Verbotenes Wissen? Strafrechtliche Risiken bei der Annahme von Datenleaks - Teil 1

Rechtswidriges staatliches Handeln, Korruption, Datenschutzverletzungen oder Sicherheitslücken in Software - häufig sind es Einzelne, die auf Missstände aufmerksam machen. Whistleblower sind damit ein wesentlicher Bestandteil der modernen Aufdeckung von Missständen. ie können dazu beitragen, dass Behörden und Medien unethisches oder illegales Verhalten aufdecken und Sicherheitslücken in Unternehmen aufzeigen. Häufig geraten allerdings nicht die Missstände, sondern die vermeintlich störenden WhistleblowerInnen ins Visier. Diese werden eingeschüchtert und schikaniert. Gleichzeitig bewegen sie sich in einem rechtlichen Spannungsfeld, da ihr Handeln, obwohl gesellschaftlich nützlich, unter Umständen strafrechtlich verfolgt werden kann.

Dies birgt die Gefahr eines erheblichen Abschreckungseffekts. Beispiele hierfür sind der Fall eines IT-Sicherheitsforschers, der nach der Meldung eines Datenlecks einer Hausdurchsuchung unterzogen wurde, anstatt für seine Sicherheitsforschung honoriert zu werden (Golem) oder einer IT-Sicherheitsforscherin, die der CDU eine Sicherheitslücke meldete und dafür angezeigt wurde (Zeit). Das Hinweisgeberschutzgesetz (HinSchG) ist ein erster Schritt in die richtige Richtung. Wer in seinem beruflichen Umfeld auf Gesetzesverstöße stößt, kann diese an speziell eingerichtete Meldestellen weitergeben und soll dabei durch gesetzliche Regelungen vor Nachteilen geschützt werden. Allerdings ergeben sich auch hier Probleme bei der Gewährleistung der Anonymität. Zudem ist der Anwendungsbereich des HinSchG eingeschränkt. (Hierzu folgt ein weiterer Blogbeitrag) Es fehlt daher nach wie vor eine rechtssichere Möglichkeit, Datensätze anonym einbringen zu können. Meldungen von Datenleaks, aufgefundenen Datensätzen/Sicherheitslücken durch IT-SicherheitsforscherInnen (“white hats” oder „white hacker“) sowie WhistleblowerInnen aus Unternehmen führen häufig zu strafrechtlichen Ermittlungen gegen diese oder zu Leugnungserklärungen der Unternehmen. Es ist nicht unüblich, dass sich IT-Sicherheitsforschende bei Sicherheitslücken (wie zuletzt bei D-Trust) mangels vertrauenswürdiger Alternativen an den CCC wenden. Nicht nur vor diesem Hintergrund erscheint eine anonyme Eingabe auf einer vertrauenswürdigen Plattform vorzugswürdig. Ähnlich problematisch und Inhalt dieses Blogbeitrags ist die rechtliche Situation von Plattformen, die – wie DROPS – eine anonyme Aufnahme und Bearbeitung von Datenleaks ermöglichen. (Vgl. Blogbeitrag) Plattformen wie DROPS ermöglichen es Whistleblowern, Missstände anonym aufzudecken. Dabei sind jedoch strafrechtliche Normen zu beachten, um nicht selbst Gegenstand strafrechtlicher Ermittlungen zu werden. Relevant sind insbesondere die Vorschriften des BDSG, des GeschGehG und des StGB. Rechtliche Unsicherheiten, insbesondere im Bereich der Datenhehlerei, der unbefugten Verarbeitung personenbezogener Daten und des Schutzes von Geschäftsgeheimnissen, erschweren die Arbeit solcher Plattformen jedoch erheblich. Die strafrechtliche Beurteilung hängt dabei von mehreren Faktoren ab (nicht kumulativ) und dem jeweiligen Einzelfall:

• Herkunft der Daten (legal oder illegal beschafft)
• Technische Sicherheitsmaßnahmen (geschützt oder nicht)
• Vorliegen von allgemein zugänglichen Daten (wann dies der Fall ist, ist umstritten)
• Vorliegen eines Geschäftsgeheimnisses

Diese Faktoren werden im nächsten Blogpost weiter ausgeführt.