128 100 5MB
German Pages 476 Year 2020
Internetrecht und Digitale Gesellschaft Band 22
Cloud Computing Strafrechtlicher Schutz privater und geschäftlicher Nutzerdaten vor Innentäter-Angriffen de lege lata und de lege ferenda
Von
Daniel Müller
Duncker & Humblot · Berlin
DANIEL MÜLLER
Cloud Computing
Internetrecht und Digitale Gesellschaft Herausgegeben von
Dirk Heckmann
Band 22
Cloud Computing Strafrechtlicher Schutz privater und geschäftlicher Nutzerdaten vor Innentäter-Angriffen de lege lata und de lege ferenda
Von
Daniel Müller
Duncker & Humblot · Berlin
Die Juristische Fakultät der Julius-Maximilians-Universität Würzburg hat diese Arbeit im Sommersemester 2018 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2020 Duncker & Humblot GmbH, Berlin Satz: 3w+p GmbH, Ochsenfurt-Hohestadt Druck: CPI buchbücher.de Gmbh, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-15747-1 (Print) ISBN 978-3-428-55747-9 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit wurde im Sommersemester 2018 von der Juristischen Fakultät der Julius-Maximilians-Universität Würzburg als Dissertation angenommen. Gesetzgebung, Literatur und Rechtsprechung konnten bis Oktober 2018 berücksichtigt werden. Die Ergebnisse dieser Arbeit resultieren aus den Erkenntnissen, die ich im Rahmen der Mitarbeit an dem juristischen Begleitforschungsprojekt „Sicheres Cloud Computing“ (SCC-Jur), das im Rahmen des Forschungsprogramms „IKT 2020 – Forschung für Innovation“ des Bundesministeriums für Wirtschaft und Technologie (BMWi) in dem Zeitraum von April 2015 bis April 2018 gefördert wurde, gewinnen konnte. Den zahlreichen Personen, die mich während meines Promotionsvorhabens in vielfältiger Art und Weise unterstützt und Rückhalt gegeben haben, möchte ich an dieser Stelle ganz herzlich danken. Ganz besonderer Dank gebührt zunächst meinem Doktorvater, Herrn Professor Dr. Frank Peter Schuster, Mag. iur, der mir ermöglicht hat, an dem Forschungsprojekt mitzuarbeiten und mir die Anregung zu diesem aktuellen und höchst spannenden Thema gab. Er stand mir jederzeit mit Rat und Tat zur Seite. Die mir von ihm gewährten wissenschaftlichen Freiräume sowie seine wertvollen Ideen und Hinweise haben wesentlich zu dem Gelingen meiner Arbeit beigetragen. Danken möchte ich auch Herrn Professor Dr. Dr. Eric Hilgendorf für die zügige Erstellung des Zweitgutachtens. Herzlichst bedanken möchte ich mich ferner bei dem gesamten Lehrstuhl-Team für die zahlreiche, konstruktive Unterstützung und die sehr schöne und heitere Zusammenarbeit. Besonders bedanken möchte ich mich bei Tanja Houle für ihren motivierenden Zuspruch und ihre stete Hilfsbereitschaft. Gleiches gilt auch meiner Kollegin, Barbara Krüll, die mich vor allem durch fachliche Diskussionen und Anregungen sowie durch ihr sorgfältiges Korrekturlesen bei der Fertigstellung der Arbeit unterstützte. Für Letzteres gilt ein großer Dank auch an Theresa Barufke und Patrick Staudt. Für ihre vielfältige Hilfe und ihren Glauben an meinem Erfolg möchte ich mich außerdem bei Johanna Elmrich bedanken. Mein größter Dank gilt an dieser Stelle meinen Eltern, Petra und Hans-Dieter Müller. Sie haben mir nicht nur meine juristische Ausbildung ermöglicht, sondern mich darüber hinaus auf meinem bisherigen Lebensweg stets vorbehaltslos unterstützt und gefördert. Durch ihren steten Rückhalt, ihren Zuspruch und ihre Liebe
6
Vorwort
haben sie die Anfertigung dieser Arbeit erst ermöglicht. Ihnen sowie meinem Bruder, Michael Müller, widme ich diese Arbeit. Würzburg, im November 2019
Daniel Müller
Inhaltsverzeichnis Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 I. Forschungsrahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 II. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
1. Kapitel Technische und organisatorische Grundlagen
33
A. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 I. Definition des NIST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 II. Definition des BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 B. Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 I. Cloud-Betriebsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 1. Public Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 2. Private Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 3. Community Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4. Hybrid Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5. Virtual Private Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 II. Cloud-Servicemodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 1. Infrastructure as a Service (IaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 a) Charakteristika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 b) IaaS in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 (1) Amazon Elastic Compute Cloud (Amazon EC2) . . . . . . . . . . . . . . . . . 54 (2) Amazon Simple Storage Service (Amazon S3) . . . . . . . . . . . . . . . . . . . 54 2. Platform as a Service (PaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 a) Charakteristika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 b) PaaS in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 3. Software as a Service (SaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 a) Charakteristika . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 b) SaaS in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
8
Inhaltsverzeichnis
C. Referenzarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 I. Ressourcenschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 II. Virtualisierungsschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 1. Virtuelle Maschinen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 2. Virtual Machine Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 III. Serviceschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 IV. Netzwerkschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 V. Managementplattform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2. Kapitel Insiderbedrohungen
83
A. Cybercrime-as-a-Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 B. Tätertypologische Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 I. Mitarbeiter der Cloud-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 II. Mitarbeiter der Subunternehmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 III. Nutzerseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 C. Tatmotive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 D. Exemplarische Angriffsvektoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 I. Ressourcenschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 II. Virtualisierungsschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 III. Serviceschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 IV. Netzwerkschicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 V. Managementplattform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
3. Kapitel Allgemeiner strafrechtlicher Schutz vor Kenntnisnahme und Verschaffung
119
A. Ausspähen von Daten, § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 I. Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 II. Tatobjekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 III. Nicht für den Täter bestimmt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 1. Verfügungsberechtigung über die Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 a) Eigentum am Datenträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 b) Inhaltliche Betroffenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 c) Geistige Urheberschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 d) Kenntnis vom Benutzerpasswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Inhaltsverzeichnis
9
e) Geheimhaltungsinteresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 f) Skripturakt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 2. Bestimmung des Verfügungsberechtigten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 a) Allgemeine Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 b) Spezialfälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 (1) Sealed Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 (2) Split Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 IV. Gegen unberechtigten Zugang besonders gesichert . . . . . . . . . . . . . . . . . . . . . . . 146 V. Zugangsverschaffung unter Überwindung der Zugangssicherung . . . . . . . . . . . . 153 1. Erfasste Angriffsmethoden der Innentäter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 2. Straflose Fälle der Datenspionage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 VI. Unbefugt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 VII. Weitere Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 VIII. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 B. Abfangen von Daten, § 202b StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 I. Nichtöffentliche Datenübermittlung, § 202b 1. Alt. StGB . . . . . . . . . . . . . . . . . . 171 1. Datenübermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 2. Nichtöffentlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 II. Seitenkanalangriffe, § 202b 2. Alt. StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 III. Unbefugte Datenverschaffung unter Anwendung technischer Mittel . . . . . . . . . 180 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 C. Vorbereiten des Ausspähens und Abfangens von Daten, § 202c Abs. 1 StGB . . . . . . . 184 I. Passwörter und Sicherungscodes, § 202c Abs. 1 Nr. 1 StGB . . . . . . . . . . . . . . . . 184 II. Schadprogramme, § 202c Abs. 1 Nr. 2 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 D. Verletzung des Fernmeldegeheimnisses, § 206 Abs. 2 Nr. 1 StGB . . . . . . . . . . . . . . . . 194 I. Tauglicher Täterkreis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 1. Telekommunikationsunternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 2. Beschäftigte der CaaS-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 3. Erweiterung des Täterkreises nach § 206 Abs. 3 StGB . . . . . . . . . . . . . . . . . . 203 II. Verschlossene Sendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 1. Sendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 2. Verschlossensein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
10
Inhaltsverzeichnis 4. Kapitel Allgemeiner strafrechtlicher Schutz vor Weitergabe und Verwertung
208
A. Datenhehlerei, § 202d StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 I. Tatgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 II. Vollendete rechtswidrige Vortat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 III. Sonstige Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 B. Verletzung des Fernmeldegeheimnisses, § 206 Abs. 1 StGB . . . . . . . . . . . . . . . . . . . . 219 I. Fernmelderelevante Tatsachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 II. Weitergabe von E-Mails, Text- oder Sprachnachrichten . . . . . . . . . . . . . . . . . . . 224 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 C. Verletzung und Verwertung von Privatgeheimnissen, §§ 203 Abs. 4, 204 Abs. 1 StGB 229 I. Tauglicher Täterkreis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 1. § 203 Abs. 3 Satz 1 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 2. § 203 Abs. 3 Satz 2 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 II. Fremde Geheimnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 III. Tathandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 1. Offenbaren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 2. Verwerten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 IV. Sonstige Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 V. Unterlassene Verschwiegenheitserklärung, § 203 Abs. 4 Satz 2 StGB . . . . . . . . 252 VI. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
5. Kapitel Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
256
A. Verrat von Geschäfts- und Betriebsgeheimnissen, § 17 UWG . . . . . . . . . . . . . . . . . . . 256 I. Geschäfts- und Betriebsgeheimnisse als Tatobjekt . . . . . . . . . . . . . . . . . . . . . . . . 257 II. Geheimnisverrat, § 17 Abs. 1 UWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 III. Geheimnisausspähung und -verwertung, § 17 Abs. 2 UWG . . . . . . . . . . . . . . . . 263 1. Betriebsspionage, § 17 Abs. 2 Nr. 1 UWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 2. Geheimnishehlerei, § 17 Abs. 2 Nr. 2 UWG . . . . . . . . . . . . . . . . . . . . . . . . . . 266 IV. Weitere Tatbestandsvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 V. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 B. Strafbarkeit nach § 148 Abs. 1 Nr. 1 TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 I. Verstoß gegen das Abhörverbot aus § 89 Satz 1 TKG . . . . . . . . . . . . . . . . . . . . . 275 1. Tatgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Inhaltsverzeichnis
11
2. Tathandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 II. Verstoß gegen das Mitteilungsverbot aus § 89 Satz 2 TKG . . . . . . . . . . . . . . . . . 278 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 C. Bußgeldnorm nach Art. 83 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 I. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 1. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 2. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 a) Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . 283 b) Marktortprinzip, Art. 3 Abs. 2 lit. a DSGVO . . . . . . . . . . . . . . . . . . . . . . . 287 c) Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 II. Ordnungswidrigkeit nach Art. 83 Abs. 4 lit. a, Abs. 5 lit. a DSGVO . . . . . . . . . 289 1. Adressat der Bußgeldtatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 2. Bußgeldbewehrte Datenschutzverstöße nach Art. 83 Abs. 4 lit. a DSGVO . . 293 3. Bußgeldbewehrte Datenschutzverstöße nach Art. 83 Abs. 5 lit. a DSGVO . . 296 4. Verschuldenserfordernis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 5. Rechtsfolge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 III. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 D. Strafvorschrift gem. § 42 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 I. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 II. Tatgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 III. Tauglicher Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 IV. Tathandlungen des § 42 Abs. 1 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 V. Tathandlungen des § 42 Abs. 2 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 VI. Sonstige Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 VII. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
6. Kapitel Strafrechtlicher Schutz der Datenintegrität und -verfügbarkeit
317
A. Datenveränderung, § 303a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 I. Fremde Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 II. Tathandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 1. Datenlöschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 2. Datenunterdrückung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 3. Unbrauchbarmachen von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 4. Datenveränderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 III. Rechtswidrigkeit der Tathandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
12
Inhaltsverzeichnis
B. Computersabotage, § 303b StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 I. Cloud als Datenverarbeitung von wesentlicher Bedeutung . . . . . . . . . . . . . . . . . 339 II. Tathandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 1. Datenveränderung nach § 303a Abs. 1 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . 344 2. Eingeben oder Übermitteln von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 3. Sabotagehandlungen am Cloud-System oder an Datenträgern . . . . . . . . . . . . 348 III. Erhebliche Störung der Datenverarbeitung als Taterfolg . . . . . . . . . . . . . . . . . . . 352 IV. Qualifikation nach § 303b Abs. 2 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 V. Besonders schwere Fälle nach § 303b Abs. 4 StGB . . . . . . . . . . . . . . . . . . . . . . . 355 VI. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 C. Urkundenunterdrückung, § 274 Abs. 1 Nr. 2 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 I. Tatbestandsvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 II. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 D. Verletzung des Fernmeldegeheimnisses, § 206 Abs. 2 Nr. 2 StGB . . . . . . . . . . . . . . . . 361 I. Anvertraute Sendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 II. Unterdrücken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 III. Unbefugt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
7. Kapitel Anwendbarkeit des deutschen Strafrechts
369
A. Innentäter-Angriffe aus Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 B. Innentäter-Angriffe aus dem Ausland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 I. Betriebs- und Geschäftsgeheimnisse, § 5 Nr. 7 StGB . . . . . . . . . . . . . . . . . . . . . 374 II. Geltung für Auslandstaten in anderen Fällen, § 7 StGB . . . . . . . . . . . . . . . . . . . 375 III. Ubiquitätsprinzip, §§ 3, 9 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 1. Erfolgsdelikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 2. Abstrakte Gefährdungsdelikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 a) Ausdehnung des Handlungsorts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 b) Erweiterung des Erfolgsorts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 c) Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 C. Ausländische Angriffshandlung auf eine international verteilte Cloud-Infrastruktur
388
D. Innentäter-Angriff aus dem Ausland mittels inländischer Cloud-Server . . . . . . . . . . . 391 E. Schutzbereich der verwirklichten Straftatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 I. Schutzbereich der §§ 202a ff. StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Inhaltsverzeichnis
13
II. Schutzbereich der §§ 203, 204 StGB; § 206 StGB und § 17 UWG . . . . . . . . . . . 395 III. Schutzbereich des § 42 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 IV. Ergebnis zum Schutzbereich der deutschen Straf- und Bußgeldtatbestände . . . . 396 F. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
8. Kapitel Strafrechtlicher Schutz de lege ferenda
398
A. Schutz der Datenvertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 I. Ergänzung der Tätergruppe des § 203 Abs. 1 StGB um „IT-Dienstleister“ . . . . . 400 II. Schaffung eines Straftatbestands der Datenuntreue, § 202d StGB-E . . . . . . . . . . 401 III. Änderungsbedarf des § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 IV. Änderungsbedarf des § 202b StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 V. Änderungsbedarf des § 202c StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 VI. Änderungsbedarf des § 202d StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 VII. Änderungsbedarf des § 205 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 B. Schutz der Integrität und Verfügbarkeit der Nutzerdaten . . . . . . . . . . . . . . . . . . . . . . . 413 I. Änderungsbedarf des § 303a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 II. Änderungsbedarf des § 303b StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 C. Strafanwendungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 D. Internationale Strafverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Abkürzungsverzeichnis a.A. a.F. a.M. Abb. Abl. Abs. ACL ACM AES AEUV AG AGB AiB AktG Alt. Anm. AnwBl. AnwK API App ArbEG ArbRB ARP Art. ASP AT AWS Az. BayOblG BB BDSG BeckOK BeckRS Begr. Beschl. BGB BGBl. BGH BGHSt BGHZ
andere(r) Ansicht alte Fassung am Main Abbildung Amtsblatt der Europäischen Union Absatz Access Control List (Zugriffskontrollliste) Association for Computer Machinery Advanced Encryption Standard Vertrag über die Arbeitsweise der Europäischen Union Aktiengesellschaft; Amtsgericht Allgemeine Geschäftsbedingungen Arbeitsrecht im Betrieb (Zeitschrift) Aktiengesetz Alternative Anmerkung Anwaltsblatt (Zeitschrift) Anwaltskommentar Application Programming Interface (Webbrowser oder Programmierschnittstelle) Applikation (Anwendung) Gesetz über Arbeitnehmererfindungen (Arbeitnehmererfindungsgesetz) Der Arbeits-Rechtsberater (Zeitschrift) Address Resolution Protocol Artikel Application Service Providing Allgemeiner Teil Amazon Web Services Aktenzeichen Bayerisches Oberstes Landgericht Betriebs-Berater (Zeitschrift) Bundesdatenschutzgesetz Beck’scher Online Kommentar Beck-Rechtsprechung Begründer Beschluss Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Strafsachen Entscheidungen des Bundesgerichtshofs in Zivilsachen
Abkürzungsverzeichnis BITKOM BKA BKartA BMBF BMI BMJV BMWi BNotO BPaaS BPatG BRAO BR-Drs. BSI BSI-Gesetz BSI-KritisV BT BT-Drs. BVerfG BVerfGE BVerfGK BVerwG bvitg BvR bzw. C3 ca. CaaS CCPE CCS CCZ CD CD-ROM CERT CLOUD CompaaS COMPSAC CPU CR CRM CSA CSRD CSRF CSUR d.h. DaaS
15
Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Bundeskriminalamt Bundeskartellamt Bundesministerium für Bildung und Forschung Bundesministerium des Innern Bundesministerium der Justiz und für Verbraucherschutz Bundesministerium für Wirtschaft und Energie Bundesnotarordnung Business Process as a Service Bundespatentgericht Bundesrechtsanwaltsordnung Bundesratsdrucksache Bundesamt für Sicherheit in der Informationstechnik Gesetz über das Bundesamt für Sicherheit in der Informationstechnik Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz Besonderer Teil Bundestagsdrucksache Bundesverfassungsgericht Entscheidungen des Bundesverfassungsgerichts Kammerentscheidungen des Bundesverfassungsgerichts Bundesverwaltungsgericht Bundesverband Gesundheits-IT e.V. Aktenzeichen einer Verfassungsbeschwerde zum Bundesverfassungsgericht beziehungsweise Compliant Community Cloud (Monographie der Bayerischen Innovationsstiftung) circa Communication as a Service Concurrency and Computation: Practice and Experience (Zeitschrift) Conference on Computer and Communications Security Corporate Compliance (Zeitschrift zur Haftungsvermeidung im Unternehmen) Compact Disc Compact Disc Read-Only Memory Computer Emergency Response Team 3rd International Conference on Cloud Computing Compute as a Service, Rechnen-als-Dienst Computer Software and Applications Conference Central Processing Unit (Hauptprozessor eines Computers) Computer und Recht (Zeitschrift) Customer Relationship Mangement Cloud Security Alliance Computer Science Research + Development (Zeitschrift) Cross-Site-Request-Forgery ACM Computing Surveys (Zeitschrift) das heißt Desktop as a Service
16 D-A-CH DB DBaaS (D)DoS ders. DGRI DHCP dies. DIN DKA
Abkürzungsverzeichnis
Deutschland-Österreich-Schweiz Der Betrieb (Zeitschrift) Database as a Service (Distributed) Denial of Service derselbe Deutsche Gesellschaft für Recht und Informatik e.V. Dynamic Host Configuration Protocol dieselbe(n) Deutsches Institut für Normung e.V. Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder DNS Domain Name System DPI Deep Packet Inspection DRDoS Distributed Reflected Denial of Service DRiZ Deutsche Richterzeitung DSaaS Data Storage as a Service DSAnpUG-EU Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DSB Datenschutz-Berater (Zeitschrift) DSGVO Datenschutzgrundverordnung DSN-W International Conference on Dependable Systems and Networks Workshops DS-RL Datenschutzrichtlinie DSRITB Tagungsband der Deutschen Stiftung für Recht und Informatik DuD Datenschutz und Datensicherheit (Zeitschrift) DVD Digital Versatile Disc e.g. exempli gratia e.V. eingetragener Verein EC2 Amazon Elastic Compute Cloud eco Verband der deutschen Internetwirtschaft e.V. EDV Elektronische Datenverarbeitung EG Europäische Gemeinschaften EL Ergänzungslieferung E-Mail electronic mail ENISA European Network and Information Security Agency (Europäische Agentur für Netz- und Informationssicherheit) EP-VO E-Privacy-Verordnung ERP Enterprise Ressource Planning ERS-Verfahren Evidence Record Syntax-Verfahren etc. et cetera (und so weiter) ETS Europe Treaty Series (Sammlung der Europäischen Verträge) EU Europäische Union EuGH Europäischer Gerichtshof EuR Europarecht (Zeitschrift) EuZW Europäische Zeitschrift für Wirtschaftsrecht EWR Europäischer Wirtschaftsraum f. folgende FAZ Frankfurter Allgemeine Zeitung ff. fortfolgende Fn. Fußnote
Abkürzungsverzeichnis FS FTEG GA GB GCE GDD gem. GewO GG ggf. GMail GmbH GMX GRCh GRUR GWR HaaS HansOLG HASE 2016 HBVR HD-Video HGB HICSS HiFi HMD HPCaaS HRRS Hrsg. Hs. HTTP HTTPS HuaaS i.d.R. i.S.d. i.S.v. i.V.m. IaaS IBM IC2E ICAC ICACCI ICCPCT ICECS ICSE ICWS IDS IDW IEC
17
Festschrift Gesetz über Funkanlagen und Telekommunikationsendeinrichtungen Goltdammer’s Archiv für Strafrecht (Zeitschrift) Gigabyte Grid Computing Environments Workshop Gesellschaft für Datenschutz und Datensicherheit e.V. gemäß Gewerbeordnung Grundgesetz gegebenenfalls Google Mail Gesellschaft mit beschränkter Haftung Global Message eXchange Charta der Grundrechte der Europäischen Union (Grundrechte-Charta) Gewerblicher Rechtsschutz und Urheberrecht (Zeitschrift) Gesellschafts- und Wirtschaftsrecht (Zeitschrift) Hardware as a Service Hanseatisches Oberlandesgericht International Symposium on High Assurance Systems Engineering Hardware Based Virtualization Rootkits High Definition-Video Handelsgesetzbuch Hawaii International Conference on System Sciences High Fidelity Handbuch der modernen Datenverarbeitung (Zeitschrift) High Performance Computing as a Service Online-Zeitschrift für Höchstrichterliche Rechtsprechung im Strafrecht Herausgeber Halbsatz Hypertext Transfer Protocol Hyper Text Transport Protocol Secure Human as a Service in der Regel im Sinne der/des im Sinne von in Verbindung mit Infrastructure as a Service International Business Machines Corporation International Conference on Cloud Engineering International Conference on Automation and Computing Conference on Advances in Computing, Communications and Informatics International Conference on Circuit, Power and Computing Technologies International Conference on Electronics and Communication Systems International Conference on Software Engineering International Conference on Web Services Intrusion Detection System(e) Institut für Wirtschaftsprüfer e.V. International Electrotechnical Commission
18 IEEE IFIP iiWAS IJACSA IJARCE IJARCST IJCA IJCSIT IJDSN IJEIT IJERGS IJHPCA IJIET IJIS IJSR IJSTR IKT IM+io IMAP IP IPS ISO ISRN ISSE IT Pro it IT ITRB ITU iur JA jM JoCCASA JoNaCA JoWUA JR
Abkürzungsverzeichnis Institute of Electrical and Electronics Engineers (Berufsverband von Ingenieuren hauptsächlich aus den Bereichen Elektrotechnik und Informationstechnik) International Federation for Information Processing International Conference on Information Integration and Web-based Applications & Services International Journal of Advanced Computer Science and Applications (Zeitschrift) International Journal of Advent Research in Computer and Electronics (Zeitschrift) International Journal of Advanced Research in Computer Science & Technology (Zeitschrift) International Journal of Computer Applications (Zeitschrift) International Journal of Computer Science & Information Technology (Zeitschrift) International Journal of Distributed Sensor Networks (Zeitschrift) International Journal of Engineering and Innovative Technology (Zeitschrift) International Journal of Engineering Research and General Science (Zeitschrift) International Journal of High Performance Computing Applications (Zeitschrift) International Journal of Information and Education Technology (Zeitschrift) International Journal of Information Security (Zeitschrift) International Journal of Science and Research (Zeitschrift) International Journal of Scientific & Technology Research (Zeitschrift) Informations- und Kommunikationstechnologien Information Management und Consulting (Zeitschrift) Internet Message Access Protocol Internet Protocol Intrusion Prevention System(e) International Organization for Standardization International Scholarly Research Notices Information Security Solutions Europe 2015 Conference der EEMA (European Association for e-Identity and Security) IT Professional (Zeitschrift) Information Technology (Zeitschrift) Informationstechnologie Der IT-Rechtsberater (Zeitschrift) International Telecommunication Union Informatik und Recht (Zeitschrift) Juristische Arbeitsblätter (Zeitschrift) Die Monatszeitschrift Journal of Cloud Computing: Advances, Systems and Applications (Zeitschrift) Journal of Network and Computer Applications (Zeitschrift) Journal of Wireless Mobile Networks, Ubiquitous Computing and Dependable Applications (Zeitschrift) Juristische Rundschau (Zeitschrift)
Abkürzungsverzeichnis JSON JURA jurisPR-Compl jurisPR-ITR JuS JZ K&R Kap. KG KMS
19
JavaScript Object Notation Juristische Ausbildung (Zeitschrift) juris PraxisReport Compliance & Investigations (Zeitschrift) Juris PraxisReport IT-Recht (Zeitschrift) Juristische Schulung (Zeitschrift) Juristenzeitung Kommunikation und Recht (Zeitschrift) Kapitel Kammergericht Key Management Service (Dienst im Rahmen der Amazon Web Services zur Verwaltung der Datenverschlüsselung) KMU Kleine und mittlere (mittelständische) Unternehmen KPMG Firmennetzwerk von Wirtschaftsprüfungs- und Beratungsunternehmen KriPoZ Kriminalpolitische Zeitschrift KWG Gesetz über das Kreditwesen LaaS Landscape as a Service; Law as a Service LAG Landesarbeitsgericht LAN Local Area Network LG Landgericht lit. litera LK Leipziger Kommentar LUN Masking Logical Unit Number Masking m.w.N. mit weiteren Nachweisen MAC-Adresse Media-Access-Control-Adresse MDR Monatsschrift für Deutsches Recht (Zeitschrift) medstra Zeitschrift für Medizinstrafrecht MK Münchener Kommentar MMR MultiMedia und Recht (Zeitschrift) n.F. neue Fassung NaaS Network as a Service, Netzwerk-als-Dienst NATO North Atlantic Treaty Organization NGCERT Next Generation Certification NIA DIN-Normausschuss Informationstechnik und Anwendungen NIST National Institute of Standards and Technology NJW Neue Juristische Wochenschrift (Zeitschrift) NJW-RR NJW-Rechtsprechungs-Report (Zeitschrift) NK Nomos Kommentar Nr. Nummer(n) NSA National Security Agency NStZ Neue Zeitschrift für Strafrecht NStZ-RR NStZ-Rechtsprechungs-Report (Zeitschrift) NVwZ Neue Zeitschrift für Verwaltungsrecht NVwZ-RR Neue Zeitschrift für Verwaltungsrecht Rechtsprechungs-Report NZA Neue Zeitschrift für Arbeitsrecht NZA-RR NZA-Rechtsprechungs-Report (Zeitschrift) NZG Neue Zeitschrift für Gesellschaftsrecht NZWiSt Neue Zeitschrift für Wirtschafts-, Steuer- und Unternehmensstrafrecht OLG Oberlandesgericht
20 OS OWiG PaaS PAO PC PDA PDP-Verfahren PIK PIN PinG POP3 PWC RAM RDV REST RGSt RiStBV RL Rn. RStGB RStV S&P S. S3 SaaS SAML SAN SCC-Jur Session-ID SFC SIGCOMM SigG SK SMS SMTP SOA SOAP SOCC sog. SPOF SQL SSL SSYM StAG StÄG StBerG StGB
Abkürzungsverzeichnis Operating System Gesetz über Ordnungswidrigkeiten (Ordnungswidrigkeitengesetz) Platform as a Service Patentanwaltsordnung Personal Computer Personal Digital Assistant Provable Data Possession-Verfahren Praxis der Informationsverarbeitung und Kommunikation (Zeitschrift) Persönliche Identifikationsnummer Privacy in Germany (Zeitschrift) Post Office Protocol Version 3 PricewaterhouseCoopers GmbH Random Access Memory (Arbeitsspeicher eines Rechners) Recht der Datenverarbeitung (Zeitschrift) Representational State Transfer Entscheidungen des Reichsgerichts in Strafsachen Richtlinien für das Strafverfahren und das Bußgeldverfahren Richtlinie Randnummer(n) Reichsstrafgesetzbuch Staatsvertrag für Rundfunk und Telemedien (Rundfunkstaatsvertrag) Symposium on Security and Privacy Satz; Seite(n) Amazon Simple Storage Service Software as a Service Security Assertion Markup Language Storage Area Network Juristisches Begleitforschungsprojekt „Sicheres Cloud Computing“ Session Identifier (Sitzungsnummer bzw. Sitzungskennung) Securing the Financial Cloud Special Interest Group on Data Communication Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) Systematischer Kommentar Short Message Service (Kurznachrichtendienst) Simple Mail Transfer Protocol Serviceorientierte Architekturen Simple Object Access Protocol Symposium on Cloud Computing so genannte(r/n/s) Single Point of Failure Structured Query Language Secure Socket Layer USENIX Security Symposium Staatsangehörigkeitsgesetz Strafrechtsänderungsgesetz Steuerberatungsgesetz Strafgesetzbuch
Abkürzungsverzeichnis StGB-E StIGH StPO StraFo StRR StV StVG SWD TKG TMG TOR TrustCom u.a. U.S.C. UrhG URL US/U.S. USA USB usw. UWG v. VA Var. VBlBW VersR VG VGH vgl. VLAN VM VMBR VMM VoIP Vorb. VPN WI WiKG wistra WP WPHG WPO WRP XaaS XML XSS
21
Entwurf zum Strafgesetzbuch Ständiger Internationaler Gerichtshof Strafprozessordnung Strafverteidiger Forum (Zeitschrift) StrafRechtsReport (Zeitschrift) Strafverteidiger (Zeitschrift) Straßenverkehrsgesetz Staff Working Document (Dokument der Europäischen Kommission) Telekommunikationsgesetz Telemediengesetz The Onion Router Conference on Trust, Security and Privacy in Computing and Communications unter anderem United States Code Gesetz über Urheberrecht und verwandte Schutzrechte (Urhebergesetz) Uniform Resource Locator United States United States of America (Vereinigte Staaten von Amerika) Universal Serial Bus und so weiter Gesetz gegen den unlauteren Wettbewerb von; vom Virtual Appliances Variante Verwaltungsblatt für Baden-Württemberg (Zeitschrift) Versicherungsrecht (Zeitschrift) Verwaltungsgericht Verwaltungsgerichtshof vergleiche Virtual Local Area Network Virtuelle Maschine(n) Virtual-Machine Based Rootkit Virtual Machine Monitor, Hypervisor Voice over Internet Protocol Vorbemerkungen Virtual Private Network Wirtschaftsinformatik (Zeitschrift) Gesetz zur Bekämpfung der Wirtschaftskriminalität Zeitschrift für Wirtschafts- und Steuerstrafrecht Working Paper (Arbeitspapier der Artikel-29-Datenschutzgruppe) Gesetz über den Wertpapierhandel (Wertpapierhandelsgesetz) Gesetz über eine Berufsordnung der Wirtschaftsprüfer (Wirtschaftsprüferordnung) Wettbewerb in Recht und Praxis (Zeitschrift) Everything as a Service bzw. Anything as a Service Extensible Markup Language Cross-Site-Scripting
22 z.B. ZD ZEuS ZIP ZIS ZÖR ZPO ZRP ZStW ZUM zust. ZWH
Abkürzungsverzeichnis zum Beispiel Zeitschrift für Datenschutz Zeitschrift für Europarechtliche Studien Zeitschrift für Wirtschaftsrecht Zeitschrift für Internationale Strafrechtsdogmatik Zeitschrift für öffentliches Recht Zivilprozessordnung Zeitschrift für Rechtspolitik Zeitschrift für die gesamte Strafrechtswissenschaft Zeitschrift für Urheber und Medienrecht zustimmend(er) Zeitschrift für Wirtschaftsstrafrecht und Haftung im Unternehmen
Einleitung Die Informationstechnologie erfährt einen immer rascheren Wandel und beeinflusst inzwischen alle Lebensbereiche. Was noch vor Jahren eine Zukunftsvision war, gehört bereits heute zum Alltag einer digital vernetzten Welt. Jeder kann an nahezu jedem Ort mithilfe eines internetfähigen Geräts mit anderen Personen elektronisch kommunizieren, auf seine Daten, Bilder und Arbeitspapiere zugreifen, diese mit Freunden oder Arbeitskollegen teilen oder gemeinsam bearbeiten sowie Anwendungen jeglicher Art aus dem Internet beziehen. Diese globale Vernetzung und Kommunikation bei einer gleichzeitigen Erwartung an einer hohen Flexibilität, Kollaboration und Mobilität erfordern aber die Erreichbarkeit von hochverfügbaren IT-Dienstleistungen. Grundlage hierfür bildet das innovative Geschäftsmodell des Cloud Computing. Dessen Einsatzbereich ist dabei äußerst vielfältig und entwickelt sich von Speicherdiensten, Kommunikations- und Officeanwendungen hin zu neuen Geschäftsmodellen wie Big Data, Internet der Dinge, Industrie 4.0 oder dem autonomen Fahren, permanent weiter.1 Inzwischen sind diese nahezu grenzenlos erscheinenden IT-Dienstleistungen aus der „Wolke des Internets“ aus dem Alltag von Privatpersonen und Unternehmen nicht mehr wegzudenken. So nutzten allein schon 2014 drei Viertel der Privatnutzer die Cloud vorwiegend als Speicherplatz, um persönliche Daten zu archivieren und mit Dritten zu teilen.2 Auch im geschäftlichen Bereich wächst die Cloud-Nutzung stetig weiter. So haben bereits im Jahr 2016 mehr als die Hälfte der Unternehmen in Deutschland Geschäftsanwendungen aus der Cloud in Anspruch genommen.3 Nach einer Prognose des Verbands der deutschen Internetwirtschaft e.V. (eco) werden noch vor dem Jahr 2020 über 80 Prozent des weltweiten Datenverkehrs aus der Cloud kommen.4 Auf die Bedeutung des Cloud Computing als Wirtschaftsmotor in Deutschland verweist auch die Studie „Cloud Vendor Benchmark 2016“ der Experton Group, wonach 2015 der Gesamtumsatz des Cloud-Marktes 9,2 Milliarden Euro betrug und bis zum Jahr 2018 mit einer prognostizierten Wachstumsrate von 1 Johanning/Mildner, Car IT, S. 19 f.; Harter, ERP Management (1) 2016, 57 (57); Langmann/Stiller, HMD (52) 2015, 647 (647 f.); Eckert, IM+io (29) 2014, 40 (42 ff.). Zu weiteren Einsatzbereichen siehe BITKOM, Geschäftsmodelle, S. 12 ff. 2 BITKOM, Pressemeldung vom 28. 08. 2014 „Cloud-Speicher verdrängen die Festplatte“; abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Cloud-Speicher-verdraengendie-Festplatte.html (zuletzt aufgerufen am 01. 02. 2018). 3 KPMG AG/Bitkom Research GmbH, Cloud Monitor 2016, S. 7, 15. 4 Eco, Pressemeldung vom 24. 05. 2016 „Cloud wächst und wächst und wächst und wächst“; abrufbar unter http://euromarcom.de/2016/05/cloud-waechst-und-waechst-und-wae chst-und-waechst/ (zuletzt aufgerufen am 01. 02. 2018).
24
Einleitung
durchschnittlich 35 % auf rund 19,8 Milliarden Euro ansteigen soll.5 Um die Einsatzpotentiale weiter zu fördern, hat die Europäische Kommission die Strategie „Freisetzung des Cloud-Computing-Potentials in Europa“ beschlossen.6 Diese sieht Maßnahmen vor, die bis 2020 eine jährliche Steigerung des Bruttoinlandprodukts der Europäischen Union in Höhe von 160 Milliarden Euro bewirken sollen. Damit das Wachstum des Cloud Computing auch für die digitale Wirtschaft in Deutschland lanciert wird, steht es zudem im Zentrum der Digitalpolitik der Bundesregierung7 und im Fokus der „Digitalen Strategie 2025“ des Bundesministeriums für Wirtschaft und Energie (BMWi).8 Das ungebrochene Marktwachstum des Cloud Computing liegt vor allem an seinen vielfältigen wirtschaftlichen Vorteilen und Innovationspotentialen.9 Im Gegensatz zu klassischen Bezugsmodellen fallen für die Nutzung von IT-Ressourcen und Applikationen aus der Cloud keine Investitions- und Betriebskosten (Wartungs-, Energie-, Personalkosten, Lizenzgebühren etc.) an.10 Abgerechnet wird zudem nach dem tatsächlichen Verbrauch, was einen kosteneffizienten Einsatz der finanziellen Ressourcen ermöglicht.11 Die Leistungen aus der Cloud sind außerdem in jede Richtung skalierbar, so dass auf schwankende Anforderungen dynamisch und flexibel reagiert werden kann.12 Die sofortige Anpassung benötigter Ressourcen führt zu einer optimalen Auslastung des eigenen IT-Systems und macht eine langfristige Beschaffungsplanung überflüssig, da in Nebenzeiten nicht genauso viele Kapazi5
Der Cloud Vendor Benchmark ist abrufbar unter http://www.experton-group.de/research/ studien/cloud-vendor-benchmark-2016/overview.html (zuletzt aufgerufen am 01. 02. 2018). 6 European Cloud Strategy 2012; abrufbar unter https://ec.europa.eu/digital-single-market/ en/european-cloud-computing-strategy (zuletzt aufgerufen am 01. 02. 2018). 7 Siehe hierzu die Grundsätze der Digitalpolitik der Bundesregierung, abrufbar unter https://www.digitale-agenda.de/Webs/DA/DE/Grundsaetze/Grundsaetze_Digitalpolitik/grunds aetze-digitalpolitik_node.html (zuletzt aufgerufen am 01. 02. 2018); siehe auch Bundesregierung, Digitale Agenda 2014 – 2017, S. 5 ff. 8 BMWi, Digitale Strategie 2015, S. 47. 9 Ausführlich zu den Vorteilen Innovationsstiftung Bayerische Kommune, C3, S. 24; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23 ff.; Meir-Huber, Cloud Computing, S. 64 ff.; Metzger/Reitz/Villar, Cloud Computing, S. 27 ff.; Tetzner, Sicherheitsanforderungen, S. 18 ff.; Giebichenstein, BB 2011, 2218 (2219 f.); speziell zu den Vorteilen für kleine und mittlere Unternehmen (KMU) auch Wicker, Cloud Computing, S. 49 ff. 10 BITKOM, Entscheider, S. 13, 21 f.; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 4; Heckmann, in: juris-PraxisKommentar, Kap. 9, Rn. 580, 605; Barnitzke, Rechtliche Rahmenbedingungen, S. 56 f.; Kühling/Biendl, CR 2014, 150 (150); Pohle/Ammann, CR 2009, 273 (274); ausführlich Höllwarth, Cloud Migration, S. 51 f. 11 Barnitzke, Rechtliche Rahmenbedingungen, S. 57; Brennscheidt, Cloud Computing, S. 22; Niemann/Paul, K&R 2009, 444 (444); ausführlich zu den Abrechnungsmodellen MeirHuber, Cloud Computing, S. 61 ff.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 36 ff. 12 BSI, Sicherheitsempfehlungen, S. 19; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 2; Kühling/Biendl, CR 2014, 150 (150); Sujecki, K&R 2012, 312 (312); Heidrich/Wegener, MMR 2010, 803 (803); Pohle/Ammann, CR 2009, 273 (273 f.).
Einleitung
25
täten bereitgehalten werden müssen wie in Spitzenzeiten notwendig ist.13 Besonders kleinen und mittelständischen Unternehmen bietet das Cloud Computing die Chance, neue, ressourcenintensive und ubiquitäre Anwendungen verwenden zu können, die sie aufgrund der erforderlichen hohen Investitionen in die eigenen ITSysteme oder fehlenden Know-hows sonst nicht in der Lage wären selbst zu betreiben.14 Dadurch bietet sich ihnen die Möglichkeit, neue Geschäftsfelder zu erschließen oder bestehende Prozesse und Arbeitsabläufe zu optimieren.15 Für Privatanwender liegen dagegen die Vorteile der Cloud-Dienste besonders in ihrer flexiblen und ortsungebundenen Erreichbarkeit.16 Zudem können sie auf dem eigenen Endgerät Rechenleistung und Speicherplatz einsparen, so dass sie selbst mit leistungsschwachen IT-Systemen rechenintensive Verarbeitungsprogramme nutzen können.17 Schließlich brauchen sie sich auch nicht um die Sicherheit der genutzten Software zu sorgen, da das Einspielen von Updates und Patches allein den CloudAnbietern obliegt.18 Diesen Vorteilen stehen aber auch zahlreiche neuartige Risiken gegenüber.19 Herausforderungen stellen sich bei der „Datenverarbeitung in der Wolke“20 vor allem im Hinblick auf die Gewährleistung der klassischen Schutzziele der Daten- und Informationssicherheit,21 namentlich die Integrität (Schutz vor Datenmanipulationen und Informationsveränderungen),22 Verfügbarkeit (Gewährleistung der permanenten
13 Vossen/Haselmann/Hoeren, Cloud Computing, S. 33 f.; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (6); Nägele/Jacobs, ZUM 2010, 281 (282); Niemann/Paul, K&R 2009, 444 (444); Schulz/Rosenkranz, ITRB 2009, 232 (233). 14 Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 5; Hennrich, Cloud Computing, S. 40; Barnitzke, Rechtliche Rahmenbedingungen, S. 57. 15 BITKOM, Geschäftsmodelle, S. 9 ff.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 34; Hennrich, Cloud Computing, S. 40; Barnitzke, Rechtliche Rahmenbedingungen, S. 57; Giebichenstein, BB 2011, 2218 (2219); Gaul/Koehler, BB 2011, 2229 (2229); Münch/Doubrava/Essoh, DuD 2011, 322 (322). 16 Brennscheidt, Cloud Computing, S. 21; Heier/Abt/Maistry/Schewski, in: Köhler-Schute, Cloud Computing, S. 47. 17 Mester, DuD 2010, 675. 18 Mester, DuD 2010, 675; siehe auch Wicker, Cloud Computing, S. 25. 19 Ausführlich zu den Risiken beim Cloud Computing ENISA, Benefits, Risks 2009, S. 9 ff.; International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 2 ff.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 121 ff., 175 ff.; Giebichenstein, BB 2011, 2218 (2220). 20 Den Begriff verwenden u.a. Wicker, Cloud Computing, S. 23; Wagner/Groß, BB 2011, I (Beilage). 21 International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 2; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 2; Vossen/Haselmann/Hoeren, Cloud Computing, S. 176. 22 Hennrich, Cloud Computing, S. 208; Vossen/Haselmann/Hoeren, Cloud Computing, S. 181; Terplan/Voigt, Cloud Computing, S. 79; Hennrich, CR 2011, 546 (549); Schultze-
26
Einleitung
Erreichbarkeit der Cloud-Dienste)23 und Vertraulichkeit (Schutz vor unbefugter Kenntnisnahme, Verschaffung und Weitergabe der Nutzerdaten)24 der CloudDienste. Man mag dabei vor allem an Sicherheitsgefahren von außen, d.h. an klassische Hacker-Angriffe denken. Untersuchungen der Bedrohungsaktivitäten zeigen jedoch, dass Angriffe auf die Nutzerdaten durch sog. Innentäter zu den größten Sicherheitsrisiken des Cloud Computing zählen.25 So ist nach einer Untersuchung des Branchenverbands Bitkom e.V. seit 2013 jedes zweite Unternehmen in Deutschland Opfer von Wirtschaftsspionage, Datendiebstahl und Sabotage geworden, wodurch ihnen ein jährlicher Gesamtschaden von 51 Milliarden Euro entstanden ist.26 Die Schadenspositionen setzen sich dabei vor allem aus Umsatzeinbußen durch Produktimitate und den Verlust von Wettbewerbsvorteilen sowie aus Imageschäden, Kosten für Rechtstreitigkeiten und Ausgaben, die durch den Ausfall von IT-Systemen oder die Störung von Betriebsabläufen entstanden sind, zusammen.27 Für 60 % aller Sicherheitsvorfälle waren dabei allein im Jahr 2015 nach dem „2016 Cyber Security Intelligence Index“ von IBM Innentäter verantwortlich.28 Hierbei handelte es sich nach dem „Data Breach Investigations Report 2016“ von Verizon bei 66 % der Angriffshandlungen um einen Privilegienmissbrauch, indem Innentäter den ihnen anvertrauten Zugang zum Unternehmensnetzwerk benutzten, um sensible Daten unrechtmäßig zu erlangen oder weiterzugeben.29 Vor diesem Hintergrund verwundert es nicht, dass die Angst vor einem Verlust oder der Nichterreichbarkeit der Melling, in: Bräutigam (Hrsg.), Cloud Computing, Teil 5, Rn. 97; Heckmann, MMR 2006, 280 (281); Schultze-Melling, ITRB 2005, 42 (43). 23 Terplan/Voigt, Cloud Computing, S. 80 f.; Erl/Mahmood/Puttini, Cloud, S. 119; Nkosi, Insider threat reduction model, S. 17; Kramer/Meints, in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht, Teil 16.5, Rn. 3; Heckmann, MMR 2006, 280 (281); Schultze-Melling, ITRB 2005, 42 (43). 24 Terplan/Voigt, Cloud Computing, S. 78; Erl/Mahmood/Puttini, Cloud, S. 118; Nkosi, Insider threat reduction model, S. 16; Heckmann, MMR 2006, 280 (281 f.). 25 ENISA, Benefits, Risks 2012, S. 7; Cappelli/Moore/Trzeciak, CERT Guide, S. XVII, XX; CSA, Top Threats in 2016, S. 5; zustimmend Abbadi, Cloud Management, S. 167; Elmrabit/ Yang/Yang, in: ICAC, S. 108; Duncan/ Creese/Goldsmith, CCPE (27) 2015, 2964 (2964); Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 78; Sahito/Slany, IJACSA (4) 2013, 12 (12); Claycomb/Nicoll, in: Bai (Hrsg.), COMPSAC 2012, S. 387; Srinivasan/Sarukesi/Rodrigues/Manoj/Revathy, in: ICACCI ‘12, S. 473; Hunker/Probst, JoWUA (2) 2011, 4 (4); vgl. auch Nostro/Ceccarelli/Bondavalli/Brancati, in: Correia/Mittal (Hrsg.), DISCCO 2013, S. 1; Kandias/Virvilis/Gritzalis, in: Bologna/Hämmerli/Gritzalis/ Wolthusen (Hrsg.), CRITIS 2011, S. 94; Nkosi/Jembere/Adigun, Insider Threat Detection and Prevention Model, S. 1. 26 BITKOM, Spionage, Sabotage und Datendiebstahl, S. 5. 27 BITKOM, Spionage, Sabotage und Datendiebstahl, S. 5. Ausführlich zu den allgemeinen Schadensarten, die abhängig von der Art und dem Umfang eines IT-Angriffs für die Unternehmen entstehen können BITKOM, Kosten eines Cyber-Schadensfalles. 28 IBM, Cyber Security 2016, S. 11. 29 Verizon, Data Breach Investigations Report 2016, S. 37.
Einleitung
27
ausgelagerten Nutzerdaten und die Befürchtung eines unberechtigten Datenzugriffs zu den größten Hemmnissen gehören, die einer Cloud-Nutzung entgegenstehen.30 Dies gilt umso mehr, weil sich das überproportionale Missbrauchs- und Schadenspotential von Innentätern schon in zahlreichen Datenschutzskandalen offenbarte. Als Beispiele sind hier vor allem die Veröffentlichungen von vertraulichen, hoch sensiblen Dokumenten auf der Webseite von WikiLeaks zu nennen.31 Für Aufsehen sorgte aber auch das monatelange Ausspähen von Nutzerkonten durch einen GoogleMitarbeiter32 oder die Datendiebstähle durch einen ehemaligen Beschäftigten der Deutschen Telekom33 und einen Informatiker des Schweizer Nachrichtendienstes34 sowie die Löschung sämtlicher Kundendaten durch einen ehemaligen Administrator des niederländischen Hosting-Providers Verelox35. Ob die Besorgnis der Privatnutzer und cloudnutzenden Unternehmen vor den Angriffshandlungen der Innentäter beim Cloud Computing aus strafrechtlicher Sicht gerechtfertigt ist, soll in der Arbeit interdisziplinär untersucht werden. Während nämlich ihr Interesse an der Vertraulichkeit, Unversehrtheit und Erreichbarkeit ihrer in die Cloud ausgelagerten Daten vor den Angriffsszenarien externer Täter umfassend strafrechtlich geschützt wird,36 ist äußerst unklar, ob dies auch bei den Angriffsformen der Innentäter der Fall ist.
30 Vgl. KPMG AG/Bitkom Research GmbH, Cloud Monitor 2016, S. 19; DUD Report 2013, 611 unter Bezugnahme auf F-Secure. 31 Siehe hierzu https://wikileaks.org/ (zuletzt aufgerufen am 01. 02. 2018). 32 ZDNet, Pressemeldung vom 15. 09. 2010 „Google feuert Mitarbeiter wegen Verletzung der Privatsphäre“, abrufbar unter http://www.zdnet.de/41537826/google-feuert-mitarbeiter-we gen-verletzung-der-privatsphaere/ (zuletzt aufgerufen am 01. 02. 2018). 33 PresseBox, Pressemeldung vom 11. 05. 2009 „Der große Handydaten-Klau: Telekom verdächtigt Ex-Mitarbeiter“ https://www.pressebox.de/inaktiv/chip-xonio-online-gmbh/Dergrosse-Handydaten-Klau-Telekom-verdaechtigt-Ex-Mitarbeiter/boxid/261785 (zuletzt aufgerufen am 01. 02. 2018). 34 Heise online, Pressemeldung vom 04. 03. 2016 „Schweiz: Geheimdienst-Informatiker klaute halbes Terabyte Daten“; abrufbar unter http://www.heise.de/newsticker/meldung/ Schweiz-Geheimdienst-Informatiker-klaute-halbes-Terabyte-Daten-3128386.html (zuletzt aufgerufen am 01. 02. 2018). 35 Heise online, Pressemeldung vom 10. 06. 2017 „Revenge Wipe: Ex-Admin löscht Daten bei niederländischem Provider“; abrufbar unter https://www.heise.de/newsticker/meldung/Rev enge-Wipe-Ex-Admin-loescht-Daten-bei-niederlaendischem-Provider-3740243.html (zuletzt aufgerufen am 01. 02. 2018). 36 Zur Strafbarkeit potentieller Angriffsoptionen von Außentätern siehe nur Kochheim, Cybercrime und Strafrecht, S. 151 ff.; Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 228 ff.; Dietrich, Ausspähen von Daten, S. 108 ff.; Koch, Angriff und Verteidigung in Computernetzen, S. 43 ff.; Schuh, Computerstrafrecht, S. 197 ff.; Krutisch, Zugang zu Computerdaten, S. 140 ff.; Schmid, Computerhacken, S. 156 ff.; Jessen, Zugangsberechtigung, S. 179 ff.
28
Einleitung
I. Forschungsrahmen Die Forschungsergebnisse sind im Rahmen der Mitarbeit an dem juristischen Begleitforschungsprojekt „Sicheres Cloud Computing“ (SCC-Jur) entstanden, das im Rahmen des Forschungsprogramms „IKT 2020 – Forschung für Innovation“37 des Bundesministeriums für Wirtschaft und Technologie (BMWi) in dem Zeitraum von 2015 bis 2018 gefördert wurde. Zusammen mit den Teilprojekten Next Generation Certification (NGCERT), PREsTIGE, Securing the Financial Cloud (SFC), SplitCloud, VeriMetrix und Verifi-eID wurden zur Erforschung von IT-Sicherheitslösungen in der Cloud-Umgebung bestehende und absehbare rechtliche, insbesondere straf- und datenschutzrechtliche Problemlagen untersucht und projektübergreifende Lösungsmöglichkeiten formuliert.38 Die Besonderheit dieses Forschungsprojekts liegt vor allem darin, dass zur Zielerreichung ein interdisziplinärer Ansatz verfolgt wurde. Über die Rechtswissenschaft hinaus waren neben den Disziplinen der Informatik und Wirtschaftsinformatik auch zahlreiche Unternehmen39 beteiligt, die den Praxisbezug der Forschungsergebnisse sicherten. Im Rahmen dieser Kooperation wurde von den Forschungspartnern auch die Problematik der Insiderbedrohungen beim Cloud Computing aufgegriffen, bewertet und bei der Entwicklung innovativer Sicherheitstechniken zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten berücksichtigt. Wesentliche Erkenntnisse dieser Arbeit waren außerdem Gegenstand einer fachzeitschriftlichen Veröffentlichung, so dass sie sich bereits gegenüber einem wissenschaftlichen Diskurs und einer inhaltlichen Überprüfung behaupten mussten.40
II. Gang der Untersuchung Cloud Computing ist keine neue Technologie,41 sondern ein IT-Bereitstellungsmodell,42 das als Fortentwicklung des Utility Computing die Geschäftsidee verfolgt, IT-Dienstleistungen wie öffentliche Güter (Wasser, Strom, Gas und Telefon etc.) bedarfsgerecht anzubieten und nach dem tatsächlichen Verbrauch abzurechnen.43 37 https://www.bmbf.de/de/ikt-2020-forschung-fuer-innovation-854.html (zuletzt aufgerufen am 01. 02. 2018). 38 Zu den einzelnen Projektpartnern siehe https://www.forschung-it-sicherheit-kommunikati onssysteme.de/projekte/projectfolder_view (zuletzt aufgerufen am 01. 02. 2018). 39 Im Besonderen Fujitsu, Verizon Deutschland GmbH, EuroCloud Deutschland_eco e.V., TÜV Rheinland AG und Uniscon GmbH. 40 Müller, DuD 2017, 371 (371 ff.). 41 So schon Söbbing, MMR 2008, XII (XIV). 42 Statt vieler siehe nur Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 A, Rn. 1; Helmbrecht, DuD 2010, 554 (554). 43 Vgl. nur Bedner, Cloud Computing, S. 1, 58; Vossen/Haselmann/Hoeren, Cloud Computing, S. 19; Haselmann, Cloud-Services, S. 14 f.; Repschläger/Pannicke/Zarnekow, HMD 2010, 6 (6); Söbbing, MMR 2008, XII (XIII).
Einleitung
29
Neben dem Utility Computing integriert das Cloud Computing auch weitere konventionelle Techniken und Konzepte, wie das klassische IT-Outsourcing, das Cluster- und Grid Computing sowie das Application Service Providing (ASP) und macht sie für die Bereitstellung neuer IT-Dienste nutzbar.44 Wesentlicher Unterschied zu diesen Vorgängermodellen, der zugleich die Wesensart des Cloud Computing bestimmt, ist die Tatsache, dass flexible IT-Dienstleistungen mehreren Anwendern über das Internet angeboten werden, die sie gleichzeitig und unabhängig voneinander gemeinsam nutzen können.45 Auch ist für das Cloud Computing charakteristisch, dass Daten auf fremde physische Ressourcen ausgelagert werden, die zentral von den Anbietern verwaltet werden und keinem bestimmten Nutzer zugewiesen sind.46 Zwar weist das Cloud Computing mit diesen IT-Konzepten auch gewisse Gemeinsamkeiten auf, hieraus folgt jedoch nicht, dass die für die bestehenden Technologien vorhandenen rechtlichen Beurteilungen für die weitere Untersuchung übernommen werden könnten. Denn die Techniken des Cloud Computing führen zu neuartigen Sicherheitsrisiken durch Innentäter, die eine eigene strafrechtliche Bewertung erfordern. Dies gilt umso mehr, weil die Vorschriften des Datenschutzstrafrechts das Cloud Computing und die Angriffshandlungen der Innentäter nicht explizit regeln.47 Damit die potentiellen Bedrohungen der Cloud-Innentäter für die klassischen Schutzziele der Daten- und Informationssicherheit einer adäquaten juristischen Prüfung unterzogen werden können, muss sich die Auslegung der verschiedenen Tatbestandsmerkmale an den spezifischen Cloud-Eigenschaften orientieren. Vor diesem Hintergrund dient das 1. Kapitel der Einführung in die technischen und organisatorischen Besonderheiten des Cloud Computing. Angesichts der auch bei 44
Terplan/Voigt, Cloud Computing, S. 23; Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 2; Schuster/Reichl, CR 2010, 38 (38); Niemann/Paul, K&R 2009, 444 (445); Söbbing, MMR 2008, XII (XII); Foster/Zhao/Raicu/Lu, in: GCE ‘08, S. 60; ausführlich hierzu auch Bedner, Cloud Computing, S. 55 ff.; Brennscheidt, Cloud Computing, S. 41 ff.; Haselmann, Cloud-Services, S. 25 f., 37 ff.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 15 ff.; Szer, Cloud Computing, S. 48 ff.; Hennrich, Cloud Computing, S. 49 ff. 45 Vgl. hierzu BSI, Sicherheitsempfehlungen, S. 18 f.; Intveen/Hilber/Rabus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 2, Rn. 150; Lissen/Brünger/Damhorst, IT-Services, S. 3; Bedner, Cloud Computing, S. 55 f.; Repschläger/Pannicke/Zarnekow, HMD 2010, 6 (7); Söbbing, JURA 2010, 915 (918). 46 Vgl. Hennrich, Cloud Computing, S. 50 f.; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 23; Grünwald/Döpkens, MMR 2011, 287 (287); Nägele/Jacobs, ZUM 2010, 281 (281); Repschläger/Pannicke/Zarnekow, HMD 2010, 6 (7); Schulz/Rosenkranz, ITRB 2009, 232 (233); Vaquero/Rodero-Merino/Caceres/Lindner, ACM SIGCOMM Computer Communication Review (39) 2009, 50 (53). 47 Im Strafprozessrecht hat der Gesetzgeber das Cloud Computing dagegen bei dem Erlass der Bestandsdatenauskunft gem. § 100j StPO berücksichtigt. Siehe hierzu die Gesetzgebungsmaterialien BR-Drs. 664/1/12, S. 12 f. (Empfehlung des Bundesrats); BT-Drs. 17/12879, S. 12 (Beschlussempfehlung und Bericht des Innenausschusses); vgl. auch Bär, MMR 2013, 700 (702). Äußerst fraglich ist aber die praktische Anwendung auf das Cloud Computing; ausführlich hierzu Wicker, MMR 2014, 298 (298 ff.); Dalby, CR 2013, 361 (361 ff.).
30
Einleitung
Juristen divergierenden Vorstellung, was überhaupt unter dem Geschäftsmodell „Cloud Computing“ zu verstehen ist, wird für die weitere interdisziplinäre Untersuchung zunächst der Begriff näher erläutert und die in der Praxis angebotenen Betriebsmodelle und Dienstleistungen aufgezeigt. Eine zutreffende strafrechtliche Bewertung macht es zudem zwingend notwendig, sowohl die konkreten tatsächlichen und technischen Hintergründe der Cloud-Architektur als auch die potentiellen Angriffsvektoren der Innentäter im Cloud-System zu erfassen.48 Erschwert wird dies allerdings dadurch, dass es in der Praxis zahlreiche Möglichkeiten zum technischen und organisatorischen Aufbau eines Cloud-Systems gibt. Damit für die weitere Untersuchung ein einheitliches Verständnis gewährleistet ist, wurde schließlich eine Referenzarchitektur entwickelt, anhand derer die technischen Grundlagen des Cloud Computing verdeutlicht werden sollen. Diese schafft zudem erst die Voraussetzung, die Sicherheitsbedrohungen durch die Innentäter zu identifizieren und für die weitere strafrechtliche Prüfung einzuordnen. Im zweiten Kapitel sollen sodann die Tätergruppe der Innentäter und ihre Tatmotive erörtert und ihre auf den einzelnen Ebenen des Cloud-Systems möglichen Angriffshandlungen dargestellt werden. Im Fokus der strafrechtlichen Prüfung stehen die von den Privatnutzern und den cloudnutzenden Unternehmen in die Cloud selbst eingebrachten Inhaltsdaten.49 Hierunter sind solche Daten zu verstehen, die nicht während oder durch die Nutzung des Cloud-Dienstes anfallen und auch nicht nötig sind, um die Inanspruchnahme der Cloud-Dienstleistungen zu ermöglichen und abzurechnen,50 sondern solche Inhalte, die den Cloud-Anbietern von den Cloud-Anwendern unter Nutzung der Cloud48 Vgl. BGH NJW 2015, 3463, 3464. In diesem Beschluss hob der BGH eine Verurteilung wegen Ausspähens von Daten in Tateinheit mit Datenveränderung mangels einer umfassenden tatrichterlichen Auseinandersetzung mit den technischen Handlungsabläufen eines aufgebauten Botnetzwerks zwecks missbräuchlichen Generierens von Bitcoins auf. 49 Ausführlich zur Abgrenzung zwischen den Bestands-, Nutzungs-, Abrechungs- und Inhaltsdaten i.S.d. §§ 14 Abs. 1, 15 Abs. 1, Abs. 4 Satz 1 TMG Kroschwald, Informationelle Selbstbestimmung, S. 172 ff.; Wicker, Cloud Computing, S. 89 ff.; Boos/Kroschwald/Wicker, ZD 2013, 205 (206 ff.). Zum Wegfall dieser Dateneinteilung bei privaten Dienstanbietern nach dem geltenden Datenschutzrecht siehe nur Geminn/Richter, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 4, Rn. 291, 293; Selk, Redeker (Hrsg.), IT-Verträge, Teil 3.16, Rn. 159 f.; Schmitz, ZRP 2017, 172 (173); Schantz, NJW 2016, 1841 (1841); Keppeler, MMR 2015, 779 (781). 50 Zu diesen Daten gehören neben den Grund- und Vertragsdaten (Bestandsdaten), wie der Name, die Anschrift, das Geburtsdatum, die Rufnummer, E-Mail-Adresse und Zahlungsdaten des Cloud-Nutzers sowie die Daten, die für seine Registrierung im Cloud-Dienst notwendg sind, also sein Benutzername und sein Passwort, auch die Nutzungs- und Abrechungsdaten. Letztere erfassen vor allem die IP-Adresse und Session-ID des Cloud-Nutzers sowie Angaben über die Abrufzeiten und Nutzungskontingente der einzelnen Cloud-Dienste, um eine Abrechnung der tatsächlich in Anspruch genommenen Cloud-Dienste zu ermöglichen Hullen/Roggenkamp, in: Plath (Hrsg.), BDSG/DSGVO, § 14 TMG, Rn. 9; Spindler/Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 14 TMG, Rn. 3; Wicker, Cloud Computing, S. 92; Jotzo, Schutz personenbezogener Daten, S. 56. Zum Personenbezug einer IP-Adresse siehe Heckmann, in: juris-PraxisKommentar, Kap. 9, Rn. 119 f.
Einleitung
31
Dienste zur weiteren Verwaltung anvertraut worden sind.51 Zu den Inhaltsdaten gehören damit nicht nur die von den Cloud-Nutzern selbst im Cloud-System gespeicherten Daten,52 sondern auch diejenigen Daten, die mithilfe der von den CloudAnbietern bereitgestellten und genutzten Softwareprogrammen zum automatischen Abruf durch den Nutzer generiert werden. Gerade bei diesen beiden Datentypen besteht das signifikante Risiko, dass sie von potentiellen Innentätern unberechtigt zur Kenntnis genommen, unbemerkt manipuliert oder an Dritte weitergegeben werden. Besonderes Gewicht erhalten diese Sicherheitsrisiken insofern, weil im Rahmen der Cloud-Nutzung Daten der Anwender binnen kurzer Zeit automatisiert zwischen weltweit verteilten Servern verschoben werden, und hierbei auch in den Einflussbereich von weiteren potentiellen Innentätern gelangen können.53 Hinzu kommt, dass es sich bei den ausgelagerten Inhaltsdaten oftmals um sensible Daten (personenbezogene Daten, Privat-, Geschäfts- und Betriebsgeheimnisse) handelt, die angesichts ihres Inhalts und ihrer Bedeutung besonders schutzbedürftig sind. Dies umso mehr, weil von ihrem Dateninhalt häufig auch Dritte betroffen sind (so insbesondere bei Daten von Mitarbeitern und Geschäftspartnern der Cloud-Nutzer), die keine Kenntnis von der Speicherung und Verarbeitung ihrer Daten in der Cloud haben und dementsprechend auch keinen Einfluss auf die Datenverarbeitungsprozesse nehmen können.54 Vor diesem Hintergrund wird in den nachfolgenden Kapiteln 3 und 4 untersucht, ob die im Strafgesetzbuch normierten Tatbestände geeignet sind, die Cloud-Nutzer vor einer unbefugten Verschaffung, Kenntnisnahme und Weitergabe ihrer Inhaltsdaten durch Innentäter beim Cloud Computing zu schützen. Außerhalb des Strafgesetzbuchs werden Verletzungen der Vertraulichkeit bestimmter Nutzerdaten vor allem in den Straf- und Bußgeldvorschriften der DSGVO55, des DSAnpUG-EU (im Folgenden: BDSG)56, des UWG und TKG57 geregelt. Inwiefern diese die potentiellen 51 Kroschwald, Informationelle Selbstbestimmung, S. 176; Wicker, Cloud Computing, S. 94; Boos/Kroschwald/Wicker, ZD 2013, 205 (208). 52 Zu den Speicherdiensten siehe Conrad/Strittmatter, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch, § 22 Rn. 171; Kroschwald, Informationelle Selbstbestimmung, S. 176 f.; Möncke, DuD 2015, 617 (618); vgl. auch die Bewertung zu den von den Mitgliedern sozialer Netzwerke eingestellten Beiträge und Profilangaben; Heckmann, in: juris-PraxisKommentar, Kap. 9, Rn. 143; Karg/Fahl, K&R 2011, 453 (458); Jandt/Roßnagel, MMR 2011, 637 (639). 53 Wicker, Cloud Computing, S. 83. 54 Wicker, Cloud Computing, S. 83 f. 55 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. 04. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung – DSGVO-EU, ABl. L. 119) vom 04. 05. 2016. Die DSGVO ist seit dem 25. 05. 2016 in Kraft und wird ab dem 25. 05. 2018 in allen Mitgliedsstaaten der EU unmittelbar anwendbar sein. 56 Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU, BGBl. I, S. 2097) passt das deutsche Datenschutzrecht an die Verordnung (EU) Nr. 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl.
32
Einleitung
Angriffshandlungen der Innentäter pönalisieren, soll im 5. Kapitel untersucht werden. Der strafrechtliche Schutz der Nutzerdaten de lege lata im Hinblick auf eine Manipulation und Beeinträchtigung der Erreichbarkeit ihrer Inhaltsdaten durch Innentäter soll schließlich im 6. Kapitel geprüft werden. In Anbetracht der Globalität des Cloud Computing und des damit verbundenen Umstands, dass strafbare Angriffshandlungen von Innentäter auf die Vertraulichkeit, Verfügbarkeit und Integrität der Inhaltsdaten von jedem erdenklichen Ort der Welt aus begangen werden können, stellt sich bei einem grenzüberschreitenden Innentäter-Angriff die entscheidende Frage, ob die strafbaren Handlungen der Innentäter überhaupt dem Geltungsbereich des deutschen Strafrechts unterliegen und damit von den deutschen Strafverfolgungsbehörden geahndet werden können. Dieser zentrale Gesichtspunkt soll schließlich im 7. Kapitel erörtert werden. Im 8. Kapitel sollen sodann die gefundenen Ergebnisse abschließend zur Beantwortung der Ausgangsfrage, ob das Datenschutzstrafrecht de lege lata im Hinblick auf die Erfassung potentieller Insiderangriffe beim Cloud Computing Regelungslücken aufweist, und falls ja, welche rechtlichen Anpassungen de lege ferenda zum Schutz der Nutzerdaten und zur Stärkung des Vertrauens in die Cloud-Nutzung wünschenswert wären, bewertet werden.
L 119, 04. 05. 2016, S.1) an. Es wird am 25. 05. 2018 an die Stelle der Regelungen des BDSG a.F. treten. 57 Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 2 des Gesetzes vom 10. Dezember 2015 (BGBl. I S. 2218) geändert worden ist.
1. Kapitel
Technische und organisatorische Grundlagen Gegenstand dieses Kapitels sind die technischen und organisatorischen Gegebenheiten des Cloud Computing. Erst die Feststellung seiner Grundlagen und charakteristischen Eigenschaften ermöglicht die rechtliche Bewertung, ob die Inhaltsdaten durch die Regelungen des Datenschutzstrafrechts hinreichend geschützt werden. Um mangels allgemeiner verbindlicher Standards und Regelungen die Grundlage für ein einheitliches Verständnis von Cloud Computing zu schaffen, wird nach einer kurzen Begriffserklärung und der Darstellung seiner gegenwärtigen Erscheinungsformen eine Referenzarchitektur aufgezeigt, anhand derer der potentielle Täterkreis der Cloud-Insider konkretisiert und exemplarische Angriffshandlungen erläutert werden.
A. Begriffsbestimmung In der medialen Öffentlichkeit und in den Marketingkampagnen von IT-Unternehmen ist Cloud Computing allgegenwärtig und steht als Schlagwort der ITBranche für ein sehr breites Spektrum an flexiblen IT-Leistungen aus dem Internet.1 Angesichts der großen Vielfalt existierender Cloud-Dienste und Bereitstellungsformen ist eine nähere Bestimmung des Oberbegriffs „Cloud Computing“ aber mit erheblichen Schwierigkeiten verbunden. Das eine Cloud Computing gibt es nicht.2 Diese Unbestimmtheit wird nicht zuletzt dadurch deutlich, dass sich bislang noch keine allgemeingültige Begriffserklärung durchsetzen konnte; und wahrscheinlich auch nicht durchsetzen wird.3 So werden zahlreiche Meinungen zu der Frage ver1 Hennrich, Cloud Computing, S. 56; vgl. auch Niemann/Hennrich, CR 2010, 686 (686); Hennrich, CR 2011, 546 (546); Schuster/Reichl, CR 2010, 38 (38); Niemann/Paul, K&R 2009, 444 (444). 2 Zutreffend Hennrich, Cloud Computing, S. 57; Heckmann, in: juris-PraxisKommentar, Kap. 9, Rn. 585; Maisch, Informationelle Selbstbestimmung, S. 103; Hennrich, CR 2011, 546 (546); vgl. auch Grünwald/Döpkens, MMR 2011, 287 (287); Gaul/Koehler, BB 2011, 2229 (2229); Nägele/Jacobs, ZUM 2010, 281 (283); Schuster/Reichl, CR 2010, 38 (38). 3 International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 2; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 16; Lehmann/Giedke, CR 2013, 608 (610); Heidrich/Wegener, MMR 2010, 803 (803); Schuster/Reichl, CR 2010, 38 (38); Nägele/Jacobs, ZUM 2010, 281 (281); Niemann/Paul, K&R 2009, 444 (445).
34
Kap. 1: Technische und organisatorische Grundlagen
treten, was unter Cloud Computing eigentlich zu verstehen ist.4 Einzelne Merkmale und Eigenschaften werden dabei von den Einzelwissenschaften entsprechend der jeweiligen Ausrichtung ihres Fachgebiets unterschiedlich akzentuiert und interpretiert.5 Erschwert wird eine Inhaltsbestimmung auch dadurch, dass zahlreiche ITUnternehmen den Begriff in vielfältiger Weise entsprechend ihrem Geschäftsmodell auslegen, um ihre Dienste als „Cloud-Angebote“ zu deklarieren und dadurch den Absatz ihrer Produkte zu fördern.6 In Anbetracht dessen wird in den regelmäßig wiederzufindenden Begriffserläuterungen ein sehr weites Verständnis zugrunde gelegt.7
I. Definition des NIST Zur Begriffserklärung wird in fachlichen Publikationen überwiegend auf die Definition durch das US-amerikanische National Institute for Standards and Technology (NIST), das als Bundesbehörde der Vereinigten Staaten zur technologischen Administration des US-Handelsministeriums (U.S. Department of Commerce) gehört und für Standardisierungsprozesse zuständig ist,8 verwiesen.9 Das IT-Bereitstellungsmodell Cloud Computing wird von NIST wie folgt erläutert: „Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit
4 Eine Sammlung von 21 Definitionsversuchen findet sich etwa bei Geelan, Twenty-One Experts Define Cloud Computing. Zu zahlreichen weiteren Ansichten siehe nur Deussen/Strick/ Peters, Cloud Computing, S. 151 ff.; Bedner, Cloud Computing, S. 22 ff.; Vaquero/RoderoMerino/Caceres/Lindner, ACM SIGCOMM Computer Communication Review (39) 2009, 50 (51 ff.). 5 Lissen/Brünger/Damhorst, IT-Services, S. 1; Thorenz/Zacher, in: IT-Outsourcing, S. 29; Giedke, Cloud Computing, S. 36; Nägele/Jacobs, ZUM 2010, 281 (281). 6 Vgl. Lissen/Brünger/Damhorst, IT-Services, S. 1; Thorenz/Zacher, in: IT-Outsourcing, S. 29; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (6). 7 Hennrich, Cloud Computing, S. 57. 8 Zu den Aufgaben des NIST siehe http://www.nist.gov/public_affairs/general_information. cfm (Webseite zuletzt aufgerufen am 01. 02. 2018). 9 Zur Akzeptanz der NIST-Definition vgl. nur International Working Group on Data Protection in Telecommunications, Arbeitspapier; S. 1 f., Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 30, Fn. 50; BITKOM, Entscheider, S. 15; Europäisches Parlament, Cloud Computing Study 2012, S. 15; Europäische Kommission, SWD(2012) 271, S. 2, Fn. 1; Deussen/Strick/Peters, Cloud Computing, S. 5; Hennrich, Cloud Computing, S. 57; Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 4; Vossen/Haselmann/Hoeren, Cloud Computing, S. 20; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 16; Bedner, Cloud Computing, S. 24; Roth-Neuschild, ITRB 2013, 213 (214).
A. Begriffsbestimmung
35
minimalem Managementaufwand oder geringer Service-Provider-Interaktion zur Verfügung gestellt werden können.“10
Als weitere Konkretisierung des Cloud-Geschäftsmodells nennt NIST folgende fünf wesenstypische Eigenschaften, die allen Cloud-Dienstleistungen eigen sind:11 – On-demand self-service: Ein Nutzer kann selbstständig und automatisch die Rechnerressourcen, wie z.B. Rechenleistung und Netzwerkspeicher, beziehen, die er benötigt, ohne auf eine direkte Interaktion mit dem Service-Anbieter angewiesen zu sein.12 – Broad network access: Die Cloud-Leistungen stehen über ein Netzwerk zur Verfügung und können mittels Standardmechanismen bezogen werden, welche die Nutzung von unterschiedlichen Thin- und Thick-Client Plattformen, wie z.B. Mobiltelefone, Tablets, Laptops und Workstations, unterstützen.13 – Ressource pooling: Die Computerressourcen des Anbieters (z.B. Speicherplatz, Rechenleistung, Arbeitsspeicher und Netzwerkbandbreite) werden in einem Ressourcenpool zusammengefasst, um mehreren Benutzern durch ein Multimandanten-Modell die verschiedenen physikalischen und virtuellen Ressourcen je nach Kundenanforderung dynamisch zuzuweisen und freizugeben.14 Es besteht die Wahrnehmung der Ortsunabhängigkeit insofern, als der Nutzer üblicherweise keine Kontrolle oder Wissen über den exakten Ort der bereitgestellten Ressourcen hat.15 In manchen Fällen hat der Nutzer aber die Möglichkeit, den Ort der Datenverarbeitung auf einer höheren Abstraktionsebene (z.B. Land, Staat oder Rechenzentrum) festzulegen.16
10
NIST, Special Publication 800-145, S. 2; Übersetzung nach BSI, Sicherheitsempfehlungen, S. 14. 11 Hierzu NIST, Special Publication 800-145, S. 2; Übersetzung durch Verfasser. 12 Vgl. auch BSI, Sicherheitsempfehlungen, S. 14; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 16; Heier/Abt/Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 47; Reuter/Brix, Cloud Computing, S. 10, 15; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23; Haselmann, Cloud-Services, S. 29; Wind, Evaluierung, S. 25. 13 Siehe auch BSI, Sicherheitsempfehlungen, S. 14; Lissen/Brünger/Damhorst, IT-Services, S. 14; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Szer, Cloud Computing, S. 45; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 17; Haselmann, Cloud-Services, S. 30; Reuter/Brix, Cloud Computing, S. 6; Vossen/Haselmann/Hoeren, Cloud Computing, S. 24; Wind, Evaluierung, S. 25. 14 Vgl. auch BSI, Sicherheitsempfehlungen, S. 14; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Szer, Cloud Computing, S. 45; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 5. 15 Ebenso BSI, Sicherheitsempfehlungen, S. 14; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Szer, Cloud Computing, S. 45. 16 BSI, Sicherheitsempfehlungen, S. 14; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8.
36
Kap. 1: Technische und organisatorische Grundlagen
– Rapid elasticity: Die Ressourcen können – teilweise automatisiert – elastisch angefordert und freigegeben werden, um schnell dem Bedarf entsprechend nach oben und unten zu skalieren.17 Diese Verfügbarkeit der Ressourcen wirkt auf den Nutzer meist grenzenlos, da die Bereitstellung jederzeit in jeder Menge angepasst werden kann.18 – Measured service: Cloud-Systeme kontrollieren und optimieren den Ressourcenverbrauch automatisch mittels einer Messfunktion auf einer dem Dienst angemessenen Abstraktionsebene (z.B. Speicherplatz, Rechenleistung, Bandbreite und aktive Benutzerkonten).19 Da der Ressourcenverbrauch überwacht, kontrolliert und berichtet werden kann, schafft dies sowohl für den Serviceanbieter als auch für den Nutzer Transparenz.20
17
Vgl. auch BSI, Sicherheitsempfehlungen, S. 14; BITKOM, Evolution in der Technik, S. 24; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Wind, Evaluierung, S. 24; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 17; Vossen/ Haselmann/Hoeren, Cloud Computing, S. 23; Lissen/Brünger/Damhorst, IT-Services, S. 15; Szer, Cloud Computing, S. 45; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 6; Heier/Abt/ Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 47; Reuter/Brix, Cloud Computing, S. 10, 15; Barnitzke, Rechtliche Rahmenbedingungen, S. 33. 18 Vgl. auch BSI, Sicherheitsempfehlungen, S. 14; BITKOM, Evolution in der Technik, S. 24; Wind, Evaluierung, S. 25; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23; Haselmann, Cloud-Services, S. 29; Reuter/Brix, Cloud Computing, S. 7; Marko, in: Blaha/Marko/ Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 17; Lissen/Brünger/Damhorst, IT-Services, S. 15; Szer, Cloud Computing, S. 45; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 6; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8. 19 Siehe auch BSI, Sicherheitsempfehlungen, S. 15; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 17; Szer, Cloud Computing, S. 45; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 6. 20 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8. Die Transparenz bezieht sich in diesem Zusammenhang aber nicht auf die Datenverarbeitung, sondern nur auf die nutzungsabhängigen Abrechnungsmodalitäten. Die stetigen Messungen, etwa der auf einer Festplatte gespeicherten GB (Gigabyte) bzw. der Anzahl der gespeicherten Datensätze für die Nutzung von Speicherplatz oder die Menge der benutzten CPU-Zyklen für die verwendeten Rechenleistungen, dienen lediglich dazu, die tatsächlich genutzte Ressourcenmenge zu dokumentieren. Dadurch werden die Cloud-Nutzer in die Lage versetzt, die Dienstqualität zu validieren und den abgerechneten Ressourcenverbrauch nachzuvollziehen und zu kontrollieren. Zum anderen verfolgen die Messungen auch den Zweck, den Ressourcenverbrauch zu steuern und zu optimieren, indem das Cloud-System anhand der Messergebnisse automatisch die physischen Ressourcen entsprechend dem tatsächlichen Nutzungsbedarf zuteilt. Durch diese Kombination von dynamischer Anpassung der Ressourcenmenge mit der genauen Messung der Servicenutzung wird eine nutzungsabhängige Abrechnung des tatsächlichen Ressourcenverbrauchs ermöglicht, was auch als Pay-Per-Use- bzw. Pay-as-you-go-Prinzip bezeichnet wird; vgl. hierzu Vossen/Haselmann/Hoeren, Cloud Computing, S. 24, 36; Haselmann, Cloud-Services, S. 30; vgl. auch Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 17; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 6; Wind, Evaluierung, S. 24; Vossen/Haselmann/ Hoeren, Cloud Computing, S. 24; Lissen/Brünger/Damhorst, IT-Services, S. 15; Tetzner, Sicherheitsanforderungen, S. 10; Terplan/Voigt, Cloud Computing, S. 22.
A. Begriffsbestimmung
37
Ergänzend wird ausgeführt, dass sich das Cloud-Modell aus den drei Servicemodellen IaaS, PaaS und SaaS sowie den vier Bereitstellungsmodellen Public-, Private-, Community- und Hybrid-Cloud zusammensetzt.21 Die diesbezüglichen Ausführungen sind vorliegend in den Darstellungen zu den Betriebsformen und Dienstleistungsmodellen berücksichtigt worden.22
II. Definition des BSI Unter Berücksichtigung der von NIST angeführten Wesensmerkmale des Cloud Computing wählt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das nach § 3 Abs. 1 BSI-Gesetz für die Förderung der Sicherheit in der Informationstechnologie zuständig ist, für die Begriffsbestimmung einen allgemeinen Ansatz. Im Unterschied zu NIST legt sich das BSI aber nicht auf die Nennung bestimmter Dienstkategorien und Bereitstellungsarten fest. Aufgrund der dynamischen Entwicklung und vielfältigen Ausprägungen, Einsatz- und Kombinationsmöglichkeiten der Dienstleistungs- und Organisationsformen des Cloud Computing werden diese in der Definition des BSI nur als Beispiele berücksichtigt.23 Vor diesem Hintergrund wird von dem BSI folgende entwicklungsoffene Formulierung zur Beschreibung des Cloud Computing vorgeschlagen: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung, Speicherplatz), Plattformen und Software.“24
III. Zusammenfassung Cloud Computing steht als ein Oberbegriff für ein komplexes Dienstleistungsangebot, bei dem Hard- und Softwareleistungen dynamisch und flexibel über ein Netzwerk, z.B. das Internet, genutzt werden können.25 Dabei können vor allem 21
NIST, Special Publication 800-145, S. 2 f. Siehe zu den Bereitstellungsformen S. 38 ff. und zu den Servicemodellen S. 48 ff. 23 Im Gegensatz hierzu erfasst die Begriffsbestimmung von NIST nicht das Betriebsmodell der Virtual Private Cloud, die eine Kombination zwischen der Private- und Public Cloud ist. Zu diesem Organisationsmodell siehe S. 47 f. 24 BSI, Sicherheitsempfehlungen, S. 15 ff. 25 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010, S. 63; Brennscheidt, Cloud Computing, S. 20; Grünwald/Döpkens, MMR 2011, 287 (287); Nägele/Jacobs, ZUM 2010, 281 (281); Taeger, NJW 2010, 25 (25). 22
38
Kap. 1: Technische und organisatorische Grundlagen
Rechenkapazitäten, Speicherressourcen und Anwendungssoftware bedarfsgerecht und nach der tatsächlichen Nutzung abrechenbar von einer Vielzahl von Nutzern von jedem Ort und zu jeder Zeit gleichzeitig bezogen werden.26 Wesenstypisch ist zudem, dass bei der Cloud-Nutzung weder eine lokale Speicherung der Inhaltsdaten noch die Installation einer speziellen Software auf dem Datenverarbeitungssystem des Nutzers erfolgt.27 Vielmehr findet die elektronische Datenverarbeitung allein auf den global verteilten Serverfarmen externer Cloud-Anbieter statt, auf denen die CloudAnwendungen und Nutzerdaten gespeichert und von den Anbietern zentral verwaltet werden.28 Da Cloud Computing aber kein Rechtsbegriff ist, hat eine exakte Begriffsbestimmung keine unmittelbare Bedeutung für die rechtliche Bewertung der Angriffsszenarien der Innentäter auf die Datenvertraulichkeit, die Integrität und die Verfügbarkeit der Nutzerdaten.29 Insofern soll an dieser Stelle auf eine weitere Auseinandersetzung mit den einzelnen Definitionen verzichtet werden.30
B. Erscheinungsformen Entsprechend seinem Paradigma, „IT as a Service“31 über das gesamte Spektrum der Informationstechnik zur Verfügung zu stellen32, werden beim Cloud Computing eine Vielzahl von Dienstleistungen mittels verschiedener Bereitstellungsmodelle angeboten. Die vielschichtigen Erscheinungsformen des Cloud Computing weisen dabei unterschiedliche Besonderheiten für die Daten- und Informationssicherheit auf, die im Folgenden aufgezeigt werden sollen.
26 Vossen/Haselmann/Hoeren, Cloud Computing, S. 2 f.; Brennscheidt, Cloud Computing, S. 20; Bosesky/Hoffmann/Schulz, DuD 2013, 95 (95); Münch/Doubrava/Essoh, DuD 2011, 322 (322); Nägele/Jacobs, ZUM 2010, 281 (281); Pohle/Ammann, CR 2009, 273 (273); Söbbing, MMR 2008, XII (XII). 27 Nägele/Jacobs, ZUM 2010, 281 (281); Pohle/Ammann, CR 2009, 273 (273). 28 Borges/Brennscheidt, in: Daten- und Identitätsschutz, S. 46; Hartung/Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 4, Rn. 127; Lehmann/Giedke, CR 2013, 608 (615); Nägele/Jacobs, ZUM 2010, 281 (281); Schuster/Reichl, CR 2010, 38 (41); Repschläger/ Pannicke/Zarnekow, HMD 2010, 6 (7); Pohle/Ammann, CR 2009, 273 (273 f.); Söbbing, MMR 2008, XII (XII); Schulz, in: Taeger/Wiebe, Inside the Cloud, S. 403; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 53; vgl. auch Lissen/Brünger/Damhorst, IT-Services, S. 12. 29 Vgl. Borges/Brennscheidt, in: Daten- und Identitätsschutz, S. 46. 30 Weitere Definitionen finden sich u.a. bei: ENISA, Benefits, Risks 2009, S. 14; BITKOM, Entscheider, S. 15; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 4 f.; Furht, in: Handbook of Cloud Computing, S. 3; Lehmann/Giedke, CR 2013, 608 (610); Nägele/Jacobs, ZUM 2010, 281 (281); Vaquero/Rodero-Merino/Caceres/Lindner, ACM SIGCOMM Computer Communication Review (39) 2009, 50 (51); Söbbing, MMR 2008, XII (XII). 31 Siehe nur Innovationsstiftung Bayerische Kommune, C3, S. 9. 32 BSI, Sicherheitsempfehlungen, S. 15 f.; Hennrich, Cloud Computing, S. 62.
