Jusletter IT

Identitätsdiebstahl – wer bin ich und warum will jemand ausgerechnet ich sein?

  • Author: Renate Riedl
  • Category: Short Articles
  • Region: Austria
  • Field of law: Elektronische-Identitäten
  • Collection: Conference proceedings IRIS 2012
  • Citation: Renate Riedl, Identitätsdiebstahl – wer bin ich und warum will jemand ausgerechnet ich sein?, in: Jusletter IT 29 February 2012
Identitätsdiebstahl ist eine der am schnellsten wachsenden Formen der Internetkriminalität. Ein spezieller Tatbestand fehlt in der österreichischen Rechtsordnung. D.h. es ist zu prüfen, wie diese Form der Kriminalität definiert werden kann, und wie eine rechtliche Einordnung aussieht. Die Folgen sind sowohl für die betroffenen Opfer, als auch für die Wirtschaft erheblich.

Inhaltsverzeichnis

  • 1. Einführung
  • 1.1. Begriff der Identität
  • 1.2. Definition Identitätsdiebstahl
  • 2. Erscheinungsformen
  • 2.1. Entwicklung
  • 2.2. Technische Formen des Identitätsdiebstahls
  • 2.3. Sonstige Formen der Datenerhebung
  • 2.4. Verwendung der erlangten Daten
  • 2.5. Folgen
  • 2.5.1. Für das Opfer des Identitätsdiebstahls
  • 2.5.2. Für Unternehmen
  • 3. Rechtliche Beurteilung
  • 3.1. Strafrechtliche Einordnung
  • 3.1.1. Erlangen der Daten
  • 3.1.2. Beispiel des Verwendens von Daten anhand von Phishing
  • 3.1.3. Probleme der Strafverfolgung
  • 3.2. Zivilrechtliche Einordnung
  • 3.2.1. Schadenersatz
  • 3.2.2. Fragen der Haftung
  • 3.3. Datenschutzrechtliche Einordnung
  • 4. Zusammenfassung
  • 5. Literatur

1.

Einführung ^

[1]

Die Begriffe Identitätsdiebstahl und Identitätsmissbrauch sind in den letzten Monaten im Zusammenhang mit Datendiebstählen, wie z.B. dem Diebstahl von Kundendaten von Sony im Frühjahr 2011, immer wieder verwendet worden.1 Die Wahrscheinlichkeit für eine Person Opfer dieser Kriminalitätsform zu werden, ist ungleich größer, als bei anderen Formen der Internetkriminalität.2 Vor allem in den USA gibt es bereits seit mehreren Jahren Bestrebungen zur Bekämpfung dieser Betrugsform.3 Ein spezieller Tatbestand für Identitätsdiebstahl besteht allerdings nicht in der österreichischen Rechtsordnung. Daher muss der Vorgang des missbräuchlichen Erhebens und Verwendens von Identitätsdaten in Form des Identitätsdiebstahls nach den vorhandenen Tatbeständen beurteilt werden.

 

1.1.

Begriff der Identität ^

[2]
Eine einheitliche Definition des Begriffes der Identität fehlt in der österreichischen Rechtsordnung. Das Meldegesetz etwa kennt in § 1 Abs. 5a sogenannte „Identitätsdaten“. Im Sicherheitspolizeigesetz besteht gemäß § 35 SPG die Ermächtigung zur Identitätsfeststellung durch das Erfassen des Namens, des Geburtsdatums und der Wohnanschrift eines Menschen in dessen Anwesenheit, ohne vorher zu definieren, was unter Identität zu verstehen ist.
[3]

Die Schwierigkeit in der Beschreibung und Abgrenzung des Phänomens des Identitätsdiebstahls beginnt bereits bei einer klaren Definition, was die Identität einer Person ausmacht. Kennzeichnend sind Daten4 oder Bezeichnungen, die in einem bestimmten Kontext zur Unterscheidbarkeit von Personen benutzt werden.5 Darüber hinaus kann noch eine weitere Differenzierung in Form der „digitalen Identität“ vorgenommen werden, was auf eine technische Komponente hinweist.6 Auch hier besteht keine einheitliche Definition.7

1.2.

