derVerantwortlichkeit des Datenverarbeiters überlassen bleiben. Immerhin kennt sogar die Straßenverkehrsordnung Sanktionen für den Fall, daß jemand seinen PKW unversperrt und unbeaufsichtigt abstellt.
|
