Hacker haben die Daten von hunderttausenden Österreichern gestohlen. Die Betroffenen haben kaum Möglichkeiten, gegen die GIS rechtlich vorzugehen.
214.000 Österreicher bekommen derzeit unerfreuliche Post von der Gebühren Info Service GmbH (GIS). Sie gehören zu jenen ORF-Kunden, deren persönliche Daten die Hackergruppe "Anonymous" im Juli gestohlen hat. Von rund 96.000 wurden auch die Kontonummern ergattert. Möglichkeiten für rechtliche Schritte gegen die GIS bestehen laut Hans Zeger von der ARGE Daten kaum - Sie haftet nur für Schäden und diese muss man beweisen können, so der Experte, aber: "Die GIS hat jetzt hier schon schlaflose Nächte"
"Als Betroffener habe ich relativ wenig Möglichkeiten", erklärte Zeger. Als Schaden gilt zum Beispiel, wenn von Kriminellen Geld abgebucht wird, wobei man gleichzeitig eine Minderungspflicht hat. Wenn Geld vom Konto verschwindet, darf man nicht einfach abwarten, sondern sollte handeln. "Ich muss versuchen, die Auswirkungen zu beschränken. So gesehen ist der Brief ein guter Schutz für die GIS", meinte Zeger. Dort steht: "Dennoch bitten wir Sie, in den nächsten Wochen besondere Aufmerksamkeit walten zu lassen."
Die eigene Bank informieren
"Ich habe einen Schadenersatzanspruch und ein Schaden ist es auch, wenn ich das Konto wechseln muss oder andere zusätzliche Auslagen habe", so Zeger. Zeitaufwand wird nicht zurückerstattet. Generell rät er Betroffenen, sofort ihr Geldinstitut zu informieren. Sonst könnte es bei illegalen Abbuchen im Sinne der Minderungspflicht noch zu massiven Diskussionen kommen. "Auf der sicheren Seite ist man, wenn man es der Bank sofort sagt."
Der weitere Weg ist dann etwas komplex: Das Geldinstitut kann zu einem Kontowechsel auffordern, deren Kosten die GIS tragen müsste. Dies muss man dieser im Vorfeld ankündigen und sie zur Zahlung auffordern. Will die GIS nicht für die Gebühr aufkommen und lehnt den Kontowechsel ab, trägt sie für etwaige Schadensfälle die Kosten - ganz nach dem Motto "wir akzeptieren, dass ein Schaden entstehen kann, und übernehmen diesen dann". Wobei es ausreicht, der GIS einen kurzfristigen Entscheidungszeitraum von einem Tag zu gewähren.
Gefahr Einziehungsauftrag
Abseits davon müssen die Betroffenen abwarten - und werden vermutlich etwas zittern: "Ich kann mit der Kontonummer sehr viel Unfug machen - auch ohne online Banking-Zugang bzw. gestohlenem Passwort", warnt Zeger. So zum Beispiel Einziehungsaufträge, deren Höhe nicht begrenzt ist. Diese werden von der Bank ungeprüft durchgeführt. Der Kontobesitzer muss sie binnen einer bestimmten Frist beanstanden, dann kann das Geld zurückgeholt werden. Kriminelle holen sich laut Zeger in der Regel kleiner Geldbeträge, die nicht auffallen und versehen sie als Spende für einen sozial gut klingenden Verein oder - bei Männern - als Bezahlung für pornografische Dienste. Bei mehr als 90.000 Kontonummern könnte so eine stolze Summe zusammen kommen.
"Je mehr Information ich über jemanden habe, desto leichter kann ich in seine Identität schlüpfen", so Hans Zeger von der ARGE Daten. Name, Adresse und Geburtsdatum reichen durchaus, um im Internet einzukaufen und sich bei entsprechenden Anbietern von eBbay bis Amazon zu registrieren. Musik, Downloads und Software können so bestellt werden und - wenn nach der Anmeldung mit den gestohlenen Daten ein Umzug fingiert wird - auch Handys und andere Geräte.
Abbuchungs-Betrug schwer nachzuweisen
Die Beträge für diese Bestellungen werden mittels Abbuchungen bezahlt, die schwer zurückgeholt werden können - zumal bis zum Auffliegen eine gewisse Zeit vergeht. "Da kann es unter Umständen sehr schwierig für den Betroffenen sein, zu beweisen, dass er nicht selbst bestellt hat, sondern ein Betrüger", meinte Zeger. Für beide Fälle - Einziehungsauftag und Abbuchung - muss die GIS bei Beweisbarkeit Schadenersatz leisten.
Abseits davon kann sie verwaltungsrechtlich belangt werden: "Ich kann eine Anzeige wegen gröblicher Verletzung der Sicherheitsmaßnahmen beim magistratischen Bezirksamt in der Wiener Innenstadt machen, die für den Firmensitz der GIS zuständig ist", erklärte Zeger. Dies ist zwar keine Möglichkeit, an Schadenersatz zu kommen, könnte der GIS aber anhand des Datenschutzgesetz (DSG) theoretisch eine Strafe von bis zu 10.000 Euro - und zwar pro Fall - einbringen. Dies ist laut Zeger aber nicht wahrscheinlich, vor allem wegen der Formulierung "gröblich". Darunter würde man laut Zeger eher verstehen, dass die GIS auf ihrer Internetseite eine Liste mit allen Wiener-Kunden auf Suchanfrage frei abrufbar veröffentlicht.
Schadenersatzrecht greift nicht
Das im DSG vorgesehene immaterielle Schadenersatzrecht, das auf eine kreditschädigende Veröffentlichung - also eine Bloßstellung - abzielt, greife nicht, da an den Daten wie Name, Adresse und Kontonummer nichts anstößig ist. Was Betroffene angesichts dieser Situation machen können, ist laut Zeger nur eines: Das Konto beobachten und "gelassen aufmerksam sein". Nach merkwürdigen Spuren der eigenen Identität muss man das Internet nicht durchforsten: "Das kann man nicht verlangen, das würde die Lebensqualität massiv beeinflussen."
Ähnlich sieht es der Verein für Konsumenteninformation (VKI): Ansprüche auf Schadenersatz seien derzeit "mehr Theorie als Praxis", erklärte Maria Ecker von der Rechtsabteilung. Rechtliche Schritte unternehme der VKI derzeit nicht, es gebe auch nur sehr wenige Beschwerden. Man werde die Situation jedenfalls beobachten.
Die GIS gab sich am Mittwoch abwartend: "Es gibt bis jetzt keine Schadenersatzforderungen. Sollte so etwas kommen, müsste man es natürlich rechtlich prüfen", sagte GIS-Sprecher Herbert Denk. Ähnlich sieht es bei Ersatzkosten beim Kontowechsel aus: "Das müssen wir uns dann wirklich im Einzelfall ansehen."
(APA)
