05.03 Identity Sharing, Identity Theft

05 Digital Personality – Identity

Obwohl niemand darüber spricht, nicht einmal die betroffenen Anbieter, passiert es sehr wahrscheinlich sehr häufig. Insbesondere innerhalb einer Familie und unter Freunden werden die Zugangsdaten von Internetdiensten und damit die entsprechende digitale Identität getauscht (in den USA bekannt unter dem Begriff des «Password Sharing»). Da fragt sich, ob dies zivilrechtlich, aber auch strafrechtlich überhaupt erlaubt ist. Dafür bestimmend sind die entsprechenden Nutzungsbedingungen. In der Regel verbieten diese die Weitergabe an unbefugte Dritte. Es gibt aber auch Lizenzen bzw. Abos, die eine Nutzung durch mehrere Personen zulassen. Die Anbieter lösen das Problem der Mehrfachnutzung häufig technisch, indem sie z.B. die gleichzeitige Nutzung auf eine bestimmte Anzahl von Geräten beschränken (s. dazu auch Blick Online 13.03.2021 Netflix will gegen Passwort-Teilen vorgehen). Ein Login mit einem weiteren Gerät ist damit schon technisch nicht möglich. Werden die Zugangsdaten an unbefugte Dritte weitergegeben, ist dies eine Vertragsverletzung nach Art. 97 des Obligationenrechts (OR) und der Anbieter kann bei Verschulden Schadenersatz verlangen. Die Nutzungsbedingungen sehen für diesen Fall auch regelmässig die Sperrung des Accounts vor. Strafrechtlich ist die unbefugte Nutzung einer digitalen Leistung, die jedermann gegen Entgelt zugänglich ist, ein sogenanntes «Erschleichen einer Leistung» nach Art. 150 des Strafgesetzbuches (StGB) (BSK StGB, Weissenberger, Art. 150 StGB, N 41). Das Delikt befindet sich auf der gleichen strafrechtlichen Stufe, wie das Schwarzfahren bei öffentlichen Verkehrsmitteln (das im gleichen Artikel geregelt ist). Da die Anbieter wohl eine negative Publicity befürchten, kappen sie in einem solchen Fall sicherlich den Account, werden aber wohl eher keine Anzeige erstatten. Mir ist auf jeden Fall kein entsprechender Fall in der Schweiz bekannt. Bestraft wird zudem lediglich derjenige, der die fremde Identität nutzt, jedoch nicht derjenige, der diese weitergegeben hat.

Rechtlich weitaus problematischer ist die Weitergabe, der Diebstahl (Identity Theft) und das unbefugte Verwenden von Login-Daten zu digitalen Dienstleistungen und Datenbanken, die nur einem beschränkten Kreis von Nutzern zur Verfügung stehen. Dies trifft generell auf E-Mail-Server zu (insb. BGer 6B_615/2014, 6B_456/2007), m.E. aber auch auf Social-Media-Plattformen, wie Facebook und Instagram, wie auch auf Zugänge zu Systemen von Arbeitgebern, bei denen sich Mitarbeitende einloggen können. Falls eine Bereicherungsabsicht besteht, ist dieses Verhalten m.E. nach Art. 143 StGB strafbar, und zwar von Amtes wegen, zum Nachteil von Angehörigen nur auf Antrag. Besteht keine Bereicherungsabsicht, kann die Tat nach Art. 143bis StGB (auch sog. Hacker-Tatbestand) nur auf Antrag bestraft werden. In diesem Kontext kann auch die Weitergabe von Login-Daten strafbar sein, und zwar von Amtes wegen.

Nach Art. 179decies des revidierten Strafgesetzbuches (StGB, Identitätsmissbrauch, in Kraft seit 01.09.2023) wird neu auf Antrag mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft, wer die Identität einer anderen Person ohne deren Einwilligung verwendet, um dieser zu schaden oder um sich oder einem Dritten einen unrechtmässigen Vorteil zu verschaffen. Die Tragweite der Norm ist sehr breit: Die «Identität» einer Person meint nicht nur deren Namen, sondern auch andere Merkmale wie deren Bild, deren Kontonummer, deren Benutzername oder Nickname, deren Internetadresse oder auch die Kombination von Merkmalen, die eine bestimmte Person identifizierbar machen. Erfasst wird also etwa derjenige, der ein fremdes Online-Konto benutzt; ebenso wie derjenige, der ein solches unter fremdem Namen einrichtet oder unter fremdem Namen auftritt. Solche Fälle konnten bisher über das Strafrecht häufig nicht erfasst werden, oder zumindest nicht zum Schutz desjenigen, dessen Identität verwendet wurde (z.B. für einen Betrug). Die Verwendung einer fremden Identität aus reinem Übermut oder als Scherz fällt nicht unter die Bestimmung. Der Täter muss in der Absicht handeln, Schaden zu verursachen oder einen Vorteil zu erwirken (wobei die Absicht, beim Betroffenen massiven Ärger auszulösen, genügen soll). Auch die Verwendung erfundener Identitäten ist nicht erfasst. Nicht erfasst ist ferner der Fall, in welchem eine Person zwar identifizierende Merkmale einer anderen Person verwendet, jedoch nicht deren Identität behauptet (z.B. der Bühnenauftritt eines Kabarettisten unter Verwendung einer Maske mit dem Abbild eines Politikers) (David Rosenthal, Das neue Datenschutzgesetz, in Jusletter 16. November 2020, S. 74 f.)

05 Digital Personality – Identity