Definition Identitätsdiebstahl ^

[4]
Obwohl der Begriff Identitätsdiebstahl im Sprachgebrauch durchaus geläufig ist, fehlt eine einheitliche rechtliche Definition. Tatsächlich bestehen zahllose Definitionen nebeneinander.8 Kernelemente sind die Elemente des Sich-Verschaffens und Verwendens von persönlichen Daten (Identität) einer natürlichen oder juristischen Person durch Dritte, in der Absicht, diese missbräuchlich zu verwenden.
[5]
Bereits die Verwendung des Wortes „Diebstahl“ ist in diesem Zusammenhang irreführend. Unter Diebstahl wird gemäß § 127 Abs. 1 StGB die Wegnahme einer fremden beweglichen Sache unter Bereicherungsvorsatz verstanden. Beim Identitätsdiebstahl fehlt es sowohl an einer fremden körperlichen Sache, als auch an der Wegnahme einer Sache, da das Opfer über seine Identitätsdaten nach wie vor selbst weiter verfügen kann und oft nicht einmal merkt, dass ein Identitätsdiebstahl stattgefunden hat. Erst wenn Geld auf dem Konto fehlt, Rechnungen ins Haus kommen für Waren, die nicht bestellt wurden, oder Mahnschreiben geschickt werden, wird das Opfer darauf aufmerksam, dass die eigene Identität kompromittiert wurde.
[6]
Häufig werden auch die Begriffe „Identitätsmissbrauch“ oder „Identitätsbetrug“ eingesetzt, ohne eine klare Abgrenzung vorzunehmen.9

2.

Erscheinungsformen ^

2.1.

Entwicklung ^

[7]
Identitätsdiebstahl gilt als eine der am schnellsten wachsenden Formen der Internetkriminalität.10 Trotz der steigenden Bedeutung fehlen für Österreich bis jetzt statistische Erhebungen oder Untersuchungen11 In der Kriminalitätsstatistik des Bundeskriminalamtes für Oktober 2011 wurde bei sinkender Gesamtkriminalität ein gleichzeitiger Anstieg der Internetkriminalität festgestellt.12 Als Maßnahme dagegen wurde ein Cybercrime-Competence Center mit rund 300 Präventionsbeamten eingerichtet.
[8]
Das hauptsächliche Ziel für einen Kriminellen, bei Begehung eines Identitätsdiebstahls ist meist die Beschaffung von Geld.13 Daneben besteht aber auch oft das Interesse, eine Person durch die Verwendung des fremden Namens zu diskreditieren oder sonst zu schädigen, etwa durch das Verwenden des Namens in Internetforen oder das Bestellen von Waren unter Angabe des Namens des Opfers. Dafür kann gegebenenfalls der Begriff „Identitätsmissbrauch“ treffender sein.14

2.2.

Technische Formen des Identitätsdiebstahls ^

[9]
Die Art und Weise wie sich Betrüger die Daten der Betroffenen verschaffen, ist vielfältig. Die bekanntesten und häufigsten Formen sind Identitätsdiebstähle im Zusammenhang mit Hacking (das Eindringen in fremde Computersysteme)15 oder Phishing (der betrügerische Angriff Dritter, bei denen Benutzern Zugangs- oder Transaktionsdaten, insbesondere PIN- und TAN- Codes herausgelockt werden).16

2.3.

Sonstige Formen der Datenerhebung ^

[10]
Zur Erlangung von Identitätsdaten einer Person ist nicht unbedingt der Einsatz von Computern erforderlich. Relevante Daten von Personen können auch durch so einfache Handlungen wie das Durchsuchen von Mülleimern, das Durchsuchen von Websites nach persönlichen Daten oder der Diebstahl von Dokumenten, Kreditkarten oder Unterlagen sein. Ein nicht zu unterschätzender Faktor ist die freiwillige Preisgabe von Daten, etwa in sozialen Netzwerken. Daneben werden Anfragen per E-Mail oder Telefon vertrauensselig beantwortet.17 Diese Vorgangsweise lässt sich allgemein unter Social Engineering zusammenfassen.18

2.4.

Verwendung der erlangten Daten ^

[11]
Gestohlene oder sonst erlangte Daten werden auf zahlreiche Arten von Kriminellen eingesetzt. Unter Verwendung der fremden Identität werden Kreditkartenanträge gestellt, Finanzdienstleistungen jeglicher Art in Anspruch genommen, Waren und Dienstleistungen bestellt, Verträge abgeschlossen (z.B. für Mobiltelefone), neue Dokumente wie Pass oder Führerschein beantragt, Straftaten in fremden Namen begangen, Accounts in sozialen Netzwerken unter fremden Namen betrieben, oder medizinische Leistungen in Anspruch genommen. Die Liste ist beinahe beliebig verlängerbar.

