Praxis des IT-Rechts (eBook)

Horst Speichert ist Rechtsanwalt und Lehrbeauftragter an der Universität in Stuttgart und arbeitet seit vielen Jahren spezialisiert im Bereich der Neuen Medien. Schwerpunkt seiner Tätigkeit sind das EDV-Recht und der Datenschutz, insbesondere auch als Referent und Seminarleiter im Internetrecht und der IT-Security.

Vorwort 2. Auflage 6
Vorwort 1. Auflage 8
Inhaltsverzeichnis 10
1 Verträge im elektronischen Geschäftsverkehr 20
1.1 Vertragsschluss im Netz 20
1.1.1 Angebot und Annahme 20
1.1.1.1 Zwei übereinstimmende Willenserklärungen 20
1.1.1.2 Kaufmännisches Bestätigungsschreiben 22
1.1.2 Beweisschwierigkeiten 22
1.1.2.1 Ausgangssituation 22
1.1.2.2 Beweislast 23
1.1.2.3 Anscheinsbeweis 24
1.1.2.4 Zurechnung 25
1.1.2.5 Sonstige Beweiserleichterungen 26
1.1.3 Zugang der Willenserklärungen, insbesondere von E-Mails 27
1.1.3.1 Grundregeln des Zugangs 27
1.1.3.2 Machtbereiche und Risikoverteilung 27
1.1.3.3 Objektive Möglichkeit der Kenntnisnahme, Zugangsfiktion 29
1.1.3.4 Zugangsvereitelung 30
1.1.3.5 Zugangsbeweis 31
1.1.4 Fazit 32
1.2 Online-AGB 32
1.2.1 Kriterien wirksamer Einbeziehung 33
1.2.1.1 Deutlicher Hinweis 33
1.2.1.2 Zumutbare Kenntnisnahme 33
1.2.2 Einbeziehungsnachweis 34
1.2.3 Gesetzliche Inhaltskontrolle 35
1.2.4 Besonderheiten bei Unternehmen/Kaufleuten 35
2 Digitale Signatur und elektronische Form 38
2.1 Erweiterung der Formvorschriften 38
2.2 Probleme des E-Commerce 39
2.3 Die elektronische Form 40
2.4 Technische Voraussetzungen nach dem Signaturgesetz 41
2.5 Die Textform 42
2.6 Beweisführung mit der elektronischen Form 45
2.7 Übermittlung von Schriftsätzen im Gerichtsverfahren 47
3 Online-Handel 50
3.1 Allgemeine Informationspflichten 50
3.1.1 Impressumspflicht 50
3.1.1.1 Anwendungsbereich 51
3.1.1.2 Katalog der Einzelpflichten 52
3.1.1.3 Leichte Erreichbarkeit 54
3.1.1.4 Rechtsfolgen bei Verstoß 54
3.1.2 Besondere Informationspflichten bei kommerzieller Kommunikation 55
3.1.3 Pflichten im elektronischen Geschäftsverkehr 55
3.1.4 Pflichtangaben in E-Mails 56
3.2 Fernabsatzbestimmungen 59
3.2.1 Gesetzliche Grundlagen 59
3.2.2 Persönlicher Anwendungsbereich 59
3.2.3 Sachlicher Anwendungsbereich 60
3.2.3.1 Distanzgeschäft durch Fernkommunikationsmittel 60
3.2.3.2 Fernabsatzbetriebsorganisation 60
3.2.3.3 Sachliche Ausnahmen und Grenzfälle 61
3.2.4 Verhältnis zu anderen Verbraucherschutzbestimmungen 63
3.2.5 Spezielle Informationspflichten gegenüber dem Verbraucher 64
3.2.5.1 Informationspflichten vor Vertragsschluss 64
3.2.5.2 Informationspflichten nach Vertragsschluss 65
3.2.6 Widerrufsrecht 66
3.2.7 Beweislast 69
3.2.8 Praktische Umsetzung 69
3.3 Rechtsfragen bei Online-Auktionen 72
3.3.1 Verbraucher oder Unternehmer 72
3.3.2 Zustandekommen des Vertrages 73
3.3.3 Scheingebote 74
3.3.4 Zulässigkeit von Hilfsmitteln 75
3.3.5 Minderjährige Geschäftspartner 75
3.3.6 Widerrufsrecht nach Fernabsatzrecht 76
