Leben 05.12.2011

GIS-Hack: Kaum Möglichkeiten für Opfer

© Bild: Screenshot

Per Post sichert sich GIS gegen Schadenersatz-Forderungen ab. Chancen auf Geld sind eher gering.

Rund 214.000 Österreicher bekommen derzeit unerfreuliche Post von der Gebühren Info Service GmbH (GIS). Sie gehören zu jenen ORF-Kunden, deren persönliche Daten die Hackergruppe "Anonymous" im Juli gestohlen hat. Von rund 96.000 wurden auch die Kontonummern ergattert. Möglichkeiten für rechtliche Schritte gegen die GIS bestehen laut Hans Zeger von der ARGE Daten kaum - Sie haftet nur für Schäden und diese muss man beweisen können, so der Experte, aber: "Die GIS hat jetzt hier schon schlaflose Nächte"

"Als Betroffener habe ich relativ wenig Möglichkeiten", erklärte Zeger. Als Schaden gilt zum Beispiel, wenn von Kriminellen Geld abgebucht wird, wobei man gleichzeitig eine Minderungspflicht hat. Wenn Geld vom Konto verschwindet, darf man nicht einfach abwarten, sondern sollte handeln. "Ich muss versuchen, die Auswirkungen zu beschränken. So gesehen ist der Brief ein guter Schutz für die GIS", meinte Zeger. Dort steht: "Dennoch bitten wir Sie, in den nächsten Wochen besondere Aufmerksamkeit walten zu lassen."

Von GIS bezahlter Kontowechsel

"Ich habe einen Schadenersatzanspruch und ein Schaden ist es auch, wenn ich das Konto wechseln muss oder andere zusätzliche Auslagen habe", so Zeger. Zeitaufwand wird nicht zurückerstattet. Generell rät er Betroffenen, sofort ihr Geldinstitut zu informieren. Sonst könnte es bei illegalen Abbuchen im Sinne der Minderungspflicht noch zu massiven Diskussionen kommen. "Auf der sicheren Seite ist man, wenn man es der Bank sofort sagt."

Der weitere Weg ist dann etwas komplex: Das Geldinstitut kann zu einem Kontowechsel auffordern, deren Kosten die GIS tragen müsste. Dies muss man dieser im Vorfeld ankündigen und sie zur Zahlung auffordern. Will die GIS nicht für die Gebühr aufkommen und lehnt den Kontowechsel ab, trägt sie für etwaige Schadensfälle die Kosten - ganz nach dem Motto "wir akzeptieren, dass ein Schaden entstehen kann, und übernehmen diesen dann". Wobei es ausreicht, der GIS einen kurzfristigen Entscheidungszeitraum von einem Tag zu gewähren.

In der Regel fehlen kleinere Geldbeträge am Konto

Abseits davon müssen die Betroffenen abwarten - und werden vermutlich etwas zittern: "Ich kann mit der Kontonummer sehr viel Unfug machen - auch ohne online Banking-Zugang bzw. gestohlenem Passwort", warnt Zeger. So zum Beispiel Einziehungsaufträge, deren Höhe nicht begrenzt ist. Diese werden von der Bank ungeprüft durchgeführt. Der Kontobesitzer muss sie binnen einer bestimmten Frist beanstanden, dann kann das Geld zurückgeholt werden. Kriminelle holen sich laut Zeger in der Regel kleinere Geldbeträge, die nicht auffallen und versehen sie als Spende für einen sozial gut klingenden Verein oder - bei Männern - als Bezahlung für pornografische Dienste. Bei mehr als 90.000 Kontonummern könnte so eine stolze Summe zusammen kommen.

Anzeige wegen fehlender Sicherheitsmaßnahmen möglich

Abseits davon kann die GIS verwaltungsrechtlich belangt werden: "Ich kann eine Anzeige wegen gröblicher Verletzung der Sicherheitsmaßnahmen beim magistratischen Bezirksamt in der Wiener Innenstadt machen, die für den Firmensitz der GIS zuständig ist", erklärte Zeger. Dies ist zwar keine Möglichkeit, an Schadenersatz zu kommen, könnte der GIS aber anhand des Datenschutzgesetz (DSG) theoretisch eine Strafe von bis zu 10.000 Euro - und zwar pro Fall - einbringen. Dies ist laut Zeger aber nicht wahrscheinlich, vor allem wegen der Formulierung "gröblich". Darunter würde man laut Zeger eher verstehen, dass die GIS auf ihrer Internetseite eine Liste mit allen Wiener Kunden auf Suchanfrage frei abrufbar veröffentlicht.

Das im DSG vorgesehene immaterielle Schadenersatzrecht, das auf eine kreditschädigende Veröffentlichung - also eine Bloßstellung - abzielt, greife nicht, da an den Daten wie Name, Adresse und Kontonummer nichts anstößig ist. Was Betroffene angesichts dieser Situation machen können, ist laut Zeger nur eines: Das Konto beobachten und "gelassen aufmerksam sein". Nach merkwürdigen Spuren der eigenen Identität muss man das Internet nicht durchforsten: "Das kann man nicht verlangen, das würde die Lebensqualität massiv beeinflussen."

VKI: Schadenersetz "mehr Theorie als Praxis"

Ähnlich sieht es der Verein für Konsumenteninformation (VKI): Ansprüche auf Schadenersatz seien derzeit "mehr Theorie als Praxis", erklärte Maria Ecker von der Rechtsabteilung gegenüber der APA. Rechtliche Schritte unternehme der VKI derzeit nicht, es gebe auch nur sehr wenige Beschwerden. Man werde die Situation jedenfalls beobachten.

Die GIS gab sich am Mittwoch abwartend: "Es gibt bis jetzt keine Schadenersatzforderungen. Sollte so etwas kommen, müsste man es natürlich rechtlich prüfen", sagte GIS-Sprecher Herbert Denk der APA. Ähnlich sieht es bei Ersatzkosten beim Kontowechsel aus: "Das müssen wir uns dann wirklich im Einzelfall ansehen."

Erstellt am 05.12.2011