[Discuss] Gesetzliche Haftung

[Matthias Šubik]

Hallo,
wir kommen dem Kern schon näher.

TL;DR: seit nicht päpstlicher als der Papst, separaten Router aufstellen, Nutzungsbedingungen aushängen, fertig. Ggf. von einem Hotspotanbieter, wenn ihr das nicht auf “eurer IP” haben wollt. Der tunnelt das dann. Und falls Dir das niemand glaubt, hier mal ein paar Killerargumente für die Möchtegern-Stasi … weil seit zehn Jahren hör ich das immer wieder von Arbeitgebern, und alle die auch zuhören können, sind für die folgenden Argumente empfänglich:


> On 22.08.2016, at 12:09, Marius Pfeffer <(spam-protected)> wrote:
...
>  Wir sind ein Verein? mit ~35 erwachsenen und jugendlichen Mitgliedern. Wir haben ein internes Netzwerk für unsere Arbeit (Drucker, paar PCs, NAS usw.) zu dem nur eine Hand voll Leute Zugriff hat sowie ein allgemeines Wlan Netzwerk um allen Mitgliedern einen freien (WPA2 geschützten) Internetzugang zur Verfügung zu stellen. 

Teil A)
Internes Netz ist quasi wie ein Arbeitsplatz, und bei dem gibt es Nutzungsbedingungen. Z.B. nicht privat surfen, alles wird von anderen gelesen.

Teil B)
Das Netz zur privaten Nutzung, egal ob WLAN oder LAN erlaubt ja explizit die private Nutzung. Hier legt der Gesetzgeber hohe Ansprüche an. Gibt es eine Vielzahl an Urteilen, dass ich zwar z.B. die Nutzung von jugendgefährdenden Seiten allen Nutzern verbieten kann, und sogar filtern, aber ich darf nicht den Rest loggen. Ich darf ggf. Verletzungen der Regeln loggen, wenn diese sanktioniert sind. Das wäre ja Durchsetzung. Ich würde nichts “auf Verdacht” speichern, was ich nicht sicher begründen kann, oder was nicht vorher anonymisiert ist. 

> 
> Wir hatten vor einigen Jahren einmal Probleme mit Viren auf Windows basierenden Rechnern, sowie des herunterladens von illegalem Content wegen eines ehemaligen Mitglieds. (Das "für alle" Netzwerk soll von dem internen abgeschirmt sein, Fehlverhalten der Nutzer kann nicht verhindert werden)

Das sind einfach zwei Netze. Auch wenn die nach außen den gleichen Internetzugang haben, macht das für die Definition keinen Unterschied. 
> 
> Ziel meines Vorgesetzten wäre es abschreckend präventiv die Mitglieder zu informieren, das rechtswidrige Handlungen zu unterlassen sind. Außerdem war ein loggen von "Schlagwortfilter, IP, Zeit und Zielurl" vorgegeben. 

Wenn Ihr jetzt so einen Kindergartenfilter verwendet, der bei jeder Google-Suche nach Sex, oder doggy-style anschlägt, hat das nichts mit “rechtswidrig” zu tun. Das ist einfach nur Babysitten, und das muss man sich dann auch im Leben außerhalb des Internets anschauen.

> 
> Ich muss anscheinend noch etwas Überzeugungsarbeit leisten das wir nur als Dienstanbieter fungieren und uns auf das E-commerce-Gesetz §13 Stützen können und uns damit der Inhalt nichts angeht. Auch aus ethischer Sicht geht es uns nix an was die Mitglieder machen, außer wir erfahren dadurch einen Nachteil (Abmahnungen/Ermittlungen usw.)

Besonders weil der Verein ja eine Rechtspersönlichkeit ist, die de jure ja nicht für Rechtsverletzungen der einzelnen Individuen haftet, es sei denn sie hätte sie grob fahrlässig begünstig. 
Merksatz, wenn ich es weiss, muss ich auch handeln. Kann ich davon ausgehen, dass es in der Regel alles korrekt abläuft, würde ich mich darauf berufen, bis mir jemand das Gegenteil beweist. Habt ihr eigentlich eine Kasse oder Schlüssel die “auf Vertrauen” ausgegeben wird? Würde mich auf genau dieses Vertrauen berufen.
> 
> was ich soweit gefunden habe (Telekommunikationsgesetz):
> 
> § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche.
> 
> (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung, der Überwachung von Nachrichten, der Auskunft über Daten einer Nachrichtenübermittlung und der Auskunft über Daten nach § 11 Abs. 1 Z 7 PStSG sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist.
> 
TKG § 93 Z3: "Überwachen von Nachrichten … ohne Einwilligung aller beteiligten Benutzer ist unzulässig”:
Der Gesetzgeber legt die Latte hier sehr hoch. Wenn z.B. jemand mit seinem Ehepartner Privates austauscht, muss das privat bleiben, eine Einverständniserklärung kann hier niemand abgeben (1. Kommunikationspartner, 2. nicht verhältnismäßig gegenüber dem angenommenen Grund) Weil was will ich verhindern, und was ist das gelindere Mittel?

