Am 03.10.2017 konnte ich in Krems einen Vortrag bei der Bundes-AG-Tagung halten. Der Vortrag beinhaltete im Wesentlichen die Beantwortung der 10+ Fragen, welche ich vorab gestellt bekommen habe, wobei sich diese im Bereich Urheberrecht, Datenschutzrecht und Schulrecht bewegt haben. Ich darf nun an dieser Stelle die Slides online stellen und mich gleichsam bei den TeilnehmerInnen für einen spannenden Vormittag bedanken.
2. Magister Who?
RA Magister Michael Lanzinger
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at
Seit 01.10.2011 externer Lektor an der UNI Linz & Uni Graz
LVAs im Bereich Zivil- & Internetrecht
Seit 01.02.2014 WiFi-Trainer
Seit 01.07.2016 selbständiger Rechtsanwalt in Wels (OÖ) mit
Schwerpunkt im IT- und Urheberrecht
Seit 01.05.2017 Senior Berater bei O.P.P.-Beratungsgruppe
(Datenschutz)
5. Rechtliche Rahmenbedingungen
• Recht im Web betrifft viele Gesetzesbereiche
• Öffentliches Recht: DatenschutzG
• Strafrecht: StGB (illegale Inhalte von Homepages)
• Zivilrecht: ABGB, UrhG
• EU-/Völkerrecht: Richtlinien, Verordnungen, Staatsverträge
6. Rechtliche Rahmenbedingungen
Datenschutzgesetz (DSG 2000)
Umsetzung der Datenschutzrichtlinie
Inhalte:
• Schutz personenbezogener Daten
• Rechtsschutzinstrumente
• Nicht zu verwechseln mit Markenschutz
• Probleme derzeit va bei Sozialen Netzwerken
7. Rechtliche Rahmenbedingungen
Gemeinschaftsrecht im Datenschutz - DSGVO
• EU-VO 2016/679 vom 27.4.2016 zum Schutz der
Verarbeitung personenbezogener Daten und zum freien
Datenverkehr
• Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in
Österreich
• Zusätzlich
– DSG (2018)
– ePrivacy-VO
12. Frage I
• Inwieweit dürfen Social Media für schulische Zwecke
herangezogen werden?
• Dies insbesondere unter dem Aspekt des Datenschutzes
13. Frage I
Social Media im Schulkontext
• Gegenfrage: Zu welchem Zweck sollen diese
herangezogen werden?
• Zu beachten, dass die meisten Social-Media-Tools aus
den USA stammen, wo hinsichtlich Datenschutz und
Urheberrecht (ganz) andere Vorgaben bestehen
• Server = Datenverarbeitung zumeist im Ausland, Daten
werden versandt
• Nutzungsbedingungen: was dürfen diese Tools mit Ihren
Daten?
14. Frage I
Social Media im Schulkontext
• Von der Verwendung wird (eher) abgeraten
• Jedenfalls sollten keine Dateien, Bilder, Aufnahmen
versandt werden
• Wenn die Verwendung erfolgen soll, dann vorab kritische
Lesung der Nutzungsbedingungen und Einholung der
Zustimmung der Beteiligten/Erziehungsberechtigten
15. Frage II
• Darf oder muss sogar die Nutzung von Smartphones an
Schulen eingeschränkt werden?
• Dies unter den Aspekten Recht am eigenen Bild,
Cybermobbing, Privateigentum
16. Frage II
Web-Delikte
• § 107a StGB: Beharrliche Verfolgung
Betrifft auch ‚Cyberstalking‘ (vgl. Abs 2 Z 2)
Bereits vor 2015 im Gesetz verankert, Abs 3 kam neu hinzu
Strafe: bis zu einem Jahr (Abs 1)/bis zu drei Jahren (Abs 3)
• § 107c StGB: Fortgesetzte Belästigung im Wege einer
Telekommunikation oder eines Computersystems
(‚Cybermobbing‘)
Verletzung in der Ehre
Veröffentlichung von Bildern oder Tatsachen
Strafe: bis zu einem Jahr (Abs 1)/bis zu drei Jahren (Abs 3)
17. Frage II
Computer-Delikte
• Betrifft den Bereich der Sachbeschädigung
• § 118a StGB: Hacking
• § 126a StGB: Datenbeschädigung
• § 126b StGB: Störung der Funktionsfähigkeit eines
Computersystems
• § 126c StGB: Missbrauch von Computerprogrammen
oder Zugangsdaten
18. Frage II
Smartphones?
