Ein Mitarbeiter Ihrer IT-Abteilung bemerkt bei der Nutzung einer eingekauften Softwarelösung, dass die Anwendung Datenbankzugangsdaten im Klartext übermittelt und der Zugriff auf deutlich mehr Datensätze möglich ist, als der eigene Account eigentlich erlaubt. Er dokumentiert den Fund, greift kurz auf eine der fremden Kundendaten zu, um die Lücke zu belegen – und meldet den Vorfall intern.
Was harmlos klingt und gutgläubig gemeint war, kann erhebliche strafrechtliche und zivilrechtliche Konsequenzen haben. Für das Unternehmen selbst, für den Mitarbeiter – und im schlimmsten Fall für beide.
Das Problem: Technisches Verständnis und Rechtsrahmen klaffen auseinander
In der IT-Community gilt ein ungeschriebenes Gesetz: Wer eine Lücke findet und verantwortungsvoll meldet, hat Gutes getan. Die deutsche Rechtsordnung sieht das anders – und das Modern-Solution-Verfahren, das 2025 mit der Ablehnung der Verfassungsbeschwerde durch das Bundesverfassungsgericht rechtskräftig abgeschlossen wurde, hat das für alle sichtbar gemacht.
Ein freiberuflicher IT-Dienstleister hatte 2021 bei der Installation einer Händler-Software ein Datenbankpasswort im Klartext entdeckt und war damit auf eine Datenbank mit Kundendaten von knapp 700.000 Personen gestoßen. Er meldete die Lücke an den Hersteller. Das Ergebnis: Strafanzeige, Hausdurchsuchung, Verurteilung zu 3.000 Euro Geldstrafe wegen § 202a StGB (Ausspähen von Daten). Landgericht Aachen, OLG Köln und schließlich das Bundesverfassungsgericht bestätigten die Verurteilung. Der Instanzenzug ist erschöpft.
Die Kernaussage dieser Rechtsprechung: Auf die Qualität der Zugangssicherung kommt es nicht entscheidend an. Ein Klartext-Passwort in einer Softwareanwendung ist nach Auffassung des Landgerichts Aachen eine „besondere Sicherung“ im Sinne des § 202a StGB. Wer dieses Passwort ausliest und damit auf Daten zugreift, die nicht für ihn bestimmt sind, verwirklicht den Straftatbestand – unabhängig davon, dass er technisch keine ernsthafte Hürde überwunden hat.
Strafrecht: Die relevanten Tatbestände
Ausspähen von Daten
§ 202a StGB – Ausspähen von Daten ist der Kerntatbestand. Er schützt Daten, die gegen unberechtigten Zugriff besonders gesichert sind. Nach der aktuellen Rechtsprechung reicht auch eine schwache technische Schranke aus. Wer im Rahmen der Nutzung eingekaufter Software feststellt, dass er auf Datenbereiche zugreifen kann, die ihm nicht zugedacht sind, und diesen Zugriff aktiv vollzieht, riskiert Strafbarkeit.
Abfangen von Daten
§ 202b StGB – Abfangen von Daten greift bei der Analyse des Netzwerkverkehrs, etwa wenn Mitarbeiter prüfen, welche Daten eine Software sendet. Hier ist keine Zugangssicherung erforderlich – geschützt ist die nichtöffentliche Datenübertragung als solche.
Vorbereitung von Computerstraftaten
§ 202c StGB – Vorbereitung von Computerstraftaten ist der sogenannte „Hackerparagraph“. Er erfasst das Verschaffen von Tools, die zur Begehung der vorgenannten Taten geeignet sind. Für Unternehmen relevant: Wer seine IT-Abteilung mit Sicherheitsanalyse-Tools ausstattet und diese ohne klaren, dokumentierten Auftrag eingesetzt werden, trägt das Risiko, dass das Vorhandensein dieser Tools im Verdachtsfall als Vorbereitungshandlung gewertet wird.
Datenveränderung und Computersabotage
§§ 303a, 303b StGB – Datenveränderung und Computersabotage kommen ins Spiel, wenn bei der Analyse unbeabsichtigt Daten verändert oder Systemabläufe gestört werden – ein Risiko, das bei Penetrationstests und tiefer gehenden Analysen realistisch ist.