2.5.

Folgen ^

[12]
Die Beseitigung der Folgen ist sowohl für die Opfer teuer, nervenaufreibend und zeitintensiv, als auch für etwaige Vertragspartner mit erheblichen Unannehmlichkeiten verbunden. Neben einem Vermögensschaden droht auch noch der Verlust der Reputation oder ein erheblicher Imageschaden.

2.5.1.

Für das Opfer des Identitätsdiebstahls ^

[13]

Der Schaden am Vermögen, sowie der Zeitaufwand um die eigene Identität wiederzuerlangen, sind für den einzelnen Betroffenen beträchtlich.19 Je nach Situation sind Konten zu sperren, Accounts und Passwörter zu ändern, Firmen zu verständigen und Anzeigen bei der Polizei zu erstatten. Oft ist umfangreiche Korrespondenz notwendig, um die eigene Kreditwürdigkeit wiederherzustellen. Je schneller der Diebstahl der Identität entdeckt wird, umso einfacher ist es, auf die jeweilige Situation zu reagieren. Dabei hilft es, Kontoauszüge regelmäßig zu kontrollieren und bei ungewöhnlichen Rechnungen oder Anschreiben nachzuforschen. Auch ein jährliches Auskunftsbegehren bei Auskunfteien kann Aufschluss darüber geben, ob Veränderungen in der finanziellen Beurteilung vorliegen, welche ein Handeln erfordern könnten.

2.5.2.

Für Unternehmen ^

[14]
Für Unternehmen, denen eine falsche Identität bei einem Vertragsabschluss vorgetäuscht wurde, entsteht ein enormer wirtschaftlicher Schaden.20 Wesentliche Informationen über einen Kunden im Online-Geschäft sind für ein Unternehmen daher nicht nur Angaben zur Bonität des Kunden oder zusätzliche Angaben um das Marketing zu optimieren, sondern vor allem, ob der Kunde auch tatsächlich die Person ist, die sie vorgibt zu sein.21
[15]
Gleichzeitig muss sich ein Unternehmen vor kriminellen Angriffen auf die eigenen Datenbestände schützen, oder einen unternehmensinternen Missbrauch von Daten verhindern. Die Investition in Datensicherheitsmaßnahmen ist daher ein Hauptfaktor in der Prävention von Datenverlusten.

3.

Rechtliche Beurteilung ^

3.1.

Strafrechtliche Einordnung ^

[16]
Nachdem es Identitätsdiebstahl als eigenen strafrechtlichen Tatbestand im StGB nicht gibt, ist jede einzelne Handlung beim Identitätsdiebstahl gesondert zu betrachten und zu beurteilen. Dabei ist vor allem zu unterscheiden, wie der Täter in den Besitz von Identitätsdaten gekommen ist und wie er in der Folge die Daten einsetzt.22 Das Erheben von Daten Dritter muss nicht zwangsläufig strafrechtlich relevant sein, zu denken ist an öffentlich verfügbare Daten oder die freiwillige Herausgabe von Daten durch das Opfer. Da eine umfangreiche Betrachtung im Rahmen des gegenständlichen Beitrages nicht möglich ist, wird nur auf einige ausgewählte Fälle eingegangen.

3.1.1.

Erlangen der Daten ^

[17]
Im Zusammenhang mit Computerkriminalität bestehen einige Straftatbestände, die im Einzelfall zu prüfen sind. Im konkreten Zusammenhang kommt etwa der widerrechtliche Zugriff auf ein Computersystem gemäß § 118a StGB in Betracht, wobei zu beachten ist, dass der Schutz nur gesicherten Systemen zukommt und Tatbestandselement u.a. die Überwindung spezifischer Sicherheitsvorkehrungen im Computer ist. Als Vorbereitungsdelikt kommt der Missbrauch von Computerprogrammen oder Zugangsdaten gemäß § 126c StGB in Frage, welcher primär Programme oder ähnliche Vorrichtungen erfasst, die zum Zweck der Deliktsbegehung hergestellt wurden.23 Weitere Vorfeldtat wäre z.B. auch Datenfälschung gemäß § 225a StGB, wobei der Täter durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten herstellt oder echte Daten verfälscht, sofern er mit dem Vorsatz handelt, dass seine Fälschung im Rechtsverkehr zum Zweck des Beweises eines Rechts, Rechtsverhältnisses oder einer Tatsache gebraucht wird.
[18]
Daneben bestehen die bekannten Eigentumsdelikte wie Diebstahl, Raub, Erpressung u.a., um an Daten zu kommen, vor allem im Zusammenhang mit verkörperten Informationsträgern, wie Kreditkarten oder Ausweisen.

