Datenleck LEG

Hat sich David Kurz strafbar gemacht?

Im folgenden Teil will ich in der gebotenen Kürze auf die durchaus mögliche Strafbarkeit des David Kurz eingehen.

So genannte Penetrationstests sind in der heutigen IT-Welt nichts Ungewöhnliches. Läuft so etwas ordnungsgemäß ab, werden Personen mit besonderen Kenntnissen, besser bekannt als Hacker, von Unternehmen beauftragt oder mit so genannten „Bug Bounty-Programmen“ ermuntert, Lücken in den Sicherheitssystemen aufzuspüren. Da dies mit Wissen und Billigung der Unternehmen geschieht, ist das rechtlich kein Problem. Problematischer wird es, und das kommt in der Praxis durchaus häufig vor, wenn der Hacker ohne Wissen eines Unternehmens dessen Sicherheitsstrukturen durchdringt und dann entweder das Ganze öffentlich macht oder gar das Unternehmen erpresst. Hierbei wird regelmäßig ein ganzer Blumenstrauß von Straftatbeständen verwirklicht, zu nennen sind hier insbesondere die §§ 202a, 202b, 202c, 303a und 303b StGB. Hinzu kommen die Straftatbestände aus den einschlägigen Datenschutzvorschriften, z. B. § 42 BDSG oder § 23 GeschGehG.

Das Ausspähen von Daten als Straftatbestand?

Im vorliegenden Fall hatte Kurz keinen Auftrag und damit keine Einwilligung der LEG, deren Sicherheitssysteme zu überprüfen. Trotzdem verschaffte er sich durch die Manipulation der URL, indem er die dort befindliche Vertragsnummer zunächst händisch, später automatisiert mittels Einsatz einer Software veränderte, rund 700 Datensätze mit unterschiedlicher Anzahl personenbezogener Daten verschiedener Kategorien. Man könnte hier durchaus mutmaßen, dass dadurch auf unzulässige Weise Daten verarbeitet und ausgespäht wurden, zumal das Ausmaß der Sicherheitslücke wohl auch anhand einer deutlich geringeren Anzahl abgerufener Datensätze erkennbar gewesen wäre.

Ich mache es an dieser Stelle kurz: Der einzige in Betracht kommende Straftatbestand ist § 202a StGB, das Ausspähen von Daten. Alle anderen möglichen Straftatbestände passen von vorneherein nicht zum Sachverhalt (§§ 202b, 202c, 303a, 303b StGB) oder kommen nicht in Betracht, da Kurz weder aus Eigennutz, noch mit Schädigungs- oder Bereicherungsabsicht handelte (§ 23 GeschGehG, § 42 BDSG).

Mangelnde Sicherung der Daten

Entscheidende objektive Tatbestandsvoraussetzung ist dabei, ob die Daten gegen den unberechtigten Zugang besonders gesichert waren. Eine besondere Sicherung ist gegeben, wenn Vorkehrungen getroffen sind, die den unbefugten Zugriff ausschließen oder erheblich erschweren. Die Anforderungen an eine solche Sicherung werden dabei nicht allzu hoch angesetzt, ein Passwortschutz wird bereits als ausreichend angesehen (Fischer/StGB, 65. A. 2017, § 202a Rn. 9a). Das ist selbst dann noch so, wenn das Passwort einfach zu knacken ist (z. B. 12345). Denn theoretisch lässt sich durch Auswahl einer komplizierten Zeichenkombination der Zugriff nahezu ausschließen. Um feststellen zu können, ob das Passwort einfach zu knacken ist, muss der Hacker aber gerade mögliche Passwörter eingeben, also die Sicherungsmaßnahme umgehen.

Der Umstand, dass die Ausgabe des passenden Datensatzes aufgrund der in Klarschrift in der URL aufgeführten Vertragsnummer erfolgte, war evident und ohne besondere Kenntnisse für jeden Portalnutzer erkennbar. Dabei genügte die Eingabe irgendeiner Vertragsnummer mit identischer Syntax, um sich den dazugehörigen fremden Datensatz ausgeben zu lassen und herunterladen zu können. Auch die zufällige Änderung der Vertragsnummer hätte unweigerlich zur Anzeige eines fremden Datensatzes geführt. Vor allem aber stellte die beschriebene Syntax der URL mit der Vertragsnummer lediglich ein Kriterium dafür dar, welcher Datensatz aus der Datenbank von der Software zur Anzeige im Browser des Benutzers gebracht wird und folgte eben keinen Sicherheitsmotiven. Demzufolge hatte die LEG bzw. deren externer Dienstleister nach diesseitiger Auffassung keine besondere Sicherung im Sinne des § 202a vorgeschaltet. Es fehlt daher bereits an der Verwirklichung des objektiven Tatbestands.

