Zur Nutzung von Verkehrsdaten im Rahmen der Vorratsdatenspeicherung

Dieser Bericht entstand aus Anlass einer Anfrage des Bundesverfassungsgerichts im Rahmen der Verfassungsbeschwerden 1 BvR 256/08, 263/08, 586/08. Teil der Anfrage war ein Fragenkatalog, zu dem ich als sachkundiger Dritter Stellung nehmen sollte. Statt einer listenhaften Beantwortung der Fragen habe ich mir erlaubt, die technischen Hintergründe in einer zusammenhängenden Diskussion darzustellen. Der Bezug zu den Fragen aus dem Fragenkatalog, zu denen ich mich sachkundig fühlte, wird im Anhang explizit hergestellt

Der Access-Provider in der Zwickmühle

Die Rechtsordnung beinhaltet eine Reihe von Bestimmungen, die Access- Provider zur Auskunft bzw Mitwirkung verpflichten. Die Auskunftspflicht kann sowohl gegenüber Behörden (zB im Rahmen der §§ 134ff StPO) als auch gegenüber Privaten (zB aufgrund § 87b Abs 3 UrhG) bestehen. Die in dieser Arbeit abgehandelten Bestimmungen haben gemein, dass sie auf die Ermittlung personenbezogener Daten abzielen und somit einen Eingriff in die Privatsphäre des Kunden des Access-Providers darstellen. Der Schutz der Privatsphäre ergibt sich zum einen aus gesetzlichen Bestimmungen, die vor allem im TKG 2003 und im DSG 2000 zu finden sind. Zum anderen ist der Access-Provider seinem Kunden aufgrund des zwischen diesen bestehenden vinculum iuris überdies auch vertraglich zur Wahrung seiner Privatsphäre verpflichtet. Die vorliegende Arbeit konzentriert sich auf das Verhältnis zwischen dem Access-Provider und seinem Kunden und untersucht die vertraglichen Pflichten des Access-Providers zum Schutz der Privatsphäre seines Kunden. Die vertraglichen Verpflichtungen hinsichtlich des Schutzes der Privatsphäre des Kunden stehen in engem Zusammenhang zu den einschlägigen gesetzlichen Regelungen. Das TKG 2003 unterscheidet in Anlehnung an die EK- Datenschutzrichtlinie zwischen verschiedenen Datenkategorien, für die jeweils unterschiedliche Schutzbestimmungen bestehen. So ist die Vertraulichkeit des Inhalts von Nachrichten besonders gut geschützt und ein Eingriff nur „aufgrund eines richterlichen Befehls in Gemäßheit bestehender Gesetze“ zulässig (Art 10a StGG). Verkehrsdaten wie etwa IP-Adressen genießen nach einem (mE zutreffenden) Teil der Lehre und Rechtsprechung zwar nicht einen ganz so hohen Schutz, werden vom TKG aber stärker geschützt, als bloße Stammdaten wie etwa Name und Anschrift einer Person. Wird im Zuge der Erfüllung eines Auskunftsbegehrens zwischen Daten unterschiedlich hoher Schutzkategorien ein Zusammenhang hergestellt, sind mE stets die Bestimmungen der jeweils höheren Schutzkategorie zu beachten. Ist beispielsweise der Inhalt einer Nachricht bekannt (Inhaltsdaten) und soll der Name des Senders (Stammdaten) vom Access-Provider bekannt gegeben werden, ist ein richterlicher Befehl nötig, obwohl nur ein Stammdatum beauskunftet wurde. Dies ergibt sich aus teleologischen Erwägungen zu der Bestimmung, die das höher bewertete Datum schützt. Im genannten Beispiel wird durch die Auskunft bekannt, wer eine Nachricht mit bestimmtem Inhalt verschickte – eine Information die das Fernmeldegeheimnis mE auch schützen will. Die Bestimmungen des TKG 2003 zum Datenschutz beruhen weitestgehend auf der EK-Datenschutzrichtlinie und präzisieren die aus dem allgemeinen Datenschutzrecht bekannten Grundsätze auf dem Sektor der elektronischen Kommunikation. Zwei wichtige Prinzipien des Datenschutzrechts sind etwa der Grundsatz, dass jeder grundsätzlich über die ihn betreffenden Datenverwendungen umfassend im Bilde sein soll oder das Zweckbindungsprinzip. Nach Letzterem dürfen Daten nur für jene Zwecke verwendet werden, zu denen sie ursprünglich angelegt wurden. Diesen Prinzipien wurden bei der Entwicklung vertraglicher Schutzpflichten des Access-Providers besondere Beachtung geschenkt. Die vorliegende Arbeit hat einige Auslegungsschwierigkeiten aufgezeigt und einer Lösung zuzuführen versucht, die sich bei der Interpretation von Bestimmungen des TKG 2003 oder aus dem Regelungszusammenhang zu Auskunftsbestimmungen ergeben. So sind die für die meisten Auskunftsbegehren benötigten Verkehrsdaten in der Mehrzahl der Fälle unmittelbar nach Verbindungsbeendigung zu löschen oder zu anonymisieren, es sei denn, sie werden für Verrechnungszwecke benötigt. Ausnahmebestimmungen sind möglich, müssen jedoch, um