IT-Strafrecht: Hacker-Angriff auf Sony (Playstation)
Mehr zum Thema: Strafrecht, HackerDie Newsseiten „tagesschau.de" und „heute.de" berichten am Morgen des 27. April 2011 von einem Datendiebstahl im Hause des Elektrokonzerns Sony, aus dem auch die – allseits bekannte – Playstation stammt. Konsolenspieler, die bei der Plattform „Playstation Network" registriert sind, konnten hierauf etwa eine Woche nicht zugreifen. Nun, so die Newsseiten übereinstimmend, hätte Sony den Grund dafür bekanntgegeben: Es seien 77 Millionen Kundendaten entwendet worden – durch einen Hackerangriff. „heute.de" berichtet weiter, dass auch deutsche Kunden betroffen seien. Grund genug für ilex Rechtsanwälte und Steuerberater, die Rechtslage zu beleuchten. Welche Maßnahmen können deutsche Kunden ergreifen? Ist Hacking in Deutschland strafbar? Wie schnell wird man – ohne dies zu wollen – zum Datendieb?
1. Welche Maßnahmen können Kunden in Deutschland ergreifen?
Ein Datendiebstahl sollte nicht unterschätzt werden; denn persönliche Daten können leicht missbraucht werden. Ob es im konkreten Sony-Fall zu derartigen Missbrauchsfällen kommt, ist derzeit noch unklar.
Das Gefahrpotential hängt im Wesentlichen davon ab, welche Daten die Betroffenen preisgegeben haben. Sollte ein Verbraucher unsicher sein, welche Daten er oder seine Kinder preisgegeben haben, empfiehlt es sich, einen so genannten datenschutzrechtlichen Auskunftsanspruch geltend zu machen. Hierdurch können die Verbraucher erfahren, welche Daten zu ihrer Person gespeichert wurden. Ansprechpartner ist hierbei die „verantwortliche Stelle", die im europäischen Sprachgebrauch als „controller" (vgl. etwa die Richtlinie 46/95/EG Artikel 2 lit. d) bezeichnet wird. Hiermit ist das Unternehmen gemeint, dass die Daten gespeichert hat. Wer die „verantwortliche Stelle" für die Sony-Kunden ist, können diese in ihren Registrierungsunterlagen recherchieren. Sollten diese nicht vorhanden sein, könnte der Anspruch auch direkt an die Sony Computer Entertainment Europe Limited gerichtet werden. Adressen und Informationen erhält man auf der Homepage dieses Unternehmens. Hierbei ist es unschädlich, dass das Unternehmen in England seinen Sitz hat. Denn auch nach englischem Datenschutzrecht können die Verbraucher eine Auskunft verlangen. Grundlage ist dann Section 7 Data Protection Act 1998. Anwaltliche Unterstützung kann hier hilfreich sein.
Sollten den Verbrauchern geldwerte Schäden entstehen, kann Schadenersatz geltend gemacht werden. Als Anspruchsgegner kommen grundsätzlich der Hacker oder die verantwortliche Stelle in Betracht. Ob und ggf. gegen wen Ansprüche bestehen, ist vom Einzelfall abhängig und sollte mit anwaltlicher Hilfe geprüft werden.
2. Ist Hacking in Deutschland strafbar?
Der Begriff „Hacking" findet in der deutschen Rechtsordnung keine ausdrückliche Nennung. Computerkriminalität ist dennoch strafbar.
Wenn – auf dem Gebiet der Bundesrepublik – Computerdaten „gestohlen" werden, kommen grds. zwei Straftatbestände sofort in Betracht: § 202a StGB und § 17 UWG.
Nach § 202a StGB macht sich strafbar, „wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft". Etwas knapper formuliert: Das Ausspähen von Daten setzt voraus, dass der Täter sich oder Dritten unbefugt besonders gesicherte Daten verschafft.
Eine andere Konstellation betrifft § 17 UWG. Hierbei wird das unbefugte Verschaffen von Geschäfts- und Betriebsgeheimnissen bestraft. Der wesentliche Unterschied ist, dass es hierbei um eine besondere Art von Informationen – nämlich Geschäfts- und Betriebsgeheimnisse – geht.
Beim „Hacken" ist auch immer an die Straftatbestände der § 303a bzw. § 303b StGB zu denken. Hierbei werden die Daten nicht gestohlen, sondern unbefugt verändert. Auch dieses ärgerliche Phänomen ist Computernutzern bekannt; nicht umsonst installieren viele Verbraucher eine Antivirensoftware.
Wenn die betroffenen Daten Rückschlüsse auf Personen (etwa Name des Verbrauchers usw.) zulassen, kommt auch das Datenschutzrecht zur Anwendung. Dann kann eine Straftat nach § 44 BDSG vorliegen.
3. Wie schnell wird man selbst zum Datendieb?
Viele Verbraucher werden fragen: „Wie kann man nur?". In der Tat ist die IT-Kriminalität eine erhebliche Bedrohung für die Wirtschaft und im Einzelfall sehr, sehr ärgerlich. Gleichwohl sollten auch die Verbraucher nicht unterschätzen, wie schnell man selbst zum Datendieb werden kann – vielleicht ohne dies zu wollen. Zwei Konstellationen sollen vorgestellt werden:
Immer wieder wird davon berichtet, dass Straftäter fremde Rechner benutzen, um hierüber neue Straftaten zu begehen. Ist der Computer eines Verbrauchers nicht hinreichend gesichert, ist dies unproblematisch möglich. Dann kommt eines Tages Post von der Staatsanwaltschaft, wonach über die eigene IP-Adresse Straftaten (etwa Datendiebstahl) begangen wurden. In diesem Fall ist dringend anzuraten, einen Rechtsanwalt einzuschalten, der sich mit dem Bereich der IT-Kriminalität auskennt. Dann besteht u. U. die Möglichkeit, Gericht und Staatsanwaltschaft davon zu überzeugen, dass der eigene Rechner „nur" missbraucht wurde.
Eine zweite Konstellation ist denkbar. Ein Arbeitnehmer forscht im Unternehmen seines Arbeitgebers und entwickelt neue Geräte oder neues Know-How oder er baut einen Kundenstamm auf. Eines Tages endet das Arbeitsverhältnis und er nimmt seine Neuentwicklung, das Know-How oder die Kundendaten mit. Schon gerät er in Gefahr, sich nach § 17 UWG strafbar zu machen. Die Frage, ob das Mitnehmen dieser Informationen tatsächlich strafbar ist, muss im Einzelfall betrachtet werden. Im Hinblick auf die Kundendaten beispielsweise hängt es im Wesentlichen davon ab, ob der Arbeitnehmer physische Kundenlisten mitnimmt oder sich später lediglich an Kunden erinnert. Entscheidend ist auch, ob der Täter dies mit Schädigungs- oder Bereichungsabsicht tut. Hier ist dringend zu empfehlen, schon vorab anwaltlichen Rat zu bemühen.
4. Fazit
Im Ergebnis zählt – wie so oft – die Vorsorge.
Wenn schon bei Konsolenanbietern oder Internetspielen eine Registrierung notwendig ist, sollten stets nur die Pflichtfelder – die als solche meist markiert sind – ausgefüllt werden. Überhaupt wird zu einer Datensparsamkeit geraten. Im Hinblick auf die Gefahr, selbst zum „Datendieb" zu werden, ist frühzeitiger, anwaltlicher Rat zu empfehlen.