Erläuterungen

Hauptgesichtspunkte des Entwurfs

In der digitalen Welt müssen die gleichen Prinzipien gelten, wie in der real gelebten Welt. Das Internet kann und darf kein rechtsfreier Raum sein und den leider vermehrt vorkommenden klaren Grenzüberschreitungen, Herabwürdigungen, Demütigungen und Übergriffen sollen mit diesem Gesetz wirksame rechtliche Maßnahmen gegenübergestellt werden. Grundprinzipien, Regeln und Gesetze müssen auch im digitalen Raum gelten. Was in der analogen Welt geahndet wird, muss auch in der digitalen Welt Folgen haben.

Sich in der Anonymität des Internets verstecken zu können, darf in Fällen, in denen Straftaten begangen werden, nicht mehr möglich sein. Denn nur wenn durch eine Authentifizierung auch die Identifizierung der Täter bei Rechtsverletzungen möglich ist, werden die gleichen Maßstäbe wie auch in der analogen Welt gelten können. Eine wirksame Authentifizierung zur Bestätigung der Nutzerdaten ist dabei unumgänglich.

Der vorliegende Entwurf geht davon aus, dass der Dienstanbieter sicherstellen muss, dass Personen im Anlassfall identifizierbar sind. Daran anknüpfend überlässt es der Entwurf aber dem Diensteanbieter sich eines Systems zu bedienen, das in einem stufenweisen Ansatz – neben der Möglichkeit der Verfolgung von Offizialdelikten – auch dann eine Identifikation ermöglicht, wenn es um die Fälle der §§ 111 und 115 StGB und des § 1330 ABGB geht und dritte Personen die Identität eines Posters für die Verfolgung ihrer Privatanklage oder ihrer zivilrechtlichen Ansprüche herausfinden müssen.

Zur Förderung des respektvollen Umgangs der Poster in online-Foren miteinander und zur Erleichterung der Verfolgung von Rechtsansprüchen im Falle tatsächlich rechtswidriger Postings sind daher insbesondere folgende Maßnahmen vorgesehen:

 Verpflichtung der Diensteanbieter, die Foren betreiben bzw. die Einrichtung eines Forums ermöglichen, dafür Sorge zu tragen, dass die Identität des Posters festgestellt und überprüft wird. Erst nach erfolgreichem Abschluss des Registrierungsprofils kann der Nutzer Postings in diesem Forum veröffentlichen.

 Nutzer haben ein Registrierungsprofil zu erstellen und sich zu identifizieren.

 Verpflichtung der Diensteanbieter zur Bestellung eines verantwortlichen Beauftragten, insbesondere als Zustellbevollmächtigtem.

 Sicherstellung einer der DSGVO entsprechenden Datenverarbeitung und Übermittlungsverpflichtung an Gerichte, Staatsanwaltschaft, insbesondere aber auch an Dritte in spezifisch im Gesetz aufgezählten Fällen.

 KommAustria als Aufsichtsbehörde kann Geldbußen gegen Diensteanbieter und Geldstrafen über von diesen zu bestellende verantwortliche Beauftragte verhängen.

Der im Entwurf gewählte Ansatz beruht auf der Tatsache, dass es bereits verschiedene Beispiele von verschiedenen Anbietern von Foren gibt, bei denen sich der User „verifizieren“ lassen kann, etwa indem er einen geeigneten Identitätsnachweis vorlegt.

Der Entwurf wird im Vorhinein der Kommission zu notifizieren sein, weil er nicht der Umsetzung von Unionsrecht dient, aber in einen Kernbereich des Unionsrechts fällt: Gemäß der Richtlinie (EU) 2015/1535 müssen die Mitgliedstaaten die Kommission über jeden Entwurf einer technischen Vorschrift zu einem Dienst der Informationsgesellschaft vor deren Erlass unterrichten und grundsätzlich eine dreimonatige Stillhaltefrist abwarten, um der Kommission und den anderen Mitgliedstaaten zu ermöglichen, den notifizierten Wortlaut zu prüfen und angemessen zu reagieren. Die E-Commerce Richtlinie lässt unter bestimmten Voraussetzungen den Mitgliedstaaten die Möglichkeit, Maßnahmen auch gegenüben ausländischen Anbietern zu ergreifen, wenn dies zum Schutz der öffentlichen Ordnung, insbesondere Verhütung, Ermittlung, Aufklärung und Verfolgung von Straftaten, einschließlich des Jugendschutzes und der Bekämpfung der Hetze aus Gründen der Rasse, des Geschlechts, des Glaubens oder der Nationalität, sowie von Verletzungen der Menschenwürde einzelner Personen notwendig ist und die Maßnahmen in einem angemessenen Verhältnis zu diesen Schutzzielen stehen.

