Tatvorwurf: Datenvernichtung

Inhaltsverzeichnis

Meistens spielt sich der Ärger, der im IT-Alltag entsteht, auf dem Boden des Zivilrechts ab. Hier fordert jemand zu Recht oder zu Unrecht etwas von jemand anderem. Dann geht es etwa darum, dass Schäden auszugleichen sind, oder ein bestimmtes Geschäftsverhalten soll unterlassen werden. Zivilgerichte entscheiden über Ansprüche einer Streitpartei gegen eine andere. Allerdings kann man mit, durch und an IT-Equipment auch Taten verüben, die vom Gesetz mit Strafen bedroht sind. Auf diese Weise ist bereits vor rund einem Vierteljahrhundert die Computerkriminalität ausdrücklich ins Strafrecht eingezogen.

Lücken geschlossen

Seit den 1970er-Jahren wurde die elektronische Verarbeitung und Übertragung von Daten in Verwaltung und Wirtschaft immer wichtiger. Angesichts dessen hielt der deutsche Bundestag es für notwendig, Strafbarkeitslücken zu schließen. Nach dem 1. Gesetz zur Bekämpfung der Wirtschaftskriminalität (1. WiKG) [1] aus dem Jahr 1976 fügte er mit dem 2. WiKG [2] im Frühjahr 1986 neue Straftatbestände mit Computerbezug in das deutsche Strafgesetzbuch (StGB) ein. Weitere Vorschriften (§§ 202a, 202b, 202c StGB) folgten mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. Str ÄndG) im Jahr 2007 [3]. Dabei bestand zuletzt das Ziel, bereits Taten im "Vorfeld" zu kriminalisieren. Davon betroffen sind beispielsweise das Herstellen, Überlassen, Verbreiten und Verschaffen von "Hacker-Tools" (§ 202c StGB). Gerade dieser sogenannte Hackerparagraf hat für breite Auseinandersetzungen gesorgt [4]. Computerdelikte gewannen immer stärker an Bedeutung, und die Befürchtung, das Strafrecht könne mit der schnellen Entwicklung IT-bezogener und IT-gestützter Kriminalität schwer mithalten, wurde von vielen Seiten laut.

Der Wunsch des Gesetzgebers, dieses Feld vorausschauend durch Strafvorschriften möglichst dicht abzudecken, hatte allerdings unangenehme Nebenwirkungen. Wie schafft man möglichst dauerhafte Gesetze, die einen sich sehr schnell entwickelnden Themenbereich betreffen? Indem man versucht, möglichst trendübergreifende abstrahierende Begriffe zu nutzen, was mit einer gewissen Unschärfe der Definitionen einhergeht. Dabei gerät allerdings gelegentlich ein wichtiger Grundsatz des Strafrechts in Gefahr: Es ist erforderlich, dass eine Strafbestimmung hinreichend bestimmt ist. Sie muss so klar und präzise sein, dass ein Verhalten zuverlässig daran ausgerichtet werden kann. Näheres dazu sagt der Abschnitt über den Bestimmtheitsgrundsatz.

Das Dienst-Notebook

Der Beamte Karl S. arbeitete bei einer Dienststelle des Landes Thüringen und nutzte ein Notebook, das ihm seine Behörde zur Verfügung gestellt hatte und das er auch mit nach Hause nehmen durfte. Als er an einen neuen Arbeitsplatz versetzt wurde, sollte er das Gerät zurückgeben. Aus purer Bequemlichkeit hatte S. neben dienstlichen Daten auch einige private Bilder und Zeichnungen auf dem mobilen Computer abgespeichert. Bevor er seinen Vorgesetzten das Gerät aushändigte, löschte er diese Dateien zusammen mit dienstlichen Aufzeichnungen, von denen er wusste, dass er sie bereits auf dem Behördenserver gesichert hatte. Zum Löschen der fraglichen Files verwendete er ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenes Shredderprogramm. Dieses Programm hinterlässt eine Logdatei, welche über die gelöschten Dateien Auskunft gibt. Das Betriebssystem, die Anwendungen und alles Übrige beließ er auf dem Notebook.

Die Logdatei des Löschvorgangs fiel der Dienststelle nach der Rücknahme des Rechners auf. Man wurde misstrauisch, und die Staatsanwaltschaft klagte S. tatsächlich wegen Datenveränderung nach § 303a StGB an. Sie ging dabei sogar davon aus, dass ein besonderes öffentliches Interesse an der Strafverfolgung bestehe, sodass das Einschreiten der Strafverfolger von Amts wegen geboten war. Da es um ein Antragsdelikt geht, wäre die Staatsanwaltschaft ansonsten nicht von selbst tätig geworden; es hätte vielmehr einer Strafanzeige bedurft. Das zuständige Amtsgericht Erfurt ließ die Anklage zu. S. fiel aus allen Wolken. Er hatte nicht im Traum damit gerechnet, sich strafbar zu machen. Die Datenspeicherung auf dem Notebook war weder durch seinen Dienstvertrag noch durch amtliche Anweisungen geregelt. Vor der Rückgabe des Computers hatte er noch ausdrücklich nachgefragt, ob "etwas zu beachten" sei. Seine Dienststelle hatte dies verneint und lediglich einen Rückgabetermin benannt.

