1.
Einführung ^
Die Begriffe Identitätsdiebstahl und Identitätsmissbrauch sind in den letzten Monaten im Zusammenhang mit Datendiebstählen, wie z.B. dem Diebstahl von Kundendaten von Sony im Frühjahr 2011, immer wieder verwendet worden.1 Die Wahrscheinlichkeit für eine Person Opfer dieser Kriminalitätsform zu werden, ist ungleich größer, als bei anderen Formen der Internetkriminalität.2 Vor allem in den USA gibt es bereits seit mehreren Jahren Bestrebungen zur Bekämpfung dieser Betrugsform.3 Ein spezieller Tatbestand für Identitätsdiebstahl besteht allerdings nicht in der österreichischen Rechtsordnung. Daher muss der Vorgang des missbräuchlichen Erhebens und Verwendens von Identitätsdaten in Form des Identitätsdiebstahls nach den vorhandenen Tatbeständen beurteilt werden.
1.1.
Begriff der Identität ^
Die Schwierigkeit in der Beschreibung und Abgrenzung des Phänomens des Identitätsdiebstahls beginnt bereits bei einer klaren Definition, was die Identität einer Person ausmacht. Kennzeichnend sind Daten4 oder Bezeichnungen, die in einem bestimmten Kontext zur Unterscheidbarkeit von Personen benutzt werden.5 Darüber hinaus kann noch eine weitere Differenzierung in Form der „digitalen Identität“ vorgenommen werden, was auf eine technische Komponente hinweist.6 Auch hier besteht keine einheitliche Definition.7
1.2.
Definition Identitätsdiebstahl ^
2.1.
Entwicklung ^
2.2.
Technische Formen des Identitätsdiebstahls ^
2.3.
Sonstige Formen der Datenerhebung ^
2.4.
Verwendung der erlangten Daten ^
2.5.
Folgen ^
2.5.1.
Für das Opfer des Identitätsdiebstahls ^
Der Schaden am Vermögen, sowie der Zeitaufwand um die eigene Identität wiederzuerlangen, sind für den einzelnen Betroffenen beträchtlich.19 Je nach Situation sind Konten zu sperren, Accounts und Passwörter zu ändern, Firmen zu verständigen und Anzeigen bei der Polizei zu erstatten. Oft ist umfangreiche Korrespondenz notwendig, um die eigene Kreditwürdigkeit wiederherzustellen. Je schneller der Diebstahl der Identität entdeckt wird, umso einfacher ist es, auf die jeweilige Situation zu reagieren. Dabei hilft es, Kontoauszüge regelmäßig zu kontrollieren und bei ungewöhnlichen Rechnungen oder Anschreiben nachzuforschen. Auch ein jährliches Auskunftsbegehren bei Auskunfteien kann Aufschluss darüber geben, ob Veränderungen in der finanziellen Beurteilung vorliegen, welche ein Handeln erfordern könnten.
2.5.2.
Für Unternehmen ^
3.1.
Strafrechtliche Einordnung ^
3.1.1.
Erlangen der Daten ^
3.1.2.
Beispiel des Verwendens von Daten anhand von Phishing ^
3.1.3.
Probleme der Strafverfolgung ^
3.2.1.
Schadenersatz ^
3.2.2.
Fragen der Haftung ^
3.3.
Datenschutzrechtliche Einordnung ^
4.
Zusammenfassung ^
5.
Literatur ^
Bundeskriminalamt, Bundesministerium für Inneres, Kriminalstatistik Oktober 2011, http://www.bmi.gv.at/cms/BK/publikationen/krim_statistik/files/2011/KrimStat_Okt_2011.pdf, aufgerufen 18.12.2011 (2011).
Bergauer, Christian, Phishing und Geldkuriere im Strafrecht. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 109-136 (2009).
Busch, Christoph, Biometrie und Identitätsdiebstahl, In: DuD 5/2009, S. 317.
Borges, Georg, Schwenk, Jörg, Stuckenberg, Carl-Friedrich, Wegener, Christoph, Identitätsdiebstahl und Identitätsmissbrauch im Internet. Rechtliche und technische Aspekte, Springer, Berlin (2011).
BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., Web Identitäten. Begriffsbestimmungen und Einführung in das Thema, BITKOM Berlin, http://www.bitkom.org/files/documents/Bitkom_Leitfaden_WebID_final_31.10.2005.pdf, aufgerufen 18.12.2011 (2005).
Bydlinsky, Peter, E-Banking und Zivilrecht: Die Rechtsfolgen des “Phishing“ und ähnlicher Missbrauchsformen. In: Bergauer, C., Staudegger, E. (Hrsg.), Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 87-108 (2009).