In Bezug auf die verfahrensrechtlichen Konsequenzen ist auf die Spruchpraxis des Gerichtshofs der Europäischen Union hinzuweisen: Nach dem Urteil in der Rechtssache „CIA Security“ vom 30. April 1996, kann eine nationale Vorschrift, die nicht nach dem 98/34-Richtlinienverfahren (nunmehr 2015/1535) notifiziert wurde, obwohl dies Pflicht gewesen wäre, von nationalen Gerichten für unanwendbar erklärt werden. Ähnliches gilt nach dem Urteil in der Rechtssache „Unilever“ vom 26. September 2000, gemäß dem eine technische Vorschrift, die unter Verstoß gegen die Verpflichtung zur Verschiebung der Annahme einer notifizierten nationalen Rechtsvorschrift, d. h. zur Einhaltung der Stillhaltefrist, erlassen wurde, ebenfalls von nationalen Gerichten für unanwendbar auf Einzelne erklärt werden kann (vgl. dazu http://ec.europa.eu/growth/tools-databases/tris/de/about-the-20151535/the-notification-procedure-in-brief1/ zuletzt abgerufen am 10. April 2019).

Kompetenzgrundlage

Die Zuständigkeit des Bundes zur Erlassung dieses Bundesgesetzes ergibt sich aus Art. 10 Abs. 1 Z 6 B‑VG („Pressewesen“) und Z 9 B‑VG („Post- und Fernmeldewesen“).

Besonderer Teil

Zu § 1:

Dem Wesen einer Zielbestimmung entsprechend kommt den gewählten Formulierungen kein normativer Gehalt zu. Die Ausführungen dienen vielmehr der Kurzdarstellung des Inhalts und sind als neben die üblichen Auslegungsmethoden tretendes Instrument für die Interpretation der normativ formulierten Vorgaben für die Festlegung von Maßnahmen zu verstehen.

Zu § 2:

Die Definitionen in Z 1 und 2 geht auf wortidente unionsrechtlich vorgegebene Begrifflichkeiten zurück und übernehmen den Wortlaut des den Art. 2 der E-Commerce-Richtlinie umsetzenden § 3 des österreichischen E-Commerce-Gesetzes. Die Regelungen des Entwurfs sollen auf in- und ausländische Anbieter zur Anwendung kommen, soweit diese, was sich aus der Anordnung in § 3 Abs. 1 ergibt, ein auch auf das Publikum in Österreich ausgerichtetes Forum betreiben.

