Die Digitalisierung eröffnet Chancen – und schafft gleichzeitig erhebliche Risiken. Phishing-Angriffe, Datenlecks und Deepfakes zählen heute zu den größten Bedrohungen für die Datensicherheit und werfen komplexe rechtliche Fragen auf.

Phishing – Wenn die Täuschung per Mausklick erfolgt

Eine dringende Nachricht der Hausbank, ein vermeintlich verpasstes Paket, ein angeblich kompromittiertes Konto: Phishing-Angriffe setzen auf Täuschung und Zeitdruck. Hinter gefälschten E-Mails, SMS oder Websites steckt stets dasselbe Ziel: vertrauliche Daten abzugreifen. Strafrechtlich bewegt sich Phishing in einem weiten Feld: von Betrug (§§ 146, 147 StGB) über das Ausspähen von Zahlungsmitteldaten (§ 241h StGB) bis hin zu Datenbeschädigung (§ 126a StGB) und widerrechtlichem Zugriff auf Computersysteme (§ 118a StGB).

Doch nicht nur die Täter tragen Risiken – auch betroffene Unternehmen können in die Haftung geraten. Art 32 DSGVO verlangt angemessene technische und organisatorische Schutzmaßnahmen, wie etwa Zwei-Faktor-Authentifizierung, Verschlüsselung und regelmäßige Mitarbeiterschulungen. Wer hier spart, riskiert nicht nur erfolgreiche Angriffe, sondern auch behördliche Sanktionen und Schadenersatzforderungen.

Im Ernstfall ist schnelles Handeln entscheidend: Strafanzeige erstatten, die Bank informieren, den Vorfall lückenlos dokumentieren. Das Problem: Zivilrechtliche Ansprüche gegen die Täter laufen häufig ins Leere. Bei nicht autorisierten Zahlungsvorgängen kann unter bestimmten Voraussetzungen aber die kontoführende Bank gemäß § 67 ZaDiG 2018 haften.

Datenlecks (Leaks) – Wenn Daten außer Kontrolle geraten

Datenlecks, also das unbeabsichtigte oder unrechtmäßige Offenlegen personenbezogener Informationen, haben viele Gesichter: sei es ein gezielter Hackerangriff, eine nicht erkannte Sicherheitslücke, menschliches Versagen oder ein böswilliger Insider.

Die DSGVO nimmt Verantwortliche hier in die Pflicht – und zwar schnell: Art 33 DSGVO setzt eine Frist von nur 72 Stunden, um Datenschutzverletzungen der Behörde zu melden. Besteht ein hohes Risiko für die Betroffenen, müssen auch diese unverzüglich informiert werden (Art 34 DSGVO). Wer diese Pflichten missachtet, riskiert nicht nur empfindliche Bußgelder, sondern auch Schadenersatzforderungen nach Art 82 DSGVO.

Handelt es sich gleichzeitig um einen IT-Sicherheitsvorfall, können zusätzliche Meldepflichten greifen, etwa nach dem NISG, RKEG oder DORA. Unternehmen sollten daher nicht erst im Ernstfall reagieren, sondern bereits vorab klare Prozesse etablieren: Ein durchdachtes Incident Response Management und regelmäßig geschulte Mitarbeiter sind der Schlüssel, um im Fall der Fälle handlungsfähig zu bleiben.

Deepfakes – Wenn die Realität manipuliert wird

Sie wirken täuschend echt und sind doch vollständig künstlich: Deepfakes – durch KI erzeugte oder manipulierte Bild-, Audio- und Videoinhalte – haben längst den Sprung von der technischen Spielerei zur ernsthaften Bedrohung geschafft. Ihr Einsatzspektrum reicht von harmloser Satire bis hin zu schwerwiegenden Persönlichkeitsrechtsverletzungen, ausgefeilten Betrugsmaschen und der massenhaften Verbreitung von Falschinformationen.

Die rechtliche Einordnung von Deepfakes ist komplex und berührt mehrere Rechtsgebiete. Aus persönlichkeitsrechtlicher Sicht können die Erstellung und Verbreitung von Deepfakes eine Verletzung des Rechts am eigenen Bild (§ 78 UrhG) darstellen. Strafrechtlich kommen ua Ehrdelikte (§§ 111, 115 StGB) oder Cyber-Mobbing (§ 107c StGB) in Betracht. Besonders perfide: gefälschte Videoanrufe oder manipulierte Sprachnachrichten, die Opfer zu Handlungen verleiten sollen, was regelmäßig als Betrug (§§ 146, 147 StGB) einzustufen ist.

Die KI-Verordnung definiert erstmals gesetzlich, was ein "Deepfake" ist (Art 3 Z 60 KI-VO) und verpflichtet zur transparenten Kennzeichnung solcher Inhalte (Art 50 Abs 4 KI-VO). Böswillige Akteure werden sich von Offenlegungspflichten jedoch kaum beeindrucken lassen. Umso wichtiger bleibt ein gesundes Maß an Skepsis, gerade bei unerwarteten Nachrichten oder ungewöhnlichen Anfragen, selbst wenn sie scheinbar von vertrauten Kontakten stammen.

Fazit

Phishing, Datenlecks und Deepfakes stellen die Rechtsordnung vor erhebliche Herausforderungen. Während der Gesetzgeber zunehmend reagiert – etwa durch spezifische Straftatbestände oder die KI-Verordnung –, bleibt die praktische Durchsetzung oft schwierig. Für Unternehmen ist eine proaktive Cybersicherheitsstrategie unerlässlich, für Betroffene sind ein wachsamer Umgang und schnelles Handeln im Ernstfall geboten.