Jusletter IT

Die Begriffe Identitätsdiebstahl und Identitätsmissbrauch sind in den letzten Monaten im Zusammenhang mit Datendiebstählen, wie z.B. dem Diebstahl von Kundendaten von Sony im Frühjahr 2011, immer wieder verwendet worden.¹ Die Wahrscheinlichkeit für eine Person Opfer dieser Kriminalitätsform zu werden, ist ungleich größer, als bei anderen Formen der Internetkriminalität.² Vor allem in den USA gibt es bereits seit mehreren Jahren Bestrebungen zur Bekämpfung dieser Betrugsform.³ Ein spezieller Tatbestand für Identitätsdiebstahl besteht allerdings nicht in der österreichischen Rechtsordnung. Daher muss der Vorgang des missbräuchlichen Erhebens und Verwendens von Identitätsdaten in Form des Identitätsdiebstahls nach den vorhandenen Tatbeständen beurteilt werden.

 

Eine einheitliche Definition des Begriffes der Identität fehlt in der österreichischen Rechtsordnung. Das Meldegesetz etwa kennt in § 1 Abs. 5a sogenannte „Identitätsdaten“. Im Sicherheitspolizeigesetz besteht gemäß § 35 SPG die Ermächtigung zur Identitätsfeststellung durch das Erfassen des Namens, des Geburtsdatums und der Wohnanschrift eines Menschen in dessen Anwesenheit, ohne vorher zu definieren, was unter Identität zu verstehen ist.

Die Schwierigkeit in der Beschreibung und Abgrenzung des Phänomens des Identitätsdiebstahls beginnt bereits bei einer klaren Definition, was die Identität einer Person ausmacht. Kennzeichnend sind Daten⁴ oder Bezeichnungen, die in einem bestimmten Kontext zur Unterscheidbarkeit von Personen benutzt werden.⁵ Darüber hinaus kann noch eine weitere Differenzierung in Form der „digitalen Identität“ vorgenommen werden, was auf eine technische Komponente hinweist.⁶ Auch hier besteht keine einheitliche Definition.⁷

Obwohl der Begriff Identitätsdiebstahl im Sprachgebrauch durchaus geläufig ist, fehlt eine einheitliche rechtliche Definition. Tatsächlich bestehen zahllose Definitionen nebeneinander.⁸ Kernelemente sind die Elemente des Sich-Verschaffens und Verwendens von persönlichen Daten (Identität) einer natürlichen oder juristischen Person durch Dritte, in der Absicht, diese missbräuchlich zu verwenden.

Bereits die Verwendung des Wortes „Diebstahl“ ist in diesem Zusammenhang irreführend. Unter Diebstahl wird gemäß § 127 Abs. 1 StGB die Wegnahme einer fremden beweglichen Sache unter Bereicherungsvorsatz verstanden. Beim Identitätsdiebstahl fehlt es sowohl an einer fremden körperlichen Sache, als auch an der Wegnahme einer Sache, da das Opfer über seine Identitätsdaten nach wie vor selbst weiter verfügen kann und oft nicht einmal merkt, dass ein Identitätsdiebstahl stattgefunden hat. Erst wenn Geld auf dem Konto fehlt, Rechnungen ins Haus kommen für Waren, die nicht bestellt wurden, oder Mahnschreiben geschickt werden, wird das Opfer darauf aufmerksam, dass die eigene Identität kompromittiert wurde.

Häufig werden auch die Begriffe „Identitätsmissbrauch“ oder „Identitätsbetrug“ eingesetzt, ohne eine klare Abgrenzung vorzunehmen.⁹

Identitätsdiebstahl gilt als eine der am schnellsten wachsenden Formen der Internetkriminalität.¹⁰ Trotz der steigenden Bedeutung fehlen für Österreich bis jetzt statistische Erhebungen oder Untersuchungen¹¹ In der Kriminalitätsstatistik des Bundeskriminalamtes für Oktober 2011 wurde bei sinkender Gesamtkriminalität ein gleichzeitiger Anstieg der Internetkriminalität festgestellt.¹² Als Maßnahme dagegen wurde ein Cybercrime-Competence Center mit rund 300 Präventionsbeamten eingerichtet.