Die Dienste der Informationsgesellschaft (Z 1) sind ein zentraler Begriff der E-Commerce-Richtlinie. Diese Richtlinie behandelt elektronische „Angebote“, die im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellt werden. Der vorliegende Entwurf umschreibt diese Dienste in Anlehnung an die im Wesentlichen gleichlautenden Legaldefinitionen des § 1 Abs. 1 Z 2 des Notifikationsgesetzes 1999 und des § 2 Z 5 des Zugangskontrollgesetzes als „in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf bereitgestellten Dienst“. Was diese Definitionselemente genau besagen, ergibt sich aus § 1 Abs. 1 Z 2 NotifG 1999, auf den ausdrücklich verwiesen wird. Auch § 3 ECG geht auf diese Definitionen zurück und zählt in der Folge einige besonders wichtige Online-Dienste auf, die Dienste der Informationsgesellschaft sind. Diese – demonstrative – Aufzählung soll das Gesetz anschaulicher und verständlicher machen (vgl. auch die in Erwägungsgrund 18 der E-Commerce-Richtlinie erwähnten Beispiele). Wenn etwa ein Unternehmer nur mittels der elektronischen Post kommuniziert, ohne dass er weitere elektronische Mittel verwendet, stellt dieser Einsatz der elektronischen Post noch keinen Dienst der Informationsgesellschaft dar. Wenn sich aber an die Verwendung der elektronischen Post weitere elektronische Vertriebsformen knüpfen (etwa eine Homepage des Unternehmers), so fällt das Angebot unter die Begriffsbestimmung. Gleiches gilt für die Bereitstellung eines Online-Forums, allerdings immer unter der Voraussetzung, dass sämtliche Definitionselemente erfüllt werden. Ein elektronischer Dienst, der dem Entwurf unterliegt, muss „in der Regel gegen Entgelt“ bereitgestellt werden. Bei den Diensten der Informationsgesellschaft handelt es sich – grob umrissen – um kommerzielle elektronische Dienste, um Dienste, die in Ertragsabsicht erbracht werden. Nach der Rechtsprechung des Europäischen Gerichtshofs muss das Entgelt die wirtschaftliche Gegenleistung für die bereitgestellte Leistung darstellen (vgl. EuGH 7. 12. 1993, Rs C-109/92, Wirth, Slg. 1993, I-6447). An dieser Voraussetzung fehlt es bei Tätigkeiten, die die öffentliche Hand ohne wirtschaftliche Gegenleistung im Rahmen ihrer Aufgaben, vor allem in den Bereichen Soziales, Kultur, Bildung und Justiz, ausübt. Solche Dienstleistungen zählen nicht zu den Diensten der Informationsgesellschaft. Dies gilt auch dann, wenn diese Aktivitäten von Selbstverwaltungskörpern (etwa einer Kammer oder einem Sozialversicherungsträger) ausgeübt werden.

Auch sind – private oder staatliche – Dienste, die keinen ökonomischen Hintergrund aufweisen (wie etwa von Universitäten betriebene und der Öffentlichkeit zur Verfügung stehende Datenbanken), keine Dienste der Informationsgesellschaft. Ebenso sind die Verwendung der elektronischen Post zwischen Privatpersonen außerhalb ihrer geschäftlichen, gewerblichen oder beruflichen Tätigkeit und die reine Verwendung der elektronischen Post im geschäftlichen Verkehr keine Dienste der Informationsgesellschaft.

Der Ausdruck „in der Regel gegen Entgelt“ entspricht der Terminologie des Unionsrechts (vgl dazu und für die folgenden Überlegungen auch die Erl zur RV zum E-Commerc-Gesetz). Auslegungsprobleme können sich im Zusammenhang mit dem Entgeltlichkeitserfordernis dann ergeben, wenn – wie es gerade im Internet häufig der Fall ist – zunächst unentgeltlich Leistungen zur Verfügung gestellt werden und der Nutzer erst dann ein Entgelt entrichten muss, wenn er eine vorerst unentgeltlich in Anspruch genommene Leistung weiter beziehen will. Im Allgemeinen wird hier eine Gesamtschau anzustellen sein, sodass auch die unentgeltlich angebotenen Leistungen schon Bestandteil eines Dienstes der Informationsgesellschaft sind. Ferner ist es nicht erforderlich, dass ein Nutzer für jede einzelne Dienstleistung ein Entgelt entrichtet. Vielmehr liegt auch dann ein Dienst der Informationsgesellschaft vor, wenn eine einzelne Leistung unentgeltlich abgerufen werden kann, diesem Abruf aber eine – entgeltliche – Rahmenbeziehung zugrunde liegt. Darüber hinaus ist es nicht geboten, dass die Dienste von demjenigen vergütet werden, der sie empfängt (siehe auch den Erwägungsgrund 18 der E-Commerce-Richtlinie). Auch eine von einem Sponsor finanzierte, vom Nutzer unentgeltlich abrufbare Website, der Betrieb einer mit Werbung unterlegten elektronischen Suchmaschine oder die Werbung selbst kann daher ein Dienst der Informationsgesellschaft sein. Der Dienst der Informationsgesellschaft muss „im Fernabsatz“ erbracht werden. Der Diensteanbieter und der Empfänger (oder deren Vertreter) dürfen also nicht gleichzeitig körperlich anwesend sein.

