|
|
|
 |
 |
 |
Datendiebstahl verhindern |
 |
|
|
Datendiebstahl passiert nicht nur bei Banken. Auch Wirtschaftsspionage, Verkauf von Know-how oder Vermögensverschiebungen werden immer wieder von Mitarbeitenden begangen. Wer Daten unrechtmässig beschafft oder verkauft, verstösst gegen das Datenschutzgesetz und kann auch nach StGB bestraft werden. Ausserdem schadet es dem Image des Unternehmens, vor allem wenn Kundendaten betroffen sind.
Tatbestände nach StGB
Datendiebstahl verstösst nicht nur gegen das Datenschutzgesetz. Je nach Situation können auch einige Tatbestände des Strafgesetzbuchs erfüllt sein:
- StGB Art. 143 Unbefugte Datenbeschaffung: Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. Der Datendiebstahl zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Massgebend dafür ist nicht das Eigentum an der Datenverarbeitungsanlage oder am Speichermedium, sondern das Recht am gedanklichen Inhalt der Daten, das primär ihrem Urheber zusteht. Das bedeutet, dass ein Angestellter der sich unbefugt Daten vom Arbeitgeber aneignet, diesen Tatbestand erfüllt.
- Unbefugtes Eindringen in ein Datenverarbeitungssystem StGB Art. 143bis: Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Zu beachten ist dabei, dass dieser Tatbestand nicht das Eindringen in fremde Datenbestände, sondern in ein fremdes Datenverarbeitungssystem betrifft. Es geht dabei um die Verletzung des Eigentums oder der Benutzungsbefugnis der Anlage: Der unbefugte Zugang zu individuellen Daten durch den Anlageneigentümer oder durch einen zur Benutzung einer Grossanlage Befugten fällt nicht unter diesen Tatbestand.
- Betrügerischer Missbrauch einer Datenverarbeitungsanlage Art. 147 StGB: Dieser Tatbestand betrifft das Phishing. Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar nach der Tat verschleiert, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft. Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.
- Hehlerei Art. 160: Wer eine Sache, von der er weiss oder annehmen muss, dass sie ein anderer durch eine strafbare Handlung gegen das Vermögen erlangt hat, erwirbt, sich schenken lässt, zum Pfande nimmt, verheimlicht oder veräussern hilft, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. Auch die oben genannten Datendelikte gelten als strafbare Handlungen gegen das Vermögen. Manchmal wird gegen die Annahme von Hehlerei eingewendet, dass Daten keine Sachen sind. Auf jeden Fall ist der Datenträger eine Sache.
Anzeige
|
InformatikPraxis Online
Mit InformatikPraxis Online haben Sie jederzeit das Praxiswissen kompetenter Fachexperten zur Hand. Sie gewinnen an Verhandlungskompetenz und können in Ihrer Funktion als CIO, IT-Manager oder Projektleiter auftrumpfen!
Jetzt bestellen! | |
Vorschriften des Datenschutzgesetzes
Nach Datenschutzgesetz (Art. 4 DSG) dürfen Personendaten nur rechtmässig bearbeitet werden und nur zu dem Zweck, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten, Kopieren und Weiterleiten geschützt werden (Art. 7 DSG).
Wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, wird auf Antrag mit Busse bestraft (Art. 35 DSG). Gleich wird bestraft, wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekannt gibt, von denen er bei der Tätigkeit für den Geheimhaltungspflichtigen oder während der Ausbildung bei diesem erfahren hat.
Wichtig: Das unbefugte Bekanntgeben geheimer, besonders schützenswerter Personendaten oder Persönlichkeitsprofile ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar.
Wenn Angestellte darauf stossen, dass innerhalb des Unternehmens von Angestellten, Kunden oder Drittpersonen Delikte begangen werden, sollten sie diese melden können ohne Nachteile und auf Wunsch anonym bleiben, ausser wenn es sich um Vorgesetzte handelt. Es ist den Unternehmen zu empfehlen, dafür eine Meldestelle einzurichten.
Auch wenn Angestellte berechtigt sind, Delikten im Unternehmen den Behörden anzuzeigen, haben sie die Treuepflicht gegenüber dem Arbeitgeber zu berücksichtigen. Informationen an Medienvertreter weiterzugeben gilt beispielsweise als Verstoss gegen die Treuepflicht. Zu empfehlen ist auch bei Meldung an die Behören, vorher die Vorgesetzten oder die Geschäftsleitung zu informieren.
