JurPC Web-Dok. 180/2008 - DOI 10.7328/jurpcb/20082311179

Sebastian Wohlwend *

Die strafrechtliche Relevanz des § 202a StGB bei Tätigwerden eines Software-Ingenieurs

JurPC Web-Dok. 180/2008, Abs. 1 - 48


In der Literatur und insbesondere in Internetforen wird auf das heftigste über die Anwendbarkeit und Verfassungsmäßigkeit der §§ 202b und c StGB diskutiert. § 202c StGB[1]hat hierbei den Spitznamen "Hackerparagraph" erhalten. JurPC Web-Dok.
180/2008, Abs. 1
Wenig Beachtung erhielt hierbei der § 202a StGB. Dieser Beitrag soll den § 202a StGB anhand eines Beispielfalles mit jeweiligen Alternativen bei Tätigwerden von Softwareprogrammieren näher darstellen.


Der Eingangsfall:Abs. 2
Programmierer P erhält einen Anruf des Geschäftsführers G der X GmbH. G teilt P mit, dass ein vollständiger Systemausfall der PC's im Unternehmen stattgefunden hat und nach und nach auf den PC-Bildschirmen ein lustiger Elch beim Tanzen zu beobachten sei. Er bittet P, alles Mögliche zu bewerkstelligen, um das Problem zu lösen und die Daten zu retten und soweit möglich, die noch nicht befallenen PC's zu schützen.
P sitzt im gleichen Bürokomplex wie die X-GmbH und begibt sich augenblicklich in die Geschäftsräume der X-GmbH. Er schließt seinen Laptop an den Server an und beginnt mit einem vollständigen Systemscan. Nach kurzer Zeit kann er das schädliche Programm identifizieren und isolieren. Dabei stellt er fest, dass das Virus an eine Datei geknüpft wurde. Das Virus aktiviert sich erst durch das Öffnen der Datei. Er stellt ebenso fest, dass diese Datei (die Quelle) in einem passwortgeschützten Ordner auf dem PC des Mitarbeiters M gespeichert ist. In dem Ordner befinden sich ausschließlich private Dateien des M. M wusste nichts von dem Virus.


§ 202a Ausspähen von DatenAbs. 3
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
I n h a l t s ü b e r s i c h t
1.   Der objektive Tatbeitrag
2.   Der subjektive Tatbeitrag
3.   Rechtswidrigkeit des Handelns
4.   Schuld
5.   Praxishinweise


