LG Aachen: Sicherung des Zugangs mittels Passworts reicht als Zugangssicherung aus->Straftatbestand des § 202a I StGB kann verwirklicht werden, wenn diese Zugangssicherung durch Handeln des Täters überwurden wird

So das Gericht in seinem Urteil vom 27. Juli 2023 (Az.: 60 Qs 16/23) in einem Strafverfahren, in dem der Angeklagte durch den Einsatz eines Decomplieres an den Quellcode einer Software gelangt war und so Passwörter für den Zugang zu Kundendatenbanken eines Hosting-Anbieters erlangt hatte.

Das Gericht führt in den Entscheidungsgründen umfangreich zur Regelung des § 202a StGB aus. Unter anderem sieht das Gericht in einem Passwort eine Zugangssicherung im Sinne des § 202a I StGB und begründet dies unter anderem wie folgt:

„…Die Daten waren auch gegen unberechtigten Zugang besonders gesichert.Dies ist der Fall, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.Das Erfordernis der besonderen Sicherung gegen unberechtigten Zugang zeigt die Schranke an, deren Überwindung kriminelles Unrecht begründet .Sie rechtfertigt sich, weil der Verfügungsberechtigte mit der Sicherung sein Interesse an der „Geheimhaltung“ – ähnlich wie in § 202 Abs. 2, § 243 Abs. 1 Satz 2 Nr. 2 – dokumentiert und – das ist in normativer Hinsicht ausschlaggebend – durch diese Wahrnehmung eines ohne Weiteres zumutbaren Selbstschutzes auch des zusätzlichen Strafrechtsschutzes würdig und bedürftig wird (vgl. BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 – NStZ-RR 2020, 279 (280); Hilgendorf in: LK- StGB, 13. Aufl. 2023, § 202 a Rn. 18).

Im vorliegenden Fall war der Zugang durch Passwörter gesichert, deren Abrufen zudem nur nach einer Dekompilierung möglich war. Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus (BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 –, a.a.O.).

Bei einem Passwort handelt es sich um eine typische Software- Sicherung, die das Interesse an einer Zugangssicherung eindeutig dokumentiert. Maßgeblich ist, ob die Sicherung geeignet erscheint, einen wirksamen, wenn auch nicht absoluten Schutz zu erreichen. Erforderlich ist  –  nach der Gesetzesbegründung –   dass die Überwindung dieser Sicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert (vgl. BT- Drs. 16/3656). Dies wäre jedenfalls dann zu verneinen, wenn die Aufhebung des Schutzes ohne weiteres möglich ist und durch jeden interessierten Laien leicht überwunden werden könnte. Vom Schutzbereich ausgenommen sind insbesondere auch Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht und eine sehr leicht ausschaltbare Sicherung wählt. Keine technischen Vorkehrungen wären folglich standardisierte Logins und Passwörter (zB Ziffernfolge 0000 bei allen Geräten), da hier zur Dokumentation der Geheimhaltung zunächst eine Änderung notwendig wäre (vgl. Eisele in: Schönke/Schröder, StGB 30. Aufl. 2019 § 202a Rn. 14; Kargl in: Kindhäuser/Neumann/Paeffgen/Saliger, StGB, 6. Auflage 2023, § 202a Rn. 42).

Entgegen der Auffassung des Amtsgerichts stellt das Auslesen des Passwortes nach Dekompilierung des Objektcodes in den Quellcode eine Überwindung einer besonderen Zugangssicherung im Sinne des § 202 a StGB auch dann dar, wenn sie mit für jedermann zugänglichen Tools erfolgt ist.

Soweit in den Gesetzesmaterialien von einer „Überwindung mit einem nicht unerheblichen zeitlichen oder technischen Aufwand“ die Rede ist, ist dies dahingehend zu verstehen, dass die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern muss. Auch wenn eine Zugangssicherung auf Grund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden wird, ist der Tatbestand erfüllt (BGH, Beschl. v. 13.05.2020 – 5 StR 614/19, a.a.O.).

