142 research outputs found
Zur Nutzung von Verkehrsdaten im Rahmen der Vorratsdatenspeicherung
Dieser Bericht entstand aus Anlass einer Anfrage des Bundesverfassungsgerichts im Rahmen der Verfassungsbeschwerden 1 BvR 256/08, 263/08, 586/08. Teil der Anfrage war ein Fragenkatalog, zu dem ich als sachkundiger Dritter Stellung nehmen sollte. Statt einer listenhaften Beantwortung der Fragen habe ich mir erlaubt, die technischen Hintergründe in einer zusammenhängenden Diskussion darzustellen. Der Bezug zu den Fragen aus dem Fragenkatalog, zu denen ich mich sachkundig fühlte, wird im Anhang explizit hergestellt
Der Access-Provider in der Zwickmühle
Die Rechtsordnung beinhaltet eine Reihe von Bestimmungen, die Access-
Provider zur Auskunft bzw Mitwirkung verpflichten. Die Auskunftspflicht kann sowohl
gegenüber Behörden (zB im Rahmen der §§ 134ff StPO) als auch gegenüber Privaten
(zB aufgrund § 87b Abs 3 UrhG) bestehen. Die in dieser Arbeit abgehandelten
Bestimmungen haben gemein, dass sie auf die Ermittlung personenbezogener Daten
abzielen und somit einen Eingriff in die Privatsphäre des Kunden des Access-Providers
darstellen. Der Schutz der Privatsphäre ergibt sich zum einen aus gesetzlichen
Bestimmungen, die vor allem im TKG 2003 und im DSG 2000 zu finden sind. Zum
anderen ist der Access-Provider seinem Kunden aufgrund des zwischen diesen
bestehenden vinculum iuris überdies auch vertraglich zur Wahrung seiner Privatsphäre
verpflichtet. Die vorliegende Arbeit konzentriert sich auf das Verhältnis zwischen dem
Access-Provider und seinem Kunden und untersucht die vertraglichen Pflichten des
Access-Providers zum Schutz der Privatsphäre seines Kunden.
Die vertraglichen Verpflichtungen hinsichtlich des Schutzes der
Privatsphäre des Kunden stehen in engem Zusammenhang zu den einschlägigen
gesetzlichen Regelungen. Das TKG 2003 unterscheidet in Anlehnung an die EK-
Datenschutzrichtlinie zwischen verschiedenen Datenkategorien, für die jeweils
unterschiedliche Schutzbestimmungen bestehen. So ist die Vertraulichkeit des Inhalts
von Nachrichten besonders gut geschützt und ein Eingriff nur „aufgrund eines
richterlichen Befehls in Gemäßheit bestehender Gesetze“ zulässig (Art 10a StGG).
Verkehrsdaten wie etwa IP-Adressen genießen nach einem (mE zutreffenden) Teil der
Lehre und Rechtsprechung zwar nicht einen ganz so hohen Schutz, werden vom TKG
aber stärker geschützt, als bloße Stammdaten wie etwa Name und Anschrift einer
Person. Wird im Zuge der Erfüllung eines Auskunftsbegehrens zwischen Daten
unterschiedlich hoher Schutzkategorien ein Zusammenhang hergestellt, sind mE stets
die Bestimmungen der jeweils höheren Schutzkategorie zu beachten. Ist beispielsweise
der Inhalt einer Nachricht bekannt (Inhaltsdaten) und soll der Name des Senders
(Stammdaten) vom Access-Provider bekannt gegeben werden, ist ein richterlicher
Befehl nötig, obwohl nur ein Stammdatum beauskunftet wurde. Dies ergibt sich aus
teleologischen Erwägungen zu der Bestimmung, die das höher bewertete Datum
schützt. Im genannten Beispiel wird durch die Auskunft bekannt, wer eine Nachricht mit
bestimmtem Inhalt verschickte – eine Information die das Fernmeldegeheimnis mE
auch schützen will.