• Generelles Verbot nicht sinnvoll, da auch BYOD in der
Lehre möglich (und sinnvoll) ist
• Jedoch Förderung der Kompetenz der SchülerInnen
bezüglich Cybercrime sowie Umgang mit Daten (va in
Social Media)
• Wenn Verbot, dann sollte dies klar kommuniziert werden,
jedoch solltenkonfiszierte Geräte jedenfalls am Ende des
Schultages wieder ausgefolgt werden
19. Frage III
• Inwieweit dürfen Schulen Daten auf Cloud-Servern
speichern?
• Macht es dabei einen Unterscheid, wo sich der Server-
Standort befindet (zB EU oder USA)?
20. Frage III
Unterschiedliches Recht
• Österreich/EU
– DatenschutzG
– DSGVO ab 2018
– UrheberrechtsG
– Pflichten nach AGBG (Zivilrecht, zB Schadenersatz)
• USA/Drittländer
– Teilweise andere Rechtstradition
– Copyright Law entspricht (eher) Markenrecht
– Derzeit Privacy-Shield-Abkommen
21. Frage III
Fragen vorab
• Bei Angeboten von Cloud-Diensten sollte Folgendes
beachtet werden:
– Wie ist die IT-Sicherheit des Anbieters?
– Wo stehen die Server?
– Welchem Recht unterfällt der Nutzungsvertrag?
– Besteht ein Follow-the-Sun-Service = werden Daten zum
Service rund um den Globus gesandt?
– Besteht mit dem Gesetzgeber des Dienstanbieters ein
Abkommen (zB Privacy Shield) oder Standardvertragsklauseln?
– Welche Daten sollen gespeichert werden?
22. Frage III
Problematisch Aspekte
• Bei Angeboten die gratis oder mit wenig Kosten
verbunden sind werden die Daten idR außerhalb der EU
gespeichert und verarbeitet
• Die Speicherung der Daten von Minderjährigen ist immer
besonders sorgfältig vorzunehmen
• Kategorisierte Daten (zB Daten über Gesundheit oder
Sexualleben) sollten nicht derart gespeichert werden
23. Frage IV
• Verstoßen Generallizenzen wie MS-ACH gegen den
freien Wettbewerb?
• Bedarf es hier nicht Ausschreibungen was die Software
konkret leisten können muss?
24. Frage IV
Vorab
• MS-ACH = Microsoft Austrian College und High School
Agreement
• Wird vom BMB im Rahmen von Bildung 4.0 unterstützt
• Entscheidung seitens des BMB als organisatorisch
übergeordnete Stelle
25. Frage IV
Und zur Frage
• mE kein Verstoß gegen den freien Wettbewerb, wenn
die entsprechenden Ausschreibungsvorschriften
beachtet wurden
• BMB als verantwortliche Stelle kann mE derartige
Entscheidungen treffen, zumal Hauptkosten von BMB
übernommen werden
• Informationen des BMB lesen sich als ‚Kann‘, dh
Software nicht zwingend einzusetzen
26. Frage V
• Welche Unterschiede gibt es im Urheberrecht zwischen
innerhalb und außerhalb des Klassenzimmers?
