DSG<\/span> 7 ist ein Gebot. Es ver\u00adlangt f\u00fcr die Ver\u00adtrau\u00adlich\u00adkeit der Daten zu sor\u00adgen und stellt somit eine Hand\u00adlungs\u00adpflicht dar.1<\/sup><\/a> Gegen DSG<\/span> 7 ver\u00adst\u00f6sst, wer die ange\u00admes\u00adse\u00adnen Mass\u00adnah\u00admen nicht trifft, sie also unter\u00adl\u00e4sst<\/em>. Aus dem Wort\u00adlaut l\u00e4sst sich nicht erschlies\u00adsen, wen diese Pflicht trifft. Auf Grund der all\u00adge\u00admei\u00adnen Gel\u00adtung der Bear\u00adbei\u00adtungs\u00adgrund\u00ads\u00e4tze, wie ihn DSG<\/span> 7 dar\u00adstellt, ist dar\u00adauf zu schlies\u00adsen, dass jede Per\u00adson, die Umgang mit Daten hat, Adres\u00adsat ist.2<\/sup><\/a> Jeder Bear\u00adbei\u00adter ist f\u00fcr Daten\u00adsi\u00adcher\u00adheit verantwortlich.<\/p>\n Die Per\u00adson des Ver\u00adant\u00adwort\u00adli\u00adchen ist in zwei\u00ader\u00adlei Hin\u00adsicht bedeu\u00adtungs\u00advoll: Bei der Ergrei\u00adfung eines Rechts\u00adbe\u00adhelfs stellt sich die grund\u00ads\u00e4tz\u00adli\u00adche Frage, wer pas\u00adsiv\u00adle\u00adgi\u00adti\u00admiert ist. Nur gegen jene Per\u00adson, die \u00fcber\u00adhaupt eine Daten\u00adsi\u00adcher\u00adheits\u00adpflicht trifft und diese auch ver\u00adletzt, kann aus DSG<\/span> 12 II<\/span> lit. a i.V.m. DSG<\/span> 7 I und DSG<\/span> 15 erfolg\u00adreich vor\u00adge\u00adgan\u00adgen wer\u00adden (siehe ins\u00adbe\u00adson\u00addere nach\u00adfol\u00adgen\u00addes Kapi\u00adtel \u201cIm Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen dem Whist\u00adle\u00adb\u00adlower und der betrof\u00adfe\u00adnen Per\u00adson\u201d<\/a>).<\/p>\n Dar\u00ad\u00fcber hin\u00adaus spielt die Per\u00adson des Ver\u00adant\u00adwort\u00adli\u00adchen eine wich\u00adtige Rolle, weil sich in Abh\u00e4n\u00adgig\u00adkeit der ver\u00adpflich\u00adte\u00adten Per\u00adson eine inhalt\u00adlich unter\u00adschied\u00adli\u00adche Umschrei\u00adbung der Daten\u00adsi\u00adcher\u00adheits\u00adpflicht ergibt. Den \u201egew\u00f6hn\u00adli\u00adchen\u201c Bear\u00adbei\u00adter trifft eine andere, meist weni\u00adger umfas\u00adsende Pflicht als den Inha\u00adber der Daten\u00adsamm\u00adlung. Es sei denn, beide tref\u00adfen in der\u00adsel\u00adben Per\u00adson zusam\u00admen. Der Inha\u00adber der Daten\u00adsamm\u00adlung stellt bspw. ein Bear\u00adbei\u00adtungs\u00adre\u00adgle\u00adment (orga\u00adni\u00adsa\u00adto\u00adri\u00adsche Mass\u00adnah\u00admen) auf, wel\u00adches die Bear\u00adbei\u00adter ein\u00adzu\u00adhal\u00adten haben. Der Inha\u00adber der Daten\u00adsamm\u00adlung steht in der Regel mit sei\u00adner Wei\u00adsungs\u00adbe\u00adfug\u00adnis \u00fcber dem gew\u00f6hn\u00adli\u00adchen Bear\u00adbei\u00adter. Ihn trifft ent\u00adspre\u00adchend eine gr\u00f6s\u00adsere Anzahl an Pflich\u00adten (vgl. Abbil\u00addung 3<\/a>).3<\/sup><\/a><\/p>\n Der (poten\u00adti\u00adelle) Whist\u00adle\u00adb\u00adlower ist solange gew\u00f6hn\u00adli\u00adcher Bear\u00adbei\u00adter, wie er die Daten im Rah\u00admen sei\u00adner nor\u00adma\u00adlen T\u00e4tig\u00adkeit bear\u00adbei\u00adtet und nicht \u00fcber seine Befug\u00adnis hin\u00adaus von Daten Kennt\u00adnis nimmt, Daten erh\u00e4lt (kopiert, ent\u00adwen\u00addet usf.) oder bekannt\u00adgibt (Whist\u00adle\u00adb\u00adlo\u00adwer\u00adt\u00e4\u00adtig\u00adkei\u00adten). Ihn als \u201eaus\u00adser\u00adge\u00adw\u00f6hn\u00adli\u00adchen\u201c Bear\u00adbei\u00adter zu bezeich\u00adnen, ist im Hin\u00adblick auf die Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten gegen Whist\u00adle\u00adb\u00adlo\u00adwing nicht not\u00adwen\u00addig, wie sich im Fol\u00adgen\u00adden zei\u00adgen wird.4<\/sup><\/a><\/p>\n Als gew\u00f6hn\u00adli\u00adchen Bear\u00adbei\u00adter von Per\u00adso\u00adnen\u00adda\u00adten (bspw. im Rah\u00admen sei\u00adner arbeits\u00adver\u00adtrag\u00adli\u00adchen T\u00e4tig\u00adkeit) trifft auch den Whist\u00adle\u00adb\u00adlower die Daten\u00adsi\u00adcher\u00adheits\u00adpflicht. Grund\u00ads\u00e4tz\u00adlich ist er daf\u00fcr ver\u00adant\u00adwort\u00adlich, Mass\u00adnah\u00admen zu tref\u00adfen, die eine ange\u00admes\u00adsene Daten\u00adsi\u00adcher\u00adheit gew\u00e4hr\u00adleis\u00adten (DSG<\/span> 3 lit. e und 7 I) und ins\u00adbe\u00adson\u00addere den Vor\u00adga\u00adben des Daten\u00adsamm\u00adlungs\u00adin\u00adha\u00adbers nachzukommen.<\/p>\n Der Whist\u00adle\u00adb\u00adlower bear\u00adbei\u00adtet unbe\u00adfugt, sobald er sei\u00adnen Whist\u00adle\u00adb\u00adlo\u00adwer\u00adt\u00e4\u00adtig\u00adkei\u00adten nach\u00adkommt: Er nimmt bspw. Ein\u00adsicht in Daten\u00ads\u00e4tze, die nicht in sei\u00adnem T\u00e4tig\u00adkeits\u00adbe\u00adreich lie\u00adgen, womit er durch seine Bear\u00adbei\u00adtung gegen das Ver\u00adh\u00e4lt\u00adnis\u00adm\u00e4s\u00adsig\u00adkeits\u00adprin\u00adzip (DSG<\/span> 4 II<\/span>) und das Zweck\u00adbin\u00addungs\u00adge\u00adbot (DSG<\/span> 4 III<\/span>) ver\u00adst\u00f6sst. Das\u00adselbe gilt, wenn er Kopien die\u00adser Daten erstellt. Im Falle der Bekannt\u00adgabe gibt er regel\u00adm\u00e4s\u00adsig Daten ent\u00adge\u00adgen dem Zweck bekannt, wel\u00adcher bei der Beschaf\u00adfung ange\u00adge\u00adben wurde. Es liegt wie\u00adderum ein Ver\u00adstoss gegen den Grund\u00adsatz der Zweck\u00adbin\u00addung (DSG<\/span> 4 III<\/span>) vor. Diese Bear\u00adbei\u00adtungs\u00advor\u00adg\u00e4nge haben eine Per\u00ads\u00f6n\u00adlich\u00adkeits\u00adver\u00adlet\u00adzung der betrof\u00adfe\u00adnen Per\u00adson zur Folge (DSG<\/span> 12 II<\/span> lit. a).