P.b.b. Verlagspostamt 1010 Wien Erscheinungsort Wien 02Z032542M ISSN Schadenersatz nach Hackerangriff RAA Mag.

Transkript

1 P.b.b. Verlagspostamt 1010 Wien Erscheinungsort Wien 02Z032542M ISSN Schadenersatz nach Hackerangriff RAA Mag. Markus Dörfler ÖSTERREICHISCHER RECHTSANWALTSKAMMERTAG, TUCHLAUBEN 12, POSTFACH 96, A-1014 WIEN, TEL , FAX /13

2 Gewinne investieren und doppelt profitieren Als Freiberufler profitieren Sie vom KMU-Förderungsgesetz, das einen Teil Ihres Unternehmensgewinns steuerfrei stellt sofern Sie ihn entsprechend investieren. Der Gewinnfreibetrag steht allen natürlichen Personen zu, die betriebliche Einkünfte aus Land- und Forstwirtschaft, selbstständiger Arbeit sowie Gewerbebetrieb haben. Generell ausgenommen sind außerbetriebliche Einkünfte, wie etwa Einkünfte aus Vermietung und Verpachtung. Wie hoch ist der Freibetrag? Der Gewinnfreibetrag wurde auf 13 % der Bemessungsgrundlage (d. h. Ihres Gewinns) angehoben und ist mit Euro pro Veranlagungsjahr begrenzt. Bitte beachten Sie, dass es einen Grundfreibetrag gibt. Welche Investitionen sind steuerwirksam? Liegt Ihr Gewinn über dem Grundfreibetrag von Euro, so können Sie den Gewinnfreibetrag nur dann geltend machen, wenn Sie bestimmte Investitionen tätigen entweder in bestimmte geförderte Wirtschaftsgüter (mindestens vier Jahre Nutzungsdauer) oder in begünstigte Wertpapiere. Welche Wertpapiere geeignet sind, zeigt Ihnen gern Ihr Kundenbetreuer in einer Erste-Filiale oder Sparkasse in Ihrer Nähe. Dies ist eine Werbemitteilung. Die Angaben sind unverbindlich. Bitte beachten Sie: Eine Veranlagung in Wertpapiere birgt neben den geschilderten Chancen auch Risiken.

3 Editorial Die Anwaltschaft im 2. Jahrzehnt des 21. Jahrhunderts Ich freue mich, der österreichischen Rechtsanwaltschaft in dieser spannenden Zeit vorzustehen. Der Österreichische Rechtsanwaltskammertag setzt sich für die Rechtsstaatlichkeit in Österreich ein. Dazu gehört eine funktionierende und von der Bevölkerung respektierte Justiz. Dazu gehört Respekt vor den Grund- und Freiheitsrechten der österreichischen Bevölkerung. Die Rechtsanwältinnen und Rechtsanwälte und Berufsanwärterinnen und -anwärter sind aufgerufen, sich für unseren Rechtsstaat stark zu machen. Wir haben nicht nur eine Vorreiterrolle, sondern auch einen demokratischen Auftrag dazu. Gemeinsam mit dem Justizministerium haben wir den Elektronischen Rechtsverkehr entwickelt, um den man uns in den anderen EU-Mitgliedstaaten beneidet. Dennoch werden die Leistungen der Justiz in der Öffentlichkeit nicht entsprechend wahrgenommen. Nach wie vor fehlen der Justiz Ressourcen, der elektronische Akt ist noch lange nicht perfekt. Das gute Klima des Aufbruchs in ein neues Jahrzehnt wurde durch budgetäre Zwänge verschlechtert. Es freut uns deshalb besonders, dass die Kopierkosten von derzeit 1,10/Seite auf 0,60 abgesenkt werden. Unser Unverständnis für eine Gebühr bei selbst angefertigten Ablichtungen aus Gerichtsakten bleibt jedoch unverändert aufrecht. Unsere Forderung nach Waffengleichheit zwischen Staatsanwaltschaft und Verteidigung bleibt unverändert aufrecht. Mit der Initiative Justiz wollen wir das Vertrauen der Bevölkerung in die österreichische Justiz wiederherstellen. Dazu bedarf es des gemeinsamen Zusammenwirkens aller justiznahen Berufe Richter, Staatsanwälte, Rechtspfleger, Notare und eben der Rechtsanwälte. Der Österreichische Rechtsanwaltskammertag kritisierte den Entwurf zur Novelle des Sicherheitspolizeigesetzes. Seit 9/11/2001 brach eine Welle von Gesetzesinitiativen über Europa herein, die in kleinen Schritten die Grund- und Freiheitsrechte einschränken. Wir fordern Maßnahmen zu setzen, um das Vertrauen in den demokratischen Rechtsstaat Österreich zu fördern. Der Österreichische Rechtsanwaltskammertag unterstützt die Verwaltungsreform und die Schaffung von Verwaltungsgerichten der Bundesländer. Als eine der ca 120 Behörden nach Art 133 Z 4 B-VG (Kollegialbehörden mit richterlichem Einschlag) ist auch die OBDK davon direkt betroffen. Wir setzen uns dafür ein, die Struktur der OBDK aufrechtzuerhalten. Mit ihrer Auflösung würde massiv in die verfassungsrechtlich verankerte Autonomie und Selbstverwaltung der Rechtsanwaltschaft eingegriffen. Sie belastet das Bundesbudget zudem mit keinem Cent. Sie ist als Tribunal im Sinne des Art 6 EMRK ausgestaltet und leistet hervorragende Arbeit. Eine jahrzehntelange Judikatur existiert. Wir haben Verständnis dafür, Institutionen zu verbessern. Was gut ist, muss aber nicht verbessert werden. Gemeinsam für das Recht! Präsident Dr. Wolff 441

4 Inhalt Autoren dieses Heftes: RA Dr. Manfred Ainedter, Wien Mag. Sarah Baier, ÖRAK Büro Brüssel RA Dr. Michael Czinglar, Wien RAA Mag. Markus Dörfler, Wien RA Mag. Franz Galla, Wien RA Dr. Markus Heidinger, Wien RA Dr. Ruth Hütthaler-Brandauer, Wien RA Dr. Erich René Karauscheck, Wien RA Dr. Eduard Klingsbigl, Wien RA Dr. Christian Klotz, Innsbruck RA Dr. Gabriele Krenn, Graz RA Dr. Michael E. Sallinger, Innsbruck RA Dr. Ullrich Saurer, Graz RA Dr. Wolf-Georg Schärf, Wien Univ.-Lektor Dr. Franz Philipp Sutter, Wien RA Dr. Rupert Wolff, Salzburg Editorial RA Dr. Rupert Wolff Die Anwaltschaft im 2. Jahrzehnt des 21. Jahrhunderts 441 Wichtige Informationen 443 Werbung und PR 444 Termine 445 Recht kurz & bündig 447 Abhandlung RAA Mag. Markus Dörfler Schadenersatz nach Hackerangriff 451 Europa aktuell 456 Aus- und Fortbildung 458 Amtliche Mitteilungen 463 Chronik 464 Rechtsprechung 466 Zeitschriftenübersicht 470 Rezensionen 474 Indexzahlen 478 Inserate 479 Impressum Medieninhaber und Verleger: MANZ sche Verlags- und Universitätsbuchhandlung GmbH. Unternehmensgegenstand: Verlag von Büchern und Zeitschriften. Sitz der Gesellschaft: A-1014 Wien, Kohlmarkt 16. FN w, HG Wien. Grundlegende Richtung: Juristische Fachzeitschrift, im Besonderen für das Standesrecht der Rechtsanwaltschaft, zugleich Organ des Österreichischen Rechtsanwaltskammertages und der österreichischen Rechtsanwaltskammern. Verlagsadresse: A-1015 Wien, Johannesgasse 23 Geschäftsführung: Mag. Susanne Stein (Geschäftsführerin) sowie Prokurist Dr. Wolfgang Pichler (Verlagsleitung). Herausgeber: RA Dr. Rupert Wolff, Präsident des Österreichischen Rechtsanwaltskammertages, A-1010 Wien, Tuchlauben 12, Tel (01) , Fax (01) , Internet: Druck: Ferdinand Berger & Söhne Ges. m. b. H., 3580 Horn Haftungsausschluss: Sämtliche Angaben in dieser Zeitschrift erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr. Eine Haftung der Autoren, der Herausgeber sowie des Verlags ist ausgeschlossen. Layout: Michael Fürnsinn für buero8, 1070 Wien Verlags- und Herstellungsort: Wien Redaktionsbeirat: RA Dr. Gerhard Benn-Ibler, RA Dr. Michael Enzinger, RA Dr. Georg Fialka, em. RA Dr. Klaus Hoffmann, RA Dr. Elisabeth Scheuba, RA Dr. Rupert Wolff Redakteurin: Mag. Silvia Tsorlinis, Generalsekretärin des Österreichischen Rechtsanwaltskammertages Redaktion: Generalsekretariat des Österreichischen Rechtsanwaltskammertages, A-1010 Wien, Tuchlauben 12, Tel (01) , Fax (01) , Anzeigen: Heidrun R. Engel, Tel (01) , Fax (01) , Zitiervorschlag: AnwBl 2011, Seite Erscheinungsweise: 11 Hefte jährlich (eine Doppelnummer) Bezugsbedingungen: Der Bezugspreis für die Zeitschrift inkl. Versandspesen im Inland beträgt jährlich EUR 266,, Auslandspreise auf Anfrage. Das Einzelheft kostet EUR 29,10. Nicht rechtzeitig vor ihrem Ablauf abbestellte Abonnements gelten für ein weiteres Jahr erneuert. Abbestellungen sind schriftlich bis spätestens sechs Wochen vor Jahresende an den Verlag zu senden. Wird an Rechtsanwälte und Rechtsanwaltsanwärter unentgeltlich abgegeben. Nachdruck, auch auszugsweise, ist mit Zustimmung der Redaktion unter Angabe der Quelle gestattet. Namentlich gezeichnete Beiträge geben ausschließlich die Meinung der Autoren wieder. 442

