Skip to content

AGH Berlin: Rechtsanwälte haben keinen Anspruch auf beA mit Ende-zu-Ende-Verschlüsselung

AGH Berlin
Urteil vom 14.11.2019
AGH 6/18


Der Anwaltsgerichtshof Berlin hat entschieden, dass Rechtsanwälte keinen Anspruch darauf haben, dass das besondere elektronische Anwaltspostfach (beA) mit einer Ende-zu-Ende-Verschlüsselung ausgestattet wird. Nach Ansicht des AGH Berlin ist die derzeitige Ausgestaltung des beA ausreichend sicher.

Den Volltext der Entscheidung finden Sie hier:


BSI: Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes

Das BSI hat den Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes veröffentlicht.

BSI veröffentlicht Entwurf des neuen Risikomanagement-Standards

Im Rahmen des 3. IT-Grundschutz-Tags 2016 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der IT-Sicherheitsmesse it-sa in Nürnberg den ersten neuen BSI-Standard vorgestellt, der aus dem Modernisierungsprozess des IT-Grundschutzes hervorgegangen ist.

In dem neuen Risikomanagement-Standard 200-3 sind erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt in einem Dokument dargestellt. Anwender können dadurch mit einem deutlich reduzierten Aufwand das angestrebte Sicherheitsniveau erreichen. Die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt.

Der neue Standard wird zunächst als Community Draft veröffentlicht, damit auch Anwender ihre Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen können. Er bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Hierzu erklärt Arne Schönbohm, Präsident des BSI: "Infolge der Digitalisierung nimmt die Komplexität der IT und damit auch die Abhängigkeit von Staat, Wirtschaft und Gesellschaft von IT stetig zu. Cyber-Sicherheit und ein umfassendes Risikomanagement sind entscheidende Kriterien für eine erfolgreiche Digitalisierung, insbesondere in Verwaltung und Wirtschaft. Der IT-Grundschutz und der neue BSI-Standard zum Risikomanagement sind eine wichtige Grundlage, um Gefährdungspotentiale zu untersuchen, realistisch zu bewerten und mögliche Risiken angemessen zu behandeln. Dazu gehört, einen soliden Prozess zur Risikoentscheidung aufzusetzen."



BGH: Zu den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking - Anscheinsbeweis bei PIN und smsTAN möglich

BGH
Urteil vom 26.01.2016
XI ZR 91/14


Der BGH hat sich in dieser Entscheidung mit den Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking befasst und entschieden, dass trotzt bestehender Sicherheitsbedenken beim Verwendung von PIN und smsTan ein Anscheinsbeweis zu Gunsten der Bank / Sparkasse bestehen kann. Voraussetzung ist - so der BGH - jedoch, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Der BGH hat die Sache an die Vorinstanz zurückverwiesen.

Die Pressemitteilung des BGH:

Bundesgerichtshof entscheidet zu Beweisgrundsätzen bei streitigen Zahlungsaufträgen im Online-Banking

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat heute entschieden, dass § 675w Satz 3 BGB* die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking bei Erteilung eines Zahlungsauftrags unter Einsatz der zutreffenden PIN und TAN nicht verbietet. Es muss aber geklärt sein, dass das eingesetzte Sicherungssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Bei einer missbräuchlichen Nutzung des Online-Bankings spricht kein Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Kontoinhabers.

Die beklagte GmbH unterhielt bei der klagenden Sparkasse u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er u.a. auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch SMS) über eine Mobilfunknummer des Geschäftsführers der Beklagten vereinbart. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15. Juli 2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 EUR und 191.576,25 EUR gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Am Freitag, dem 15. Juli 2011, um 23:29 Uhr wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 EUR vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage den Schlusssaldo von 236.422,14 € nebst Zinsen. Sie hatte in beiden Tatsacheninstanzen Erfolg.

Der XI. Zivilsenat hat auf die Revision der Beklagten das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Dabei waren im Wesentlichen folgende Überlegungen maßgeblich:

Ist die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang strittig, hat das ausführende Kreditinstitut (Zahlungsdienstleister) bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis hat die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt. Dies genügt aber nach § 675w Satz 3 BGB "nicht notwendigerweise", um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer (hier: Kontoinhaberin) zu führen. Das schließt nicht aus, dass sich der Zahlungsdienstleister auf einen Anscheinsbeweis berufen kann. Dem Wortlaut des § 675w Satz 3 BGB ist nämlich genügt, da die Grundsätze des Anscheinsbeweises weder eine zwingende Beweisregel noch eine Beweisvermutung begründen.

Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises auf die Autorisierung eines Zahlungsvorgangs bei Verwendung eines Zahlungsauthentifizierungsinstruments ist aber die allgemeine praktische Sicherheit des eingesetzten Authentifizierungsverfahrens und dessen Einhaltung im konkreten Einzelfall. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Kontoinhaber.

Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Bankings fehlt nach Auffassung des Senats nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorliegen.

Diese Voraussetzungen hat das Berufungsgericht verkannt und die notwendigen Feststellungen zur praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen, weshalb das Berufungsurteil aufzuheben war.

Das Urteil des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als zutreffend dar.

