Spionage und Sabotage: Rechtliche Aspekte bei Hacking-Gadgets
Seite 2: Überwachung öffentlicher Räume
Kameras
Auch abseits dieser speziellen Strafrechtsparagrafen gibt es technische Vorgänge, die zu einem kriminellen Ergebnis führen. Als Beispiel kann der Einsatz der GSM-Wanze dienen – im Kern ist das ein primitives Handy mit SIM- und MicroSD-Karte, das lauscht und speichert. Damit kann man wunderbar etwa die verwaiste Gartenlaube überwachen, wenn man im Urlaub ist. Es lässt sich aber auch benutzen, um Mitmenschen heimlich zu belauschen.
Grundsätzlich unzulässig ist die Überwachung öffentlicher Räume – das betrifft visuelle Information ebenso wie akustische. Wenn es etwa um Kameras geht, müssen diese so eingestellt werden, dass sie ausschließlich das eigene Grundstück beziehungsweise Haus erfassen. Gehwege, Straßen, Grundstücke des Nachbarn, sogar gemeinsame Zufahrten sind tabu. Unzulässig ist bereits, auch nur – etwa mit Attrappen – den Anschein zu erwecken, dass diese Bereiche überwacht werden.
Wanzen
§ 201 StGB stellt die Vertraulichkeit des Wortes unter den Schutz des Strafgesetzes, § 201a betrifft Bildaufnahmen. Sobald ein Gerät in der Lage ist, Gespräche aufzuzeichnen, riskiert ein Verwender bereits, sich strafbar zu machen. Geschützt ist insbesondere das nicht öffentlich gesprochene Wort – rechtswidrig ist somit die Überwachung von Telefonaten und vertraulichen direkten Gesprächen, unabhängig davon, ob der Überwachende selbst Teilnehmer eines solchen Gesprächs ist oder nicht.
Selbst wenn keine Aufnahmen gemacht werden, sondern nur eine heimliche Übertragung stattfindet, werden dabei Persönlichkeitsrechte der Belauschten verletzt.
Der legale Einsatz eines Überwachungsgeräts ist mit Pflichten für den Nutzer verbunden: Ein deutliches Hinweisschild muss etwa Besucher vor dem Betreten überwachter Räume auf die Überwachung aufmerksam machen. Die Aufzeichnungen aus den Geräten dürfen nur für einen begrenzten Zeitraum gespeichert werden, dann sind sie zu löschen. Automatisch angefertigte Bilder, etwa bei einem Einbruch, darf man keineswegs im Zuge einer Do-it-yourself-Fahndung ins Netz stellen.
Bei Fotos oder Videos, die im Netz landen, können auch Straftatbestände aus dem Kunsturheberrechtsgesetz (KUrhG) berührt sein: § 22 und 23 stellen die Verbreitung oder das öffentliche Zurschaustellen eines Bildnisses ohne Einwilligung des Abgebildeten unter Strafe. Auch wenn man sich nicht strafbar gemacht hat, kann ein Aufgenommener dennoch zivilrechtliche Ansprüche stellen. Je nach Umständen des Falles können die von der Vernichtung der Aufzeichnungen über die Unterlassung weiterer Aufnahmen (was die Demontage der Aufzeichnungsgeräte bedeutet) bis hin zu Schadenersatz und Schmerzensgeld reichen.
Keylogger
Zu den besonders wirkungsvollen elektronischen Datenspionen gehören Keylogger, die jede Aktivität an der Computertastatur aufzeichnen. Es gibt sie in reiner Software-Form als zu installierende und unauffällig im Hintergrund mitlaufende Protokollierungsprogramme. Praktischer in der Anwendung sind USB-Keylogger in Form harmlos aussehender USB-Sticks, die gleich einen eigenen Speicher mitbringen. Sie sind als gar nicht heimliche Helfer bei IT-Supportern beliebt, weil man damit gut Eingabefehlern von Benutzern auf die Spur kommen und unkompliziert ein Backup von Texteingaben anfertigen kann. Andererseits lassen sie sich auch gut zur Überwachung und zum Ausspionieren nutzen. Heimlich eingesetzt offenbaren sie dem Unbefugten Passwörter, Anwender-Logins und vieles mehr.