Copes, Heath, Vieraitis, Lynne, Identity Theft: Assessing Offender´s Strategies and Perceptions of Risks. https://www.ncjrs.gov/pdffiles1/nij/grants/219122.pdf, aufgerufen 18.12.2011 (2007).
De Vries, Bald, Tigchelaar, Jet, Van der Linden, Tina, Describing Identity Fraud: Towards a Common Definition, http://ssm.com/Abstract=1578211, aufgerufen 18.12.2011 (2008).
Dohr, Walter, Pollirer Hans J., Weiss, Ernst, Knyrim, Rainer (Hrsg.), DSG, 2.Auflage, Manz, Wien (2010).
Dörfler, Markus, Schadenersatz nach Hackerangriff, In: AnwBl 2011/11, S. 451-455 (2011).
Federal Trade Commission, 2006 Identity Theft Survey Report. http://www.ftc.gov/os/2007/11/SynovateFinalReportIDTheft2006.pdf aufgerufen 18.12.2011 (2007).
Federal Trade Commission, Consumer Sentinel Network Data Book for January – December 2010, http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf aufgerufen 18.12.2011 (2011).
Fichtinger, Christina, Schutz der Privatsphäre. In: Öffentliche Sicherheit 5-6/06, S. 155-159 (2006).
Graf, Georg, Internetbetrug durch Phishing – Wer trägt den Schaden? In: ecolex 2009, S. 577-579 (2009).
Groll, Tina, Meine Identität gehört mir! In: Zeit Online, http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung aufgerufen 18.12.2011 (2010).
Internet Ombudsmann, Jahresbericht 2010. http://www.ombudsmann.at/media/file/28.Jahresbericht_2010.pdf aufgerufen 18.12.2011 (2011).
Jahnel, Dietmar, Handbuch Datenschutzrecht. Jan Sramek Verlag, Graz (2010).
Krasemann, Heinrich, Selbstgesteuertes Identitätsmanagement. In: DuD 30/2006, S. 211-214 (2006).
Kubicek, Herbert, Akzeptanzprobleme sicherer elektronischer Identitäten. In: DuD 1/2011, S. 43-47 (2011).
Mader, Peter, Neues zum Online-Banking, In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 67-86 (2009).
Meyer, Julia, Identität und virtuelle Identität natürlicher Personen im Internet. Schutz durch besondere Persönlichkeitsrechte und das Allgemeine Persönlichkeitsrecht, Nomos, Baden-Baden (2011).
OECD, Organization on Economic Co-operation and Development, Scoping paper on online Identity theft, http://www.oecd.org/dataoecd/49/39/40879136.pdf aufgerufen 18.12.2011 (2008).
Reindl-Krauskopf, Susanne,. Wiener Kommentar zum Strafgesetzbuch², § 126c, 3.Lieferung, Manz, Wien (2008).
Reindl-Krauskopf, Susanne, Computerstrafrecht im Überblick, 2.Auflage, facultas, Wien (2009).
Riedl, Reinhard, Digitale Identität und Datenschutzanforderungen an IT-Lösungen im E-Government. In: Schweighofer E., Menzel, T., Kreuzbauer, G., Liebwald, D. (Hrsg.) Zwischen Rechtstheorie und e-Government. Aktuelle Fragen der Rechtsinformatik, Verlag Österreich, Wien (2003).
Rost, Martin, Meints, Martin., Authentisierung in Sozialsystemen- Identitytheft strukturell betrachtet. In: DuD 29 (2005) 4, S. 216-218 (2005).
Stolz, Verena, Online-Auktionen: Auswege aus der Betrugsfalle. In: Pichler J. (Hrsg.), eAuktionsbusiness versus Rechtssicherheit, NWV,Wien, Graz, S. 33-60 (2007).
Strauss, Stefan, Datenschutzimplikationen staatlicher Identitätsmanagement-Systeme. Fallbeispiel Österreich. In: DuD 2/2010, S. 99-103 (2010).
U.S. Department of Justice, The Department of Justice´s Efforts to Combat Identity Theft, Audit Report 10-21. http://www.justice.gov/oig/reports/plus/a1021.pdf aufgerufen 18.12.2011 (2010).
- 1 Siehe zu diesem Vorfall und anderen Diebstählen z.B. die Themenseite zu Datendiebstahl bei http://www.heise.de/thema/Datendiebstahl aufgerufen 18.12.2011.