Der Dienst der Informationsgesellschaft muss ferner „elektronisch“ erbracht werden. Die Daten oder Informationen müssen über ein System laufen, in dem die Daten sowohl beim Sender als auch beim Empfänger elektronisch verarbeitet und gespeichert werden. Dabei müssen die elektronischen Daten gesendet, weitergeleitet und empfangen werden. Charakteristisch ist, dass die Daten von „Punkt zu Punkt“ übertragen werden. Solche Dienste der Informationsgesellschaft sind etwa – wie auch schon in § 3 Z 1 ECG in teilweiser Anlehnung an den Erwägungsgrund 18 der E-Commerce-Richtlinie verdeutlicht werden sollte – das so genannte „electronic publishing“, die Online-Werbung und andere elektronische Maßnahmen zur Absatzförderung, Online-Informationsangebote sowie Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen. Letztlich müssen die Dienste der Informationsgesellschaft individuell abrufbar sein. Der jeweilige Nutzer muss also in der Lage sein, den Inhalt des Dienstes (die Informationen oder Kommunikationsdaten) gesondert in Anspruch zu nehmen. Nicht individuell abrufbar sind Dienste, die gleichzeitig für eine unbegrenzte Zahl von Empfängern bereitgestellt werden, wie bei linearen Diensten (etwa Fernseh-, Radio- und Teletextdienste).

Zu § 3:

Abs. 1 legt den Kreis der zur Sicherstellung der Registrierung und Authentifizierung ihrer Nutzer – konkret nur jener Personen, die sich als Poster in einem Forum durch Teilnahme an „Debatten“ beteiligen wollen – verpflichteten Diensteanbieter fest. Es handelt sich dabei um in- und ausländische Anbieter von Online-Informationsangeboten (wie in ErwG 21 der E-Commerce-Richtlinie angeführt), die (ergänzend) zu ihrem Informationsangebot auch die Funktion eines Forums entweder selbst bereitstellen oder ihren Nutzern die Möglichkeit einräumen, gleichsam zur Kommentierung der online angebotenen Informationen ein Forum einzurichten. Selbstverständlich sollen die Regelungen nicht auf sämtliche Foren weltweit Anwendung finden, sondern der gegenständliche Entwurf verlangt ausdrücklich einen klaren Konnex zu Österreich, weil nur Poster und Foren erfasst werden, die zB durch den Inhalt, die Zielgruppe, die Sprache als auf Nutzer in Österreich ausgerichtet qualifiziert werden können. Das etwa von einem Zeitungsunternehmen in Frankreich bereitgestellte Forum zur Kommentierung des Webangebots der französischen Zeitung fällt daher selbstverständlich auch dann nicht unter den Anwendungsbereich, wenn sich „österreichische“ Nutzer in diesem Forum beteiligen oder auf Österreich bezogene Inhalte vorzufinden sind. Wird aber von einem ausländischen Online-Informationsanbieter ein Forum geschaffen (oder etwa durch Tools oder Apps dem Nutzer die Möglichkeit eröffnet, ein Forum einzurichten), das auf den österreichischen Markt abzielt, indem es einen Markplatz für den Meinungsaustausch in Österreich einräumt, so soll der betreffende Diensteanbieter den Verpflichtungen des vorliegenden Entwurfs unterliegen. Für die Beurteilung der Frage, ob ein Dienst auf Österreich ausgerichtet ist, können etwa Werbeeinnahmen, die im Zusammenhang mit einem bestimmten Online-Angebot in Österreich generiert werden, als Anknüpfungspunkt herangezogen werden. Ein angebotenes Forum (dh. „sein“ Diensteanbieter) fällt aber nicht schon deswegen aus dem Anwendungsbereich heraus, weil in dem Forum europäische oder internationale Themen zur Debatte gestellt werden, die mit Österreich nichts oder wenig zu tun haben.

Abs. 2 liegt der Grundgedanke der Zumutbarkeit einer Verpflichtung zur Inanspruchnahme und Einrichtung technischer Maßnahmen zugrunde. Die Verpflichtung, von den Nutzern eine Registrierung zu verlangen, soll daher bei Diensteanbietern nur dann greifen, wenn sie eine relevante Größe – ausgedrückt durch eine Umsatzschwelle und eine Anzahl von registrierten Nutzern – erreicht haben. In den Anwendungsbereich einbezogen werden auch – weil sie besonders als zur Vielfalt der Meinungsbildung beitragend angesehen werden – solche Medieninhaber, die – was sich aus dem Zusammenhalt mit Abs. 1 ergibt – Anbieter von Foren sind und höhere Zuwendungen aus dem Titel der Presseförderung erhalten. Schließlich werden solche Unternehmen, die Foren bereitstellen, erfasst, wenn sie in qualifizierter Weise mit einem solchen Förderungsempfänger verbunden sind und unter der gleichen oder einer ähnlichen Marke wie jener des Förderungsempfängers auftreten.

