Was ist eine Zugangssicherung beim Ausspähen von Daten, §202a StGB und wann können sich Systemadministratoren strafbar machen: Der §202a StGB verbietet das „Ausspähen von Daten“ mit dem folgenden Wortlaut:
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Dreh- und Angelpunkt hierbei ist die Zugangssicherung und die Frage, was darunter zu verstehen ist. Im Folgenden gebe ich einen Überblick zur Frage des Vorliegens der Zugangssicherung.
Update: Im Mai 2020 hat Der Bundesgerichtshof diese Frage abschliessend entschieden und dabei klargestellt, dass auch allgemeine Passwort-Sicherungen ausreichend sind und auch die Stellung als IT-Administrator hieran nichts ändert, da ausdrücklich nicht auf die subjektive Eignung der Sicherung abzustellen ist. Damit besteht ein erhebliches strafrechtlich relevantes Risiko für Systemadministratoren.
Wann liegt eine Zugangssicherung im Sinne des §202a StGB vor?
Eine Zugangssicherung liegt vor, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Durch die Sicherung muss der Berechtigte sein spezielles Interesse an der Geheim- haltung dokumentieren (siehe nur BT-Drucks. 16/3656 S. 10 – inzwischen ständige Rechtsprechung des BGH):
Soweit es in den Gesetzesmaterialien heißt, die Überwindung der Zugangssicherung müsse einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordern, weshalb vom Tatbestand solche Fälle nicht erfasst würden, in denen die Durchbrechung des Schutzes ohne weiteres möglich sei (…), versteht der Senat dies dahingehend, dass die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern muss. Unter Überwinden ist diejenige Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten oder zu umgehen (vgl. Fischer, aaO Rn. 11a). Auch wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand über- wunden wird, ist der Tatbestand erfüllt.
Für das geschützte Rechtsgut (…) ist es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden wird.
BGH, 5 StR 614/19
Für das Vorliegen einer Zugangssicherung ist mit dem Bundesgerichtshof auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen -und gerade nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können. Es ist auch nicht erforderlich, dass die Sicherung gerade gegenüber dem Täter wirkt. Dass etwa einem als Administrator der tatsächliche Zugriff auf die Daten möglich war, ist deshalb unerheblich (so ausdrücklich BGH, 5 StR 614/19).
Der BGH macht deutlich, dass er den Gesetzgeber so versteht, dass jegliches Umgehen einer funktionierenden Schutzhürde unabhängig vom (subjektiven) Aufwand ausreicht um die Strafbarkeit zu Begründen. Dabei macht der BGH in der Entscheidung aus dem Jahr 2020 deutlich, dass zu prüfen ist, ob der Verfügungsberechtigte erkennbar eine Beschränkung der Administratorenrechte wollte. Sollte der Systemadministrator sein dann vorhandenes und in Systemrechten ausgedrücktes „rechtliches Dürfen“ durch ein „tatsächliches Können“ überschreiten, wird nunmehr im Regelfall eine Strafbarkeit nach §202a StGB vorliegen.
Jens Ferner
Strafverteidiger & Fachanwalt für IT-RechtFirewall als Zugangssicherung
Der Bundesgerichtshof (1 StR 412/16) konnte klarstellen, dass eine installierte Firewall – hier ging es um eine Software-Firewall – als Zugangssicherung im Sinne des §202a StGB zu verstehen ist:
Die Daten waren infolge der jeweils aktivierten Firewall im Sinne des § 202a Abs. 1 StGB gegen unberechtigten Zugang besonders gesichert.
Um von einer Dokumentation an der Geheimhaltung der Daten ausgehen zu können, bedarf es einer zum Tatzeitpunkt bestehenden Zugangssicherung, die darauf angelegt sein muss, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Darunter fallen insbesondere Schutzprogramme, die geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingen, die der Verfügungsberechtigte erkennbar verhindern wollte (…).
