Identitätsmissbrauch Aktuelle Fragen des IT-Rechts und des Datenschutzes Vortrag anlässlich der 3. Cottbusser Medienrechtsage an der BTU Cottbus Rechtsanwalt Ulrich Schulte am Hülse ilex Rechtsanwälte & Steuerberater www.ilex-recht.de
Begriff der Identität und des Identitätsmissbrauchs Die Identität einer Person ist die Menge an Daten, durch die eine Person eindeutig bezeichnet und von anderen unterschieden werden kann. Identitätsmissbrauch ist das unbefugte Agieren unter einer Identität. 2
IuK-Kriminalität 3
Abgreifen von Kontozugangsdaten im Online-Banking (Phishing): Fallzahlen 2006-2009 4
Wie funktionierte Phishing früher: Spam-Mails 25.06.2010 5
Die neuste Generation: HBCI-Banking Die Fällen des Abgreifens von Kontozugangsdaten im HBCI-Banking sind zwar selten, aber keineswegs unmöglich. Die Täter setzen dazu hier an. Zweimal sind HBCI-Systeme in der Vergangenheit geknackt worden. Im September 2001 ist es Hackern im Auftrag der ARD-Sendung Ratgeber Technik gelungen, den HBCI-Server der damaligen Münchner Hypo-Vereinsbank mit Trojanern so zu manipulieren, dass Überweisungsaufträge mit allen notwendigen Konteninformationen abgefangen und entschlüsselt werden konnten. Im Mai 2005 gelang Hackern im Auftrag der HR-Sendung Trends ein ähnlicher Coup. (Quelle: P. Welchering, FAZ Nr. 196 v. 25.08.2009, Motor und Technik, S. T1) 6
Phishing heute: Mit Hilfe von Trojanern oder durch Scannen der Internet-Knotenrechner Das bewusste Reagieren auf eine Spam-Mail durch den Bankkunden ist für das Erfolgreiche Abgreifen der Bankzugangsdaten heute grundsätzlich nicht mehr erforderlich. Die Täter arbeiten seit geraumer Zeit mit Trojaner oder scannen Internet- Knotenrechner.
Identitätsmissbrauch außerhalb des Online-Banking Nicht autorisierte Bestellungen im Versandhandel nach Änderung der Lieferanschrift (z.b. Versand an DHL-Paketstation oder zwischengeschaltete Person), Soziale Manipulation: Ausnutzen von hinterlegten Daten in sozialen Netzwerken wie Xing oder Facebook. Abgreifen von Daten aus Datenbanken und anschließendes verwerten der Daten (z.b. Urlaubsabwesenheit von Hausbesitzern zum Zwecke des Einbruches durch Angriff auf Datenbanken von Reisebüros), 8
Risikoverteilung und Haftung Phisher Bankkunde Geldbote Überweiserbank Empfängerbank 9
Risikoverteilung und Haftung Regeln zu Risikotragung und Haftung Haftungsregeln ( 823 Abs. 1 BGB, Schutzgesetze) Sektorenspezifische Normen ( 675 ff. BGB, Überweisung) AGB (Online-Banking, Handelsplattformen, soziale Netzwerke) Risikoverteilung bei Identitätsmissbrauch Grundsatz: Risiko trägt der Getäuschte Problem: Risikozuordnung bei komplexen Rechtsbeziehungen und multiplen Täuschungen 10
Haftung im Bereich Online-Banking Neue Gesetzeslage seit dem 31.10.2009 im Rahmen der Umsetzung der Sepa-Richtlinie in den 675c ff. BGB n.f. Grundsatz: Es haftet die Überweiserbank, wenn der Bankkunde die Bank umgehend über die nichtautorisierte Zahlung informiert, 675u BGB. Davon gibt es jedoch eine Ausnahme: gemäß 675v Abs. 2 BGB haftet der Bankkunde, wenn er in betrügerischer Absicht gehandelt hat oder man ihm wenigstens den Vorwurf einer groben Fahrlässigkeit machen kann. 11
Pflichten der Nutzer Sicherung der IT-Infrastruktur (Virenschutz, Firewall) Sorgfältiger Umgang mit Authentisierungsmedien (Grundlage: Spezialgesetze: 675 l BGB, 27 PAuswG) Problem: Lücken, Rechtsunsicherheit 12
Pflichten der Anbieter Aufklärung der Nutzer Grundlage: Vertrag Einsatz sicherer Systeme; Prüfpflichten Grundlage: 823 Abs. 1, 1004 BGB, spez. Haftungsnormen Vertrag Datenschutzrecht (insb. 9 BDSG) Probleme: Rechtsunsicherheit De facto Richterrecht 13
Beweisfragen Prima-facie-Beweis (Anscheinsbeweis) Voraussetzung: typischer Geschehensablauf nach Lebenserfahrung. Hier: Anscheinsbeweis für die Urheberschaft von Handlungen. wird in der Rechtsliteratur und auch von Gerichten zunehmend abgelehnt. 14