Cybercrime Blog mit Beiträgen zu Cybercrime, Technologiestrafrecht und Computerstrafrecht von Rechtsanwalt Jens Ferner, der Fachanwalt für IT-Recht und Fachanwalt für Strafrecht ist. Kurze Beiträge, die für den Blog zu kurz sind, erscheinen zudem im Linked-In-Profil von RA JF.
Gebloggt wird hier speziell in den typischen Cybercrime-Bereichen, vom Ausspähen von Daten, Urheberstrafrecht, Datensabotage über Computerbetrug bis hin zur Wirtschaftsspionage und Wettbewerbsstrafrecht. Im Folgenden finden Sie ausgewählte Beiträge und Urteile zum Thema Cybercrime in unserem Cybercrime Blog.
Als Strafverteidiger muss ich mich am Rande durchaus häufig mit der Problematik der „erkennungsdienstlichen Behandlung“ auseinandersetzen. Es ist dabei durchaus als üblich zu bezeichnen, dass bereits bei Ersttätern und Bagatelltaten wie Beleidigung solche erkennungsdienstlichen Behandlungen angeordnet werden. Die insgesamt 3 Ermächtigungstatbestände die es hier gibt und die zudem recht konturlos sind, ermöglichen den Behörden an dieser Stelle sehr viel Spielraum. So musste ich etwa auf verwaltungsrechtlichem Wege verhindern, dass jemand einer ED-Behandlung unterzogen wird, weil er Bengalos im Fussballstadion gezündet hatte.
Jedenfalls aber, wenn irgendein Bezug zu sexuellen Handlungen besteht – selbst wenn diese nicht strafwürdig sind – muss man damit rechnen, dass eine ED-Behandlung angeordnet wird. Eine aktuelle Entscheidung, bei der es vordergründig „nur“ um den Hack eines Facebok-Accounts geht, verdeutlicht dies.
(mehr …)
Das OLG Hamm (5 RVs 56/13) hat eine Frage entschieden, die durchaus interessant ist – aber in der Praxis kaum Bedeutung haben wird: Wie ist es rechtlich zu beurteilen, wenn jemand eine Selbstbedienungskasse „täuscht“ indem er den einen Artikel einscannt, den anderen dafür aber mitnimmt – ist dies ein Diebstahl oder ein Computerbetrug?
Auftragsverarbeitung: Die Auftragsverarbeitung (früher im BDSG noch „Auftragsdatenverarbeitung“) ist inzwischen durchaus bekannt: Wenn jemand einen anderen Beauftragt, für ihn Daten zu verarbeiten, greift die Auftragsverarbeitung nach DSGVO.
Durch diese Regelung wird die Datenverarbeitung auf der einen Seite vereinfacht: Im Rahmen einer Auftragsdatenverarbeitung wird der eigentlich als „Dritte“ zu betrachtende Verarbeiter quasi eine Einheit mit dem Auftraggeber. Es liegt keine datenschutzrechtlich relevante „Übermittlung an einen Dritten“ vor, die eigentlich die Einwilligung des Betroffenen verlangen würde. Arbeitsprozesse werden somit effizienter. Auf der anderen Seite ist die Situation für den Betroffenen einfacher, er kann sich nämlich weiterhin an den Auftraggeber wenden um seine Rechte geltend zu machen – der Auftraggeber darf den Betroffenen nicht an den Auftragnehmer verweisen.
Doch es gibt Fallstricke – ein kurzer Überblick.
(mehr …)Der Metronaut berichtete (Link geht. inzwischen nicht mehr) von einem interessanten Sachverhalt, der sich nach dortigen Angaben in etwa so abgespielt haben soll:
Der bayerische Landesverband des Deutschen Kinderschutzbundes, droht Metronaut mit rechtlichen Schritten. […] Im Artikel wurden die Phrasen “Kinderschutzbund Bayern” und “Deutscher Kinderschutzbund” mit der Google-Suche nach “Porn” und einem Sexshop verlinkt. […] In einer Mail von heute, 14:39 Uhr wurde der Metronaut-Redaktion nun eine Frist bis morgen, 12 Uhr gesetzt. Wenn bis dahin die Links nicht gelöscht oder korrigiert seien, werde man rechtliche Schritte einleiten, so die Pressestelle des Kinderschutzbundes.
Frage: Ist das Verlinken in diesem Fall tatsächlich ein Problem, das zu einer Abmahnung führen kann?
Beim Bundestag (Drucksache 17/14362) liegt ein Gesetzentwurf des Bundesrats, der in dieser Legislaturperiode nicht mehr kommen wird – gleichwohl sind die Chancen gut, dass der Entwurf auch nach der Wahl, gleich welchen Ausgang sie nimmt, noch Berücksichtigung findet. Ein Grund, einen Blick darauf zu werfen.
