Seit Tagen beherrscht die Diskussion um gestohlene Bankdaten, das Schweizer Bankgeheimnis, Steuerflüchtlinge und den möglichen Kauf der Daten-CD die Berichterstattung in Deutschland, Österreich und der Schweiz. Abseits der finanzpolitischen Auswirkungen und möglicher rechtlicher Konsequenzen, gibt es nun eine neue Facette - der angebliche Datendieb soll gefunden sein und in diversen Interviews über sein Vorgehen geredet haben. Laut Medienberichten soll der Datendieb als Informatiker in der Bank beschäftigt gewesen sein und sich schon vor geraumer Zeit an die Behörden gewandt haben.

Ein moderner Robin Hood?

Laut eines Berichts des französischen Le Figaro soll es sich bei dem mutmaßlichen Datendieb um einen ehemaligen IT-Administrator der HSBC-Bank handeln. Hervé F. meint gegenüber der französischen Zeitung, dass sein Antrieb nicht das Geld, sondern vielmehr Gerechtigkeit gewesen sei. Ihn habe interessiert, ob sich die Justiz gegen das Schweizer Bankgeheimnis durchsetzen könne und wolle. Aufgrund dieser Aussagen wird der mutmaßliche Datendieb von Vielen bereits als "moderner Robin Hood" bezeichnet. Interessant ist in diesem Zusammenhang auch, dass F. meint, dass er damals auch schon das Management der Bank über die Systemmängel aufmerksam gemacht habe, aber keine Antwort erhalten haben will. Selbst eine interne Beschwerde habe keinerlei Reaktion bewirkt.

Schweizer Behörden informiert

Der Schweizer Blick berichtet, dass F. die gestohlenen Daten danach zunächst den Schweizer Behörden angeboten haben soll. Dieses Angebot soll bereit aus dem Jahr 2006 datieren. Da auch hier keine Reaktion erfolgt sei, habe er sich an andere potenzielle Interessenten gewandt, so die Medienberichte. Die französischen Behörden - zwischen Frankreich und der Schweiz schwelt seit einiger Zeit ein Streit um das Bankgeheimnis und mögliche Steuerflüchtlinge - hätten die Daten dann im letzten Jahr angeboten bekommen.

Auslieferung gefordert

Insgesamt soll F. ausführliche Daten von rund 130.000 BankkundInnen angeboten haben. Darunter sollen sich nicht nur zahlreiche französische, sondern auch kolumbianische, italienische, deutsche und chinesische KundInnen finden. Die französische Staatsanwaltschaft will nun die Daten nutzen, um Geldwäscherei und Steuerflüchtlingen auf die Spur zu kommen. Aus Sicht der Schweizer Behörden handelt es sich jedoch um einen Datendiebstahl von Seiten des IT-Administrators und so wurde ein Auslieferungsantrag an Frankreich gestellt. F. soll derzeit in Frankreich unter Polizeischutz stehen.

Ausgeklügelter Plan

Die Zeitung "Le Matin" berichtet wiederum, dass F. einen sehr ausgeklügelten Plan ausgeheckt habe, um die KundInnendaten sicher an Interessenten zu bringen und sich selbst bestmöglich abzusichern. So soll F. nach dem Versuch die Bank beziehungsweise die Schweizer Behörden auf die Missstände aufmerksam zu machen, einen Genfer Anwalt kontaktiert und sein weiteres  Vorgehen abgestimmt haben. Danach sollte eine Offshore-Gesellschaft in Hongkong aufgezogen werden, um so das Geld aus dem Datenverkauf möglichst diskret abheben zu können. Die Daten selbst sollen auf einem verschlüsselten Server in Kanada liegen. Darauf finden sich nicht nur die 130.000 KundInnendaten - Namen und Kontonummern - sondern auch genaue Angaben zu den einzelnen Portfolios. Laut "Le Martin" soll F. auch Komplizen angeheuert haben

Startschuss erfolgte 2008

Die Aktion soll kurz vor der ersten Verhaftung von F. im Dezember 2008 gestartet worden sein. Laut Angaben des zuständigen französischen Staatsanwalts sollen tatsächlich 130.000 Namen von HSBC-KundInnen übermittelt worden sein, die Schweizer Bank spricht von weniger als 10 Datensätzen.

