EG-Richtlinien wirken gegen Datenklau

Im Jänner wurden in den USA bereits 28 verschiedene Fälle von großangelegten Datendiebstählen bekannt, Identitätsbetrug ist das Folgedelikt. Zwei EG-Richtlinien tragen dazu bei, dass diese Delikte - außer in England - EU-weit nahezu unbekannt sind, meinen österreichische Konsumentenschützer.

Das Karussell des Datendiebstähle in den USA dreht sich immer schneller. Am Dienstag wurde bekannt, dass die Privatversicherung Horizon Blue Cross aus New Jersey 300.000 Kunden gewarnt hatte, dass ihre persönlichen Daten Unbekannten in die Hände gefallen seien.

War es hier ein Laptop, der einem Angestellten gestohlen worden war, so war es beim ebenfalls am Dienstag bekanntgewordenen Datenverlust der Georgetown-Universität in Washington eine externe Festplatte. Diese enthielt Daten samt Sozialversicherungsnummern von knapp 40.000 Studenten.

Die Pensionsversicherung

Am Montag hatte die Pensionsversicherung T. Rowe Price 35.000 Kunden angeschrieben, dass ihre Daten auf Computern enthalten seien, die einer Partnerfirma gestohlen worden waren.

Den potenziell Gefährdeten wurde ein Jahr lang kostenloses Credit Monitoring angeboten, ein Service, den mittlerweile immer mehr Unternehmen in den USA anbieten.

Die Maschen der Betrüger

Beobachtet werden verschiedene Parameter, ob auf denselben Namen samt Sozialversicherungsnummer anderswo ein Konto eröffnet wird, oder ob irgendwo im Bankverkehr eine andere Adresse in Kombination mit demselben Namen auftaucht.

Das sind die beliebtesten Maschen der Identitätsbetrüger, den Abnehmern der gestohlenen Datensätze. Die neu eröffneten Konten werden überzogen, die geänderten Adressen sind identisch mit dem momentanen Wohnsitz des Betrügers, der sich von Versandhäusern Waren dorthin schicken lässt.

Die Fälle im Jänner

Allein im Jänner wurden aus den USA bis jetzt 28 verschiedene Fälle bekannt, bei denen insgesamt mehrere hunderttausend Datensätze in falsche Hände gerieten.

Über einen seit 2002 rasch wachsenden Schwarzmarkt werden die Daten dann paketweise verhökert, die Fälle von Identitätsbetrug beginnen in der Regel erst Monate danach.

Kein aktueller Fall bekannt

In Österreich fiele ein derartiges Delikt unter den Paragrafen 31a des Konsumentschutzgesetzes, sagte Thomas Hirmke vom Verein für Konsumenteninformation am Mittwoch zu ORF.at.

Der aber komme in der Praxis so gut wie nie zur Anwendung, zumindest sei ihm kein aktueller Fall einer Beschwerde bekannt, in dem ein derartiges Delikt eine tragende Rolle gespielt hätte, so Hirmke.

Das Konsumentenschutzgesetz

§ 31a. Wenn bei einem Vertragsabschluss im Fernabsatz (§ 5a oder § 1 des Fern-Finanzdienstleistungs-Gesetzes, BGBl. I Nr. 62/2004) eine Zahlungskarte oder deren Daten missbräuchlich verwendet werden, so kann der berechtigte Karteninhaber vom Aussteller der Karte verlangen, dass eine Buchung oder Zahlung rückgängig gemacht bzw. erstattet wird. Von dieser Bestimmung kann zum Nachteil eines Verbrauchers nicht abgewichen werden.

• Die Datendiebstahlsbilanz Jänner 2008

• Der raubkopierte Bürger - wie der Schwarzmarkt funktioniert

• Neue Datenlecks in den USA und England

Neue Kriminalitätsformen

Eine vollständige Erklärung für die himmelweiten Unterschiede zwischen den USA und Österreich wie Kontinentaleuropa hat auch der Konsumentenschützer nicht.

Warum die Kombination Datendiebstahl und Identitätsbetrug nicht wie andere neue Krimininalitätsformen des Informationszeitalters - Spam oder Phishing - Kontinentaleuropa zeitversetzt erreicht hätten, könnte zumindest teilweise durch zwei EG-Richtlinien erklärt werden.

Geldwäsche und Fernabsatz

Sowohl die Richtlinie zur Geldwäsche mit der verpflichtenden Identitätsbestimmung durch einen amtlichen Lichtbildausweis - in Österreich u. a. in Paragraf 40 des Bankwesengesetzes - als auch die Fernabsatz-Richtlinie, hätten ziemlich klare Regelungen zum Beispiel im Haftungsfall.

Auch Oberst Gerald Hesztera vom Bundeskriminalamt in Wien hatte die hierzulande wirksameren Kontrollen der Banken als Faktor aufgeführt. Das wiederum habe mit dem höheren Grad an Konsumentenschutz in Europa zu tun. Wer im Zweifelsfall hafte, überprüfe eben genauer, wer da neuer Kunde werde und wer nicht.

Mich Kabay im nächsten Teil

Auch Unterschiede in Mentalität, Ausbildung und im Ausweissystem spielen eine wichtige Rolle dabei, dass sich diese Delikte in den USA so explosiv entwickeln.

Das meint der lang gediente Experte im Bereich Daten- und Netzwerksicherheit und Professor an der Norwich University, Mich Kabay, der seine Kreditkartenrechnungen gerne mit "Mickey Mouse" signiert.

• Credit Monitoring und wie es funktioniert

• Oberst Hesztera vom Bundeskriminalamt zum Thema

(futurezone | Erich Moechel)