Identitätsmissbrauch im Internet Haftung und Beweis T o k i o, 1 2. N o v e m b e r 2 0 1 6
Prof. Dr. Georg Borges Inhaber des Lehrstuhls für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht, sowie Rechtstheorie, Universität des Saarlandes Geschäftsführender Direktor, Institut für Rechtsinformatik, Universität des Saarlandes Richter am Oberlandesgericht Hamm (2012-2015) Sprecher des Vorstands, Arbeitsgruppe Identitätsschutz im Internet (a-i3) Mitglied des Vorstands, EDV-Gerichtstag e.v. Mitglied des Verwaltungsrats, Stiftung Datenschutz Mitglied des Center for IT-Security, Privacy and Accountability (CISPA) Mitglied des Hörst-Görtz-Instituts für IT-Sicherheit (HGI) 2
Gliederung I. Einführung II. Erscheinungsformen des Identitätsmissbrauchs im Internet III. Risikotragung und Haftung für Identitätsmissbrauch IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet V. Fazit 3
I. Einführung 4
I. Einführung 5
Gliederung I. Einführung II. Erscheinungsformen des Identitätsmissbrauchs im Internet III. Risikotragung und Haftung für Identitätsmissbrauch IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet V. Fazit 6
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking Girokonten in Deutschland (in 1.000) 120.000 100.000 80.000 60.000 40.000 20.000 0 60 55 50 45 40 35 30 Filiale Online Anteil in % Eigene Darstellung nach Zahlen der Deutschen Bundesbank Deutsche Bundesbank, Zahlungsverkehrs- und Wertpapierabwicklungsstatistiken in Deutschland 2014-2015, Tabelle 4, 09/2014 Deutsche Bundesbank, Zahlungsverkehrs- und Wertpapierabwicklungsstatistiken in Deutschland 2011-2015, Tabelle 4, 09/2016 7
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 8
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 9
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 10
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 11
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 12
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 13
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking 14
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 1. Identitätsmissbrauch im Online-Banking McZusatz CC-BY-SA-3.0 (entnommen Wikipedia) www.arbeitstipps.de / pixelio.de 15
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 2. Identitätsmissbrauch an Handelsplattformen Benutzername Passwort Bild Geldscheine: Tim Reckmann / pixelio.de Bild Packstation: KMJ CC-BY-SA-3.0 (entnommen Wikipedia) Bild Paket: Stephanie Hofschlaeger / pixelio.de 16
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 2. Identitätsmissbrauch an Handelsplattformen??? Benutzername Passwort Bild Beamer: Dieter Schütz / pixelio.de 17
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 3. Identitätsmissbrauch in der Industrie 4.0 18
II. Erscheinungsformen des Identitätsmissbrauchs im Internet 4. Rechtsfragen des Identitätsmissbrauchs im Internet 19
Gliederung I. Einführung II. Erscheinungsformen des Identitätsmissbrauchs im Internet III. Risikotragung und Haftung für Identitätsmissbrauch IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet V. Fazit 20
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Die Gesetzliche Grundlage 21
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Die Gesetzliche Grundlage 22
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Die Gesetzliche Grundlage 23
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Risikotragung für Identitätsmissbrauch 675j Abs. 1 BGB Zustimmung und Widerruf der Zustimmung Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Die Zustimmung kann entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. Art und Weise der Zustimmung sind zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsauthentifizierungsinstruments erteilt werden kann. 24
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Pflichten und Haftung des Bankkunden Die Haftungsregelung des 675v BGB 3-stufige Haftung des Bankkunden für unautorisierte Zahlungen 1. Haftung ohne Verschulden bis 150 bei Verlust eines körperlichen ZAI 2. Haftung bei unsorgfältigem Gebrauch von PIN / TAN bis 150 3. Unbeschränkte Haftung bei Vorsatz / grober Fahrlässigkeit 25
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Pflichten und Haftung des Bankkunden Pflichten des Bankkunden Geheimhaltung von PIN und TAN, 675l BGB 26
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Pflichten und Haftung des Bankkunden Pflichten des Bankkunden Geheimhaltung von PIN und TAN, 675l BGB 27
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Pflichten und Haftung des Bankkunden Grobe Fahrlässigkeit Georg Borges 145984 169847 681654 565563 458643 115647 748642 456522 458642 778997 123654789 KD-112233 borgesg 28