3.1.2.

Beispiel des Verwendens von Daten anhand von Phishing ^

[19]
Eine der bekanntesten Arten sich Daten zu verschaffen ist Phishing (Definition unter Punkt 2.2). Erscheinungsformen sind z.B. das Herauslocken von Daten durch E-Mail, Pharming (gefälschte Websites, die der des Bankinstitutes nachgebildet sind) oder Trojaner (Computerprogramme, die in fremde Computersysteme eingeschleust werden, um dort Daten zu erlangen). Betroffen ist vor allem der Bereich des Online-Banking, aber auch von Handelsplattformen wie etwa eBay.24 Die unbefugt durchgeführten Vermögenstransaktionen durch Verwendung der gestohlenen Daten sind gemäß § 148a StGB für gewöhnlich als betrügerischer Datenverarbeitungsmissbrauch zu qualifizieren.25

3.1.3.

Probleme der Strafverfolgung ^

[20]
Bei Begehung einer Tat im Internet befinden sich die Täter häufig im Ausland, eine Strafverfolgung ist in diesem Fall nur mit technisch aufwendiger Ermittlungsarbeit und Kooperation der Behörden über die Staatsgrenzen hinweg zielführend. Oft ist es auch schwierig nachzuvollziehen, wie der Identitätsdiebstahl durchgeführt wurde.

3.2.

Zivilrechtliche Einordnung ^

3.2.1.

Schadenersatz ^

[21]
Ist ein Schaden entstanden, wird es sich meist um einen Vermögensschaden handeln. Spezielle Schadenersatzregeln bestehen nicht, es gelten die allgemeinen Schadenersatzvoraussetzungen. Wird beim oben erwähnten Phishing nach Erlangen der Daten in der Folge mit den gestohlenen Daten eine Überweisung getätigt, die nicht vom Kontoinhaber stammt, ist zu fragen, ob ein gültiger Überweisungsauftrag erteilt wurde und ob gegebenenfalls eine Anscheinsvollmacht anzunehmen ist. Der OGH hat zu dieser Frage im Februar 2009 erstmals eine Entscheidung getroffen, die in Phishing-Fällen die Zurechnung von Willenserklärungen des unberechtigt Handelnden nach den Grundsätzen der Anscheinsvollmacht ablehnt.26
[22]
Daneben können noch andere Rechte betroffen sein, wie etwa das Namensrecht, Urheberrecht oder das Recht auf Privatsphäre.27

3.2.2.

Fragen der Haftung ^

[23]
Bei Eintritt eines Schadens stellt sich oft die Frage, wer den Schaden endgültig zu tragen hat. Im Zusammenhang damit sind Fragen der Risikotragung zu beantworten. Dabei ist auf das jeweilige Rechtsverhältnis abzustellen. Kunden werden regelmäßig zur ordnungsgemäßen Verwendung und Geheimhaltung der Identifizierungsmerkmale bei Transaktionen vertraglich verpflichtet.28
[24]
Weiteres Problem ist die Beweisführung aufgrund der schwierigen Nachvollziehbarkeit des Ablaufs des Identitätsdiebstahls.

3.3.