27. Frage V
Interessante Neuerungen in der UrhG-Novelle
• § 42 Abs 6 UrhG: Ausweitung von Schulen und
Universitäten auch auf ‚andere Bildungseinrichtungen‘
Dadurch wesentliche Ausweitung der Möglichkeit zur
Vervielfältigung für den Unterrichtsgebrauch auf Papier und
ähnlichen Datenträgern (zB Karton oder Folien)
Jedoch beschränkt auf jeweilige Klasse oder LVA
Andere Datenträger möglich, jedoch dann nur nicht-kommerziell
Freie Werknutzung dieser Art nicht für Schul- und Lehrbücher
28. Frage V
Interessante Neuerungen in der UrhG-Novelle
• § 42a Abs 2 UrhG (NEU): Vervielfältigung durch
öffentliche Einrichtungen für Schulgebrauch und
Forschung auf allen Datenträgern
Gilt auch für Gebrauch nach § 42 Abs 5 UrhG
• § 42g UrhG (NEU): Öffentliche Zurverfügungstellung von
Werken für Unterricht und Lehre
Einem eingeschränkten Nutzerkreis (= Lernplattform)
Lediglich nicht-kommerziell
Freie Werknutzung dieser Art nicht für Schul- und Lehrbücher
(richtet sich nach Bezeichnung & Beschaffenheit)
29. Frage V
Freie Werknutzung
• Von der Notwendigkeit der Erlaubnis des Urhebers
ausgenommen ist die sog. ‚freie Werknutzung‘
• Grundsätzlich ist Verwendung fremder Medien nicht
zulässig, selbst wenn diese frei im TV, Radio oder Web
zur Verfügung stehen
• Jedoch Recht zur ‚Privatkopie‘ (§ 42 UrhG), welche va
über die Leerkassettenvergütung abgedeckt wird
• Umfasst sind (auch) Berichterstattung über
Tagesereignisse, Zeitungsartikel, Verwendung im
Unterricht
30. Frage V
Privatkopie im Web
• Wenn im Internet nur Download und keine Weitergabe,
dann ebenfalls von Privatkopie umfasst
• Gilt auch für Streams, da hier bloße temporäre Kopie in
den Arbeitsspeicher
• Auch bloß private Weitergabe unter Freunden (zB
Cloud-Speicher) nicht erlaubt
• Umgehen von Kopierschutz (zB DVD-Rip oder
Download von YouTube) ebenfalls nicht erlaubt
31. Frage V
Und zur Frage
• Für Lehre (und Wissenschaft) besteht erweiterte Rechte
zur freien Werknutzung
• Begriff der Lernplattformen noch nicht ausreichend
definiert
• Im Zweifel
– Erlaubnis einholen (Lizenz)
– lediglich verlinken
– OER nutzen
32. Frage VI
• Wie deklariert man Werke unter freien Lizenzen korrekt?
33. Frage VI
Die (gute) Idee hinter CC
• Probleme im UrhG
– Verwertungsrechte liegen bei der/beim UrheberIn, allgemeine
Nutzung setzt aktives Verhalten voraus
– kein international gültiges Urheberrecht und teilweise sehr
unterschiedliche Rechtstraditionen
• Creative Commons (CC) bieten Möglichkeit auf einfache
Art und Weise der Öffentlichkeit Nutzungsrechte an
Werken zu ermöglichen
• Wird erreicht durch standardisierte Lizenzen, die auf
User optimiert sind
34. Frage VI
CC-Lizenzen
• Angeboten werden sechs verschiedene Lizenzen:
– CC BY: Namensnennung der/des LizenzgeberIn/s
– CC BY-ND: Namensnennung & keine Bearbeitung
– CC BY-NC-SA: Namensnennung & nur nicht-kommerzielle
Weitergabe zu gleichen Bedingungen
– CC BY-SA: Namensnennung & Weitergabe zu gleichen
Bedingungen
– CC BY-NC: Namensnennung & nur nicht-kommerzielle
Weitergabe
– CC BY-NC-ND: Namensnennung & keine Bearbeitung & nur
nicht-kommerzielle Weitergabe
35. Frage VI
CC-Lizenzen
• Gelten als Lizenzen iSd UrhG
• Jede Lizenz verfügt über ‚drei Schichten‘:
– Ausgestaltung als vollwertige Lizenz
– Common Deeds = ‚menschenlesbare‘ Lizenz für Nicht-Juristen
– Maschinenlesbare Version, va um von Suchmaschienen
auffindbar zu sein (CC REL)
• Zu beachten:
– Bereits verschiedene CC-Versionen, die sich primär in den
Lizenz-Details unterscheiden
– Derzeit aktuell: Version 4.0
36. Frage VI
Richtige Quellenangabe bei CC (1)
• CC muss jedenfalls richtig zitiert werden
• Angabe des Namens des/der UrheberIn
– Bei mehreren UrheberInnen sind alle Personen zu nennen
– Wurde Verwertungsrecht übertragen, dann auch Nennung des
Berechtigten (zB Institut)
• Angabe der Bezeichnung des Werkes
– Link auf das Werk
– Hinweis, ob es sich um eine Bearbeitung handelt
37. Frage VI
Richtige Quellenangabe bei CC (2)
• Verlinkung auf die Lizenz
– Auch möglich, auf die Lizenz des zitierten Werkes zu verweisen
• Wenn Angaben sehr lange, dann möglich mittels Kurz-
Link auf eigene Subsite zu verweisen und dort die
Informationen zu erteilen (oder in Fußnoten)
• Bei Bildern wird bloßes Mouse-over als richtige
Quellenangabe idR nicht zugelassen
• Gute Übersicht/Vorlage auf futurezone.de
38. Frage VII
• Welche Schul-Anwendungen benötigen einen Eintrag in
das DVR?