1.         Der objektive Tatbeitrag

a)         Daten liegen hier vor[2]. Zur Erfüllung des objektiven Tatbestandes bedarf es neben der Wahrnehmung von Daten mittels technischer Geräte zusätzlich der Nichtbestimmtheit der Daten für den Täter. Abs. 4
Daten sind für den Täter dann nicht bestimmt, wenn diese nach dem Willen des Berechtigten überhaupt nicht oder noch nicht oder nicht mehr in den Herrschaftsbereich des Täters gelangen sollen[3]. Abs. 5
Das soll bei der Fehlerbehebung von Software gerade nicht der Fall sein. Weshalb bei der Problembehebung von Softwarefehlern durch die Bestimmung grundsätzlich ein tatbestandsausschließendes Einverständnis vorliegt.  Abs. 6
Das Einverständnis für den Ausschluss der Täterhandlung bezieht sich — wie aus dem Wortlaut ersichtlich — nur auf die Erlangung der Daten selbst, d.h., ob der Täter auf die Daten zugreifen darf oder eben nicht. Wie er hingegen mit den Daten umgeht, also ob er sie zweckentfremdet, ist nicht von § 202a StGB erfasst[4]. Abs. 7
Daher ist es auch in diesem Rahmen irrelevant, ob es sich bei den Daten um personenbezogene handelt und welchen Inhalt die Daten haben[5]. Abs. 8
Bei der Erteilung des Einverständnisses können sich jedoch dabei Probleme ergeben, wenn auf bestimmte Datenblöcke zugegriffen werden soll, die zwar durch das explizit erteilte Einverständnis umfasst sind, aber zusätzlich auch andere Daten, die vom erteilten Einverständnis nicht gedeckt sind, erfasst und evtl. sogar gespeichert werden. Abs. 9
Das könnte hier der Fall sein. P durchsucht anhand von entsprechenden Programmen das Netzwerk der X GmbH und darunter auch den PC des M. Dabei werden persönliche Dateien — nicht nur des Verfügungsberechtigten G — erfasst und registriert. Ob von dem Inhalt der Daten tatsächlich Kenntnis genommen wird oder nicht ist tatbestandsspezifisch erst einmal unbeachtlich. Es genügt allein das Verschaffen des Zugangs zu den Daten. Abs. 10
Die Daten, welche dem G zurechenbar sind, sind durch sein Einverständnis erfasst. Bei dem Zugang zu den Daten des M müsste P wiederum ein Einverständnis von M erhalten haben, um den Tatbestand des § 202a StGB auszuschließen. Abs. 11
Da es hier an einer geäußerten (ausdrücklichen oder konkludenten) Erklärung fehlt, fehlt es an einem Einverständnis. Abs. 12
Die Daten waren überdies vor einem unerlaubten Zugang gesichert. Unter Sicherungen im Sinne von § 202a StGB sind nämlich auch Passwörter zu zählen[6]. Abs. 13
b)        Darüber hinaus ist Voraussetzung, dass P sich Zugang zu den Daten verschafft hat. Den Zugang zu den Daten wird dadurch verschafft, indem der Täter die Sicherung überwindet. Unter "Überwindung" ist diejenige Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten[7], also wenn mit der Entschlüsselung begonnen wird. Erst dadurch kann sich der  Täter den Zugang zu den Daten verschaffen. Eine bloße Kopie bzw. Sicherung von Daten, deren Zugangssicherung durch Verschlüsselung besteht, ist noch nicht tatbestandsmäßig[8].  Dies gilt auch dann, wenn der Täter den Schlüssel bereits kennt oder ihn später (z.B. durch Kryptoanalyse) in Erfahrung bringt[9]. Abs. 14
P hat sich Zugang dadurch verschafft, indem er das Passwort entschlüsselt hat. Abs. 15


Fallalternative 1:  Die Quelle — also die Datei mit dem angehängten Virus — befindet sich in einem im PC einsteckenden USB-Stick. P entdeckt dies und entfernt den USB-Stick.Abs. 16


Eine Strafbarkeit nach § 202a StGB würde bereits hier auszuschließen sein, denn die Entfernung des USB-Sticks ist nicht tatbestandsmäßig. Abs. 17
Sich Zugang zu den Daten verschaffen, bedeutet nämlich nicht, dass bereits der Besitz an einem Datenträger genügt, in dem die Daten verkörpert sind, auch wenn der Täter nicht über den Schlüssel verfügt. Der Wortlaut des § 202a Abs. 1 StGB bietet für eine andere Auslegungsmöglichkeit keinen Spielraum [10]. Abs. 18


Fallalternative 2:  P findet das zur Quelle zugehörige Passwort in einem Online zugänglichen und für jeden einsehbaren Kalender des M. P gibt das Passwort ein und vernichtet das Virus.Abs. 19


Hier ist klar zustellen, dass auch die einfache Passworteingabe unter das Merkmal "Überwindung" zu subsumieren ist. In der dargestellten Fallalternative liegt eine Überwindung durch die Passworteingabe vor. Nach dem  Sinn und Zweck der Norm soll ein Verhalten gerade dann unter Strafe gestellt werden, wenn der Zugang entgegen dem Willen des Verfügungsberechtigten bewerkstelligt wird. Dies gilt auch dann, wenn das Passwort offen zugänglich ist. Wird das Passwort an einen Dritten weitergegeben, damit dieser auf die Datei zugreifen darf, liegt ein tatbestandsausschließendes Einverständnis vor. Wenn hingegen ein Passwort nur zur Aufbewahrung weitergegeben wird und der Verwahrende verwendet dieses, handelt er tatbestandsmäßig. Abs. 20