5 Wichtige Informationen Weihnachtsbegnadigung 2011 Der Erlass des Bundesministeriums für Justiz betreffend die Durchführung einer Gnadenaktion aus Anlass des Weihnachtsfestes 2011 steht im Internen Bereich von (2.) zur Verfügung. Expertenrat zur Berufshaftpflicht Die Spezialisten der KOBAN SOLDORA GMBH evaluieren die Vermögensschadenhaftpflicht-Versicherung von rechts- und wirtschaftsberatenden Personen. Das Team erstellt für diese Berufsgruppe individuelle und bedarfsgerechte Lösungen und verhandelt ein attraktives Preis-Leistungs-Verhältnis. Dr. iur. Klaus G. Koban, Geschäftsführer der KOBAN SOLDORA GMBH rät: Lassen Sie von Zeit zu Zeit das Risikopotenzial sowie Ihren Versicherungsbedarf prüfen. Denn in komplexen Versicherungsbelangen gibt es meist vielschichtige Lösungen. Während unserer Beratertätigkeit stoßen wir bei Klienten immer wieder auf sehr alte Verträge, die keine adäquaten Deckungssummen und einen viel zu geringen Versicherungsschutz bieten. Als Experten offerieren wir unseren Kunden neue, individuelle Lösungen, erläutert Dr. iur. Georg Aichinger, Geschäftsführer der KOBAN SOLDORA GMBH. Wir freuen uns auf Ihre Kontaktaufnahme unter 0664/ oder 443

6 Werbung und PR 444

7 Termine Inland 8. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Der Gewährleistungsprozess Mag. Johann Guggenbichler 9. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Einstweilige Verfügungen im Familienrecht inklusiver nationaler und internationaler Schnellverfahren Hofrat Dr. Edwin Gitschthaler, Richter Mag. Susanne Beck 9. November WIEN WU Wien, Seminar aus Privatrecht: Vertretung von Gebietskörperschaften und Vertrauensschutz Univ.-Prof. Dr. Meinhard Lukas, Universität Linz 9. November WIEN W & M Wirtschaftsseminare-Organisation & Marketingservice Gesellschaft mbh: Korrekte Mietvertragserrichtung unter besonderer Berücksichtigung der Klauseljudikatur des OGH Univ.-Prof. Dr. Helmut Böhm 10. November WIEN Österreichischer Juristentag: Festveranstaltung 200 Jahre ABGB 10. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Reparatur-Notwendigkeiten bei Stiftungen RA Dr. Maximilian Eiselsberg, DDr. Katharina Müller, Univ.-Lekt. MMag. Michael Petritz, LL. M., RA Mag. Florian Haslwanter 14. November WIEN International Fiscal Association (IFA): Umsatzsteuer und Doppelbesteuerung 15. November INNSBRUCK W & M Wirtschaftsseminare-Organisation & Marketingservice Gesellschaft mbh: Korrekte Mietvertragserrichtung unter besonderer Berücksichtigung der Klauseljudikatur des OGH Univ.-Prof. Dr. Helmut Böhm 16. November SALZBURG W & M Wirtschaftsseminare-Organisation & Marketingservice Gesellschaft mbh: Korrekte Mietvertragserrichtung unter besonderer Berücksichtigung der Klauseljudikatur des OGH Univ.-Prof. Dr. Helmut Böhm 16. und 17. November WIEN ICC Austria: US Export & Re-Export-Controls, Sanctions & Embargoes Nicholas Coward, Baker & McKenzie, Washington, Michael Howlett, Director ICC Commercial Crime Services, London, Neil Chantry, HSBC Bank, London 17. bis 19. November GRUNDLSEE Karner & Dechow Industrie-Auktionen: 18. Insolvenz-Forum Grundlsee 18. und 19. November WIEN WU Wien Symposion: 50 Jahre Bundesabgabenordnung Die allgemeinen Bestimmungen der BAO im Spiegel des Verfassungs- und Verwaltungsrechts 21. November WIEN ÖRAV-Seminar: Grundbuch III RegR A. Jauk 22. November INNSBRUCK W & M Wirtschaftsseminare-Organisation & Marketingservice Gesellschaft mbh: Korrekte Errichtung von Bauträgerverträgen Univ.-Prof. Dr. Helmut Böhm 22. November WIEN Podiumsdiskussion: Zivilrechtsgesetzgebung 200 Jahre später: Delegation von Gestaltungsmacht? 22. und 23. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Jahrestagung: Gerichtliche und außergerichtliche Unternehmenssanierung Referententeam 23. November SALZBURG W & M Wirtschaftsseminare-Organisation & Marketingservice Gesellschaft mbh: Korrekte Errichtung von Bauträgerverträgen Univ.-Prof. Dr. Helmut Böhm 23. und 24. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Jahrestagung: Arbeitsrecht Univ.-Prof. Dr. Franz Schrank, Univ.-Prof. Dr. Wolfgang Mazal, HR Dr. Gerhard Kuras, Dr. Andreas Jöst und weitere Experten 24. und 25. November SALZBURG Studiengesellschaft für Wirtschaft und Recht: Symposion, Alter und Recht 445

8 Termine 25. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Scheidungsrecht aktuell Neue Wege bei Obsorge- & Besuchsrecht Dr. Gabriela Thoma-Twaroch, Univ.-Prof. Dr. Astrid Deixler-Hübner 27. November bis 2. Dezember WIEN X Special CIArb Member Qualification Seminar: International Commercial Agreements and Dispute Resolution through Arbitration 29. November WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Aktuelle Judikatur zum Stiftungsrecht Univ.-Prof. Hofrat Dr. Georg Kodek, LL. M. 29. November WIEN W & M Wirtschaftsseminare-Organisation & Marketingservice Gesellschaft mbh: Korrekte Errichtung von Bauträgerverträgen Univ.-Prof. Dr. Helmut Böhm 30. November WIEN WU Wien, Seminar aus Privatrecht: Schutz von Geheimnissen im Zivilprozessrecht Univ.-Ass. Mag. Dr. Thomas Garber, Universität Graz 2. Dezember KLAGENFURT ÖRAV-Seminar (vm): Exekution I RA Dr. H. P. Wachter, RegR A. Jauk 2. Dezember KLAGENFURT ÖRAV-Seminar (nm): Exekution II RA Dr. H. P. Wachter, Mag. M. Riedl 14. Dezember WIEN WU Wien, Seminar aus Privatrecht: Aktuelle Fragen des Irrtumsrechts Ass.-Prof. Dr. Renate Pletzer, Universität Salzburg 16. Dezember WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Neueste Judikatur zum Wohnrecht Dr. Wolfgang Dirnbacher 17. Jänner 2012 WIEN ÖRAV-Seminar: Grundlehrgang (BU-Kurs) Beginn Referententeam 18. Jänner 2012 WIEN WU Wien, Seminar aus Privatrecht: Jahresrückblick bemerkenswerter schadenersatzrechtlicher Entscheidungen des OGH Hon.-Prof. Dr. Karl-Heinz Danzl, Sen.-Präs. des OGH 19. Jänner 2012 WIEN ÖRAV-Seminar: Kurrentien-Spezialseminar (Forderungseintreibung für Banken und Kreditinstitute) RA Dr. Valzachi 26. Jänner 2012 WIEN ÖRAV-Seminar: Kurrentien-Spezialseminar (Forderungseintreibung für Banken und Kreditinstitute) RA Dr. Valzachi 16. bis 18. Februar 2012 WIEN Europäische Präsidentenkonferenz Wiener Advokatengespräche und 18. Februar 2012 WIEN Vienna Arbitration Days: Arbitration in Europe A Framework in the Making? 5. März 2012 WIEN ÖRAV-Seminar: Exekution I RA Dr. H. P. Wachter, ADir Dworak 6. März 2012 WIEN ÖRAV-Seminar: Verfahren Außer Streit RA Mag. H. Hohenberger, ADir Tatzber 19. März 2012 WIEN ÖRAV-Seminar: Exekution II RA Dr. H. P. Wachter, Ri Dr. Schaumberger 12. April 2012 WIEN ÖRAV-Seminar: Einführung RA Dr. E. Schön 24. April 2012 WIEN Akademie für Recht, Steuern und Wirtschaft (ARS): Scheidungsrecht aktuell Neue Wege bei Obsorge- & Besuchsrecht Dr. Gabriela Thoma-Twaroch, Univ.-Prof. Dr. Astrid Deixler-Hübner Ausland 24. und 25. November PARIS Union Internationale des Avocats (UIA): Advanced Mediation Training Course 1. bis 10. Juni 2012 ROVINJ/KROATIEN Fußballweltmeisterschaft der Anwälte: 16. MUNDIAVOCAT CLASSIC 3. MUNDIAVOCAT MASTER Beachten Sie bitte auch die Termine in der Rubrik Aus- und Fortbildung auf den Seiten 458 ff. 446