B. Erscheinungsformen
39
I. Cloud-Betriebsmodelle Die Cloud-Dienstleistungen werden auf den Basisarchitekturen der Private, Public, Community, Hybrid und Virtual Private Cloud bereitgestellt.33 Die Betriebsmodelle unterscheiden sich durch die Ausgestaltung der Betreiber-, Eigentümer- und Nutzerstruktur, d.h. vor allem dadurch, von wem die Cloud-Infrastruktur betrieben und verwaltet wird, und wem die bereitgestellten Ressourcen zur Verfügung stehen. Insofern haben die Organisationsformen für die Bestimmung des Täterkreises und der potentiellen Angriffsvektoren der Innentäter eine jeweils eigenständige Bedeutung. 1. Public Cloud Die Public Cloud bzw. External Cloud stellt das meistgenutzte Betriebsmodell dar.34 So nutzt nach einer repräsentativen Umfrage des Bundesverbands für Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) allein in Deutschland derzeit mehr als jeder vierte Internetnutzer, d.h. ca. 15 Millionen Bundesbürger, die Public Cloud-Dienste von Dropbox, Google Drive oder Microsoft OneDrive.35 Ihr weit verbreiteter Einsatz resultiert vor allem aus ihrer finanziellen Attraktivität. Kostenvorteile ergeben sich neben der nutzungsabhängigen Abrechnung des tatsächlichen Ressourcenverbrauchs (Pay-Per-Use-36 bzw. Pay-as-You-GoPrinzip37) vor allem aus dem Umstand, dass für die Kunden keine Kosten für Softwarelizenzen sowie für die Anschaffung, den Betrieb und die Wartung eigener Infrastrukturkomponenten anfallen.38 Zudem sind Public Clouds meist hoch stan33
Als weitere Deployment-Modelle werden auch die Regional- und Government Clouds genannt. Regional Clouds sind Cloud-Services, bei denen sich die physischen Ressourcen in einem bestimmten Hoheitsgebiet befinden. Als Beispiele sind die European Cloud oder German Cloud zu nennen. Government Clouds sind hingegen solche Betriebsmodelle, die ausschließlich von Behörden genutzt werden; Höllwarth, Cloud Migration, S. 155 ff.; Hennrich, Cloud Computing, S. 81. Zudem ist auch von einer Intercloud die Rede. Hierunter ist eine Cloud zu verstehen, die aus einer internationalen Verknüpfung sämtlicher öffentlicher Clouds besteht. Giedke, Cloud Computing, S. 35. Im Übrigen sind noch weitere Differenzierungen denkbar. Im Ergebnis lassen sich die Organisationsformen aber auf die hier vorgestellten Grundformen zurückführen, weshalb auf ihre weitere Darstellung verzichtet wird. 34 Brennscheidt, Cloud Computing, S. 40; Bedner, Cloud Computing, S. 33; Meir-Huber, Cloud Computing, S. 21; Giebichenstein, BB 2011, 2218 (2218); Heidrich/Wegener, MMR 2010, 803 (803). 35 Pressemitteilung „Cloud-Speicher verdrängen die Festplatte“ der BITKOM vom 28. 08. 2014; abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Cloud-Speicher-verdra engen-die-Festplatte.html (Artikel zuletzt aufgerufen am 01. 02. 2018). 36 Haselmann, Cloud-Services, S. 30; Vossen/Haselmann/Hoeren, Cloud Computing, S. 36; Lissen/Brünger/Damhorst, IT-Services, S. 15. 37 Tetzner, Sicherheitsanforderungen, S. 10; Terplan/Voigt, Cloud Computing, S. 22. 38 Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 460; Wind, Evaluierung, S. 32.
40
Kap. 1: Technische und organisatorische Grundlagen
dardisiert und weisen infolge eines regelmäßig großen Ressourcenpools eine hohe Skalierbarkeit und Elastizität auf.39 Mit der Nutzung einer Public Cloud sind aber auch zahlreiche Sicherheitsrisiken verbunden. Bei diesem Betriebsmodell werden die Cloud-Dienste für jedermann über das Internet zur Verfügung gestellt, was zur Folge hat, dass sich die organisatorisch nicht miteinander verbundenen Cloud-Nutzer die Cloud-Umgebung mit einer unbestimmten Vielzahl von anderen Anwendern teilen.40 Diese multimandantenfähige Architektur stellt ein erhebliches Bedrohungspotential für die Sicherheit der Nutzerdaten dar.41 Eigentümer, Betreiber und Verwalter der Cloud-Infrastruktur ist zudem der Cloud-Anbieter, der damit die ausschließliche administrative Kontrolle über die IT-Ressourcen inne hat.42 Bei der Bereitstellung und Verwaltung der Public Cloud kann er sich ferner - auch ohne Wissen der CloudNutzer – mehrerer Subunternehmer bedienen, indem er diese beispielsweise bedarfsund nutzungsbasiert an der dynamischen Skalierung der Ressourcen beteiligt oder mit dem Betrieb bzw. der Administration einzelner Systemkomponenten beauftragt.43 Aufgrund ihres hohen technischen und rechtlichen Standardisierungsgrads haben die Cloud-Nutzer zudem keine Möglichkeit, spezifische Sicherheitsanforderungen und Kontrollmechanismen mit dem Cloud-Anbieter einzelvertraglich zu vereinbaren.44 Neben dem Fehlen von feingranularen Kontrollmechanismen über die
39
Innovationsstiftung Bayerische Kommune, C3, S. 14; Hennrich, Cloud Computing, S. 75; ausführlich zu den Vor- und Nachteilen bei der Public Cloud siehe ENISA, Security & Resilience, S. 49 ff. 40 BSI, Sicherheitsempfehlungen, S. 16; BITKOM, Evolution in der Technik, S. 30; BITKOM, Entscheider, S.18; Hennrich, CR 2011, 546 (547); Birk/Wegner, DuD 2010, 641 (642); Meir-Huber, Cloud Computing, S. 22; Höllwarth, Cloud Migration, S. 150; Hennrich, Cloud Computing, S. 74; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 18; Hennrich, CR 2011, 546 (547); Birk/Wegner, DuD 2010, 641 (642). Dies stellt auch einen wesentlichen Unterschied zum Grid Computing dar. In dem Grid-Modell stellen die Nutzer eigene Ressourcen einem von ihnen bestimmten Nutzerkreis zur Verfügung; vgl. hierzu BITKOM, Evolution in der Technik, S. 70; Foster/Kesselman/Tuecke, IJHPCA (15) 2001, 200 (200 ff.); Foster, Grid, S. 2; Bedner, Cloud Computing, S. 56 ff.; Metzger/Reitz/Villar, Cloud Computing, S. 24; Szer, Cloud Computing, S. 51; Brennscheidt, Cloud Computing, S. 42; Hennrich, Cloud Computing, S. 74; Meir-Huber, Cloud Computing, S. 19 f.; Repschläger/Pannicke/Zarnekow, HMD 2010, 6 (6). 41 Ausführlich hierzu S. 83 ff. 42 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 46; BSI, Sicherheitsempfehlungen, S. 16 f.; ISO/IEC 17788:2014 (E), Punkt 6.5; Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 30; BITKOM, Entscheider, S. 18 f.; BITKOM, Evolution in der Technik, S. 30; Lissen/Brünger/Damhorst, IT-Services, S. 18; Höllwarth, Cloud Migration, S. 150; Brennscheidt, Cloud Computing, S. 40. 43 Tetzner, Sicherheitsanforderungen, S. 12; Abbadi, Cloud Management, S. 6; Hennrich, Cloud Computing, S. 75; Zur arbeitsteiligen Leistungserbringung siehe S. 70 ff. 44 Vgl. BITKOM, Entscheider, S. 19; Limoncelli/Chalup/Hogan, Practice of Cloud, S. 64; Brennscheidt, Cloud Computing, S. 40; Hennrich, Cloud Computing, S. 75; Haas/Hofmann, Risiken, S. 6; Höllwarth, Cloud Migration, S. 150; Wind, Evaluierung, S. 32; Weiss, in: Nie-
B. Erscheinungsformen
41
Daten-, Netzwerk- und Sicherheitseinstellungen kommt regelmäßig hinzu,45 dass sich die Daten und Anwendungen der Nutzer transparent auf weltweit verteilten physischen Servern der Cloud-Anbieter befinden.46 Zumeist werden von den Anbietern zur Bereitstellung einer Public Cloud mehrere weltweit verteilte physische Server genutzt, zwischen denen die Nutzerdaten verschoben werden, um eine sehr hohe Auslastung der Rechenzentren und hohe Skaleneffekte zu erreichen.47 Da die Cloud-Nutzer keinen Einfluss auf Compliance- sowie Sicherheitsaspekte, und auch keine Kontrolle über die Datenverarbeitungsprozesse in der Public Cloud haben, bestehen bei diesem Bereitstellungsmodell die größten Risiken einer Kompromittierung der Inhaltsdaten durch potentielle Innentäter.48 2. Private Cloud Im Gegensatz zur Public Cloud wird bei einer Private Cloud die IT-Infrastruktur exklusiv nur für einen oder für mehrere Cloud-Nutzer betrieben.49 Die Systemkomponenten können dabei von der cloudnutzenden Institution bereitgestellt werden und entweder von dieser selbst (On-Premise-Private Cloud, auch als Private Internal Cloud oder Internal Cloud bezeichnet) oder von einem externen Dienstleister verwaltet werden (Managed Private Cloud).50 Alternativ ist es auch möglich, dass die Cloud-Infrastruktur von einem Cloud-Anbieter zur Verfügung gestellt, und von diesem, gegebenenfalls unter Einschaltung von externen Subunternehmern, administriert wird (Off-Premise-Private Cloud, auch Private External Cloud bzw. Outsourced Private Cloud genannt).51 mann/Paul, Praxishandbuch, S. 21; Maisch/Seidl, VBlBW 2012, 7 (8); Hennrich, CR 2011, 546 (547). 45 Wind, Evaluierung, S. 32. 46 BITKOM, Entscheider, S. 18; Lissen/Brünger/Damhorst, IT-Services, S. 18 f.; Haas/ Hofmann, Risiken, S. 6; Höllwarth, Cloud Migration, S. 150; Brennscheidt, Cloud Computing, S. 40; Streitberger/Ruppel, Cloud Computing Sicherheit, S. 39. 47 Vgl. Haas/Hofmann, Risiken, S. 6; Streitberger/Ruppel, Cloud Computing Sicherheit, S. 39. 48 BITKOM, Evolution in der Technik, S. 30. 49 Vgl. NIST, Special Publication 800-145, S. 3; Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 30. 50 NIST, Special Publication 800-145, S. 3; ISO/IEC 17788:2014 (E), Punkt 6.5; ENISA, Security & Resilience, S. 46; BSI, Sicherheitsempfehlungen, S. 16; BITKOM, Evolution in der Technik, S. 31; BITKOM, Entscheider, S. 19; Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 30; Lissen/Brünger/Damhorst, IT-Services, S. 19; Bedner, Cloud Computing, S. 33; Vossen/Haselmann/Hoeren, Cloud Computing, S. 30; Haas/Hofmann, Risiken, S. 7; Vollmer, Cloud, S. 25; Giebichenstein, BB 2011, 2218 (2218); Hennrich, CR 2011, 546 (547); Heidrich/Wegener, MMR 2010, 803 (803). 51 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 46; ISO/IEC 17788:2014 (E), Punkt 6.5; BITKOM, Evolution in der Technik, S. 31; BITKOM, Entscheider, S. 19; Lissen/Brünger/Damhorst, IT-Services, S. 19; Haas/Hofmann, Risiken, S. 7; Giebi-
42
Kap. 1: Technische und organisatorische Grundlagen
Sofern die Private Cloud nicht von einem Anbieter als standardisierte und für bestimmte Sicherheitsanforderungen vorkonfigurierte „in a box“-Lösung bereitgestellt wird,52 ermöglicht sie durch individuelle, technische Konfigurationen und kundenspezifische Vereinbarungen bzw. Leistungsparameter eine unternehmensindividuelle Cloud-Umgebung zu nutzen, wodurch Sicherheits- und ComplianceNachteile der fremdbetriebenen Public Cloud kompensiert werden können.53 Dies gilt selbst dann, wenn die physische Cloud-Infrastruktur mehreren Kunden zur Verfügung gestellt wird und die Grundlage für dedizierte Private Clouds einzelner Kunden bildet.54 Denn in einer Private Cloud kann die exklusive Nutzung der CloudInfrastruktur durch eine physisch getrennte Datenhaltung oder durch die Wahl des Speicher- und Verarbeitungsorts garantiert werden.55 Damit ist die Private Cloud bei einer Realisierung durch den Cloud-Anbieter mit einem klassischen IT-Outsourcing vergleichbar.56 Der Zugang ist beschränkt auf den Cloud-Nutzer und auf die von ihm autorisierten Personen (Mitarbeiter, Kunden, Lieferanten, Geschäftspartner). Der Zugriff auf die Cloud-Dienstleistungen erfolgt dabei entweder über ein Intranet oder über ein Virtual Private Network (VPN).57 Hierdurch können sensible Daten, wie beispielsweise Finanz- und Konstruktionsdaten innerhalb der Nutzer-Firewall58 einer Private Cloud, besser vor unbefugten Datenzugriffen Dritter geschützt werden,59 zumal sich die Datenübertragungen zur Private Cloud auch mithilfe der VPNTechnik60 absichern lassen.61 Private Clouds erlauben daher für die Nutzer eine chenstein, BB 2011, 2218 (2218); Hennrich, Cloud Computing, S. 76; Hennrich, CR 2011, 546 (547); Heidrich/Wegener, MMR 2010, 803 (803). 52 Hennrich, CR 2011, 546 (547). 53 BITKOM, Entscheider, S. 18 f.; Duisberg, in: Picot/Hertz/Götz, Trust in IT, S. 50; Wind, Evaluierung, S. 33; Weiss, in: Niemann/Paul, Praxishandbuch, S. 22; Krcmar, in: Borges/ Meents (Hrsg.), Cloud Computing, § 1, Rn. 44; Hennrich, CR 2011, 546 (547); Heidrich/ Wegener, MMR 2010, 803 (803). 54 Duisberg, in: Picot/Hertz/Götz, Trust in IT, S. 50. 55 Haas/Hofmann, Risiken, S. 7. 56 BITKOM, Evolution in der Technik, S. 48; Brennscheidt, Cloud Computing, S. 39; Haas/ Hofmann, Risiken, S. 6 f.; Duisberg, in: Picot/Hertz/Götz, Trust in IT, S. 50; Heidrich/Wegener, MMR 2010, 803 (803); Birk/Wegner, DuD 2010, 641 (642). 57 BITKOM, Entscheider, S. 18; BITKOM, Evolution in der Technik, S. 30; Vollmer, Cloud, S. 25; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 28; Barnitzke, Rechtliche Rahmenbedingungen, S. 53. 58 Als „Firewall“ bezeichnet man ein System, das zwischen den Schnittstellen verschiedener Computernetze eine Art Filterfunktion übernimmt, um nur zugangsberechtigten Nutzern, die anhand ihrer IP-Adresse spezifiziert werden, den Zugriff auf den Datenbestand des Unternehmens zu ermöglichen. 59 BITKOM, Entscheider, S. 18; Wind, Evaluierung, S. 32; Barnitzke, Rechtliche Rahmenbedingungen, S. 54; Birk/Wegner, DuD 2010, 641 (642); Niemann/Paul, K&R 2009, 444 (445). 60 Mit einem Virtual Private Network (VPN) lassen sich über ein öffentliches Datennetz, wie etwa das Internet, sichere private Verbindungen aufbauen. Die Verbindung der Netze wird dabei über einen sog. Tunnel zwischen VPN-Client und VPN-Server (Concentrator) realisiert,
B. Erscheinungsformen
43
striktere Kontrolle und die Implementierung höherer Sicherheitsanforderungen als extern betriebene Clouds und stellen, sofern sie in Eigenregie betrieben und verwaltet werden, die sicherste Ausprägungsform des Cloud Computing dar.62 Dies gilt umso mehr, weil die Nutzerdaten bei einer On-Premise-Private Cloud im Unternehmensnetzwerk verbleiben und Datensicherheitsmaßnahmen eigenverantwortlich umgesetzt werden können.63 Gleichwohl kann auch bei einer eigenbetriebenen Private Cloud die Gefahr einer unbefugten Verschaffung und Weitergabe der Nutzerdaten sowie einer Beeinträchtigung ihrer Integrität und Verfügbarkeit durch potentielle Innentäter nicht vollständig ausgeschlossen werden.64 Abgesehen davon sind Private Clouds im Eigenbetrieb auch deutlich kostenintensiver als Clouds, die auf fremden Servern bereitgestellt werden.65 Denn für einen flexiblen und skalierbaren Abruf der benötigten Ressourcen erfordert das Bereitstellungsmodell die Vorhaltung eines eigenen Rechenzentrums sowie entsprechende Investitionen in Hardware- und Softwarekomponenten der Cloud-Infrastruktur.66 Außerdem fallen Wartungs-, Administrations- und Supportkosten an. Zu den variablen Kosten kommt deshalb ein erheblicher Anteil an kapitalbindenden Investitionskosten hinzu.67 Für viele Unternehmen und Institutionen stellt das Betreiben einer On-Premise-Private Cloud deshalb eine unattraktive Option dar. Die wirtschaftlichen Vorteile des Cloud Computing, wie z.B. die Möglichkeit eines flexiblen und nahezu unbegrenzten Abrufs von benötigten IT-Ressourcen, die Unabhängigkeit der Cloud-Nutzung von eigenen Investitionen und ein minimaler Wartungs- und Supportaufwand für die Inanspruchnahme der Cloud-Dienste, lassen sich nicht stets
wobei die Daten meist verschlüsselt übertragen werden. Nachdem sich die Teilnehmer authentisiert haben, können sie sich in das durch die Firewall gesicherte Netz einklinken, in dem ihnen dann alle Ressourcen, wie beispielsweise Fileserver, transparent zur Verfügung stehen; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 426; Bedner, Cloud Computing, S. 43; Berl/Fischer/Meer, Informatik Spektrum 2010, 186 (189). 61 Vollmer, Cloud, S. 25. 62 Vgl. BITKOM, Entscheider, S. 18; Innovationsstiftung Bayerische Kommune, C3, S. 17; Vogel/Koçog˘ lu/Berger, Desktopvirtualisierung, S. 126; Barnitzke, Rechtliche Rahmenbedingungen, S. 53. 63 BITKOM, Entscheider, S. 18; Barnitzke, Rechtliche Rahmenbedingungen, S. 53 f.; Brennscheidt, Cloud Computing, S. 39; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 28; Niemann/Paul, K&R 2009, 444 (445). 64 Siehe S. 94 ff. 65 BITKOM, Entscheider, S. 18; Wind, Evaluierung, S. 33; Weiss, in: Niemann/Paul, Praxishandbuch, S. 22; Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 1, Rn. 44 f.; Lissen/Brünger/Damhorst, IT-Services, S. 19; Haas/Hofmann, Risiken, S. 7; Vollmer, Cloud, S. 25; Barnitzke, Rechtliche Rahmenbedingungen, S. 54; Schultze-Melling, ITRB 2011, 239 (239); Hennrich, CR 2011, 546 (547); Heidrich/Wegener, MMR 2010, 803 (803 f.); Birk/ Wegner, DuD 2010, 641 (642); Niemann/Paul, K&R 2009, 444 (445). 66 Barnitzke, Rechtliche Rahmenbedingungen, S. 54; Höllwarth, Cloud Migration, S. 153. 67 Barnitzke, Rechtliche Rahmenbedingungen, S. 54.
44
Kap. 1: Technische und organisatorische Grundlagen
optimal in einer on-premise-betriebenen Private Cloud umsetzen und ausschöpfen.68 Vor diesem Hintergrund wird die Private Cloud in der Praxis vor allem von kleinen und mittleren Unternehmen oftmals als Managed Private Cloud oder als Off-Premise-Private Cloud betrieben, bei denen sich aber die Daten und Anwendungen der Nutzer im faktischen Herrschafts- und Zugriffsbereich eines oder mehrerer CloudAnbieter befinden, so dass sie letztendlich demselben Schadens- und Bedrohungspotential durch Innentäter ausgesetzt sind wie dies bei der Organisationsform der Public Cloud der Fall ist. 3. Community Cloud Ebenso wie in der Private Cloud werden die Cloud-Dienstleistungen auch bei dem Bereitstellungsmodell der Community Cloud ausschließlich einem geschlossenen Benutzerkreis zur Verfügung gestellt.69 Hierzu kann die Community Cloud, die auch Partner Cloud bzw. Gemeinschaftliche Cloud genannt wird, auf folgende Wege umgesetzt werden: Entweder werden die Private Clouds mehrerer Unternehmen oder Organisationen zu einer Cloud vernetzt oder aber die Nutzer bestimmen ein involviertes Unternehmen oder einen externen Dienstleister, um die Cloud-Umgebung für alle Nutzer exklusiv bereitzustellen.70 Was die Verwaltung der gemeinsam genutzten Cloud-Infrastruktur betrifft, so kann die Administration auch bei dieser Bereitstellungsform entweder von einem Organisationsmitglied oder von einem externen Dienstleister bzw. einer Kombination dieser beiden Varianten vorgenommen werden.71 Eine Community Cloud kommt in der Regel dann zum Einsatz, wenn die CloudNutzer zwar die Isolation einer Private Cloud benötigen, aber aufgrund mangelnder Größe der eigenen Rechenzentren keine eigene Cloud betreiben können.72 Sie ermöglicht den Cloud-Nutzern, durch eine Bündelung ihrer Ressourcen Größenvorteile zu erzielen und darüber hinaus gemeinsame gesetzliche Anforderungen, etwa in den Bereichen Datenschutz, Sicherheit und Compliance, festzulegen sowie durch eigenverantwortliche technische und organisatorische Sicherheitsmaßnahmen, beispielsweise durch eine Absicherung von sicherheitskritischen Anwendungen durch
68
Vgl. Schultze-Melling, ITRB 2011, 239 (239); Niemann/Paul, K&R 2009, 444 (445); vgl. auch BITKOM, Entscheider, S. 18; Wind, Evaluierung, S. 33. 69 Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 1, Rn. 49. 70 Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 30; ISO/IEC 17788:2014 (E), Punkt 6.5. 71 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 16; ISO/IEC 17788:2014 (E), Punkt 6.5; Vossen/Haselmann/Hoeren, Cloud Computing, S. 31; Bedner, Cloud Computing, S. 36; Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 1, Rn. 49. 72 Haselmann, Cloud-Services, S. 36.
B. Erscheinungsformen
45
eine Zwei-Faktoren-Authentifizierung73 oder des Vier-Augen-Prinzips,74 umzusetzen.75 Aus Sicht der Cloud-Nutzer können daher die bei einer Public Cloud bestehenden Sicherheitsrisiken und fehlenden Kontroll- und Einflussmöglichkeiten durch das Betreiben einer Community Cloud besser reduziert werden.76 Herausforderungen ergeben sich aber vor allem an die technische Integration und die Vereinheitlichung der verschiedenen Prozesse und Anwendungen.77 Die Komplexität der vernetzten IT-Systeme kann die Interoperabilität der multiplen Systemkomponenten derart einschränken, dass Sicherheitslücken entstehen, die Innentäter für eine unbefugte Verschaffung der Nutzerdaten sowie für einen Angriff auf deren Verfügbarkeit und Integrität ausnutzen können.78 4. Hybrid Cloud Bei Hybrid Clouds werden Public, Private und/oder Community Clouds miteinander kombiniert.79 Sie sind so organisiert, dass die Cloud-Infrastruktur der verbundenen Public Cloud von dem Cloud-Anbieter bereitgestellt und administriert wird, wohingegen sich die IT-Ressourcen der etwaig kombinierten Private und/oder Community Cloud entweder im Besitz eines oder mehrerer Cloud-Nutzer oder eines 73 Bei dieser Sicherheitsmethode werden zwei Authentikationsmechanismen, wie etwa ein Passwort plus Transaktionsnummern (Einmalpasswörter), PINs oder Token kombiniert, um eine starke Authentifizierung zu erreichen und einen unbefugten Zugriff auf sensible Daten und sicherheitskritische Systemkomponenten auszuschließen; vgl. hierzu nur BSI, IT-GrundschutzKataloge, M 4.133 Geeignete Auswahl von Authentikationsmechanismen, 13. EL, Stand 2013; M 4.441 Multifaktor-Authentisierung für den Cloud-Benutzerzugriff, 14. EL, Stand 2014, hierzu auch Vossen/Haselmann/Hoeren, Cloud Computing, S. 141, 166. 74 Das Vier-Augen-Prinzip, auch Vier-Augen-Kontrolle genannt, sieht vor, dass ein Administrator bestimmte, besonders kritische Tätigkeiten, wie das Kopieren einzelner Datenbestände oder virtueller Maschinen, vorab von einer zweiten Person autorisieren lassen muss. Technisch umgesetzt werden kann dies beispielsweise durch die Vergabe von zwei verschiedenen Passwörtern, um auf ein sicherheitskritisches Administratorenkonto zugreifen zu können; Terplan/Voigt, Cloud Computing, S. 82. Ausführlich zum Identity-, Access- und KeyManagement auch bei mehreren Nutzern Kalabis/Kunz/Wolf, DuD 2013, 512 (514 ff.). 75 ENISA, Security & Resilience, S. 56; Wind, Evaluierung, S. 34 f.; Haselmann, CloudServices, S. 36; Weichert, DuD 2010, 679 (680). Beispielsweise kann es wegen bestimmter gesetzlicher Anforderungen im Gesundheitswesen sinnvoll sein, eine Cloud speziell für eine Gruppe von Krankenhäusern bereitzustellen; weitere Beispiele finden sich bei Banken, Sparkassen, Steuerberatern sowie in der öffentlichen Verwaltung oder bei Geheimdiensten; Vossen/ Haselmann/Hoeren, Cloud Computing, S. 31; Bedner, Cloud Computing, S. 36. 76 Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 1, Rn. 49. 77 Hennrich, Cloud Computing, S. 81; Deussen/Strick/Peters, Cloud Computing, S. 22. 78 Vgl. ENISA, Security & Resilience, S. 56. 79 ISO/IEC 17788:2014 (E), Punkt 6.5; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 8; BITKOM, Entscheider, S. 18; BITKOM, Evolution in der Technik, S. 30; Deussen/Strick/Peters, Cloud Computing, S. 23; Heidrich/Wegener, MMR 2010, 803 (804).
46
Kap. 1: Technische und organisatorische Grundlagen
oder mehrerer Cloud-Anbieter befinden und von diesen oder den Nutzern verwaltet und betrieben werden.80 Die Nutzungsintention einer Hybrid Cloud ist die Kombination der einzelnen Vorteile der verschiedenen Organisationsformen des Cloud Computing.81 Da bei diesem Bereitstellungsmodell intern und extern verwaltete IT-Ressourcen miteinander verbunden werden, kann der Cloud-Nutzer selbst entscheiden, welche Dienste er ausschließlich intern zur Verfügung stellt und welche Aufgabenbereiche er zu externen Dienstleistern auslagert.82 Ein typischer Anwendungsfall der Hybrid Cloud ist das Cloud-Bursting, also das „Ausbrechen“ aus einer Cloud zusätzlich in eine weitere Cloud, wenn die IT-Ressourcen der ersten nicht mehr ausreichen.83 So könnten etwa für den Fall, dass die eigene als Private oder Community Cloud betriebene Infrastruktur nicht in der Lage ist, genügend Kapazitäten in Zeiten hoher Arbeitslast aufzubringen, weitere benötigte IT-Ressourcen aus einer Public Cloud bezogen werden, um dadurch im Rahmen der Erhöhung der Verfügbarkeit die Lastspitzen, wie z.B. im Weihnachtsverkauf bei einem Onlinehändler, abzudecken und eine effiziente Lastverteilung zu erreichen.84 Ein weiteres Szenario könnte auch sein, neben einer Private oder Community Cloud zusätzlich eine Public Cloud als Failover-Strategie zu nutzen, indem (nicht vertrauliche) Datenkopien in eine öffentliche Cloud ausgelagert werden, so dass ausgefallene Dienste der eigenen betriebenen Cloud im Rahmen eines Disaster Recovery85 durch Dienste aus einer Public Cloud ersetzt werden.86 Darüber hinaus erlaubt die Nutzung einer Hybrid Cloud, schutzbedürftige, sensible Daten, insbesondere personenbezogene Daten oder Geschäfts- und Betriebsgeheimnisse, in einer On-Premise-Private Cloud vorzuhalten, während Daten, für die keine besonderen gesetzlichen oder unternehmensinternen Anforderungen bestehen, in die Public Cloud ausgelagert werden
80
Vgl. NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; ISO/ IEC 17788:2014 (E), Punkt 6.5; BITKOM, Entscheider, S. 19; Vollmer, Cloud, S. 26. 81 Vollmer, Cloud, S. 26; Wind, Evaluierung, S. 34. 82 Höllwarth, Cloud Migration, S. 153. 83 Haselmann, Cloud-Services, S. 36; Vossen/Haselmann/Hoeren, Cloud Computing, S. 31. 84 Vgl. Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 461; Bedner, Cloud Computing, S. 34; Barnitzke, Rechtliche Rahmenbedingungen, S. 54; Metzger/Reitz/Villar, Cloud Computing, S. 20, Haselmann, Cloud-Services, S. 36; Vossen/Haselmann/Hoeren, Cloud Computing, S. 31; Erl/Mahmood/Puttini, Cloud, S. 271. 85 Allgemein bezeichnet der Begriff ein Notfallmanagement (Business Continuity Management), in dessen Rahmen Maßnahmen und Konzepte entwickelt und umgesetzt werden, um bei auftretenden Sicherheitsvorfällen (Datenverlust, Ausfall des eigenen IT-Systems oder der Cloud-Dienste) eine rasche Wiederaufnahme zumindest der wichtigsten und kritischsten Geschäftsprozesse zu ermöglichen, siehe hierzu nur BSI, Sicherheitsempfehlungen, S. 53 f. 86 Metzger/Reitz/Villar, Cloud Computing, S. 20; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 461.
B. Erscheinungsformen
47
können.87 In diesem Fall können die Kostenvorteile einer Public Cloud bei einer gleichzeitig gegebenen Kontrolle über die geschäftskritischen Funktionalitäten im Rahmen einer on-premise betriebenen Private Cloud realisiert werden.88 Da aber die einzelnen Clouds auch nach ihrer Kombination zu einer Hybrid Cloud weiterhin selbstständige spezifische Entitäten darstellen,89 setzen sich die vor allem in der Public und Community Cloud bestehenden Sicherheitsrisiken in der Hybrid Cloud fort. In diesem Zusammenhang bestehen vor allem Herausforderungen im Hinblick auf die Integrität und Interoperabilität der unabhängigen Cloud-Umgebungen, die Überwachung der einzelnen Schnittstellen sowie bezüglich der Umsetzung eines einheitlichen und wirksamen Sicherheitsmanagements.90 In Anbetracht dessen besteht auch bei dieser Bereitstellungsform das Risiko, dass infolge der komplexen Verbindung der einzelnen Systemkomponenten Schwachstellen entstehen, die als Einfallstor für Angriffe von Innentätern fungieren können.91 5. Virtual Private Cloud Die Virtual Private Cloud stellt eine Kombination aus einer Public Cloud und einer Private Cloud dar.92 Bei diesem Nutzungsmodell wird eine virtuelle Private Cloud über eine Public Cloud bereitgestellt, wodurch dem Nutzer eine durch entsprechende Sicherheitsmaßnahmen abgeschottete und individualisierte IT-Umgebung zur Verfügung gestellt wird.93 Im Gegensatz zur Private Cloud erfolgt die Mandantentrennung aber nicht auf der physischen Hardwareebene, sondern lediglich auf der logischen Netzwerkebene in der Public Cloud.94 Hierfür erhält der Kunde einen definierten IP-Adressbereich und kann Sicherheitsfunktionen des Netzwerks (wie z.B. Firewalls) selbst verwalten.95 Dadurch kann der Cloud-Nutzer die virtu87 Bedner, Cloud Computing, S. 34; Wind, Evaluierung, S. 34; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 29; Barnitzke, Rechtliche Rahmenbedingungen, S. 54; Hennrich, Cloud Computing, S. 79; Metzger/Reitz/Villar, Cloud Computing, S. 20. 88 Wind, Evaluierung, S. 34; Vogel/Koçog˘ lu/Berger, Desktopvirtualisierung, S. 126. 89 ISO/IEC 17788:2014 (E), Punkt 6.5; Wind, Evaluierung, S. 34. 90 Hennrich, Cloud Computing, S. 80; Höllwarth, Cloud Migration, S. 153 ff.; BITKOM, Entscheider, S.18. 91 Siehe hierzu vor allem die Ausführungen zu den Angriffsformen auf die Multi-Cloud Interface S. 110 f.und die Angriffsvektoren innerhalb der Managementebene S. 115 ff. 92 Bedner, Cloud Computing, S. 35. 93 BITKOM, Entscheider, S. 18; Bedner, Cloud Computing, S. 35. 94 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 A, Rn. 15; Vossen/Haselmann/Hoeren, Cloud Computing, S. 31; Haselmann, Cloud-Services, S. 37. 95 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 A, Rn. 15. Als Anbieter einer Virtual Private Cloud ist vor allem Amazon zu nennen. Die Amazon Virtual Private Cloud stellt den Cloud-Nutzern einen logisch isolierten Bereich der Amazon Web Services (AWS) zur Verfügung. Bei der individuellen Konfiguration des Netzwerks ist es im Rahmen dieses CloudAngebots beispielsweise möglich, ein öffentlich zugängliches Subnetz mit Zugriff auf das Internet für die Webserver der Cloud-Nutzer einzurichten und die Backend-Systeme der
48
Kap. 1: Technische und organisatorische Grundlagen
alisierten IT-Ressourcen in einem von ihm definierten virtuellen Netzwerk ausführen und hat die vollständige Kontrolle über die virtuelle Netzwerkumgebung, u.a. bei der Auswahl des eigenen IP-Adressbereichs, dem Erstellen von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways.96 In der Virtual Private Cloud kann der Nutzer damit über eine quasi-individuelle Betriebsumgebung verfügen, die über ein in sich geschlossenes und verschlüsseltes VPN-Kommunikationsnetz mit seiner IT-Infrastruktur verbunden ist und auf die er mittels eines Webbrowsers über das Internet zugreifen kann.97 Der Cloud-Nutzer wird damit befähigt, die Vorteile einer Public Cloud mit denjenigen einer Private Cloud zu kombinieren. Die sichere Ausgestaltung des Kommunikationsnetzes einer Virtual Private Cloud geht nämlich mit der Skalierbarkeit, Verfügbarkeit, Flexibilität und dem Self-Service Modell einer Public Cloud einher.98 Die physischen Ressourcen (Server, Netzwerk, Speicher), die wie bei der Public Cloud von einem oder mehreren Cloud-Anbietern bereitgestellt werden, werden aber gleichzeitig von einer Vielzahl anderer Kunden genutzt, so dass nicht derselbe Grad an Isolation, wie bei einer physisch getrennten Private Cloud, gewährleistet ist.99 Ferner unterliegen zentrale Ebenen der Cloud-Architektur (besonders die Ressourcen- und die Virtualisierungsschicht)100 der Kontrolle der Cloud-Anbieter. Abgesehen von der Bedrohung eines unberechtigten Datenzugriffs durch eigene Mitarbeiter kann damit auch bei diesem Betriebsmodell nicht sicher ausgeschlossen werden, dass Angestellte der Cloud-Anbieter, andere Cloud-Nutzer und sonstige Innentäter unbefugt die in der Virtual Private Cloud ausgelagerten Nutzerdaten auslesen, verändern oder ihre Erreichbarkeit beeinträchtigen.101
II. Cloud-Servicemodelle Beim Cloud Computing werden zahlreiche, unterschiedliche Dienstleistungen angeboten. Zur Klassifizierung werden sie im Schrifttum abhängig von ihrem Abstraktionsgrad zumeist in drei Ebenen, namentlich Infrastructure as a Service (IaaS), Kunden, z.B. Datenbanken oder Anwendungsserver, in einem privaten Subnetz ohne Internetzugang zu betreiben. Auch können die Cloud-Nutzer mehrere Sicherheitsebenen einrichten, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten (ACLs), die den Zugriff auf Amazon EC2-Instanzen in den einzelnen Subnetzen steuern; vgl. hierzu https://aws.amazon. com/de/vpc/ (Webseite zuletzt aufgerufen am 01. 02. 2018). 96 Die Netzwerkkonfigurationen kann der Cloud-Nutzer zudem individuell mit dem CloudAnbieter in Service Level Agreements vereinbaren; vgl. auch BITKOM, Entscheider, S. 19. 97 BITKOM, Entscheider, S. 18. 98 Bedner, Cloud Computing, S. 35. 99 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 A, Rn. 15; Vossen/Haselmann/Hoeren, Cloud Computing, S. 32; Haselmann, Cloud-Services, S. 37. 100 Siehe hierzu die Ausführungen unter S. 78 f. 101 Zu den möglichen Angriffsoptionen der Innentäter siehe S. 94 ff.
B. Erscheinungsformen
49
Platform as a Service (PaaS) und Software as a Service (SaaS) eingeordnet.102 Diese Cloud-Dienstleistungen werden als ein Schichtenmodell103 oder eine Pyramide104 dargestellt, wobei die Infrastrukturschicht als Basis die unterste Ebene bildet, auf der zunächst die Plattformschicht und darauf wiederum die Softwareschicht aufbaut.105 Dieses Schichtenmodell resultiert daraus, dass die höheren abstrakteren Schichten in der Regel die Dienste der tieferen Schichten nutzen.106 Dabei ist es aber nicht zwingend, dass die einzelnen Abstraktionsebenen strikt aufeinander aufbauen, da eine höhere Schicht die Dienste aller unterliegenden Schichten und nicht nur die der nächsten tieferen Schicht für die eigene Dienstrealisierung in Anspruch nehmen kann.107 So ist es etwa denkbar, dass eine SaaS-Lösung direkt auf einer IaaS-Plattform ohne Nutzung der dazwischen liegenden PaaS-Dienste zur Verfügung gestellt wird.108 Weiter können die Cloud-Dienste auch alleine und unabhängig von tieferen Ebenen realisiert werden. Beispielsweise kann ein PaaS-Dienstangebot direkt auf virtualisierter Hardware aufsetzen, ohne hierbei IaaS-Dienste in Anspruch zu nehmen.109 Indem vielfältige Möglichkeiten bestehen, wie die einzelnen IaaS-/PaaS- und SaaS-Ebenen zur Bereitstellung der Cloud-Dienste genutzt und kombiniert werden können, wird das Schichtenmodell zum Teil mit der Begründung angezweifelt, dass 102 NIST, Special Publication 800-145, S. 2; ENISA, Benefits, Risks 2012, S. 5; BSI, Sicherheitsempfehlungen, S. 17 ff.; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 4; BITKOM, Evolution in der Technik, S. 22; BITKOM, Entscheider, S. 15; Lissen/Brünger/Damhorst, IT-Services, S. 15; Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 6 ff.; Barnitzke, Rechtliche Rahmenbedingungen, S. 46; Limoncelli/Chalup/Hogan, Practice of Cloud, S. 52; Giedke, Cloud Computing, S. 28; Söbbing, Handbuch IT-Outsourcing, Kap. 2, Rn. 409; Bedner, Cloud Computing, S. 29; Wind, Evaluierung, S. 27; Haselmann, Cloud-Services, S. 31; Meir-Huber, Cloud Computing, S. 23; Metzger/Reitz/Villar, Cloud Computing, S. 22; Heidrich/Wegener, MMR 2010, 803 (803); Spies, MMR 2009, XI (XI). 103 Lenk/Klems/Nimis/Tai/Sandholm, in: ICSE 2009, S. 25; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 30. 104 Siehe nur Szer, Cloud Computing, S. 56; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 30. 105 Bedner, Cloud Computing, S. 29; Brennscheidt, Cloud Computing, S. 31; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 30; Wind, Evaluierung, S. 27; Fickert, in: Taeger/ Wiebe (Hrsg.), Inside the Cloud, S. 420. 106 Barnitzke, Rechtliche Rahmenbedingungen, S. 47; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 30; Giedke, Cloud Computing, S. 33; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 30. 107 BITKOM, Evolution in der Technik, S. 35; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 30 f.; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 19 f.; Haselmann, Cloud-Services, S. 32. 108 Haselmann, Cloud-Services, S. 32; Vossen/Haselmann/Hoeren, Cloud Computing, S. 28. 109 Haselmann, Cloud-Services, S. 32; Vossen/Haselmann/Hoeren, Cloud Computing, S. 28.
50
Kap. 1: Technische und organisatorische Grundlagen
eine klare Abgrenzung zwischen den drei Dienstkategorien praktisch nicht möglich sei.110 Auch vor dem Hintergrund, dass der Dienstleistungsmarkt des Cloud Computing dynamisch ist, so dass fortwährend neuartige Cloud-Dienste mit neuen informellen Dienstkategorien entwickelt und bereitgestellt werden, wird über diese grundsätzliche Klassifikation hinaus auch zwischen weiteren Ebenen und Dienstleistungsformen unterschieden.111 So werden z. B. auch Human as a Service (HuaaS)112 und Database as a Service (DBaaS)113 als weitere Service-Ebenen angeführt.114 In Anbetracht der diversen Nutzungsformen des Cloud Computing wird auch die Bezeichnung „Everything as a Service“ bzw. „Anything as a Service
110 Vossen/Haselmann/Hoeren, Cloud Computing, S. 28; Barnitzke, Rechtliche Rahmenbedingungen, S. 50; Szer, Cloud Computing, S. 56; Vollmer, Cloud, S. 30; Grenzer/Heitmüller, PinG 2014, 221 (222); Niemann/Paul, K&R 2009, 444 (445); Armbrust/Fox/Griffith/Joseph/ Katz, Above the Clouds, S. 4. 111 Vgl. BSI, Sicherheitsempfehlungen, S. 18; Vossen/Haselmann/Hoeren, Cloud Computing, S. 27 f.; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 29; Brennscheidt, Cloud Computing, S. 31; Meir-Huber, Cloud Computing, S. 28. Etwa unterscheiden Schuster/Reichl und Youseff/Butrico/Da Silva zwischen fünf möglichen Ebenen der Dienstleistungsbereitstellung. Neben den Schichten SaaS, PaaS und IaaS berücksichtigen sie auch den Software Kernel, in dem das Software Management für die Cloud-Umgebung durchgeführt wird, und die Bereitstellung von Hardware sowie Firmware (Hardware as a Service – HaaS) als weitere Ebenen; Schuster/Reichl, CR 2010, 38 (39); Youseff/Butrico/Da Silva, Ontology of Cloud Computing, S. 3 ff. Gegen diese Differenzierung spricht aber, dass die von ihnen angeführten weiteren Ebenen ohnehin schon Teile der im Rahmen der IaaS bereitgestellten Cloud-Infrastruktur sind. Die Schichten lassen sich demnach schon dem IaaS zuordnen; ebenso Bedner, Cloud Computing, S. 30. 112 Im Rahmen des Dienstleistungsangebots HuaaS werden menschliche Dienstleistungen, wie z.B. Programmierungen, Bilderkennungen, Textübersetzungen oder Datenauswertungen, die Bewertung, Verifizierung und das Ordnen von Daten sowie Tätigkeiten in der Buchhaltung und im Rechnungswesen, erbracht (Crowdsourcing). Die Cloud fungiert dazu als virtueller Arbeitsraum. HuaaS baut einerseits auf den drei Ebenen der Cloud-Dienste auf, andererseits differenziert es sich dabei aber durch die Erweiterung des Serviceangebots auf die Ressource Mensch stark von den klassischen Cloud-Angeboten. Aus diesem Grund lässt sich HuaaS schwer in eines der klassischen Service-Paradigma einordnen; hierzu Baun/Kunze/Nimis/Tai, Cloud Computing, S. 39 ff. Als HuaaS-Anbieter sind etwa Amazon Mechanical Turk und Upwork zu nennen. 113 Bei einem DBaaS-Angebot werden über ein Webinterface Datenbanken konfiguriert, die aus PaaS-Anwendungen oder direkt aus IaaS laufenden Anwendungen konsumiert werden. Die Installation und Wartung der Datenbanken erfolgt dabei durch den Cloud-Dienstleister; vgl. zu dem Ganzen ISO/IEC 17788:2014 (E), Anhang A Tabelle A.2; Marko, in: Blaha/Marko/ Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 20 ff.; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 24. 114 Als weitere Dienstleistungskategorien werden auch Desktop as a Service (DaaS), High Performance Computing as a Service (HPCaaS), Network as a Service (NaaS), Email-alsDienst, Management- und Sicherheit-als-Dienst genannt; ausführlich hierzu ISO/IEC 17788:2014 (E), Punkt 6.4 und Anhang A Tabelle A.1 und A.2; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 41; Terplan/Voigt, Cloud Computing, S. 27.
B. Erscheinungsformen
51
(XaaS)“ zur Charakterisierung der Cloud-Dienste verwendet.115 Dies verdeutlicht zum einen die Entwicklungsoffenheit des Geschäftsmodells für weitere Dienstleistungsangebote. Zum anderen bringt sie die gegebenen Kombinationsmöglichkeiten der einzelnen Cloud-Dienste zum Ausdruck sowie die Tatsache, dass sich die Ebenen infolge der Möglichkeit, auf gemeinsame IT-Funktionalitäten (z.B. Server, Speicher, Netzwerk) zurückzugreifen, teilweise überschneiden und nicht genau voneinander unterschieden werden können. Die verschiedenen Klassifikationen zeigen, dass die Cloud-Dienstleistungen je nach Verständnis unterschiedlich kategorisiert werden können. Hierbei ist es etwa möglich, die Cloud-Dienstleistungen als Spezifizierung einer Dienstkategorie des Ebenen-Modells (z.B. Human as a Service als Unterkategorie von SaaS116 oder Data Storage as Service (DSaaS)117 als Unterkategorie von IaaS118) einzuordnen oder sie als eigenständige Dienstleistungen zu klassifizieren. Letztendlich handelt es sich bei der klassischen Typisierung der Cloud-Dienstleistungen in die drei Dienstkategorien des Schichtenmodells um eine vereinfachte Darstellung der am häufigsten vorkommenden Servicemodelle, wobei sich nach der jeweils genutzten Dienstleistungsart der Administrationsumfang der Cloud-Anbieter und Cloud-Nutzer über die einzelnen Systemkomponenten der Cloud-Architektur und damit auch ihre Angriffsoptionen auf die Datenvertraulichkeit, die Integrität und Verfügbarkeit des Cloud-Systems bestimmen. Zur Feststellung ihrer serviceabhängigen Angriffsvektoren soll das drei Ebenen-Modell auch dieser Untersuchung zugrunde gelegt und im Folgenden näher beschrieben werden. 1. Infrastructure as a Service (IaaS) a) Charakteristika Bei diesem Cloud-Servicemodell werden den Nutzern infrastrukturbezogene Dienste, wie Rechenleistung (CPU119, RAM120 etc.), Datenspeicherkapazitäten und 115 Vgl. BSI, Sicherheitsempfehlungen, S. 18; Innovationsstiftung Bayerische Kommune, C3, S. 9; Terplan/Voigt, Cloud Computing, S. 25; Hennrich, CR 2011, 546 (547); Metzger/Reitz/ Villar, Cloud Computing, S. 22; Armbrust/Fox/Griffith/Joseph/Katz, Above the Clouds, S. 4. 116 BITKOM, Evolution in der Technik, S. 28; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 462; Mahnhart, in: TecChannel, Virtualisierung, S. 228. 117 DSaaS-Angebote ermöglichen die Nutzung von Datenspeichern und die damit verbundenen Funktionalitäten, ISO/IEC 17788:2014 (E), Punkt 6.4; Höllwarth, Cloud Migration, S. 160 f.; Schuster/Reichl, CR 2010, 38 (39); Nägele/Jacobs, ZUM 2010, 281 (282). Die DSaaS-Angebote können damit auch unter das Geschäftsmodell IaaS subsumiert werden. Beide Cloud-Dienste offerieren den Anwendern Speicherkapazitäten. 118 Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 464; Terplan/Voigt, Cloud Computing, S. 27. 119 CPU ist die Abkürzung für Central Processing Unit und bezeichnet den Hauptprozessor eines Computers.
52
Kap. 1: Technische und organisatorische Grundlagen
Netzwerkleistungen (z.B. Switches, Router, Firewalls) sowie unterstützende Infrastrukturdienste (insbesondere die Erstellung von Datenbackups) von einem oder mehreren Anbietern bedarfsgerecht zur Verfügung gestellt.121 Insofern werden essentielle Hardwareressourcen als Basisinfrastruktur offeriert, mit deren Hilfe die beiden SaaS- und PaaS-Ebenen realisiert werden können. Aus diesem Grund werden die IaaS-Dienste auch als Hardware as a Service (HaaS) bezeichnet.122 Die im Rahmen des IaaS-Angebots genutzten IT-Ressourcen werden von den zugrunde liegenden physischen Ressourcen abstrahiert und den Cloud-Nutzern über virtuelle Maschinen (VM) zur Verfügung gestellt,123 wodurch die verschiedenen Cloud-Anwender auf der logischen Ebene voneinander separiert werden können.124 Die IaaS-Nutzer haben bei diesem Cloud-Dienst die volle administrative Kontrolle über die virtuellen Ressourcen und können mittels einer von den Cloud-Anbietern bereitgestellten Benutzerschnittstelle die Zuteilung der Cloud-Ressourcen steuern („self-provisioning“) und in Eigenverantwortung eigene Betriebssysteme, Software und Daten auf ihren virtuellen Maschinen installieren.125 Im Gegenzug sind die Nutzer aber auch für die Absicherung ihrer VM, wie etwa für das Einspielen von Sicherheitspatches, dem Aufbau einer Benutzer-, Rollen- und Berechtigungsverwaltung und der Implementierung von virtuellen Firewalls, verantwortlich.126
120
Der Begriff RAM ist die Abkürzung für Random Access Memory und bezeichnet den Arbeitsspeicher eines Rechners. 121 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 17; BITKOM, Entscheider, S. 16; Barnitzke, Rechtliche Rahmenbedingungen, S. 48 f.; Wind, Evaluierung, S. 27; Brennscheidt, Cloud Computing, S. 32; Hennrich, Cloud Computing, S. 63. 122 BITKOM, Evolution in der Technik, S. 22; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 30; Bedner, Cloud Computing, S. 29. 123 BSI, Sicherheitsempfehlungen, S. 31; ENISA, Benefits, Risks 2012, S. 11; Hennrich, Cloud Computing, S. 63; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 29 f.; Barnitzke, Rechtliche Rahmenbedingungen, S. 48; Giedke, Cloud Computing, S. 55; Koch, in: Lehmann/ Meents (Hrsg.), Handbuch Informationstechnologierecht, Kap. 1, Rn. 47; Lehmann/Giedke, CR 2013, 608 (613); Birk/Wegner, DuD 2010, 641 (642). Ausführlich hierzu S. 65 ff. 124 Giedke, Cloud Computing, S. 29. 125 NIST, Special Publication 800-145, S. 3; NIST, Special Publication 800-144, S. 4; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 17 f.; BITKOM, Evolution in der Technik, S. 25; Hennrich, Cloud Computing, S. 64; Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), Cloud Computing, Teil 14, Rn. 12; Deussen/Strick/Peters, Cloud Computing, S. 18; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 31 f.; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 464; Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 7; Brennscheidt, Cloud Computing, S. 32; Barnitzke, Rechtliche Rahmenbedingungen, S. 48; Grenzer/Heitmüller, PinG 2014, 221 (222); Birk/Wegner, DuD 2010, 641 (642); Heidrich/Wegener, MMR 2010, 803 (804). 126 Bedner, Cloud Computing, S. 29; Brennscheidt, Cloud Computing, S. 32; Bengel/Baun/ Kunze/Stucky, Parallele und Verteilte Systeme, S. 464; Deussen/Strick/Peters, Cloud Compu-
B. Erscheinungsformen
53
Sämtliche auf den virtuellen Maschinen abgelegten Inhaltsdaten werden zudem auf den physischen Servern der Cloud-Anbieter gespeichert.127 Der Betrieb, die Konfiguration und die Verwaltung der physischen Infrastruktur (Server, Speicher, Netzwerk) und der virtuellen Umgebung erfolgen allein durch die IaaS-Anbieter, die sich hierfür oftmals auch weiterer Subunternehmer bedienen.128 Die Cloud-Nutzer haben hingegen prinzipiell keinen direkten Zugriff auf diese Kernkomponenten der Cloud-Infrastruktur.129 Allerdings kann ihnen eine begrenzte Kontrolle über ausgewählte Netzwerkkomponenten (z.B. Host-Firewalls) von den Cloud-Anbietern eingeräumt werden.130 b) IaaS in der Praxis Typische Beispiele für die IaaS-Ebene sind die Amazon Web Services (AWS) EC2 und S3.131 Als weitere gängige Speicherdienste, die zum Teil auch kostenlos genutzt werden können, sind insbesondere Dropbox132, Microsoft OneDrive133, Google Drive134 und Amazon Cloud Drive135 zu nennen. Zur Veranschaulichung der IaaS-Dienste soll nun ein vertiefter Blick auf die AWS geworfen werden.
ting, S. 18; BSI, IT-Grundschutz-Kataloge, M 2.519 Geregelte Benutzer- und Berechtigungsverwaltung im Cloud Computing, 14. EL, Stand 2014. 127 Vgl. auch Giedke, Cloud Computing, S. 55; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 462; Lehmann/Giedke, CR 2013, 608 (613). Ausführlich hierzu unter S. 65 f. 128 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), Cloud Computing, Teil 14, Rn. 12; Abbadi, Cloud Management, S. 5; Terplan/Voigt, Cloud Computing, S. 26; Hennrich, Cloud Computing, S. 63; Brennscheidt, Cloud Computing, S. 32; Birk/Wegner, DuD 2010, 641 (642); Heidrich/ Wegener, MMR 2010, 803 (804). 129 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 30; Barnitzke, Rechtliche Rahmenbedingungen, S. 48; Giedke, Cloud Computing, S. 28. 130 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; Deussen/ Strick/Peters, Cloud Computing, S. 18; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 464. 131 Zu Amazon EC2 siehe http://aws.amazon.com/de/ec2/ und zu Amazon S3 siehe https:// aws.amazon.com/de/s3/ (beide Webseiten zuletzt aufgerufen am 01. 02. 2018); vgl. auch ENISA, Benefits, risks 2012, S. 5; Barnitzke, Rechtliche Rahmenbedingungen, S. 49; Giedke, Cloud Computing, S. 29; Fickert, in: Taeger/Wiebe (Hrsg.), Inside the Cloud, S. 420; Deussen/Strick/ Peters, Cloud Computing, S. 18. Zu weiteren Beispielen siehe Baun/Kunze/Nimis/Tai, Cloud Computing, S. 33 f. 132 https://www.dropbox.com/ (zuletzt aufgerufen am 01. 02. 2018). 133 https://onedrive.live.com/about/de-de/ (zuletzt aufgerufen am 01. 02. 2018). 134 https://www.google.com/intl/de_de/drive/ (zuletzt aufgerufen am 01. 02. 2018). 135 https://www.amazon.de/clouddrive/home (zuletzt aufgerufen am 01. 02. 2018).
54
Kap. 1: Technische und organisatorische Grundlagen
(1) Amazon Elastic Compute Cloud (Amazon EC2) Bei dem IaaS-Dienst Amazon EC2, der ebenso wie Amazon S3 auf der global verteilten und permanent expandierenden Infrastruktur von Amazon erbracht wird,136 handelt es sich um einen Web-Service, bei dem Rechenleistung in verschiedenen EC2-Instanztypen im Rahmen einer Virtual Private Cloud bereitgestellt wird.137 Jeder Instanztyp ist eine virtuelle Maschine, die unterschiedliche Spezifikationen und Kombinationen an CPU, Arbeitsspeicher, Speicher- und Netzwerkkapazitäten aufweist und damit für verschiedene Einsatzszenarien (Verarbeitung von Spitzenlasten, RAM- und speicheroptimierte Datenverarbeitungen) geeignet ist.138 Über eine Web-Service-Oberfläche können die Cloud-Nutzer die bereitgestellten Cloud-Ressourcen bedarfsgerecht beziehen und ihre Instanzen konfigurieren.139 Außerdem können sie eine dem „Branchenstandard [entsprechende] verschlüsselte Ipsec-VPN-Verbindung“ einrichten.140 (2) Amazon Simple Storage Service (Amazon S3) Amazon S3 bietet den Cloud-Nutzern über das Internet skalierbaren Speicherplatz in verschiedenen auswählbaren Regionen an.141 Die Datenübertragung erfolgt über das hybride Verschlüsselungsprotokoll Secure Sockets Layer (SSL). Was die Datenspeicherung betrifft, so können die Daten entweder automatisiert mittels eines von Amazon verwalteten, symmetrischen Schlüssels des Advanced Encryption Standard (AES) mit 256 Bit oder mithilfe eines von den Cloud-Nutzern selbst verwendeten Schlüssels gespeichert werden.142 In der letztgenannten Alternative können die S3-Kunden zur Verwaltung des eigenen Verschlüsselungs-Keys auch den AWS Key Management Service (KMS) nutzen. Mittels weiterer von Amazon bereitgestellter Funktionalitäten, wie beispielsweise AWS-Richtlinien für Identity and Access Management, Zugriffsprotokolle und Lebenszyklus-Richtlinien, können die 136
Gegenwärtig erstreckt sich die Cloud-Architektur von Amazon auf 53 global verteilte Rechenzentren; http://aws.amazon.com/de/about-aws/global-infrastructure/ (zuletzt aufgerufen am 01. 02. 2018). 137 https://aws.amazon.com/de/ec2/; https://aws.amazon.com/de/ec2/details/ (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 138 Hennrich, Cloud Computing, S. 66; zu den EC2- Instanztypen siehe https://aws.amazon. com/de/ec2/instance-types/ (zuletzt aufgerufen am 01. 02. 2018). 139 http://aws.amazon.com/de/ec2/ (zuletzt aufgerufen am 01. 02. 2018); vgl. auch Giedke, Cloud Computing, S. 29; Metzger/Reitz/Villar, Cloud Computing, S. 93 f.; ausführlich zu Amazon EC2 siehe Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 465 f.; Lehner/Sattler, Management for the Cloud, S. 162 ff.; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 31 f.; Meir-Huber, Cloud Computing, S. 104 ff. 140 https://aws.amazon.com/de/ec2/details/ (zuletzt aufgerufen am 01. 02. 2018). 141 https://aws.amazon.com/de/s3/; https://aws.amazon.com/de/s3/details/ (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 142 Hierzu und im Folgenden siehe https://aws.amazon.com/de/s3/details/ (zuletzt aufgerufen am 01. 02. 2018).
B. Erscheinungsformen
55
Nutzer zudem die Zugriffsrechte auf ihre Daten und den Datenlebenszyklus verwalten. Durch diese programmgesteuerten Optionen haben sie etwa die Möglichkeit, anderen Nutzern selektiv die Verarbeitung ihrer Daten zu gestatten sowie Regeln für Löschvorgänge zu definieren, um Datengruppen nach Ablauf eines vordefinierten Zeitraums zu löschen. 2. Platform as a Service (PaaS) a) Charakteristika Die mittlere Schicht des drei Ebenen-Modells bildet der PaaS-Dienst. Bei diesem Cloud-Geschäftsmodell werden den Nutzern Ausführungs- und Entwicklungsplattformen abonnement- oder nutzungsbasiert angeboten, die der Erstellung und Implementierung von Anwendungsinfrastrukturen (Datenbanken, Security, Middleware) und Anwendungssoftware dienen.143 Die Entwicklungsumgebung beinhaltet technische Funktionen, wie Programmiersprachen, Datenbanken, Test- und Deployment-Tools, die es den Cloud-Nutzern ermöglichen, eigene Anwendungen zu entwickeln oder bestehende Cloud-Dienste zu erweitern.144 In der Laufzeitumgebung können dann die fertigen Applikationen ausgeführt und betrieben werden.145 Hierbei kann es sich sowohl um Anwendungen handeln, die zur eigenen Benutzung entwickelt wurden, als auch um Applikationen, die anderen Cloud-Nutzern mit Hilfe der Cloud-Infrastruktur der PaaS-Anbieter zur Verfügung gestellt werden.146 Demzufolge lassen sich mit dem Cloud-Dienst besonders im geschäftlichen Bereich Anwendungskomponenten entwickeln, die es Unternehmen ermöglichen, die CloudSoftware an konkrete Geschäftsabläufe anzupassen.147 Darüber hinaus richten sich die PaaS-Dienste im Allgemeinen vorwiegend an Softwareentwickler und Softwareanbieter, die, ohne eine eigene Infrastruktur vorhalten zu müssen, Anwendungen entwickeln und betreiben wollen.148 Die Programmier- und Ausführungsumgebung sowie die zugrundeliegenden physischen und virtuellen Ressourcen der verteilten Cloud-Infrastruktur werden 143 Hennrich, Cloud Computing, S. 68; vgl.auch BITKOM, Entscheider, S. 16; BITKOM, Evolution in der Technik, S. 25 f.; Höllwarth, Cloud Migration, S. 158; Bedner, Cloud Computing, S. 30; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 35; Wind, Evaluierung, S. 28; Hennrich, CR 2011, 546 (547); Heidrich/Wegener, MMR 2010, 803 (804). 144 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 33; Wind, Evaluierung, S. 28; Repschläger/Pannicke/ Zarnekow, HMD 2010, 6 (10). 145 Wind, Evaluierung, S. 29. 146 Tetzner, Sicherheitsanforderungen, S. 15; Giedke, Cloud Computing, S. 30. 147 BITKOM, Evolution in der Technik, S. 26; Barnitzke, Rechtliche Rahmenbedingungen, S. 49. 148 Bedner, Cloud Computing, S. 30; Vollmer, Cloud, S. 30; Heidrich/Wegener, MMR 2010, 803 (804); Repschläger/Pannicke/Zarnekow, HMD 2010, 6 (10).
56
Kap. 1: Technische und organisatorische Grundlagen
dabei von dem Cloud-Anbieter bereitgestellt und von diesem selbst oder unter Einschaltung von weiteren Subunternehmern verwaltet.149 In seinen Aufgabenbereich fällt insbesondere die Datensicherheit einschließlich des Update- und Patchmanagements.150 Die Cloud-Nutzer haben hingegen lediglich die Kontrolle über die von ihnen entwickelten Applikationen und können gegebenenfalls weitere Konfigurationseinstellungen für den Betrieb ihrer Anwendungen, wie etwa die Bestimmung der diesbezüglichen Zugriffsrechte, vornehmen.151 b) PaaS in der Praxis Bekannte Beispiele für PaaS-Dienste sind Google App Engine, App Cloud von Salesforce und Microsoft Windows Azure. Bei diesen Cloud-Diensten werden den PaaS-Nutzern im Rahmen einer Public Cloud Entwicklungs- und Ausführungsumgebungen, Plugins, Caches152 und Datenbanken zur Entwicklung und zum Hosting von Webanwendungen und mobilen Apps auf den weltweit verteilten Servern der Anbieter bereitgestellt.153 Für Geschäftsanwendungen werden ferner Tools angeboten, mit deren Hilfe Applikationen mit den nutzereigenen IT-Ressourcen verbunden werden können, um diese den eigenen Mitarbeitern und Geschäftspartnern zwecks Optimierung der Geschäftsabläufe im unternehmenseigenen Netzwerk zur Verfügung zu stellen. Skalierung, Patching und Verwaltung der Cloud-Infrastruktur erfolgen dabei allein durch die Anbieter, wohingegen die PaaS-Nutzer für die Administration ihrer Anwendungen verantwortlich sind. Ermöglicht wird ihnen dabei das Anwendungsmanagement über Werkzeuge und Tools der Cloud-Anbieter, durch welche sie beispielsweise die Benutzer- und Zugriffsrechte verwalten und die An-
149
NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 8, 33; Hennrich, Cloud Computing, S. 68; Deussen/Strick/Peters, Cloud Computing, S. 17; Haselmann, Cloud-Services, S. 31; Brennscheidt, Cloud Computing, S. 34. 150 Barnitzke, Rechtliche Rahmenbedingungen, S. 49 f.; Hennrich, Cloud Computing, S. 68. 151 NIST, Special Publication 800-145, S. 3; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 17; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 8, 33; Hennrich, Cloud Computing, S. 68; Wind, Evaluierung, S. 29; Deussen/Strick/Peters, Cloud Computing, S. 17; Haselmann, Cloud-Services, S. 31; Brennscheidt, Cloud Computing, S. 34. 152 Cache bezeichnet in der IT einen Puffer-Speicher, der dazu dient, bereits geladene oder generierte Daten vorzuhalten, damit sie bei der nächsten Datenverarbeitung schneller wieder aufgerufen werden können. 153 Zu Google App Engine siehe https://cloud.google.com/appengine/docs; Informationen zur App Cloud sind zu finden unter http://www.salesforce.com/platform/overview/; zum PaaSAngebot Microsoft Windows Azure siehe https://azure.microsoft.com/de-de/ (alle Webseiten zuletzt aufgerufen am 01. 02. 2018).
B. Erscheinungsformen
57
wendungs- und Inhaltsdaten verschlüsselt auf den Anbieterservern speichern können.154 3. Software as a Service (SaaS) a) Charakteristika Auf der SaaS-Ebene wird den Cloud-Kunden die Nutzung von vorkonfigurierter Software über ein Netzwerk ermöglicht, ohne dass sie hierfür eine Software-Lizenz erwerben oder die Software auf ihren Endgeräten installieren müssen.155 Die SaaSDienste weisen damit eine Ähnlichkeit zu dem Vorgängermodell des Application Service Providing (ASP) auf.156 Die Software, die auf der Cloud-Infrastruktur der Anbieter installiert ist, wird den SaaS-Nutzern über virtuelle Maschinen bereitgestellt, auf die sie über eine Programmierschnittstelle (API), wie beispielsweise einen Webbrowser oder eine APP, zugreifen können.157 Unter den SaaS-Dienst fallen dabei sowohl Softwarelösungen, die über einen PaaS-Dienst entwickelt worden sind als auch standardisierte Applikationen, die von einem SaaS-Anbieter angeboten werden.158
154 Vgl. nur https://www.salesforce.com/products/platform/services/how-you-secure/ (Webseite zuletzt aufgerufen am 01. 02. 2018). 155 BITKOM, Evolution in der Technik, S. 27; Barnitzke, Rechtliche Rahmenbedingungen, S. 50; Giedke, Cloud Computing, S. 30 f.; Brennscheidt, Cloud Computing, S. 35; Baun/Kunze/ Nimis/Tai, Cloud Computing, S. 35; Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 89; Wind, Evaluierung, S. 29; Meir-Huber, Cloud Computing, S. 28; Niemann/Paul, K&R 2009, 444 (445). 156 Ein elementarer Unterschied zwischen den beiden Konzepten besteht aber in der Ausrichtung der Systemarchitekturen. Beim ASP wird für jeden Kunden eine separate, dezidierte Infrastruktur bereitgehalten (Single-Tenant Architektur), wohingegen die Cloud-Anwender gleichzeitig und unabhängig voneinander dieselbe technische Infrastruktur gemeinsam nutzen (Multi-Tenant Architektur). Demnach ist bei der ASP-Nutzung auch stets bekannt, wo die ausgelagerten Kundendaten liegen, während beim Cloud Computing infolge der Virtualisierung der Hardware- und Softwareressourcen grundsätzlich unklar ist, auf welchen Servern die Daten gespeichert und verarbeitet werden; siehe zum Ganzen Haselmann, Cloud-Services, S. 25 f.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 17; Brennscheidt, Cloud Computing, S. 43; Bedner, Cloud Computing, S. 62; Intveen/Hilber/Rabus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 2, Rn. 149 f.; Meents, in: Lehmann/Meents (Hrsg.), Handbuch Informationstechnologierecht, Kap. 7, Rn. 256 f.; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 23; Nägele/Jacobs, ZUM 2010, 281 (281); Pohle/Ammann, K&R 2009, 625 (626); Repschläger/Pannicke/Zarnekow, HMD 2010, 6 (7); Intveen/Lohmann, ITRB 2002, 210 (210); Röhrborn/Sinhart, CR 2001, 69 (69). 157 NIST, Special Publication 800-145, S. 2; Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), Cloud Computing, Teil 14, Rn. 14; Wind, Evaluierung, S. 30; Giedke, Cloud Computing, S. 55 f.; Lehmann/Giedke, CR 2013, 608 (613). 158 Vollmer, Cloud, S. 31.
58
Kap. 1: Technische und organisatorische Grundlagen
Für alle Aspekte des Betriebs und der Administration der Cloud-Infrastruktur und der angebotenen Software ist allein der Service-Anbieter verantwortlich.159 Die gesamten Systemkomponenten werden von ihm kontrolliert und gegebenenfalls unter Einschaltung von Subunternehmern verwaltet.160 Das den Anbietern hierbei obliegende SaaS-Management umfasst im Besonderen die Konfiguration und den Betrieb des Cloud-Systems, die Skalierung der Cloud-Ressourcen und die zentrale Durchführung von Sicherheitsmaßnahmen (Updates, Patches, Backups etc.), die mit Wirkung für alle Nutzer zeitgleich vorgenommen werden.161 Die Sicherheit der Inhaltsdaten ist damit wesentlich von den umgesetzten Administrations- und Schutzmaßnahmen der SaaS-Anbieter abhängig. Dies gilt umso mehr, weil es den Cloud-Nutzern aufgrund des hohen Standardisierungsgrads der SaaS-Dienste nicht möglich ist, unabhängig von den Anbietern eigene individuelle Konfigurationen an der Hard- und Software vorzunehmen.162 b) SaaS in der Praxis Angesichts der stetigen Weiterentwicklung der SaaS-Dienste ist in der Praxis ein äußerst vielfältiges Angebotsspektrum vorzufinden.163 Im Consumer-Bereich reichen die Produkte von webbasierten E-Mail-Diensten (etwa GMX oder Google Mail) und Application-Services wie Google-Maps bis zu den sozialen Netzwerken Facebook, Twitter, LinkedIn, Xing, Google+, StudiVZ, StayFriends etc.164 159 Barnitzke, Rechtliche Rahmenbedingungen, S. 50; Brennscheidt, Cloud Computing, S. 35; Vollmer, Cloud, S. 31; Haselmann, Cloud-Services, S. 31; Lissen/Brünger/Damhorst, ITServices, S. 17; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 34; Deussen/Strick/ Peters, Cloud Computing, S. 16 f. 160 NIST, Special Publication 800-145, S. 2; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 18; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 8; Deussen/Strick/Peters, Cloud Computing, S. 16 f. 161 BITKOM, Evolution in der Technik, S. 27; Vollmer, Cloud, S. 31; Deussen/Strick/Peters, Cloud Computing, S. 17; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 34; Vossen/ Haselmann/Hoeren, Cloud Computing, S. 28 f.; Terplan/Voigt, Cloud Computing, S. 22 f.; Lissen/Brünger/Damhorst, IT-Services, S. 17; Metzger/Reitz/Villar, Cloud Computing, S. 16; Barnitzke, Rechtliche Rahmenbedingungen, S. 38; Bedner, Cloud Computing, S. 47; Heidrich/ Wegener, MMR 2010, 803 (804); Pohle/Ammann, K&R 2009, 625 (626). 162 Vgl. NIST, Special Publication 800-145, S. 2; Hennrich, Cloud Computing, S. 70; Brennscheidt, Cloud Computing, S. 35; Terplan/Voigt, Cloud Computing, S. 26; Deussen/ Strick/Peters, Cloud Computing, S. 17; Meir-Huber, Cloud Computing, S. 47; Birk/Wegner, DuD 2010, 641 (643). 163 BSI, Sicherheitsempfehlungen, S. 18; Meir-Huber, Cloud Computing, S. 28; Metzger/ Reitz/Villar, Cloud Computing, S. 89. 164 Vgl. Metzger/Reitz/Villar, Cloud Computing, S. 36; Hennrich, Cloud Computing, S. 70; Bräutigam, MMR 2012, 635 (636). Zu den datenschutzrechtlichen Problemen in den sozialen Netzwerken siehe etwa Yazar/Ammerich, NVwZ 2012, 1156 (1156 ff.); Erd, NVwZ 2011, 19 (19 ff.).
B. Erscheinungsformen
59
Im geschäftlichen Bereich werden vor allem Kommunikations- und Office-Anwendungen angeboten. Ein bekanntes Beispiel ist etwa der Cloud-Dienst „G Suite“,165 bei dem E-Mailanwendungen (GMail), HD-Video-, Sprach- oder TextChats (Hangouts), Kalenderanwendungen und Online-Editoren zum Erstellen von Textdokumenten, Tabellenkalkulationen, Präsentationen und Übersichten zur Benutzung bereitgestellt werden.166 In diesem Zusammenhang ist auch der CloudDienst „Microsoft Office 365“ zu nennen, bei dem die bekannten Office-Anwendungen (Outlook, Word, Excel, PowerPoint, Access) in der jeweils aktuellen Version online für den weltweiten Abruf vorgehalten werden.167 Auch für das Customer Relationship Management (CRM) und das Enterprise Ressource Planning (ERP) werden Geschäftsanwendungen u.a. von Salesforce, Microsoft Dynamics CRM 2011, SAP Business ByDesign, Oracle und von NetSuite angeboten.168 Die CRMAnwendungen dienen dabei dem Management des Vertriebs und der Kundenbeziehungen und sollen Unternehmen jeder Größe bei der Verwaltung von Kundenkontakten und der Steuerung des Vertriebs, beim Kundenservice und -support sowie beim Marketing in sozialen Netzwerken unterstützen.169 Die für das ERP-Management angebotenen Produkte verfolgen dagegen den Zweck, zur Optimierung der Geschäftsprozesse der cloudnutzenden Unternehmen Funktionen für den Einsatz und für die Verwaltung ihrer Unternehmensressourcen (Kapital, Personal, Betriebsmittel, Material) zur Verfügung zu stellen.170 Die Speicherung und Verarbeitung der Inhaltsdaten erfolgt dabei stets redundant auf den global verteilten CloudInfrastrukturen der SaaS-Anbieter.171. Im Rahmen eines Sicherheitskonzeptes haben sie für eine angemessene Daten- und Informationssicherheit der Cloud-Dienste zu sorgen, wohingegen die Nutzer eigene Sicherheitsmaßnahmen nur über hierfür
165
https://gsuite.google.com/intl/de/features/ (zuletzt aufgerufen am 01. 02. 2018), vgl. auch Wind, Evaluierung, S. 30; Deussen/Strick/Peters, Cloud Computing, S. 17. 166 https://gsuite.google.com/intl/de/features/ (zuletzt aufgerufen am 01. 02. 2018). 167 https://products.office.com/de-de/business/office (Webseite zuletzt aufgerufen am 01. 02. 2018). 168 http://www.salesforce.com/de/?ir=1; https://www.microsoft.com/de-de/dynamics/crm. aspx; http://go.sap.com/germany/product/enterprise-management/business-bydesign.html; https://www.oracle.com/applications/performance-management/index.html; http://www.netsui te.com/portal/products/netsuite/erp.shtml (alle Webseiten zuletzt aufgerufen am 01. 02. 2018); Wind, Evaluierung, S. 30; ausführlich hierzu Metzger/Reitz/Villar, Cloud Computing, S. 114 ff.; zu weiteren Beispielen siehe auch Baun/Kunze/Nimis/Tai, Cloud Computing, S. 38. 169 http://www.salesforce.com/de/?ir=1; https://www.microsoft.com/de-de/dynamics/crm. aspx; http://go.sap.com/germany/product/enterprise-management/business-bydesign.html (alle Webseiten zuletzt aufgerufen am 01.02. 2018); Hennrich, Cloud Computing, S. 72 f.; vgl. auch Metzger/Reitz/Villar, Cloud Computing, S. 114. 170 https://www.oracle.com/applications/performance-management/index.html; http://www. netsuite.com/portal/products/netsuite/erp.shtml (alle Webseiten zuletzt aufgerufen am 01. 02. 2018); siehe auch Metzger/Reitz/Villar, Cloud Computing, S. 118. 171 Vgl. nur https://products.office.com/de-de/business/office-365-trust-center-top-10-trusttenets-cloud-security-and-privacy (zuletzt aufgerufen am 01. 02. 2018).
60
Kap. 1: Technische und organisatorische Grundlagen
bereitgestellte und vorkonfigurierte Tools der Anbieter ergreifen können.172 In der Regel können sie etwa einen Kennwortschutz einrichten, ihre Daten auf dem Transportweg und im Speicherort durch Verschlüsselungs-Tools der Anbieter sichern oder anderen Nutzern Zugriffsrechte erteilen sowie deren Datenzugriffe und -änderungen mittels bereitgestellter Protokolldaten der Anbieter überwachen.173 4. Zusammenfassung Sofern die Cloud-Infrastruktur nicht on-premise betrieben wird,174 liegt das Management der Cloud-Dienstleistungen grundsätzlich in der gemeinsamen und geteilten Verantwortung der Cloud-Anbieter und der Cloud-Nutzer.175 Ihre jeweiligen Einflussmöglichkeiten auf die einzelnen Systemkomponenten der Cloud-Architektur werden aber von der genutzten Dienstleistungsart bestimmt. So geht auf der SaaS-Ebene die Gefahr eines Innentäter-Angriffs vorwiegend von dem Cloud-Anbieter aus, da die Cloud-Architektur, inklusive der bereitgestellten Software, allein durch ihn administriert wird.176 Zentrale Systemkomponenten werden von den Anbietern aber auch bei den IaaS- und PaaS-Diensten verwaltet. IaaS-Anbieter kontrollieren die physischen Ressourcen und die virtuelle Umgebung der Cloud, wodurch sie über ihre Administration des Netzwerks, der physischen Speicherbereiche und der Steuerung der virtuellen Systemressourcen auf die Inhaltsdaten ihrer Kunden zugreifen können.177 In den Aufgabenbereich der PaaS172 Vgl. hierzu das Sicherheitskonzept von Google; abrufbar unter https://gsuite.google. com/learn-more/security-google-apps.html (zuletzt aufgerufen am 01. 02. 2018); siehe auch NIST, Special Publication 800-145, S. 2; NIST, Special Publication 800-146, S. 5 – 3; NIST, Special Publication 800-144, S. 4; ENISA, Security & Resilience, S. 47; Abbadi, Cloud Management, S. 5; Vossen/Haselmann/Hoeren, Cloud Computing, S. 28. 173 Allgemein hierzu NIST, Special Publication 800-146, S. 5 – 3. 174 Mit Ausnahme der Public Cloud können alle Betriebsmodelle von den Cloud-Nutzern selbst bereitgestellt und verwaltet werden, siehe hierzu bereits oben unter S. 39 ff. 175 NIST, Special Publication 500-292, S. 9; NIST, Special Publication 800-144, S. 14; NIST, Special Publication 800-146, S. 5 – 3 ff.; CSA, Security Guidance V 4.0, S. 20 f.; Erl/Mahmood/ Puttini, Cloud, S. 45; Abbadi, Cloud Management, S. 5; Schrotz/Zdanowiecki, CR 2015, 485 (491). 176 Vgl. NIST, Special Publication 800-144, S. 4; NIST, Special Publication 800-145, S. 2; NIST, Special Publication 800-146, S. 5 – 3; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 18; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 8, 36; Deussen/Strick/Peters, Cloud Computing, S. 16 f.; Vollmer, Cloud, S. 31; Abbadi, Cloud Management, S. 5; Bengel/Baun/ Kunze/ Stucky, Parallele und Verteilte Systeme, S. 462; Haselmann, Cloud-Services, S. 31; Schrotz/Zdanowiecki, CR 2015, 485 (491). 177 Vgl. NIST, Special Publication 800-146, S. 7 – 2; BITKOM, Server-Virtualisierung – Teil 4, S. 7; Abbadi, Cloud Management, S. 5; Giedke, Cloud Computing, S. 57; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 11.; Vollmer, Cloud, S. 42; Barnitzke, Rechtliche Rahmenbedingungen, S. 31, 48; Lehmann/Giedke, CR 2013, 608 (613 ff.); Heidrich/Wegener,
B. Erscheinungsformen
61
Anbieter fällt außer den bereits beim IaaS administrierten Infrastrukturkomponenten zudem die Verwaltung der virtuellen Ressourcen sowie der Entwicklungs- und Ausführungsumgebungen, wodurch ihnen weitere Angriffsvektoren auf die Nutzerdaten ihrer Kunden eröffnet werden.178 Während die Cloud-Nutzer auf die Datenverarbeitung in der Cloud auf der SaaSEbene grundsätzlich keinen Einfluss nehmen können, wird die Gefahr eines Innentäter-Angriffs ihrerseits auf den jeweils niedrigeren Dienstebenen des DreiSchichten-Modells zunehmend größer. Je niedriger der betreffende Dienst im „Cloud-Stack“ liegt, desto mehr Angriffshandlungen können die Cloud-Nutzer auf das Cloud-System und auf die Inhaltsdaten anderer Kunden vornehmen.179 In dieser Hinsicht können sie die Datenverarbeitungsprozesse in der Cloud am meisten bei den IaaS-Diensten beeinträchtigen.180 In Anbetracht ihrer Befugnis, ihre virtuellen Maschinen eigenverantwortlich zu konfigurieren und eigene Anwendungen auf diesen zu installieren,181 ist es ihnen möglich, Schadsoftware in das Cloud-System einzuschleusen, mit der sie die Datenvertraulichkeit, die Integrität und Verfügbarkeit anderer Nutzerdaten beeinträchtigen können. Mögliche Angriffshandlungen können sie aber auch bei dem PaaS-Dienst ausüben. Denn über die bereitgestellten Plattformen der Anbieter ist es denkbar, dass sie schadhafte Applikationen entwickeln und im Cloud-System ausführen, mit denen sie ebenfalls andere Nutzerdaten auslesen oder manipulieren können.182
MMR 2010, 803 (804); Birk/Wegner, DuD 2010, 641 (642); vgl. auch Bengel/Baun/Kunze/ Stucky, Parallele und Verteilte Systeme, S. 422. 178 Vgl. NIST, Special Publication 800-144, S. 4; NIST, Special Publication 800-145, S. 2 f.; NIST, Special Publication 800-146, S. 6 – 3; ENISA, Security & Resilience, S. 47; BSI, Sicherheitsempfehlungen, S. 17 f.; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 8, 33; Wind, Evaluierung, S. 29; Vollmer, Cloud, S. 30; Meir-Huber, Cloud Computing, S. 26; Deussen/Strick/Peters, Cloud Computing, S. 17; Haselmann, Cloud-Services, S. 31; Brennscheidt, Cloud Computing, S. 34; Vossen/Haselmann/Hoeren, Cloud Computing, S. 29; Abbadi, Cloud Management, S. 5. 179 Vgl. Schrotz/Zdanowiecki, CR 2015, 485 (491); CSA, Security Guidance V 4.0, S. 20 f.; NIST, Special Publication 800-144, S. 5; BSI, Sicherheitsempfehlungen, S. 18; vgl. auch Höllwarth, Cloud Migration, S. 54; Erl/Mahmood/Puttini, Cloud, S. 73; vgl. auch BSI, ITGrundschutz-Kataloge, M 2.524 Modellierung von Cloud Management, 14. EL, Stand 2014. 180 Vgl. Abbadi, Cloud Management, S. 5; NIST, Special Publication 800-144, S. 4. 181 Vgl. NIST, Special Publication 800-146, S. 7 – 2; Abbadi, Cloud Management, S. 5; vgl. auch BITKOM, Evolution in der Technik, S. 25; BSI, Sicherheitsempfehlungen, S. 18; Bengel/ Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 464; Brennscheidt, Cloud Computing, S. 32; Barnitzke, Rechtliche Rahmenbedingungen, S. 48; Vossen/Haselmann/Hoeren, Cloud Computing, S. 30; Schrotz/Zdanowiecki, CR 2015, 485 (491); Grenzer/Heitmüller, PinG 2014, 221 (222); Birk/Wegner, DuD 2010, 641 (642); Heidrich/Wegener, MMR 2010, 803 (804). 182 Ausführlich zu den Angriffsoptionen der Cloud-Nutzer S. 100 ff.
62
Kap. 1: Technische und organisatorische Grundlagen
C. Referenzarchitektur Abhängig von den vielseitigen Aufbau- und Organisationsmöglichkeiten eines Cloud-Systems bestehen für Innentäter zahlreiche Angriffsoptionen, mit denen sie die Datenvertraulichkeit, die Integrität und Verfügbarkeit der Nutzerdaten beeinträchtigen können. Um für die strafrechtliche Bewertung zunächst ein einheitliches Verständnis für den technischen und organisatorischen Hintergrund des Cloud Computing zu schaffen, soll der weiteren Untersuchung das nachstehende Referenzmodell eines fremdbetriebenen Cloud-Systems zugrunde gelegt werden, das nach einer eingehenden Analyse vertretener Cloud-Referenzarchitekturen183, erarbeitet wurde.