3.3.7 Gewährleistungsansprüche 77
3.3.8 Kollision mit Marken- und Schutzrechten 78
3.3.9 Transportrisiko 78
3.3.10 Zahlungsmodalitäten 79
3.3.11 Missbrauchsfälle 80
3.4 Das neue Telemediengesetz (TMG) 81
4 Haftungsfragen 86
4.1 Problemstellung — haftungsrelevante Inhalte 86
4.2 Das Haftungsszenario 87
4.3 Die Haftung nach dem TDG 89
4.3.1 Gesetzliche Regelung 90
4.3.2 Haftungsprivilegierung 90
4.3.3 Teledienste 91
4.4 Haftung für eigene Inhalte 92
4.5 Haftung für Fremdinhalte 93
4.5.1 Kenntnis als Voraussetzung 93
4.5.2 Aktive Nachforschung 94
4.5.3 Evidenzhaftung für Schadensersatz 95
4.5.4 Kenntniszurechnung 96
4.5.5 Weisungsverhältnisse 97
4.5.6 Zumutbarkeit der Sperrung 98
4.5.7 Absolute Haftungsprivilegierung 100
4.5.8 Persönliche Haftung von Mitarbeitern 101
4.5.9 Allgemeine Störerhaftung 102
4.6 Verkehrssicherungspflichten und Organisationsverschulden 103
4.7 Haftung für Links 106
4.8 Haftung für Viren 108
4.8.1 Erscheinungsformen 108
4.8.2 Deliktische Ansprüche 110
4.8.3 Umfang der Verkehrspflichten 111
4.8.4 Vertragliche Ansprüche 114
4.8.5 Einwendungen gegen Schadensersatzansprüche 114
4.8.6 Verantwortlichkeit der Mitarbeiter 116
4.9 Haftungsausschlüsse 116
4.9.1 Disclaimer 116
4.9.2 Allgemeine Geschäftsbedingungen 117
4.10 Das IT-Sicherheitskonzept 118
4.10.1 Ganzheitliche IT-Sicherheit 118
4.10.2 Maßnahmen zur Haftungsprävention 121
5 Internetnutzung am Arbeitsplatz 126
5.1 Private oder dienstliche Internetnutzung 126
5.2 Erlaubte oder verbotene Privatnutzung 127
5.2.1 Ausdrückliche Erlaubnis 127
5.2.2 Konkludente Erlaubnis 128
5.2.3 Betriebliche Übung (Betriebsübung) 129
5.2.4 Beseitigung der Erlaubnis 131
5.2.5 Umfang der Erlaubnis 133
5.3 Missbrauch und Pflichtverstöße 135
5.4 Arbeitsrechtliche Sanktionen bei Pflichtverstößen 138
5.4.1 Unverbindlicher Hinweis und Abmahnung 138
5.4.2 Fristgebundene Kündigung 140
5.4.3 Fristlose Kündigung 142
5.4.4 Verdachtskündigung 144
5.5 Zivilrechtliche Folgen — Schadensersatz 145
5.5.1 Schadensersatzpflicht des Arbeitnehmers 145
5.5.2 Haftungsmilderung wegen gefahrgeneigter Tätigkeit 147
5.6 Rundfunkgebühren auf Computer 150
5.6.1 Neuartige Rundfunkgeräte 150
5.6.2 Herkömmliche Rundfunkgeräte 151
5.6.3 GEZ-Filter 152
5.6.4 Gebühren und Zweitgerätebefreiung 152
5.6.5 Verschiedene Standorte 153
5.6.6 Telearbeit, Freiberufler 154
5.6.7 Sanktionen bei Verstoß 155
5.6.8 Fallbeispiele 155
6 Datenschutz und Kontrolle 158
6.1 Datenschutz — Grundbegriffe 158
6.1.1 Datenschutzgesetze 158
6.1.2 Rechtsprechung 159
6.1.3 Personenbezogene Daten 160
6.1.4 Gebot der Zweckbindung 162
6.1.5 Präventives Verbot mit Erlaubnisvorbehalt 162
6.1.6 Datenschutzverletzungen 164
6.1.7 Der Datenschutzbeauftragte 166
6.2 Erlaubte Privatnutzung — Datenschutz nach TK-Recht 170
6.2.1 Grundvoraussetzungen des TKG-Datenschutzes 170
6.2.2 Anwendbarkeit auf den Arbeitgeber 170
6.3 Datenschutzpflicht nach TK-Recht 173
6.3.1 Reichweite des Fernmeldegeheimnisses 174
