9.4.2019 OGH: Mails im Spam Ordner sind uU wirksam zugegangen

OGH Entscheidung zum Zugang von E-Mails durch Zugang in den Spam-Ordner des Empfängers.

Beachte: Es geht hier um dem Spam Ordner "des Empfängers". Unterschiedliches könnte sich ergeben, wenn der Spam Ordner nicht unmittelbar dem Empfänger zuzuordnen ist, wie etwa

bei Spam-Behandlung vor Ablage in User-Postfächer oä.

OGH Rechtssatz und Entscheidung 3 Ob 224/18i vom 20.2.2019:

"Eine Kenntnisnahme durch den Empfänger wird für den Zugang elektronischer Erklärungen nicht vorausgesetzt; maßgeblich ist vielmehr die Möglichkeit der Kenntnisnahme „unter gewöhnlichen Umständen. Beisatz: Hier: Zugang im „Spam-Ordner“ des Empfängers. "

Anmerkung: Sämtliche Spam Ordner sollten regelmäßig, kurzfristig kontrolliert werden.

Für nähere Informationen kontaktieren sie mich.

"Cold Calling" und Spam sind gem. § 107 TKG verboten. Wichtige Ausnahmen hierzu sind die Einwilligung des Empfängers und die bestehende Geschäftsbeziehung (näheres siehe im Ris).

Die Rechtmäßigkeit der Datenverarbeitung gem. DSGVO muss auch bei der Versendung von Massen-Mails gewahrt sein. Dem Absender muss etwa eine Einwilligung zur Datenverarbeitung erteilt worden sein oder er muss sonst überwiegende berechtigte Interessen an der Datenverarbeitung haben (es gibt noch weitere Gründe, siehe DSGVO).

Erreicht nunmehr Spam den Empfänger, kann dieser abklären, ob

a) gegen das Verbot des Cold Calling verstoßen wurde und

b) ob die DSGVO eingehalten wurde.

Daher ist im ersten Schritt - so Kontaktdaten des "Spammers" vorhanden sind:

1.) Ein Auskunftsbegehren gem. Art 15 DSGVO an den Absender zu stellen,

2.) nach der anzuwendenden Ausnahme gem. § 107 TKG zu fragen und entsprechende Belege einzufordern,

3.) unter einem den Widerspruch zur Datenverarbeitung und zur Zusendung von Werbemails zu erklären.

4.) Auch ein Eintrag in die "elektronische Robinson-Liste" bei der RTR ist zu überlegen.

Je nach Ergebnis ist das weitere Vorgehen Anzeige wegen Verstoß gegen § 107 TKG bei der Verwaltungsbehörde, Beschwerde bei der Datenschutzbehörde, Prüfung von Schadenersatzansprüchen.

Sollten keine Kontaktdaten vorhanden sein, wäre eine Beschwerde an den Registrar der benutzten Domains zu richten.

Für weitergehende Fragen/Antworten kontaktieren Sie uns.

Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.

Update 19.12.2018: Beschluss im Bundesrat erfolgt

21.11.2018 Regierungsvorlage abrufbar

Seit 19.9.2018 liegt ein Ministerialentwurf für ein Netz- und Informationssystemsicherheitsgesetz ("NISG") beim Parlament zur Begutachtung auf. Die Begutachtungsfrist endet am 31.10.2018.

Mit dem NISG wird die EU-Richtlinie 2016/1148 "über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" umgesetzt.

Ausserhalb des öffentlichen Bereichs und von kritischer Infrastruktur wie Strom- und Wasserversorgern etc ist das Gesetz vor allem für Anbieter digitaler Dienste interessant, die folgendes betreiben:

  • Online - Marktplatz
  • Online-Suchmaschine
  • Cloud-Computing-Dienst

Vorgesehen ist u.a. die Verpflichtung geeignete Sicherheitsvorkehrungen unter Berücksichtigung des Stands der Technik zu treffen, die ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Für Normunterworfene besteht somit eine Überschneidung zu u.a. Art 32 DSGVO.

Interessant ist folgender Unterschied des Richtlinienwortlauts zum vorliegenden Gesetzesentwurf:

Art 16 Abs 1 der RL lautet:

(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie im Rahmen der Bereitstellung der in Anhang III aufgeführten Dienste innerhalb der Union nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:

a)

Sicherheit der Systeme und Anlagen,

b)

Bewältigung von Sicherheitsvorfällen,

c)

Business continuity management,

d)

Überwachung, Überprüfung und Erprobung,

e)

Einhaltung der internationalen Normen.

§ 18 Abs 1 des Entwurf zum NISG lautet hingegen:

§ 18. (1) Anbieter digitaler Dienste haben in Hinblick auf die von ihnen betriebenen digitalen Dienste (§ 3 Z 9) geeignete Sicherheitsvorkehrungen zur Gewährleistung der NIS (§ 3 Z 2) zu treffen. Diese Vorkehrungen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:

a) Sicherheit der Systeme und Anlagen,

b) Bewältigung von Sicherheitsvorfällen,

c) Betriebskontinuitätsmanagement,

d) Überwachung, Überprüfung und Erprobung,

e) Einhaltung der internationalen Normen.


