Bundesregierung beschließt erhöhten Strafrahmen für Passwort-Handel und Hacker-Tools

Das Bundeskabinett hat heute den Entwurf eines Gesetzes zur Bekämpfung der Korruption beschlossen (Gesetzentwurf, PDF).

Nach den Angaben des zuständigen Ministeriums für Justiz und Verbraucherschutz soll der Gesetzentwurf das deutsche Strafrecht an die verbindlichen Vorgaben aus dem EU-Rahmenbeschluss zur Bekämpfung der Bestechung im privaten Sektor anpassen.

Die vorgeschlagenen Änderungen und Neuregelungen sollten daher vor allem aus dem Gesichtspunkt der unternehmenseigenen „Compliance“ Beachtung finden, auch wenn der nun vorliegende Gesetzentwurf freilich noch das Gesetzgebungsverfahren durchlaufen muss und damit weitere Änderungen nicht ausgeschlossen sind.

Neben dem eigentlichen Ziel, der Umsetzung europäischer Vorgaben zur Bekämpfung der Korruption, wird in dem Gesetzentwurf unter anderem aber auch die Vorschrift des § 202c StGB („Vorbereiten des Ausspähens und Abfangens von Daten“) geändert. Der angedrohte Strafrahmen soll von bisher bis zu einem Jahr Freiheitsstrafe auf bis zu zwei Jahre Freiheitsstrafe angehoben werden.

Diese Gesetzesänderung dient, so die Entwurfsbegründung, der Umsetzung der europäischen Richtlinie 2013/40/EU über Angriffe auf Informationssysteme.

§ 202c StGB stellt das Vorbereiten eigener oder fremder Taten nach § 202a StGB („Ausspähen von Daten“) oder § 202b StGB („Abfangen von Daten“) unter Strafe. Insbesondere § 202c Abs. 1 Nr. 1 StGB („…Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen…“) erfasst Passwörter, aber etwa auch Verschlüsselungs- und Entschlüsselungssoftware, die ein Ausspähen oder Abfangen von Daten ermöglichen. Durch § 202c Abs. 1 Nr. 2 StGB erfasst werden sollen vor allem sog. Hacker-Tools. Die von der Vorschrift ins Auge gefassten Programme müssen jedoch einen bestimmten Zweck verfolgen, nämlich eine Straftat nach § 202a StGB oder 202b StGB zu begehen. Nicht erfasst ist daher der Missbrauch von Programmen, die objektiv für andere Zwecke geschrieben wurden.

Kritik wird an der Vorschrift vor allem mit Blick auf Testprogramme von IT-Sicherheitsfirmen vorgebracht. Denn hier ist nicht klar, inwieweit von solchen Firmen eingesetzte Programme eventuell bereits dem Straftatbestand unterfallen. Hierzu können auch System-Test-Tools aus dem Internet zählen.

VG Berlin: Staatsanwaltschaft darf von „Datenklau im Bundesgesundheitsministerium“ sprechen

Das VG Berlin hat mit Beschluss vom 31.01.2014 (Az.: VG 1 L 17.14) entschieden, dass die Staatsanwaltschaft Berlin in einer offiziellen Pressemitteilung vom 20.01.2014 (PM 02/2014) folgende Überschrift verwenden durfte:
„Datenklau im Bundesgesundheitsministerium – Anklageerhebung gegen einen externen IT-Administrator des Ministeriums und einen Apothekenlobbyisten“

Der dort als „Apothekenlobbyist“ bezeichnet Antragsteller begehrte die Löschung dieser Pressemitteilung von der Webseite „Berlin.de“, da er sich hierdurch in seinem Allgemeinen Persönlichkeitsrecht verletzt sah. Nachdem im Dezember 2012 in der Öffentlichkeit bekannt wurde, dass vertrauliche Daten des Bundesgesundheitsministeriums auf ungeklärte Weise in die Hände von nicht dem Ministerium zugehörigen Personen gelangt waren, hatte die Staatsanwaltschaft Berlin im Dezember 2013 beim Landgericht Berlin Anklage gegen den Antragsteller erhoben. In dieser wurde ihm das Ausspähen von Daten nach dem Strafgesetzbuch sowie Verstöße gegen das Bundesdatenschutzgesetz (BDSG) vorgeworfen. Die Zustellung der Anklage an den Antragsteller erfolgte am 17. Januar 2014.