6.3.2 Zulässige Kontrolle trotz Fernmeldegeheimnis 175
6.3.3 Modifizierende Vereinbarungen 177
6.3.4 TKÜV und Vorratsdatenspeicherung 179
6.4 Anwendbarkeit des Teledienstedatenschutzgesetzes (TDDSG) 181
6.5 Unerlaubte oder dienstliche Nutzung — Datenschutz nach dem Bundesdatenschutzgesetz (BDSG) 183
6.5.1 Anwendungsbereich des BDSG 183
6.5.2 Anwendungsvoraussetzungen des BDSG 184
6.6 Vorgaben und Datenschutzpflichten aus dem BDSG 185
6.6.1 Vertraglicher Zweck 186
6.6.2 Das Abwägungsgebot 186
6.6.3 Verhältnismäßigkeitsprinzip 188
6.6.4 Allgemein zugängliche Daten 190
6.6.5 Andere Rechtsvorschriften 190
6.6.6 Einwilligung des Betroffenen 190
6.6.7 Benachrichtigung, Auskunft, Löschung 191
6.7 Datenschutzkonforme Mitarbeiterkontrolle 192
6.8 Richtige Reaktion auf Missbrauch 197
6.9 Beweisverwertungsverbote 199
6.10 Rechtliche Gestaltung des Datenschutzes 200
6.10.1 Die Betriebs- bzw. Dienstvereinbarung — Voraussetzungen und Wirkung 201
6.10.2 Betriebs- bzw. Dienstvereinbarung für die Internetnutzung — Mitbestimmungsrechte 203
6.10.3 Checkliste: Notwendige Regelungspunkte einer Betriebsvereinbarung 204
6.10.4 Formulierungsbeispiel einer Betriebsvereinbarung 205
7 Rechtmäßige Filtersysteme 222
7.1 Rechtliche Zulässigkeit des Spammings 223
7.1.1 Deutsche Rechtslage 223
7.1.2 EU-Rechtslage 224
7.1.3 Juristische Abwehrmöglichkeiten 225
7.1.4 Wer kann gegen Spammer vorgehen? 226
7.1.5 Schadensersatz 226
7.1.6 Gegen wen macht ein Vorgehen Sinn? 227
7.1.7 Kostentragung 228
7.2 Rechtsaspekte des Spam-Filters 228
7.2.1 Reine Markierung 229
7.2.2 Mailunterdrückung durch Aussortieren und Löschen 229
7.2.3 Einsichtnahme in den Spamordner 232
7.2.4 Verantwortlichkeit des Administrators 232
7.2.5 Zugang der —false positives“ 233
7.2.6 Kaufmännisches Bestätigungsschreiben 234
7.2.7 Fazit 235
7.3 Haftungsfragen des Spamfilters 236
7.3.1 Filterpflicht des E-Mail-Providers 236
7.3.2 Filtern durch den Provider 236
7.3.3 Filtern durch den Empfänger 237
7.3.4 Filterpflicht des Empfängers 238
7.4 Rechtliche Leitlinien https-Scanning 239
7.4.1 Konstellationen in der Praxis 239
7.4.2 Technisches Verfahren 241
7.4.3 Mögliche Straftatbestände 241
7.4.4 Datenschutzrechtliche Zulässigkeit 243
7.4.5 Best Practice Beispiel 244
8 Anwendbares Recht und Gerichtszuständigkeit 246
8.1 Problemstellung 246
8.2 Gerichtsstand im Zivilrecht 247
8.2.1 Wohnsitz und Niederlassung 247
8.2.2 Vertragliche Ansprüche 248
8.2.3 Unerlaubte Handlungen 249
8.3 Anwendbares Recht — unerlaubte Handlungen 250
8.3.1 Tatortprinzip und Deliktsstatut 250
8.3.2 Marken- und Domainrecht 252
8.3.3 Wettbewerbsrecht 252
8.3.4 Produkt- oder Produzentenhaftung 254
8.3.5 Datenschutz 254
8.4 Anwendbares Recht — Vertragsbeziehungen 255
8.4.1 Rechtswahl 255
8.4.2 Prinzip der engsten Verbindung 256
8.4.3 Verbraucherschutz 256
9 Risikomanagement, Standards und Zertifizierung 260
9.1 Verpflichtungen zur IT-Sicherheit 260
