Rechtsfragen und Rechtsprobleme in der Wirtschaftsinformatik - Strafrechtliche Regelungen

Aus FernFH MediaWiki
Zur Navigation springen Zur Suche springen

Strafrechtliche Regelungen

Angriffe auf und Missbrauch von Hardware und Software

Ursprünglich wurde versucht, die absichtliche Beschädigung und Zerstörung von Hard- und Software durch Anwendung der bestehenden §§ 125 und 126 StGB 1975 (Strafgesetzbuch von 1975) abzudecken, was sich allerdings auf Grund der im Jahr 1975 noch nicht abzusehenden rasanten technischen Entwicklung bald als völlig unzulänglich herausstellte. Novellen des Strafrechts in den Jahren 1984 und 2002 führten dann zu eigenen Strafbestimmungen, deren wichtigste eine Ergänzung der Sachbeschädigung (§§ 125 f StGB) und ein eigener Paragraph zur Abdeckung der Datenbeschädigung (§ 126a StGB) sind.

Da dennoch einige Lücken weiter bestanden hätten, wurde auch für die Problematik der Störung der Funktionalität eines Computersystems (§ 126b StGB) und des Missbrauch von Computersystemen (§ 126c StGB) geschaffen. wurde Datendiebstahl in den Diebstahlsregelungen der §§ 127 ff StGB enthalten, die sog. Dauernde Sachentziehung in § 135 StGB ist auch auf IT-Systeme anzuwenden.

Neue Regelungen wurden in Erweiterung der Betrugsdelikte für Betrügerischen Datenverarbeitungsmissbrauch (§ 148a StGB) und der Urkundenfälschung für Datenfälschung (§ 225a StGB) eingeführt.

„Anti-Hacker-Gesetzgebung“

Erweiterungen des bestehenden Strafrechts decken nur jene Bereiche ab, in denen im klassischen Sinn des Strafrechts Rechtsverletzungen (z.B. Diebstahl, Beschädigung, Fälschung) vorliegen. Die Informationstechnologie hat jedoch auch einige völlig neue Delikte (Straftatbestände) geschaffen, die entsprechend neu zu regeln sind. Die bekanntesten Gruppen darunter werden meist als sog. „Anti-Hacker- Gesetzgebung“ zusammengefasst. So wird in § 118a StGB der Widerrechtlicher Zugriff auf ein Computersystem unter Strafe gestellt, in § 119a StGB das Missbräuchliches Abfragen von Daten. Der Geheimnismissbrauch ist in § 102 TKG (Telekommunikationsgesetz) und § 120 Abs. 2a StGB als Straftatbestand festgehalten. Die Verletzung von Rechten der Benutzer*innen wird in § 103 TKG unter Strafe gestellt, die Missbräuchliche Verwendung von Endgeräten in § 104 TKG. Dieser Paragraph des Telekommunikationsgesetzes führt auch zur Strafbarkeit von Spam nach österreichischem Recht.

Strafbestimmungen zum Schutz Geistigen Eigentums

§ 18 Abs. 1 ECG hält fest, dass keine Überwachungs- und Nachforschungspflicht für Provider zum Schutz des geistigen Eigentums existiert.

Die Nachahmung von Hardware kann nach § 159 PatG (Patentrechtsgesetz) bestraft werden, die Verletzung von Gebrauchsmustern nach dem in § 35 MuSchG (Musterschutzgesetz) geregelten Musterschutz.

Eine eigene Regelung gibt es auch zum Rechtsschutz für Mikrochips, den

§ 22 HlSchG (Bundesgesetz über den Schutz der Topographien von mikroelektronischen Halbleitererzeugnissen BGBl 1988/372 idgF)

Strafbestimmungen zur Absicherung des Datenschutzes

Bereits im DSG 2000 und DSG 2010 (Datenschutzgesetz 2000 bzw. 2010) existierten eigene Strafbestimmungen für den Fall der Datenverwendung in Gewinn- oder Schädigungsabsicht:

§ 51. (1) Wer in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen, personenbezogene Daten, die ihm*ihr ausschließlich auf Grund seiner*ihrer berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er*sie sich widerrechtlich verschafft hat, selbst benützt, einem*einer anderen zugänglich macht oder veröffentlicht, obwohl der*die Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.

(2) Der*die Täter*in ist nur mit Ermächtigung des*der Verletzten zu verfolgen.

Die Verwaltungsstrafbestimmung im DSG 2000 ist wie folgt festgehalten:

§ 52. (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 260 000 S zu ahnden ist, wer

  1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder
  2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm*ihr gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder
  3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtig stellt oder nicht löscht oder
  4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht.

§ 51 Abs. 2 DSG 2000

(2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 130000 S zu ahnden ist, wer

                   1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine*ihre Meldepflicht gemäß § 17 erfüllt zu haben oder

                   2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission                         gemäß § 13 eingeholt zu haben oder

                   3. seine*ihre Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24 oder 25 verletzt oder

                   4. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt.

      (3) Der Versuch ist strafbar.

      (4) Die Strafe des Verfalls von Datenträgern und Programmen kann ausgesprochen werden (§§ 10, 17 und 18 VStG),                     wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.

      (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der*die                           Auftraggeber*in (Dienstleister*in) seinen*ihren gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht               gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig.