Mit der Änderung des § 202a StGB durch das 41. StrÄndG im Jahre 2007 hat der Gesetzgeber unter Umsetzung des Übereinkommens des Europarates über Computerkriminalität aus dem Jahre 2001 und des entsprechenden Rahmenbeschlusses, u.a. das „Hacking“ unter Strafe gestellt. Maßgeblich ist seitdem bereits das Verschaffen von Zugang, nicht erst das Abrufen der Daten.  Der Tatbestand soll damit den persönlichen- und Geheimbereich des Verfügungsberechtigten der Daten sichern, als auch seine wirtschaftlichen Interessen auf seine Daten vor unbefugtem Zugriff schützen (vgl. Fischer, StGB, 70. Aufl. 2023, § 202a Rn. 2; Vassilaki in: CR 2008, 131). Der Umstand, dass bereits der Zugang –  unabhängig von der Motivation mit der sich der Betreffende den Zugang verschafft – unter Strafe gestellt ist, zeigt, dass die Norm zudem auch dem Schutz der Integrität der Informationssysteme als solchen und nicht nur dem Datenschutz des Einzelnen dient. Dieser Schutzzweck wäre nicht gewährleistet, wenn die Strafbarkeit alleine an die Verwendung bestimmter Programme geknüpft wäre. Schließlich wäre eine Abgrenzung zwischen leicht und schwer zugänglichen Hilfsprogrammen zu unkonkret, um dem im Strafrecht gebotenen Bestimmtheitsgrundsatz gerecht zu werden.

Die Anforderungen an den notwendigen „nicht unerheblichen zeitlichen oder technischen Aufwand“ zur Überwindung der Sicherung (so BT-Drs. 16/3656 S. 10) dürfen daher zum Schutz technischer Laien und vor dem Hintergrund des Bestimmtheitsgrundsatzes nicht zu hoch angesetzt werden. Der Zugangsschutz muss nicht vollständig sein. Es ist ein „weites Verständnis“ des Überwindens einer Zugangssicherung zugrunde zu legen, bei dem eine Orientierung am technischen Laien angezeigt ist. Denn auch dem technischen Laien muss die grundrechtlich garantierte Möglichkeit eingeräumt werden, geschützte formale Geheimbereiche zu schaffen. Auch dass der Gesetzgeber mit § 202 a StGB nur einen eingeschränkten Täterkreis erfassen wollte, ergibt sich weder aus dem Wortlaut der Norm noch aus den Motiven. § 202 a StGB ist kein auf professionelle Angreifer beschränktes Sonderdelikt (vgl. Kargl in: Kindhäuser/Neumann/Paeffgen/Saliger StGB a.a.O. Rn. 42; Schumann, NStZ 2007, 677).

Es ist auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können. Für das geschützte Rechtsgut ist es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden wird. Der Gesetzgeber wollte aus dem Tatbestand neben Bagatelltaten lediglich solche Fälle ausschließen, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung auf Grund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird. Nur eine solche abstrakt-generelle Betrachtungsweise lässt sich mit dem Schutzzweck der Norm vereinbaren (vgl. BGH, Beschl. v. 13.05.2020, a.a.O).

Ausgehend hiervon hat der Angeschuldigte eine Zugangssicherung überwunden, durch die der Verfügungsberechtigte erkennbar den Zugang zu den Daten verhindern wollte und dadurch die strafwürdige kriminelle Energie manifestiert. Dass dies für ihn einfach – und gegebenenfalls mit wenigen „Maus- Clicks“ möglich war –  hindert eine Strafbarkeit nicht (vgl. BGH, Beschl. v. 13.05.2020 a.a.O). Auch wenn er für die Dekompilierung frei zugängliche Programme verwendet hat, so setzt eine solche Vorgehensweise sowohl ein tieferes Verständnis über Programmiersprachen und Softwareentwicklung als auch ausgeprägte Kenntnisse im Bereich der Anwendungsentwicklung und die Fähigkeit zum sogenannten Reverse Engeneering der Softwareschnittstelle voraus. Die in Rede stehenden Daten waren – eine abstrakt generelle Betrachtungsweise zugrunde gelegt –  für den Angeschuldigten aufgrund seiner Kenntnisse leicht abgreifbar, indes „typischerweise“ nicht für Jedermann ohne weiteres möglich…“