Das VG sah in dieser, weiterhin abrufbaren Pressemitteilung, jedoch keinen hoheitlichen rechtswidrigen Eingriff in das Persönlichkeitsrecht des Antragstellers. Zwar liege ein hoheitlicher Eingriff in das Allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) vor. Dieser sei vorliegend jedoch nicht rechtswidrig.

Maßstab für die Rechtmäßigkeitsprüfung amtlicher Äußerungen sei, dass 1) sich der Amtsträger mit seinen Äußerungen im Rahmen des ihm zugewiesenen Aufgabenbereichs bewegt, 2) die rechtsstaatlichen Anforderungen an hoheitliche Äußerungen gewahrt sind (Sachlichkeitsgebot) und 3) die Äußerungen nicht unverhältnismäßig sind.

All diese Voraussetzungen waren vorliegend erfüllt. Hinsichtlich des Begriffes „Datenklau“ führt das VG aus, dass die zuständige Pressestelle der Generalstaatsanwaltschaft Berlin diesen Begriff in der Pressemitteilung verwendet,

um schlagwortartig den Umstand zu bezeichnen, dass sie gegen den Antragsteller und einen weiteren Beteiligten wegen des Verstoßes gegen datenschutzrechtliche Strafvorschriften Anklage erhoben hat

Hierbei handele es sich um eine Tatsachenbehauptung, deren objektive Richtigkeit einer Beweiserhebung zugänglich ist. Daraus folge, dass diese Aussage den Antragsteller nur dann in seinem Persönlichkeitsrecht verletzen würde, wenn sie unwahr oder unverhältnismäßig wäre. Beides sei vorliegend jedoch nicht der Fall. Denn unbestritten legt die Anklageschrift dem Antragsteller Vergehen nach § 202a StGB („Ausspähen von Daten“) und dem BDSG zur Last. Die diesen Tatvorwürfen zugrunde liegenden Sachverhalte zusammenfassend als „Datenklau“ zu bezeichnen sei weder unwahr, noch unverhältnismäßig. Zudem ergebe sich für jeden verständigen Leser, dass „Datenklau“ kein dem Strafgesetz entnommener Begriff sei, zumal in dem Text der Pressemitteilung eine genauere Erläuterung der Tatvorwürfe unter Nennung der relevanten Normen erfolge.

Schließlich sei der Begriff „Datenklau“ zwar plakativ. Jedoch sei nicht ersichtlich, dass der Antragsteller hierdurch über Gebühr belastet werde. Die vorzunehmende Abwägung seiner privaten Interessen gegenüber dem Informationsinteresse der Öffentlichkeit falle hier zu seinen Lasten aus.

Insbesondere stellt das VG darauf ab, dass die Pressestelle diesen Begriff nicht neu erfunden und damit erstmalig in die öffentliche Diskussion eingebracht hat. Vielmehr handele es sich um ein seit Monaten in den Medien für die zugrunde liegenden Vorgänge verwendetes Schlagwort. Der Begriff war der Öffentlichkeit daher in Verbindung mit den Ermittlungen bekannt und sorgte in der interessierten Öffentlichkeit für einen hohen Wiedererkennungswert.

Auch der Begriff „Apothekenlobbyist“ sei nicht unwahr oder seine Verwendung unverhältnismäßig. Denn die Staatsanwaltschaft bezeichnet den Antragsteller in der Anklageschrift mindestens einmal als „Lobbyist“. Zudem werde der Antragsteller durch diese Bezeichnung nicht unverhältnismäßig belastet, da „Lobbyist“ grundsätzlich eine normale Berufsbezeichnung sei. Das VG führt aus:

Die „negative Konnotation“, welche der Antragsteller dem Begriff zuschreibt, mag in bestimmten Konstellationen gegeben, dann aber vor allem auf die Wahl der eingesetzten, möglicherweise unlauteren Mittel bestimmter Lobbyarbeit zurückzuführen sein

Insgesamt wurde die Rechtswidrigkeit des Eingriffs daher abgelehnt. Gegen die Entscheidung des VG kann der Antragsteller noch eine Beschwerde zum OVG erheben.

Gutachten für britisches Parlament: Tätigkeit des Geheimdienstes teilweise illegal

In einem Gutachten für den Vorsitzenden der Parlamentariergruppe des britischen Parlaments zu Drohnen (All Party Parliamentary Group on Drones) untersuchen zwei englische Rechtsanwälte die Rechtmäßigkeit des Abfangens, Verwendens und der Übertragung von Geheimdienstdaten durch die britische Regierung. Den Bericht gibt es hier (PDF).

