rating service  security service privacy service
Dürfen gestohlene Personendaten gehandelt und verwertet werden?
Hans G. Zeger
Kein Verwertungsverbot rechtswidrig beschaffter Daten in Österreich - Nutzung "gestohlener" oder "gefundener" Daten in Österreich straffrei - DSG 2000 schützt ausdrücklich die Nutzung rechtswidrig beschaffter Daten durch Behörden - sogar eBay-Handel wäre erlaubt - nur das rechtswidrige Kopieren aus einem rechtmäßigen Datenbestand oder die Anstiftung dazu KANN ein Delikt sein - Schadenersatzanspruch gegen Datenverarbeiter, dem Daten gestohlen wurden - Rechtslücke ist Einladung zum organisierten Datenhandel

Kein Verwertungsverbot in Österreich

Im Zuge der Diskussion um den Ankauf "gestohlener" Bankdaten durch die Bundesrepublik Deutschland erreichten die ARGE DATEN zahlreiche Anfragen. Wir haben uns mit der Rechtslage in Österreich gründlich auseinandergesetzt. Das Ergebnis ist ernüchternd: Rechtswidrig beschaffte Daten dürfen straffrei verwertet werden, unter bestimmten Bedingungen ist die Verwertung sogar gesetzlich geschützt!


Irrtum I: Daten"diebstahl"

Das österreichische Rechtssystem kennt kein Delikt "Datendiebstahl". Stehlen kann man nur materielle Dinge, etwa ein Notebook, einen USB-Stick oder eine CD. Der Wert des Diebstahls orientiert sich am materiellen Wert, bei einer CD sind das einige Eurocent und damit ein einfacher Diebstahl nach §127 mit einem Strafrahmen von maximal sechs Monaten. Daten als Abstraktum sind vom Diebstahl nicht erfasst.

"Borgt" sich jemand einen Datenträger aus und gibt ihn dann vor Beginn einer Strafverfolgung wieder zurück, kann der "Dieb" sogar mit der Einstellung des Verfahrens rechnen. Dass zwischenzeitlich Daten kopiert wurden, interessiert niemanden. Dies entspricht im übrigen der Rechtslage vieler europäischer Staaten. Wird ein frei herumliegender, nicht geschützter Datenträger kurze Zeit verwendet (zum Anfertigen von Kopien), ohne die Absicht den Datenträger zu behalten, liegt nicht einmal Diebstahl vor.

Ein durchaus realistisches Szenario. Vor einigen Jahren wurden aus einer Justizanstalt tausende Häftlingsakten auf eine DVD kopiert und verkauft. Nach Rückgabe der DVD wurden die Strafverfahren eingestellt, da kein Diebstahl mehr bestehe. Dass Kopien der DVD heute noch existieren und von interessierten Kreisen gekauft werden können, interessiert weder Justiz noch Justizministerium. Gleiches gilt für mehrere Millionen illegal beschaffter Exekutionsdaten, die ein Wirtschaftsauskunftsdienst heute noch tagtäglich verwertet.


Irrtum II: Datenschutzgesetz schützt vor Missbrauch

Das Datenschutzgesetz soll den Schutz der Privatsphäre garantieren. Es regelt zwar die rechtmäßige Verwendung von Daten durch Datenverarbeiter und einige Betroffenenrechte, der Missbrauch von Daten wird strafrechtlich nur dann sanktioniert, wenn ein rechtmäßiger Datenverarbeiter oder seine Mitarbeiter berufsmäßig zugängliche Daten rechtswidrig verwenden. Zu rechtswidrigen Datenbesitzern selbst sagt das DSG 2000 strafrechtlich nichts.

Theoretisch könnte ein Betroffener einen rechtswidrigen Datenbesitzer zivilrechtlich auf Unterlassung einer rechtswidrigen Verwendung seiner Daten klagen, dazu müsste er aber erst erfahren, dass jemand seine persönlichen Daten hat! Hat ein rechtswidriger Datenbesitzer die Daten schon weiter gegeben, etwa an Steuerbehörden, dann geht die Unterlassungsklage ins Leere. Und gegen die rechtmäßige Nutzung der Daten durch die Steuerbehörde gibt es nicht einmal das Instrument der Unterlassungsklage.