I. Ressourcenschicht Die Grundlage jedes Cloud-Systems bildet die Schicht der physischen Ressourcen. Sie umfasst alle physischen Komponenten, die zum Aufbau und für den Betrieb einer Cloud-Infrastruktur notwendig sind. Dazu zählen vor allem die Server, die in ihnen befindlichen Speicher und Rechenleistungen sowie die auf ihnen installierten Applikationen, die im Rahmen der Cloud-Dienste IaaS, PaaS und SaaS angeboten werden.184 Die physischen Server, die sich häufig in global verteilten Rechenzentren befinden und zudem im Eigentum und im Betrieb von mehreren Anbietern stehen können, werden wiederum über ein internes Netzwerk miteinander zu einem Serververbund (Cluster) zusammengeschlossen, um eine hohe Skalierbarkeit und Verfügbarkeit der Cloud-Dienste zu gewährleisten.185 Ferner kann die 183 NIST, Special Publication 500-292, S. 3 ff.; NIST, Special Publication 500-291, S. 11; BSI, Sicherheitsempfehlungen, S. 23; BSI, IT-Grundschutz-Kataloge, M 4.446 Einführung in das Cloud Management, 14. EL, Stand 2014; CSA, Security Guidance V 4.0, S. 13 ff.; Internet Engineering Task Force, Cloud Reference Framework, S. 8 ff.; IBM, CCRA 4.0, S. 2 ff.; Oracle, Cloud Reference Architecture, S. 7 ff.; SwissICT, Cloud-Architektur, S. 7 ff.; Deloitte, Case Study Private Cloud, S. 5 ff.; ISO/IEC 17789:2014, S. 4 ff.; Abbadi, Cloud Management, S. 13 ff.; Guenther/Tami, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 114; Terplan/Voigt, Cloud Computing, S. 143, 149 ff.; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 30; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 29 f.; Stephanow/Banse/Schütte, in: HASE 2016, S. 261 f.; Phaphoom/Wang/Abrahamsson, ISRN Software Engineering 2013, S. 6 ff.; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (11); Youseff/Butrico/Da Silva, Ontology of Cloud Computing, S. 3 ff.; Foster/Zhao/Raicu/Lu, in: GCE ’08, S. 64 ff.; Streitberger/Ruppel, Cloud Computing Sicherheit, S. 27 ff.; Münch/Doubrava/Essoh, DuD 2011, 322 (323); Christmann/Hilpert/Thöne/Hagenhoff, HMD 2010, 62 (62 f.); Schuster/Reichl, CR 2010, 38 (38 f.). 184 Vgl. NIST, Special Publication 500-292, S. 13; NIST, Special Publication 500-291, S. 19; Internet Engineering Task Force, Cloud Reference Framework, S. 9 f.; ISO/IEC 17789:2014, S. 30. 185 Christmann/Hilpert/Thöne/Hagenhoff, HMD 2010, 62 (63); Lehmann/Giedke, CR 2013, 608 (610); Söbbing, MMR 2008, XII (XII f.); vgl. auch die Datenschutzerklärung von Dropbox, abrufbar unter https://www.dropbox.com/privacy. Die Amazon Cloud nutzt zur Be-
C. Referenzarchitektur
63
Abb. 1: Referenzarchitektur
Ressourcenschicht auch die Netzwerkkomponenten (Router, Switches, Firewall) beinhalten, die zur Bereitstellung der Netzwerkverbindungen zwischen den CloudAnbietern und ihren Nutzern sowie der Integration der Cloud-Dienste anderer Anbieter notwendig sind.186 reitstellung ihrer Dienste Rechenzentren in 11 verschiedenen Regionen (u.a. in Brasilien, Japan, Singapur, China, Irland, USA und Deutschland); siehe hierzu https://aws.amazon.com/de/ about-aws/global-infrastructure/. Auch das Unternehmen Google betreibt für ihre Google Cloud Plattform Rechenzentren in Nordamerika, Belgien und Asien, siehe hierzu https://cloud.google. com/about/datacenters/ (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 186 Vgl. NIST, Special Publication 500-292, S. 13; NIST, Special Publication 500-291, S. 19; Internet Engineering Task Force, Cloud Reference Framework, S. 9 f.; ISO/IEC 17789:2014,
64
Kap. 1: Technische und organisatorische Grundlagen
II. Virtualisierungsschicht Die Virtualisierung ist die zentrale Technik des Cloud Computing.187 Sie abstrahiert die physischen Ressourcen von der zugrunde liegenden Systemstruktur und ordnet sie mehreren virtuellen Systemen (virtuelle Maschinen), die parallel und nebeneinander auf demselben physischen Hardwaresystem (Host) betrieben werden können, für die Nutzung der Cloud-Dienstleistungen zu.188 Hierbei wird den CloudNutzern ein abstraktes System präsentiert, das die physischen Eigenschaften der Hardware verbirgt.189 Die Virtualisierung ermöglicht eine Zusammenfassung der Ressourcen zu einem Hochleistungsrechner (Ressource pooling), mit dem die Cloud-Dienste im Rahmen einer Multi-Tenant-Architektur mehreren, verschiedenen Cloud-Nutzern für eine dynamische und gleichzeitige Inanspruchnahme der Cloud-Dienste zur Verfügung gestellt werden.190 Die Virtualisierung und Konsolidierung der IT-Ressourcen führt zudem dazu, dass die Cloud-Dienstleistungen nicht von einem einzelnen Server, sondern von dem gesamten global vernetzten Cluster bezogen werden, wodurch eine optimale Auslastung der Cloud-Infrastruktur erreicht wird.191 Entsprechend dem tatsächlichen Bedarf bzw. den Lastveränderungen werden die physischen Ressourcen innerhalb kurzer Zeit und ohne großen Aufwand feingranular und dynamisch
S. 30; BSI, IT-Grundschutz-Kataloge, M 4.446 Einführung in das Cloud Management, 14. EL, Stand 2014. 187 Siehe nur BSI, Sicherheitsempfehlungen, S. 30; BITKOM, Evolution in der Technik, S. 72; Lissen/Brünger/Damhorst, IT-Services, S. 10; Meir-Huber, Cloud Computing, S. 38; Bedner, Cloud Computing, S. 40; Chee/Franklin, Cloud Computing, S. 46; Vollmer, Cloud, S. 42; Lehmann/Giedke, CR 2013, 608 (608); Nägele/Jacobs, ZUM 2010, 281 (281); Pohle/ Ammann, CR 2009, 273 (274). 188 BITKOM, Evolution in der Technik, S. 71; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 40 f.; Vogel/Koçog˘ lu/Berger, Desktopvirtualisierung, S. 7; Lissen/ Brünger/Damhorst, IT-Services, S. 11; Vollmer, Cloud, S. 40; Mandl, Betriebssysteme, S. 297; Maisch, Informationelle Selbstbestimmung, S. 101; Gull, HMD 2010, 16 (17). 189 Vgl. Lissen/Brünger/Damhorst, IT-Services, S. 11; Barnitzke, Rechtliche Rahmenbedingungen, S. 31; Bedner, Cloud Computing, S. 40; Metzger/Reitz/Villar, Cloud Computing, S. 15; Giedke, Cloud Computing, S. 51; Lehmann/Giedke, CR 2013, 608 (611). 190 Vgl. NIST, Special Publication 800-145, S. 2; BSI, Sicherheitsempfehlungen, S. 14; Lissen/Brünger/Damhorst, IT-Services, S. 11, 14; Tetzner, Sicherheitsanforderungen, S. 23 f.; Metzger/Reitz/Villar, Cloud Computing, S. 15; Heier/Abt/Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 49; Reuter/Brix, Cloud Computing, S. 6; Wicker, Cloud Computing, S. 41; Giedke, Cloud Computing, S. 51; Vollmer, Cloud, S. 41 f.; Terplan/Voigt, Cloud Computing, S. 21 f.; Szer, Cloud Computing, S. 45; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 5, 11; Wind, Evaluierung, S. 26; Lehmann/Giedke, CR 2013, 608 (611); Nägele/Jacobs, ZUM 2010, 281 (281); Heidrich/Wegener, MMR 2010, 803 (803); Pohle/Ammann, CR 2009, 273 (274); Pohle/Ammann, K&R 2009, 625 (626). 191 BITKOM, Server-Virtualisierung – Teil 1, S. 5 f.; BITKOM, Evolution in der Technik, S. 71; Vollmer, Cloud, S. 40; Haselmann, Cloud-Services, S. 18.
C. Referenzarchitektur
65
hinzugefügt oder entfernt.192 Die Ressourcen können dadurch den Cloud-Nutzern nahezu beliebig skalierbar zur Verfügung gestellt (Rapid elasticity) und nach dem tatsächlichen Verbrauch abgerechnet werden (Pay-Per-Use-Prinzip)193. Zur Realisierung des Cloud Computing können verschiedene Virtualisierungstechnologien verwendet werden.194 Mangels einer Standardisierung hängt dabei die Wahl der Virtualisierungsform allein von der Entscheidung des Cloud-Anbieters ab.195 Grundlegende Bestandteile aller Virtualisierungsvarianten sind aber stets der Hypervisor (Virtual Machine Monitor) und die virtuellen Maschinen.196 1. Virtuelle Maschinen Die virtuellen Maschinen stellen nachgebildete, isolierte Computereinheiten mit einem eigenen Gast-Betriebssystem (Gast-OS) dar, auf denen die Nutzer ihre Daten speichern und eigene Anwendungen installieren und ausführen können.197 Sie stellen den Cloud-Nutzern den Zugriff auf das Cloud-Netzwerk zur Verfügung und ermöglichen, die virtualisierten physischen Cloud-Ressourcen, wie etwa die Rechenleistung der CPUs, den Arbeitsspeicher, die Anwendungen und Speichersys-
192
NIST, Special Publication 800-145, S. 2; BITKOM, Evolution in der Technik, S. 71; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 411; Wind, Evaluierung, S. 24 f.; Barnitzke, Rechtliche Rahmenbedingungen, S. 32; Lissen/Brünger/Damhorst, ITServices, S. 15; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Nägele/Jacobs, ZUM 2010, 281 (281). In einem virtualisierten Rechenzentrum können die Server mit einer Auslastung von 70 – 90 % laufen, wohingegen in traditionellen Rechenzentren die Server oft nur zu 5 – 10 % ausgelastet sind; Vossen/Haselmann/Hoeren, Cloud Computing, S. 22; BITKOM, Evolution in der Technik, S. 71; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 11. 193 NIST, Special Publication 800-145, S. 2; BSI, Sicherheitsempfehlungen, S. 14 f.; BITKOM, Evolution in der Technik, S. 24; Barnitzke, Rechtliche Rahmenbedingungen, S. 33. 194 Hennrich, Cloud Computing, S. 52; Vollmer, Cloud, S. 45; Meinel/Willems/Roschke/ Schnjakin, Virtualisierung, S. 9; Heidrich/Wegener, MMR 2010, 803 (803); Birk/Wegner, DuD 2010, 641 (642); Pohle/Ammann, CR 2009, 273 (274). 195 Vollmer, Cloud, S. 45 f. Ausführlich zu den Virtualisierungsvarianten Giedke, Cloud Computing, S. 64 ff.; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 7 ff.; Kusnetzky, Virtualization, S. 468 ff.; Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 419 ff.; kürzer: BSI, IT-Grundschutz-Kataloge, M 3.70 Einführung in die Virtualisierung, 12. EL, 2011; Reuter/Brix, Cloud Computing, S. 11 f.; Lehmann/Giedke CR 2013, 608 (614 f.). 196 Vgl. Rocha, Insider Threat, S. 16 f.; Hoffmann, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 9; Giedke, Cloud Computing, S. 54; Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 59; Lehmann/Giedke, CR 2013, 608 (613); Rocha/Gross/van Moorsel, in: Campbell (Hrsg.), IC2E 2013, S. 89. 197 Rocha, Insider Threat, S. 17; Gull, HMD 2010, 16 (17); vgl. auch Giedke, Cloud Computing, S. 55; Lehmann/Giedke, CR 2013, 608 (613); Koch, in: Lehmann/Meents (Hrsg.), Handbuch Informationstechnologierecht, Kap. 1, Rn. 42.
66
Kap. 1: Technische und organisatorische Grundlagen
teme, zu nutzen.198 Die virtuellen Maschinen werden dabei durch den Hypervisor geschaffen, der ihnen wiederum die physischen Systemressourcen zuweist.199 Durch diese Interaktion mit dem Hypervisor werden die virtuellen Maschinen und sämtliche auf ihnen installierten Programme und gespeicherten Daten auf dem physischen Speichersystem der Cloud-Infrastruktur abgebildet.200 Dies hat zum einen zur Folge, dass alle in den virtuellen Maschinen befindlichen Inhaltsdaten auf den physischen Serververbund der Cloud-Anbieter gespeichert werden.201 Zum anderen bedeutet diese Provisionierung aber auch, dass sämtliche virtuellen Maschinen, die auf denselben physischen Servern laufen, von dem zugrunde liegenden physischen Hostsystem abhängig sind.202 Störungen und Beeinträchtigungen der physischen Instanz, wie etwa der Netzwerkanbindung oder der Speichermedien, wirken sich daher auch auf sämtliche auf ihr laufenden virtuellen Systeme aus. Die zugrunde liegende physische Cloud-Infrastruktur stellt deshalb für die Daten und Anwendungen der Cloud-Nutzer ein sog. Single Point of Failure (SPOF) dar.203 Dieses Risiko kann allerdings vermieden werden, wenn der Cloud-Anbieter die virtuelle Infrastruktur hochverfügbar auslegt, indem er durch Backups und den Einsatz von redundanten Systemkomponenten die Zuverlässigkeit des Cloud-Systems erhöht.204 Eine weitere Konsequenz der multimandantenfähigen Ressourcenzuteilung ist, dass einem Cloud-Nutzer keine separate dezidierte Infrastruktur zugewiesen wird.205 Es gibt grundsätzlich keine feste lokalisierbare Hardware, auf die er ausschließlich zugreifen kann, sondern alle Cloud-Nutzer beanspruchen parallel die gleichen
198 Vgl. Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 13; Giedke, Cloud Computing, S. 55; Hennrich, Cloud Computing, S. 53; Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 59; Lehmann/Giedke, CR 2013, 608 (613). 199 Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 59; Giedke, Cloud Computing, S. 57; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 13; Barnitzke, Rechtliche Rahmenbedingungen, S. 31; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 15; Hoffmann, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 9; Lehmann/Giedke, CR 2013, 608 (613 ff.). 200 Vgl. Giedke, Cloud Computing, S. 56; Lehmann/Giedke, CR 2013, 608 (613); Vollmer, Cloud, S. 42; Lindinger, Virtuelle Infrastrukturen, S. 18, 23, 26 ff.; Lehmann/Giedke, CR 2013, 608 (613). 201 Vossen/Haselmann/Hoeren, Cloud Computing, S. 22; Giedke, Cloud Computing, S. 56; Lehmann/Giedke, CR 2013, 608 (613); Schulz, MMR 2010, 75 (78); Pohle/Ammann, CR 2009, 273 (274). 202 Vgl. Barnitzke, Rechtliche Rahmenbedingungen, S. 39 f.; BSI, IT-Grundschutz-Kataloge, B 3.304 Virtualisierung, S. 1, 12. EL, Stand 2011. 203 Barnitzke, Rechtliche Rahmenbedingungen, S. 40; Lissen/Brünger/Damhorst, IT-Services, S. 29; Erl/Cope/Naserpour, Cloud, S. 20. 204 Barnitzke, Rechtliche Rahmenbedingungen, S. 40; Vossen/Haselmann/Hoeren, Cloud Computing, S. 55 f.; vgl. auch Erl/Cope/Naserpour, Cloud, S. 119 f. 205 Lehmann/Giedke, CR 2013, 608 (612); siehe auch Terplan/Voigt, Cloud Computing, S. 35.
C. Referenzarchitektur
67
Ressourcen und teilen sich gemeinsam denselben physischen Serververbund.206 Nur auf der virtuellen Ebene werden sie durch den Hypervisor voneinander separiert.207 Hierzu hat dieser sicherzustellen, dass die einzelnen virtuellen Maschinen voneinander isoliert sind und nur der jeweils berechtigte Nutzer auf die eigenen Daten und Anwendungen zugreifen kann (Mandantentrennung).208 Dazu muss er gewährleisten, dass die einzelnen virtuellen Systeme nur über festgelegte Wege miteinander kommunizieren und nur über definierte Kanäle auf die physischen Ressourcen zugreifen können.209 2. Virtual Machine Monitor Der Hypervisor stellt wiederum eine Software-Komponente dar, die als Zwischenschicht zwischen den physischen Hardwareressourcen und den virtuellen Systemen dazu dient, die virtuellen Maschinen, die auf derselben Serverhardware in Betrieb sind, zu steuern.210 Er kann entweder als Software direkt auf der Hardware laufen (Typ 1-Hypervisor bzw. Bare Metal-Hypervisor) oder als Applikation innerhalb eines Host-Betriebssystems ausgeführt werden (Typ 2-Hypervisor bzw. Hosted Hypervisor).211 Seine Steuerungs- und Verwaltungsfunktion besteht darin, 206 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 38; Heier/Abt/ Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 47; Barnitzke, Rechtliche Rahmenbedingungen, S. 31; Lissen/Brünger/Damhorst, IT-Services, S. 14; Lehmann/Giedke, CR 2013, 608 (612); vgl. auch Erl/Cope/Naserpour, Cloud, S. 17. 207 Vgl. Terplan/Voigt, Cloud Computing, S. 35; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 45; Rocha, Insider Threat, S. 20; Rocha/Gross/van Moorsel, in: Campbell (Hrsg.), IC2E 2013, S. 89; Hornung/Sädtler, CR 2012, 638 (639). 208 Bedner, Cloud Computing, S. 47; vgl. auch Baun/Kunze/Nimis/Tai, Cloud Computing, S. 11. 209 BSI, IT-Grundschutz-Kataloge, M 3.70 Einführung in die Virtualisierung; B 3.304 Virtualisierung, S. 4, jeweils 12. EL, Stand 2011. Die sichere Isolierung der Anwendungen und Daten kann mittels der Hypervisorfunktionen, z.B. über Sandboxing, virtuell getrennte Speicherbereiche und Tagging erfolgen; BSI, IT-Grundschutz-Kataloge, GR 5.23 Cloud Management, 14. EL, Stand 2014. Darüber hinaus kann die Mandantentrennung auch an weiteren Komponenten der Cloud-Infrastruktur technisch umgesetzt werden. Beispielsweise kann eine technische Isolation der Cloud-Nutzer und deren Daten auch auf der Netzwerkebene durch virtuelle Firewalls, VLANs oder Maßnahmen im Speichernetz wie LUN Masking und in der Ressourcenschicht durch eine getrennte Bereitstellung der physischen Ressourcen erreicht werden; ausführlich zu den technischen Möglichkeiten der Mandantentrennung BSI, ITGrundschutz-Kataloge, M 4.445 Durchgängige Mandantentrennung von Cloud-Diensten, 14. EL, Stand 2014; Erl/Mahmood/Puttini, Cloud, S. 140 ff. 210 BSI, Sicherheitsempfehlungen, S. 30; Dille/Grote/Kaczenski/Kappen, Microsoft HyperV, S. 59; Hoffmann, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 9; Baun/Kunze/ Nimis/Tai, Cloud Computing, S. 15. 211 BITKOM, Server-Virtualisierung – Teil 4, S. 6; Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 61 ff.; Beckereit, in: Köhler-Schute, Cloud Computing, S. 70; Giedke, Cloud Computing, S. 57; Lehmann/Giedke, CR 2013, 608 (613 ff.). Die Vorteile der HostedVariante liegen vor allem in der größeren Flexibilität: Derartige Virtualisierungsprodukte
68
Kap. 1: Technische und organisatorische Grundlagen
die virtuellen Maschinen zu schaffen und auszuführen, insbesondere zu starten oder zu stoppen, sowie die physischen und virtuellen Systemressourcen zentral zu verwalten.212 Hierfür teilt er die Hardwareressourcen den einzelnen virtuellen Systemen dynamisch zu, indem er diesen zeit- und lastabhängig den Zugriff auf die Ressourcen des physischen Cloud-Systems gestattet.213 Dadurch ermöglicht der Hypervisor, dass eine Vielzahl von Cloud-Nutzern eine Partition eines physischen Servers nutzt, auf denen sie unterschiedliche Applikationen ausführen und konfigurieren können.214 Seine Steuerungs- und Verwaltungsfunktion ermöglicht zudem, die Speicherinhalte der virtuellen Maschinen, die zur Laufzeit vollständig im Speichersystem des physischen Servers existieren, sogar während ihres laufenden Betriebs mittels eines Clones (Duplikat der virtuellen Maschine mit derselben Konfiguration, virtuellen Festplatte und installierten Software wie das Original) bzw. eines Snapshots (Speicherabbild eines virtuellen Systems zu einem bestimmten Zeitpunkt) wie normale Dateien zu kopieren und auf einem anderen physischen Host-System wieder zu speichern.215 Mit dieser Methode lassen sich innerhalb kürzester Zeit und ohne großen Aufwand Sicherheitskopien der virtuellen Maschinen anlegen, um diese nach einem Datenverlust durch das erstellte Backup wiederherstellen zu können.216 Dies führt wiederum zu einer höheren Ausfallsicherheit und Verfügbarkeit der virtuellen Maschinen, da sie redundant auf den vernetzten physischen Serververbund als Sikönnen auf fast jedem Computer installiert werden und unterstützen nahezu jegliche Hardware, die an das Host-System angeschlossen ist. Sie ist daher insbesondere in der Desktopvirtualisierung weit verbreitet. Allerdings sind die Typ 1-Hypervisoren performanter; Meinel/Willems/ Roschke/Schnjakin, Virtualisierung, S. 13 f. Eine Mischform aus beiden Hypervisorarten stellt der sogenannte Hybrid Hypervisor dar, der unmittelbar auf der Hardware ausgeführt wird, aber zugleich die Vorteile eines vorhandenen Betriebssystems nutzbar macht; Maisch, Informationelle Selbstbestimmung, S. 103; Sitaram/Manjunath, Cloud, S. 353. 212 BITKOM, Server-Virtualisierung – Teil 4, S. 7; Giedke, Cloud Computing, S. 57; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 11; Vollmer, Cloud, S. 42; Barnitzke, Rechtliche Rahmenbedingungen, S. 31; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 14 f.; Hoffmann, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 9; Lehmann/Giedke, CR 2013, 608 (613 ff.); vgl. auch Bengel/Baun/Kunze/Stucky, Parallele und Verteilte Systeme, S. 422. 213 BITKOM, Server-Virtualisierung – Teil 4, S. 7; Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 59; Hennrich, Cloud Computing, S. 53; Giedke, Cloud Computing, S. 57; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 13; Barnitzke, Rechtliche Rahmenbedingungen, S. 31; Lehmann/Giedke, CR 2013, 608 (613 ff.). 214 Barnitzke, Rechtliche Rahmenbedingungen, S. 31; Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 13; vgl. auch Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 40; Metzger/Reitz/Villar, Cloud Computing, S. 3; Terplan/Voigt, Cloud Computing, S. 35; Mandl, Betriebssysteme, S. 314. 215 BSI, IT-Grundschutz-Kataloge, M 3.70 Einführung in die Virtualisierung, 12. EL, Stand 2011; Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 72 ff.; Barnitzke, Rechtliche Rahmenbedingungen, S. 33; Vollmer, Cloud, S. 49; vgl. auch Baun/Kunze/Nimis/Tai, Cloud Computing, S. 16 f.; Erl/Cope/Naserpour, Cloud, S. 522. 216 Barnitzke, Rechtliche Rahmenbedingungen, S. 33; Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 72 ff.; Vollmer, Cloud, S. 49; Erl/Mahmood/Puttini, Cloud, S. 361.
C. Referenzarchitektur
69
cherheitskopien vorgehalten werden können.217 Denn fällt ein physischer Server aus, kann die gesicherte Instanz auf einem anderen Host innerhalb des Cloud-Systems neu gestartet werden.218 Des Weiteren können die virtuellen Maschinen auch während ihres laufenden Betriebs zwischen verschiedenen physischen Systemen verschoben werden (Live Migration), um etwa das physische Host-System ohne Unterbrechung des Betriebs der laufenden virtuellen Maschinen warten zu können oder durch eine stetige auslastungsabhängige Neuzuweisung der physischen Ressourcen eine erhöhte Datenverarbeitungsgeschwindigkeit und Verfügbarkeit zu erreichen.219 Zuletzt wird die bedarfsgerechte Auslastung des Cloud-Systems auch dadurch erreicht, dass nicht mehr benötigte oder funktionslos gewordene virtuelle Maschinen durch den Hypervisor gelöscht werden können.220 Folge dieser Ressourcenzuteilung durch den Hypervisor ist allerdings, dass die Inhaltsdaten nicht lokalisierbar auf der IT-Infrastruktur der Cloud-Anbieter gespeichert werden.221 Denn zum einen können die Nutzerdaten mithilfe von Hochverfügbarkeitsnetzen auf dem weltweit vernetzten Serververbund der Anbieter – auch als Dateifragmente – verteilt gespeichert sein und zum anderen können sich die Speicherorte auch je nach Ressourcenauslastung jederzeit und sehr kurzfristig än217
BSI, IT-Grundschutz-Kataloge, M 3.70 Einführung in die Virtualisierung; B 3.304 Virtualisierung, S. 1, jeweils 12. EL, Stand 2011; Giedke, Cloud Computing, S. 79; Hennrich, Cloud Computing, S. 53; Barnitzke, Rechtliche Rahmenbedingungen, S. 33; Erl/Mahmood/ Puttini, Cloud, S. 161 f.; Lehmann/Giedke, CR 2013, 608 (615). Beispielsweise legt Amazon bei der Datenspeicherung bis zu 3 Kopien in verschiedenen Rechenzentren an; Baun/Kunze/ Nimis/Tai, Cloud Computing, S. 16 f. Der Serververbund bildet sodann ein Failover-Cluster, in dem bei einem Ausfall eines physischen Servers die anderen Rechner des Clusters, die die Daten redundant vorhalten, dessen Aufgaben übernehmen; vgl. Hennrich, Cloud Computing, S. 82. 218 Barnitzke, Rechtliche Rahmenbedingungen, S. 33; Hennrich, Cloud Computing, S. 82 f. Darüber hinaus werden Snapshots und Clones insbesondere auch im Rahmen des Patchmanagements und des Erstellens von Testsystemen, die dazu dienen Sicherheitslücken zu erkennen und zu schließen, verwendet; hierzu Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 76 f. 219 BSI, IT-Grundschutz-Kataloge, M 3.70 Einführung in die Virtualisierung, 12. EL, Stand 2011; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 16; Hennrich, Cloud Computing, S. 53; Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 71; Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 40; Barnitzke, Rechtliche Rahmenbedingungen, S. 33.; vgl. auch Giedke, Cloud Computing, S. 79; Erl/Cope/Naserpour, Cloud, S. 144 f., 148 f.; Bengel/Baun/ Kunze/Stucky, Parallele und Verteilte Systeme, S. 422; Vogel/Koçog˘ lu/Berger, Desktopvirtualisierung, S. 10; Erl/Mahmood/Puttini, Cloud, S. 361; Lehmann/Giedke, CR 2013, 608 (615). So können etwa in globalen Cloud-Infrastrukturen Ressourcen, die in einer Zeitzone zur Nachtzeit wenig ausgelastet sind, anderen Zeitzonen zur Verfügung gestellt werden, um Lastspitzen des dortigen Tagesgeschäfts abzudecken; Hennrich, Cloud Computing, S. 83. 220 Vgl. Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 74, 79 f.; Limoncelli/ Chalup/Hogan, Practice of Cloud, S. 58; Meir-Huber, Cloud Computing, S. 34 f. 221 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 27; Hornung/Sädtler, CR 2012, 638 (638 ff.); Nägele/ Jacobs, ZUM 2010, 281 (289 ff.); Pohle/Ammann, CR 2009, 273 (277); Söbbing, MMR 2008, XII (XIV).
70
Kap. 1: Technische und organisatorische Grundlagen
dern.222 Da die Aktionen des Hypervisors auch nicht auf den Endgeräten der Nutzer angezeigt werden und damit nicht nachvollzogen werden können,223 wissen die Cloud-Nutzer nicht, auf welchem physischen Cloud-Server sich ihre Daten befinden.224 Insofern ist die Virtualisierungstechnik auch für zentrale Rechtsfragen im Strafanwendungsrecht verantwortlich, die sich im Zusammenhang mit grenzüberschreitenden Insiderattacken vor allem dann ergeben, wenn ein Innentäter außerhalb der Bundesrepublik Deutschland die Vertraulichkeit, Integrität und Verfügbarkeit von Nutzerdaten angreift, die auf ausländischen Cloud-Servern gespeichert sind.225
III. Serviceschicht In der Serviceschicht werden entsprechend dem bereits vorgestellten Drei-Ebenen-Modell die Cloud-Dienste IaaS, PaaS und SaaS mittels einer Software implementiert und den Cloud-Nutzern zur Verfügung gestellt.226 Die Basis für die Bereitstellung der Dienstleistungen bilden dabei die virtuellen Ressourcen, welche die Cloud-Nutzer über die virtuellen Maschinen beziehen können.227 In der Illustration der Cloud-Referenzarchitektur bauen die drei Cloud-Dienste hierarchisch aufeinander auf. Diese Struktur ist aber nicht zwingend. So ist es auch möglich, dass die einzelnen Cloud-Dienstleistungen direkt auf der Virtualisierungsschicht liegen, ohne die jeweils darunter liegende Ebene des Schichtenmodells zu nutzen. Schließlich können die einzelnen Cloud-Services auch zu einem ein222 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 28; International Working Group on Data Protection in Telecommunications, Arbeitspapier, Rn. 31, 34; Hartung/Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 4, Rn. 230; Barnitzke, Rechtliche Rahmenbedingungen, S. 32; Bedner, Cloud Computing, S. 193; Söbbing, Handbuch IT-Outsourcing, Kap. 2, Rn. 407; Giedke, Cloud Computing, S. 79; Lehmann/Giedke, CR 2013, 608 (611); Schulz, MMR 2010, 75 (78); Schuster/Reichl, CR 2010, 38 (41); Nägele/Jacobs, ZUM 2010, 281 (289 ff.); Pohle/Ammann, CR 2009, 273 (274). 223 Vgl. Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 71; Lissen/Brünger/ Damhorst, IT-Services, S. 11; Reuter/Brix, Cloud Computing, S. 6; Metzger/Reitz/Villar, Cloud Computing, S. 15 f.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23; Barnitzke, Rechtliche Rahmenbedingungen, S. 33; Maisch, Informationelle Selbstbestimmung, S. 102; Schulz/ Rosenkranz, ITRB 2009, 232 (233). 224 Barnitzke, Rechtliche Rahmenbedingungen, S. 33; Lissen/Brünger/Damhorst, IT-Services, S. 11, 14; Maisch, Informationelle Selbstbestimmung, S. 102; Reuter/Brix, Cloud Computing, S. 6; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23; Lenzer, in: Conrad/ Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 18; Süptitz/Utz/Eymann, DuD 2013, 307 (308); Lehmann/Giedke, CR 2013, 608 (612); Schulz, MMR 2010, 75 (78); Pohle/Ammann, CR 2009, 273 (274); Spies, MMR 2009, XI (XI). 225 Ausführlich dazu S. 369 ff. 226 Hierzu bereits oben S. 48 ff. 227 Vgl. Internet Engineering Task Force, Cloud Reference Framework, S. 11.
C. Referenzarchitektur
71
heitlichen Cloud-Angebot miteinander kombiniert werden, was umfangreiche Kooperationsmöglichkeiten zwischen den einzelnen Dienstanbietern begründet. Beispielsweise können die PaaS- und SaaS-Anbieter anstatt die zum Bereitstellen ihrer Dienste notwendige physische Infrastruktur selbst zu betreiben auch auf mehrere IaaS-Anbieter zurückgreifen.228 Hierdurch wird ihnen ermöglicht, ihre PaaS- oder SaaS-Dienstleistungen mehreren Nutzern anzubieten und ihr Ressourcenbedarf an die Nachfrage ihrer Kunden anzupassen, obwohl sie selbst über keine oder nur über beschränkt leistungsfähige physische Ressourcen verfügen.229 Wie Abbildung 2 zu entnehmen ist, ergeben sich auf der Basis des DreiSchichten-Modells insgesamt vier mögliche Alternativen der Zusammenarbeit zwischen den einzelnen Dienstanbietern.230 Weiterhin ist es auch denkbar, dass die Cloud Service-Anbieter zum Betrieb ihrer Cloud-Dienste weitere Subunternehmer einschalten. Ein häufig vorkommendes Szenario ist etwa, dass die Infrastrukturanbieter für die Zurverfügungstellung ihrer Dienste mit anderen IaaS-Anbietern kooperieren, in dem jeder die Kapazitäten der anderen Infrastrukturprovider nutzt und umgekehrt seine eigenen Kapazitäten allen anderen Cloud-Anbietern zur Verfügung stellt.231 In diesem Fall werden oftmals zur dynamischen Provisionierung der virtuellen Ressourcen die Lastspitzen eines Rechenzentrums dadurch bewältigt, dass die Infrastrukturanbieter die Kapazitäten übersteigenden virtuellen Maschinen inklusive der auf ihnen gespeicherten Daten auf den physischen Servern eines weiteren unterbeauftragten IaaS-Anbieters betreiben.232 Eine spezielle Form eines Serviceanbieters stellt auch die Rolle des Cloud Brokers233, auch als Aggregator234 oder Inter Cloud Provider235 bezeichnet, dar. Sie treten sowohl als Anbieter als auch als Nutzer von Cloud-Diensten auf,236 indem sie 228 Barnitzke, Rechtliche Rahmenbedingungen, S. 45; Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 B, Rn. 28; Süptitz/Utz/Eymann, DuD 2013, 307 (307). 229 Barnitzke, Rechtliche Rahmenbedingungen, S. 46 f. 230 BITKOM, Evolution in der Technik, S. 35 ff. 231 Barnitzke, Rechtliche Rahmenbedingungen, S. 196; vgl. auch Erl/Mahmood/Puttini, Cloud, S. 64. 232 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 7; Barnitzke, Rechtliche Rahmenbedingungen, S. 33, 44; Bedner, Cloud Computing, S. 38; Barnitzke, Rechtliche Rahmenbedingungen, S. 204; Niemann/Hennrich, CR 2010, 686 (691); Schulz, MMR 2010, 75 (78). 233 NIST, Special Publication 500-292, S. 8. 234 Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 40; ders., in: Roßnagel (Hrsg.), Wolken, S. 61; Pelzl/Helferich/Herzwurm, Wertschöpfungsnetzwerke, S. 6; Böhm/ Koleva/Leimeister/Riedl/Krcmar, in: Altmann/Rana, Economics, S. 135; Böhm/Leimeister/ Riedl/Krcmar, IM+io (24) 2009, 6 (9). 235 ISO/IEC 17789:2014, S. 15 ff. 236 Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 48.
72
Kap. 1: Technische und organisatorische Grundlagen
Netzwerkschicht
Serviceschicht
S
S
P I
S P
I
SaaS
S P I
PaaS
P I
IaaS
Virtualisierungsschicht Ressourcenschicht Abb. 2: Bereitstellungsvarianten der drei Servicemodelle IaaS, PaaS und SaaS (Abbildung angelehnt an Haselmann, Cloud-Services, S. 32; Vossen/Haselmann/Hoeren, Cloud Computing, S. 29)
bereits existierende Dienstleistungen oder Teile von existierenden Diensten zu einem oder mehreren mehrwertbietenden Cloud-Dienstleistungen zusammenfassen, die sie wiederum ihren Kunden anbieten.237 Dementsprechend sind sie aus der Sicht eines Cloud-Providers Nutzer und aus der Sicht ihrer Kunden Cloud-Anbieter.238 Die Mehrwertdienste können beispielsweise Sicherheitsfunktionalitäten als Security-asa-Service (Firewall, Virenschutz, Verschlüsselungsmechanismen, Audits, Protokollierung der lesenden Datenzugriffe etc.)239 umfassen.240 Hierbei sind sie für eine 237
NIST, Special Publication 500-292, S. 8; Pelzl/Helferich/Herzwurm, Wertschöpfungsnetzwerke, S. 6; Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 40; ders., in: Roßnagel (Hrsg.), Wolken, S. 61; Böhm/Koleva/Leimeister/Riedl/Krcmar, in: Altmann/Rana, Economics, S. 135; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (9). 238 Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 40; Böhm/Leimeister/ Riedl/Krcmar, IM+io (24) 2009, 6 (9). 239 Ausführlich zu Sicherheitsleistungen als Cloud-Service Adelsberger/Drechsler, ITManagement-Perspektive, S. 10 f., 57 f.; Terplan/Voigt, Cloud Computing, S. 27 f. 240 NIST, Special Publication 500-292, S. 8. NIST weist die Tätigkeit von Sicherheitsaudits allerdings der Rolle des Cloud Auditors zu. In diesem Punkt unterscheidet NIST also zwischen Cloud Brokern und den Cloud Auditoren.
C. Referenzarchitektur
73
reibungslose Zusammenarbeit der angebotenen Dienstaggregation verantwortlich.241 Aus diesem Grund haben sie für das Kapazitätsmanagement (Planung, Überwachung und Anpassung der Ressourcenauslastung und Service-Performance) zu sorgen und zu gewährleisten, dass die Daten zwischen den verschiedenen Serviceanbietern und ihren Nutzern reibungslos und sicher übertragen werden.242 Typisches Beispiel für einen Aggregator ist das Unternehmen Salesforce, welches SaaS- und PaaS-Dienste anbietet und für den Vertrieb der entwickelten Anwendungen seiner Nutzer die Marktplattform AppExchange bereitstellt.243 Demzufolge agiert das Unternehmen nicht nur als Service-Anbieter, sondern auch als Betreiber einer Marktplattform, in dessen Eigenschaft er marktunterstützende Mehrwertdienste, wie die Unterstützung von Interessenten bei der Suche und Auswahl der vertriebenen Apps seiner Nutzer, anbietet.244 Eine Sub-Rolle der Cloud Broker stellen wiederum die Daten-Aggregatoren dar, deren Tätigkeit sich auf die technische Daten- und Systemintegration fokussiert.245 Sie sorgen dafür, dass die verschiedenen Daten und Cloud-Systeme der Service-Anbieter so aufbereitet werden, dass sie für den aggregierten, mehrwehrtbietenden Cloud-Dienst nutzbar und kompatibel sind.246 Die Schnittstelle, mittels derer die Service-Anbieter andere Cloud-Dienstleistungen flexibel in die eigene Cloud-Infrastruktur integrieren und zu einem CloudDienst kombinieren können, wird in der grafischen Darstellung der Referenzarchitektur durch die Bezeichnung „Multi-Cloud Interface“ hervorgehoben.247 Letztendlich kann hierüber eine komplexe und dynamisch miteinander vernetzte CloudArchitektur entstehen, in der die Speicher- und Verarbeitungsorte international
241
Böhm/Koleva/Leimeister/Riedl/Krcmar, in: Altmann/Rana, Economics, S. 135. Vossen/Haselmann/Hoeren, Cloud Computing, S. 80; Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 40; NIST, Special Publication 500-292, S. 8. 243 https://appexchange.salesforce.com/ (Webseite zuletzt aufgerufen am 01. 02. 2018); Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 1, Rn. 50; Böhm/Koleva/Leimeister/ Riedl/Krcmar, in: Altmann/Rana, Economics, S. 137. 244 Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 50; Böhm/Leimeister/ Riedl/Krcmar, IM+io (24) 2009, 6 (10 f.). Die Mehrwertdienste der Marktplattformbetreiber umfassen darüber hinaus auch häufig die Qualitätsbewertung der vertriebenen Cloud-Dienste anhand festgelegter Kriterien (Auditierung), die Definition von Service Level Agreements und die Leistungsabrechnung; Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 48; Pelzl/Helferich/Herzwurm, Wertschöpfungsnetzwerke, S. 6; Böhm/Koleva/Leimeister/Riedl/ Krcmar, in: Altmann/Rana, Economics, S. 134; vgl. auch Weiss, in: Niemann/Paul, Praxishandbuch, S. 29; Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 A, Rn. 56 ff. 245 Vgl. NIST, Special Publication 500-292, S. 8; Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 40; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (9). 246 Vgl. Krcmar, in: Borges/Meents (Hrsg.), Cloud Computing, § 2, Rn. 40; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (9). 247 Vgl. Internet Engineering Task Force, Cloud Reference Framework, S. 10 f.; ISO/IEC 17789:2014, S. 34; vgl.auch NIST, Special Publication 500-292, S. 13; NIST, Special Publication 500-291, S. 19; Terplan/Voigt, Cloud Computing, S. 58. 242
74
Kap. 1: Technische und organisatorische Grundlagen
verteilt sein können und sich die Nutzerdaten in dem tatsächlichen Einflussbereich zahlreicher weiterer Cloud-Anbieter befinden.248
IV. Netzwerkschicht Im Rahmen der Cloud-Nutzung werden die Datenpakete des Nutzers über flächendeckende und leistungsfähige Netzwerke übertragen (broad network access).249 Dabei werden die Inhaltsdaten nicht nur zwischen dem Endgerät des Nutzers und den Cloud-Systemen der Anbieter, sondern auch zwischen den verschiedenen weltweit verteilten Rechenzentren der Cloud-Provider übermittelt. Die hierfür erforderlichen Signalübertragungen über die Telekommunikationsnetze (Internet, Intranet) werden jedoch in der Regel nicht von den Cloud-Anbietern,250 sondern allein von den Internet
248 Ermöglicht wird die flexible Einschaltung anderer Anbieter durch den Einsatz von Serviceorientierten Architekturen (SOA) im Cloud-System. Durch die SOA können die verteilten, lose gekoppelten Dienste verschiedener Cloud-Anbieter genutzt und orchestriert werden. Hierfür werden standardisierte und offene Schnittstellen verwendet, um die Dienste plattform- und sprachunabhängig von heterogenen Anbietern und Kunden nutzen und interoperabel, also zur Zusammenarbeit mit anderen Diensten und Anwendungen verschiedener Systeme, Techniken und Organisationen, einsetzen zu können. Externe Dienstleistungen können damit in eine SOA beliebig eingebunden und mit bestehenden Diensten ausgetauscht werden. Durch die Kombination der verschiedenen IT-Infrastrukturen zu hybriden Systemen können insbesondere Private Clouds mit Public Clouds oder mit einer unternehmenseigenen ITInfrastruktur verbunden werden. Darüber hinaus könnten ohne dieses Architekturkonzept keine höherwertigen Cloud-Dienstleistungen, wie Ausführungs- und Entwicklungsplattformen oder Applikationen, sondern lediglich Infrastruktur-Dienstleistungen wie Rechenleistung und Speicherkapazitäten genutzt werden. Demzufolge sind die SOA für die Realisierung des Cloud Computing unverzichtbar; vgl. zu dem Ganzen BITKOM, Evolution in der Technik, S. 73; Lissen/Brünger/Damhorst, IT-Services, S. 11; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 19 f.; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 18; Haselmann, Cloud-Services, S. 17 f.; Erl, SOA, S. 52; ausführlich zur SOA auch Tilkov/Starke, in: SOA, S. 17 ff. 249 NIST, Special Publication 800-145, S. 2; BSI, Sicherheitsempfehlungen, S. 14; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; Lissen/Brünger/Damhorst, ITServices, S. 14; Szer, Cloud Computing, S. 45; Marko, in: Blaha/Marko/Zellhofer/Liebel (Hrsg.), Rechtsfragen, S. 17; Haselmann, Cloud-Services, S. 30; Reuter/Brix, Cloud Computing, S. 6; Vossen/Haselmann/Hoeren, Cloud Computing, S. 24, 165; Terplan/Voigt, Cloud Computing, S. 25; Wind, Evaluierung, S. 25. Als Standardprotokolle kommen etwa Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP), Extensible Markup Language (XML) und JavaScript Object Notation (JSON) zur Anwendung; hierzu Haselmann, Cloud-Services, S. 30; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 19; Lissen/Brünger/ Damhorst, IT-Services, S. 11 f.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 24; Christmann/Hilpert/Thöne/Hagenhoff, HMD 2010, 62 (62 f.). 250 Anders aber etwa die Deutsche Telekom AG, die neben dem Internetzugang auch CloudDienste im Rahmen ihrer TelekomCloud anbietet; https://cloud.telekom.de/ (Webseite zuletzt aufgerufen am 01. 02. 2018).
C. Referenzarchitektur
75
Service Providern (Cloud Carrier251) erbracht.252 Die Cloud-Anbieter stellen lediglich die Schnittstellen und IT-Ressourcen bereit, mit denen die Nutzerdaten zum und innerhalb des Cloud-Systems übertragen werden können. Im Hinblick auf den Transport und die Speicherung der Inhaltsdaten wird die Schnittstelle in der Referenzarchitektur als „Application Programming Interface (API)“ bezeichnet.253 Über diese standardisierte Programmierschnittstelle können die Nutzer nach einer erfolgreichen Authentifikation, üblicherweise mithilfe eines Benutzernamens und eines Passworts (Credentials), jederzeit und standortunabhängig auf die Cloud-Dienste zugreifen.254 Ermöglicht wird die Cloud-Nutzung dabei durch alle IT-Systeme, die in der Lage sind, eine Netzwerkverbindung herzustellen und Daten mittels einer Anwendung, z.B. einem Browser (etwa Internet Explorer, Safari, Firefox oder Google Chrome), einer App oder einer speziellen Client-Software, anzuzeigen und zu verarbeiten.255 Dies erklärt auch die zunehmende Verbreitung der Cloud-Dienste.256 Da die Datenverarbeitung nicht mehr lokal auf dem Endgerät des Nutzers erfolgt, sondern allein auf den Cloud-Servern der Anbieter stattfindet,257 sind die Cloud-Dienstleistungen mit nahezu jedem handelsüblichen Endgerät (PCs, Notebooks, Tablets, Laptops, Personal Digital Assistants (PDAs), Workstations und Smartphones) erreichbar.258 Diese Mobilität und Flexibilität in der Cloud-Nutzung gestattet wiederum bei den Cloud-Betriebsmodellen der Private, Community, Hybrid und Virtual Private Cloud seitens der cloudbetreibenden Unternehmen die einfache Realisierung von Home251 NIST, Special Publication 500-292, S. 3, 8 f.; Vossen/Haselmann/Hoeren, Cloud Computing, S. 84 f.; siehe auch Haas/Hofmann, Risiken, S. 8. 252 Vgl. auch Internet Engineering Task Force, Cloud Reference Framework, S. 10 f.; ISO/ IEC 17789:2014, S. 15. 253 Die APIs werden in der Regel als Web-Service-Schnittstellen via der Programmierparadigma Representional State Transfer (REST) und Simple Object Access Protocol (SOAP) realisiert; BSI, IT-Grundschutz-Kataloge, B 3.303 Speicherlösungen/Cloud Storage, 14. EL Stand 2014; Haselmann, Cloud-Services, S. 30, Vossen/Haselmann/Hoeren, Cloud Computing, S. 24; ausführlich hierzu auch Erl/Cope/Naserpour, Cloud, S. 93 f.; Mather/Kumaraswamy/ Latif, Cloud Security and Privacy, S. 15 f. 254 Wind, Evaluierung, S. 25; Lehmann/Giedke, CR 2013, 608 (610). 255 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 32 f.; Vossen/ Haselmann/Hoeren, Cloud Computing, S. 162; Höllwarth, Cloud Migration, S. 162; Metzger/ Reitz/Villar, Cloud Computing, S. 13; Giedke, Cloud Computing, S. 75; BSI, IT-GrundschutzKataloge, M 2.536 Service-Definition der Cloud-Dienste durch den Anwender, 14. EL, Stand 2014. 256 Hennrich, Cloud Computing, S. 48; Mather/Kumaraswamy/Latif, Cloud Security and Privacy, S. 13. 257 Wicker, Cloud Computing, S. 42 f. 258 NIST, Special Publication 800-145, S. 2; Höllwarth, Cloud Migration, S. 163; Wind, Evaluierung, S. 25; Haselmann, Cloud-Services, S. 30; Vossen/Haselmann/Hoeren, Cloud Computing, S. 24; Metzger/Reitz/Villar, Cloud Computing, S. 13; Lissen/Brünger/Damhorst, IT-Services, S. 14.
76
Kap. 1: Technische und organisatorische Grundlagen
Office-Modellen.259 Zugleich fördert es aber auch die Entwicklung, dass Arbeitnehmer ihre eigenen mobilen Endgeräte geschäftlich nutzen (sog. Bring Your Own Device)260 und hierfür cloudbasierte Businesstools, wie z.B. E-Mailprogramme, HDVideo-, Sprach- oder Text-Chats (Hangouts), Kalenderfunktionen und Applikationen zum Erstellen von Textdokumenten, Tabellen und Präsentationen, von externen Cloud-Anbietern in Anspruch nehmen. Dies spart zwar den Unternehmen auf der einen Seite Beschaffungs- und Betriebskosten, auf der anderen Seite besteht aber das Risiko, dass sensible Unternehmensdaten ohne Kenntnis der Arbeitgeber und ohne ausreichende Sicherheitsvorkehrungen zentral auf den Servern der Cloud-Anbieter gespeichert und verarbeitet werden, wodurch die Kontrolle über besonders sensible Daten aus den Händen gegeben wird.261
V. Managementplattform Das Management des Cloud-Systems bezieht sich auf die Bereitstellung, den Betrieb, die Verwaltung und die Nutzung der Cloud-Dienstleistungen und ist als vertikale Schicht für alle horizontalen Schichten des Referenzmodells relevant.262 Die Reichweite und Komplexität der erforderlichen Administrationsmaßnahmen ist dabei einerseits von der Bereitstellungsform des fremdbetriebenen Cloud-Systems und der Art der in Anspruch genommenen Cloud-Dienste und andererseits von der Einschaltung weiterer Cloud-Anbieter und Subunternehmer abhängig.263 Seitens der Administratoren der Cloud-Anbieter erfolgt die Verwaltung der Cloud-Architektur 259 Bezugnehmend auf die Förderung von Home-Office-Arbeitsplätzen durch Cloud-Lösungen BKartA Bonn, Beschluss vom 11. 08. 2014 – VK 1-54/14, Rn. 31, 91; Wedde, AiB 2011, 287 (289 ff.). 260 Ausführlich hierzu Conrad/Schneider, ZD 2011, 153 (153 ff.); Göpfert/Wilke, NZA 2012, 765 (765 ff.); Zöll/Kielkowski, BB 2012, 2625 (2625 ff.). 261 Vgl. Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 92. Zur Absicherung der aus dem Einsatz privater IT resultierenden Risiken ist anzuraten, entsprechende Vereinbarungen mit dem Arbeitnehmer zu treffen. So sollten die Arbeitnehmer z.B. zur Einhaltung von Datenschutz- und Sicherheitsstandards (Passwortschutz, Virenscanner, Verschlüsselung) verpflichtet werden. Zum Teil wird auch empfohlen, den Arbeitnehmern das Ablegen von Geschäfts- und Betriebsgeheimnissen und von personenbezogenen Daten in eine Public Cloud aufgrund des Zugriffs des Cloud-Anbieters und der fehlenden Kontrollmöglichkeiten, insbesondere im Hinblick auf eine nicht ausschließbare Datenübermittlung in Staaten, die kein angemessenes Datenschutzniveau gewährleisten, gänzlich zu versagen; von dem Bussche/Schelinski, in: Leupold/Glossner (Hrsg.), Münchener Anwalts Handbuch, Teil 1, Rn. 468 f.; Arning/Moos/Becker, CR 2012, 592 (597); Göpfert/Wilke, NZA 2012, 765 (767); Koch, ITRB 2012, 35 (37); vgl. auch Vossen/Haselmann/Hoeren, Cloud Computing, S. 172 f. 262 Vgl. BSI, IT-Grundschutz-Kataloge, M 4.446 Einführung in das Cloud Management, B 5.23 Cloud Management, jeweils 14. EL, Stand 2014; Internet Engineering Task Force, Cloud Reference Framework, S. 8 f. 263 Heckmann, in: juris-PraxisKommentar, Kap. 9, Rn. 764; siehe hierzu auch die Ausführungen zu den Cloud-Betriebsmodellen unter S. 16 ff. und zu den Servicemodellen unter S. 25 ff.
C. Referenzarchitektur
77
und der einzelnen Systemkomponenten üblicherweise über eine softwarebasierte Managementplattform und seitens der Cloud-Nutzer über Management-Tools, die von den Dienstanbietern über ein Self-Service-Web-Portal bereitgestellt werden.264 Über diese webbasierte Management-Schnittstelle265 können die Cloud-Nutzer die virtuellen Maschinen nach ihrem Bedarf und automatisch, d.h. ohne direkte Interaktion mit dem Cloud-Anbieter, in Eigeninitiative zusammenstellen, beziehen und wieder freigeben (on-demand self-service).266 So ist es ihnen mittels der bereitgestellten Tools bei den Cloud-Storage-Diensten beispielsweise möglich, ihre Daten auf dem Cloud-System zu speichern und wieder zu löschen. Regelmäßig wird den Nutzern zudem die Möglichkeit eingeräumt, ihre Inhaltsdaten im Wege einer Cloud Collaboration267 mit Dritten zu teilen. Hierfür generiert der Cloud-Nutzer mittels der Management-Tools einen Link zu seinen in der Cloud gespeicherten Nutzerdaten, den er sodann entweder mithilfe seines E-Mail-Providers oder durch den Cloud-Anbieter an den Dritten per E-Mail versendet.268 Beim Anklicken des Datenlinks erhält der Empfänger sodann ungehinderten Zugang zu den verlinkten Datensätzen des Cloud-Nutzers. Darüber hinaus können die Nutzer über die Management-API ihre Credentials verwalten und Sicherheitsmaßnahmen zum Schutz ihrer Daten ergreifen, indem sie z.B. ihre Daten verschlüsselt auf den Cloud-Servern speichern können. Hervorzuheben ist allerdings, dass die Wirksamkeit und Effektivität der Sicherheitsvorkehrungen der Nutzer essenziell von der Konfiguration und Funktionsfähigkeit der zugrundeliegenden Verwaltungskomponenten der Cloud-Infrastruktur (Verwaltungsserver, Virtualisierungs- und Verwaltungssoftware) der An264
BSI, IT-Grundschutz-Kataloge, M 4.446 Einführung in das Cloud Management, 14. EL, Stand 2014; BSI, IT-Grundschutz-Kataloge, M 3.70 Einführung in die Virtualiserung, 12. EL, Stand 2011; vgl. auch Vossen/Haselmann/Hoeren, Cloud Computing, S. 169; Erl/Cope/Naserpour, Cloud, S. 315 ff., 517. Beispiele für solche durch Virtualisierungs- und Verwaltungssoftware geschaffene Managementplattformen, mit denen die physischen und virtuellen Cloud-Ressourcen administriert werden können, sind der Cloud Controller von Eucalyptus, die Operations Managementlösungen von HP, der Cloud Manager von Novell, der CloudPortal Services Manager von Citrix und vSphere von VMware. Ausführlich zum Cloud Controller Vollmer, Cloud, S. 37 ff. und zu vSphere Terplan/Voigt, Cloud Computing, S. 179 ff. 265 Ein Beispiel hierfür ist die Schnittstelle AWS Management Console, die Amazon ihren Kunden zur Verwaltung der Cloud-Ressourcen bereitstellt; https://aws.amazon.com/de/console/ (zuletzt aufgerufen am 01. 02. 2018). 266 NIST, Special Publication 800-145, S. 2; BSI, Sicherheitsempfehlungen, S. 14; BITKOM, Evolution in der Technik, S. 24; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 8; vgl. auch; Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 9, Rn. 16; Heier/Abt/Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 47; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 5; Reuter/Brix, Cloud Computing, S. 10, 15; Hennrich, Cloud Computing, S. 48; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23; Haselmann, Cloud-Services, S. 29; Barnitzke, Rechtliche Rahmenbedingungen, S. 32; Wind, Evaluierung, S. 25. 267 Kremer/Völkel, CR 2015, 501 (501). 268 Vgl. Wicker, Cloud Computing, S. 159 ff.
78
Kap. 1: Technische und organisatorische Grundlagen
bieter bestimmt wird.269 So bleibt etwa eine von den Cloud-Nutzern vorgenommene Datenverschlüsselung wirkungslos, wenn die kryptographischen Algorithmen und Parameter von den Cloud-Anbietern fehlerhaft eingerichtet worden sind.270 Auch sind bei einem Ausfall oder einer Störung der Verwaltungskomponenten nahezu alle Cloud-Management-Prozesse betroffen, so dass administrative Schnittstellen, wie etwa die bei den SaaS- und PaaS-Diensten bereitgestellten technischen Mittel zur Benutzer- und Berechtigungsverwaltung, funktionslos und getroffene Maßnahmen inaktiv oder unbrauchbar werden können.271 Da neben dem Sicherheits- und Zugangsmanagement der Cloud-Dienstleistungen bei allen Servicemodellen vor allem auch die physischen und virtuellen Ressourcen des Cloud-Systems, d.h. die Server, die virtuellen Maschinen und Hypervisoren, die physischen und virtuellen Datenspeicher und Netzwerkkomponenten (Firewalls, virtuelle Router und Switches etc. ), allein von den Cloud-Anbietern administriert und konfiguriert werden,272 geht mit der Eingabe der Nutzerdaten in das CloudSystem die faktische Datenhoheit273 auf die Cloud-Anbieter über.274 Erschwerend kommt hinzu, dass die Cloud-Nutzer derzeit auch keinerlei Möglichkeit haben, zu jedem Zeitpunkt nachprüfen zu können, wie, auf welchen Systemen und an welchen Orten275 ihre Daten tatsächlich verarbeitet werden und ob die von ihnen beauftragten 269 Vgl. BSI, IT-Grundschutz-Kataloge, G 3.121 Konfigurations- und Administrationsfehler bei Web-Services; G 4.98 Ausfall von Tools zur Administration von Cloud Services bei CloudNutzung; G 4.22 Software-Schwachstellen oder -Fehler, jeweils 14. EL, Stand 2014; NIST, Special Publication Draft 500 – 299, S. 62. 270 Vgl. BSI, IT-Grundschutz-Kataloge, G 3.121 Konfigurations- und Administrationsfehler bei Web-Services, 14. EL, Stand 2014. 271 Vgl. BSI, IT-Grundschutz-Kataloge, G 4.98 Ausfall von Tools zur Administration von Cloud Services bei Cloud-Nutzung; G 4.93 Ausfall von Verwaltungsservern und Verwaltungssoftware; M 2.519 Geregelte Benutzer- und Berechtigungsverwaltung im Cloud Computing, jeweils 14. EL, Stand 2014. 272 Weitergehend zum Management des Cloud-Systems seitens der Anbieter NIST, Special Publication 500-292, S. 7, 12 ff.; NIST, Special Publication 500-291, S. 18 ff.; Internet Engineering Task Force, Cloud Reference Framework, S. 14 ff.; ISO/IEC 17789:2014, S. 31 ff.; BSI, Sicherheitsempfehlungen, S. 23 ff.; siehe auch BSI, IT-Grundschutz-Kataloge, M 4.446 Einführung in das Cloud Management; B 5.23 Cloud Management; GR 5.23 Cloud Management; M 2.524 Modellierung von Cloud Management, jeweils 14. EL, Stand 2014; Vossen/Haselmann/Hoeren, Cloud Computing, S. 29; Abbadi, Cloud Management, S. 29 ff. 273 Ohne nähere Begründung Bosesky/Hoffmann/Schulz, DuD 2013, 95 (95); Heymann, CR 2015, 807 (807); siehe auch Luch, MMR 2011, 75 (76). Vereinzelt wird auch der inhaltsgleiche Begriff der Datenherrschaft verwendet; Heckmann, in: Hill/Schliesky (Hrsg.), Innovationen, S. 110; ders., NJW 2012, 2631 (2633). 274 Vgl. BSI, Sicherheitsempfehlungen, S. 23 ff.; Abbadi, Cloud Management, S. 529 ff.; Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 77. 275 Dem Verlust der Cloud-Nutzer über die territoriale Kontrolle der Datenverarbeitung versucht eine wachsende Zahl an Cloud-Anbietern mit einer räumlichen Begrenzung ihrer Serverstandorte entgegenzukommen. So bietet etwa Microsoft den Cloud-Storage Dienst „Azure“ oder die SaaS-Dienste „Office 365“ und „Dynamics CMR Online“ an, bei denen die Nutzerdaten ausschließlich in Rechenzentren in Deutschland gespeichert werden (https://azure.
C. Referenzarchitektur
79
Cloud-Anbieter hierfür auch fremde Kapazitäten in Anspruch nehmen.276 Dieser Kontrollverlust der Cloud-Nutzer über die eigenen Daten und Anwendungen resultiert aus dem technischen Umstand, dass der Hypervisor in den einzelnen physischen Computersystemen stets in der höchsten Privilegienstufe läuft, um die virtuellen Maschinen und die Ressourcenzuteilung zu organisieren, wohingegen die virtuellen Systeme und die in ihnen ausgeführten Gastbetriebssysteme in der niedrigsten Berechtigungsstufe ausgeführt werden.277 Diese der Virtualisierung und technischen Organisation der Dienstleistungserbringung geschuldeten Anordnung hat zur Folge, dass die virtuellen Maschinen keinen Zugriff auf die Hardware und damit auf keinen bestimmten physischen Speicherbereich haben.278 Die alleinige Kontrolle über die physischen Ressourcen haben demnach allein die Cloud-Anbieter mittels des Hypervisors.279 Dies umso mehr, weil sämtliche Systemanfragen der microsoft.com/de-de/overview/clouds/germany/). Andere Cloud-Anbieter kompensieren den Kontrollverlust der Nutzer über den Speicherort mittels einer Beschränkung der Datenverarbeitung auf europäische Rechenzentren; siehe hierzu etwa der Cloud-Anbieter CloudMe, https:// www.cloudme.com/de/ (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 276 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 29; International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 2 f.; Brennscheidt, Cloud Computing, S. 25; Hennrich, Cloud Computing, S. 218; Lehmann/Giedke, CR 2013, 608 (612); Hornung/Sädtler, CR 2012, 638 (638 ff.); Ardelt/Dölitzscher/Knahl/Reich, HMD (48) 2011, 62 (66); Heidrich/Wegener, MMR 2010, 803 (806); Nägele/Jacobs, ZUM 2010, 281 (283); Pohle/Ammann, CR 2009, 273 (277); Schulz/Rosenkranz, ITRB 2009, 232 (233); vgl. auch Heier/Abt/Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 49; Vossen/Haselmann/Hoeren, Cloud Computing, S. 23, 176 f.; Barnitzke, Rechtliche Rahmenbedingungen, S. 33; 195, 201, 215; Reuter/ Brix, Cloud Computing, S. 6; Abbadi, Cloud Management, S. 37; Terplan/Voigt, Cloud Computing, S. 50. 277 Die Privilegienstufen der Hypervisoren und der virtuellen Maschinen lassen sich anhand des sog. Ringsystems verdeutlichen, das in drei Ringe eingeteilt wird, die in der Regel von 0 bis 3 durchnummeriert werden. Prozesse, die in einem bestimmten Ring laufen, können nicht auf Speicherbereiche zugreifen, die in Ringen mit niedrigeren Ziffern liegen. In Ring 0, auch Kernel-Space genannt, bestehen die höchsten Privilegien, da nur in ihm Zugriffe auf die Hardware und die Nutzung des vollständigen Befehlssatzes der CPU möglich sind. In dieser Privilegierungsstufe läuft grundsätzlich der Hypervisor. Bei den Virtualisierungsprozessoren von Intel und AMD läuft der VMM sogar in dem „Ring -1“. Diese Ebene wird dann als ROOTBetriebsmodus bzw. Hypervisor-Schicht bezeichnet. Die virtuellen Maschinen laufen hingegen stets in Ring 3 und das Host-Betriebssystem in Ring 1 oder 2; ausführlich hierzu Giedke, Cloud Computing, S. 53 f.; Lindinger, Virtuelle Infrastrukturen, S. 13 ff.; Meinel/Willems/Roschke/ Schnjakin, Virtualisierung, S. 14 ff.; Hoffmann, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 10; Rocha, Insider Threat, S. 17 f.; Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 68; Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 C, Rn. 37; Mandl, Betriebssysteme, S. 26, 304 ff.; Lehmann/Giedke, CR 2013, 608 (612). 278 Vgl. Dille/Grote/Kaczenski/Kappen, Microsoft Hyper-V, S. 66; Giedke, Cloud Computing, S. 56; Lehmann/ Giedke, CR 2013, 608 (613). 279 Mandl, Betriebssysteme, S. 301; vgl. auch Mahajan/Sharma, IJERGS (3) 2015, 245 (248); Srinivasan/Sarukesi/Rodrigues/Manoj/Revathy, in: ICACCI ‘12, S. 470; Kandias/Virvilis/Gritzalis, in: Bologna/Hämmerli/Gritzalis/Wolthusen (Hrsg.), CRITIS 2011, S. 96.
80
Kap. 1: Technische und organisatorische Grundlagen
virtuellen Maschinen von dem VMM abgefangen und bearbeitet werden, so dass die Umsetzung der Prozessorbefehle, die Ressourcenzuteilung sowie der Zugriff auf die physischen Speicherbereiche ausschließlich durch ihn vorgenommen werden (binary translation).280 Demzufolge bestimmen allein die Cloud-Anbieter über die exakten Speichermodalitäten der Nutzerdaten sowie das Bestehen und die Anzahl von Datenkopien und deren Verfügbarkeit. Die Cloud-Nutzer haben dagegen keinerlei Möglichkeit, die Datenverarbeitungsmodalitäten durch den Hypervisor zu überwachen und zu kontrollieren.281 Insofern stellt der Hypervisor eine signifikante Sicherheitskomponente des Cloud-Systems und zugleich eine potentielle Schwachstelle dar, die Innentäter für die Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten ausnutzen können.282 Diese fehlende Transparenz und Beherrschbarkeit der Datenverarbeitung in der Cloud verstärkt sich für die Cloud-Nutzer zudem durch den Umstand, dass vor allem die meistgenutzten Public Cloud-Anbieter, wie Google, Amazon und Dropbox, aus Sicherheits-, Wettbewerbs- oder Geheimhaltungsinteressen regelmäßig nicht offenlegen, welche konkreten technischen und organisatorischen Maßnahmen zum Schutz der Inhaltsdaten implementiert wurden.283 Demzufolge haben die CloudKunden im Besonderen keinen Einblick, nach welchen Kriterien die Cloud-Anbieter ihre Mitarbeiter einstellen, in welchem Umfang die Angestellten einen privilegierten Zugang zu dem Cloud-System und den Inhaltsdaten haben und ob bzw. inwiefern ihre Systemzugriffe ausreichend überwacht werden.284 Zwar erbringen einige Anbieter den Nachweis eines Datensicherheitskonzepts mit der Vorlage von Prüfberichten, Testaten, Gütesiegeln und Zertifizierungen von unabhängigen Stellen, allerdings haben sich für das Cloud Computing bislang noch keine einheitlichen Prüfkriterien entwickelt, an denen sich die Cloud-Nutzer orientieren könnten.285 Nicht ausgeschlossen werden kann damit, dass die Prüfung Sicherheitsmängel übersieht, weil sie nicht Teil des Prüfkatalogs sind. Hinzu kommt, dass die Zerti280 Meinel/Willems/Roschke/Schnjakin, Virtualisierung, S. 15 f.; Reuter/Brix, Cloud Computing, S. 11; ausführlich hierzu Mandl, Betriebssysteme, S. 307 ff.; Rocha, Insider Threat, S. 18. 281 Vgl. Metzger/Reitz/Villar, Cloud Computing, S. 15 f.; Maisch, Informationelle Selbstbestimmung, S. 102; Giedke, Cloud Computing, S. 51; Lissen/Brünger/Damhorst, IT-Services, S. 11; Abbadi, Cloud Management, S. 98; Schulz/Rosenkranz, ITRB 2009, 232 (233). 282 Heidrich/Wegener, MMR 2010, 803 (803); Birk/Wegner, DuD 2010, 641 (642). 283 International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 2; Hennrich, Cloud Computing, S. 93; Haas/Hofmann, Risiken, S. 11; Ardelt/Dölitzscher/ Knahl/Reich, HMD (48) 2011, 62 (65). Auch § 70 BDSG verpflichtet die Cloud-Anbieter, bei einer Auftragsdatenverarbeitung nur eine allgemeine Beschreibung der umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen in ein Verzeichnis über die Datenverarbeitungstätigkeiten in der Cloud aufnehmen, das zudem nach § 70 Abs. 4 BDSG auf Anfrage nur dem Bundesbeauftragten für Datenschutz vorzulegen ist. 284 Srinivasan/Sarukesi/Rodrigues/Manoj/Revathy, in: ICACCI ‘12, S. 473; Ardelt/Dölitzscher/Knahl/Reich, HMD (48) 2011, 62 (64); vgl. auch Abbadi, Cloud Management, S. 167. 285 Schneider/Sunyaev, Cloud-Service-Zertifizierung, S. 1; Selzer, DuD 2013, 215 (217 f.), siehe auch BSI, Sicherheitsempfehlungen, S. 80.
C. Referenzarchitektur
81
fizierungsverfahren nur die Qualität der bestehenden Sicherheitsmaßnahmen zum Zeitpunkt der Prüfung bescheinigen.286 Technische, organisatorische oder rechtliche Veränderungen können daher die statische Aussagekraft der Prüfbescheinigungen derart mindern, dass sie einen nicht mehr gültigen Zustand bescheinigen.287 In der Praxis sind diese Probleme noch ungelöst. Gleichwohl könnte eine transparente Überwachung der Datenverarbeitung mit einem kontinuierlichen und automatischen Audit sowie einer jederzeitigen Abrufbarkeit von fälschungssicheren Protokolldaten erreicht werden.288 Entsprechende Sicherheitstechnologien, die eine zeitnahe und praxistaugliche Kontrolle der Dienstleistungserbringung ermöglichen, wurden von den vom Bundesministerium für Bildung und Forschung als Teil des Themenfeldes „Forschung für Sicheres Cloud Computing“ geförderten Forschungsprojekten „Next Generation Certification“ (NGCert)289, VeriMetrix290 und PREsTiGE291 bereits entwickelt, allerdings hat sich deren (unverbindliche) Implementierung in der Praxis noch nicht etabliert. Infolgedessen haben die herkömmlichen Cloud-Anbieter die uneingeschränkte, faktische Herrschaft über die Datenverarbeitungsprozesse in der Cloud und die Nutzerdaten inne,292 während die Cloud-Nutzer darauf angewiesen sind, auf die statischen Aussagen der klassischen Zertifikate und etwaig vorgelegter Protokolldaten293 sowie auf den ordnungsgemäßen Umgang mit ihren Inhaltsdaten durch die Cloud-Anbieter und deren Mitarbeitern bzw. auf die Umsetzung von an286 Ein Überblick über die zahlreichen Zertifizierungssysteme wurde von ENISA erarbeitet und ist zu finden unter https://resilience.enisa.europa.eu/cloud-computing-certification (zuletzt aufgerufen am 01. 02. 2018); weitergehend auch Schneider/Sunyaev, Cloud-Service-Zertifizierung, S. 14 ff.; Doubrava/Münch, in: Leupold/Glossner (Hrsg.), Münchener Anwalts Handbuch, Teil 4, Rn. 62 ff.; Foitzik/Plankemann, CCZ 2015, 180 (182 ff.). 287 Vgl. Lins/Thiebes/Schneider/Sunyaev, in: 48th HICSS 2015, S. 5352. 288 Barnitzke, Rechtliche Rahmenbedingungen, S. 202; Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 11. 289 Stephanow/Banse, in: CCGrid 2017, S. 1117 ff.; Hofmann, in: INFORMATIK 2015, S. 542 ff. 290 Jäger/Kraft/Waldmann/Luhn/Wilmer, in: BSI 2015, S. 231 ff.; Jäger/Kraft/Selzer/ Waldmann, in: INFORMATIK 2015, S. 525 ff.; Jäger/Kraft/Selzer/Waldmann, DuD 2016, 239 (239 ff.); Jäger/Kraft/Selzer/Waldmann, DuD 2016, 305 (305 ff.); Jäger/Selzer/Waldmann, DuD 2015, 26 (26 ff.); zur automatisierten Zertifizierung siehe auch Lins/Thiebes/Schneider/ Sunyaev, in: 48th HICSS 2015, S. 5352 ff.; vgl. auch Selzer, DuD 2013, 215 (218 f.); Kunz/ Niehues/Waldmann, DuD 2013, 521 (521 ff.). 291 http://prestige.wifa.uni-leipzig.de/arbeitspakete.html (zuletzt aufgerufen am 01. 02. 2018). 292 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012, S. 6; International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 3; Haas/Hofmann, Risiken, S. 11; Brennscheidt, Cloud Computing, S. 25; Nägele/Jacobs, ZUM 2010, 281 (283). 293 Sofern die Cloud-Dienste nicht ausschließlich für private Zwecke genutzt werden (vgl. § 1 Abs. 1 BDSG) sind die Cloud-Anbieter nach § 76 BDSG nunmehr im Rahmen einer Auftragsdatenverarbeitung verpflichtet, die Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung der von ihnen in der Cloud verarbeiteten personenbezogenen Daten zu protokollieren, wobei die Protokolle nach § 62 Abs. 5 Nr. 5 BDSG den Cloud-Nutzern vorzulegen sind.
82
Kap. 1: Technische und organisatorische Grundlagen
gemessenen Sicherheits- und Überwachungsmaßnahmen inklusive der Einholung entsprechender Referenzen über die eigenen Mitarbeiter und Subunternehmer (Sicherheitschecks, Überprüfung einschlägiger Straftaten und der Zugehörigkeit zu verbotenen politischen und religiösen Vereinigungen etc.) und der Benennung aller datenverarbeitenden Akteure in dem multiplen Cloud-System durch die Anbieter zu vertrauen.294
294 Duncan/Creese/Goldsmith, in: TrustCom 2012, S. 859; vgl. auch Abbadi, Cloud Management, S. 37; Groß/Lischka/Gruschka/Miede/Jensen/Mosch/Schulte/Siebenhaar, PIK 2011, 126 (132); Ardelt/Dölitzscher/Knahl/Reich, HMD (48) 2011, 62 (65).
2. Kapitel
Insiderbedrohungen Die Gefahr eines Innentäter-Angriffs stellt zwar auch bei einem traditionellen ITOutsourcing ein enormes Sicherheitsrisiko dar, im Cloud Computing ist eine solche Bedrohung aber signifikant höher. Die Gründe hierfür sind multikausal: Zum einen kann die hohe Komplexität der dynamischen und global verteilten Cloud-Infrastruktur, der Kommunikationsbeziehungen und der internen Abläufe die Wirksamkeit der Schutzmaßnahmen beeinträchtigen und die Anzahl der Schwachstellen in der Cloud-Architektur für einen Innentäter-Angriff erheblich erhöhen.1 Infolgedessen ist es nahezu unmöglich, eine absolut sichere Cloud-Umgebung zu schaffen.2 Augenscheinlich wird dies beispielsweise bei dem Cloud-Anbieter Salesforce, der in einem Zyklus von vier Monaten seine Cloud-Dienste erneuert, woraus sich ableiten lässt, dass regelmäßig sicherheitsrelevante Systemschwachstellen entdeckt und behoben werden.3 Zum anderen sind in der multimandantenfähigen Rechenumgebung des Cloud Computing sowohl auf der Anbieter- als auch auf der Nutzerseite zahlreiche Personen beteiligt,4 welche die Cloud-Infrastruktur und die Inhaltsdaten kompromittieren können. Die Herrschaft über die vernetzten IT-Systeme und Managementprozesse innerhalb des verteilten Cloud-Netzwerks verbleibt hierbei bei den jeweiligen Betreibern, weshalb den Beteiligten selbst keine wirksamen Methoden und Werkzeuge zur Verfügung stehen, die fremden IT-Infrastrukturen zu überwachen und berechtigte von unberechtigten Systemzugriffen zu unterscheiden, um Angriffe seitens potentieller Innentäter zu identifizieren und zu verhindern.5
1
Vgl. BSI, Sichere Nutzung von Cloud-Diensten, S. 8. Debski, DuD 2016, 659 (664). 3 Debski, DuD 2016, 659 (664). 4 Vgl. Abbadi, Cloud Management, S. 167; Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2964); Colwill, Information Security Technical Report (14) 2009, 186 (187). Zum CloudWertschöpfungsnetzwerk siehe BITKOM, Evolution in der Technik, S. 33; Krcmar, in: Borges/ Meents (Hrsg.), Cloud Computing, § 2, Rn. 36 f.; ders., in: Roßnagel (Hrsg.), Wolken, S. 60; Vossen/Haselmann/Hoeren, Cloud Computing, S. 84; Haas/Hofmann, Risiken, S. 8; Pelzl/ Helferich/Herzwurm, Wertschöpfungsnetzwerke, S. 5; Böhm/Leimeister/Riedl/Krcmar, IM+io (24) 2009, 6 (10 f.). 5 Vgl. Sen, in: Ruiz-Martinez/Marin-Lopez/Pereñiguez-Garcia (Hrsg.), Secure Information Technology Infrastructures, S. 12; Elmrabit/Yang/Yang, in: ICAC, S. 110; Hunker/Probst, JoWUA (2) 2011, 4 (4); Nkosi, Insider threat reduction model, S. 2 ff. 2
84
Kap. 2: Insiderbedrohungen
Äußerst ernüchternd ist in diesem Zusammenhang, dass eine von Wissenschaftlern des CERT Insider Threat Centers im Jahr 2013 durchgeführte anonyme Befragung der Cloud-Anbieter zu dem Ergebnis kam, dass die potentiellen Gefahren für die Daten- und Informationssicherheit durch Innentäter nicht in den Sicherheitskonzepten der Anbieter berücksichtigt werden.6 Vor diesem Hintergrund verwundert es nicht, dass allein in Deutschland jedes dritte Unternehmen im Jahr 2015 Sicherheitsvorfälle bei der Cloud-Nutzung feststellte oder einen entsprechenden Verdacht hatte.7 Da die Angriffe auf das Cloud-System und auf die Nutzerdaten oftmals überhaupt nicht bemerkt oder aus Angst vor Reputationsschäden nicht angezeigt werden, muss sogar von einer noch höheren Dunkelziffer ausgegangen werden.8
A. Cybercrime-as-a-Service Wesentlicher Antreiber des außerordentlichen Schadens- und Bedrohungspotentials der Innentäter ist zudem die Etablierung einer Underground Economy, die sich das Konzept des Cloud Computing zu Eigen macht und eine große Bandbreite an kriminellen Dienstleistungen als „Cybercrime-as-a-Service“ bzw. „Crime-as-aService“ auf digitalen Schwarzmärkten, dem sog. „Deep Web“ oder „Darknet“, anbietet, welche die Durchführung jeder Art von Computer- und Internetkriminalität ermöglichen bzw. erleichtern.9 Das Angebot an solchen illegalen Dienstleistungen umfasst zum Beispiel den Handel mit unbefugt erlangten sensiblen Daten (insbesondere Inhalts- und Zugangsdaten), den Austausch über das Ausnutzen von Sicherheitslücken und den Transfer von kriminellem Know-How wie Exploits10 und sonstigen Tools zur Ermittlung von Systemschwachstellen und zur Überwindung von Schutzmaßnahmen im Cloud-System (etwa Kryptoanalysetools zur Datenent-
6
Porter, Cloud Service Provider Methods, S. 11. KPMG AG/Bitkom Research GmbH, Cloud Monitor 2016, S. 26. 8 BKA, Cybercrime 2015, S. 8; KPMG AG/Bitkom Research GmbH, Cloud Monitor 2016, S. 26. 9 BKA, Cybercrime 2015, S. 11; Meywirth, Kriminalistik (70) 2016, 355 (355); ausführlich zum Darknet Ablon/Libicki/Golay, Markets for Cybercrime, m.w.N. Das Deep Web (auch Hidden Web oder Invisible Web) bezeichnet den Teil des World Wide Webs, der über normale Suchmaschinen nicht auffindbar ist. Das „Darknet“ bildet dabei einen Teil des „Deep Webs“, in dem anonymisiert größtenteils illegale Inhalte gehostet werden. Im Gegensatz zum „Deep Web“ werden die über Suchmaschinen zugänglichen Webseiten „Visible Web“ oder „Clear Web“ genannt. 10 Exploits sind Programmcodes oder eine Sequenz von Befehlen, die eine Sicherheitslücke in einem Zielsystem ausnutzen, um in das fremde System einzudringen und sich dort unbefugt privilegierte Zugriffsrechte zu verschaffen, mit denen dann die Vertraulichkeit, Verfügbarkeit und Integrität des Systems und der Inhaltsdaten beeinträchtigt werden kann, vgl. Bedner, Cloud Computing, S. 197. 7
A. Cybercrime-as-a-Service
85
schlüsselung).11 Darüber hinaus beinhaltet das Crime-as-a-Service-Modell vor allem auch die Herstellung und den An- bzw. Verkauf von cloudspezifischer Schadsoftware, die unter Berücksichtigung der aktuellen Signaturen der Antivirus-Hersteller stetig weiterentwickelt werden. Vor diesem Hintergrund werden tagtäglich über 390.000 neue Schadprogramme, also über 16.000 pro Stunde beziehungsweise 4 bis 5 pro Sekunde entdeckt,12 deren neuartige Schadcodes die Anti-Viren-Industrie zusehends vor die kaum zu bewältigende Herausforderung stellt, für einen ausreichenden Malware13-Schutz zu sorgen. Zugang zu den Cybercrime-Dienstleistungen hat dabei jeder Internetnutzer, der auf seinem Endgerät einen TOR-Browser14 installiert hat.15 Die Anleitung hierzu findet sich sogar im „Visible Web“.16 Nicht nur technikaffine, sondern auch interessierte Innentäter ohne eigene technische Kenntnisse können somit mit vergleichsweise geringem Aufwand Zugang zu hochentwickelten Cyber-Werkzeugen erhalten, mit denen sie das Cloud-System kompromittieren und Nutzerdaten auslesen oder manipulieren können.17 Speziell unerfahrene Innentäter können sich sogar auf den hochverfügbaren und global erreichbaren Handelsplattformen der Underground Economy zusätzlichen Support wie Updates für Schadsoftware und Handlungsanleitungen sowie Beratungs-, Anonymisierungs- und Hostingdienste zum Verschleiern der eigenen Identität beschaffen.18 Die zunehmend zentrale Rolle solcher kriminellen Dienstleistungen resultiert aber nicht nur allein daraus, dass die Foren und Marktplätze im Darknet ohne tiefergehende Computerkenntnisse für jedermann global erreichbar sind. Ausschlaggebend für diese Entwicklung ist auch die Gewährleistung der Anonymität sowohl der Anbieter als auch der Nutzer der illegalen Handelsplattformen. So können Innentäter die Cybercrime-Leistungen über verschlüsselte Marktplätze beziehen und mittels digitaler Kryptowährungen (Bitcoins, Litecoins oder Ethereums)19 bezahlen,20 wodurch sowohl die Rückverfolgung 11 Hierzu sowie nachfolgend BKA, Cybercrime 2015, S. 11; BKA, Cybercrime 2016, S. 18 f.; Meywirth, Kriminalistik (70) 2016, 355 (356 ff.). 12 https://www.av-test.org/de/statistiken/malware/ (zuletzt aufgerufen am 01. 02. 2018). 13 Zusammengesetztes Kurzwort für „malicious software“ und bezeichnet jegliche Art von Programmen in informationstechnischen Systemen, die verborgene Schadfunktionen beinhalten. Typische Schadsoftware sind Viren, Würmer und Trojanische Pferde; Slade, Software forensics, S. 95; siehe auch Eckert, IT-Sicherheit, S. 45 f. 14 TOR steht für The Onion Router, bei dem die Netzwerkanbindung über viele Knoten erfolgt, um die Verbindungsdaten zu anonymisieren; ausführlich zum TOR-Netzwerk und den Haftungsrisiken eines Betreibers Thiesen/Michael, MMR 2014, 803 (803 f.). 15 Ausführlich zum TOR-Netzwerk und den Haftungsrisiken eines Betreibers Thiesen/ Michael, MMR 2014, 803 (803 f.). 16 Siehe etwa http://www.tutonaut.de/anleitung-wie-komme-ich-ins-darknet.html (zuletzt aufgerufen am 01.02. 2018). 17 BKA, Cybercrime 2015, S. 11; Meywirth, Kriminalistik (70) 2016, 355 (355). 18 BKA, Cybercrime 2015, S. 11 f.; Meywirth, Kriminalistik (70) 2016, 355 (356 ff.). 19 Virtuelle Währungen existieren rein digital und werden mittels kryptografisch abgesicherter Protokolle direkt zwischen den Nutzern ohne Einbindung von Notenbanken oder
86
Kap. 2: Insiderbedrohungen
ihrer IP-Adresse als auch die Ermittlung der Geldströme nahezu unmöglich gemacht werden.21 Erschwert wird die Strafverfolgung auch dadurch, dass die Betreiber der TOR-Server keine Verkehrsdaten aufzeichnen und die Kommunikation häufig über ausländische Hostingprovider erfolgt, die den Nutzern des Darknets zusichern, sie durch unterstützende Maßnahmen wie einer Vergabe von dynamischen IP-Adressen oder einer Auskunftsverweigerung vor Strafverfolgung zu schützen.22 Insgesamt führen die Crime-as-a-Service-Angebote dazu, dass die Raffinesse an komplexen und äußerst schwer zu erkennenden Insiderangriffen in der Form eines Advanced Persistent Threats zunehmen, da es auch technisch unerfahrenen Innentätern mittels der permanent an veränderte Sicherheitsanforderungen angepassten Crimeware unschwer möglich ist, über einen langen Zeitraum unentdeckt im CloudSystem Inhaltsdaten auszuspähen oder zu manipulieren.23 Umgekehrt können Innentäter über die illegalen Online-Marktplätze des Darknets wiederum weltweit unzählige potenzielle Kunden erreichen, an denen sie ihre unbefugt erlangten Inhaltsdaten oder ihre Dienste sowie ihr Know-How zur Kompromittierung des CloudSystems (Wissen über Systemschwachstellen oder selbst entwickelte cloudspezifische Malware) gewinnbringend veräußern können.24
B. Tätertypologische Betrachtung Bei der Klassifizierung der Innentäter ist die Besonderheit im deutschen Strafrecht zu berücksichtigen, dass Täter und Teilnehmer einer Straftat nur natürliche Personen sein können. Juristische Personen und andere Personenmehrheiten sind dagegen als solche im strafrechtlichen Sinne nicht handlungsfähig.25 Vor diesem Hintergrund soll nun im Rahmen der tätertypologischen Betrachtung der CloudAkteure der Frage nachgegangen werden, welche natürlichen Personen beim Cloud Computing als potentielle Innentäter einer strafrechtlichen Handlung im Sinne des Datenschutzstrafrechts in Betracht kommen. Kreditinstituten gehandelt. Damit sind sie staatlichen Eingriffsmöglichkeiten weitgehend entzogen. Demzufolge erfolgen die Transaktionen anonym, so dass sie gerade für Cyberkriminelle ein attraktives digitales Zahlungsmittel darstellen; BKA, Cybercrime 2016, S. 10, 17. 20 Meywirth, Kriminalistik (70) 2016, 355 (356 ff.); Rath, DRiZ 2016, 292 (293). 21 Meywirth, Kriminalistik (70) 2016, 355 (356 ff.); ausführlich zu den Straftaten mit virtuellen Währungen, deren Verfolgung und Prävention Grzywotz/Köhler/Rückert, StV 2016, 753 (753 ff.). 22 Vgl. Meywirth, Kriminalistik (70) 2016, 355 (356 ff.); Thiesen/Michael, MMR 2014, 803 (808); Störing, MMR 2007, 193 (194). 23 Vgl. Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (137 ff.); Meywirth, Kriminalistik (70) 2016, 355 (356 ff.). 24 Vgl. BKA, Cybercrime 2015, S. 1. 25 Kühl, in: Lackner/Kühl, § 14 StGB, Rn. 1a; Freund, MK, Vorb. §§ 13 ff. StGB, Rn. 146; Fischer, Vorb. § 13 StGB, Rn. 3.
