05 Digital Personality

«Privacy» ist das Key Issue der digitalen Welt; nicht nur wegen des Datenschutz-Hypes betreffend die Internet-Community Facebook. Privacy ist aber keine Erfindung des digitialen Zeitalters, sondern wurde bereits im ersten Zivilgesetzbuch (ZGB) der Schweiz von 1907 in den Art. 27 ff., dem Schutz der Persönlichkeit, reguliert. Gemäss Art. 31 ZGB beginnt die Persönlichkeit bei natürlichen Personen mit dem Leben nach der vollendeten Geburt und endet mit dem Tode. Vor der Geburt ist das Kind unter dem Vorbehalt rechtsfähig, dass es lebendig geboren wird. Eine juristische Person erlangt ihre Persönlichkeit durch einen juristischen Akt, gemäss Art. 52 ZGB durch den Eintrag ins Handelsregister. Keiner Eintragung bedürfen die öffentlich-rechtlichen Körperschaften und Anstalten sowie die Vereine, die nicht wirtschaftliche Zwecke verfolgen. Die Existenz einer juristischen Person endet mit ihrer (freiwilligen oder gesetzlich erzwungenen) Liquidation (Art. 57 ff. ZGB). Gemäss Duden versteht man unter Identity bzw. Identität die «Echtheit einer Person» bzw. eben einer Persönlichkeit nach ZGB. Man spricht auch von Authentizität. Diese, bereits Anfang des letzten Jahrhunderts im schweizerischen Recht verankerten Begriffe transferieren wir nachfolgend in die digitale Welt, und überlegen uns, wie eine Persönlichkeit im Rechtssinne in dieser Welt ensteht, welchen Gefahren sie dort ausgesetzt ist, wie sie von diesen rechtlich geschützt wird und was mit der digitalen Indentität passiert, wenn die natürliche oder juristische Person dahinter stirbt bzw. liquidiert wird.

Aus juristischer Sicht kann eine Person nur eine Identität haben. Aber auch schon offline ist es möglich, dass eine Person verschiedene, andere Identitäten vorspiegelt. Online ist dies noch viel einfacher. Es ist sogar so, dass sich Personen weitere digitale Identitäten zulegen, die dies offline nie tun würde. Dabei geht es in der Regel um Privacy. Personen möchten z.B. nicht, dass Anbieter oder Dritte wissen, dass sie einen bestimmen digitalen Service nutzen.

Typen digitaler Identitäten

Es stellt sich für die Juristen also die Frage, wie man online sicher sein kann, dass das Gegenüber wirklich dasjenige ist, mit dem man kommunizieren möchte.

Dieses Problem haben Schweizer Banken bereits seit dem Jahre 1996, seit sie ihren Kunden Online-Dienstleistungen anbieten (s. Furrer/Dietrich, HSLU – W,  Geschichte des Online-Banking). Gelöst haben das die Banken mittels spezieller Vereinbarung für Online-Dienstleistungen bzw. heute E-Banking. Der Kunde wird von der Bank offline eindeutig indetifiziert. Ebenfalls erhält er offline einen Benutzer-Name sowie ein Passwort; in der Regel verbunden mit einer zusätzlichen Authetifizierung durch Zustellung eines Codes per SMS bei der Anmeldung oder Erfassung einer online angezeigten Grafik mit einem Smartphone. Juristisch handelt es sich dabei um eine mit dem spezifischen Geschäftsverhältnis vereinbarten und kreierten digitalen Identität, verbunden mit entsprechender digitaler Signatur (Benutzername, Passwort, evtl. zusätzlichem Code über Smartphone). Zum gleichen Typ einer digitalen Identität gehören auch die meisten anderen, im E-Commerce verwendeten Identitäten, z.B. für Facebook, Instagram, Amazon, Netflix, Tages-Anzeiger, LeShop.

Eine universale digitale Identität ist dagegen die qualifizierte digitale Signatur gemäss dem Bundesgesetz über die elektronische Signatur (ZertES; s. 04 Verträge in digitalen Projekten, s. auch Info auf der Website des BAKOM).

Identity Sharing, Identity Theft

Obwohl niemand darüber spricht, nicht einmal die betroffenen Anbieter, passiert es sehr wahrscheinlich sehr häufig. Insbesondere innerhalb einer Familie und unter Freunden werden die Zugangsdaten von Internetdiensten und damit die entsprechende digitiale Identität getauscht (in den USA bekannt unter dem Begriff des «Password Sharing»). Da fragt sich, ob dies zivilrechtlich, aber auch strafrechtlich überhaupt erlaubt ist. Dafür bestimmend sind die entsprechenden Nutzungsbedigungen. In der Regel verbieten diese die Weitergabe an unbefugte Dritte. Es gibt aber auch Lizenzen bzw. Abos, die eine Nutzung durch mehrere Personen zulassen. Die Anbieter lösen das Problem der Mehrfachnutzung häufig technisch, indem sie z.B. die gleichzeitige Nutzung auf eine bestimmte Anzahl von Geräten beschränken. Ein Login mit einem weiteren Gerät ist damit schon technisch nicht möglich. Werden die Zugangsdaten an unbefugte Dritte weitergegeben, ist dies eine Vertragsverletzung nach Art. 97 des Obligationenrechts (OR) und der Anbieter kann bei Verschulden Schadenersatz verlangen. Die Nutzungsbedigungen sehen für diesen Fall auch regelmässig die Sperrung des Accounts vor. Strafrechtlich ist die unbefugte Nutzung einer digitalen Leistung, die jedermann gegen Entgelt zugänglich ist, ein sogenanntes «Erschleichen einer Leistung» nach Art. 150 des Strafgesetzbuches (StGB) (BSK StGB, Weissenberger, Art. 150 StGB, N 41). Das Delikt befindet sich auf der gleichen strafrechtlichen Stufe, wie das Schwarzfahren bei öffentlichen Verkehrsmitteln (das im gleichen Artikel geregelt ist). Da die Anbieter wohl eine negative Publicity befürchten, kappen sie in einem solchen Fall sicherlich den Account, werden aber wohl eher keine Anzeige erstatten. Mir ist auf jeden Fall kein entsprechender Fall in der Schweiz bekannt. Bestraft wird zudem lediglich derjenige, der die fremde Identität nutzt, jedoch nicht derjenige, der diese weitergegeben hat.