als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie zu gelten, nach der aktuellen Entscheidung des OGH in der Sache LSG gegen Tele 2 eine ausdrückliche Speicheranordnung treffen. Die vorliegende Arbeit zeigt etwa, weshalb Auskunftsbestimmungen wie jene des SPG, die keine ausdrückliche Speicheranordnung treffen, dennoch als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie gelten können und somit nicht leer laufen. Die den Access-Provider treffenden Schutzpflichten hinsichtlich der Privatsphäre seines Kunden lassen sich mittels ergänzender Vertragsauslegung unter Orientierung am Prinzip von Treu und Glauben konstruieren. Dabei wurden die erkennbaren Wertungen des Gesetz- bzw Richtliniengebers auf dem Gebiet des Datenschutzrechts berücksichtigt und der Vertragsergänzung zugrunde gelegt. Eine der wichtigsten in dieser Arbeit entwickelten vertraglichen Pflichten ist wohl die Benachrichtigungspflicht des Access-Providers. Soweit es ihm nicht verboten ist oder er das Risiko eingeht, sich straf- bzw haftbar zu machen, hat er seinen Kunden über die Erfüllung eines Auskunftsbegehrens zu informieren. Die Informationspflicht bringt für den Access-Provider keinen hohen Aufwand mit sich und ist daher wirtschaftlich zu rechtfertigen. Sie ergibt sich zudem aus einer – soweit ersichtlich – bislang noch nie erwogenen Auslegung des § 96 Abs 3 TKG 2003. Die Informationspflicht entfällt dort, wo den Auskunftswerber eine eindeutige Pflicht zur Information des Betroffenen trifft wie in der StPO. Sie entspricht dem erwähnten Prinzip, dass der Betroffene stets über die ihn betreffenden Datenverwendungen in Kenntnis sein soll, um seine Rechte wahrnehmen zu können. Eine Pflicht, sich im Interesse des Kunden gegen Auskunftsbegehren mittels Rechtsbehelfen zur Wehr zu setzen, trifft den Access- Provider aus Zumutbarkeitsgründen nicht. Je nachdem, wie die Begründungspflichten des Auskunftswerbers dem Gesetz nach beschaffen sind, sehen auch die Prüfpflichten des Access-Providers hinsichtlich des Auskunftsbegehrens unterschiedlich aus. Soweit das Gesetz eine Begründung des Auskunftsbegehrens verlangt, hat der Access-Provider das Auskunftsbegehren auf dessen Vollständigkeit zu prüfen und die Auskunft bzw Mitwirkung nötigenfalls zu verweigern. Weiters bestehen Verweigerungspflichten in jenen Fällen, in denen der Access-Provider die zur Auskunftserfüllung erforderlichen Daten zwar de facto noch vorrätig hat, sie aufgrund der Bestimmungen des TKG 2003 jedoch bereits hätte löschen müssen. Die gezeigten Schutzpflichten werden vom Access-Provider geschuldet wie jede andere vertragliche Pflicht. Diese Arbeit brachte das Ergebnis, dass für das Institut der positiven Vertragsverletzungen und dazu geltende Sonderregelungen im Gefüge des ABGB kein Platz ist. Das Institut der positiven Vertragsverletzung geht auf eine Erfindung des deutschen Juristen Hermann Staub zu Beginn des vergangenen Jahrhunderts zurück, der eine Lücke im BGB vermutete und diese mittels Analogie schloss. Wie gezeigt werden konnte, besteht diese Lücke weder im BGB und noch weniger im ABGB, weshalb die Verletzung von Schutzpflichten unter das positive Schadenersatz- und Leistungsstörungsrecht subsumiert werden kann. Die Schutzpflichten können stets nur auf eine endgültige (Unmöglichkeit) oder vorübergehende Art (Verzug) verletzt werden. Daher stehen bei Schutzpflichtverletzungen mE entgegen der hM grundsätzlich die in den §§ 918ff ABGB statuierten Rechtsbehelfe zu. Das gilt insbesondere auch für Rücktrittsrechte. Diese können jedoch ausnahmsweise ausscheiden, sofern sich deren Ausübung gemessen an der Schwere der Schutzpflichtverletzung als missbräuchlich erweist (§ 1295 ABGB). Die Schutzpflichten (etwa zur Benachrichtigung) können mE auch gesondert eingeklagt werden, sofern sie ausreichend bestimmt und fällig sind. Sofern die Verletzung der Schutzpflichten zu Vermögensschäden führt, ist der Access-Provider zu deren Ersatz verpflichtet. Die Prüfung von Ersatzansprüchen kann jedoch in einigen Fällen – etwa wenn die im Vermögen des Kunden eingetretene Vermögensminderung die Folge einer gegen ihn verhängten Strafe darstellt – ergeben, dass kein Rechtswidrigkeitszusammenhang vorliegt. Bei besonders erheblichen Verletzungen der Privatsphäre besteht gem § 1328a ABGB auch ein Anspruch auf den Ersatz des dadurch erlittenen immateriellen Schadens