Die rechtliche Situation in Österreich

Interessant ist in diesem Zusammenhang eine Aussendung der ARGE Daten. Darin heißt es: "Dürfen gestohlene Personendaten gehandelt und verwertet werden? Das österreichische Rechtssystem kennt kein Delikt "Datendiebstahl". Stehlen kann man nur materielle Dinge, etwa ein Notebook, einen USB-Stick oder eine CD. Der Wert des Diebstahls orientiert sich am materiellen Wert, bei einer CD sind das einige Eurocent und damit ein einfacher Diebstahl nach §127 mit einem Strafrahmen von maximal sechs Monaten. Daten als Abstraktum sind vom Diebstahl nicht erfasst. "Borgt" sich jemand einen Datenträger aus und gibt ihn dann vor Beginn einer Strafverfolgung wieder zurück, kann der "Dieb" sogar mit der Einstellung des Verfahrens rechnen. Dass zwischenzeitlich Daten kopiert wurden, interessiert niemanden. Dies entspricht im übrigen der Rechtslage vieler europäischer Staaten. Wird ein frei herumliegender, nicht geschützter Datenträger kurze Zeit verwendet (zum Anfertigen von Kopien), ohne die Absicht den Datenträger zu behalten, liegt nicht einmal Diebstahl vor."

"Datenschutzgesetz schützt nicht vor Missbrauch"

Die ARGE Daten äußert sich zudem auch zum Datenschutzgesetz: "Das Datenschutzgesetz soll den Schutz der Privatsphäre garantieren. Es regelt zwar die rechtmäßige Verwendung von Daten durch Datenverarbeiter und einige Betroffenenrechte, der Missbrauch von Daten wird strafrechtlich nur dann sanktioniert, wenn ein rechtmäßiger Datenverarbeiter oder seine Mitarbeiter berufsmäßig zugängliche Daten rechtswidrig verwenden. Zu rechtswidrigen Datenbesitzern selbst sagt das DSG 2000 strafrechtlich nichts. Theoretisch könnte ein Betroffener einen rechtswidrigen Datenbesitzer zivilrechtlich auf Unterlassung einer rechtswidrigen Verwendung seiner Daten klagen, dazu müsste er aber erst erfahren, dass jemand seine persönlichen Daten hat! Hat ein rechtswidriger Datenbesitzer die Daten schon weiter gegeben, etwa an Steuerbehörden, dann geht die Unterlassungsklage ins Leere. Und gegen die rechtmäßige Nutzung der Daten durch die Steuerbehörde gibt es nicht einmal das Instrument der Unterlassungsklage. Eine weitere Sanktionsmöglichkeit wären die Verwaltungsstrafbestimmungen des DSG 2000 (§52). Abgesehen von der faktischen Zahnlosigkeit der Bestimmung (maximale Verwaltungstrafe sind 25.000,- Euro(!), also bloß ein Prozent der jetzt in Deutschland diskutierten Summe, beziehen sich die Mehrzahl der Delikte wiederum nur auf rechtswidrige Tätigkeiten eines Datenverarbeiters, der rechtmäßig Daten besitzt. Darüber hinaus kennt das DSG 2000 einen immateriellen Schadenersatzanspruch, jedoch nur bei bloßstellender Verwertung (§33 DSG 2000), eine Bedingung die Daten"diebe" im Regelfall nicht erfüllen, da sie zur optimalen Verwertung der gestohlenen Daten diese nicht veröffentlichen, sondern unter Verschluss halten und nur an gute Kunden weitergeben." (red)