Die Bestimmungen des TKG 2003 zum Datenschutz beruhen
weitestgehend auf der EK-Datenschutzrichtlinie und präzisieren die aus dem
allgemeinen Datenschutzrecht bekannten Grundsätze auf dem Sektor der
elektronischen Kommunikation. Zwei wichtige Prinzipien des Datenschutzrechts sind
etwa der Grundsatz, dass jeder grundsätzlich über die ihn betreffenden
Datenverwendungen umfassend im Bilde sein soll oder das Zweckbindungsprinzip. Nach
Letzterem dürfen Daten nur für jene Zwecke verwendet werden, zu denen sie
ursprünglich angelegt wurden. Diesen Prinzipien wurden bei der Entwicklung
vertraglicher Schutzpflichten des Access-Providers besondere Beachtung geschenkt.
Die vorliegende Arbeit hat einige Auslegungsschwierigkeiten aufgezeigt
und einer Lösung zuzuführen versucht, die sich bei der Interpretation von
Bestimmungen des TKG 2003 oder aus dem Regelungszusammenhang zu
Auskunftsbestimmungen ergeben. So sind die für die meisten Auskunftsbegehren
benötigten Verkehrsdaten in der Mehrzahl der Fälle unmittelbar nach
Verbindungsbeendigung zu löschen oder zu anonymisieren, es sei denn, sie werden für
Verrechnungszwecke benötigt. Ausnahmebestimmungen sind möglich, müssen jedoch,
um als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie zu gelten, nach der
aktuellen Entscheidung des OGH in der Sache LSG gegen Tele 2 eine ausdrückliche
Speicheranordnung treffen. Die vorliegende Arbeit zeigt etwa, weshalb
Auskunftsbestimmungen wie jene des SPG, die keine ausdrückliche Speicheranordnung
treffen, dennoch als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie
gelten können und somit nicht leer laufen.
Die den Access-Provider treffenden Schutzpflichten hinsichtlich der
Privatsphäre seines Kunden lassen sich mittels ergänzender Vertragsauslegung unter
Orientierung am Prinzip von Treu und Glauben konstruieren. Dabei wurden die
erkennbaren Wertungen des Gesetz- bzw Richtliniengebers auf dem Gebiet des
Datenschutzrechts berücksichtigt und der Vertragsergänzung zugrunde gelegt. Eine der
wichtigsten in dieser Arbeit entwickelten vertraglichen Pflichten ist wohl die
Benachrichtigungspflicht des Access-Providers. Soweit es ihm nicht verboten ist oder er
das Risiko eingeht, sich straf- bzw haftbar zu machen, hat er seinen Kunden über die
Erfüllung eines Auskunftsbegehrens zu informieren. Die Informationspflicht bringt für
den Access-Provider keinen hohen Aufwand mit sich und ist daher wirtschaftlich zu
rechtfertigen. Sie ergibt sich zudem aus einer – soweit ersichtlich – bislang noch nie
erwogenen Auslegung des § 96 Abs 3 TKG 2003. Die Informationspflicht entfällt dort,
wo den Auskunftswerber eine eindeutige Pflicht zur Information des Betroffenen trifft
wie in der StPO. Sie entspricht dem erwähnten Prinzip, dass der Betroffene stets über
die ihn betreffenden Datenverwendungen in Kenntnis sein soll, um seine Rechte
wahrnehmen zu können. Eine Pflicht, sich im Interesse des Kunden gegen
Auskunftsbegehren mittels Rechtsbehelfen zur Wehr zu setzen, trifft den Access-
Provider aus Zumutbarkeitsgründen nicht. Je nachdem, wie die Begründungspflichten
des Auskunftswerbers dem Gesetz nach beschaffen sind, sehen auch die Prüfpflichten
des Access-Providers hinsichtlich des Auskunftsbegehrens unterschiedlich aus. Soweit
das Gesetz eine Begründung des Auskunftsbegehrens verlangt, hat der Access-Provider
das Auskunftsbegehren auf dessen Vollständigkeit zu prüfen und die Auskunft bzw
Mitwirkung nötigenfalls zu verweigern. Weiters bestehen Verweigerungspflichten in
jenen Fällen, in denen der Access-Provider die zur Auskunftserfüllung erforderlichen
Daten zwar de facto noch vorrätig hat, sie aufgrund der Bestimmungen des TKG 2003
jedoch bereits hätte löschen müssen.