2.         Der subjektive Tatbeitrag

Von unserem Eingangsbeispiel ausgehend, ist zu prüfen, ob Vorsatz hinsichtlich der verwirklichten Tatbestandsmerkmale vorgelegen hat. Eventualvorsatz genügt. Abs. 21
P hatte von der Sicherung Kenntnis und wusste, dass die Daten nicht für ihn bestimmt waren. Das Passwort gab er unter dieser Kenntnis ein und erlangte Zugang zu den Daten. Er handelte mithin vorsätzlich. Abs. 22


3.         Rechtswidrigkeit des Handelns

P müsste des Weiteren unbefugt gehandelt haben. Unbefugtes Handeln bedeutet nach der h.M. rechtswidriges Handeln[11]. Dem ist zuzustimmen. Der Gesetzgeber hat sich bewusst für ein Rechtfertigungselement entschieden. Wer daher sicherungsspezifische Daten ändert oder umgeht, verwirklicht den Tatbestand des § 202a StGB. Durch Vorliegen der Befugnis, kann schließlich das Verhalten des Täters gerechtfertigt sein. Abs. 23
a)         Eine explizite Erlaubnis durch den M ist nicht erfolgt. Es ist mithin zu klären, ob nicht eine Befugnis durch entsprechende Auslegung vorgelegen hat. Abs. 24
Zu Fragen ist daher, ob eine mutmaßliche Einwilligung in Betracht zu ziehen ist. Abs. 25
Eine mutmaßliche Einwilligung kann nicht nur dann in Frage kommen, wenn der Täter die Daten einem anderen, für den sie bestimmt sind, verschafft[12]. Sondern auch, wenn der Verfügungsberechtigte vor der Tat nicht nach seinem wirklichen Willen befragt werden konnte, ohne dass der Zweck der Tat gefährdet wird[13]. Abs. 26
Vor allem gilt dies, wenn eine Regelung bzw. Aussage zwischen den Parteien fehlt und der Täter aufgrund einer dringend notwendigen Fehlerbehebung tätig werden muss, der Verfügungsberechtigte aber nicht erreichbar ist. Folglich kommt hier eine mutmaßliche Einwilligung nur im Rahmen einer eilbedürftigen und schadensverhindernden Maßnahme in Betracht. Abs. 27
Grundsätzlich ist dies auch dann der Fall, wenn in einem größeren Unternehmen nicht alle Verfügungsberechtigte aufgesucht und befragt werden können, sofern ein irreparabler Schaden bei zu langem zuwarten die Folge wäre. Abs. 28
M befand sich zum Zeitpunkt des Vorfalls im Urlaub und war nicht zu erreichen. Nach objektiven Kriterien ist eine mutmaßliche Einwilligung jedoch fraglich. Der Ordner, in welchem sich u.a. die schädliche Datei befand, ist passwortgeschützt und damit nicht jedem zugänglich. Eine Gefahr geht insoweit nur von M aus. Fraglich ist, wann und durch wen der Virus aktiviert wurde und so in das Netzwerk hat gelangen können. Vom Eingangsfall sowie der Fallalternative 2 ausgehend, hatte M keine Kenntnis von dem Virus und deshalb war es auch in seinem Interesse, dass der Virus unschädlich gemacht wird. Von einer mutmaßlichen Einwilligung kann daher ausgegangen werden. Abs. 29


Fallalternative 3:  Wie Fallalternative 2, nur dass M von dem Virus wusste. Er selbst hatte es geschrieben und er würde eine Einwilligung verweigern. Hierüber hatten P wie auch G keine Kenntnis.Abs. 30


Aber auch dann handelte P gerechtfertigt. Aus der ex-ante Sicht konnte er davon ausgehen, dass ein Einverständnis bei Kenntnis der Sachlage erfolgen würde. Ob dies wiederum nach der ex-post-Sicht der Fall gewesen wäre, ist irrelevant[14]. Abs. 31


b)       Fallalternative 4:  wie Fallalternative 2, nur dass G den M erreicht und diesem kurz die Erkenntnisse mitteilt. Entgegen aller Erwartungen verweigert M die Herausgabe des Passwortes und verbietet den Zugriff auf seine Dateien. G teilt dies P mit. P gibt trotzdem das Passwort ein und löscht den Virus.Abs. 32


In dieser Alternative scheidet ein tatbestandsausschließendes Einverständnis, wie auch eine mutmaßliche Einwilligung aus. In Betracht kommt jedoch ein rechtfertigender Notstand nach § 34 StGB. Abs. 33
Das Virus verursacht einen Angriff gegen das Firmennetzwerk der X-GmbH. P handelt, um weiteren und evtl. neuen Schaden vom Firmennetzwerk und somit auch der X-GmbH abzuwenden. Die Interessenabwägung fällt wesentlich zu Gunsten der X-GmbH aus. Der einzutretende persönliche und wirtschaftliche Schaden ist wesentlich höher zu bewerten als der, den M durch den Zugriff auf die eine Datei erleidet. Auch wenn ein Angriff nicht auf alle Bereiche, sondern explizit auf die eingesetzte Firmensoftware stattfindet, fällt die Interessenabwägung zu Gunsten des Unternehmens aus. Ob das Unternehmen dabei Eigentümer des angegriffenen Programms oder nur Nutzer ist, ist unbeachtlich. Denn das Nutzungsrecht ist als "ein anderes Rechtsgut" i.S.d. § 34 StGB zu verstehen. Abs. 34
P handelte demnach gerechtfertigt. Abs. 35


4.         Schuld



Fallalternative 5:  nachdem der Virus gelöscht und alles gesichert wurde, erscheint P nach 2 Wochen wieder, um einen vollständigen Sicherheitscheck vorzunehmen. G hatte ihn hierzu beauftragt und zur Ausführung der Arbeiten das Einverständnis aller Mitarbeiter, außer des A, auch privat gespeicherte Dateien zu scannen, einholen können. A verweigert das Scannen der Dateien, da seine privaten Daten andere nichts angehe. G habe schließlich die private Nutzung der Internets und des E-Mail-Verkehrs erlaubt. Die E-Mails speichert A in einem eigens dafür angelegten Ordner und verschlüsselt die E-Mails mittels Verschiebechiffre. G fordert P auf, auch die Daten des A zu scannen, ggf. unter Überwindung der Sicherungsmaßnahme. P entschlüsselt die Daten des A und scannt diese nach schadhafter Software. Eine Speicherung der Daten erfolgt zu keiner Zeit auf dem Laptop des P. Vom Inhalt nimmt P auch keine KenntnisAbs. 36