Das hauptsächliche Ziel für einen Kriminellen, bei Begehung eines Identitätsdiebstahls ist meist die Beschaffung von Geld.¹³ Daneben besteht aber auch oft das Interesse, eine Person durch die Verwendung des fremden Namens zu diskreditieren oder sonst zu schädigen, etwa durch das Verwenden des Namens in Internetforen oder das Bestellen von Waren unter Angabe des Namens des Opfers. Dafür kann gegebenenfalls der Begriff „Identitätsmissbrauch“ treffender sein.¹⁴

Die Art und Weise wie sich Betrüger die Daten der Betroffenen verschaffen, ist vielfältig. Die bekanntesten und häufigsten Formen sind Identitätsdiebstähle im Zusammenhang mit Hacking (das Eindringen in fremde Computersysteme)¹⁵ oder Phishing (der betrügerische Angriff Dritter, bei denen Benutzern Zugangs- oder Transaktionsdaten, insbesondere PIN- und TAN- Codes herausgelockt werden).¹⁶

Zur Erlangung von Identitätsdaten einer Person ist nicht unbedingt der Einsatz von Computern erforderlich. Relevante Daten von Personen können auch durch so einfache Handlungen wie das Durchsuchen von Mülleimern, das Durchsuchen von Websites nach persönlichen Daten oder der Diebstahl von Dokumenten, Kreditkarten oder Unterlagen sein. Ein nicht zu unterschätzender Faktor ist die freiwillige Preisgabe von Daten, etwa in sozialen Netzwerken. Daneben werden Anfragen per E-Mail oder Telefon vertrauensselig beantwortet.¹⁷ Diese Vorgangsweise lässt sich allgemein unter Social Engineering zusammenfassen.¹⁸

Gestohlene oder sonst erlangte Daten werden auf zahlreiche Arten von Kriminellen eingesetzt. Unter Verwendung der fremden Identität werden Kreditkartenanträge gestellt, Finanzdienstleistungen jeglicher Art in Anspruch genommen, Waren und Dienstleistungen bestellt, Verträge abgeschlossen (z.B. für Mobiltelefone), neue Dokumente wie Pass oder Führerschein beantragt, Straftaten in fremden Namen begangen, Accounts in sozialen Netzwerken unter fremden Namen betrieben, oder medizinische Leistungen in Anspruch genommen. Die Liste ist beinahe beliebig verlängerbar.

Die Beseitigung der Folgen ist sowohl für die Opfer teuer, nervenaufreibend und zeitintensiv, als auch für etwaige Vertragspartner mit erheblichen Unannehmlichkeiten verbunden. Neben einem Vermögensschaden droht auch noch der Verlust der Reputation oder ein erheblicher Imageschaden.

Der Schaden am Vermögen, sowie der Zeitaufwand um die eigene Identität wiederzuerlangen, sind für den einzelnen Betroffenen beträchtlich.¹⁹ Je nach Situation sind Konten zu sperren, Accounts und Passwörter zu ändern, Firmen zu verständigen und Anzeigen bei der Polizei zu erstatten. Oft ist umfangreiche Korrespondenz notwendig, um die eigene Kreditwürdigkeit wiederherzustellen. Je schneller der Diebstahl der Identität entdeckt wird, umso einfacher ist es, auf die jeweilige Situation zu reagieren. Dabei hilft es, Kontoauszüge regelmäßig zu kontrollieren und bei ungewöhnlichen Rechnungen oder Anschreiben nachzuforschen. Auch ein jährliches Auskunftsbegehren bei Auskunfteien kann Aufschluss darüber geben, ob Veränderungen in der finanziellen Beurteilung vorliegen, welche ein Handeln erfordern könnten.

Für Unternehmen, denen eine falsche Identität bei einem Vertragsabschluss vorgetäuscht wurde, entsteht ein enormer wirtschaftlicher Schaden.²⁰ Wesentliche Informationen über einen Kunden im Online-Geschäft sind für ein Unternehmen daher nicht nur Angaben zur Bonität des Kunden oder zusätzliche Angaben um das Marketing zu optimieren, sondern vor allem, ob der Kunde auch tatsächlich die Person ist, die sie vorgibt zu sein.²¹

Gleichzeitig muss sich ein Unternehmen vor kriminellen Angriffen auf die eigenen Datenbestände schützen, oder einen unternehmensinternen Missbrauch von Daten verhindern. Die Investition in Datensicherheitsmaßnahmen ist daher ein Hauptfaktor in der Prävention von Datenverlusten.