Die gezeigten Schutzpflichten werden vom Access-Provider geschuldet
wie jede andere vertragliche Pflicht. Diese Arbeit brachte das Ergebnis, dass für das
Institut der positiven Vertragsverletzungen und dazu geltende Sonderregelungen im
Gefüge des ABGB kein Platz ist. Das Institut der positiven Vertragsverletzung geht auf
eine Erfindung des deutschen Juristen Hermann Staub zu Beginn des vergangenen
Jahrhunderts zurück, der eine Lücke im BGB vermutete und diese mittels Analogie
schloss. Wie gezeigt werden konnte, besteht diese Lücke weder im BGB und noch
weniger im ABGB, weshalb die Verletzung von Schutzpflichten unter das positive
Schadenersatz- und Leistungsstörungsrecht subsumiert werden kann. Die
Schutzpflichten können stets nur auf eine endgültige (Unmöglichkeit) oder
vorübergehende Art (Verzug) verletzt werden. Daher stehen bei
Schutzpflichtverletzungen mE entgegen der hM grundsätzlich die in den §§ 918ff ABGB
statuierten Rechtsbehelfe zu. Das gilt insbesondere auch für Rücktrittsrechte. Diese
können jedoch ausnahmsweise ausscheiden, sofern sich deren Ausübung gemessen an
der Schwere der Schutzpflichtverletzung als missbräuchlich erweist (§ 1295 ABGB). Die
Schutzpflichten (etwa zur Benachrichtigung) können mE auch gesondert eingeklagt
werden, sofern sie ausreichend bestimmt und fällig sind. Sofern die Verletzung der
Schutzpflichten zu Vermögensschäden führt, ist der Access-Provider zu deren Ersatz
verpflichtet. Die Prüfung von Ersatzansprüchen kann jedoch in einigen Fällen – etwa
wenn die im Vermögen des Kunden eingetretene Vermögensminderung die Folge einer
gegen ihn verhängten Strafe darstellt – ergeben, dass kein
Rechtswidrigkeitszusammenhang vorliegt. Bei besonders erheblichen Verletzungen der
Privatsphäre besteht gem § 1328a ABGB auch ein Anspruch auf den Ersatz des dadurch
erlittenen immateriellen Schadens
Aktuelle Probleme der Durchsetzung von Immaterialgüterrechten im Internet
Der Titel „Aktuelle Probleme der Durchsetzung von Immaterialgüterrechten im Internet“ umreißt bereits hinreichend klar, worum es in der vorliegenden Arbeit geht. Aufbauend auf Erkenntnissen, die das Immaterialgüterrecht und seine zentralen Regelungsmechanismen teilweise bereits seit mehr als hundert Jahren prägen, liegt der Fokus der Darstellung auf drei sowohl aktuellen wie auch wissenschaftlich ergiebigen Problembereichen an der Schnittstelle von Immaterialgüter- und Internetrecht: rechtsverletzende Websites, rechtsverletzendes Filesharing und rechtsverletzendes Keyword-Advertising. Dabei wird weniger danach gefragt, wann in diesem Zusammenhang eine Verletzung von Immaterialgüterrechten, insbesondere von Urheber- oder Markenrechten, vorliegt, sondern vielmehr, welche Fragen sich bei der Durchsetzung dieser Rechte, also bei Informationsbeschaffung, Unterbindung von Verletzungshandlungen und Genugtuung, für Rechteinhaber stellen.
Während in Teilbereichen bereits deutliche Fortschritte erkennbar sind, zeigt sich dennoch klar, dass die technologischen Neuerungen der Entwicklung des Rechts stark voraneilen. So wurde zB zwar in Europa durch umfangreiche Informationspflichten für Website-Betreiber und subsidiäre Auskunftsansprüche dafür Sorge getragen, dass betroffene Rechteinhaber nachvollziehen können, an wen sie sich bei Rechtsverletzungen auf Websites zu wenden haben. Sofern sich die Website-Betreiber aber außerhalb Europas befinden, sind sie de facto kaum greifbar. Host- und Access-Provider sind daher für Rechteinhaber attraktive Ziele für Unterlassungs- oder Schadenersatzansprüche, weil sie idR einfach ermittelt und geklagt werden können. In der vorliegenden Arbeit wird zunächst die bisherige Rechtsprechung zur Haftung von Host-Providern einer kritischen Würdigung unterzogen, insbesondere was die Frage von Haftungsprivilegien und „besonderen Überwachungspflichten“ angeht. Es zeigt sich dabei, dass manchen Themen in Schrifttum und Judikatur bisher unnötig breiter Raum eingeräumt wurde, während wichtigere Fragen noch offen sind.
