Ausspähen von Daten – Überwindung einer durch Passwort geschützten Zugangssicherung

Ausspähung von Daten: Passwörter müssen gut geschützt sein

Das Gericht lehnte den Antrag auf Erlass eines Strafbefehls wegen des Ausspähens von Daten ab, da der Angeklagte rechtlich nicht hinreichend verdächtig erscheint. Der Fall betraf die Überwindung einer Passwortsicherung durch Dekompilierung, wobei das Gericht entschied, dass ein einfacher Passwortschutz nicht immer eine effektive Datensicherung darstellt. Die Strafbarkeit wegen Ausspähens von Daten wird ausgeschlossen, wenn der Zugang zu den Daten durch allgemein verfügbare Hilfsmittel ermöglicht wird.

Weiter zum vorliegenden Urteil Az.: 17 Cs – 230 Js 99/21 – 55/23 >>>

✔ Das Wichtigste in Kürze

Die zentralen Punkte aus dem Urteil:

Ablehnung des Strafbefehls: Das Gericht lehnt den Antrag auf Erlass eines Strafbefehls ab.
Unzureichender Verdacht: Der Angeklagte wird aus rechtlichen Gründen nicht als hinreichend verdächtig eingestuft.
Definition von Datensicherheit: Nur besonders gesicherte Daten fallenunter den Schutzbereich des § 202a StGB.
Bedeutung von Passwortschutz: Ein Passwortschutz allein reicht nicht aus, um eine effektive Datensicherung zu gewährleisten.
Kriterien für effektiven Schutz: Der Schutz muss objektiv geeignet sein und den Zugang verhindern.
Dekompilierung als Zugangsmethode: Der Angeklagte nutzte Dekompilierung, um das Passwort zu erlangen.
Ausschluss der Strafbarkeit bei allgemein zugänglichen Tools: Die Verwendung von allgemein verfügbaren Hilfsmitteln schließt eine Strafbarkeit aus.
Kostenentscheidung: Die Kosten des Verfahrens trägt die Staatskasse gemäß § 467 StPO.

Übersicht

Ausspähung von Daten: Passwörter müssen gut geschützt sein
✔ Das Wichtigste in Kürze
✔ Wichtige Begriffe kurz erklärt
- Was bedeutet „Ausspähen von Daten“ im rechtlichen Kontext?
- Wie wird eine „Passwort geschützte Zugangssicherung“ juristisch definiert und bewertet?
Das vorliegende Urteil
- Gründe

Datensicherheit und rechtliche Herausforderungen

Ausspähen von Passwort Daten — (Symbolfoto: Song_about_summer /Shutterstock.com)

In einer Ära, in der die Sicherheit von Daten und der Schutz persönlicher Informationen zunehmend an Bedeutung gewinnen, stehen rechtliche Rahmenbedingungen und Gerichtsurteile, die sich mit dem Ausspähen von Daten und der Überwindung von Zugangssicherungen beschäftigen, im Fokus der öffentlichen Aufmerksamkeit. Diese Themen sind nicht nur für IT-Experten und Datenschutzbeauftragte von Bedeutung, sondern betreffen jeden, der in der digitalen Welt aktiv ist. Besonders brisant wird es, wenn es um die Frage geht, wie das Recht auf Datenschutz und die Sicherheit persönlicher Informationen in Einklang mit den technologischen Möglichkeiten und deren Missbrauch gebracht werden können.

Der Umgang mit Passwörtern und die Sicherheit von durch Passwortschutz gesicherten Daten sind dabei zentrale Aspekte. Der rechtliche Diskurs dreht sich häufig um die Frage, was eine angemessene Zugangssicherung darstellt und inwiefern das Überwinden dieser Sicherungen rechtliche Konsequenzen nach sich zieht. Das Thema berührt sowohl individuelle Rechte als auch die Verantwortung von Unternehmen und Organisationen im Umgang mit sensiblen Daten.

