News OGH: Haftung für unrechtmäßige Datenbankzugriffe durch Dritte

[Fetter Fettsack]

In einer erst jetzt einer breiteren Öffentlichkeit bekannt gewordenen Entscheidung des obersten Österreichischen Gerichtshofes für Zivilsachen aus dem Februar hat dieser seine bisherige Judikatur bekräftigt, wonach Personen auch mittelbar über den Weg der Störerhaftung belangbar sind.

Zur News: OGH: Haftung für unrechtmäßige Datenbankzugriffe durch Dritte

 

[Euphoria]

Wenn das jetzt noch für Serverbetreiber zutreffen würde, die ihre Server unzureichend schützen, würden die Berichte über gehackte Server vielleicht etwas abnehmen.

 

[DeusExMachina]

Das gilt jetzt aber nur für Österreich.



@Euphoria:

Die Berichte darüber ja, ob die Anzahl der erfolgreichen "Hackversuche" da durch sinkt bezweifel ich doch stark.

 

[acc]

@Euphoria:

Die Berichte darüber ja, ob die Anzahl der erfolgreichen "Hackversuche" da durch sinkt bezweifel ich doch stark.

das nicht, aber die betreiber würden mehr in ihre sicherheit investieren um hackversuche so erfolglos wie möglich zu machen.

 

[Eagle-PsyX-]

@Euphoria
Und die Stellenangebote für verlässliche Serveradministratoren zunehmen ;-)

 

[Zerhacker]

In Zukunft müssen sich dann Baumärkte oder werkzeughersteller dafür verantworten, dass sie ihr Werkzeug für Einbrüche oder Diebstähle zur Verfügung gestellt haben.

 

[Fetter Fettsack]

Und wie hat der Baumarkt die Möglichkeit, dies zu verhindern? Indem er etwa nichts mehr verkauft? Diese Argumentation ist doch ziemlich an den Haaren herbeigezogen, denn natürlicherweise bezieht sich eine solche Haftung nur auf Fälle, wo diese Einwirkmöglichkeit zumutbar ist, was in deinem Beispiel eben nicht der Fall ist.

 

[Forum-Fraggle]

Und wie hat der Baumarkt die Möglichkeit, dies zu verhindern? Indem er etwa nichts mehr verkauft? Diese Argumentation ist doch ziemlich an den Haaren herbeigezogen, denn natürlicherweise bezieht sich eine solche Haftung nur auf Fälle, wo diese Einwirkmöglichkeit zumutbar ist, was in deinem Beispiel eben nicht der Fall ist.

Also wenn ich das weiter unten im Artikel (hacken der Seite durch Paßwort raten) angeführte Urteil lese, muß ich sagen, sein Vergleich hinkt nicht. Denn dort nutzte der Beklagte einen Rechner auf der Arbeit um das Paßwort zu erraten. Da aber, so habe ich es verstanden, in seinem Beruf ein Rechner zur Arbeitsausstattung gehört, ist es ein seltsames Urteil.

 

[onetwoxx]

Also ich bin der Meinung das die Angestellten sowieso direkten Zugriff auf die Krankenakten haben. Wer sollte sonst die Daten in der DB aktualisieren, der Arzt sicherlich nicht. Er behandelt die Patienten am laufenden Band und nach seinem Arbeitstag wird er wohl kaum mit der DB aktualisierung von Patientenakten anfangen.

Der Arzt soll seine Patienten behandeln und nicht seine Mitarbeiter überwachen müssen. Wenn die Angestellte auf eigene Faust Daten abruft, dann ist Sie nunmal verantwortlich sonst niemand.

Wieder mal so ein sinnfreies Urteil

 

[RaiseHell]

Da aber, so habe ich es verstanden, in seinem Beruf ein Rechner zur Arbeitsausstattung gehört, ist es ein seltsames Urteil.

Meine Meinung. Aber vielleicht wurde da irgendein wichtiges Detail nicht erwähnt. Hab versucht, aus der dazu verlinkten Entscheidung schlau zu werden, aber als normaler Mensch kann man solche Texte nur mit Mühe sinnerfassend lesen. Ich hab jedenfalls nach einigen Absätzen entnervt aufgegeben.

Wenn die Angestellte auf eigene Faust Daten abruft, dann ist Sie nunmal verantwortlich sonst niemand.