So ist etwa die Unterlassungshaftung von Access-Providern aus urheberrechtlicher Perspektive bisher kaum erforscht worden. Bei der Suche nach diesbezüglichen Anspruchsgrundlagen und Bewertungskriterien beschreitet die Arbeit daher weitgehend Neuland. Wie sich zeigt, sind sogenannte „Sperransprüche“, die sich auf die Sperrung des Zugangs zu bestimmten, rechtsverletzenden Websites richten, nach geltendem Recht im Regelfall nicht durchsetzbar. Aufgrund der bloß mittelbar-technischen Rolle des Access-Providers bestehen nämlich grundrechtlich eng determinierte Zumutbarkeitsgrenzen. Ähnliches zeigt sich auch bei derartigen Ansprüchen im Zusammenhang mit Filesharing.
Beim Filesharing-Themenkreis liegt ein weiterer besonderer Fokus auf den datenschutz-rechtlichen Implikationen. Hier wird anhand bisher ergangener nationaler und europäischer Rechtsprechung gezeigt, dass der österreichische Gesetzgeber durch ungenaue und wenig durchdachte Regelungen im Urheberrecht bewirkt hat, dass Zivil- und Strafgerichte bei der Beurteilung des Schutzes von IP-Adressen zu markant unterschiedlichen Ergebnissen kommen. Das führt im Ergebnis dazu, dass de lege lata weder die Durchsetzbarkeit von Urheberrechten noch der Schutz der Privatsphäre von Internetusern ausreichend gewährleistet ist und zudem massive unionsrechtliche Bedenken gegen die derzeitige Rechtslage bestehen. Hier ist der Gesetzgeber gefordert, durch adäquate Regelungen, wie sie in der Arbeit vorgezeichnet werden, Abhilfe zu schaffen.
Im Bereich Genugtuung konzentriert sich die Untersuchung primär auf die Haftungssituation der Internetprovider und zeigt, etwa beim Stichwort Urteilsveröffentlichungen bei Markenverletzungen durch Keyword-Advertising, auch neue Ansatzpunkte für die Weiterentwicklung der bisherigen Rechtsprechung auf. Zum Keyword-Advertising findet sich zudem eine ausführliche Darstellung der bisherigen Judikatur und eine dogmatische Untersuchung, inwieweit die bisherigen Leitlinien sich in österreichsches Recht der Gehilfenhaftung und das E-Commerce-Gesetz einordnen lassen.
Im Ergebnis zeigt sich, dass gerade aufgrund der offenen Regelungstechnik des Immaterialgüterrechts viele Probleme auf Basis des geltenden Rechtsbestandes lösbar sind, wenngleich sich dadurch im Einzelnen schwierige Abwägungsfragen ergeben können. Neben punktuellen Anpassungen der Rechtslage wird in Zukunft aber vor allem die Kooperation von Rechteinhabern und Providern gefragt sein, um die Durchsetzbarkeit von Immaterialgüterrechten im Internet zu gewährleisten, ohne gleichzeitig die Privatsphäre der Nutzer preiszugeben
Detection and analysis of misuse in SIP-based networks
Die Sprachkommunikation über „Voice over IP“-Netzwerke, basierend auf dem Session Initiation Protokoll (SIP), verbreitet sich auf Grund von Funktionalitäts- und Kostenvorteilen zunehmend und wird die klassischen Telefonnetze in den nächsten Jahren vollständig ablösen. Zusätzlich zu den Netzen der Telefonanbieter wird die Sprachkommunikation über das SIP-Protokoll auch im Unternehmens- und Privatanwenderumfeld unverzichtbar. So bietet VoIP die Möglichkeit, sich unabhängig von dem aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber oder der eigenen Firma anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da die Telefonie somit von einer geschlossenen und vergleichsweise sicheren Plattform auf eine viel offenere Plattform in das Internet migriert wird, ergeben sich neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie.
In dieser Dissertation werden Angriffe untersucht, die mit der Einführung von SIP-basierten Sprachdiensten im Internet entstehen und nicht aus Bedrohungen der Netzwerkschicht oder aus rechtlichen Vertragsbestimmungen resultieren. Das Ziel dieser Angriffe ist das Erlangen eines finanziellen Vorteils, indem ein Angreifer kompromittierte Zugänge für Auslandstelefonate oder für Anrufe zu Premiumnummern auf Kosten der Anschlussinhaber nutzt („Toll Fraud“).
Für die Realisierung der Bedrohungsanalyse und der Angriffserkennung wurden Konzepte, ein Versuchsnetzwerk sowie die notwendigen Softwarekomponenten ergebnisorientiert entwickelt. Im Vergleich zu anderen Forschungsarbeiten wurden Untersuchungen mit Ködersystemen (Honeypots) weiterentwickelt und es wurde ein System für eine verteilte, automatische Angriffserkennung entwickelt. Dafür wurden SIP-Verkehrsdaten über einen Zeitraum von sechs Jahren in zwei Class-C-Netzwerken aufgezeichnet und mit einem neuen Analyseansatz unabhängig von einzelnen SIP-Nachrichten automatisch ausgewertet.
Die Ergebnisse des Feldversuches in dieser Dissertation zeigen, dass die Bedrohungen für die SIP-Infrastruktur ansteigen und dass bereits eine Weiterentwicklung und Optimierung der Angriffswerkzeuge nachzuweisen ist. Die zunehmende Anzahl der Toll Fraud-Versuche mit internationalen Anrufzielen (und auch zu Premium-Rufnummern) verdeutlicht, dass bei einem unzureichenden Schutz der SIP-Server für die Nutzer und Betreiber sehr schnell ein erheblicher finanzieller Schaden entstehen kann. Es ist daher unerlässlich, die vorgeschalteten, systematischen Angriffsstufen frühzeitig zu erkennen und Abwehrkomponenten zu benachrichtigen.
Für die automatisierte, verteilte Angriffserkennung in Echtzeit und für die Maximierung des Beobachtungsgebietes wurde für diese Dissertation das „Security Sensor System“ entwickelt. Mit Hilfe von leichtgewichtigen Sensoren wurde eine weltweite signaturbasierte Angriffserkennung realisiert. Zusätzlich zu der standortbezogenen Angriffserkennung werden Angriffe durch einen zentralen Dienst korreliert. Dadurch können Angreifer netzwerkübergreifend bzw. länderübergreifend identifiziert und somit Gegenwehrkomponenten in Echtzeit benachrichtigt werden.
Der Vergleich der verschiedenen Messstellen im Internet belegt, dass die analysierten Angriffsmuster nicht nur im Netzwerk der Universität Duisburg-Essen, sondern zeitlich zusammenhängend auch an anderen Standorten auftreten. Dadurch wird deutlich, dass die ermittelten Ergebnisse auch für andere Netzwerke gültig sind und dass die Toll Fraud-Problematik bereits für alle Betreiber von SIP-Servern relevant ist.Voice over IP networks based on the Session Initiation Protocol (SIP) are becoming more and more widespread in the Internet due to functionality and cost advantages and will soon replace the classic telephony networks. Therefore, support of open SIP-based interfaces is an increasingly important requirement for IP-based Public Branch eXchanges (PBXs) and provider systems. The VoIP service allows using the personal or company VoIP account from any location worldwide. The migration of the telephony service from a closed and comparatively secure environment to a network with open interfaces creates security issues and opens up new opportunities for misuse and fraud.
In this thesis, attacks are analyzed which result from introducing SIP-based voice services and do not belong to the area of contract regulations or attacks on the network layer. The attacker’s goal is to gain immediate financial benefit by making toll calls (international, cellular, premium services) via cracked third party accounts (“Toll Fraud”).
To realize the threat analysis and the attack detection concepts, a SIP-based testbed and required software components were developed. In comparison to the related work, analyses with Honeypots were enhanced and a mechanism for automatic, distributed attack detection was realized. Therefore, for gathering the required data, a Honeynet with two class-C networks captured the SIP traffic for a period of six years. The automatic analysis is based on attacks and operates independently of single SIP messages.