In den folgenden Ausführungen wird ein konkretes Urteil vorgestellt, das Licht auf diese Fragen wirft. Es geht um die feinen juristischen Nuancen, die bestimmen, wann das Überwinden einer Zugangssicherung als rechtswidrig gilt. Tauchen Sie mit uns ein in die Details dieses spannenden Falls, der exemplarisch die Herausforderungen und Konflikte in der Welt des Datenschutzes und der IT-Sicherheit aufzeigt.

Der Fall des Ausspähens von Daten: Eine juristische Analyse

Im bemerkenswerten Fall vor dem Amtsgericht Jülich, Az.: 17 Cs – 230 Js 99/21 – 55/23, datiert auf den 10. Mai 2023, wurde der Antrag auf Erlass eines Strafbefehls wegen des Verdachts des Ausspähens von Daten abgelehnt. Der Kern des Falles dreht sich um die Überwindung einer durch Passwort geschützten Zugangssicherung. Es ging um die Frage, ob der Angeklagte durch Dekompilierung des Objektcodes in den Quellcode einer Software rechtswidrig Zugriff auf gesicherte Daten erlangt hat.

Die juristische Auseinandersetzung konzentrierte sich darauf, ob ein einfacher Passwortschutz als ausreichende Maßnahme gegen unberechtigten Zugriff auf Daten angesehen werden kann. Das Gericht stellte fest, dass nach § 202a Abs. 1 StGB nur Daten, die gegen unberechtigten Zugang besonders gesichert sind, unter den Schutzbereich des Straftatbestandes fallen. Diese Erkenntnis bildete die Basis für die folgenden richterlichen Überlegungen und Entscheidungen.

Der rechtliche Hintergrund: Passwortschutz und Datensicherheit

Der Fall beleuchtet die rechtlichen Herausforderungen bei der Definition von angemessener Datensicherheit. Laut Gerichtsurteil ist ein Passwortschutz allein nicht in jedem Fall eine effektive Datensicherung, besonders wenn das Passwort simpel ist oder standardisiert verwendet wird. Diese Einschätzung stützt sich auf verschiedene juristische Kommentare und Urteile, die die Notwendigkeit einer objektiv geeigneten Maßnahme zur Verhinderung des Zugangs betonen.

Es wurde argumentiert, dass für das „Verstecken“ von Passwörtern entsprechende Anforderungen an die Wirksamkeit der Sicherungsmaßnahme gelten müssen. In diesem spezifischen Fall erlangte der Angeklagte das Passwort durch die Rückübersetzung des Objektcodes, was die Frage aufwarf, ob solche Methoden die gesetzlichen Kriterien für eine unerlaubte Überwindung der Sicherheit erfüllen.

Die Entscheidung des Gerichts: Überwindung der Zugangssicherung

Das Gericht kam zu dem Schluss, dass im vorliegenden Fall die Überwindung der Zugangssicherung nicht als Straftat nach § 202a StGB anzusehen ist. Diese Entscheidung beruht auf der Feststellung, dass die Rückübersetzung des Codes mittels gängiger Hilfsprogramme erfolgte, die für jedermann zugänglich sind.

Dies deutet darauf hin, dass die verwendeten Sicherungsmaßnahmen nicht den Anforderungen entsprachen, die für einen Schutz gegen das Ausspähen von Daten notwendig sind. Das Gericht folgte somit nicht der Auffassung der Staatsanwaltschaft, dass ein einfacher Passwortschutz ausreichend ist. Diese Entscheidung stellt einen wichtigen Präzedenzfall für die Beurteilung der Wirksamkeit von Sicherheitsmaßnahmen in der digitalen Welt dar.

Die Auswirkungen auf die Praxis: Relevanz für Datenschutz und Sicherheit

Dieses Urteil hat weitreichende Implikationen für die Praxis des Datenschutzes und der IT-Sicherheit. Es wirft grundlegende Fragen auf, wie effektiv Passwörter als alleinige Sicherungsmaßnahme sind und unter welchen Umständen die Überwindung dieser Sicherungen als rechtswidrig angesehen wird.

