BGH: Strafbarkeit eines System-Administrators bei rechtswidrigem Zugriff auf Mitarbeiter-E-Mailaccounts
Verschafft sich ein System-Administrator durch manuelle Manipulation der Zugriffsrechte mittels weniger Klicks Zugriff auf nicht öffentlich zugängliche E-Mail-Accounts anderer Mitarbeiter, die durch Passwörter geschützt sind, macht er sich gemäß § 202 a Abs.1 StGB wegen des Ausspähens von Daten strafbar. Dies hat der Bundesgerichtshof mit Beschluss vom 13. Mai 2020, Az. 5 StR 614/19 bestätigt.
Dem Beschluss lag der Fall zugrunde, dass ein Behördenmitarbeiter, der als System-Administrator arbeitete, Zugriffsbeschränkungen manipulierte, um passwortgeschützte E-Mail-Accounts von anderen Behördenmitarbeitern lesen und kopieren zu können.
Das Landgericht Berlin hatte den Systemadministrator zunächst u.a. wegen des Ausspähens von Daten in zwei Fällen verurteilt. Es wertete die leicht durchzuführende, manuelle Manipulation der Zugriffsrechte auf die einzelnen E-Mail-Konten als „eine Überwindung der Zugangssicherung nach § 202 a Abs. 1 StGB“. Gegen das Urteil legte der Systemadministrator Revision beim Bundesgerichtshof ein. Der BGH bestätigte die Einschätzung des Landgerichts Berlin.
Nach § 202a Abs. 1 StGB macht sich strafbar, wer sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft.
Im vorliegenden Fall hatte der Administrator keinerlei Zugriffsrechte auf die später ausgespähten E-Mailaccounts, umging die Zugriffsbeschränkung jedoch in dem er sich unter Aufruf des dienstlichen Profils der ausgespähten Mitarbeiters selbst in die Liste der Zugriffsberechtigten eintrug und dort entsprechende Zugriffsmöglichkeiten anklickte. Er las und kopierte so über mehrere Jahre hinweg Daten, die sich in den Mitarbeiter-Accounts befanden. Nach dem Kopiervorgang bereinigte er die Zugriffsberechtigungen wieder.
Sowohl das LG Berlin als auch der Bundesgerichtshof bejahten insoweit den Tatbestand des Ausspähens von Daten unter Überwindung der Zugangssicherung. Der Zugang der E-Mail-Accounts war vorliegend durch Passwörter geschützt. Für das Vorliegen einer Zugangssicherung sei insoweit auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Experten und Administratoren leicht auf die Daten zugreifen könnten. Dass dem Angeklagten als Administrator der tatsächliche Zugriff auf die Daten möglich war, sei ebenfalls unerheblich. Der Angeklagte habe sich schließlich unter Überwindung der Zugriffssicherung (Vergabe eines Passwortes) Zugang zu den Daten verschafft.
Der Bundesgerichtshof führt insoweit in Randziffer 24 wörtlich aus:
„Soweit es in den Gesetzesmaterialien heißt, die Überwindung der Zugangssicherung müsse einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordern, weshalb vom Tatbestand solche Fälle nicht erfasst würden, in denen die Durchbrechung des Schutzes ohne weiteres möglich sei (aaO), versteht der Senat dies dahingehend, dass die Überwindung der Zugangssicherung typischerweise –also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters –einen nicht unerheblichen Aufwand erfordern muss. Unter Überwinden ist diejenige Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten oder zu umgehen (vgl. Fischer, aaO Rn. 11a). Auch wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand über-wunden wird, ist der Tatbestand erfüllt. Für das geschützte Rechtsgut –das formelle Geheimhaltungsinteresse des Verfügungsberechtigten (BGH, Be-schlussvom27. Juli 2017 –1 StR 412/16, aaO; vgl. zum Schutzzweck auch Ceffinato, JuS 2019, 337, 338 mwN) –ist es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden wird. Der Gesetzgeber wollte nach Auffassung des Senats aus dem Tatbestand neben Bagatelltaten lediglich solche Fälle ausschließen, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung aufgrund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird. Nur eine solche abstrakt-generelle Betrachtungsweise lässt sich mit dem Schutzzweck der Norm vereinbaren. (…)“
Quelle: Bundesgerichtshof, Beschluss v. 13.05.2020, Az. 5 StR 614/19
Veröffentlicht am 15. Dezember 2020
Rechtsanwältin Nina Hiddemann
Fachanwältin für IT-Recht aus Köln, schreibt an dieser Stelle regelmäßig über Themen aus den Bereichen Urheberrecht, Vertragsrecht und IT-Recht.