Aktuelle Probleme der Durchsetzung von Immaterialgüterrechten im Internet

Der Titel „Aktuelle Probleme der Durchsetzung von Immaterialgüterrechten im Internet“ umreißt bereits hinreichend klar, worum es in der vorliegenden Arbeit geht. Aufbauend auf Erkenntnissen, die das Immaterialgüterrecht und seine zentralen Regelungsmechanismen teilweise bereits seit mehr als hundert Jahren prägen, liegt der Fokus der Darstellung auf drei sowohl aktuellen wie auch wissenschaftlich ergiebigen Problembereichen an der Schnittstelle von Immaterialgüter- und Internetrecht: rechtsverletzende Websites, rechtsverletzendes Filesharing und rechtsverletzendes Keyword-Advertising. Dabei wird weniger danach gefragt, wann in diesem Zusammenhang eine Verletzung von Immaterialgüterrechten, insbesondere von Urheber- oder Markenrechten, vorliegt, sondern vielmehr, welche Fragen sich bei der Durchsetzung dieser Rechte, also bei Informationsbeschaffung, Unterbindung von Verletzungshandlungen und Genugtuung, für Rechteinhaber stellen. Während in Teilbereichen bereits deutliche Fortschritte erkennbar sind, zeigt sich dennoch klar, dass die technologischen Neuerungen der Entwicklung des Rechts stark voraneilen. So wurde zB zwar in Europa durch umfangreiche Informationspflichten für Website-Betreiber und subsidiäre Auskunftsansprüche dafür Sorge getragen, dass betroffene Rechteinhaber nachvollziehen können, an wen sie sich bei Rechtsverletzungen auf Websites zu wenden haben. Sofern sich die Website-Betreiber aber außerhalb Europas befinden, sind sie de facto kaum greifbar. Host- und Access-Provider sind daher für Rechteinhaber attraktive Ziele für Unterlassungs- oder Schadenersatzansprüche, weil sie idR einfach ermittelt und geklagt werden können. In der vorliegenden Arbeit wird zunächst die bisherige Rechtsprechung zur Haftung von Host-Providern einer kritischen Würdigung unterzogen, insbesondere was die Frage von Haftungsprivilegien und „besonderen Überwachungspflichten“ angeht. Es zeigt sich dabei, dass manchen Themen in Schrifttum und Judikatur bisher unnötig breiter Raum eingeräumt wurde, während wichtigere Fragen noch offen sind. So ist etwa die Unterlassungshaftung von Access-Providern aus urheberrechtlicher Perspektive bisher kaum erforscht worden. Bei der Suche nach diesbezüglichen Anspruchsgrundlagen und Bewertungskriterien beschreitet die Arbeit daher weitgehend Neuland. Wie sich zeigt, sind sogenannte „Sperransprüche“, die sich auf die Sperrung des Zugangs zu bestimmten, rechtsverletzenden Websites richten, nach geltendem Recht im Regelfall nicht durchsetzbar. Aufgrund der bloß mittelbar-technischen Rolle des Access-Providers bestehen nämlich grundrechtlich eng determinierte Zumutbarkeitsgrenzen. Ähnliches zeigt sich auch bei derartigen Ansprüchen im Zusammenhang mit Filesharing. Beim Filesharing-Themenkreis liegt ein weiterer besonderer Fokus auf den datenschutz-rechtlichen Implikationen. Hier wird anhand bisher ergangener nationaler und europäischer Rechtsprechung gezeigt, dass der österreichische Gesetzgeber durch ungenaue und wenig durchdachte Regelungen im Urheberrecht bewirkt hat, dass Zivil- und Strafgerichte bei der Beurteilung des Schutzes von IP-Adressen zu markant unterschiedlichen Ergebnissen kommen. Das führt im Ergebnis dazu, dass de lege lata weder die Durchsetzbarkeit von Urheberrechten noch der Schutz der Privatsphäre von Internetusern ausreichend gewährleistet ist und zudem massive unionsrechtliche Bedenken gegen die derzeitige Rechtslage bestehen. Hier ist der Gesetzgeber gefordert, durch adäquate Regelungen, wie sie in der Arbeit vorgezeichnet werden, Abhilfe zu schaffen. Im Bereich Genugtuung konzentriert sich die Untersuchung primär auf die Haftungssituation der Internetprovider und zeigt, etwa beim Stichwort Urteilsveröffentlichungen bei Markenverletzungen durch Keyword-Advertising, auch neue Ansatzpunkte für die Weiterentwicklung der bisherigen Rechtsprechung auf. Zum Keyword-Advertising findet sich zudem eine ausführliche Darstellung der bisherigen Judikatur und eine dogmatische Untersuchung, inwieweit die bisherigen Leitlinien sich in österreichsches Recht der Gehilfenhaftung und das E-Commerce-Gesetz einordnen lassen. Im Ergebnis zeigt sich, dass gerade aufgrund der offenen Regelungstechnik des Immaterialgüterrechts viele Probleme auf Basis des geltenden Rechtsbestandes lösbar sind, wenngleich sich dadurch im Einzelnen schwierige Abwägungsfragen ergeben können. Neben punktuellen Anpassungen der Rechtslage wird in Zukunft aber vor allem die Kooperation von Rechteinhabern und Providern gefragt sein, um die Durchsetzbarkeit von Immaterialgüterrechten im Internet zu gewährleisten, ohne gleichzeitig die Privatsphäre der Nutzer preiszugeben