Für IT-Sicherheitsexperten und Datenschutzbeauftragte bedeutet dies eine Notwendigkeit, die Sicherheitsmaßnahmen kontinuierlich zu überprüfen und zu verstärken. Unternehmen und Organisationen müssen sich bewusst sein, dass einfache Passwortschutzmechanismen möglicherweise nicht ausreichen, um Daten effektiv zu schützen und rechtlichen Anforderungen gerecht zu werden.

Das nachfolgende konkrete Urteil bietet detaillierte Einblicke in die rechtlichen Überlegungen und begründet, warum das Gericht die Entscheidung getroffen hat, den Antrag auf Erlass eines Strafbefehls abzulehnen.

✔ Wichtige Begriffe kurz erklärt

Was bedeutet „Ausspähen von Daten“ im rechtlichen Kontext?

„Ausspähen von Daten“ ist ein Begriff aus dem deutschen Strafrecht, der in § 202a des Strafgesetzbuches (StGB) definiert ist. Dieser Paragraph stellt das unbefugte Verschaffen von Zugang zu Daten, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind, unter Strafe. Die Strafe kann eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe sein.

Die Daten, auf die sich dieser Paragraph bezieht, müssen elektronisch, magnetisch oder auf andere Weise nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden. Das bedeutet, dass manuell erstellte Daten nicht erfasst sind. Die Daten müssen also erst durch eine entsprechende technische Umformung sichtbar oder hörbar sein.

Das Ausspähen von Daten ist ein zunehmendes Problem und wird strafrechtlich verfolgt. In der Polizeilichen Kriminalstatistik (PKS) 2021 wurden 14.918 Fälle im Bereich „Ausspähen, Abfangen von Daten, Datenhehlerei“ erfasst. Das entspricht einer Steigerung von 38,6 Prozent im Vergleich zum Vorjahr.

Es ist nicht relevant, ob geschäftliche oder private Daten ausgespäht werden. §202a StGB erfasst unter anderem den Softwarediebstahl, das Ausspähen von Daten, den Wirtschaftsverrat und das Verschaffen von Unternehmensgeheimnissen.

Die Strafbarkeit beginnt bereits mit der Erlangung des Zugangs zu den Daten, nicht erst mit deren Nutzung oder Weitergabe. Das uneingeschränkte Lesen der illegal beschafften Daten erfüllt in jedem Fall den Tatbestand des Ausspähens von Daten.

Neben dem Ausspähen von Daten sind beispielsweise auch das Abfangen von Daten oder schon eine sogenannte vorbereitende Handlung strafbar.

Wie wird eine „Passwort geschützte Zugangssicherung“ juristisch definiert und bewertet?

Eine „Passwort geschützte Zugangssicherung“ bezieht sich auf die Verwendung von Passwörtern als Methode zur Sicherung des Zugangs zu bestimmten Daten oder Systemen. In einem juristischen Kontext wird diese Methode als eine Form der Zugangssicherung anerkannt, die dazu dient, unbefugten Zugriff auf Daten zu verhindern.

Die Passwortnutzung im deutschen Unternehmensalltag zeigt, dass Passwörter oft als unzureichend für eine effektive Zugangssicherung angesehen werden, da Nutzer dazu neigen, einfache und leicht zu merkende Passwörter zu verwenden. Dennoch wird die Überwindung einer passwortgeschützten Zugangssicherung als Straftat angesehen, wie in § 202a des Strafgesetzbuches (StGB) festgelegt.

Die Passwortstärke und die Einhaltung von Passwortregeln sind wichtige Aspekte der Zugangssicherung. Ein angemessener Zugangsschutz muss dem Stand der Technik entsprechen. Die Datenschutzbehörden verweisen auf Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und geben Hinweise zur Zugangssicherung.

Es ist auch zu erwähnen, dass die Daten, die durch eine passwortgeschützte Zugangssicherung geschützt sind, nicht für den potenziellen Täter bestimmt sein müssen und gegen unberechtigten Zugang besonders gesichert sein müssen, um unter den Schutz des § 202a StGB zu fallen.

