Fragen und Antworten zum #Hackerangriff (FAQ)

FAQ: Antworten zu den wichtigsten Rechtsfragen #Hackerangriff

Am 04.01.2019 wurde bekannt, dass Hacker tausende private Datensätze von Politikern, Journalisten und Prominenten gestohlen und im Internet veröffentlicht haben. Dr. Jonas Kahl (@jonaskahl), Rechtsanwalt im Medienrecht und Peter Hense (@peterhense), Rechtsanwalt im IT-Sicherheits- und Datenschutzrecht, beide bei SPIRIT LEGAL LLP in Leipzig, beantworten nachfolgend in Kürze die wichtigsten Rechtsfragen zu dem bisher wohl umfassendsten Sicherheitsleck in der deutschen Politikgeschichte.

Die Liste wird fortlaufend aktualisiert.

1. Warum ist das Hacken von privaten Daten rechtswidrig?

Jonas Kahl: Durch das Hacken von Computern, Handys und E-Mail-Postfächern Dritter wird in deren höchstpersönlichen Lebensbereich eingegriffen, ohne dass hierfür eine Einwilligung der Betroffenen vorliegt. Dies ist strafrechtlich als auch zivilrechtlich unzulässig, Wer eine solche Tat fördert, bei der Begehung mithilft oder wer sich an der Verbreitung von gehackten Informationen beteiligt haftet ebenfalls.

2. Warum ist das Veröffentlichen dieser privaten Daten im Internet rechtswidrig?

Jonas Kahl: Bei den veröffentlichten Daten handelt es sich um private E-Mails, Kommunikations-Verläufe, Fotos und sonstige Dokumente und Informationen, die allesamt von den Beteiligten nie für die Öffentlichkeit bestimmt waren, sondern nach deren mutmaßlichen Willen privat bleiben sollten. Sie sind der Privat- oder sogar der Intimsphäre der Betroffenen zuzuordnen. Derart private Informationen dürften grundsätzlich nur mit Zustimmung der Betroffenen veröffentlicht werden. Anderenfalls stellt die Veröffentlichung einen Eingriff in das Allgemeine Persönlichkeitsrecht der Betroffenen dar.

Zulässig kann ein Veröffentlichen einzelner der bekannt gewordenen Informationen allenfalls dann sein, wenn es ein öffentliches Interesse an diesen Informationen gibt und die Pressefreiheit das Persönlichkeitsrecht des Betroffenen überwiegt, beispielsweise wenn dadurch etwaiges erhebliches Fehlverhalten von Amtsträgern, wie Korruptionsstraftaten oder ähnliches, aufgedeckt würde.

3. Was können Betroffene tun, deren Daten im Internet veröffentlicht werden?

Jonas Kahl: Betroffene, die durch die Veröffentlichung ihrer Dokumente in ihrem Allgemeinen Persönlichkeitsrecht verletzt sind, können Ansprüche auf Löschung gegen jeden Uploader und/oder Verbreiter der Dokumente geltend machen. Ebenso kommen Unterlassungs- und Geldentschädigungsansprüche in Betracht. Ein Löschungsanspruch steht den Betroffenen im Übrigen auch gegen die Social-Media-Plattformen und Hoster zu, über welche die Links und Daten verbreitet werden. Hier gilt es, schnell zu handeln.

4. Ist es Nutzern erlaubt, Links zu den Datensätzen weiterzuverbreiten und in sozialen Medien zu teilen?

Jonas Kahl: Jedermann sollte bewusst sein, dass die Veröffentlichung der Datensätze rechtswidrig ist. Werden die Datensätze von Nutzern verlinkt oder geteilt, stellt das ebenfalls eine rechtswidrige Handlung dar und die Nutzer können vom Betroffenen ebenfalls auf Löschung und Unterlassung in Anspruch genommen werden. Im Klartext: Das Retweeten, Teilen und jede sonstige Verbreitung dieser Links sind rechtswidrig und können zu strafrechtlicher Verurteilung führen sowie zivilrechtliche Ansprüche auslösen.

5. Ist das Hacken und Verbreiten der Daten strafbar?

Jonas Kahl: Im Hinblick auf die bislang bekannt gewordenen Geschehnisse kommen hier gleich eine ganze Reihe von potentiellen Straftatbeständen des Strafgesetzbuches (StGB) in Betracht.

