Gulli berichtet über ein interessantes Urteil aus den Niederlanden (dazu auch ein niederländischer Bericht): Dort surfte jemand über ein fremdes WLAN, allerdings hatte er zuvor die WLAN-Verschlüsselung umgangen. Das niederländische Gericht erkannte in der Umgehung der Verschlüsselung des WLAN keine Strafbarkeit, denn – so Gulli –
Der Gesetzgeber erfasse lediglich Computer. Das Eindringen in einen Router um das Funksignal nutzen zu können sei hierfür nicht gedacht.
Ein Anlass, sich mit der niederländischen Thematik zu befassen.
Die Norm, um die es hier geht, ist der §138a des Niederländischen Strafgesetzbuchs (NLStGB, „Wetboek van Strafrecht“) der wie folgt lautet:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a) door het doorbreken van een beveiliging,
b) door een technische ingreep,
c) met behulp van valse signalen of een valse sleutel, of
d) door het aannemen van een valse hoedanigheid.
Übersetzt lautet der §138a NLStGB dann in etwa:
Mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe … wird bestraft, wer des Eindringens in Computer schuldig ist, indem er vorsätzlich und rechtswidrig in ein EDV-Gerät oder ein Teil davon eindringt. Ein Eindringen liegt jedenfalls vor, wenn der Zugriff geschah durch:
a) Brechen einer Sicherheitsmaßnahme
b) durch technologische Mittel,
c) mit falschen Signalen oder
d) durch das Vorspiegeln einer falschen Identität.
Das Gericht meinte nun, ein Router wäre kein Computer und deswegen sei eine Strafbarkeit wegen des Einloggens in den Router zu verneinen. Hintergrund ist eine Auslegungsfrage: Man geht davon aus, dass ein „EDV-Gerät“ („geautomatiseerd werk“) im Sinne des §138a NLStGB nur eine Anlage sein kann, die sowohl Daten speichert, überträgt als auch verarbeitet. Wenn eine Anlage nicht alle diese Bedingungen erfüllt, handelt es sich um keine EDV-Anlage i.S.d. der Norm, also um kein taugliches Tatobjekt.
Nun blickt das Gericht auf den Router und stellt fest, dass dieser zur Speicherung von Daten nicht bestimmt sein soll: Er ist ein rein kommunikatives Gerät, dass Daten nur „durchleitet und koordiniert“, nicht aber Daten speichert. Ob das so korrekt ist, mag bezweifelt werden – nicht nur, weil es moderne Router gibt, die Festplatten eingebaut haben oder eine USB-Schnittstelle bieten. Daneben speichern Router zumindest Login-Informationen.
Dennoch möchte das niederländische Gericht hier sehr restriktiv arbeiten, hintergrund ist wohl, dass man die Norm in ihrem historischen Kontext ausgelegt hat: Das Gericht war der Auffassung, dass der niederländische Gesetzgeber gezielt nur Arbeitscomputer, nicht aber Kommunikationswerkzeuge schützen wollte, dies gerade um die Strafbarkeit nicht über Gebühr auszudehnen. Dazu griff das Gericht auf Literatur aus den Jahren 1990 und 1998 zurück, was man freilich – mit dem oben in dem niederländischen Artikel zitierten Juristen – als „altmodisch“ bezeichnen darf. Ob die Argumentation so wirklich bestand hat, ist zur Zeit durchaus kritisch zu sehen.
Das Gericht in den Niederlanden geht soweit, den Router letztlich so zu behandeln, als wäre er ein Netzwerk-Hub. Diese Betrachtung wird m.E. der Realität aber nicht gerecht, da ein Router nicht nur erheblich komplexere Aufgaben bewältigt, sondern zudem spezielle Sicherheitshürden (bei einem verschlüsselten Netzwerk) überschritten werden müssen. Eben diese Sicherheitshürden sind auch Ansatzpunkt im §138a NLStGB, weswegen ich die Argumentation einerseits skeptisch sehen möchte.
Andererseits muss schon feststellen, dass im deutschen Recht Ansatzpunkt immer wieder die „Daten“ oder die „Datenübertragung“ sind und eben nicht die Hardware thematisiert wird. Wenn man als Vergleich zum §138a NLStGB den §202b StGB mal heranzieht, ist der Unterschied offenkundig:
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Man merkt: Von „EDV-Anlage“ oder „Computer“ steht da nichts, Tatobjekt sind die Daten – und damit Punkt. Wenn das niederländische Gericht hier derart dezidiert analysiert, ist das gerade vor der deutschen Wortwahl alles andere als abwegig.
Hintergrund einer derart strengen Analyse ist dabei der Grundsatz „nulla poena sine lege„, will heißen: Eine Strafe kann es nur auf Grund eines Gesetzes geben. Dabei darf der Wortsinn des Gesetzes-Wortlauts nicht überschritten werden, denn sonst würde man die Voraussetzungen des Gesetzes verlassen und ohne gesetzliche Grundlage urteilen. Dieser Grundsatz ist eines der Fundamente deutschen Strafrechts und gilt im Kern auch in den Niederlanden (übrigens ist er über Art. 23 des Statuts des IStGH auch international ein Thema).
Wenn also nun das niederländische Gericht auf Grund der Wortwahl des Gesetzgebers meint, dass dies auf ein „Reinhacken in Router“ nicht Anwendung finden kann, ist das keineswegs abwegig. Im Fazit aber verbietet sich auch nur irgendein Rückschluss auf deutsches Recht, das als Tatobjekt ohnehin auf die Daten oder die Datenübermittlung abstellt (dazu nur die §§202a, 202b, 202c, 303a, 303b StGB).
Spätestens dann, wenn man den Router in den Niederlanden nicht nur nutzt, um das Internet zu nutzen, sondern um gezielt Daten des Router-Inhabers abzufangen (Login-Daten etwa), wird auch nach niederländischem Recht wieder eine Strafbarkeit angenommen werden. Spätestens an dem Punkt stimmen deutsches und niederländisches Recht dann wieder überein. Übrigens: Schwarz-Surfen (also die Nutzung eines offenen WLAN zum Surfen im Netz) ist mit einem Urteil eines Amsterdamer Gerichts aus dem Jahr 2008 auch nicht strafbar. Angeklagt war nur wegen „Diebstahls“, im Blick hatte die Staatsanwaltschaft die Bandbreite des Zugangs – das aber lehnte das Gericht ab: Bandbreite beim Internetzugang ist kein Vermögenswert, zumal man sich diesen schwerlich „aneignen“ kann.
Insgesamt muss man feststellen, dass das IT-Strafrecht in den Niederlanden auf einem vollkommen anderen Stand ist als in Deutschland: Die einschlägigen Normen (§§138a, 138b, NLStGB ) stellen auf EDV-Geräte als Tatobjekte ab, wobei festzustellen ist, dass IT-Delikte im niederländischen Strafgesetzbuch generell eher wenig Relevanz haben – interessant am Rande ist, dass die Nutzung von IT-Hilfsmitteln je nach Einzelfall 8etwa beim Wohnungseinbruchsdiebstahl) eine gesonderte Kodofizierung erfahren haben. Eine Tendenz in den Niederlanden, das Strafgesetzbuch insofern zu reformieren, ist mir bisher nicht bekannt.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.
- Data Governance Act - 26. April 2024
- Bedingter Tötungsvorsatz im Kontext von Straßenverkehrsdelikten - 26. April 2024
- Der BGH zur finalen Verknüpfung beim Raubdelikt - 26. April 2024