Der Tatbestand ist erfüllt, objektiv wie auch subjektiv. Ebenfalls liegt mangels Einwilligung oder Angriffs kein Rechtfertigungsgrund vor. Abs. 37
Für die Annahme eines entschuldigenden Notstands gibt der Sachverhalt nicht genügend her. Es fehlt neben einer definierbaren Gefahr allein schon am zu schützenden Rechtsgut. Abs. 38
Daher handelte P schuldhaft. Das alleine genügt in der Praxis jedoch nicht. Es kommt bei der Schuldfrage auch wesentlich darauf an, wie schwer diese wiegt. Abs. 39
Folglich ist im Rahmen der Schuld zu klären, über welchen Zeitraum eine Erfassung der Daten vorlag und ob eine sofortige Löschung vorgenommen wurde bzw. eine Kenntnisnahme der Daten gar nicht möglich war. Schließlich ist bei der Bewertung auch relevant, ob bei einer Speicherung im Cache, dieser sofort gelöscht wurde. Denn bei allen möglichen und zumutbaren Vorsichtsmaßnahmen, welche im Ergebnis also keine wirkliche Beeinträchtigung verursacht haben, ist die Schuld deutlich geringer anzusiedeln, als bei mutwilliger in Schädigungs- oder Bereicherungsabsicht vollzogener Beeinträchtigung. Abs. 40
Entscheidend ist unter anderem auch die Intensität der Datensicherung. Es kommt darauf an, ob die Vorrichtung (physischer oder technischer Art) den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte[15]. Entsprechend der wohl h.M.[16]ist ein hoher Sicherungsgrad für die Erfüllung des Tatbestandes nicht erforderlich. Jedoch entscheidet auch der Sicherungsgrad über die Höhe der Schuld. Abs. 41
P hat hier eine Verschiebungschiffre außer Kraft gesetzt. Dabei handelt es sich zwar um eine relativ einfache und unsichere Verschlüsselungsform. Zu berücksichtigen ist jedoch, dass es auch hierzu einer gewissen Kenntnis bedarf und ein entsprechendes Programm, um den Code zu entschlüsseln (es sei denn, der Entschlüsselungscode ist wie das Passwort in Fallalternative 2 offen einsehbar). Der Eingriff war insgesamt von geringer Bedeutung. Eine Kenntnisnahme lag nicht vor, es wurde allein nach schadhafter Software gesucht. Eine Beschädigung der Datei wurde und sollte auch vermieden werden. Eine Speicherung und somit mögliche Verwendung der Daten ist auf dem Laptop des P nicht erfolgt. Insgesamt ist die Schuld des P als unterdurchschnittlich anzusehen. Abs. 42
Zudem ist im Rahmen der Schuld zu Fragen, inwiefern eine Zwangslage in dem Sinne vorgelegen hat, dass der Leistende sich trotz fehlender Erlaubnis und Befugnis verpflichtet gefühlt hat, seine Leistung zu erbringen, dabei aber eine tatbestandserfüllende Maßnahme verwirklicht. Mithin der Leistende Mängel beseitigt und in diesem Zusammenhang sicherungsspezifische Daten erfasst, indem er die Schutzvorrichtung umgeht. Soweit eine solche Zwangslage vorgelegen hat, liegt auch hier eine geringere Schuld vor und ist damit strafmildernd zu berücksichtigen. Abs. 43
Nachdem im Eingangsfall dargestellten Sachverhalt, war eine Überprüfung nach 2 Wochen sinnvoll. Eine Zwangslage bestand für P hingegen nicht. Verdachtsmomente, die eine schädliche Software auf dem PC des A begründet hätten, lagen nicht vor. Auch nahm G den P nicht aus Gewährleitung in Anspruch. Ein milderes Mittel wäre ein Speichern der Daten auf einen externen Datenträger gewesen. Demnach liegen keine weiteren Gründe vor, welche die Schuld geringer werden lässt. Abs. 44