- 2 Siehe dazu die vom Kuratorium Sicheres Österreich mit dem Bundesministerium für Inneres veröffentlichteCyber-Risikomatrix, in der die Wahrscheinlichkeit, Opfer des systematischen Diebstahls der digitalen Identitäten zu werden, – bei gleichzeitig geringen Auswirkungen – als sehr hoch eingestuft wird.
- 3 Siehe Näheres unter Wikipedia,
- 4 Bei Daten zur Identifizierung wird es sich wohl immer um personenbezogene Daten handeln, vgl. zur Definition Dohr, W., Pollirer H.-J., Weiss ,E., Knyrim, R., DSG, 2.Auflage, § 4 Rz. 2.
- 5 Näheres zum Identitätsbegriff u.a. bei Meyer, J., Identität und virtuelle Identität natürlicher Personen im Internet. Schutz durch besondere Persönlichkeitsrechte und das Allgemeine Persönlichkeitsrecht, S. 9 ff.
- 6 Siehe etwa die Definition: „Die digitale Identität ist eine Identität, die von einem Rechner verstanden und verarbeitet werden kann.“ Siehe dazu den BITKOM-Leitfaden zu Web-Identitäten http://www.bitkom.org/files/documents/Bitkom_Leitfaden_WebID_final_31.10.2005.pdf, aufgerufen 18.12.2011, S. 6 ff., oder den Beitrag von Riedl, R., Digitale Identität und Datenschutzanforderungen an IT-Lösungen im E-Government. In: Schweighofer E., Menzel, T., Kreuzbauer, G., Liebwald, D., (Hrsg.), Zwischen Rechtstheorie und e-Government. Aktuelle Fragen der Rechtsinformatik, S. 153 f. (2003).
- 7 Im Bereich E-Government besteht das Ziel darin, Personen mit einem sicheren digitalen Identitätsnachweis zu versorgen, in Deutschland etwa mit einem elektronischen Personalausweis. Siehe dazu Kubicek, H, Akzeptanzprobleme sicherer elektronischer Identitäten. In: DuD 1/2011, S. 43-47. Für Österreich insbesondere: Strauss, S., Datenschutzimplikationen staatlicher Identitätsmanagement-Systeme. Fallbeispiel Österreich. In: DuD 2/2010, S. 99-103 (2010).
- 8 Siehe unter anderem De Vries, B., Tigchelaar, J., Van der Linden, T., Describing Identity Fraud: Towards a Common Definition, http://ssm.com/Abs.tract=1578211 aufgerufen 18.12.2011.
- 9 Zur strukturellen Einordnung in Bezug auf soziale Systeme siehe Rost, M., Meints, M., Authentisierung in Sozialsystemen - Identitytheft strukturell betrachtet. In: DuD 29 (2005) 4, S. 216 ff. (2005).
- 10 Das Consumer Sentinel Network Data Book der Federal Trade Commission für das Jahr 2010 gibt die Prozentzahl der Beschwerden über Identity Theft mit 19 Prozent an, der damit häufigsten Form der Beschwerden von Konsumenten in den USA. http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf aufgerufen 18.12.2011.
- 11 Der Jahresbericht 2010 des österreichischen Internet-Ombudsmannes gibt die Probleme im Bereich Datenschutz mit einer Prozentzahl von 0,6 Prozent der Beschwerdefälle an, wobei überwiegend die unberechtigte Veröffentlichung oder Verwendung persönlicher Daten von Konsumenten durch Dritte betroffen ist. Diese Ombudsmannstelle ist aber speziell auf Streitschlichtung im Bereich E-Commerce ausgerichtet. Siehe Internet Ombudsmann, Jahresbericht 2010.
- 12 Laut Kriminalitätsstatistik Oktober 2011 wurden in den ersten drei Quartalen des Jahres 2011 insgesamt 3.434 Delikte im Bereich der IT-Kriminalität zur Anzeige gebracht. Darunter ist insbesondere ein starker Anstieg des Phishing und des Hacking zu verzeichnen. Siehe Definitionen der Begriffe unter Punkt 2.2. Bundeskriminalamt,
- 13 Siehe die Studie von Copes, H., Vieraitis, L., Identity Theft: Assessing Offender´s Strategies and Perceptions of Risks. https://www.ncjrs.gov/pdffiles1/nij/grants/219122.pdf aufgerufen 18.12.2011, S. 19.
- 14 Siehe etwa die Definitionen in der deutschen Studie von Borges, G., Schwenk, J., Stuckenberg, C.-F., Wegener, C., Identitätsdiebstahl und Identitätsmissbrauch im Internet. Rechtliche und technische Aspekte, S. 14 ff. und S. 22 ff.