• Insbesondere relevant hier EduFlow
39. Frage VII
Publizität von Datenanwendungen
• §§ 16 ff DSG regeln die Publizität von
Datenanwendungen
– Die Datenschutzbehörde hat ein Register über die Auftraggeber
der Datenanwendungen zu führen, in welches Einsicht
genommen werden kann
– Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu
melden, insbesondere bei Verarbeitung sensibler Daten (DVR-
Nummer)
40. Frage VII
Publizität von Datenanwendungen
• Ausnahme zB bei öffentlich bekannten Daten oder einer
‚Standardanwendung‘ entsprechen, welche qua
Verordnung als solche vorgesehen ist
• § 19 DSG regelt Inhalt einer solchen Meldung:
Name und Anschrift des Auftraggebers
Nachweis über die rechtliche Befugnis zur Verarbeitung
Zweck der Datenanwendung
Kreis der Betroffenen
Allgemeine Angabe über die getroffenen Maßnahme der
Datensicherheit
41. Frage VII
Ab 25.5.2018
• System ändert sich: Verpflichtung ein
Verarbeitungsverzeichnis zu führen
• DVR-Online wird mit Inkrafttreten der DSGVO
eingefroren, dh keine Einmeldungen mehr möglich und
Ende 2019 dann abgeschaltet
42. Frage VII
Und zur Frage
• Derzeit noch Einmeldungen möglich und sollten auch
vorgenommen werden, insbesondere, wenn sensible
Daten verarbeitet werden
• EduFlow mE jedenfalls eine Datenverarbeitung, da auf
Website klargestellt wird, dass personenbezogene Daten
(va von Kindern) verarbeitet werden
• Zusätzlich zur Einmeldung:
– Wie ist Vertrag mit EduFlow ausgestaltet
– Besteht die Zustimmung der Eltern zur Datenverarbeitung?
43. Frage VIII
• Inwieweit kann/darf/soll bei privaten Schülergeräten
technische Hilfe geleistet werden?
• Dies insbesondere im Licht eines Haftungsausschlusses
44. Frage IX
• Können IT-Manager als Schulen (persönlich) haftbar
gemacht werden, wenn die technische Struktur in
kritischen Situationen versagt?
45. Fragen VIII & IX
Allgemeines Bürgerliches Gesetzbuch (ABGB)
Bildet die Grundlage für das österreichische Zivilrecht
Relevante Inhalte:
• Vertragstypen
• Vertragsschluss und –auflösung
• Gewährleistung & Garantie
• Schadenersatz
46. Fragen VIII & IX
Es kommt darauf an …
• In welcher Form wird Support geleistet?
• Welcher Vertrag besteht mit dem IT-Manager?
– Arbeitsvertrag?
– Dienstvertrag hinsichtlich IT-Managment?
• Handelt es sich um einen internen oder externen IT-
Manager bzw -Supporter?
47. Fragen VIII & IX
To-do
• Bestehende Verträge überprüfen
– Haftungsbeschränkung?
– Schadensdeckelung?
• Workflows und Prozesse definieren va hinsichtlich IT-
Sicherheit und Verarbeitung von Daten
– zB Wer hat Zugang zum Serverraum?
• Ausbildung des IT-Managers gewährleisten
• Ausbildung und Prozesse entsprechend dokumentieren
48. Fragen VIII & IX
Und zur Frage VIII
• Wenn nicht notwendig, sollte auf den Support von
privaten Schülergeräten verzichtet werden
• Wenn Support erteilt werden soll, dann ist es sinnvoll
einen Werkvertrag mit den Erziehungsberechtigten zu
schließen
– Support klar (uU nach Standard) definieren
– Haftungsausschluss/-einschränkung
49. Fragen VIII & IX
Und zur Frage IX
• Vorbehaltlich der arbeitsrechtlichen Normen KANN IT-
Manager verantwortlich werden für Vorsatz und (grobe)
Fahrlässigkeit, da er als Sachverständiger (§§ 1298 f
ABGB) haftet
• Bei externen IT-Manager sind Themen wie
Haftungsbegrenzung/Schadensdeckelung im Vertrag zu
regeln
50. Frage X
• Bedarf es einer Zustimmung der Eltern um Fotos und
Videos der Kinder online zu stellen, selbst wenn diese
Personen nicht nachteilig abgebildet sind?
