Nach GIS-Hack

Betroffene Kunden laut Experte in der Beweispflicht

03.08.2011 18:12

214.000 Österreicher bekommen derzeit unerfreuliche Post von der Gebühren Info Service GmbH. Sie gehören zu jenen ORF-Kunden, deren persönliche Daten - darunter auch 96.000 Kontonummern - die Hackergruppe Anonymous im Juli gestohlen hat. Möglichkeiten für rechtliche Schritte gegen die GIS bestehen laut Hans Zeger von der ARGE Daten jedoch kaum - sie haftet nur für Schäden und diese muss man beweisen können, so der Experte. Aber: "Die GIS hat jetzt hier schon schlaflose Nächte."

"Als Betroffener habe ich relativ wenig Möglichkeiten", erklärt Zeger. Als Schaden gelte zum Beispiel, wenn von Kriminellen Geld abgebucht werde, so der Experte. Der Kunde habe dabei allerdings eine Minderungspflicht: Wenn Geld vom Konto verschwindet, darf man nicht einfach abwarten. "Ich muss versuchen, die Auswirkungen zu beschränken. So gesehen ist der Brief ein guter Schutz für die GIS", so Zeger. Dort steht: "Dennoch bitten wir Sie, in den nächsten Wochen besondere Aufmerksamkeit walten zu lassen."

Schadensersatzanspruch bei Kontowechsel
Einen Anspruch auf Schadenersatz hätten GIS-Kunden allerdings, wenn sie das Konto wechseln müssten oder andere zusätzliche finanzielle Auslagen hätten. Zeitaufwand wird hingegen nicht zurückerstattet. Generell rät Zeger Betroffenen, sofort ihr Geldinstitut zu informieren, sonst könnte es bei illegalen Abbuchungen im Sinne der Minderungspflicht noch zu massiven Diskussionen kommen. "Auf der sicheren Seite ist man, wenn man es der Bank sofort sagt."

Der weitere Weg sei dann etwas komplex: Das Geldinstitut könne zu einem Kontowechsel auffordern, dessen Kosten die GIS tragen müsste. Dies müsse man dieser im Vorfeld ankündigen und sie zur Zahlung auffordern, wobei es ausreiche, einen kurzfristigen Entscheidungszeitraum von einem Tag zu gewähren. Will die GIS nicht für die Gebühr aufkommen und lehnt den Kontowechsel ab, trägt sie laut Zeger für etwaige Schadensfälle die Kosten - ganz nach dem Motto "wir akzeptieren, dass ein Schaden entstehen kann, und übernehmen diesen dann".

Kontonummern bergen großes "Unfug"-Potenzial
Abseits davon müssen die Betroffenen abwarten - und werden vermutlich etwas zittern: "Ich kann mit der Kontonummer sehr viel Unfug machen - auch ohne Online-Banking-Zugang bzw. gestohlenem Passwort", warnt Zeger. So zum Beispiel Einziehungsaufträge, deren Höhe nicht begrenzt ist.

Diese werden von der Bank ungeprüft durchgeführt. Nur wer sie binnen einer bestimmten Frist beanstande, könne das Geld zurückbekommen. In der Regel holten sich Kriminelle laut Zeger jedoch kleinere Geldbeträge, die nicht weiter auffielen, und versähen sie als Spende für einen sozial gut klingenden Verein oder - bei Männern - als Bezahlung für pornografische Dienste. Bei mehr als 90.000 Kontonummern könnte so eine stolze Summe zusammen kommen.

Eine andere Masche der Internetganoven ist, sich mit den erbeuteten Namen, Adressen und Geburtsdaten bei Online-Anbietern von eBay bis Amazon zu registrieren und auf Einkaufstour zu gehen. Musik, Downloads und Software könnten so bestellt werden und - wenn nach der Anmeldung mit den gestohlenen Daten ein Umzug fingiert wird - auch Handys und andere Geräte.

Beweispflicht liegt beim Kunden
Die Beträge für diese Bestellungen werden mittels Abbuchungen bezahlt, die schwer zurückgeholt werden können - zumal bis zum Auffliegen eine gewisse Zeit vergeht. "Da kann es unter Umständen sehr schwierig für den Betroffenen sein, zu beweisen, dass er nicht selbst bestellt hat, sondern ein Betrüger", meinte Zeger. Für beide Fälle - Einziehungsauftrag und Abbuchung - muss die GIS bei Beweisbarkeit Schadenersatz leisten.

Abseits davon könne sie verwaltungsrechtlich belangt werden: "Ich kann eine Anzeige wegen gröblicher Verletzung der Sicherheitsmaßnahmen beim magistratischen Bezirksamt in der Wiener Innenstadt machen, die für den Firmensitz der GIS zuständig ist", erklärte Zeger. Dies sei zwar keine Möglichkeit, an Schadenersatz zu kommen, könnte der GIS aber anhand des Datenschutzgesetzes theoretisch eine Strafe von bis zu 10.000 Euro einbringen - und zwar pro Fall.

Dem Datenschutzexperten zufolge sei dies aber eher unwahrscheinlich, vor allem wegen der Formulierung "gröblich". Darunter würde man laut Zeger eher verstehen, dass die GIS auf ihrer Internetseite eine Liste mit allen Wiener-Kunden auf Suchanfrage frei abrufbar veröffentlicht.

Experte rät: "Gelassen aufmerksam sein"
Das im Datenschutzgesetzt vorgesehene immaterielle Schadenersatzrecht, das auf eine kreditschädigende Veröffentlichung - also eine Bloßstellung - abzielt, greife nicht, da an den Daten wie Name, Adresse und Kontonummer nichts anstößig ist. Was Betroffene angesichts dieser Situation machen können, ist laut Zeger nur eines: Das Konto beobachten und "gelassen aufmerksam sein". Nach merkwürdigen Spuren der eigenen Identität muss man das Internet nicht durchforsten: "Das kann man nicht verlangen, das würde die Lebensqualität massiv beeinflussen."

Ähnlich sieht es der Verein für Konsumenteninformation: Ansprüche auf Schadenersatz seien derzeit "mehr Theorie als Praxis", erklärte Maria Ecker von der Rechtsabteilung. Rechtliche Schritte unternehme der VKI derzeit nicht, es gebe auch nur sehr wenige Beschwerden. Man werde die Situation jedenfalls beobachten.

Laut GIS bislang keine Schadenersatzforderungen
Die GIS selbst gab sich am Mittwoch abwartend: "Es gibt bis jetzt keine Schadenersatzforderungen. Sollte so etwas kommen, müsste man es natürlich rechtlich prüfen", sagte GIS-Sprecher Herbert Denk. Ähnlich sieht es bei Ersatzkosten beim Kontowechsel aus: "Das müssen wir uns dann wirklich im Einzelfall ansehen."