Die Überwindung einer passwortgeschützten Zugangssicherung kann eine Straftat darstellen, insbesondere wenn sie dazu dient, Zugang zu Daten zu erlangen, die nicht für den Täter bestimmt sind und gegen unberechtigten Zugang besonders gesichert sind.

Das vorliegende Urteil

AG Jülich – Az.: 17 Cs – 230 Js 99/21 – 55/23 – Beschluss vom 10.05.2023

Der Antrag auf Erlass eines Strafbefehls wird aus rechtlichen Gründen abgelehnt.

Die Kosten des Verfahrens und die notwendigen Auslagen des Angeschuldigten hat die Staatskasse zu tragen.

Gründe

Nach den Ergebnissen des vorbereitenden Verfahrens erscheint der Angeschuldigte einer Straftat nach § 202a Abs. 1 StGB aus rechtlichen Gründen nicht hinreichend verdächtig.

Dem Schutzbereich des Straftatbestandes unterliegen nur Daten, die gegen den unberechtigten Zugang besonders gesichert sind. Dies setzt voraus, dass Maßnahmen getroffen wurden, die objektiv geeignet sind und nach dem Willen des Berechtigten auch dazu bestimmt sind, den Zugang zu den Daten zu verhindern (Weidemann, in: BeckOK, StGB, Stand: 01.02.2023, § 202a Rn. 2; Gercke, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 202a StGB Rn. 4).

Der Auffassung der Staatsanwaltschaft, wonach dafür bereits ein Passwortschutz als solcher genügt, folgt das Gericht nicht. Ein Passwort bewirkt nicht in jedem Fall eine effektive Datensicherung, etwa wenn es allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig (Hilgendorf, in: LK-StGB, 13. Aufl. 2023, § 202a Rn. 3 m.w.N.). Für das „Verstecken“ von Passwörtern müssen entsprechende Anforderungen an die Wirksamkeit der Sicherungsmaßnahme gelten.

Hier ist nach dem Ergebnis der Ermittlungen davon auszugehen, dass der Angeschuldigte durch Rückübersetzung des Objektcodes in den Quellcode einer Software (Dekompilierung, § 69e UWG) Kenntnis vom Passwort erlangt hat. Für eine solche Fallkonstellation bedeutet das Erfordernis der Überwindung einer besonderen Zugangssicherung nach richtiger Auffassung, dass eine Strafbarkeit wegen Ausspähens von Daten ausscheidet, wenn die Rückübersetzung mittels gängiger Hilfsprogramme möglich ist (Graf, in: MüKoStGB, 4. Aufl. 2021, § 202a Rn. 34; Bär, in: Wabnitz/Janovsky/Schmitt, WirtschaftsStrafR-HdB, 5. Aufl. 2020, 15. Kapitel., Rn. 78; vgl. auch Brodowski/Marnau, NStZ 2017, 377, 380: „nicht trivialer technischer Aufwand“, zu § 202d StGB). Letzteres war hier der Fall, da laut Schlussvermerk zum polizeilichen Ermittlungsbericht vom 00.00.0000 die Dekompilierung des im Klartext in der Software abgelegten Passwortes mit für jedermann zugänglichen Tools erfolgt ist (Bl. 235 d.A.; vgl. zu der möglicherweise verwendeten Software auch Bl. 226 d.A.).

Die Kostenentscheidung folgt aus § 467 StPO.

Hinweis: Informationen in unserem Internetangebot dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können eine individuelle rechtliche Beratung auch nicht ersetzen, welche die Besonderheiten des jeweiligen Einzelfalles berücksichtigt. Ebenso kann sich die aktuelle Rechtslage durch aktuelle Urteile und Gesetze zwischenzeitlich geändert haben. Benötigen Sie eine rechtssichere Auskunft oder eine persönliche Rechtsberatung, kontaktieren Sie uns bitte.

Unsere Hilfe im Strafrecht

Wir sind Ihr Ansprechpartner in Sachen Strafrecht und Verkehrsstrafrecht. Nehmen Sie noch heute Kontakt zu uns auf.

jetzt anfragen

02732 - 791079

Rechtstipps aus dem Strafrecht

Erregung öffentlichen Ärgernisses – Ab wann strafbar?