Abs. 3 normiert unter der Annahme, dass die darin beschriebenen Dienste aufgrund ihrer von vorneherein bestehenden thematischen Eingrenzung keine Gelegenheit bieten, inhaltlich problematische dh. insbesondere den Persönlichkeitsschutz beeinträchtigende Darstellungen zu veranlassen, sachlich rechtfertigbare Ausnahmen.

Filehosting-Dienste (auch Cloud Storage genannt), bei denen man Dateien in einen speziellen Ordner ablegt und dieser Ordner im Hintergrund mit einem auf dem Server eingerichteten Ordner abgeglichen wird, sobald man sich mit einem weiteren Computer mit demselben Konto anmeldet, womit ebenso automatisch im Hintergrund der Server-Ordner mit dem entsprechenden Ordner auf dem anderen PC abgeglichen wird, fallen nicht in den Anwendungsbereich. Der Anwender legt nur seine Dateien in den lokalen Ordner und im Hintergrund wird automatisch abgeglichen. Unter die Ausnahme fallen auch Portale, die etwa Reisen oder Hotelzimmer vermitteln, selbst wenn sie ein Forum betreiben, dessen Inhalte aber im weitaus überwiegendem Ausmaß auf die Bewertung der Qualität der Reise oder des Aufenthalts beschränkt sein werden und keinen spezifischen Anlass für Verletzungen des Persönlichkeitsschutzes bieten. Andererseits fallen aber Internetauftritte wie etwa Arztbewertungsportale – die selbst keine Dienstleistungen vermitteln, sondern Benutzern die Möglichkeit geben, Ärzte und andere Angehörige von Heilberufen zu bewerten – als Online-Informationsangebote mit einem Forum (Kommentarfunktion) in den Anwendungsbereich (so sie die Kriterien nach Abs. 2 erfüllen); auch sie ermöglichen subjektive Bewertungen und Äußerungen.

Abs. 4 verpflichtet die diesem Gesetz unterliegenden Diensteanbieter dazu, für die Feststellung und Überprüfung der Identität des Posters Sorge zu tragen. Wie dies bewerkstelligt wird, bleibt dem Dienstanbieter überlassen. Die Verpflichtung des Diensteanbieters wäre beispielsweise dann erfüllt, wenn die für die Rechtsverfolgung notwendigen Daten mittels 2-Faktor-Authentifizierung mit Mobiltelefonnummer bestätigt werden oder der Diensteanbieter sichergestellt hat, dass er – gegebenenfalls in Kooperation mit dem Betreiber des Telefondienstes – bei begründeten Anfragen, die für die Rechtsverfolgung notwendigen Daten in Erfahrung bringen kann.

Inhaltlich und sprachlich ist zwischen der Authentisierung und der Authentifizierung zu unterscheiden (vgl. dazu näher und die folgenden Zitate aus https://www.datenschutzbeauftragter-info.de/authentisierung-authentifizierung-und-autorisierung/, zuletzt abgerufen am 14. Februar 2019): Die Authentisierung stellt den Nachweis einer Person dar, dass sie tatsächlich diejenige Person ist, die sie vorgibt zu sein. Eine Person legt also Nachweise vor, die ihre Identität bestätigen sollen. Demgegenüber stellt die Authentifizierung „eine Prüfung der behaupteten Authentisierung dar. Zeitlich betrachtet findet eine „Authentifizierung“ also nach einer „Authentisierung“ statt.“

Durch Verpflichtung des Diensteanbieters soll in letzter Konsequenz ausgehend von der Registrierung in mehreren Schritten die Feststellung der Identität des des/der Poster/s/in – allerdings eingeschränkt auf spezifisch im vorliegenden Entwurf geregelte Fälle – ermöglicht werden.