9 Recht kurz & bündig " 130 Abs 2, 195 AktG; 41 GmbHG: Stimmverbote juristischer Personen, die von Organmitgliedern beherrscht werden 1. Auch für eine juristische Person als Aktionär gilt das Stimmverbot gem 130 Abs 2 AktG, wenn sie von einer Person beherrscht wird, die vom Stimmrecht ausgeschlossen ist. Dies ist der Fall, wenn der organschaftliche Vertreter der juristischen Person auch Mitglied des Vorstands oder Aufsichtsrates der Aktiengesellschaft ist und entweder die Ausübung des Stimmrechts der juristischen Person seiner alleinigen Willensentscheidung unterliegt oder wirtschaftliche Identität zwischen ihm und der juristischen Person vorliegt. 2. Auch die Zwischenschaltung mehrerer Konzernebenen schließt ein Stimmverbot nicht aus. 3. Schon ein geringerer Grad an beherrschendem Einfluss kann für das Stimmverbot genügen. 4. Für die Beschlussfassung über eine Sonderprüfung in der Hauptversammlung gibt es keine Kapitalschwelle. 5. Bei einer Anfechtungsklage muss der Kläger zwar sämtliche Anfechtungsgründe samt wesentlichem Sachverhalt darlegen, er muss aber lediglich die Angriffsrichtung erkennen lassen. OGH , 6 Ob 16/11 p GeS 2011, 275. " 354 EO; 15 a GmbHG: Exekution auf unvertretbare Handlung gegen eine GmbH: Beugehaft über Geschäftsführer zulässig 1. Wird gegen eine GmbH nach 354 EO wegen einer unvertretbaren Handlung Exekution geführt, kann gegen ihren Geschäftsführer die Beugehaft verhängt werden. 2. Hat der Geschäftsführer eine Weisung der Gesellschafter, die gegen die Pflichterfüllung steht, erhalten, hat er, um die Beugehaft zu vermeiden, seine Funktion zurückzulegen. 3. Eine alternative Bestellung eines Notgeschäftsführers zur Erwirkung der Handlung scheidet wegen der in 15 a GmbHG normierten Voraussetzungen bei Vorhandensein eines Geschäftsführers aus. OGH , 3 Ob 48/11 x GeS 2011, 278. " 212, 283 Abs 1 UGB; Art 1 Abs 1 1. ZP EMRK; Art 5 StGG: Hinderung an fristgerechter Offenlegung Zwangsstrafen wegen fehlender Jahresabschlüsse 1. Nur wenn ein Geschäftsführer offenkundig durch ein unvorhergesehenes oder unabwendbares Ereignis an der fristgerechten Offenlegung des Jahresabschlusses gehindert wird, kann von einer Zwangsstrafverfügung abgesehen werden. Zur Auslegung von unvorhergesehenes oder unabwendbares Ereignis ist dabei die Lehre und Rsp zur Wie- dereinsetzung in den vorigen Stand gem 146 ZPO heranzuziehen. 2. Die Offenlegungspflicht lebt nach Wegfall des Hindernisses wieder auf. Die Frist für die Nachreichung des ausständigen Jahresabschlusses beträgt vier Wochen ab diesem Wegfall. 3. Für die Verhängung einer Zwangsstrafe besteht bei einem einzigen fehlenden Jahresabschluss, der über sieben Jahre zurückliegt, kein Anlass. Vielmehr wäre eine solche grundrechtswidrig, da kein oder nur mehr ein sehr geringes Interesse an der Offenlegung besteht. OLG Wien , 4 R 221/11 s GeS 2011, 282. " 25, 34 f, 41 GmbHG; 863, 1016 ABGB: Umfang des Entlastungsbeschlusses; unwirksamer Beschluss; nachträgliche konkludente Genehmigung eines zustimmungsbedürftigen Geschäfts bei einer GmbH 1. Lediglich jene Schadenersatzansprüche, welche die GmbH bei sorgfältiger Prüfung aller vorgelegten und vollständigen Unterlagen erkennen konnte, sind vom Entlastungsbeschluss umfasst. Der Geschäftsführer hat im Fall der Unvollständigkeit oder Unerkennbarkeit seine Sorgfalt zu beweisen, während die GmbH die Unerkennbarkeit im Zeitpunkt der Genehmigung zu beweisen hat. 2. Ein Umlaufbeschluss ohne ordnungsgemäße Einberufung einer GV und ohne schriftliches Einverständnis aller Gesellschafter zur schriftlichen Abstimmung ist ein Nichtbeschluss. Daher ist die Anfechtung mittels Klage entbehrlich. 3. Fehlt die notwendige Zustimmung der Gesellschafter kann diese bei ausreichender Kenntnis aller Gesellschafter im Nachhinein konkludent erfolgen. Dies ist bei Zustimmung aller Gesellschafter ohne besondere Förmlichkeiten dann der Fall, wenn das zuständige Organ im Wissen um das vollmachtslose Geschäft die daraus resultierenden Vorteile in Anspruch nimmt. OGH , 7 Ob 143/10 w ecolex 2011/244. " 154 Abs 2 ABGB; PSG: Ausübung von Gestaltungsrechten des Stifters durch den Vertreter pflegschaftsgerichtliche Genehmigung 1. Die Gestaltungsrechte des Stifters können zwar nicht abgetreten werden, sehr wohl können sie jedoch durch einen gesetzlichen Vertreter ausgeübt werden. 2. Die Einholung der pflegschaftsbehördlichen Genehmigung ist bei der Stiftungsvorstandsumbestellung nicht erforderlich, da kein wirtschaftliches Risiko vorlag und lediglich eine mittelbare Auswirkung auf das Vermögen des Stifters denkbar ist. OGH , 6 Ob 240/10 b, 6 Ob 241/10 z wbl 2011, 392. Diese Ausgabe von Recht kurz & bündig entstand unter Mitwirkung von Dr. Manfred Ainedter, Mag. Franz Galla und Dr. Ullrich Saurer. 447