52. Frage X
Lichtbilder im UrhG
• Lichtbilder gelten nach § 3 UrhG als Werke der
bildenden Kunst (‚Lichtbildkunst‘)
• Bildnisschutz nach § 78 UrhG: Bilder dürfen nicht
veröffentlicht und/oder verbreitet werden, wenn dies den
Interessen des/der Abgebildeten zuwiderläuft
• Ungeachtet dessen Datenschutz zu beachten und
(am besten) vorab Einwilligung für ‚Mitwirkung‘
einholen, zB bei Anmeldung zu LVA
53. Frage X
Längere Antwort daher
• An sich Möglichkeit der Verwendung der Lichtbilder
• Auch wenn ‚öffentlich angefertigt‘ keine grundsätzliche
Zustimmung anzunehmen
• Ebenso keine ‚Crowd-Ausnahme‘, nur wenn nicht
erkennbar
• Bei Minderjährigen ist Zustimmung der Verantwortlichen
immer zu empfehlen!
• Zweck sollte bei Zustimmung klar sein
55. Frage XI
Gemeinschaftsrecht im Datenschutz - DSGVO
• EU-VO 2016/679 vom 27.4.2016 zum Schutz der
Verarbeitung personenbezogener Daten und zum freien
Datenverkehr
• Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in
Österreich
56. Frage XI
Was ändert sich?
• Grundsätze des Datenschutzes (zB Zweckbindung,
Datensparsamkeit) enthalten und weiterentwickelt
• DSGVO gilt in der europäischen Union sowie für
Unternehmen, die auf dem europäischen Markt tätig sind
• Anwendbar auf personenbezogene Daten außer diese
betreffen persönlichen/familiären Bereich (sog.
‚Haushaltsausnahme‘)
57. Frage XI
Was ändert sich?
• Recht auf Vergessenwerden
– Erweiterung des Löschungsanspruches
– ‚Weitergabe‘ des Wunsches auf Löschung durch
Datenverarbeiter
• Datenportabilität = gewünschte Datenweitergabe in
strukturierter Form (zB bei Bankwechsel)
• Profiling = ‚Persönlichkeitsbewertung‘
– Besondere Auskunftspflicht auch über technische Aspekte
– Besonderes Widerspruchsrecht des Betroffenen
58. Frage XI
Was ändert sich?
• Privacy by Design/by Default = Verarbeitung möglichst
weniger Daten als ‚Grundeinstellung‘
• Data Breach Notification Duty
– Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen
72 Stunden
– Pflicht zur umfassenden Erteilung von Informationen zur
Verletzung
• Datenschutz-Folgenabschätzung = Verarbeiter muss die
Folgen der Daten-Verarbeitung für die Zukunft
einschätzen
59. Frage XI
Was ändert sich?
• Datenschutzbeauftragter
– Bei Datenverarbeitung durch Behörden/öffentliche Stellen
– Bei umfangreicher, regelmäßiger Beobachtung von Personen als
Kerntätigkeit
– Bei Verarbeitung von sensiblen Daten als Kerntätigkeit
• Behördliches On-Stop-Shop-Prinzip
• Höhere Strafen
– Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio.
– Betroffene kann sich an Behörde oder Gericht wenden
60. Frage XI
Und zur Frage
• DSGVO betrifft Datenverarbeitungen von Einrichtungen
innerhalb der EU (Art 3 DSGVO)
• DSGVO betrifft Datenverarbeitungen
personenbezogener Daten (von natürlichen Personen),
die in einem Dateisystem gespeichert (werden) sollen
(Art 2 DSGVO)
• Die DSGVO betrifft daher auch öffentliche Einrichtungen
wie Schulen bzw private Bildungseinrichtungen
61. Frage XI
Und zur Frage
• Sokrates/Litera/Druckkostenverwaltung uU – wenn
Dateisystem iSd DSGVO – als Applikation zu verstehen,
die zu einer Verarbeitung gehören
• Zu prüfen auf Zweck & Rechtsmäßigkeit
– Sind Zustimmungen notwendig?
• Fraglich daher, ob ein Datenverarbeitungsregister (Art
30) zu führen ist
– Durchaus für Schulen denkbar
– Jedoch sollte hier Strategie des BMB abgewartet werden