Wieder mal so ein sinnfreies Urteil

Das Urteil ist in diesem Fall in Ordnung. Ich arbeite selbst im e-Health-Bereich und wir haben strikte Anweisung, bei Verlassen des Arbeitsplatzes unseren Computer immer zu sperren, weil von diesen der Zugriff auf äußerst sensible bzw. vertrauliche Daten möglich ist. Und diese Anweisung haben wir trotz der Tatsache, dass unser Bereich vom Rest des Gebäudes gesondert abgesichert ist. Das Sperren des Computers beim Verlassen des Raumes ist dem Arzt also in jedem Fall zumutbar.

 

[Akula]

Verstehe nicht, wieso man die News nicht eindeutiger kennzeichnet - zumindest in der Überschrift - nämlich das es sich hier um Österreich handelt. CB ist ja eine Plattform aus Deutschland mit .de Endung.

Ich habe ja nichts gegen News aus Österreich, aber erstens sind diese sehr selten und zweitens wird die Userschaft nur verunsichert, wenn man keine entsprechende Kennzeichnung vornimmt.

 

[Grundkurs]

Es sollte eigentlich zur journalistischen Sorgfalt gehören in der Überschrift zu erwähnen, dass sich der komplette Artikel nur auf Österreich bezieht. So habe ich ihn eben angeklickt weil ich dachte, es geht um ein deutsches Gericht und stelle fest, dass der komplette Text überhaupt nichts mit inländischer Rechtsprechung zu tun hat. Schwach.

 

[Fetter Fettsack]

Also wenn ich das weiter unten im Artikel (hacken der Seite durch Paßwort raten) angeführte Urteil lese, muß ich sagen, sein Vergleich hinkt nicht. Denn dort nutzte der Beklagte einen Rechner auf der Arbeit um das Paßwort zu erraten.

Und wo ist da das Gleichnis zum Baumarkt? Weder verwenden dessen Mitarbeiter die angepriesenen Gerätschaften (zumindest ist mir noch nie derartiges untergekommen) im Zuge ihrer Arbeit, noch kann man den Baumärkten zurechnen, was deren Kunden mit den gekauften Werkzeugen anstellen. Ich sehe deinen Punkt nicht.

Weiters ist da offenbar ein Malheur bei der Korrektur geschehen, denn im Urteil steht nichts von einem Arbeitsverhältnis zwischen Frau und Arzt. Daher ist auch die Frage, inwieweit Angestellte hier Zugriff auf etwas haben, vorerst nicht relevant.

Es sollte eigentlich zur journalistischen Sorgfalt gehören in der Überschrift zu erwähnen, dass sich der komplette Artikel nur auf Österreich bezieht. So habe ich ihn eben angeklickt weil ich dachte, es geht um ein deutsches Gericht und stelle fest, dass der komplette Text überhaupt nichts mit inländischer Rechtsprechung zu tun hat. Schwach.

Es steht explizit im Text, dass es sich um ein österreichisches Gericht handelt, es wird am Ende nochmals darauf hingewiesen. Zudem ging ich davon aus, dass die Bezeichnungen der höchstinstanzlichen Gerichte Deutschlands allgemein bekannt sind (BGH, BVGH), sodass mir der Präfix 'OGH' als selbsterklärend erschien. Letztlich kann ich nicht endlose Überschriften gestalten, was aber notwendig wäre, wenn ich da stilistisch akzeptabel auch noch das Wort 'Österreich' unterbringen wollen würde.

 

[Taigabaer]

Also bei mir im Finanzamt hat man die Steuerpflichtigen "aus dem Büro geschmissen" und abgeschlossen, sobald man aus einem anderen Zimmer was holen mußte, auch wenns nur 5 Minuten sind. Das ist Vorschrift durch die Datenschutzbestimmungen.

Denn wenn das nicht so wäre könnte ein korrupter Mitarbeiter bewußt dem Steuerpflichtigen gegen Gefälligkeiten Zugang zu Daten verschaffen und sich danach rausreden: "Ich kann doch nichts dafür dass der an meinen Computer/Akten ging".

Das Urteil ist schon richtig.

 

[onetwoxx]

gelöscht, wegen Textänderung

 

[Fetter Fettsack]

Nochmals: da ist ein Fehler bei uns passiert, es steht nichts davon im Urteil, dass es eine Angestellte war. Es dürfte sich um eine Privatperson gehandelt haben.