5.         Praxishinweise

a)         Um Probleme hinsichtlich der Legitimation des Zugriffs zu vermeiden, sollte der Verfügungsberechtigte zur vollumfänglichen Durchführung des Auftrages gestatten, dass der Täter die Daten erfassen bzw. sich Zugang dazu verschaffen darf. Denn im Rahmen der Gewährleistung bei fehlerhafter Software ist es teilweise unumgänglich und notwendig, bestimmte Datensätze zu erforschen, um das Problem überhaupt präzise erfassen und beheben zu können. Der Verfügungsberechtigte will zwar selbstverständlich nicht, dass sensible und wichtige Daten Dritten zugänglich gemacht werden. Ebenso sollen auch Dritte nicht die Möglichkeit erlangen können, den Datenbestand an sich zu erfassen. Dies ist aber in diesem Fall auch nicht die Intention des Täters. Die Erfassung und ggf. Durchsicht bestimmter Daten, erfolgt zur Mängelbeseitigung und nicht zur Durchforstung persönlicher Daten zum späteren eigenen Gebrauch des Täters. Dies ist wiederum dem Verfügungsberechtigten bekannt  bzw. sollte diesem bekannt sein. Abs. 45
b)        Sofern ein Auftrag jedoch unter der Prämisse erteilt wird, bestimmte Datensätze "unberührt" zu lassen, ist in Erfahrung zu bringen, ob die Durchführung des Auftrages noch uneingeschränkt möglich ist. Ggf. sollte der Auftrag abgelehnt werden, wenn es wahrscheinlich ist, dass Datensätze erfasst werden, zu welchen das Einverständnis wiederum fehlt. Denn eine Befugnis entfiele neben dem fehlenden Einverständnis bei einer strikten Ablehnung ebenfalls. Abs. 46
c)         Aus zivilrechtlicher Sichtweise liegt bei der Verweigerung — also fehlendem Einverständnisses und mangelnder Befugnis — und der dadurch nicht mehr möglichen Mängelbeseitigung Unmöglichkeit i.S.d. § 275 BGB vor. Wenn der Gewährleistende nunmehr trotzdem tätig wird, um — rechtsirrig — Schadensersatzansprüchen des anderen entgegen zu wirken, handelt jener damit trotzdem schuldhaft i.S.d. § 202a StGB. Abs. 47
Bei Nichtvornahme der Handlung würde sich der Leistende neben der Schadloshaltung hinsichtlich der Mängelgewährleistung eine Freistellung der Haftung wegen Verletzung eines Schutzgesetzes verschaffen, denn § 202a StGB ist als ein solches i.S.d. § 823 II BGB zu verstehen.
JurPC Web-Dok.
180/2008,   Abs. 48

Fußnoten:

[1] Der Chaos Computer Club (CCC) hat eine Stellungnahme zur Verfassungsbeschwerde hinsichtlich des § 202c StGB abgegeben, siehe http://www.ccc.de/202c/202cStellungnahme.pdf
[2] vgl. zur Begriffsbestimmung die Legaldefinition des § 202a Abs. 2 StGB.
[3] NK-Jung, StGB, § 202a Rn  8
[4] zu den Einzelnen nicht von § 202a StGB erfassten Nutzungen oder ähnliches siehe Lackner/Kühl, StGB, § 202a Rn. 3; Fischer, StGB, § 202a Rn. 7; SK-Hoyer, StGB, § 202a Rn. 7
[5] vgl. Fischer, StGB, § 202a Rn. 9; NK-Jung, StGB, § 202a Rn. 10; SK-Hoyer, StGB, § 202a Rn. 15
[6] siehe Fischer, StGB, § 202a Rn. 9a
[7] Fischer, StGB, § 202a Rn. 11b
[8] vgl. Gröseling/Höfinger, MMR 2007, 551
[9] Gröseling/Höfinger, aaO
[10] so auch Gröseling/Höfinger, MMR 2007, 552
[11] vgl. Fischer, StGB, § 201 Rn. 9; SK-Hoyer, StGB, § 202a Rn. 15
[12] so aber Lackner/Kühl, § 202a Rn. 7; Fischer, § 202a Rn. 12
[13] SK-Hoyer, aaO; i.E. wohl NK-Jung, aaO; a.A. S/S-Lenckner, § 202a Rn. 11, Lackner/Kühl, aaO
[14] vgl. statt vieler Wessels/Beulke, AT Rn. 382
[15] Fischer, StGB, § 202a Rn. 9
[16] Fischer, aaO; Ernst, NJW 03, 3233, 3236; a.A. hingegen Leicht, iur 87, 49
* Sebastian Wohlwend arbeitet als Rechtsanwalt in Karlsruhe
[ online seit: 18.11.2008 ]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Wohlwend, Sebastian, Die strafrechtliche Relevanz des § 202a StGB bei Tätigwerden eines Software-Ingenieurs - JurPC-Web-Dok. 0180/2008