The field test results of this thesis demonstrate that SIP-based threats increase over time and attack tools are optimized and enhanced. The increasing number of Toll Fraud attempts to international or premium numbers reveals that Toll Fraud attacks can cause the account owner substantial financial damage in a very short amount of time if there is insufficient attack detection and mitigation. Hence, it is necessary to implement an attack detection which is able to identify the different attack stages and sends a notification to mitigation components before a Toll Fraud call is established.
In this thesis, the Security Sensor System was developed to maximize the monitoring scope and to realize the distributed, automatic attack detection in real-time. The light-weight sensor component provides worldwide signature-based attack detection. Additional to the location-based attack detection, all attack notifications are sent to a central service which correlates the incoming alarm messages and provides a comprehensive attacker identification to inform mitigation components in real-time.
The comparison of different sensor nodes in the Internet shows that the analyzed attack patterns do not only occur in the University testbed, but also temporally coherent in other networks. Thus, the results are valid for different network environments and it is crucial to know that Toll Fraud attacks are already performed in reality
Klassifizierung elektronischer Beweismittel für strafprozessuale Zwecke
Die Arbeit beschreibt die Notwendigkeit der (Neu-)Klassifizierung elektronischer Beweismittel, da die derzeitige Unterscheidung der StPO von Kommunikationsdaten in Bestands-, Verkehrs- und Inhaltsdaten nicht zielführend ist. Es wird gezeigt, dass sich eine Klassifikation ausschließlich nach dem Kriterium der berechtigten Erwartungshaltung der Vertraulichkeitswahrung des Datensubjekts richten darf, das eine Unterscheidung in Kernbereichsdaten, geheime Daten, vertrauliche Daten, beschränkt zugängliche Daten und unbeschränkt zugängliche Daten erlaubt.
Die Arbeit beinhaltet einen umfassenden Gesetzesentwurf zur entsprechenden Neuregelung der StPO
Rechtsfragen offener Netze : rechtliche Gestaltung und Haftung des Access Providers in zugangsoffenen (Funk-)Netzen
Offene Netze sind von Privaten betriebene Funknetzwerke, an denen jeder Interessierte aktiv teilnehmen und mitwirken kann. Offene Netze weisen Parallelen zu Open Source und Open Content auf und umfassen freien Zugriff auf das Netz (und das Internet).
Diese Arbeit untersucht rechtliche Fragestellungen und rechtliche Gestaltungen offener Netze. Rechtsverhältnisse und Pflichten der Nutzer sowie Ansprüche Dritter (allg. Haftung, Störerhaftung, Auskunftsansprüche) werden aufgearbeitet und bewertet
Aktuelle Rechtsprobleme des Konsumentenschutzes im Telekommunikationsrecht
In dieser Arbeit wurden fünf aktuelle Probleme des Konsumentenschutzes im Telekommunikationsrecht erörtert, die anhand ihrer Bedeutung für den Schutz grundlegender Verbraucherrechte und -interessen ausgewählt wurden: Internetsperren wegen mehrmaligen Urheberrechtsverletzungen, Eingriffe in das Kommunikationsgeheimnis zwecks personalisierter Werbung, Informationspflichten bei Auskunftsbegehren sowie Data Breach Notification.
Internetsperren wegen mehrmaligen Urheberrechtsverletzungen haben eine teilweise unionsrechtliche Regelung erfahren. Durch staatliche Maßnahmen darf dem Verbraucher der Zugang zum Internet nur unter Achtung der grundrechtlichen Garantien gesperrt werden. Privatrechtliche Maßnahmen von Providern unterliegen solchen Schranken hingegen nicht. Nach österreichischem Recht kann zwar die Vereinbarung von Internetsperren gem § 6 Abs 2 Z 3 KSchG bzw § 879 Abs 1 ABGB als unzulässig beurteilt werden, jedoch wurden entsprechende Vertragsbestimmungen bisher nicht gerichtlich bekämpft und stellen noch immer einen üblichen Bestandteil der Access-Provider-Verträge dar. Die Vornahme von Internetsperren wegen Urheberrechtsverletzungen ohne eine vertragliche Grundlage stellt eine Beeinträchtigung des Rechts des Verbrauchers auf vertragsgemäßen Gebrauch des Netzwerks des Providers dar und löst somit bestandrechtliche Rechtsfolgen aus. Internetsperren werden in der Praxis oft nur zu immateriellen Schäden führen. Diese sieht der OGH im Allgemeinen nur bei ausdrücklicher gesetzlicher Anordnung als ersatzfähig an, weshalb in der Praxis ein Schadenersatz meist ausgeschlossen sein wird.
