Macht sich der private IT-Forensiker bei seinen Ermittlungen strafbar?

Fachbeitrag

Wir haben schon oft über die Tätigkeit privater IT-Forensiker berichtet. Deren Rolle erlangt vor allem im Bereich unternehmensinterner Ermittlungen immer größere Bedeutung. Eine Typische Ermittlungshandlung ist die Analyse des Computersystems eines verdächtigen Mitarbeiters. Juristen drängt sich hier natürlich die Frage der strafrechtlichen Zulässigkeit solcher Maßnahmen auf. Kann sich ein privater IT-Forensiker durch seine Arbeit möglicherweise strafbar machen?

Ausgangslage und Sachverhalt

Im Gegensatz zu Ermittlungen durch staatliche Behörden, ist der Rechtsrahmen für private Ermittlungen nicht durch Verfahrensvorschriften, wie die StPO, definiert. Wo liegen also die Grenzen solcher privater Ermittlungstätigkeiten? In einer zweiteiligen Beitragsreihe möchten wir mit zwei Beispielen darstellen, ob Strafbarkeitsrisiken für den privaten IT-Forensiker bestehen und, falls ja, wie diese zu beherrschen sind.

Den zu beurteilenden Sachverhalt bildet dabei die retrospektive Analyse des Computersystems eines verdächtigen Mitarbeiters im Auftrag der Unternehmensleitung, dass ausschließlich durch das Userpasswort gesichert ist und auf dem sowohl dienstliche als auch private Dateien und E-Mails des Mitarbeiters gespeichert sind.

Rechtsrahmen für IT-Forensiker

Wie angesprochen existieren für staatliche Ermittlungsbehörden ganz klare gesetzliche Regelungen zur Ausgestaltung von Ermittlungen, die sich hauptsächlich in der StPO finden. Dieses Gesetz ist auf private Ermittler nicht anwendbar. Gleichwohl bewegen sie sich nicht in einem rechtsfreien Raum. Die Rechtmäßigkeit ihrer Ermittlungshandlungen ist an den allgemeinen Gesetzen zu messen.

In Betracht kommen hier zunächst Rechte der von den Ermittlungen Betroffenen, wie z.B. das allgemeine Persönlichkeitsrecht in all seinen Ausprägungen. Daneben können jedoch auch Tatbestände des Strafgesetzbuches (StGB) erfüllt sein.

§ 202a StGB – Ausspähen von Daten

Eine mögliche Strafbarkeit wegen des Ausspähens von Daten nach § 202a Abs. 1 StGB drängt sich hier geradezu auf, denn

„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

hört sich, den obigen Sachverhalt vor Augen, erst einmal sehr passend an. Wir prüfen durch:

1. Daten als Tatobjekt

Zunächst müssen Daten als Tatobjekt betroffen sein. Daten sind hier nicht im Sinne des BDSG sondern im strafrechtlichen Sinne zu verstehen. Praktischerweise findet sich schon in § 202a Abs. 2 StGB eine sog. Legaldefinition. Demnach sind Daten alle Informationen, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Strafrechtler streiten sich beharrlich über die Auslegung des Begriffes. In unserem Sachverhalt stellen allerdings alle relevanten Dateien und E-Mails solche Daten dar, so dass wir uns nähere Ausführungen ersparen können.

2. Nicht für den Täter bestimmt

Die betroffenen Daten dürften nicht für den IT-Forensiker als Täter bestimmt sein. Für wen Daten bestimmt sind, hängt von der sog. Verfügungsbefugnis ab. Diese richtet sich nicht nach dem Eigentum sondern danach, wer Daten erstellt und/oder abgespeichert hat.

In unserem Fall erfolgte dies durch den betroffenen Mitarbeiter. Bei der Ermittlung der Verfügungsbefugnis müssen wir zwischen dienstlichen und privaten Daten unterscheiden:

  • Bei dienstlichen Daten erfolgt die Erstellung und Speicherung von Daten im Rahmen des Dienstverhältnisses auf Weisung und Veranlassung des Arbeitgebers, so dass dieser und nicht der Mitarbeiter als Verfügungsbefugt anzusehen ist. Er kann daher auch einen privaten IT-Forensiker mit der Analyse beauftragen, ohne dass dieser sich nach § 202a Abs. 1 StGB strafbar macht.
  • Sind daneben auch private Daten betroffen, ändert sich das Ergebnis. Bzgl. solcher Daten kann der Arbeitgeber nicht verfügungsbefugt sein, gleichgültig übrigens, ob er die Speicherung privater Daten erlaubt oder verboten hat. Private Daten sind daher nicht für den IT-Forensiker bestimmt. Dieses Tatbestandsmerkmal ist in unserem Sachverhalt erfüllt.