Strafbarkeit der Vornahme einer sexuellen Handlung in der Öffentlichkeit gemäß § 183a StGB Im Strafrecht gibt es Straftaten, die nicht so stark im öffentlichen Fokus stehen und deshalb von vielen Menschen in einen gänzlich anderen Kontext gesetzt werden. Die Erregung öffentlichen Ärgernisses ist so eine Straftat, über welche allgemeinhin nur sehr wenig bekannt ist. Viele […]

Fahrlässigkeit im Straßenverkehr: Wann wird Nachlässigkeit zur Straftat?

Für nahezu jeden Autofahrer ist die Thematik der Fahrlässigkeit im Straßenverkehr von Relevanz, da mit zunehmender Erfahrung auch die Routine bei der Autofahrt einkehrt. Kaum ein anderes Thema ist jedoch mit derartig vielen Fragen sowie Unsicherheiten verbunden, da nicht jeder Autofahrer die genauen rechtlichen Rahmenbedingungen der Fahrlässigkeit benennen oder gar die Unterschiede zu dem Vorsatz […]

Brandstiftung mit Todesfolge gem. § 306c StGB

Die Brandstiftung gehört zu denjenigen Taten, die in Deutschland verhältnismäßig häufig vorkommen. Nicht immer steht bei dieser Tat der Gedanke im Vordergrund, dass tatsächlich Menschenleben gefährdet oder gar Menschen getötet werden sollen. Die meisten Täter machen sich auch überhaupt keine Gedanken darüber, dass in Deutschland die Brandstiftung mit Todesfolge sogar zu den sogenannten gemeingefährlichen Straftaten […]

Urteile aus dem Strafrecht

Sicherungshaftbefehl wegen unentschuldigten Ausbleibens in der Hauptverhandlung

Anforderungen an zulässigen Wiedereinsetzungsantrag nach § 329 Abs. 7 StPO

Verhängung Jugendstrafe wegen schädlicher Neigungen

Betrug – Haftstrafe zur Bewährung

Unsere Kontaktinformationen

Rechtsanwälte Kotz GbR

Siegener Str. 104 – 106
D-57223 Kreuztal – Buschhütten
(Kreis Siegen – Wittgenstein)

Telefon: 02732 791079
(Tel. Auskünfte sind unverbindlich!)
Telefax: 02732 791078

E-Mail Anfragen:
info@ra-kotz.de
ra-kotz@web.de

Rechtsanwalt Hans Jürgen Kotz
Fachanwalt für Arbeitsrecht

Rechtsanwalt und Notar Dr. Christian Kotz
Fachanwalt für Verkehrsrecht
Fachanwalt für Versicherungsrecht
Notar mit Amtssitz in Kreuztal

Bürozeiten:
MO-FR: 8:00-18:00 Uhr
SA & außerhalb der Bürozeiten:
nach Vereinbarung

Für Besprechungen bitten wir Sie um eine Terminvereinbarung!

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Matomo
Name	Matomo
Anbieter	Rechtsanwälte Kotz GbR
Zweck	Wir setzen Matomo für Website-Analysen ein und erzeugen anonymisierte/pseudonymisierte Benutzerdaten darüber, wie der Besucher die Website nutzt. Ein Cookie wird dabei nicht gesetzt. Für die Nutzung des sogenannten "Device Fingerprinting" benötigen wir die Einwilligung des Besuchers. Die Einwilligung kann jederzeit in der Datenschutzerklärung widerrufen werden.
Datenschutzerklärung	https://www.strafrechtsiegen.de/datenschutz/
Cookie Name	kein Cookie
Cookie Laufzeit	-

Akzeptieren	Facebook
Name	Facebook
Anbieter	Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
Zweck	Wird verwendet, um Facebook-Inhalte zu entsperren.
Datenschutzerklärung	https://www.facebook.com/privacy/explanation
Host(s)	.facebook.com

Akzeptieren	Google Maps
Name	Google Maps
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird zum Entsperren von Google Maps-Inhalten verwendet.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	.google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate