Menü

Tatvorwurf: Datenvernichtung

In Pocket speichern
Von

Inhaltsverzeichnis

Meistens spielt sich der Ärger, der im IT-Alltag entsteht, auf dem Boden des Zivilrechts ab. Hier fordert jemand zu Recht oder zu Unrecht etwas von jemand anderem. Dann geht es etwa darum, dass Schäden auszugleichen sind, oder ein bestimmtes Geschäftsverhalten soll unterlassen werden. Zivilgerichte entscheiden über Ansprüche einer Streitpartei gegen eine andere. Allerdings kann man mit, durch und an IT-Equipment auch Taten verüben, die vom Gesetz mit Strafen bedroht sind. Auf diese Weise ist bereits vor rund einem Vierteljahrhundert die Computerkriminalität ausdrücklich ins Strafrecht eingezogen.

Lücken geschlossen

Seit den 1970er-Jahren wurde die elektronische Verarbeitung und Übertragung von Daten in Verwaltung und Wirtschaft immer wichtiger. Angesichts dessen hielt der deutsche Bundestag es für notwendig, Strafbarkeitslücken zu schließen. Nach dem 1. Gesetz zur Bekämpfung der Wirtschaftskriminalität (1. WiKG) [1] aus dem Jahr 1976 fügte er mit dem 2. WiKG [2] im Frühjahr 1986 neue Straftatbestände mit Computerbezug in das deutsche Strafgesetzbuch (StGB) ein. Weitere Vorschriften (§§ 202a, 202b, 202c StGB) folgten mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. Str ÄndG) im Jahr 2007 [3]. Dabei bestand zuletzt das Ziel, bereits Taten im "Vorfeld" zu kriminalisieren. Davon betroffen sind beispielsweise das Herstellen, Überlassen, Verbreiten und Verschaffen von "Hacker-Tools" (§ 202c StGB). Gerade dieser sogenannte Hackerparagraf hat für breite Auseinandersetzungen gesorgt [4]. Computerdelikte gewannen immer stärker an Bedeutung, und die Befürchtung, das Strafrecht könne mit der schnellen Entwicklung IT-bezogener und IT-gestützter Kriminalität schwer mithalten, wurde von vielen Seiten laut.

Der Wunsch des Gesetzgebers, dieses Feld vorausschauend durch Strafvorschriften möglichst dicht abzudecken, hatte allerdings unangenehme Nebenwirkungen. Wie schafft man möglichst dauerhafte Gesetze, die einen sich sehr schnell entwickelnden Themenbereich betreffen? Indem man versucht, möglichst trendübergreifende abstrahierende Begriffe zu nutzen, was mit einer gewissen Unschärfe der Definitionen einhergeht. Dabei gerät allerdings gelegentlich ein wichtiger Grundsatz des Strafrechts in Gefahr: Es ist erforderlich, dass eine Strafbestimmung hinreichend bestimmt ist. Sie muss so klar und präzise sein, dass ein Verhalten zuverlässig daran ausgerichtet werden kann. Näheres dazu sagt der Abschnitt über den Bestimmtheitsgrundsatz.

Das Dienst-Notebook

Der Beamte Karl S. arbeitete bei einer Dienststelle des Landes Thüringen und nutzte ein Notebook, das ihm seine Behörde zur Verfügung gestellt hatte und das er auch mit nach Hause nehmen durfte. Als er an einen neuen Arbeitsplatz versetzt wurde, sollte er das Gerät zurückgeben. Aus purer Bequemlichkeit hatte S. neben dienstlichen Daten auch einige private Bilder und Zeichnungen auf dem mobilen Computer abgespeichert. Bevor er seinen Vorgesetzten das Gerät aushändigte, löschte er diese Dateien zusammen mit dienstlichen Aufzeichnungen, von denen er wusste, dass er sie bereits auf dem Behördenserver gesichert hatte. Zum Löschen der fraglichen Files verwendete er ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenes Shredderprogramm. Dieses Programm hinterlässt eine Logdatei, welche über die gelöschten Dateien Auskunft gibt. Das Betriebssystem, die Anwendungen und alles Übrige beließ er auf dem Notebook.