In Rede stehen hier die Straftatbestände der Computersabotage (§ 303b StGB), die Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB), die Verletzung der Vertraulichkeit des Wortes (§ 201 StGB), das Ausspähen von Daten (§ 202a StGB), das Abfangen von Daten (§ 202b StGB) oder auch das Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB).

6. Sind die Betroffenen verpflichtet, das Verbreiten ihrer gestohlenen Daten im Internet bei den Datenschutzbehörden anzuzeigen?

Jonas Kahl: Sind in den gehackten Daten nicht nur persönliche Daten der Betroffenen enthalten, sondern auch Daten von Dritten, sind die Betroffenen möglicherweise aufgrund ihrer Stellung nach Art. 33 DSGVO verpflichtet, den Datendiebstahl unverzüglich und möglichst binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, an die zuständige Datenschutz-Aufsichtsbehörde zu melden, sofern die Meldung nicht bereits anderweitig erfolgt ist. Gleiches gilt für die Organisationen, in denen die Betroffenen arbeiten oder denen sie angehören.

7. Die Behörden ermitteln, Anwälte sind eingeschaltet, ist die Gefahr nun gebannt?

Peter Hense: Nach bisherigen Informationen beinhalten die Leaks Daten bis in den Spätherbst 2018. Das ist kein Grund, sich heute in Sicherheit zu wiegen. Wer im Herbst 2018 gehackt wurde, ist auch heute noch kompromittiert. Dies gilt auch für mit den Betroffenen verbundene Familienmitglieder, Mitarbeiter, Geschäftspartner und Berater. Die geleakten Daten sind vermutlich nur ein Auszug aus einem Pool von wesentlich mehr Daten einer Vielzahl von Betroffenen und damit die buchstäbliche „Spitze des Eisbergs“. Hier ist bei allen Beteiligten und potenziell Betroffenen sofortiges Handeln erforderlich, insbesondere dürfen kompromittierte Systeme nicht mehr für Kommunikation genutzt werden oder um z.B. Passwörter zu ändern.

8. Wie weit reicht der Hack?

Peter Hense: Any exploit is a total exploit. Auch wenn scheinbar nur eine E-Mail-Adresse und ein Passwort gehackt und geleakt wurden, müssen Betroffene davon ausgehen, dass ihr gesamtes digitales Leben inklusive aller Accounts in Social Media, Banken, Hoster, Cloudspeicher wie Dropbox sowie sonstigen Kommunikation kompromittiert wurde und bis heute kompromittiert ist. Im Zweifel gilt das auch für alle Kommunikationspartner der Betroffenen. Auch Identitätsdiebstahl ist auf Basis der veröffentlichten privaten Daten aus dem Intimbereich der Betroffenen nicht auszuschließen.

9. Was kann ich tun, damit ich nicht (mehr) gehackt werde?

Peter Hense: Frank Rieger (@frank_rieger), einer der Sprecher des Chaos Computer Clubs sowie Alvar Freude (@alvar_f) vom Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg, haben bereits in der Nacht sinnvolle Tipps gegeben, darunter:

  1. Alle Systeme immer updaten
  2. Adblocker installieren
  3. HTML in E-Mails deaktivieren
  4. 2-Faktor-Authentifizierung verwenden
  5. Datenträger verschlüsseln
  6. Facebook-Account löschen und/oder App-Berechtigungen abstellen
  7. private, sensible und delikate Kommunikation nur über Krypto-Messenger wie Threema oder Signal führen
  8. Für Passwort-Wiederherstellung von E-Mails eine alternative Mailadresse angeben
  9. Berechtigungen von Apps auf Telefonen stark beschränken (Kontakte, Mikrofon, Bilder etc)
  10. Löschen, denn was gelöscht ist, kann nicht gestohlen werden.
  11. Passwörter niemals doppelt verwenden
    Ich ergänze:
  12. VPN und ggf. TOR-Browser verwenden. Generell gilt: Bequemlichkeit und Nachlässigkeit sind IT-sicherheitstechnisch ein Risiko, das nicht nur die eigene Karriere und das eigene Privatleben, sondern auch das von Familienmitgliedern und Freunden zerstören kann.

