Das Amtsgericht Jülich, 17 Cs-230 Js 99/21-55/23, hat den Erlass eines Strafbefehls abgelehnt, der beantragt wurde, nachdem jemand durch Dekompilierung ein Passwort im Klartext erhalten haben soll, mit dem dann Zugriff auf einen Datenbankserver möglich war. Die Entscheidung stelle ich hier im Wesentlichen ein, ohne gesonderte Kommentierung, da ich sie im Juris Praxisreport Strafrecht kommentieren werde.
Hinweise: Die Entscheidung ist nicht rechtskräftig, die Staatsanwaltschaft hat Beschwerde eingelegt, die Sache liegt derzeit beim Landgericht Aachen. In meinem LinkedIn-Posting kommentiere ich kurz, warum ich skeptisch bin, ob das technisch und juristisch korrekt aufbereitet ist. Zudem sollte man meinem längeren Beitrag zur Strafbarkeit des Suchens nach Sicherheitslücken lesen.
Update: Das LG Aachen hat aufgehoben und zurückverwiesen, es muss nun verhandelt werden. Dazu kurz auf LinkedIn von mir sowie die kurze Vorstellung der Entscheidung des LG Aachen.
Amtsgericht Jülich, 17 Cs-230 Js 99/21-55/23
Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nach § 202a Abs. 1 StGB aus rechtlichen Gründen nicht hinreichend verdächtig.
Dem Schutzbereich des Straftatbestandes unterliegen nur Daten, die gegen den unberechtigten Zugang besonders gesichert sind. Dies setzt voraus, dass Maßnahmen getroffen wurden, die objektiv geeignet sind und nach dem Willen des Berechtigten auch dazu bestimmt sind, den Zugang zu den Daten zu verhindern (Weidemann, in: BeckOK, StGB, Stand: 01.02.2023, § 202a Rn. 2; Gercke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 202a StGB Rn. 4).
Der Auffassung der Staatsanwaltschaft, wonach dafür bereits ein Passwortschutz als solcher genügt, folgt das Gericht nicht. Ein Passwort bewirkt nicht in jedem Fall eine effektive Datensicherung, etwa wenn es allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig (Hilgendorf, in: LK-StGB, 13. Aufl. 2023, § 202a Rn. 3 m.w.N.). Für das „Verstecken“ von Passwörtern müssen entsprechende Anforderungen an die Wirksamkeit der Sicherungsmaßnahme gelten.
Hier ist nach dem Ergebnis der Ermittlungen davon auszugehen, dass der Angeschuldigte durch Rückübersetzung des Objektcodes in den Quellcode einer Software (Dekompilierung, § 69e UWG) Kenntnis vom Passwort erlangt hat. Für eine solche Fallkonstellation bedeutet das Erfordernis der Überwindung einer besonderen Zugangssicherung nach richtiger Auffassung, dass eine Strafbarkeit wegen Ausspähens von Daten ausscheidet, wenn die Rückübersetzung mittels gängiger Hilfsprogramme möglich ist (Graf, in: MüKoStGB, 4. Aufl. 2021, § 202a Rn. 34; Bär, in: Wabnitz/Janovsky/Schmitt, WirtschaftsStrafR-HdB, 5. Aufl. 2020, 15. Kapitel., Rn. 78; vgl. auch Brodowski/Marnau, NStZ 2017, 377, 380: „nicht trivialer technischer Aufwand“, zu § 202d StGB). Letzteres war hier der Fall, da laut Schlussvermerk zum polizeilichen Ermittlungsbericht vom 00.00.0000 die Dekompilierung des im Klartext in der Software abgelegten Passwortes mit für jedermann zugänglichen Tools erfolgt ist (Bl. 235 d.A.; vgl. zu der möglicherweise verwendeten Software auch Bl. 226 d.A.).
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.