Besondere Bestimmungen für Banken
Nach Bundesgesetz über die Banken und Sparkassen Art. 47 und nach Bundesgesetz über die Börsen und den Effektenhandel Art. 431 wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft, wer vorsätzlich ein Geheimnis offenbart, das ihm in seiner Eigenschaft als Organ, Angestellter, Beauftragter oder Liquidator einer Bank, als Organ oder Angestellter einer Prüfgesellschaft anvertraut worden ist oder das er in dieser Eigenschaft wahrgenommen hat oder zu einer solchen Verletzung des Berufsgeheimnisses zu verleiten sucht. Wer fahrlässig handelt, wird mit Busse bis zu 250 000 Franken bestraft. Im Fall einer Wiederholung innert fünf Jahren nach der rechtskräftigen Verurteilung beträgt die Geldstrafe mindestens 45 Tagessätze. Auch in diesen Fällen ist die Verletzung des Berufsgeheimnisses ist auch nach Beendigung des amtlichen oder dienstlichen Verhältnisses oder der Berufsausübung strafbar.
Die Schweizerische Bankiervereinigung SwissBanking informiert darüber, dass das Bankkundengeheimnis nicht absolut gilt und Kriminellen keinen Schutz gewährt. Die Banken sind zur Offenlegung von Informationen über Kundinnen und Kunden verpflichtet in Zivilprozessen, in Schuldbetreibungs- und Zwangsverwertungsverfahren und in Strafprozessen, z.B. bei Geldwäscherei, Beteiligung an einer kriminellen Organisation, Diebstahl, Steuerbetrug, Erpressung.
Stossen Bankangestellte auf Hinweise, dass Vermögenswerte mit einem Delikt zu tun haben könnten, können sie dies den zuständigen Behörden melden, ohne dadurch das Bankkundengeheimnis zu verletzen. Bei begründetem Verdacht auf Geldwäscherei hat die Geschäftsleitung der Bank der Meldestelle für Geldwäscherei unverzüglich eine Meldung zu erstatten.
Massnahmen für den Datenschutz
Es ist Sache der Unternehmensleitung, entsprechende Massnahmen zu organisieren, z.B. eine Zertifizierung nach der Normenreihe ISO 27000. Nicht nur Kundendaten sollte man schützen, sondern auch geheimes Know-how und Forschungsergebnisse. Um Betriebsspionage zu verhindern, sollten die Mitarbeitenden diese Informationen nicht kopieren und weiterleiten können.
Zumindest sind klare Verhaltensregelungen notwendig, die auch im Arbeitsvertrag stehen können und ein Vorbild der Vorgesetzten. Zusätzlich ist eine Geheimhaltungsklausel im Arbeitsvertrag zu empfehlen.
Daten sollten auch gegenüber Angestellten vor unbefugten Zugriffen geschützt sein. Zu Datensammlungen, in denen Personendaten verarbeitet werden, dürfen nur befugte Personen Zugriff zu den Personendaten haben und die Möglichkeit, diese zu bearbeiten. Ausserdem ist zu protokollieren, wer wann auf diese Daten zugegriffen hat
Es ist technisch möglich, CD/DVD-Laufwerke oder USB-Anschlüsse zu sperren und Druckeranschlüsse von der Anlage zu trennen, so dass man die Daten nicht auf externe Datenträger speichern oder ausdrucken kann. Allenfalls ist in bestimmten Bereichen sogar ein Handyverbot zu empfehlen, damit man nicht den Bildschirm filmen kann. Besonders wichtig ist, dass an Arbeitsplätzen mit sensiblen Daten oder Geschäftsgeheimnissen kein Internetzugang zur Verfügung steht.
Vorgehen bei Missbrauch
Dazu hat sich der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) geäussert. Liegt der Verdacht auf geschäftsschädigende oder sonstige illegale Aktivitäten vor, können geheime Ermittlungen angebracht sein. Diese liegen aber nicht in der Kompetenz des Arbeitgebers. Bei strafrechtlich relevanten Vorkommnissen sollten Arbeitgeber in jedem Fall die Untersuchungsbehörden informieren und zwar bevor entsprechende Überwachungsmassnahmen getroffen werden. Der Arbeitgeber darf selbstverständlich die Beweise sichern.
