Verbotenes Wissen? Strafrechtliche Risiken bei der Annahme von Datenleaks - Teil 2

Foto von MARIOLA GROBELSKA auf Unsplash

Der erste Beitrag zu den strafrechtlichen Risiken bei der Annahme von Datenleaks endete mit der Feststellung, dass die Beurteilung der Strafbarkeit schlussendlich von mehreren Faktoren abhängt. Dies heißt das jeder Fall im Endeffekt eine Einzelfallbetrachtung benötigt. Um am letzten Beitrag anzuschließen, die hauptsächlichen Faktoren zur Beurteilung sind:

  • Herkunft der Daten (legal oder illegal beschafft)
  • Technische Sicherheitsmaßnahmen (geschützt oder nicht)
  • Vorliegen von allgemein zugänglichen Daten (wann dies der Fall ist, ist umstritten)
  • Vorliegen eines Geschäftsgeheimnisses

Im folgenden werden verschiedene Einzelfälle im Bezug auf DROPS geprüft. Es wird jeweils zuerst die zu prüfende Norm aufgelistet, die dazugehörigen relevanten Handlungen die möglicherweise in einem Projekt wie DROPS bei der Annahme von Datenleaks auftreten können, und zuletzt die sich daraus ergebenden Strafbarkeitsrisiken.

  • § 202a StGB (Ausspähen von Daten)
    • Unbefugter Zugriff/Übermitteln/verschaffen Zugang auf besonders gesicherte Daten.
    • DROPS erlangt keine Daten durch eigenes Handeln. Zudem schützt § 202a StGB nur besonders gesicherte Daten, nicht allgemein zugängliche Informationen. Eine monetäre Belohnung für bereitgestellte Daten könnte theoretisch eine Beihilfe darstellen, ist aber mangels Vorsatzes unwahrscheinlich.
  • § 42 (1) Nr. 1 und 2 und (2) Nr. 1 BDSG (Unerlaubte Verarbeitung personenbezogener Daten)
    • Unbefugte Übermittlung oder Zugänglichmachen personenbezogener Daten.
    • Nur nicht allgemein zugängliche Daten können Gegenstand dieser strafrechtlicher Schutzvorschriften sein. Daten aus Datenleaks sind allgemein zugänglich, soweit sie keinerlei Zugriffsbeschränkung unterliegen. Nicht unumstrittenes Tatbestandsmerkmal. Weder kann sich der Dritte über DROPS Kenntnis über den Informationsgehalt der Daten verschaffen noch kann er diese im eigentlichen Sinne nutzen. Darüber hinaus lässt das Vorliegen einer datenschutzrechtlichen Berechtigung (Art. 6(1)f DSGVO) zur Verarbeitung den objektiven Tatbestand entfallen. Zudem verarbeitet/übermittelt DROPS keine personenbezogenen Daten, sondern gleicht lediglich Hashwerte ab.
  • § 202d StGB (Datenhehlerei)
    • Handel mit rechtswidrig erlangten, nicht allgemein zugänglichen Daten.
    • Datenleaks sind meist öffentlich, wodurch das Tatbestandsmerkmal „nicht allgemein zugänglich“ entfällt. Eine rechtliche Perpetuierung der Datenlage der unrechtmäßigen Vermögenslage, liegt nicht vor. Potenziell auch keine Verbindung zwischen der rechtswidrigen Vortat und dem Zugang des Täters zu den Daten. Vor dem Hintergrund der zu §§ 184b(5)/184k(3)/91(2) StGB entwickelten Grundsätze können wissenschaftliche Forschung oder Handlungen im Zusammenhang mit der Information von Bundestagsabgeordneten ebenfalls unter den Tatbestandsausschluss fallen.
  • § 23 GeschGehG (Verletzung eines Geschäftsgeheimnisses)
    • Rechtswidriges Erlangen oder Nutzen geschützter Geschäftsgeheimnisse.
    • Geschäftsgeheimnisse sind nur geschützt, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. Datenleaks enthalten oft Informationen, die durch ihre Veröffentlichung diesen Schutz verlieren. Bei bestehenden Verdachtsmomenten muss der Empfänger jedoch Nachforschungen anstellen. Dies kann zumindest bei der Kennzeichnung eines Dokuments als streng vertraulich anzunehmen sein. Darüber hinaus kann die Erlangung des Datenleaks nach § 5 Nr. 2 GeschGehG gerechtfertigt bzw. nach § 3 (2) GeschGehG gestattet sein, wenn ein Fall von Whistleblowing vorliegt.
  • § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen)
    • Rechtswidriges Erlangen oder Nutzen geschützter Geschäftsgeheimnisse.
    • Siehe oben. Zudem veröffentlicht DROPS keine Geschäftsgeheimnisse. DROPS gleicht lediglich Hashwerte ab.