Für arbeitsrechtliches Aufsehen hat Ende Juli der Fall eines angestellten Web-Entwicklers gesorgt, der seinen Dienstrechner pflichtwidrig auch für private Zwecke genutzt hatte und mit Hilfe eines heimlich installierten Keyloggers überführt worden war. Das Bundesarbeitsgericht (BAG) verbot die Verwertung der Keylogger-Aufzeichnungen in diesem Fall: Der Einsatz eines solchen Werkzeugs für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers ist nach § 32 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) unzulässig, wenn damit nicht ein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung verifiziert werden soll.
Seit 2007 befindet sich im deutschen Strafgesetzbuch (StGB) der Paragraf 202 c, der die Beschaffung, Verbreitung, Überlassung und den Verkauf von Zugangscodes und Passwörtern für den unbefugten Zugriff auf gesicherte fremde Daten unter Strafe stellt. Dasselbe gilt für Herstellung, Zugänglichmachung und so weiter von Computerprogrammen, die einem solchen Zweck dienen. Es geht dabei um die Vorbereitung einer Straftat, nämlich des Ausspähens (§ 202a StGB) oder des Abfangens (§ 202b) von Daten, und es drohen Freiheitsstrafen bis zu zwei Jahren oder zumindest eine Geldstrafe.
Ähnlich wie beim Geldfälschen entgeht der Vorbereitende der Strafe, wenn er die Sache aufgibt, eine durch die Vorbereitung heraufbeschworene Gefahr abwendet oder die Vollendung der vorbereiteten Tat aktiv verhindert. Die Software-Werkzeuge, um die es geht, muss er vernichten, unbrauchbar machen oder sie den Behörden offenlegen respektive überlassen.
Dieser sogenannte Hackerparagraf ist seit seiner Einführung hoch umstritten – insbesondere weil der Gesetzgeber nicht geklärt hat, was man unter dem Begriff "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist", konkret verstehen soll. Wer die Bestimmung restriktiv auslegt, lässt sämtliche Software-Werkzeuge zum Aufspüren von Sicherheitslücken darunter fallen, ungeachtet dessen, ob diese ebenso gut legalen Zwecken dienen können oder nicht. Ein zentraler Streitpunkt ist von Beginn an die Frage gewesen, welche Konsequenz der "Dual Use" eines Werkzeugs hat – also der Umstand, dass dieses eben mehrerlei Zwecken dienen kann, die keineswegs alle die Vorbereitung von Straftaten betreffen. Eine ausdrückliche Ausnahmeregelung für Werkzeuge zum Penetration Testing sieht der Wortlaut des Gesetzes nicht vor.
2009 stellte das Bundesverfassungsgericht (BVerfG) klar, die Bestimmung beziehe sich ausschließlich auf solche Tools, die dediziert auf einen kriminellen Zweck abzielen und so bereits mit illegaler Absicht hergestellt wurden [4]. Die viel diskutierten "Dual Use"-Produkte seien davon nicht erfasst – zumindest fehle demjenigen, der solche Software zu legalen Zwecken nutze, der für eine Strafbarkeit notwendige Vorsatz.
Ein zusätzliches Problem liegt in der Einschränkung des Gesetzeswortlauts auf "Computerprogramme". Streng genommen würden reine Hardware-Lösungen nicht davon erfasst, was aber nicht der Absicht des Gesetzgebers entspricht.
Wie bei vielen anderen Werkzeugen zum Überwachen und Protokollieren ist auch beim Keylogger weder Kauf noch Besitz strafbar – sehr wohl kann sich aber jemand durch den Einsatz eines solchen Geräts strafbar machen, wenn er etwa Geschäftsgeheimnisse stiehlt oder mithilfe der Keylogger-Daten einen Betrug begeht.
Sobald ein Keylogger personenbezogene oder -beziehbare Daten abschöpft, wird es auch datenschutzrechtlich kritisch: Das Bundesdatenschutzgesetz (BDSG) verbietet es in § 43 Abs. 2, unbefugt personenbezogene Daten zu beschaffen, zu erheben, zu verarbeiten oder solche Daten zweckentfremdet zu nutzen. Voraussetzung ist jeweils, dass es sich nicht um allgemein zugängliche Daten handelt. Bei § 44 BDSG geht es dann nicht mehr um eine Ordnungswidrigkeit, sondern um eine Straftat: nämlich dann, wenn eine Schädigungs- oder Bereicherungsabsicht vorliegt.