Eine weitere Sanktionsmöglichkeit wären die Verwaltungsstrafbestimmungen des DSG 2000 (§52). Abgesehen von der faktischen Zahnlosigkeit der Bestimmung (maximale Verwaltungstrafe sind 25.000,- Euro(!), also bloß ein Prozent der jetzt in Deutschland diskutierten Summe, beziehen sich die Mehrzahl der Delikte wiederum nur auf rechtswidrige Tätigkeiten eines Datenverarbeiters, der rechtmäßig Daten besitzt.

Darüber hinaus kennt das DSG 2000 einen immateriellen Schadenersatzanspruch, jedoch nur bei bloßstellender Verwertung (§33 DSG 2000), eine Bedingung die Daten"diebe" im Regelfall nicht erfüllen, da sie zur optimalen Verwertung der gestohlenen Daten diese nicht veröffentlichen, sondern unter Verschluss halten und nur an gute Kunden weitergeben. Eine berechtigte anklage wegen Steuerhinterziehung, auch wenn sie peinlich sein mag, gilt nicht als Bloßstellung im Sinne des Gesetzes. Damit entfällt auch diese Sanktionsmöglichkeit.

Ein Datenhändler, der sich ohne berechtigten Zweck persönliche Daten beschafft hat, verletzt zwar die Grundrechte nach DSG 2000, ABER es können die Strafbestimmungen des DSG 2000 nicht auf ihn angewandt werden.


Irrtum III: Rechtswidrig erlangte Beweismittel sind ungültig

Die österreichische Rechtsvorstellung von Laien (inkl. Politikern und manchen Medien) wird mehr und mehr von einem US-Gerichtbild geprägt. In zahllosen US-Fernseh-Soaps wird vermittelt, dass rechtswidrig beschaffte Daten vor Gericht nicht verwendet werden dürfen.

Dieser Grundsatz gilt jedoch nicht in Österreich. Es gibt im Rechtssystem nur ganz wenige Beweisverwertungsverbote, etwa im Zusammenhang mit Ermittlungen im Rahmen des großen Lauschangriffs (§136ff StPO). Bei anders beschafften Daten gibt es keine Verbote, sie können bei beliebigen Straf-, Verwaltungs- oder Zivilverfahren verwendet werden.


Irrtum IV: Die Erstbeschaffung ist immer illegal und strafbar

Das österreichische Strafrecht kennt mehrere Bestimmungen, die das illegale Ausspähen, Kopieren oder beschaffen von Daten sanktionieren. Unter anderem wäre das das Ausspähen von Betriebsgeheimnissen (§122 StGB), Verletzung von Telekommunikationsgeheimnissen (§119), Verletzung von Amtsgeheimnissen (§310 StGB) und Amtsmissbrauch (§302 StGB), Eindringen in Computernetze (§§118a, 119a) und eben die rechtswidrige Verwertung von berufsmäßig anvertrauten Daten (§51 DSG 2000). Auch die Anstiftung dazu wäre strafbar.

Trotzdem ist nicht jede Erstbeschaffung strafbar. Wird ein gefundener Datenträger (Notebook, CD, USB-Stick), bevor er beim Fundamt abgegeben wird durchsucht, werden Kopien angefertigt und dabei keine Sicherheitsmaßnahmen (Passwörter, Verschlüsselung, ...) überwunden (§118a StGB), dann liegt auch bei der Erstbeschaffung kein strafrechtlich relevantes Delikt vor.


Resümee I: Trotz rechtswidriger Benutzung kein gerichtlicher Straftatbestand

Auch wenn die Daten nach den Kriterien des Datenschutzgesetzes rechtswidrig benutzt werden, stellt das keinen Straftatbestand dar und führt auch bei Straf-, Verwaltungs- und Zivilprozessen zu keinen Beweisverwertungsverboten. Ein Freibrief für alle Arbeitgeber, Vermieter, Rosenkrieger, streitlustige Nachbarn und Konkurrenten sich für Verfahren auch illegal Daten beschaffen.