10 Recht kurz & bündig " 288 Abs 1 StPO ( 281 Abs 1 Z 4, 5 und 9 lit a StPO): Freispruchsanfechtung muss alle Tatbestandsmerkmale erfassen Gründet das Gericht den Freispruch bloß auf die Verneinung eines Tatbestandsmerkmals, ohne eine Aussage zu den übrigen zu treffen, reicht es für den Erfolg der NB nicht hin, einen Begründungsmangel bloß in Ansehung der getroffenen UAnnahme aufzuzeigen. Vielmehr ist hinsichtlich jener Tatbestandsmerkmale, zu denen das U keine Konstatierungen enthält, ein Feststellungsmangel (Z 9 lit a) geltend zu machen. Fehlen dafür die nötigen Indizien, ist eine auf Abweisung darauf bezogener Anträge gestützte Verfahrensrüge (Z 4) zu ergreifen. Wurden die übrigen Tatbestandsmerkmale verneint, muss auch insoweit ein Begründungsmangel (Z 5) vorgebracht werden. OGH , 13 Os 137/10 m EvBl 2011/69. " 51 Abs 2 zweiter Satz StGB: Weisung Schaden nach Kräften gutzumachen muss bestimmt sein Verfügt das Gericht die Schadensgutmachung nach Kräften, ist die ziffernmäßige Bestimmung unumgänglich, weil zunächst die Leistungsfähigkeit des Verurteilten festgelegt und auf dieser Grundlage der zu ersetzende Betrag ermittelt werden muss. Weiters ist im Weisungsbeschluss auszusprechen, innerhalb welcher Frist der Schaden gutzumachen ist, wobei auch die Verpflichtung zur (entsprechend determinierten) ratenweisen Zahlung zulässig ist. OGH , 13 Os 142/10 x EvBl 2011/70. " 345 Abs 1 Z 5 StPO ( 55, 281 Abs 1 Z 4 StPO) = EvBl-LS 2011/79: Der Nichtigkeitsgrund bezieht sich nur auf Entscheidungen über Anträge in der Hauptverhandlung Dem außerhalb der richterlichen Verfahrensführung gelegenen faktischen Umstand der Nichtdurchführung einer vom Gericht tatsächlich beabsichtigten Beweisaufnahme kommt unter dem Aspekt von 345 Abs 1 Z 5 ( 281 Abs 1 Z 4) StPO keine Bedeutung zu. OGH , 11 Os 175/10 k. " 363 a StPO (Art 89 Abs 2 B-VG) = EvBl-LS 2011/ 80: Unterlassene Normanfechtung kann Gegenstand des Erneuerungsantrags sein Es besteht ein subjektives Recht des von einem grundrechtswidrigen Gesetz Betroffenen, den OGH wegen pflichtwidrig unterlassener Normanfechtung durch diesem untergeordnete Rechtsmittelgerichte anzurufen. OGH , 11 Os 142/10 g. " 281 Abs 1 Z 1 a StPO ( 489 Abs 1 StPO): Verteidigerzwang im Einzelrichterverfahren als Nichtigkeitsgrund Der im Verfahren vor dem Einzelrichter des Landesgerichts geltende Nichtigkeitsgrund des 281 Abs 1 Z 1 a StPO knüpft an die Strafdrohung des Prozessgegenstands an. Dieser bestimmt sich nach den Urteilsfeststellungen über die entscheidenden Tatsachen, mithin nach der wirklich und nicht bloß nach Ansicht des Anklägers begangenen Tat. OGH , 14 Os 173/10 p EvBl 2011/76. " 143 StGB ( 15 Abs 1, 28 Abs 1, 75 StGB; 260 Abs 1 Z 2 StPO): Scheinkonkurrenz bei schwerem Raub Verletzt der Täter mit Tötungsvorsatz sein Raubopfer schwer, werden infolge des Scheinkonkurrenztyps der stillschweigenden Subsidiarität alle auf Verletzung oder Tod abstellenden Erfolgsqualifikationen des 143 StGB von der zugleich begründeten rechtlichen Kategorie (= strafbare Handlung) des Mordes verdrängt. Dass Mord bloß versucht wurde, ändert daran nichts. Statt einer mit Mord konkurrierenden Erfolgsqualifikation ist die eingetretene Verletzungsfolge (bloß) als Strafzumessungsgrund in Anschlag zu bringen. OGH , 13 Os 132/10 a EvBl 2011/77. " 16 Abs 1 erster Satz StVG ( 9 Abs 1, 10 Abs 1 StVG) = EvBl-LS 2011/87: Die Zuständigkeit des Vollzugsgerichts gründet nicht auf faktischen Umständen Für die Beurteilung der örtlichen Zuständigkeit des VollzugsG kommt es in den Fällen einer Strafvollzugsortsänderung nicht auf das Eintreffen des Strafgefangenen (den Strafantritt) in der zuständigen Strafvollzugsanstalt, sondern darauf an, welche Justizanstalt zum Zeitpunkt der Einleitung des Verfahrens nach der E der Vollzugsdirektion für den Strafvollzug zuständig war. OGH , 14 Ns 10/11 y. " 33 Abs 1 FinStrG ( 21 Abs 1 FinStrG; 93 Abs 2 Z 1 lit a, 96 Abs 1 Z 1 und Abs 3 EStG) = EvBl-LS 2011/88: Tateinheit im Finanzstrafrecht bestimmt sich nach Erklärungspflicht Gewinnanteile aus GmbH unterliegen gem 93 Abs 2 Z 1 lit a EStG der KESt, die binnen einer Woche nach Zufließen der Kapitalerträge ivm einer entsprechenden Anmeldung unter der Bezeichnung Kapitalertragsteuer abzuführen ist. Selbständige Tat ist daher insoweit jeweils das Unterlassen der auf einen bestimmten Ertragszufluss bezogenen KESt-Abfuhr unter Verletzung der korrespondierenden Anmeldungspflicht. OGH , 13 Os 104/10 h. 448

11 Rechtsanwaltskanzlei Dr. Daniel Bräunlich, Salzburg v.l.n.r.o.n.u.: Tanja Strkic, Mag. Thomas Kaps, Eva Hinterbichler, Dr. Daniel Bräunlich Die Firma ADVOKAT befasst sich seit mehr als 30 Jahren speziell mit der Organisation und Rationalisierung von Kanzleiabläufen und hat das EDV-System ADVOKAT Edition 5 entwickelt. Mit einem Team von bis zu 30 Mitarbeitern mit Spezial-Know-how für Anwaltskanzleien werden über 1500 Kanzleien und Unternehmen mit mehr als Arbeitsplätzen in ganz Österreich betreut. Aufgrund unserer Flexibilität und stetig weiterentwickelten Fachkompetenz sind wir mit Abstand Marktführer. Unsere Stärke gibt Ihnen Sicherheit Innsbruck Andreas-Hofer-Straße 39B Telefon (0512) Telefax (0512) office@advokat.at Homepage: Wien Stephansplatz 7A (Eingang Rotenturmstraße 1 3) Telefon (01) Telefax (01)

12 SteuerExpress: Gratis-App von MANZ Steuerrecht, Bilanzierung und Förderungen täglich aktuell auf Ihrem iphone und ipad! iphone and ipad are trademarks of Apple Inc. QR-Code is a trademark of DENSO WAVE INC. Fotos: Francesco Marino, iadams fotolia.com Google App gleich öffnen? So geht s! Einfach im App Store QR-Code Reader suchen und auf Ihrem Gerät installieren. QR-Code (links) mit geeignetem Reader fotografieren! Link öffnen und SteuerExpress App im Store herunterladen. Hinweis: Es können Kosten für den Datentransfer von Ihrem Mobilfunkbetreiber entstehen.

