Pressemitteilung

TeleTrusT: Sicherheitslücken bei Smartphones sind Haftungsrisiko für Telekommunikationsdienstleister

Für Sicherheitsrisiken bei Smartphones ist die Mehrheit der Deutschen nicht sensibilisiert. Vor diesem Hintergrund müssen Gerätehersteller die Sicherheit mobiler Endgeräte als pro-aktive Verpflichtung betrachten. Denn im Schadensfall haben die Betroffene Rechte.

Lediglich 38 % der Befragten halten zum Beispiel Datenverschlüsselung während der Nutzung mobiler Geräte für notwendig. Jeder Fünfte ist der Meinung, es gebe keine besonderen Sicherheitsmaßnahmen, die im Umgang mit mobilen Geräten berücksichtigt werden müssten. Zu diesem Ergebnis kommt die repräsentative Verbraucher-Umfrage "Mobile Geräte im Alltag" von Steria Mummert Consulting und dem Marktforschungsunternehmen Toluna, bei der 1.000 Bundesbürger befragt wurden.

Die Haftung für Schäden aufgrund von Sicherheitslücken obliegt nach Auffassung von Datenschutzrechtsexperten grundsätzlich durchaus dem "Datenverarbeiter". Sofern allerdings, wie in den häufigsten Fällen, ein Angreifer zwischen Nutzer und Telekommunikationsdatenverarbeiter tritt, um vorsätzlich und missbräuchlich Daten zu erlangen, ist dieser Dritte haftbar und schadenersatzpflichtig.

Dennoch sollte § 7 Bundesdatenschutzgesetz (BDSG) beachtetet werden: "Fügt eine verantwortliche Stelle dem Betroffenen […] einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadenersatz verpflichtet." Der betroffene Kunde eines Telekommunikationsanbieters kann sich also an die für den Datenmissbrauch verantwortliche Stelle wenden.

Gravierende Sicherheitslücken müssen unverzüglich behoben werden, woran die Telekommunikationsdienstleister schon wegen der Vermeidung von Imageschäden wirtschaftliches Interesse haben sollten. Ferner müssen Betroffene über bekanntgewordene "Datenpannen" informiert werden, insbesondere dann, wenn ein Missbrauchsrisiko besteht.

Anwendbar ist das Recht des Ortes, an dem die Datenverarbeitung stattfindet, sowie nach dem Sitz des Datenverarbeiters. Um bei Telekommunikationsdienstleistern mit Sitz im Ausland zu ermitteln, inwieweit deutsches Datenschutzrecht anwendbar ist, muss im Einzelfall geprüft werden, ob die angegriffenen Daten in Deutschland erhoben und erfasst wurden.