Cybercrime versus Sicherheit im Netz

Der Hacker Angriff auf Media Saturn hat das Thema Cybercrime wieder in das Licht der Öffentlichkeit geführt. Der Cyber Angriff legte insbesondere das Kassensystem lahm. Da stellt sich natürlich die Frage, wie der juristische Rahmen aussieht.

Juristische Vorschriften, wie man sich selbst im Internet absichert, dh die eigene Homepage oder den Webshop, existieren nicht. Solange keine personenbezogenen Daten betroffen sind und damit die Schutzmechanismen der Datenschutz Grundverordnung greifen, bleibt es jedem selbst überlassen, ob und in welchem Ausmaß er sich absichert. Sobald personenbezogene Daten ins Spiel kommen, sieht die DSGVO aber sehr wohl ganz konkrete Regeln vor. Die technisch organisatorischen Maßnahmen und auch die internen Absicherungen (zB Geheimhaltungsvereinbarung mit Mitarbeitern) müssen im Vorfeld ein entsprechendes Schutzniveau aufweisen. Kommt es tatsächlich zu einem Angriff auf ein Unternehmen, so sieht die DSGVO vor, dass unverzüglich, längstens binnen 72 Stunden der Aufsichtsbehörde, bei uns der österreichischen Datenschutzbehörde, gemeldet wird, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt. Ist in dem Zusammenhang allerdings nicht mit einem Risiko für die Rechte und Freiheiten natürlicher Personen zu rechnen, kann die Benachrichtigung der Datenschutzbehörde unterbleiben. Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, sind die betroffenen Personen unverzüglich zu benachrichtigen. Zudem ist das Unternehmen verpflichtet, materiellen oder immateriellen Schadenersatz zu leisten, die DSGVO selbst regelt einen Anspruch auf Schadenersatz und zwar nicht nur gegenüber dem Verantwortlichen, sondern auch gegen die von diesem eingesetzten Auftragsverarbeiter (Subunternehmer bei der Datenverarbeitung). Wie bekannt sind bei Verstößen gegen die DSGVO empfindliche Geldbußen vorgesehen, diese reichen bis zu € 10 Millionen bzw bis zu 2% des gesamten weltweiten Jahresumsatzes.

In den letzten Jahren kam eine Reihe von Straftatbeständen hinzu, die helfen sollen, derartige Vorfälle in den Griff zu bekommen. Dazu zählen der widerrechtliche Zugriff auf ein Computersystem, die Verletzung des Kommunikationsgeheimnisses, missbräuchliches Abfangen von Daten, Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses, Datenbeschädigung, Störung der Funktionsfähigkeit eines Computersystems, Missbrauch von Computerprogrammen oder Zugangsdaten. Vorschriften sind es viele, es werden wohl auch immer wieder welche hinzukommen. Wie wir wissen, hinkt das Recht der Praxis naturgemäß hinterher. Die Zahlen sind beachtlich. Im Jahr 2020 kam es zu über 29.000 Sicherheitsvorfällen, fast 36.000 Cybercrime Delikte wurden laut dem Cybercrime Report des Innenministeriums angezeigt, was ein Plus von 26,3% ist. Bei Cybercrime handelt es sich um kriminelle Handlungen, bei denen Angriffe auf Daten oder Computersysteme unter Verwendung der Informations- und Kommunikationstechnik begangen werden. Bei Tatbeständen zu Cybercrime im engeren Sinn gab es im Jahr 2020 einen Gesamtanstieg der Anzeigen von fast 70% gegenüber dem Vorjahr; betrügerischer Datenverarbeitungsmissbrauch verdoppelte sich gar gegenüber dem Jahr 2019. Aufgeklärt wurden immerhin 2.459 Straftaten, wobei aufgrund der massiven Steigerung der Delikte die Aufklärungsquote allerdings relativ gesehen auf 19% gesunken ist.

Man sollte sich daher keinesfalls auf die Abschreckwirkung der Tatbestände verlassen; das zeigt sich auch beim aktuellen Paradebeispiel Media Saturn, wo mit den Hackern offensichtlich Verhandlungen gestartet wurden, um die Daten wieder zu erhalten. Vorschriften, um seine Daten regelmäßig zu sichern gibt es im Übrigen auch nicht. Auch das sollten Unternehmer aber auch Privatpersonen im eigenen Interesse regelmäßig tun, um im Fall des Falles nicht erpressbar zu sein. Wird man jedoch mit der Veröffentlichung der Daten erpresst, dann wird es schwierig. Denn dann ist man, wie ausgeführt, Schadenersatzansprüchen der betroffenen Personen ausgesetzt. Es ist daher empfehlenswert, in die eigene Sicherheit aber vor allen Dingen die Sicherheit von personenbezogenen Daten entsprechend zu investieren bzw besonderes Augenmerk darauf zu legen.