Auf der Grundlage der rechtsfehlerfrei getroffenen Feststellungen (vgl. oben 1. d) verfügten 245.534 der betroffenen Computersysteme zum Tatzeitpunkt über eine aktivierte Firewall. Diese stellt eine solche besondere Sicherung gegen unberechtigten Zugang dar. Denn sie dient gerade der Verhinderung eines unberechtigten Eindringens in das Netzwerk von außen und des Zugriffs auf (Rechner-)Daten innerhalb des Netzes (…). Einen unkontrollierten Zugriff aus dem Internet auf den eigenen Rechner und mithin einen die jeweilige Firewall überwindenden Zugang wollten die Verfügungsberechtigten durch Verwendung einer solchen Sicherung erkennbar verhindern.
BGH, 1 StR 412/16
Das hat durchaus einige Auswirkungen, etwa bei der Frage, ob man sich als Betroffener vorhalten lassen muss, dass eine Software-Firewall keine geeignete Schutzmaßnahme ist. Durch diese Entscheidung des BGH – die durchaus nachvollziehbar ist – sollte klargestellt sein, dass bei Umgehung einer Firewall eine vorsätzliche Straftat im Raum steht. Wenn also über die Fahrlässigkeit des Opfers von Cybercrime in diesem Zusammenhang gesprochen wird, kann sich m.E. die Diskussion dann nur noch dahin bewegen, ob die Firewall die konkret genutzt wurde entsprechend dem aktuellen Stand ausgerichtet war, insbesondere aktuell war und ordentlich konfiguriert. Nicht aber dürfte die Diskussion angemessen sein, ob eine Firewall alleine ausreichend ist – diese Diskussion sehe ich jedenfalls bei Verbrauchern und deren Systemen nicht mehr als angezeigt.
Passwörter als Zugangssicherung
Eine Zugangssicherung liegt auch vor, wenn der Zugang zu dem jeweiligen EDV- Arbeitsplatz des einzelnen Mitarbeiters oder Behördenmitarbeiters und damit auch zu seinen nicht öffentlich zugänglichen persönlichen Dienst-E-Mails – wie allgemein üblich – durch Passwörter gesichert ist (so nun ausdrücklich BGH, 5 StR 614/19).
Magnetstreifen
Der Bundesgerichtshof hat sich in einer Entscheidung (Aktenzeichen: 4 StR 93/09) damit beschäftigt. Konkret ging es darum, dass Betroffene die auf einem Magnetstreifen einer EC-Karte hinterlegten Daten ausgelesen haben. Das Landgericht hatte hierbei noch eine Umgehung der Zugangssicherung gesehen, der BGH lehnt dies nun ab:
§ 202 a Abs. 1 StGB setzt u.a. voraus, dass der Täter sich oder einem anderen den Zugang zu Daten, die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Der Überwindung einer solchen Zugangssicherung bedarf es aber nicht, wenn diese lediglich ausgelesen werden sollen. Dies ist ohne Weiteres mittels eines handelsüblichen Lesegeräts und der ebenfalls im Handel erhältlichen Software möglich.
Dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt keine besondere Sicherung gegen unberechtigten Zugang dar. Vielmehr handelt es sich gemäß § 202 a Abs. 2 StGB nur bei Daten, die auf diese Weise gespeichert sind, um Daten im Sinne des Abs. 1 dieser Vorschrift. Schon daraus ergibt sich, dass nicht schon diese Art der Speicherung eine besondere Sicherung im Sinne des § 202 a Abs. 1 StGB darstellt, sondern dass darüber hinaus Vorkehrungen getroffen sein müssen, die den unbefugten Zugriff auf Daten ausschließen oder zumindest erheblich erschweren
Dem BGH ist in dieser Analyse erst einmal grundsätzlich zuzustimmen: Alleine die Tatsache, dass Daten – wie in diesem Fall – magnetisch gespeichert sind, kann nicht ausschlaggebend sein. Da der §202a II StGB klarstellt, dass der erste Absatz nur „nicht unmittelbar wahrnehmbare Daten“ betrifft, dabei ausdrücklich die elektronische und magnetische Speicherung benennt, würde man letztlich bei jedem Zugriff auf solche Daten den Tatbestand des §202a I StGB erfüllen, wenn hier auf Grund der vorgesehenen Speicherung schon auf eine Zugangssicherung erkannt werden würde.