Detection and analysis of misuse in SIP-based networks

Die Sprachkommunikation über „Voice over IP“-Netzwerke, basierend auf dem Session Initiation Protokoll (SIP), verbreitet sich auf Grund von Funktionalitäts- und Kostenvorteilen zunehmend und wird die klassischen Telefonnetze in den nächsten Jahren vollständig ablösen. Zusätzlich zu den Netzen der Telefonanbieter wird die Sprachkommunikation über das SIP-Protokoll auch im Unternehmens- und Privatanwenderumfeld unverzichtbar. So bietet VoIP die Möglichkeit, sich unabhängig von dem aktuellen Aufenthaltsort über das Internet bei dem jeweiligen Heimatnetzbetreiber oder der eigenen Firma anzumelden und über das dortige Nutzerkonto Gespräche zu führen. Da die Telefonie somit von einer geschlossenen und vergleichsweise sicheren Plattform auf eine viel offenere Plattform in das Internet migriert wird, ergeben sich neue Risiken und Missbrauchsmöglichkeiten im Bereich der Telefonie. In dieser Dissertation werden Angriffe untersucht, die mit der Einführung von SIP-basierten Sprachdiensten im Internet entstehen und nicht aus Bedrohungen der Netzwerkschicht oder aus rechtlichen Vertragsbestimmungen resultieren. Das Ziel dieser Angriffe ist das Erlangen eines finanziellen Vorteils, indem ein Angreifer kompromittierte Zugänge für Auslandstelefonate oder für Anrufe zu Premiumnummern auf Kosten der Anschlussinhaber nutzt („Toll Fraud“). Für die Realisierung der Bedrohungsanalyse und der Angriffserkennung wurden Konzepte, ein Versuchsnetzwerk sowie die notwendigen Softwarekomponenten ergebnisorientiert entwickelt. Im Vergleich zu anderen Forschungsarbeiten wurden Untersuchungen mit Ködersystemen (Honeypots) weiterentwickelt und es wurde ein System für eine verteilte, automatische Angriffserkennung entwickelt. Dafür wurden SIP-Verkehrsdaten über einen Zeitraum von sechs Jahren in zwei Class-C-Netzwerken aufgezeichnet und mit einem neuen Analyseansatz unabhängig von einzelnen SIP-Nachrichten automatisch ausgewertet. Die Ergebnisse des Feldversuches in dieser Dissertation zeigen, dass die Bedrohungen für die SIP-Infrastruktur ansteigen und dass bereits eine Weiterentwicklung und Optimierung der Angriffswerkzeuge nachzuweisen ist. Die zunehmende Anzahl der Toll Fraud-Versuche mit internationalen Anrufzielen (und auch zu Premium-Rufnummern) verdeutlicht, dass bei einem unzureichenden Schutz der SIP-Server für die Nutzer und Betreiber sehr schnell ein erheblicher finanzieller Schaden entstehen kann. Es ist daher unerlässlich, die vorgeschalteten, systematischen Angriffsstufen frühzeitig zu erkennen und Abwehrkomponenten zu benachrichtigen. Für die automatisierte, verteilte Angriffserkennung in Echtzeit und für die Maximierung des Beobachtungsgebietes wurde für diese Dissertation das „Security Sensor System“ entwickelt. Mit Hilfe von leichtgewichtigen Sensoren wurde eine weltweite signaturbasierte Angriffserkennung realisiert. Zusätzlich zu der standortbezogenen Angriffserkennung werden Angriffe durch einen zentralen Dienst korreliert. Dadurch können Angreifer netzwerkübergreifend bzw. länderübergreifend identifiziert und somit Gegenwehrkomponenten in Echtzeit benachrichtigt werden. Der Vergleich der verschiedenen Messstellen im Internet belegt, dass die analysierten Angriffsmuster