<\/p>\n Im sel\u00adben Zug wird vom Whist\u00adle\u00adb\u00adlower die Ver\u00adtrau\u00adlich\u00adkeit ver\u00adletzt: Einer\u00adseits, indem er von Daten aus\u00adser\u00adhalb sei\u00adnes Zust\u00e4n\u00addig\u00adkeits\u00adbe\u00adreichs Kennt\u00adnis nimmt oder diese erh\u00e4lt, ande\u00adrer\u00adseits, indem er Drit\u00adten diese Daten bekannt gibt.<\/p>\n DSG<\/span> 7 I sta\u00adtu\u00adiert aber kein Ver\u00adbot die Daten\u00adsi\u00adcher\u00adheit zu ver\u00adlet\u00adzen, son\u00addern eine Hand\u00adlungs\u00adpflicht, sie zu sch\u00fct\u00adzen. Der Whist\u00adle\u00adb\u00adlower ver\u00adletzt durch seine Whist\u00adle\u00adb\u00adlo\u00adwer\u00adt\u00e4\u00adtig\u00adkei\u00adten<\/em> die Daten\u00adsi\u00adcher\u00adheit, nicht aber die Daten\u00adsi\u00adcher\u00adheits\u00adpflicht. Die fol\u00adgende Abbil\u00addung 3 soll das Beschrie\u00adbene veranschaulichen:<\/p>\n Die Daten\u00adsi\u00adcher\u00adheits\u00adpflicht aus DSG<\/span> 7 I betrifft direkt grund\u00ads\u00e4tz\u00adlich nur das Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen einem Bear\u00adbei\u00adter (bzw. Inha\u00adber der Daten\u00adsamm\u00adlung) und der betrof\u00adfe\u00adnen Per\u00adson, nicht aber die Bezie\u00adhung zwi\u00adschen einem Bear\u00adbei\u00adter und des\u00adsen Orga\u00adni\u00adsa\u00adtion (der Inha\u00adbe\u00adrin der Datensammlung).<\/p>\n Hier erge\u00adben sich je nach Stel\u00adlung des Whist\u00adle\u00adb\u00adlo\u00adwers nament\u00adlich auf\u00adtrags- oder arbeits\u00adrecht\u00adli\u00adche Fra\u00adgen (ins\u00adbe\u00adson\u00addere bez. Treue\u00adpflicht), sowie Fra\u00adgen zur Haf\u00adtung.5<\/sup><\/a><\/p>\n Hin\u00adge\u00adgen kann sich die Daten\u00adsi\u00adcher\u00adheits\u00adpflicht durch\u00adaus indi\u00adrekt<\/em> auf das Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen einem Daten\u00adbe\u00adar\u00adbei\u00adter und des\u00adsen Orga\u00adni\u00adsa\u00adtion aus\u00adwir\u00adken: So ist an eine Regress\u00adnahme (OR<\/span> 55 II<\/span>) der Orga\u00adni\u00adsa\u00adtion auf den Bear\u00adbei\u00adter zu den\u00adken, da die Orga\u00adni\u00adsa\u00adtion zur Ein\u00adhal\u00adtung der Bear\u00adbei\u00adtungs\u00adgrund\u00ads\u00e4tze, wie DSG<\/span> 7 einen dar\u00adstellt, ver\u00adpflich\u00adtet ist und \u00fcber die Gesch\u00e4fts\u00adher\u00adren\u00adhaf\u00adtung (OR<\/span> 55 I) zur