Es liegt ja gerade in der Natur nicht unmittelbar wahrnehmbarer Daten, dass man zum Auslesen ein Lesegerät und ggfs. entsprechende Software benötigt (etwa einen Computer samt Betriebssystem für eine Festplatte mit einem bestimmten Format).
Das bedeutet, alleine die Tatsache dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt mit dem BGH keine besondere Sicherung gegen unberechtigten Zugang dar. Vielmehr handelt es sich nur bei Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden, um Daten im Sinne des Abs. 1 dieser Vorschrift.
Demgemäß schützt § 202 a Abs. 1 StGB nur diejenigen nicht unmittelbar wahrnehmbar gespeicherten Daten im Sinne des Abs. 2 dieser Vorschrift, die darüber hinaus besonders gesichert sind:
Das sind nur solche Daten, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BTDrucks. 10/5058, S. 29 zu § 202 a StGB a.F.; BTDrucks. 16/3656, S. 10). Erforderlich ist, dass der Verfügungsberechtigte – hier das Unternehmen, das die Zahlungskarte mit Garantiefunktion ausgegeben hat (vgl. BGH, Urt. vom 10. Mai 2005 – 3 StR 425/04, NStZ 2005, 566) – Vorkehrungen getroffen hat, den Zugriff auf die auf dem Magnetstreifen der Zahlungskarte gespeicherten Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BTDrucks. 16/3656, S. 10; Fischer StGB 57. Aufl. § 202 a Rdn. 8, jew. m.w.N.).
Eine Schutzvorkehrung ist jedoch nur dann eine Zugangssicherung im Sinne des § 202 a Abs. 1 StGB n.F., wenn sie jeden Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (BTDrucks. 16/3656 aaO; Fischer aaO). Der Überwindung einer solchen Zugangssicherung bedarf es jedoch nicht, wenn die auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten lediglich ausgelesen werden. Dies ist ohne Weiteres mittels eines handelsüblichen Lesegeräts und der ebenfalls im Handel erhältlichen Software möglich.
BGH, 4 StR 555/09
Rein faktische Zugangssicherung genügt nicht
Es ist daher festzuhalten, dass eine rein faktische Zugangssicherung – im vorliegendem Fall sicherlich auf niedrigstem Niveau, da man Lesegeräte durchaus problemlos erwerben kann – nicht ausreichen kann (So auch Schumann in NStZ 2007, S. 675, 676). Vielmehr ist bei der Frage nach einer Zugangssicherung auf zwei Elemente abzustellen(Schumann in NStZ 2007, S. 675, 676): Getroffene Vorkehrungen müssen
- objektiv geeignet und
- subjektiv bestimmt sein
den Zugang zu den betroffenen Daten nicht nur unerheblich zu erschweren[3. Sch/Sch, §202a, Rn.7]. Sofern es sich, wie hier, alleine um eine Form der Speicherung handelt, wird man schon die subjektive Bestimmung, also den Willen der besonderen Sicherung, verneinen müssen. Dabei ist die subjektive Komponente wiederum geteilt: Einerseits muss die Sicherung gerade dazu genutzt werden, zum anderen muss dieser Wille auch objektiv erkennbar sein[3. SK-Hoyer, §202a, Rn.6; Sch/Sch, §202a, Rn.9a]. Allgemeine Sicherungen sollen nicht ausreichen(Fischer, §202a, Rn.9). Dabei ist auf das Beispiel hinzuweisen, dass die verschlossene Haustüre noch kein Zugangshindernis für die (u.a.) im Haus befindlichen und auf PCs gespeicherten Daten ist (MüKo, §202a, Rn.33; Fischer, §202a, Rn.9).