13 Recht kurz & bündig " 363 a StPO ( 34 Abs 2 StGB; 9 StPO; 91 GOG; Art 35 MRK): Verzögerte Urteilsausfertigung als Grundrechtsverletzung Dem Erfordernis der Ausschöpfung des Rechtswegs wird entsprochen, wenn von allen effektiven Rechtsbehelfen Gebrauch gemacht wurde (vertikale Erschöpfung) und die geltend gemachte Konventionsverletzung zumindest der Sache nach und in Übereinstimmung mit den innerstaatlichen Verfahrensvorschriften im Instanzenzug vorgebracht wurde. Während 34 Abs 2 StGB keine Ausschöpfung des Rechtswegs erfordert, bedarf es bei Reklamation unangemessener Verfahrensdauer mittels Erneuerungsantrags vorheriger Einbringung eines Fristsetzungsantrags nach 91 GOG, wenn ein solcher wirksam Abhilfe gegen Verzögerung verspricht. OGH , 14 Os 187/10 x EvBl 2011/83. " 302 StGB ( 12 erster Fall StGB; 13 Abs 1 MeldeG): Scheinmeldungen als Amtsmissbrauch Ein Bürgermeister, der in seiner Funktion als Melde- Beh Gemeindebediensteten Weisungen erteilt, handelt im Rahmen seiner (eigenen) Befugnis, als Organ des Bundes in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, und ist demnach bei Erfüllung der Tatbestandsmerkmale des 302 Abs 1 StGB unmittelbarer Täter. OGH , 13 Os 12/11 f EvBl 2011/84. " 5 EIRAG: Nachweis und Widerruf des Einvernehmens beim Einvernehmensrechtsanwalt Eine in Deutschland wohnhafte Klägerin führte in Österreich ein Verfahren. Die Klage wurde durch einen inländischen Rechtsanwalt eingebracht, doch in der Folge gab die Klägerin die Bevollmächtigung einer deutschen Rechtsanwaltskanzlei bekannt und teilte mit, dass sie sowohl durch den österreichischen Rechtsanwalt als auch durch die deutsche Kanzlei vertreten wird, deren Handeln stets im Einvernehmen mit dem inländischen Rechtsanwalt erfolge. Im Lauf des Verfahrens teilte der Einvernehmensanwalt das Erlöschen des Mandates mit, vor Schluss des Verfahrens schritt schon der neue ein. Nachdem sie das klagsabweisende Urteil vom alten Einvernehmensanwalt weitergeleitet erhalten hatte, beantragte die deutsche Kanzlei die Zustellung an sie bzw den neuen. Innerhalb von vier Wochen nach Zustellung an ihn brachte der neue Einvernehmensanwalt die Berufung ein, das BerG wies diese aber mit der Begründung zurück, dass die Zustellung an den alten Einvernehmensanwalt maßgeblich sei. Vorerst untersucht und bejaht der erkennende Senat die Frage, ob der Nachweis des Einvernehmens isd 5 Abs 2 EIRAG erbracht wurde. Bei der Auslegung von Prozesshandlungen seien objektive Maßstäbe anzulegen und nicht die Auslegungsregeln für Rechtsgeschäfte ( 914 ff ABGB) heranzuziehen. Zweckmäßiger als die Vorlage eines möglicherweise umfassenden Vertragswerks sei laut Lehre ein gemeinsam eingebrachter Schriftsatz, in dessen Rubrum sich Kanzleistempel und Unterschriften beider Anwälte befinden, mit dem auf das hergestellte Einvernehmen hingewiesen wird oder gegebenenfalls prozessrelevantes Vorbringen erstattet wird. Zum Widerruf des Einvernehmens führt der OGH aus: Mag auch der Widerruf der Vollmacht nicht zwingend den Widerruf des Einvernehmens bedeuten, so weist jedoch die Bestellung eines neuen Einvernehmensrechtsanwalts in diese Richtung. Allfällige Zweifel des ErstG wären durch Erörterung in der Verhandlung auszuräumen gewesen, sie haben aber laut Verhandlungsprotokoll und Urteilskopf ohnehin nicht bestanden. OGH , 2 Ob 100/11 m ZAK 2011/557, 298 (Heft 15). " 1295 Abs 1 ABGB: Vertrag mit Schutzwirkungen zugunsten Dritter bei Kranarbeiten In dem dieser E zugrundeliegenden Sachverhalt wurde die Klage eingebracht von einem Kaskoversicherer eines Autofahrers, der auf einem Firmengelände Räumlichkeiten gemietet hatte, zu denen auch zwei Abstellplätze auf einem Parkplatz neben dem Firmengebäude gehörten. Die beklagte Partei hatte von der Nebenintervenientin den Auftrag erhalten, mit Hilfe eines Kranwagens einen auf einem Dach des Firmengebäudes befindlichen Entlüfter von diesem Gebäude auf den Parkplatz herabzuheben. Im Zuge der Demontage des Entlüfters ersuchten Mitarbeiter der Nebenintervenientin den Versicherungsnehmer der Klägerin, mit seinem Kfz von seinem Abstellplatz weg und zu einem anderen Abstellplatz im östlichen Bereich des Parkplatzes zuzufahren. In der Folge hat der Kranfahrer schuldhaft einen Schaden bei dem Fahrzeug verursacht, für welchen die Klägerin als Kaskoversicherer einzustehen hatte. Der OGH führt aus: Es liegt auf der Hand, dass auf einem solchen Firmenparkplatz auch Personen, die in enger Beziehung zum Firmengelände stehen, zb weil sie wie der Versicherungsnehmer der klagenden Partei dort Räumlichkeiten samt Autoabstellplätzen gemietet haben, in eine Nahebeziehung zu der vertraglich geschuldeten Leistung kommen und es daher dem Auftraggeber ein Anliegen sein muss, diese Personen vor schädlichen Auswirkungen der Vertragserfüllung zu schützen. Bei objektiver Auslegung des Vertrags ist anzunehmen, dass sich die ver- 449

14 Recht kurz & bündig tragliche Schutzpflicht auf Dritte, wie den Versicherungsnehmer der klagenden Partei, die der vertraglichen Hauptleistung nahestehen, erstrecken sollte. OGH , 2 Ob 210/10 m ZAK 2011/555, 297 (Heft 15). Rechberger Simotta Zivilprozessrecht Erkenntnisverfahren, 8. Auflage 8. Auf lage XL, 806 Seiten. Br. EUR 75, ISBN Mit Hörerschein für Studierende EUR 65, Wesentliche Neuerungen in der 8. Auflage: Zivilverfahrensnovelle 2009 Budgetbegleitgesetz 2009 Europäische Zustellverordnung Plus: die geplante Europäische Unterhaltsverordnung Die jüngsten Entwicklungen in Gesetzgebung, Rechtsprechung und Lehre sind berücksichtigt! MANZ sche Verlags- und Universitätsbuchhandlung GmbH tel fax bestellen@manz.at Kohlmarkt Wien 450

15 Abhandlung Schadenersatz nach Hackerangriff Von RAA Mag. Markus Dörfler, Wien. I. Vorgeschichte Datenschutzrecht ist nicht zuletzt nach den Hackerangriffen der letzten Monate in aller Munde: Deutsche Datenschützer fordern etwa, dass Facebook biometrische Daten löschen soll; 1) Google erklärte, Daten von europäischen Servern an US-Geheimdienste weitergeleitet zu haben; 2) das Pentagon 3) wurde (neben der Nato 4) ) Opfer von Hackangriffen und zu guter Letzt wurde bekannt, dass Facebook unzulässigerweise sogar Daten aus Telefonbüchern von Mobiltelefonen kopiert habe. 5) Doch wie sieht es hierzulande aus? Tatsächlich hat es der in Österreich tätige Teil der losen Hackergruppe Anonymous geschafft, nicht nur ihr Logo My Little Pony auf den Seiten von mehreren politischen Parteien zu platzieren, 6) sondern auch an Datensätze der FPÖ, der Grünen und der GIS 7) zu gelangen. Dabei wurden beispielsweise bei der GIS Nutzerdaten mit Kontonummern erbeutet. 8) II. Hacker und Hackangriffe Die erste Frage, die man sich im Zusammenhang mit Hackangriffen stellen muss, ist, wer sind eigentlich diese Hacker? Im Bereich des Computers ist ein Hacker eine Person, die Spaß an der Erstellung und Veränderung von Computersoftware oder -hardware hat und gleichzeitig einen besonderen Sinn für Ästhetik, Kreativität und Originalität (,hack value ) sowie einfallsreicher Experimentierfreudigkeit (,playful cleverness ) aufweist. 9) Diese romantische Definition trifft auf jene Menschen, die in die genannten Computersysteme eingedrungen sind, nur hinsichtlich des Spaßes an der Veränderung von Computersoftware zu. 10) Tatsächlich kommt es Hackern zumeist darauf an, gezielt Computersysteme anzugreifen und nach der Überwindung von Sicherheitssystemen Daten zu entwenden. Das Ziel, das Hacker damit verfolgen, ist sei es nun politisch oder monetär motiviert rechtlich gesehen irrelevant., III. Anspruchsgrundlagen Was bedeutet ein Hack für die Betroffenen, deren Daten gestohlen wurden? In Österreich dürfen direkt und indirekt personenbezogene Daten nur auf Basis des Datenschutzgesetzes 11) (im Folgenden kurz: DSG) verwendet 12) werden. Der Gesetzgeber unterscheidet hier zwischen demjenigen, der die Daten verarbeitet, (Auftraggeber), 13) und demjenigen, dessen Daten verarbeitet werden (Betroffener). 14) Den Auftraggeber treffen im Rahmen dieser Datenverwendung zahlreiche Pflichten. So darf er etwa Daten nur unter Anwendung und Einhaltung gewisser Grundsätze 15) verarbeiten und muss gewisse Maßnahmen ergreifen, etwa um die Datensicherheit 16) zu gewährleisten. Unter Datensicherheit versteht das DSG zum einen die Datensicherheitsmaßnahmen 17) und zum anderen das Datengeheimnis, welches zur Geheimhaltung der Daten verpflichtet. 18) Die Verletzung von Datensicherheitsmaßnahmen ist nach einem der obgenannten und erfolgreich durchgeführten Hackangriffen besonders interessant. Dies, zumal sich doch gerade in Bezug auf die Haftung der Auftraggeber die Frage stellt, ob die Auftraggeber ihrer gesetzlichen Verpflichtung zur Ergreifung von Maßnahmen zur Datensicherheit nachgekommen sind oder nicht. Sollte der Auftraggeber seiner Pflicht zur Ergreifung solcher Maßnahmen nicht nachgekommen sein, trifft diesen eine Schadenersatzpflicht. 1) abgerufen am ) abgerufen am ) /Pentagon_USfeindliche-Hacker-stahlen Dateien, abgerufen am ) abgerufen am ) abgerufen am ) Der Inhalt der gehackten Webseiten wurde mit einem Bild von My Little Pony ersetzt. 7) Das Gebühreninformationsservice (GIS) des ORF hebt die Rundfunkgebühr österreichweit ein. 8) /Hacker_GIS-schickt Oesterreichern-Briefe, abgerufen am ) abgerufen am ) Über den ästhetischen Wert von My Little Pony lässt sich streiten. 11) BG über den Schutz personenbezogener Daten, BGBl I 1999/165 idf BGBl I 2009/ ) 4 Z 8 DSG. 13) 4 Z 4 DSG. Gemäß dem DSG können Daten auch durch Dienstleister als Werk für den Auftraggeber verarbeitet werden. Um die Lesbarkeit dieses Artikels zu gewährleisten, wird immer nur der Auftraggeber genannt, wobei der Dienstleister in gewissen Fällen auch haften kann. 14) 4 Z 3 DSG. 15) 6 DSG. 16) Der Datensicherheit ist der 3. Abschnitt des DSG gewidmet. 17) 14 DSG. 18) 15 DSG. 2011, 451 Schadenersatz nach Hackerangriff Autor: RAA Mag. Markus Dörfler, Wien 451

