DuD-Fachbeiträge Kevin Marschall Rechtsverträgliche Gestaltung IT- forensischer Systeme Eine Untersuchung am Beispiel der Aufdeckung und Beweisbarkeit von Versicherungsbetrug DuD-Fachbeiträge Reihe herausgegeben von Gerrit Hornung, Kassel, Deutschland Helmut Reimer, Erfurt, Deutschland Karl Rihaczek, Bad Homburg v.d. Höhe, Deutschland Alexander Roßnagel, Kassel, Deutschland Die Buchreihe ergänzt die Zeitschrift DuD – Datenschutz und Datensicherheit in einem aktuellen und zukunftsträchtigen Gebiet, das für Wirtschaft, öffentliche Verwaltung und Hochschulen gleichermaßen wichtig ist. Die Thematik verbin- det Informatik, Rechts-, Kommunikations- und Wirtschaftswissenschaften. Den Lesern werden nicht nur fachlich ausgewiesene Beiträge der eigenen Disziplin geboten, sondern sie erhalten auch immer wieder Gelegenheit, Blicke über den fachlichen Zaun zu werfen. So steht die Buchreihe im Dienst eines interdiszip- linären Dialogs, der die Kompetenz hinsichtlich eines sicheren und verantwor- tungsvollen Umgangs mit der Informationstechnik fördern möge. Reihe herausgegeben von Prof. Dr. Gerrit Hornung Dr. Karl Rihaczek Universität Kassel Bad Homburg v.d. Höhe Prof. Dr. Helmut Reimer Prof. Dr. Alexander Roßnagel Erfurt Universität Kassel Weitere Bände in der Reihe http://www.springer.com/series/12486 Kevin Marschall Rechtsverträgliche Gestaltung IT- forensischer Systeme Eine Untersuchung am Beispiel der Aufdeckung und Beweisbarkeit von Versicherungsbetrug Mit einem Geleitwort von Prof. Dr. Alexander Roßnagel Kevin Marschall Kassel, Deutschland Die vorliegende Arbeit wurde vom Fachbereich Wirtschaftswissenschaften der Universität Kassel als Dissertation zur Erlangung des akademischen Grades eines Doktors der Rechtswissenschaften (Dr. jur.) angenommen. Erster Gutachter: Prof. Dr. Alexander Roßnagel Zweiter Gutachter: Prof. Dr. Georg von Wangenheim Tag der mündlichen Prüfung: 06.02.2019 ISSN 2512-6997 ISSN 2512-7004 (electronic) DuD-Fachbeiträge ISBN 978-3-658-26236-5 ISBN 978-3-658-26237-2 (eBook) https://doi.org/10.1007/978-3-658-26237-2 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National- bibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Vieweg © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von allgemein beschreibenden Bezeichnungen, Marken, Unternehmensnamen etc. in diesem Werk bedeutet nicht, dass diese frei durch jedermann benutzt werden dürfen. Die Berechtigung zur Benutzung unterliegt, auch ohne gesonderten Hinweis hierzu, den Regeln des Markenrechts. Die Rechte des jeweiligen Zeicheninhabers sind zu beachten. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informa- tionen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Springer Vieweg ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und ist ein Teil von Springer Nature Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany Vorwort des Herausgebers Gegenstand der Arbeit ist ein für Wirtschaft und Gesellschaft sowie das Verhältnis von Recht und Technik aktuelles und bedeutsames Thema, nämlich der Einsatz von IT-forensischen Systemen zur Aufdeckung und zum Nachweis von Versiche- rungsbetrug. Für diesen untersucht die Arbeit, wie IT-forensische Systeme gestal- tet sein müssen, um die beweisrechtlichen und datenschutzrechtlichen Anforde- rungen zu erfüllen. Für die Meldung von Schäden gegenüber Versicherungen wer- den immer häufiger elektronische Dokumente und elektronische Bilder genutzt. Dies führt auf Seiten der Versicherten auch dazu, dass Versuche, Schadensmel- dungen betrügerisch einzureichen, zunehmend auch die Manipulationsmöglich- keiten elektronischer Texte und Bilder ausnutzen. Die Versicherungen versuchen aus Effizienzgründen, diese Schadensmeldungen soweit wie möglich standardi- siert und mit Technikunterstützung zu bearbeiten und zu regulieren. Dadurch fehlt es an der händischen Bearbeitung der Schadensmeldungen durch geschulte und erfahrene Sachbearbeiter, die Betrugsversuche leicht erkennen können. Versiche- rungen würden daher gern – soweit dies möglich ist – IT-forensische Systeme einsetzen, um Betrugsversuche automatisiert zu erkennen. Diese IT-forensischen Systeme haben eine doppelte Funktion. Sie sollen zum einen Schadensmeldungen aussondern, die verdächtig erscheinen und sie einer gesonderten Prüfung inner- halb der Versicherung zuführen. Sie sollen zum anderen vor Gericht eingesetzt werden können, wenn die Versicherung die Regulierung des Schadens ablehnt und von dem enttäuschten Versicherten vor einem Zivilgericht