Page - 424 - in Das materielle Computerstrafrecht

424 Christian Bergauer Christian Bergauer • Das materielle Computerstrafrecht¶ Auf den Beispielsfall des Phishing zurückkommend, ist als ein kon- kretes Recht, welches für § 108 in Frage kommt, das Geheimhaltungs- recht personenbezogener Daten nach § 1 Abs 1 DSG 2000 zu nennen. Personenbezogene Daten sind gem § 4 Z 1 DSG 2000 Angaben bzw Informationen über natürliche oder juristische Personen oder Perso- nengemeinschaften, deren Identität bestimmt bzw bestimmbar ist ( sog » direkt personenbezogene Daten « ).2059 » Indirekt personenbezogene Daten « sind Daten, die vom konkreten Verwender nur mit rechtlich un- zulässigen Mitteln auf eine Person zurückgeführt werden können,2060 zB wenn Daten einer Person nicht unter ihrem Namen, sondern unter einer Nummer gespeichert werden, die nur derjenige auf den Namen rückführen kann, der rechtmäßig im Besitz des Namens und der da- zugehörenden Nummer ist. Zu beachten ist dabei, dass jede Form der rechtlichen Unzulässigkeit zum bloß indirekten Personenbezug führt. Ein bestimmter Schwierigkeitsgrad für den rechtswidrigen Zugang wird nicht verlangt.2061 Die Einschränkung der Entschlüsselung indi- rekt personenbezogener Daten auf legale Mittel fand auch in die Erl 2062 Eingang, wobei auch in ErwG 26 Datenschutz-RL von einem vernünf- tigen Mittel, also einem, das weder seiner Art, noch seinem Aufwand nach vollkommen ungewöhnlich ist, gesprochen wird. In erster Linie handelt es sich bei im Wege des Phishing erlangten Zugangscodes, um Zugangskennung und zugehöriges Passwort bzw den Geheimcode einer zugriffsberechtigten Person.2063 Ein Benutzer- name wird idR vom Betreiber einer Datenanwendung nach verschie- denen Kriterien erstellt und vergeben. Nicht immer besteht dieser aus dem tatsächlichen Namen des Berechtigten, vielmehr werden Zeichen- oder Zahlenkombinationen ( zB Verfügernummer ), einer entsprechen- den Logik folgend, dafür herangezogen. In vielen Fällen kann der Nutzer seinen Benutzernamen aber auch selbst festlegen, wobei zu be- achten ist, dass ein Benutzername bzw Zugangskennung in der Daten- 2059 Siehe S 563 ff. 2060 Siehe zu dieser Datenkategorie krit Bergauer, Indirekt personenbezogene Daten – datenschutzrechtliche Kuriosa, in Jahnel ( Hrsg ), Datenschutzrecht. Jahrbuch 2011 ( 2011 ) 55 ( 55 ff ); allgemein dazu Drobesch / Grosinger, Datenschutzgesetz, 117 bzw 140; auch Dohr / Pollirer / Weiss / Knyrim, DSG 2 § 4 Anm 2. 2061 Vgl Löschnigg, Datenermittlung, 143; Löschnigg, Datenschutz und Kontrolle im Ar- beitsverhältnis, DRdA 2006, 459; vgl Jahnel in Jahnel, Jahrbuch 2008, 27 ( 36 ); Jahnel, Handbuch, Rz 3 / 78. 2062 Vgl ErlRV zum DSG 2000, 1613 BlgNR XX. GP, 37. 2063 Siehe zu den weiteren Ausführungen ausf Bergauer, RZ 2006, 82.