3. Gegen unberechtigten Zugang besonders gesichert

Um den Tatbestand insgesamt zu erfüllen, müssten die nicht für den IT-Forensiker bestimmten Daten auch gegen einen unberechtigten Zugang besonders gesichert sein. Dies sind solche Daten, bei denen der Verfügungsberechtigte durch geeignete Schutzmaßnahmen sein Interesse zum Ausdruck gebracht hat, den Zugang zu den Daten zu verhindern oder zu erschweren.

In unserem Fall hat der verdächtige Mitarbeiter sein System durch ein sicheres (zwölf Zeichen lang bei Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) Userpasswort geschützt. Das klingt nach besonderer Zugangssicherung, ist es in unserem Fall aber nicht.

Das klassische Userpasswort bezweckt nämlich keine Sicherung von Daten gegen Zugriffe des Arbeitgebers. Es soll vor Zugriffen unbefugter Dritter schützen, der datenschutzrechtlich erforderlichen Zugangskontrolle dienen oder auch im Rahmen der Eingabekontrolle die Zuordnung bestimmter Vorgänge zu einem Nutzer ermöglichen. Für den durch den Arbeitgeber beauftragten IT-Forensiker sind die betroffenen Daten in unserem Fall daher nicht besonders gesichert.

Ergebnis: Keine Strafbarkeit

Auch wenn der Wortlaut es zunächst nahelegt, macht sich der private IT-Forensiker in unserem Fall nicht wegen eines Ausspähens von Daten nach § 202a StGB strafbar, so dass die Kolleginnen und Kollegen der IT-Forensik aufatmen können.

Anders sieht es eventuell dann aus, wenn eine private Datei oder ein Bereich auf dem zu analysierenden System gesondert durch ein Passwort versehen oder verschlüsselt ist. Dann lässt sich eine Sicherung gegenüber dem Arbeitgeber annehmen und es müsste weiter geprüft werden, ob der Ermittler auch vorsätzlich, rechtswidrig und schuldhaft handelt.

Diesen und weiteren Fragen widmen wir uns im zweiten Teil der kurzen Beitragsreihe, wenn wir prüfen, ob der IT-Forensiker sich wegen einer Verletzung des Fernmeldegeheimnisses nach § 206 StGB strafbar macht.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Identifizierung, Sicherung und Auswertung digitaler Spuren und Beweise
  • Untersuchung auf Bedrohungen durch komplexe und gezielte Cyber-Attacken
  • Cyber Security Check zur Schwachstellenanalyse von IT-Systemen

Informieren Sie sich hier über unser Leistungsspektrum: IT-Forensik

Ein Kommentar zu diesem Beitrag

  1. Ein sehr interessanter Beitrag!!!
    Leider habe ich ihn erst jetzt, also ein halbes Jahr nach Veröffentlichung lesen können.

    Jedoch bleiben bei mir einige Fragen:
    Ist eine Nutzung dieser Log-Daten nicht bereits durch § 31 BDSG ausgeschlossen, wenn die Daten auschließlich zu den in § 31 erwähnten Zwecken gespeichert werden?
    Wie steht das am 27. Februar 2008 (1 BvR 370/07, 1 BvR 595/07) vom BVerfGE neu formulierte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ welches sich aus Art. 2 in Verbindung mit Art. 1 des Grundgesetzes als Teil des allgemeinen Persönlichkeitsrechtest ableitet zu dem dargestellten Fall?
    Wo ist der erwähnte zweite Teil der Beitragsreihe zu finden?

    „Es soll vor Zugriffen unbefugter Dritter schützen,…“ (Autor des Artikels)

    Somit wäre meiner Meinung nach § 202 a StGB „…die gegen unberechtigten Zugang besonders gesichert sind,…“ erfüllt.
    „Das klassische Userpasswort bezweckt nämlich keine Sicherung von Daten gegen Zugriffe des Arbeitgebers.

    Für den durch den Arbeitgeber beauftragten IT-Forensiker sind die betroffenen Daten in unserem Fall daher nicht besonders gesichert.“ (Autor des Artikels)
    Gibt es hierzu Rechtsprechung vom BAG?
    Meiner Meinung nach greift § 202a StGB hier bei Firmendaten nur dann nicht, wenn es sich seitens des Arbeitgebers und des beauftragten externen IT-Forensikers um einen berechtigten Zugriff handelt. Dies ist z.B. bei dienstlichen Daten und längerer Krankheit eines Mitarbeiters der Fall, nicht aber bei privaten Daten, wie im Artikel erwähnt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.