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Pflichten der Bank 29
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Pflichten der Bank 30
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Online-Banking Die Zweite Zahlungsdiensterichtlinie und Sicherheit im Online-Banking www.arbeitstipps.de / pixelio.de 31
III. Risikotragung und Haftung für Identitätsmissbrauch 1. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Risikotragung??? Bild Geldscheine: Tim Reckmann / pixelio.de Bild Beamer: Dieter Schütz / pixelio.de BGH, Urt. V. 11.5.2011, VIII ZR 289/98 = BGHZ 189, 346 32
III. Risikotragung und Haftung für Identitätsmissbrauch 2. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Pflichten und Haftung des Kontoinhabers Pflicht zur Geheimhaltung des Passworts BGH: keine Drittwirkung der Geheimhaltungspflicht des Kontoinhabers 33
III. Risikotragung und Haftung für Identitätsmissbrauch 2. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Pflichten und Haftung des Plattformbetreibers Gesetzliche Grundlagen 823 Abs. 1 BGB Schadensersatzpflicht Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet. 34
III. Risikotragung und Haftung für Identitätsmissbrauch 2. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Pflichten und Haftung des Plattformbetreibers Gesetzliche Grundlagen 823 Abs. 2 BGB Schadensersatzpflicht Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt dieersatzpflicht nurim Falle des Verschuldens ein. 35
III. Risikotragung und Haftung für Identitätsmissbrauch 2. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Pflichten und Haftung des Plattformbetreibers Gesetzliche Grundlagen 9 BDSG Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 36
III. Risikotragung und Haftung für Identitätsmissbrauch 2. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Pflichten zur Vermeidung von Identitätsmissbrauch Entfernung betrügerischer Angebote Gewährleistung hinreichend sicherer Datenverarbeitungssysteme 37
III. Risikotragung und Haftung für Identitätsmissbrauch 2. Risikotragung und Haftung für Identitätsmissbrauch im Online-Handel Pflicht zum Einsatz verbesserter Authentisierungsverfahren Unklarheit der Rechtslage Keine Pflicht zur Einführung sicherer Authentisierungsverfahren 38
Gliederung I. Einführung II. Erscheinungsformen des Identitätsmissbrauchs im Internet III. Risikotragung und Haftung für Identitätsmissbrauch IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet V. Fazit 39
IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet 1. Beweisfragen Autorisierung eines Überweisungsauftrags Urheberschaft einer Bestellung im Online-Handel Urheberschaft eines Angebots an Handelsplattform 40
IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet 1. Allgemeine Grundsätze des Anscheinsbeweises Andreas Hermsdorf / pixelio.de 41
IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet 3. Anscheinsbeweis beim Identitätsmissbrauch in Online-Banking Das Urteil des BGH vom 26.1.2016 42
IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet 3. Anscheinsbeweis beim Identitätsmissbrauch in Online-Banking Die Anforderungen an den Anscheinsbeweis im Online-Banking BGH, 26.1.2016 praktische Unüberwindbarkeit des Authentisierungsverfahrens 43
IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet 4. Anscheinsbeweis im Online-Handel Kein Anscheinsbeweis bei einfachem Passwortschutz 44
Gliederung I. Einführung II. Erscheinungsformen des Identitätsmissbrauchs im Internet III. Risikotragung und Haftung für Identitätsmissbrauch IV. Beweisrechtliche Aspekte beim Identitätsmissbrauch im Internet V. Fazit 45
V. Fazit Unterschiedliche Regelungsintensität in Online-Banking und Online-Handel Ähnliche Ergebnisse in zentralen Grundlagen Risiko des Missbrauchs trägt der Getäuschte Pflichten aller Beteiligten zur Verhinderung von Identitätsmissbrauch Wichtige Unterschiede Differenzierte Haftungsregelung durch Gesetz und Zahlungsverkehr Volle Haftung für leichte Fahrlässigkeit im Online-Handel Klare Sicherheitsanforderungen im Zahlungsverkehr Große Unsicherheit bei Sicherheitsanforderungen im Online- Handel 46
V. Fazit Aufgaben für die Zukunft Angemessene Anforderungen an IT-Sicherheit und Haftungsverteilung durch gesetzliche Konzepte, die Konkretisierung vorsehen Notwendigkeit interdisziplinärer Forschung zu IT-Sicherheit 47
Vielen Dank für Ihre Aufmerksamkeit! Prof. Dr. Georg Borges georg.borges@uni-saarland.de it-recht.uni-saarland.de www.rechtsinformatik.saarland 48