16 Abhandlung IV. Datensicherheitsmaßnahmen Der Gesetzgeber legt in 14 Abs 1 DSG fest, welche Datensicherheitsmaßnahmen durch die Auftraggeber erfüllt werden sollen und normiert dabei nicht nur Zielvorgaben, 19) sondern nennt auch konkrete Maßnahmen. 20) Als Zielvorgaben konstruiert der Gesetzgeber ein dynamisches System, in dem die Faktoren Art der verwendeten Daten, Umfang und Zweck der Verwendung zu Stand der technischen Möglichkeiten und wirtschaftliche Vertretbarkeit in Relation gesetzt werden müssen. Als Ziel werden neben dem Schutz vor zufälliger und unrechtmäßiger Zerstörung sowie Verlust auch die ordnungsgemäße Verwendung und der Schutz vor unbefugtem Zugriff genannt. Um diesem dynamischen System gerecht zu werden, müssen Auftraggeber und deren Dienstleister insbesondere 21) die folgenden acht Prinzipien berücksichtigen: 22) " das Kompetenzklarheitsprinzip, das eine Funktionstrennung zwischen Mitarbeitern und Organisationseinheiten vorsieht; " das Auftragsprinzip, wonach Datenverarbeitungen nur jenen Mitarbeitern erlaubt sein sollen, die einen diesbezüglichen Auftrag dazu haben; " das Belehrungspflichtprinzip, das eine Pflicht zur Schulung der Mitarbeiter umfasst; " das Zutrittsbeschränkungsprinzip, das eine Beschränkung des Zutritts zu den datenrelevanten Räumlichkeiten gewährleisten soll; " das Zugriffsbeschränkungsprinzip, das die Beschränkung der Zugriffe auf Daten und Programme beinhaltet; " das Betriebsbeschränkungsprinzip, wonach eine Beschränkung des Zugriffs auf Geräte errichtet werden soll; " das Protokollprinzip, wonach eine Protokollierung aller Datenverwendungen durchgeführt werden soll, und schließlich " das Dokumentationsprinzip, demzufolge alle genannten Prinzipien entsprechend dokumentiert werden sollen. Im Folgenden wird zur vereinfachten Darstellung lediglich auf das Zugriffsbeschränkungsprinzip und das Protokollprinzip näher eingegangen. V. Der technische Hintergrund Die Entwickler von modernen Computersysteme befinden sich in einem Dilemma: Einerseits sollen Computersysteme leicht zugänglich und bedienbar sein, anderseits sollen diese Systeme gegen den Zugriff durch unbefugte Dritte gesichert sein. Abzugrenzen sind hierbei zwei Bereiche, nämlich jener, den der Nutzer des Systems sieht (etwa: Eingabemasken, Login-Maske) und jener Bereich, den der Nutzer nicht sieht (etwa: Programmierschnittstellen, Datenbanken, Systemkomponenten). Soweit erkennbar, wurden die oben genannten Hackangriffe nicht durch entwendete Nutzerdaten ausgeführt, sondern durch das Ausnutzen von Sicherheitslücken, welche sich in der Software und damit in jenem Bereich befunden haben, die der Nutzer üblicherweise nicht sieht. 23) Nachdem sich der Hacker unbefugten Zugriff zu dem System verschafft hat, kann er mit einer simplen Abfrage sämtliche Daten aus der Datenbank herauskopieren. Datenschutzrechtlich ergeben sich für den Schadenersatzanspruch aus einer hier beschriebenen Vorgehensweise von Hackern mehrere Fragen: VI. Der Schadenersatzanspruch Voraussetzung für einen Schadenersatzanspruch ist gem 33 DSG die Anwendbarkeit der Schadenersatzbestimmungen des ABGB, wobei das DSG als Besonderheit neben Vermögensschäden in gewissen Fällen auch immateriellen Schadenersatz vorsieht. 24) Gemäß 33 Abs 3 DSG muss der Betroffene neben dem Schaden, dem rechtwidrigen Verhalten und dem Kausalzusammenhang zwischen Schaden und Verhalten des Schädigers das Verschulden des Auftraggebers behaupten und beweisen, wobei bei der Geltendmachung von Vermögensschäden bereits leichte Fahrlässigkeit genügt. 25) Das DSG normiert im Gegensatz zum allgemeinen Zivilrecht allerdings eine Beweislastumkehr zu Lasten des Auftraggebers, 26) die es dem Auftraggeber ermöglicht, sich aus der Haftung zu befreien, sofern ihm der Nachweis gelingt, dass ihm der Schaden nicht zur Last gelegt werden kann bzw der Schaden auch eingetreten 19) 14 Abs 1 DSG. 20) 14 Abs 2 DSG. 21) Das vom Gesetzgeber hier verwendete insbesondere ist me im Hinblick auf die detaillierte Aufzählung als zumindest zu lesen. 22) Nach Dohr/Pollirer/Weiss/Knyrim, DSG Erg.-Lfg. (2010) ) Einige Angriffe wurden durch sog SQL-Injections durchgeführt. Dabei sendet der Hacker eine Datenbankabfrage (SQL-Abfrage) direkt an einen Datenbankserver. Durch eine unsaubere Programmierung wird diese Abfrage ungeprüft an den Datenbankserver weitergeleitet, und der Angreifer kann so einen Schadcode in das System einschleusen, der wiederum einen Zugriff auf das System gewährt. Eine genaue Erklärung und Beispiele für SQL-Injections sind unter www. erich-kachel.de/?p=223 zu finden. 24) 33 Abs 1 zweiter Satz DSG. 25) Dohr/Pollirer/Weiss/Knyrim, DSG Erg.-Lfg. (2010) 33 Anm 2 unter Verweis auf OGH , 1 Ob 315/97 y. 26) 33 Abs 3 DSG. 452 Schadenersatz nach Hackerangriff Autor: RAA Mag. Markus Dörfler, Wien