Die Richtlinie stellt somit auf die Verhältnismäßigkeit der Maßnahmen ab, wohingegen der Entwurf zum NISG dies nicht ausdrücklich anführt.

In der Richtlnien ist von "technischen und organisatorischen Maßnahmen" die Rede, somit "TOM", die bereits u.a. durch Art 32 DSGVO bekannt sind.

Art 32 Abs 1 DSGVO lautet:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

Auch in der DSGVO wird nicht explizit die Verhältnismäßigkeit der Maßnahmen angeführt.

Offen ist somit, aus welchem Grund der österr. Gesetzgeber den Terminus "technische und organisatorische Maßnahmen" durch "geeignete Sicherheitsvorkehrungen" tauscht und ob gem. dem österr. NISG-Entwurf die Verhältnismäßigkeit der Maßnahmen in die Beurteilung der Notwendigkeit von Maßnahmen einzufließen hat, dies v..a in Hinblick auf die Kosten von möglichen Sicherheitsvorkehrungen. Vorkehrungen müssen jedenfalls dem Risiko angemessen sein.

Anzumerken ist in diesem Zusammenhang, dass gem. Art 16 Abs 1 das Kapitel V der Richtlinie (und damit Art 16) nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gilt. Diese Einschränkung wurde durch § 3 Z 10 Entwurf NISG im Wesentlichen übernommen:

Anbieter digitaler Dienste“ eine juristische Person

a) mit Hauptniederlassung in Österreich oder

b) ohne Hauptniederlassung in der Europäischen Union, die einen Vertreter (Z 11) namhaft gemacht hat,

und einen digitalen Dienst (Z 9) in Österreich anbietet und kein Kleinstunternehmen oder kleines Unternehmen im Sinne von Art. 1 und Art. 2 Abs. 2 und 3 des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, ist;

Weiters können gem. Art 3 der RL die Mitgliedsstaaten Bestimmungen erlassen oder aufrechterhalten, mit denen ein höheres Sicherheitsniveau von Netz- und Informationssystemenen (Anm.: als jenes der RL ) erricht werden soll.

Verstöße gegen das NISG können laut Entwurf mit Verwaltungsstrafe bis zu EUR 50.000,00, im Wiederholungsfall bis zu EUR 100.000,00 geahndet werden. Dazu gehören etwa u.a. folgende Verstöße :

  • Verstoß gegen die Pflicht Nachweise über geeignete Sicherheitsvorkehrungen dem Bundesministerium für Inneres ("BMI") auf dessen Verlangen vorzulegen (siehe u.a. § 18 Abs 4 für die Voraussetzungen des Verlangens),

  • Verweigerung der Einschau in die Netz- und Informationssysteme durch das BMI (siehe u.a. § 18 Abs 4 für die Voraussetzungen einer Einschau),

  • Nicht fristgerechte Umsetzung von bescheidmäßig angeordneteten Empfehlungen des BMI (siehe § 18 Abs 4 für die Voraussetzungen)

  • Verstoß gegen die Meldepflicht von Sicherheitsvorfällen gem. § 18 Abs 2 NISG (siehe u.a. §§ 3, 16, 18 Abs 4 für die Voraussetzungen)

Somit bestehen auch hinsichtlich der Meldepflichten Überschneidungen mit der DSGVO (Art 33, 34 DSGVO).

Weder die Richtlinie noch der Entwurf zum NISG enthalten konkrete Angaben zu Sicherheitsvorkehrungen, wie etwa ISO Standards oä.

Gem. § 5 Z 4 des Entwurfs obliegt dem Bundesminister für Inneres die "Erstellung und Weitergabe von zur Gewährleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Sicherheitsvorfällen (§ 3 Z 6).

Zur Umsetzung in der BRD siehe u.a. https://www.bsi.bund.de/DE/DasBSI/NIS-Richtlinie/NIS_Richtlinie_node.html

Für weitergehende Fragen/Antworten kontaktieren Sie uns.

Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.

Langjährige Erfahrung im IT - Recht:

  • Rechtliche Betreuung von IT-Produkten und IT-Dienstleistungen:
    • Vertragsgestaltung
    • AGB
    • Bearbeitung von Gewährleistungsfällen, Schadenersatzansprüchen,
    • Inkasso in Zusammenhang mit IT-Produkten, Software, SaaS
  • Begleitung bei der Einhaltung aufsichtsrechtlicher Erfordernisse, wie Medizinprodukten etc.
  • Auslagerungen - Rechenzentrumsvertrag etc.
  • Lizenzrechtliche Beratung
  • UWG Betreibung und Abwehr

Wir stehen in ständiger Kooperation mit versierten IT-Sachverständigen.

Zum Kontaktformular.