Datenschutzrechtliche Einordnung ^

[25]
Die Verwendung von gestohlenen Daten einer Person (wie Name, Kreditkartennummer, Geburtsdatum, etc.)29 durch den Täter wird regelmäßig personenbezogene Daten gemäß § 4 Z 1 DSG 2000 erfassen und fällt damit in die Anwendbarkeit des Datenschutzgesetzes. Das Erheben und jede andere Art der Handhabung von Daten wird bei einem Identitätsdiebstahl ohne rechtliche Befugnis erfolgen und ist daher datenschutzrechtlich unzulässig. Strafbestimmungen werden in § 51 DSG 2000, der Datenverwendung in Gewinn- und Schädigungsabsicht, sowie der Verwaltungsstrafbestimmung in § 52 DSG 2000 normiert.30 Zusätzlich besteht ein Anspruch auf Schadenersatz gemäß § 33 DSG 2000.31
[26]
Durch die Verpflichtung für den datenschutzrechtlichen Auftraggeber einer Datenanwendung hat dieser Maßnahmen zur Gewährleistung der Datensicherheit gemäß § 14 DSG 2000 zu treffen, und damit sind Daten auch vor unbefugten Zugriff zu schützen. Für ein Unternehmen, welches Ziel eines Angriffs auf seinen Datenbestand wird, hat dies unter Umständen auch noch weiterreichende Folgen in Form der Verpflichtung zur unverzüglichen Benachrichtigung der betroffenen Personen bei einer Verletzung des Schutzes der personenbezogenen Daten (Data Breach Notification) gemäß § 24 Abs. 2a DSG 2000 oder § 95a TKG 2003.

4.

Zusammenfassung ^

[27]
Bislang fehlen neben einer einheitlichen rechtlichen Definition des Begriffs „Identitätsdiebstahl“ v.a. eine umfassende Erfassung und Beurteilung dieser Kriminalitätsform in Österreich, sowie verlässliche Zahlen über die wirtschaftlichen Folgen.
[28]
Zur rechtlichen Einordnung ist es notwendig, die einzelnen Handlungen bei der missbräuchlichen Erhebung und Verwendung von Identitätsdaten jeweils im Einzelfall einer rechtlichen Prüfung zu unterziehen, um straf- und zivilrechtliche Konsequenzen, sowie datenschutzrechtliche Verpflichtungen beurteilen zu können. Das Ansteigen der missbräuchlichen Verwendung personenbezogener Daten in der Form des Phänomens „Identitätsdiebstahl“ erfordert sowohl von einzelnen Personen, als auch von Unternehmen erhöhte Aufmerksamkeit und Vorsicht im Umgang mit Daten.
[29]
Der Datensicherheit und Datenverwendung ist ausreichende Beachtung zu schenken und ergriffene Sicherheitsmaßnahmen sind strikt einzuhalten. Jedenfalls sollten persönliche Daten stets nur sparsam und bewusst verwendet und preisgegeben werden.32

5.

Literatur ^

Bundeskriminalamt, Bundesministerium für Inneres, Kriminalstatistik Oktober 2011, http://www.bmi.gv.at/cms/BK/publikationen/krim_statistik/files/2011/KrimStat_Okt_2011.pdf, aufgerufen 18.12.2011 (2011).

Bergauer, Christian, Phishing und Geldkuriere im Strafrecht. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 109-136 (2009).

Busch, Christoph, Biometrie und Identitätsdiebstahl, In: DuD 5/2009, S. 317.

Borges, Georg, Schwenk, Jörg, Stuckenberg, Carl-Friedrich, Wegener, Christoph, Identitätsdiebstahl und Identitätsmissbrauch im Internet. Rechtliche und technische Aspekte, Springer, Berlin (2011).

BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., Web Identitäten. Begriffsbestimmungen und Einführung in das Thema, BITKOM Berlin, http://www.bitkom.org/files/documents/Bitkom_Leitfaden_WebID_final_31.10.2005.pdf, aufgerufen 18.12.2011 (2005).

Bydlinsky, Peter, E-Banking und Zivilrecht: Die Rechtsfolgen des “Phishing“ und ähnlicher Missbrauchsformen. In: Bergauer, C., Staudegger, E. (Hrsg.), Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 87-108 (2009).

Copes, Heath, Vieraitis, Lynne, Identity Theft: Assessing Offender´s Strategies and Perceptions of Risks. https://www.ncjrs.gov/pdffiles1/nij/grants/219122.pdf, aufgerufen 18.12.2011 (2007).

De Vries, Bald, Tigchelaar, Jet, Van der Linden, Tina, Describing Identity Fraud: Towards a Common Definition, http://ssm.com/Abstract=1578211, aufgerufen 18.12.2011 (2008).

Dohr, Walter, Pollirer Hans J., Weiss, Ernst, Knyrim, Rainer (Hrsg.), DSG, 2.Auflage, Manz, Wien (2010).

Dörfler, Markus, Schadenersatz nach Hackerangriff, In: AnwBl 2011/11, S. 451-455 (2011).

Federal Trade Commission, 2006 Identity Theft Survey Report. http://www.ftc.gov/os/2007/11/SynovateFinalReportIDTheft2006.pdf aufgerufen 18.12.2011 (2007).

Federal Trade Commission, Consumer Sentinel Network Data Book for January – December 2010, http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf aufgerufen 18.12.2011 (2011).

Fichtinger, Christina, Schutz der Privatsphäre. In: Öffentliche Sicherheit 5-6/06, S. 155-159 (2006).

Graf, Georg, Internetbetrug durch Phishing – Wer trägt den Schaden? In: ecolex 2009, S. 577-579 (2009).

Jahnel, Dietmar, Handbuch Datenschutzrecht. Jan Sramek Verlag, Graz (2010).

Krasemann, Heinrich, Selbstgesteuertes Identitätsmanagement. In: DuD 30/2006, S. 211-214 (2006).

Kubicek, Herbert, Akzeptanzprobleme sicherer elektronischer Identitäten. In: DuD 1/2011, S. 43-47 (2011).

Mader, Peter, Neues zum Online-Banking, In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 67-86 (2009).

Meyer, Julia, Identität und virtuelle Identität natürlicher Personen im Internet. Schutz durch besondere Persönlichkeitsrechte und das Allgemeine Persönlichkeitsrecht, Nomos, Baden-Baden (2011).

OECD, Organization on Economic Co-operation and Development, Scoping paper on online Identity theft, http://www.oecd.org/dataoecd/49/39/40879136.pdf aufgerufen 18.12.2011 (2008).

Reindl-Krauskopf, Susanne,. Wiener Kommentar zum Strafgesetzbuch², § 126c, 3.Lieferung, Manz, Wien (2008).

Reindl-Krauskopf, Susanne, Computerstrafrecht im Überblick, 2.Auflage, facultas, Wien (2009).

Riedl, Reinhard, Digitale Identität und Datenschutzanforderungen an IT-Lösungen im E-Government. In: Schweighofer E., Menzel, T., Kreuzbauer, G., Liebwald, D. (Hrsg.) Zwischen Rechtstheorie und e-Government. Aktuelle Fragen der Rechtsinformatik, Verlag Österreich, Wien (2003).

Rost, Martin, Meints, Martin., Authentisierung in Sozialsystemen- Identitytheft strukturell betrachtet. In: DuD 29 (2005) 4, S. 216-218 (2005).

Stolz, Verena, Online-Auktionen: Auswege aus der Betrugsfalle. In: Pichler J. (Hrsg.), eAuktionsbusiness versus Rechtssicherheit, NWV,Wien, Graz, S. 33-60 (2007).

Strauss, Stefan, Datenschutzimplikationen staatlicher Identitätsmanagement-Systeme. Fallbeispiel Österreich. In: DuD 2/2010, S. 99-103 (2010).

U.S. Department of Justice, The Department of Justice´s Efforts to Combat Identity Theft, Audit Report 10-21. http://www.justice.gov/oig/reports/plus/a1021.pdf aufgerufen 18.12.2011 (2010).

  1. 1 Siehe zu diesem Vorfall und anderen Diebstählen z.B. die Themenseite zu Datendiebstahl bei http://www.heise.de/thema/Datendiebstahl aufgerufen 18.12.2011.
  2. 2 Siehe dazu die vom Kuratorium Sicheres Österreich mit dem Bundesministerium für Inneres veröffentlichteCyber-Risikomatrix, in der die Wahrscheinlichkeit, Opfer des systematischen Diebstahls der digitalen Identitäten zu werden, – bei gleichzeitig geringen Auswirkungen – als sehr hoch eingestuft wird.
  3. 3 Siehe Näheres unter Wikipedia,
  4. 4 Bei Daten zur Identifizierung wird es sich wohl immer um personenbezogene Daten handeln, vgl. zur Definition Dohr, W., Pollirer H.-J., Weiss ,E., Knyrim, R., DSG, 2.Auflage, § 4 Rz. 2.
  5. 5 Näheres zum Identitätsbegriff u.a. bei Meyer, J., Identität und virtuelle Identität natürlicher Personen im Internet. Schutz durch besondere Persönlichkeitsrechte und das Allgemeine Persönlichkeitsrecht, S. 9 ff.
  6. 6 Siehe etwa die Definition: „Die digitale Identität ist eine Identität, die von einem Rechner verstanden und verarbeitet werden kann.“ Siehe dazu den BITKOM-Leitfaden zu Web-Identitäten http://www.bitkom.org/files/documents/Bitkom_Leitfaden_WebID_final_31.10.2005.pdf, aufgerufen 18.12.2011, S. 6 ff., oder den Beitrag von Riedl, R., Digitale Identität und Datenschutzanforderungen an IT-Lösungen im E-Government. In: Schweighofer E., Menzel, T., Kreuzbauer, G., Liebwald, D., (Hrsg.), Zwischen Rechtstheorie und e-Government. Aktuelle Fragen der Rechtsinformatik, S. 153 f. (2003).
  7. 7 Im Bereich E-Government besteht das Ziel darin, Personen mit einem sicheren digitalen Identitätsnachweis zu versorgen, in Deutschland etwa mit einem elektronischen Personalausweis. Siehe dazu Kubicek, H, Akzeptanzprobleme sicherer elektronischer Identitäten. In: DuD 1/2011, S. 43-47. Für Österreich insbesondere: Strauss, S., Datenschutzimplikationen staatlicher Identitätsmanagement-Systeme. Fallbeispiel Österreich. In: DuD 2/2010, S. 99-103 (2010).
  8. 8 Siehe unter anderem De Vries, B., Tigchelaar, J., Van der Linden, T., Describing Identity Fraud: Towards a Common Definition, http://ssm.com/Abs.tract=1578211 aufgerufen 18.12.2011.
  9. 9 Zur strukturellen Einordnung in Bezug auf soziale Systeme siehe Rost, M., Meints, M., Authentisierung in Sozialsystemen - Identitytheft strukturell betrachtet. In: DuD 29 (2005) 4, S. 216 ff. (2005).
  10. 10 Das Consumer Sentinel Network Data Book der Federal Trade Commission für das Jahr 2010 gibt die Prozentzahl der Beschwerden über Identity Theft mit 19 Prozent an, der damit häufigsten Form der Beschwerden von Konsumenten in den USA. http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf aufgerufen 18.12.2011.
  11. 11 Der Jahresbericht 2010 des österreichischen Internet-Ombudsmannes gibt die Probleme im Bereich Datenschutz mit einer Prozentzahl von 0,6 Prozent der Beschwerdefälle an, wobei überwiegend die unberechtigte Veröffentlichung oder Verwendung persönlicher Daten von Konsumenten durch Dritte betroffen ist. Diese Ombudsmannstelle ist aber speziell auf Streitschlichtung im Bereich E-Commerce ausgerichtet. Siehe Internet Ombudsmann, Jahresbericht 2010.
  12. 12 Laut Kriminalitätsstatistik Oktober 2011 wurden in den ersten drei Quartalen des Jahres 2011 insgesamt 3.434 Delikte im Bereich der IT-Kriminalität zur Anzeige gebracht. Darunter ist insbesondere ein starker Anstieg des Phishing und des Hacking zu verzeichnen. Siehe Definitionen der Begriffe unter Punkt 2.2. Bundeskriminalamt,
  13. 13 Siehe die Studie von Copes, H., Vieraitis, L., Identity Theft: Assessing Offender´s Strategies and Perceptions of Risks. https://www.ncjrs.gov/pdffiles1/nij/grants/219122.pdf aufgerufen 18.12.2011, S. 19.
  14. 14 Siehe etwa die Definitionen in der deutschen Studie von Borges, G., Schwenk, J., Stuckenberg, C.-F., Wegener, C., Identitätsdiebstahl und Identitätsmissbrauch im Internet. Rechtliche und technische Aspekte, S. 14 ff. und S. 22 ff.
  15. 15 Definition bei Wikipedia, https://secure.wikimedia.org/wikipedia/de/wiki/Hacker, aufgerufen 18.12.2011.
  16. 16 OGH 2 Ob 107/08 m, 19.02.2009.
  17. 17 Tatsächlich ist nicht geklärt, ob Identitätsdiebstahl eher off-line oder on-line erfolgt. Siehe dazu die Studie der OECD, Scoping Paper on Online Identity Theft, http://www.oecd.org/dataoecd/49/39/40879136.pdf, aufgerufen 18.12.2011, S. 32 ff.
  18. 18 Siehe die Definition bei Wikipedia: die zwischenmenschliche Beeinflussung mit dem Ziel unberechtigt an Daten oder Dinge zu gelangen.
  19. 19 Siehe dazu den Beitrag von Groll, T. in der Zeit Online. Die Autorin schildert darin anschaulich ihre Schwierigkeiten nach dem Diebstahl ihrer Identität und auch die psychischen Folgeerscheinungen, mit denen sie zu kämpfen hat. http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung aufgerufen 18.12.2011. Verschiedene Studien beziffern den Zeitaufwand für eine einzelne Person um die Situation wieder in den Griff zu bekommen, zwischen 30 und im Extremfall bis zu 1.500 Stunden.
  20. 20 Zahlen für Österreich sind nicht vorhanden. In Großbritannien wird der jährliche Schaden mit 2,7 Milliarden Pfund beziffert, siehe http://www.identitytheft.org.uk/faqs.asp#q2 aufgerufen 18.12.2011.
  21. 21 Wesentlicher Teil des Geschäftsmodells einer Auskunftei sind daher nicht nur Auskünfte zur Kreditwürdigkeit, sondern auch zur Existenz einer Person. Angeboten werden sogenannte „Identity Checks“. Siehe unter anderem als Beispiel für einen Online-Check der Identität eines Kunden das Angebot von LexisNexis in den USA.
  22. 22 Die Definition des Begriffs „Daten“ ist gemäß § 74 Abs. 2 StGB weiter gefasst als im DSG 2000 und umfasst auch nicht personenbezogene Daten und Programme.
  23. 23 Reindl-Krauskopf, S. Wiener Kommentar zum Strafgesetzbuch, 2.Auflage, § 126c, 3.Lieferung, Manz, Wien (2008), Rz.6ff.
  24. 24 Siehe dazu Stolz, V. Online-Auktionen: Auswege aus der Betrugsfalle. In: Pichler J. (Hrsg.), eAuktionsbusiness versus Rechtssicherheit, NWV, Wien, Graz, 2007, S. 37f.
  25. 25 Siehe Reindl-Krauskopf, S., Computerstrafrecht², S. 84f.
  26. 26 OGH 2 Ob 107/08 m. Dazu kritisch: Graf, G., Internetbetrug durch Phishing – Wer trägt den Schaden? ecolex 2009, S. 577-579 und Bydlinsky, P., E-Banking und Zivilrecht: Die Rechtsfolgen des “Phishing“ und ähnlicher Missbrauchsformen. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek, Graz, S. 87-108 (2009), sowie Bergauer, C., Phishing und Geldkuriere im Strafrecht. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek, Graz, S. 109-136 (2009).
  27. 27 Siehe u.a. Fichtinger, C, Schutz der Privatsphäre, Öffentliche Sicherheit 5-6/06, S. 155-159 (2006).
  28. 28 Im Online-Banking etwa in den Allgemeinen Geschäftsbedingungen, siehe Mader, P. Neues zum Online Banking. In:Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 70 (2009).
  29. 29 Die Beschaffung eines einzelnen Lichtbildes wird von Busch nicht als missbräuchlich angesehen, da zumindest ein umfangreicher strukturierter Satz von Identitätsattributen notwendig sein wird. Im Einzelfall wird man wohl den Zusammenhang, in dem biometrische Daten verwendet werden, beachten müssen, vor allem im Hinblick auf die rapide ansteigende Verwendung von biometrischen Daten, siehe Busch, C., Biometrie und Identitätsdiebstahl. In: DuD 5/2009, S. 317.
  30. 30 Siehe zu den einzelnen Tatbestandsvoraussetzungen Jahnel, Handbuch Datenschutzrecht, Rz. 9/75 und Rz. 9/80 ff.
  31. 31 Siehe dazu den Artikel von Dörfler, M., Schadenersatz nach Hackerangriff, AnwBl 2011/11, S. 451-455 (2011).
  32. 32 Zum Konzept des Identitätsmanagements: Krasemann, H., Selbstgesteuertes Identitätsmanagement. In: DuD, 30/2006, S. 211-214.