Nach dem Hacker-Angriff können Kosten für die Änderung der Bankdaten eingefordert werden. Auch Ersatz für ein leergeräumtes Konto ist denkbar. Zudem drohen der GIS verwaltungsrechtliche Strafen.

Sony, die italienische Internetpolizei, die Nato und sogar das Pentagon – sie alle wurden in den letzten Wochen und Monaten Opfer von Hacker-Angriffen. Nachdem nun auch Österreich von derartigen Hacker-Angriffen heimgesucht wurde und davon politische Parteien sowie das Gebühreninfo service (GIS) des ORF betroffen waren, ist es an der Zeit, sich auch hierzulande Gedanken zur Datensicherheit zu machen und diese nicht mehr länger auf die leichte Schulter zu nehmen.

Dass die betroffenen Organisationen und Unternehmen alle rechtlichen Möglichkeiten ausschöpfen werden, um gegen diese Hacker vorzugehen, ist klar. Doch was ist mit dem Einzelnen, der hinter dem Datensatz steht? Hat er einen Anspruch auf Auskunft über die Entwendung seiner Daten? Haftet derjenige, der die Daten verarbeitet, für Schäden? Wenn ja, unter welchen Voraussetzungen? Diese Fragen nach den Rechten des Einzelnen stellen sich spätestens seit dem Diebstahl von 214.000 Datensätzen der GIS (davon 96.000 mit Kontodaten der Kunden).

Pflicht, die Daten zu schützen - In Österreich dürfen – vereinfacht dargestellt – personenbezogene Daten nur gemäß den Bestimmungen des Datenschutzgesetzes (DSG) verarbeitet werden. Dieses sieht auch vor, dass derjenige, der die Daten verarbeitet (Auftraggeber), zumindest angemessene Datensicherheitsmaßnahmen ergreifen muss um die Daten, etwa vor unbefugtem Zugriff, zu schützen (§ 14 DSG). Für Schäden, die aus der Verletzung dieser Vorschriften entstehen, haftet der Auftraggeber.Beim Hacker-Angriff gegen die GIS konnten Kundendaten entwendet werden, die (offenbar) unverschlüsselt in Datenbanken gespeichert wurden, die über das Internet zugänglich und nicht ausreichend gesichert waren. Das Verschlüsseln von Daten in einer Datenbank stellt in modernen IT-Systemen nicht nur einen minimalen Mehraufwand dar (eine rudimentäre Funktionalität zur Verschlüsselung ist in den meisten Datenbanksystemen bereits enthalten), sondern ist – gerade in Bezug auf Kontodaten von Kunden – wohl als Stand der Technik anzusehen.

Auskunftsanspruch einmal pro Jahr - Soweit erkennbar, wurde bei den erfolgreich durchgeführten Hacker-Angriffen der letzten Wochen immer dieselbe Sicherheitslücke ausgenützt. Im Hinblick auf die Datensicherheit hätten damit sämtliche Datenbankbetreiber ihre Systeme hinsichtlich dieser Sicherheitslücke prüfen müssen. Da die Schließung der bekannten Lücken bei der GIS offenbar nicht stattgefunden hat und die Daten in der Datenbank nicht verschlüsselt waren, besteht die Möglichkeit, dass die GIS ihrer Pflicht zur Ergreifung von Datensicherheitsmaßnahmen nicht hinreichend nachgekommen ist.