 

[onetwoxx]

Lieber Fetter Fettsack

Schau mal hier http://www.ogh.gv.at/de/entscheidungen/weitere/haftung-fuer-offenen-zugang-zu-einer-password

Da ist es weitausersichtlicher um was es genau geht. Die Beschuldigte ist die (Noch-)Lebensgefährtin des Arztes, die die Krankenakte ihres Noch-Ehemannes aufgerufen hat, während ihr (Noch-)Lebensgefährte , der Arzt, vergessen hat den PC zu sichern.

Wie die Lebensgefährtin überhaupt in das Dienstzimmer kam, wäre weitaus interessanter, die sind nämlich abgeschlossen

 

[Fetter Fettsack]

Ich kenne diese Seite durchaus, schließlich ist das ja meine Quelle (bzw. der Volltext des Urteils).

Allerdings wollte ich in der News nicht die Details zu diesem Fall ausrollen, sondern nur die mir als wesentlich erscheinende Judikatur wiedergeben.

 

[Luxuspur]

Wenn das jetzt noch für Serverbetreiber zutreffen würde, die ihre Server unzureichend schützen, würden die Berichte über gehackte Server vielleicht etwas abnehmen.

Ja aber nur weil die dann verschwiegen werden würden um nicht in Schwierigkeiten zu kommen ...nicht weil die plötzlich besser gesichert wären ... als für den User eher schlechter! Im Moment wird man wenigstens informiert und kann selber reagieren ...

 

[Straputsky]

Also wenn ich das weiter unten im Artikel (hacken der Seite durch Paßwort raten) angeführte Urteil lese, muß ich sagen, sein Vergleich hinkt nicht. Denn dort nutzte der Beklagte einen Rechner auf der Arbeit um das Paßwort zu erraten. Da aber, so habe ich es verstanden, in seinem Beruf ein Rechner zur Arbeitsausstattung gehört, ist es ein seltsames Urteil.

Ich habe das auch mal überflogen und so verstanden: Der Journalist hatte mit seinem PC auf der Arbeit versucht, sich in eine andere Firma einzuhacken. Die Zeitung wurde deshalb verantwortlich gemacht, weil sie es unterlassen hat entsprechende Maßnahmen zu ergreifen, damit sich dieser Vorfall nicht wiederholt.
Hier geht es also sogar noch weiter, denn es war eigentlich unerheblich ob es der PC auf der Arbeit war oder der eigene zuhause. Dem OGH ging es vor allem um die Wiederholungsgefahr und was die Zeitung dagegen unternommen hat, um diese einzudämmen (z.B. durch Belehrung/Aufklärung der Mitarbeiter). Hierzu ist vor allem der Schluss recht interessant:

5.2. Der bloße Umstand, dass der Redakteur nicht mehr bei der Konzerngesellschaft der Beklagten beschäftigt ist, führt noch nicht zum Wegfall der Wiederholungsgefahr, ist doch nicht ausgeschlossen, dass andere Mitarbeiter aus ähnlichen Überlegungen vergleichbare Rechtsverstöße setzen. Die Beklagte hat auch nicht behauptet, aus Anlass des betreffenden Falls entsprechende generelle Anweisungen erlassen zu haben. Weder hat die beklagte Partei ihre übrigen Mitarbeiter aufgefordert, vergleichbare Rechtsverstöße zu unterlassen (vgl 4 Ob 156/09h), noch hat sie entsprechende Aufklärungsmaßnahmen gesetzt (vgl 4 Ob 67/94). Selbst die Freistellung des Redakteurs ist erst unter dem Druck des Prozesses erfolgt. Derartige Maßnahmen führen aber nie zum Wegfall der Wiederholungsgefahr (4 Ob 155/90; 4 Ob 24/05s).

Aus meiner Sicht steht dieses Urteil daher weniger in der Linie mit dem Urteil über die Krankenakte. Dort ging es um einen ungesicherten PC und dass der Arzt dies von vornherein gänzlich hätte verhindern können. Hier geht es vor allem darum, dass sich ein entsprechender Vorfall nicht wiederholt. Dass das Ganze mit einem PC auf der Arbeit geschah, war für dieses Urteil nicht relevant. Die Zeitung profitiert ja durch einen guten Artikel. Der OGH will, dass die Zeitung künftig mehr aufpasst, damit ihre Mitarbeiter keine illegalen Wege wählen, um gute Artikel zu recherchieren. Dem OGH wird auch bewusst sein, dass sich derartige Probleme in der Praxis nicht gänzlich ausschließen lassen. Dies entbindet aber eben nicht von der Pflicht, es zumindest zu versuchen.