Die Logdatei des Löschvorgangs fiel der Dienststelle nach der Rücknahme des Rechners auf. Man wurde misstrauisch, und die Staatsanwaltschaft klagte S. tatsächlich wegen Datenveränderung nach § 303a StGB an. Sie ging dabei sogar davon aus, dass ein besonderes öffentliches Interesse an der Strafverfolgung bestehe, sodass das Einschreiten der Strafverfolger von Amts wegen geboten war. Da es um ein Antragsdelikt geht, wäre die Staatsanwaltschaft ansonsten nicht von selbst tätig geworden; es hätte vielmehr einer Strafanzeige bedurft. Das zuständige Amtsgericht Erfurt ließ die Anklage zu. S. fiel aus allen Wolken. Er hatte nicht im Traum damit gerechnet, sich strafbar zu machen. Die Datenspeicherung auf dem Notebook war weder durch seinen Dienstvertrag noch durch amtliche Anweisungen geregelt. Vor der Rückgabe des Computers hatte er noch ausdrücklich nachgefragt, ob "etwas zu beachten" sei. Seine Dienststelle hatte dies verneint und lediglich einen Rückgabetermin benannt.

Böse Überraschung

Die Bedeutung, die der Gesetzgeber den Strafvorschriften für "EDV-Delikte" ursprünglich zugedacht hatte, haben diese bisher nicht erlangt – das hängt damit zusammen, dass die betreffenden Paragrafen sehr schwierig anzuwenden sind. Auch der Tatbestand der Datenveränderung (§ 303a StGB) ist bis heute erstaunlich ungeklärt. Nach der herrschenden Meinung soll durch diese Vorschrift "die Verfügungsgewalt des Berechtigten über die in Datenspeichern enthaltenen Informationen" [5] geschützt werden. Dabei müssen nach dem Wortlaut des Gesetzes die Daten nicht einmal "fremd" sein.

Wenn man es genau nimmt, könnte sich also selbst ein berechtigter Nutzer strafbar machen, wenn er eigene Daten löscht. Um ein Ausufern zu verhindern, legt die herrschende Rechtsmeinung die Strafvorschrift einschränkend aus: Sie soll nur den Umgang mit "fremden Daten" erfassen. Das bedeutet, dass eine bestimmte Person beziehungsweise ein Unternehmen, ein Verein oder eine Einrichtung das Recht an diesen Daten besitzt und auf dieser Grundlage die elektronischen Aufzeichnungen verarbeiten oder löschen darf . Sonstige mittelbare Interessen, seien sie rechtlicher oder ideeller Art, erfasst der Tatbestand nicht.

Im Treibsand der Begriffe

Was aber sind eigentlich "fremde" Daten, deren Veränderung mit Strafe bedroht sein soll? In Fachkreisen sind Zweifel laut geworden, ob § 303a StGB tatsächlich die von der Verfassung gebotene Bestimmtheit aufweist. Er bietet nämlich keine eindeutige Regelung, wer wann über welche Daten verfügen darf. Die Antwort auf diese Fragen ist vom Einzelfall abhängig. Eine Eingrenzung lässt sich daher nur durch die Beschreibung der konkreten Rechtssituation erreichen. In Anbetracht der rechtlichen Rahmenbedingungen stellt sich für den Fall des Notebook-Nutzers S. schon die Frage, ob und in welcher Form er dazu berechtigt war, Daten auf dem Dienst-Notebook zu verändern oder zu löschen.

Mangels verbindlicher Vorgaben kann man den Rechner ganz simpel als elektronisches Gegenstück zu einem Schreibblock oder Zettelkasten ansehen: Er diente dazu, Schriftstücke, Zeichnungen, Entwürfe zu verfassen, zu bearbeiten, gegebenenfalls zu verwerfen oder zu einer Endversion zusammenzufügen. Woraus sollte sich dabei das Verbot ergeben, gespeicherte Daten zu löschen? Wollte man ein solches grundsätzliches Verbot annehmen, dürfte streng genommen überhaupt nichts gelöscht werden – keine Spam-Mail, kein unbrauchbarer Briefentwurf. Der Nutzer müsste die Festplatte bis zum Rand mit Daten füllen und sich anschließend hilfesuchend an seine Dienststelle wenden. Das wäre absurd und würde auch der Absicht, dem Mitarbeiter ein praktisch nutzbares Arbeitsmittel bereitzustellen, nicht entsprechen.

Weitere Fragezeichen tauchen auf. Was wäre, wenn S. nach verbreiteter Sitte vor der Rückgabe des Notebooks die Festplatte formatiert und das Gerät in den Auslieferungszustand zurückversetzt hätte? Dafür hätte es nachvollziehbare Gründe geben können und keine Dienstanweisung oder Vereinbarung hätte dagegen gesprochen. Wie kann es in diesem Zusammenhang relevant sein, dass S. lediglich einen Teil seines Datenbestands löschte? Der beim Arbeitgeber aufgekommene Verdacht, es könne hier irgendetwas Unbotmäßiges geschehen sein, änderte ja nichts daran, dass S. mit dem Gerät und den darauf befindlichen Daten im vorgegebenen Umfang arbeiten durfte – und es gab keine Regelung, die ihn in dieser Hinsicht hätte einschränken können.

Weitergedacht

Ähnliche Probleme könnten sich theoretisch in sämtlichen Fallgestaltungen ergeben, in denen das Eigentum am Computer, also der Hardware, und das Nutzungsrecht auseinanderfallen. Das betrifft beispielsweise das Leasing und den Kauf eines Computers unter Eigentumsvorbehalt bis zur vollständigen Bezahlung des Kaufpreises. Aber selbst im privaten Bereich könnte ein geliehener Computer, dessen Nutzer beim Verleiher in Ungnade gefallen ist, nach seiner Rückgabe als Ausgangspunkt – um nicht zu sagen: Vorwand – für eine Strafanzeige wegen Datenveränderung genutzt werden.

Besonders heikle Rechtsprobleme könnten bei Fällen entstehen, in denen ein Dienstleister in fremdem Auftrag Daten erfasst oder erzeugt. Das tun etwa Software- Entwickler, aber auch Rechtsanwälte und Steuerberater. Ein Teil der Fachliteratur vertritt die Meinung, dass der Auftraggeber befugt ist, über die Daten beim Beauftragten zu verfügen [6]. Wenn das so ist, könnte die Anwendung des § 303a StGB hier bei Vertragsverletzungen dazu führen, dass man es plötzlich mit Straftaten zu tun hätte. Das dürfte von niemandem gewollt sein [7].

Damit nicht genug. Im Jahr 2007 konnte der Gesetzgeber nicht vorhersehen, wie die weitere technische Entwicklung aussehen wird. Die Erfahrung der Vergangenheit hat gezeigt, dass das Tempo der Veränderungen im IT-Bereich kaum zu unterschätzen ist. Infolgedessen führt der mit den neuen gesetzlichen Vorschriften vollzogene Rundumschlag zu ungeahnten Abgrenzungsproblemen und schwer zu klärenden Fragen: Wem gehören die Daten und in welchem Umfang sind Dritte von der Einwirkung ausgeschlossen? Das betrifft beispielsweise Daten von geschlossenen Benutzergruppen, etwa in Firmen-Intranets.

Noch viel schwieriger wird es, wenn man die Vorschriften auf Datenspeicherung in der Cloud anwenden will. Wenn ein Serverinhaber oder Admin in bester Pflichterfüllung auf Nutzerdaten zugreift, die bereits gespeichert worden sind, könnte es dazu kommen, dass auch hier der Tatbestand des § 303a StGB erfüllt ist [8]. Die – zumindest theoretische – Möglichkeit, sich durch den Umgang mit Daten und Dateien strafbar machen zu können, kann nicht länger als abwegig gelten, sondern sollte ins Bewusstsein von IT-Dienstleistern, Admins, Serverbetreibern und Nutzern fremden IT-Equipments vordringen.

Trauerspiel vor Gericht

Der Prozess gegen S. vor dem Amtsgericht Erfurt fügte den Merkwürdigkeiten, die der Fall ohnehin schon zu bieten hat, noch weitere hinzu. In der mündlichen Verhandlung wurden einige der oben angerissenen Fragen zwar gestreift, aber weder Staatsanwaltschaft noch Richter setzten sich näher damit auseinander. Stattdessen widmete man sich der Art und Bezeichnung der gelöschten Daten im Löschprotokoll. Das ist insbesondere deswegen bemerkenswert, weil einen Angeklagten im Strafverfahren keine Mitwirkungspflicht trifft. Das heißt, er braucht seine Unschuld nicht zu beweisen.

Die Anklage gegen S. lautete auf Datenveränderung, die in der Form der Datenvernichtung stattgefunden habe. Dabei hatte man die Frage, inwieweit S. als Notebook-Nutzer dazu berechtigt war, Daten nach seiner eigenen Einschätzung zu löschen oder zu verändern, schlicht weg ignoriert. Der Verdacht, etwas "Wichtiges" könnte gelöscht worden sein, spielt dabei keine Rolle, denn Art und Inhalt gespeicherter Dateien haben keinen Einfluss auf die formale Befugnis, wie mit dem Datenbestand umgegangen werden darf. Das würde im Zweifelsfall auch für solche Dateien gelten, die der Arbeitgeber oder ein sonstiger Auftraggeber für "bedeutend" einschätzen würde. Selbst unter dem Gesichtspunkt, dass Arbeitsergebnisse im Rahmen eines Arbeitsverhältnisses dem Arbeitgeber "gehören", ergibt sich nichts anderes. Der Schutz des Datenbestands und seiner Integrität würde ansonsten nämlich Gegenstand einer Inhaltskontrolle im Rahmen eines Strafverfahrens.

Der traurige Schlusspunkt

Der hier gezeigte Fall endete wie das sprichwörtliche Hornberger Schießen – dies wirft ein deutliches Licht darauf, wie man in der justiziellen Praxis Fälle dieser Art auflöst, ohne dass tatsächlich Recht gesprochen wird. Die mündliche Verhandlung zeigte, dass eine umfangreiche Prüfung der gelöschten Dateien wieder einige Zeit in Anspruch nehmen müsste. Das hätte für den Angeklagten jedoch bedeutet, dass er selbst umfangreiche Zuarbeit hätte leisten müssen, außerdem wären erkleckliche Anwaltskosten dadurch entstanden – ohne Garantie, dass irgendjemand die hätte erstatten müssen.

Man einigte sich also, das Verfahren gegen die Zahlung einer Geldbuße einzustellen. So wurde es beendet, wobei die Staatskasse um die Anwaltskosten des Angeklagten herumkam. Für manch einen Normalbürger stellt eine solche Anklage eine Belastung dar, der er nicht über Monate hinaus gewachsen ist. Er wird also die Gelegenheit wahrnehmen, sich durch die Geldbuße vom Makel der Anklage zu befreien. Es bleibt der Eindruck, dass über die entscheidenden Dinge nicht gesprochen wurde. Das macht die ganze Sache mehr als unbefriedigend. Vor allem die Frage der "versehentlichen" Strafbarkeit schreit nach einer Aufarbeitung. (psz)


Computerstrafdelikte; Auszug aus dem Strafgesetzbuch (StGB)

§ 202a: Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangs - sicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202b: Abfangen von Daten
(gültig seit 11. 8. 2007)

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

§ 202c: Vorbereiten des Ausspähens und Abfangens von Daten
(gültig seit 11. 8. 2007)

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2)  § 149 Abs. 2 und 3 gilt entsprechend.

§ 303a: Datenveränderung

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz  1 gilt § 202c entsprechend.

§ 303b: Computersabotage

(1)  Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.
(3) Der Versuch ist strafbar.
(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt.
(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

§ 303c: Strafantrag

In den Fällen der §§ 303, 303a Abs. 1 und 2 sowie § 303b Abs. 1 bis 3 wird die Tat nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.


Der strafrechtliche Bestimmtheitsgrundsatz

Nach Artikel 103 Absatz 2 des deutschen Grundgesetzes (GG) kann eine Tat nur bestraft werden, wenn die Strafbarkeit gesetzlich bestimmt war, bevor die Tat begangen wurde. Das Gesetz muss danach genau beschreiben, welches Handeln oder Unterlassen mit welchem Erfolg strafbewehrt ist. Der gesetzliche Tatbestand ist nur dann bestimmt, wenn die Voraussetzungen der Strafbarkeit so konkret umschrieben sind, dass der Einzelne die Möglichkeit hat, sein Verhalten auf die Rechtslage einzurichten. Das betrifft sowohl die Beschreibung einer strafbaren Tat an sich (Tatbestand) als auch verschärfende Elemente, die zu einem höheren Strafmaß führen. Ein Tatbestand, dessen Anwendung vom individuellen Vorverständnis des Einzelnen abhängt, erfüllt also nicht die Voraussetzungen des Bestimmtheitsgebots.

So hat der Bundesgerichtshof (BGH) beispielsweise 2004 erklärt, dass der Straftatbestand der gewerbsmäßigen und bandenmäßigen Steuerhinterziehung gemäß § 370a StGB nicht ausreichend bestimmt sei [9]. Die damalige Gesetzesfassung ließ nicht erkennen, unter welchen Voraussetzungen das entscheidende Verbrechensmerkmal der Steuerverkürzung "in großem Ausmaß" erfüllt war, welche Anknüpfungspunkte maßgeblich sein sollten, ob es auf den jeweiligen Einzelfall ankommen oder ob bei einer Vielzahl von Hinterziehungstaten eine Gesamtbetrachtung des Tatbildes entscheidend sein sollte.


Literatur


  1. 1. WiKG: Bundesgesetzblatt (BGBl) 1976, Teil I, S. 2034; http://beckonline.beck.de/default.aspx?typ=reference&y=100&g=WiKG_1
  2. 2. WiKG vom 15. 5. 1986: BGBl 1986 Teil I S. 721; Liste der dadurch
  3. geänderten Normen: www.landesrecht-bw.de/jportal/portal/t/11df/page/bsbawueprod.psml/js_pane/Dokumentanzeige#focuspoint
  4. 41. StrÄndG, anzuwenden seit 11. 8. 2007; www.buzer.de/gesetz/7846/
  5. Joerg Heidrich, Kein Generalverdacht, Bundesverfassungsgericht schafft mehr Rechtssicherheit bei der Anwendung des "Hackerparagrafen", c’t 16/09, S. 144
  6. Stellvertretend für die herrschende Sicht in der Fachliteratur: Fischer, Kommentar zum StGB, 57. Aufl., § 303a Randnummer 4 mit weiteren Nachweisen etwa Theodor Lenckner, Wolfgang Winkelbauer, Computerkriminalität – Möglichkeiten und Grenzen des 2. WiKG (III), Computer und Recht (CR) 1986, 829
  7. Jürgen Welp, Datenveränderung (§303a StGB), Teil 1: Informatik und Recht (IuR) 1988, 448; Teil 2: IuR 1989, 434
  8. Fischer, Kommentar zum StGB, § 303a Randnummer 7
  9. Beschluss des BGH vom 22. 7.2004, 5 StR 85/04; www.hrr-strafrecht.de/hrr/5/04/5-85-04.php

Anzeige