B. Tätertypologische Betrachtung
87
Zum Teil werden in der Literatur alle natürlichen Personen als Innentäter qualifiziert, die Zugang, Privilegien oder Kenntnisse über das Cloud-System haben, die sie (vorsätzlich oder fahrlässig) für einen Angriff auf die Inhaltsdaten ausnutzen können.26 Diese Einordnung erfasst allerdings auch Täter, die außerhalb des CloudNetzwerks stehen und die durch einen zugriffsberechtigten Beteiligten des CloudSystems Zugang oder sicherheitsrelevantes Insiderwissen erlangt haben.27 So ist ein Außentäter (Hacker,28 Cracker29 oder Skript-Kiddie30) nach dieser Ansicht bereits dann als interner Angreifer einzustufen, wenn er einen Mitarbeiter des Cloud-Anbieters, der Subunternehmer oder des Cloud-Nutzers durch eine Erpressung oder Nötigung zur Weitergabe von sicherheitsrelevantem Wissen oder zur Kompromittierung des Systems als mittelbarer Täter veranlasst hat.31 Dies erscheint aber zu weitgehend. Eine klare Abgrenzung der externen Angreifer zu den Innentätern ist nach diesem Begriffsverständnis kaum möglich. Zumal auch Außentäter etwa mittels 26 Anderson/Brackney, Understanding the Insider Threat, S. 10; vgl. auch Elmrabit/Yang/ Yang, in: ICAC, S. 110; Probst, it (53) 2011, 202 (203). 27 Anderson/Brackney, Understanding the Insider Threat, S. 10; ebenso Abbadi, Cloud Management, S. 171; Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2966 f.); Alawneh/ Abbadi, in: Wang (Hrsg.), TrustCom 2011, S. 787. 28 Hacker sind technisch sehr versierte Angreifer, deren Ziel es ist, Sicherheitslücken in ITSystemen aufzudecken und Angriffswerkzeuge zu entwickeln, die ein Eindringen in fremde Computersysteme unter Ausnutzung der entdeckten Schwachstellen ermöglichen. Obwohl im allgemeinen Sprachgebrauch mit einem Hacker eine Person bezeichnet wird, die illegal in fremde Computernetze eindringt, um dort kriminelle Aktivitäten auszuführen (eigentlich richtig: sog. „Cracker“), handelt es sich bei einem Hacker im eigentlichen Wortsinn nicht um eine Person, die kriminelle Interessen verfolgt. Vielmehr geht es einem Hacker um die Identifizierung von Sicherheitslücken und der anschließenden Information der Öffentlichkeit, um diese vor sicherheitskritischen Schwachstellen zu warnen. Dennoch bedienen sich Hacker hierzu meist illegaler Methoden; vgl. Janowicz, Sicherheit im Internet, S. 8 f.; Eckert, IT-Sicherheit, S. 22. Ausführlich zum Schema eines Hacking-Angriffs Kochheim, Cybercrime und Strafrecht, S. 94 ff. 29 Ein sog. Cracker verfolgt im Unterschied zum Hacker durch die Ausbeutung von Sicherheitslücken kriminelle und persönliche Ziele und agiert insofern nicht zur Information der Öffentlichkeit, sondern um Schaden an den Computersystemen anzurichten. Von der Gruppe der Cracker geht somit ein weit größeres Sicherheitsrisiko aus als von Hackern, so dass Unternehmen, die ein lukratives Angriffsziel darstellen, einen erheblichen Aufwand leisten sollten, um Cracker-Angriffe wirkungsvoll abzuwehren oder zumindest das potentielle Schadensausmaß zu begrenzen; vgl. Janowicz, Sicherheit im Internet, S. 9 f.; Eckert, IT-Sicherheit, S. 22; Terplan/Voigt, Cloud Computing, S. 83. 30 Bei den Skript-Kiddies handelt es sich um Personen, die – ohne selbst über fundiertes Know-How zu verfügen – Cracker-Tools oder andere vorgefertigte Lösungen (frei verfügbare Exploits, schriftliche Anleitungen) verwenden, um in ein System einzudringen und Schaden anzurichten. Obwohl diese Gruppe meist eher von Motiven wie dem Spieltrieb und der Neugierde denn durch die Absicht, Dritte vorsätzlich zu schädigen, getrieben sind, bedeutet die Leichtigkeit, mit denen sie ihre Angriffe durchführen, eine erhebliche Bedrohung für die Sicherheit von IT-Systemen; vgl. hierzu Janowicz, Sicherheit im Internet, S. 10; Eckert, IT-Sicherheit, S. 22; Terplan/Voigt, Cloud Computing, S. 83 f. 31 A.A. Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2966 f.); dies., in: TrustCom 2012, S. 859 f.
88
Kap. 2: Insiderbedrohungen
der Angriffsmethoden des Cross-Site-Scripting (XSS)32 oder des XML Signature Wrapping33 unbefugten Zugang zu fremden Nutzerdaten erhalten können. Kenntnis über Systemschwachstellen oder über die Zugangsdaten der Cloud-Nutzer können sie zudem zum Beispiel durch Port Scanning34 oder durch Social Engineering35 erlangen und für sich ausnutzen. Sie ab dem Zeitpunkt der Erlangung von unmittelbarem oder mittelbarem Zugang zum Cloud-System oder der Kenntnis über Systemschwachstellen als Innentäter zu bezeichnen, erscheint nicht sachgerecht. Deshalb sollte zur Unterscheidung der Tätergruppen eine organisatorische Betrachtung zugrunde gelegt und nur solche natürlichen Personen als interne Angreifer 32 Cross-Site-Scripting (XSS) bezeichnet das Ausnutzen einer Sicherheitslücke in den Webanwendungen des Anbieters, um Zugangsdaten der Cloud-Nutzer zu erlangen. Die Angriffsmethode setzt voraus, dass die Webanwendung des Cloud-Anbieters Daten annimmt, die von einem Nutzer stammen, und anschließend diese Daten an einen Browser weitersendet, ohne deren Inhalt zu überprüfen. Dadurch kann ein Angreifer Skripte an den Webbrowser des Opfers senden und Schadcode auf dem Endgerät des Cloud-Nutzers ausführen. Unterschieden werden persistente und nicht persistente XSS-Angriffe. Bei der persistenten Angriffsvariante wird der Schadcode im Webserver der Cloud-Anbieter gespeichert und bei jedem Besuch durch den Browser eines Cloud-Nutzers ausgeführt. Bei der nicht persistenten XSS-Form muss der CloudNutzer eine vom Angreifer individuell kreierte URL aufrufen, was dazu führt, dass der XSSPayload nur einmalig in diesem Kontext ausgeführt wird; Eckert, IT-Sicherheit, S. 167, 171 ff.; Borges/Schwenk/Stuckenberg/Wegener, Identitätsdiebstahl, S. 101 f.; weitergehend zu den verschiedenen Angriffsarten und Gegenmaßnahmen Sorge/Gruschka/Lo lacono, Sicherheit, S. 217 ff.; Schäfers, Hacking, S. 109 ff. 33 Die XML-Signature bildet die Grundlage für die passwortbasierte Authentifizierung des Cloud-Nutzers bei denjenigen Cloud-Diensten, die das Netzwerkprotokoll SOAP (Simple Object Access Protocol) verwenden. Daneben werden beim Cloud Computing XML Signaturen auch bei den Single-Sign-On Lösungen eingesetzt, die zum Austausch der Authentifizierungsund Autorisierungsinformationen SAML (Security Assertion Markup Language) als Standards einsetzen. XML Wrapping Signature Angriffe haben in diesem Zusammenhang zum Ziel, nach einer erfolgreichen Authentifizierung des Cloud-Nutzers, die vom Cloud-System geprüften digitalen Signaturen mit einem Man-in-the-Middle-Angriff auszuspähen, um sich nach ihrer Manipulation als angemeldeter Cloud-Nutzer auszugeben. Hierdurch erlangt der Angreifer die vollständige Kontrolle über das fremde Benutzerkonto; ausführlich zum XML Signature Wrapping Jensen/Schwenk/Gruschka/Lo lacono, in: Cloud 2009, S. 111 f.; Schwenk/Gajek/ Liao/Jensen, in: ICWS 2009, S. 575 ff.; McIntosh/Austel, in: CCS 2005, S. 20 ff.; vgl. auch Chou, IJCSIT (5) 2013, 79 (85 f.). 34 Port Scanning ist eine Methode, mit der ein externer Angreifer nach Schwachstellen in den laufenden Programmen und Diensten des Zielsystems sucht, um eine Möglichkeit für ein unbefugtes Eindringen in das fremde System ausfindig zu machen; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 562; weitergehend Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 58 f. 35 Bei einem Social Engineering oder Social Hacking versucht der Angreifer durch eine Vorspiegelung falscher Identitäten, Funktionen oder Tatsachen den Geheimnisträger zu einer Herausgabe von sensitiven Informationen zu veranlassen. Eine oft vorkommende Angriffsmethode ist, sich gegenüber dem Benutzer am Telefon oder per E-Mail als Systemadministrator oder Wartungstechniker auszugeben, um mit der Behauptung der dringenden Durchführung notwendiger administrativer Arbeiten bzw. der Behebung eines Programmfehlers, den Benutzer um die Preisgabe seiner Zugangsdaten zu veranlassen; Eckert, IT-Sicherheit, S. 26; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 39 f.; Schmid, Computerhacken, S. 158 f.
B. Tätertypologische Betrachtung
89
angesehen werden, die dem Cloud-Netzwerk angehören und die kraft ihrer organisatorischen Stellung berechtigten Zugriff auf das Cloud-System und über sicherheitsrelevantes Wissen besitzen.36 Denn Innentäter stellen im Vergleich zu externen Angreifern erfahrungsgemäß deshalb die weitaus gefährlichste Tätergruppe dar, weil sie kraft ihrer organisatorischen Stellung im Cloud-Ökosystem Kenntnis über die Eigenschaften und Schwachstellen der Cloud-Infrastruktur haben, wohingegen Außentäter zunächst ihren Wissensmangel ausgleichen und eine Schwachstelle (Vulnerability) im CloudSystem ausfindig machen müssen, um einen Ansatzpunkt zur Überwindung der Sicherheitsmaßnahmen zu finden.37 Innentäter wissen hingegen, wie, wann und wo sie für einen erfolgreichen Angriff ansetzen müssen und ihre Spuren verwischen können.38 Ihre Angriffsvektoren potenzieren sich ferner durch ihre direkten Zugangsmöglichkeiten zum Cloud-System. Somit müssen sie sich für einen gelungenen Angriff nicht erst wie Außentäter Zugang zu dem Cloud-Netzwerk verschaffen, da sie aufgrund ihrer organisatorischen Stellung und des ihnen entgegengebrachten Vertrauens bereits unmittelbaren Zugriff auf die Systemkomponenten haben.39 Dadurch können sie im Gegensatz zu externen Angreifern nahezu mühelos das CloudSystem und die Nutzerdaten kompromittieren.40 Dies umso mehr, weil sie auch den richtigen Zeitpunkt für einen Angriff abwarten können, um weitaus größere Schäden anzurichten als externe Angreifer.41 Während Außentäter eher präventiv abgewehrt werden können, ist für die Wirkungsweise der Innentäter symptomatisch, dass kein Cloud-System vollständigen Schutz vor ihren Angriffen gewährleisten kann.42 36 Ähnlich Sen, in: Ruiz-Martinez/Marin-Lopez/Pereñiguez-Garcia (Hrsg.), Secure Information Technology Infrastructures, S. 11; Nkosi, Insider threat reduction model, S. 20; Klieme/ Strick/Wunderlich/Braun/Wiesmaier, Der elektronische Safe, S. 56. 37 Vgl. Bedner, Cloud Computing, S. 209; Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2965); Gunasekhar/Rao/Basu, in: IEEE (Hrsg.), ICCPCT, S. 1465; Colwill, Information Security Technical Report (14) 2009, 186 (187). 38 Colwill, Information Security Technical Report (14) 2009, 186 (187); vgl. auch Bedner, Cloud Computing, S. 209. 39 Bedner, Cloud Computing, S. 209; Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2965); Sen, in: Ruiz-Martinez/Marin-Lopez/Pereñiguez-Garcia (Hrsg.), Secure Information Technology Infrastructures, S. 11; Nkosi, Insider threat reduction model, S. 20. 40 Vgl. Sahito/Slany, IJACSA (4) 2013, 12 (12); Srinivasan/Sarukesi/Rodrigues/Manoj/ Revathy, in: ICACCI ’12, S. 473. 41 Bedner, Cloud Computing, S. 209; Kandias/Virvilis/Gritzalis, in: Bologna/Hämmerli/ Gritzalis/Wolthusen (Hrsg.), CRITIS 2011, S. 94; Elmrabit/Yang/Yang, in: ICAC, S. 108; Hunker/Probst, JoWUA (2) 2011, 4 (4); Nkosi/Jembere/Adigun, Insider Threat Detection and Prevention Model, S. 1; vgl. auch Cummings/Lewellen/McIntire/Moore/Trzeciak, Insider Threat Study 2012, S. 11; vgl. auch Roßnagel/Wedde/Hammer/Pordesch, Informationsgesellschaft, S. 146. 42 So auch Bedner, Cloud Computing, S. 8; Heier/Abt/Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 48; Hoppen, CR 2015, 802 (804); Bosesky/Hoffmann/Schulz, DuD 2013, 95 (99); Marnau/Schirmer/Schlehahn/Schunter, DuD 2011, 333 (334); Groß/ Lischka/Gruschka/Miede/Jensen/Mosch/Schulte/Siebenhaar, PIK 2011, 126 (128).
90
Kap. 2: Insiderbedrohungen
Zumal es ihnen aufgrund ihres Insiderwissens und ihres direkten Zugriffs auf die Cloud-Infrastruktur auch ein leichtes ist, bestehende Schutzmaßnahmen auszuschalten oder zu umgehen.43 Aus diesem Grund werden ihre Taten in den meisten Fällen von den Betroffenen entweder überhaupt nicht oder erst nach Monaten oder gar erst Jahre später bemerkt.44 Insofern übersteigt die Erfolgsquote eines Angriffs auf die Vertraulichkeit, die Integrität und die Verfügbarkeit der Nutzerdaten durch Innentäter auch wesentlich die Zahl an erfolgreichen Cyberangriffen von externen Tätern.45 Zusammenfassend wird der Begriff „Innentäter“ in Übereinstimmung mit der vorherrschenden Ansicht in der Literatur für die weitere strafrechtliche Untersuchung daher wie folgt definiert: „Innentäter sind aktuelle oder ehemalige Mitarbeiter der Cloud-Anbieter, deren Geschäftspartner (Zulieferer, Subunternehmer) oder die Cloud-Nutzer, die berechtigten Zugriff auf die Cloud-Infrastruktur (Hard- und Softwarekomponenten), die Cloud-Dienste und die Nutzerdaten haben oder hatten und die gegebenenfalls unter Ausnutzung ihres Wissens über Eigenschaften und Schwachstellen des Cloud-Systems vorsätzlich ihre Zugriffsberechtigung ausweiten bzw. missbrauchen, um die Vertraulichkeit, die Integrität und die Verfügbarkeit der Cloud-Dienste und der Nutzerdaten zu beeinträchtigen.“46
I. Mitarbeiter der Cloud-Anbieter Zu den potentiellen Innentätern gehören vor allem die Administratoren der CloudAnbieter (IaaS-, SaaS-, PaaS-Anbieter und Cloud Broker).47 Über ihren privilegierten Zugriff auf die Managementplattform können sie mühelos die im CloudSystem gespeicherten Credentials und Inhaltsdaten der Nutzer auslesen, manipulieren oder ihre Erreichbarkeit beeinträchtigen.48 Insofern kann angesichts der Popularität des Cloud Computing auch nicht sicher ausgeschlossen werden, dass kri43
Elmrabit/Yang/Yang, in: ICAC, S. 108; Nkosi/Jembere/Adigun, Insider Threat Detection and Prevention Model, S. 1. 44 Verizon, Data Breach Investigations Report 2016, S. 38; Mahajan/Sharma, IJERGS (3) 2015, 245 (248); Sahito/Slany, IJACSA (4) 2013, 12 (12). 45 Gunasekhar/Rao/Basu, in: IEEE (Hrsg.), ICCPCT, S. 1465; Nkosi/Jembere/Adigun, Insider Threat Detection and Prevention Model, S. 1. 46 Vgl. Terplan/Voigt, Cloud Computing, S. 82; Mahajan/Sharma, IJERGS (3) 2015, 245 (250); Elmrabit/Yang/Yang, in: ICAC, S. 108; Sen, in: Ruiz-Martinez/Marin-Lopez/Pereñiguez-Garcia (Hrsg.), Secure Information Technology Infrastructures, S. 11; Nostro/Ceccarelli/ Bondavalli/Brancati, in: Correia/Mittal (Hrsg.), DISCCO 2013, S. 2; Sahito/Slany, IJACSA (4) 2013, 12 (13); Claycomb/Nicoll, in: Bai (Hrsg.), COMPSAC 2012, S. 387; Kandias/Virvilis/ Gritzalis, in: Bologna/Hämmerli/Gritzalis/Wolthusen (Hrsg.), CRITIS 2011, S. 94; vgl. auch CERT Insider Threat Center, Guide to Mitigating Insider Threats, S. X; Bishop/Gollmann/ Hunker/Probst, Countering Insider Threats, S. 2 ff. 47 Zu diesen siehe bereits oben S. 51 ff., 70 f. 48 Mahajan/Sharma, IJERGS (3) 2015, 245 (250).
B. Tätertypologische Betrachtung
91
minelle Täter von vornherein Cloud-Dienstleistungen mit der Intention anbieten, die ihnen zur Speicherung und Verwaltung anvertrauten Daten ihrer Kunden auszuspähen.49 Die Komplexität des Cloud-Systems und fehlende einheitliche Kontrollmechanismen machen es ihnen hierbei leicht, sich als Service-Anbieter in der dynamischen Cloud-Lieferkette zu verstecken und eine Vielzahl von Inhaltsdaten bei geringem Entdeckungsrisiko abzugreifen.50 Abgesehen von dieser Kriminalitätsform ist im Allgemeinen im Hinblick auf die Befugnisse im Umgang mit den einzelnen Systemkomponenten der Cloud-Architektur und den Nutzerdaten bei den Administratoren der Anbieter zwischen dem Supervisor, der uneingeschränkten Zugang zu sämtlichen Systemkomponenten und Verwaltungsfunktionen der Cloud-Architektur besitzt,51 und den Systemadministratoren, welche die physischen Server und Speicherbereiche (Hostadministratoren) und die Ressourcenzuteilung durch den Hypervisor (Virtualisierungsadministratoren) verwalten,52 sowie den Netzwerk- und Sicherheitsadministratoren zu unterscheiden, wobei sich die einen um die Netzwerkanbindung der virtuellen Systeme mit den physischen Cloud-Servern und die anderen um die Aktualität und Wirksamkeit der Sicherheitsmaßnahmen im Cloud-System (Firewall, Einspielen von Sicherheitspatches und -updates etc.) kümmern.53
II. Mitarbeiter der Subunternehmer Ferner sind auch die Angestellten der Geschäftspartner der Cloud-Anbieter, namentlich die Mitarbeiter des Manufactors54 bzw. Hardwareanbieters55 und des Cloud Service Developers56 sowie des Softwareanbieters57 (Independant Software Vendor)58 als Innentäter zu berücksichtigen.
49
Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2979); Bleikertz/Mastelic´/Pape/ Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 82. 50 Vgl. Duncan/Creese/Goldsmith, in: TrustCom 2012, S. 861 f. 51 BSI, IT-Grundschutz-Kataloge, M 2.38 Aufteilung der Administrationstätigkeiten, 13. EL, Stand 2013. 52 Zum Teil werden diese Administratoren zusammen mit den Netzwerkadministratoren auch als Infrastrukturadministratoren bezeichnet, so Bedner, Cloud Computing, S. 217; Marnau/Schirmer/Schlehahn/Schunter, DuD 2011, 333 (334). 53 Vgl. Bedner, Cloud Computing, S. 217; Münch/Doubrava/Essoh, DuD 2011, 322 (325 f.); Marnau/Schirmer/Schlehahn/Schunter, DuD 2011, 333 (334); ähnlich Claycomb/ Nicoll, in: Bai (Hrsg.), COMPSAC 2012, S. 389. 54 Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 80. 55 Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 B, Rn. 27 f. 56 ISO/IEC 17789:2014, S. 21. 57 Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 B, Rn. 38 f. 58 Pelzl/Helferich/Herzwurm, Wertschöpfungsnetzwerke, S. 6.
92
Kap. 2: Insiderbedrohungen
Aufgabe der Beschäftigten des Manufactors ist es, den Cloud-Anbietern die Hardwareressourcen (Festplatten, Prozessoren, Switches etc.), die für die Bereitstellung der Cloud-Dienste notwendig sind, zu liefern und gegebenenfalls zu warten59 Angestellte der Cloud Service Developer sind dagegen für die Planung, Entwicklung sowie das Testen und die Wartung einzelner Service-Komponenten verantwortlich, um beispielsweise eine Kooperation mit weiteren Anbietern bei der Erbringung der Cloud-Dienste zu ermöglichen.60 Das Tätigkeitsfeld der Mitarbeiter des Independent Software Vendors bezieht sich wiederum auf die Entwicklung, Lieferung und die etwaige Wartung der für die Cloud-Angebote notwendigen Applikationen und Software (Hypervisor, Cloud Management Software etc.).61 Das Sortiment der angebotenen Softwaretechnik umfasst hierbei vor allem SoftwareTools zur Einrichtung des Self-Service-Portals für die Cloud-Nutzer und dem Anbieten der verschiedenen virtualisierten Cloud-Ressourcen sowie zur Umsetzung von technischen Sicherheitsmaßnahmen und zur Ressourcenallokation. Potentielle Innentäter stellen die Mitarbeiter dieser Subunternehmer deshalb dar, weil es ihnen möglich ist, unsichere Cloud-Komponenten zu implementieren, deren Schwachstellen sie für einen späteren Angriff ausnutzen können. Vor allem in Public Clouds oder vernetzten Clouds mehrerer Anbieter, bei denen die Cloud-Anbieter oftmals dieselben Software-, Hardware- und Dienstkomponenten nutzen und deren Angebote von einer Vielzahl von Nutzern in Anspruch genommen werden, können böswillige Zulieferer durch Ausnutzen von Sicherheitslücken in der gelieferten Cloud Management Software oder durch eine Infizierung der Hardware mit Schadsoftware die Sicherheit großer Datenmengen beeinträchtigen und erhebliche Schäden anrichten.62
III. Nutzerseite Auf der Nutzerseite sind als potentielle Innentäter zunächst die natürlichen Personen zu nennen, welche die Cloud-Dienste für private Zwecke in Anspruch nehmen. Darüber hinaus sollen als Cloud-Anwender auch die cloudnutzenden Unternehmen in den Blick genommen werden. In diesem Fall gehen nämlich Gefahren für die Daten- und Informationssicherheit der Cloud-Dienstleistungen besonders von deren Serviceadministratoren aus, welche die virtuellen Maschinen ihres Ge-
59 Vgl. Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 1 B, Rn. 28; Borges/ Brennscheidt, in: Daten- und Identitätsschutz, S. 49; Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 80. 60 ISO/IEC 17789:2014, S. 21. 61 Vgl. Pelzl/Helferich/Herzwurm, Wertschöpfungsnetzwerke, S. 6. Die Autoren beschränken die Tätigkeit der Independent Software Vendors allerdings lediglich auf das Entwickeln, Testen und Pflegen der als SaaS-Dienstleistungen angebotenen Applikationen. 62 Vgl. Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 85 f.
C. Tatmotive
93
schäftsherrn über das bereitgestellte Self-Service-Web-Portal der Anbieter verwalten.63 Schlussendlich eröffnet das Cloud Computing auch für Cyberkriminelle völlig neue Angriffsmöglichkeiten. Da die Cloud-Dienstleistungen jedermann und ohne eines vorherigen Sicherheitschecks des Kunden zur Nutzung offen stehen, besteht das Risiko, dass sie unerkannt in die Rolle des Cloud-Nutzers schlüpfen, um die Datenverarbeitung in der Cloud auszuspionieren oder zu sabotieren.64 Als Kunden befinden sie sich zudem im lokalen Netz des Cloud-Anbieters, so dass sie vorhandene Schutzmaßnahmen gegen externe Cyberattacken, wie z.B. Firewalls, nicht mehr überwinden müssen und es ihnen in dieser Situation einfacher ist, Sicherheitslücken über das Cloud-System zu sammeln, die sie als Einfallstor für Verletzungen der Datenvertraulichkeit, der Integrität und der Verfügbarkeit der fremden Nutzerdaten missbrauchen können.
C. Tatmotive Gesicherte empirische Daten über die Motivationslage der Innentäter beim Cloud Computing liegen zwar nicht vor, anzunehmen ist aber, dass die Motivation für einen Insiderangriff sehr vielfältig ist und sich oftmals aus einem komplexen Motivbündel zusammensetzt.65 Das Hauptmotiv für den Angriff auf die Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten wird dabei häufig sein, einen finanziellen oder persönlichen Vorteil zu erlangen.66 Regelmäßig vorkommende Szenarien sind die entgeltliche Manipulation von Unternehmensdaten zwecks Störung des Geschäfts- und Betriebsablaufs im Auftrag eines Konkurrenten oder das Ausspähen von sensiblen Daten (Kundendaten, Geschäfts- und Betriebsgeheimnisse wie etwa Produktinformationen, Business- und Strategiepläne), um sie selbst für den Aufbau eines konkurrierenden Unternehmens zu nutzen oder die Daten gewinnbringend an Dritte zu verkaufen.67 Gerade die Stückpreise von 5 bis 260 US-Dollar,68 die im Rahmen des illegalen Datenhandels für unberechtigt erlangte sensible Daten auf den Marktplätzen der Underground Economy gezahlt werden, bieten hierbei einen enormen 63
BSI, IT-Grundschutz-Kataloge, B 1.17 Cloud-Nutzung, 14. EL, Stand 2014, S. 1. Weichert, DuD 2010, 679 (684). 65 Vgl. Fleischer, Wirtschaftsspionage, S. 11. 66 Verizon, Data Breach Investigations Report 2016, S. 36; Klieme/Strick/Wunderlich/ Braun/Wiesmaier, Der elektronische Safe, S. 56. 67 Vgl. Elmrabit/Yang/Yang, in: ICAC, S. 109; Spiegel Online, Pressemeldung „InsiderAngriff: Hacker erbeutet Bankdaten von Millionen Vodafone-Kunden“ vom 12. 09. 2013, abrufbar unter http://www.spiegel.de/netzwelt/netzpolitik/vodafone-hacker-stehlen-daten-von-mil lionen-kunden-a-921790.html (zuletzt aufgerufen am 01.02. 2018). 68 BT-Drs. 18/1288, S. 10. 64
94
Kap. 2: Insiderbedrohungen
Tatanreiz fremde Nutzerdaten auszuspähen. Denkbar ist es aber auch, dass speziell Serviceadministratoren von Unternehmen mit der Intention auf die virtuellen Maschinen anderer in Wettbewerb stehender Kunden zugreifen, um an sensible Informationen zur Verbesserung der Marktstellung ihres Arbeitgebers bzw. zur Schädigung des Konkurrenten zu gelangen.69 Daneben beruhen die Tatmotive oftmals auch auf Frustration, Unzufriedenheit, Langeweile, Rache oder auf ideologischen Gründen.70 In diesem Zusammenhang stellten kriminologische Untersuchungen71 der Handlungs- und Tatantriebe zudem fest, dass die Wahrscheinlichkeit eines Insiderangriffs dann signifikant hoch ist, wenn der Innentäter fest zur Tat entschlossen ist, er sein Handeln als gerechtfertigt ansieht (zum Beispiel eine krisenbedingte Entlassung wird als unfair empfunden) und sich ihm schließlich die Gelegenheit für einen Angriff bietet (etwa weil er mangels interner Kontrollen leicht auf sensible und potentiell wertvolle Daten zugreifen kann).72 In diesem Fall sind alle drei Voraussetzungen (Motivation, Rechtfertigung und Gelegenheit) des sogenannten BetrugsDreiecks („Fraud Triangle“) erfüllt.73
D. Exemplarische Angriffsvektoren Im Vergleich zu dezidierten IT-Infrastrukturen bietet das hochkomplexe und multimandantenfähige Cloud-Netzwerk für Innentäter eine äußerst lukrative und attraktive Angriffsfläche. Bereits eine technische oder organisatorische Schwachstelle innerhalb des Cloud-Systems, wie etwa eine mangelhafte Zugangs-, Zugriffsund Berechtigungsverwaltung, eine (bewusst) fehlerhafte Programmierung und Konfiguration einzelner Systemkomponenten oder unsichere bzw. fehlerhafte Authentifizierungsmechanismen, können sie zur Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit der Inhaltsdaten ausnutzen.74 Ein enormes Risiko für die 69
Vgl. Klieme/Strick/Wunderlich/Braun/Wiesmaier, Der elektronische Safe, S. 56. Bedner, Cloud Computing, S. 210; Klieme/Strick/Wunderlich/Braun/Wiesmaier, Der elektronische Safe, S. 56; Elmrabit/Yang/Yang, in: ICAC, S. 110; Mahajan/Sharma, IJERGS (3) 2015, 245 (249 f.); Sahito/Slany, IJACSA (4) 2013, 12 (13 f.); siehe auch PWC, Managing Insider Threats, S. 5; Verizon, Data Breach Investigations Report 2016, S. 36. 71 Ausführlich zu den kriminologischen Erklärungsansätzen, Fleischer, Wirtschaftsspionage, S. 81 f.; BKA, Täter im Bereich Cybercrime, S. 58 ff.; Schwind, Kriminologie, § 21, Rn. 19 f. 72 KPMG AG, e-Crime-Studie 2010, S. 12; Kasper, Wirtschaftsspionage und Konkurrenzausspähung, S. 62; siehe auch Schultz, Computers & Security (21) 2002, 526 (528); zu weiteren kriminologischen Erklärungsansätzen siehe Fleischer, Wirtschaftsspionage, S. 81 ff. 73 Die Theorie wurde entwickelt von Cressey, Other Peoples Money, S. 30. 74 Vgl. BSI, Sicherheitsempfehlungen, S. 33; Münch/Doubrava/Essoh, DuD 2011, 322 (325 f.); Ardelt/Dölitzscher/Knahl/Reich, HMD (48) 2011, 62 (66); ausführlich hierzu auch ENISA, Benefits, Risks 2009, S. 53 f. 70
D. Exemplarische Angriffsvektoren
95
Daten- und Informationssicherheit gehen in diesem Zusammenhang vor allem auch durch Zero-Day-Schwachstellen in der Cloud-Software aus. Diese eröffnen Innentätern Angriffswege, die bislang völlig unbekannt und damit überhaupt nicht in der Umsetzung von präventiven Sicherheitsmaßnahmen berücksichtigt worden sind.75 Besonders die eingesetzten Programme zum Datentransport und zur Verwaltung des Cloud-Systems, insbesondere die Softwaremechanismen zur Virtualisierung, zum Lastausgleich und zur geografischen Verteilung der Ressourcen und Daten sowie zur Verschlüsselung und Protokollierung der Datenverarbeitung, enthalten oft unbekannte Sicherheitslücken, die während des zumeist sehr langen Zeitraums ihrer Entdeckung und ihrer Behebung durch Patches und Updates für einen unbefugten Zugriff auf die Inhaltsdaten missbraucht werden können.76 So werden allein in der von den Cloud-Anbietern häufig eingesetzten Virtualisierungssoftware von VMware jeden Monat sicherheitsgefährdende Schwachstellen bekannt gegeben und geschlossen.77 In höchstem Maße bedeutsam war auch der sog. HeartBleed Bug, ein schwerwiegender Programmfehler in der Open-Source Sicherheitssoftware OpenSSL, der zur größten Sicherheitslücke im Internet der letzten Jahrzehnte führte.78 Die Schwachstelle in dem Verschlüsselungsprotokoll OpenSSL blieb mehr als zwei Jahre unentdeckt und ermöglichte es potenziellen Angreifern, trotz verschlüsselt versandter Datenpakete an die Cloud, die Kommunikationsverbindung und den Speicher der Cloud-Server auszulesen, um so an unverschlüsselte Inhaltsdaten und Passwörter zu gelangen.79 Schon angesichts solcher ständig neu auftretender Sicherheitslücken sind die Techniken und Taktiken der Innentäter, mit denen sie fremde Inhaltsdaten auf den einzelnen Ebenen des Cloud-Systems auslesen und manipulieren können, nahezu grenzenlos. Wie eingangs bereits ausgeführt wurde, ist es dabei nicht nur technisch versierten, sondern auch technisch nicht spezialisierten Innentätern durch ihren berechtigten Zugang zum Cloud-System und des einfachen Erwerbs von neuartigen und hochentwickelten Angriffswerkzeugen, Malware und Anleitungen auf den Marktplätzen der Underground Economy möglich, die Daten- und Informationssi-
75
Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (160). MMR-Aktuell 2010, 312179; vgl. auch Terplan/Voigt, Cloud Computing, S. 51; Federrath, in: Hruschka/Joerden (Hrsg.), Recht und Ethik, S. 339; Subashini/Kavitha, JoNaCA 2011, 1 (7). 77 Siehe hierzu die Webseite von VMware http://www.vmware.com/security/advisories.html (zuletzt aufgerufen am 01. 02. 2018). 78 Ausführlich hierzu Security Explorer, Meldung „Heartbleed – Weckruf für die Großen des Internets“ vom 22. 05. 2014; abrufbar unter https://www.security-explorer.de/cyber-security/ heartbleed-weckruf-fuer-die-grossen-des-internets/, Meldung „So funktioniert der HeartbleedExploit“ vom 10. 04. 2014; abrufbar unter https://www.heise.de/security/artikel/So-funktioniertder-Heartbleed-Exploit-2168010.html (beide Artikel zuletzt aufgerufen am 01. 02. 2018). 79 Die Welt, Pressemitteilung „Diese Passwörter sollten Sie jetzt ändern“ vom 10. 04. 2014; abrufbar unter https://www.welt.de/wirtschaft/webwelt/article126790546/Diese-Passwoertersollten-Sie-jetzt-aendern.html (zuletzt aufgerufen am 01. 02. 2018). 76
96
Kap. 2: Insiderbedrohungen
cherheit der Cloud-Dienste zu beeinträchtigen. Insofern wird die Spezialität und Effektivität ihrer Angriffsmethoden auch in Zukunft weiter zunehmen.80 In Anbetracht der Vielzahl an Angriffsvektoren ist es an dieser Stelle nicht möglich, sämtliche potentielle Angriffsformen der Innentäter erschöpfend darzustellen.81 Beispielhaft soll aber ein Einblick in mögliche und bereits praktizierte Angriffsmethoden gegeben werden. Dabei soll sich die nachfolgende Darstellung allein auf die cloudspezifischen Angriffsmuster, die Innentäter bei Missbrauch ihrer privilegierten Zugriffsrechte auf das Cloud-System und unter Ausnutzung ihres Wissens über die Eigenschaften und Schwachstellen der Cloud-Architektur durchführen können, beschränken. Angriffsoptionen, bei denen sich vor allem die CloudNutzer bzw. deren Serviceadministratoren zur Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Cloud-Dienste mittels des Modus Operandi der Cyberangriffe von Außentätern Zugang zu fremden Nutzerdaten verschaffen, sollen hingegen außer Betracht bleiben, da sie keine rechtlichen Besonderheiten aufwerfen.82
80 Angesichts der im Rahmen der Crime-as-a-Service angebotenen kriminellen Dienstleistungen der Underground Economy ist zudem die Zahl an Cyberangriffen externer Täter auf NATO-Mitgliedstaaten und auf die Rechenzentren der NATO rasant angestiegen. Infolgedessen wurde auf dem am 08.07. bis 09. 07. 2016 in Warschau stattgefundenen Gipeltreffens der Cyberspace zu einem eigenständigen Operationsgebiet der NATO erklärt. Schwere Cyberangriffe auf einen Alliierten können damit einen Bündnisfall nach Art. 5 des Nordatlantikvertrags auslösen; siehe hierzu Cyber Defence Pledge vom 08. 07. 2016, abrufbar unter http://www.nato. int/cps/en/natohq/official_texts_133177.htm?selectedLocale=en; vgl. auch FAZ, Pressemeldung vom 18. 06. 2007 „Estland im Visier: Ist ein Internetangriff der Ernstfall?“; abrufbar unter http://www.faz.net/aktuell/politik/ausland/estland-im-visier-ist-ein-internetangriff-der-ernst fall-1436040.html; Heise online, Pressemeldung vom 18. 06. 2015 „Bundestags-Hack: Angreifer sollen gigabyteweise E-Mails kopiert haben“; abrufbar unter http://www.heise.de/securi ty/meldung/Bundestags-Hack-Angreifer-sollen-gigabyteweise-E-Mails-kopiert-haben-271 5881.html (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 81 Ausführlich zu den Angriffsmethoden von Innentätern Fernandes/Soares/Gomes/Freire/ Inácio, IJIS (13) 2014, 113 (115 ff.) m.w.N.; kürzer: Chou, IJCSIT (5) 2013, 79 (81 ff.); Chraibi/ Harroud/Maach, in: iiWAS 2013, S. 561 ff.; Khalil/Khreishah/Azeem, Computers (3) 2014, 1 (9 ff.). 82 Ausführlich zu den Angriffsoptionen siehe Gupta/Kumar/Abraham, IJDSN 2013, 1 (4). Zur Strafbarkeit nach den §§ 202a Abs. 1, 202c Abs. 1 Nr. 2 und 303a StGB beim Cross-SiteRequest-Forgery (CSRF), der SQL-Injection und bei einem Session Hijacking, bei denen Angreifer außerhalb des Cloud-Systems Zugang zu einem fremden Benutzerkonto erlangen, Braun/Gemein/Höfling/Maisch/Seidl, DuD 2012, 502 (503 ff.); Kochheim, Cybercrime und Strafrecht, Rn. 481; Kargl, NK, § 202a StGB, Rn. 14a; Ernst, NJW 2007, 2661 (2661); keine Strafbarkeit aus § 202a Abs. 1 StGB beim Session Hijacking hingegen annehmend Dietrich, Ausspähen von Daten, S. 152. Zur Verwirklichung der Tatbestände der §§ 202a Abs. 1, 269 Abs. 1, 303a StGB, wenn ein Täter durch die Verwendung einer falschen IP-Adresse (IPSpoofing) oder eines falschen Rechnernamens (DNS-Spoofing) seine Identität verschleiert siehe nur Koch, Angriff und Verteidigung in Computernetzen, S. 89 ff.; Schmid, Computerhacken, S. 174 f.; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 111; Rinker, MMR 2002, 663 (663).
D. Exemplarische Angriffsvektoren
97
I. Ressourcenschicht Auf der Ressourcenschicht können Innentäter die Verfügbarkeit, Vertraulichkeit und Integrität der Inhaltsdaten in vielfältiger Art und Weise angreifen. Sofern sie, wie die Administratoren oder das Wartungspersonal der Cloud-Anbieter, Zugang zu den physischen Servern haben, ist es denkbar, dass sie unbefugt auf die Cloud-Rechner zugreifen und mittels elektronischer Medien (USB-Sticks, Disks oder CDs) Inhaltsdaten kopieren oder Schadsoftware einschleusen, die zur Löschung oder inhaltlichen Veränderung der Nutzerdaten führen kann.83 Ein weiterer denkbarer Angriff besteht darin, die Erreichbarkeit der Inhaltsdaten durch ein Herunterfahren der physischen Server oder durch eine Unterbrechung der Stromversorgung bzw. der Kühlungssysteme zu beeinträchtigen.84 Das hiermit verbundene Schadensausmaß kann weitreichende Folgen haben. Bereits der Ausfall eines einzigen Servers kann dazu führen, dass sämtliche Nutzer, deren virtuelle Maschinen auf dem betroffenen physischen System laufen, nicht mehr auf die CloudDienste und auf ihre ausgelagerten Daten zugreifen können.85 Diese Verfügbarkeitslücken können den Geschäftsbetrieb von Cloud-Nutzern, insbesondere solchen Nutzern, deren Geschäft von der ständigen Verfügbarkeit der IT abhängt, empfindlich stören und enorme Gewinnausfälle i.S.v. § 252 BGB verursachen.86 Hohe Schäden können Innentäter auch durch eine Beschädigung oder Zerstörung von Server- und Netzwerkkomponenten verursachen. Trotz der redundanten Datenspeicherung in den Clouds kann dieser Angriff einen vollständigen Datenverlust der Nutzer zur Folge haben,87 was besonders die Existenz von Unternehmen, die keine eigenen Backups und IT-Ressourcen vorhalten und ihren Geschäftsbetrieb vollständig in die Cloud ausgelagert haben, signifikant gefährdet.88 Neben den potentiellen Angriffsmöglichkeiten durch Mitarbeiter der CloudAnbieter und Nutzer können auf dieser Ebene der Cloud-Architektur auch Beschäftigte des Manufactors, des Cloud Service Developers und des Softwareanbieters die Daten- und Informationssicherheit der Cloud-Dienste gefährden. 83 Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2973); vgl. auch Meir-Huber, Cloud Computing, S. 40. Schutz gegen derartige Angriffe bieten primär physische und organisatorische Maßnahmen, wie z.B. ein Zutrittsverbot zu den Serverräumen oder ein Ausbau der entsprechenden Anschlüsse; Duncan/Creese/Goldsmith/Quinton, in: TrustCom 2013, S. 494; Sorge/Gruschka/Lo lacono, Sicherheit, S. 83. 84 Vgl. Münch/Doubrava/Essoh, DuD 2011, 322 (324); Christmann/Hilpert/Thöne/Hagenhoff, HMD 2010, 62 (65); siehe auch Tetzner, Sicherheitsanforderungen, S. 59; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 29. 85 Bedner, Cloud Computing, S. 200, 207. 86 Wicker, MMR 2014, 715 (715). 87 Bedner, Cloud Computing, S. 145 f. 88 Wicker, MMR 2014, 715 (715).
98
Kap. 2: Insiderbedrohungen
Angestellte der Hardwareanbieter und des Cloud Service Developers könnten die einzelnen Komponenten des Cloud-Systems, wie Chips, Router, Firewalls oder Festplatten, mit Spionage- und Schadsoftware, zum Beispiel einem HardwareTrojaner,89 präparieren, der heimlich Passwörter und Inhaltsdaten ausliest, die entweder auf dem Hardware-Trojaner gespeichert oder dem Innentäter über einen verdeckten Kommunikationskanal über das Internet, z.B. per E-Mail, weitergeleitet werden.90 Die besondere Gefährlichkeit dieses Angriffs wird nicht zuletzt durch das nur sehr geringe Entdeckungsrisiko und seines großen Wirkungskreises deutlich (Auslesen einer Vielzahl von sensiblen Nutzerdaten, Reputationsverlust des CloudAnbieters).91 Ein denkbarer Angriff der Softwarehersteller wäre zum Beispiel eine als nützliche Anwendungsfunktion (beispielsweise für Wartungszwecke) getarnte Backdoor bzw. Trapdoor92 in die Cloud-Software einzubauen, die es ihnen im gleichen Umfang wie ein Hardware Trojaner ermöglicht, uneingeschränkten Fernzugriff auf die Inhaltsdaten zu erlangen.93 Ebenso können sie über routinemäßige Updates Malware, wie beispielsweise logische Bomben94, in das Cloud-System einschleusen, die nach 89
Im Allgemeinen sind Trojaner bzw. Trojanische Pferde Programme, die scheinbar eine nützliche Funktion haben, aber tatsächlich zahlreiche verdeckte Schadensfunktionen enthalten. Typische Funktionalitäten sind das Ausspähen, Kopieren und Weiterleiten von sensiblen Daten (Kennwörter, E-Mails etc.) an den Angreifer, die Deaktivierung und den Austausch von sicherheitsrelevanten Diensten wie Firewalls und Antivirenprogrammen sowie die Fernsteuerung des infizierten Systems für weitere kriminelle Zwecke (zum Beispiel zum Versenden von SpamMails). Im Gegensatz zu Würmern und Viren reproduzieren sich Trojaner grundsätzlich nicht. Möglich ist es aber, sie als Teil des Schadprogramms von Würmern zu installieren, was zur Folge hat, dass sie sich ohne Zutun des Anwenders aktiv vermehren können; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 64 f.; Eckert, IT-Sicherheit, S. 73 f.; Kochheim, Cybercrime und Strafrecht, S. 94 f.; Janowicz, Sicherheit im Internet, S. 230 ff.; Bergauer, Computerstrafrecht, S. 89 f. 90 Vgl. Hügel/Meyer-Ebrecht, Vorgänge Nr. 209 2014, 4 (5); Bleikertz/Mastelic´/Pape/ Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 86. 91 Siehe hierzu heise online, Pressemeldung „32C3: Hardware-Trojaner als unterschätzte Gefahr“ vom 28. 12. 2015; abrufbar unter http://www.heise.de/newsticker/meldung/32C3-Hard ware-Trojaner-als-unterschaetzte-Gefahr-3056452.html (zuletzt aufgerufen am 01. 02. 2018). 92 Eine Trapdoor ist eine von Programmierern originär absichtlich eingebaute Hintertür, deren Schadfunktion es erlaubt, über eine externe Netzwerkverbindung in das System einzudringen; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 103; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 62. Demgegenüber werden hier unter Backdoors Sicherheitslücken verstanden, die durch Trojaner nachträglich geschaffen werden und sich im Ergebnis ebenso wie die vorbenannten Trapdoors auswirken; vgl. Graf, MK, § 202a StGB, Rn. 86; Dietrich, Ausspähen von Daten, S. 146. 93 Kast, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 66, Rn. 60; Federrath, in: Hruschka/Joerden (Hrsg.), Recht und Ethik, S. 339; Hügel/Meyer-Ebrecht, Vorgänge Nr. 209 2014, 4 (5); vgl. auch Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 62; MarberthKubicki, Computer- und Internetstrafrecht, Rn. 103; Streitberger/Ruppel, Cloud Computing Sicherheit, S. 22; Newman, Computer Security, S. 49. 94 Die logische Bombe ist ein Programmcode, das aus den beiden Bestandteilen Auslöser (Trigger) und Schadensroutine (Payload) besteht. Sie versteckt sich in einem anderen Pro-
D. Exemplarische Angriffsvektoren
99
vorher bestimmten Bedingungen (Eintreten eines bestimmten Datums, bestimmte Anzahl von Programmaufrufen, Aufruf bestimmter Dateien oder einer Fernsteuerung etc.) schädliche Aktionen mit der Folge ausführt, dass Inhaltsdaten ausgespäht oder die Cloud-Software und die physischen Server funktionsuntüchtig gemacht werden können, wodurch eine Nichterreichbarkeit der Cloud-Dienste erreicht werden kann.95
II. Virtualisierungsschicht In vielen Betriebssystemen96, darunter die Unix-Systeme, das Mehrbenutzersystem Microsoft Windows und die unixoiden Linux-Systeme, sowie den Netzbetriebssystemen97, z.B. von Novell NetWare und Windows NT, wird standardmäßig ein Root-Konto für einen Administrator angelegt, über das er uneingeschränkt auf das Cloud-System zugreifen kann.98 Mit dieser grenzenlosen Allmacht des sog. Supervisors gehen gravierende Risiken für die ausgelagerten Nutzerdaten einher. Ein solcher Administrator hat nicht nur Vollzugriff auf die gespeicherten Inhaltsdaten und daher die Möglichkeit, sie mit Leichtigkeit zu verändern, zu löschen oder zu kopieren, sondern er hat auch in vollem Umfang Zugang zu sämtlichen Systemkomponenten und Verwaltungsfunktionen der Cloud-Architektur, die er nach Belieben konfigurieren und manipulieren kann.99 Beispielsweise gestatten es ihm seine Root-Rechte, Sicherheitsmaßnahmen wie Anti-Virus-Programme, Firewalls sowie Intrusion Detection- (IDS) und Intrusion Prevention Systeme (IPS)100 auszuschalten gramm und verhält sich bis zum Eintreffen des vom Angreifer definierten Ereignisses inaktiv. Logische Bomben können auch andere Viren als Schadensroutine benutzen, damit die Viren zunächst zeitverzögert arbeiten und sich unbemerkt verteilen können, um ab dem definierten Ereignis die schädigenden Funktionen auszuführen; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 118; Janowicz, Sicherheit im Internet, S. 219. 95 Vgl. Eckert, IT-Sicherheit, S. 74; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 147. 96 Als Betriebssystem wird in diesem Zusammenhang das Computerprogramm bezeichnet, mit dem die bereitgestellten Systemressourcen der Cloud-Rechner wie Arbeitsspeicher, Festplatten und Anwendungsprogramme verwaltet werden. 97 Das Netzbetriebssystem steuert und überwacht die Kommunikation und Zusammenarbeit der an das interne Cloud-Netzwerk angeschlossenen Cloud-Server, wodurch die multimandantenfähige Nutzung der bereitgestellten Cloud-Ressourcen und die verteilte Datenverarbeitung in der Cloud ermöglicht wird. Neben der Netzwerkverwaltung beinhalten die Betriebssysteme vor allem auch Funktionen für die Administration der von den Nutzern gemeinsam genutzten Speicherbereiche sowie die Steuerung ihrer Schreib-und Lesezugriffe auf die Datenbestände. 98 Siehe nur BSI, IT-Grundschutz-Kataloge, M 2.38 Aufteilung der Administrationsätigkeiten, 13. EL, Stand 2013; Kappes, Netzwerk- und Datensicherheit, S. 71. 99 Kappes, Netzwerk- und Datensicherheit, S. 71. 100 Die IDS und IPS analysieren nahezu in Echtzeit das Netzwerk, Log-Files und die CloudArchitektur, um ungewöhnliche Ereignisse herauszufiltern, die auf Angriffe, Missbrauchs-
100
Kap. 2: Insiderbedrohungen
und auf die kryptographischen Dechiffrierschlüssel und die Credentials der Nutzer zuzugreifen. Sofern die Identitätsverwaltung bei den Anbietern als Single-Sign-onLösung („Einmalanmeldung“) ausgestaltet ist,101 was bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung an seinem Client auf alle Webanwendungen (z.B. die Google-Produkte Gmail, Google Docs oder Google Drive) und sonstigen Cloud-Dienste von Drittanbietern, für die er lokal berechtigt ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen, kann er die ausgespähten Credentials sogar dazu missbrauchen, um unbemerkt Zugang zu allen integrierten Webanwendungen des Benutzerkontos zu erhalten und weitere Inhaltsdaten auszuspähen.102 Um diese Sicherheitsbedrohungen durch den Supervisor einzuschränken, wird einhellig die Umsetzung eines Least Privilege Models gefordert, wonach die CloudAnbieter im Rahmen eines Rechtemanagements zu gewährleisten haben, dass ihre Administratoren nur solche Befugnisse besitzen, die zur Erfüllung ihrer Aufgaben notwendig sind.103 Abgesehen davon, dass dieses Prinzip gegenwärtig in den eingesetzten Virtualisierungslösungen nur unzureichend berücksichtigt wird,104 kann auch trotz einer Trennung der Rollen und Befugnisse der einzelnen Administratoren in System- (Host- und Virtualisierungsadministratoren), Netzwerk- und Sicherheitsadministratoren105 nicht vollständig ausgeschlossen werden, dass diese ihren nach wie vor bestehenden privilegierten Zugang zu einzelnen Verwaltungsfunktionen des Cloud-Systems zur Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten missbrauchen.106 Da sich ihre Angriffe zudem im Rahmen des üblichen Modus Operandi einer Cloud-Administration bewegen und versuche oder Sicherheitsverletzungen hindeuten. Die Verfahren basieren auf einer Mustererkennung, um Angriffssignaturen mithilfe von Abweichungen des Systemverhaltens vom Normalzustand zu erkennen. Während IDS Angriffe erkennen und in Logfiles protokollieren, werden Attacken von den IPS durch eine Unterbrechung oder Veränderung des Datenstroms abgewehrt; ausführlich hierzu Nkosi, Insider threat reduction model, S. 37 ff.; Kappes, Netzwerk- und Datensicherheit, S. 230 ff. 101 Ein Beispiel für diese Identitätsverwaltung ist Azure Active Directory von Microsoft; siehe hierzu https://azure.microsoft.com/de-de/documentation/articles/active-directory-whatis/ (zuletzt aufgerufen am 01. 02. 2018); ausführlich auch Kranawetter, DuD 2013, 517 (518 ff.). 102 Dieses Risiko kann durch eine entsprechende Absicherung des zentralen Identitätsmanagements abgemildert werden. Beispielsweise kann die einfache Benutzername/PasswortKombination durch einen hardware-basierten Mechanismus ergänzt werden, bei dem der Nutzer im Besitz einer Smartcard oder eines Token-Generators sein muss, um sich gegenüber dem zentralen Identitätsmanagementsystem zu authentifizieren; Laue/Stiemerling, DuD 2010, 692 (696). 103 Siehe nur ENISA, Benefits, Risks 2009, S. 75; BSI, Sicherheitsempfehlungen, S. 44; Cappelli/Moore/Trzeciak, CERT Guide, S. 9; Bedner, Cloud Computing, S. 217; Marnau/ Schirmer/Schlehahn/Schunter, DuD 2011, 333 (334). 104 Rocha, Insider Threat, S. 59. 105 Vgl. Bedner, Cloud Computing, S. 217; Claycomb/Nicoll, in: Bai (Hrsg.), COMPSAC 2012, S. 389; Münch/Doubrava/Essoh, DuD 2011, 322 (325 f.); Marnau/Schirmer/Schlehahn/ Schunter, DuD 2011, 333 (334). 106 Vgl. Bedner, Cloud Computing, S. 217.
D. Exemplarische Angriffsvektoren
101
keinerlei Sicherheitslücken oder sonstige Systemschwachstellen der Cloud-Architektur erfordern, kann letztendlich auch kein Sicherheitsmanagement vollumfassenden Schutz gegen einen Missbrauch ihrer Administrationsrechte gewährleisten.107 Vor diesem Hintergrund werden die Administratoren der Cloud-Anbieter in der Literatur auch zutreffend als „powerful insiders“108 bezeichnet. Ungeachtet des Innehabens von etwaigen Root-Rechten werden den Systemadministratoren der Cloud-Anbieter durch ihren privilegierten Zugang zu den Hypervisoren und dem physischen Host-System zahlreiche Angriffsoptionen eröffnet.109 Denn mittels dieser Schnittstellen haben sie volle Zugriffsmöglichkeiten auf alle Inhaltsdaten aller virtuellen Maschinen, die von den Hypervisoren verwaltet und auf dem physischen Serversystem der Anbieter gespeichert werden.110 Wie bereits an anderer Stelle ausgeführt wurde,111 gilt dies sogar unabhängig davon, welches Betriebsmodell eingesetzt wird oder welche Cloud-Dienstleistungen sie administrieren. Besonders gefährdet ist hierdurch vor allem die Datenvertraulichkeit. Während das Risiko einer unbefugten Kenntnisnahme der Inhaltsdaten bei den Data in Motion112 durch die Methoden der klassischen Kryptografie (symmetrische, asymmetrische und hybride Verschlüsselungen)113 vermindert werden kann, ist dies bei den Data at Rest,114 d.h. bei den reinen Speicherlösungen und Datenbackups, nicht der Fall.115 Zum einen können die Cloud-Anbieter aufgrund der eingesetzten Algorithmen und Datenstrukturen nicht stets garantieren, dass die Inhaltsdaten auch tatsächlich verschlüsselt auf den physischen Servern gespeichert werden.116 Zum
107
Duncan/Creese/Goldsmith, CCPE (27) 2015, 2964 (2978); Duncan/Creese/Goldsmith, in: TrustCom 2012, S. 861; Bouché/Kappes, Malicious Administrators, Breakout Exploits, S. 1. 108 Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 83. 109 Vgl. hierzu die Ausführungen oben unter S. 60 f. und S. 78 f. 110 Vollmer, Cloud, S. 46; Erl/Mahmood/Puttini, Cloud, S. 282; Ardelt/Dölitzscher/Knahl/ Reich, HMD (48) 2011, 62 (64); Birk/Wegner, DuD 2010, 641 (642); Heidrich/Wegener, MMR 2010, 803 (803). 111 Siehe hierzu S. 78 f. 112 Unter den Data in Motion werden alle Daten erfasst, die zum Zeitpunkt der Betrachtung vom Endgerät des Cloud-Nutzers zum Cloud-System übertragen werden. 113 Ausführlich zu den Verschlüsselungsverfahren Bedner, Cloud Computing, S. 214 f.; Vollmer, Cloud, S. 65 ff.; weitergehend auch Kast, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 66, Rn. 1 ff. 114 Der Begriff Data at Rest bezieht sich auf alle in dem Cloud-System gespeicherten Inhaltsdaten. Ausgeschlossen sind aber solche Daten, die gerade zum oder innerhalb des CloudNetzwerks übertragen oder gegenwärtig verarbeitet werden. 115 Vgl. Terplan/Voigt, Cloud Computing, S. 79; Stiemerling/Hartung, CR 2012, 60 (61); Groß/Lischka/Gruschka/Miede/Jensen/Mosch/Schulte/Siebenhaar, PIK 2011, 126 (130); Heidrich/Wegener, MMR 2010, 803 (806 f.). 116 Terplan/Voigt, Cloud Computing, S. 79; Bedner, Cloud Computing, S. 190; Streitberger/Ruppel, Cloud Computing Sicherheit, S. 21.
102
Kap. 2: Insiderbedrohungen
anderen liegen die Inhaltsdaten zum Zeitpunkt ihrer Verarbeitung (Data in Use)117 im Klartext vor, so dass ihr Inhalt von den Systemadministratoren durch eine Analyse des Speicherbereichs des Host-Systems oder durch die Erstellung von Snapshots oder Clones von den virtuellen Arbeitsspeichern der laufenden VM ohne Weiteres zur Kenntnis genommen werden kann.118 Besonders misslich ist hierbei, dass sich diese Angriffsmethode als gewöhnliche Verwaltungsmaßnahme, namentlich als eine Erstellung von Datenbackups, tarnen lässt.119 Abgesehen davon ist es auch denkbar, dass die internen Angreifer die entsprechenden Logdaten löschen bzw. verändern und damit ihre Angriffsspuren verwischen.120 Die Möglichkeit dieses Angriffs basiert auf dem Umstand, dass verschlüsselt gespeicherte Daten für Berechnungsleistungen (wie beispielsweise für komplexe Suchanfragen, für die Klassifizierung von Daten, den Datenaustausch und Dokumentenverarbeitung mit anderen Nutzern oder zwecks Erstellung einer Datenvorschau) durch den Prozessor entschlüsselt werden müssen, bevor das Ergebnis der Berechnung bzw. der Verarbeitung wieder verschlüsselt wird.121 Um diese Sicherheitslücke zu schließen, wird zwar intensiv an homomorphen Verschlüsselungsmethoden geforscht,122 allerdings sind diese Verfahren für einen praxistauglichen Einsatz und eine vollumfassend verschlüsselte Datenverarbeitung bislang noch nicht ausreichend performant,123 da sie lediglich für sehr einfache Operationen, wie etwa 117
Über die gegenwärtige Verarbeitung hinaus werden als Data in Use auch solche Inhaltsdaten bezeichnet, die zum Zeitpunkt eines Zugriffs innerhalb des Cloud-Systems übermittelt werden. 118 Nguyen/Chau/Jung/Jung, IJIET (4) 2014, 483 (484 f.); Münch/Doubrava/Essoh, DuD 2011, 322 (324 f.); Rocha/Correia, in: DSN-W 2011, S. 130 f.; vgl. auch Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 25; Bedner, Cloud Computing, S. 190 f.; Köhler/Fetzer, Recht des Internet, Rn. 1054; Wicker, Cloud Computing, S. 134; Schrotz/Zdanowiecki, CR 2015, 485 (492); Groß/Lischka/ Gruschka/Miede/Jensen/Mosch/Schulte/Siebenhaar, PIK 2011, 126 (130); Heidrich/Wegener, MMR 2010, 803 (804). 119 Vgl. Duncan/Creese/Goldsmith/Quinton, in: TrustCom 2013, S. 494. 120 BSI, Gefährdungen und Gegenmaßnahmen, S. 83. 121 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 22; Kast, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 66, Rn. 47, 50; Haas/Hofmann, Risiken, S. 12; Hansen, DuD 2012, 407 (409); Stiemerling/Hartung, CR 2012, 60 (62); Karlinger/Ettmayer/Schrefl, HMD (48) 2011, 35 (37); siehe auch den Punkt „Encryption“ in der Stellungnahme von Dropbox vom 21. 04. 2011, abrufbar unter https://blogs.dropbox.com/dropbox/2011/04/privacy-security-your-dropbox/ (zuletzt aufgerufen am 01. 02. 2018). 122 Hansen, DuD 2012, 407 (409); Gentry, Communications of the ACM (53) 2010, 97 (97 ff.); Gentry, in: ACM 2009, S. 169 ff.; ausführlich zur Homomorphen Verschlüsselung Choo/Ko, Cloud Security, S. 101 ff. 123 ENISA, Benefits, Risks 2009, S. 55; Schrotz/Zdanowiecki, CR 2015, 485 (492); Sädtler, PIK 2013, 165 (171); Hansen, DuD 2012, 407 (409); Groß/Lischka/Gruschka/Miede/Jensen/ Mosch/Schulte/Siebenhaar, PIK 2011, 126 (130); Heidrich/Wegener, MMR 2010, 803 (806 f.).
D. Exemplarische Angriffsvektoren
103
die Extraktion und Speicherung von Daten, effizient eingesetzt werden können.124 Konterkarierend zu den Vorteilen des Cloud Computing ist nämlich ein Nachteil der homomorphen Verschlüsselungsverfahren, dass sie zur Zeit noch zu immens hohen Berechnungszeiten führen. Geschätzt wurde, dass eine Google-Anfrage bei dieser Verschlüsselungsmethode eine Billion Mal länger dauert als dies bei einer unverschlüsselten Suchanfrage der Fall ist.125 Ein weiteres signifikantes Problem ist zudem, dass bei der homomorphen Verschlüsselung nicht erkennbare Bearbeitungsfehler eintreten können, die zu inhaltlichen Veränderungen der Inhaltsdaten führen.126 Alternative Ansätze, bei denen die Cloud-Nutzer ihre Daten vor der Auslagerung in die Cloud clientseitig verschlüsseln,127 so dass die Verschlüsselungs-Keys allein auf ihren Endgeräten generiert und gespeichert werden, sind jedenfalls bei der Nutzung der SaaS- und PaaS-Dienste insuffizient. Um die Inhaltsdaten verarbeiten zu können, müssen entweder die kryptographischen Dechiffrierschlüssel auf den Servern der Anbieter gespeichert und verwaltet werden oder den Anbietern die unverschlüsselten Daten durch die Nutzer zur Verfügung gestellt werden.128 Damit kann aber ein möglicher Zugriff auf den Schlüssel auch durch die System-, Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter, die über keine RootRechte verfügen, nicht sicher ausgeschlossen werden.129 Besonders leicht gemacht wird ihnen die Entschlüsselung und Kenntnisnahme der Inhaltsdaten vor allem dann, wenn sie im Rahmen des Key-Managements uneingeschränkten Zugang zu den Schlüsselverwaltungsfunktionen haben. Darüber hinaus ist die Datenverschlüsselung wirkungslos, wenn ein interner Angreifer in den Besitz der Credentials eines Nutzers gelangt. Durch die automatische Datendecodierung nach dem Einloggen in das Benutzerkonto erhält nämlich der Innentäter Zugang zu allen Inhaltsdaten im Klartext und kann im Falle einer Single-Sign-On-Autorisierung sogar noch auf weitere Webapplikationen des Opfers zugreifen.130 Möglich ist ein Abgreifen der auf dem Cloud-System gespeicherten Zugangsdaten aber nicht nur dem Supervisor, sondern auch den Systemadministratoren. So lassen sich aus den erstellten Snapshots oder Clones bzw. aus den Speicherbereichen des physischen Host-Systems während einer Live Migration der VM nicht nur die Inhaltsdaten, sondern auch die Passwörter der Cloud-Nutzer im 124
Kast, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 66, Rn. 18. Karlinger/Ettmayer/Schrefl, HMD (48) 2011, 35 (39). 126 Dieser Effekt kann allerdings bei einfachen Operationen begrenzt werden; hierzu Kast, in: Conrad/Grützmacher (Hrsg.), Recht der Daten, § 66, Rn. 19. 127 Weitergehend zur clientseitigen Datenverschlüsselung Karlinger/Ettmayer/Schrefl, HMD (48) 2011, 35 (38 ff.); Puttaswamy/Kruegel/Zhao, in: SOCC’11, S. 10:1 ff. 128 Wicker, Cloud Computing, S. 134; Stiemerling/Hartung, CR 2012, 60 (65); vgl. auch Karlinger/Ettmayer/Schrefl, HMD (48) 2011, 35 (38). 129 Vgl. Bedner, Cloud Computing, S. 191. 130 Claycomb/Nicoll, in: Bai (Hrsg.), COMPSAC 2012, S. 390. 125
104
Kap. 2: Insiderbedrohungen
Klartext extrahieren.131 In manchen Applikationen, wie etwa TrueCrypt, kann hierzu sogar die Suche nach Passwörtern in den Speicherabzügen automatisiert werden.132 Erschwert werden kann das Ausspähen von Passwörtern aber durch ihre verschlüsselte Speicherung im Cloud-System unter Verwendung einer kryptografischen Hashfunktion.133 Bei dieser wird eine Eingabe beliebiger Länge in eine für sie charakteristische Bitfolge fester Länge umgewandelt.134 Dies bedeutet, dass anstelle des Passworts im Klartext ein Hashwert auf dem Cloud-System gespeichert wird.135 Wird das Passwort bei der Anmeldung in das System eingegeben, wird daraus der Hashwert erzeugt und dieser mit der bereits gespeicherten Prüfsumme verglichen. Ein interner Angreifer, der in den Besitz der Hashwerte gelangt, kann aufgrund des Einwegcharakters des Hash-Algorithmus grundsätzlich nicht unmittelbar auf das zur Authentifikation notwendige Passwort im Klartext schließen.136 Völlig ausgeschlossen werden kann aber das Knacken des Passwort-Hashs letztendlich nicht. Mit einem gewissen Aufwand können Innentäter den Klartext des ursprünglichen Passworts mittels Rainbow Tables,137 Tools138 und bei genügend Rechenleistung auch mittels eines Brute-Force-Angriffs139 ermitteln.140 Nebstdem 131 Nguyen/Chau/Jung/Jung, IJIET (4) 2014, 483 (484); Claycomb/Nicoll, in: Bai (Hrsg.), COMPSAC 2012, S. 390; Münch/Doubrava/Essoh, DuD 2011, 322 (324); Rocha/Correia, in: DSN-W 2011, S. 130 f.; ausführlich hierzu Bouché/Kappes, in: ITA 2015, S. 176 ff.; vgl. auch Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 25. 132 Bouché/Kappes, in: ITA 2015, S. 178; Rocha/Correia, in: DSN-W 2011, S. 130. 133 Schäfers, Hacking, S. 214. 134 Kappes, Netzwerk- und Datensicherheit, S. 44. 135 Vgl. Schäfers, Hacking, S. 214; Kappes, Netzwerk- und Datensicherheit, S. 44. 136 Schäfers, Hacking, S. 215; Kappes, Netzwerk- und Datensicherheit, S. 44. 137 Bei den von Oechslin entwickelten Rainbow Tabellen handelt es sich um Datenstrukturen, mit denen Daten im Klartext einem bestimmten Hashwert zugeordnet werden können. Dieser Vorgang ermöglicht es, gehashte Passwörter mit relativ geringerem Rechenaufwand als bei einem Brute-Force-Angriff zu knacken. Oft dauert der Entschlüsselungsvorgang sogar nur wenige Minuten; Oechslin, in: CRYPTO 2003, S. 617 ff. 138 Als Angriffswerkzeuge können entsprechende Tools wie oclHashcat, Extreme GPU Bruteforcer, John the Ripper, Ophcrack, GRTCrack und CloudCracker dienen, die im Internet frei zugänglich sind; Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (131). 139 Brute-Force-Angriffe haben zum Ziel, „mit roher Gewalt“ bzw. mittels des Einsatzes geeigneter Rechenkapazitäten Passwörter und Verschlüsselungs-Keys im Wege eines „Trialand-Error-Verfahrens“, d.h. durch ein systematisches Ausprobieren aller in Betracht kommenden Buchstaben und Zahlenkombinationen zu brechen. Die Effizienz derartiger Angriffe hängt dabei maßgeblich von der Qualität des Sicherungspassworts und des eingesetzten Verschlüsselungsstandards ab. So gelten komplizierte Passwörter aus Zahlen- und Buchstabenkombinationen sowie das symmetrische Verschlüsselungsverfahren „Advanced Encryption Standard (AES)“ als weniger anfällig; Eckert, IT-Sicherheit, S. 344; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 102; Malek/Popp, Strafsachen, Rn. 163; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 46. 140 Schäfers, Hacking, S. 217 ff.; Kappes, Netzwerk- und Datensicherheit, S. 44.
D. Exemplarische Angriffsvektoren
105
wird ein Angriff auf die Datenvertraulichkeit durch Mitarbeiter der Cloud-Nutzer auch durch einen sonstigen nachlässigen Umgang mit den Zugangsdaten seitens des Serviceadministrators erleichtert. Beispiele hierfür sind die Erlangung des Nutzerpassworts durch Beobachtung bei dessen Eingabe, die Wahl eines leicht zu erratenden Kennworts (etwa „123456“ oder das Beinhalten von persönlichen Informationen in dem Passwort, wie der Name von Freunden, von Familienangehörigen, des Partners oder des Haustieres etc.) oder dessen Aufbewahrung auf einer für den internen Angreifer frei zugänglichen Notiz, etwa unter der Computertastatur oder auf einem Klebezettel am Bildschirm.141 Besonders heikel ist hierbei, dass sowohl der Passwortdiebstahl als auch der daran anschließende unberechtigte Zugriff auf das Benutzerkonto von den Opfern in den allermeisten Fällen überhaupt nicht auffällt oder auch nur ansatzweise bemerkt werden kann. Im Gegensatz zu den bei den Data in Motion und den Data in Use bestehenden Insidergefahren können die Risiken für die Datenvertraulichkeit aber bei den Data at Rest durch eine clientseitige Datenverschlüsselung gemindert werden. Die Kontrolle über den Verschlüsselungs-Key hat bei diesem Verschlüsselungsverfahren einzig der Cloud-Nutzer. Gleichwohl kann auch diese Verschlüsselungsmethode letztendlich nur dann wirksam sein, wenn die eingesetzten Verfahren und Mittel dem Stand der Technik entsprechen. Es gilt zu bedenken, dass allen eingesetzten Kryptografiemethoden gemein ist, dass sie mit der Zeit an Sicherheit verlieren. Demzufolge ist es möglich, dass Algorithmen und Schlüssel in einer bisher als sicher geltenden Länge und Komplexität nunmehr mit geringem wirtschaftlichen und technischen Aufwand mittels einer Brute-Force-Attacke geknackt werden können.142 Neben den hochspezialisierten Angriffswerkzeugen der Underground Economy können die Innentäter zur Datenentschlüsselung vor allem auch die hochverfügbaren Rechenleistungen des Cloud Computing in Anspruch nehmen, wodurch sich sehr viele Berechnungen pro Sekunde durchführen lassen und dementsprechend eine hohe Anzahl an Kombinationen in kürzester Zeit ausgetestet werden können.143 So ermöglichte z.B. die dynamische Skalierbarkeit der Cloud-Ressourcen einem deutschen Hacker, einen Sicherheitsalgorithmus der amerikanischen National Security Agency (NSA) innerhalb von 49 Minuten zu entschlüsseln.144
141 BSI, IT-Grundschutz-Kataloge, G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen, 15. EL, Stand 2016. 142 Hierzu sowie weitergehend zur Sicherheit von Verschlüsselungsverfahren Pordesch/ Steidle, DuD 2015, 536 (536 ff.). 143 Vgl. Europol, IOCTA 2015, S. 54 f.; BSI, Die Lage der IT-Sicherheit 2015, S. 9; BSI, Sicherheitsempfehlungen, S. 32; Barnitzke, Rechtliche Rahmenbedingungen, S. 59 f.; Bedner, Cloud Computing, S. 227. 144 ZDNet, Pressemeldung vom 17. 11. 2010 „Hacker knackt Passwörter mithilfe der Amazon-Cloud“, abrufbar unter http://www.zdnet.de/41540830/hacker-knackt-passwoerter-mit hilfe-der-amazon-cloud/ (zuletzt aufgerufen am 01. 02. 2018).
106
Kap. 2: Insiderbedrohungen
Schließlich sind Verschlüsselungsverfahren auch nicht dazu geeignet, die Integrität und Verfügbarkeit der Inhaltsdaten sicherzustellen.145 Im Besonderen können Systemadministratoren und der Supervisor die Datenerreichbarkeit durch ein unberechtigtes Löschen gespeicherter Nutzerdaten und VM sowie der zu ihrer Verschlüsselung verwendeten Dechiffrierschlüssel beeinträchtigen.146 Sofern die CloudNutzer keine Datenbackups haben, sind ihre Daten in diesen Fällen endgültig nicht mehr verfügbar. Eine weitere Möglichkeit, die Datenerreichbarkeit einzuschränken, haben sie in der Form von DDoS-ähnlichen Angriffen147. Hierzu können sie z.B. auf der Virtualisierungsebene die Speichersysteme der virtuellen Maschinen durch ein massenhaftes und gleichzeitiges Erstellen von Snapshots und Clones überlasten.148 Nebstdem können sie auch die Datenintegrität durch die Wiederherstellung älterer oder gefälschter Replikate manipulieren.149 Auch diese Integritätsverletzung ist von einer Datenverschlüsselung unabhängig, da bereits geringe Manipulationen, etwa die Veränderung eines einzigen Bits oder eine Fehlkonfiguration der virtuellen Umgebung, verschlüsselte Daten unbrauchbar machen können.150 Dies gilt vor allem auch dann, wenn die Inhaltsdaten für eine flexible Nutzung und redundante Datenspeicherung als Datenfragmente über mehrere Server verteilt vorgehalten werden und erst im zusammengesetzten Zustand wieder ihren Informationsgehalt offenbaren. In diesem Fall können die Administratoren der Cloud-Anbieter die Integrität aller Datensätze verletzen, indem sie einzelne Fragmente oder ganze Duplikate löschen oder derart beschädigen, dass sich die einzelnen Datenelemente nach ihrer Zusammenführung inhaltlich widersprechen.151 In Anbetracht des Umstands, dass innerhalb des Cloud-Systems eine Vielzahl von unterschiedlichen VM-Instanzen gesteuert durch einen Hypervisor auf demselben physischen Host-System laufen, stellt die Virtualisierungsebene auch für die CloudNutzer bzw. deren Serviceadministratoren ein besonders attraktives Angriffsziel dar. 145
Vgl. Hansen, DuD 2012, 407 (409); Heidrich/Wegener, MMR 2010, 803 (807). Vgl. BSI, Gefährdungen und Gegenmaßnahmen, S. 93. 147 Im Allgemeinen hat diese Angriffsmethode zum Ziel, die Funktionsfähigkeit und Verfügbarkeit fremder IT-Systeme durch ein kontinuierliches Senden von Systemanfragen außer Kraft zu setzen (DoS-Angriff). Werden zur Ausübung der Attacke mehrere verteilte Systeme eingesetzt, spricht man von einem DDoS-Angriff. Letzterer kann etwa im Rahmen eines sog. Botnetzes ausgeführt werden. Hierbei handelt es sich um ein Netzwerk aus Computern, die nach einer Infektion mit Schadsoftware als „Bot“ oder „Zombie“ zusammengeschlossen werden und auf ferngesteuerte Befehle des Angreifers reagieren. Mithilfe des Botnetzes wird dann eine Vielzahl von gleichzeitigen Anfragen an das IT-System des Opfers versendet, wodurch eine systembedingte Überlastung herbeigeführt wird, so dass die dort bereitgestellten Dienste und Daten nicht mehr erreichbar sind; Ziegler, Netzwerkangriffe von innen, S. 24 f.; Bär, MMR 2011, 625 (625 f.); ausführlich zu den vielfältigen Methoden dieser Angriffsform auch Bergauer, Computerstrafrecht, S. 287 ff. 148 Münch/Doubrava/Essoh, DuD 2011, 322 (325). 149 Vgl. BSI, Gefährdungen und Gegenmaßnahmen, S. 93. 150 Bedner, Cloud Computing, S. 192; siehe auch Karlinger/Ettmayer/Schrefl, HMD (48) 2011, 35 (36). 151 Bedner, Cloud Computing, S. 192. 146
D. Exemplarische Angriffsvektoren
107
Gelingt es ihnen aus ihrer VM auszubrechen und mit dem Hypervisor zu interagieren, haben sie die Möglichkeit, uneingeschränkten Zugriff auf den VMM und auf das Host-System zu erlangen.152 Damit können sie aus ihrer eigenen VM heraus die gleichen Angriffsoptionen wie der Supervisor und die Systemadministratoren der Cloud-Anbieter vornehmen. So können sie alle Inhaltsdaten, die von dem Hypervisor verwaltet werden und auf dem Host-System gespeichert sind, auslesen bzw. manipulieren (z.B. im Rahmen eines Buffer-Overflows, d.h. einer Überschreibung der Speicherbereiche der VM oder der Hypervisoren) oder Störungen der Cloud-Dienste, etwa durch ein Abschalten oder Löschen der VM, herbeiführen.153 Darüber hinaus birgt ihr Zugriff auf den Speicherbereich des Hosts auch das Risiko, dass sie vollautomatisiert Passwörter und Verschlüsselungs-Keys auslesen können, die bei einer fehlenden oder mangelhaften Kryptografie sogar im Klartext vorliegen können.154 Ermöglicht oder erleichtert werden die als „VM Escape“155 oder als „Cloud Burst Attacke“156 bezeichneten Angriffsszenarien vor allem durch Schwachstellen in dem Hypervisor oder durch sonstige Fehler in der Systemarchitektur, insbesondere einer mangelhaften Mandantentrennung oder Sicherheitslücken in der Virtualisierungssoftware.157 Eingesetzt werden können hierfür vor allem auch entsprechende Cybercrime Kits, die eigens zur Ausnutzung von Zero-Day-Exploits in der Virtualisierungssoftware hergestellt und auf den Marktplätzen der Underground Economy erworben werden können.158 Neben dem Ausnutzen dieser „Breakout Exploits“159 erhalten technisch versierte IaaS- und PaaS-Nutzer auch durch die Implementierung von virtualisierenden Rootkits auf ihren VM vollständige Kontrolle über die Virtualisierungsebene.160 So 152
CSA, Top Threats in 2016, S. 33; Thilakarathne/Wijayanayake, IJSTR (3) 2014, 200 (201); Gupta/Rai, IJARCE 2015, 72 (72). 153 BSI, Gefährdungen und Gegenmaßnahmen, S. 49 f.; Bedner, Cloud Computing, S. 222; Barnitzke, Rechtliche Rahmenbedingungen, S. 82; Vollmer, Cloud, S. 46; Slamka/Georg, in: DA-CH Security 2010, S. 27. 154 Bouché/Kappes, Malicious Administrators, Breakout Exploits, S. 1. 155 BSI, Gefährdungen und Gegenmaßnahmen, S. 49; Thilakarathne/Wijayanayake, IJSTR (3) 2014, 200 (201). 156 Die von Kortchinsky auf der BlackHat Konferenz im Jahr 2009 vorgestellte Angriffsmethode nutzt Schwachstellen der Workstation Vmware aus, wodurch die VM des Angreifers Zugriff auf das Host-System erhält; Kortchinsky, Cloudburst, S. 6 ff. 157 Bedner, Cloud Computing, S. 222; Thilakarathne/Wijayanayake, IJSTR (3) 2014, 200 (201). 158 Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (134); vgl. auch Jeganathan/Prakasam, IJARCST (2) 2014, 181 (183). 159 Ausführlich zu dieser Angriffsform Bouché/Kappes, Malicious Administrators, Breakout Exploits, S. 1 f. 160 Allgemein ist ein Rootkit eine Aggregation von speziellen Softwaretools, das auf ein kompromittiertes System installiert wird. Die Tools dienen dazu, Programme und Aktionen des Angreifers zu verstecken oder Backdoors einzurichten, um Zugang zu dem Zielsystem zu erlangen. Bekannte Rootkit-Arten sind Application Rootkits, Memory Rootkits, Kernel Rootkits und Userland Rootkits; ausführlich hierzu Stelte/Koch, in: Sicherheit, S. E-3.