Untersuchte Szenarien
Die Autoren untersuchen in dem Bericht die Tätigkeit des britischen Geheimdienstes, insbesondere des Nachrichtendienstes GCHQ, im Zusammenhang mit fünf Szenarien:

  1. Der GCHQ greift massenhaft Daten ab, die zwischen zwei in England ansässigen Personen verschickt, jedoch durch Kabel übertragen werden, die zwischen England und Amerika verlaufen. Die Daten stammen aus der Nutzung des Internets, des Telefons und von E-Mails.
  2. Der GCHQ hat diese Daten gespeichert und zu einer sog. Lebensmuster-Analyse freigegeben, wobei dies sowohl für bekannte Terroristen/Straftäter als auch unverdächtige Personen erfolgte.
  3. Der GCHQ hat der amerikanischen NSA Zugang zu diesen Daten gegeben und ihre Speicherung gestattet.
  4. Die NSA teilt diese Daten mit der CIA, wodurch sie zur Festlegung von Zielen bei Drohnenangriffen genutzt werden können.
  5. Amerikanische Militärstreitkräfte operieren von einem britischen Militärstützpunkt, unter dem NATO Truppenstatut. Dieser Stützpunkt wird als Kommunikationsknotenpunkt zur Datenübermittlung, sowohl aus, als auch in die USA benutzt. Ein Teil der Daten, welche in die USA übertragen werden, wurden unter Verstoß gegen internationales Recht erlangt. Einige Daten, welche aus den USA über den britischen Stützpunkt übermittelt werden, enthalten Informationen und Anweisungen, um Drohnenangriffe zu unterstützen.

Im Prinzip stellen diese Szenarien eine aufeinander aufbauende Kette dar. Die Autoren machen deutlich, dass sobald ein Glied der Kette wegen Verstoßes gegen geltendes Recht wegfällt, alle weiteren Schritte ebenfalls unrechtmäßig sind.
Ich möchte den 33-Seiten starken Bericht hier nicht in aller Einzelheit besprechen. Allein die wesentlichen Ergebnisse seien genannt.

Ergebnisse

  • Nach dem geltenden englischen Recht, insbesondere dem für elektronische Spionagetätigkeiten relevanten „Regulation of Investigatory Powers Act 2000“ (RIPA), ist der GCHQ nicht befugt massenhaft inländische Inhaltsdaten abzufangen. Also den Inhalt von E-Mails oder Telefonaten zwischen zwei Personen die sich innerhalb des Vereinigten Königreichs aufhalten. Der GCHQ ist jedoch berechtigt massenhaft ausländische Inhaltsdaten abzufangen, also den Inhalt der Kommunikation zwischen dem Vereinigten Königreich und einem anderen Land. Der GCHQ ist auch berechtigt massenhaft Kommunikationsdaten (auch als Metadaten bekannt) abzufangen. Das massenhafte Abfangen dieser Daten, auch wenn es nach dem RIPA rechtmäßig erfolgen mag, stellt einen unverhältnismäßigen Eingriff in das nach Art. 8 der Europäischen Menschenrechtskonvention (EMRK) geschützte Recht auf Achtung des Privatlebens britischer Bürger dar.
  • Unter dem derzeit geltenden gesetzlichen Rahmen ist der GCHQ berechtigt die massenhaft gesammelten Daten einer Lebensmuster-Analyse. Die Autoren erachten den derzeitigen gesetzlichen Rahmen in Bezug auf die Speicherung, Verwendung und Löschung von Kommunikationsdaten für unverhältnismäßig, so dass er sich wahrscheinlich als rechtswidrig erweist. Die gesetzlichen Vorgaben des RIPA in Bezug auf ausländische Inhaltsdaten sind nach ihrer Ansicht wahrscheinlich ebenfalls rechtswidrig.
  • Nach dem RIPA ist der GCHQ berechtigt, massenhaft gesammelte Daten an die NSA zu übermitteln, wenn der jeweilige Minister davon überzeugt ist, dass die Mechanismen zur Speicherung und Löschung dieser Daten in dem Empfangsstaat angemessen sind. Diese Übertragung abgefangener Daten stellt einen erneuten Eingriff in das Grundecht der Betroffenen aus Art. 8 EMRK dar. Nach Ansicht der Autoren bieten die derzeitigen gesetzlichen Vorgaben keinen ausreichenden Schutz für die jeweils Betroffenen. Die britische Regierung könnte diese Situation zumindest dadurch verbessern, dass sie eine Absichtserklärung oder andere bilaterale Vereinbarungen in Bezug auf Datenübermittlungen abschließt und veröffentlicht. Dort müsste festgelegt werden, wie Daten zu speichern sind, wann sie gelöscht werden müssen und zu welchen Zwecken diese Daten nach britischem recht verwendet werden dürfen.
  • Wenn die britische Regierung davon Kenntnis hat, dass sie Daten übermittelt, welche für Drohnenangriffe gegen Nichtkombattanten eingesetzt werden könnten, dann ist diese Datenübermittlung wahrscheinlich rechtswidrig. Eine einzelne Person, die an einer solchen Übermittlung beteiligt ist, macht sich wahrscheinlich der Beihilfe zum Mord strafbar. Eine Vielzahl verschiedener Gründe spricht dafür, dass die Regierung dazu verpflichtet ist, angemessene Maßnahmen zu ergreifen, diese Möglichkeit zu untersuchen. Jedoch scheint es derzeit so, dass die gesetzlichen Vorgaben die britische Regierung nicht dazu verpflichten, es zu verhindern oder zu prüfen, ob ihre Agenten auf diese Weise zu Gehilfen von Straftaten werden. Wenn dem so sei, dann sehen die Autoren dieses Ergebnis als Gegensatz zu den Grundsätzen der öffentlichen Ordnung und guter Regierungsführung.
  • Die britische Regierung ist befugt gegen amerikanische Soldaten Strafen zu verhängen, die von NATO-Stützpunkten auf britischem Gebiet aus operieren. Wenn Daten, die unter Verstoß gegen britische Gesetze erlangt oder genutzt wurden, über eine britische NATO Basis übermittelt werden, dann kann die britische Regierung jeden amerikanischen Militärangehörigen strafrechtlich verfolgen, der an dieser Übermittlung beteiligt ist. Für die Autoren hat es den Anschein, dass die britische Regierung selbst nicht immer genau Kenntnis davon hat, was auf Militärstützpunkten geschieht, dir von NATO Truppen kontrolliert werden. Daher stellt sich diese strafrechtliche Verfolgungsmöglichkeit in der Praxis möglicherweise nur als theoretisch dar.