Die Grundsätze der Anscheinsvollmacht finden zulasten der Beklagten keine Anwendung. Es fehlt jedenfalls an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.

Auch ein Anscheinsbeweis für eine grob fahrlässige Verletzung einer Pflicht aus § 675l BGB** durch die Beklagte und damit ein Anspruch der Klägerin aus § 675v Abs. 2 BGB** scheiden auf Grundlage der bisherigen Feststellungen aus. Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist.

Vorinstanzen:

Landgericht Lübeck - Urteil vom 7. Juni 2013 - 3 O 418/12

Schleswig-Holsteinisches Oberlandesgericht in Schleswig - Beschluss vom 22. Januar 2014 - 5 U 87/13

Karlsruhe, den 26. Januar 2016

§ 675w BGB

Nachweis der Authentifizierung

Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1. den Zahlungsvorgang autorisiert,

2. in betrügerischer Absicht gehandelt,

3. eine oder mehrere Pflichten gemäß § 675l verletzt oder

4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.

** § 675l BGB

Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente

Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.

*** § 675v BGB

Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments

(…)

(2) Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung

1. einer oder mehrerer Pflichten gemäß § 675l oder

2. einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.

(...)

LG Oldenburg: Bank muss Kunden Schadensersatz für Phishing-Attacke beim Online-Banking ersetzen - Kein Anscheinsbeweis bei mTan-Verfahren

LG Oldenburg
Urteil vom 15.01.2016
8 O 1454/15


Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.

Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking

Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.

Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.

In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.

Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.

Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15


OLG Bremen: Kein Anscheinsbeweis, dass über ein eBay-Konto abgegebenes Gebot tatsächlich vom Inhaber des eBay-Kontos stammt

OLG Bremen
Beschluss vom 21.06.2012
3 U 1/12


Das OLG Bremen hat entschieden, dass kein Anscheinsbeweis dafür besteht, dass ein über ein eBay-Konto abgegebenes Gebot tatsächlich vom Inhaber des eBay-Kontos stammt. Insofern rügt das Gericht die nicht ausreichenden Sicherheitsstandards im Internet. Verkäufern bei eBay dürfte es im Streitfall sehr schwer fallen, nachzuweisen, dass das Gebot tatsächlich vom Kontoinhaber getätigt wurde.


Aus den Entscheidungsgründen:

"Der Kläger hat den Beweis dafür, dass der Beklagte das streitgegenständliche Höchstgebot abgegeben hat, nicht geführt. Einen Beweis dafür, dass der Beklagte das Angebot selbst abgegeben hat, hat der Kläger nicht angeboten. Zutreffend hat das Landgericht ausgeführt, dass die Beweislast für den Vertragsschluss beim Kläger liegt, da er Ansprüche aus diesem Vertrag ableiten will.
[...]
Zutreffend ist das Landgericht auch zu dem Ergebnis gekommen, dass für die Tatsache, dass eine über ein bestimmtes Mitgliedskonto abgegebene Willenserklärung von dem jeweiligen Kontoinhaber abgegeben worden ist, kein Anscheinsbeweis spricht, da es an einem für die Annahme eines Anscheinsbeweises erforderlichen typischen Geschehensablauf fehlt. Der Sicherheitsstandard im Internet ist derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist (BGH NJW 2011, 2421 ff, 2422 m.w.N.; Hamm, NJW 2007, 611; vgl. auch Klein, MMR 2011, 447 ff., 450)."


Den Volltext der Entscheidung finden Sie hier:

LG Landshut: Unzulässige Online-Durchsuchung durch Screenshot-Trojaner - Online-Überwachung

LG Landshut
Beschluss vom 20.01.2011
4 Qs 346/10 LG Landshut
Online-Überwachung


Das LG Landshut hat entschieden, dass der Einsatz eines Trojaners durch die Ermittlungsbehörden nicht ohne Weiteres von einer richterlichen Anordnung gedeckt ist, welche die Überwachung und Aufzeichnung des Telekommunkationsverkehrs anordnet. Der Trojaner der Ermittlungsbehörden war derart programmiert, dass er alle 30 Sekunden einen Screenshot erstellte und an die Ermittlungsbehörden übermittelte.

Aus den Entscheidungsgründen:
"Jedoch war der Vollzug des Beschlusses vorn 02.04.2009 insoweit rechtswidrig als im zeitlichen Abstand von 30 Sekunden Screenshots von der Bildschirmoberfläche gefertigt wurden, während der Internet-Browser aktiv geschaltet war. Denn nach Auffassung der Kammer besteht für das Kopieren und Speichern der grafischen Bildschirminhalte, also der Fertigung von Screenshots, keine Rechtsgrundlage , weil zum Zeitpunkt dieser Maßnahmen noch kein Telekommunikationsvorgang stattfindet"

Vom Beschluss gedeckt war - so das LG Landshut - hingegen die Überwachung des SKYPE-Nutzung.