nicht nur im Netzwerk der Universität Duisburg-Essen, sondern zeitlich zusammenhängend auch an anderen Standorten auftreten. Dadurch wird deutlich, dass die ermittelten Ergebnisse auch für andere Netzwerke gültig sind und dass die Toll Fraud-Problematik bereits für alle Betreiber von SIP-Servern relevant ist.Voice over IP networks based on the Session Initiation Protocol (SIP) are becoming more and more widespread in the Internet due to functionality and cost advantages and will soon replace the classic telephony networks. Therefore, support of open SIP-based interfaces is an increasingly important requirement for IP-based Public Branch eXchanges (PBXs) and provider systems. The VoIP service allows using the personal or company VoIP account from any location worldwide. The migration of the telephony service from a closed and comparatively secure environment to a network with open interfaces creates security issues and opens up new opportunities for misuse and fraud. In this thesis, attacks are analyzed which result from introducing SIP-based voice services and do not belong to the area of contract regulations or attacks on the network layer. The attacker’s goal is to gain immediate financial benefit by making toll calls (international, cellular, premium services) via cracked third party accounts (“Toll Fraud”). To realize the threat analysis and the attack detection concepts, a SIP-based testbed and required software components were developed. In comparison to the related work, analyses with Honeypots were enhanced and a mechanism for automatic, distributed attack detection was realized. Therefore, for gathering the required data, a Honeynet with two class-C networks captured the SIP traffic for a period of six years. The automatic analysis is based on attacks and operates independently of single SIP messages. The field test results of this thesis demonstrate that SIP-based threats increase over time and attack tools are optimized and enhanced. The increasing number of Toll Fraud attempts to international or premium numbers reveals that Toll Fraud attacks can cause the account owner substantial financial damage in a very short amount of time if there is insufficient attack detection and mitigation. Hence, it is necessary to implement an attack detection which is able to identify the different attack stages and sends a notification to mitigation components before a Toll Fraud call is established. In this thesis, the Security Sensor System was developed to maximize the monitoring scope and to realize the distributed, automatic attack detection in real-time. The light-weight sensor component provides worldwide signature-based attack detection. Additional to the location-based attack detection, all attack notifications are sent to a central service which correlates the incoming alarm messages and provides a comprehensive attacker identification to inform mitigation components in real-time. The comparison of different sensor nodes in the Internet shows that the analyzed attack patterns do not only occur in the University testbed, but also temporally coherent in other networks. Thus, the results are valid for different network environments and it is crucial to know that Toll Fraud attacks are already performed in reality