Böse Überraschung

Die Bedeutung, die der Gesetzgeber den Strafvorschriften für "EDV-Delikte" ursprünglich zugedacht hatte, haben diese bisher nicht erlangt – das hängt damit zusammen, dass die betreffenden Paragrafen sehr schwierig anzuwenden sind. Auch der Tatbestand der Datenveränderung (§ 303a StGB) ist bis heute erstaunlich ungeklärt. Nach der herrschenden Meinung soll durch diese Vorschrift "die Verfügungsgewalt des Berechtigten über die in Datenspeichern enthaltenen Informationen" [5] geschützt werden. Dabei müssen nach dem Wortlaut des Gesetzes die Daten nicht einmal "fremd" sein.

Wenn man es genau nimmt, könnte sich also selbst ein berechtigter Nutzer strafbar machen, wenn er eigene Daten löscht. Um ein Ausufern zu verhindern, legt die herrschende Rechtsmeinung die Strafvorschrift einschränkend aus: Sie soll nur den Umgang mit "fremden Daten" erfassen. Das bedeutet, dass eine bestimmte Person beziehungsweise ein Unternehmen, ein Verein oder eine Einrichtung das Recht an diesen Daten besitzt und auf dieser Grundlage die elektronischen Aufzeichnungen verarbeiten oder löschen darf . Sonstige mittelbare Interessen, seien sie rechtlicher oder ideeller Art, erfasst der Tatbestand nicht.

Im Treibsand der Begriffe

Was aber sind eigentlich "fremde" Daten, deren Veränderung mit Strafe bedroht sein soll? In Fachkreisen sind Zweifel laut geworden, ob § 303a StGB tatsächlich die von der Verfassung gebotene Bestimmtheit aufweist. Er bietet nämlich keine eindeutige Regelung, wer wann über welche Daten verfügen darf. Die Antwort auf diese Fragen ist vom Einzelfall abhängig. Eine Eingrenzung lässt sich daher nur durch die Beschreibung der konkreten Rechtssituation erreichen. In Anbetracht der rechtlichen Rahmenbedingungen stellt sich für den Fall des Notebook-Nutzers S. schon die Frage, ob und in welcher Form er dazu berechtigt war, Daten auf dem Dienst-Notebook zu verändern oder zu löschen.

Mangels verbindlicher Vorgaben kann man den Rechner ganz simpel als elektronisches Gegenstück zu einem Schreibblock oder Zettelkasten ansehen: Er diente dazu, Schriftstücke, Zeichnungen, Entwürfe zu verfassen, zu bearbeiten, gegebenenfalls zu verwerfen oder zu einer Endversion zusammenzufügen. Woraus sollte sich dabei das Verbot ergeben, gespeicherte Daten zu löschen? Wollte man ein solches grundsätzliches Verbot annehmen, dürfte streng genommen überhaupt nichts gelöscht werden – keine Spam-Mail, kein unbrauchbarer Briefentwurf. Der Nutzer müsste die Festplatte bis zum Rand mit Daten füllen und sich anschließend hilfesuchend an seine Dienststelle wenden. Das wäre absurd und würde auch der Absicht, dem Mitarbeiter ein praktisch nutzbares Arbeitsmittel bereitzustellen, nicht entsprechen.

Weitere Fragezeichen tauchen auf. Was wäre, wenn S. nach verbreiteter Sitte vor der Rückgabe des Notebooks die Festplatte formatiert und das Gerät in den Auslieferungszustand zurückversetzt hätte? Dafür hätte es nachvollziehbare Gründe geben können und keine Dienstanweisung oder Vereinbarung hätte dagegen gesprochen. Wie kann es in diesem Zusammenhang relevant sein, dass S. lediglich einen Teil seines Datenbestands löschte? Der beim Arbeitgeber aufgekommene Verdacht, es könne hier irgendetwas Unbotmäßiges geschehen sein, änderte ja nichts daran, dass S. mit dem Gerät und den darauf befindlichen Daten im vorgegebenen Umfang arbeiten durfte – und es gab keine Regelung, die ihn in dieser Hinsicht hätte einschränken können.

Weitergedacht

Ähnliche Probleme könnten sich theoretisch in sämtlichen Fallgestaltungen ergeben, in denen das Eigentum am Computer, also der Hardware, und das Nutzungsrecht auseinanderfallen. Das betrifft beispielsweise das Leasing und den Kauf eines Computers unter Eigentumsvorbehalt bis zur vollständigen Bezahlung des Kaufpreises. Aber selbst im privaten Bereich könnte ein geliehener Computer, dessen Nutzer beim Verleiher in Ungnade gefallen ist, nach seiner Rückgabe als Ausgangspunkt – um nicht zu sagen: Vorwand – für eine Strafanzeige wegen Datenveränderung genutzt werden.