(mehr …)
Die Polizeiliche Kriminalstatistik 2012 wurde vorgestellt, dabei spielt erneut die „Cyberkriminalität“ eine Rolle, wie der Pressemitteilung zu entnehmen ist:
Zunehmend beschäftigt die sog. Cyberkriminalität die Polizeien des Bundes und der Länder, also Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik begangen werden, indem etwa Daten ausgespäht und abgefangen werden oder indem mit einer Schadsoftware Daten verändert oder Computer beschädigt werden. 2012 sind solche Delikte im Vergleich zum Vorjahr um 7,5 Prozent auf 63.959 Fälle angestiegen, bei einem vermutlich erheblichen Dunkelfeld.
Der Handreicher zur Statistik spricht insgesamt von 3,4% mehr an Straftaten in diesem Bereich. Von mir ein paar kurze Erläuterungen zu dieser Entwicklung,basierend auf der Gesamtstatistik. Im vorweggenommenen Fazit gibt es eine insgesamt überraschende Entwicklung, die bisher kaum Aufmerksamkeit erhalten hat: Bei den Persönlichkeitsrechtsverletzungen ist eine starke Steigerung zu verzeichnen, während im Bereich klassischer Delikte eher ein Rückgang zu sehen ist. Es scheint sich der Trend zu entwickeln, dass Delikte im individuellen Bereich, also zum Schutz der einzelnen Personen, „im Trend“ liegen und Betroffene hier zunehmend zum Mittel der Strafanzeige greifen. Nachdem seit Jahren Smartphones unseren Alltag prägen während ein Bewusstsein zur Nutzung der damit verbundenen Möglichkeiten kaum vorhanden ist, eine ebenso überfällige wie vorhersehbare Entwicklung.
(mehr …)
Zu meiner Arbeit als Strafverteidiger gehört natürlich auch die Verteidigung von Mandanten beim Vorwurf, kinderpornographische Dateien besessen und/oder verbreitet zu haben. Immer wieder begegne ich dabei im Alltag befremdlichen Vorstellungen, wie hier eigentlich ermittelt wird.
Diese Vorstellungen mögen auch der Grund sein, warum sich ein Trojaner verbreiten kann, der Menschen damit erschrecken kann, der eigene Rechner wäre vom BKA gesperrt worden (dazu hier von mir).
(mehr …)
In einer Strafsache zeigt sich bei mir nochmals deutlich, wie leicht manche Dinge heute fallen: Im Kern ging es darum, dass die Staatsanwaltschaft ein bestimmtes Handy suchte, von dem u.a. die IMEI (das ist eine interne und einmalige Seriennummer des Handys) bekannt war. Mittels richterlichem Beschluss wurden die drei grossen Provider aufgefordert, in Ihren Datenbeständen zu forschen, ob es Verbindungen bei Ihnen gab, die mittels dieser IMEI zu Stande kamen. Tatsächlich meldete sich am Ende ein Provider, der alleine an Hand der IMEI, die in stattgefundener Kommunikation erfasst wurde, einen Vertragspartner benennen konnte. Dauer des ganzen Prozederes: Weniger als 1 Woche.
Bis heute ist wenig bekannt, was technisch möglich ist. Manche gehen immer noch davon aus, dass nur Handykarten „geortet“ werden können. Tatsächlich bieten die Daten bei Providern regelmäßig umfassende Informationen, speziell die IMEI bietet einen guten Ansatzpunkt bei Ermittlungen, zumal sie bei jedem einzelnen Kommunikationsvorgang übermittelt wird. Speziell gestohlene Handys lassen sich auf dem Weg recht schnell wieder auffinden…
Öffentliche Suche nach Zeugen: Inzwischen wird in manchen Fällen auch nach Zeugen digital gefahndet. Dabei stellt sich durchaus die Frage, auf welcher rechtlichen Grundlage dies geschieht.
Rund um die Prozessberichterstattung finden Sie bei uns im Blog diverse Beiträge – unsere Strafverteidiger haben diesen Aspekt aus gutem Grund immer bei Strafverteidigungen im Blick:
Es ist ärgerlich genug, wenn ein Unternehmen Daten „verliert“ – neben einem wirtschaftlichen Schaden droht auch ein Imageschaden. Das ist Grund genug, darüber nachzudenken, die Angelegenheit zu „vertuschen“ und so zu tun, als wäre nichts geschehen. Für die Betroffenen, deren Daten ein Leck geschlagen haben, ist das ein problematisches Verhalten.
Kommt es in einem Unternehmen jedoch zu einem Datenleck – etwa durch einen Hackerangriff, verlorene Datenträger oder den Fehlversand von E-Mails –, stellt sich sofort die Frage nach Melde- und Benachrichtigungspflichten. Heute greifen nicht mehr die alten Regelungen des § 42a BDSG a. F., sondern ein abgestuftes System aus DSGVO (Art. 33, 34), BDSG sowie für zahlreiche Branchen das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und das BSIG.