> -> wird recht schwer gehen mit Minderjährigen, aber mit dem könnte eine Speicherung mit Einwilligung zulässig sein?
Unterschrift von Eltern und Betroffenen, und trotzdem könnten die später zurückziehen. Weil es ist nicht das gelindere Mittel, und ein Eingriff in die geschützte Privatsphäre. Müssen sich alle “zur Sicherheit” nackt ausziehen, damit sie in das Vereinsbüro dürfen? Genauso ist es mit der Verhältnismäßigkeit. Regelmäßig geklaute Radiergummis führen zu größeren, unhandlicheren Radiergummis, nicht zu Bodyscannern. Nur weil es bei Kommunikation technisch leichter geht, muss ich es nicht machen.
> 
> § 95. (1) Die Pflicht zur Erlassung von Datensicherheitsmaßnahmen im Sinne des § 14 des Datenschutzgesetzes 2000 im Zusammenhang mit der Erbringung eines öffentlichen Kommunikationsdienstes obliegt jedem Betreiber eines öffentlichen Kommunikationsdienstes jeweils für jeden von ihm erbrachten Dienst.
Damit sind die Regeln zur Nutzung des Netzes gemeint. Ja jeder kann die Regeln aufstellen. Aber wenn der Benutzer z.B. nur für die Erfüllung des Vereinszweckes die Kommunikationsanlage benutzt, kann ich keine Einwilligung in die Einsicht seiner privaten Kommunikation voraussetzen. Kannst dem Boss gleich mal sagen, Du loggst zur Sicherheit lieber mal seine SMS, nur zur Sicherheit.
> 
> -> (restliche 3 Abschnitte des §95 lesen) Datenschutz bringen wir (und jeder anderer Verein) vermutlich nicht korrekt zusammen.
Was Du nicht hast, kannst Du nicht verlieren. *Ein Fall* in Jahren ist nicht im Verhältnis zur Komplettüberwachung. Einmal ein Wasserschaden kann nicht zum Sperren des Haupthahnes außerhalb der Geschäftszeiten führen. Verhältnismäßigkeit!
> 
> § 96. (1) Stammdaten, Verkehrsdaten, Standortdaten und Inhaltsdaten dürfen nur für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden.
>  Datenschutzgesetz bleibt unberührt.
Und Euer Dienst braucht das nicht. Also nein, nicht nach dieser Ausnahme.
> 
...
> § 102. (1) Andere Standortdaten als Verkehrsdaten dürfen unbeschadet des § 98 nur verarbeitet werden, wenn sie
> 1.
> anonymisiert werden oder
> 2.
> die Benutzer oder Teilnehmer eine jederzeit widerrufbare Einwilligung gegeben haben.
> (2) Selbst im Falle einer Einwilligung zur Verarbeitung von Daten gemäß Abs. 1 müssen die Benutzer oder Teilnehmer die Möglichkeit haben, diese Verarbeitung von Daten für jede Übertragung einfach und kostenlos zeitweise zu untersagen.
> 
> -> Ein Opt-Out mit Nutzung ist dem Nutzer zu ermöglichen. 

Stichwort anonymisiert. Sonst kommt nämlich “zeitweise zu untersagen” zum Tragen. “Ihr könnt meine Daten lesen, aber wenn ich mit meiner Freundin spreche, habt Ihr Lauscherpause”.

Lasst es bleiben. Kannst auch noch die DVR Nummer anführen. Wer nämlich private Daten in AT verarbeitet, und nicht eine der Standardanwendungen macht (z.B. Kundenverzeichnis führen), der muss auch noch eine DVR Nummer für ALLE seine Anwendungsfälle lösen. Und diese Nummer auch nach außen IMMER kommunizieren. Wenn das wirklich so schwierig im Verein ist, dann holt Euch doch bitte einen LTE-Hotspot auf pre-paid Basis. Der ist immer anonym, und wenn da wirklich was passiert was das StPG auf den Plan bringt, dann wird der von der Polizei beschlagnahmt, und auf Logdateien (MAC Adressen) untersucht.

Matthias