Klassifizierung elektronischer Beweismittel für strafprozessuale Zwecke

Die Arbeit beschreibt die Notwendigkeit der (Neu-)Klassifizierung elektronischer Beweismittel, da die derzeitige Unterscheidung der StPO von Kommunikationsdaten in Bestands-, Verkehrs- und Inhaltsdaten nicht zielführend ist. Es wird gezeigt, dass sich eine Klassifikation ausschließlich nach dem Kriterium der berechtigten Erwartungshaltung der Vertraulichkeitswahrung des Datensubjekts richten darf, das eine Unterscheidung in Kernbereichsdaten, geheime Daten, vertrauliche Daten, beschränkt zugängliche Daten und unbeschränkt zugängliche Daten erlaubt. Die Arbeit beinhaltet einen umfassenden Gesetzesentwurf zur entsprechenden Neuregelung der StPO

Rechtsfragen offener Netze : rechtliche Gestaltung und Haftung des Access Providers in zugangsoffenen (Funk-)Netzen

Offene Netze sind von Privaten betriebene Funknetzwerke, an denen jeder Interessierte aktiv teilnehmen und mitwirken kann. Offene Netze weisen Parallelen zu Open Source und Open Content auf und umfassen freien Zugriff auf das Netz (und das Internet). Diese Arbeit untersucht rechtliche Fragestellungen und rechtliche Gestaltungen offener Netze. Rechtsverhältnisse und Pflichten der Nutzer sowie Ansprüche Dritter (allg. Haftung, Störerhaftung, Auskunftsansprüche) werden aufgearbeitet und bewertet

