Ausspähen von Daten: Auch Systemadministratoren können sich strafbar machen
Das Strafrecht schützt Informationen und Daten auf verschiedene Art und Weise. Für Geschäftsgeheimnisse sieht § 23 GeschGehG eine Strafnorm vor. Private und betriebliche Geheimnisse sind in spezifischen Vertrauensverhältnissen durch § 203 StGB geschützt. Personenbezogene Daten, wenn sie nicht allgemein zugänglich sind, sind in den Schutzbereich des § 42 BDSG einbezogen. Und § 202a StGB stellt das Ausspähen von Daten unter Strafe.
Weitestgehend ungeklärt ist jedoch die Frage: Können sich wegen des Zugriffs auf gesicherte Daten auch Betriebsinterne im Unternehmen strafbar machen? Die Frage ist keineswegs trivial. Denn Zugriffsberechtigungen und Verschlüsselungen sind zwar zentrale Bausteine einer wirksamen IT-Compliance. Zugleich müssen aber Systemadministratoren häufig auf zugangsgeschützte Daten zugreifen (können). Nach § 202a StGB ist es allerdings bereits strafbar, sich bloß den Zugang zu Daten zu verschaffen, auf einen anschließenden Datenzugriff kommt es hier gar nicht an.
Welche weitreichenden Konsequenzen diese Vorverlagerung der Strafbarkeit haben kann, zeigt eine Entscheidung des 5. Senats des BGH (Beschluss vom 13.05.2020 – 5 StR 614/19): Auch der Systemadministrator macht sich strafbar, wenn er seine Stellung unbefugt ausnutzt und sich so den Zugang zu persönlichen E-Mail-Postfächern anderer Mitarbeiter verschafft.
Der Fall
Nach den Feststellungen des Landgerichts Berlin hatte der Angeklagte verwaltungsinterne Informationen gegen Geld an den Betreiber eines Online-Informationsportals weitergegeben. Und zwar wie folgt:
Der Angeklagte war als Systemadministrator für das Bundesgesundheitsministerium tätig. Zwar war der ungehinderte Zugriff für Administratoren eigentlich auf öffentliche elektronische Postfächer der Abteilungen und Referate beschränkt. Für einzelne Aufträge konnten die Administratoren jedoch auch auf persönliche Postfächer der Mitarbeiter zugreifen. Dazu musste sich entweder der betreffende Mitarbeiter mit seinem Kennwort einwählen, um dem Administrator den Zugriff zu ermöglichen. Oder der Administrator musste im Rahmen eines aufwändigen Prozederes auf ein zentral hinterlegtes Notfallkennwort zurückgreifen.
Der leitende Administrator hatte die Administratoren jedoch darauf hingewiesen, dass sich mit wenig Aufwand selbst Zugriff auf einzelne persönliche Postfächer von Ministeriumsmitarbeitern verschaffen könnten: Durch nur wenige Mausklicks konnten sie sich als Zugriffsberechtigte eintragen und so das Postfach des jeweiligen Mitarbeiters aufrufen.
Auf diesem Weg hatte auch der Angeklagte auf private Postfächer der Mitarbeiter zugegriffen und E-Mail-Daten kopiert, auf CDs gespeichert und an den Plattformbetreiber übergeben.
Der BGH sah bereits darin eine Überwindung der Zugangssicherung i.S.d. § 202a StGB. Nach § 202a Abs. 1 StGB macht sich strafbar, wer sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft.
Indem der Angeklagte auf die Inhalte der E-Mails aus den persönlichen Postfächern der Ministeriumsmitarbeiter zugegriffen und diese kopiert hat, habe er sich nicht nur den Zugang zu Daten verschafft, die nicht für ihn bestimmt waren, sondern er habe sogar die Daten selbst erlangt. Dass die Daten nicht für den Angeklagten bestimmt gewesen seien, folge, so der BGH, aus seinen begrenzten Zugriffsrechten als Administrator.
Der Zugang zu dem jeweiligen EDV-Arbeitsplatz des einzelnen Mitarbeiters war durch Passwörter gesichert. Dies reiche, so der BGH, als Zugangssicherung i.S.v. § 202a Abs. 1 StGB aus. Für das Vorliegen einer Zugangssicherung sei auf die allgemeine Sicherung abzustellen und nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen könnten. Dass dem Angeklagten als Administrator der Zugriff auf die Daten möglich war, sei daher für dieses Tatbestandsmerkmal unerheblich.
Der BGH hat gleichwohl ein „Überwinden“ angenommen, da die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern müsse. Unter „Überwinden“ sei dabei eine Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten oder zu umgehen. Der Tatbestand sei daher erfüllt, wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden werde.
Für das geschützte Rechtsgut – das formelle Geheimhaltungsinteresse des Verfügungsberechtigten – sei es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden werde. Grund hierfür sei, dass der Gesetzgeber aus dem Tatbestand neben Bagatelltaten solche Fälle habe ausschließen wollen, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung aufgrund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden werden.
Die durch den Angeklagten genutzte Zugangsart habe der Verfügungsberechtigte erkennbar durch die klare Beschränkung der Administratorrechte und die Vorgabe eines bestimmten Prozederes beim Zugriff auf einen E-Mail-Account verhindern wollen.
Folgen für die Praxis
Die Entscheidung unterstreicht, dass das IT-Strafrecht mitnichten auf Angriffe Dritter beschränkt ist, sondern auch für betriebsinterne Sachverhalte Anwendung findet. Das gilt jedenfalls dann, wenn die Nutzung der IT nicht oder nur rudimentär geregelt wird.
Compliance-Maßnahmen müssen daher neben der Verhinderung nicht-computerbezogener Straftaten durch Mitarbeiter auch interne Prozesse im Blick haben. Systemadministratoren sind – wie die Entscheidung zeigt – in dieser Hinsicht Berufsrisiken ausgesetzt. Bislang konnte man mit Blick auf die Gesetzesbegründung noch vertreten, dass Administratoren wegen ihrer Administratorrechte und technischen Fertigkeiten den Tatbestand mangels erheblichen Aufwandes zur Überwindung der Datensicherung nicht erfüllen können. Dieser Auslegung hat der BGH nun einen Riegel vorgeschoben.
(Auch) unter strafrechtlichen Gesichtspunkten wird es daher für Unternehmen entscheidend sein, ein nachvollziehbares Berechtigungs- und Passwortmanagement aufzusetzen und im Rahmen dessen den Administratoren weitflächige Berechtigungen zur Nutzung von Unternehmensdaten einzuräumen. Gleichwohl werden Administratoren auch dann nicht auf private Daten des Arbeitnehmers zugreifen dürfen. Das gilt auch dann, wenn die Privatnutzung der IT nicht gestattet ist. Insofern darf die entsprechende Einweisung und Schulung von Administratoren nicht unterschätzt werden.
Der Beitrag ist zuerst in einer längeren Fassung im juris PraxisReport Strafrecht vom 24.02.2021 erschienen.