Ver\u00adant\u00adwor\u00adtung gezo\u00adgen wer\u00adden kann.6<\/sup><\/a><\/p>\n In der Pra\u00adxis h\u00e4u\u00adfige F\u00e4lle: Der Pro\u00adgram\u00admie\u00adrer eines Online\u00adshop\u00adbe\u00adtrei\u00adbers imple\u00admen\u00adtiert ein unsi\u00adche\u00adres Login-Ver\u00adfah\u00adren. Nach einer erfolg\u00adrei\u00adchen Atta\u00adcke bemer\u00adken diverse Kun\u00adden unge\u00adwollte Belas\u00adtun\u00adgen ihrer Kre\u00addit\u00adkar\u00adten.7<\/sup><\/a> Oder ein Ange\u00adstell\u00adter ver\u00adgisst sei\u00adnen Lap\u00adtop mit unver\u00adschl\u00fcs\u00adsel\u00adten Kun\u00adden\u00adda\u00adten in einem \u00f6ffent\u00adli\u00adchen Ver\u00adkehrs\u00admit\u00adtel.8<\/sup><\/a> In sol\u00adchen F\u00e4l\u00adlen erge\u00adben sich Sch\u00e4\u00adden beim Kun\u00adden, wel\u00adche er von der Orga\u00adni\u00adsa\u00adtion ersetzt haben will (DSG<\/span> 15 I ver\u00adweist u.a. auf ZGB<\/span> 28a III<\/span>, wo wie\u00adderum auf OR<\/span> 41 ver\u00adwie\u00adsen wird).<\/p>\n Aus der Defi\u00adni\u00adtion des Whist\u00adle\u00adb\u00adlo\u00adwers geht her\u00advor, dass er als Insi\u00adder zu sei\u00adner Orga\u00adni\u00adsa\u00adtion in einem Sub\u00ador\u00addi\u00adna\u00adti\u00adons\u00adver\u00adh\u00e4lt\u00adnis oder auf glei\u00adcher Augen\u00adh\u00f6he ste\u00adhen kann. Je nach Stel\u00adlung ist er sodann bei Ers\u00adte\u00adrem Bear\u00adbei\u00adter oder bei Letz\u00adte\u00adrem Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adter (DSG<\/span> 10a I).9<\/sup><\/a> Im Falle des Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adters han\u00addelt es sich um Out\u00adsour\u00adcing und damit um die Spiel\u00adart des aty\u00adpi\u00adsche Whist\u00adle\u00adb\u00adlo\u00adwings (Whist\u00adle\u00adb\u00adlo\u00adwing<\/a>)(4. aty\u00adpi\u00adsches Whist\u00adle\u00adb\u00adlo\u00adwing (Out\u00adsour\u00adcing)<\/a>).<\/p>\n Zusam\u00admen\u00adge\u00adfasst regelt das DSG<\/span> die Bezie\u00adhung zwi\u00adschen Whist\u00adle\u00adb\u00adlower und des\u00adsen Orga\u00adni\u00adsa\u00adtion im Bereich der Daten\u00adsi\u00adcher\u00adheit nicht selbst. Es bezweckt den Schutz der betrof\u00adfe\u00adnen Per\u00adson bei der Bear\u00adbei\u00adtung ihrer Daten und spielt im Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen dem Whist\u00adle\u00adb\u00adlower und des\u00adsen Orga\u00adni\u00adsa\u00adtion \u201enur\u201c eine indi\u00adrekte Rolle.