Das nun vorliegende BGH-Urteil ist im Bereich der „objektiven Eignung“ einzuordnen: Der BGH hat festgestellt, wo die unterste Grenze des unerheblichen Zugangsproblems liegt. Die Relevanz dieser Entscheidung sollte aber nicht überbewertet werden, da die Aussage, dass eine magnetische Speicherung für sich keine Zugangserschwernis darstellt, schon aus dem Gesetz abzulesen ist. Insbesondere für die auch sonst unter dieser Schwelle liegenden Maßnahmen, wie etwa einem ausgesprochenem Verbot auf Daten zuzugreifen[3. Fischer, §202a, Rn.8a].
Geheimhaltung von Daten als Zugangssicherung?
Wenn überhaupt lässt sich aus diesem BGH-Urteil ein Bezug zur Streitfrage ableiten, ob eine Geheimhaltung von Daten (etwa das „Verstecken“ von Dateien in einem Betriebssystem) als Zugangssicherung zu verstehen ist (Dafür Schünemann in LK, §202a, Rn.16, ebenso Hilgendorf in JuS 1996, 702, 703 – dagegen die absolut herrschende Meinung, stellvertretend nur Fischer, §202a, Rn.9).
Hier aber ist die gänzlich herrschende Meinung, dass ein einfaches „verstecken“ von Dateien keine Zugangssicherung darstellen soll (Dazu nur Fischer, §202a, Rn.9). Gleichsam ist eine Zugangssicherung zu verneinen, wenn schlicht eine andere Sprache genutzt wird um das Verständnis der Daten zu erschweren (Sch/Sch, §202a, Rn.8). Wer hier der Mindermeinung folgen wollte dürfte sich nach diesem BGH-Urteil vielleicht wieder einem Gegenargument bei der Bewertung der unteren Schwelle ausgesetzt sehen. Zuletzt meinte der BGH hierzu:
Eine Verschlüsselung von Daten schützt nur vor der Erfassung des Bedeutungsgehalts (kryptierter) Daten (vgl. Münch- Komm StGB/Graf § 202 a Rdn. 40 zu § 202 a StGB a.F.), nicht aber vor dem bloßen Auslesen und Abspeichern der verschlüsselten Daten auf einem Daten- träger des Täters und erfüllt demgemäß nicht den Tatbestand des § 202 a StGB n.F., weil es hierzu nicht der Überwindung einer Zugangssicherung bedarf (vgl. Gröseling/Höfinger MMR 2007, 549, 551).
BGH, 4 StR 555/09
Entscheidung des BGH: 1 StR 16/15
Diese Rechtsprechung hat der BGH zuletzt im Jahr 2015 bestätigt, als er festhielt:
Die Zugangssicherung im Sinne von § 202a Abs. 1 StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH, Beschluss vom 6. Juli 2010 – 4 StR 555/09, NStZ 2011, 154; LK-StGB/Hilgendorf, StGB, § 202a Rn. 30; MüKo-StGB/Graf, StGB, § 202a Rn. 35; Rübenstahl/Debus, NZWiSt 2012, 129, 131). Darunter fallen insbesondere Schutzprogramme, welche geeignet sind, unbe-rechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte er-kennbar verhindern wollte (vgl. BT-Drucks. 16/3656 S. 10). Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. MüKo-StGB/Graf, StGB, § 202a Rn. 20).
Fazit: Jede Umgehung genügt
Mit der Klarstellung des BGH im Jahr 2020 genügt jede Umgehung, eine Frage danach, ob „wenige Klicks nötig waren“ ist ebenso unangebracht, wie die Frage, ob der Täter durch (technisches) Sonderwissen die Hürden besonders leicht umgehen konnte. Der BGH macht deutlich, dass er den Gesetzgeber so versteht, dass jegliches Umgehen einer funktionierenden Schutzhürde unabhängig vom (subjektiven) Aufwand ausreicht um die Strafbarkeit zu Begründen.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.
- Berufungsschriftsatz: Bedeutung der Gewährung rechtlichen Gehörs - 26. April 2024
- Feststellungen zu Regelbeispiel in der Berufung - 26. April 2024
- Firmenmissbrauchsverfahren: BGH-Entscheidung zum Namensrecht einer Partnerschaftsgesellschaft - 26. April 2024