Der Reiz fremder Funkwellen
Eine beliebte Freizeitbeschäftigung für den geneigten Hobby-Hacker ist das Aufspüren und Nutzen offener WLAN-Verbindungen. Wer verschlüsselte WLAN-Kommunikation knackt, kann sich auf verschiedene Weise strafbar machen – auch wenn er zum Knacken keine eigene Intelligenz einsetzt, sondern lediglich einen elektronischen WLAN-Überlister. § 202 a–c StGB umfasst den unbefugten Zugang zu besonders gesicherten Daten durch Hacking sowie die Vorbereitung dazu. Mehr zu diesem sogenannten Hackerparagrafen sagt der Kasten rechts.
Selbst das Mitlesen unverschlüsselter WLAN-Kommunikation ist nach § 89 und 148 des Telekommunikationsgesetzes (TKG) strafbar. Diese Vorschriften verbieten das Abhören von Nachrichten, die über eine Funkanlage gesendet werden. Es gibt bisher nur wenig Rechtsprechung dazu, daher ist die Thematik immer noch umstritten. Das Landgericht (LG) Wuppertal hat 2010 entschieden, dass zumindest das bloße unbefugte Surfen unter Verwendung eines fremden offenen WLAN nicht strafbar ist. Etwas anderes dürfte aber gelten, wenn Daten gezielt abgefangen und ausgelesen werden; § 89 TKG bietet dafür genügend Spielraum.
FuAG, TKG und EMVG statt FTEG
Das Gesetz über Funkanlagen und Telekommunikationsendeinrichtungen (FTEG) ist durch das Funkanlagengesetz (FuAG) vom 27. Juni 2017 (BGBl. I S. 1947) ersetzt worden. Dieses fasst die Richtlinie 2014/53/EU (Radio Equipment Directive, RED) in deutsches Recht. Diejenigen Bestimmungen des FTEG, die für Telekommunikations-Endgeräte noch benötigt werden, sind ins Telekommunikationsgesetz (TKG) überführt worden.
Den gesetzlichen Rahmen zur elektromagnetischen Verträglichkeit bildet jetzt die am 22. Dezember 2016 in Kraft getretene Neufassung des Gesetzes über die elektromagnetische Verträglichkeit von Betriebsmitteln (EMVG). Es setzt die Richtlinie 2014/30/EU in deutsches Recht um.
Obgleich die im Artikel angesprochenen Anforderungen jetzt auf anderen gesetzlichen Grundlagen stehen als zuvor, bleiben sie als rechtliche Hürden für den Import von Geräten nach Deutschland, für den Handel damit und für die Inbetriebnahme verbindlich.
Du kommst hier nicht rein!
In Konflikt mit dem Gesetz kann man durch elektronische Gadgets auch auf ganz andere Weise geraten als bisher gezeigt – nämlich durch deren illegale Einfuhr in den Handelsraum der Europäischen Union. Hier geht es um Ordnungswidrigkeiten, die mit Geldbußen geahndet werden. Es kann auch sein, dass Geräte, die jemand rechtswidrig importieren will, vom Zoll beschlagnahmt und vernichtet werden. Bei Gadgets, die mit Funktechnik arbeiten, ist beispielsweise wichtig, dass sie den Bestimmungen des Gesetzes über Funkanlagen und Telekommunikationsendeinrichtungen (FTEG) entsprechen. Auch die Vorschriften des Produktsicherheitsgesetzes (ProdSG) samt der dazugehörigen Verordnungen müssen erfüllt sein.
Seit Mai 1985 muss für Produkte, die im Bereich der EU in Verkehr gebracht werden, außerdem eine Erklärung des Herstellers darüber vorliegen, dass das Produkt sämtlichen aktuell anwendbaren europäischen Richtlinien entspricht. Dies dokumentiert der Hersteller oder sein im EU-Gebiet ansässiger Bevollmächtigter, indem er die CE-Kennzeichnung auf das Produkt aufbringt. Ohne eine solche Konformitätskennzeichnung dürfen Produkte, auf die die einschlägigen Richtlinien anzuwenden sind, in der EU nicht in Verkehr gebracht und auch nicht in Betrieb genommen werden.
Interessanterweise finden sich unter den Richtlinien, die das betrifft, mindestens zwei, die für elektronische Geräte relevant sind: 89/336/EWG über elektromagnetische Verträglichkeit und 91/263/EWG über Telekommunikationsendeinrichtungen.
Der Zoll informiert auf seiner Website www.zoll.de darüber, welche Vorschriften für die Einfuhr von Produkten in den EU-Raum gelten. Es lohnt sich, ein wenig Zeit für diese etwas sperrige Lektüre aufzubringen, wenn man in Bezug auf den Einsatz importierter Gadgets rechtlich auf der sicheren Seite sein will.
(psz)