auf Zahlung des Schadensausgleichs verklagt wird. Das Gleiche gilt, wenn die Versicherung den Betrugsversuch anzeigt und die Staatsanwaltschaft oder das Strafgericht prüfen, ob ein strafbarer Betrug oder Betrugsversuch vorliegt. Die IT-forensischen Systeme sollen jedoch nicht nur im informationstechni- schen Sinn funktional sein, sondern auch rechtsverträglich. Sie sollen die recht- lichen Anforderungen der rechtsrelevanten Verfahren in der Versicherung und die prozessrechtlichen Anforderungen der Beweisaufnahmen vor Gericht bestmög- lich erfüllen. Sie sollen insbesondere die Voraussetzungen eines Versicherungs- betrugs kennen und Hinweise für dessen Aufdeckung liefern und sie sollen taug- liche Beweise bieten, um eine Beweisaufnahme vor Gericht durchführen zu können. Andererseits müssen sie aber auch die Grundrechte der betroffenen Antragsteller berücksichtigen und deren schutzwürdige Interessen achten. VI Vorwort des Herausgebers Hier setzt die Arbeit von Kevin Marschall an. Sie verfolgt das Ziel, die IT- forensischen Systeme rechtsverträglich zu gestalten, wobei ihre beweissichere und zugleich datenschutzkonforme Gestaltung im Vordergrund steht. Zu diesem Zweck entwickelt sie in einem mehrstufigen Prozess rechtliche Anforderungen und Kriterien sowie technische Gestaltungsziele, denen die IT-forensischen Sys- teme gerecht werden müssen, um ohne Nachteile in der Praxis eingesetzt werden zu können. Für diesen Zweck sind zum einen die Konkretisierungen des Rechtsstaats und der Grundrechte zu untersuchen, die von den IT-forensischen Systemen betroffen sind. Zum anderen sind die Auswirkungen der IT-forensischen Systeme hinsichtlich ihrer Vor- und Nachteile, Chancen und Risiken zu erfassen. Drittens sind Empfehlungen zur technischen und organisatorischen Gestaltung von IT- forensischen Systemen zu erarbeiten, die die Chancen fördern und Grundrechts- risiken vermeiden. Dies sind drei – methodisch wie fachlich – große Herausfor- derungen für die Rechtswissenschaft. Eine umfassende und systematische Untersuchung der rechtsstaatlichen, der beweisrechtlichen, der versicherungsrechtlichen und der grundrechtlichen Fragen von IT-forensischen Systemen für Versicherungsbetrug sowie ihrer rechtsverträg- lichen Gestaltung fehlt bisher. Mit der ersten zu diesem Themenbereich vorgeleg- ten monographischen Untersuchung füllt Kevin Marschall somit eine wesentliche Lücke im Recht moderner Informations- und Kommunikationstechniken. Indem er die für IT-forensische Systeme anwendbaren Grundrechte und einfachgesetzli- chen Regelungen untersucht, bietet er sowohl wertvolle Hinweise für das notwen- dige Rechtsverständnis gegenüber moderner Technik und damit grundlegende Hilfestellungen für die Praxis. Indem er zeigt, wie grundrechtliche Risiken durch die rechtsverträgliche Gestaltung von IT-forensischen Systemen vermieden wer- den können, trägt er zur Bewältigung schwieriger grundlegender Fragen der künf- tigen Rechtspraxis bei. Die Arbeit entstand zu großen Teilen im Rahmen der Mitarbeit in dem For- schungsprojekt „Erkennung von Wirtschaftskriminalität und Versicherungs- betrug“ (EWV). Dieses Forschungsprojekt wurde von Januar 2015 bis März 2018 mit Unterstützung des Bundesministeriums für Bildung und Forschung im Rah- men des Programms „Forschung für die Zivile Sicherheit“ von einem interdiszip- linären Konsortium durchgeführt, das aus den Partnern Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt, Fachhochschule Dortmund, Insti- tut Psychologie & Bedrohungsmanagement, mh SERVICE GmbH, Finanzamt Gotha und Mannheimer Versicherung AG bestand. Die Fragen rechtsverträglicher Vorwort des Herausgebers VII Gestaltung der IT-forensischen Systeme untersuchte die Projektgruppe verfas- sungsverträgliche Technikgestaltung (provet) im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel. In diesem Kontext bearbeitete Kevin Marschall selbstständig die in dieser Arbeit behandelten Rechtsfragen in enger interdisziplinärer Zusammenarbeit mit Informatikern und Praktikern. Für die künftige Entwicklung und Gestaltung von IT-forensischen Systemen sowie die rechtswissenschaftliche Diskussion über diese ist zu hoffen, dass die Entscheidungsträger in Politik, Wirtschaft, Justiz, Gesellschaft und Wissenschaft die Hinweise dieser Arbeit zur Kenntnis nehmen und bei ihren Entscheidungen berücksichtigen. Kassel, im Februar 2019 Alexander Roßnagel Inhaltsübersicht 1 Einleitung, Methodik und Aufbau der Arbeit ........................................................ 