Als besonders problematisch erwies sich bei der Beurteilung das Tatbestandsmerkmal „nicht allgemein zugänglich“. In Anlehnung an die Rechtsprechung des Bundesgerichtshofs sind Informationen nur dann allgemein zugänglich, wenn sie von jedermann ohne wesentliche Schwierigkeiten erlangt werden können. Allgemein zugänglich sind Daten, wenn sie jedermann ohne rechtliche Zugangsbeschränkungen zur Verfügung stehen. Dazu gehören nach der Gesetzesbegründung veröffentlichte Printmedien, öffentliche Datenbanken, öffentliche Veranstaltungen und das öffentlich zugängliche Internet. Solche Daten müssen in der Regel allgemein zugänglich sein und dürfen nicht nur einem bestimmten, abgrenzbaren Personenkreis zur Verfügung stehen. Dagegen sind personenbezogene Daten nicht allgemein zugänglich, wenn der Zugang durch technische Maßnahmen (z.B. Zugangssicherungen), faktische Hürden (z.B. Kenntnis einer komplexen URL erforderlich – m.E. fragwürdig) oder rechtliche Anforderungen (z.B. Nachweis eines berechtigten Interesses) eingeschränkt ist. Das Darknet mag für den Durchschnittsnutzer ein weniger frequentierter Bereich des Internets sein, die dort frei - ohne Registrierung, Autorisierung oder Zahlung eines Entgelts - verfügbaren Daten gelten dennoch als öffentlich zugänglich. Hintergrund ist, dass es nicht darauf ankommt, dass sich der Täter die Daten aus einer nicht allgemein zugänglichen Quelle beschafft, sondern dass die Daten allgemein nicht öffentlich zugänglich sind. Stellt der Täter die Daten öffentlich zur Verfügung - sei es im Darknet oder im Clearnet - verlieren sie den Charakter der Nichtöffentlichkeit, so dass der strafrechtliche Schutz durch die Veröffentlichung eingeschränkt wird. Zwar sind die Daten nach wie vor das Ergebnis einer rechtswidrigen Handlung und die Veröffentlichung selbst kann eine Straftat darstellen, doch hat der Gesetzgeber mit dem Merkmal der nicht allgemein zugänglichen Daten die Möglichkeit von bemakelten Daten genommen. Umstritten ist jedoch nach wie vor, ob rechtswidrig veröffentlichte Daten dann nicht als allgemein zugänglich gelten, wenn dies erkennbar ist. Die Rechtsauslegung hierzu ist nicht unumstritten. Fraglich ist bereits, wann und wie eine solche Kenntnis anzunehmen ist. Entscheidend ist nach der Gesetzesbegründung aber auch, dass der Betroffene auch in dieser Konstellation ein Interesse daran hat, dass seine Daten nicht öffentlich verbreitet werden. Dies wird jedoch dadurch ad absurdum geführt, dass Datenleaks regelmäßig nicht nur einer Person und auf mehreren Plattformen angeboten oder geteilt werden können. In der Literatur wird teilweise die Problematik aufgeworfen, dass, wenn die Veröffentlichung eines Ersttäters dazu führt, dass die Daten allgemein zugänglich werden, der Schutz der Strafnormen ausgehöhlt würde. Der Gesetzgeber hat aber mit dem Begriff der nicht allgemein zugänglichen Daten die Möglichkeit von bemakelten Daten genommen. Daten aus Datenleaks sind m.E. damit grundsätzlich allgemein zugänglich, soweit sie keinerlei Zugriffsbeschränkung unterliegen. Für eine fundierte Beurteilung ist zudem die zukünftige Gesetzgebung von entscheidender Relevanz (vgl. Blogbeitrag: https://itsec.cs.uni-bonn.de/drops/de/logbuch/24-10-25-reform-des-hackerparagraphen/). Das Computerstrafrecht wird derzeit überarbeitet. Für die Forschung (und auch für die Erfüllung rechtmäßiger beruflicher oder dienstlicher Pflichten) könnte man sich auch an vergleichbaren Ausnahmeregelungen orientieren. Zu nennen sind hier die Sozialadäquanzklauseln der §§ 91 Abs. 2, 184k Abs. 3 StGB, die nach herrschender Meinung als Tatbestandsausschlüsse angesehen werden. Sie enthalten auch eine Privilegierung von Wissenschaft und Forschung. Zusammenfassend besteht weiterhin Rechtsunsicherheit in Bezug auf nicht allgemein zugängliche Daten sowie folgende weitere ungeklärte Fragen:

  • Die Frage, ob auch illegale Geschäftsgeheimnisse unter den Begriff des Geschäftsgeheimnisses fallen, also Informationen über rechtswidrige Handlungen, ist in Deutschland bislang nicht höchstrichterlich geklärt.
  • Ebenso ungeklärt ist, unter welchen Bedingungen Whistleblowing im Strafrecht als Rechtfertigungsgrund herangezogen werden kann.