Datenhehlerei
§ 202d StGB – Datenhehlerei ist für den Fall relevant, dass ein Mitarbeiter Daten, auf die er unbefugt zugegriffen hat, weitergibt oder speichert. Ausgenommen sind Handlungen, die ausschließlich der Erfüllung rechtmäßiger beruflicher Pflichten dienen – ein enger Ausnahmetatbestand.
Zivilrecht: Vertragsbruch und Herausgabepflichten
Neben dem Strafrecht wirkt das Zivilrecht. Wer eingekaufte oder gemietete Software nutzt, steht in einer vertraglichen Beziehung zum Anbieter. Nahezu jeder Softwarevertrag enthält Nutzungsbedingungen, die eine Analyse der Softwarestruktur, das Dekompilieren, das Auslesen von Datenbankverbindungen oder den Zugriff auf nicht autorisierte Datenbereiche ausdrücklich untersagen.
Urheberrechtlich ist die Ausgangslage eng: Die §§ 69a ff. UrhG erlauben die Programmbeobachtung (Black-Box-Tests, Testdateneingaben, Beobachten von Ausgaben) und die Fehlerberichtigung im Rahmen der bestimmungsgemäßen Nutzung. Darüber hinaus – etwa das Dekompilieren, das aktive Auslesen von Konfigurationsdaten oder der Zugriff auf fremde Datenbereiche – bedarf der Zustimmung des Urhebers. Die Forschungsfreiheit des Art. 5 Abs. 3 GG hilft Unternehmen hier nicht: Sie gilt für die wissenschaftliche Forschung, nicht für die betriebsinterne Analyse kommerziell eingekaufter Software.
Noch folgenreicher: Wer ohne ausdrückliche Beauftragung durch den Anbieter eine Sicherheitslücke untersucht, führt nach der zivilrechtlichen Analyse eine Geschäftsführung ohne Auftrag (§§ 677 ff. BGB) durch. Daraus folgen Pflichten, die im Management häufig unterschätzt werden: proaktive Benachrichtigung des IT-Verantwortlichen mit sämtlichen Detailinformationen zur Lücke, Herausgabe aller erlangten Daten – einschließlich Screenshots, Passwort-Listen, Verbindungsdaten – und Löschung dieser Informationen aus den eigenen Systemen. Die Vertraulichkeitspflicht gegenüber Dritten folgt unmittelbar: Die Weitergabe an andere Stellen – intern nicht Beteiligte, externe Berater, Behörden – ist ohne Zustimmung des Softwareanbieters grundsätzlich unzulässig.
Praktisches Problem: Lücke in eingekaufter Software trifft das eigene Unternehmen
Hier liegt ein strukturelles Dilemma. Das Unternehmen, das die Software einkauft oder mietet, ist nicht nur neutraler Beobachter: Es verarbeitet möglicherweise eigene Kundendaten über diese Software. Eine Sicherheitslücke gefährdet seine eigene datenschutzrechtliche Compliance. Nach Art. 32 DSGVO ist das Unternehmen zur Gewährleistung angemessener technischer und organisatorischer Maßnahmen verpflichtet – einschließlich der Prüfung eingesetzter Software auf Sicherheitsstandards.
Gleichzeitig darf es diese Prüfung nur im Rahmen des vertraglich und gesetzlich Erlaubten durchführen. Wer einen Penetrationstest an eingekaufter Software durchführen lässt oder seinen eigenen IT-Mitarbeitern die Analyse der Softwaresicherheit aufträgt, ohne den Anbieter einzubeziehen, trägt das volle rechtliche Risiko. Das ist kein theoretisches Problem: Das Modern-Solution-Verfahren hat gezeigt, dass Softwareanbieter tatsächlich Strafanzeige erstatten und zivilrechtliche Ansprüche geltend machen – selbst dann, wenn die Sicherheitslücke auf ihrer Seite liegt.
Was der Gesetzgeber schuldet und nicht liefert
Die EU hat in Erwägungsgrund 60 der NIS2-Richtlinie ausdrücklich gefordert, dass nationale Umsetzungsgesetze Leitlinien für die Nichtverfolgung von IT-Sicherheitsforschenden und Ausnahmen von der zivilrechtlichen Haftung vorsehen sollen. Das deutsche NIS2-Umsetzungsgesetz hat diese Anforderung nicht erfüllt. Das BSI ist als Meldestelle für Schwachstellen nominiert – aber das Gesetz erlaubt ausdrücklich die Weitergabe von Meldeinformationen an die Strafverfolgungsbehörden. Wer eine Schwachstelle beim BSI meldet, kann nicht sicher sein, dass diese Meldung nicht in einem Ermittlungsverfahren gegen ihn verwendet wird.