17 Abhandlung wäre, wenn er die verletzte Schutznorm eingehalten hätte. 27) VII. Schaden In den meisten Fällen werden insb bei Hackerangriffen Vermögensschäden entstehen, die ersetzt werden müssen. Ein Anspruch auf volle Genugtuung ist allerdings auch möglich, sofern der Auftraggeber grob fahrlässig oder vorsätzlich gehandelt hat. Dass ein Vermögensschaden bei Hackangriffen nicht nur abstrakt besteht, zeigt ein Fall aus den Vereinigten Staaten, bei dem Kunden einer Großbank durch simple (Papier-)Überweisungen um mehrere Millionen Dollar erleichtert wurden, nachdem Hacker Namen und Kontonummern von Kunden erbeutet hatten. 28) Ein derartiges Szenario ist wohl auch in Österreich denkbar, da davon auszugehen ist, dass Unterschriften auf (Papier-)Überweisungen erst ab einem gewissen Betrag geprüft werden 29) und daher mit Kenntnis von Name und Kontonummern unrechtmäßige Überweisungen gleichermaßen durchgeführt werden können. Ob und in welchem Umfang sich in diesem Fall der Betroffene an dem Geldinstitut schadlos halten kann, soll an dieser Stelle nur kurz erörtert werden. Im Rahmen seiner Schadensminderungspflicht wird der Betroffene wohl dazu verpflichtet sein, sein Geldinstitut über die entwendeten Kontodaten zu informieren. ME können in der Folge jedenfalls solche Schäden geltend gemacht werden, die mittelbar durch die Entwendung der Daten entstehen, wie etwa Sperrkosten für Bank-/Kreditkarten, wenn Bankomat-/Kreditkartendaten entwendet wurden, oder Kosten für die Änderung des Kontos, wenn unter Einem auch Kontodaten entwendet wurden. Ein Anspruch auf immateriellen Schaden besteht nur dann, wenn sensible, strafrechtlich relevante Daten oder Informationen über die Kreditwürdigkeit des Betroffenen öffentlich zugänglich verwendet wurden und dadurch schutzwürdige Geheimhaltungsinteressen desselben in einer Weise verletzt sind, die einer Eignung zur Bloßstellung gem 7 Abs 1 des Mediengesetzes gleichkommt. In den beiden bis dato bekannt gewordenen Fällen, in denen sich der OGH mit der Frage nach Schadenersatzansprüchen aufgrund 33 DSG beschäftigen musste, 30) ging es jeweils um den Ersatz von immateriellen Schaden aufgrund falscher Eintragungen in Kreditdatenbanken. Da der Begriff öffentlich zugängliche Verwendung unklar ist, ist eine Klärung der Frage, ob mangelnde Datensicherheitsmaßnahmen zu einem Ersatz von immateriellen Schaden führen kann oder nicht, noch nicht erfolgt. Ein Schadenersatz ist me jedoch unter Zugrundelegung der einschlägigen Rsp zur Frage der Öffentlichkeit möglich. 31) VIII. Zulässigkeit der Datenverarbeitung Nach der Beurteilung, ob überhaupt ein Schaden eingetreten ist, muss die Frage geklärt werden, ob die Datenverarbeitung überhaupt zulässig war, also der Auftraggeber die Daten überhaupt verarbeiten durfte. Sollte die Verarbeitung unzulässig gewesen sein, kann sich der Auftraggeber von seiner Haftung me in keinem Fall befreien, da der Schaden ja nie eingetreten wäre, wenn der Auftraggeber korrekterweise die Daten gar nicht verarbeitet hätte. Die Haftungsbefreiung des 33 Abs 3 DSG kommt me daher nie in Betracht, wenn die Daten unzulässigerweise verarbeitet wurden. Sollte die Datenverarbeitung zulässig erfolgt sein, muss geprüft werden, ob das oben beschriebene dynamische System der Datensicherheit vom Auftraggeber ordnungsgemäß umgesetzt wurde. Im Falle des oben geschilderten Angriffs durch eine Sicherheitslücke muss daher der Frage nachgegangen werden, welchen Status diese Lücke hatte (etwa: bekannt/unbekannt, kritische/unkritische Lücke, erfolgreich genutzte/nicht erfolgreich genutzte Lücke für Angriffe) und ob weitere Maßnahmen zur Gefahrenabwehr ergriffen wurden. IX. Technische Möglichkeiten Die oben näher beschriebenen Angriffe, die in Österreich etwa bei der GIS stattgefunden haben, wurden soweit erkennbar alle durch Ausnutzung derselben Lücke ausgeführt. 32) Obwohl der zeitliche Abstand zwischen den Angriffen sehr kurz war (innerhalb weniger Wochen), war bei Systemadministratoren nicht nur bekannt, dass es diese Lücke gibt, sondern 1) Dohr/Pollirer/Weiss/Knyrim, DSG Erg.-Lfg. (2010) 33 Anm 5. 28) /Citibank_Hacker-pluendern-Konten, abgerufen am ) Eine Prüfung jeder Unterschrift ist aufgrund der Anzahl der täglichen Überweisungen ausgeschlossen. 30) OGH , 6 Ob 247/08 d und OGH , 6 Ob 275/05 t. 31) OGH , 6 Ob 247/08 d: Nach mittlerweile gefestigter Rechtsprechung ist für die öffentliche Zugängigkeit einer Datei nicht erforderlich, dass,jedermann im wörtlichen Sinne Einsicht in eine bestimmte Datei nehmen kann; es reicht vielmehr aus, dass es einen entsprechend großen Kreis an Abfrageberechtigten gibt und das berechtigte Interesse an der Einsichtnahme im Einzelfall nicht überprüft wird (6 Ob 275/05 t; 6 Ob 195/08 g; 6 Ob 156/09 y). Es ist kein Grund ersichtlich, den Ausdruck,öffentlich zugänglich in 33 Abs 1 zweiter Satz DSG anders auszulegen (vgl 6 Ob 275/05 t). 32) Siehe FN 23.,, Schadenersatz nach Hackerangriff Autor: RAA Mag. Markus Dörfler, Wien 453

18 Abhandlung auch, dass diese für erfolgreiche Angriffe ausgenutzt werden kann. 33) Neben der Sicherung des Zugangs zum System ist auch die Frage nach der Sicherung der Daten selbst zu stellen. Daten, die in einer Datenbank gespeichert sind, müssen dort nicht notwendigerweise im Klartext gespeichert werden, sodass jede Abfrage die Daten sofort und gleichzeitig lesbar macht. Jede moderne Datenbank beinhaltet mittlerweile Routinen, um eine Verschlüsselung der Daten zu gewährleisten, die dem Hacker im Falle eines unbefugten Zugriffs auf die Datenbank nur unbrauchbare Datensätze zur Verfügung stellen. Der Aufwand, solche Verschlüsselungsroutinen in bestehende Systeme zu implementieren, ist aufgrund der allgemeinen Verfügbarkeit gering. Das dynamische System, das der Gesetzgeber geschaffen hat, sollte ein gewisses Mindestniveau an Datensicherheit bringen, wobei dieses Niveau proportional zur Sensibilität und dem Umfang und Zweck der Datenverarbeitung steigt. Das Offenlassen von bekannten kritischen Sicherheitslücken führt, neben der fehlenden Implementierung von einfachsten Sicherheitsmaßnahmen, me jedenfalls dazu, dass das Mindestsicherheitsniveau für Datensicherheitsmaßnahmen nicht erreicht wird. Dies umso mehr, wenn Datensätze von mehreren Tausend Betroffenen gespeichert werden. X. Beweislastumkehr Der Auftraggeber kann sich von der Haftung befreien, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann. Der (beklagte) Auftraggeber müsste daher beweisen, dass der Schaden auch ohne Übertretung der Schutznorm eingetreten wäre oder dass ihn nur ein minderer Grad des Versehens trifft. Es gibt soweit erkennbar keine Anhaltspunkte, wie schnell kritische Lücken beseitigt werden müssen. Große Softwarehersteller (auch von Betriebssystemen) schließen Lücken oft erst nach Monaten, teilweise oft gar nicht. 34) Dies führt dazu, dass auch Entwickler von Endanwendungen bekannte Lücken offen lassen. Da der Gesetzgeber ein Grundrecht auf Geheimhaltung normiert hat, 35) ist davon auszugehen, dass es eine wesentliche Pflicht darstellt, Datensicherheitsmaßnahmen immer aktuell zu halten, um sicherzustellen, dass der Betroffene letztendlich selbst entscheiden kann, wer denn nun seine Daten verarbeitet. Würde man diesen Punkt verneinen, wäre die Sinnhaftigkeit des gesamten DSG ad absurdum geführt, da die Geheimhaltung der Daten nicht mehr gewährleistet wäre. Das bedeutet in weiterer Folge, dass bekannte Lücken gerade bei Datenanwendungen, die auch sensible Daten und Bankdaten beinhalten binnen Tagen, wenn nicht sogar binnen Stunden geschlossen werden müssen, andernfalls sich der Auftraggeber me nicht auf die Beweislastumkehr stützen kann, da das Ausnützen der Lücke in keinem Fall ein minderer Grad des Verschuldens ist. XI. Widersprüche 33 Abs 1 DSG normiert als Anspruchsvoraussetzung Verschulden unter Zugrundelegung der Regeln des ABGB. 33 Abs 3 DSG wiederum ermöglicht dem Auftraggeber sich durch Beweis seiner Schuldlosigkeit von der Haftung zu befreien. Der Widerspruch durch die Beweislastumkehr ist problematisch, da kein Fall denkbar ist, in dem der (klagende) Betroffene ein Verschulden des Auftraggebers beweisen kann, der Auftraggeber sich von seiner Haftung aufgrund eines minderen Grades des Versehens befreien kann. Letztendlich muss daher immer der Betroffene das schuldhafte Verhalten des Auftraggebers behaupten und beweisen. Auch die ErläutRV zu 33 lassen diesen Widerspruch ungelöst und führen lediglich aus: gehaftet wird nur bei Verschulden und Diese, in Abs 3 vorgesehene Beweislastumkehr zugunsten des Betroffenen setzt die zwingende Bestimmung des Art 23 Abs 2 der Richtlinie um. Auch Koziol erkennt diesen Widerspruch, führt aber dazu ebenso wenig aus. 36) Da der Gesetzgeber neben dem Verweis auf das ABGB das Wort schuldhaft verwendet, handelt es sich jedenfalls um eine Verschuldenshaftung, 37) was jedoch im Bereich der Datenverarbeitung mehr als unglücklich ist: Auftraggeber eröffnen durch Datenverarbeitung einen gefährlichen Verkehr, wobei der Vorteil dieses gefährlichen Verkehrs primär dem Auftraggeber zukommt. In Anbetracht der Tatsache, dass es gerade dem (klagenden) Betroffenen im Falle von mangelhaften Datensicherheitsmaßnahmen nahezu unmöglich ist, ein Verschulden des Auftraggebers zu beweisen, wäre me die Auslegung der Haftung im DSG als Gefährdungshaftung wünschenswert. Diesen Widerspruch könnte der OGH auch selbst lösen. 38) 33) Auf die Gefahr von SQL-Injections wurde beispielsweise schon 2006 konkret hingewiesen: abgerufen am ) So auch Microsoft: abgerufen am ) 1 DSG. 36) JBl 2001, ) Der OGH hat bereits 1988 entschieden, dass die Verwendung des Wortes schuldhaft in der jeweiligen Norm zu einer Verschuldenshaftung führt (OGH , 1 Ob 3/88). 38) Der OGH hat beispielsweise in folgenden Fällen eine gesetzlich nicht verankerte Gefährdungshaftung angenommen: Sessellifte (SZ 26/75), Immissionen eines Magnesitwerks (SZ 31/26), Abbrennen eines Feuerwerks (SZ 46/36). 454 Schadenersatz nach Hackerangriff Autor: RAA Mag. Markus Dörfler, Wien