- 15 Definition bei Wikipedia, https://secure.wikimedia.org/wikipedia/de/wiki/Hacker, aufgerufen 18.12.2011.
- 16 OGH 2 Ob 107/08 m, 19.02.2009.
- 17 Tatsächlich ist nicht geklärt, ob Identitätsdiebstahl eher off-line oder on-line erfolgt. Siehe dazu die Studie der OECD, Scoping Paper on Online Identity Theft, http://www.oecd.org/dataoecd/49/39/40879136.pdf, aufgerufen 18.12.2011, S. 32 ff.
- 18 Siehe die Definition bei Wikipedia: die zwischenmenschliche Beeinflussung mit dem Ziel unberechtigt an Daten oder Dinge zu gelangen.
- 19 Siehe dazu den Beitrag von Groll, T. in der Zeit Online. Die Autorin schildert darin anschaulich ihre Schwierigkeiten nach dem Diebstahl ihrer Identität und auch die psychischen Folgeerscheinungen, mit denen sie zu kämpfen hat. http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung aufgerufen 18.12.2011. Verschiedene Studien beziffern den Zeitaufwand für eine einzelne Person um die Situation wieder in den Griff zu bekommen, zwischen 30 und im Extremfall bis zu 1.500 Stunden.
- 20 Zahlen für Österreich sind nicht vorhanden. In Großbritannien wird der jährliche Schaden mit 2,7 Milliarden Pfund beziffert, siehe http://www.identitytheft.org.uk/faqs.asp#q2 aufgerufen 18.12.2011.
- 21 Wesentlicher Teil des Geschäftsmodells einer Auskunftei sind daher nicht nur Auskünfte zur Kreditwürdigkeit, sondern auch zur Existenz einer Person. Angeboten werden sogenannte „Identity Checks“. Siehe unter anderem als Beispiel für einen Online-Check der Identität eines Kunden das Angebot von LexisNexis in den USA.
- 22 Die Definition des Begriffs „Daten“ ist gemäß § 74 Abs. 2 StGB weiter gefasst als im DSG 2000 und umfasst auch nicht personenbezogene Daten und Programme.
- 23 Reindl-Krauskopf, S. Wiener Kommentar zum Strafgesetzbuch, 2.Auflage, § 126c, 3.Lieferung, Manz, Wien (2008), Rz.6ff.
- 24 Siehe dazu Stolz, V. Online-Auktionen: Auswege aus der Betrugsfalle. In: Pichler J. (Hrsg.), eAuktionsbusiness versus Rechtssicherheit, NWV, Wien, Graz, 2007, S. 37f.
- 25 Siehe Reindl-Krauskopf, S., Computerstrafrecht², S. 84f.
- 26 OGH 2 Ob 107/08 m. Dazu kritisch: Graf, G., Internetbetrug durch Phishing – Wer trägt den Schaden? ecolex 2009, S. 577-579 und Bydlinsky, P., E-Banking und Zivilrecht: Die Rechtsfolgen des “Phishing“ und ähnlicher Missbrauchsformen. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek, Graz, S. 87-108 (2009), sowie Bergauer, C., Phishing und Geldkuriere im Strafrecht. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek, Graz, S. 109-136 (2009).
- 27 Siehe u.a. Fichtinger, C, Schutz der Privatsphäre, Öffentliche Sicherheit 5-6/06, S. 155-159 (2006).
- 28 Im Online-Banking etwa in den Allgemeinen Geschäftsbedingungen, siehe Mader, P. Neues zum Online Banking. In:Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 70 (2009).
- 29 Die Beschaffung eines einzelnen Lichtbildes wird von Busch nicht als missbräuchlich angesehen, da zumindest ein umfangreicher strukturierter Satz von Identitätsattributen notwendig sein wird. Im Einzelfall wird man wohl den Zusammenhang, in dem biometrische Daten verwendet werden, beachten müssen, vor allem im Hinblick auf die rapide ansteigende Verwendung von biometrischen Daten, siehe Busch, C., Biometrie und Identitätsdiebstahl. In: DuD 5/2009, S. 317.
- 30 Siehe zu den einzelnen Tatbestandsvoraussetzungen Jahnel, Handbuch Datenschutzrecht, Rz. 9/75 und Rz. 9/80 ff.
- 31 Siehe dazu den Artikel von Dörfler, M., Schadenersatz nach Hackerangriff, AnwBl 2011/11, S. 451-455 (2011).
- 32 Zum Konzept des Identitätsmanagements: Krasemann, H., Selbstgesteuertes Identitätsmanagement. In: DuD, 30/2006, S. 211-214.