Folglich hat sich David Kurz keiner Straftat schuldig gemacht.

Fragwürdiges Krisenmanagement der LEG

Im Ergebnis kann man festhalten, dass das Krisenmanagement der LEG eine neue Krise eigener Art verursacht hat. Anstatt David Kurz den ihm gebührenden Dank zuteilwerden zu lassen, begibt man sich in die Opferrolle und macht den Whistleblower, der selbst zu den eigentlichen Opfern eines möglichen Datenlecks zählt, zum Täter und diskreditiert ihn gegenüber denjenigen, die dieser eigentlich schützen wollte. Dieser Fall liefert zugleich ein weiteres gutes Argument dafür, dass die Bundesregierung mit dem von der EU seit Langem geforderten umfangreichen Whistleblower-Schutz langsam aber sicher Ernst machen sollte. Mit dem im April 2019 in Kraft getretenen Geschäftsgeheimnisgesetz (GeschGehG) hat man bereits sinnvolle erste Schritte unternommen, die nun in ähnlicher Form auch in anderen Gesetzen ihren Niederschlag finden sollten.

Folgen dieser Reaktion für die LEG und deren Verantwortliche

Für die LEG indes dürfte sich ihr Verhalten im Nachgang zur Aufdeckung des Datenschutzverstoßes zum Bumerang entwickeln. Das Verstecken hinter dem vermeintlich „schuldigen“ Dienstleister hilft dabei nicht, denn sie bleibt dennoch Verantwortlicher im Sinne der DSGVO und als solche hat sie sowohl Auswahl-, als auch Prüfpflichten gegenüber den von ihr eingesetzten Auftragsverarbeitern. Ob sie diesen trotz eigener IT-Abteilung und eigenem Datenschutzbeauftragten in der erforderlichen Weise nachgekommen ist, darf angesichts der sehr leicht zu entdeckenden Sicherheitslücke bezweifelt werden. Selbstverständlich treffen auch den Auftragsverarbeiter die Pflichten aus der DSGVO und auch dieser wird sich in gleicher Weise gegenüber den Betroffenen und der Aufsichtsbehörde zu verantworten haben. Zudem kann die LEG unter Umständen im Innenverhältnis gegenüber dem Auftragsverarbeiter Ersatzansprüche haben, wenn ihr selber kein Pflichtverstoß vorzuwerfen ist.

Wesentlich problematischer dürfte sich das Verhalten der LEG gegenüber Kurz im Nachgang zur Entdeckung der Sicherheitslücke auswirken. Nicht nur, dass Kurz wegen der Äußerungen in dem Brief an die 700 Mieter Unterlassungs- und Schadenersatzansprüche wegen Persönlichkeitsrechtsverletzungen geltend machen könnte, es besteht auch der dringende Verdacht einer Strafbarkeit der verantwortlichen Personen auf Seiten der LEG wegen falscher Verdächtigung (§ 164 StGB), übler Nachrede (§ 186 StGB) bzw. Verleumdung (§ 187 StGB).

Weniger bekannt, aber nicht minder einschneidend ist letztlich, dass die Aufsichtsbehörde auch das Verhalten gegenüber Kurz und die Aussagen gegenüber den Mietern gemäß Art. 83 Abs. 2 lit. k) als erschwerenden Umstand würdigen und bei der Bemessung des Bußgeldes entsprechend berücksichtigen kann.

Datenpannen überlegt angehen und Schaden minimieren

Datenpannen werden immer wieder vorkommen, das wird auch der beste Datenschutz nicht verhindern können. Entscheidend ist dann jedoch, wie die Verantwortlichen damit umgehen. Nehmen sie den Whistleblower, egal ob interner oder externer, in Schutz, ergreifen sie die geforderten und gebotenen Maßnahmen und lernen aus den Fehlern, lässt sich der Schaden erheblich minimieren. Eine gute Öffentlichkeitsarbeit hilft, den Reputationsschaden in Grenzen zu halten.

Foto: Adobe Stock/putilov_denis

Mit dem MkG-Newsletter erhalten Sie alle sechs Ausgaben pro Jahr
pünktlich zur Veröffentlichung per Mail – zu Themen, die Sie weiterbringen:

  • Aktuelle Gesetzesänderungen,
  • Tipps zur optimalen Abrechnung,
  • Karrierechancen, Kanzleiführung u. v. m.