Nach dem Hacker-Angriff können Kosten für die Änderung der Bankdaten eingefordert werden. Auch Ersatz für ein leergeräumtes Konto ist denkbar. Zudem drohen der GIS verwaltungsrechtliche Strafen.
Wien. Sony, die italienische Internetpolizei, die Nato und sogar das Pentagon – sie alle wurden in den letzten Wochen und Monaten Opfer von Hacker-Angriffen. Nachdem nun auch Österreich von derartigen Hacker-Angriffen heimgesucht wurde und davon politische Parteien sowie das Gebühreninfo service (GIS) des ORF betroffen waren, ist es an der Zeit, sich auch hierzulande Gedanken zur Datensicherheit zu machen und diese nicht mehr länger auf die leichte Schulter zu nehmen.
Dass die betroffenen Organisationen und Unternehmen alle rechtlichen Möglichkeiten ausschöpfen werden, um gegen diese Hacker vorzugehen, ist klar. Doch was ist mit dem Einzelnen, der hinter dem Datensatz steht? Hat er einen Anspruch auf Auskunft über die Entwendung seiner Daten? Haftet derjenige, der die Daten verarbeitet, für Schäden? Wenn ja, unter welchen Voraussetzungen? Diese Fragen nach den Rechten des Einzelnen stellen sich spätestens seit dem Diebstahl von 214.000 Datensätzen der GIS (davon 96.000 mit Kontodaten der Kunden).
Pflicht, die Daten zu schützen
In Österreich dürfen – vereinfacht dargestellt – personenbezogene Daten nur gemäß den Bestimmungen des Datenschutzgesetzes (DSG) verarbeitet werden. Dieses sieht auch vor, dass derjenige, der die Daten verarbeitet (Auftraggeber), zumindest angemessene Datensicherheitsmaßnahmen ergreifen muss um die Daten, etwa vor unbefugtem Zugriff, zu schützen (§ 14 DSG). Für Schäden, die aus der Verletzung dieser Vorschriften entstehen, haftet der Auftraggeber.Beim Hacker-Angriff gegen die GIS konnten Kundendaten entwendet werden, die (offenbar) unverschlüsselt in Datenbanken gespeichert wurden, die über das Internet zugänglich und nicht ausreichend gesichert waren. Das Verschlüsseln von Daten in einer Datenbank stellt in modernen IT-Systemen nicht nur einen minimalen Mehraufwand dar (eine rudimentäre Funktionalität zur Verschlüsselung ist in den meisten Datenbanksystemen bereits enthalten), sondern ist – gerade in Bezug auf Kontodaten von Kunden – wohl als Stand der Technik anzusehen.
Auskunftsanspruch einmal pro Jahr
Soweit erkennbar, wurde bei den erfolgreich durchgeführten Hacker-Angriffen der letzten Wochen immer dieselbe Sicherheitslücke ausgenützt. Im Hinblick auf die Datensicherheit hätten damit sämtliche Datenbankbetreiber ihre Systeme hinsichtlich dieser Sicherheitslücke prüfen müssen. Da die Schließung der bekannten Lücken bei der GIS offenbar nicht stattgefunden hat und die Daten in der Datenbank nicht verschlüsselt waren, besteht die Möglichkeit, dass die GIS ihrer Pflicht zur Ergreifung von Datensicherheitsmaßnahmen nicht hinreichend nachgekommen ist.
Der einzelne Kunde, dessen Daten entwendet wurden, kann rechtliche Schritte setzen. Einer der wichtigsten Ansprüche, die das DSG demjenigen, dessen Daten verarbeitet werden (Betroffenen), bietet, ist der Auskunftsanspruch. Durch dieses Begehren, dass der Betroffene einmal jährlich auch kostenlos beim Auftraggeber stellen kann, erfährt der Betroffene binnen acht Wochen nicht nur, welche Daten über ihn verarbeitet werden, sondern auch woher diese stammen und wer diese Daten erhalten hat. Damit muss meines Erachtens der Auftraggeber auch bekannt geben, ob Daten des Betroffenen entwendet wurden (vgl. § 26 DSG). Sobald der Betroffene Kenntnis von einer Entwendung erlangt, sollte er Bank- bzw. Kreditkarteninstitute darüber informieren. Wurden im Zuge der Entwendung auch Passwörter kompromittiert, sollten diese – insbesondere bei Mehrfachverwendungen derselben – überall geändert werden.
Beweislast als Problem für die Betroffenen
Sofern durch die Entwendung ein Schaden eintritt, können sich Betroffene am Auftraggeber auch mit gerichtlicher Hilfe schadlos halten, wenn dieser die Vorschriften – wie etwa die Pflicht zur Ergreifung von Datensicherheitsmaßnahmen – schuldhaft außer Acht gelassen hat. Konkrete Schäden, etwa die Kosten für die Änderung der Bank- bzw. Kreditkartendaten, können eingefordert werden. Dies gilt auch, wenn es für eine Datenänderung schon zu spät und das Konto bereits „leer“ ist. Als größtes Problem für den Betroffenen bleibt bei einem etwaigen Gerichtsverfahren jedoch die Beweisbarkeit. Zwar müsste im aktuellen Fall die GIS beweisen, dass sie nicht schuldhaft im Hinblick auf die Datensicherheit gehandelt hat (§ 33 DSG), der Betroffene muss jedoch beweisen, dass das Konto mithilfe jener Daten „leer geräumt“ wurde, die bei der GIS entwendet wurden.
Fraglich ist, ob die Möglichkeit derartiger Schadenersatzansprüche reichen wird, damit Auftraggeber ihre Datensicherheitsmaßnahmen verbessern. Viel größer ist die Wahrscheinlichkeit, dass die Auftraggeber durch die Verwaltungsbehörden zur Einhaltung höherer Sicherheitsstandards animiert werden. Diese können nämlich Vewaltungsstrafen bis zu 10.000 Euro für mangelhafte und fehlende Datensicherheitsmaßnahmen verhängen.
Mag. Markus Dörfler ist Rechtsanwaltsanwärter bei Held Berdnik Astner & Partner Rechtsanwälte in Wien.
Auf einen Blick
Die Hackergruppe Anonymous hinterließ auf der Homepage der GIS ihre Spuren (siehe Bild) und entwendete 214.000 Datensätze, darunter 96.000 mit Kontodaten. Betroffene könnten die GIS belangen, wenn ihnen durch diesen Datendiebstahl ein Schaden entstand. Die GIS muss beweisen, dass sie die Datensicherheit nicht vernachlässigt hat. Überdies drohen ihr Verwaltungsstrafen. [Screenshot: „Die Presse“]
("Die Presse", Print-Ausgabe, 01.08.2011)