108
Kap. 2: Insiderbedrohungen
können sie mit einem Virtual-Machine Based Rootkit (VMBR) nach einem Reboot des Systems das Host-Betriebssystem in ihre virtuelle Maschine verschieben, so dass sie alle in dem betroffenen Host-System gespeicherten Inhaltsdaten und Passwörter ausspähen und beliebige Schadsoftware in weiteren virtuellen Maschinen ausführen können.161 Ein bekanntes Rootkit dieser Art ist beispielsweise SubVirt.162 Auch wenn die erste Generation dieser Malware bereits als sehr gefährlich eingestuft werden muss, haben sie aus Sicht eines Angreifers den Nachteil, dass sie für die Ausführung ihrer schädlichen Wirkung einen Systemneustart erfordern, der zumindest durch entsprechende Einträge in Log-Dateien erkennbar ist.163 Damit kann der Angriff mit überschaubarem Aufwand bemerkt werden. Dieses Entdeckungsrisiko wird bei der Kompromittierung der Virtualisierungsschicht durch die zweite Art der Rootkits, den Hardware Based Virtualization Rootkits (HBVR),164 verhindert. Ohne einen erforderlichen Reboot des Systems führen sie eine zusätzliche Hypervisor-Schicht auf das Host-System der Cloud-Architektur ein, welche die vollständige Kontrolle über das Cloud-System übernimmt und das ursprüngliche Host-Betriebssystem in die virtuelle Maschine des IaaS- und PaaS-Nutzers verschiebt.165 Hierdurch schafft der Angreifer quasi eine Cloud in der Cloud, wodurch er über seine VM Zugang zu sämtlichen VM der Opfer erhält („VM Hopping“).166 Infolgedessen kann er fremde Inhaltsdaten auslesen und verändern oder die Kommunikation zwischen den Opfern und dem Cloud-Anbieter beeinflussen, ohne dass die Cloud-Anbieter oder die Opfer auch nur eine triviale Möglichkeit hätten, diese Modifikation zu bemerken.167 Da diese Angriffe in den herkömmlichen Cloud-Angeboten kaum verhindert und entdeckt werden können, werden die HBVR auch als Stealth Malware bezeichnet.168 Eine bekannte Form dieser Malware-Art, die sogar in einer beliebigen Programmiersprache verfasst werden kann, ist Blue Pill.169 Da bedingt durch die Virtualisierung mehrere virtuelle Maschinen parallel auf denselben physischen Servern laufen und sich die Cloud-Ressourcen, wie bei161
Vgl. Schwarz, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 44. SubVirt ist ein funktionsfähiges Proof of Concept, das im Mai 2006 auf der Konferenz IEEE Symposium on Security and Privacy von den Forschern King und Chen von der Universität von Michigan und Yi-Min Wang, Verbowski, Helen J. Wang und Lorch von Microsoft Research vorgestellt wurde; King/Chen/Wang/Verbowski/Wang/Lorch, in: S&P 2006, S. 314 ff. 163 Gora, hakin9 2007, 1 (3). 164 Schwarz, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 44. 165 Vgl. Schwarz, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 44 f. 166 ENISA, Benefits, Risks 2009, S. 54. 167 Vgl. Groß/Lischka/Gruschka/Miede/Jensen/Mosch/Schulte/Siebenhaar, PIK 2011, 126 (129). 168 Schwarz, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung, S. 45 ff.; Choo/Ko, Cloud Security, S. 57. 169 Das Rootkit Blue Pill wurde erstmals von der Entwicklerin Rutkowska auf der Sicherheitskonferenz Black Hat im Jahr 2006 vorgestellt. Die Bezeichnung Blue Pill bezieht sich dabei auf die blaue Pille in dem Film Matrix, die dafür sorgt, dass der Betroffene in der virtuellen Realität bleibt und dies nicht erkennt; Rutkowska, Stealth Malware, S. 7 f. 162
D. Exemplarische Angriffsvektoren
109
spielsweise Cache oder Speicher, teilen, basiert die Daten- und Informationssicherheit im Hinblick auf die Abwehr von Insiderangriffen auf der Nutzerseite im Wesentlichen auf einer strikten Isolation der gemeinsam genutzten Ressourcen und der virtuellen Maschinen. Obwohl die Virtualisierungstechniken eingehend erforscht wurden, konnte bislang noch keine zuverlässige Mandantentrennung realisiert werden.170 Fehler in der Ressourcen-Isolation, wie zum Beispiel fehlerhafte Konfigurationen der CPU-Register der Hypervisoren, erhöhen in diesem Kontext neben einem VM Escape auch die Gefahr von Seitenkanalangriffen (Side Channel-Attacken). Für den Angriff dient eine virtuelle Maschine des Cloud-Nutzers als Ausgangspunkt, die auf demselben physischen Rechner läuft wie die VM des Opfers.171 Der Seitenkanalangriff erfolgt dann über eine Beobachtung des Systemverhaltens, wodurch technisch routinierte Angreifer über eine Messung der vergangenen Rechenzeit (Timing Attack), einer Analyse der genutzten Speicherbereiche, einer Messung des Stromverbrauchs während der Verschlüsselungsvorgänge oder einer Untersuchung des verschlüsselten Datenstroms unter Berücksichtigung von Quelle, Ziel, Zeitpunkt des Bestehens der Verbindung, Größe und Zeitpunkt der übermittelten Datenpakete und Datenrate (Verkehrsflussanalyse)172 fremde Inhaltsdaten und Verschlüsselungs-Keys ausspähen können.173 In diesem Zusammenhang haben Ristenpart, Tromer, Shacham und Savage unter Verwendung der Amazon EC2 Cloud-Dienste erfolgreich aufgezeigt, dass es nicht nur möglich ist, eine bestimmte virtuelle Maschine eines Kunden, die Ziel des Angriffs ist, in dem Cloud-System zu lokalisieren und eine eigene VM auf derselben Hardware-Ressource zu platzieren, um dann über Seitenkanalangriffe fremde Inhaltsdaten auszuspähen, sondern dass auch die Angriffsoption besteht, über Keystroke Timing Attacken, d.h. über die Messung der Eingabezeit der Passwörter, auf die Zugangsdaten des Opfers im Klartext zu schließen.174 Diese Angriffe sind deshalb als besonders gefährlich einzustufen, weil die über die eigene VM erfolgende Analyse des Cloud-Systems keine Angriffsspuren hinterlässt und daher kaum als Angriff auf die Datenvertraulichkeit erkannt werden kann.175 Vor diesem Hintergrund wurden in den herkömmlichen
170
Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (132). Khalil/Khreishah/Azeem, Computers (3) 2014, 1 (16). 172 Hierzu BSI, Technische Richtline, S. 14; ausführlich Song/Wagner/Tian, in: SSYM’01, S. 337 ff. 173 NIST, Special Publication 800 – 144, S. 28 f.; Bedner, Cloud Computing, S. 212; Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (136); Thilakarathne/Wijayanayake, IJSTR (3) 2014, 200 (201); Vaquero/Rodero-Merino/Morán, Computer (91) 2011, 93 (100 f.); ausführlich zu den Seitenkanalangriffen auch Inci/Gülmezog˘ lu/Irazoqui/Eisenbarth/ Sunar, ePrint Archive: Report 2015/898, 1 (1 ff.); Zhang/Juels/Reiter/Ristenpart, in: CCS 2012, S. 305 ff. 174 Ristenpart/Tromer/Shacham/Savage, in: CCS 2009, S. 203 ff.; siehe auch Thilakarathne/Wijayanayake, IJSTR (3) 2014, 200 (202). 175 Khalil/Khreishah/Azeem, Computers (3) 2014, 1 (16); Aviram/Hu/Ford/Gummadi, in: CCS’10, S. 104. 171
110
Kap. 2: Insiderbedrohungen
Cloud-Angeboten bislang noch keine effizienten Sicherheitslösungen implementiert, die einen zuverlässigen Schutz vor diesen Angriffsszenarien gewährleisten.176
III. Serviceschicht Innerhalb der Serviceschicht gehen vor allem von den Cloud-Nutzern bzw. deren Serviceadministratoren erhebliche Sicherheitsrisiken aus. So können sie im Rahmen der ihnen bei den IaaS- und PaaS-Diensten obliegenden Administrationsbefugnis Schadsoftware, wie Viren, Würmer177, Bots178, Trojaner und Spyware179 auf ihren VM installieren (Malware Injection Angriff), um darauf aufbauend anderen Nutzern eigene infizierte Cloud-Dienste bereitzustellen.180 Durch die Malware Injection können sie jedes Angriffsziel, angefangen bei einem Ausspähen und einer Manipulation der Inhaltsdaten bis hin zu einer Blockierung der Cloud-Dienste, erreichen.181 Zum Beispiel kann die Malware so codiert werden, dass alle Anfragen eines Nutzers direkt an die infizierte VM des Angreifers weitergeleitet werden, wodurch es 176
Khalil/Khreishah/Azeem, Computers (3) 2014, 1 (17). Geeignete Gegenmaßnahmen wurden aber von dem Forschungsprojekt SFC entwickelt; hierzu http://cs.uni-paderborn.de/cuk/ forschung/securing-the-financial-cloud/ (zuletzt aufgerufen am 01. 02. 2018). 177 Computerviren und Würmer sind schädliche Programmcodes, die sich wie ein biologisches Virus selbstständig vervielfältigen können und die eine oder mehrere Schadensroutinen enthalten, die einen Rechner unbemerkt infizieren. Ihre vielseitigen Schadfunktionen haben u.a. zum Ziel, Daten zu löschen oder zu verändern und/oder die Funktionsfähigkeit des IT-Systems zu sabotieren oder zu beschränken. Im Gegensatz zu Viren sind Würmer eigenständige Programme, die zur Infizierung keine anderen Programme (Wirtsdateien) benötigen; ausführlich zu diesen beiden Malwarekategorien Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 81 ff.; Eckert, IT-Sicherheit, S. 56 ff.; Kappes, Netzwerk- und Datensicherheit, S. 96 ff. 178 „Bösartige“ Bots werden beispielsweise zum automatischen, massenhaften Kopieren von Daten oder zum systematischen Ausspionieren von Softwarelücken eingesetzt. 179 Spyware sind Programme, die ohne Wissen des Opfers gezielt Informationen auf fremden Rechnern sammeln und an den Angreifer weiterleiten. Hierunter fallen beispielsweise Software-Keylogger, welche die protokollierten Tastaturanschläge des Nutzers aufzeichnen und an eine vom Angreifer definierte E-Mail-Adresse senden. Die ausgespähten Informationen können im Besonderen Passwörter, sensitive Dokumente, E-Mails oder auch Cookies, die Zugangsinformationen für Webserver beinhalten, sein. Die Zugangsdaten des Opfers können von dem Täter dann dazu verwendet werden, sich auf dem Cloud-Benutzerkonto und im Falle der mehrmaligen Verwendung der Authentifikationsinformationen auch auf andere Dienstplattformen einzuloggen (Identitätsdiebstahl); Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 50; Eckert, IT-Sicherheit, S. 25; Kappes, Netzwerk- und Datensicherheit, S. 95; Schmidl, IT-Recht, S. 246. 180 Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 82; Christmann/Hilpert/Thöne/Hagenhoff, HMD 2010, 62 (64); ausführlich hierzu Jeganathan/ Prakasam, IJARCST (2) 2014, 181 (183); Shrivastava, IJEIT (1) 2012, 321 (321); Jensen/ Schwenk/Gruschka/Lo lacono, in: Cloud 2009, S. 114; weitergehend auch BSI, IT-Grundschutz-Kataloge, G 5.190 Missbrauch von Services, 14. EL, Stand 2014. 181 Thilakarathne/Wijayanayake, IJSTR (3) 2014, 200 (201); Shrivastava, IJEIT (1) 2012, 321 (321).
D. Exemplarische Angriffsvektoren
111
ihnen möglich ist, Inhaltsdaten und Credentials in unverschlüsseltem Zustand abzugreifen.182 Die ausgespähten Zugangsdaten können sie dann wiederum dazu missbrauchen, um auf das betroffene Nutzerkonto zuzugreifen und weitere Inhaltsdaten auszulesen. Neben der Verletzung der Datenvertraulichkeit kann beispielsweise die Installation eines Wurms auf der VM des Angreifers auch dazu eingesetzt werden, Inhaltsdaten anderer Nutzer zu löschen (ExploreZip-Wurm etc.) oder Störungen des Netzwerkverkehrs hervorzurufen (u.a. mithilfe des MorrisWurms).183 Wegen ihrer Reproduktionsfähigkeit sind Viren und Würmer aus Sicht eines Angreifers besonders in einer Public Cloud geeignete Angriffswerkzeuge. Sie breiten sich selbständig auf alle virtuellen Maschinen aus, so dass mit ihrer Hilfe letztendlich das gesamte Cloud-Netzwerk kompromittiert und eine unbestimmte Vielzahl von Nutzern geschädigt werden kann. Die besondere Gefährlichkeit dieser Angriffsform resultiert vor allem daraus, dass es Virenschutzprogrammen wegen der ständigen Weiterentwicklung von feingranularen Angriffsmethoden zunehmend unmöglich ist, die Einschleusung von Malware in das Cloud-System zu erkennen.184 Ursache hierfür ist insbesondere der Umstand, dass die Schadsoftware heutzutage so programmiert werden kann, dass sie sich selbst und die Festplatte, auf der sie läuft, bei ihrer Entdeckung oder nach einem erfolgreichen Angriff automatisch löscht, um alle Angriffsspuren zu beseitigen und eine forensische Untersuchung zu vereiteln (Ghostware).185 Neben diesen vorsätzlichen Angriffen enthält in der Praxis auch die von den Nutzern selbst entwickelte und als SaaS-Dienstleistung angebotene Software oftmals unbeabsichtigte Programmierfehler (Bugs) oder durch unterlassene Updates und Patches fahrlässig aufrechterhaltende Sicherheitslücken, die böswillige Kunden für einen Angriff auf die Vertraulichkeit, Verfügbarkeit und Integrität von fremden Inhaltsdaten ausnutzen können. In diesem Kontext haben Bugiel, Nürnberger, Pöppelmann, Sadeghi und Schneider mithilfe eines speziell für die Amazon Cloud entwickelten Analyse-Tools aufgezeigt, dass sich durch Schwachstellen in den angebotenen Applikationen der Nutzer unverschlüsselte Passwörter, Benutzernamen, Verschlüsselungs-Keys und Inhaltsdaten automatisiert auslesen lassen.186 Im Rahmen einer Kosten-Nutzen-Analyse kamen sie dabei zu dem Ergebnis, dass sie für die Anmietung einer VM, über die sie ihren Angriff ausführten, weniger als 20 USDollar investieren mussten, während die Informationen, die sie mittels ihres Angriffswerkzeugs extrahiert haben, es einem Angreifer erlauben würden, einen fi182 Modi/Patel/Borisaniya/Patel/Rajarajan, The Journal of Supercomputing (63) 2013, 561 (568); Bleikertz/Mastelic´/Pape/Pieters/Dimkov, in: Campbell (Hrsg.), IC2E 2013, S. 84. 183 Roy/Sarkar/Ganesan, CSUR (47) 2015, Article No. 41, 1 (12). 184 Siehe hierzu bereits die Ausführungen zur Underground Economy unter S. 84 f. 185 Spiegel Online, Pressemeldung „Rombertik: Malware löscht sich bei Entdeckung selbst – und die Festplatte gleich mit“ vom 05. 05. 2015; abrufbar unter http://www.spiegel.de/netz welt/web/rombertik-neue-malware-loescht-sich-bei-entdeckung-selbst-a-1032095.html (zuletzt aufgerufen am 01. 02. 2018). 186 Bugiel/Nürnberger/Pöppelmann/Sadeghi/Schneider, in: CCS’11, S. 393 ff.
112
Kap. 2: Insiderbedrohungen
nanziellen Schaden von mehreren 10.000 US-Dollar pro Tag zu verursachen, wodurch die Existenz der Cloud-Anbieter und der cloudnutzenden Unternehmen ernsthaft gefährdet werden könnte.187 Im Übrigen kann die Sicherheit der Inhaltsdaten auch durch einen Angriff auf die Multi-Cloud-Interface beeinträchtigt werden. Häufig kommen bei dieser Schnittstelle zur Erweiterung von Sicherheitsfunktionalitäten vorkonfigurierte Anwendungen und Software-Lösungen (Virtual Appliances, VA), zum Beispiel als Virenschutz oder Firewall, zum Einsatz, die als eine spezielle virtuelle Maschine ausgelegt sind.188 Gelingt es einem Angreifer, eine VA unter seine Kontrolle zu bringen oder kommt es zu einer Fehlfunktion der VA, kann auf den Haupt- und Datenspeicher sowie auf das virtuelle Netz des physischen Servers zugegriffen werden. Darüber hinaus kann der Ausfall einer VA, zum Beispiel zum Virenschutz, dazu führen, dass alle VM, die in ihrem Kontext laufen, nicht mehr geschützt werden und dadurch leichter mit Malware infiziert werden können. Überdies sind bei den VAs dieselben Angriffsformen wie auf die virtuellen Maschinen möglich, nur dass die Implikationen bei einem erfolgreichen Angriff auf eine VA wesentlich höher sein können.
IV. Netzwerkschicht Angriffswege eröffnen sich auf dieser Ebene vor allem den Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter. Dies resultiert vor allem aus dem bereits erörterten Umstand,189 dass die Virtualisierungstechnologien sowohl während einer Verschiebung oder Spiegelung der virtuellen Maschinen auf andere Server des Cloud-Anbieters, etwa zu Wartungszwecken, zur Fehlertoleranz, zur Ausfallkompensation oder zur Lastverteilung, als auch für den Datenstrom zwischen den Hosts und den angeschlossenen physischen Datenspeichersystemen aus Performancegründen häufig keine serverseitigen Verschlüsselungsmechanismen vorsehen.190 Diese Sicherheitslücke können von den Netzwerk- und Sicherheitsadministratoren der Anbieter ausgenutzt werden, um die übermittelten Inhaltsdaten im Klartext auszuspähen.191 Hierzu stehen ihnen verschiedene Angriffsoptionen zur Verfügung, wobei hier nur einige genannt werden sollen.192 Sofern sie nicht ohnehin auf einen Rechner zugreifen können, über den die Daten der Cloud-Nutzer übertragen werden, 187
Bugiel/Nürnberger/Pöppelmann/Sadeghi/Schneider, in: CCS’11, S. 390, 394 f. Hierzu sowie nachfolgend zu dieser Angriffsform Münch/Doubrava/Essoh, DuD 2011, 322 (324). 189 Siehe hierzu die Ausführungen zu den Angriffsvektoren der Systemadministratoren auf S. 101 ff. 190 Münch/Doubrava/Essoh, DuD 2011, 322 (324 f.); vgl. auch ENISA, Benefits, Risks 2009, S. 38. 191 Münch/Doubrava/Essoh, DuD 2011, 322 (325). 192 Weitergehend hierzu Bull/Matthews/Trumbull, DEF CON 24; Duncan/Creese/Goldsmith/Quinton, in: TrustCom 2013, S. 494 ff. 188
D. Exemplarische Angriffsvektoren
113
können sie die ARP-Tabellen193 des anfragenden Rechners durch das Hinzufügen einer Mac-Adresse eines IT-Systems, über das sie die Kontrolle haben, mit der Folge manipulieren, dass der Zielrechner die Ausgangs-IP mit der falschen HardwareAdresse verknüpft und alle Datenpakete der Nutzer an das von ihnen kontrollierte ITSystem leitet.194 Mittels dieser Angriffsmethode, dem sog. ARP-Spoofing als besondere Form eines Man-in-the-Middle-Angriffs195, können sie sodann den kompletten unverschlüsselten Datenverkehr der Nutzer mitschneiden oder manipulieren, indem sie beispielsweise Datenpakete entfernen, neue hinzufügen oder die Daten auf ihrem Weg verändern. Um hierbei unbemerkt zu bleiben, können sie die abgehörten Daten weiterhin an das eigentliche Zielsystem weiterleiten.196 Neben der Verletzung der Datenvertraulichkeit und der Integrität der Inhaltsdaten kann diese Angriffsform auch zur Herbeiführung der Nichterreichbarkeit der Cloud-Dienste missbraucht werden, sofern im ARP-Cache eine nicht existierende MAC-Adresse eines CloudServers eingetragen wird.197 Kontrolle über den Datenverkehr können die Netzwerkund Sicherheitsadministratoren schließlich auch durch eine Manipulation eines Routers, Switches oder Buses sowie durch die Vorspiegelung eines falschen DHCPServers (DNS Cache Spoofing) erlangen.198 Schließlich können sie ihren Zugriff auf die Technologien der Deep Packet Inspection (DPI) und den regelmäßig verwendeten Sniffer-Programmen, mit denen üblicherweise das Netzwerk gewartet und der Netzwerkverkehr zur Gewährleistung der Netzsicherheit auf Auffälligkeiten überwacht wird,199 dazu missbrauchen, die übertragenen Passwörter und Inhaltsdaten im Cloud-System in Echtzeit im Klartext auszulesen, inhaltlich zu manipulieren oder zu unterdrücken.200 Diese schwerwie193 ARP steht für Address Resolution Protocol und ist ein Netzwerkprotokoll, das die Zuordnung von IP-Adressen zu Hardwareadressen ermöglicht. 194 Vgl. BSI, ISi-LANA, S. 120; Koch, Angriff und Verteidigung in Computernetzen, S. 33; BSI, Sicherheitsprofil SaaS, S. 95 f., 112. 195 Im Allgemeinen setzt sich der Angreifer bei einem Man-in-the-Middle-Angriff entweder physikalisch oder zumeist logisch zwischen zwei oder mehrere Kommunikationspartner, wodurch er die vollständige Kontrolle über den Datenverkehr erlangt und die Informationen nach Belieben einsehen oder manipulieren kann; statt vieler Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 108. 196 1&1, Artikel vom 05. 09. 2016 „ARP-Spoofing – Schwachstelle in der Netzwerksicherheit“; abrufbar unter https://hosting.1und1.de/digitalguide/server/sicherheit/arp-spoofingangriffe-aus-dem-internen-netzwerk/ (Webseite zuletzt aufgerufen am 01. 02. 2018). 197 Vgl. BSI, ISi-LANA, S. 120. 198 Dietrich, Ausspähen von Daten, S. 150; zum DNS Cache Poisoning siehe auch BSI, ISiLANA, S. 138. 199 Zum Beispiel gestatten es die Analyse-Funktionen dieser Programme, Spam-Mails aus dem Netzverkehr zu filtern und die Übertragung von Malware zu blockieren; weitergehend zur Funktionsweise der Deep Packet Inspection Bedner, Cloud Computing, S. 296 f.; ders., CR 2010, 339 (341 f.); und zu den Netzwerksniffern Eckert, IT-Sicherheit, S. 155. 200 ENISA, Benefits, Risks 2009, S. 38; Bedner, Cloud Computing, S. 211; ders., Deep Packet Inspection, S. 2; Münch/Doubrava/Essoh, DuD 2011, 322 (324); Gupta/Kumar/Abraham, IJDSN 2013, 1 (4); Duncan/Creese/Goldsmith/Quinton, in: TrustCom 2013, S. 497 ff.;
114
Kap. 2: Insiderbedrohungen
genden Gefährdungen lassen sich bildlich durch einen Vergleich mit der Briefpost weiter verdeutlichen.201 Würde man nämlich die Sniffer-Programme und die DPITechnologie in diesem Sinn auch im Postwesen anwenden, hätte dies zur Folge, dass alle Briefe geöffnet und gelesen, einige Briefe inhaltlich verkürzt ausgeliefert oder vernichtet und alle oder ein bestimmter Teil der Nachrichten bei dem Postbediensteten als Kopie verbleiben würden. Nebstdem können Administratoren der Cloud-Anbieter auch den Zugriff auf die APIs bzw. auf die Nutzeraccounts sperren und damit die Inhaltsdaten in Geiselhaft nehmen.202 In vielen AGB und Nutzungsbedingungen behalten sich die Anbieter das Recht vor, die Cloud-Dienstleistungen „nach eigenem Ermessen und ohne vorherige Benachrichtigung des betroffenen Nutzers zu kündigen“.203 In dieser Hinsicht wurde ein Fall aus den USA bekannt, bei dem ein Cloud-Anbieter den Zugriff eines Kunden auf seine Inhaltsdaten sperren ließ, um im Rahmen einer rechtlichen Auseinandersetzung der Durchsetzung der eigenen Zahlungsforderung Nachdruck zu verleihen.204 Daneben halten sich die Anbieter in ihren Nutzungsbedingungen auch oftmals offen, auf die gespeicherten Inhaltsdaten zuzugreifen, sie zu kontrollieren und das Benutzerkonto bei als anstößig empfundenen Inhalten zu sperren oder zu blockieren.205 Diese Vorgehensweise ist schon deshalb problematisch, weil die CloudNutzer nicht vorhersehen können, wann ihre ausgelagerten Inhalte von den CloudAnbietern als „anstößig“ eingestuft werden. Zumal es hierfür auch nicht erforderlich ist, dass andere Nutzer die betroffenen Daten zur Kenntnis nehmen.206 So wurde etwa das Benutzerkonto eines deutschen Hobbyfotografen, der Teilaktbilder in der Cloud lediglich als Backup speicherte, deshalb gesperrt, weil seine gespeicherten Bilder nach Ansicht des Cloud-Anbieters gegen die Nutzungsbedingungen verstoßen hätten; ein Rechtsverstoß wurde ihm hingegen nicht angelastet.207
Duncan/Creese/Goldsmith, in: TrustCom 2012, S. 859; Janowicz, Sicherheit im Internet, S. 205; vgl. auch Koch, Angriff und Verteidigung in Computernetzen, S. 32; Schmid, Computerhacken, S. 177. 201 Hierzu Bedner, Deep Packet Inspection, S. 2. 202 Bedner, Cloud Computing, S. 102; Hansen, DuD 2012, 407 (411). 203 Siehe hierzu etwa die AGB’s von Dropbox vom 10. 02. 2017 (abrufbar unter https:// www.dropbox.com/terms) und die Nutzungsbedingungen von Amazon Drive vom 26. 06. 2016 (abrufbar unter https://www.amazon.de/gp/help/customer/display.html?nodeId=20137654 0ref_=cd_home_tou); (beide Webseiten zuletzt aufgerufen am 01. 02. 2018). 204 Spies, in: von dem Bussche/Voigt (Hrsg.), Konzerndatenschutz, Teil 7, Rn. 58, Fn. 177. 205 Vgl. hierzu etwa die AWS Acceptable Use Policy vom 16. 09. 2016 von Amazon; abrufbar unter https://aws.amazon.com/de/aup/ (zuletzt aufgerufen am 01. 02. 2018). 206 Hansen, DuD 2012, 407 (411). 207 Aachener Zeitung, Pressemeldung „Wie ein Handy-Fan von Wolke Sieben fiel“ vom 01. 02. 2011; Artikel abrufbar unter http://www.aachener-zeitung.de/news/digital/wie-ein-han dy-fan-von-wolke-sieben-fiel-1.372632 (zuletzt aufgerufen am 01. 02. 2018).
D. Exemplarische Angriffsvektoren
115
V. Managementplattform Auf dieser Ebene der Cloud-Architektur gehen potentielle Gefahren vor allem von den Administratoren der Cloud-Anbieter aus. So können sie durch kleinste Fehlkonfigurationen einzelner oder mehrerer Systemkomponenten bewirken, dass Daten fehlerhaft übertragen und gespeichert werden oder ein Ausfall aller Cloud-Server, möglicherweise sogar verbunden mit einem Datenverlust, eintritt.208 Daneben können sie gravierende Sicherheitsmängel hervorrufen, die sich wegen der Komplexität der Cloud-Struktur auf sämtliche vernetzten Systeme und Dienstleistungen auswirken können.209 Dadurch lassen sich auch in dem bestgesichertsten Cloud-System Sicherheitsfunktionen ausschalten und Systemschwachstellen schaffen, die eine unbefugte Kenntnisnahme und Manipulation der Inhaltsdaten erleichtern.210 Neben diesen Vorbereitungshandlungen zu einer eigenen oder fremden Tat ist es im Allgemeinen auch denkbar, dass Innentäter ihr etwa durch Sicherheits- bzw. Vulnerability-Tests erlangtes Wissen über Systemschwachstellen in den CloudDiensten gewinnbringend an Cyberkriminelle weitergeben oder für die Entwicklung cloudspezifischer Malware einsetzen, deren Schadcode sie entweder für eigene Zwecke oder als Malware-as-a-Service Dritten zur Verfügung stellen.211 Seitens der Administratoren der Cloud-Anbieter und der Cloud-Nutzer besteht zudem die Gefahr einer unberechtigten Erweiterung ihrer Zugriffsrechte auf das Cloud-System (Privilege Escalation).212 Möglich ist dies zum Beispiel durch eine Änderung der Rollenverzeichnisse, einem absichtlichen Ausnutzen eines Bugs, einer fehlerhaften Konfiguration der Managementschnittstelle oder dem Ablegen bösartiger Skripte auf den VM.213 Sofern seitens der Cloud-Anbieter ein mandantenorientiertes Administrationskonzept besteht, kann die Privilege Escalation zu der schwerwiegenden Bedrohung führen, dass ihre Administratoren nicht mehr getrennt nach Mandanten, sondern mandantenübergreifend auf Systemkomponenten und Speicherbereiche zugreifen können, wodurch sie in der Lage sind, sämtliche In-
208 BSI, Sicherheitsprofil SaaS, S. 120; BSI, Sicherheitsempfehlungen, S. 33; Bedner, Cloud Computing, S. 50; Meir-Huber, Cloud Computing, S. 41; Terplan/Voigt, Cloud Computing, S. 80; Vossen/Haselmann/Hoeren, Cloud Computing, S. 178. 209 Vgl. BSI, Sichere Nutzung von Cloud-Diensten, S. 7. 210 BSI, Sicherheitsprofil SaaS, S. 143; BSI, Sicherheitsempfehlungen, S. 33; Beckereit, in: Köhler-Schute (Hrsg.), Cloud Computing, S. 82; Khalil/Khreishah/Azeem, Computers (3) 2014, 1 (7). 211 Vgl. Ouedraogo/Mignon/Cholez/Furnell/Dubois, JoCCASA 2015, 1 (2); Subashini/ Kavitha, JoNaCA 2011, 1 (3). 212 BSI, IT-Grundschutz-Kataloge, G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen, 13. EL, Stand 2013; BSI, Sicherheitsprofil SaaS, S. 120. 213 BSI, IT-Grundschutz-Kataloge, G 5.79 Unberechtigtes Erlangen von Administratorrechten unter Windows-Systemen, 13. EL, Stand 2013; BSI, Sicherheitsprofil SaaS, S. 120; Münch/Doubrava/Essoh, DuD 2011, 322 (323 f.); Christmann/Hilpert/Thöne/Hagenhoff, HMD 2010, 62 (64), siehe auch ENISA, Benefits, Risks 2009, S. 49.
116
Kap. 2: Insiderbedrohungen
haltsdaten aller Cloud-Nutzer auszuspähen.214 Erhöht wird das Risiko einer Privilege Escalation zudem durch ein unzureichendes Identitäts- und Zugriffsmanagement. Ein in der Praxis häufig vorkommendes Anwendungsbeispiel hierfür ist, dass cloudnutzende Unternehmen die Administratorenkonten von nicht mehr beschäftigten Mitarbeitern nicht (sofort) löschen und sperren lassen, so dass ein ehemals zugriffsberechtigter Serviceadministrator weiterhin Zugang auf das Cloud-System und die dort gespeicherten Inhaltsdaten nehmen kann.215 Über ihren Zugriff auf das Benutzerkonto und die Management-Tools eröffnen sich den Serviceadministratoren ferner weitere Angriffsoptionen. Abgesehen davon, dass sie ohnehin in der Lage sind, ihren Zugriff auf die Speicherbereiche des CloudNutzers dazu auszunutzen, unbefugt sensible Daten zu löschen, zu verändern oder durch eine Löschung bzw. einer Veränderung des Passworts, des VerschlüsselungsKeys oder des Dateinamens zu unterdrücken sowie unberechtigt zu kopieren, ist es ihnen auch möglich, unberechtigten Dritten durch die Weitergabe ihrer Zugangsdaten unbemerkt unzulässige Zugriffsberechtigungen auf das Nutzerkonto einzuräumen.216 Dadurch wird diesen die Möglichkeit verschafft, selbst sicherheitskritische Funktionen, wie beispielsweise das Monitoring von Cloud-Komponenten oder die Konfiguration von Sicherheitsdiensten, zu kompromittieren, was ihnen zweifellos erleichtert, nicht nur weitere und umfangreiche Attacken auszuüben, sondern ebenso unbemerkt auf die Kundendaten zuzugreifen.217 Daneben können die Serviceadministratoren die Inhaltsdaten auf sehr einfache Art und Weise auch durch die Versendung eines Datenlinks an Dritte weitergeben, die sodann beim Aufrufen des Links Zugang zu allen verlinkten Inhaltsdaten des Opfers im Klartext erhalten. Unabhängig von dieser missbräuchlichen Nutzung der Cloud Collaboration wird die Linkfunktion üblicherweise zur gemeinsamen Bearbeitung eines Dokuments eingesetzt. Wie bei jedem Informationsaustausch besteht bei dieser cloudbasierten Kooperationsform die Gefahr, dass die involvierten Personen die Dokumente unbefugt kopieren oder unberechtigt an Dritte weiterleiten.218 Darüber hinaus ermöglicht die Cloud Collaboration bei den Synchronisationdiensten von Google Drive, Microsoft OneDrive und Dropbox, bei denen die Speicherbereiche der Endgeräte der Cloud-Nutzer mit denjenigen der Cloud-Dienste mittels eines AccessTokens219 synchronisiert werden, die Durchführung einer besonderen Form einer
214
BSI, Sicherheitsprofil SaaS, S. 139. Vgl. nur BSI, IT-Grundschutz-Kataloge, G 2.191, 14. EL, Stand 2014. 216 Vgl. Wicker, Cloud Computing, S. 112. 217 BSI, Sicherheitsprofil SaaS, S. 138. 218 Zu dieser Angriffsform siehe Wicker, Cloud Computing, S. 112. 219 Der Token wird zur automatischen Authentifizierung und Autorisierung der Nutzer und zur Synchronisation seiner Daten eingesetzt. Hierfür enthält er die auf dem Endgerät hinterlegten Anmeldedaten, so dass der Nutzer nicht bei jedem Aufruf des Cloud-Dienstes gezwungen ist, erneut seinen Benutzernamen und sein Passwort einzugeben; Wicker, Cloud Computing, S. 24. 215
D. Exemplarische Angriffsvektoren
117
Ransomware-Attacke.220 Bekanntheit erlangte in diesem Zusammenhang vor allem die Ransomware „Virlock“, die Dateien nicht nur verschlüsselt, sondern auch mit einem Schadcode infiziert.221 Mithin kann ein Innentäter gemeinsam genutzte Daten eines Cloudspeichers mit der Erpressungssoftware infizieren,222 deren Schadcodes sich sodann mit jeder Öffnung der betreffenden Datei auf weitere Endgeräte ausbreitet. Folge hiervon ist, dass sich die Ransomware vor allem in Unternehmen im gesamten Netzwerk verteilen kann. Da Virlock sowohl die lokalen Daten als auch die in der Cloud gespeicherten Inhaltsdaten verschlüsselt, wird dem Innentäter schließlich die Möglichkeit zur Erpressung eröffnet, indem er den Cloud-Nutzer zum Freikauf seiner verschlüsselten Inhaltsdaten nötigen kann.223 Schließlich ist es auch den Cloud-Nutzern bzw. deren Serviceadministratoren möglich, die Erreichbarkeit der Cloud-Dienste durch einen DDoS-Angriff einzuschränken oder sogar zu verhindern. Ermöglicht wird der Angriff durch die dynamische Skalierung der Cloud-Ressourcen und ihrer fehlenden Begrenzung durch Maximalkapazitäten. Diese Umstände können sie derart ausnutzen, dass sie über ihre Management-Tools die physischen Ressourcen des Cloud-Systems durch ein ständiges Anfordern von weiteren Rechnerkapazitäten überlasten und zum Absturz bringen, wodurch es anderen Nutzern nicht mehr möglich ist, ihre ausgelagerten Daten aufzurufen und zu bearbeiten.224 Im schlimmsten Fall kann der Ausfall der Server sogar zu einem vollständigen Datenverlust führen.225 Abgesehen davon kann bereits die fehlende Zugriffsmöglichkeit auf wichtige Unternehmensdaten große 220
Allgemein zu Ransomware Kochheim, Cybercrime und Strafrecht, S. 86 f. ZDNet, Pressemeldung vom 28. 09. 2016 „Ransomware Virlock verbreitet sich über Cloud-Storage“; abrufbar unter http://www.zdnet.de/88279735/ransomware-virlock-verbreitetsich-ueber-cloud-storage/?inf_by=551d48fac9e9e7bfd87bee1a (zuletzt aufgerufen am 01. 02. 2018). 222 Allgemein zur Infizierung von PDFs, Word-Dokumenten und JPG-Bildern siehe Lubkowitz, Artikel vom 25. 06. 2014 „Viren in PDF-, JPG- und DOC-Dateien“; abrufbar unter https://www.com-magazin.de/praxis/internet/viren-in-pdf-jpg-doc-dateien-435318.html (zuletzt aufgerufen am 01. 02. 2018). 223 Vgl. ZDNet, Pressemeldung vom 20. 06. 2017 „Ransomware: Webhoster zahlt 1 Million Dollar Lösegeld“; abrufbar unter http://www.zdnet.de/88301695/ransomware-webhosterzahlt-1-million-dollar-loesegeld/?inf_by=55 1d48fac9e9e7bfd87bee1a (zuletzt aufgerufen am 01. 02. 2018). 224 Beispiele für gängige Angriffstechniken sind XML Bombs, die komplexe, XML-basierte Datenstrukturen an das Zielsystem senden. Bei der Verarbeitung der XML-Strukturen entsteht dann ein exponentiell steigender Bedarf an Speicherplatz, was in der Regel dazu führt, dass die Ressourcen des Zielsystems sehr schnell vollständig ausgeschöpft sind; Groß/Lischka/ Gruschka/Miede/Jensen/Mosch/Schulte/Siebenhaar, PIK 2011, 126 (128), vgl. auch BSI, Sicherheitsempfehlungen, S. 32; ENISA, Benefits, risks 2012, S. 35; Jensen/Gruschka/Herkenhöner, CSRD (24) 2009, 185 (189 f.); ausführlich zu den Angriffsspielarten auch Fernandes/ Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (141 ff.). 225 Zu dem technischen Ansatz, die Vollständigkeit und Verfügbarkeit der bei den CloudAnbietern gespeicherten Inhaltsdaten mittels der Evidence Record Syntax (ERS)- und Provable Data Possession (PDP)-Verfahren zu überprüfen, siehe Slamanig/Stingl, DuD 2012, 510 (510 ff.). 221
118
Kap. 2: Insiderbedrohungen
Vermögensschäden verursachen.226 Nach einer im Jahr 2015 von dem Softwareunternehmen Kaspersky Lab durchgeführten Studie dauern die DDoS-Angriffe in 35 % aller Fälle mehrere Stunden an (in 7 % gehen die Angriffe sogar über mehrere Wochen) und verursachen einen durchschnittlichen Schaden von 417.000 US-Dollar.227 Vor diesem Hintergrund ist es denkbar, dass auf der Nutzerseite auch gezielt DDoS-Angriffe gegen Mitbewerber gerichtet werden, um bei diesen hohe finanzielle Verluste oder in Extremfällen sogar deren Insolvenz zu erreichen (Economic Denial of Sustainability Angriff).228 Besonders heikel ist bei diesen Angriffen, dass sie kaum durch die Cloud-Anbieter verhindert werden können, da sich missbräuchliche Ressourcenanfragen nur sehr schwierig von legitimen Anfragen unterscheiden lassen.229 Insoweit können die DDoS-Angriffe sogar zielgerichtet gegen mehrere miteinander verbundene Clouds eingesetzt werden, indem die böswilligen Anfragen aus einer Cloud an andere Clouds gesendet werden, bis schließlich sämtliche CloudSysteme zum Erliegen kommen (Cloud War).230 Die ohnehin schon fatalen Auswirkungen des Angriffs (enorme finanzielle Schäden, großer Opferkreis) können so nochmals gesteigert werden.
226
Bedner, Cloud Computing, S. 101. Kaspersky Lab, Denial of Service, S. 2. 228 Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (153); Xiao/Xiao, IEEE Communications Survey & Tutorials (15) 2013, 843 (851); ausführlich hierzu auch Sandar/ Shenai, IJCA (41) 2012, 11 (11 ff.). 229 BSI, Sicherheitsempfehlungen, S. 32; Vossen/Haselmann/Hoeren, Cloud Computing, S. 187; Fernandes/Soares/Gomes/Freire/Inácio, IJIS (13) 2014, 113 (153). 230 Gruschka/Jensen, in: CLOUD 2010, S. 278 f. 227
3. Kapitel
Allgemeiner strafrechtlicher Schutz vor Kenntnisnahme und Verschaffung Die Datenvertraulichkeit wird im Kernstrafrecht des StGB im 15. Abschnitt mit der amtlichen Bezeichnung „Verletzung des persönlichen Lebens- und Geheimbereichs“ in den §§ 202a bis 202d StGB und § 206 StGB geschützt. Die Tatbestände beruhen im Wesentlichen auf dem gemeinsamen Grundgedanken, dass eine freie Entfaltung der Persönlichkeit nur möglich ist, wenn dem Einzelnen hierfür ein Freiraum gegenüber dem Staat und seinen Mitmenschen gewährleistet wird.1 Verfassungsrechtlich steht der strafrechtliche Schutz der individuellen Privatsphäre im Zusammenhang mit der grundrechtlichen Gewährleistung des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG und dem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 2 GG.2 Während das Fernmeldegeheimnis den Nutzer von Kommunikationsdiensten vor einer unbefugten Kenntnisnahme, Aufzeichnung und Verwertung seiner kommunikativen Daten durch Dritte schützt,3 gewährleistet das aus dem allgemeinen Persönlichkeitsrecht abgeleitete Recht auf informationelle Selbstbestimmung nach dem richtungsweisenden Volkszählungsurteil des BVerfG aus dem Jahr 1984 die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.4 Letzteres kann im Rahmen einer elektronischen Datenverarbeitung nur dann garantiert werden, wenn der Schutz des Nutzers vor einer „unbegrenzten Erhebung, Speicherung, Verwendung und Weitergabe“ seiner persönlichen Daten gewahrt wird.5 Weiter bekräftigt wurde der Schutz der freien Entfaltung der Persönlichkeit unter den Bedingungen der modernen Datenverarbeitung in der Entscheidung des BVerfG über die Zulässigkeit der sog. Online-Durchsuchung im Jahr 2008.6 In diesem Urteil entwickelte das Gericht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das als besondere Ausprägung des all1
Eisele, Schönke/Schröder, Vorb. §§ 201 ff. StGB, Rn. 2. Kargl, NK, Vorb. §§ 201 ff. StGB, Rn. 4. 3 BVerfGE 124, 43 (54 f.) = NJW 2009, 2431 (2433); BVerfGE 120, 274 (307) = NJW 2008, 822 (825). 4 BVerfGE 65, 1 (43) = NJW 1984, 419 (422). 5 BVerfGE 65, 1 (43) = NJW 1984, 419 (422). 6 BVerfGE 120, 274 = NJW 2008, 822. 2
120
Kap. 3: Allgemeiner strafrechtlicher Schutz
gemeinen Persönlichkeitsrechts ebenfalls aus den Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG dogmatisch hergeleitet wird. Nach Auffassung des Gerichts soll dieses sog. ITGrundrecht7 oder Computer-Grundrecht8 vor allem die Vertraulichkeits- und Integritätserwartung der Nutzer vernetzter, insbesondere an das Internet angeschlossener IT-Systeme gewährleisten. In diesem Zusammenhang führt das BVerfG aus: „Zum einen führt die mit der Vernetzung verbundene Erweiterung der Nutzungsmöglichkeiten dazu, dass gegenüber einem alleinstehenden System eine noch größere Vielzahl und Vielfalt von Daten erzeugt, verarbeitet und gespeichert werden. Dabei handelt es sich um Kommunikationsinhalte sowie um Daten mit Bezug zu der Netzkommunikation. Durch die Speicherung und Auswertung solcher Daten über das Verhalten der Nutzer im Netz können weitgehende Kenntnisse über die Persönlichkeit des Nutzers gewonnen werden. Vor allem aber öffnet die Vernetzung des Systems Dritten eine technische Zugriffsmöglichkeit, die genutzt werden kann, um die auf dem System vorhandenen Daten auszuspähen oder zu manipulieren. Der Einzelne kann solche Zugriffe zum Teil gar nicht wahrnehmen, jedenfalls aber nur begrenzt abwehren. Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann. Ein technischer Selbstschutz kann zudem mit einem hohen Aufwand oder mit Funktionseinbußen des geschützten Systems verbunden sein. Viele Selbstschutzmöglichkeiten – etwa die Verschlüsselung oder die Verschleierung sensibler Daten – werden überdies weitgehend wirkungslos, wenn Dritten die Infiltration des Systems, auf dem die Daten abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der Geschwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prognostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich technisch selbst zu schützen.“9 (Hervorhebungen hinzugefügt)
Angesichts der wesentlichen Bedeutung vernetzter IT-Systeme für die private und berufliche Lebensführung und der fehlenden technischen Schutzmöglichkeiten der Nutzer vor einem Ausspähen oder einer Manipulation ihrer dort gespeicherten und verarbeiteten Daten folgt – so das BVerfG – „ein grundrechtlich erhebliches Schutzbedürfnis“.10 Vor diesem Hintergrund erfasst der Schutzbereich des Computer-Grundrechts IT-Systeme, die dazu geeignet sind, „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“,11 und zwar unabhängig davon, auf welche Daten im Einzelfall zugegriffen werden kann, da es infolge der Verarbeitungs- und Verknüpfungsmöglichkeiten im Rahmen der Informationstechnologie kein „belangloses“ Datum mehr gibt.12 7
Schulz, DuD 2012, 395 (395). Kutscha, DuD 2012, 391 (391). 9 BVerfGE 120, 274 (305 f.) = NJW 2008, 822 (824 f.). 10 BVerfGE 120, 274 (306) = NJW 2008, 822 (824 f.); vgl. auch BVerfGE 141, 220 (268 f.) = NJW 2016, 1781 (1794). 11 BVerfGE 120, 274 (314) = NJW 2008, 822 (827). 12 BVerfGE 65, 1 (45) = NJW 1984, 419 (422). 8
Kap. 3: Allgemeiner strafrechtlicher Schutz
121
Geschützt wird von dem Computer-Grundrecht vor allem auch die Nutzung des eigenen informationstechnischen Systems über andere informationstechnische Systeme, die sich in der Verfügungsgewalt anderer befinden, sofern der Betroffene nach den Umständen davon ausgehen darf, dass er allein oder zusammen mit anderen zur Nutzung berechtigten Personen über das informationstechnische System selbstbestimmt verfügt.13 Damit fällt auch das Cloud Computing in den sachlichen Schutzbereich des Computer-Grundrechts.14 Denn über die bereitgestellten Management-Tools der Cloud-Anbieter ist der Einfluss des Cloud-Nutzers auf den externen Speicherplatz in der Cloud derart ausgestaltet, dass er die dort gespeicherten Daten in freier Verantwortung verändern und löschen sowie externen Dritten den Zugriff verweigern kann. Folglich unterliegt der Cloud-Speicher auch der Verfügungsgewalt des Cloud-Nutzers, weshalb das Cloud-System als sein eigenes genutztes IT-System anzusehen ist.15 Im Folgenden soll nun untersucht werden, ob die Tatbestände der §§ 202a bis c StGB und § 206 StGB der grundrechtlich geschützten Vertraulichkeitserwartung der Cloud-Nutzer bei einer unbefugten Verschaffung und Kenntnisnahme ihrer Inhaltsdaten durch Innentäter des Cloud Computing hinreichend Rechnung tragen.16 Dabei soll zunächst von reinen Inlandskonstellationen ausgegangen werden. Die Anwendbarkeit des deutschen Strafrechts auf Innentäter-Angriffe mit einem Auslandsbezug soll dagegen gesondert im 7. Kapital erörtert werden.17
13 BVerfGE 120, 274 (315) = BVerfG NJW 2008, 822 (827); Hornung, CR 2008, 299 (303); Stögmüller, CR 2008, 435 (436). 14 BVerfG NJW 2016, 1781, Rn. 209; Wicker, Cloud Computing, S. 300; Bedner, Cloud Computing, S. 113; vgl. auch Gersdorf, in: BeckOK, Informations- und Medienrecht, Art. 2 GG Rn. 26 f. 15 Bedner, Cloud Computing, S. 113; Wicker, Cloud Computing, S. 300. 16 Keine cloudspezifischen Besonderheiten ergeben sich dagegen bei dem strafrechtlichen Schutz der Datenvertraulichkeit, wenn auf der Nutzer- oder Anbieterseite eine Behörde steht. Ist eine Behörde Cloud-Nutzer wird ein Ausspähen und Verrat von Staatsgeheimnissen durch Innentäter nach den Staatsschutzdelikten der §§ 94 ff. StGB umfassend unter Strafe gestellt. Denn weder kommt es bei diesen Vorschriften auf das Vorliegen einer besonderen Täterqualität noch auf die Art und Weise der Geheimnisverschaffung an, Lampe/Hegmann, MK, § 96 StGB, Rn. 4; Wicker, Cloud Computing, S. 230, 255 f. Ist die Behörde dagegen Cloud-Anbieter oder Cloud-Nutzer wird eine Offenbarung von Dienstgeheimnissen durch Innentäter wiederum hinreichend von der Strafvorschrift des § 353b StGB erfasst. Taugliche Täter dieser Strafnorm sind neben Amtsträgern (§ 11 Abs. 1 Nr. 2 StGB) auch für den öffentlichen Dienst besonders verpflichtete Personen (§ 11 Abs. 1 Nr. 4 StGB). Insofern fallen auch bei diesem Tatbestand neben den Serviceadministratoren auch die Mitarbeiter der Cloud-Anbieter und Subunternehmer in den möglichen Täterkreis. Letztere allerdings nur, wenn sie nach dem Verpflichtungsgesetz auf eine gewissenhafte Erfüllung ihrer Tätigkeiten förmlich von der cloudnutzenden Behörde verpflichtet wurden; vgl. Wicker, Cloud Computing, S. 209; Hölscher, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 11 StGB, Rn. 5. 17 Siehe hierzu S. 369 ff.
122
Kap. 3: Allgemeiner strafrechtlicher Schutz
A. Ausspähen von Daten, § 202a StGB Als erstes soll auf eine mögliche Strafbarkeit wegen Ausspähens von Daten nach § 202a Abs. 1 StGB eingegangen werden. Nach dieser Vorschrift macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Die Strafnorm wurde durch das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität (2. WiKG) vom 14. 05. 198618 neu geschaffen, um den Anwendungsbereich des Tatbestands der Verletzung des Briefgeheimnisses gem. § 202 StGB, der lediglich auf Schriftstücke und Abbildungen begrenzt ist und damit keine elektronischen Speichermedien sowie die auf ihnen gespeicherten Daten erfasst,19 zu ergänzen. Der Tatbestand wurde schließlich durch das 41. Strafrechtsänderungsgesetz (StÄG) vom 07. 08. 200720, das der Umsetzung des Rahmenbeschlusses 2005/ 222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme21 und des Übereinkommens des Europarates über Computerkriminalität vom 23. 11. 2001 (Cybercrime-Konvention)22 dient, erweitert, um bislang straflose Fälle des Hacking zu sanktionieren und den mit dem rasanten Fortschritt im Bereich der Informationstechnologie entstandenen Missbrauchsmöglichkeiten entgegenwirken zu können.23 Zu diesem Zweck wurden neben dem § 202a StGB auch die Strafvorschriften des Abfangens von Daten gem. § 202b StGB und der Tatbestand des Vorbereitens des Ausspähens und Abfangens von Daten aus § 202c StGB normiert. Sie sollen spionierende Angriffe im Zusammenhang mit computergestützter Kommunikation unter Strafe stellen, die von anderen Straftatbeständen, wie vornehmlich des § 202 StGB nicht erfasst werden.24
I. Geschütztes Rechtsgut Die Bestimmung des Schutzguts ist für die Auslegung der einzelnen Tatbestandsmerkmale, insbesondere des Tatobjekts, von erheblicher Bedeutung. Bis heute ist aber noch nicht vollends geklärt, welche Schutzrichtung die Vorschrift aufweist. 18
BGBl. I, S. 721. Siehe nur Fischer, § 202 StGB, Rn. 4; Schünemann, in: LK, § 202 StGB, Rn. 45. 20 BGBl. I, S. 1786. 21 ABl. 2005 Nr. L 69. 22 ETS-Nr. 185. 23 Gesetzesentwurf BT-Drs. 16/3656, S. 9; zum strafrechtlichen Problem des Hacking bei der früheren Fassung der Strafvorschrift, die lediglich ein Verschaffen von Daten verlangte, Vetter, Gesetzeslücken, S. 121 ff.; Jessen, Zugangsberechtigung, S. 180 ff. 24 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 535; vgl. auch BT-Drs. 10/ 5058, S. 28. 19
A. Ausspähen von Daten
123
Nach zutreffender Ansicht ist Rechtsgut des § 202a StGB allein die formelle Verfügungsbefugnis desjenigen, der als „Herr der Daten“ darüber bestimmen kann, wem die Informationen zugänglich sein sollen.25 Dieses Recht auf Bestimmung des Herrschaftsverhältnisses über die eigenen Daten wird aber nur dann geschützt – insofern enthält der Straftatbestand ein „viktimodogmatisches“ Element -, wenn die Daten besonders gesichert sind und sich damit das Geheimhaltungsinteresse des Berechtigten, der über den gedanklichen Inhalt der Information bestimmen kann, in besonderen Sicherungsmaßnahmen manifestiert.26 Zum Teil wird auch die Auffassung vertreten, geschütztes Rechtsgut des § 202a StGB sei das Vermögen, wie es in den Daten bzw. Programmen seinen Niederschlag gefunden habe.27 Als „gewisses Analogon“ zur elektrischen Energie des § 248c StGB sei nämlich die Vorschrift systematisch dem Diebstahl zuzuordnen, weshalb auch die Bezeichnung „Datendiebstahl“ korrekter sei als die irreführende gesetzliche Bezeichnung der Strafnorm als „Ausspähen von Daten“.28 Geschützt seien demzufolge nur solche Daten, die wie Forschungsdaten, Konstruktionsverfahren, Kalkulationen, Bilanzen, Kundenadressen, Programme usw. einen wirtschaftlichen Wert haben.29 Private Informationen scheiden damit als taugliche Tatobjekte der Strafvorschrift aus. Gegen diese Ansicht ist allerdings einzuwenden, dass sich weder aus der Entstehungsgeschichte noch aus dem Wortlaut der Vorschrift Anhaltspunkte für die Einordnung des § 202a StGB als Vermögensdelikt ergeben. Angesichts der gestiegenen allgemeinen Bedeutung von Informationen fordert der Tatbestand nach der bewussten Entscheidung des Gesetzgebers als Tatobjekt gerade keine Daten, die einen wirtschaftlichen Wert haben.30 Auch fehlen sonstige für Eigentums- und Vermögensdelikte typische Tatbestandsmerkmale, wie etwa die Kennzeichnung des Tatobjekts als „fremde“ Daten, eine Tathandlung in Form einer Zueignung bzw. Bereicherung oder entsprechende überschießende Innentendenzen. Darüber hinaus zieht die gesetzgeberische Begründung Parallelen zu § 202 StGB und nicht zu Eigentums- oder Vermögensdelikten.31 Zudem mag auch die gezogene Parallele zum Diebstahl schon deshalb nicht überzeugen, weil sich der Diebstahlsschutz auch auf
25 Siehe nur Hilgendorf, LK, § 202a StGB, Rn. 6; Eisele, Schönke/Schröder, §202a StGB, Rn. 1a; Hoyer, SK-StGB, § 202a, Rn. 1; Dietrich, Ausspähen von Daten, S. 49; Krutisch, Zugang zu Computerdaten, S. 71 ff. 26 Eisele, Schönke/Schröder, § 202a StGB, Rn. 1a; Kargl, NK, §202a StGB, Rn. 3; Hilgendorf, LK, § 202a StGB, Rn. 29; Hoyer, SK-StGB, § 202a, Rn. 2; Hilgendorf, JuS 1996, 509 (511). 27 Haft, NStZ 1987, 6 (9); siehe auch Bühler, MDR 1987, 448 (452). 28 Haft, NStZ 1987, 6 (9). 29 Haft, NStZ 1987, 6 (9); inzwischen Ansicht aufgegeben Haft, Strafrecht BT II, S. 100. 30 BT-Drs. 10/5058, S. 28; vgl. auch Hirsnik, Angriff auf das Computersystem, S. 31 f. 31 BT-Drs. 10/5058, S. 28.
124
Kap. 3: Allgemeiner strafrechtlicher Schutz
nicht-vermögenswerte Gegenstände bezieht.32 Die mit der Verletzung des Verfügungsrechts häufig, aber nicht zwingend einhergehende Beeinträchtigung von wirtschaftlichen Interessen stellt lediglich eine bloße Reflexwirkung der Norm dar, welche aber die Tat nicht zu einem Vermögensdelikt macht.33 In Anbetracht des Umstands, dass es nach dem Willen des Gesetzgebers und nach dem Wortlaut des Tatbestands weder auf ein Kenntnisverschaffen von Daten noch auf einen konkreten Informationsgehalt der Daten ankommt, weshalb zum Schutzbereich der Norm neben persönlichen Informationen auch sonstige Daten, sei es mit einem wirtschaftlichen, wissenschaftlichen oder einem ideellen Wert bzw. sogar mit einem völlig banalen Inhalt, gehören, ohne dass es zu einer Verletzung des persönlichen Lebens- und Geheimbereichs kommen muss,34 ist auch die Auffassung abzulehnen, dass § 202a StGB nur dem Schutz von materiellen Geheimnissen diene.35 Die Einfügung der Vorschrift in den 15. Abschnitt des Strafgesetzbuchs beruht lediglich auf Gründen des Sachzusammenhangs.36 Insofern unterscheidet sich die Strafvorschrift auch deutlich von Sondervorschriften, die wie etwa Art. 83 DSGVO § 42 BDSG für personenbezogene Daten, § 203 StGB für Privatgeheimnisse und § 17 UWG für Geschäfts- und Betriebsgeheimnisse das Geheimhaltungsinteresse nur an bestimmten Daten gewährleisten.
II. Tatobjekt Das Angriffsobjekt des § 202a StGB bezieht sich auf Daten. Auf eine inhaltliche Definition des Datenbegriffs im StGB hat der Gesetzgeber allerdings bewusst verzichtet, um den Begriff für neue Entwicklungen in der Informationstechnologie offen zu halten.37 Die Legaldefinition in § 202a Abs. 2 StGB dient insoweit nur der Einschränkung des dort vorausgesetzten allgemeinen Datenbegriffs.38 Abweichend von DIN 44300 Nr. 1939, die mittlerweile durch DIN ISO/IEC 2382 ersetzt wurde,40 32 Siehe nur BGH, MDR 1960, 689; RGSt 44, 207 (210); Kühl, in: Lackner/Kühl, § 242 StGB, Rn. 2. 33 Ebenso Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 536; Fischer, § 202a StGB, Rn. 2; Eisele, Schönke/Schröder, § 202a StGB, Rn. 1a. 34 Ebenso Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 536; Fischer, § 202a StGB, Rn. 3 f.; BT-Drs. 5058, S. 28 f. 35 Vgl. zu diesem Ausgangspunkt Jessen, Zugangsberechtigung, S. 36; ähnlich Heger, in: Lackner/Kühl, § 202a StGB, Rn. 1. 36 BT-Drs. 5058, S. 28. 37 BT-Drs. 5058, S. 29; kritisch hierzu Hilgendorf, ZStW 2001, 650 (656); ebenfalls eine Präzisierung des Datenbegriffs durch den Gesetzgeber fordert Scheffler/Dressel, ZRP 2000, 514 (516 f.). 38 Eisele, Schönke/Schröder, § 202a StGB, Rn. 2. 39 Daten sind „Gebilde aus Zeichen oder kontinuierlichen Funktionen, die aufgrund bekannter oder unterstellter Abmachungen Informationen darstellen, vorrangig zum Zwecke der
A. Ausspähen von Daten
125
kommt es aber für den strafrechtlichen Begriff des Datums nicht auf einen bestimmten Verarbeitungszweck an.41 Da auch kein plausibler Grund ersichtlich ist, nur bereits verarbeitete Informationen zu schützen, ist es auch unerheblich, dass Daten noch weiterer Verarbeitung bedürfen.42 Nicht erforderlich ist zudem, dass Daten an anderer Stelle nicht frei verfügbar sind43 oder die Cloud-Nutzer an deren Kenntnis oder Nutzung ein berechtigtes Interesse haben.44 Ausgehend von dem Schutzzweck und des allgemeinen Sprachgebrauchs wird vielmehr von einem weiten Datenbegriff ausgegangen, so dass unter Daten alle durch Zeichen oder kontinuierliche Funktionen dargestellte Informationen zu verstehen sind, die sich als Gegenstand oder Mittel der Datenverarbeitung für eine Datenverarbeitungsanlage codieren lassen oder die das Ergebnis eines Datenverarbeitungsvorgangs sind.45 Aus dieser Definition lässt sich eine Einteilung des Datenbegriffs in eine semantische und in eine syntaktische Ebene entnehmen.46 Die Semantik bezieht sich auf den Informationsinhalt der Daten, wobei der Begriff der Information aber in seiner Bedeutung grenzenlos ist, weil hierunter jede Angabe über einen Gegenstand oder Zustand der realen oder irrealen Welt zu verstehen ist.47 Die Ebene der Syntax umschreibt dagegen die Darstellung des Informationsinhalts durch konventionell festgelegte Zeichen, also durch einen bestimmten Code.48 Hinsichtlich der Art der Codierung wird der allgemeine Datenbegriff allerdings nach § 202a Abs. 2 StGB insoweit eingeschränkt, als Tatobjekte nur solche Daten sind, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.49
Verarbeitung und als deren Ergebnis.“ Ausführlich zum technischen Datenbegriff Krutisch, Zugang zu Computerdaten, S. 76 ff.; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 20 ff. 40 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 91. 41 Hilgendorf, LK, § 202a StGB, Rn. 7; Kargl, NK, § 202a StGB, Rn. 4. 42 Hirsnik, Angriff auf das Computersystem, S. 43; Eisele, Schönke/Schröder, § 202a StGB, Rn. 3; Lenckner/Winkelbauer, CR 1986, 483 (484 f.). 43 Graf, MK, § 202a StGB, Rn. 12. 44 Kargl, NK, § 202a StGB, Rn. 4a; Preuß, Die Kontrolle von E-Mails, S. 274; a.A. Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 92. 45 Graf, MK, § 202a StGB, Rn. 12; Eisele, Schönke/Schröder, § 202a StGB, Rn. 3; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 538; Lenckner/Winkelbauer, CR 1986, 483 (484 f.). 46 Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 21; Schmitz, JA 1995, 478 (479); Welp, iur 1988, 443 (445). 47 Krutisch, Zugang zu Computerdaten, S. 77; Welp, iur 1988, 443 (445). 48 Hilgendorf, LK, § 202a StGB, Rn. 7; Schmitz, JA 1995, 478 (479); Welp, iur 1988, 443 (445). 49 Krutisch, Zugang zu Computerdaten, S. 84; Jessen, Zugangsberechtigung, S. 51; Welp, iur 1988, 443 (446).
126
Kap. 3: Allgemeiner strafrechtlicher Schutz
Mit dem Begriff der fehlenden unmittelbaren Wahrnehmbarkeit will der Gesetzgeber das Ausspionieren von Daten besonders dann unter Strafe stellen, wenn Daten in großer Menge nicht sichtbar, nicht lesbar oder sonst nicht unmittelbar wahrnehmbar gespeichert werden.50 Deshalb werden von dem Tatbestand nur solche Daten erfasst, deren Bedeutungsgehalt erst nach technischer Umformung51 bzw. unter Einsatz technischer Hilfsmittel52 einer sinnlichen Wahrnehmung zugänglich gemacht wird. Unter den Datenbegriff fallen damit alle digital gespeicherten Daten eines Cloud-Nutzers, etwa seine Musikdateien, Bilder, Texte oder Credentials, wohingegen aber das handschriftlich festgehaltene und in der Schreibtischschublade „versteckte“ Passwort nicht vom Schutzbereich des § 202a Abs. 1 StGB erfasst wird. In den Anwendungsbereich der Norm zählen aber nicht nur die Inhaltsdaten, sondern auch die im Rahmen der IaaS- und PaaS-Dienste gespeicherten Programme der Cloud-Nutzer.53 Die gegenteilige Ansicht54 widerspricht nicht nur dem Willen des Gesetzgebers, sie vermag auch schon deshalb nicht überzeugen, weil Programme ihrerseits aus einer Vielzahl von Daten bestehen.55 Zudem ist hervorzuheben, dass unabhängig von der Verwendung des Plurals „Daten“ auch die Vertraulichkeit eines einzelnen Datums vor einer Ausspähung geschützt wird.56 Ein Datum ist nämlich ebenso schutzwürdig wie eine Datenmenge bzw. ein Datensatz. Andernfalls stünde man auch vor dem schwierigen Unterfangen, ein Datum von Daten abzugrenzen.57 Hinzu kommt, dass es sich bei einem Datum (1 Bit) um die kleinste codierte Informationseinheit einer Datenverarbeitungsanlage handelt und es damit schon begrifflich unter dem allgemeinen Datenbegriff zu subsumieren ist.58 Auch zur Vermeidung von Strafbarkeitslücken, vor allem in den Fällen, in denen sich ein Innentäter die Daten einzeln verschafft, sollte der Anwendungsbereich der Strafvorschrift auf ein einzelnes Datum erstreckt werden.59 Eine weitere Einschränkung erfährt der allgemeine Datenbegriff aber wiederum durch die Beschränkung auf die zwei Verarbeitungsformen der Speicherung und Übermittlung der codierten Informationen. 50
BT-Drs. 10/5058, S. 29. Heger, in: Lackner/Kühl, § 202a StGB, Rn. 2; Eisele, Schönke/Schröder, § 202a StGB, Rn. 5; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 2. 52 Fischer, § 202a StGB, Rn. 4. 53 Vgl. BT-Drs. 10/5058, S. 29; Eisele, Schönke/Schröder, § 202a StGB, Rn. 3; Graf, MK, § 202a StGB, Rn. 13; Schmid, Computerhacken, S. 55 f. 54 Gravenreuth, NStZ 1989, 201 (203 f.). 55 Hoyer, SK-StGB, § 202a, Rn. 3; Graf, MK, § 202a StGB, Rn. 13; Hilgendorf, JuS 1996, 509 (511). 56 Graf, MK, § 202a StGB, Rn. 12; Jessen, Zugangsberechtigung, S. 46 f.; a.A. Schmid, Computerhacken, S. 58. 57 Ausführlich hierzu Jessen, Zugangsberechtigung, S. 46 ff. 58 Krutisch, Zugang zu Computerdaten, S. 83. 59 Ebenso Jessen, Zugangsberechtigung, S. 47. 51
A. Ausspähen von Daten
127
Zur Definition des Begriffs des Speicherns wird in der Literatur zum Teil auf die Vorschrift des § 3 Abs. 4 Nr. 1 BDSG a.F. (Art. 4 Nr. 2 DSGVO)60 verwiesen,61 wonach unter einem Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung zu verstehen ist.62 Wie eingangs bereits erwähnt, kann es aber nicht auf einen etwaigen Verwendungszweck der Daten ankommen, da § 202a StGB nicht vor einer unzulässigen Verwendung von personenbezogenen Daten schützt, sondern das Verfügungsrecht über jegliche codierten Informationen gewährleistet. Insofern sind anders als in § 3 Abs. 4 Nr. 1 BDSG a.F. (Art. 4 Nr. 2 DSGVO) Informationen schon dann als gespeichert anzusehen, sobald sie auf einem Datenträger fixiert wurden.63 Aus diesem Grund wird ein Datum beim Cloud Computing frühestens mit seiner Eingabe in einen Datenträger zum geeigneten Angriffsgegenstand nach § 202a Abs. 1 StGB und zwar ungeachtet dessen, ob sich dieser lokal in dem Endgerät des Nutzers befindet oder wie die VM oder einzelne Festplatte eines Cloud-Servers Teil des Cloud-Systems ist.64 Darüber hinaus ist aber streitig, ob auch die im Arbeitsspeicher eines Rechners befindlichen Daten im Sinne des § 202a Abs. 2 StGB „gespeichert“ sind. Bedeutsam ist diese Frage beim Cloud Computing deshalb, weil einerseits den Cloud-Nutzern im Rahmen der VM virtueller Arbeitsspeicher bereitgestellt wird, der bei den SaaS- und PaaS-Diensten die gerade ausgeführten Inhaltsdaten enthält. Andererseits wird zur Erhöhung der Leistungsfähigkeit mit der RAMCloud eine neue Generation der Storage-Systeme entwickelt, die alle Daten im Arbeitsspeicher vorhält.65 Ein Teil der Lehre vertritt die Auffassung, dass flüchtig im Arbeitsspeicher befindliche Daten
60 In der DSGVO wird jeder Umgang mit personenbezogenen Daten unter dem Begriff „Verarbeiten“ erfasst. Dieser wird definiert als jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Inhaltsgleich wird aber auch das Speichern als ein Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung verstanden; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 29, 42. 61 Siehe nur Fischer, § 202a StGB, Rn. 5; Graf, MK, § 202a StGB, Rn. 20; Eisele, Schönke/ Schröder, § 202a StGB, Rn. 6; Hoyer, SK-StGB, § 202a, Rn. 4. 62 Dammann, in: Simitis (Hrsg.), BDSG, § 3 a.F., Rn. 121. 63 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 76; Hirsnik, Angriff auf das Computersystem, S. 45; Schmid, Computerhacken, S. 62; Hilgendorf, JuS 1996, 509 (512); Schmitz, JA 1995, 478 (480). 64 Hilgendorf, LK, § 202a StGB, Rn. 13; Wicker, Cloud Computing, S. 106. 65 https://ramcloud.atlassian.net/wiki/display/RAM/RAMCloud; https://www.golem.de/ news/ramcloud-storage-system-setzt-auf-ram-statt-festplatten-oder-ssds-1303-98179.html (alle Webseiten zuletzt aufgerufen am 01.02. 2018).
128
Kap. 3: Allgemeiner strafrechtlicher Schutz
keine von § 202a StGB erfassten Daten darstellen.66 Schon grammatikalisch setze das Wort „speichern“ eine gewisse Dauerhaftigkeit voraus.67 Da es aber schon nach dem Wortlaut des § 202a StGB weder auf die Art des Datenträgers noch auf die Speicherdauer bzw. darauf, wann und ob überhaupt ein Server jemals ausgeschaltet wird, ankommt, ist der gegenteiligen Ansicht zu folgen.68 Für diese Auffassung spricht zudem, dass die in den Arbeitsspeichern abgelegten Daten mangels eines erforderlichen Ladevorgangs besonders gefährdet sind.69 Um einen umfassenden Schutz der Datenverfügungsbefugnis der Cloud-Nutzer zu gewährleisten, ist für die strafrechtliche Festlegung des Begriffs der Speicherung daher nur relevant, dass Daten – wenn auch nur flüchtig – in einem Datenträger verkörpert sind.70 Unabhängig davon könnte man auch die im Arbeitsspeicher enthaltenen Daten als eine Datenübermittlung i.S.d. § 202b Abs. 2 2. Var. StGB ansehen.71 Gemäß § 3 Abs. 4 Nr. 3 BDSG a.F. (bzw. der inhaltsgleichen Definition in Art. 4 Nr. 2 DSGVO)72 ist das Übermitteln, das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener Daten an Dritte in der Weise, dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. In Anbetracht dessen, dass diese Definition aber auch die Weitergabe eines körperlichen Datenträgers erfasst, was schon dem Merkmal der „Speicherung“ unterfällt, kann sie nicht vollends übertragen werden.73 Um eine klare Abgrenzung zu § 202b Abs. 2 1. Var. StGB zu gewährleisten und die Verfügungsbefugnis von Daten umfassend zu schützen, ist unter einer Datenübermittlung jedes unkörperliche Weiterleiten von Daten zu verstehen.74 Somit fallen unter das Kriterium nur solche Daten, die sich gerade im Übermittlungsstadium befinden, indem sie von einer Datensammelstelle zur nächsten, insbesondere im Online-Verkehr von Rechner zu Rechner innerhalb eines Netzwerks oder über Fernmeldewege übertragen werden.75 Darüber hinaus 66 Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 3; Hirsnik, Angriff auf das Computersystem, S. 45; Schmitz, JA 1995, 478 (480 f.). 67 Hirsnik, Angriff auf das Computersystem, S. 45; ähnlich auch Schulze-Heiming, die jedenfalls eine Speicherdauer von einigen Nanosekunden nicht für ausreichend hält; SchulzeHeiming, Strafrechtlicher Schutz der Computerdaten, S. 43 f. 68 Ebenso Graf, MK, § 202a StGB, Rn. 20; Kargl, NK, § 202a StGB, Rn. 6; Eisele, Schönke/Schröder, § 202a StGB, Rn. 6; Altenhain, Matt/Renzikowski, § 202a StGB, Rn. 3; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 540; Hilgendorf, JuS 1996, 509 (512). 69 Krutisch, Zugang zu Computerdaten, S. 87; Jessen, Zugangsberechtigung, S. 53. 70 Schmid, Computerhacken, S. 62; vgl. auch Welp, iur 1988, 443 (445). 71 So Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 3. 72 Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 49. 73 Fischer, § 202a StGB, Rn. 6; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 3; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 541. 74 Ebenso Schmid, Computerhacken, S. 64; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 44. 75 Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 3; Hilgendorf, LK, § 202a StGB, Rn. 10.
A. Ausspähen von Daten
129
liegt eine von § 202a StGB geschützte Datenübertragung aber nicht nur zwischen vernetzten Servern, sondern auch innerhalb eines Rechners zwischen dem Eingabebzw. Ausgabegerät (Tastatur, Maus, Bildschirm etc.) und dem Speicher (Festplatte, Arbeitsspeicher etc.) oder zwischen zwei Speichereinheiten (insbesondere VM und Hypervisor) vor.76 Von § 202b Abs. 2 2. Var. StGB werden damit alle Inhaltsdaten erfasst, die sich auf dem Weg zur oder aus der Cloud befinden oder die innerhalb des Cloud-Systems, etwa infolge der dynamischen Skalierung der Cloud-Ressourcen, zu Wartungszwecken oder zur besseren Lastverteilung zwischen mehreren CloudServern übertragen werden.77
III. Nicht für den Täter bestimmt Durch § 202a StGB wird nicht jede unbefugte Verschaffung des Zugangs zu Daten erfasst. Geschützt werden vielmehr nur Informationen, die nicht für den Täter bestimmt sind. Damit handelt es sich bei der Strafnorm um ein negatives Sonderdelikt.78 Berechtigt ist diejenige Person, die das Verfügungsrecht über die Daten besitzt, also die Rechtsmacht hat, Daten einem anderen zugänglich zu machen.79 Als Träger des Rechtsguts kommen dabei sowohl die Cloud-Nutzer als Veranlasser der Datenspeicherung als auch die Cloud-Anbieter und die eingeschalteten Subunternehmer als Betreiber der Datenverarbeitungsprozesse in Betracht. 1. Verfügungsberechtigung über die Daten Nach welchem Kriterium sich der Inhaber der Verfügungsberechtigung bestimmen lässt, ist weder dem Gesetzestext noch der Gesetzesbegründung80 zu entnehmen. Vor dem Hintergrund, dass auch eine zivilrechtliche Zuordnung nach sachenrechtlichen Kriterien nicht möglich ist, weil Daten weder Rechte noch körperliche Gegenstände und damit keine eigentumsfähigen Sachen im Sinne des § 90 BGB sind, haben sich in der Strafrechtswissenschaft unterschiedliche Begründungsansätze herausgebildet, nach denen die Verfügungsberechtigung hergeleitet und konstituiert wird.81
76 Vgl. Graf, MK, § 202a StGB, Rn. 20; Eisele, Schönke/Schröder, § 202a StGB, Rn. 6; Kusnik, MMR 2011, 720 (720 f.). 77 Vgl. Wicker, Cloud Computing, S. 106. 78 Fischer, § 202a StGB, Rn. 7. 79 Hilgendorf, LK, § 202a StGB, Rn. 26. 80 Vgl. BT-Drs. 10/5058, S. 28 f. 81 Zur Herleitung eines zivilrechtlichen Dateneigentums siehe Hoeren, MMR 2013, 486 (488 ff.); Wolf, MMR 2003, XIV (XVI); ablehnend Dorner, CR 2014, 617 (618 ff.); Heymann, CR 2016, 650 (656); Heymann, CR 2015, 807 (809 ff.); Arkenau/Wübbelmann, in: Taeger (Hrsg.), Internet, S. 96 ff.
130
Kap. 3: Allgemeiner strafrechtlicher Schutz
Als Anknüpfungspunkte für eine Datenzuordnung im Strafrecht, die dem Schutzzweck des § 202a StGB Rechnung tragen, kommen das Eigentum am Datenträger bzw. am Übermittlungsmedium, das „Betroffensein“ am Dateninhalt, die Urheberschaft betreffend des Dateninhalts, die Kenntnis vom Benutzerpasswort, das Geheimhaltungsinteresse und die Vornahme der erstmaligen Speicherung bzw. Übermittlung der Daten in Betracht.82 a) Eigentum am Datenträger Denkbar wäre es, den Eigentümer am Datenträger als Verfügungsberechtigten anzusehen. Da sich das Eigentum nach den zivilrechtlichen Regeln eindeutig feststellen lässt und damit auch der Verfügungsberechtigte in den meisten Fällen leicht zu ermitteln wäre, erscheint es praktikabel, die Verfügungsbefugnis in Abhängigkeit von der sachenrechtlichen Zuordnung des Datenträgers zu bestimmen.83 Allerdings legt der Wortlaut des § 202a Abs. 1 StGB eine solche Auslegung nicht nahe, da er nicht auf das Eigentum am Datenträger, sondern auf die Bestimmung der Daten für den Täter abstellt.84 Zudem spricht gegen diese Ansicht auch das Interesse des Datenverkehrs.85 Diese Ausgangsposition hätte nämlich beim Cloud Computing zur Folge, dass die Anbieter und die involvierten Subunternehmer Verfügungsberechtigte über die Inhaltsdaten wären, obwohl ihr Sacheigentum an den Speicher- und Übermittlungsmedien keinen inhaltlichen Bezug zu den übermittelten bzw. gespeicherten Daten der Nutzer haben. Damit wäre es für sie straflos, wenn sie sich mit einem Zugangsschutz versehene Inhaltsdaten verschaffen. Die Cloud-Nutzer würden mit der Auslagerung, Erstellung oder Bearbeitung ihrer Daten auf den fremden Datenträgern ihre Verfügungsberechtigung verlieren und wären damit strafrechtlich schutzlos.86 Das Kriterium des Eigentums am Datenträger ist daher für die Bestimmung des Verfügungsberechtigten ungeeignet.87
82 Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 28 ff.; Preuß, Die Kontrolle von E-Mails, S. 277 ff.; Hilgendorf, JuS 1996, 890 (892). 83 Graf, MK, § 202a StGB, Rn. 22; Welp, iur 1988, 443 (448). 84 Preuß, Die Kontrolle von E-Mails, S. 278; Lenckner/Winkelbauer, CR 1986, 483 (486). 85 Hilgendorf, JuS 1996, 890 (893). 86 Vgl. Hirsnik, Angriff auf das Computersystem, S. 75; Krutisch, Zugang zu Computerdaten, S. 95; Hilgendorf, JuS 1996, 890 (893). 87 So auch Graf, MK, § 202a StGB, Rn. 22; Kargl, NK, § 202a StGB, Rn. 7; Hirsnik, Angriff auf das Computersystem, S. 75; Krutisch, Zugang zu Computerdaten, S. 95; Hilgendorf, JuS 1996, 890 (893).
A. Ausspähen von Daten
131
b) Inhaltliche Betroffenheit Anknüpfungspunkt für die Datenzuordnung könnte aber das Betroffensein am Dateninhalt sein.88 Das originäre Verfügungsrecht könnte demzufolge demjenigen zustehen, über den die Daten etwas aussagen oder dessen Belange von den Daten in sonstiger Weise tangiert sind.89 Hierfür könnte man das aus dem Grundrecht des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG abgeleitete Recht auf informationelle Selbstbestimmung anführen.90 Auch in den Gesetzgebungsmaterialen finden sich Formulierungen, die für diese Ansicht sprechen.91 Gegen den persönlichkeitsbezogenen Ansatz spricht aber, dass der Schutz personenbezogener Daten durch die Straf- und Bußgeldvorschriften der Art. 83 DSGVO und § 42 BDSG abschließend geregelt ist.92 Um Strafbarkeitslücken in Bezug auf diese Tatbestände und des § 17 UWG zu schließen, dienen die Strafnormen der §§ 202a, 303a StGB dagegen dem Schutz des Herrschaftsverhältnisses über alle Datenkategorien.93 Auf einen Personenbezug des Dateninhalts kommt es daher nicht an, zumal es auch keine eindeutigen Kriterien dafür gibt, wann eine „Betroffenheit“ anzunehmen ist.94 Außerdem hat der vom Dateninhalt Betroffene nicht stets das Recht, sich die Daten zu verschaffen, die etwas über ihn aussagen.95 Nur bei Erfüllung bestimmter Voraussetzungen kann er Auskunft über den Inhalt der ihn betreffenden Daten nach Art. 15 DSGVO, § 34 BDSG verlangen.96 Damit kann auch er tauglicher Täter des § 202a Abs. 1 StGB sein, so dass er in der Regel nicht von dessen Schutz erfasst wird.97 Schließlich hilft dieses unbestimmte Kriterium auch nicht bei Daten weiter, die einer Vielzahl von Personen oder überhaupt keiner Person zugeordnet werden können.98 Zusammenfassend ist daher auch eine Zu88 Siehe hierzu etwa Heger, Lackner/Kühl, § 202a StGB, Rn. 1, der bis zur 29. Auflage die Ansicht vertrat, dass der vom Dateninhalt Betroffene jedenfalls dann von § 202a StGB mitgeschützt ist, wenn er ein Recht auf Wahrung der Vertraulichkeit gegenüber dem Berechtigten habe. 89 Hilgendorf, JuS 1996, 890 (892). 90 Zum Recht auf informationelle Selbstbestimmung siehe BVerfGE 65, 1 (Volkszählungsurteil). 91 Siehe BT-Drs. 10/5058, S. 34, wonach sich die Rechtswidrigkeit i.S.v. § 303a StGB „aus der Verletzung von Interessen des vom Inhalt der Daten Betroffenen ergeben“. 92 Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 88; Jessen, Zugangsberechtigung, S. 43; Schmitz, JA 1995, 478 (478); so auch schon Haft, NStZ 1987, 6 (10) zu § 41 BDSG a.F. 93 Schmid, Computerhacken, S. 36; BT-Drs. 10/5058, S. 28. 94 Krutisch, Zugang zu Computerdaten, S. 95; Hilgendorf, JuS 1996, 890 (892). 95 Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 88. 96 Vgl. Schmitz, JA 1995, 478 (481). 97 Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 88; vgl. auch Welp, iur 1988, 443 (448). 98 Preuß, Die Kontrolle von E-Mails, S. 279; Krutisch, Zugang zu Computerdaten, S. 95; Schmid, Computerhacken, S. 36.
132
Kap. 3: Allgemeiner strafrechtlicher Schutz
ordnung der Verfügungsberechtigung nach dem inhaltlichen Bezug der Daten abzulehnen.99 c) Geistige Urheberschaft Ein weiterer Ansatz könnte darin liegen, auf die geistige Urheberschaft an den Inhaltsdaten abzustellen.100 Urheber ist nach § 7 UrhG der Schöpfer des Werkes. Werke sind nach § 2 Abs. 2 UrhG nur persönliche geistige Schöpfungen. Der Urheberrechtsschutz ist damit eng an das Vorliegen der Voraussetzungen der Individualität oder Originalität des Urhebers (Schöpfungshöhe) geknüpft.101 Würde man die Datenzuordnung nach urheberrechtlichen Gesichtspunkten vornehmen, wäre der geistige Urheber stets Verfügungsberechtigter. § 202a StGB würde damit zu einer Strafnorm des Urheberschutzes umfunktioniert werden. Der urheberrechtliche Schutz von Informationen und Werken in Datenform wäre damit uferlos ausgeweitet, da auch solche Daten dem Urheber zugeordnet wären, deren Schutz durch das Urhebergesetz aufgrund der fehlenden Schöpfungshöhe nicht vorgesehen ist.102 Der strafrechtliche Schutz urheberrechtlich geschützter Werke ist aber bereits ausreichend in den §§ 69a ff., 106 ff. UrhG geregelt.103 Im Übrigen würde es auch bei § 202a Abs. 1 StGB zu weit gehen, jeder Datei eine gewisse Schöpfungshöhe abzuverlangen, zumal auch der Wortlaut hierfür keine Anhaltspunkte bietet.104 Folglich kann auch dieses Kriterium nicht für die Datenzuordnung herangezogen werden. d) Kenntnis vom Benutzerpasswort Man könnte als Kriterium auch auf die Kenntnis vom Benutzerpasswort und damit auf die Möglichkeit abstellen, die Inhaltsdaten einzusehen.105 Aufgrund des Zugangs der Cloud-Anbieter zu den auf ihren Servern gespeicherten Credentials der CloudNutzer hätte dieser Ansatz allerdings zur Folge, dass die Cloud-Anbieter ebenfalls Verfügungsberechtigte der Inhaltsdaten sind. Die Cloud-Nutzer wären damit vor 99
So auch Graf, MK, § 202a StGB, Rn. 22; Hilgendorf, LK, § 202a StGB, Rn. 24; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 543; Marberth-Kubicki, Computerund Internetstrafrecht, Rn. 88; Preuß, Die Kontrolle von E-Mails, S. 279; Krutisch, Zugang zu Computerdaten, S. 95; Schmid, Computerhacken, S. 36; Jessen, Zugangsberechtigung, S. 43; Ernst, NJW 2003, 3233 (3236); Schmitz, JA 1995, 478 (481). 100 Wolff, LK, § 303a StGB, Rn. 10 ff. 101 Wiebe, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 2 UrhG, Rn. 2; ausführlich zu den Merkmalen des § 2 Abs. 2 UrhG Bullinger, Wandtke/Bullinger, § 2 UrhG, Rn. 15 ff. 102 Krutisch, Zugang zu Computerdaten, S. 96. 103 Schmid, Computerhacken, S. 37; Hilgendorf, JuS 1996, 890 (893). 104 Preuß, Die Kontrolle von E-Mails, S. 280; Krutisch, Zugang zu Computerdaten, S. 96; Schmid, Computerhacken, S. 36. 105 So Kargl, NK, § 202a StGB, Rn. 7 für die Verfügungsberechtigung des Arbeitgebers betreffend der auf seinen Servern gespeicherten Daten seiner Arbeitnehmer.
A. Ausspähen von Daten
133
Verletzungen der Datenvertraulichkeit durch die Mitarbeiter der Cloud-Anbieter völlig schutzlos gestellt. Abgesehen davon begründet das Wissen um das Benutzerpasswort noch keine Zugriffsberechtigung auf die geschützten Daten.106 Die Frage, ob der Kennwortschutz beim Cloud Computing auch vor einer unberechtigten Kenntnisnahme und Verschaffung der Inhaltsdaten durch Mitarbeiter des CloudAnbieters hinreichend ist, hat daher erst im Rahmen des Merkmals „Überwindung einer besonderen Zugangssicherung“ Bedeutung.107 e) Geheimhaltungsinteresse Schließlich könnte man für das Verfügungsrecht auf das Geheimhaltungsinteresse an den durch die Daten verkörperten Informationen abstellen108 mit der Folge, dass den Cloud-Nutzern die Verfügungsberechtigung über ihre Inhaltsdaten zukommt. Gegen eine Heranziehung dieses Kriteriums spricht jedoch, dass § 202a StGB allein die Verfügungsbefugnis an Daten und nicht an den darin enthaltenen Informationen schützt. Insofern sollen Daten nach dem Willen des Gesetzgebers – wie eingangs bereits erwähnt – unabhängig von ihrem Geheimnischarakter von § 202a StGB tatbestandlich erfasst werden.109 Auch der Wortlaut weist nicht auf eine Einbeziehung von Geheimhaltungsinteressen hin.110 Die Frage, ob ein solches kundgetan wurde, wird vielmehr nur über das Tatbestandsmerkmal der „besonderen Zugangssicherung“ berücksichtigt.111 Vor diesem Hintergrund ist auch diese Ansicht zur Bestimmung der Datenverfügungsbefugnis abzulehnen. f) Skripturakt Ein praktisch leicht handhabbares Abgrenzungskriterium, das auch beim Cloud Computing zu sachgerechten Ergebnissen führt, stellt die Bestimmung des originären Verfügungsberechtigten nach dem Akt der Erstabspeicherung (Skripturakt) dar.112 Hierfür kommt es – ähnlich wie bei der Frage, wer Aussteller einer Urkunde ist – nicht auf den körperlichen Vollzug an, sondern darauf, in wessen Auftrag bzw. auf
106
Ernst, NJW 2003, 3233 (3236); Heger, in: Lackner/Kühl, § 202a StGB, Rn. 3; ebenso Preuß, Die Kontrolle von E-Mails, S. 280. 107 Hierzu S. 153 ff. 108 Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 52 f. 109 BT-Drs. 5058, S. 28 f. 110 Eisele, Schönke/Schröder, § 202a StGB, Rn. 1a; Preuß, Die Kontrolle von E-Mails, S. 279. 111 Dazu S. 146 ff. 112 Hilgendorf, LK, § 202a StGB, Rn. 26; Fischer, § 202a StGB, Rn. 7a; Hoyer, SK-StGB, § 202a, Rn. 13; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 4; Bär, in: Wabnitz/ Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 77; Hilgendorf, JuS 1996, 890 (893); Schmitz, JA 1995, 478 (478); Welp, iur 1988, 443 (447).
134
Kap. 3: Allgemeiner strafrechtlicher Schutz
wessen Veranlassung die Daten abgespeichert werden.113 Berechtigte der ausgelagerten Daten sind daher aufgrund ihrer erstmaligen Eingabe in das Cloud-System – ungeachtet des Bestehens einer faktischen Datenherrschaft der Cloud-Anbieter und der eingeschalteten Subunternehmer – allein die Cloud-Nutzer.114 Dies gilt selbst dann, wenn die Inhaltsdaten, etwa zur Sicherung oder zur schnelleren Verfügbarkeit kopiert werden. An den Datenkopien setzt sich die Verfügungsberechtigung der Cloud-Nutzer im Sinne des § 202a StGB fort.115 Dies entspricht auch der Interessenslage der Cloud-Beteiligten. Der Cloud-Anwender möchte sein Verfügungsrecht über die Inhaltsdaten auch bei der Auslagerung und Verarbeitung seiner Daten behalten. Korrespondierend dazu wollen auch die Cloud-Anbieter und Subunternehmer die Datenverarbeitungsprozesse im Interesse ihrer Kunden erbringen und keine über die Verarbeitung der Daten hinausgehenden Rechte an den Inhaltsdaten erlangen. So heißt es etwa in diesem Zusammenhang in den AGB von Dropbox: „Wenn Sie unsere Dienste verwenden, stellen Sie uns Ihre Dateien, Inhalte, E-MailNachrichten, Kontakte usw. bereit („Ihre Dateien“). Ihre Dateien gehören Ihnen. Diese AGB gewähren uns keinerlei Rechte an Ihren Dateien, abgesehen von den begrenzten Rechten, die uns in die Lage versetzen, Ihnen die Dienste anzubieten.“116
Zugerechnet werden den cloudnutzenden Unternehmen darüber hinaus auch die geschäftlich veranlasste Erstellung und Speicherungen von dienstlichen Daten durch ihre Mitarbeiter, da diese aufgrund ihres Weisungsrechts im Arbeitsverhältnis vorgenommen werden.117 Insofern sind die cloudnutzenden Unternehmen entsprechend dem Rechtsgedanken der § 69b UrhG und §§ 267 ff. StGB geistige Urheber der dienstlichen Daten, weshalb sie auch im Verhältnis zu ihren Angestellten als Verfügungsberechtigte anzusehen sind.118 Verfügungsbefugt sind ihre Angestellten aber dann, wenn sie private Daten in der Cloud speichern.119 An diesem Ergebnis ändert auch der Umstand nichts, dass ihnen die private Nutzung der Cloud eigentlich gänzlich verboten wurde. Dass sich der Arbeitnehmer weisungswidrig verhält, hat
113
Hilgendorf, in: LK, § 202a StGB, Rn. 15; Graf, MK, § 202a StGB, Rn. 21; Hoyer, SKStGB, § 202a, Rn. 13; BayObLG, JR 1994, 476 (477) mit zust. Anm. Hilgendorf, 478 (479); Schuster, ZIS 2010, 68 (69). 114 So auch Krischker, Internetstrafrecht, S. 195; Wicker, Cloud Computing, S. 107; vgl. auch Hilgendorf, LK, § 202a StGB, Rn. 20. 115 Zutreffend Krischker, Internetstrafrecht, S. 195; zur Rechtslage bei Insiderattacken auf die Datenintegrität siehe unten S. 320 ff. 116 Allgemeine Geschäftsbedingungen für Dropbox vom 10. 02. 2017; abrufbar unter https://www.dropbox.com/de/privacy#terms (zuletzt aufgerufen am 01. 02. 2018). 117 Vgl. nur Eisele, Schönke/Schröder, § 202a StGB, Rn. 9; ders., Computerstrafrecht, § 6 Rn. 13; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 4; Kusnik, Datenspionage, S. 68. 118 Vgl. Schuster, ZIS 2010, 68 (69); vgl. auch zum „geistigen“ Aussteller Puppe/Schumann, NK, § 267 StGB, Rn. 63 ff. 119 Vgl. Graf, MK, § 202a StGB, Rn. 26.
A. Ausspähen von Daten
135
nämlich keine Auswirkungen auf die Urheberschaft, die der Verfügungsbefugnis zugrunde liegt.120 2. Bestimmung des Verfügungsberechtigten Tatbestandlich vorausgesetzt wird des Weiteren, dass die ausgespähten Nutzerdaten nicht für den Innentäter bestimmt sind. Problematisch könnten in diesem Zusammenhang die bei den Cloud-Dienstleistungen bestehenden, tatsächlichen Angriffswege der Innentäter sein, auf die Inhaltsdaten zuzugreifen. Ob allerdings schon allein eine faktische Zugriffsmöglichkeit auf die Nutzerdaten für eine Datenbestimmung ausreichend ist, soll im Folgenden näher geklärt werden. a) Allgemeine Grundsätze Im Allgemeinen sind Daten nicht für den Täter bestimmt, wenn sie nach dem Willen des Verfügungsberechtigten zum Tatzeitpunkt nicht in seinen Herrschaftsbereich gelangen sollen.121 Vergleichbar mit dem Gewahrsamsbruch beim Diebstahl betont das Gesetz mit diesem Tatbestandsmerkmal das Erfordernis eines Handelns gegen den Willen des Berechtigten.122 Bei der Erteilung einer Zugangsberechtigung handelt es sich somit um ein tatbestandsausschließendes Einverständnis.123 Demnach kann der Verfügungsberechtigte sowohl den Kreis der Personen, für welche die Daten bestimmt sind, als auch den Zeitraum der Zugangsberechtigung und ggf. gewisse Bedingungen dazu nach seinem Belieben festlegen.124 Sofern aber dem Täter die Daten mit dem Willen des Verfügungsberechtigten tatsächlich zugänglich gemacht wurden, ist es strafrechtlich belanglos, ob ihm die Daten nur für bestimmte Zwecke überlassen sind.125 Nicht tatbestandsmäßig ist es daher nach allgemeiner Meinung, wenn der Täter einen berechtigten Zugang zu Daten erhält und auf diese Weise erlangte Daten zweck- oder vertragswidrig verwendet.126 Kein wirksamer 120 Preuß, Die Kontrolle von E-Mails, S. 287; Schuster, ZIS 2010, 68 (70); Weißgerber, NZA 2003, 1005 (1008). 121 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 542; Kargl, NK, § 202a StGB, Rn. 7; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 3; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 91. 122 Hilgendorf, LK, § 202a StGB, Rn. 20; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 77. 123 Hilgendorf, LK, § 202a StGB, Rn. 20. 124 Graf, MK, § 202a StGB, Rn. 23; Hirsnik, Angriff auf das Computersystem, S. 76. 125 Eisele, Schönke/Schröder, § 202a StGB, Rn. 11; Graf, MK, § 202a StGB, Rn. 24; Valerius, Graf/Jäger/Wittig/Allgayer, § 202a StGB, Rn. 13; Mahn, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht, Kap. 10, Rn. 44. 126 OLG Celle, StV 2017, 120; Hilgendorf, LK, § 202a StGB, Rn. 22; Eisele, Schönke/ Schröder, § 202a StGB, Rn. 11; Kargl, NK, § 202a StGB, Rn. 8; Fischer, § 202a StGB, Rn. 7; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 4; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 3; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 542; Gercke, in:
136
Kap. 3: Allgemeiner strafrechtlicher Schutz
Schutz durch § 202a StGB besteht daher, wenn sich der Auftragnehmer einer ausgelagerten Datenverarbeitung vertragswidrig Datenkopien anfertigt oder die überlassenen Daten des Auftraggebers entgegen des Geschäftsbesorgungs- oder Dienstvertrags unbefugt zur Kenntnis nimmt oder an einen Dritten weitergibt.127 Nicht von § 202a StGB erfasst werden nach einhelliger Ansicht auch Fälle, in denen Mitarbeitern eines Unternehmens Datenbestände zur Benutzung, Verwaltung oder Bearbeitung anvertraut wurden und sie ihren befugten Zugriff auf das Computersystem dazu ausnutzen, um in unberechtigter Weise Daten abzurufen und/oder entgegen den Interessen ihres Arbeitgebers zu verwenden, weil das ihnen zugänglich gemachte Datenmaterial ihres Geschäftsherrn auch bei einer missbräuchlichen Nutzung für sie weiterhin bestimmt bleibt.128 Insoweit stellt eine Beschränkung des Zugriffsrechts in dem Sinne, dass „die Daten nur im Falle einer ordnungsgemäßen Aufgabenerfüllung für den Täter bestimmt sind“129, nur eine Zweckbindung dar, deren Verletzung zwar eine zivilrechtliche Schadensersatzpflicht begründet, sich aber aus strafrechtlicher Sicht nicht auf das Vorliegen eines tatbestandsausschließenden Einverständnisses in Form der Bestimmung der Daten auswirkt.130 Im Ergebnis wird damit durch die Strafbestimmung des § 202a StGB kein wirksamer Schutz gegen eine Computer- und Betriebsspionage erreicht, soweit diese entweder betriebsintern durch die eigenen Mitarbeiter des Unternehmens oder durch Auftragnehmer eines IT-Outsourcings erfolgt, denen der Verfügungsberechtigte ein Zugriffsrecht auf seine Datensätze eingeräumt hat.131 Vor diesem Hintergrund sind die Nutzerdaten jedenfalls nicht für andere CloudNutzer bestimmt. Dies gilt ebenfalls für die Mitarbeiter der Hard- und Softwareanbieter sowie des Cloud Service Developers, da ihre Zugriffsrechte lediglich auf die technische Verwaltung des Cloud-Systems beschränkt sind, ohne dass ihnen hierbei die Inhaltsdaten zur Verfügung stehen sollen. Anders zu beurteilen ist dies allerdings bei den Administratoren der Cloud-Anbieter und den Serviceadministratoren der Nutzer. Denn ihnen räumen die verfügungsberechtigten Cloud-Nutzer zur BereitGercke/Brunst, Internetstrafrecht, Rn. 93; Mahn, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht, Kap. 10, Rn. 44; Hirsnik, Angriff auf das Computersystem, S. 76. 127 Dauster/Braun, NJW 2000, 313 (315); Vahle, RDV 1990, 128 (132). 128 BayObLG, NJW 1999, 1727 (1727 f.); Hilgendorf, LK, § 202a StGB, Rn. 23; Altenhain, Matt/Renzikowski, § 202a StGB, Rn. 5; Fischer, § 202a StGB, Rn. 7; Gercke, in: Spindler/ Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 7; Eisele, Schönke/ Schröder, § 202a StGB, Rn. 11; Graf, MK, § 202a StGB, Rn. 21; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 3; Mahn, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht, Kap. 10, Rn. 44; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 96. 129 Pätzel, NJW 1999, 3246 (3247). 130 Vgl. Hilgendorf, LK, § 202a StGB, Rn. 22; Fischer, § 202a StGB, Rn. 7, 11; Hilgendorf/ Valerius, Computer- und Internetstrafrecht, Rn. 542; Sendzik, Datendiebstahl, S. 148; Lenckner/Winkelbauer, CR 1986, 483 (486). 131 Graf, MK, § 202a StGB, Rn. 24; Hirsnik, Angriff auf das Computersystem, S. 76; Mahn, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht, Kap. 10, Rn. 44; Dauster/Braun, NJW 2000, 313 (315).
A. Ausspähen von Daten
137
stellung der Cloud-Dienste und zur Verwaltung ihrer Nutzerdaten ein allgemeines Zugriffsrecht auf ihre Datensätze ein. Besonders veranschaulicht wird die Zugriffsberechtigung der Administratoren der Cloud-Anbieter in den Nutzungsbedingungen des Cloud-Dienstes Amazon Drive, in der es hierzu heißt: „Wir können auf Ihre Dateien zugreifen, sie nutzen und aufbewahren, um Ihnen den Service anbieten zu können und die Bedingungen der Vereinbarung durchzusetzen und Sie geben uns sämtliche Genehmigungen, die wir hierfür benötigen. Zu diesen Genehmigungen gehören zum Beispiel die Rechte, Ihre Dateien zu Sicherungszwecken zu kopieren, Ihre Dateien zu modifizieren, um den Zugriff in verschiedenen Formaten zu ermöglichen, Informationen über Ihre Dateien zu nutzen, um diese für Sie zu organisieren und auf Ihre Dateien zuzugreifen, um technischen Support bieten zu können.“132 (Hervorhebungen hinzugefügt)
Demzufolge scheiden vor allem die Supervisoren und die Systemadministratoren der herkömmlichen Cloud-Anbieter aufgrund ihrer anvertrauten Zugriffsberechtigung auf die Nutzerdaten als taugliche Täter der Strafvorschrift aus. In der vertragswidrigen Anfertigung von Datenkopien oder ihrer unbefugten Kenntnisnahme vom Inhalt der ausgelagerten Daten ist lediglich eine tatbestandslos wirkende zweckwidrige Verwendung zu sehen.133 Ihre Datenempfangsberechtigung liegt insofern auch dann vor, wenn die Anbieter ihr Cloud-Angebot von vornherein in der Absicht erbringen, die ausgelagerten Informationen ihrer Nutzer auszulesen. Ebenso wie beim Social Engineering134 bzw. Phishing135, bei denen die Opfer durch eine 132 https://www.amazon.de/gp/help/customer/display.html?&nodeId=201376540; siehe auch die AGB von Dropbox; abrufbar unter https://www.dropbox.com/de/privacy#terms (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 133 Vgl. Altenhain, Matt/Renzikowski, § 202a StGB, Rn. 6; Krischker, Das Internetstrafrecht vor neuen Herausforderungen, S. 196; Dauster/Braun, NJW 2000, S. 313 (315); BayObLG, NJW 1999, S. 1727 (1727 f.). 134 Bei einem Social Engineering oder Social Hacking versucht ein Außentäter durch Vorspiegelung falscher Identitäten, Funktionen oder Tatsachen den Geheimnisträger zur Herausgabe von sensitiven Informationen zu veranlassen. Eine oft vorkommende Angriffsmethode ist, sich gegenüber dem Benutzer am Telefon als Systemadministrator oder Wartungstechniker auszugeben, um mit der Behauptung, der dringenden Durchführung notwendiger administrativer Arbeiten bzw. der Behebung eines Programmfehlers, den Benutzer zur Preisgabe seiner Zugangsdaten zu veranlassen; Eckert, IT-Sicherheit, S. 26; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 39 ff.; Schmid, Computerhacken, S. 158 f. 135 Das Phishing stellt eine Sonderform des Social Engineering dar. Bei dieser Angriffsmethode, die sich aus den Begriffen Password und Fishing zusammensetzt, versucht ein externer Angreifer über listige Aktionen vertrauliche Identifikationsdaten zu erschleichen. Juristisch ungenau wird es auch oft mit Passwortdiebstahl übersetzt. Typisches Beispiel ist das Versenden von gefälschten E-Mails an eine große Opferzahl, die in ihrem Design, Inhalt und ihrem Header nach von dem Cloud-Anbieter zu stammen scheinen. In der E-Mail werden die Opfer sodann aufgefordert, entweder in einer Antwortmail ihre Zugangsdaten preiszugeben oder einem in der Mail enthaltenen Link zu folgen, der auf eine vom Außentäter erstellte Internetseite führt, die wiederum der Webseite des Cloud-Anbieters zum Verwechseln ähnlich sieht. Dort werden dann die Opfer in einer scheinbar sicheren Umgebung dazu aufgefordert, ihre Account-Informationen (Name, postalische Anschrift, Kennwörter) einzugeben. Nach der Eingabe der Daten werden diese aber nicht, wie die Opfer irrtümlich annehmen, an die Server des Cloud-Anbieters, sondern an den externen Täter weitergeleitet; Kappes, Netzwerk- und
138
Kap. 3: Allgemeiner strafrechtlicher Schutz
Täuschung eines externen Angreifers zur Herausgabe sensibler Daten, insbesondere ihrer Zugangspasswörter zu Online-Diensten veranlasst werden,136 irren sich zwar die Nutzer im Hinblick auf die Motivation des böswilligen Anbieters, nicht aber im Hinblick auf ihren Rechtsgutsverzicht.137 Ihre Willensmängel lassen die Wirksamkeit ihres Einverständnisses daher unberührt, so dass die Supervisoren und die Systemadministratoren der Anbieter auch bei einem böswillig bereitgestellten Cloud-Angebot bis zur Beendigung der Cloud-Nutzung von den Cloud-Anwendern (konkludent) dazu ermächtigt sind, auf die ihnen zugänglich gemachten Inhaltsdaten zuzugreifen.138 Indem die Cloud-Nutzer nach dem Servicevertrag mit dem Cloud-Anbieter die Entscheidungsbefugnis über den Zugang zu ihren Inhaltsdaten auf den Anbieter delegieren,139 hängt das Zugriffsrecht der Cloud-Administratoren im Einzelfall aber maßgeblich von der technischen und organisatorischen Ausgestaltung des CloudBetriebs durch den Anbieter ab. So wird man das Tatbestandsmerkmal seitens der Netzwerk- und Sicherheitsadministratoren jedenfalls dann bejahen müssen, wenn sie bei der technischen Verwaltung des Cloud-Netzwerks und der Sicherheit des CloudSystems keinen unmittelbaren Zugang zu den Inhaltsdaten haben.140 Dies ist z.B. der Fall, wenn zur Überwachung und Analyse des Netzwerkverkehrs Netzwerksniffer und Paketfilter eingesetzt werden, deren Filterregeln regelmäßig so kalibriert wurden, dass sie nur die Eigenschaften der übertragenen Datenpakete (Header- bzw. Metadaten), wie z.B. Absender, Empfänger, Betreff, Datum und Route einer Nachricht, analysieren, ohne dabei auch die Syntax bzw. den Inhalt der übermittelten Datensätze aufzuzeichnen. Wird hingegen die Deep Packet Inspection Technologie zur Netzwerkanalyse verwendet, die auch den Inhalt der versandten Datenpakete untersucht, um etwa die Einschleusung von Malware in das Cloud-System zu ver-
Datensicherheit, S. 271; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 480; Malek/Popp, Strafsachen, Rn. 231; Weidemann, in: BeckOK StGB, Lexikon des Strafrechts, Computerkriminalität, Rn. 9 m.w.N.; ausführlich hierzu auch Bergauer, Computerstrafrecht, S. 404 f.; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 71 ff. m.w.N. 136 Wirksame Sicherheitsmaßnahmen gegen das Phishing als Folge einer rechtssicheren Verifikation der elektronischen Identitäten in „betreibersicheren“ Cloud-Systemen wurden im Rahmen des vom BMBF geförderten Themenfeldes „Sichere Forschung für das Cloud Computing“ durch das Forschungsprojekt Verifi-eID entwickelt, ausführlich hierzu Robles/Pohlmann/Engling/Jäger/Ernst, in: ISSE 2015, S. 98 ff.; siehe auch https://www.forschung-it-sicher heit-kommunikationssysteme.de/projekte/verifieid (zuletzt aufgerufen am 01. 02. 2018). 137 Vgl. Goeckenjan, wistra 2009, 47 (50); Popp, NJW 2004, 3517 (3518); Hilgendorf/ Valerius, Computer- und Internetstrafrecht, Rn. 543; Eisele, Schönke/Schröder, § 202a StGB, Rn. 13. 138 Vgl. Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 93. 139 Zur Übertragbarkeit des Bestimmungsrechts siehe Hilgendorf, LK, § 202a StGB, Rn. 27; Graf, MK, § 202a StGB, Rn. 23. 140 Vgl. Graf, MK, § 202a StGB, Rn. 24; Lenckner/Winkelbauer, CR 1986, 483 (486).
A. Ausspähen von Daten
139
hindern,141 und haben die Netzwerk- und Sicherheitsadministratoren Zugriff auf das Netzwerktool, sind die Nutzerdaten auch für sie bestimmt. Eine andere rechtliche Bewertung ist aber dann denkbar, wenn man darauf abstellt, dass Daten nur dann für den Täter bestimmt sind, wenn ihm auch eine Kenntnisnahme der codierten Informationen durch den Berechtigten erlaubt wurde.142 Ausgehend vom Schutzzweck des § 202a StGB könnte man sich auf den Standpunkt stellen, dass das Verfügungsrecht über einen Datenbestand auch das Recht zu dessen Kenntnisnahme beinhaltet.143 Insofern könnte der Berechtigte bestimmen, wer, in welcher Weise und wie lange ein anderer die Möglichkeit zur Kenntnisnahme seiner Daten haben soll.144 Unter dieser Prämisse ist die bloße Überlassung von Daten zur Nutzung ohne ein Recht zur Kenntnisnahme für die Datenbestimmung nicht ausreichend.145 Diese Argumentation hat zur Folge, dass die Inhaltsdaten, unabhängig von der technischen und organisatorischen Ausgestaltung der bereitgestellten Cloud-Dienste, „für alle Administratoren der Cloud-Anbieter nicht bestimmt sind, weil die Cloud-Nutzer gerade nicht möchten, dass diese ihre in der Cloud gespeicherten Daten zur Kenntnis nehmen“.146 Gegen diese Ansicht ist allerdings schon einzuwenden, dass sich die meisten Cloud-Anbieter in dem Servicevertrag mit den Cloud-Nutzern vorbehalten, die hochgeladenen Inhalte ihrer Kunden zu kontrollieren. So heißt es z.B. in den AGB von Dropbox: „Ihre Handlungen und Dateien müssen unseren Nutzungsbedingungen entsprechen. … Wir behalten uns das Recht vor, Ihr Handeln und Ihren Inhalt auf Einhaltung dieser AGB und unserer Nutzungsrichtlinien zu überprüfen. …“147 (Hervorhebungen hinzugefügt)
In den Nutzungsbedingungen wird sodann den Dropbox-Kunden z.B. untersagt, rechtwidrige oder unsittliche Inhalte in der Cloud zu speichern.148 Vor diesem Hintergrund gestatten die Cloud-Nutzer den Cloud-Anbietern auch ein Zugriff auf den Inhalt ihrer Nutzerdaten, weshalb diese auch nach der Gegenansicht für die Administratoren der Cloud-Anbieter bestimmt sind.149 Insofern hat ein entgegen-
141
Bedner, CR 2010, 339 (341). Auf die Kenntnisnahme abstellend Dietrich, Ausspähen von Daten, S. 87; Krutisch, Zugang zu Computerdaten, S. 97; Schmid, Computerhacken, S. 67; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 54; Jessen, Zugangsberechtigung, S. 60. 143 Dietrich, Ausspähen von Daten, S. 88. 144 Schmid, Computerhacken, S. 66. 145 Dietrich, Ausspähen von Daten, S. 89; Schmid, Computerhacken, S. 66. 146 Wicker, Cloud Computing, S. 107 f.; im Ergebnis auch Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 288. 147 https://www.dropbox.com/de/privacy#terms (zuletzt aufgerufen am 01. 02. 2018). 148 https://www.dropbox.com/terms#acceptable_use (zuletzt aufgerufen am 01. 02. 2018). 149 Vgl. zu derselben Rechtslage eines E-Mail-Providers Vetter, Gesetzeslücken, S. 151. 142
140
Kap. 3: Allgemeiner strafrechtlicher Schutz
stehender Geheimhaltungswille der Cloud-Nutzer bei vielen Cloud-Angeboten keine praktische Relevanz.150 Aber auch ungeachtet von solchen vertraglichen Regelungen kommt es für die Datenbestimmung i.S.d. § 202a Abs. 1 StGB nicht auf ein Recht zur Kenntnisnahme der Nutzerdaten an. Der Straftatbestand schützt nämlich allein die (ursprüngliche) formelle Verfügungsbefugnis des Datenberechtigten und nicht dessen Interesse an der Geheimhaltung des Dateninhalts.151 Der Schutz bestimmter Geheimhaltungsinteressen wird vielmehr abschließend in den Strafnormen der §§ 94 ff., 353b, 355, 203 StGB und § 17 UWG geregelt. Dementsprechend kommt es für die Tatbestandsmäßigkeit nach dem Wortlaut der Vorschrift nur auf das Fehlen eines Zugriffsrechts auf die Daten und nicht auf die Erfüllung eines bestimmten Nutzungszwecks oder einer Berechtigung zur Kenntnisnahme der Daten an.152 Mit der Inanspruchnahme der Cloud-Dienste gestatten aber die Anwender, wie eingangs bereits gezeigt wurde, den Administratoren der Cloud-Anbieter zum Zwecke der Verwaltung der Cloud-Dienste den Zugriff auf ihre Datensätze. Anders würde die Cloud-Nutzung und die zugrunde liegende Datenverarbeitung im Auftrag der Nutzer vor allem in Public Clouds auch keinen Sinn machen. Schon zur elastischen und skalierbaren Bereitstellung der Cloud-Dienste müssen die Administratoren der Cloud-Anbieter, etwa zur Erstellung von Backups oder zur Gewährleistung einer hohen Datenverfügbarkeit, Zugang zu den Datensätzen der Nutzer haben. Insoweit disponieren die Cloud-Kunden bereits mit der Auslagerung ihrer Daten in die Cloud über das nach § 202a Abs. 1 StGB geschützte Rechtsgut. Vertragliche Regelungen über die Verwendungsbefugnis der Anbieter oder der Wille der Cloud-Anwender, dass keine Person ihre Inhaltsdaten zur Kenntnis nehmen darf, sind strafrechtlich nicht maßgebend. Es ändert nichts daran, dass die Nutzer als Verfügungsberechtigte den Administratoren der Cloud-Anbieter einen Zugriff auf ihre Daten gestatten und damit die Inhaltsdaten für sie bestimmen.153 Eine andere Bewertung hätte zur Folge, dass jede vertrags- oder zweckwidrige Nutzung von Daten, die dem Täter zur Verwaltung oder Verarbeitung zugänglich gemacht wurden, entgegen dem Wortlaut und der Schutzrichtung der Norm strafbar wären.154 Bei der Bestimmung des Verfügungsberechtigten ist damit allein entscheidend, ob dem Täter ein Zugriffsrecht auf die Daten eingeräumt wurde. 150
Vgl. auch die Nutzungsbedingungen von Google (abrufbar unter https://www.google. com/intl/de/policies/terms/) und von Apple iCloud (abrufbar unter https://www.apple.com/legal/ internet-services/icloud/de/terms.html); alle Webseiten zuletzt aufgerufen am 01. 02. 2018. 151 Dazu schon oben S. 122 f.; vgl. auch Eisele, Schönke/Schröder, § 202a StGB, Rn. 1a; Jung, NK1, § 202a StGB, Rn. 2; Dauster/Braun, NJW 2000, 313 (315). 152 Kargl, NK, § 202a StGB, Rn. 8; Hoyer, SK-StGB, § 202a, Rn. 15; Bosch, Satzger/ Schluckebier/Widmaier, § 202a StGB, Rn. 4; vgl. auch Mahn, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht, Kap. 10, Rn. 44. 153 Vgl. Mahn, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht, Kap. 10, Rn. 44; Kühn, StV 1999, 214 (215); Pätzel, NJW 1999, 3246 (3247). 154 Zutreffend Dauster/Braun, NJW 2000, 313 (315); dies verkennend Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 288.
A. Ausspähen von Daten
141
Diese Sichtweise deckt sich zudem mit Art. 2 der Cybercrime-Konvention155 („illegal access“) und dem Willen des Gesetzgebers, Hacking, d.h. bereits den unberechtigten Zugang zu sensiblen Daten im Sinne eines „elektronischen Hausfriedensbruchs“156, unter Strafe zu stellen.157 Als Zugangsdelikt greift damit § 202a StGB schon im Vorfeld der unbefugten Kenntnisnahme von Daten ein.158 Demnach schützt der Straftatbestand entsprechend seiner systematischen Stellung im 15. Abschnitt des StGB, welcher Vorschriften zum Schutz vor Verletzung des persönlichen Lebens- und Geheimbereichs beinhaltet, in Anlehnung an den Tatbestand des Hausfriedensbruchs gem. § 123 StGB allein die formale Bestimmung über die Berechtigung zum Zugang zu einem Datenbereich.159 Auf eine Kenntnisnahme der in diesem Bereich abgelegten Daten kommt es dagegen nach ganz herrschender Auffassung nicht an.160 Zweckbestimmungen oder Benutzungsbedingungen sind damit für die Empfangsberechtigung eines Innentäters nur dann bedeutsam, wenn durch entsprechende Schutzmaßnahmen sichergestellt ist, dass ihm der Datenzugang verwehrt ist und er damit in eine Rechtsposition gerät, die dem Tatbild des § 202a Abs. 1 StGB entspricht, weil er in eine fremde Herrschaftssphäre eindringt.161 Nicht der Fall ist dies allerdings im Besonderen für die Supervisoren und die Systemadministratoren der Cloud-Anbieter, da mit der Überlassung der Inhaltsdaten zur weiteren Speicherung und Verarbeitung im Cloud-System auch ihr Zugänglichmachen für diese Innentäter verbunden ist.162 Diesen Umstand erkennt auch die Gegenansicht in der Fallkonstellation an, in welcher der Täter mit dem Aufspüren von Sicherheitslücken im EDV-System eines Unternehmens beauftragt wurde. In diesem Fall stellt auch Wicker für die Bestimmung der Daten allein auf die Einräumung eines Datenzugangs 155
ETS-Nr. 185. Hinsichtlich der Umsetzung der europäischen Vorgaben bleibt allerdings der Straftatbestand des § 202a StGB insofern zurück, als Art. 2 der Cybercrime Konvention auf den unbefugten Zugang zu einem Computersystem und nicht auf den unberechtigten Zugang zu Daten abstellt. 156 Siehe nur Kargl, NK, § 202a StGB, Rn. 1; Eisele, Schönke/Schröder, § 202a StGB, Rn. 18; Ernst, NJW 2007, 2661 (2661). 157 BT-Drs. 16/3656, S. 9; Eisele, Schönke/Schröder, § 202a StGB, Rn. 18. 158 Graf, MK, § 202a StGB, Rn. 62; Gröseling/Höfinger, MMR 2007, 549 (551). 159 Vgl. hierzu Dietrich, Ausspähen von Daten, S. 50 ff.; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 7; Tiedemann, Wirtschaftsstrafrecht BT, Rn. 516; siehe auch Jung, NK1, § 202a StGB, Rn. 2. 160 Siehe nur Graf, MK, § 202a StGB, Rn. 62; Eisele, Schönke/Schröder, § 202a StGB, Rn. 18; Hilgendorf, in: LK, § 202a StGB, Rn. 15; Bosch in: Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 6; Fischer, § 202a StGB, Rn. 11; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 5; Hoyer, SK-StGB, § 202a StGB, Rn. 11; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 6; Hilgendorf, JuS 1996, 702 (705). 161 Hilgendorf, LK, § 202a StGB, Rn. 22 f.; Altenhain, Matt/Renzikowski, § 202a StGB, Rn. 6; Lenckner/Winkelbauer, CR 1986, 483 (486); vgl. auch Vahle, RDV 1990, 128 (132). 162 Vgl. Heger, in: Lackner/Kühl, § 202a StGB, Rn. 3; vgl. hierzu auch die Rechtslage zu Raubkopien von Software-Programmen Eisele, Schönke/Schröder, § 202a StGB, Rn. 12; Fischer, § 202a StGB, Rn. 7; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 555.
142
Kap. 3: Allgemeiner strafrechtlicher Schutz
ab.163 Konsequenterweise scheidet dann aber eine Strafbarkeit nach § 202a Abs. 1 StGB aus, wenn der Täter den ihm anvertrauten Penetrationstest dazu missbraucht, Unternehmensdaten auszulesen oder sonst zweckwidrig zu verwenden. Auf einen entgegenstehenden Geheimhaltungswillen kann es daher nach der Gegenauffassung nicht mehr ankommen. Abgesehen davon ergibt sich die Bestimmung der Nutzerdaten für die Administratoren der Cloud-Anbieter auch aus ihrer digitalen Darstellung im Cloud-System. Ihr Informationsgehalt wird nämlich in Binärcodes zerlegt, die sodann in der Cloud gespeichert und verarbeitet werden. So wird z.B. der geschriebene Buchstabe „a“ technisch in die binäre Information „01100001“ umgeformt.164 Sofern ein Zugriff auf diese Informationsdarstellung (Syntax) besteht, ist damit auch unter Einsatz der entsprechenden technischen Hilfsmittel (Rechner, Programme etc.) ein Rückschluss auf den Bedeutungsgehalt der Nutzerdaten möglich. Demzufolge hat ein Innentäter, der Zugriff auf die Binärcodes hat, auch Zugang zum Inhalt der Nutzerdaten. Daraus kann mit Graf der allgemeine Schluss gezogen werden, dass Daten auch zur Kenntnisnahme bestimmt sind, wenn der Verfügungsberechtigte dem Täter den Zugang zu seinen Daten eingeräumt hat.165 Vor diesem Hintergrund ist von einer fehlenden Datenbestimmung nur auszugehen, wenn der Innentäter kein Zugriffsrecht auf die Syntax der Nutzerdaten haben soll. Diese Auslegung deckt sich auch mit der Umschreibung des Tatobjekts aus § 202a Abs. 2 StGB. Aus dem Umstand, dass nach dem Wortlaut nicht von einer Kenntnisnahme, sondern nur von der Wahrnehmung der Daten gesprochen wird, wird deutlich, dass im Rahmen des § 202a StGB nicht der Informationsinhalt, sondern die Darstellung der Daten maßgebend ist.166 Indem aber den Administratoren der Cloud – auch mangels einer technisch nicht immer machbaren (betreibersicheren) Datenverschlüsselung167 – die Nutzerdaten im Klartext, d.h. ihre binären Codes, zur Verfügung stehen, sind die Inhaltsdaten auch zu ihrer Kenntnisnahme bestimmt. Die technische Umformung der Binärcodes und damit die unbefugte Wahrnehmung des Bedeutungsgehalts der Nutzerdaten, um sie für vertragsfremde Zwecke zu gebrauchen, stellt nur eine zweckwidrige Verwendung dar. Wie noch zu zeigen sein wird,168 entspricht diese Auslegung außerdem dem Willen des Gesetzgebers, den § 202a Abs. 1 StGB als taugliche Anknüpfungstat der Datenhehlerei gem. § 202d StGB auszuscheiden, „wenn Daten in einem berechtigt genutzten System unter Verletzung von vertraglichen Zugriffsbeschränkungen erlangt worden sind“.169 Wenn also schon die Weitergabe der durch einen Privilegienmissbrauch erlangten fremden Inhaltsdaten straflos ist, muss dasselbe auch für die 163 164 165 166 167 168 169
Wicker, Cloud Computing, S. 118 f. Jessen, Zugangsberechtigung, S. 49. Graf, MK, § 202a StGB, Rn. 24; vgl. auch Jung, NK1, § 202a StGB, Rn. 2. Jessen, Zugangsberechtigung, S. 51. Dazu S. 101 f. Siehe dazu S. 214 f. BT-Drs. 18/5088, S. 46; BT-Drs. 17/14362, S. 13; BR-Drs. 249/15, 51.
A. Ausspähen von Daten
143
Datenverschaffung durch einen zugriffsbefugten Innentäter gelten. Auf ein entgegenstehendes Geheimhaltungsinteresse des Nutzers kommt es daher bei der Datenbestimmung nicht an. Zusammenfassend werden damit von dem Tatbestand nur solche Innentäter erfasst, denen die Inhaltsdaten nach dem Willen des Cloud-Nutzers nicht zur Verfügung stehen sollen, wohingegen sie für Innentäter, die eine Zugriffsberechtigung auf die Nutzerdaten haben, bestimmt sind. Im Besonderen sind die Administratoren der Cloud-Anbieter bei den derzeit fremdbetriebenen, herkömmlichen Cloud-Lösungen Empfangsberechtigte der Inhaltsdaten. Ihr treuwidriges Verhalten, ihre anvertraute Zugriffsberechtigung für die Verletzung der Vertraulichkeit der Inhaltsdaten zu missbrauchen, ändert an diesem Ergebnis nichts.170 Eine fehlende Datenbestimmung kann im Einzelfall aber für die Netzwerk- und Sicherheitsadministratoren der Anbieter zu bejahen sein, sofern ihnen die Nutzerdaten bei der technischen Verwaltung des Netzwerks und der Sicherheit des Cloud-Systems nicht zugänglich sind. b) Spezialfälle Nicht bestimmt sind dagegen die Nutzerdaten auch für die Administratoren der Cloud-Anbieter und damit für alle potentiellen Cloud-Innentäter, wenn es sich bei dem Cloud-System um eine Sealed Cloud oder Split Cloud handelt. Denn bei diesen Betriebsmodellen kann der Wille des Cloud-Nutzers, seine Daten niemandem zugänglich machen zu wollen, wie nachfolgend gezeigt wird, betreibersicher umgesetzt werden. (1) Sealed Cloud Bei dieser Cloud-Lösung wird durch eine Reihe von technischen Maßnahmen verhindert, dass die Administratoren der Cloud-Anbieter Zugang zu den Inhaltsdaten haben, so dass eine unbefugte Verschaffung und Kenntnisnahme der ihnen zur Verwaltung anvertrauten Nutzerdaten nicht mehr nur als eine bloße zweckwidrige Verwendung anzusehen und folglich das Tatbestandsmerkmal der fehlenden Datenbestimmung zu bejahen ist.171 Insofern verbleibt die Herrschaftsmacht über die Inhaltsdaten während ihrer Übertragung, Verarbeitung und Speicherung in dem Konzept der Sealed Cloud172
170
Vgl. Hilgendorf, LK, § 202a StGB, Rn. 23; Lenckner/Winkelbauer, CR 1986, 483 (486). Zutreffend Krischker, Internetstrafrecht, S. 196. Zur Architektur der Sealed Cloud siehe Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 18 ff.; Rieken/Jäger/Monitzer/ Ernst, in: BSI 2015, S. 214. 172 Die Basistechnologie wurde im Rahmen der Initiative „Trusted Cloud“ des Bundesministeriums für Wirtschaft und Energie (BMWi)) gefördert; BMWi, Trusted Cloud, S. 14. 171
144
Kap. 3: Allgemeiner strafrechtlicher Schutz
allein bei den Nutzern.173 Bei dem Datentransport in die Sealed Cloud werden die Inhaltsdaten durch eine klassische SSL-Verschlüsselung und dem Einsatz von starken Ciphern, d.h. solchen mit langen Schlüsseln und ohne bekannte Implementierungsschwächen, geschützt.174 Zur Verhinderung von Man-in-the-MiddleAngriffen werden zudem eine Browser-Erweiterung sowie für Smart Phones und Tablets sichere Apps bereitgestellt, die den Nutzer bei falschen Zertifikaten alarmieren.175 Um Mitarbeitern der Cloud-Anbieter während einer Datenverarbeitung keine technische Möglichkeit zu geben, die Nutzerdaten einzusehen, kommt ergänzend zur Verschlüsselung das technische Konzept der Versiegelung zum Einsatz.176 Hierzu befinden sich die Anwendungsserver des Dienstes, auf denen die Datenverarbeitungsprozesse durchgeführt werden, in der sog. Data-Clean-UpArea.177 Neben softwarebasierten Komponenten der Perimetersicherheit sieht die Sealed Cloud hierfür auch physische Überwachungsmittel, wie Kameras, elektromechanische Serverschlösser und Sensoren an den Servermodulen vor.178 Ein direkter Administratoren-Zugang (remote access) auf die Server, die zudem nur einen flüchtigen Speicher beinhalten, ist ausgeschlossen.179 Im Falle eines nichtautorisierten Zugriffs auf die unverschlüsselten Daten in den Anwendungsservern löst die Perimetersicherheit ein Alarmsignal aus und führt einen data-clean-up durch.180 Hierzu werden die Sitzungen der Nutzer, die sich auf den betroffenen Servern befinden, automatisch auf nicht betroffene Verarbeitungseinheiten umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht.181 Zur Absicherung des Löschvorgangs wird zusätzlich die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen.182 Das Prinzip der Versiegelung umfasst darüber hinaus auch eine besondere Schlüsselverteilung, wodurch sichergestellt wird, dass der Betreiber über keinen Schlüssel zur Entschlüsselung der Nutzerprofile sowie der gespeicherten
173 Neben den Inhaltsdaten werden technische Maßnahmen auch zum Schutz der Metadaten, d.h. den Daten, die aufzeigen, wer mit wem, wann und wie lange kommuniziert hat, implementiert, Jäger/Ernst, in: D-A-CH Security 2014, S. 196 ff. 174 Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 20 f. 175 Rieken/Jäger/Monitzer/Ernst, in: BSI 2015, S. 215. 176 Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 19. 177 Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 26. 178 Kroschwald, in: LaaS, S. 302. 179 Rieken/Jäger/Monitzer/Ernst, in: BSI 2015, S. 215. 180 Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 26. 181 Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 26 f. 182 Rieken/Jäger/Monitzer/Ernst, in: BSI 2015, S. 215. Dieselbe Prozedur wird auch vor einer Wartung der Anwendungsserver eingesetzt. Darüber hinaus wird nach dem durchgeführten Wartungsvorgang der startende Software Stack verifiziert, indem beim Hochfahren der Server im Betriebssystem und in den Anwendungen nach eventuellen Abweichungen von der freigegebenen, zertifizierten Software gesucht wird. Werden dabei Manipulationen festgestellt, wird der Server automatisch abgeschaltet; Uniscon GmbH, White Paper: Datenraum, S. 2 f.
A. Ausspähen von Daten
145
Dateien verfügt.183 Zu diesem Zweck wird ein nutzerindividueller Schlüssel (Hashwert) aus den Login-Informationen (Nutzer-ID, Kennwort, Kopfdaten der abgelegten Dateien) generiert, mit dem die Nutzerdaten gefunden, entschlüsselt und in den Hauptspeicher geladen werden.184 Am Ende jeder Sitzung wird der ermittelte Hashwert automatisch gelöscht, um einen Zugriff der Mitarbeiter der Sealed Cloud auf das Nutzerprofil und damit mittelbar auf die ausgelagerten Inhaltsdaten zu verhindern.185 Damit auch aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird ebenfalls in der Data-Clean-Up-Area ein volatiler Meta-Mapping-Server betrieben, auf dem die Anwendungsdaten der Nutzer betreibersicher gespeichert werden.186 (2) Split Cloud Ebensowenig erlangen die Administratoren der Cloud-Anbieter bei der im Rahmen der BMBF-Fördermaßnahme „Sicheres Cloud Computing“ entwickelten SplitCloud (Secure Partitioning of application Logic In a Trustworthy Cloud) eine Verfügungsberechtigung über die Inhaltsdaten der Cloud-Nutzer.187 Die technische Besonderheit dieser Bereitstellungsform liegt darin, dass SaaS-Dienste so abgesichert werden, dass weder andere Nutzer noch die Administratoren der Cloud-Anbieter und der Softwarehersteller auf die ausgelagerten Daten der Nutzer zugreifen können.188 Hierzu wird durch eine dedizierte Anwendungsvirtualisierung und eine Aufteilung der Datenhaltung in verschiedene virtuelle Kompartimente (Trusted Virtual Domains)189 eine strikte Rollentrennung implementiert. Gleichzeitig werden abgesicherte Mechanismen und Schnittstellen (nutzerspezifische Datenverschlüsselungen, Security Kernel,190 Trusted Platform Module191) bereitgestellt, die es dem 183 Rieken/Jäger/Monitzer/Ernst, in: BSI 2015, S. 215; ausführlich zum Key Management Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud, S. 20 ff. 184 Kroschwald, in: LaaS, S. 302. 185 Kroschwald, in: LaaS, S. 303. 186 Rieken/Jäger/Monitzer/Ernst, in: BSI 2015, S. 216. 187 http://www.forschung-it-sicherheit-kommunikationssysteme.de/projekte/splitcloud (Webseite zuletzt aufgerufen am 01. 02. 2018). 188 Ausführlich zur SplitCloud-Architektur siehe Alkassar/Gröne/Schirmer, in: ISSE 2015, S. 90 ff. 189 Weitergehend hierzu Catuono/Löhr/Manulis/Sadeghi/Stüble/Winandy, DuD 2010, 289 (289 ff.). 190 Der Security Kernel stellt für die Virtualisierungsschicht und die Sicherheitsdienste ein gehärtetes System bereit und kontrolliert die Systemschnittstellen (Trusted Maintenance) mit der Folge, dass die Administratoren keinen privilegierten Zugriff mehr auf das Cloud-System und die VM haben; Alkassar/Gröne/Schirmer, in: ISSE 2015, S. 92; ausführlich auch Gröne/ Winandy, in: ISSE 2012, S. 255 ff. 191 Die Trusted Technologien überwachen die Integrität der Hardware, des Security Kernels und der Cloud-Applikationen, um Manipulationen, Fehler und Insiderangriffe zu entdecken und zu verhindern; Alkassar/Gröne/Schirmer, in: ISSE 2015, S. 92.
146
Kap. 3: Allgemeiner strafrechtlicher Schutz
Dienstanbieter und dem Software-Hersteller erlauben, ohne manipulierende Zugriffsmöglichkeiten auf das Cloud-System und die Inhaltsdaten die nötigen Pflegeund Wartungsarbeiten an der Infrastruktur und an der Software durchzuführen.192
IV. Gegen unberechtigten Zugang besonders gesichert Der strafrechtliche Schutz der Datenvertraulichkeit erstreckt sich nur auf solche Inhaltsdaten, die gegen unberechtigten Zugang besonders gesichert sind. Der Begriff des Datenzugangs ist dabei weit auszulegen.193 Er umfasst sowohl alle technischen und physischen Einwirkungsmöglichkeiten auf die Daten bzw. Datenspeicher sowie auf die Datenübertragungsgeräte und -leitungen als auch den physischen Zugang zu Datenverarbeitungssystemen und diesbezüglichen Sicherheitsbereichen.194 Allerdings lassen sich dem Gesetzeswortlaut selbst keine Anhaltspunkte entnehmen, wie die Sicherung im Einzelnen ausgestaltet sein muss. Vielmehr hat der Gesetzgeber in Anbetracht der möglichen Angriffswege und der technischen Weiterentwicklung der Schutzvorkehrungen den Begriff der besonderen Sicherung in § 202a StGB technikneutral formuliert und auf die Benennung von besonderen Sicherungssystemen verzichtet.195 Zur Auslegung dieses Tatbestandsmerkmals wird in der Gesetzesbegründung allerdings auf den Begriff der besonderen Sicherung in § 202 Abs. 2 StGB und § 243 Abs. 1 Nr. 2 StGB verwiesen.196 Dieser Hinweis ist jedoch zur weiteren Klärung wenig ergiebig. Die Vorschriften beziehen sich ausschließlich auf den Schutz von körperlichen Gegenständen durch mechanisch wirkende Schutzvorrichtungen, wohingegen es bei der Sicherung in § 202a Abs. 1 StGB um den Schutz von unkörperlichen Daten geht.197 Zwar können sich diese auf einem unkörperlichen Datenträger befinden, der in einer von § 202 Abs. 2 StGB oder § 243 Abs. 1 S. 2 Nr. 2 StGB vorausgesetzten Weise gesichert sein kann. Besonders beim Cloud Computing werden die Inhaltsdaten aber auch ohne Einwirkung auf den körperlichen Datenträger, etwa mittels eines Man-in-the-Middle-Angriffs während ihres Übermittlungsstadiums, erlangt.198 Damit müssen aber im Rahmen des § 202a StGB vorwiegend computerspezifische Schutzvorrichtungen gegen Angriffsformen auf die Datenvertraulichkeit im Vordergrund stehen, die bei den Tatbeständen der
192
Alkassar/Gröne/Schirmer, in: ISSE 2015, S. 90 ff. Ausführlich hierzu Jessen, Zugangsberechtigung, S. 125 ff. 194 Graf, MK, § 202a StGB, Rn. 37; Fischer, § 202a StGB, Rn. 8; Leicht, iur 1987, 45 (46). 195 Vgl. Hirsnik, Angriff auf das Computersystem, S. 81; Lenckner/Winkelbauer, CR 1986, 483 (487). 196 BT-Drs. 10/5058, S. 29. 197 Schmid, Computerhacken, S. 71 f.; Lenckner/Winkelbauer, CR 1986, 483 (486 f.). 198 Siehe hierzu die Ausführungen unter S. 112 f. 193
A. Ausspähen von Daten
147
§ 202 Abs. 2 StGB und § 243 Abs. 1 Nr. 1 StGB keine oder nur eine untergeordnete Rolle spielen.199 Nach der herrschenden Meinung in der Literatur liegt eine besondere Zugangssicherung vor, wenn Vorkehrungen vorhanden sind, die objektiv geeignet und subjektiv nach dem Willen des Berechtigten dazu bestimmt sind, den Zugriff auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.200 Die Zugangssicherung kann unmittelbar am Datum oder Speichermedium angebracht sein oder mittelbar über das Betriebssystem erfolgen.201 Weiterhin kann sie sowohl mechanisch als auch hardware- oder softwarebasiert sein.202 Angesichts des Umstands, dass die Sicherung - ähnlich wie in § 202 Abs. 2 StGB und § 243 Abs. 1 Satz 2 Nr. 2 StGB – nach der Dokumentationstheorie203 das Geheimhaltungsinteresse des Verfügungsberechtigten dokumentiert,204 ist es aber nicht ausreichend, wenn sie zwar objektiv zugangshindernd wirkt, dabei jedoch nach dem Willen des Berechtigten ausschließlich anderen Zwecken dient bzw. der Zweck der Datensicherung nur von ganz untergeordneter Bedeutung ist oder lediglich einen bloßen Nebeneffekt darstellt.205 Keine Zugangssicherungen sind demzufolge repressive Maßnahmen, die einzig der Beweissicherung oder Kontrolle dienen, wie etwa das Vier-Augen-Prinzip, der Einsatz von Intrusion Detection Systemen oder die Anfertigung von Protokollen oder Logfiles zur Überwachung der Zugriffe auf die Inhaltsdaten.206 Auch rein vertragliche Zugriffsverbote oder arbeitsrechtliche bzw. datenschutzrechtliche Anweisungen, die ausgelagerten Daten der Nutzer nicht zur Kenntnis zu nehmen, können nicht als Zugangssicherungen betrachtet werden, weil sie einem Datenzugriff mangels weiterer physischer Sicherungen faktisch nicht entgegenstehen.207 Die aus der zweckwidrigen Datenverwendung resultierenden zivil- oder datenschutzrechtlichen
199
Krutisch, Zugang zu Computerdaten, S. 105; Leicht, iur 1987, 45 (46 f.). BGH NJW 2015, 3463 (3464); Eisele, Schönke/Schröder, § 202a StGB, Rn. 14; BTDrs. 16/3656, S. 10. 201 Preuß, Die Kontrolle von E-Mails, S. 288; Leicht, iur 1987, 45 (49 f.). 202 Fischer, § 202a StGB, Rn. 9; ausführlich zu der großen Bandbreite an möglichen Ansätzen zur Sicherung des Datenzugangs Hilgendorf, LK, § 202a StGB, Rn. 34 f.; Graf, MK, § 202a StGB, Rn. 40 ff. 203 Begriff von Dietrich, NStZ 2011, 247 (247). 204 Vgl. nur Hilgendorf, LK, § 202a StGB, Rn. 29. 205 BT-Drs. 16/3656, S. 10. 206 Fischer, § 202a StGB, Rn. 8a; Hilgendorf, LK, § 202a StGB, Rn. 30; Koch, Angriff und Verteidigung in Computernetzen, S. 49; Sendzik, Datendiebstahl, S. 81. 207 Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 5; Eisele, Schönke/Schröder, § 202a StGB, Rn. 15; Hirsnik, Angriff auf das Computersystem, S. 81; vgl. auch Hilgendorf/ Valerius, Computer- und Internetstrafrecht, Rn. 546; BT-Drs. 16/3656 S. 10; a.A. Wicker, welche jeden vertragswidrigen Datenzugriff als Überwindung einer Schutzvorrichtung ansieht, siehe hierzu Wicker, Cloud Computing, S. 116 f. 200
148
Kap. 3: Allgemeiner strafrechtlicher Schutz
Folgen (insbesondere eine arbeitsrechtliche Kündigung des Innentäters208, eine Verpflichtung zur Leistung von Schadensersatz209 oder die Verhängung eines Bußgeldes210) ändern an dieser Bewertung nichts, da sie nur Nebeneffekte der vertraglichen und gesetzlichen Verbote sind. Besondere Sicherungen im Sinne des § 202a StGB stellen dagegen die regelmäßig durch die Cloud-Anbieter getroffenen systemimmanenten präventiven Sicherheitsvorkehrungen, wie die Isolierung der VM und die Trennung der Zugriffsbereiche der Nutzer auf die Cloud-Ressourcen (Mandantentrennung), die Einrichtung von verschiedenen Administratorenkonten mit unterschiedlichen Schreib- und Leserechten, der Einsatz von Firewalls, Intrusion Prevention Systeme und Antivirensoftware sowie die Verwendung von individuellen Zugangsdaten, dar.211 Diese Schutzvorkehrungen schließen im Allgemeinen einen unmittelbaren Datenzugang aus und bezwecken, dass Inhaltsdaten nicht ohne weiteres durch unberechtigte Personen ausgelesen werden können. Uneinigkeit besteht aber darin, ob auch eine Datenverschlüsselung eine besondere Sicherungsmaßnahme i.S.d. § 202a Abs. 1 StGB darstellt. Von einem Teil der Lehre wird vorgebracht, dass die Verschlüsselung lediglich die Erfassung des Bedeutungsinhalts von Daten, nicht aber den Zugriff auf die verschlüsselten Daten selbst verhindert; Angriffsobjekte sind damit (sinnlose) kryptierte Daten, die nicht von § 202a Abs. 1 StGB, sondern nur von der Strafnorm des § 202b StGB geschützt werden.212 Zutreffend geht aber die herrschende Lehre davon aus, dass eine Datenverschlüsselung eine ausreichende Zugangssicherung ist.213 Zwar ist ein Zugriff auf die Surrogatdaten, d.h. den verschlüsselten Daten, die an die Stelle der Ursprungsdaten treten, ohne Hindernis möglich, so dass sie nicht gegen einen unberechtigten Zugang besonders gesichert sind, anders zu beurteilen ist dies aber für die Originaldaten.214 Durch den Verschlüsselungsvorgang werden die Ursprungsdaten 208 Zur außerordentlichen Kündigung eines Administrators wegen Missbrauchs seiner Zugriffsrechte siehe etwa LAG Köln, MMR 2010, 858. 209 Ausführlich zu zivilrechtlichen Abwehr- und Schadensersatzansprüchen gegen Angreifer Koch, Angriff und Verteidigung in Computernetzen, S. 152 ff. 210 Siehe hierzu S. 279 ff. 211 Vgl. AG Düren, K&R 2011, 216 (216); Wicker, Cloud Computing, S. 109; Graf, MK, § 202a StGB, Rn. 44 f. 212 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 81; Schmid, Computerhacken, S. 103 f., der für eine Aufnahme von verschlüsselten Daten in den Tatbestand plädiert; Schumann, NStZ 2007, 675 (676); Dornseif/Schumann/Klein, DuD 2002, 226 (229 f.). 213 Siehe nur Eisele, Schönke/Schröder, § 202a StGB, Rn. 16; Kargl, NK, § 202a StGB, Rn. 10; Graf, MK, § 202a StGB, Rn. 50; Fischer, § 202a StGB, Rn. 8a; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 548, Jessen, Zugangsberechtigung, S. 121; Krutisch, Zugang zu Computerdaten, S. 119; Hirsnik, Angriff auf das Computersystem, S. 86; Ernst, NJW 2003, 3233 (3236); Schmitz, JA 1995, 478 (482); Leicht, iur 1987, 45 (51 f.); Lenckner/ Winkelbauer, CR 1986, 483 (487); vgl. auch BT-Drs. 16/3656, S. 11. 214 Krutisch, Zugang zu Computerdaten, S. 118; Sendzik, Datendiebstahl, S. 91; Hoyer, SKStGB, § 202a, Rn. 5.
A. Ausspähen von Daten
149
(auch Klartext-Daten genannt) mittels mathematischer Transformation in Daten mit gar keinem oder einem anderen Informationsgehalt, den sog. Schlüsseltext, umgewandelt.215 Hierdurch wird bewirkt, dass ein Zugang zur ursprünglichen Syntax nur noch für denjenigen besteht, der über den entsprechenden Verschlüsselungscode verfügt, der zur Rückübersetzung in die ursprüngliche Darstellung erforderlich ist.216 Demzufolge muss ein Innentäter erst den dekodierenden Schlüssel besitzen, bevor er Zugang zur ursprünglichen Syntax und dem Bedeutungsinhalt der Originaldaten erhält. In Anbetracht dessen kann der Schlüssel als eine den Originaldaten unmittelbar anhaftende Zugangssicherung angesehen werden.217 Diese Auslegung entspricht auch dem Gesetzeswortlaut. Danach kommt es gerade nicht darauf an, ob die Sicherung vor einem Abgreifen von Daten schützt; entscheidend ist vielmehr, dass sie einem unberechtigten Datenzugang entgegensteht, was aber im Hinblick auf die Syntax und Semantik der Ursprungsdaten durch die Verschlüsselung erreicht wird. Außerdem ist zu bedenken, dass § 202a StGB auch Daten während der Übertragungsphase schützt, in welcher eine Datenverschlüsselung nach dem gegenwärtigen Stand der Technik die einzige Schutzmöglichkeit darstellt.218 Demzufolge käme es zu einer vom Gesetzgeber nicht intendierten Einengung des Anwendungsbereichs von § 202a StGB, wenn man der Verschlüsselung den Charakter einer Zugangssicherung absprechen würde.219 Hinzu kommt, dass sie auch mit sonstigen Sicherungen vergleichbar ist, da sie das Geheimhaltungsinteresse des Cloud-Nutzers ebenfalls zum Ausdruck bringt und ihre Überwindung ein vergleichbares Maß an krimineller Energie erfordert.220 Entsprechend dem Willen des Gesetzgebers und der ratio legis der Vorschrift lässt sich daher festhalten, dass auch verschlüsselte Daten unter den strafrechtlichen Schutz des § 202a StGB fallen. Mit der Anerkennung bestimmter Sicherungsmittel als besondere Zugangssicherungen stellt sich dann aber weiter die Frage, welche Qualität die Sicherungsmaßnahme aufweisen muss und ob etwa auch leicht zu erratende Passwörter oder einfach zu brechende Schlüssel als besondere Zugangssicherungen zu bewerten sind.221 Nach der Gesetzesbegründung ist eine Schutzvorkehrung nur dann eine Schutzmaßnahme im Sinne des § 202a StGB, wenn sie jeden Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte.222 Vom 215
Preuß, Die Kontrolle von E-Mails, S. 295; Sendzik, Datendiebstahl, S. 91. Krutisch, Zugang zu Computerdaten, S. 118 f.; Sendzik, Datendiebstahl, S. 912. 217 Eisele, Schönke/Schröder, § 202a StGB, Rn. 16; Hirsnik, Angriff auf das Computersystem, S. 86; Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 246. 218 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 548. 219 Preuß, Die Kontrolle von E-Mails, S. 296 f.; Graf, MK, § 202a StGB, Rn. 50; Hilgendorf, LK, § 202a StGB, Rn. 35; Eisele, Schönke/Schröder, § 202a StGB, Rn. 16; Ernst, CR 2003, 898 (899). 220 Preuß, Die Kontrolle von E-Mails, S. 297; Hilgendorf, JuS 1996, 702 (702). 221 Ausführlich zu dieser Streitfrage Schmid, Computerhacken, S. 76 ff. 222 BT-Drs. 16/3656, S. 10. 216
150
Kap. 3: Allgemeiner strafrechtlicher Schutz
Schutzbereich ausgenommen sollen im Besonderen solche Fälle sein, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht und eine sehr leicht ausschaltbare Sicherung wählt, deren Durchbrechung dem Angreifer ohne Weiteres möglich ist.223 Erfasst werden sollen damit nur solche Fälle, bei denen die Überwindung der Zugangssicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert.224 Genaue Kriterien bezüglich dieses Aufwandes nennt der Gesetzgeber allerdings nicht. Aufgrund der technischen Entwicklung erscheint dies auch kaum möglich, weshalb es sinnvoll ist, lediglich einen Rahmen für den erforderlichen Sicherungsgrad festzulegen. Da sich jede Zugangssicherung mit hinreichender Geduld und dem nötigen technischen Verständnis überwinden lässt und damit praktisch nicht vollkommen sein kann,225 sollten die Anforderungen an die Sicherungsqualität der Zugangssperre besonders auch zum Schutz technischer Laien freilich nicht zu hoch angesetzt werden. Dies umso mehr, weil auch den technisch nicht versierten Angreifern mit den auf den Underground Economy für jedermann zugänglichen Crime as a Service-Dienstleistungen die Möglichkeit eröffnet ist, auch sehr gut durchdachte Sicherungsmaßnahmen beim Cloud Computing auszuschalten. Aus diesem Grund lassen einige Autoren bereits einfache Vorkehrungen genügen, die dazu dienen, den Zugriff Unbefugter zu verhindern.226 Ausgehend von dem viktimdogmatischen Element des Tatbestandsmerkmals könne das Geheimhaltungsinteresse des Opfers schon mit der Implementierung von leicht überwindbaren Sicherungen zum Ausdruck gebracht werden und für den Täter eine eindeutige Grenze zum kriminellen Verhalten ziehen.227 Deshalb komme es zum Beispiel auch bei Passwörtern nicht darauf an, ob es sich um „gute“ oder „schlechte“ Kennwörter handele, so dass auch Passwörter mit „Allerweltsnamen“, einfache Buchstaben- und Zahlenfolgen sowie leicht zu erratende Bezeichnungen als besondere Zugangssicherung ausreichen.228 Neben dem subjektiven Nachweis des Geheimhaltungsinteresses ergibt sich aber durch die Bezeichnung der Schutzvorkehrung als „besondere“ Sicherung, dass die Schutzmaßnahme gewisse Qualitätsanforderungen erfüllen muss, um als Zugangssicherung im Sinne des § 202a StGB gelten zu können. In Bezug hierauf fordert Schmid zutreffend, dass eine tatbestandsmäßige Zugangssicherung ein qualitatives Plus gegenüber den allgemein in Betracht kommenden Sicherheitsvorkehrungen aufweisen muss.229 Demzufolge sind einerseits Vorkehrungen, die jeder interessierte
223
BT-Drs. 16/3656, S. 10; Kargl, NK, § 202a StGB, Rn. 14a. BT-Drs. 16/3656, S. 10. 225 Hilgendorf, JuS 1996, 702 (702). 226 Ernst, NJW 2003, 3233 (3236). 227 Vgl. Lenckner/Winkelbauer, CR 1986, 483 (487 f.). 228 Eisele, Schönke/Schröder, § 202a StGB, Rn. 14; Krutisch, Zugang zu Computerdaten, S. 115; Ernst, NJW 2003, 3233 (3236). 229 Schmid, Computerhacken, S. 75. 224
A. Ausspähen von Daten
151
Laie leicht zu überwinden vermag, nicht ausreichend.230 Andererseits ist aber angesichts des Umstands, dass kein IT-System einen lückenlosen Schutz gewährleisten kann und die Zugangssicherungen „selten ihrer Zeit voraus“231 sind, auch nicht erforderlich, dass die Sicherung nur für Täter mit eingehenden Kenntnissen und Erfahrungen ein unübersteigbares Hindernis bietet.232 Dies umso mehr, weil § 202a StGB nicht als ein „auf professionelle Angreifer beschränktes Sonderdelikt“233 ausgestaltet ist. Dementsprechend ist für die Einordnung einer Schutzvorkehrung als besondere Sicherung im Sinne des § 202a StGB zu verlangen, dass die Zugangssicherung für den Innentäter ein nicht unerhebliches Hindernis darstellt, indem sie von ihm nicht ohne weiteres und mühelos, sondern nur nach einem gewissen zeitlichen Aufwand oder unter Einsatz von technischen Kenntnissen oder entsprechenden Angriffswerkzeugen überwunden werden kann.234 Damit stellt sich aber beim Cloud Computing die weitere Problematik, ob bei den implementierten Sicherheitsvorkehrungen überhaupt von besonderen Sicherungen gegen „unberechtigten“ Zugang gesprochen werden kann, wenn auch Personen, die keine Zugriffsbefugnis auf die Inhaltsdaten haben, auf diese zugreifen können.235 Zu denken ist hier vor allem an die Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter sowie den Mitarbeitern des Manufactors, des Cloud Service Developers und des Softwareanbieters, die ihre anvertraute Zugriffsbefugnis auf die technische Verwaltung des Cloud-Systems dazu nutzen können, sich unbefugten Zugang zu den Inhaltsdaten zu verschaffen. In diesem Zusammenhang sind aber auch Reinigungskräfte, Aufsichts- und Sicherungspersonal der Anbieter zu nennen, welche die zugangsgeschützten Serverräume betreten und die Inhaltsdaten auf der Ressourcenschicht angreifen können.236 Zum Teil wird angenommen, dass das Tatbestandsmerkmal „unberechtigt“ im Zusammenhang mit dem Merkmal „nicht für den Täter bestimmt“ zu sehen ist.237 Daraus sei zu schließen, dass der Zugang nur für denjenigen berechtigt ist, für den die Daten auch bestimmt sind.238 Demnach müsse eine Zugangssicherung gegenüber allen Personen bestehen, denen die Daten nicht zugänglich sein sollen, damit die
230 Fischer, § 202a StGB, Rn. 9; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 550; Dornseif/Schumann/Klein, DuD 2002, 226 (229). 231 Schultz, DuD 2006, 778 (780). 232 Graf, MK, § 202a StGB, Rn. 36; Hilgendorf, LK, § 202a StGB, Rn. 32; Vassilaki, CR 2008, 131 (131). 233 Schumann, NStZ 2007, 675 (676). 234 Vgl. Hilgendorf, LK, § 202a StGB, Rn. 36; Schmid, Computerhacken, S. 81. 235 Vgl. Graf, MK, § 202a StGB, Rn. 24, 38. 236 Siehe hierzu die Ausführungen oben S. 97 f. 237 Lenckner/Winkelbauer, CR 1986, 483 (486). 238 Lenckner/Winkelbauer, CR 1986, 483 (486).
152
Kap. 3: Allgemeiner strafrechtlicher Schutz
Vorkehrung auch als Sicherung gegen unberechtigten Zugang eingestuft werden könne.239 Diese Auslegung führt aber bei den derzeit vorherrschenden Cloud-Lösungen zu dem fatalen Ergebnis, dass den Cloud-Nutzern jeglicher strafrechtlicher Schutz über § 202a StGB versagt wird, sobald ein tauglicher Innentäter eine faktische Zugriffsmöglichkeit auf die Nutzerdaten hat. Demzufolge wäre der Tatbestand nur dann einschlägig, wenn die Cloud-Anbieter umfassende und lückenlose Sicherungsmaßnahmen zum Schutz der Nutzerdaten vor einem unberechtigten Datenzugriff umgesetzt haben. Abgesehen davon, dass ein derart hoher Sicherheitsgrad vom Gesetzgeber nicht beabsichtigt ist, widerspricht die Gegenansicht auch der ratio legis des § 202a StGB. Sinn und Zweck der Strafvorschrift ist es nämlich, jeden unberechtigten Zugang zu Daten, der unter Überwindung einer besonderen Zugangssicherung erfolgt, zu ahnden. Sofern gegenüber dem einen tauglichen Innentäter eine Sicherung besteht, kann sich dieser nicht darauf berufen, dass die Zugangssicherung für einen anderen nicht zugriffsberechtigten Innentäter entweder überhaupt nicht oder nur abgeschwächt wirkt.240 Dies geht auch aus dem Wortlaut der Strafvorschrift hervor, wonach gerade nicht verlangt wird, dass die Zugangssicherung gegenüber jedem Täter wirksam sein muss.241 Die Tatbestandsmäßigkeit einer Zugangssicherung allein wegen einer bloßen faktischen Möglichkeit einzelner Nichtberechtigter, auf geschützte Daten zugreifen zu können, gegenüber allen potentiellen Angreifern entfallen zu lassen, widerspricht damit dem Wortlaut des § 202a StGB.242 Vorzugswürdig ist daher die Gegenansicht, wonach der Kreis der Personen, die durch die Sicherung vom Zugang ausgeschlossen sind, nicht mit demjenigen identisch sein muss, für den die Daten bestimmt sind.243 Entscheidend ist daher allein, dass überhaupt eine Zugangssicherung besteht und im konkreten Fall die Merkmale der fehlenden Bestimmung und der besonderen Sicherung gegen unberechtigten Zugang kumulativ vorliegen.244 Besonders gesichert sind die Inhaltsdaten damit i.S.d. § 202a Abs. 1 StGB dann, wenn die Schutzvorkehrung auch nur dem „individuellen“ Zugriff eines nicht zugangsberechtigten Innentäters entgegentreten soll.245 Als Ergebnis kann damit festgehalten werden, dass zwar an die Güte der Zugangssicherung keine zu hohen Anforderungen in dem Sinn zu stellen sind, dass nur „ideale“ Vorkehrungen als besondere Schutzmaßnahmen in Betracht kommen, 239 Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 68 f.; Lenckner/Winkelbauer, CR 1986, 483 (486). 240 Schmid, Computerhacken, S. 91 f. 241 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 554; Preuß, Die Kontrolle von E-Mails, S. 289. 242 Vgl. Jessen, Zugangsberechtigung, S. 139 ff. 243 Fischer, § 202a StGB, Rn. 8; Graf, MK, § 202a StGB, Rn. 38; Eisele, Schönke/ Schröder, § 202a StGB, Rn. 17; Kargl, NK, § 202a StGB, Rn. 11; Hilgendorf, LK, § 202a StGB, Rn. 32. 244 Hilgendorf, JuS 1996, 702 (704). 245 Hoyer, SK-StGB, § 202a, Rn. 7; Kusnik, Datenspionage, S. 71.
A. Ausspähen von Daten
153
dennoch sollte man dem gesetzgeberischen Willen, wonach dieses Tatbestandsmerkmal den Anwendungsbereich der Strafnorm einschränken soll, dadurch Rechnung tragen, dass Passwörter und Verschlüsselungsverfahren nicht völlig trivial sein dürfen.246 Demnach stellen nur nicht allzu simple Passwörter (einfache Zahlenkombination wie „12345“ oder der Standard-Code des Herstellers genügen insoweit nicht) und standardisierte oder besondere Verschlüsselungsverfahren besondere Sicherungen dar, die gegen unberechtigten Zugang schützen.247 Ihre Schutzfunktion wird nicht dadurch aufgehoben, dass sie mittels entsprechender Hilfsprogramme „geknackt“ oder entschlüsselt werden können, da die Strafbarkeit nach § 202a Abs. 1 StGB gerade eine (mögliche) Überwindung der Sicherung voraussetzt.248 Nicht erforderlich ist zudem, dass die Schutzmaßnahme gegenüber allen nicht zugriffsberechtigten Innentätern lückenlos wirksam ist. Letztendlich sind bei den einzelnen Sicherungsmaßnahmen die Umstände des Einzelfalls entscheidend, um zu bestimmen, ob sie auch als „besondere“ Sicherung i.S.d. § 202a Abs. 1 StGB einzustufen sind. Verwirklicht ist das Tatbestandsmerkmal jedenfalls dann, wenn der Cloud-Nutzer seine Daten in einer Split- oder Sealed Cloud ablegt. Bei diesen Cloud-Lösungen können Mitarbeiter der Cloud-Anbieter überhaupt keinen Zugriff auf die gespeicherten Inhalte ihrer Nutzer nehmen.249
V. Zugangsverschaffung unter Überwindung der Zugangssicherung Die Tathandlung des § 202a Abs. 1 StGB ist das unbefugte Verschaffen des Zugangs zu Daten unter Überwindung der Zugangssicherung für sich oder einen anderen. Hierfür reicht es aus, wenn der Innentäter die Möglichkeit erlangt hat, fremde Nutzerdaten abzurufen,250 er also ohne weitere Hindernisse auf diese zugreifen kann.251 Nicht erforderlich ist daher, dass der Innentäter nach der Zugangserlangung weitere Handlungen vornimmt, indem er beispielsweise die Dateien öffnet und Einblick in ihren Inhalt nimmt.252 Es genügt bereits, wenn er die unge246
Ebenso Hirsnik, Angriff auf das Computersystem, S. 85. Vgl. Hilgendorf, LK, § 202a StGB, Rn. 36; Malek/Popp, Strafsachen, Rn. 158 f.; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 552; Sendzik, Datendiebstahl, S. 89; differenzierend nach der Stellung und dem anzuwendenden Sorgfaltsmaß des Verfügungsberechtigten Krutisch, Zugang zu Computerdaten, S. 109 ff.; Jessen, Zugangsberechtigung, S. 120 f. 248 Graf, MK, § 202a StGB, Rn. 46; Sendzik, Datendiebstahl, S. 89. 249 Vgl. auch Wicker, Cloud Computing, S. 115. 250 Vassilaki, CR 2008, 131 (131). 251 Hilgendorf, LK, § 202a StGB, Rn. 15; Graf, MK, § 202a StGB, Rn. 62; Gröseling/ Höfinger, MMR 2007, 549 (551); Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 6. 252 Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 6. 247
154
Kap. 3: Allgemeiner strafrechtlicher Schutz
hinderte Möglichkeit hat, die codierten Informationen zur Kenntnis zu nehmen.253 Erst Recht kommt es nicht auf eine Reproduzierbarkeit der Nutzerdaten oder der in ihr enthaltenen Informationen an.254 Das eigennützige oder fremdnützige Verschaffen fremder Inhaltsdaten kann damit auf verschiedenste Weise realisiert werden:255 Ausreichend ist beispielsweise die Erlangung der Herrschaftsgewalt über die fremden Nutzerdaten, indem er sie auf einen eigenen Datenträger (z.B. Festplatte, USB-Stick, DVD, CD-ROM etc.) – mit oder ohne vorherige Kenntnisnahme ihres Informationsgehalts – kopiert oder sich bzw. einen Dritten in den Besitz eines Speichermediums bringt, auf dem sich die fremden Inhaltsdaten bereits vor der Tat befanden.256 Ebenfalls erfüllt es den Tatbestand, wenn er die fremden Nutzerdaten auf einem Monitor sichtbar macht und damit zur Kenntnis nimmt257 oder einem Dritten die Herrschaft über die Daten verschafft oder diesem die Einsichtnahme in die fremden Daten ermöglicht,258 indem er etwa das Benutzerpasswort weitergibt oder an diesen einen Datenlink sendet. Für eine Tatbestandsverwirklichung ist aber stets erforderlich, dass sich Innentäter den Zugang zu den fremden Nutzerdaten unter Überwindung einer Zugangssicherung verschafft haben. Hierunter ist jede Handlung zu verstehen, die geeignet ist, die jeweilige Zugangssicherung auszuschalten bzw. außer Kraft zu setzen.259 Das können sowohl äußere mechanische Handlungen als auch Dateneingaben sein.260 Um Strafbarkeitslücken zu vermeiden, wird von der herrschenden Lehre der Überwindung der Sicherheitsmaßnahme ihre Umgehung gleichgestellt.261 Eine solche liegt vor, wenn der Täter einen Zugangsweg zu den Nutzerdaten ausfindig macht, auf die sich eine vorhandene Zugangssicherung nicht bezieht, und diese Schutzlücke dazu nutzt, um sich Zugang zu den Inhaltsdaten zu verschaffen.262 Zwar 253
Rn. 6. 254
Hoyer, SK-StGB, § 202a, Rn. 11; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB,
Hilgendorf, LK, § 202a StGB, Rn. 15. Vgl. hierzu die Aufzählung der Tatmodalitäten in § 17 Abs. 2 Nr. 1 UWG; Hilgendorf, LK, § 202a StGB, Rn. 15. 256 Kargl, NK, § 202a StGB, Rn. 12; Eisele, Schönke/Schröder, § 202a StGB, Rn. 18; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 5; Schmitz, JA 1995, 478 (483). 257 Weidemann, in: BeckOK StGB, § 202a, Rn. 16. 258 Kargl, NK, § 202a StGB, Rn. 14; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 5; Schmitz, JA 1995, 478 (483). 259 Fischer, § 202a StGB, Rn. 11b; Kargl, NK, § 202a StGB, Rn. 14a. 260 Kargl, NK, § 202a StGB, Rn. 14a. 261 Siehe nur Altenhain, Matt/Renzikowski, § 202a StGB, Rn. 8; Eisele, Schönke/Schröder, § 202a, Rn. 20; Weidemann, in: BeckOK StGB, § 202a StGB, Rn. 17; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 558; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 82; Schmid, Computerhacken, S. 94; Krutisch, Zugang zu Computerdaten, S. 126; Kusnik, Datenspionage, S. 85; Jessen, Zugangsberechtigung, S. 123; Ernst, NJW 2007, 2661 (2661); wohl auch Kargl, NK, § 202a StGB, Rn. 14a; a.A. Schünemann, LK11, § 202a StGB, Rn. 7; Sendzik, Datendiebstahl, S. 94. 262 Jessen, Zugangsberechtigung, S. 125. 255
A. Ausspähen von Daten
155
spricht der Gesetzeswortlaut nur von einer „Überwindung“ und nicht auch von einer „Umgehung“ der Schutzmaßnahme, dennoch ist dieser Ansicht zur Erreichung eines angemessenen Strafrechtsschutzes zu folgen. Schon angesichts der voranschreitenden technischen Weiterentwicklung weist jedes Cloud-System Schwachstellen auf, die Innentätern Angriffswege auf die Vertraulichkeit der Inhaltsdaten eröffnen. Eine Umgehung von Sicherheitsmaßnahmen kann damit beim Cloud Computing nie völlig ausgeschlossen werden. Infolgedessen ist es den Cloud-Nutzern auch nicht möglich, ihre Daten vor jeglichen Angriffsoptionen der Innentäter zu schützen. Dieses Risiko wird auch beim erforderlichen Sicherungsgrad der Zugangssicherung berücksichtigt.263 Es wird nicht vorausgesetzt, dass die Sicherung geeignet ist, einen absoluten Schutz zu erreichen. Korrespondierend dazu, ist es nicht überzeugend, eine strafbare Tathandlung nur bei einer „Überwindung“ von Sicherungsmaßnahmen zu sehen.264 Dies umso mehr, weil die Grenze zwischen einer „Überwindung“ und „Umgehung“ des Zugangsschutzes fließend ist. Im Kern stellt jede Überwindung einer Sicherung nichts anderes als ihre Umgehung dar.265 Denn letztendlich verschafft sich ein Innentäter bei beiden Angriffshandlungen unter Aufhebung der zugangserschwerenden Wirkung der Sicherungsmaßnahme ungehinderten Zugang zu nicht für ihn bestimmte Nutzerdaten. Auch in der Praxis lassen sich beide Angriffsformen kaum voneinander unterscheiden.266 Hinzu kommt, dass ein die Sicherung erkennender und sie durchbrechender Innentäter das gleiche Unrecht verwirklicht, wie derjenige, der sich die Mühe macht, Sicherheitslücken herauszufinden, um diese zur Umgehung der Schutzmaßnahmen auszunutzen.267 Bei beiden Tatmodalitäten tritt ein erhöhtes Maß an krimineller Energie zu Tage.268 Zudem handeln beide Innentäter mit der gleichen Motivation, trotz des objektiv erkennbaren Geheimhaltungsinteresses des Cloud-Nutzers unberechtigten Zugang zu fremden Nutzerdaten erlangen zu wollen. Auf die Methode der Tatbegehung sollte es daher auch angesichts des Sinn und Zwecks der Strafvorschrift, die formelle Verfügungsbefugnis des Cloud-Nutzers an seinen ausgelagerten Daten zu schützen, indes nicht ankommen. Andernfalls würde eine erhebliche Strafbarkeitslücke geschaffen, da die in der Praxis häufig vorkommenden Angriffsszenarien, wie die Installation von Trojanern, einer Trapdoor oder Backdoor sowie das von Außentätern zur Erlangung der Online-Sitzung des Cloud-Nutzers vorgenommene Session Hijacking269, mit denen Sicherheitsmaßnahmen nicht überwunden, sondern „nur“ um263
Siehe hierzu oben S. 146 ff. Vgl. Jessen, Zugangsberechtigung, S. 123. 265 Kusnik, Datenspionage, S. 84. 266 Kusnik, Datenspionage, S. 84 f. 267 Kusnik, Datenspionage, S. 85. 268 Krutisch, Zugang zu Computerdaten, S. 125. 269 Bei einem Session Hijacking übernimmt ein externer Angreifer eine Verbindung zwischen dem Endgerät des Opfers und dem Cloud-Server, indem er durch gezielte Maßnahmen den Cloud-Nutzer und den Cloud-Anbieter als Kommunikationspartner desynchronisiert, sich anschließend unbemerkt an die Stelle einer der Partner setzt und dann in den Datenstrom eigene 264
156
Kap. 3: Allgemeiner strafrechtlicher Schutz
gangen werden, aus dem Anwendungsbereich des § 202a StGB herausgenommen würden.270 Dies kann jedoch ersichtlich nicht vom Gesetzgeber gewollt sein und wäre auch nicht mit der ratio legis der Strafvorschrift in Einklang zu bringen.271 Allerdings kennzeichnet das Tatbestandsmerkmal nach der Intention des Gesetzgebers die strafwürdige kriminelle Energie des Täters, weshalb Bagatellfälle aus dem Anwendungsbereich des Straftatbestandes herausgehalten und Handlungen ausgegrenzt werden sollen, bei denen besonders gesicherte Daten auf andere Weise erlangt werden.272 Vor diesem Hintergrund werden nur solche Angriffsszenarien erfasst, bei denen die Überwindung oder Umgehung der Zugangssicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert.273 Weiterhin müssen die Tatmodalitäten für die Verschaffung des Datenzugangs ursächlich sein.274 Demzufolge ist die Datenspionage nur dann strafbar, wenn die Zugangssicherung gegenüber dem Innentäter auch präventiv wirksam ist.275 Dies setzt wiederum voraus, dass die technische Sicherheitsvorkehrung zum Tatzeitpunkt tatsächlich dazu in der Lage ist, einen Zugriff des Innentäters auf die ausgelagerten Nutzerdaten zumindest zu erschweren. Da sich in der Überwindung der besonderen Sicherung das strafwürdige Unrecht manifestiert,276 ist zur Erfüllung des Tatbestands zudem erforderlich, dass der Innentäter das Merkmal selbst verwirklicht; es genügt nicht, dass er eine von einem anderen geschaffene Lage lediglich für sich ausnutzt.277 Schon anhand dieser Ausführungen wird deutlich, dass Innentäter das Tatbestandsmerkmal zweifelsfrei nur dann verwirklichen, wenn sie Nutzerdaten, die in einer Sealed oder Split Cloud gespeichert sind, unter Umgehung oder Überwindung der besonderen Sicherheitsvorkehrungen ausspähen. Richtet sich ihr interner Angriff dagegen auf Inhaltsdaten, die in einem herkömmlichen Cloud-System verarbeitet werden, wird ihre Datenspionage von der Strafnorm – abgesehen von dem nicht verwirklichten Merkmal der Datenbestimmung seitens der zugriffsberechtigten Innentäter – nur lückenhaft pönalisiert. Im Folgenden soll nun näher beleuchtet werden, welche Angriffsformen in herkömmlichen Cloud-Systemen die TathandDatenpakete einschleust. Dies ermöglicht ihm, die Session-Sitzung zu übernehmen und die Datenpakete des Cloud-Nutzers während der Online-Sitzung abzufangen; Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 73; Eckert, IT-Sicherheit, S. 130. 270 Kargl, NK, § 202a StGB, Rn. 14a; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 82; Ernst, NJW 2007, 2661 (2661), a.A. Sendzik, Datendiebstahl, S. 94. 271 Kargl, NK, § 202a StGB, Rn. 14a; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 82; Kusnik, Datenspionage, S. 85; Ernst, NJW 2007, 2661 (2661), a.A. Sendzik, Datendiebstahl, S. 94; kritisch auch Hirsnik, Angriff auf das Computersystem, S. 80. 272 BT-Drs. 16/3656, S. 10. 273 Siehe hierzu oben S. 149 f. 274 Fischer, § 202a StGB, Rn. 11b. 275 Eisele, Schönke/Schröder, § 202a StGB, Rn. 20; Graf, MK, § 202a StGB, Rn. 61; Krutisch, Zugang zu Computerdaten, S. 126. 276 Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 94. 277 Hilgendorf, LK, § 202a StGB, Rn. 18; Schmitz, JA 1995, 478 (483).
A. Ausspähen von Daten
157
lung verwirklichen und welche Angriffsszenarien nach § 202a Abs. 1 StGB straflos sind. 1. Erfasste Angriffsmethoden der Innentäter Tatbestandsmäßig ist zunächst das Ausspähen fremder Inhaltsdaten, Zugangsdaten und Verschlüsselungs-Keys bei einem VM Escape, einem VM Hopping oder einer Malware Injection, da hier von den Cloud-Nutzern bzw. deren Serviceadministratoren die systemimmanente Mandantentrennung, welche einen unberechtigten Zugriff auf fremde VM, den Hypervisor sowie das Host-System ausschließen soll, durch das Ausnutzen von Schwachstellen in der Systemarchitektur oder dem Einsatz von Malware (Viren, Trojaner und sonstige Spyware) umgangen wird.278 Ebenfalls verwirklichen sie den objektiven Tatbestand des § 202a Abs. 1 StGB, wenn sie nicht allgemein bekannte Schwachstellen in den als SaaS-Diensten angebotenen Applikationen ausnutzen, um durch entsprechende Cybercrime-Kits fremde Credentials, Verschlüsselungs-Keys und Inhaltsdaten auszulesen und auf einen eigenen Datenträger zu speichern.279 Bei dieser Angriffsmethode wird nämlich ebenfalls die systemimmanente Trennung der Zugriffe auf die Speicherbereiche der VM durch das Ausnutzen einer Sicherheitslücke umgangen.280 Insofern ist die Situation mit einem Einbrecher vergleichbar, der in gleichem Maße eine Sicherung umgeht, wenn er eine lockere Holzlatte im Zaun anhebt, um in ein fremdes Grundstück einzudringen.281 Unerheblich ist dabei, ob sie mit ihrem Angriff verschlüsselte oder unverschlüsselte Daten erlangen. Ist nämlich eine fremde Datei mehrfach gesichert, genügt bereits die Überwindung oder Umgehung einer – für sich genommen ausreichenden – Sicherung zur Erfüllung des objektiven Tatbestands des § 202a Abs. 1 StGB, sofern der taugliche Innentäter danach über verschlüsselte Daten verfügt.282 In diesem Fall ist daher nicht entscheidend, dass er den Bedeutungsgehalt der Ursprungsdaten ohne eine Entschlüsselung des ausgespähten Schlüsseltextes nicht erkennen kann. Ver278 Vgl. BT-Drs. 16/3656, S. 9; AG Düren, K&R 2011, 216; Fischer, § 202a StGB, Rn. 11; Kargl, NK, § 202a StGB, Rn. 13; Eisele, Schönke/Schröder, § 202a StGB, Rn. 19 f.; Graf, MK, § 202a StGB, Rn. 84 f.; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 7; Weidemann, in: BeckOK StGB, § 202a, Rn. 15; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 563; Kochheim, Cybercrime und Strafrecht, Rn. 673; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 83; Sittig/Brünjes, StRR 2012, 127 (129). 279 Vgl. Graf, MK, § 202a StGB, Rn. 86; Eisele, Schönke/Schröder, § 202a StGB, Rn. 20; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 103; Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 247; Schmid, Computerhacken, S. 173; Koch, Angriff und Verteidigung in Computernetzen, S. 105; Schultz, DuD 2006, 778 (780). 280 Vgl. Koch, Angriff und Verteidigung in Computernetzen, S. 104, der in Zusammenhang mit einem Single User System von einer Umgehung des Betriebssystems, welches für die Kontrolle von Zugriffen auf die Systemressourcen zuständig ist, spricht. 281 Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 247. 282 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 105; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 99; Schmid, Computerhacken, S. 116; Hilgendorf, JuS 1996, 702 (705).
