Inhalt:

• Unbequemer Datenschutz
• Abhängigkeit von US-Softwarelösungen ist kein Schicksal - EU-Kommission unterstützt den Aufbau europäischer Cloudlösungen
• Widerspruch zur Rechtsprechung in Deutschland? Österreichischer OGH: Finanzielles Risiko von Spoofing trägt der Schuldner

 

 

Unbequemer Datenschutz

Die Tendenz, über eigene Fehler oder Missgeschicke nicht zu sprechen ist allzu menschlich. Beim Datenschutz geht es aber um die Folgen, die unbeteiligte Dritte erwarten, "wenn etwas passiert". Der konkrete Fall ist zudem besonders problematisch, weil er im medizinischen Umfeld angesiedelt ist.

Die IT-Systeme eines Handelsunternehmens, das Krankenbedarf verkauft, wurden kürzlich gehackt. Ob verarbeitete Daten von Kunden samt ihren Verordnungen und Diagnosen in fremde Hände gelangten, wurde bei der Wiederherstellung der Systeme nicht erhoben. Der Betrieb gab sich damit zufrieden, dass nach einiger Zeit wieder alles funktionierte. Ältere Datensätze mit Verordnungen u.Ä., die nicht wieder hergestellt werden konnten, blieben unbeachtet.

Die Handhabung des Vorfalls durch die Verantwortlichen wäre nur unter sehr strengen Voraussetzungen rechtskonform. Denn bereits ein MÖGLICHES "Risiko für die Rechte und Freiheiten natürlicher Personen" löst eine Meldepflicht des Vorfalles an die Datenschutzbehörde und die Pflicht zur Benachrichtigung der Betroffenen aus (Art. 33 u. 34 DSGVO). Fraglos haben diese Meldungen Konsequenzen für den Betrieb, die nicht angenehm und mit erheblichem Aufwand verbunden sind.

Die betroffenen Verantwortlichen haben sich über die Möglichkeit eines Datendiebstahls bzw. einer unerlaubten Freisetzung sensibler Daten, die sie verarbeiten, nicht informiert und ihre Maßnahmen darauf beschränkt, ihre IT-Systeme wieder einigermaßen herzustellen. Dies ist (nachdem auch sensible Daten verarbeitet werden) lediglich dann zulässig, wenn es sich ausschließlich um verschlüsselte Daten gehandelt hätte, die keinen Schaden anrichten können, wenn sie in die Hände unbefugter Pesonen gelangen.

Welche Empfehlungen kann man aus dem Vorfall ableiten?

• Grundsätzlich ist beim Umgang mit medizinischen Daten eine verschlüsselte Verarbeitung ratsam. Sie stellt sicher, dass bei einem "Data Breach", einer Datenschutzverletzung (wie immer sie zustande kam), kaum ein Risiko für Betroffene entsteht.
• Soferne Daten im Klartext verarbeitet werden, sind ausnahmslos die vorgeschriebenen Maßnahmen gem. Art. 33 und 34 DSGVO zu setzen. Vereinfacht dargestellt ist dies die Absicherung der "Einbruchstelle", die Feststellung der Ursachen, die Information der Datenschutzbehörde binnen 72 Stunden ab Entdeckung des Vorfalls und die Verständigung aller Betroffenen samt Vorschlägen, mit welchen Maßnahmen sie selbst dazu beitragen können, ihre Risiken zu minimieren. Letzteres jedoch ersetzt nicht die vorgeschriebenen Bemühungen des Verantwortlichen, die möglichen Schäden für die Betroffenen zu beseitigen bzw. allenfalls später sogar Schadenersatz zu leisten.

 

 

Abhängigkeit von US-Softwarelösungen ist kein Schicksal - EU-Kommission unterstützt den Aufbau europäischer Cloudlösungen

Die aktuelle Rechtslage ist nicht ganz durchsichtig, die strategische Betrachtung der europäischen Situation im IT-Bereich ist jedoch klar: Die Abhängigkeit von US-amerikanischen Softwarelösungen und der Umstand, dass die Verarbeitung europäischer Daten in den USA erfolgt, ist spätestens seit der Amtsübernahme durch den 47. Präsidenten der USA hoch problematisch.

Während sich jüngsten Berichten zufolge die EU-Kommission mittlerweile um den Aufbau einer eigenständigen europäischen Cloud-Infrastruktur bemüht, die es den Nutzern möglich machen sollte, europäische Gesetze einzuhalten, liegt es aber an jedem Einzelnen, wenigstens zu versuchen, aus der Umarmung durch die US-Softwarekonzerne und die Geheimdienste der USA auszubrechen. Möglichkeiten dazu gibt es genug.

Anlässlich des Wartungsendes von Windows 10 könnte man etwa seinem PC ein neues, ressourcenschonendes Betriebssystem verpassen. Dazu bieten sich verschiedene Linux-Distributionen an. Die gibt es - ohne Leistungseinschränkung! - kostenfrei, ohne Werbung und mit einem beeindruckenden Office-Paket. Die vorher mit MS-Office erstellten Dokumente können auch unter Linux problemlos geöffnet, editiert und im ursprünglichen Format wieder abgespeichert werden. Technische Hindernisse, die den Umstieg nicht ratsam erscheinen lassen, existieren kaum. Die regelmäßigen Updates der Desktop-Versionen von Linux sind auch durch ungeübte Personen mittels eines einzigen Mausklicks ohne Schwierigkeiten zu erledigen.

Für einige Spezialanwendungen kommt Linux nicht als Betriebssystem in Betracht. Dies betrifft jedoch weniger die PC-Welt, als die verwendeten Server-Lösungen. Systeme, die nur auf Microsoft-Servern laufen gibt es. Deren Ersatz durch gleichwertige Alternativen verursacht einigen Aufwand, vorallem in der Vorbereitung. Da gilt es die Frage zu klären, ob alternative Systeme alle benötigten Funktionen aufweisen.