Resümee II: Rechtswidrig beschaffte Daten können rechtmäßig benutzt werden

Einen Sonderfall stellt die gegenwärtige Debatte um die deutsche Steuer-CD dar. Hier sollen die Daten von der Steuerbehörde für deren berechtigte Zwecke, das Eintreiben von gesetzlich vorgesehenen Abgaben, verwendet werden. Dies ist ein durch das Datenschutzgesetz zulässiger und extra geschützter Zweck (§§6-9 DSG 2000). Damit wäre der Erwerb illegal beschaffter Daten sogar ausdrücklich durch das DSG 2000 geschützt! Die Situation ist in Deutschland ähnlich, beide Länder mussten die Datenschutzrichtlinie 95/46/EG umsetzen, die die Datennutzung zu gesetzlich zulässigen Zwecken - unabhängig von der Datenherkunft - ausdrücklich erlaubt.


Resümee III: Kein Schadenersatzanspruch bei Daten"diebstahl"

Entsteht jemandem durch ein rechtswidriges Handeln ein Schaden, dann hat er gegenüber dem Verursacher einen Schadenersatzanspruch. Theoretisch könnte sich daher ein durch den Datenhandel Geschädigter am Verkäufer der Daten schadlos halten. Eine hypothetische Möglichkeit, die auf die meisten Fälle nicht anzuwenden ist. Abgesehen davon, dass es Betroffenen meist faktisch nicht möglich ist, den ursprünglichen Daten"dieb" auszuforschen, stellt eine gesetzliche Steuernachzahlung oder ähnliches keinen Schaden im Sinne des Schadensrechts dar. Es besteht daher nicht einmal ein theoretischer Schadenersatzanspruch.


Resümee IV: Schadenersatzanspruch bei verspäteter Information der Auftraggeber

Wird ein Betroffener von einem Datenverarbeiter nicht oder erst verspätet von einem Datenverlust informiert und entsteht im aus der verspäteten Information ein Schaden, dann kann er diesen Schaden beim Datenverarbeiter geltend machen. Aktuell ist das bei der gestohlenen Steuer-CD der Fall. Eine Selbstanzeige schützt vor Strafverfolgung. Werden Personen, die auf der CD enthalten sind von der Bank NICHT oder verspätet vom Datenklau informiert, dann könnten jene Mehrkosten und Strafen, die aus einem Finanzstrafverfahren resultieren, das durch eine Selbstanzeige verhindert worden wäre, bei der Bank eingeklagt werden. Tatsächlich wurde mit diesem Argument auch schon eine Liechtensteinische Bank zu 7,5 Mio. Euro Schadenersatzzahlung verdonnert. Seit der DSG-Novelle 2010 gibt es mit §24 Abs. 2a verschärfte Informationspflichten der Auftraggeber bei Datenmissbrauch.


Sogar Handel auf eBay wäre zulässig

In Summe wäre es sogar straffrei derartige Daten auf eBay zur Versteigerung anzubieten und immer wieder zu verkaufen.


Einladung zum Datenmissbrauch

Die Jagd auf Steuersünder schürt, vergleichbar dem österreichweit grassierenden Fremdenhass und Antisemitismus niedere Instinkte, eine Neidgenossenschaft und wird in breiten Kreisen der Bevölkerung freudig begrüßt. Trifft doch die Jagd, so meinen viele "die Anderen", selber habe man ja, weil man nichts habe, auch nicht zu verbergen.

Tatsächlich ist die derzeitige Rechtslage eine Einladung für organisierten Daten"diebstahl" und Datenhandel. Private Krankenversicherer könnten auf die Idee kommen, gutes Geld für die Datenbestände von Spitälern und Ärzten zu bezahlen. EIne Verlockung, der schlecht bezahlte Pfleger oder Ärzte irgendwann nicht widerstehen könnten. Die meisten IT-Systeme der Spitäler sind ohnehin nicht ausreichend gesichert.

Konkurrenten könnten auf diese Weise recht gefahrlos Kundendaten des Mitbewerbs kaufen, KFZ-Versicherer die Bestände der Verkehrsstrafbehörden, Detektive könnten die Kommunikationsdaten von vermeintlichen Ehebrechern oder blaufeiernden Arbeitnehmern beschaffen. Daten von Reisebüros könnten für die Jagd auf Sozialschmarotzer und ferienmachende Arbeitslose nützlich sein usw. usf.

Der Datenkäufer müsste nur einige einfache "Sorgfaltsregeln" beachten. Es darf keine direkte Verbindung zum Daten"dieb" geben, er darf ihn auch nicht dazu anstiften. Bloß abstrakt sein Interesse an derartigen Daten zu bekunden, wie dies die deutsche Steuerfahndung seit Jahren tut, ist keine Anstiftung im strafrechtlichen Sinn.