Informationspflichten des Providers bei Auskunftsbegehren lassen sich aus ergänzender Vertragsauslegung gewinnen. Ihre Verletzung kann sowohl materielle als auch immaterielle Schäden zur Folge haben, wobei nach der Rsp des OGH grundsätzlich nur erstere ersatzfähig sind. Daher ist zu bezweifeln, dass dem Verbraucher in der Praxis für immaterielle Schäden gerichtlich Schadenersätze zugesprochen werden. Ob dem Verbraucher ein Recht auf außerordentliche Vertragskündigung zukommt, hängt vom Umfang des Schadens ab, der auf Grund der Verletzung der Informationspflicht eingetreten ist bzw einzutreten droht.
Die Auswertung des Datenverkehrs des Verbrauchers zwecks Bereitstellung personalisierter Werbung stellt sowohl nach Unionsrecht als auch nach österreichischem Recht einen Eingriff in das Kommunikationsgeheimnis des Verbrauchers dar und setzt daher seine Einwilligung voraus. Nach österreichischem Recht haben Verletzungen der Pflicht zur Wahrung des Kommunikationsgeheimnisses grundsätzlich Schadenersatzansprüche des Verbrauchers zur Folge. Jedoch sind die typischerweise in der Praxis eintretenden immateriellen Schäden nach höchstgerichtlicher Rsp, wie bereits ausgeführt, grundsätzlich nicht ersatzfähig. Daher wird der Verbraucher im Ergebnis gerichtlich keinen Schadenersatzanspruch durchsetzen können. Als ein Instrument zum Schutz seiner Rechte bleibt dem Verbraucher in solchen Fällen das Recht auf außerordentliche Vertragskündigung.
Data Breach Notification, dh eine Pflicht die Betroffenen von Verletzungen der Sicherheit ihrer personenbezogenen Daten zu informieren, besteht sowohl nach Unionsrecht als auch nach österreichischem Recht. Nach österreichischem Recht ergibt sich aus ergänzender Vertragsauslegung eine über § 24 Abs 2a DSG 2000 hinausgehende nebenvertragliche Informationspflicht des Providers. Verletzt der Provider diese Pflicht, hat der Verbraucher grundsätzlich einen Schadenersatzanspruch. Eine gerichtliche Durchsetzung dieses Anspruches wird jedoch aufgrund der höchstgerichtlichen Judikatur zur Ersatzfähigkeit immaterieller Schäden in der Praxis selten erfolgreich sein. Ob der Verbraucher wegen einer Unterlassung der Benachrichtigung den Access-Provider-Vertrag außerordentlich kündigen kann, wird vom Umfang des drohenden bzw erlittenen Schadens abhängen.
Auf Grund der Analyse der Rechtsprobleme im 3. Kapitel dieser Arbeit lässt sich im Ergebnis festhalten, dass die bestehenden konsumentenschutzrechtlichen Instrumente des allgemeinen Zivilrechts und des TKG 2003 durchaus geeignet sind, wesentliche Beiträge zur Lösung neuer Rechtsprobleme zu leisten sowie den Rechtsrahmen für Provider einzugrenzen. Gleichzeitig hat die Analyse dieser Rechtsprobleme jedoch auch gezeigt, dass die bestehenden Regelungen des Verbraucherschutzes im Telekommunikationsrecht nicht immer in der Lage sind, Lösungen herbeizuführen, die die Interessen der Verbraucher umfassend wahren. Nicht zuletzt um die Rechtssicherheit zu garantieren, sollte der Gesetzgeber daher erwägen, eine gesetzliche Regelung der hier analysierten Rechtsprobleme vorzunehmen
- …