Zur Bewertung der Eignung, Notwendigkeit und Verhältnismäßigkeit ist festzuhalten, dass die im SVN-G enthaltenen Regelungen über die Ermittlung und Speicherung von Daten und die damit verbundene Auswirkung auf die „Anonymität“ des Äußernden einem von Art. 10 Abs. 2 EMRK anerkannten Ziel, nämlich dem Schutz der Rechte Dritter durch die Verbesserung der Verfügbarkeit der Daten im Falle von Verletzungen von Bestimmungen zum Persönlichkeitsschutz dienen. Es bedarf angesichts der verschiedenen im Entwurf vorgesehenen Vorkehrungen auch keiner weiteren Ausführungen, dass von einer Aufhebung der Anonymität nicht die Rede sein kann, sondern die Regelungen des Entwurfs einen angemessenen Ausgleich zwischen dem Recht auf Meinungsäußerungsfreiheit einerseits und dem Recht auf Schutz des guten Rufs und Sicherstellung des Persönlichkeitsschutzes andererseits bewirken sollen. Die Notwendigkeit ergibt sich aus dem wichtigen öffentlichen Interesse an einer erfolgreichen Rechtsverfolgung in den spezifisch genannten Fällen auch durch Dritte, die ohne die Verfügbarkeit der betreffenden Daten scheitert. Gesondert ist darauf hinzuweisen, dass – wie § 4 Abs. 4 des Entwurfs dies eindeutig regelt – beim Diensteanbieter keinerlei Verknüpfung zwischen der Identität eines Posters und dem Inhalt eines Postings vorgenommen werden darf und die Daten überhaupt nur in konkret bezeichneten Fällen, dh. nur ausnahmsweise „herausgeben“ darf. Auch bei der Art der Daten geht der Entwurf davon aus, dass nicht mehr als Vor- und Nachname sowie Wohnadresse notwendig sind, um die Rechtsverfolgung sicherzustellen.

Der Diensteanbieter hat im Sinne des Abs. 5 den Nutzer bei begründetem Verdacht, dass die Registrierungsangaben unrichtig sind oder wurden (etwa weil das Registrierungsprofil nicht mehr eindeutig zuordenbar ist) zum Nachweis der Richtigkeit der Angaben aufzufordern. Ein begründeter Verdacht wird erst dann vorliegen, wenn aufgrund bestimmter objektiver Anhaltspunkte angenommen werden kann, dass eine falsche Angabe vorliegt. Das bedeutet, es muss ein hinreichender Anlass (aufgrund bestimmter, jedenfalls nachprüfbarer oder widerlegbarer Anhaltspunkte) für die Annahme gegeben sein. Eine bloße Vermutung reicht daher nicht. Der Diensteanbieter hat dabei durch routinemäßig periodisch vorgenommene Überprüfungsvorgänge nicht nur längere Inaktivität festzustellen sondern auch die Richtigkeit der Daten zu hinterfragen. Die gesetzliche Anordnung ist nicht dahingehend zu interpretieren, dass sie einen Rechtfertigungsgrund für eine dauerhafte Speicherung bzw. Verarbeitung sämtlicher Daten darstellt, die dem Dienstanbieter im Wege der Registrierung bekannt werden.

Entsprechend Art. 17 DSGVO ist das Recht des Nutzers vorgesehen, zu verlangen, dass sein Registrierungsprofil unverzüglich gelöscht wird. Zudem hat der Diensteanbieter ein Registrierungsprofil nach einer längeren Periode der Inaktivität, wobei im Sinne der Rechtsklarheit hier der Zeitraum von einem Jahr festgelegt wird, zu löschen. Diese Anordnung bedeutet nicht, dass der Diensteanbieter zu prüfen hätte, ob der Poster regelmäßig Postings veranlasst, sondern es geht um die Frage, ob der registrierte Nutzer überhaupt das Online-Informationsangebot länger schon nicht genutzt hat.

Es ist weiters davon auszugehen, dass die Diensteanbieter ihrerseits den Vorgaben der DSGVO oder vergleichbarer Normen unterliegen.