<\/p>\n Die Orga\u00adni\u00adsa\u00adtion ist in der Regel die Inha\u00adbe\u00adrin der Daten\u00adsamm\u00adlung, da sie \u00fcber Inhalt und Zweck der Daten\u00adsamm\u00adlung ent\u00adschei\u00addet, also die Ent\u00adschei\u00addungs\u00admacht \u00fcber sie inne hat (vgl. Kapi\u00adtel Inha\u00adber einer Daten\u00adsamm\u00adlung<\/a>). In die\u00adsem Sinne bear\u00adbei\u00adtet auch die Orga\u00adni\u00adsa\u00adtion Daten (DSG<\/span> 3 lit. e \u201ejeder Umgang\u201c).10<\/sup><\/a> Die Orga\u00adni\u00adsa\u00adtion ist damit zur Ein\u00adhal\u00adtung der all\u00adge\u00admei\u00adnen Bear\u00adbei\u00adtungs\u00adgrund\u00ads\u00e4tze aus DSG<\/span> 4 ff. \u2013 inklu\u00adsive der Gew\u00e4hr\u00adleis\u00adtung der hier im Zen\u00adtrum ste\u00adhen\u00adden Daten\u00adsi\u00adcher\u00adheit \u2013 ver\u00adpflich\u00adtet.11<\/sup><\/a><\/p>\n Den Bear\u00adbei\u00adter, der auf Wei\u00adsung sei\u00adner Orga\u00adni\u00adsa\u00adtion Daten bear\u00adbei\u00adtet, tref\u00adfen eben\u00adfalls Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten aus DSG<\/span> 7 I (vgl. Ver\u00adant\u00adwort\u00adlich\u00adkeit f\u00fcr Daten\u00adsi\u00adcher\u00adheit<\/a>). Im Unter\u00adschied zur Orga\u00adni\u00adsa\u00adtion geht seine Pflicht auf Grund sei\u00adner Sub\u00ador\u00addi\u00adna\u00adtion nicht gleich weit (vgl. Ver\u00adant\u00adwort\u00adlich\u00adkeit f\u00fcr Daten\u00adsi\u00adcher\u00adheit<\/a>).<\/p>\n F\u00fcr die Orga\u00adni\u00adsa\u00adtion han\u00addeln ihre Organe. Sie geben dem Wil\u00adlen der juris\u00adti\u00adschen Per\u00adson Aus\u00addruck (ZGB<\/span> 55 I) und ver\u00adpflich\u00adten sie direkt (ZGB<\/span> 55 II<\/span>).12<\/sup><\/a> Die Organe haben damit die Pflicht, die tech\u00adni\u00adschen und orga\u00adni\u00adsa\u00adto\u00adri\u00adschen Mass\u00adnah\u00admen zu tref\u00adfen, um DSG<\/span> 7 I und II<\/span> zu gen\u00fc\u00adgen.13<\/sup><\/a><\/p>\n Der Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adter hat der Daten\u00adsi\u00adcher\u00adheits\u00adpflicht grund\u00ads\u00e4tz\u00adlich wie ein Inha\u00adber nach\u00adzu\u00adkom\u00admen (DSG<\/span> 10a I). Die Hilfs\u00adper\u00adso\u00adnen des Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adters haf\u00adten ent\u00adspre\u00adchend wie gew\u00f6hn\u00adli\u00adche Bear\u00adbei\u00adter.14<\/sup><\/a> Der Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adter wird, obschon ihn die\u00adsel\u00adben Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten wie einen Daten\u00adsamm\u00adlungs\u00adin\u00adha\u00adber tref\u00adfen, nicht auto\u00adma\u00adtisch zum Inha\u00adber der Daten\u00adsamm\u00adlung.15<\/sup><\/a><\/p>\n DSG<\/span> 10a II<\/span> ver\u00adpflich\u00adtet die out\u00adsour\u00adcende Orga\u00adni\u00adsa\u00adtion aus\u00addr\u00fcck\u00adlich, sich zu ver\u00adge\u00adwis\u00adsern, dass der Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adter die Daten\u00adsi\u00adcher\u00adheit gew\u00e4hr\u00adleis\u00adtet. Sie bleibt im \u00dcbri\u00adgen wei\u00adter\u00adhin als Inha\u00adbe\u00adrin der Daten\u00adsamm\u00adlung mit\u00adsamt ihrer Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten ver\u00adant\u00adwort\u00adlich.16<\/sup><\/a><\/p>\n In die\u00adsem Zusam\u00admen\u00adhang stel\u00adlen sich im Hin\u00adblick auf Whist\u00adle\u00adb\u00adlo\u00adwing inter\u00ades\u00adsante Fra\u00adgen bspw. bez\u00fcg\u00adlich den M\u00f6g\u00adlich\u00adkei\u00adten zur Haf\u00adtungs\u00adre\u00adduk\u00adtion des Out\u00adsour\u00adcing\u00adge\u00adbers17<\/sup><\/a>, bez\u00fcg\u00adlich den Unter\u00adschie\u00adden zwi\u00adschen der Haf\u00adtung des gew\u00f6hn\u00adli\u00adchen Bear\u00adbei\u00adters (Arbeit\u00adneh\u00admer) und des Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adters18<\/sup><\/a> oder den Ver\u00adh\u00e4lt\u00adnis\u00adsen bei Ket\u00adten\u00adout\u00adsour\u00adcing19<\/sup><\/a>. Das aty\u00adpi\u00adsche Whist\u00adle\u00adb\u00adlo\u00adwing an die\u00adser Stelle ein\u00adge\u00adhen\u00adder zu behan\u00addeln, w\u00fcrde aber den Rah\u00admen sprengen.<\/p>\n Den Whist\u00adle\u00adb\u00adlower trifft wie jeden Bear\u00adbei\u00adter eine Daten\u00adsi\u00adcher\u00adheits\u00adpflicht. Durch die f\u00fcr ihn typi\u00adschen Bear\u00adbei\u00adtungs\u00advor\u00adg\u00e4nge (siehe 1. Ein\u00adgren\u00adzung auf die Ver\u00adtrau\u00adlich\u00adkeit<\/a>) ver\u00adletzt er zwar die Daten\u00adsi\u00adcher\u00adheit, nicht aber die Daten\u00adsi\u00adcher\u00adheitspflicht<\/em>.<\/p>\n Es erge\u00adben sich bei Ein\u00adtritt eines Whist\u00adle\u00adb\u00adlo\u00adwing\u00adfal\u00adles fol\u00adgende zu pr\u00fc\u00adfende Daten\u00adsi\u00adcher\u00adheits\u00adpflicht\u00adver\u00adlet\u00adzun\u00adgen (vgl. Abbil\u00addung 4<\/a>):<\/p>\n Die Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten von Inha\u00adber und Bear\u00adbei\u00adter unter\u00adschei\u00adden sich in ihrem Umfang. Den Inha\u00adber tref\u00adfen auf Grund sei\u00adner \u00fcber\u00adge\u00adord\u00adne\u00adten Stel\u00adlung grund\u00ads\u00e4tz\u00adlich weit\u00adge\u00adhen\u00addere Daten\u00adsi\u00adcher\u00adheits\u00adpflich\u00adten als den Bearbeiter.<\/p>\n 1<\/sup><\/a> Ebne\u00adter, Rz 14; Lehmann\/Sauter, S. 144. Dane\u00adben sei an den Schutz der Ver\u00adf\u00fcg\u00adbar\u00adkeit und der Inte\u00adgri\u00adt\u00e4t erin\u00adnert, zu wel\u00adchen der Daten\u00adbe\u00adar\u00adbei\u00adter \u00fcber DSG<\/span> 7 II<\/span> i.V.m. VDSG<\/span> 8 I ver\u00adpflich\u00adtet wird.