9.1.1 Privat- und Geschäftsgeheimnisse 260
9.1.2 Personenbezogene Daten 263
9.2 Risikomanagement nach KonTraG 263
9.2.1 Ziele und Zweck des KonTraG 264
9.2.2 Lage- und Risikobericht 264
9.2.3 Anwendungsbereich des KonTraG 267
9.2.4 Risikomanagement — Überwachungssystem 268
9.2.5 Haftung der Geschäftsleitung 270
9.2.6 Beweislast 272
9.2.7 Prüfung durch Aufsichtsrat und Abschlussprüfer 273
9.3 SOX — Sarbanes Oxley Act 275
9.3.1 Zweck von SOX 275
9.3.2 Anwendungsbereich 276
9.3.3 Section 404 und internes Kontrollsystem 276
9.3.4 Behördliche Überwachung und Regelwerke 278
9.3.5 SOX in der EU 279
9.4 Zertifizierung von IT-Sicherheit 279
9.4.1 Vorteile und Standards 280
9.4.2 IT-Grundschutz nach BSI 281
9.5 Vorgaben nach Basel II 283
9.5.1 Ratingverfahren für den Kreditnehmer 283
9.5.2 Anforderungen an den Kreditgeber 284
9.5.3 MaRisk — gesetzliches Regelwerk für Informationssicherheit 284
9.6 Juristische Sicherheit 289
9.6.1 Rechtliche Gestaltung 289
9.6.2 Risikomanagement 290
9.6.3 Datenschutzkonzept 290
9.6.4 Beratung, Schulung, Workshops 291
10 Outsourcing von IT-Dienstleistungen 292
10.1 Ausgangslage 292
10.2 Was ist Outsourcing? 293
10.3 Rangliste der Outsourcing-Vorteile 294
10.4 Rangliste der ausgelagerten Bereiche 294
10.5 Erscheinungsformen 294
10.6 Vorbereitungsphase und Entscheidung 296
10.7 Anbieterauswahl 297
10.8 Vertragsgestaltung 298
10.8.1 Service Level Agreements 298
10.8.2 Das Erfolgskriterium: Werk- oder Dienstvertrag 300
10.8.3 Gemischter Vertrag 301
10.8.4 Gewährleistung 302
10.8.5 Schadensersatz 303
10.9 Berichtswesen/ Reporting 304
10.10 Rechtsfolgen 304
10.11 Rahmenvertrag 304
10.12 Transitionsphase 305
10.13 Ausstiegsszenario, Vertragsbeendigung 306
10.14 Die häufigsten Outsourcing-Fehler 308
11 Archivierungspflichten, Storage, Backup 310
11.1 Handelsrechtliche Aufbewahrungspflichten 310
11.1.1 Einsetzbare Datenträger (verwendbare Speichermedien) 311
11.1.2 Aufbewahrungsfristen nach Handelsrecht 312
11.2 Steuerrechtliche Aufbewahrungspflichten 312
11.2.1 Einsetzbare Datenträger (verwendbare Speichermedien) 313
11.2.2 Außenprüfung 313
11.2.3 Rechnungen und Vorsteuerabzug 314
11.2.4 Aufbewahrungsfristen nach Steuerrecht 314
11.3 Gesetzliche Aufbewahrungspflichten aufgrund sonstiger Vorschriften 315
11.4 Vorlegungspflichten und Beweislast im Prozess 315
11.5 Strafrechtliche Sanktionen 317
11.6 Kollision mit dem Datenschutz, insbesondere die E-Mail-Archivierung 318
12 Hacker, Phishing, Spyware 322
12.1 Pishing 322
12.1.1 Zivilrechtliche Haftung 323
12.1.2 Haftung ohne Verschulden 324
12.1.3 Verschuldensabhängige Haftung 324
12.1.4 Strafbarkeit des Phishing 328
12.2 Hacker-Strafrecht 330
12.2.1 Ausspähen von Daten, § 202a StGB 330
12.2.2 Datenveränderung, § 303a StGB 332
12.2.3 Computersabotage, § 303b StGB 333
12.2.4 Strafbarkeit von Hacker-Tools, § 202c StGB 333
13 Voice over IP, Internettelefonie 336