Der Koalitionsvertrag hatte eine Reform des „Hackerparagraphen“ versprochen. Bis heute ist sie nicht umgesetzt. IT-Sicherheitsforschende und Unternehmen, die im Eigeninteresse ihre Software testen, tragen das Risiko allein.
Hacking im Blog
- Cyberangriff im Unternehmen
- Unsere Hilfe bei einem Cyberangriff
- Datenleck: Herausforderungen für Unternehmen
- NIS2-Umsetzung in Deutschland 2026
- Fake News als Gefahr für Unternehmen
- IT-Forensik aus Sicht des Managements
- IT-Sicherheit im Arbeitsrecht
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Strafbarkeit der Suche nach Sicherheitslücken
- Business-Continuity-Management
- Unser Hacker-Guide: Russland, Iran, Nordkorea und China
- Unser Ransomware-Guide:
Handlungsempfehlungen für das Management
- Schriftlichen Auftrag vor jeder Analyse sichern. Wer Sicherheitstests an eingekaufter Software durchführen lässt, braucht die ausdrückliche schriftliche Genehmigung des Anbieters, mit klar definiertem Scope: welche Systeme, welche Testmethoden, welche Datenbereiche sind erlaubt – und welche ausdrücklich nicht.
- Zufallsfunde sofort begrenzen. Stößt ein Mitarbeiter zufällig auf eine Lücke, gilt: sofort aufhören. Keine weiteren Datenbereiche erkunden, keine Screenshots von fremden Daten, keine Passwortlisten herunterladen. Die Dokumentation des Funds auf das technisch Unvermeidliche beschränken.
- Anwaltliche Beratung vor dem ersten Kontakt mit dem Anbieter. Das Herantreten an den Softwareanbieter mit einer Schwachstellenmeldung begründet unmittelbar das Risiko einer Strafanzeige – wie Modern Solution gezeigt hat. Die erste Kontaktaufnahme sollte anonym oder über einen zur Verschwiegenheit verpflichteten Anwalt erfolgen. Das ist keine Übervorsicht, sondern gebotene Sorgfalt.
- Interne Eskalation dokumentieren. Wer intern eine Schwachstelle meldet und weiterverfolgt, sollte den Entscheidungsweg dokumentieren. Das schützt den einzelnen Mitarbeiter und belegt den Willen zur rechtmäßigen Handhabung.
- Softwareverträge vorab prüfen. Im Einkaufsprozess sollte geregelt werden, ob und in welchem Umfang Sicherheitsanalysen der eingekauften Software erlaubt sind. Softwareanbieter, die jede Analyse vertraglich ausschließen, sind ein Warnsignal – nicht nur sicherheitstechnisch, sondern auch rechtlich.
Erfahrung aus der Praxis
Die Konstellation, in der ein Unternehmen oder ein einzelner Mitarbeiter zufällig auf eine Schwachstelle stößt und damit in eine rechtliche Auseinandersetzung gerät, ist kein Extremfall. In meiner Praxis als Fachanwalt für Strafrecht und IT-Recht – mit technischem Hintergrund als Softwareentwickler – begegnen mir solche Konstellationen regelmäßig: Ein IT-Administrator, der feststellt, dass die eingesetzte Branchensoftware unverschlüsselt kommuniziert und dabei die Zugangsdaten anderer Mandanten des Softwareanbieters sichtbar werden. Ein Entwickler, der bei der API-Integration bemerkt, dass er mit seinem Token auf fremde Kundendaten zugreifen kann. Ein Sicherheitsbeauftragter, der im Rahmen einer internen Revision feststellt, dass die Cloud-Lösung mehr preisgibt, als sie sollte.
In all diesen Fällen ist das technische Problem real – und die rechtliche Frage, wie damit umzugehen ist, komplex. Das Modern-Solution-Verfahren hat gezeigt, dass gutgläubiges Handeln allein nicht schützt. Was schützt, ist eine durchdachte Vorgehensweise, die strafrechtliche und zivilrechtliche Risiken von Anfang an einbezieht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.