Wegen seiner Pflicht, die Persönlichkeit des Angestellten zu schützen und zu achten, steht es dem Arbeitgeber grundsätzlich nicht zu, auf die Inhalte privater Datenträger zuzugreifen. Beweise, die unter Verletzung der Persönlichkeit gesammelt worden sind, können vor Gericht als unzulässig betrachtet werden. Zur geschäftlichen Korrespondenz hat der Arbeitgeber hingegen jederzeit Zugang.
Als rechtliche Voraussetzungen des Zugriffs auf private Datenträger gelten kumulativ das Bestehen eines Rechtfertigungsgrunds sowie konkrete Verdachtsmomente für eine Straftat. Das Interesse an der Klärung einer Straftat gegen die Firma gilt als überwiegendes Interesse. Als konkrete Verdachtsmomente gelten subjektive oder objektive Elemente eines Straftatbestandes, die man einer bestimmbaren Person zuordnen kann. Wenn möglich sollte die betroffene Person einwilligen, dass der Arbeitgeber auf private Datenträger zugreift. Ist das nicht der Fall sollten das die zuständigen Behörden erledigen.
Information
Normenreihe ISO 27000
http://www.swissbanking.org
http://www.edoeb.admin.ch/themen/00794/00917/01087/index.html?lang=de
Hier gelangen Sie direkt zum Download
|
|
|
|
 |
| |
|
|
|
 |
Regula Heinzelmann
Juristin (lic. iur.), Journalistin und Buchautorin.
Seit 1984 selbstständige Tätigkeit als Journalistin und Buchautorin mit Schwerpunkt auf wirtschaftlichen und juristischen Themen. Ihre Angebote für Unternehmen: PR-Texte, Allgemeine Geschäftsbedingungen, Vorträge und Seminare.
|
|
 |
|
 |
 |
Fernzugriff mit TeamViewer: Fernwartung, Fernzugriff, Remote Control, das Ende der Turnschuhadministration - Schlagworte, die sicher jedem IT-Administrator und -verantwortlichen geläufig sind. Gemeint ist, dass die allfällige Wartung eines Rechners und vor allem die Unterstützung der Benutzer bei Fragen und Problemen nicht mehr direkt am Gerät erfolgt, sondern vom PC des Admins aus über das Intra- oder Internet hinweg. Heute sehen wir uns einmal eine interessante Lösung für diesen Fernzugriff an, die keine Client-Server-Infrastruktur und keine aufwändig einzurichtenden VPN-Tunnel benötigt: TeamViewer.
|
|
|
|
|
|
Hotline-Warteschleifen – Wie man sich gegen Abzockerei wehrt: Oft ärgert man sich über Warteschleifen, wenn man eine Dienstleistungstelefonnummer anruft. Ist diese gebührenpflichtig, kann man die Regeln des OR über Schlechterfüllung anwenden und Schadenersatz verlangen.
Wenn man eine geführenpflichtige Hotline anruft, kommt ein Vertrag zustande. Der Anrufer erwartet eine Dienstleistung. Dies kann eine Beratung sein oder beispielsweise die Vorbestellung eines Veranstaltungsbilletes. Wird der Anrufer in eine gebührenpflichtige Warteschleife umgeleitet, kann das verschiedene Gründe haben.
Natürlich gibt es immer wieder Zeiten, während denen die Servicemitarbeitenden überlastet sind. Dann wäre es korrekt, die Wartezeit und ihre Kosten vorher anzugeben oder noch besser, die Warteschleife gebührenfrei zu gestalten. Das ist technisch möglich. Für Beschwerden, Anfragen oder Reklamationen von Kunde sollte die Hotline kostenlos sein.
|
|
|
|
|
|
Sind Sie bereit für IPv6?: IPv6 wird kommen - im letzten «Thema der Woche» hatten wir einiges über die Hintergründe dieser Entwicklung aufgezeigt. Zwar steht die nächste Generation des weltweiten Standards für Internetprotokolle seit Jahren immer nur in den Startlöchern, ohne es bisher geschafft zu haben, IPv4 abzulösen. Dennoch ist dieser Schritt unausweichlich und überfällig - zu knapp war seinerzeit der Adressraum in IPv4 berechnet worden und zu sehr leiden bereits einige Regionen - vor allem im boomenden fernen Osten - unter der Adressenverknappung. Die Umstellung unseres Internets auf IPv6 ist also nur noch eine Frage des Zeitpunkts.
|
|
|
|
|
|
zeige die ersten 25
|
|
|
|
|
|
|
|
|