Nachdem es Identitätsdiebstahl als eigenen strafrechtlichen Tatbestand im StGB nicht gibt, ist jede einzelne Handlung beim Identitätsdiebstahl gesondert zu betrachten und zu beurteilen. Dabei ist vor allem zu unterscheiden, wie der Täter in den Besitz von Identitätsdaten gekommen ist und wie er in der Folge die Daten einsetzt.²² Das Erheben von Daten Dritter muss nicht zwangsläufig strafrechtlich relevant sein, zu denken ist an öffentlich verfügbare Daten oder die freiwillige Herausgabe von Daten durch das Opfer. Da eine umfangreiche Betrachtung im Rahmen des gegenständlichen Beitrages nicht möglich ist, wird nur auf einige ausgewählte Fälle eingegangen.

Im Zusammenhang mit Computerkriminalität bestehen einige Straftatbestände, die im Einzelfall zu prüfen sind. Im konkreten Zusammenhang kommt etwa der widerrechtliche Zugriff auf ein Computersystem gemäß § 118a StGB in Betracht, wobei zu beachten ist, dass der Schutz nur gesicherten Systemen zukommt und Tatbestandselement u.a. die Überwindung spezifischer Sicherheitsvorkehrungen im Computer ist. Als Vorbereitungsdelikt kommt der Missbrauch von Computerprogrammen oder Zugangsdaten gemäß § 126c StGB in Frage, welcher primär Programme oder ähnliche Vorrichtungen erfasst, die zum Zweck der Deliktsbegehung hergestellt wurden.²³ Weitere Vorfeldtat wäre z.B. auch Datenfälschung gemäß § 225a StGB, wobei der Täter durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten herstellt oder echte Daten verfälscht, sofern er mit dem Vorsatz handelt, dass seine Fälschung im Rechtsverkehr zum Zweck des Beweises eines Rechts, Rechtsverhältnisses oder einer Tatsache gebraucht wird.

Daneben bestehen die bekannten Eigentumsdelikte wie Diebstahl, Raub, Erpressung u.a., um an Daten zu kommen, vor allem im Zusammenhang mit verkörperten Informationsträgern, wie Kreditkarten oder Ausweisen.

Eine der bekanntesten Arten sich Daten zu verschaffen ist Phishing (Definition unter Punkt 2.2). Erscheinungsformen sind z.B. das Herauslocken von Daten durch E-Mail, Pharming (gefälschte Websites, die der des Bankinstitutes nachgebildet sind) oder Trojaner (Computerprogramme, die in fremde Computersysteme eingeschleust werden, um dort Daten zu erlangen). Betroffen ist vor allem der Bereich des Online-Banking, aber auch von Handelsplattformen wie etwa eBay.²⁴ Die unbefugt durchgeführten Vermögenstransaktionen durch Verwendung der gestohlenen Daten sind gemäß § 148a StGB für gewöhnlich als betrügerischer Datenverarbeitungsmissbrauch zu qualifizieren.²⁵

Bei Begehung einer Tat im Internet befinden sich die Täter häufig im Ausland, eine Strafverfolgung ist in diesem Fall nur mit technisch aufwendiger Ermittlungsarbeit und Kooperation der Behörden über die Staatsgrenzen hinweg zielführend. Oft ist es auch schwierig nachzuvollziehen, wie der Identitätsdiebstahl durchgeführt wurde.

Ist ein Schaden entstanden, wird es sich meist um einen Vermögensschaden handeln. Spezielle Schadenersatzregeln bestehen nicht, es gelten die allgemeinen Schadenersatzvoraussetzungen. Wird beim oben erwähnten Phishing nach Erlangen der Daten in der Folge mit den gestohlenen Daten eine Überweisung getätigt, die nicht vom Kontoinhaber stammt, ist zu fragen, ob ein gültiger Überweisungsauftrag erteilt wurde und ob gegebenenfalls eine Anscheinsvollmacht anzunehmen ist. Der OGH hat zu dieser Frage im Februar 2009 erstmals eine Entscheidung getroffen, die in Phishing-Fällen die Zurechnung von Willenserklärungen des unberechtigt Handelnden nach den Grundsätzen der Anscheinsvollmacht ablehnt.²⁶

Daneben können noch andere Rechte betroffen sein, wie etwa das Namensrecht, Urheberrecht oder das Recht auf Privatsphäre.²⁷

Bei Eintritt eines Schadens stellt sich oft die Frage, wer den Schaden endgültig zu tragen hat. Im Zusammenhang damit sind Fragen der Risikotragung zu beantworten. Dabei ist auf das jeweilige Rechtsverhältnis abzustellen. Kunden werden regelmäßig zur ordnungsgemäßen Verwendung und Geheimhaltung der Identifizierungsmerkmale bei Transaktionen vertraglich verpflichtet.²⁸

Weiteres Problem ist die Beweisführung aufgrund der schwierigen Nachvollziehbarkeit des Ablaufs des Identitätsdiebstahls.