LAG Köln: Fristlose Kündigung eines Systemadministrators bei Missbrauch seiner Administratorenrechte - hier: Lesen fremder Emails

LAG Köln
Urteil vom 14.05.2010
4 Sa 1257/09
Systemadministrator


Das LAG Köln hat entschieden, dass einem Systemadmnistrator jedenfalls nach vorheriger Abmahnung fristlos gekündigt werden kann, wenn dieser seine Administratorenrechte dazu nutzt, Emails zu lesen, die nicht für ihn bestimmt sind.

Aus den Entscheidungsgründen:

"a) In der Rechtsprechung wird – soweit ersichtlich – einheitlich davon ausgegangen, dass der Missbrauch von Zugangsrechten durch Systemadministratoren regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung gerechtfertigt (vgl. LAG München 08.07.2009 – 11 Sa 54/09 -; Arbeitsgericht Aachen 16.08.2005 – 7 Ca 5514/04 -; OVG Nordrhein-Westfalen 13.10.2006 – 1 A 4365/05. PVB). Auch das Bundesarbeitsgericht hat in der Entscheidung vom 25.11.1981 (7 AZR 463/79), in der es nur über eine ordentliche Kündigung zu urteilen hatte, ausgeführt, dass der Missbrauch einer EDV-Anlage durch einen Arbeitnehmer einen verhaltensbedingten Grund für eine ordentliche Kündigung darstellt, ohne dass es eine Abmahnung bedarf (in diesem Fall ging es nicht um einen Administrator).

[...]

Im vorliegenden Fall hat der Kläger seine Pflichten als Computer-Administrator mehrfach grob verletzt, ist sodann abgemahnt worden, und hat sie erneut grob verletzt.

[...]

4. Auch im Rahmen der Interessenabwägung gelangt die Kammer dazu, dass die außerordentliche Kündigung berechtigt war: Der Kläger hat durch das Öffnen der E-Mails in schwerer Weise das Vertrauen des Vorstandes missbraucht. Der Vorstand musste ihn als illoyalen Mitarbeiter ansehen, der das in ihn als Administrator und als Revisor gesetzte Vertrauen dazu missbrauchte, den Vorstand selbst auszuspähen. Dabei ist auch zu berücksichtigen, dass beim Vorstand viele vertrauliche Daten zusammengefasst sind, so Daten aus dem Personalbereich, aus dem Kundenbereich und aus dem Interbankenbereich." Besonders schwerwiegend ist indes, dass der Kläger durch die Abmahnung eindeutig gewarnt war und kurz Zeit später erneut seine Administratorenrechte missbrauchte. Er erwies sich daher als unbelehrbar, so dass der Vorstand jederzeit mit einer erneuten Missbrauch rechnen musste. Aus diesem Grunde war es dem Vorstand auch unter prognostischen Gesichtspunkten nicht zuzumuten, auch noch bis zum Ablauf der Kündigungsfrist mit dem Kläger zu arbeiten."


Den Volltext der Entscheidung finden Sie hier:

Bundesverfassungsgericht: Zur Auslegung des Hackerparagraphen § 202c StGB - Dual Use Tools

Bundesverfassungsgericht
2 BvR 2233/07
Beschluss vom 18.5.2009,


Das Bundesverfassungsgericht hat sich in diesem Beschluss mit dem umstrittenen "Hackerparagraphen" § 202c StGB auseinandergesetzt und diverse Verfassungsbeschwerden gegen diese Vorschrift nicht zur Entscheidung angenommen. Allerdings hat das Bundesverfassungsgericht einige deutliche Hinweise zur (engen) Auslegung der Vorschrift gegeben. Einsatz und Entwicklung von Sicherheitssoftware ist, sofern dies nicht mit rechtswidriger Intention geschieht, regelmäßig nicht strafbar.

In der Pressemitteilung des Bundesverfassungsgerichts heißt es dazu:

"Die von den Beschwerdeführern eingesetzten Programme sind überwiegend keine tauglichen Tatobjekte der Strafvorschrift.Tatobjekt in diesem Sinn kann nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) gerichtet ist. Das Programm muss mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass ein Programm - wie das für das so genannte dual use tools gilt - für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist.

Soweit der Beschwerdeführer zu 1) auch Schadsoftware einsetzt, die ein taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen kann, fehlt dem Beschwerdeführer jedenfalls der zusätzlich erforderliche Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und somit im Einverständnis mit den über die überprüften Computersysteme Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des „unbefugten“ Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem insofern eindeutigen und durch die Entstehungsgeschichte wie die einschlägige Bestimmung des Übereinkommens des Europarats über Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB grundsätzlich auch Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt, beschafft oder weitergegeben werden. Ein Strafbarkeitsrisiko entsteht hier erst, sobald die betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder anderweitig auch Personen zugänglich gemacht werden, von deren Vertrauenswürdigkeit nicht ausgegangen werden kann."




Den Volltext der Entscheidung finden Sie hier:


Gesetzestext: § 202c StGB - Hackerparagraph

Gesetzestext
§ 202c StGB wurde durch das Einundvierzigste Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG) vom 7.8.2007 - BGBl. I S. 1786 - m.W.v. 11.8.2007 eingefügt.

§ 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.



§ 202c verweist insb. auf folgende Vorschriften:


§ 202a StGB Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202b StGB Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.