Zu § 4:

In den verschiedenen Absätzen des § 4 wird deutlich gemacht, in welchen Fällen der Diensteanbieter die aufgrund der Verpflichtungen nach diesem Bundesgesetz „gesammelten“ personenbezogene Daten an Dritte weitergeben darf. Die in diesem Gesetz verwendeten Begrifflichkeiten sind im Sinne der DSGVO zu verstehen. So handelt es sich bei der „Verarbeitung“ (vgl. Art. 4 Z 2 DSGVO) um „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“.

Abs. 1 und 2 stellen im Vergleich zur bislang geltenden Rechtslage den grundsätzlichen „Mehrwert“ des Entwurfs dar, zumal § 90 Abs. 7 TKG und die Parallelnorm in § 76a Abs. 1 StPO gerade keine Möglichkeit für Dritte vorsehen, im Falle von Straftaten in Form der Privatanklagedelikte in § 111 und 115 StGB oder in den Fällen der Verfolgung zivilrechtlicher Ansprüchen wegen „Verletzungen an der Ehre“ die Identität des Nutzers durch Zugang zu den Stammdaten des Betreibers des Telefondienstes herauszufinden. Dieses Defizit soll durch den Entwurf beseitigt, gleichzeitig aber dafür Sorge getragen werden, dass der Diensteanbieter nur in sachlich begründeten Fällen die betreffenden Daten herausgibt, die es ermöglichen, vom Betreiber des Telefondienstes die von ihm verarbeiteten Stammdaten des betreffenden Posters zu verlangen. Die dritte Person hat daher glaubhaft zu machen, dass ihr kein anderer Weg zur Verfügung steht, um für die Erhebung der Privatanklage oder die Verfolgung allfälliger Ansprüche nach § 1330 ABGB zur wahren Identität des Posters zu gelangen. Gesondert ist erneut darauf hinzuweisen, dass – wie § 4 Abs. 4 des Entwurfs dies eindeutig regelt – beim Diensteanbieter keinerlei Verknüpfung zwischen der Identität eines Posters und dem Inhalt eines Postings vorgenommen werden darf.

Es liegt in dieser Hinsicht nahe, gerade auch im Bereich der gerichtlichen Straftaten in Form von Offizialdelikten den betreffenden Gerichten und Staatsanwaltschaften die Daten zur Verfolgung zur Verfügung zu stellen, um diese etwa in Fällen der Verhetzung beim Zugang zu bestimmten Daten des Straftäters nicht schlechter zu stellen als den in seinen Persönlichkeitsrechten verletzten Dritten.

Selbstverständlich gilt die Auskunftsverpflichtung gegenüber Dritten nur für den durch ein Posting in seinem Recht auf Schutz der Ehre beeinträchtigten Dritten. Gesondert ist erneut darauf hinzuweisen, dass – wie § 4 Abs. 4 des Entwurfs dies eindeutig regelt – beim Diensteanbieter keinerlei Verknüpfung zwischen der Identität eines Posters und dem Inhalt eines Postings vorgenommen werden darf.

Zu § 5:

Zur Effektuierung der von diesem Bundesgesetz dem Diensteanbieter auferlegten Pflichten wird nach dem Vorbild des verantwortlichen Beauftragten in § 9 VStG – allerdings zwingend und nicht nur fakultativ oder im Einzelfall im Auftrag einer Behörde – vorgesehen, dass ein verantwortlicher Beauftragter zu bestellen ist. Der Beauftragte sollte unverzüglich erreicht werden können, worunter im Regelfall eine Erreichbarkeit binnen spätestens 12 Stunden zu verstehen sein wird. Dies gilt aufgrund des Wesens der hier geregelten Sachmaterie unabhängig von der Frage, ob es sich bei dem Zeitpunkt, in dem versucht wird, den Beauftragten zu erreichen, um einen Werktag handelt oder nicht.

Zu §§ 6 bis 8:

Die Regelungen nehmen die Aufgabenzuweisung vor (§ 6) und enthalten den Sanktionskatalog bestehend aus Geldbußen und Geldstrafen (§§ 7 und 8).