13.1 Überblick: Gefahren von Voice over IP 337
13.2 Angriffe auf Voice over IP 337
13.2.1 Viren und Trojaner 337
13.2.2 VoIP-Spoofing 338
13.2.3 Möglichkeiten der Sicherung 338
13.3 Rechtliche Sicherheit bei VoIP 339
13.3.1 Eckpunkte zur VoIP-Regulierung 339
13.3.2 Notrufverpflichtung 340
13.3.3 Telekommunikations-Überwachung, TKÜV 340
13.3.4 Sicherheitsanforderungen an VoIP 341
13.3.5 Fernmeldegeheimnis 342
13.3.6 Betriebsverfassungsrecht 343
13.3.7 VoIP-Spamming, SPIT 343
13.3.8 Regulierung von VoIP 343
14 IT-Rechts-Leitfaden 346
14.1 Mit Rechtssicherheit zur Informationssicherheit 346
14.2 Haftungsfragen — Alles was Recht ist! 347
14.2.1 Strafverfolgung und Auskunfspflichten 347
14.2.2 Verkehrssicherungspflichten 348
14.2.3 Störerhaftung für ungesicherte Netzwerke, offene W-LAN 351
14.2.4 Haftungsszenario 352
14.2.5 Rechtsfolgen 352
14.2.6 Eigenhaftung der Mitarbeiter 353
14.2.7 Haftung nach TDG 355
14.3 Compliance und Risikomanagement 355
14.3.1 Haftung der Geschäftsleitung nach KonTraG 355
14.3.2 Anerkannte Standards und Zertifizierung 356
14.3.3 Vorgaben nach Basel II 357
14.3.4 Compliance nach SOX 359
14.4 Archivierungspflichten — mit Sicherheit Recht behalten! 361
14.4.1 Handelsrechtliche Pflichten 361
14.4.2 Steuerrechtliche Pflichten 362
14.4.3 Ordnungsgemäße Buchführung nach GoBS 362
14.4.4 Elektronische Betriebsprüfung nach GDPdU 363
14.4.5 Digitale Rechnungen 364
14.4.6 Archivierung im Eigeninteresse 365
14.5 Rechtssichere https-Scanserver 365
14.5.1 Zulässigkeitsvoraussetzungen 366
14.5.2 Best Practice-Beispiel 367
14.6 Mitarbeiterkontrolle versus Datenschutz — mit einem Bein im Gefängnis? 367
14.6.1 Private Nutzung, Fernmeldegeheimnis 367
14.6.2 Dienstliche Nutzung, unerlaubte Privatnutzung 368
14.6.3 Interessensausgleich durch rechtliche Gestaltung 369
14.6.4 Mitbestimmung der Betriebs- und Personalräte 370
14.6.5 Betriebs- oder Dienstvereinbarungen 370
14.7 Checkliste 372
Sachwortverzeichnis 374

9 Risikomanagement, Standards und Zertifizierung (S. 241-242)

Ist Sicherheit Privatvergnügen? Der Themenbereich „Risikomanagement und Datensicherung" beschäftigt sich mit der Verpflichtung des Unternehmens bzw. seiner Geschäftsleitung, Maßnahmen zur Gewährleistung von IT-Sicherheit zu ergreifen. Die freiwillige Anschaffung von Sicherheitstechnik – insbesondere für den Eigenschutz der Unternehmen – wird in Zeiten knapper finanzieller Budgets zurückgestellt. Gesetzlich verankerte Pflichten zur Installation von IT-Sicherheit sind nicht nur Verkaufsargumente für die Hersteller, sondern helfen auch den Sicherheitsbeauftragten und Administratoren in den Unternehmen, bei der Geschäftsleitung die notwendigen Mittel für die Einrichtung der ITSicherheitstechnik freizumachen. 9.1 Verpflichtungen zur IT-Sicherheit Bei der Frage, welche gesetzlichen Bestimmungen Sicherungspflichten enthalten, stößt man zunächst auf die Straftatbestände des § 203 StGB, 17 UWG sowie § 44 BDSG.