158
Kap. 3: Allgemeiner strafrechtlicher Schutz
schafft er sich aber anschließend unter Brechung des Entschlüsselungscodes Zugang zu den Originaldaten, verwirklicht er erneut den Straftatbestand des Ausspähens von Daten, der dann in Tateinheit mit dem strafbaren Datendiebstahl aus § 202a Abs. 1 StGB steht. Ein tatbestandsmäßiges Sich-Verschaffen von Inhaltsdaten liegt schließlich auch dann vor, wenn sich Innentäter in ein fremdes Benutzerkonto einloggen, nachdem sie die Passphrase des fremden Kennworts mittels Rainbow Tables, einer Brute-ForceAttacke oder sonstigen Hacker-Tools ermittelt haben. In diesem Fall wird nämlich der zum Tatzeitpunkt wirksame Kennwortschutz, der einen unberechtigten Zugriff auf die im Nutzeraccount befindlichen Inhaltsdaten ausschließen soll, mit erheblichem technischen und zeitlichen Aufwand überwunden.283 Die Isolation der gemeinsam genutzten Cloud-Ressourcen und der virtuellen Maschinen wird des Weiteren auch bei einem Seitenkanalangriff umgangen, bei dem Cloud-Nutzer bzw. deren Serviceadministratoren über ihre VM die Rechenzeit, die gemeinsam genutzten Speicherbereiche oder den verschlüsselten Datenstrom beobachten (Verkehrsflussanalyse) und dadurch Inhaltsdaten, Passwörter sowie Verschlüsselungs-Keys anderer Nutzer, deren VM ebenfalls auf denselben physischen Servern wie die VM des Angreifers laufen, aufzeichnen und zur Kenntnis nehmen. Denn auch bei dieser Angriffsform verschaffen sie sich Zugang zu fremden Daten auf eine Weise, die durch die Mandantentrennung erkennbar verhindert werden sollte.284 Infolge der Beschaffung der entsprechenden Software sowie der Analyse des aufgezeichneten Datenflusses offenbart sich bei dem Angriff zudem ihre strafwürdige kriminelle Energie, so dass ihre Tat nicht als ein bloßes von § 202a Abs. 1 StGB nicht erfasstes Bagatelldelikt zu bewerten ist. Aus § 202a Abs. 1 StGB machen sich zudem Angestellte des Manufactors, des Cloud Service Developers und des Softwareanbieters strafbar, wenn sie die CloudSoftware oder sonstige Komponenten des Cloud-Systems (Chips, Router, Firewalls oder Festplatten) mit Schad- oder Spionagesoftware infizieren und heimlich Nutzerdaten, Passwörter und Verschlüsselungs-Keys auslesen.285 Dies gilt nicht nur dann, wenn sie die versteckte Sicherheitslücke nachträglich einbauen (Backdoor),286 sondern auch, wenn sie die Schutzlücke schon zum Zeitpunkt der Installation der 283 Vgl. Graf, MK, § 202a StGB, Rn. 83; Malek/Popp, Strafsachen, Rn. 163; Dietrich, Ausspähen von Daten, S. 119 f. 284 Vgl. BT-Drs. 16/3656, S. 10; Kusnik, Datenspionage, S. 86; Krutisch, Zugang zu Computerdaten, S. 125, 141; a.A. wohl Koch, Angriff und Verteidigung in Computernetzen, S. 69 f. mit der Begründung, dass bei einem Seitenkanalangriff „keine physische oder logische Hürde überwunden werden muss, sondern „nur“ eine typische Eigenart des [virtuellen] ITSystems ausgenutzt wird“. 285 Vgl. BT-Drs. 16/3656, S. 9; Fischer, § 202a StGB, Rn. 11; Kargl, NK, § 202a StGB, Rn. 13; Graf, MK, § 202a StGB, Rn. 86; Eisele, Schönke/Schröder, § 202a StGB, Rn. 19; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 7; Weidemann, in: BeckOK StGB, § 202a, Rn. 15. 286 Schuh, Computerstrafrecht, S. 204; Malek/Popp, Strafsachen, Rn. 164.
A. Ausspähen von Daten
159
Hard- oder Software im Cloud-System geschaffen haben (Trapdoor).287 Denn letztendlich erlangen die Innentäter bei beiden Tatmodalitäten unter Umgehung der Firewall, des Virenschutzes und der sonst üblichen eingesetzten Authentifizierungsmechanismen Zugang zu nicht für sie bestimmte Daten.288 Verschafft wird der Datenzugang bei diesen Angriffsformen aber erst, wenn der taugliche Innentäter auf die fremden Daten problemlos zugreifen kann.289 Entgegen teilweise vertretener Ansicht ist damit der Tatbestand des § 202a Abs. 1 StGB nicht schon mit der Installation der Malware in dem Cloud-System vollendet.290 Im Stadium der Verbringung der Schadsoftware und dem Verschaffen des Datenzugangs liegen nämlich noch weitere wesentliche Zwischenschritte, die einer vollendeten Tathandlung entgegenstehen: So müssen die fremden Daten zunächst durch die Malware ohne Entdeckung und Vereitelung durch Virenscanner gesammelt werden und zuletzt muss der Innentäter die Herrschaftsgewalt über die ausgespähten Daten erlangen, was erst dann der Fall ist, wenn ihm diese entweder an der Firewall vorbei über einen verdeckten Kommunikationskanal erfolgreich übermittelt werden oder er im Falle des Einsatzes eines Hardware-Trojaners ohne Sendefunktion diesen wieder in seinen Besitz bringt.291 Mit der Einschleusung der Malware in das Cloud-System liegt daher nur ein nicht pönalisierter Versuch des § 202a Abs. 1 StGB vor.292 Tatbestandlich erfasst wird ferner eine Privilege Escalation, sofern Administratoren des Cloud-Anbieters oder des Cloud-Nutzers die systemimmanente Trennung ihrer Zugriffsrechte auf die Systemkomponenten und Speicherbereiche des CloudSystems durch eine Änderung der Rollenverzeichnisse, das Ausnutzen von Programmfehlern, durch ein Ablegen von bösartigen Skripten auf der tätereigenen VM oder durch eine sonstige fehlerhafte Konfiguration der Administrationswerkzeuge
287
Vgl. Eisele, Schönke/Schröder, § 202a StGB, Rn. 20; Ernst, NJW 2007, 2661 (2661). Vgl. auch Graf, MK, § 202a StGB, Rn. 86; Schmid, Computerhacken, S. 173; a.A. wohl Dietrich, Ausspähen von Daten, S. 148; Vogelgesang/Hessel/Möllers, DuD 2016, 729 (732), die hier allein auf die durch einen Hardware-Keylogger bzw. einer Trapdoor geschaffene Zugangsmöglichkeit ohne Überwindung einer Zugangssicherung aufgrund der originär geschaffenen Schutzlücke bzw. der fehlenden Schutzwirkung des Passwortes und der Datenverschlüsselung abstellen, dabei aber eine Betrachtung der implementierten Sicherheitsmaßnahmen in ihrer Gesamtheit außer Betracht lassen, die gerade, wie die Firewall, der Anti-Virenschutz und die Zugriffskontrolle, einen unberechtigten Zugriff auf das Cloud-System und die Nutzerdaten verhindern wollen. 289 Vgl. Dietrich, Ausspähen von Daten, S. 141; Hirsnik, Angriff auf das Computersystem, S. 66. 290 Fischer, § 202a StGB, Rn. 11; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 7; Kargl, NK, § 202a StGB, Rn. 13; Schuh, Computerstrafrecht, S. 198. 291 Ebenso Dietrich, Ausspähen von Daten, S. 142 f.; Hirsnik, Angriff auf das Computersystem, S. 66; Kochheim, Cybercrime und Strafrecht, Rn. 675; Vogelgesang/Hessel/Möllers, DuD 2016, 729 (732). 292 Insofern bleibt der Tatbestand hinter den Vorgaben des Art. 2 der Cybercrime-Konvention zurück, nach denen schon die unbefugte Zugangsverschaffung zu einem Computersystem unter Strafe gestellt werden soll; Hirsnik, Angriff auf das Computersystem, S. 66 f. 288
160
Kap. 3: Allgemeiner strafrechtlicher Schutz
umgehen und sie hierdurch Zugriff auf fremde Inhaltsdaten und Passwörter von Cloud-Nutzern erhalten, zur deren Verwaltung sie nicht berechtigt sind.293 Werden die vorbezeichneten Angriffshandlungen für einen Dritten ausgeübt, liegt auch die zweite Handlungsalternative der Zugangsverschaffung für einen anderen vor. Verschafft der Innentäter aber die Daten zunächst für sich selbst, jedoch mit der Absicht, sie weiter zu verkaufen, ist die zweite Tatmodalität erst mit der Weitergabe der ausgespähten Nutzerdaten an den Dritten erfüllt.294 In diesem Fall tritt allerdings die vollendete fremdnützige Verschaffung der Daten als mitbestrafte Tat hinter der strafbaren Erlangung der Nutzerdaten aus § 202a Abs. 1 StGB zurück, sofern ihre Weitergabe von Anfang an durch den tauglichen Innentäter geplant war.295 Fraglich ist allerdings, ob der objektive Tatbestand des 202a Abs. 1 StGB auch bei einer späteren Verwendung des ausgespähten Passworts durch taugliche Innentäter verwirklicht ist. Entsprechend der Fallkonstellation beim Social Engineering und Phishing, bei denen fremde Zugangsdaten durch eine Täuschung des Opfers erlangt werden, könnte man annehmen, dass es auch bei der nachträglichen Verwendung des durch einen tauglichen Innentäter ausgespähten fremden Passworts an dem Merkmal der Überwindung einer besonderen Zugangssicherung fehlt, da mit dem unbefugt erlangten Zugangspasswort ebenfalls mühelos auf das Opferkonto zugegriffen werden kann.296 Demzufolge könnte man annehmen, dass der Kennwortschutz keine Schutzfunktion mehr entfaltet, sobald sich der taugliche Innentäter im Besitz des Passworts befindet.297 Aus den gleichen Gründen wäre es auch straflos, wenn die ausgespähten Zugangsdaten an einen unberechtigten Dritten weitergegeben werden und sich dieser sodann in das Benutzerkonto einloggt, um sich fremde Inhaltsdaten zu verschaffen.298 Gegen diese Argumentation spricht allerdings, dass das Opfer beim Social Engineering und Phishing freiwillig seine Zugangsdaten gegenüber dem Täter preisgibt und dadurch ihm gegenüber den Zugangsschutz eigenverantwortlich aufhebt, während der Kennwortschutz bei den vorbezeichneten Angriffsszenarien durch den tauglichen Innentäter ohne oder gegen den Willen des Opfers vereitelt wird. Insofern führt ein nicht zugriffsberechtigter Innentäter die Angriffsformen auf die Vertraulichkeit der Nutzerdaten gerade zur Umgehung des zum Zeitpunkt seiner
293
Vgl. Graf, MK, § 202a StGB, Rn. 86. Sendzik, Datendiebstahl, S. 138. 295 Kargl, NK, § 202a StGB, Rn. 14. 296 Bei einer Herausgabe durch den Berechtigten Dietrich, Ausspähen von Daten, S. 129; Graf, MK, § 202c StGB, Rn. 10; ders., NStZ 2007, 129 (131); Popp, MMR 2006, 84 (85); Herrmann, StRR 2008, 248 (250); vgl. auch Eisele, Schönke/Schröder, § 202c StGB, Rn. 3; BT-Drs. 16/3656, S. 18. 297 Graf, NStZ 2007, 129 (131); Dietrich, Ausspähen von Daten, S. 129; Eisele, Schönke/ Schröder, § 202a StGB, Rn. 22; Herrmann, StRR 2008, 248 (250); vgl. auch BT-Drs. 16/3656, S. 18. 298 Graf, MK, § 202c StGB, Rn. 10. 294
A. Ausspähen von Daten
161
Tat ihm gegenüber wirksamen Kennwortschutzes durch.299 Für die Annahme einer tatbestandlichen Umgehung des Passwortschutzes durch die nachfolgende Verwendung des ausgespähten Kennworts spricht auch die Existenz des – noch darzustellenden300 – Straftatbestands des Vorbereitens des Ausspähens von Daten nach § 202c Abs. 1 Nr. 1 StGB. Danach macht sich strafbar, wer eine Straftat nach § 202a Abs. 1 StGB vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten i.S.d. § 202a Abs. 2 StGB ermöglichen, sich oder einem anderen verschafft. Hieraus ergibt sich, dass die Verwendung eines zuvor ausgespähten Passworts den Tatbestand des § 202a Abs. 1 StGB erfüllen muss. Andernfalls würde nämlich der Strafnorm des § 202c Abs. 1 Nr. 1 StGB überhaupt kein Anwendungsbereich mehr verbleiben, weil es an einer tauglichen Anknüpfungstat fehlen würde.301 Für die Annahme einer Strafbarkeit aus § 202a Abs. 1 StGB sprechen zudem die Anforderungen, die für die Überwindung einer Schutzvorrichtung im Rahmen des Diebstahls von besonders gesicherten Sachen i.S.d. § 243 Abs. 1 S. 2 Nr. 2 StGB gelten. Zur Verwirklichung des Regelbeispiels genügt es, wenn der Täter das verschlossene Behältnis mit dem für ihn nicht unmittelbar zugänglichen, richtigen Schlüssel öffnet, den er sich zuvor auf unredliche Weise und ohne Wissen des Opfers selbst verschafft hat.302 Diese rechtliche Wertung kann auch für die rechtliche Würdigung der Verwendung eines ausgespähten Passworts durch einen nicht zugriffsberechtigten Innentäter im Rahmen des § 202a Abs. 1 StGB herangezogen werden. Denn bei beiden Vorschriften liegt der Strafgrund darin, dass der Täter ein erhöhtes Maß an krimineller Energie aufwendet, indem er sich über eine besondere Sicherung hinwegsetzt. Diese kriminelle Energie manifestiert ein tauglicher Innentäter gerade mit der Ausspähung des fremden Passworts, mit dessen Hilfe er die zum Tatzeitpunkt bestehende Zugangssicherung umgehen und dadurch auf die im Opferaccount befindlichen Inhaltsdaten zugreifen kann. Hierdurch zeigt er gerade ein erhöhtes Maß an Rücksichtslosigkeit gegenüber dem Interesse des Cloud-Nutzers an der Geheimhaltung seiner passwortgesicherten Daten, indem er sich über die besondere Sicherung hinwegsetzt, mit welcher der Cloud-Nutzer objektiv zu erkennen gibt, dass er Unbefugte von einem Datenzugriff ausschließen möchte. Nach der hier vertretenen Ansicht303 handelt ein tauglicher Innentäter mithin auch dann 299 Schuh, Computerstrafrecht, S. 234; Kusnik, Datenspionage, S. 208; Goeckenjan, wistra 2009, 47 (53); Herrmann, StRR 2008, 248 (250); Popp, MMR 2006, 84 (85); Eischelberger, MMR 2004, 594 (596); vgl. auch Graf, MK, § 202a StGB, Rn. 83. 300 S. 184 ff. 301 Vgl. BT-Drs. 16/3656, S. 16; Borges/Schwenk/Stuckenberg/Wegener, Identitätsdiebstahl, S. 245; Schuh, Computerstrafrecht, S. 235; Kusnik, Datenspionage, S. 209; Krey/Heinrich/Hellmann, Strafrecht BT I, Rn. 632; Goeckenjan, wistra 2009, 47 (53). 302 Siehe hierzu nur BGH NJW 2010, 3175 (3176); OLG Karlsruhe NStZ-RR 2010, 48; Schmitz, MK, § 243 StGB, Rn. 36; Eser/Bosch, Schönke/Schröder, § 243 StGB, Rn. 22; Kühl, in: Lackner/Kühl, § 243 StGB, Rn. 15; a.A. Otto, JR 1987, 221 (225); ders., JURA, 200 (200). 303 Ebenso Fischer, § 202a StGB, Rn. 9a; Bosch, Satzger/Schluckebier/Widmaier, § 202c StGB, Rn. 2; Hilgendorf, LK, § 202c StGB, Rn. 10; Kargl, NK, § 202c StGB, Rn. 4; Heger, in: Lacker/Kühl, § 202c StGB, Rn. 2; Weidemann, in: BeckOK StGB, § 202a, Rn. 16.1; Borges/
162
Kap. 3: Allgemeiner strafrechtlicher Schutz
tatbestandsmäßig, wenn er das ausgespähte Passwort zum Einloggen in den Benutzeraccount verwendet oder wenn er es an einen nicht zugangsberechtigten Dritten weitergibt. Greift der Dritte sodann mittels des ausgespähten Passworts auf die fremden Nutzerdaten zu, liegt zudem eine Strafbarkeit des tauglichen Innentäters wegen Beihilfe zur Tat des Dritten aus § 202a Abs. 1 StGB vor, wobei auch diese als mitbestrafte Nachtat hinter der eigenen täterschaftlichen Tat aus § 202a Abs. 1 StGB zurücktritt, wenn er die Weitergabe schon zum Zeitpunkt der täterschaftlichen Verschaffung des fremden Kennworts beabsichtigte. 2. Straflose Fälle der Datenspionage Die meisten Angriffsszenarien der Innentäter bleiben allerdings nach § 202a Abs. 1 StGB straflos, da sie für eine Verletzung der Datenvertraulichkeit aufgrund ihres privilegierten Zugangs zu den Inhaltsdaten der Cloud-Nutzer keine Sicherheitsmaßnahmen überwinden oder umgehen müssen. Dass sie hierbei nach dem Willen des Cloud-Nutzers kein Recht zur Kenntnisnahme oder zur Weitergabe der Inhaltsdaten haben oder sie ihren privilegierten Zugriff zweck- bzw. vertragswidrig gebrauchen, ändert an diesem Ergebnis nichts.304 Maßgeblich ist allein, dass die systemimmanenten Sicherheitsvorkehrungen der Cloud zum Teil wirkungslos sind, ihre Angriffshandlungen zu verhindern. Dies gilt aber nicht nur bei einer böswilligen Bereitstellung der Cloud-Dienstleistungen, bei der von vornherein keine Sicherheitsmaßnahmen zum Schutz der Datenvertraulichkeit implementiert sind, um die zur Speicherung und Verwaltung anvertrauten Daten der Cloud-Kunden ungehindert auszuspähen, sondern auch bei einem herkömmlichen Cloud-Betrieb. Nicht tatbestandlich erfasst wird vor allem der Supervisor des Cloud-Anbieters, da er über sein Root-Konto uneingeschränkte, reguläre Zugriffsrechte auf sämtliche Systemkomponenten und Verwaltungsfunktionen der Cloud-Architektur hat, wodurch es ihm mühelos möglich ist, Sicherheitsmaßnahmen auszuschalten und auf die im Cloud-System gespeicherten Inhaltsdaten, kryptographischen Dechiffrierschlüssel und Credentials der Nutzer zuzugreifen.305 Schwenk/Stuckenberg/Wegener, Identitätsdiebstahl, S. 245; Kusnik, Datenspionage, S. 209; Schuh, Computerstrafrecht, S. 236; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 95; Seidl/Fuchs HRRS 2010, 85 (88); Schumann, NStZ 2007, 675 (678), Stuckenberg, ZStW 2006, 878 (906); Heghmanns, wistra 2007, 167 (169); Ernst, NJW 2007, 2661 (2663); Gercke, CR 2005, 606 (611); Knupfer, MMR 2004, 641 (642); Eischelberger, MMR 2004, 594 (596); bei der Erlangung des Passworts durch Malware ebenso Graf, MK, § 202a StGB, Rn. 84; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 114; Malek/Popp, Strafsachen, Rn. 162; Eisele, Computerstrafrecht, § 6, Rn. 22; Goeckenjan, wistra 2009, 47 (53); Herrmann, StRR 2008, 248 (250); Buggisch/Kerling, Kriminalistik 2006, 531 (535); Popp, MMR 2006, 84 (85). 304 Anders Wicker, Cloud Computing, S. 112 f.; vgl. auch Graf, MK, § 202a StGB, Rn. 47. 305 Vgl. nur Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 551; Schuster, ZIS 2010, 68 (70); siehe auch Preuß, Die Kontrolle von E-Mails, S. 290 f. m.w.N., die bei einer Kontrolle von E-Mails oder sonstigen elektronischen Dokumenten auf firmeneigenen IT-
A. Ausspähen von Daten
163
Keine Schutzwirkung entfalten vor allem die Verschlüsselungsmechanismen und der Kennwortschutz des Benutzerkontos gegenüber den System- und Serviceadministratoren der Cloud-Anbieter und Cloud-Nutzer. So können erstere ihren Zugriff auf die Managementplattform und ihren damit verbundenen ungehinderten Zugang zu den Hypervisoren und dem physischen Host-System dazu missbrauchen, um durch einfache Programmbefehle Snapshots oder Clones von den laufenden VM zu erstellen oder die physischen Speicherbereiche während einer Live Migration zu analysieren, wodurch sie ebenfalls ohne nennenswerten Aufwand Nutzerdaten und Passwörter im Klartext ausspähen können. Da ihr Administratorenzugang zu den virtuellen und physischen Speicherbereichen der Cloud-Nutzer systemimmanent ist und ihre Befehle entsprechend der Programmierung der Management-Software, also fehlerfrei, ausgeführt werden, können ihre Angriffsszenarien auch nicht als eine Umgehung der zum Tatzeitpunkt unwirksamen Datenverschlüsselung betrachtet werden. Eine andere rechtliche Bewertung ergibt sich auch nicht aus dem Monitoring ihrer Systemzugriffe, dem Einsatz von Intrusion Detection Systemen oder dem Bestehen von vertraglichen Zugriffsverboten. Wie bereits gezeigt wurde,306 entfalten diese Maßnahmen keine präventive Wirkung, so dass sie keine besonderen Zugangssicherungen i.S.d. § 202a Abs. 1 StGB darstellen. Aus den gleichen Gründen ist es auch straflos, wenn Serviceadministratoren ihren unbeschränkten Zugang zu dem Benutzerkonto dazu nutzen, unberechtigt sensible Datensätze zu kopieren. Mangels Überwindung einer besonderen Sicherung bleiben sogar ehemals zugriffsberechtigte Mitarbeiter des Cloud-Nutzers aus § 202a Abs. 1 StGB straflos, wenn ihnen zwar in rechtlicher Hinsicht ihr Zugriffsrecht auf das Benutzerkonto, etwa infolge einer Kündigung oder sonstigen Beendigung des Arbeitsverhältnisses mit dem Cloud-Nutzer, entzogen wurde, sie aber mangels einer Sperrung oder Löschung ihres Administratorenkontos weiterhin Zugang zu den Nutzerdaten nehmen können. Aufgrund einer fehlenden Aufhebung einer Zugangssicherung scheidet eine (mit-)täterschaftliche Begehung der Strafnorm ferner aus, wenn der Serviceadministrator nicht zugangsberechtigten Dritten unbefugt ein Zugriffsrecht auf die Nutzerdaten durch die Versendung eines Datenlinks einräumt.307 Zwar genügt es bei einem fremdnützigen Tun, wenn der Dritte die Herrschaft über die fremden Daten erhält oder von deren Inhalt Kenntnis nehmen kann, nicht ausreichend ist es jedoch, wenn er hierfür lediglich eine von dem Vortäter straflos geschaffene Situation ausnutzt.308 Dies ist aber bei der Versendung eines Datenlinks der Fall. Zwar liegt bei abstrakter Betrachtung eine Zugangssicherung in Form des Passwortschutzes des Systemen ebenfalls das Tatbestandsmerkmal verneinen, sofern der Arbeitgeber über seinen Systemadministrator jederzeit auf die Daten zugreifen kann, die der Arbeitnehmer nicht durch ein dem Arbeitgeber unbekanntes Passwort gesichert hat. 306 S. 147 f. 307 Vgl. Hilgendorf, LK, § 202a StGB, Rn. 40. 308 Kargl, NK, § 202a StGB, Rn. 14; Hilgendorf, LK, § 202a StGB, Rn. 18, 40; Schmitz, JA 1995, 478 (483).
164
Kap. 3: Allgemeiner strafrechtlicher Schutz
Benutzerkontos vor, allerdings entfaltet dieser gegenüber dem Dritten keine Wirkung, da er durch bloßes Anklicken des Links uneingeschränkten Zugriff auf alle verlinkten Datensätze erhält. Insofern kann eine Parallele zu den ebenfalls nach § 202a Abs. 1 StGB straflosen Fallkonstellationen gezogen werden, in denen das Passwort in direkter Nähe zum Computer notiert wurde,309 der Täter fremde Daten durch bloße Beobachtung des am Computer sitzenden Opfers zur Kenntnis nimmt310 oder das Opfer zur Tatzeit in den betroffenen Account bereits eingeloggt ist, so dass der Täter überhaupt keine Zugangsdaten mehr eingeben muss311. In diesem Sinn ist die Zugangssicherung auch dann bereits außer Kraft gesetzt, wenn das Administrator-Passwort im Webbrowser des Rechners des Serviceadministrators hinterlegt ist,312 so dass ein unberechtigter Mitarbeiter des Cloud-Nutzers ohne Weiteres mithilfe des PCs des Serviceadministrators auf die in der Cloud gespeicherten Daten zugreifen kann. Dies ist im Besonderen der Fall, wenn der Rechner selbst nicht über eine Passwortabfrage verfügt, die erst noch nach seinem Start bzw. nach seinem Ruhemodus überwunden werden muss.313 Insofern bleibt es auch straflos, wenn nicht zugangsberechtigte Mitarbeiter des Cloud-Nutzers bei einem Synchronisationsdienst offline oder online mittels des ungesicherten Endgeräts des Serviceadministrators auf die in der Cloud gespeicherten Inhaltsdaten zugreifen.314 Tatbestandlich erfasst wird dagegen die unbefugte Weitergabe des Zugangspassworts zu den Cloud-Dienstleistungen durch die Administratoren des CloudAnbieters und des Cloud-Nutzers. Auf der einen Seite könnte man mit der Erlangung der Verfügungsgewalt über das Kennwort eine Aufhebung der Schutzfunktion gegenüber dem Dritten annehmen, allerdings spricht die Existenz des § 202c Abs. 1 Nr. 1 StGB – wie eingangs bereits gezeigt315 – für eine tatbestandsmäßige Überwindung einer Zugangssicherung und damit für eine Strafbarkeit des Dritten aus § 202a Abs. 1 StGB. Auch eine Vergleichbarkeit mit der Angriffsoption der unbefugten Versendung eines Datenlinks besteht nicht, da der Dritte durch die Eingabe des Passworts die Zugangskontrolle erst noch selbst umgehen muss.316 Demzufolge kommt eine strafbare Beihilfe zu § 202a Abs. 1 StGB auch für zugriffsberechtigte 309 In diesem Fall fehlt es zudem schon an einer besonderen Zugangssicherung; vgl. nur Graf, MK, § 202a StGB, Rn. 46. 310 Hilgendorf, LK, § 202a StGB, Rn. 18. 311 Eisele, Strafrecht BT I, Rn. 741; Preuß, Die Kontrolle von E-Mails, S. 298. 312 Bei den üblichen Webbrowsern erfolgt nach der Eingabe der Anmeldedaten die Anfrage, ob die eingegebenen Credentials für zukünftige Anmeldungen lokal im Browser des Endgeräts des Nutzers gespeichert werden sollen, um sich ihre erneute Eingabe zu „sparen.“ Da sich ein potentieller Täter mithilfe der gespeicherten Zugangsdaten problemlos Zugang zu den Inhaltsdaten verschaffen kann, wird zum Teil auch schon das Vorliegen einer besonderen Zugangssicherung mangels eines Geheimhaltungswillens des Anwenders verneint; Wicker, Cloud Computing, S. 110. 313 Eisele, Computerstrafrecht, § 6, Rn. 20; Wicker, Cloud Computing, S. 110. 314 Wicker, Cloud Computing, S. 110 f. 315 S. 160 ff. 316 Vgl. Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 6.
A. Ausspähen von Daten
165
Innentäter in Betracht, wenn sie die Kennwörter der Nutzer unbefugt an Dritte weitergeben. Im Übrigen ist das Tatbestandsmerkmal aber grundsätzlich nicht verwirklicht. Dies gilt vor allem für die Angriffsszenarien der Netzwerk- und Sicherheitsadministratoren. Denn auch sie müssen keine Verschlüsselungsmechanismen oder sonstige Schutzmaßnahmen für ein Auslesen der Inhaltsdaten überwinden oder umgehen, wenn sie ungehindert auf Filtertechnologien (Netzwerksniffer, DPITechnologie etc.) zugreifen können, welche neben den Eigenschaften der übertragenen Datenpakete (Header- bzw. Metadaten) auch die Semantik der Nutzerdaten analysieren und aufzeichnen.317 Ihr Privilegienmissbrauch lässt sich insofern mit dem Skimming vergleichen, bei dem eine Strafbarkeit aus § 202a Abs. 1 StGB ebenfalls verneint wird, weil es dem Täter mittels eines am Geldautomaten angebrachten Lesegeräts problemlos möglich ist, die auf dem Magnetstreifen der Zahlungskarte gespeicherten Daten auszulesen.318 Sofern aber die eingesetzten Filtertechnologien so kalibriert wurden, dass mit ihnen nur die Header- und Metadaten überwacht werden können, kann im Einzelfall eine Strafbarkeit aus § 202a Abs. 1 StGB in Betracht kommen. Vorausgesetzt, die Netzwerk- und Sicherheitsadministratoren können in diesem Fall die Konfigurationseinstellungen nicht ohne Weiteres ändern, können nämlich die implementierten Filterregeln als eine tatbestandlich erfasste besondere Sicherung angesehen werden, welche – ähnlich wie die Datenverschlüsselung – die Semantik der versandten Datenpakete vor einer unbefugten Kenntnisnahme schützen.319 Mithin kann in diesem Fall eine Änderung der Filterregeln als eine Umgehung einer besonderen Zugangssicherung bewertet werden. Tatbestandslos handeln aber die Netzwerk- und Sicherheitsadministratoren, wenn sie die Verfügungsgewalt über die Data in Motion und Data in Use durch ein ARPoder DNS Cache Spoofing sowie durch sonstige Man-in-the-Middle-Angriffe erlangen, da sie hierfür lediglich transitives Vertrauen ausnutzen und keine Schutzvorkehrungen ausschalten müssen.320 Um die übertragenen Nutzerdaten auf einem Cloud-Server zu speichern oder innerhalb des Cloud-Systems zu verschieben, werden die physischen Systeme der Cloud durch die Adresse ihrer Netzwerkkarte identifiziert. Diese Mac-Adresse wird sodann in Zuordnungstabellen (etwa ARP317 Eine Ausspähung der Nutzerdaten mittels einer unbefugten Installation von Netzwerksniffern im Cloud-System ist allerdings strafbar; vgl. hierzu BT-Drs. 16/3656, S. 9; Fischer, § 202a StGB, Rn. 11; Kargl, NK, § 202a StGB, Rn. 13; Eisele, Schönke/Schröder, § 202a StGB, Rn. 19; Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 7; Weidemann, in: BeckOK StGB, § 202a, Rn. 15; Eisele, Computerstrafrecht, § 6, Rn. 19. 318 Zum Skimming nur Eisele, Schönke/Schröder, § 202a StGB, Rn. 23; BGH, NStZ 2011, S. 154 (154 ff.); a.A: Wicker, Cloud Computung, S. 113, die jede zweckwidrige Benutzung der Administratorenrechte als eine Umgehung der Sicherheitsvorkehrungen ansieht. 319 Insbesondere lässt sich auch aus dem Wortlaut des § 202a StGB nicht ableiten, dass nur die Syntax, nicht aber auch die Semantik, vor Zugang geschützt werden kann, Preuß, Die Kontrolle von E-Mails, S. 297. 320 Dietrich, Ausspähen von Daten, S. 149 f.; Koch, Angriff und Verteidigung in Computernetzen, S. 65.
166
Kap. 3: Allgemeiner strafrechtlicher Schutz
oder Routingtabellen) eingetragen, so dass sie fortan als vertrauenswürdig gilt. Dies hat zur Folge, dass die Switches, Router oder Buses in dem Cloud-Netzwerk nicht mehr die Richtigkeit der eingetragenen Mac-Adresse überprüfen, sondern die Nutzerdaten automatisch an den Cloud-Rechner senden, der behauptet, die Inhaltsdaten seien für ihn bestimmt. Diesen Umstand machen sich die Netzwerk- und Sicherheitsadministratoren zunutze, in dem sie bei den vorbezeichneten Angriffsszenarien die Mac-Adresse ihres Cloud-Rechners in die Zuordnungstabelle mit der Folge eintragen, dass sie den auf ihrem IT-System umgeleiteten Datenverkehr der Cloud-Nutzer unverschlüsselt auslesen können. Folglich nutzen sie bei diesen Angriffsformen lediglich computertechnisches Vertrauen zum Ausspähen der Nutzerdaten aus. Ein solches Vertrauen genießt jedoch nicht den strafrechtlichen Schutz des § 202a Abs. 1 StGB.321 Ähnlich dem Social Engineering und Phishing, bei denen ebenfalls das Gegenüber dazu verleitet wird, sensible Daten freiwillig preiszugeben, erfüllen somit auch die Angriffsoptionen des ARP-Spoofing, DNS Cache Spoofing oder sonstige Man-in the-Middle-Angriffe der Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter mangels Überwindung oder Umgehung einer besonderen Zugangssicherung nicht den Straftatbestand des § 202a Abs. 1 StGB.322 Schließlich bleibt es auch straflos, wenn Mitarbeiter des Cloud-Anbieters mit Zugang zu den physischen Cloud-Servern (so z.B. das Wartungs- oder Reinigungspersonal) unbefugt die Data at Rest auf ein eigenes Speichermedium kopieren. Unerheblich ist dabei, ob sie – etwa infolge von Fehlern in der Datenverschlüsselung – Inhaltsdaten im Klartext abgreifen oder sich ihr Taterfolg auf verschlüsselte Nutzerdaten bezieht. Zwar reicht es nach einer Ansicht zur Erfüllung des objektiven Tatbestands aus, wenn sich ein Täter Zugang zu verschlüsselten Daten verschafft, da andernfalls der Täter mangels einer Versuchsstrafbarkeit bei einer wirksamen Verschlüsselung ungerechtfertigt privilegiert werden würde.323 Ungeachtet dessen, dass durch den „sanktionslosen Zugriff auf verschlüsselte Daten ein dauerhaftes Risiko der erfolgreichen Entschlüsselung“ für den betroffenen Cloud-Nutzer geschaffen wird,324 spricht aber der klare Wortlaut der Vorschrift gegen diese Auffassung. Als einschränkende Modalität der Tathandlung verlangt dieser explizit, dass der Innentäter die Zugangssperre „überwinden“ muss. Ein Verschaffen von verschlüsselten Daten ohne vorheriges außer Kraft setzen einer besonderen Sicherheitsmaßnahme 321 Koch, Angriff und Verteidigung in Computernetzen, S. 65; a.A. Schmid, Computerhacken, S. 175, der die Adress-Authentifikation als eine besondere Sicherung i.S.d. § 202a Abs. 1 StGB ansieht. Allerdings entfaltet diese gegenüber den Angriffsszenarien der Netzwerk- und Sicherheitsadministratoren keine Wirkung, da sie aufgrund ihres Zugriffs auf die Netzwerkkomponenten des Cloud-Systems mühelos die Zuordungstabellen manipulieren können. 322 Dietrich, Ausspähen von Daten, S. 151 f.; Koch, Angriff und Verteidigung in Computernetzen, S. 65; vgl. auch zum straflosen Abfangen von E-Mails durch eine Manipulation der Netzwerkknoten Graf, MK, § 202a StGB, Rn. 90. 323 Hilgendorf, LK, § 202a StGB, Rn. 16; ders., JuS 1996, 702 (705); Gercke, in: Gercke/ Brunst, Internetstrafrecht, Rn. 99; Ernst, NJW 2007, 2661 (2661); ders., in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 234. 324 Fischer, § 202a StGB, Rn. 11a, der aber sodann die Streitfrage offenlässt.
A. Ausspähen von Daten
167
kann demnach noch nicht tatbestandsmäßig sein. Daran ändert auch der Umstand nichts, dass ein Innentäter die Möglichkeit zur Datenentschlüsselung hat, indem er entweder bereits im Besitz des Schlüssels ist oder den Entschlüsselungscode durch eine Kryptoanalyse in Erfahrung bringen kann.325 Denn erst mit der Entschlüsselung selbst verschafft sich der Täter Zugang zu den Daten (diesmal zum Klartext) unter Überwindung des Schlüsselcodes als besondere Zugangssicherung.326 Würde man dies anders sehen, so würde man das bloße Verschaffen-Können mit einem Verschaffen gleichsetzen, was ersichtlich mit der Wortlautgrenze nicht mehr zu vereinbaren wäre.327 Gelingt eine Entschlüsselung dagegen nicht, wird der Innentäter infolge der fehlenden angeordneten Versuchsstrafbarkeit auch nicht ungerechtfertigt privilegiert, da letztlich der Einwand bei allen funktionierenden Zugangssicherungen erhoben werden könnte.328 Eine Strafbarkeit aus § 202a Abs. 1 StGB liegt damit beim Verschaffen von verschlüsselten Inhaltsdaten und Passwörtern ohne vorherige Überwindung oder Umgehung einer besonderen Zugangssicherung erst dann vor, wenn ihre Verschlüsselung, etwa mittels Rainbow Tables, einer Brute-Force-Attacke oder mithilfe von sonstigen Hacker-Tools, erfolgreich gebrochen wurde, so dass der Innentäter die Daten nunmehr im Klartext einsehen kann. Dies deckt sich auch mit dem Willen des Gesetzgebers, nur solche Tathandlungen unter Strafe zu stellen, bei denen sich infolge einer tatsächlich erfolgten – und nicht nur möglichen – Ausschaltung einer besonderen Zugangssicherung die kriminelle Energie des Täters zeigt.329 In dieser Hinsicht ist das Tatbestandsmerkmal aber nicht bei dem Supervisor und für diejenigen Administratoren des Cloud-Anbieters erfüllt, die im Rahmen des Identitäts- oder Verschlüsselungsmanagements Zugriff auf die Entschlüsselungscodes haben. In diesem Fall fehlt es nämlich schon an der Sicherungswirkung, weil sie die verschlüsselten Nutzerdaten ohne Weiteres mit dem richtigen Schlüssel decodieren können. Dieses Ergebnis wird zudem durch die parallele Vorschrift des § 243 Abs. 1 S. 2 Nr. 2 1. Alt. StGB bestätigt. Auch beim Diebstahl einer Sache, die durch ein verschlossenes Behältnis besonders gesichert ist, wird die Sicherungswirkung des Verschlusses gegenüber demjenigen verneint, der den Schlüssel zum Öffnen des Behältnisses (rechtmäßig) besitzt, und zwar unabhängig davon, ob ihm auch die Benutzung des Schlüssels gestattet ist.330 Aus dem gleichen Grund bleibt es auch straflos, wenn ein Administrator des Cloud-Anbieters Zugang zu den im Cloud325
Graf, MK, § 202a StGB, Rn. 59, 62; Dietrich, Ausspähen von Daten, S. 96; Schmid, Computerhacken, S. 115; Jessen, Zugangsberechtigung, S. 144 f. 326 Ebenso Eisele, Schönke/Schröder, § 202a StGB, Rn. 19; Marberth-Kubicki, Computerund Internetstrafrecht, Rn. 95; Sendzik, Datendiebstahl, S. 96; Preuß, Die Kontrolle von EMails, S. 297; Gröseling/Höfinger, MMR 2007, 549 (551); Schmitz, JA 1995, 478 (483). 327 In diesem Sinn auch Koch, Angriff und Verteidigung in Computernetzen, S. 60. 328 Eisele, Schönke/Schröder, § 202a StGB, Rn. 19; ders., Computerstrafrecht, § 6, Rn. 20; Fischer, § 202a StGB, Rn. 11a. 329 BT-Drs. 16/3656, S. 10; vgl. auch Sendzik, Datendiebstahl, S. 96. 330 Siehe nur BGH NJW 2010, 3175; Schmitz, MK, § 243 StGB, Rn. 36; Vogel, LK, § 243 StGB, Rn. 32; Hoyer, SK-StGB, § 243, Rn. 30; Wittig, in: BeckOK StGB, § 243, Rn. 18.1.
168
Kap. 3: Allgemeiner strafrechtlicher Schutz
System gespeicherten Credentials hat und diese nach ihrem Ausspähen zum Einloggen in das Nutzerkonto verwendet.
VI. Unbefugt Ferner müssen die tauglichen Innentäter unbefugt handeln. Dieses Tatbestandsmerkmal hat allerdings keine einheitliche Bedeutung. Es kann entweder schon als tatbestandsauschließendes Einverständnis und damit als Tatbestandsbegrenzung331 oder gleichbedeutend mit dem allgemeinen Verbrechensmerkmal der Rechtswidrigkeit verstanden werden.332 Zum Teil wird ihm auch eine Doppelfunktion zugeordnet.333 Sachgerecht ist es, die fehlende Befugnis als einen deklatorischen Hinweis auf das allgemeine Deliktsmerkmal der Rechtswidrigkeit zu verstehen. Von einer Doppelfunktion oder einem eingrenzenden Tatbestandsmerkmal könnte nämlich nur dann ausgegangen werden, wenn der Tatbestand ohne die Einbeziehung des Merkmals keinen vernünftigen Sinn ergeben würde.334 Ein Tatbestand ist aber nur dann als nicht vernünftig anzusehen, wenn er unter Weglassung des Merkmals „unbefugt“ lediglich ein sozialadäquates Verhalten beschreiben würde.335 Dies ist aber bei § 202a Abs. 1 StGB nicht der Fall. Auch ohne das Tatbestandsmerkmal beschreibt die Strafnorm ein sozialschädliches Verhalten, das vor allem durch die Verschaffung von Daten, die nicht für den Täter bestimmt sind, als Unrecht ausreichend umschrieben wird.336 Da eine ausdrückliche oder konkludente Einwilligung des Cloud-Nutzers in die Verschaffung eines Datenzugangs bereits im Tatbestandsmerkmal der Datenbestimmung enthalten ist und damit tatbestandsausschließend wirkt, kommt als Rechtfertigungsgrund nur die mutmaßliche Einwilligung zum Tragen. Eine solche scheidet aber bei den Angriffshandlungen der tauglichen Innentäter aus. Anders zu beurteilen wäre dies nur dann, wenn sie die Inhaltsdaten einem Dritten, für den die Daten bestimmt sind, zugänglich machen.337 Allerdings dürften solche Fälle praktisch kaum in Betracht kommen. Voraussetzung für eine mutmaßliche Einwilligung ist nämlich, dass eine rechtzeitige Einholung des Einverständnisses des Cloud331
Hoyer, SK-StGB, § 202a, Rn. 17; Wicker, Cloud Computing, S. 118. Bosch, Satzger/Schluckebier/Widmaier, § 202a StGB, Rn. 9; Eisele, Schönke/Schröder, § 202a StGB, Rn. 24; Kargl, NK, § 202a StGB, Rn. 16; Heger, in: Lackner/Kühl, § 202a StGB, Rn. 7. 333 Graf, MK, § 202a StGB, Rn. 65; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 9. 334 Eisele, Schönke/Schröder, Vor. §§ 13 ff. StGB, Rn. 65. 335 Schlüchter, 2. WiKG, S. 68. 336 Ebenso Kusnik, Datenspionage, S. 87; Krutisch, Zugang zu Computerdaten, S. 127; Schmid, Computerhacken, S. 118; Jessen, Zugangsberechtigung, S. 148. 337 BT-Drs. 10/5058, S. 29. 332
A. Ausspähen von Daten
169
Nutzers nicht möglich war. Solche Eilfälle sind aber beim Cloud Computing kaum denkbar.338
VII. Weitere Voraussetzungen Sofern der taugliche Innentäter den objektiven Tatbestand erfüllt, muss er in subjektiver Hinsicht in Bezug auf alle objektiven Tatbestandsmerkmale vorsätzlich gehandelt haben, wobei dolus eventualis bekanntermaßen ausreichend ist.339 Eine weitergehende Verwertungs- oder Schädigungsabsicht ist nach dem klaren Wortlaut nicht erforderlich.340 Da ein nicht zugriffsberechtigter Innentäter mit seiner Tat gerade beabsichtigt, sich fremde Daten, die nicht für ihn bestimmt sind, unter Überwindung oder Umgehung einer besonderen Zugangssicherung zu verschaffen, erfüllt er auch den subjektiven Tatbestand des § 202a Abs. 1 StGB.
VIII. Zusammenfassung Der strafrechtliche Schutz der Cloud-Nutzer wird im Wesentlichen durch die technische und organisatorische Umsetzung des Cloud-Betriebs bestimmt. Während bei den Betriebsmodellen der Split Cloud und Sealed Cloud infolge von zahlreichen technischen Sicherheitsmaßnahmen sichergestellt wird, dass Mitarbeiter der CloudAnbieter keinen Zugriff auf die gespeicherten Inhalte ihrer Cloud-Kunden nehmen können, weshalb sich diese Innentäter zweifelsfrei nicht für sie bestimmte Nutzerdaten verschaffen, wenn sie die besonderen Sicherungen gegen unberechtigten Zugriff umgehen oder überwinden,341 entsprechen die meisten Innentäter-Angriffe bei den herkömmlichen Cloud-Dienstleistungen nicht dem Tatbild des § 202a Abs. 1 StGB. Nicht von der Strafnorm erfasst werden nämlich Fälle, in denen Innentäter berechtigt auf die Nutzerdaten zugreifen und dann in unberechtigter Weise die ihnen anvertrauten Inhaltsdaten kopieren und an Dritte weitergeben.342 Straflos bleiben demnach vor allem die Angriffsformen der Administratoren der Cloud-Anbieter und Cloud-Nutzer.343 Zum einen haben sie einen berechtigten Zugang zu den Nutzerdaten 338 Ebenso Graf, MK, § 202a StGB, Rn. 71; Hilgendorf, LK, § 202a StGB, Rn. 38; a.A. BTDrs. 10/5058, S. 29; Möhrenschlager, wistra 1986, 128 (140). 339 Statt vieler Fischer, § 202a StGB, Rn. 13. 340 Eisele, Schönke/Schröder, § 202a StGB, Rn. 27; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 101. 341 Ebenso im Hinblick auf die Sealed Cloud Krischker, Internetstrafrecht, S. 198; siehe auch Wicker, Cloud Computing, S. 115. 342 Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 7; ders., ZUM 2011, 609 (617); Sieber, Gutachten zum 69. Deutschen Juristentag, C 43, C 93. 343 Ebenso für Mitarbeiter des Cloud-Anbieters Brodowski/Freiling, Cyberkriminalität, S. 101; Krischker, Internetstrafrecht, S. 196; a.A. Wicker, Cloud Computing, S. 276; Krosch-
170
Kap. 3: Allgemeiner strafrechtlicher Schutz
und zum anderen müssen sie für ihren systemimmanenten Datenzugriff auch keine besondere Zugangssicherung außer Kraft setzen oder umgehen. Ihre Datenspionage erfüllt damit weder das Tatbestandsmerkmal „nicht für den Täter bestimmte Daten“ noch das Kriterium der „Überwindung einer besonderen Sicherung“. Das enttäuschte Vertrauen der Cloud-Nutzer in die Wahrung der Vertraulichkeit ihrer Inhaltsdaten wird damit bei den herkömmlichen Cloud-Diensten nur unzureichend von dem Straftatbestand geschützt. So machen sich lediglich die Mitarbeiter der Subunternehmer sowie die Cloud-Nutzer bzw. deren Serviceadministratoren aus § 202a Abs. 1 StGB strafbar, wenn sie sich oder einem Dritten unter Überwindung von Zugangssicherungen des Cloud-Systems fremde Nutzerdaten verschaffen.
B. Abfangen von Daten, § 202b StGB Wer sich oder einem anderen unter Anwendung technischer Mittel nicht für ihn bestimmte Daten (§ 202a Abs. 2 StGB) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage unbefugt verschafft, macht sich wegen Abfangens von Daten strafbar. Die Vorschrift wurde durch das 2. WiKG in das StGB eingeführt, um Strafbarkeitslücken bei Eingriffen in elektronische Kommunikationsformen zu schließen, die bislang dadurch verblieben sind, dass § 201 StGB auf eine Verletzung der Vertraulichkeit des gesprochenen Wortes und damit vor allem auf das Abhören von Telefongesprächen beschränkt ist und das Abhören von Nachrichten über § 148 i.V.m. § 89 TKG nur mit einer Funkanlage erfasst wird.344 Eine Beschränkung des strafrechtlichen Schutzes auf diese gängigen Kommunikationsformen ist allerdings in den Zeiten der Digitalisierung nicht mehr zeitgemäß. Dies erkannte der Gesetzgeber und sah einen Handlungsbedarf.345 Insoweit lässt sich die Strafvorschrift des § 202b StGB auch als „elektronisches Pendant“ zum Abhören des nichtöffentlich gesprochenen Wortes bezeichnen.346 Geschütztes Rechtsgut ist ebenso wie bei § 202a Abs. 1 StGB das formelle Geheimhaltungsinteresse des Cloud-Nutzers, andere von einer Kenntnisnahme seiner Daten auszuschließen.347 Im Gegensatz zum Tatbestand des Ausspähens von Daten gem. § 202a StGB muss sich das Geheimhaltungsinteresse aber nicht in Form einer wald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 287 f., welche den objektiven Tatbestand des § 202a Abs. 1 StGB bei jedem zweckwidrigen Datenzugriff der Administratoren der Cloud-Anbieter als erfüllt ansehen. 344 BT-Drs. 16/3656, S. 11; Bosch, Satzger/Schluckebier/Widmaier, § 202b StGB, Rn. 1; Eisele, Schönke/Schröder, § 202b StGB, Rn. 1. 345 BT-Drs. 16/3656, S. 11; Kargl, NK, § 202b StGB, Rn. 2. 346 BT-Drs. 16/3656, S. 11; Hoyer, SK-StGB, § 202b, Rn. 1; Heger, in: Lackner/Kühl, § 202b StGB, Rn. 1; Sendzik, Datendiebstahl, S. 99. 347 Hoyer, SK-StGB, § 202b, Rn. 2; Eisele, Schönke/Schröder, § 202b StGB, Rn. 1; Kargl, NK, § 202b StGB, Rn. 3; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 565.
B. Abfangen von Daten
171
besonderen Sicherung manifestiert haben.348 Vielmehr beruht das Schutzbedürfnis auf dem aus dem Telekommunikationsgeheimnis nach Art. 10 Abs. 1 2. Alt. GG folgendem Recht auf Nichtöffentlichkeit der Kommunikation.349 Da in den Fällen des Ausspähens der elektromagnetischen Abstrahlung aber nicht notwendigerweise ein Kommunikationsvorgang vorliegen muss, ist entsprechend dem Grundrecht auf Vertraulichkeit und Integrität informatorischer Systeme aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG als geschütztes Rechtsgut der zweiten Tatbestandsalternative allein auf die Datenverfügungsbefugnis350 bzw. auf das Interesse auf Geheimhaltung der in einem Computersystem gespeicherten und verarbeiteten Daten abzustellen.351
I. Nichtöffentliche Datenübermittlung, § 202b 1. Alt. StGB Hinsichtlich des Angriffsobjekts „nicht für den Täter bestimmte Daten“ verweist die Strafnorm auf § 202a StGB, weshalb als Tatobjekte alle übermittelten und in der Cloud gespeicherten Inhaltsdaten der Cloud-Nutzer in Betracht kommen.352 Durch den alleinigen Verweis auf § 202a Abs. 2 StGB wird zudem deutlich, dass die Nutzerdaten keine besondere Sicherung aufweisen müssen. Demzufolge fallen auch unverschlüsselte oder sonst gegenüber dem Innentäter ungesicherte Inhaltsdaten in den Anwendungsbereich der Strafnorm. Allerdings dürfen die Daten nicht für den Innentäter bestimmt sein. Entsprechend den Ausführungen im Rahmen des § 202a Abs. 1 StGB353 scheiden damit als taugliche Täter des negativen Sonderdelikts354 alle auf die Nutzerdaten zugriffsberechtigten Innentäter aus. Tatbestandsmäßig können mithin nur die Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter handeln, vorausgesetzt, dass ihr Zugriffsrecht allein auf die technische Verwaltung des Cloud-Netzwerks beschränkt ist. Darüber hinaus ist eine Tatbestandsverwirklichung auch durch die Cloud-Nutzer bzw. deren Serviceadministratoren sowie durch die Mitarbeiter des Software- und Hardwareherstellers und des Cloud Service Developers möglich, wenn sie sich unter Anwendung technischer Mittel fremde Inhaltsdaten aus einer nichtöffentlichen Datenübermittlung verschaffen.
348 349
Rn. 2.
Hilgendorf, LK, § 202b StGB, Rn. 2; Eisele, Schönke/Schröder, § 202b StGB, Rn. 1. BT-Drs. 16/3656, S. 11; Hilgendorf, LK, § 202b StGB, Rn. 2; Graf, MK, § 202b StGB,
350 Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 102; Heghmanns, in: Achenbach/ Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 111. 351 Kusnik, Datenspionage, S. 131; Gercke vertritt demgegenüber die Ansicht, dass die Aufnahme der elektromagnetischen Abstrahlung in den Tatbestand zu einer Änderung des Rechtsguts führe; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 107. 352 S. 124 ff. 353 S. 125 ff. 354 Hilgendorf, LK, § 202b StGB, Rn. 6.
172
Kap. 3: Allgemeiner strafrechtlicher Schutz
1. Datenübermittlung Der taugliche Innentäter müsste sich die Nutzerdaten während einer Datenübermittlung verschafft haben. Hierunter versteht man jeden elektronischen Übertragungsvorgang zwischen verschiedenen Computersystemen, durch welchen der Adressat die Verfügungsbefugnis über die Daten und die Möglichkeit zur Kenntnisnahme erhält.355 Gleichgültig ist dabei, ob die Übertragung leitungsgebunden oder drahtlos erfolgt.356 Es spielt außerdem keine Rolle, ob die Daten innerhalb eines Netzwerks bleiben oder nach außen versendet werden und ob es sich um staatlich betriebene oder private Netzwerke handelt.357 Entsprechend den europäischen Vorgaben des Art. 3 der Cybercrime-Konvention erfasst das Merkmal der Datenübermittlung auch Prozesse innerhalb eines einzelnen Systems.358 Als elektronisches Pendant zum Abhören von Telefongesprächen nach § 201 StGB ist aber zu verlangen, dass der Übertragungsvorgang zielgerichtet von einem Speicherort an einen Zielort gestartet wird.359 In Übereinstimmung mit dem Willen des europäischen Gesetzgebers reicht hierfür bereits die Eingabe der Daten über die Tastatur aus.360 Auch in diesem Fall werden Daten nicht erst nur zur Entstehung gebracht,361 sondern mit ihrer Systemeingabe automatisch an den Arbeitsspeicher übermittelt und dort zwischengespeichert.362 Für diese Auslegung spricht vor allem der Schutzzweck der Norm. Denn für den strafrechtlichen Schutz des formellen Geheimhaltungsinteresses kann es nicht darauf ankommen, an welcher Stelle der technische Übertragungsweg „angezapft“ wird; entscheidend ist vielmehr, dass ein IT-System überhaupt mit anderen Servern über ein Netzwerk kommuniziert.363 Der strafrechtliche Schutz durch § 202b StGB endet aber dann, sobald der Übermittlungsvorgang beendet ist. Dies ist der Fall, wenn der Adressat die Herrschaft über die Daten erlangt hat, indem
355 Kargl, in: NK, § 202b StGB, Rn. 4; Hilgendorf, LK, § 202b StGB, Rn. 11; Kusnik, MMR 2011, 720 (720). 356 Fischer, § 202b StGB, Rn. 3. 357 Hilgendorf, LK, § 202b StGB, Rn. 8. 358 So heißt es in dem erläuternden Bericht zur Konvention: „The communication in the form of transmission of computer data can take place inside a single computer system (…)“; Explanatory Report, Convention on Cybercrime, Rn. 55; vgl. auch Kargl, in: NK, § 202b StGB, Rn. 4; Kusnik, MMR 2011, 720 (720), a.A. Goeckenjan, wistra 2009, 47 (50). 359 Kargl, in: NK, § 202b StGB, Rn. 4; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202b StGB, Rn. 3. 360 Siehe hierzu Explanatory Report, Rn. 55 in dem ausgeführt wird: „The communication in the form of transmission of computer data can take place (…) between a computer and a person (e.g. through the keyboard).“ 361 Aus diesem Grund das Merkmal der Datenübermittlung ablehnend Kusnik, Datenspionage, S. 135 f.; Kusnik, MMR 2011, 720 (720); Goeckenjan, wistra 2009, 47 (51). 362 Eisele, Schönke/Schröder, § 202b StGB, Rn. 4; vgl. auch Bosch, Satzger/Schluckebier/ Widmaier, § 202a StGB, Rn. 3. 363 Zutreffend Borges/Schwenk/Stuckenberg/Wegener, Identitätsdiebstahl, S. 244.
B. Abfangen von Daten
173
er die Möglichkeit erhält, sie zur Kenntnis zu nehmen.364 Nicht anzuwenden ist daher die Strafnorm auf bereits gespeicherte Daten, die zu einem früheren Zeitpunkt übermittelt wurden.365 Diese werden bei Vorliegen einer besonderen Zugangssicherung nur durch den Tatbestand des Ausspähens von Daten aus § 202a Abs. 1 StGB geschützt.366 Im Hinblick auf die Bewertung der Innentäter-Angriffe hat dies allerdings zur Konsequenz, dass zwar die Zeitspanne zwischen der bewussten Übertragung der Nutzerdaten in die Cloud und aus der Cloud von § 202b 1. Alt. StGB geschützt wird, aber keine tatbestandsmäßige Übermittlung mehr gegeben ist,367 wenn die Daten innerhalb des Cloud-Systems verschoben werden. Denn zu diesem Zeitpunkt haben die Cloud-Anbieter als Adressaten der Datenübermittlung die Herrschaft über die Nutzerdaten bereits durch ihre Speicherung auf den Cloud-Servern erlangt. Im Ergebnis werden damit sämtliche Angriffsformen der Innentäter auf die Data at Rest und Data in Use von § 202b 1. Alt. StGB nicht erfasst. Anders zu beurteilen wäre dies aber dann, wenn man das Cloud-System infolge der skalierbaren und redundanten Datenhaltung auf den weltweit verteilten Servern der Cloud-Anbieter und des damit verbundenen Datenflusses als einen vom Tatbestand erfassten Zwischenspeicher ansehen würde.368 Bei „ruhenden“ E-Mails, die sich auf dem Server des Providers befinden, hat das BVerfG im Hinblick auf die einschlägige Ermächtigungsgrundlage für den Zugriff der Strafverfolgungsbehörden entschieden, dass diese noch dem Schutz des Fernmeldegeheimnisses unterliegen.369 Unabhängig davon, ob eine E-Mail auf dem Mailserver des Providers zwischen- oder endgespeichert ist, begründet die fehlende technische Möglichkeit des Nutzers, einen Zugriff oder eine Weitergabe der E-Mails durch den Provider zu verhindern, eine besondere Schutzbedürftigkeit im Sinne des Art. 10 Abs. 1 2. Alt. GG.370 So heißt es in der Entscheidung des BVerfG vom 16. 06. 2009 – 2 BvR 902/06:371 „[…] der zugangsgesicherte Kommunikationsinhalt in einem E-Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, [ist] durch Art. 10 Abs. 1 GG geschützt […] Die auf dem Mailserver des Providers vorhandenen E-Mails sind nicht im Herrschaftsbereich des Kommunikationsteilnehmers, sondern des Providers gespeichert. 364
Kargl, in: NK, § 202b StGB, Rn. 4; Hilgendorf, LK, § 202b StGB, Rn. 11; Schumann, NStZ 2007, 675 (677). 365 BT-Drs. 16/3656, S. 11; Lenckner/Eisele, Schönke/Schröder, § 202a StGB, Rn. 4; Bosch, Satzger/Schluckebier/Widmaier, § 202b StGB, Rn. 2; Altenhain, Matt/Renzikowski, § 202b StGB, Rn. 4; Fischer, § 202b StGB, Rn. 3; Kargl, NK, § 202b StGB, Rn. 4; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 202b StGB, Rn. 2. 366 Kargl, in: NK, § 202b StGB, Rn. 4; Altenhain, Matt/Renzikowski, § 202b StGB, Rn. 4. 367 Wicker, Cloud Computing, S. 122 f. 368 Vgl. Eisele, Schönke/Schröder, § 202b StGB, Rn. 4; Hoyer, SK-StGB, § 202b, Rn. 7; a.A. Graf, MK, § 202b StGB, Rn. 9; Hilgendorf, LK, § 202a StGB, Rn. 8. 369 BVerfGE 124, 43 (54) = NJW 2009, 2431 (2432). 370 BVerfGE 124, 43 (55) = NJW 2009, 2431 (2432). 371 BVerfGE 124, 43 (54 f.) = NJW 2009, 2431 (2432).
174
Kap. 3: Allgemeiner strafrechtlicher Schutz
Sie befinden sich nicht auf in den Räumen des Nutzers verwahrten oder in seinen Endgeräten installierten Datenträgern. Der Nutzer kann sie für sich auf einem Bildschirm nur lesbar machen, indem er eine Internetverbindung zum Mailserver des Providers herstellt. Zwar kann der Nutzer versuchen, die auf dem Mailserver gespeicherten E-Mails durch Zugangssicherungen – etwa durch Verwendung eines Passworts – vor einem ungewollten Zugriff Dritter zu schützen. Der Provider und damit auch die Ermittlungsbehörden bleiben jedoch weiterhin in der Lage, jederzeit auf die auf dem Mailserver gespeicherten E-Mails zuzugreifen. Der Kommunikationsteilnehmer hat keine technische Möglichkeit, die Weitergabe der E-Mails durch den Provider zu verhindern. Dieser technisch bedingte Mangel an Beherrschbarkeit begründet die besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis.“ (Hervorhebungen hinzugefügt)
Im Hinblick auf die faktische Datenherrschaft der Cloud-Anbieter und des fehlenden Einflusses der Cloud-Nutzer auf die Datenverarbeitungsprozesse in der Cloud könnte man annehmen, dass die auf den Cloud-Servern gespeicherten Inhaltsdaten weiterhin vom Fernmeldegeheimnis geschützt sind und damit in den Anwendungsbereich des § 202b 1. Alt. StGB fallen. Hierfür könnte sprechen, dass über § 202a Abs. 2 StGB gerade auch gespeicherte Daten geschützt sein sollen.372 Zudem steht einer erweiterten Auslegung auch nicht der Wortsinn eines Übermittlungsvorgangs entgegen. Denn auch unter dem Begriff der Datenübermittlung des § 3 Abs. 4 Nr. 3b BDSG a.F. wurden die im Intranet oder Internet zum Abruf bzw. zur Einsichtnahme bereitgehaltenen Daten erfasst.373 Gegen diesen Ansatz ist allerdings einzuwenden, dass § 202b StGB nur den Schutz des formellen Geheimhaltungsinteresses bezweckt, so dass hier nicht mit den besonderen Gefahren für die vom Fernmeldegeheimnis geschützte Kommunikation argumentiert werden kann.374 Gegen eine Übertragung der Entscheidung des BVerfG auf die herkömmlichen IaaS-, PaaS- und SaaS-Dienste ist auch anzuführen, dass diese Cloud-Dienstleistungen – wie noch zu zeigen sein wird – nicht dem Schutz des Fernmeldegeheimnisses unterliegen.375 Daran ändert auch der Umstand nichts, dass die Daten innerhalb der Cloud-Infrastruktur verschoben werden, da dies erst nach Beendigung der Datenübertragung stattfindet.376 Hinzu kommt, dass die Übermittlungsvorgänge innerhalb der Cloud („Machine-to-Machine-Kommunikation“) auch keine vom Fernmeldegeheimnis geschützte individuelle Kommunikation darstel-
372
Preuß, Die Kontrolle von E-Mails, S. 302. Statt vieler Ambs, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 3 BDSG, Rn. 24. Ob diese Auslegung auch für den datenschutzrechtlichen Übermittlungsbegriff des Art. 4 Nr. 2 DSGVO gilt, ist allerdings unklar; verneinend Herbst, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 2 DSGVO, Rn. 31; Reimer, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 2, Rn. 69; a.A. Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 4 DSGVO, Rn. 30; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 50; siehe hierzu auch S. 310 f. 374 Ebenso Preuß, Die Kontrolle von E-Mails, S. 302. 375 Siehe hierzu S. 196 ff. 376 Vgl. BGH NJW 2009, 1828; Bär, NStZ 2009, 397 (398 f.). 373
B. Abfangen von Daten
175
len.377 Die Entscheidung des BVerfG hat damit bei den IaaS-, PaaS- und SaaSDiensten keine Auswirkung auf das Verständnis des Übermittlungsbegriffs des § 202b StGB.378 Dies umso mehr, weil sich die Daten im Cloud-System auch nicht stets in einem kontinuierlichen Fluss von einem Datenspeicher zum nächsten befinden und die Strafbarkeit aus § 202b StGB damit von bloßen Zufälligkeiten abhinge.379 Die Auslagerung der Nutzerdaten in die Cloud kann bei diesen CloudDienstleistungen demnach nur als End- und nicht als Zwischenspeicherung angesehen werden.380 Insofern wird der verfassungsrechtliche Schutz vor Verletzungen ihrer Vertraulichkeit auch nicht durch das Fernmeldegeheimnis, sondern allein durch das Recht auf informationelle Selbstbestimmung sowie durch das ComputerGrundrecht gewährleistet.381 Eine andere Bewertung ergibt sich auch nicht bei der sog. Cloud-Collaboration, bei der mehrere Nutzer gemeinsam einen Account in Anspruch nehmen, da auch hier der angemietete Speicherplatz lediglich als Endspeicher genutzt wird.382 Eine Vergleichbarkeit zur Rechtslage bei der auf dem Providerserver zum Abruf bereitgehaltenen ungelesenen E-Mails scheitert zudem auch in diesem Fall daran, dass die Cloud-Nutzer die Übermittlung und Speicherung ihrer Daten selbst bewirkt haben.383 Sind allerdings die Cloud-Dienstleistungen im Einzelfall als Telekommunikationsdienstleistungen einzuordnen, wie dies etwa bei der Bereitstellung von E-MailDiensten der Fall ist, erstreckt sich der Schutz des Fernmeldegeheimnisses – wie noch weiter ausgeführt werden wird auf die im Cloud-System gespeicherten elektronischen Nachrichten der Cloud-Nutzer.384 In diesem Fall kann das Merkmal der „Datenübermittlung“ i.S.d. § 202b 1. Alt. StGB auf die Data at Rest und die Data in Use erstreckt werden.385
377
Ulmer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 A, Rn. 32; Schuster/ Reichl, CR 2010, 38 (43). 378 Vgl. Kargl, NK, § 202b StGB, Rn. 4; Kusnik, Datenspionage, S. 138. 379 Vgl. Schumann, NStZ 2007, 675 (677). 380 Ebenso Wicker, Cloud Computing, S. 122. 381 Vgl. VGH Kassel NJW 2009, 2470 (2471 f.); LAG Niedersachsen NZA-RR 2010, 406 (408); VG Karlsruhe NVwZ-RR 2013, 797 (801). 382 Wicker, Cloud Computing, S. 123 f. 383 Vgl. Kusnik, MMR 2011, 720 (721); Schumann, NStZ 2007, 675 (677). 384 Ausführlich hierzu unter S. 196 ff. 385 Im Ergebnis ebenso Hoyer, SK-StGB, § 202b, Rn. 7; Eisele, Schönke/Schröder, § 202b StGB, Rn. 4; Preuß, Die Kontrolle von E-Mails, S. 302; a.A. Kusnik, MMR 2011, 720 (721), die mit der Speicherung der E-Mails auf dem Providerserver einen beendeten Übermittlungsvorgang annimmt. Nach Kargl, NK, § 202b StGB, Rn. 4; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 202b StGB, Rn. 2 und Schumann, NStZ 2007, 675 (677) endet dagegen der Übermittlungsvorgang, wenn der Adressat die Verfügungsmacht über die Daten und damit die Möglichkeit erlangt hat, seine E-Mails zur Kenntnis zu nehmen.
176
Kap. 3: Allgemeiner strafrechtlicher Schutz
2. Nichtöffentlichkeit Sofern eine tatbestandsmäßige Datenübermittlung gegeben ist, sei es, dass ein tauglicher Innentäter Daten aus einer laufenden Übertragung zur und aus der Cloud abgreift oder bei einem cloudbasierten Telekommunikationsdienst elektronische Nachrichten der Cloud-Nutzer während ihrer Speicherung oder Übertragung innerhalb des Cloud-Systems ausspäht, ist weiterhin zu klären, ob die Übertragungsvorgänge auch nichtöffentlich sind. Unter welchen Kriterien das Tatbestandsmerkmal zu bejahen ist, wird in der Literatur kontrovers diskutiert.386 Nach der Gesetzesbegründung kommt es hierfür weder auf die Art noch auf den Inhalt der übertragenen Daten an; vielmehr soll allein die Art des Übertragungsvorgangs entscheidend sein.387 Zur Auslegung hat der Gesetzgeber auf die Grundsätze des nichtöffentlich gesprochenen Wortes nach § 201 Abs. 2 Nr. 2 StGB verwiesen.388 Hierunter versteht man das nicht an die Allgemeinheit gerichtete und nicht über einen durch sachliche oder persönliche Beziehungen abgegrenzten Personenkreis hinaus ohne Weiteres wahrnehmbare Wort einer anderen Person.389 Äußerungen, die zwar nicht an die Öffentlichkeit gerichtet sind, die aber von Dritten ohne besonderes Bemühen mitangehört werden können, gelten aber als öffentlich (sog. faktische Öffentlichkeit), so dass sie nicht von § 201 StGB geschützt sind.390 Dieses Begriffsverständnis lässt sich jedoch nicht vollends auf § 202b 1. Alt. StGB übertragen, da die begrenzte akustische Reichweite des gesprochenen Worts und die räumliche Begrenzung des Zuhörerkreises nicht mit der Reichweite und den grundsätzlich bestehenden Zugriffsmöglichkeiten Dritter auf eine Datenübermittlung vergleichbar sind.391 Aus diesem Grund haben sich für die Begriffsbestimmung unterschiedliche Ansichten herausgebildet. Während sich ein Teil der Literatur mit einer Kasuistik behilft, indem etwa VPN-Übermittlungen oder Übertragungen in firmen- oder behördeninternen Netzwerken als Beispiele für nichtöffentliche Datenübermittlungen genannt werden,392 will eine Ansicht den strafrechtlichen Schutz nur auf perso386
Siehe ausführlich zum Streit nur Kusnik, Datenspionage, S. 139 ff. BT-Drs. 16/3656, S. 11. Dies entspricht auch dem erläuternden Bericht zur CybercrimeKonvention, in dem es heißt: „The term „non-public“ qualifies the nature of the transmission process and not the nature of the data transmitted.“; Explanatory Report, Convention on Cybercrime, Rn. 54. 388 BT-Drs. 16/3656, S. 11, kritisch hierzu Kusnik, Datenspionage, S. 138 ff.; Ernst, NJW 2007, 2661 (2662); Gröseling/Höfinger, MMR 2007, 549 (552). 389 Fischer, § 201 StGB, Rn. 3. 390 OLG Nürnberg NJW 1995, 974 (975); Eisele, Schönke/Schröder, § 201 StGB, Rn. 9; Graf, MK, § 201 StGB, Rn. 18. 391 Kusnik, MMR 2011, 720 (722 f.); Gröseling/Höfinger, MMR 2007, 549 (552); Ernst, NJW 2007, 2661 (2662); Schultz, DuD 2006, 778 (780 f.); ausführlich hierzu Kusnik, Datenspionage, S. 141 ff. 392 Hilgendorf, LK, § 202b StGB, Rn. 8; Fischer, § 202b StGB, Rn. 3; Eisele, Schönke/ Schröder, § 202b StGB, Rn. 4a; Bosch, Satzger/Schluckebier/Widmaier, § 202b StGB, Rn. 2. 387
B. Abfangen von Daten
177
nenbezogene Daten beschränken.393 Hiergegen spricht aber, dass personenbezogene Daten bereits durch die DSGVO und das BDSG geschützt werden, wohingegen der Anwendungsbereich des § 202b StGB schon nach seinem Wortlaut und seinem Schutzzweck weit über personenbezogene Daten hinausgeht, in dem jede unbefangene Kommunikation unabhängig von dem Inhalt und dem Personenbezug der übertragenen Daten strafrechtlichen Schutz genießt.394 Eine weitere Ansicht stellt demgegenüber auf die Widmung des Datenübermittlers ab und bejaht eine nichtöffentliche Datenübertragung, wenn die Datenübermittlung nach dem Willen des Absenders an einen erkennbar eingeschränkten Personenkreis gerichtet ist.395 Dem wird jedoch entgegengehalten, dass der Wille des Datenübermittlers bereits in dem Tatbestandsmerkmal der Bestimmung der Daten berücksichtigt werde, so dass das Tatbestandsmerkmal der Nichtöffentlichkeit nach dieser Auslegung keine eigenständige Funktion mehr hätte.396 Darüber hinaus könne es bei § 202b StGB nicht auf den subjektiven Willen ankommen, weil der Übermittler im Gegensatz zum Sprechenden keinen Einfluss darauf habe, an wen die Daten übersandt werden oder was mit ihnen während ihrer Übertragung geschieht.397 Daher wird von der Gegenansicht eine nichtöffentliche Datenübermittlung angenommen, wenn sich der Wille des Übermittlers, nur mit bestimmten Personen oder einem bestimmten Personenkreis zu kommunizieren, in der Art des gewählten Übertragungsvorgangs manifestiert.398 Für die Einordnung der tatbestandsmäßigen Übertragungsvorgänge im Rahmen des Cloud Computing hat dieser Streit allerdings keine Relevanz. Adressat der nicht an die Allgemeinheit gerichteten Datenübertragungen sind einzig die Cloud-Nutzer bzw. die Cloud-Anbieter und sonstigen Nachrichtenempfänger der Nutzer.399 Auch soll die Kommunikation nach dem Willen der Beteiligten (Cloud-Nutzer, CloudAnbieter sowie die sonstigen Kommunikationspartner der Cloud-Nutzer) vertraulich bleiben.400 Diese Umstände sind ferner aus der direkten Kommunikation und dem Header der versandten Datenpakete objektiv erkennbar, da sie bestimmte digitale Absender- und Empfängeradressen enthalten.401 Mithin stellen die tatbestandlich 393 Vgl. Graf, Stellungnahme, S. 4 als Vorschlag an den Gesetzgeber und nicht zur Auslegung des Tatbestandsmerkmals. 394 Kusnik, Datenspionage, S. 148; dies., MMR 2011, 720 (724). 395 Vassilaki, CR 2008, 131 (132); Ernst, NJW 2007, 2661 (2662); Gröseling/Höfinger, MMR 2007, 549 (552); Schultz, DuD 2006, 778 (780). 396 Kusnik, Datenspionage, S. 146; dies., MMR 2011, 720 (723). 397 Kusnik, Datenspionage, S. 146; dies., MMR 2011, 720 (723). 398 Kargl, NK, § 202b StGB, Rn. 5; Kusnik, Datenspionage, S. 152; dies., MMR 2011, 720 (723). 399 Vgl. Graf, MK, § 202b StGB, Rn. 10; Hilgendorf, LK, § 202b StGB, Rn. 9; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 106. 400 Vassilaki, CR 2008, 131 (133); ähnlich auch Explanatory Report, Convention on Cybercrime, S. 54: „This provision [Art. 3] aims to protect the right of privacy of data communication“. 401 Vgl. LG Wuppertal, MMR 2011, 65 (66); Gröseling/Höfinger, MMR 2007, 549 (552).
178
Kap. 3: Allgemeiner strafrechtlicher Schutz
erfassten Datenübertragungen nichtöffentliche Datenübermittlungen i.S.d. § 202b 1. Alt. StGB dar.402 Diesem Ergebnis könnte allerdings die Überlegung entgegenstehen, dass bei den über das Internet versandten (unverschlüsselten) Datenpaketen der Cloud-Nutzer stets die Gefahr einer unbefugten Kenntnisnahme durch dritte Personen besteht. Vor diesem Hintergrund könnte man eine Parallele zur faktischen Öffentlichkeit von gesprochenen Wörtern bei § 201 StGB ziehen und die internetbasierte Datenübertragung der öffentlichen Kommunikation gleichstellen.403 Allerdings verlangt die Strafvorschrift im Gegensatz zu § 202a Abs. 1 StGB gerade keine besondere Sicherung. Zudem geht auch der Gesetzgeber in der Entwurfsbegründung zu § 202b StGB davon aus, dass auch Übermittlungen über das Internet nichtöffentlich sein können.404 Zudem kann mit einer faktischen Öffentlichkeit nur argumentiert werden, wenn dem Cloud-Nutzer auch bewusst ist, dass seine eigentlich nichtöffentlichen Datenübertragungen von Dritten abgefangen werden können. In der Regel kennt aber der Cloud-Nutzer weder die technischen Abläufe noch weiß er, welche Personen auf seine Daten Zugriff nehmen können. Auch vor dem Hintergrund der Komplexität einer internetbasierten Datenübertragung kann dem Cloud-Nutzer nicht der Einfluss zukommen, wie ihn derjenige hat, der Worte von sich gibt, deren Reichweite er abschätzen kann. Nur aus diesem Einfluss ergibt sich aber eine Verantwortung, die es ermöglicht, aus einer „nichtöffentlichen“ Äußerung eine faktisch öffentliche zu machen.405 Zusammenfassend ist der Begriff der faktischen Öffentlichkeit aus § 201 StGB nicht auf § 202b StGB übertragbar, da andernfalls alle über das Internet erfolgenden Datenübertragungen als nichtöffentlich einzustufen wären. Fraglich ist aber, ob die tatbestandsmäßigen Datenübermittlungen auch gegenüber den tauglichen Innentätern des Cloud Computing, insbesondere hinsichtlich der Netzwerk- und Sicherheitsadministratoren des Cloud-Anbieters, als nichtöffentlich einzustufen sind. Hiergegen könnte sprechen, dass sie sich gerade innerhalb des Cloud-Netzwerks befinden, so dass sie im Gegensatz zu externen Angreifern nicht von außen auf das Cloud-System zugreifen müssen. Weder aus dem Wortlaut noch aus dem Schutzzweck des § 202b StGB lässt sich allerdings eine Unterscheidung entnehmen, ob ein interner oder externer Eingriff in die Datenübermittlung vorliegt.406 Ob die Datenübertragung nichtöffentlich ist, richtet sich allein nach dem Willen des Cloud-Nutzers bzw. seines Kommunikationspartners und nicht nach der (erleichterten) Zugriffsmöglichkeit eines Angreifers.407 Auch Art. 3 der CybercrimeKonvention, dessen Umsetzung § 202b StGB dient, sieht keine Beschränkung auf 402
Für den Datentransport zur und aus der Cloud ebenso Wicker, Cloud Computing, S. 122. Vgl. Graf, MK, § 201 StGB, Rn. 18, 19. 404 BT-Drs. 16/3656, S. 11; dem folgend Graf, MK, § 202b StGB, Rn. 10. 405 Kusnik, MMR 2011, 720 (723); im Ergebnis auch Preuß, Die Kontrolle von E-Mails, S. 304. 406 Preuß, Die Kontrolle von E-Mails, S. 304 f. 407 Preuß, Die Kontrolle von E-Mails, S. 305. 403
B. Abfangen von Daten
179
externe Angriffsformen vor.408 Im Ergebnis sind die tatbestandlich erfassten Datenübermittlungen damit auch gegenüber allen tauglichen Innentätern des Cloud Computing nichtöffentlich.409
II. Seitenkanalangriffe, § 202b 2. Alt. StGB Tatgegenstand sind neben Daten aus einer nichtöffentlichen Datenübermittlung auch solche, die aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage gewonnen werden. Im Gegensatz zur ersten Tatbestandsalternative ist es zur Tatbestandserfüllung aber nicht erforderlich, dass die verschafften Daten während einer Datenübertragung aus der Abstrahlung erlangt worden sind.410 Vielmehr kann es sich auch um gespeicherte bzw. rechnerintern verarbeitete Daten handeln.411 Durch die Strafnorm will der Gesetzgeber die Seitenkanalangriffe unter Strafe stellen, bei denen die „Seiteneffekte“ eines IT-Systems dazu genutzt werden, um Daten zu rekonstruieren.412 Allerdings werden nur solche Angriffsformen erfasst, bei denen die von der Hardware abgestrahlten elektromagnetischen Wellen – wie sie der Monitor, der physische Server selbst oder die Tastatur mittels Signale abgibt – mithilfe einer entsprechenden Software gemessen und analysiert werden, um Rückschlüsse auf die im Cloud-System gespeicherten Passwörter, VerschlüsselungsKeys und Inhaltsdaten zu ziehen.413 Darüber hinaus können beim Cloud Computing aber noch andere Varianten solcher Angriffe außer dem Abfangen elektromagnetischer Abstrahlung eingesetzt werden, die nicht von dem Tatbestand erfasst wer-
408 So heißt es in Art. 3 der Cybercrime-Konvention: „Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das mit technischen Hilfsmitteln bewirkte unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, aus einem Computersystem oder innerhalb eines Computersystems einschließlich elektromagnetischer Abstrahlungen aus einem Computersystem, das Träger solcher Computerdaten ist, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben […]“. 409 Vgl. Preuß, Die Kontrolle von E-Mails, S. 305 für die Annahme einer nichtöffentlichen Datenübermittlung gegenüber dem Arbeitgeber, der das Telekommunikationsnetz für eine EMail-Kommunikation zur Verfügung stellt. Vgl. auch das Urteil des AG Kamen vom 04. 07. 2008 – 16 Gs 104 Js 770/07 – 67/08, in dem das Gericht eine nichtöffentliche Datenübermittlung in einem Fall angenommen hat, in dem der Angeklagte den Computer seiner Ehefrau so manipuliert hat, dass ihre Chatnachrichten an ihn weitergeleitet wurden. 410 Hilgendorf, LK, § 202b StGB, Rn. 12, a.A. Fischer, § 202b StGB, Rn. 3. 411 Graf, MK, § 202b StGB, Rn. 13; Hilgendorf, LK, § 202b StGB, Rn. 12. 412 Hilgendorf, LK, § 202b StGB, Rn. 12; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 114. 413 Hirsnik, Angriff auf das Computersystem, S. 127; Sendzik, Datendiebstahl, S. 102; vgl. auch Kusnik, MMR 2011, 720 (725).
180
Kap. 3: Allgemeiner strafrechtlicher Schutz
den.414 So bleiben vor allem die im Rahmen der virtuellen Umgebung genutzten Angriffsformen der Cloud-Nutzer straflos, bei denen sie über ihre eigene VM die Rechenzeit (Timing Attack) oder den Verkehrsfluss analysieren und dadurch fremde Credentials und Inhaltsdaten wahrnehmbar machen. Diese Angriffe können auch nicht durch eine erweiternde Auslegung des Tatbestandsmerkmals in den Schutzbereich der Norm miteinbezogen werden. Angesichts des eindeutigen Wortsinns „elektromagnetische Abstrahlung“ würde eine strafbegründende Auslegung gegen das Analogieverbot aus Art. 103 Abs. 2 GG, § 1 StGB verstoßen.
III. Unbefugte Datenverschaffung unter Anwendung technischer Mittel Liegt ein tatbestandlich erfasster Tatgegenstand vor, muss sich der taugliche Innentäter die Inhaltsdaten unter Anwendung von technischen Mitteln unbefugt verschafft haben. Unter der Tathandlung des Sichverschaffens ist die Erlangung der tatsächlichen Herrschaftsgewalt über Daten zu verstehen, die bloße Möglichkeit des Datenzugriffs genügt also im Gegensatz zu § 202a Abs. 1 StGB nicht.415 Die tatsächliche Herrschaft kann ein tauglicher Innentäter auf unterschiedliche Weise erlangen. Neben einem Kopieren oder Aufzeichnen der Daten genügt hierfür auch die bloße Kenntnisnahme von fremden Dateninhalten.416 Darüber hinaus kommen als Tathandlungen das Umleiten der Daten auf einen tätereigenen Datenträger oder das Laden der Daten in den Arbeitsspeicher eines Rechners zur Darstellung auf einem Monitor in Betracht.417 Mit dem Erfordernis, dass die Tat unter Anwendung technischer Mittel geschehen muss, soll nach der Vorstellung des Gesetzgebers eine Überkriminalisierung vermieden werden.418 Im Allgemeinen ist es allerdings nicht ersichtlich, wie ein Verschaffen von Daten aus einem Übertragungsvorgang oder einer elektromagnetischen Abstrahlung überhaupt möglich sein soll, ohne dass hierzu technische Mittel eingesetzt werden. Teilweise wird dieses Merkmal daher für überflüssig gehalten.419 414 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 570. Mit Blick auf die allgemeine technische Entwicklung schon kritisch Schumann, NStZ 2007, 675 (677); ebenso Kusnik, Datenspionage, S. 151. 415 Fischer, § 202b StGB, Rn. 5; Hilgendorf, LK, § 202b StGB, Rn. 14; Eisele, Schönke/ Schröder, § 202b StGB, Rn. 7; Kargl, NK, § 202b StGB, Rn. 6. 416 BT-Drs. 16/3656, S. 11; siehe auch Weidemann, in: BeckOK StGB, § 202b, Rn. 9; Hoyer, SK-StGB, § 202b, Rn. 5; kritisch hierzu Kusnik, die für die Fälle der Kenntisnahme eine gedankliche Reproduzierbarkeit des Dateninhalts verlangt; Kusnik, Datenspionage, S. 154. 417 Fischer, § 202b StGB, Rn. 5; Kargl, NK, § 202b StGB, Rn. 6. 418 BT-Drs. 16/3656, S. 11. 419 Siehe hierzu nur Fischer, § 202b StGB, Rn. 6; Graf, MK, § 202b StGB, Rn. 18; Hilgendorf, LK, § 202b StGB, Rn. 15; Bosch, Satzger/Schluckebier/Widmaier, § 202b StGB, Rn. 4; Hoyer, SK-StGB, § 202b, Rn. 10; Ernst, NJW 2007, 2661 (2662).