Art. 83 und 84 DSGVO – Allgemeine Bedingungen für die Verhängung von Geldbußen und Sanktionen

Die in der DSGVO im Vergleich zu bisherigen Regelungen vorgesehenen sehr hohen Geldbußen werden noch immer intensiv diskutiert. In den Hinderungsgründen zur DSGVO wird unter anderem die Notwendigkeit von Strafen begründet:

(148) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden ...

(149) Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen für Verstöße gegen diese Verordnung, auch für Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene nationale Vorschriften, festlegen können. Diese strafrechtlichen Sanktionen können auch die Einziehung der durch die Verstöße gegen diese Verordnung erzielten Gewinne ermöglichen. Die Verhängung von strafrechtlichen Sanktionen für Verstöße gegen solche nationalen Vorschriften und von verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof ausgelegt worden ist, führen.

(150) Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Das Kohärenzverfahren kann auch genutzt werden, um eine kohärente Anwendung von Geldbußen zu fördern. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die Aufsichtsbehörden bereits Geldbußen verhängt oder eine Verwarnung erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe dieser Verordnung verhängen.

Artikel 83 - Allgemeine Bedingungen für die Verhängung von Geldbußen

  1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
  2. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

    1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

    2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

    3. jegliche von dem*der Verantwortlichen oder dem*der Auftragsverarbeiter*in getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

    4. Grad der Verantwortung des*der Verantwortlichen oder des*der Auftragsverarbeiter*in unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

    5. etwaige einschlägige frühere Verstöße des*der Verantwortlichen oder des*der Auftragsverarbeiter*in;

    6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

    7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

    8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der*die Verantwortliche oder der*die Auftragsverarbeiter*in den Verstoß mitgeteilt hat;

    9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den*die betreffende*n Verantwortliche*n oder Auftragsverarbeiter*in in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

    10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

    11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

  1. Verstößt ein*e Verantwortliche*r oder ein*e Auftragsverarbeiter*in bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

  2. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

    1. die Pflichten der Verantwortlichen und der Auftragsverarbeiter*innen gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

    2. die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

    3. die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. 4.5.2016 L 119/82 Amtsblatt der Europäischen Union DE

  1. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

    1. die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

    2. die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

    3. die Übermittlung personenbezogener Daten an eine*n Empfänger*in in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

    4. alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

    5. Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

  1. Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

  2. Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.

  3. Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.

  4. Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.

Artikel 84 - Sanktionen

  1. Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen — fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
  2. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.

Wirtschaftskriminalität und Spionage

Zum Schutz der Information und als Gegenmaßnahme gegen IT- spezifische Wirtschaftskriminalität finden folgende Regelungen Anwendung:

Geheimhaltungspflicht nach UWG:

Gegen § 11 UWG Abs. 1verstößt, wer als Bedienstete*r eines Unternehmens Geschäfts- oder Betriebsgeheimnisses, die ihm*ihr aufgrund des Dienstverhältnisses anvertraut oder sonst zugänglich geworden sind, während der Geheimhaltungsdauer des Dienstvertrages unbefugt anderen zu Zwecken des Wettbewerbs mitteilt.

Täterschaft Dritter nach UWG:

Dritte zählen nach § 11 UWG Abs. 2 zum Täterkreis, wenn sie das Betriebsgeheimnis von einem*einer Bediensteten oder durch eine gegen das Gesetz oder die guten Sitten verstoßende eigene Handlung erfahren haben und es mit Wettbewerbsabsicht unbefugt verwerten oder anderen mitteilen.

Zugangskontrollgesetz

Die Rechtsfolgen von Eingriffen in das Recht auf Zugangskontrolle sind in § 10 ZuKG geregelt.

Übungsbeispiele 

Übungsbeispiel 8.1:

Botnet

Ein Unternehmensserver wird von Hacker*innen erfolgreich angegriffen und dann als Teil eines Botnets zur Verbreitung von Spam missbraucht. Der*die Täter*in wird durch gezielte Überwachung von Systemaktivitäten nach 2 Monaten ausgeforscht und die dabei gesammelte Information wir der Polizei übergeben. Welche Strafbestimmungen sind anwendbar?


Übungsbeispiel 8.2:

Industriespionage

Nach einem erfolgreichen Hacker-Angriff gelingt es, Spionagesoftware auf einem Unternehmensserver zu installieren und Konstruktionspläne auszuspionieren. Die erbeuteten Konstruktionspläne werden anschließend an ein Konkurrenzunternehmen verkauft, das sich der Herkunft der Pläne bewusst ist. Wer kann in diesem Fall mit Hilfe welcher Strafbestimmungen belang werden?


Übungsbeispiel 8.3:

Manipulation von Daten

Ein Unternehmensserver wird von Hacker*innen erfolgreich attackiert. Diese verändern Konstruktionspläne für Maschinenteile so, dass die Pläne unbrauchbar werden. Aufgrund von auf dem angegriffenen Server festgestellten Spuren können die Täter*innen ausgeforscht werden. Nach welchen gesetzlichen Regeln können diese Täter*innen bestraft werden?

Zusammenfassung der Inhalte 

Lektion 8 ist den strafrechtlichen Vorschriften zum Schutz von Daten und IT-Systemen gewidmet. Neben den zentralen Regelungen des Strafgesetzbuches werden auch andere wichtige Vorschriften des österreichischen Rechts behandelt.

Abgerufen von „https://mediawiki.fernfh.ac.at/mediawiki/index.php?title=Rechtsfragen_und_Rechtsprobleme_in_der_Wirtschaftsinformatik_-_Strafrechtliche_Regelungen&oldid=5575