<\/p>\n 2<\/sup><\/a> Vgl. Lehmann\/Sauter, S. 138.<\/p>\n 3<\/sup><\/a> Peter, S. 237; HK<\/span>, Art. 3 Rz 105; siehe Meier, Rz 581.<\/p>\n 4<\/sup><\/a> Siehe ins\u00adbe\u00adson\u00addere Abbil\u00addung 3<\/a><\/p>\n 5<\/sup><\/a> F\u00fcr das schwei\u00adze\u00adri\u00adsche Recht: Leder\u00adger\u00adber, S. 118 ff.; zur Sorg\u00adfalts- bzw. Treue\u00adpflicht im Spe\u00adzi\u00adel\u00adlen siehe Portmann\/St\u00f6ckli, Rz 195 f. und 353 ff., sowie Von Kae\u00adnel, S. 314 ff. F\u00fcr Deutsch\u00adland: Schulz, S. 58 ff. und f\u00fcr die USA<\/span>: Micheli\/Near\/Dworkin, S. 153.<\/p>\n 6<\/sup><\/a> HK<\/span>, Art. 7 Rz 38 f., sowie Ders., Art. 10a Rz 9 f. und Rz 88 bez. Regressnahme.<\/p>\n 7<\/sup><\/a> In der Pra\u00adxis kom\u00admen ins\u00adbe\u00adson\u00addere h\u00e4u\u00adfig sog. SQL-Injec\u00adtions vor. Ein Fall mit hun\u00addert\u00adtau\u00adsen\u00adden betrof\u00adfe\u00adnen Web\u00adsites wird beschrie\u00adben unter: http:\/\/heise.de\/-1219993<\/a>, Stand: 17.08.2011. Auch grosse Sicher\u00adheits\u00adfir\u00admen sind vor die\u00adser Atta\u00adcke nicht gefeit: siehe Schmidt J\u00fcr\u00adgen, Aus\u00adge\u00adlacht \u2013 Anony\u00admous kom\u00adpro\u00admit\u00adtiert US-Sicher\u00adheits\u00adfirma, in: c\u2019t maga\u00adzin f\u00fcr com\u00adpu\u00adter\u00adtech\u00adnik, 6\/2011, S. 50. Eine Ein\u00adf\u00fch\u00adrung zur The\u00adma\u00adtik der SQL-Injec\u00adtion-Angriffs\u00adme\u00adthode fin\u00addet sich (neben wei\u00adte\u00adren) hier: Andrews Mike\/Whittaker James A., How to break web soft\u00adware, New Jer\u00adsey 2006, S. 74.<\/p>\n 8<\/sup><\/a> Wei\u00adtere F\u00e4lle von Lap\u00adtop\u00adver\u00adlus\u00adten fin\u00adden sich bei Meints, S. 74 ff.; zu den vie\u00adlen sicher\u00adheits\u00adre\u00adle\u00advan\u00adten Aspek\u00adten eines ver\u00adlo\u00adren\u00adge\u00adgan\u00adge\u00adnen Lap\u00adtops: Eck\u00adstein, S. 154 ff. Eine umfas\u00adsende Ana\u00adlyse von m\u00f6g\u00adli\u00adchen Sicher\u00adheits\u00admass\u00adnah\u00admen bei Lap\u00adtops: Bally, S. 28 ff.<\/p>\n 9<\/sup><\/a> Der Arbeit\u00adneh\u00admer sollte nicht auch als Drit\u00adter betrach\u00adtet wer\u00adden. Dies ergibt sich aus der feh\u00adlen\u00adden gesetz\u00adli\u00adchen Grund\u00adlage und den unter\u00adschied\u00adli\u00adchen Wei\u00adsungs\u00adrech\u00adten bei Arbeit\u00adneh\u00admer und Auf\u00adtrag\u00adneh\u00admer. Wie\u00adderum aber den Arbeit\u00adneh\u00admer und den Arbeit\u00adge\u00adber zu einer ein\u00adzi\u00adgen bear\u00adbei\u00adten\u00adden Per\u00adson zusam\u00admen\u00adzu\u00adfas\u00adsen, ist