IT-Dienstleister, die im Softwarebereich unterstützen, sind meistens in der Lage, bei der strategischen Auswahl von Systemen zu beraten. Wenn Funktionen erforderlich sind, die lediglich mit Microsoft-Servern betrieben werden können, sollte man sich nicht davor fürchten. Für alle anderen Herausforderungen lohnt es sich jedoch, zu den meist kostengünstigeren und teilweise sogar technisch überlegenen Alternativen zu greifen.

Quellen:

https://www.derstandard.at/story/3000000266405/wie-europas-open-source-versagen-in-die-us-abhaengigkeit-gefuehrt-hat
(22.4.2025)

https://www.derstandard.at/story/3000000264218/europaeische-alternativen-in-der-digitalen-welt-ja-die-gibt-es
https://european-alternatives.eu/
(12.4.2025)

https://www.republik.ch/2025/03/31/die-us-regierung-hat-die-moeglichkeit-auf-viele-politikermails-in-europa-zuzugreifen?utm_source=firefox-newtab-de-de
(13.3.2025)

 

 

Widerspruch zur Rechtsprechung in Deutschland? Österreichischer OGH: Finanzielles Risiko von Spoofing trägt der Schuldner

In der Klienteninformation Nr. 49 haben wir einen Fall geschildert, in dem ein Schuldner in Deutschland an ein von Betrügern gefälschtes Bankkonto bezahlt hat. Der Klage des Gläubigers wurde stattgegeben, weil er ja das vereinbarte Entgelt noch nicht erhalten hatte. Gleichzeitig wurde aber dem betrogenen Schuldner ein Schadenersatz in Höhe des an die Betrüger überwiesenen Geldbetrages zugesprochen, weil der Gläubiger, also der Kläger, sein E-Mail mit der Rechnung und der richtigen Bankverbindung nicht ausreichend nach dem Stand der Technik geschützt hatte.

In einem ähnlichen Fall hat nun der OGH in Österreich entschieden, dass der Schuldner, der ebenfalls an ein Konto von Betrügern gezahlt hatte, den Anspruch des Gläubigers nicht erfüllt hat und die ausständige Zahlung noch leisten muss. Für den Umstand, dass die Zahlung noch nicht mit schuldbefreiender Wirkung geleistet wurde, sei es unerheblich, ob das Mail-Spoofing durch Sicherheitslücken im Bereich des Gläubigers oder des Schuldners verursacht worden sei. Der Gläubiger habe sein Bankkonto und den Erfüllungsort nicht verändert, das Risiko des korrekten Zahlungseinganges trage daher der Schuldner. Der habe - trotz widersprüchlicher Informationen, die er irrtümlich dem Gläubiger zuschrieb - eine finale, zweifelsfreie Prüfung der richtigen Kontodaten unterlassen (allerdings war der Gläubiger telefonisch im entscheidenden Moment nicht erreichbar).

In seiner Urteilsbegründung erwähnt der OGH, dass seitens der beklagten Partei im Verfahren keine Gegenforderung als Schadenersatz für die fälschlich an die Betrüger geleistete Zahlung angemeldet wurde. Damit schafft der Gerichtshof Raum für die Annahme, dass eine solche Forderung durchaus für den Ausgang des Verfahrens wichtig hätte sein können. In diesem Fall wäre nämlich durchaus zu prüfen gewesen, ob die Täuschung ursächlich mit Nachlässigkeiten im Bereich des Klägers oder des Beklagten im Zusammenhang gestanden ist.

Schlussfolgerung:

• Bei der Begleichung von Rechnungen ist es für den Schuldner wichtig, sich von den Bankdaten des Gläubigers zweifelsfrei zu überzeugen. Selbst geringste Zweifel müssen ausgeräumt sein, wenn man sicher sein will, mit der Zahlung seine Schuld beglichen zu haben.
• Wer Rechnungen an einen Kunden elektronisch übermittelt, tut gut daran, den Versand angemessen nach dem Stand der Technik abzusichern. Eine "Ende-zu-Ende-Verschlüsselung" der Übertragung ist bei höheren Rechnungsbeträgen jedenfalls erforderlich.
• Kommt es trotz aller Vorsichtsmaßnahmen zu einer Zahlung an das Konto von Betrügern und wird der Kunde/Schuldner daher folgerichtig auf Bezahlung des Kaufpreises geklagt, empfiehlt es sich, die Möglichkeit des Schadenersatzes durch den Gläubiger ins Auge zu fassen, wenn sein Verhalten zur fehlerhaften Überweisung beigetragen hatte. In diesem Fall hat der Schuldner die Chance, die zu Unrecht geleistete Zahlung (wenigstens teilweise) wieder ersetzt zu bekommen.

Quellen:

https://ris.bka.gv.at/Dokument.wxe?Abfrage=Justiz&Fachgebiet=&Gericht=&Rechtssatznummer=&Rechtssatz=&Fundstelle=&Spruch=&Rechtsgebiet=Undefined&AenderungenSeit=Undefined&JustizEntscheidungsart=&SucheNachRechtssatz=False&SucheNachText=True&GZ=8Ob121%2f24p&VonDatum=&BisDatum=29.03.2025&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Position=1&SkipToDocumentPage=true&ResultFunctionToken=7a61a684-495e-4b85-9a05-a717ce1b7d08&Dokumentnummer=JJT_20250114_OGH0002_0080OB00121_24P0000_000

https://www.derstandard.at/story/3000000263474/betrueger-schickten-falsche-kontonummer-kaeufer-muss-zweimal-zahlen
(8.4.2025)