10. Gibt es bereits Erfahrungen im Umgang mit Leaks und Doxxing?

Peter Hense: Als Kanzlei haben wir bereits in der Vergangenheit Fälle illegaler Veröffentlichungen von privaten Dokumenten im Internet („Doxxing“) betreut (Link zu FAZ). Unsere Erfahrungen im Umgang mit Strafverfolgungsbehörden, Gerichten aber auch Hostern, Uploadern und Linkplattformen wie Pastebin etc. setzen wir ein, um effektiv jede Verbreitung zu bekämpfen, ob öffentlich oder in geschlossenen Nutzergruppen. Zudem sollte jeder jemanden kennen, der jemanden kennt, der für die Weiterverbreitung von rechtswidrig erlangten Informationen zivil- und strafrechtlich zur Verantwortung gezogen wurde. Ohne diesen - auch öffentlichen - Verfolgungsdruck ist eine effektive Bekämpfung der Verbreitung von illegalen Leaks nicht möglich.

Tags

LMIV Datenschutzgrundverordnung data security Pseudonomisierung Compliance Berlin Recap Anonymisierung Hackerangriff Einstellungsverbot ransomware Datenportabilität Osteopathie informationspflichten Bußgeld Hotelkonzept Conversion Meinungsfreiheit LG Hamburg Arbeitsunfall Ring Hotellerie Gesetz Kennzeichnungskraft Selbstverständlichkeiten Marke SSO Bachblüten Marketing Kritik Geschäftsgeheimnis Onlineplattform Bundesmeldegesetz 3 UWG Rückgaberecht Suchmaschinenbetreiber Bestpreisklausel transparenzregister Facebook E-Mail TeamSpirit Check-in Personenbezogene Daten Asien Custom Audiences Tipppfehlerdomain fake news Schadenersatz Heilkunde Namensrecht Hotels Fotografie Mindestlohn Entschädigung wallart Jahresrückblick Kleinanlegerschutz Wettbewerbsverbot Spitzenstellungsbehauptung Crowdfunding Verfügbarkeit Panorama EC-Karten fotos WLAN Blog Medienstaatsvertrag Website EuGH Geschäftsanschrift Booking.com Google Wettbewerbsbeschränkung ADV arbeitnehmer Künstliche Intelligenz ePrivacy Erdogan Education Barcamp Haftungsrecht Gaming Disorder technology technik Aufsichtsbehörden Mitarbeiterfotografie Tracking Sampling New Work Datengeheimnis total buy out § 15 MarkenG Nutzungsrecht AGB Kunsturhebergesetz Flugzeug Persönlichkeitsrecht Kreditkarten Home-Office drohnen Pressekodex Auslandszustellung Onlineshop drohnengesetz §75f HGB Großbritannien Hacking AfD Dynamic Keyword Insertion NetzDG Privacy Amazon Google AdWords Auftragsverarbeitung Preisangabenverordnung Verlängerung Dark Pattern patent Kinderrechte Textilien selbstanlageverfahren Zustellbevollmächtigter Wahlen neu 2014 verlinken Internetrecht § 24 MarkenG Impressumspflicht Fotografen messenger Medienprivileg Kartellrecht Leipzig Bildung Annual Return Insolvenz Produktempfehlungen Beschäftigtendatenschutz kündigungsschutz markenanmeldung privacy shield Rechtsprechung Reiserecht besondere Darstellung fristen Prozessrecht Überwachung München Bestandsschutz Unterlassungsansprüche § 5 UWG Jugendschutzfilter Auftragsdatenverarbeitung zahlungsdienst Löschungsanspruch Artificial Intelligence EU-Kosmetik-Verordnung Abhören Impressum Social Media Restaurant britain Einwilligung Reisen Exklusivitätsklausel News Webdesign urheberrechtsschutz Weihnachten Kapitalmarkt Cyber Security Vergütungsmodelle Freelancer Algorithmen online werbung Trademark A1-Bescheinigung Datenschutz Deep Fake Beacons wetteronline.de EU-Textilkennzeichnungsverordnung Erschöpfungsgrundsatz Apps Data Protection Geschäftsführer ecommerce Kinder Double-Opt-In bgh Gesamtpreis Wettbewerbsrecht Algorithmus Transparenz Stellenangebot Informationsfreiheit CNIL Chat Gesichtserkennung GmbH

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: