Unberechtigter Datenzugriff auch für Administratoren strafbar
01. April 2021 | von Jakob Schlag
Über das „Hacken“ von Daten durch Unberechtigte wird oft in den Medien berichtet und die Strafbarkeit ist daher weithin bekannt. Wie aber verhält es sich, wenn ein Administrator seine Position ausnutzt, um sich Zugang zu verschaffen? Der BGH hat mit seinem Urteil vom 13. Mai 2020 entschieden, dass hier ebenfalls der „Hackerparagraph“ § 202a Abs. 1 StGB anwendbar ist.
Im vorliegenden Fall hat ein Administrator des Bundesministeriums für Gesundheit über Jahre auf passwortgeschützte E-Mail-Konten von Betroffenen zugegriffen und Inhalte an unberechtigte Dritte verkauft. Bei den Betroffenen handelt es sich insbesondere um die oberste Leitungsebene, also Minister, Staatssekretäre, Abteilungs- und Referatsleiter sowie die Leiterin des Leitungsstabs.
Die E-Mail-Konten der Betroffenen waren durchweg passwortgesichert. Als Administrator verfügte der Verurteilte jedoch über einen umfassenden Zugriff auf die Einstellungen des Systems und hohe fachliche Kenntnisse. Ein Zugriff war daher für ihn persönlich kein Problem.
Geprüft wurde durch den Bundesgerichtshof, ob in diesem Fall die Voraussetzungen des § 202a Abs. 1 StGB vorliegen. Dieser lautet wie folgt:
„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Fraglich war hierbei, ob es sich bei dem Zugriff durch einen Administrator grundsätzlich um einen unberechtigten Zugang und um Überwindung einer Zugangssicherung handelt.
Das Gericht hat entschieden, dass die bestehende Passwortsperre ausreichend verdeutlicht, dass der Administrator nicht zum Zugriff berechtigt war. Seine allgemeine Aufgabe, das System zu warten, gibt ihm nicht das Recht, Inhalte der einzelnen E-Mail-Konten zu lesen. Unerheblich ist dabei, dass der Verurteilte durch seine Fachkenntnis nur wenige Klicks benötigte, um die Sicherung zu umgehen. Es ist nicht erforderlich, dass die Zugangssicherung unmittelbar gegen den Täter wirkt. Es ist daher für die Erfüllung des Tatbestandes auch unerheblich, wenn ein Administrator tatsächlichen Zugriff hat.
Die im Gesetz festgeschriebene Voraussetzung der Zugangssicherung fehlt nur dann, wenn es Jedermann ohne Weiteres möglich ist, die entsprechende Hürde zu umgehen.
An diesem Fall wird deutlich, dass nicht nur externe sondern auch interne Angreifer für das Ausspähen von Daten strafrechtlich verfolgt werden können.
Um einen versehentlichen, unberechtigten Zugriff auf personenbezogene Daten zu vermeiden, sollten daher in jedem Unternehmen und jeder Behörde klare Vorgaben existieren, wer auf welche Daten Zugriff erhält und nach welchen Prozessen dabei vorzugehen ist. Diese Vorgaben dienen dann auch dem Schutz der jeweiligen Administratoren vor einem versehentlichen Überschreiten rechtlicher Grenzen.
An der Universität Regensburg wurde dazu die „Dienstvereinbarung zur Verarbeitung systemimmanenter Daten und der Einsichtnahme in Nutzdaten“ geschossen. Diese gilt für alle IT-Systeme im universitären Kontext, alle Mitarbeiter der Universität und alle sonstigen Dienstleister, die Zugang zu IT-Systemen der Universität erhalten. Mit diesem strengen Regelwerk wird neben technischen Maßnahmen sichergestellt, dass Daten nur für die nötigen Zwecke genutzt und nicht zweckentfremdet werden.
Quellen:
Nicolas John: Error 403. Zugriff verweigert. In: DFN infobrief recht 3-2021, S.2 ff.
Nicolas John: Möge die Firewall mit dir sein. In: DFN infobrief recht 4-2020, S. 9 ff.
Urteil des Bundesgerichtshofs vom 13. Mai 2020 5 StR 614/19.