OLG Celle: Unzulässigkeit der Drohung mit einer Datenübermittlung an die Schufa

Das OLG Celle hat mit Urteil vom 19.12.2013 (Az. 13 U 64/13) entschieden, dass es ein Inkassounternehmen zum einen zu unterlassen hat, personenbezogene Daten eines Betroffenen an die Schufa zu übermitteln, wenn die gesetzlichen Vorgaben fehlen und zum anderen mit solch einer Übermittlung zu drohen.
Continue reading

SPD Fraktion für grundlegende Überarbeitung der geplanten EU-Datenschutzrichtlinie für Polizei und Justiz

Wie aus einer elektronischen Vorab-Fassung eines Antrages der SPD Bundestags-Fraktion vom 24.04.2013 hervorgeht, spricht sich die Partei für umfangreiche Änderungsvorschläge an der im Entwurf befindlichen EU-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden im Rahmen der justiziellen und polizeilichen Zusammenarbeit (KOM 2012(10)) aus.

Nachdem bereits der Bundesrat sowohl eine Subsidiaritätsrüge gegen die Datenschutz-Grundverordnung, als auch gegen die hier interessierende geplante Richtlinie beschlossen hatte, schlägt nun die SPD Fraktion umfangreiche Änderungen des Gesetzesentwurfes vor.
Continue reading

Privacy made in USA – Das „IT-Grundrecht“ XL

Die Europäische Union (und insbesondere Deutschland) betonen gerne, dass Datenschutz und die digitale Privatsphäre ihrer Bürger hohe Güter darstellen, welche es etwa gegen die Datenriesen aus Drittstaaten zu schützen gilt.

Eine Gerichtsentscheidung aus Amerika durch das Bundesbezirksgericht von Oregon zeigt nun jedoch, dass auch die amerikanische Justiz die digitale Privatsphäre ihrer Bürger zu schützen weiß.

Die Entscheidung
In dem Urteil des Gerichts ging es um einen (für den Besitz von Kinderpornografie) verurteilten Mann, der seinen Rechner in seinem eigenen, offenen W-LAN nutzte. Auf dem Rechner befanden sich Dateien mit kinderpornografischem Inhalt, die in Ordnern der Programme iTunes und LimeWire abgelegt und als „teilen“/„freigegeben“ gekennzeichnet waren, so dass andere Rechner in demselben Netzwerk, über dort installierte iTunes Software, Zugriff auf diese Ordner und Dateien hatten.
Continue reading