Die Verwendung von gestohlenen Daten einer Person (wie Name, Kreditkartennummer, Geburtsdatum, etc.)²⁹ durch den Täter wird regelmäßig personenbezogene Daten gemäß § 4 Z 1 DSG 2000 erfassen und fällt damit in die Anwendbarkeit des Datenschutzgesetzes. Das Erheben und jede andere Art der Handhabung von Daten wird bei einem Identitätsdiebstahl ohne rechtliche Befugnis erfolgen und ist daher datenschutzrechtlich unzulässig. Strafbestimmungen werden in § 51 DSG 2000, der Datenverwendung in Gewinn- und Schädigungsabsicht, sowie der Verwaltungsstrafbestimmung in § 52 DSG 2000 normiert.³⁰ Zusätzlich besteht ein Anspruch auf Schadenersatz gemäß § 33 DSG 2000.³¹

Durch die Verpflichtung für den datenschutzrechtlichen Auftraggeber einer Datenanwendung hat dieser Maßnahmen zur Gewährleistung der Datensicherheit gemäß § 14 DSG 2000 zu treffen, und damit sind Daten auch vor unbefugten Zugriff zu schützen. Für ein Unternehmen, welches Ziel eines Angriffs auf seinen Datenbestand wird, hat dies unter Umständen auch noch weiterreichende Folgen in Form der Verpflichtung zur unverzüglichen Benachrichtigung der betroffenen Personen bei einer Verletzung des Schutzes der personenbezogenen Daten (Data Breach Notification) gemäß § 24 Abs. 2a DSG 2000 oder § 95a TKG 2003.

Bislang fehlen neben einer einheitlichen rechtlichen Definition des Begriffs „Identitätsdiebstahl“ v.a. eine umfassende Erfassung und Beurteilung dieser Kriminalitätsform in Österreich, sowie verlässliche Zahlen über die wirtschaftlichen Folgen.

Zur rechtlichen Einordnung ist es notwendig, die einzelnen Handlungen bei der missbräuchlichen Erhebung und Verwendung von Identitätsdaten jeweils im Einzelfall einer rechtlichen Prüfung zu unterziehen, um straf- und zivilrechtliche Konsequenzen, sowie datenschutzrechtliche Verpflichtungen beurteilen zu können. Das Ansteigen der missbräuchlichen Verwendung personenbezogener Daten in der Form des Phänomens „Identitätsdiebstahl“ erfordert sowohl von einzelnen Personen, als auch von Unternehmen erhöhte Aufmerksamkeit und Vorsicht im Umgang mit Daten.

Der Datensicherheit und Datenverwendung ist ausreichende Beachtung zu schenken und ergriffene Sicherheitsmaßnahmen sind strikt einzuhalten. Jedenfalls sollten persönliche Daten stets nur sparsam und bewusst verwendet und preisgegeben werden.³²

Bundeskriminalamt, Bundesministerium für Inneres, Kriminalstatistik Oktober 2011, http://www.bmi.gv.at/cms/BK/publikationen/krim_statistik/files/2011/KrimStat_Okt_2011.pdf, aufgerufen 18.12.2011 (2011).

Bergauer, Christian, Phishing und Geldkuriere im Strafrecht. In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 109-136 (2009).

Busch, Christoph, Biometrie und Identitätsdiebstahl, In: DuD 5/2009, S. 317.

Borges, Georg, Schwenk, Jörg, Stuckenberg, Carl-Friedrich, Wegener, Christoph, Identitätsdiebstahl und Identitätsmissbrauch im Internet. Rechtliche und technische Aspekte, Springer, Berlin (2011).

BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., Web Identitäten. Begriffsbestimmungen und Einführung in das Thema, BITKOM Berlin, http://www.bitkom.org/files/documents/Bitkom_Leitfaden_WebID_final_31.10.2005.pdf, aufgerufen 18.12.2011 (2005).

Bydlinsky, Peter, E-Banking und Zivilrecht: Die Rechtsfolgen des “Phishing“ und ähnlicher Missbrauchsformen. In: Bergauer, C., Staudegger, E. (Hrsg.), Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 87-108 (2009).

Copes, Heath, Vieraitis, Lynne, Identity Theft: Assessing Offender´s Strategies and Perceptions of Risks. https://www.ncjrs.gov/pdffiles1/nij/grants/219122.pdf, aufgerufen 18.12.2011 (2007).

De Vries, Bald, Tigchelaar, Jet, Van der Linden, Tina, Describing Identity Fraud: Towards a Common Definition, http://ssm.com/Abstract=1578211, aufgerufen 18.12.2011 (2008).

Dohr, Walter, Pollirer Hans J., Weiss, Ernst, Knyrim, Rainer (Hrsg.), DSG, 2.Auflage, Manz, Wien (2010).

Dörfler, Markus, Schadenersatz nach Hackerangriff, In: AnwBl 2011/11, S. 451-455 (2011).

Federal Trade Commission, 2006 Identity Theft Survey Report. http://www.ftc.gov/os/2007/11/SynovateFinalReportIDTheft2006.pdf aufgerufen 18.12.2011 (2007).

Federal Trade Commission, Consumer Sentinel Network Data Book for January – December 2010, http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2010.pdf aufgerufen 18.12.2011 (2011).

Fichtinger, Christina, Schutz der Privatsphäre. In: Öffentliche Sicherheit 5-6/06, S. 155-159 (2006).

Graf, Georg, Internetbetrug durch Phishing – Wer trägt den Schaden? In: ecolex 2009, S. 577-579 (2009).

Groll, Tina, Meine Identität gehört mir! In: Zeit Online, http://www.zeit.de/digital/datenschutz/2010-01/identitaetsdiebstahl-selbsterfahrung aufgerufen 18.12.2011 (2010).

Internet Ombudsmann, Jahresbericht 2010. http://www.ombudsmann.at/media/file/28.Jahresbericht_2010.pdf aufgerufen 18.12.2011 (2011).

Jahnel, Dietmar, Handbuch Datenschutzrecht. Jan Sramek Verlag, Graz (2010).

Krasemann, Heinrich, Selbstgesteuertes Identitätsmanagement. In: DuD 30/2006, S. 211-214 (2006).

Kubicek, Herbert, Akzeptanzprobleme sicherer elektronischer Identitäten. In: DuD 1/2011, S. 43-47 (2011).

Mader, Peter, Neues zum Online-Banking, In: Bergauer, C., Staudegger, E. (Hrsg.) Recht und IT. Zehn Studien, Jan Sramek Verlag, Graz, S. 67-86 (2009).

Meyer, Julia, Identität und virtuelle Identität natürlicher Personen im Internet. Schutz durch besondere Persönlichkeitsrechte und das Allgemeine Persönlichkeitsrecht, Nomos, Baden-Baden (2011).

OECD, Organization on Economic Co-operation and Development, Scoping paper on online Identity theft, http://www.oecd.org/dataoecd/49/39/40879136.pdf aufgerufen 18.12.2011 (2008).

Reindl-Krauskopf, Susanne,. Wiener Kommentar zum Strafgesetzbuch², § 126c, 3.Lieferung, Manz, Wien (2008).

Reindl-Krauskopf, Susanne, Computerstrafrecht im Überblick, 2.Auflage, facultas, Wien (2009).

Riedl, Reinhard, Digitale Identität und Datenschutzanforderungen an IT-Lösungen im E-Government. In: Schweighofer E., Menzel, T., Kreuzbauer, G., Liebwald, D. (Hrsg.) Zwischen Rechtstheorie und e-Government. Aktuelle Fragen der Rechtsinformatik, Verlag Österreich, Wien (2003).

Rost, Martin, Meints, Martin., Authentisierung in Sozialsystemen- Identitytheft strukturell betrachtet. In: DuD 29 (2005) 4, S. 216-218 (2005).

Stolz, Verena, Online-Auktionen: Auswege aus der Betrugsfalle. In: Pichler J. (Hrsg.), eAuktionsbusiness versus Rechtssicherheit, NWV,Wien, Graz, S. 33-60 (2007).

Strauss, Stefan, Datenschutzimplikationen staatlicher Identitätsmanagement-Systeme. Fallbeispiel Österreich. In: DuD 2/2010, S. 99-103 (2010).

U.S. Department of Justice, The Department of Justice´s Efforts to Combat Identity Theft, Audit Report 10-21. http://www.justice.gov/oig/reports/plus/a1021.pdf aufgerufen 18.12.2011 (2010).