aus \u00dcber\u00adle\u00adgun\u00adgen wie u.a. jener, dass nicht jeder Arbeit\u00adneh\u00admer in Daten ande\u00adrer Arbeit\u00adneh\u00admer oder gar des Arbeit\u00adge\u00adbers Ein\u00adsicht haben sollte (Ver\u00adh\u00e4lt\u00adnis\u00adm\u00e4s\u00adsig\u00adkeits\u00adprin\u00adzip), abzu\u00adleh\u00adnen. Siehe zu die\u00adsem wenig dis\u00adku\u00adtier\u00adten Pro\u00adblem m.w.H. HK<\/span>, Art. 10a Rz 5 ff.<\/p>\n 10<\/sup><\/a> Der Inha\u00adber ist damit letzt\u00adlich immer f\u00fcr die Daten\u00adsamm\u00adlung ver\u00adant\u00adwort\u00adlich. Vgl. ED\u00d6B<\/span>, Leit\u00adfa\u00adden, S. 3.<\/p>\n 11<\/sup><\/a> BSK-Mau\u00adrer-Lamb\u00adrou, Vor\u00adbe\u00admer\u00adkun\u00adgen zum 2. Abschnitt Rz 2; BSK-Pauli, Art. 7 Rz 4 und Rz 19. Siehe auch die Fn 204 bei ().<\/p>\n 12<\/sup><\/a> Vgl. m.w.H. BEK-Rie\u00admer, Art. 54\/55 Rz 55 f.<\/p>\n 13<\/sup><\/a> Bei Unter\u00adneh\u00admen nach Akti\u00aden\u00adrecht liegt die Ver\u00adant\u00adwor\u00adtung f\u00fcr die Daten\u00adsi\u00adcher\u00adheit bspw. beim VR<\/span>, siehe Weber\/Willi, S. 197 ff., Weber, Stan\u00addards, S. 182.<\/p>\n 14<\/sup><\/a> Je klei\u00adner der ver\u00adblei\u00adbende Hand\u00adlungs\u00adspiel\u00adraum des Auf\u00adtrags\u00adbe\u00adar\u00adbei\u00adters ist, desto eher redu\u00adziert sich des\u00adsen Daten\u00adsi\u00adcher\u00adheits\u00adpflicht inhalt\u00adlich von der\u00adje\u00adni\u00adgen eines Inha\u00adbers zu 15<\/sup><\/a> Vgl. m.w.H. HK<\/span>, Art. 10a Rz 19 ff. Zum Begriff des aty\u00adpi\u00adschen Whist\u00adle\u00adb\u00adlo\u00adwings siehe (Whist\u00adle\u00adb\u00adlo\u00adwing<\/a>).<\/p>\n1. Im Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen dem Whist\u00adle\u00adb\u00adlower und der betrof\u00adfe\u00adnen Person<\/h5>\n
![](\"https:\/\/143bis.ch\/blog\/wp-content\/uploads\/2019\/01\/abbildung3.png\")
<\/figure>\n2. Im Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen dem Whist\u00adle\u00adb\u00adlower und des\u00adsen Organisation<\/h5>\n
3. Im Ver\u00adh\u00e4lt\u00adnis zwi\u00adschen der betrof\u00adfe\u00adnen Per\u00adson und den Bear\u00adbei\u00adtern bzw. der Orga\u00adni\u00adsa\u00adtion des Whistleblowers<\/h5>\n
4. aty\u00adpi\u00adsches Whist\u00adle\u00adb\u00adlo\u00adwing (Out\u00adsour\u00adcing)<\/h5>\n
5. Fazit zur Verantwortlichkeit<\/h5>\n
\n
![](\"https:\/\/143bis.ch\/blog\/wp-content\/uploads\/2019\/01\/abbildung4.png\")
\n
\n
\njener eines gew\u00f6hn\u00adli\u00adchen Bear\u00adbei\u00adters. Dies geht mit einem Sub\u00ador\u00addi\u00adna\u00adti\u00adons\u00adver\u00adh\u00e4lt\u00adnis trotz Auf\u00adtrags\u00adgrund\u00adlage einher.<\/p>\n