19 Abhandlung XII. Kausalität In diesem Zusammenhang ist nunmehr auch die Frage nach der Kausalität zu beurteilen. Der Betroffene muss behaupten und beweisen, dass jene Daten, welche beim Auftraggeber im Rahmen der Hacker-Attacke entwendet wurden, dazu verwendet wurden, den Schaden herbeizuführen. Dieser Nachweis wird schon deshalb schwer zu erbringen sein, da Daten kein Mascherl haben und damit unklar ist, ob (entwendete) Kontodaten vom Auftraggeber oder aus einer anderen Quelle stammen. Zur Beurteilung der Frage, ob die Daten vom Auftraggeber stammen und daher kausal für den Schadenseintritt waren, ist aufgrund der Komplexität der Sachlage die Einholung eines Sachverständigengutachtens unumgänglich, was ein erhebliches Kostenrisiko darstellt. XIII. Zusammenfassung und Ausblick Warum sich das Höchstgericht mit Schadenersatzansprüchen, die sich auf das DSG stützen, bis dato nur höchst selten beschäftigen musste, liegt nach dem oben Gesagten auf der Hand: Der Betroffene muss die Nachweise erbringen, was mit einem hohen Kostenrisiko verbunden ist. Dass neben diesen Faktoren noch zahlreiche Fragestellungen ungeklärt sind, erschwert darüber hinaus die Durchsetzung derartiger Ansprüche. Ob sich das in Zukunft ändert, bleibt abzuwarten. Das Unrechtsbewusstsein bei den Auftraggebern als auch bei den Betroffenen ist scheinbar zu gering die Einen nehmen dabei die ihnen obliegende Verpflichtung zur Ergreifung von Datensicherheitsmaßnahmen auf die leichte Schulter, die Anderen üben die ihnen zustehenden Rechte zum Schutz ihrer Daten nicht aus. X CIArb Membership Qualification Course X Special CIArb Member Qualification Course on Unique opportunity to acquire membership from the Chartered Institute of Arbitrators. CIArb Members may add the acronym MCIArb after their name. Vienna, Austria For course registration visit call law@capitalbe.co.uk Schadenersatz nach Hackerangriff Autor: RAA Mag. Markus Dörfler, Wien 455

20 Europa aktuell Leitlinien für die Entwicklung einer europäischen Strafrechtspolitik Am hat die Europäische Kommission eine Mitteilung KOM(2011) 573 veröffentlicht, in der sie Orientierungspunkte für die Ausgestaltung einer europäischen Strafrechtspolitik festlegt. Sie äußert sich darin sowohl zu den Grundsätzen, die sie in diesem Zusammenhang als beachtenswert ansieht, als auch zu jenen Politikbereichen, deren Durchführung ihrer Ansicht nach künftig strafrechtliche Maßnahmen erfordern wird. Sie will damit eine bessere Kriminalitätsbekämpfung und eine effektivere Umsetzung der Unionspolitik fördern. So begrüßenswert es auf den ersten Blick erscheint, dass die Kommission in ihrer Mitteilung zu einer Orientierung an den Grundrechten aufruft, so besorgniserregend ist der weit gezogene Rahmen, in dem sie strafrechtliche Maßnahmen für erforderlich bzw überlegenswert hält. Die Kommission betont zwar, dass Strafrecht immer als letztes Mittel eingesetzt werden sollte. In der bisherigen Praxis hat sich jedoch gezeigt, dass der europäische Gesetzgeber nicht vor Maßnahmen zurückschreckt, die weit oder sogar zu weit in die Rechte der Bürger eingreifen, ohne gleichzeitig einen angemessenen Grundrechtsschutz zu garantieren. Vor allem im Bereich der Bekämpfung von Terrorismus und Geldwäsche wurde dies bereits augenscheinlich. Hier wurden etwa Straftatbestände unklar formuliert oder auch zahlreiche, den eigentlichen Straftaten vorgelagerte Handlungen unter Strafe gestellt, was seitens des ÖRAK stets kritisiert wurde. Mit dem Lissabonner Vertrag (Art 83 Abs 2 AEUV) wird die Strafrechtskompetenz der Union nun ausdrücklich auf Bereiche ausgedehnt, in denen EU-Politiken durch bestehende nationale Sanktionsregime nicht effektiv umgesetzt werden. Die Bestimmung ist weit gefasst, sodass viele Rechtsgebiete darunter subsumiert werden könnten. Eine strafrechtliche Regelung minderschwerer Unionsrechtsverstöße birgt aber eine große Gefahr der fehlenden Notwendigkeit und Unverhältnismäßigkeit in sich. Die Kommission nennt in ihrer Mitteilung eine Reihe von Grundsätzen, die sie beim Erlass strafrechtlicher Normen auf europäischer Ebene für beachtenswert hält. Zunächst sei jedenfalls auf das Subsidiaritätsprinzip Bedacht zu nehmen, wonach die Europäische Union nur dann tätig werden darf, wenn ein unionspolitisches Ziel nicht auf mitgliedstaatlicher Ebene wirksamer erreicht werden kann. Wie bereits erwähnt, verweist die Kommission außerdem auf das Erfordernis der Achtung der Grundrechte, ohne hierzu jedoch im Detail Stellung zu nehmen. Ein Hinweis darauf, gleichzeitig mit dem Erlass von Strafnormen Schutzmechanismen zur Wahrung grundrechtlicher Garantien vorzusehen, wäre wünschenswert gewesen. Dem Unionsgesetzgeber wird weiters ein zweistufiges Vorgehen nahegelegt. In einem ersten Schritt soll geklärt werden, ob eine Strafverfolgung im betroffenen Bereich generell notwendig und verhältnismäßig in Bezug auf die Zielsetzung ist. Strafrechtliche Maßnahmen sind laut Kommission immer nur als ultima ratio zulässig. Wird die Unerlässlichkeit strafrechtlicher Maßnahmen bejaht, soll in einem zweiten Schritt über deren konkrete Ausgestaltung entschieden werden. Dabei gibt die Kommission zu bedenken, dass die Union lediglich Mindestvorschriften in Hinblick auf Straftaten und Strafen vorsehen darf. Als solche seien jedenfalls die Definition des Straftatbestandes und die Festlegung wirksamer, angemessener und abschreckender Sanktionen zu verstehen. Wie schon bei der Frage des Ob, müsse auch bei der Frage, wie strafrechtliche Maßnahmen ausgestaltet werden sollen, immer geprüft werden, ob eine konkrete Maßnahme notwendig und verhältnismäßig zum verfolgten Ziel ist. Die Kommission formuliert hier allgemeine, jedoch keine klaren Leitlinien. Sie geht weder auf die erforderliche Wahrung von grundrechtlichen Garantien oder Verfahrensrechten ein noch stellt sie eindeutige Kriterien für die ausreichende Determinierung strafrechtlicher Normen auf. Unklare Formulierungen bergen aber ein erhebliches Risiko, Verhaltensweisen unter Strafe zu stellen, hinsichtlich derer solche Maßnahmen nicht notwendig und verhältnismäßig sind. Auch die Vorhersehbarkeit strafbaren Verhaltens wird dabei erheblich erschwert. Dies ist in Anbetracht des Grundsatzes nulla poena sine lege sehr bedenklich. Diese lediglich vagen Leitlinien für den mit dem AEUV nun verstärkt möglichen Erlass strafrechtlicher Normen sind umso kritischer zu sehen, blickt man auf den Fächer der Politikbereiche, in denen die Kommission strafrechtliche Maßnahmen für erforderlich oder zumindest für überlegenswert hält. Handlungsbedarf sieht sie jedenfalls im Finanzsektor, bei der Bekämpfung von gegen die finanziellen Interessen der Union gerichtetem Betrug und beim Schutz des Euro vor Fälschungen. Für überprüfenswert erachtet sie die Bereiche Straßenverkehr, Datenschutz, Zollbestimmungen, Umweltschutz, Fischereipolitik und Binnenmarktpolitik. Gerade letztere Bereiche sind extrem weit gefasst und teils, etwa in Hinblick auf den Straßenverkehr, national in erster Linie verwaltungsstrafrechtlich geregelt. Es ist bedenklich, in derart vielen Bereichen die Tür für den Erlass strafrechtlicher Maßnahmen zu 456