1 2 Grundlagen .............................................................................................................. 25 3 Technik und Verfahren IT-forensischer Untersuchungen .................................. 83 4 (Verfassungs-)Rechtliche Vorgaben, Funktion und Bedeutung ........................ 119 5 Chancen und Risiken IT-forensischer Systeme .................................................. 141 6 Rechtliche Anforderungen an IT-forensische Systeme (A) ................................ 183 7 Rechtliche Kriterien für IT-forensische Systeme (K) ......................................... 211 8 Gestaltungsziele IT-forensischer Systeme (Z) ..................................................... 401 9 Zusammenfassung und Schlussbetrachtung – Gestaltungskatalog................... 453 Inhaltsverzeichnis 1 Einleitung, Methodik und Aufbau der Arbeit ........................................................ 1 1.1 Rechtsverträgliche Technikgestaltung .................................................................. 6 1.1.1 Verhältnis des Rechts zur Technik .............................................................. 7 1.1.2 Verhältnis der Technik zum Recht .............................................................. 8 1.2 Methode zur Konkretisierung rechtlicher Anforderungen .................................... 9 1.2.1 (Verfassungs-)Rechtliche Vorgaben (Vorstufe) ........................................ 10 1.2.2 Rechtliche Anforderungen (1. Stufe) ........................................................ 11 1.2.3 Rechtliche Kriterien (2. Stufe) .................................................................. 12 1.2.4 Technische Gestaltungsziele (3. Stufe) ..................................................... 13 1.2.5 Technische Gestaltungsvorschläge (4. Stufe) ........................................... 14 1.2.6 Anwendung von KORA und Grenzen ...................................................... 15 1.3 Ziel, Aufbau und Inhalt der Arbeit sowie Stand der Forschung .......................... 16 2 Grundlagen .............................................................................................................. 25 2.1 Wirtschaftskriminalität ....................................................................................... 25 2.1.1 Begriff der Wirtschaftskriminalität und Entwicklung ............................... 25 2.1.2 Herausforderungen der Eindämmung ....................................................... 26 2.2 Versicherungsbetrug ........................................................................................... 27 2.2.1 Beteiligte Rechtssubjekte (Schädiger und Geschädigte) ........................... 27 2.2.1.1 Versicherungsunternehmen (Versicherer) ..................................... 28 2.2.1.2 Versicherungsnehmer und Versicherte .......................................... 29 2.2.1.3 Versicherungsvermittler ................................................................ 30 2.2.1.4 Drittbeteiligte ................................................................................. 30 2.2.2 Rechtliche Bewertung des Versicherungsbetrugs ..................................... 31 2.2.2.1 Versicherungsrechtliche Bewertung .............................................. 31 2.2.2.2 Strafrechtliche Bewertung ............................................................. 34 2.2.3 Fakten zum Versicherungsbetrug .............................................................. 38 2.2.4 Schadensersatz- und Regressansprüche des Versicherers ......................... 40 2.2.5 Rolle der Akteure im Zivilprozess und Möglichkeiten des Beweises ....... 43 2.2.5.1 Regelungen und Grundsätze im zivilprozessualen Verfahren........ 43 2.2.5.2 Grundsätze des Beweisrechts......................................................... 48 2.2.5.3 Beweismaß und Beweiswürdigung (§ 286 ZPO) ........................... 51 2.2.5.4 Anscheinsbeweis ........................................................................... 53 2.2.5.5 Beweismittel im Zivilprozess ........................................................ 55 2.2.5.5.1 Zeugenbeweis (§§ 373 – 401 ZPO) ................................... 56 2.2.5.5.2 Sachverständigenbeweis (§§ 402 – 414 ZPO) ................... 57 2.2.5.5.3 Urkundsbeweis (§§ 415 – 444 ZPO) ................................. 58 2.2.5.5.4 Augenscheinsbeweis (§§ 371 – 372a ZPO) ....................... 59 2.2.5.6 eIDAS-Verordnung ....................................................................... 63