Rechtlich weitaus problematischer ist die Weitergabe, der Diebstahl (Identity Theft) und das unbefugte Verwenden von Login-Daten zu digitalen Dienstleistungen und Datenbanken, die nur einem beschränkten Kreis von Nutzern zur Verfügung stehen. Dies trifft generell auf E-Mail-Server zu (insb. BGer 6B_615/2014, 6B_456/2007), m.E. aber auch auf Socialmedia-Plattformen, wie Facebook und Instagram, wie auch auf Zugänge zu Systemen von Arbeitgebern, bei denen sich sich Mitarbeitende einloggen können. Falls eine Bereicherungsabsicht besteht, ist dieses Verhalten m.E. nach Art. 143 StGB strafbar, und zwar von Amtes wegen, zum Nachteil von Angehörigen nur auf Antrag. Besteht keine Bereicherungsabsicht, kann die Tat nach Art. 143bis StGB (auch sog. Hacker-Tatbestand) nur auf Antrag bestraft werden. In diesem Kontext kann auch die Weitergabe von Login-Daten strafbar sein, und zwar von Amtes wegen.

Digitaler Tod

Jeden Tat sterben Tausende von Nutzern von digitalen Diensten, wie z.B. auch Facebook und Instagram. Digital leben sie weiter, solange ihre Accounts nicht gelöscht werden, also auch ihr digitaler Tod eintritt. Vielen Leuten dürfte es egal sein, was nach ihrem Tod mit ihren Daten in den verschiedenen Clouds und Social Media passiert. Viele möchte jedoch darüber bestimmen. Zudem gibt es auch Angehörige, die von einem Weiterbestehen von entsprechenden Social Media Accounts betroffen sind. Es fragt sich daher, was man in diesen Fällen tun bzw. wie man entsprechend vorsorgen kann und welches die Möglichkeiten für die Angehörigen sind, wenn der Erblasser nichts diebezügliches verfügt hat.

Das einfachste wäre, wenn der Erblasser verfügt, dass seine Erben Zugriff auf seine digitalen Daten bei digitalen Clouds und Diensten erhalten sollen und seiner Verfügung die entsprechenden Zugangsdaten beifügt oder diese anderweitig so deponiert, dass sie von den Erben nach seinem Tod einfach zugänglich sind. In diesem Fall können nämlichen die Erben ohne Kontaktnahme mit den entsprechenden Providern schlicht über die nämlichen Daten verfügen, insbesondere auch entsprechende Accounts von sich aus löschen. Damit eine solche Verfügung gültig ist, sollte sie nach Art. 498 ZGB öffentlich beurkundet oder vollständig eigenhändig (von Hand geschrieben) verfasst werden. Zudem könnte es sinnvoll sein, für das Handling der digitalen Daten einen mit den entsprechenden Medien (auch juristisch) vertraute Person zu bestimmen (Willensvollstrecker), z.B. einen im digitalen Recht spezialisierten Rechtsanwalt.

Liegt keine entsprechende Verfügung mit den entsprechenden Zugangsdaten vor, ist davon auszugehen, dass der digitale Nachlass gemäss Art. 560 ZGB im Rahmen einer Generalsukzession auf die gesetzlichen oder eingesetzten Erben übergeht. Damit erhalten die Erben auch einen eigenen Anspruch auf den Zugang zu diesen Daten. Solange die betroffenen Anbieter von Cloud-Services und anderen digitalen Dienstleistungen ihren Sitz in der Schweiz haben, sollte die Durchsetzung machbar sein. Problematisch ist es aber, wenn die nämlichen Provider, wie insb. Microsoft, Apple, WhatsApp, Facebook und Instagram ihren Sitz im Ausland haben, wie die meisten z.B. in den USA, ist eine Durchsetzung der entsprechenden Rechte komplizierter. Nicht gültig sein dürften jedoch gemäss Nutzungsbedigungen vereinbarte ausländische Gerichtsstände, soweit es sich bei den Erblassern um Privatpersonen handelt. Gemäss Art. 15 Lugano Übereinkommen (LugÜ, angewendet im Verhältnis Schweiz-EU) und Art. 120 des Gesetzes über das Internationale Privatrecht (IPRG; angewendet im Verhältnis Schweiz-«Rest der Welt») haben Konsumentinnen und Konsumenten immer das Anrecht auf den Gerichtsstand am Wohnsitz. Dort könnten dann auch ausländische Provider eingeklagt werden.

Eine Zusammenstellung der Nutzungsbedigungen der Provider beim Tod der Nutzer von Julia Hostettler findet sich unter folgendem Link: Hostettler, Nutzungsbedingungen der Provider beim Tod der Nutzer, 2018.

Ein detaillierter Darstellung der Problematik findet sich in einem Artikel von Prof. Dr. oec. Hans Rainer Künzle, Uni Zürich: Digitaler Nachlass nach schweizerischem Recht, successio 9, 2015, S. 39 ff..