(mehr …)Erst einmal als kurzer Hinweis, ohne rechtliche Würdigung: Ein von mir als Strafverteidiger betreutes Verfahren im Bereich des Urheberstrafrecht zeigt, dass die GVU weiterhin strafrechtlich gegen Streaming Angebote und wohl auch „damit zusammenhängende Angebote“ vorgeht. Dabei liegt die Betonung an dieser Stelle auf „zusammenhängende Angebote“, womit insbesondere Portalseiten gemeint sind. Als solche „Portalseiten“ sind Angebote gemeint, die selber kein urheberrechtlich geschütztes Material vorhalten, sondern vielmehr „nur“ Links zu solchen Inhalten (nach meinem bisherigen Eindruck etwa einschlägigen Streaming-Seiten oder auch Torrentfiles) bereit stellen. Dabei fungiert das Portal selbst eher als eine Art Suchmaschine, die dann auf die einschlägigen Seite weiterverweist.
Die GVU erkennt bereits in dem Verlinken solcher Angebote eine unerlaubte Verwertung urheberrechtlich geschützter werke nach §106 UrhG sowie einen unerlaubten Eingriff in verwandte Schutzrechte nach §108 Nr.7 UrhG und stellt dann wohl Strafantrag, nach hiesigem Eindruck aber nur wenn eine gewisse Menge an Verweisen vorgehalten wird. Die Staatsanwaltschaft Aachen hat diesbezüglich in der mir vorliegenden Angelegenheit ermittelt und die Sache letztlich tatsächlich zur Anklage gebracht. Damit wird die Frage, ob ein Weblink auf eine urheberrechtlich geschützte Datei eine urheberrechtlich relevante Handlung auch im Bereich des Strafrechts darstellt, demnächst von einem Gericht in der Region Aachen entschieden.
Es sei daher an dieser Stelle nochmals dringend angemahnt, mit einem derartigen Vorgehen vorsichtig zu sein und im Zweifelsfall davon Abstand zu nehmen. Die ausführliche rechtliche Diskussion behalte ich ausdrücklich für einen späteren Zeitpunkt auf dieser Seite vor. An dieser Stelle sei der Hinweis ausreichend, dass ich sehr deutlich zwischen einem zivilrechtlich nicht erlaubten Verlinken und der daneben gesondert zu beurteilenden strafrechtlichen Relevanz unterscheide. Dabei bin ich insbesondere mit dem EUGH der Auffassung, dass beim Verlinken urheberrechtlich geschützter Werke von einem strafrechtlich relevanten Verbreiten nur unter sehr engen Bedingungen die Rede sein kann.
Es ist absehbar, dass es sich hierbei weniger um einen Hype als langfristige Perspektive handelt: Das „kontaktlose Bezahlen“ mittels Near Field Communication (NFC) im Alltag, speziell im Bereich der kleinen alltäglichen Zahlungen, auch „Micropayment“ genannt. Bereits seit Jahren ist absehbar, dass Bargeld und Zahlungen abstrakter werden, dass man weniger mit echtem Geld zahlt, als mit digitalisierten Zahlungsströmen. Das einfachste Beispiel ist die heute längst übliche Bezahlung seiner Einkäufe an der Supermarktkasse „mit der Karte“.
Das Ergebnis ist zweischneidig: Einmal einen sicherlich vereinfachten und beschleunigten Zahlungsvorgang, andererseits ist zu erleben, dass immer mehr (junge) Menschen das Gefühl für den Umgang mit Geld verlieren und zudem erhebliche neue Sicherheitsprobleme auftreten. Dabei stehen wir mit vergleichsweise primitiven Techniken wie Skimming gerade einmal am Anfang, es ist zu erwarten, dass massenhafte Infiltration der Zahlstationen in den Geschäften bald ein zunehmendes Problem ist.
(mehr …)
Handy weggenommen um Fotos zu löschen: Der Bundesgerichtshof hat sich inzwischen in mehreren Fällen zur Wegnahme eines Handys zwecks Zugriff auf die darin befindlichen Daten beschafften müssen.
In einem Fall (BGH, 3 StR 392/11) etwa hatte sich der BGH mit dem widerrechtlichen Entwenden eines Handys zu beschäftigen. Jemand hatte einem Dritten das Handy gegen dessen Willen abgenommen, alleine getragen von dem Willen, sich darauf befindliche Fotos kopieren zu können. Das Landgericht hatte hier ursprünglich einen Raub (§249 I StGB) erkannt, was vom BGH aufgehoben wurde.
(mehr …)
Ich sehe immer wieder, wie hilfreich soziale Netze für Ermittlungsbehörden sein können. Dazu kurz zwei Beispiele aus früheren Fällen:
Es zeigt sich in meinem Alltag immer wieder, dass auch bei alltäglichen Bagatelldelikten eine „Ermittlung“ auf Facebook & Co. immer zu erwarten ist, nicht zuletzt, weil der Arbeitsaufwand hier sehr überschaubar ist. Gleichzeitig besteht eine extrem hohe Fehlerquote, etwa weil man Profilbilder sieht, die möglichen Zeugen nicht wie strafprozessual vorgeschrieben als Wahllichtbildvorlage präsentiert werden.
