Netz - Rettung - Recht

Das Landgericht Köln hatte sich vor 14 Tagen mit der im Usenet regelmäßig auftauchenden - und ebenso regelmäßig dann zuvörderst von Ralph Babel mit Verweis auf die Leserbrief-Entscheidung des BGH vom 25.05.1954 (BHGZ 13, 334) beantworteten - Frage nach der Zulässigkeit der Veröffentlichung fremder E-Mails zu beschäftigen und hat in einer wenig überraschenden und nur aufgrund der m. E. bestenfalls verwirrenden Berichterstattung u.a. bei Heise teilweise kontrovers diskutierten Entscheidung (28 O 178/06 vom 06.09.2006), deren Inhalt bei der Kanzlei Dr. Bahr abrufbar ist, die Unzulässigkeit der Veröffentlichung im konkreten Fall bestätigt.

Dem Fall lag zugrunde die Veröffentlichung zweier vertraulicher E-Mails, die - offenbar - ein Aufsichtsratsmitglied einer Aktiengesellschaft in deren Angelegnheiten versandte, auf einer Webseite, die sich - mutmaßlich kritisch - mit dieser Aktiengesellschaft beschäftigte. Wie die E-Mails nach dort gelangten, ist unklar, mutmaßlich wurden sie jedoch von einem Rechner entwendet.

Der Absender der E-Mails verlangte unter Berufung auf sein allgemeines Persönlichkeitsrecht, die E-Mails nicht mehr öffentlich zugänglich zu machen, Schadensersatz zu leisten und zur Bestimmung des Schadensersatzanspruches der Höhe nach Auskunft über die Abrufzahlen der entsprechenden Seite zu erteilen. Der beklagte Veröffentlicher hielt dagegen, die E-Mails seien mit dem Absenden aus der Privatsphäre und dem persönlichen Geheimbereich des Absenders in den allgemeinen Bereich gelangt, so dass eine gravierende Verletzung des allgemeinen Persönlichkeitsrechts nicht vorliege; darüber hinaus diene die Veröffentlichung dem legitimen Informations- und Schutzinteresse der von dem Handeln der AG und des Klägers betroffenen Nutzer der Webseite.

"Zur Veröffentlichung fremder E-Mails" vollständig lesen

Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkriminalität beschlossen.

Begrüßenswert ist, daß künftig nicht nur das Verschaffen besonders gesicherter Daten strafbar sein soll, sondern bereits das Verschaffen des Zugangs zu diesen Daten. Die Neufassung des § 202a StGB entspricht dem besonderes Gewicht des Datenschutzes und dürfte auch Beweisschwierigkeiten beseitigen. Gleichfalls zu begrüßen ist die vorgesehene Ausweitung der Vorschriften über Computersabotage auf private Datenverarbeitungsanlage und die auch strafrechtliche Sanktionierung von (d)DOS-Angriffen durch die Neufassung des § 303b StGB, die zugleich eine Qualifikation für besonders schwere Fälle vorsieht.

Ergänzt wird der bestehende strafrechtliche Schutz der Übermittlungswege gegen den Zugriff von Mitarbeitern von Telekommunikations- und Postunternehmen (Post- und Fernmeldegeheimnis, § 206 StGB) und gegen das Belauschen von Telefon- und Briefkommunikation (§§ 201, 202 StGB) nun durch den Schutz elektronisch übertragener Daten, gleichviel, ob drahtgebunden oder drahtlos, auch gegen Dritte, die nicht beruflich Telekommunikationsdienste erbringen.

Bedenken erregt die vorgesehene Kriminalisierung von Vorbereitungshandlungen in § 202c StGB, soweit nicht nur berechtigter Weise das Verschaffen, Verkaufen, Zugänglichmachen usw. von Paßworten und Sicherheitscodes unter Strafe gestellt werden soll, sondern auch der Umgang mit sog. "Hacker-Tools", d.h. "Computerprogrammen, deren Zweck die Begehung einer solchen Tat [im Sinne dee §§ 202a, 202b StGB] ist". Ich fürchte, daß es schwierig sein wird, Tools zur Sicherheits- und Netzwerkanalyse sowie zum (automatisierten) Finden von Schwachstellen von "Cracking"programmen oder Exploits - einschließlich sog. "proofs of concept" - sauber zu trennen. Zwar halte ich es durchaus für berechtigt, jedenfalls aber zur Erreichung des Schutzzieles für vertretbar, Software, die gezielt und nur dem Eindringen in fremde Systeme dient, zu kriminalisieren; die Veröffentlichung eines "proof of concept" mag zwar im Sinne von "full disclosure" von mancher Seite für wünschenswert gehalten werden, sie ist aber jedenfalls nicht zwingend. Jedoch steht zu befürchten, daß - soll die Strafnorm insoweit nicht völlig leer laufen - auch "neutrale" Anwendungen erfaßt werden; man denke nur an Software wie "John the Ripper" o.ä., die dem automatisierten Brechen von Paßworten dienen, aber durchaus legitime Anwendungen - nämlich zur Prüfung und Sicherstellung der Paßwortsicherheit! - dienen und auch verwendet werden, von Netzwerkanalysesoftware im weitesten Sinne gar nicht zu reden.

Ich fürchte, so sehr es notwendig und wünschenswert ist, den teilweise eingerissenen Wildwestmanieren Einhalt zu gebieten, so sehr schießt diese Regelung (§ 202c Abs. 1 Nr. 2 RegE) über das Ziel hinaus.