9.1.1 Privat- und Geschäftsgeheimnisse

In § 203 StGB wird die Verletzung von Privatgeheimnissen unter Strafe gestellt. Bestimmte Berufsgruppen wie Ärzte, Apotheker, Rechtsanwälte, Notare, Wirtschaftsprüfer, Steuerberater, soziale und psychologische Beratungsstellen aller Art, Sozialarbeiter, Angehörige von Sozialversicherungen usw. unterliegen hinsichtlich der ihnen anvertrauten Daten einer besonderen Verschwiegenheitspflicht.

Die unbefugte Mitteilung der Geheimnisdaten an Dritte ist strafbar. Gemäß § 203 StGB gehören zu den Berufsgruppen mit Garantenstellung auch alle Amtsträger sowie Personen, die für den öffentlichen Dienst besonders verpflichtet sind. Amtsträger sind nach § 11 Nr. 2 alle Beamten, Richter, Personen in einem sonstigen öffentlich-rechtlichen Amtsverhältnis (z. B. Notare) oder sonstige Funktionsträger der öffentlichen Verwaltung. Umfasst sind Beamte auf allen Ebenen, also Kommunal-, Landes- und Bundesbeamte. Nicht jedoch kirchliche Amtsträger.

Beamter ist nur, wer förmlich in das Beamtenverhältnis bestellt wurde und hoheitliche Aufgaben wahrnimmt. Nicht erfasst sind folglich die herkömmlichen Angehörigen des öffentlichen Dienstes. Allerdings wird man in der Praxis nur schwer trennen können. Ein richterliches Urteil oder eine behördliche Verfügung sind zweifellos Hoheitsakte, so dass die anfallenden Informationen und Daten dem § 203 StGB unterfallen.

Werden zur Datenverarbeitung – was regelmäßig der Fall sein wird – insbesondere auch Angehörige des öffentlichen Dienstes, wie etwa Schreibkräfte, eingesetzt, so ist deren Tätigkeit ebenfalls erfasst, weil den entsprechenden Amtsträger Aufsichts- und Überwachungspflichten treffen. Damit besteht in der praktischen Konsequenz für den gesamten Bereich der öffentlichen Verwaltung die Pflicht, die notwendigen Maßnahmen zur Schaffung von ITSicherheit zu ergreifen. Für den öffentlichen Dienst besonders verpflichtet im Sinne von § 203 Abs. 2 Nr. 2 StGB können insbesondere auch private Unternehmen sein, die z. B. als sonstige Stellen zur Datenverarbeitung von Behörden herangezogen werden. Erfasst sind nach § 203 Abs. 2 Nr. 3 StGB auch Personen, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht der Länder und des Bundes (Personalräte) wahrnehmen.

Unter den Amtsträgerbegriff fällt auch die Wahrnehmung von Aufgaben der öffentlichen Verwaltung durch behördenexterne Personen, also etwa die mit öffentlichen Aufgaben Beliehenen wie z. B. Prüfingenieure für Baustatik. Neben den privatisierten Behörden und privaten Trägern öffentlicher Aufgaben sind auch sonstige Stellen mit öffentlich-rechtlichen Funktionen erfasst, wie etwa Krankenhäuser oder die Treuhand. Ebenso unterfallen dem Amtsträgerbegriff auch die Mitglieder von Organen öffentlich- rechtlicher Körperschaften, etwa leitende Personen öffentlicher Banken, verbeamtete Vorstandsmitglieder kommunaler Sparkassen, Fluglotsen oder in einem privatrechtlich organisierten staatseigenen Betrieb, sofern dessen Aufgaben nicht völlig außerhalb des Tätigkeitsfeldes der Behörde liegen (BGHSt 12,89).