Ideal ist es daher, wenn man illegale Daten spontan angeboten bekommt (wie im deutschen Beispiel), wenn Daten "gefunden" werden oder man "anonym" Daten zugeschickt erhält. Als Modus operandi zur Datenbeschaffung bietet sich die Mitwirkung von Hackern an. Bevorzugt sollten jedoch ausländische Hacker herangezogen werden, diese können, auch auf Grund der mangelhaften Zusammenarbeit von Strafverfolgungsbehörden, sicher vor Verfolgung sein.


Bankrotterklärung des Staates

Während sich die Debatte bei der deutschen Steuer-CD auf die Frage konzentriert, ob ein Staat zur Verfolgung rechtmäßiger Ziele auch auf rechtswidrige Mittel zurückgreifen darf, blieb bisher ein zentraler Aspekt unbeachtet.

Niemand stellte bisher die Frage, warum ein Staat überhaupt auf illegale Datenbestände angewiesen ist. Sowohl die deutschen, als auch die österreichischen Steuerbestimmungen sehen weitreichende Prüf-, Kontroll- und Durchsuchungsbefugnisse bei Steuerpflichtigen vor, auch ohne konkrete Verdachtsmomente. Das Instrument der Steuer- und Betriebsprüfung kann jederzeit eingesetzt werden.

Warum offenbar tausende Steuerflüchtige den Prüfbehörden - trotz ausufender Kontrollmöglichkeiten - "durch die Lappen" gehen, blieb bisher unbeantwortet, wurde nicht einmal diskutiert. Offenbar sind die heute eingesetzten Prüfmethoden den effizienten Verschleierungsmethoden des organisierten Finanzmarktes nicht gewachsen. Oder wie es einmal ein hochrangiger Polizist formulierte: "die groß angelegten Betrügereien der Finanzmärkte durchschauen wir einfach nicht mehr".


Politik ist säumig

ARGE DATEN fordert seit Jahren ein Beweisverwertungsverbot illegal beschaffter Daten und die Ausweitung des Strafparagraphen im Datenschutzgesetz auf jede Form vorsätzlichen Datenmissbrauchs. Auch in der DSG-Novelle 2010 wurde die Chance auf Sanierung dieses Übelstandes versäumt.

Die aktuelle Debatte um die deutsche Steuer-CD, aber auch um die Vorratsdatenspeicherung, verschärft die Notwendigkeit, persönliche Daten gegen jede Form des Missbrauchs zu schützen.

Geschieht dies nicht, dann wird es nach den Häftlings-DVDs, der Exekutions-Datenbank, den Steuersünder-CDs, bald Sozialhilfeempfänger-CDs, Patienten-CDs, Mieter-CDs, Urlauber-CDs, Verkehrsünder-CDs oder Arbeitnehmer-CDs geben. Und diese CDs werden alle betreffen, nicht nur die Reichen und Gauner, sondern auch die, die nichts besitzen und daher "nichts zu verbergen" haben.


Private Unternehmen versuchen längst auf Zug aufzuspringen

Eine dubiose britische Firma hatte das Potential für den Handel mit gestohlenen (pardon "verlorenen") Daten früh erkannt. Über die - mittlerweile wieder geschlossene - Website http://www.where-is-my-laptop.com/ konnte man "gefundene" Notebooks gegen guten "Finder"lohn abliefern. Die Höhe des "Finder"lohns setzte die Firma aufgrund der Bedeutung und Sensitivität der auf dem Notebook vorgefundenen Daten fest. Zahlen sollte den Finderlohn der rechtmäßige Eigentümer des Notebooks, ansonsten würde ihm das Notebook nicht mehr zurückgegeben??? Wenn der Staat mit gestohlenen daten handeln darf, warum nicht auch Private?

mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> DSG-Novelle 2010 - Was ist neu? Was bleibt? Wo besteht Regelun...
mehr --> Wachsende Empörung gegen Vorratsdatenspeicherung
Archiv --> Stellungnahme ARGE DATEN Vorratsdatenspeicherung 2010
andere --> http://www.pressetext.at/news/091203005/lost-laptop-online-detektive-bringen-ver...

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018webmaster