Im Hinblick auf die Frage der „Schwere des Vergehens“ sind auch bei der Verhängung von Geldbußen zumindest dem Grundsatz nach general- und spezialpräventiven Überlegungen, jedenfalls aber Sachlichkeitsüberlegungen im Sinne der „Vorwerfbarkeit“, Zumutbarkeit und der Angemessenheit anzustellen. Deswegen sieht § 7 Abs. 2 einen Katalog zu berücksichtigender Aspekte vor. Beim Ausmaß und der Dauer der Nachlässigkeit der Einhaltung der Bestimmung wird etwa das Vorhandensein eines Kontrollsystems und die Maßnahmen zur Überwachung dieses Kontrollsystems zu berücksichtigen sein. Beim Grad der „Intentionalität“ geht es um die Prüfung, ob ein „systematisches Ignorieren“ oder allenfalls auch ein komplexer hoher Organisationsgrad zur Duldung/Begünstigung gesetzwidrigen Verhaltens, geführt hat oder tatsächlich eine „entschuldbare Fehlleistung“ vorliegt. Das Verfahren zur Verhängung einer Geldbuße ist nicht als Strafverfahren zu qualifizieren (vgl. zum Nebeneinander von Geldbuße und Geldstrafe VfGH 13.12.2016 E 729/2016-18).

Zur Frage, ob auch wiederholt eine Strafsanktion verhängt werden kann, wenn ein Anbieter trotz einer (auf einen bestimmten Zeitraum bezogenen) Feststellung über einen Verstoß gegen Handlungspflichten weiterhin nichts unternimmt, um die vom Gesetz geforderte Handlung zu setzen (etwas die Bestellung eines verantwortlichen Beauftragten), ist Folgendes festzuhalten: Feststellungen über Rechtsverletzungen erfolgen immer im Hinblick auf einen konkreten Zeitraum. Ein Dauerdelikt (dh das dauernde Unterlassen) endet spätestens mit seiner Bestrafung, sodass späteres strafbares Verhalten neuerlich verfolgt werden kann (vgl zum Dauerdelikt Hengstschläger/Leeb, Verwaltungsverfahrensrecht⁵, Rz 771, S 421.

Zur Höhe der Geldbußen und zur Zulässigkeit der Verhängung hoher Geldbußen durch eine Verwaltungsbehörde ist auf das Erkenntnis des VfGH vom 13. Dezember 2017, G 408/2016, zu verweisen (Pressemeldung abrufbar unterhttps://www.vfgh.gv.at/downloads/VfGH_Presseinfo_G_408-2016_ua_Bankwesengesetz.pdf).

Zu § 9:

Entsprechend dem best effort-Grundsatz normiert diese Regelung, dass eine Verantwortlichkeit ausscheidet, wenn sich der Diensteanbieter bzw. der verantwortliche Beauftragte mit der gebotenen Sorgfalt, dh. nach bestem Wissen und Gewissen, darum bemüht hat, den gesetzlichen Anforderungen zu entsprechen, dennoch aber das angestrebte Ziel der Identifikation des Nutzers nicht erfüllt werden konnte.

Zu Art. 2 (Änderung des KommAustria-Gesetzes)

Zu Z 1 (§ 2 Abs. 1 Z 13), Z 2 (§ 13 Abs. 4 Z 4) und Z 3 (§ 17 Abs. 1 Z 5):

Die Änderungen ergeben sich aus den nach dem SVN-G begründeten neuen Aufgaben für KommAustria und RTR-GmbH.

Zu Z 4 (§ 35a):

Im Hinblick auf die bisherige – durch die Judikatur des VfGH (vgl VfSlg. 17326/2004) vorgezeichnete – Systematik, wonach die Finanzierung der Tätigkeit der KommAustria und der RTR-GmbH (und auch der TKK etc.) aus einem Beitrag der „Allgemeinheit“ und Finanzierungbeiträgen der unterschiedlichen Branchen (vgl. §§ 34 bis 35) erfolgt, ist für den hinzutretenden Aufwand der Aufsicht über die betreffenden Dienste der Informationsgesellschaft eine eigene Beitragsregelung vorzusehen. Dabei wird davon ausgegangen, dass 100 % der darauf bezogenen Tätigkeit der beiden Institutionen aus den Mitteln des Budgets zu finanzieren sein werden. Im Übrigen ist in § 10 Abs. 3 vorgesehen, dass 50 % des Betrags einer Geldbuße für die Zwecke der Vollziehung der Anordnungen dieses Bundesgesetzes der KommAustria (und der RTR-GmbH) zuzuweisen sind