Besonders heikle Rechtsprobleme könnten bei Fällen entstehen, in denen ein Dienstleister in fremdem Auftrag Daten erfasst oder erzeugt. Das tun etwa Software- Entwickler, aber auch Rechtsanwälte und Steuerberater. Ein Teil der Fachliteratur vertritt die Meinung, dass der Auftraggeber befugt ist, über die Daten beim Beauftragten zu verfügen [6]. Wenn das so ist, könnte die Anwendung des § 303a StGB hier bei Vertragsverletzungen dazu führen, dass man es plötzlich mit Straftaten zu tun hätte. Das dürfte von niemandem gewollt sein [7].

Damit nicht genug. Im Jahr 2007 konnte der Gesetzgeber nicht vorhersehen, wie die weitere technische Entwicklung aussehen wird. Die Erfahrung der Vergangenheit hat gezeigt, dass das Tempo der Veränderungen im IT-Bereich kaum zu unterschätzen ist. Infolgedessen führt der mit den neuen gesetzlichen Vorschriften vollzogene Rundumschlag zu ungeahnten Abgrenzungsproblemen und schwer zu klärenden Fragen: Wem gehören die Daten und in welchem Umfang sind Dritte von der Einwirkung ausgeschlossen? Das betrifft beispielsweise Daten von geschlossenen Benutzergruppen, etwa in Firmen-Intranets.

Noch viel schwieriger wird es, wenn man die Vorschriften auf Datenspeicherung in der Cloud anwenden will. Wenn ein Serverinhaber oder Admin in bester Pflichterfüllung auf Nutzerdaten zugreift, die bereits gespeichert worden sind, könnte es dazu kommen, dass auch hier der Tatbestand des § 303a StGB erfüllt ist [8]. Die – zumindest theoretische – Möglichkeit, sich durch den Umgang mit Daten und Dateien strafbar machen zu können, kann nicht länger als abwegig gelten, sondern sollte ins Bewusstsein von IT-Dienstleistern, Admins, Serverbetreibern und Nutzern fremden IT-Equipments vordringen.

Trauerspiel vor Gericht

Der Prozess gegen S. vor dem Amtsgericht Erfurt fügte den Merkwürdigkeiten, die der Fall ohnehin schon zu bieten hat, noch weitere hinzu. In der mündlichen Verhandlung wurden einige der oben angerissenen Fragen zwar gestreift, aber weder Staatsanwaltschaft noch Richter setzten sich näher damit auseinander. Stattdessen widmete man sich der Art und Bezeichnung der gelöschten Daten im Löschprotokoll. Das ist insbesondere deswegen bemerkenswert, weil einen Angeklagten im Strafverfahren keine Mitwirkungspflicht trifft. Das heißt, er braucht seine Unschuld nicht zu beweisen.

Die Anklage gegen S. lautete auf Datenveränderung, die in der Form der Datenvernichtung stattgefunden habe. Dabei hatte man die Frage, inwieweit S. als Notebook-Nutzer dazu berechtigt war, Daten nach seiner eigenen Einschätzung zu löschen oder zu verändern, schlicht weg ignoriert. Der Verdacht, etwas "Wichtiges" könnte gelöscht worden sein, spielt dabei keine Rolle, denn Art und Inhalt gespeicherter Dateien haben keinen Einfluss auf die formale Befugnis, wie mit dem Datenbestand umgegangen werden darf. Das würde im Zweifelsfall auch für solche Dateien gelten, die der Arbeitgeber oder ein sonstiger Auftraggeber für "bedeutend" einschätzen würde. Selbst unter dem Gesichtspunkt, dass Arbeitsergebnisse im Rahmen eines Arbeitsverhältnisses dem Arbeitgeber "gehören", ergibt sich nichts anderes. Der Schutz des Datenbestands und seiner Integrität würde ansonsten nämlich Gegenstand einer Inhaltskontrolle im Rahmen eines Strafverfahrens.

Der traurige Schlusspunkt

Der hier gezeigte Fall endete wie das sprichwörtliche Hornberger Schießen – dies wirft ein deutliches Licht darauf, wie man in der justiziellen Praxis Fälle dieser Art auflöst, ohne dass tatsächlich Recht gesprochen wird. Die mündliche Verhandlung zeigte, dass eine umfangreiche Prüfung der gelöschten Dateien wieder einige Zeit in Anspruch nehmen müsste. Das hätte für den Angeklagten jedoch bedeutet, dass er selbst umfangreiche Zuarbeit hätte leisten müssen, außerdem wären erkleckliche Anwaltskosten dadurch entstanden – ohne Garantie, dass irgendjemand die hätte erstatten müssen.

Man einigte sich also, das Verfahren gegen die Zahlung einer Geldbuße einzustellen. So wurde es beendet, wobei die Staatskasse um die Anwaltskosten des Angeklagten herumkam. Für manch einen Normalbürger stellt eine solche Anklage eine Belastung dar, der er nicht über Monate hinaus gewachsen ist. Er wird also die Gelegenheit wahrnehmen, sich durch die Geldbuße vom Makel der Anklage zu befreien. Es bleibt der Eindruck, dass über die entscheidenden Dinge nicht gesprochen wurde. Das macht die ganze Sache mehr als unbefriedigend. Vor allem die Frage der "versehentlichen" Strafbarkeit schreit nach einer Aufarbeitung. (psz)