Aktuelle Rechtsprobleme des Konsumentenschutzes im Telekommunikationsrecht

In dieser Arbeit wurden fünf aktuelle Probleme des Konsumentenschutzes im Telekommunikationsrecht erörtert, die anhand ihrer Bedeutung für den Schutz grundlegender Verbraucherrechte und -interessen ausgewählt wurden: Internetsperren wegen mehrmaligen Urheberrechtsverletzungen, Eingriffe in das Kommunikationsgeheimnis zwecks personalisierter Werbung, Informationspflichten bei Auskunftsbegehren sowie Data Breach Notification. Internetsperren wegen mehrmaligen Urheberrechtsverletzungen haben eine teilweise unionsrechtliche Regelung erfahren. Durch staatliche Maßnahmen darf dem Verbraucher der Zugang zum Internet nur unter Achtung der grundrechtlichen Garantien gesperrt werden. Privatrechtliche Maßnahmen von Providern unterliegen solchen Schranken hingegen nicht. Nach österreichischem Recht kann zwar die Vereinbarung von Internetsperren gem § 6 Abs 2 Z 3 KSchG bzw § 879 Abs 1 ABGB als unzulässig beurteilt werden, jedoch wurden entsprechende Vertragsbestimmungen bisher nicht gerichtlich bekämpft und stellen noch immer einen üblichen Bestandteil der Access-Provider-Verträge dar. Die Vornahme von Internetsperren wegen Urheberrechtsverletzungen ohne eine vertragliche Grundlage stellt eine Beeinträchtigung des Rechts des Verbrauchers auf vertragsgemäßen Gebrauch des Netzwerks des Providers dar und löst somit bestandrechtliche Rechtsfolgen aus. Internetsperren werden in der Praxis oft nur zu immateriellen Schäden führen. Diese sieht der OGH im Allgemeinen nur bei ausdrücklicher gesetzlicher Anordnung als ersatzfähig an, weshalb in der Praxis ein Schadenersatz meist ausgeschlossen sein wird. Informationspflichten des Providers bei Auskunftsbegehren lassen sich aus ergänzender Vertragsauslegung gewinnen. Ihre Verletzung kann sowohl materielle als auch immaterielle Schäden zur Folge haben, wobei nach der Rsp des OGH grundsätzlich nur erstere ersatzfähig sind. Daher ist zu bezweifeln, dass dem Verbraucher in der Praxis für immaterielle Schäden gerichtlich Schadenersätze zugesprochen werden. Ob dem Verbraucher ein Recht auf außerordentliche Vertragskündigung zukommt, hängt vom Umfang des Schadens ab, der auf Grund der Verletzung der Informationspflicht eingetreten ist bzw einzutreten droht. Die Auswertung des Datenverkehrs des Verbrauchers zwecks Bereitstellung personalisierter Werbung stellt sowohl nach Unionsrecht als auch nach österreichischem Recht einen Eingriff in das Kommunikationsgeheimnis des Verbrauchers dar und setzt daher seine Einwilligung voraus. Nach österreichischem Recht haben Verletzungen der Pflicht zur Wahrung des Kommunikationsgeheimnisses grundsätzlich Schadenersatzansprüche des Verbrauchers zur Folge. Jedoch sind die typischerweise in der Praxis eintretenden immateriellen Schäden nach höchstgerichtlicher Rsp, wie bereits ausgeführt, grundsätzlich nicht ersatzfähig. Daher wird der Verbraucher im Ergebnis gerichtlich keinen Schadenersatzanspruch durchsetzen können. Als ein Instrument zum Schutz seiner Rechte bleibt dem Verbraucher in solchen Fällen das Recht auf außerordentliche Vertragskündigung. Data Breach Notification, dh eine Pflicht die Betroffenen von Verletzungen der Sicherheit ihrer personenbezogenen Daten zu informieren, besteht sowohl nach Unionsrecht als auch nach österreichischem Recht. Nach österreichischem Recht ergibt sich aus ergänzender Vertragsauslegung eine über § 24 Abs 2a DSG 2000 hinausgehende nebenvertragliche Informationspflicht des Providers. Verletzt der Provider diese Pflicht, hat der Verbraucher grundsätzlich einen Schadenersatzanspruch. Eine gerichtliche Durchsetzung dieses Anspruches wird jedoch aufgrund der höchstgerichtlichen Judikatur zur Ersatzfähigkeit immaterieller Schäden in der Praxis selten erfolgreich sein. Ob der Verbraucher wegen einer Unterlassung der Benachrichtigung den Access-Provider-Vertrag außerordentlich kündigen kann, wird vom Umfang des drohenden bzw erlittenen Schadens abhängen. Auf Grund der Analyse der Rechtsprobleme im 3. Kapitel dieser Arbeit lässt sich im Ergebnis festhalten, dass die bestehenden konsumentenschutzrechtlichen Instrumente des allgemeinen Zivilrechts und des TKG 2003 durchaus geeignet sind, wesentliche Beiträge zur Lösung neuer Rechtsprobleme zu leisten sowie den Rechtsrahmen für Provider einzugrenzen. Gleichzeitig hat die Analyse dieser Rechtsprobleme jedoch auch gezeigt, dass die bestehenden Regelungen des Verbraucherschutzes im Telekommunikationsrecht nicht immer in der Lage sind, Lösungen herbeizuführen, die die Interessen der Verbraucher umfassend wahren. Nicht zuletzt um die Rechtssicherheit zu garantieren, sollte der Gesetzgeber daher erwägen, eine gesetzliche Regelung der hier analysierten Rechtsprobleme vorzunehmen