B. Abfangen von Daten
181
Unter technischen Mitteln sind Vorrichtungen aller Art zu verstehen, die es ermöglichen, Daten aus einer Datenverarbeitungsanlage sinnlich zu erfassen und aufzuzeichnen.420 Nach dem Willen des Gesetzgebers soll der Begriff weit zu verstehen sein und neben Software auch Codes und Passwörter umfassen.421 Die Einbeziehung von Codes und Passwörtern ist jedoch mit Blick auf den Bestimmtheitsgrundsatz gem. Art. 103 Abs. 2 GG, § 1 StGB bedenklich.422 Bei diesen Sicherungsmitteln handelt es sich um Daten und nicht um technische Vorrichtungen. Diese können zwar im Einzelfall für die Datenspionage erforderlich sein, das Abfangen der Daten selbst erfolgt aber mittels hard- oder software-basierter Mittel.423 Würde man dem entgegenstehend den Begriff der „technischen Mittel“ dennoch auf sie ausdehnen, wäre eine Grenzziehung zwischen „technischen Mitteln“ und solchen Mitteln, die nicht mehr als „technisch“ anzusehen sind, nahezu unmöglich.424 Letztendlich dürften aber praktisch keine Fälle denkbar sein, bei denen fremde Nutzerdaten auch bei der Verwendung von Sicherungscodes und Passwörtern ohne Hilfe technischer Mittel verschafft werden, da unter dem Begriff bereits die Verwendung der EDV-Anlage des tauglichen Innentäters zu subsumieren ist. Das Merkmal „unbefugt“ entspricht dem inhaltsgleichen Tatbestandsmerkmal des § 202a Abs. 1 StGB.425 Erteilt ein Cloud-Nutzer seine Zustimmung zur Datenverschaffung, wirkt diese bereits tatbestandsausschließend, da die Nutzerdaten in diesem Fall für den Innentäter bestimmt sind. Die im Rahmen der Rechtswidrigkeit zum Tragen kommende mutmaßliche Einwilligung des Cloud-Nutzers hat dagegen – wie bereits gezeigt wurde – im Rahmen der Innentäter-Angriffe keine praktische Bedeutung.426 In Übereinstimmung mit dem Willen des europäischen Gesetzgebers und dem allgemeinen Datenbegriff des § 202a Abs. 2 StGB427 stellt bereits die Eingabe der Inhaltsdaten in das Cloud-System eine nichtöffentliche Datenübermittlung i.S.d. § 202b 1. Alt. StGB dar, sofern das Endgerät des Cloud-Nutzers mit dem CloudSystem kommuniziert, um die eingegebenen Daten dort zu speichern oder zu verarbeiten.428 Folglich liegt eine unbefugte Verschaffung der Inhaltsdaten aus einer laufenden Datenübermittlung seitens der tauglichen Innentäter, beispielsweise durch die Mitarbeiter der Subunternehmer, dann vor, wenn sie Passwörter und Inhaltsdaten 420
Kargl, NK, § 202b StGB, Rn. 7; Hilgendorf, LK, § 202b StGB, Rn. 16. BT-Drs. 16/3656, S. 11; Eisele, Schönke/Schröder, § 202b StGB, Rn. 8; Schumann, NStZ 2007, 675 (677). 422 Ebenso Bosch, Satzger/Schluckebier/Widmaier, § 202b StGB, Rn. 4; Kusnik, Datenspionage, S. 156, a.A. Vassilaki, CR 2008, 131 (133). 423 Eisele, Schönke/Schröder, § 202b StGB, Rn. 8; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 109. 424 Hilgendorf, LK, § 202b StGB, Rn. 16. 425 Statt vieler Eisele, Schönke/Schröder, § 202b StGB, Rn. 10. 426 Dazu S. 168. 427 Siehe hierzu S. 124 ff. 428 Vgl. Borges/Schwenk/Stuckenberg/Wegener, Identitätsdiebstahl, S. 244. 421
182
Kap. 3: Allgemeiner strafrechtlicher Schutz
durch Spionage-Tools (Hardware-Trojaner, Back- oder Trapdoor und sonstige Spyware) vor ihrer Speicherung im Cloud-System aufzeichnen und ihnen die Daten über einen verdeckten Kommunikationskanal erfolgreich übersandt werden. 429 Werden die Nutzerdaten dagegen zunächst auf dem Hardware-Keylogger ohne Sendefunktion gespeichert, erlangt der taugliche Innentäter erst mit der Zurückerlangung des Hardware-Keyloggers die Verfügungsgewalt über die abgefangenen Daten.430 Darüber hinaus machen sich auch die Cloud-Nutzer bzw. deren Serviceadministratoren bei einem Malware Injection Angriff aus § 202b 1. Alt. StGB strafbar, wenn sie im Rahmen von Telekommunikationsdiensten fremde Nutzerdaten während ihrer Übermittlung im Cloud-System auf die tätereigene VM umleiten. Straflos bleiben sie hingegen dann, wenn sie die Tathandlung im Rahmen der IaaS-, PaaS- und SaaS-Dienste begehen. In diesem Fall wird nämlich die Cloud lediglich als Endspeicher genutzt, so dass die Datenübertragungen innerhalb der Cloud keine tatbestandmäßigen Datenübermittlungen i.S.d. § 202b 1. Alt. StGB darstellen. Hingegen werden aber bei allen Dienstleistungsformen die Angriffsformen auf der Netzwerkebene der Cloud-Architektur tatbestandlich erfasst, bei denen die Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter Nutzerdaten während ihrer Übermittlung zur oder aus der Cloud durch den missbräuchlichen Einsatz der Netzwerksniffer431 oder mittels eines ARP-Spoofings bzw. durch einen sonstigen Man-in-the-Middle-Angriff432 abfangen. Da es zur Verwirklichung der Strafvorschrift weder auf eine Überwindung einer besonderen Zugangssicherung noch auf den Wert oder die Nutzungsmöglichkeit der erlangten Daten ankommt, vielmehr jeder unbefugte Erwerb der Herrschaft über die Nutzerdaten den objektiven Tatbestand des § 202b StGB erfüllt, ist auch das Abfangen von verschlüsselten Daten tatbestandsmäßig.433
IV. Zusammenfassung Die Cloud-Nutzer werden von der Strafvorschrift vor einer unberechtigten Kenntnisnahme und Verschaffung ihrer Inhaltsdaten durch Innentäter nur punktuell geschützt. Dies resultiert schon aus dem Umstand, dass die Strafnorm durch das 429
Vgl. Eisele, Schönke/Schröder, § 202b StGB, Rn. 8; Graf, MK, § 202b StGB, Rn. 18; Malek/Popp, Strafsachen, Rn. 170; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 118; Kusnik, Datenspionage, S. 66 f.; dies., MMR 2011, 720 (720); Goeckenjan, wistra 2009, 47 (51); Vogelgesang/Hessel/Möllers, DuD 2016, 729 (733). 430 Vogelgesang/Hessel/Möllers, DuD 2016, 729 (733). 431 Graf, MK, § 202b StGB, Rn. 18; Malek/Popp, Strafsachen, Rn. 170. 432 Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 118; Weidemann, in: BeckOK StGB, § 202b, Rn. 9; Ernst, NJW 2007, 2661 (2662). 433 Im Ergebnis ebenso Kusnik, Datenspionage, S. 154; a.A. Eisele, Schönke/Schröder, § 202b StGB, Rn. 7; Sendzik, Datendiebstahl, S. 103. Demgegenüber fordert Graf, MK, § 202b StGB, Rn. 16 die Erlangung des Entschlüsselungscodes und damit die Möglichkeit einer Dekodierung der verschlüsselten Daten.
B. Abfangen von Daten
183
Merkmal „Daten, die nicht für den Täter bestimmt sind“, als negatives Sonderdelikt ausgestaltet ist, so dass alle Innentäter, die ein Zugriffsrecht auf die Nutzerdaten haben, nicht tatbestandsmäßig handeln. Abgesehen davon fordert die Strafvorschrift ein Abfangen von Daten aus einer laufenden „Datenübermittlung“. Eine solche liegt aber bei den herkömmlichen IaaS-, PaaS- und SaaS-Diensten nur bis zur Speicherung der Nutzerdaten im CloudSystem vor. Angriffsszenarien, die Innentäter während der Datenübertragung innerhalb des Cloud-Systems ausüben, sind damit nach § 202b StGB straflos. Insofern werden die Data at Rest und Data in Use bei den am meisten genutzten CloudDienstleistungen überhaupt nicht von der Strafnorm geschützt. Unter Berücksichtigung des Fernmeldegeheimnisses aus Art. 10 GG ist dies – was noch weiter dargestellt werden wird434 – nur dann anders zu bewerten, wenn der Cloud-Anbieter Telekommunikationsdienste bereitstellt. Im Übrigen wird die Datenvertraulichkeit von der Strafnorm lediglich während der Übertragung der Nutzerdaten zwischen dem Endgerät des Nutzers und der Cloud und von dieser zu einer IT-Infrastruktur eines anderen Anbieters geschützt. Insofern kommt eine Strafbarkeit aus § 202b 1. Alt. StGB zum Beispiel für die Netzwerk- und Sicherheitsadministratoren in Betracht, wenn sie Nutzerdaten mittels eines ARPSpoofings bzw. durch einen sonstigen Man-in-the-Middle-Angriff während ihrer Übermittlung zur oder aus der Cloud vorsätzlich abfangen. Erlangen taugliche Innentäter allerdings verschlüsselte Daten und entschlüsseln diese anschließend, erfüllen sie zudem – wie bereits gezeigt – den Straftatbestand des § 202a Abs. 1 StGB,435 der in Folge der formellen Subsidiarität des § 202b StGB den Tatbestand des Abfangens von Daten verdrängt. Lückenhaft ist auch der strafrechtliche Schutz der Cloud-Nutzer nach § 202b 2. Alt. StGB. Obwohl der Gesetzgeber hier Seitenkanalangriffe unter Strafe stellen wollte, ist der Anwendungsbereich des Tatbestands auf das Abfangen der elektromagnetischen Abstrahlung beschränkt. Wünschenswert wäre es hingegen gewesen, den Tatbestand technikneutraler und entwicklungsoffener zu formulieren, um seinen Schutzbereich auf weitere (auch künftig denkbare) Varianten eines solchen Angriffs zu erstrecken. So führt diese Tatbestandsbeschränkung beim Cloud Computing zu dem Ergebnis, dass „Selbstgespräche“ in der virtuellen Umgebung des Cloud-Systems, bei denen Cloud-Nutzer über ihre eigene VM die Rechenzeit (Timing Attack) oder den Verkehrsfluss analysieren, um fremde Credentials und Inhaltsdaten zu rekonstruieren, nicht tatbestandsmäßig sind. Allerdings drohen hierdurch keine Strafbarkeitslücken, da sich die Cloud-Nutzer unter Umgehung der Mandantentrennung fremde Daten verschaffen und damit – wie bereits dargestellt wurde436 – den § 202a Abs. 1 StGB verwirklichen. 434 435 436
S. 196 ff. Siehe hierzu S. 166 f. Dazu S. 157 f.
184
Kap. 3: Allgemeiner strafrechtlicher Schutz
C. Vorbereiten des Ausspähens und Abfangens von Daten, § 202c Abs. 1 StGB Die Vorschrift dient der Umsetzung von Art. 6 Abs. 1 lit. a der CybercrimeKonvention und stellt in Form eines abstrakten Gefährdungsdelikts437 bestimmte Vorbereitungshandlungen zu den §§ 202a, 202b StGB und über §§ 303a Abs. 3, 303b Abs. 5 StGB auch zu den Tatbeständen der Datenveränderung gem. § 303a StGB und der Computersabotage nach § 303b StGB438 unter Strafe. An § 202c Abs. 1 StGB ist zu denken, wenn der Innentäter eine der vorgenannten Straftaten vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2 StGB) ermöglichen (Nr. 1), oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist (Nr. 2), herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Das geschützte Rechtsgut richtet sich jeweils nach der Strafnorm, welche durch die tatbestandliche Handlung vorbereitet wird, also die Verfügungsgewalt über Daten im Falle einer Bezugstat i.S.d. §§ 202a, 202b, 303a StGB und daneben auch die Rechtsgüter der Funktionsfähigkeit von Datenverarbeitungsanlagen sowie das Vermögen, falls die vorbereitende Haupttat eine Computersabotage nach § 303b StGB ist.439
I. Passwörter und Sicherungscodes, § 202c Abs. 1 Nr. 1 StGB Unter einem Passwort versteht man jede Kombination von Zeichen, die im Rahmen einer Sicherungsabfrage den Zugang zu Daten eröffnet.440 Unter einer informationstechnischen Betrachtung lassen sich hierunter alle frei gewählten oder zugewiesenen Kennwörter fassen, die sich – je nach Auswahlanweisung – aus Buchstaben und/oder Ziffern und eventuell auch weiteren Zeichen zusammensetzen und den Administratoren der Cloud-Anbieter und Cloud-Nutzer den Zugriff auf das Administratoren- bzw. Benutzerkonto gestatten.441 Das Merkmal „Sicherungscode“ stellt dagegen, wie sich bereits aus dem Wortlaut „oder sonstige“ ergibt, einen Oberbegriff für alle elektronischen Sicherungsmechanismen dar, die im Rahmen von Authentifizierungsmaßnahmen eingesetzt 437
BT-Drs. 16/3656, S. 12; Eisele, Schönke/Schröder, § 202c StGB, Rn. 1; Kargl, NK, § 202c StGB, Rn. 3; a.A. Hoyer, SK-StGB, § 202c, Rn. 3: Erfolgsdelikt. 438 Zu diesen Delikten siehe S. 317 ff. 439 Hilgendorf, LK, § 202c StGB, Rn. 2; Hoyer, SK-StGB, § 202c, Rn. 3; Graf, MK, § 202c StGB, Rn. 2; Schumann, NStZ 2007, 675 (678). 440 Hilgendorf, LK, § 202c StGB, Rn. 7; Weidemann, in: BeckOK StGB, § 202c, Rn. 4. 441 Vgl. Graf, MK, § 202c StGB, Rn. 9; Kochheim, Cybercrime und Strafrecht, Rn. 574.
C. Vorbereiten des Ausspähens und Abfangens von Daten
185
werden, um eine unbefugte Kenntnisnahme von Daten zu erschweren.442 Hierunter fallen neben Passwörtern auch die Linkfunktion beim Cloud Computing sowie Verschlüsselungs- und Codierungsprogramme, Authentifizierungszertifikate oder biometrische Erkennungsmechanismen.443 Unklar ist allerdings, in welcher Form die Sicherungscodes vorliegen müssen. Um eine zu weite Auslagerung des Tatbestands in das Vorbereitungsstadium zu verhindern, könnte man sich auf den Standpunkt stellen, dass nur datenförmige Schlüssel erfasst sein sollen.444 Hierauf könnte auch der systematische Zusammenhang zu § 202a Abs. 2 StGB hinweisen.445 Andererseits soll der Verweis aber lediglich hervorheben, dass nur solche Passwörter und Sicherungscodes in Betracht kommen sollen, die vor einem unberechtigten Datenzugang schützen.446 Aus dem Hinweis auf § 202a Abs. 2 StGB folgt damit nicht, dass die Sicherungscodes selbst in Datenform vorliegen müssen.447 Andernfalls wäre die Erfüllung des Straftatbestands auch von bloßen Zufälligkeiten abhängig.448 Zur Vermeidung von Strafbarkeitslücken sind damit auch mündlich bekanntgegebene oder schriftlich wahrnehmbare Passwörter taugliche Tatgegenstände i.S.d. § 202c Abs. 1 Nr. 1 StGB.449 Aus dem Tatbestandsmerkmal „ermöglichen“ ist aber zu folgern, dass die Sicherungscodes zum Zeitpunkt der Tat gültig sein und tatsächlich den Zugang zu Daten gewähren müssen, die bereits existieren,450 wobei die Tatbestandsverwirklichung aber nicht voraussetzt, dass der Täter die geschützten Daten tatsächlich zur Kenntnis nimmt.451 Entscheidend ist nur, dass ihm dies mithilfe der unbefugt erlangten Sicherungscodes möglich wäre. Schließlich ist auch kein Einsatz technischer Mittel, wie etwa bei der Bezugstat des § 202b StGB, erforderlich.452 Vielmehr ist eine
442 Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 202c StGB, Rn. 2; Hoyer, SK-StGB, § 202c, Rn. 4. 443 Kargl, NK, § 202c StGB, Rn. 4; Weidemann, in: BeckOK StGB, § 202c, Rn. 4. 444 Hoyer, SK-StGB, § 202c, Rn. 4; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 121. 445 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 121. 446 Nicht ausreichend sind daher Zugangscodes für den Zutritt zu Räumen, weil diese jedenfalls unmittelbar und ohne weiteres Zutun noch keinen Datenzugang ermöglichen; Graf, MK, § 202c StGB, Rn. 9. 447 Hilgendorf, LK, § 202c StGB, Rn. 7; Graf, MK, § 202c StGB, Rn. 10; Kargl, NK, § 202c StGB, Rn. 4; Eisele, Schönke/Schröder, § 202c StGB, Rn. 3. 448 Kusnik, Datenspionage, S. 201. 449 Fischer, § 202c StGB, Rn. 3; Malek/Popp, Strafsachen, Rn. 175. 450 Graf, MK, § 202c StGB, Rn. 10; Hoyer, SK-StGB, § 202c, Rn. 4; Ernst, NJW 2007, 2661 (2663). 451 Kusnik, Datenspionage, S. 201. 452 Ernst, NJW 2007, 2661 (2663).
186
Kap. 3: Allgemeiner strafrechtlicher Schutz
Online- oder Offline-Ausspähung genauso tatbestandlich erfasst wie eine elektronische, mündliche oder schriftliche Weitergabe der Sicherungscodes.453 Als Tathandlungen des § 202c Abs. 1 Nr. 1 StGB sind vor allem das Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonstiges Zugänglichmachen der Sicherungscodes denkbar. Verschafft hat sich der Innentäter das Passwort, sobald er die tatsächliche Verfügungsgewalt über dieses erlangt hat.454 Einem anderen verschafft werden die Sicherungscodes, wenn sie an einen Dritten weitergegeben oder der Erwerb eines Dritten vermittelt wird.455 Im Unterschied hierzu liegt ein Überlassen vor, wenn lediglich der Besitz an eine andere Person übergeht, ohne dass damit auch die konkrete Verfügungsmacht mitübertragen wird.456 Für die Handlungsvariante des Verkaufens genügt dagegen der Abschluss eines obligatorischen Vertrags.457 Nicht erforderlich sind die Erlangung des Besitzes oder die Kenntnisnahme der Tatobjekte, da andernfalls das Merkmal neben den Tatvarianten des Verbreitens und Zugänglichmachens keine eigenständige Bedeutung hätte.458 Ein Verbreiten meint die Weitergabe des Passworts an einen anderen mit dem Ziel, es dadurch einem größeren Personenkreis zugänglich zu machen.459 Schlussendlich liegt ein Zugänglichmachen vor, wenn einem Dritten die Möglichkeit des Zugriffs auf das Passwort eröffnet wird.460 Nicht unter die Tathandlungen des § 202c StGB fallen allerdings die Weitergabe von Insiderwissen über Sicherheitslücken oder das Zurverfügungstellen von Anleitungen und Werkzeugen zum Programmieren von cloudspezifischer Malware, welche die Begehung einer Computerstraftat erleichtern.461 In Betracht kommt in diesen Fällen aber eine Beihilfestrafbarkeit gem. § 27 Abs. 1 StGB, sofern die Haupttat im Sinne der §§ 202a, 202b, 303a und 303b StGB tatsächlich begangen wurde und der Innentäter zum Zeitpunkt der Hilfeleistung den Willen und das Be453 Kargl, NK, § 202c StGB, Rn. 4; Eisele, Schönke/Schröder, § 202c StGB, Rn. 3; Ernst, NJW 2007, 2661 (2663). 454 Hilgendorf, LK, § 202c StGB, Rn. 22. 455 Kargl, NK, § 202c StGB, Rn. 9. 456 Graf, MK, § 202c StGB, Rn. 21. 457 Fischer, § 202c StGB, Rn. 7. Auf die zivilrechtliche Wirksamkeit des Vertrags kommt es dabei nicht an; Kargl, NK, § 202c StGB, Rn. 10. 458 Ebenso Fischer, § 202c StGB, Rn. 7; Hoyer, SK-StGB, § 202c, Rn. 8; Kargl, NK, § 202c StGB, Rn. 10; Graf, MK, § 202c StGB, Rn. 20; a.A. Hilgendorf, LK, § 202c StGB, Rn. 24; Eisele, Schönke/Schröder, § 202c StGB, Rn. 5; Schumann, NStZ 2007, 675 (678); kritisch zur Tathandlung des Verkaufens Bosch, Satzger/Schluckebier/Widmaier, § 202c StGB, Rn. 5. 459 Hilgendorf, LK, § 202c StGB, Rn. 22; Kargl, NK, § 202c StGB, Rn. 11; Graf, MK, § 202c StGB, Rn. 22. 460 Kargl, NK, § 202c StGB, Rn. 11; Hilgendorf, LK, § 202c StGB, Rn. 22. 461 Eisele, Schönke/Schröder, § 202c StGB, Rn. 3; Kargl, NK, § 202c StGB, Rn. 4; Heckmann, in: juris-PraxisKommentar, Kap. 8, Rn. 147; Hirsnik, Angriff auf das Computersystem, S. 232; Schuh, Computerstrafrecht, S. 61; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 118; Ernst, NJW 2007, 2661 (2663).
C. Vorbereiten des Ausspähens und Abfangens von Daten
187
wusstsein hatte, die Tat des Dritten zu fördern.462 Kommt es hingegen nicht zur Begehung der Haupttat, liegt nur eine straflose versuchte Beihilfe vor.463 Die Tathandlung muss zur Vorbereitung einer Computerstraftat erfolgen. Wird der Zugriff des Innentäters auf die Inhaltsdaten nicht von den §§ 202a Abs. 1, 202b StGB geschützt, ist auch keine Strafbarkeit aus § 202c Abs. 1 StGB gegeben. Entsprechend den Überlegungen im Rahmen des § 202a Abs. 1 StGB scheidet demzufolge das abstrakte Gefährdungsdelikt bei den Administratoren der Cloud-Anbieter aus, die im Rahmen der Berechtigungsverwaltung der Cloud-Nutzer ungehinderten Zugang zu den Nutzerpasswörtern haben, so dass der Kennwortschutz ihnen gegenüber keine Schutzfunktion entfaltet. Darüber hinaus sind die Bezugstaten auch im Hinblick auf die Angriffshandlungen des Supervisors und der Systemadministratoren der Cloud-Anbieter, die in der Absicht erfolgen, sich mit den verschafften Zugangsdaten selbst in das fremde Nutzerkonto einzuloggen, nicht gegeben.464 Dadurch, dass die Inhaltsdaten für sie bestimmt sind, können sie keine eigene Computerstraftat i.S.d. §§ 202a und 202b StGB vorbereiten.465 Dies gilt ebenso für die Serviceadministratoren, wenn sie ihre Zugriffsberechtigung auf das von ihnen verwaltete Nutzerkonto dazu missbrauchen, Daten ihres Geschäftsherrn auszuspähen. Straflos bleibt zudem die missbräuchliche Nutzung der Linkfunktion. Zwar verschafft der Serviceadministrator mit der Übermittlung des Datenlinks Dritten Sicherungscodes,466 allerdings bereitet er dadurch – wie bereits gezeigt wurde467 – mangels des Merkmals der Überwindung einer besonderen Zugangssicherung keine fremde Computerstraftat im Sinne des § 202a Abs. 1 StGB vor, weil die Empfänger durch bloßes Anklicken des Links mühelos auf die Nutzerdaten zugreifen können.468 Geben Innentäter allerdings das ihnen anvertraute oder ausgespähte Nutzer-Kennwort an einen unberechtigten Dritten weiter und verschafft sich dieser sodann durch Verwendung des fremden Passworts für ihn nicht bestimmte Inhaltsdaten, machen sich sowohl zugriffsberechtigte als auch nicht zugangsbe-
462 Vgl. hierzu BGHSt 3, 65; Fischer, § 27 StGB, Rn. 17 ff.; Jaeger, RDV 1998, 252 (254 f.). In diesem Sinn kam das LG Frankfurt in seiner Entscheidung vom 24. 06. 1998-3/8 O 191/97 zu dem Ergebnis, dass sich ein Anbieter durch die Bereitstellung von Software, mit der Manipulationen an Kreditkarten vorgenommen werden kann, wegen Beihilfe zum Computerbetrug gem. § 263a StGB und des Missbrauchs von Scheck- und Kreditkarten nach § 266b StGB strafbar macht; LG Frankfurt a.M. CR 1998, 721 (722). 463 Kargl, NK, § 202c StGB, Rn. 2; Hilgendorf, LK, § 202c StGB, Rn. 1. 464 Ausführlich dazu S. 135 f., 162 f. 465 Eisele, Schönke/Schröder, § 202c StGB, Rn. 7; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 580. 466 Vgl. Gercke, in: Recht der elektronischen Medien, § 202c StGB, Rn. 2. 467 Siehe dazu S. 163 f. 468 Vgl. Graf, MK, § 202c StGB, Rn. 10.
188
Kap. 3: Allgemeiner strafrechtlicher Schutz
rechtigte Innentäter wegen Beihilfe zur Straftat des Dritten aus § 202a Abs. 1 StGB strafbar.469 Taugliche Täter im Sinne der Vorschrift können im Übrigen die Netzwerk- und Sicherheitsadministratoren der Cloud-Anbieter sein, sofern sich ihre Zugriffsberechtigung allein auf die technische Verwaltung der Systemkomponenten der CloudArchitektur beschränkt, ohne dass ihnen hierbei die Inhaltsdaten zugänglich sind. Darüber hinaus ist eine Tatbestandserfüllung auch durch die Cloud-Nutzer bzw. deren Serviceadministratoren möglich, vorausgesetzt, ihre Tat ist auf das Ausspähen oder Abfangen von Inhaltsdaten anderer Cloud-Kunden gerichtet. Nicht bestimmt sind ferner alle Nutzerdaten auch für die Mitarbeiter des Software- und Hardwareherstellers sowie des Cloud Service Developers. Diese tauglichen Innentäter bereiten – wie bereits im Rahmen der Strafvorschriften nach § 202a Abs. 1 StGB und § 202b StGB gezeigt wurde470 – ein Ausspähen von Daten beispielsweise dann vor, wenn sie sich die fremden Zugangsdaten durch den Einsatz von Schadsoftware (Backdoor-Programme, Trojaner etc.) verschaffen. Dies gilt ebenso, wenn sie die Sicherungscodes anderer Cloud-Nutzer im Rahmen eines VM Escapes, eines VM Hoppings oder unter missbräuchlicher Verwendung von Netzwerksniffern oder sonstiger zur Überwachung des Cloud-Netzwerks genutzter Filtertechnologien ausspähen. Da es für die Verschaffung der Sicherungscodes nicht auf eine besondere Begehungsform ankommt, handeln taugliche Innentäter neben diesen technischen Angriffsformen zudem dann tatbestandmäßig, wenn sie sich die fremden Passwörter durch bloße Beobachtung bei deren Eingabe zwecks nachfolgender Verletzung der Datenintegrität, der Vertraulichkeit oder Verfügbarkeit der Inhaltsdaten merken.471 Soweit sie später die Straftatbestände der §§ 202a, 202b StGB und §§ 303a Abs. 1, 303b StGB selbst täterschaftlich verwirklichen, treten die strafbaren Vorbereitungshandlungen aus § 202c Abs. 1 Nr. 1 StGB im Wege der Subsidiarität zurück.472 Dies gilt ebenso, wenn sie durch eine Weitergabe der ausgespähten oder abgefangenen Sicherungscodes Beihilfe zur Haupttat eines Dritten leisten.473
469 Vgl. Kargl, NK, § 202c StGB, Rn. 4; Hilgendorf, LK, § 202c StGB, Rn. 8; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 95; a.A. BT-Drs. 16/3656, S. 18; Graf, MK, § 202c StGB, Rn. 10. 470 Siehe S. 157 ff. und S. 171 f. 471 Vgl. Graf, MK, § 202c StGB, Rn. 19. 472 Hierzu nur Eisele, Schönke/Schröder, § 202c StGB, Rn. 10; Bosch, Satzger/Schluckebier/Widmaier, § 202c StGB, Rn. 8. 473 Fischer, § 202c StGB, Rn. 10; Hoyer, SK-StGB, § 202c, Rn. 11; Bosch, Satzger/ Schluckebier/Widmaier, § 202c StGB, Rn. 8.
C. Vorbereiten des Ausspähens und Abfangens von Daten
189
II. Schadprogramme, § 202c Abs. 1 Nr. 2 StGB Die zweite Tatbestandsalternative erfasst Computerprogramme, deren Zweck die Begehung einer Tat nach den §§ 202a, 202b StGB bzw. §§ 303a, 303b StGB ist. Unter einem Computerprogramm ist jede datenförmige Anweisung an einen Computer zu verstehen, die den Ablauf der einzelnen Schritte einer Datenverarbeitung steuert.474 Dem Gesetzestext lässt sich allerdings nicht entnehmen, welche Programme von der Strafvorschrift erfasst sind. Um eine Überkriminalisierung zu verhindern, soll nach dem Willen des Gesetzgebers eine Einschränkung in Anlehnung an § 263a Abs. 3 StGB dadurch erreicht werden, dass allein eine objektivierte Zweckbestimmung des Programms maßgeblich sein soll.475 Der Verweis auf § 263a Abs. 3 StGB erweist sich aber insofern als problematisch, weil Computerprogramme lediglich einzelne Arbeitsschritte ausführen, die verschiedenen, legalen wie illegalen Anliegen dienen können, so dass letztendlich fast alle Computerprogramme für kriminelle Anwendungen missbraucht werden können.476 Aus diesem Grund besitzt eine Software als solche nur Eigenschaften, dient aber nicht von vornherein ausschließlich einem illegalen Zweck.477 Insoweit ergeben sich diese erst aus der subjektiven Zielsetzung des Schöpfers oder Verwenders.478 Vor diesem Hintergrund ist umstritten, nach welchen Kriterien sich die Bestimmung der tatbestandsmäßigen Computerprogramme richtet.479 In Übereinstimmung mit der Rechtsprechung des BVerfG und der in der Literatur überwiegend vertretenen Ansicht empfiehlt es sich, für die Auslegung die Vorschrift des Art. 6 Abs. 1 lit. a Nr. i der Cybercrime-Konvention, auf den § 202c Abs. 1 Nr. 2 StGB zurückgeht, miteinzubeziehen480 und zu verlangen, dass der primäre, vorwiegende Zweck der Software in der Begehung der vorgenannten Straftaten liegen muss. In konventionskonformer Auslegung müssen damit die tauglichen Tatobjekte anhand von subjektiv-objektiven Kriterien ermittelt werden.481 Tatgegenstände sind daher alle
474
Hoyer, SK-StGB, § 202c, Rn. 5; Malek/Popp, Strafsachen, Rn. 175. BT-Drs. 16/3656, S. 12. 476 Vassilaki, CR 2008, 131 (135). 477 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 575; Fischer, § 202c StGB, Rn. 4; Cornelius, CR 2007, 682 (685); a.A. Bosch, Satzger/Schluckebier/Widmaier, § 202c StGB, Rn. 3, 6. 478 Hilgendorf, LK, § 202c StGB, Rn. 15; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 575; Borges/Stuckenberg/Wegener, DuD 2007, 275 (276); Hassemer/Ingeberg, ITRB 2009, 84 (85 f.); Vassilaki, CR 2008, 131 (135 f.); Schreibbauer/Hessel, K&R 2007, 616 (619). 479 Ausführlich hierzu Hilgendorf, LK, § 202c StGB, Rn. 11 ff. m.w.N. 480 So heißt es im englischen Originaltext des Art. 6 Abs. 1 lit. a Nr. i der CybercrimeKonvention: „[…] a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5“. 481 BVerfGK 15, 491 (505) = ZUM 2009, 745 (749 f.); Kargl, NK, § 202c StGB, Rn. 7; Eisele, Schönke/Schröder, § 202c StGB, Rn. 4; Weidemann, in: BeckOK StGB, § 202c, 475
190
Kap. 3: Allgemeiner strafrechtlicher Schutz
Programme, die mit der Absicht entwickelt wurden, sie zur Begehung einer von § 202c StGB erfassten Bezugstat einzusetzen, wobei sich diese kriminelle Zielsetzung im Programm objektiv manifestiert haben muss.482 Als objektive Umstände, die auf eine illegale Zwecksetzung schließen lassen, kann die Art und Weise des Programmaufbaus und die auf eine illegale Verwendung abzielende Vertriebspolitik und Werbung des Herstellers herangezogen werden.483 Demzufolge werden von der Strafnorm vor allem die bei der Malware Injection genutzten Hacker-Tools erfasst, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen. 484 Ihre weite Verbreitung und leichte Verfügbarkeit im Internet oder Darknet sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nach Ansicht des Gesetzgebers nur dadurch effektiv bekämpft werden kann, dass bereits die Herstellung, Verschaffung und Verbreitung solcher Tatmittel von § 202c Abs. 1 Nr. 2 StGB unter Strafe gestellt wird.485 Insofern erfüllen Innentäter den Straftatbestand, wenn sie sich oder einem anderen Schadprogramme (Würmer, Trojaner, Keylogger, Ransomware sowie Programme zum Dechiffrieren von Passwörtern oder zur Herstellung von PhishingMails486 etc.)487 verschaffen, um eine eigene oder fremde Straftat i.S.d. der §§ 202a, 202b StGB oder §§ 303a, 303b StGB vorzubereiten oder zu fördern.488 Dies gilt ebenso, wenn sie ihre Kenntnis über Systemschwachstellen zur Programmierung cloudspezifischer Malware einsetzen und die hergestellten Schadcodes sodann an Dritte verkaufen, überlassen, verbreiten oder zugänglich machen. Im Hinblick auf den Wortlaut müssen Innentäter auch keine besondere Absicht hinsichtlich des subjektiven Merkmals489 der Vorbereitung einer Straftat aufweisen;
Rn. 7.1 f.; Eisele, Computerstrafrecht, § 8, Rn. 50; Popp, GA 2008, 375 (382); Cornelius, CR 2007, 682 (685 f.); im Ergebnis auch Hilgendorf, LK, § 202c StGB, Rn. 21. 482 BVerfGK 15, 491 (505)= ZUM 2009, 745 (749); Eisele, Computerstrafrecht, § 8, Rn. 50. 483 BVerfGK 15, 491 (506) = ZUM 2009, 745 (750); Graf, MK, § 202c StGB, Rn. 16; Kargl, NK, § 202c StGB, Rn. 7; Altenhain, Matt/Renzikowski, § 202c StGB, Rn. 3; Popp, GA 2008, 375 (382 f.); Cornelius, CR 2007, 682 (687). 484 BT-Drs. 16/3656, S. 12; statt vieler siehe auch Eisele, Schönke/Schröder, § 202c StGB, Rn. 4; Kargl, NK, § 202c StGB, Rn. 6. 485 BT-Drs. 16/3656, S. 12. 486 Die einzelnen Phishing-Mails stellen aber keine lauffähigen Applikationen dar, weshalb sie keine tauglichen Tatobjekte i.S.d. § 202c Abs. 1 Nr. 2 StGB darstellen; Gercke, CR 2005, 606 (608). 487 Hilgendorf, LK, § 202c StGB, Rn. 11; Eisele, Schönke/Schröder, § 202c StGB, Rn. 4; Graf, MK, § 202c StGB, Rn. 12. 488 Enger Hilgendorf, LK, § 202c StGB, Rn. 28. 489 Für die Einordnung als subjektives Element spricht neben dem Wortlaut des Art. 6 Abs. 1 lit. a („[…]Computerprogramm …mit dem Vorsatz, [es] zur Begehung einer […] Straftat zu verwenden.“) auch die Gesetzesbegründung, in der ausgeführt wird, dass der „Täter eine eigene oder fremde Computerstraftat in Aussicht genommen“ haben muss, BT-Drs. 16/3656,
C. Vorbereiten des Ausspähens und Abfangens von Daten
191
ein bedingt vorsätzliches Handeln ist vielmehr ausreichend.490 Um das vom Gesetzgeber verfolgte Ziel einer generellen Kriminalisierung von Hackertools auch in den Fällen zu erreichen, in denen Innentäter spezifisch auf das Cloud-System zugeschnittene Malware herstellen und auf den Handelsplattformen der Underground Economy vertreiben, sollten dabei an den Vorsatz der ermöglichten oder geförderten Computerstraftat keine zu hohen Anforderungen gestellt werden. Der vorbereitende Innentäter wird in diesen Fällen zumeist keine konkrete Computerstraftat in Aussicht gestellt haben, zumal ihm das „wie“, „wann“ und „warum“ der Verwendung der von ihm hergestellten und zugänglich gemachten Crimeware durch den Käufer einer Konkretisierung nicht zugänglich ist.491 Er wird lediglich wissen, welche Straftaten mit dem von ihm entwickelten Computerprogramm im Allgemeinen begangen werden können. Aus diesem Grund kann nicht zu verlangen sein, dass sich der Innentäter entsprechend den Grundsätzen der Teilnahmestrafbarkeit gem. §§ 26, 27 StGB eine in ihren wesentlichen Umrissen konkretisierte Tat vorgestellt haben muss.492 Vielmehr sollte es auch mit Blick auf die Ausgestaltung des Tatbestands als abstraktes Gefährdungsdelikt genügen, wenn seine Vorstellung darauf gerichtet ist, dass seine bereitgestellte Malware generell zu kriminellen Handlungen im Sinne der §§ 202a, 202b, 303a, 303b StGB eingesetzt werden kann.493 Insofern kann für ein vorsätzliches Handeln des Innentäters zwar nicht die Verfolgung eines „völlig vagen Plans“494 ausreichen, jedoch muss es genügen, wenn er eine fremde Computerstraftat zumindest in den Grundzügen ins Auge fasst, indem er damit rechnet und billigend in Kauf nimmt, dass die von ihm zugänglich gemachten Tatmittel zur Begehung einer tauglichen Straftat im Sinne des § 202c StGB eingesetzt werden können.495 Diese Auslegung ergibt sich auch aus dem Verweis von § 202c Abs. 2 StGB auf § 149 Abs. 2 StGB, der die Voraussetzungen des Rücktritts normiert. Für die Anwendung des persönlichen Strafbefreiungsgrundes wird nämlich nicht verlangt, dass ein Täter die in Aussicht genommene Straftat bereits im Einzelnen geplant hat; gefordert wird S. 33; siehe auch Fischer, § 202c StGB, Rn. 8 („überschießende Innentendenz“); Kargl, NK, § 202c StGB, Rn. 9; a.A. Hilgendorf, LK, § 202c StGB, Rn. 25. 490 Statt vieler Eisele, Schönke/Schröder, § 202c StGB, Rn. 7; Fischer, § 202c StGB, Rn. 8; a.A. Borges/Stuckenberg/Wegener, DuD 2007, 275 (277); vgl. auch Hilgendorf, LK, § 202c StGB, Rn. 21. 491 Vgl. Kusnik, Datenspionage, S. 230. 492 So Hilgendorf, LK, § 202c StGB, Rn. 28; Gröseling/Höfinger, MMR 2007, 626 (629). 493 Eisele, Schönke/Schröder, § 202c StGB, Rn. 7; Fischer, § 202c StGB, Rn. 8; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 99; Popp, GA 2008, 375 (392). 494 Eisele, Schönke/Schröder, § 202c StGB, Rn. 7; kritisch zum ausreichenden Eventualvorsatz mit Blick auf den in der Cybercrime-Konvention geforderten „intent“ Kargl, NK, § 202c StGB, Rn. 14. 495 Ebenso BVerfGK 15, 491 (507) = ZUM 2009, 745 (751); Hoyer, SK-StGB, § 202c, Rn. 9; Eisele, Schönke/Schröder, § 202c StGB, Rn. 7; Graf, MK, § 202c StGB, Rn. 24 f., 30; Hirsnik, Angriff auf das Computersystem, S. 248; Schumann, NStZ 2007, 675 (678 f.); einschränkend Popp, GA 2008, 375 (392), der einen entsprechenden Vorbereitungsvorsatz ablehnt, wenn lediglich die Begehung irgendwelcher Taten durch irgendjemanden für möglich gehalten wird.
192
Kap. 3: Allgemeiner strafrechtlicher Schutz
nur eine Rücktrittshandlung, mit der die abstrakte Gefahr, dass die von ihm hergestellten oder verbreiteten Tatmittel jemals zur Begehung einer Computerstraftat benutzt werden können, abgewendet wird.496 Bei Programmen, deren funktionaler Zweck aber „nicht eindeutig ein krimineller“ ist, und die erst durch eine missbräuchliche Benutzung zu einem Tatwerkzeug werden (sog. „dual use tools“ wie Passwort-Scanner497, Netzwerksniffer oder Portscanner498), scheidet die Verwirklichung des Tatbestands dagegen aus.499 Wie Wortlaut, Entstehungsgeschichte und systematischer Zusammenhang belegen, genügt die bloße oder selbst die spezifische Eignung des Programms für kriminelle Zwecke anders als bei §§ 149 Abs. 1 Nr. 1, 275 Abs. 1 Nr. 1 StGB ebensowenig.500 Demzufolge stellen allgemeine und unspezifische Systemprogramme keine tauglichen Tatwerkzeuge dar.501 Der Missbrauch der Virtualisierungsprogramme als dual-use-Tools, über welche die Systemadministratoren der Cloud-Anbieter systemimmanenten Zugang zu den Nutzerdaten haben, erfüllt damit nicht den objektiven Tatbestand des § 202c Abs. 1 Nr. 2 StGB.502 Aus dem gleichen Grund scheidet das Delikt auch bei einer Überschreitung der Zugriffsrechte der Serviceadministratoren auf das Benutzerkonto aus. Die Cloud-Software ist aber dann tauglicher Tatgegenstand, wenn ein Anbieter nur deshalb Cloud-Dienstleistungen erbringt, um die Daten seiner Nutzer abzugreifen.503 Strafbarkeitsvoraussetzung ist aber, dass sich die kriminelle Zielsetzung in den einzelnen Befehlen und Arbeitsschritten der Cloud-Software objektiv manifestiert 496
Kusnik, Datenspionage, S. 230. Passwort-Scanner dienen der Ermittlung von Passwörtern und sonstigen Zugangscodes. Dies gestattet einerseits Systemadministratoren, die Sicherheit der Passwörter zu überprüfen, andererseits kann das Programm aber auch zu kriminellen Zwecken, d.h. zum Knacken der Passwörter benutzt werden, um sich unbefugt Zugang zu den dadurch geschützten Daten zu verschaffen; Valerius, JR 2010, 79 (84). 498 Ebenfalls für legale wie illegale Zwecke einsetzbar sind die Port-Scanner, die Netzwerke auf Schwachstellen untersuchen, um mögliche Einfallstore für Angriffe ausfindig zu machen, Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 576; vgl. auch Pierrot, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 58. 499 BT-Drs. 16/3656, S. 18 f.; BVerfGK 15, 491 (504) = ZUM 2009, 745 (749); Fischer, § 202c StGB, Rn. 5; Eisele, Schönke/Schröder, § 202c StGB, Rn. 4; Graf, MK, § 202c StGB, Rn. 16; Kargl, NK, § 202c StGB, Rn. 6; Kochheim, Cybercrime und Strafrecht, Rn. 555; a.A. Hoyer, der vorschlägt, die notwendige Eingrenzung des Tatbestands über den subjektiven Tatbestand vorzunehmen; Hoyer, SK-StGB, § 202c, Rn. 7, 9. 500 BT-Drs. 16/3656, S. 19; BVerfGK 15, 491 (503 f.) = ZUM 2009, 745 (749); Eisele, Schönke/Schröder, § 202c StGB, Rn. 4; ders., Computerstrafrecht, § 8, Rn. 50; Valerius, JR 2010, 79 (85); vgl. auch BVerfG NJW 2006, 2318 (2319) zu § 22 Abs. 1 Nr. 3 StVG. 501 BT-Drs. 16/3656, S. 12; Fischer, § 202c StGB, Rn. 5; Eisele, Schönke/Schröder, § 202c StGB, Rn. 4; Weidemann, in: BeckOK StGB, § 202c, Rn. 7; Sassenberg/Lammer, DuD 2008, 461 (464). 502 Vgl. Wicker, Cloud Computing, S. 126. 503 Ohne nähere Begründung auch Wicker, Cloud Computing, S. 126 f. 497
C. Vorbereiten des Ausspähens und Abfangens von Daten
193
hat,504 so dass sich die böswillige Verwendungsabsicht dem Systemprogramm selbst interpretativ ablesen lässt, indem ein besonnener Dritter unter Berücksichtigung aller Umstände des Einzelfalles, insbesondere des Erscheinungsbildes und der Funktion der Software, keine andere Möglichkeit hat, als von einem kriminellen Zweck der eingesetzten Cloud-Programme auszugehen.505 Dies ist beispielsweise dann der Fall, wenn die Cloud-Software derart programmiert wurde, dass Nutzerdaten mit bestimmten Inhalten gefiltert und unverschlüsselt auf den Cloud-Servern gespeichert werden.506
III. Zusammenfassung Obwohl der sog. „Hackerparagraph“507 in den Fällen Bedeutung haben soll, in denen die §§ 202a, 202b StGB nicht vollendet sind (der Versuch ist dort straflos) bzw. mangels Haupttat eine Teilnahme ausscheidet,508 gewährleistet die Strafvorschrift im Hinblick auf die Angriffsszenarien der Innentäter nur einen lückenhaften Schutz der Vertraulichkeit der Nutzerdaten. Durch das Merkmal „eine Straftat nach § 202a oder § 202b vorbereitet“ wird deutlich, dass bei den Tathandlungen des § 202c Abs. 1 StGB die rechtliche Möglichkeit der Tatbestandserfüllung hinsichtlich der tatbestandlich erfassten Bezugstaten bestehen muss. Dies ist aber gerade dann nicht der Fall, wenn der Innentäter, wie etwa der Supervisor, System- oder Serviceadministrator, ein Zugriffsrecht auf die Inhaltsdaten hat. In diesem Fall sind die Inhaltsdaten nämlich für ihn bestimmt, so dass er als tauglicher Täter des § 202a Abs. 1 StGB und § 202b StGB ausscheidet. Keine eigene oder fremde Computerstraftat nach § 202a Abs. 1 StGB wird zudem i.S.d. § 202c Abs. 1 Nr. 1 StGB vorbereitet, wenn für den unberechtigten Datenzugriff keine besondere Zugangssicherung überwunden werden muss. Nicht erfasst werden daher solche Fälle, in denen dem Angreifer die Durchbrechung des Zugangsschutzes ohne Weiteres möglich ist.509 Nicht einschlägig ist der Tatbestand daher für Administratoren der Cloud-Anbieter, die im Rahmen der Berechtigungsverwaltung ungehindert auf die Passwörter der Cloud-Nutzer zugreifen können. Ebenso fehlt es an dem Tatbestandsmerkmal der „Überwindung einer besonderen Zugangssicherung“ bei der unbefugten Versendung eines Datenlinks, wodurch Dritte mühelos auf die Inhaltsdaten zugreifen können.
504
Vgl. Fischer, § 202c StGB, Rn. 6; Ernst, NJW 2007, 2661 (2664). Kusnik, Datenspionage, S. 223; Popp, GA 2008, 375 (389). 506 Vgl. Graf, MK, § 202c StGB, Rn. 15. 507 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 574; Heger, in: Lackner/ Kühl, § 202c StGB, Rn. 1; Schumann, NStZ 2007, 675 (678). 508 Eisele, Schönke/Schröder, § 202c StGB, Rn. 1. 509 BT-Drs. 16/3656, S. 10. 505
194
Kap. 3: Allgemeiner strafrechtlicher Schutz
Umfassend tatbestandlich erfasst werden demnach lediglich Angriffsformen von nicht zugriffsberechtigten Innentätern. So machen sich z.B. die Cloud-Nutzer wegen Vorbereitens des Ausspähens und Abfangens von Inhaltsdaten gem. § 202c StGB strafbar, wenn sie sich fremde Passwörter im Rahmen einer Malware Injection oder eines VM Hopping verschaffen oder cloudspezifische Malware zur Begehung einer eigenen Tat nach den §§ 202a Abs. 1 StGB und 202b StGB herstellen. Hinter der täterschaftlich verwirklichten eigenen Haupttat tritt sodann die Strafbarkeit aus § 202c Abs. 1 StGB zurück.510 Unabhängig von einem Zugriffsrecht auf die Nutzerdaten erfüllt es zudem den Tatbestand, wenn Innentäter die Kennwörter der Cloud-Nutzer an nicht zugriffsberechtigte Dritte weitergeben oder zur Vorbereitung einer fremden Computerstraftat nach den §§ 202a f., 303a f. StGB Angriffswerkzeuge i.S.d. § 202c Abs. 1 Nr. 2 StGB herstellen, verkaufen, einem anderen überlassen, verbreiten oder sonst zugänglich machen. Soweit die Bezugstat von dem Haupttäter verwirklicht wurde, tritt die Vorbereitungshandlung aus § 202c Abs. 1 StGB aber im Wege der Subsidiarität hinter der Beihilfestrafbarkeit zur Haupttat zurück. Nicht von der Strafvorschrift erfasst wird in diesem Zusammenhang allerdings eine Anleitung zur Herstellung von Angriffswerkzeugen auf die Nutzerdaten bzw. zur Verschaffung von Passwörtern und Sicherungscodes sowie eine Weitergabe von Insiderwissen über Systemschwachstellen, die Dritte zum Auslesen der Nutzerdaten ausnutzen können. Eine Strafbarkeitslücke entsteht allerdings in diesen Fällen nicht, da eine Bestrafung des Innentäters wegen Beihilfe zu den verwirklichten Straftaten des Dritten nach den §§ 202a f., 303a f. StGB möglich ist.
D. Verletzung des Fernmeldegeheimnisses, § 206 Abs. 2 Nr. 1 StGB Im Hinblick auf den strafrechtlichen Schutz der Datenvertraulichkeit der CloudNutzer kommt § 206 StGB sowohl bei einer unbefugten Kenntnisnahme als auch bei einer unberechtigten Weitergabe der Inhaltsdaten durch Innentäter in Betracht. Während eine Weiterleitung von Nutzerdaten - wie noch zu diskutieren sein wird511 – eine Strafbarkeit des Innentäters aus § 206 Abs. 1 StGB zur Folge haben könnte, könnte bei einer unbefugten Kenntnisnahme der Inhaltsdaten § 206 Abs. 2 Nr. 1 StGB einschlägig sein. Letzteres ist der Fall, wenn der Innentäter in der Eigenschaft als Inhaber oder Beschäftigter eines Unternehmens, das geschäftsmäßig Telekommunikationsdienste erbringt, unbefugt eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut worden und verschlossen ist, öffnet oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft. 510 511
Siehe nur Graf, MK, § 202c StGB, Rn. 36. S. 219 ff.
D. Verletzung des Fernmeldegeheimnisses
195
§ 206 StGB wurde infolge der Umstrukturierung des bisherigen Post- und Fernmeldewesens nach Art. 87 f. Abs. 2 GG, wonach Dienstleistungen des Postwesens und der Telekommunikation nunmehr als privatwirtschaftliche Tätigkeiten zu erbringen sind, so dass Insiderangriffe nicht mehr zu den Straftaten im Amt (§ 354 StGB a.F.) zugeordnet werden können, durch das Begleitgesetz zum Telekommunikationsgesetz vom 17. 12. 1997512 in den 15. Abschnitt des StGB eingefügt. Die Strafnorm schützt das Fernmeldegeheimnis aus Art. 10 Abs. 1 2. Alt. GG und damit das den natürlichen und juristischen Personen und Personengesellschaften zustehende subjektive Recht auf Geheimhaltung des Inhalts und der näheren Umstände der Telekommunikation.513 Diesem Schutz kommt beim Cloud Computing angesichts des Umstands, dass die Cloud-Dienstleistungen im Rahmen eines dynamischen Wertschöpfungsnetzwerks erbracht werden und sich dadurch die Inhaltsdaten im Zugriffsbereich von mehreren Service-Anbietern befinden, eine große Bedeutung zu. Zudem wird das durch die faktische Datenherrschaft der Anbieter bedingte, notwendige Vertrauen der Nutzer in die Sicherheit der Cloud-Dienstleistungen ebenfalls von dem Tatbestand gewährleistet. Als weiteres, kumulatives Rechtsgut schützt nämlich die Strafnorm das Vertrauen der Allgemeinheit in die Sicherheit und Zuverlässigkeit des Telekommunikationsverkehrs.514 Einen ähnlichen Regelungsinhalt findet sich auch in der Verbotsnorm des § 88 Abs. 3 TKG, wonach es einem Telekommunikationsanbieter untersagt ist, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Ein Verstoß gegen diese Vorschrift ist allerdings nicht strafbewehrt. Die schuldhafte Verletzung des § 88 Abs. 3 TKG515 begründet aber zivilrechtliche Schadensersatz- und Unterlassungsansprüche nach § 823 BGB und § 44 TKG.516
512
BGBl. I S. 3108. Siehe nur Eisele, Schönke/Schröder, § 206 StGB, Rn. 2; Altenhain, MK, § 206 StGB, Rn. 1; Hoyer, SK-StGB, § 206, Rn. 4. 514 BT-Drs. 13/8016, S. 28; Fischer, § 206 StGB, Rn. 1; Altvater, LK, § 206 StGB, Rn. 7; Weidemann, in: BeckOK StGB, § 206, Rn. 2; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 1; a.A. Eisele, Schönke/Schröder, § 206 StGB, Rn. 2; Kargl, NK, § 206, Rn. 3; Welp, in: FS Lenckner, S. 629, welche – mit Ausnahme von Abs. 4 – nur Individualinteressen geschützt sehen. 515 Nach Art. 95 DSGVO haben die Vorschriften des TKG bis zum Inkrafttreten der EPrivacy-Verordnung (EP-VO) weiterhin Geltung. Danach werden sie nach Art. 288 Abs. 2 AEUV von den Regelungen der EP-VO verdrängt. 516 Klesczewski, in: Säcker (Hrsg.), TKG, § 88, Rn. 41. 513
196
Kap. 3: Allgemeiner strafrechtlicher Schutz
I. Tauglicher Täterkreis Als mögliche Täter des Sonderdelikts517 kommen nur Personen in Betracht, die Inhaber oder Beschäftigte eines Unternehmens sind, das geschäftsmäßig Telekommunikationsdienstleistungen erbringt. 1. Telekommunikationsunternehmen Für eine Strafbarkeit des Innentäters ist zunächst erforderlich, dass der CloudAnbieter Inhaber eines Unternehmens ist, das geschäftsmäßig Telekommunikationsdienstleistungen erbringt. Unter den Begriff des Inhabers fallen alle natürlichen Personen, die allein oder gemeinsam mit anderen aus eigenem Recht über die sachlichen und personellen Betriebsmittel verfügen und über die Erbringung der Telekommunikationsleistungen entscheiden können.518 Nach § 3 Nr. 22 TKG wird Telekommunikation definiert als der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen. Indem die Inhaltsdaten der Cloud-Nutzer zum und innerhalb des weltweit verteilten Cloud-Systems übertragen werden, könnte man einen tatbestandlichen Telekommunikationsvorgang annehmen. Fraglich ist allerdings, ob die einzelnen Cloud-Angebote auch als Telekommunikationsdienste einzuordnen sind. Bei diesen handelt es sich gem. § 3 Nr. 24 TKG um solche Dienstleistungen, die in der Regel gegen Entgelt erbracht werden und die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, wobei Übertragungsdienste in Rundfunknetzen mitumfasst sind. Beide Definitionen verdeutlichen, dass Telekommunikationsdienste nicht die Bereitstellung und inhaltliche Aufbereitung von Informationen, sondern allein die technische Transportleistung, d.h. die Übertragung von Signalen, zum Gegenstand haben.519 Dabei kommt es weder auf einen bestimmten Übertragungsdienst noch auf die Art oder den Inhalt der übermittelten Nachrichten an.520 Als typische Beispiele eines Telekommunikationsdienstes, bei denen offensichtlich Übertragungsleistungen erbracht werden, werden üblicherweise Sprachtelefonie und Internetzugangsdienste von Access-Providern genannt.521
517
Siehe nur Altenhain, MK, § 206 StGB, Rn. 4. Eisele, Schönke/Schröder, § 206 StGB, Rn. 8b; Kargl, NK, § 206 StGB, Rn. 12; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 2. 519 Säcker, in: Säcker (Hrsg.), TKG, § 3, Rn. 62a; Fetzer, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, § 3, Rn. 102. 520 Säcker, in: Säcker (Hrsg.), TKG, § 3, Rn. 59. 521 Fetzer, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, § 3, Rn. 104; Säcker, in: Säcker (Hrsg.), TKG, § 3, Rn. 62a. 518
D. Verletzung des Fernmeldegeheimnisses
197
Beim Cloud Computing bedarf es zwar zwingend der Datenübermittlung in Form von Signalen von einem Cloud-Server auf den anderen oder von einem Client zu dem Cloud-Server, allerdings vermitteln regelmäßig allein die Internet Service Provider (Cloud Carrier) den Zugang zu dem Cloud-Netzwerk und erbringen die zur CloudNutzung erforderlichen Signalübertragungen über Telekommunikationsnetze (Internet, Intranet). Die Cloud-Anbieter stellen lediglich die Schnittstellen und ITRessourcen bereit, mit denen die Cloud-Nutzer die Inhaltsdaten in das Cloud-System transportieren und auf den Cloud-Servern speichern können. Insofern handelt es sich bei den herkömmlichen IaaS, PaaS- und SaaS-Dienstleistungen um keine Telekommunikationsdienste im Sinne des § 3 Nr. 24 TKG.522 Dies entspricht auch dem Ergebnis des Vorläufermodells des Cloud Computing, dem Grid Computing, bei dem ebenfalls das Merkmal der Signalübertragung verneint wird, weil der Datentransport zu den bereitgestellten IT-Ressourcen des Grid-Anbieters durch den Nutzer selbst oder durch einen von diesem beauftragten Dritten erfolgt.523 Etwas anderes könnte aber dann gelten, wenn ausnahmsweise der Cloud-Anbieter seinen Nutzern den Zugang zu seinen Cloud-Dienstleistungen als Network as a Service (NaaS)524 zur Verfügung stellt. Teilweise wird auch in diesem Fall eine Telekommunikationsdienstleistung mit dem Argument verneint, dass die technischen Zugangs- und Transportleistungen lediglich eine Nebenleistung des eigentlichen Cloud-Dienstes seien, dessen Hauptleistung einzig in der Bereitstellung von IT-Ressourcen liege.525 Diese, ausschließlich am Wortlaut des § 3 Nr. 24 TKG orientierte schwerpunktmäßige Bewertung des gesamten Cloud-Dienstes, kann aber schon deshalb nicht überzeugen, weil es sonst der Cloud-Anbieter in der Hand hätte, die Anwendung der bereichspezifischen Datenschutzvorschriften des TKG durch eine geschickte Gestaltung seines Angebots zu unterlaufen.526 Aus diesem Grund kann sich die Bewertung der einzelnen Cloud-Dienstleistung nur nach sachlich-funktionalen Kriterien richten.527 Deshalb muss nach einer funktionalen Betrachtung jede trennbare Leistungskomponente innerhalb eines zusammengesetzten Cloud-Dienstes als eigene Leistung betrachtet und bewertet werden.528 Nimmt die Cloud-Infrastruktur des Anbieters 522 Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 14; Kroschwald, Informationelle Selbstbestimmung, S. 169 f.; Wicker, Cloud Computing, S. 86; Boos/Kroschwald/ Wicker, ZD 2013, 205 (206); Schuster/Reichl, CR 2010, 38 (43); Heidrich/Wegener, MMR 2010, 803 (805). 523 Siehe nur Koch, CR 2006, 112 (118). 524 Siehe dazu nur ISO/IEC 17788:2014, S. 6. 525 Bedner, Cloud Computing, S. 115; Kroschwald, Informationelle Selbstbestimmung, S. 169 f.; Wicker, Cloud Computing, S. 88; Boos/Kroschwald/Wicker, ZD 2013, 205 (206); Heidrich/Wegener, MMR 2010, 803 (805). 526 Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 19. 527 Kremer/Völkel, CR 2015, 501 (502). 528 Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 21; Kremer/Völkel, CR 2015, 501 (502); vgl. auch Säcker, in: Säcker (Hrsg.), TKG, § 3, Rn. 62.
198
Kap. 3: Allgemeiner strafrechtlicher Schutz
demnach bei einzelnen Bestandteilen einer Cloud-Dienstleistung Signalübertragungen vor, wie dies bei der Erbringung der technischen Transportleistung zu dem Cloud-Netzwerk der Fall ist, ist insoweit auch eine Telekommunikationsdienstleistung i.S.d. § 3 Nr. 24 TKG gegeben.529 Unabhängig von dieser Streitfrage greift der Tatbestand des § 206 StGB aber von seinem Schutzzweck nicht ein, wenn Administratoren des Cloud-Anbieters in dieser Konstellation die Inhaltsdaten der Cloud-Nutzer ausspähen. Die Strafnorm dient nicht dazu, vor Indiskretionen oder einem Geheimnisverrat seitens des Kommunikationspartners, sondern allein vor den besonderen Gefahren der Übermittlung durch Dritte zu schützen.530 Die Vertraulichkeit der Kommunikation ist aber bei den IaaS-, PaaS- und SaaS-Diensten überhaupt nicht tangiert, wenn Mitarbeiter der CloudAnbieter auf die Inhaltsdaten zugreifen, da Empfänger der Nutzerdaten allein die Cloud-Anbieter sind. Enttäuscht wird zwar das in den Kommunikationspartner gesetzte Vertrauen der Nutzer in den ordnungsgemäßen Umgang mit ihren Inhaltsdaten, allerdings berührt dies nicht den Schutzbereich des § 206 StGB. Mitarbeiter des Cloud-Anbieters sind demzufolge selbst dann keine tauglichen Täter des Straftatbestands, wenn dieser den Nutzern den Zugang zu seinen Dienstleistungen vermittelt.531 Keinen Telekommunikationsdienst stellt grundsätzlich auch die von den CloudAnbietern bereitgestellte Cloud Collaboration dar, bei der Inhaltsdaten mit Dritten geteilt und versendet werden können.532 Sofern der Serviceadministrator den Datenlink generiert, der sodann mithilfe des E-Mail-Providers des Cloud-Nutzers an den Empfänger versandt wird, nimmt der Cloud-Anbieter keine elektronische Signalübertragung zwischen dem Nutzeraccount und dem Dritten vor, sondern führt lediglich auf Veranlassung des Innentäters die Autorisierung des Dritten durch.533 Wird dagegen der Datenlink mithilfe einer von dem Cloud-Anbieter generierten EMail versandt, liegt zwar eine dem Fernmeldegeheimnis unterliegende Telekommunikation vor, allerdings werden auch hier die technischen Signale zu dem E-MailEmpfänger in der Regel nicht von dem Cloud-Anbieter selbst, sondern unter Einschaltung des Cloud Carriers erbracht.534 Erfolgt der technische Transportvorgang allerdings durch das Cloud-System, ist diese Funktionalität des Cloud-Dienstes nach einer funktionalen Betrachtung auch als Telekommunikationsdienst einzustufen.535 529 Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 21; Heun, in: Niemann/ Paul, Praxishandbuch, Kap. 10, Rn. 243; Kremer/Völkel, CR 2015, 501 (502); Martini/Zimmermann, CR 2007, 427 (428); vgl. auch Grünwald/Döpkens, MMR 2011, 287 (288); Pohle, ITRB 2011, 290 (293). 530 Altvater, LK, § 206 StGB, Rn. 13; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 13; Kargl, NK, § 206 StGB, Rn. 17; Eisele, Schönke/Schröder, § 206 StGB, Rn. 6b. 531 Ebenso Wicker, Cloud Computing, S. 158. 532 Kremer/Völkel, CR 2015, 501 (503). 533 So auch Wicker, Cloud Computing, S. 160; Kremer/Völkel, CR 2015, 501 (504). 534 Kremer/Völkel, CR 2015, 501 (505). 535 Wicker, Cloud Computing, S. 162; Kremer/Völkel, CR 2015, 501 (505).
D. Verletzung des Fernmeldegeheimnisses
199
Telekommunikative Bestandteile finden sich zudem beim Communication as a Service (CaaS), bei dem E-Mail-Dienste, Internettelefonie (Voice over Internet Protocol – VoIP),536 Audio- und Video-Conferencing, Instant Messaging537 oder Videokonferenzen angeboten werden.538 Sofern bei diesen Dienstleistungen die eigenständige Übermittlung von Kommunikationssignalen durch die Cloud-Anbieter erbracht wird, sind diese als Telekommunikationsdiensteanbieter zu qualifizieren.539 Bedingt durch die Ausrichtung ihres Angebotes auf die entgeltliche und dauerhafte und damit geschäftsmäßige Bereitstellung von Telekommunikationsdiensten im Sinne des § 3 Nr. 10 TKG,540 gehören die Beschäftigten des CaaS-Betreibers zum tauglichen Täterkreis. Demnach sind auch die Cloud-Nutzer taugliche Täter der Strafvorschrift, wenn sie als CaaS-Anbieter selbst geschäftsmäßig Telekommunikationsdienste für Dritte erbringen. Dies ist etwa der Fall, wenn sie als Arbeitgeber ihren Mitarbeitern nachhaltig die Möglichkeit einräumen, vom Arbeitsplatz auf das Internet zuzugreifen und über einen personalisierten E-Mail-Account nicht nur dienstlich, sondern auch für private Zwecke zu kommunizieren.541 In dieser Situation sind Arbeitgeber allerdings nicht nur bei einer erlaubten Privatnutzung der betrieblichen IT-Mittel taugliche Täter des § 206 StGB, sondern auch dann, wenn sie im Rahmen des Konzepts „Bring your own Device“ ihre eigene IT-Infrastruktur für die Anbindung der privaten Endgeräte in das Internet oder Intranet zur Verfügung stellen und hierdurch die Kommunikation ihrer Arbeitnehmer ermöglichen.542 Insbesondere steht ihrer Täterschaft dabei auch nicht der Umstand entgegen, dass die CaaS-Dienste unentgeltlich für die Unternehmensangehörigen zur Verfügung gestellt werden.543 Nach § 3 Nr. 24 TKG setzt die Erbringung der Telekommunikationsdienstleistungen 536 Ausführlich zur Einordnung der Internettelefonie und E-Mail-Übertragungsdienste als Telekommunikationsdienste gem. § 3 Nr. 24 TKG siehe Säcker, in: Säcker (Hrsg.), TKG, § 3, Rn. 64. 537 Ausführlich hierzu Schneider, ZD 2014, 231 (231 ff.). 538 Brennscheidt, Cloud Computing, S. 31; Gaul/Koehler, BB 2011, 2229 (2229); Grünwald/Döpkens, MMR 2011, 287 (287); Schuster/Reichl, CR 2010, 38 (39). 539 Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 21; Ulmer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 A, Rn. 31. 540 Vgl. Kargl, NK, § 206 StGB, Rn. 8 ff.; Säcker, in: Säcker (Hrsg.), TKG, § 3, Rn. 26. 541 Siehe nur Altvater, LK, § 206 StGB, Rn. 12; Kargl, NK, § 206 StGB, Rn. 10 f.; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 2; Salvenmoser/Schreier, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 15. Teil, Rn. 118; Kroschwald/Roßnagel/Wicker, in: Krcmar/ Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 283 f.; Neumann, K&R 2014, 320 (320 ff.); Schuster, ZIS 2010, 68 (70); Dann/Gastell, NJW 2008, 2945 (2946). 542 Kremer/Sander, ITRB 2012, 275 (279); vgl. auch Grimm, jM 2016, 17 (23); ausführlich zur umstrittenen Frage der Einordnung des Arbeitgebers als Telekommunikationsanbieter Preuß, Die Kontrolle von E-Mails, S. 78 ff.; Wybitul, ZD 2011, 69 (69 ff.). 543 A.A. VG Karlsruhe NVwZ-RR 2013, 797 (801); LAG Brandenburg NZA-RR 2011, 342 (343); Eisele, Schönke/Schröder, § 206 StGB, Rn. 8a; Rübenstahl/Debus, NZWiSt 2012, 129 (132 ff.); siehe zuletzt auch Schuster, CR 2014, 21 (21 ff.).
200
Kap. 3: Allgemeiner strafrechtlicher Schutz
nicht zwingend eine Gewinnerzielungsabsicht voraus.544 Schließlich ist es durch die Mitwirkung des Arbeitgebers bei der Bereitstellung der CaaS-Dienste letztendlich für die Schutzwürdigkeit der CaaS-Nutzer auch unerheblich, ob die privaten E-Mails über das Webmail-Programm des Arbeitgebers oder einen externen CaaS-Anbieter versendet werden.545 In Anbetracht des auch bei der privaten Nutzung betrieblicher Telekommunikationsmöglichkeiten bestehenden schutzwürdigen Geheimhaltungsinteresses der Arbeitnehmer hat die Bundesregierung in dem Gesetzgebungsverfahren zur Regelung des Beschäftigtendatenschutzes Ende 2010 zu Recht festgestellt, dass „[ein] Arbeitgeber, [der]…die private Nutzung von Telekommunikationsdiensten erlaubt…nach geltender Rechtslage … als Diensteanbieter im Sinne von § 3 Nr. 6 TKG, anzusehen ist.“546 Nicht einschlägig ist die Strafnorm aber dann, wenn den Arbeitnehmern lediglich die dienstliche Nutzung der bereitgestellten CaaSDienste gestattet wurde.547 In diesem Fall bilden sie zusammen mit dem Arbeitgeber eine Organisationseinheit, weshalb keine Telekommunikationsdienste für Dritte erbracht werden.548 2. Beschäftigte der CaaS-Anbieter Als taugliche Täter des § 206 Abs. 2 StGB kommen alle Personen in Betracht, die zur Tatzeit Beschäftigte des CaaS-Anbieters sind. Unter dem Begriff des Beschäftigten werden alle in einem privatrechtlichen oder (auslaufenden) öffentlich-rechtlichen Dienstverhältnis stehenden Mitarbeiter verstanden, die unabhängig vom konkreten Umfang in einem Dienstverhältnis für den CaaS-Anbieter tätig sind.549 Umstritten ist zwar, ob hierunter auch unentgeltliche Tätigkeiten fallen,550 allerdings kann der Streit dahinstehen, da unentgeltlich Beschäftigte (etwa Praktikanten oder unentgeltlich mitwirkende Familienangehörige) jedenfalls durch die Anwendung 544 BT-Drs. 13/8016, S. 29; Altenhain, MK, § 206 StGB, Rn. 18; Kargl, NK, § 206 StGB, Rn. 9; Klesczewski, in: Säcker (Hrsg.), TKG, § 88, Rn. 19. 545 Vgl. OLG Karlsruhe MMR 2005, 178 (179 f.); Neumann, K&R 2014, 320 (323); a.A. VG Karlsruhe NVwZ-RR 2013, 797 (801); Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 45; wonach das TKG nicht der Regelungen des Rechtsverhältnisses zwischen Arbeitgeber und Arbeitnehmer, sondern allein der Rechtsbeziehungen zwischen dem Staat und den Telekommunikationsanbietern, den Telekommunikationsanbietern untereinander und zwischen den Kunden der Telekommunikationsanbieter und diesen, diene. 546 BT-Drs. 17/4230, S. 42. 547 Kargl, NK, § 206 StGB, Rn. 10; Heidrich/Tschoepe, MMR 2004, 75 (76); allerdings unterliegen Beeinträchtigungen der Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten durch den Arbeitgeber dann den straf- und bußgeldrechtlichen Grenzen der Art. 83 DSGVO, § 42 BDSG; siehe hierzu die Ausführungen unter S. 279 ff. 548 Altenhain, MK, § 206 StGB, Rn. 17; Salvenmoser/Schreier, in: Achenbach/Ransiek/ Rönnau (Hrsg.), Wirtschaftsstrafrecht, 15. Teil, Rn. 118; Schuster, ZIS 2010, 68 (71). 549 BT-Drs. 13/8016, S. 29; Altenhain, MK, § 206 StGB, Rn. 23; Fischer, § 206 StGB, Rn. 2. 550 Verneinend Hoyer, SK-StGB, § 206, Rn. 8; dafür Kargl, NK, § 206 StGB, Rn. 12; Altvater, LK, § 206 StGB, Rn. 15.
D. Verletzung des Fernmeldegeheimnisses
201
der § 206 Abs. 3 Nr. 2 StGB und § 206 Abs. 3 Nr. 3 StGB in den Tatbestand einbezogen sind. Darüber hinaus spielt es nach der ratio legis und dem Wortlaut der Strafvorschrift auch keine Rolle, ob der die Beschäftigung regelnde Vertrag nach arbeits- oder dienstrechtlichen Grundsätzen wirksam ist.551 Maßgebend ist allein die faktische Leistungserbringung mit Willen und nach Weisung des CaaS-Anbieters.552 Demzufolge gehören grundsätzlich alle Mitarbeiter des CaaS-Anbieters zum tauglichen Täterkreis des § 206 Abs. 2 Nr. 1 StGB. Weitere Voraussetzung ist allerdings, dass die Tathandlung in einem funktionalen Zusammenhang mit der beruflichen Tätigkeit des Innentäters steht. Hierfür ist es bereits ausreichend, dass er mit einer telekommunikationsspezifischen Tätigkeit betraut ist, die es ihm ermöglicht, die Sendung des CaaS-Nutzers ohne Weiteres, d.h. nicht – wie ein außenstehender Dritter – unter Überwindung erheblicher Sicherheitsvorrichtungen, zur Kenntnis zu nehmen.553 Entsprechend den Überlegungen im Rahmen des § 202a Abs. 1 StGB kommen demzufolge als taugliche Täter vor allem die Administratoren der CaaS-Anbieter in Betracht, da es ihnen aufgrund ihres privilegierten Zugangs zu dem Cloud-System möglich ist, die Inhaltsdaten der Nutzer ohne erheblichen technischen oder zeitlichen Aufwand zur Kenntnis zu nehmen.554 Dabei ist zudem nicht erforderlich, dass sie unmittelbar dienstlich mit der Sendung befasst waren.555 Daher liegt die erforderliche Sachnähe zwischen ihrer Tätigkeit und dem Bekanntwerden der Angriffsobjekte auch dann vor, wenn sie sich unbefugt oder infolge einer Privilege Escalation Kenntnis von den Sendungen der CaaS-Nutzer verschafft haben.556 Bei den Beschäftigten der CaaS-Anbieter, die nicht bei der Erbringung der CaaSDienste mitwirken, fehlt es aber an der durch die spezifische Mitwirkung an der Erbringung der Telekommunikationsdienste begründeten Tatgelegenheit zur Kenntnisnahme der Kommunikationsinhalte der Nutzer. Zu verneinen ist ein funktionaler Zusammenhang daher beispielsweise bei den Reinigungskräften und bei den Mitarbeitern in der Abrechnungsabteilung des CaaS-Anbieters.557 Einen umfassenden Schutz des Rechts der Cloud-Nutzer auf Geheimhaltung des Inhalts und der näheren Umstände der Telekommunikation vor sämtlichen Mitar551
Altenhain, MK, § 206 StGB, Rn. 23; Kargl, NK, § 206 StGB, Rn. 12. Vgl. Altvater, LK, § 206 StGB, Rn. 15; Kargl, NK, § 206 StGB, Rn. 12; Altenhain, MK, § 206 StGB, Rn. 23. 553 Altvater, LK, § 206 StGB, Rn. 33; Eisele, Schönke/Schröder, § 206 StGB, Rn. 9, 19; Kargl, NK, § 206 StGB, Rn. 19, 24; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 7; Eisele, Computerstrafrecht, § 14, Rn. 30; vgl. auch Hoyer, SK-StGB, § 206, Rn. 10. 554 Vgl. Eisele, Schönke/Schröder, § 206 StGB, Rn. 9; Altenhain, MK, § 206 StGB, Rn. 37 (Fernmeldetechniker). Siehe auch die Ausführungen unter S. 153 f., 165 f 555 Kargl, NK, § 206 StGB, Rn. 19, 24; Altvater, LK, § 206 StGB, Rn. 33. 556 Vgl. Eisele, Schönke/Schröder, § 206 StGB, Rn. 9, 19; Altenhain, MK, § 206 StGB, Rn. 37. 557 BGH NJW 1953, 1153; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 206 StGB, Rn. 9; Eisele, Schönke/Schröder, § 206 StGB, Rn. 9; Kargl, NK, § 206 StGB, Rn. 19. 552
202
Kap. 3: Allgemeiner strafrechtlicher Schutz
beitern der CaaS-Anbieter könnte allerdings durch eine extensive Auslegung des Tatbestands erreicht werden. In diesem Zusammenhang vertritt Altenhain die Ansicht, dass als Täter der Strafvorschrift jeder Beschäftigte in Betracht komme, dessen Stellung im Telekommunikationsunternehmen es ihm ermögliche, die der Geheimhaltung unterliegenden Tatsachen zur Kenntnis zu nehmen.558 Mit dem Schutzzweck des § 206 StGB sei es nämlich unvereinbar, wenn die Strafbarkeit der Innentäter allein von einer funktionalen Betrachtung, die ihr Kenntniserlangen mit ihren dienstlichen Obliegenheiten verknüpfe, abhinge. Nicht überzeugend ist es daher nach Altenhain, dass ein fehlender funktionaler Zusammenhang zur Straflosigkeit führt, obwohl ein solcher Innentäter letztendlich das gleiche Unrecht verwirklicht, wie ein Mitarbeiter des CaaS-Anbieters, dessen Aufgabenkreis zur Erfüllung der spezifischen Funktion des Telekommunikationsunternehmens beiträgt.559 Aus der Sicht des CaaS-Nutzers sei es schlichtweg unverständlich, wenn zwar ein Administrator des CaaS-Anbieters, der Einblick in E-Mails der CaaS-Nutzer nimmt, nach § 206 StGB bestraft werden könne, nicht aber z.B. eine Reinigungskraft, die ihren Zugang zu den Cloud-Servern missbraucht, um Nutzerdaten auf einen eigenen Datenträger zu kopieren, obwohl in beiden Fällen eine Verletzung des Fernmeldegeheimnisses aus Art. 10 Abs. 1 2. Alt. GG gegeben sei.560 Der von Altenhain geforderten expansiven Auslegung ist zwar darin zuzustimmen, dass sie zu einem umfassenden Schutz der Cloud-Nutzer vor den Angriffsoptionen aller Mitarbeiter des CaaS-Anbieters führt. Eine rein opferbezogene Sicht entfernt sich jedoch zu weit von dem Schutzgedanken des § 206 StGB, der auch darin besteht, das allgemeine Vertrauen in das ordnungsgemäße Funktionieren des Fernmeldeverkehrs zu gewährleisten.561 Dieses Vertrauen kann sich aber von vornherein nur auf Personen beziehen, die mit der Erfüllung einer telekommunikationsspezifischen Tätigkeit des CaaS-Anbieters betraut wurden.562 Aus diesem Grund wurde die Strafvorschrift auch als Sonderdelikt ausgestaltet, das nach seinem Wortsinn allein die Verletzung einer Sonderpflicht unter Strafe stellt.563 Eine rein opferbezogene Auslegung des Tatbestands entfernt sich aber von diesem Wortsinn, indem – unabhängig von einem notwendigen Vertrauen der Nutzer in die Diskretion der Bediensteten – letztendlich alle Beschäftigten eines Telekommunikationsunternehmens in den Täterkreis einbezogen werden. Konsequenz hiervon ist zudem, dass ein Spannungsverhältnis der ersten beiden Absätze der Strafvorschrift mit dem § 206 Abs. 3 Nr. 3 StGB entsteht.564 So kommt nach der Gegenansicht zum Beispiel der unternehmensinterne Hausmeister als tauglicher Täter der § 206 Abs. 1 und Abs. 2 558 559 560 561 562 563 564
Siehe hierzu sowie im Folgenden Altenhain, MK, § 206 StGB, Rn. 37. Altenhain, MK, § 206 StGB, Rn. 37. Vgl. Altenhain, MK, § 206 StGB, Rn. 37. Hierzu bereits oben S. 195. Ebenso Kargl, NK, § 206 StGB, Rn. 20. So auch Altvater, LK, § 206 StGB, Rn. 17. Ebenso Altvater, LK, § 206 StGB, Rn. 17.
D. Verletzung des Fernmeldegeheimnisses
203
StGB in Betracht, wohingegen die Täterschaft des Mitarbeiters einer externen Hausverwaltung – auch nach Altenhain – nach § 206 Abs. 3 Nr. 3 StGB zu verneinen ist, da seine Tätigkeit in keinem spezifischen Zusammenhang zum Geheimnisbereich steht.565 Zur Vermeidung einer Schlechterstellung von unternehmensinternen gegenüber betriebsexternen Personen ist daher mit Blick auf den Bestimmtheitsgrundsatz des Art. 103 Abs. 2 GG, § 1 StGB auch für die Strafbarkeit von betriebsinternen Mitarbeitern nach den ersten beiden Absätzen des § 206 StGB zu fordern, dass ihre Tätigkeit mit der Erbringung der Telekommunikationsdienstleistungen innerlich zusammenhängen muss.566 Demzufolge scheiden Innentäter, deren Tätigkeiten keine besondere Sachnähe zu der Aufgabenstellung der CaaSAnbieter aufweisen, als taugliche Täter des § 206 StGB aus. 3. Erweiterung des Täterkreises nach § 206 Abs. 3 StGB Neben den Administratoren der CaaS-Anbieter wird der Täterkreis nach § 206 Abs. 3 Nr. 2 StGB auf die mit der Erbringung der Telekommunikationsdienste beauftragten, unternehmensfremden Angestellten der eingeschalteten Subunternehmer erweitert.567 Gedacht ist dabei an Personen, die zwar selbst nicht Inhaber oder Beschäftigte von Telekommunikationsunternehmen sind, die aber auf der Grundlage von privatrechtlichen Vereinbarungen von den CaaS-Anbietern zur „Aushilfe“ herangezogen werden.568 Daneben werden nach § 206 Abs. 3 Nr. 3 StGB auch diejenigen Personen in den Täterkreis einbezogen, die von den CaaS- Anbietern mit der Herstellung, Wartung oder Reparatur der Fernmeldeanlagen betraut wurden und dadurch in die Lage kommen, Kenntnis von den übermittelten Inhaltsdaten zu erlangen.569 Folglich stellen auch die Mitarbeiter der Software- und Hardwareanbieter sowie des Cloud Service Developers taugliche Täter im Sinne des § 206 StGB dar, wenn sie von den CaaS-Anbietern mit der Herstellung und Wartung einzelner Systemkomponenten oder mit der Erbringung einzelner Serviceleistungen des CaaS-Dienstes betraut wurden.
II. Verschlossene Sendung Taugliche Innentäter könnten sich wegen einer Verletzung des Fernmeldegeheimnisses aus § 206 Abs. 2 Nr. 1 StGB strafbar machen, wenn sie während der Dauer ihres Beschäftigungsverhältnisses eine zur Übermittlung anvertraute, ver565 566 567 568 569
Altenhain, MK, § 206 StGB, Rn. 27. So auch Kargl, NK, § 206 StGB, Rn. 20. Vgl. Altenhain, MK, § 206 StGB, Rn. 26; Hoyer, SK-StGB, § 206, Rn. 12. BT-Drs. 13/8016, S. 29; Kargl, NK, § 206 StGB, Rn. 38. Vgl. Kargl, NK, § 206 StGB, Rn. 39; Altvater, LK, § 206 StGB, Rn. 62.
204
Kap. 3: Allgemeiner strafrechtlicher Schutz
schlossene Sendung unbefugt öffnen oder sich unter Anwendung technischer Mittel Kenntnis von ihrem Inhalt verschaffen. Anders als § 206 Abs. 1 StGB setzt die Strafvorschrift nach § 206 Abs. 2 Nr. 1 StGB nicht voraus, dass das Tatobjekt dem Fernmeldegeheimnis unterliegt.570 Da allerdings die Sendung dem CaaS-Anbieter zur Übermittlung anvertraut worden sein muss, wovon von der ordnungsgemäßen Aufgabe zur Beförderung bis zur Rückgabe an den Absender oder Zustellung an den Empfänger ausgegangen wird,571 ist dies dennoch der Fall.572 Fraglich ist aber, ob die Inhaltsdaten der CaaS-Nutzer unter dem Begriff der „Sendung“ subsumiert werden können und das Kriterium des „Verschlossenseins“ erfüllen. 1. Sendung Als Tatobjekt werden alle auf dem Fernmeldeweg übermittelten, d.h. alle zur Versendung bestimmten und empfangenen Sendungen erfasst.573 Ob hierunter aber auch die elektronischen Nachrichten der CaaS-Nutzer fallen, bedarf einer näheren Betrachtung. Nach einer Ansicht fallen unter den Sendungsbegriff nur körperliche Nachrichten, so dass E-Mails, Text- und Sprachnachrichten der CaaS-Nutzer nicht umfasst sind.574 Dies folge schon aus dem Erfordernis des Verschlossenseins sowie aus dem Wortlaut „Sendung“.575 Auch wird argumentiert, dass Angriffe auf elektronische Daten während ihres Übertragungsvorgangs ausreichend durch die §§ 202b, 303a StGB und § 148 TKG sanktioniert seien.576 Zudem wird auf die Gesetzgebungsgeschichte verwiesen, wonach der Begriff „Sendung“ dem § 354 StGB a.F. entstammt und dort nur die körperlichen Tatobjekte des §§ 354, 355 RStGB, wie Briefe, Pakete und Telegramme, ersetzen sollte.577 Der Wille des historischen Gesetzgebers verliert allerdings durch den Wandel der gesellschaftlichen Gegebenheiten an Bedeutung.578
570
Welp, in: FS Lenckner, S. 639 ff. Altenhain, MK, § 206 StGB, Rn. 48 m.w.N. 572 Zutreffend Preuß, Die Kontrolle von E-Mails, S. 156. 573 Kargl, NK, § 206 StGB, Rn. 25. 574 OLG Hamm NJW 1980, 2320 (2321); Altvater, LK, § 206 StGB, Rn. 35; Bosch, Satzger/ Schluckebier/Widmaier, § 206 StGB, Rn. 8; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 8; Krey/ Heinrich/Hellmann, Strafrecht BT I, Rn. 644; Barton, CR 2003, 839 (844). 575 Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 8; Barton, CR 2003, 839 (844). 576 Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 8. 577 BT-Drs. 7/550, S. 285; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 8; Altenhain, MK, § 206 StGB, Rn. 46. 578 Eisele, in: Baumann/Weber/Mitsch/Eisele, Strafrecht AT, § 7, Rn. 78; Larenz/Canaris, Methodenlehre, S. 170 ff.; ebenso Preuß, Die Kontrolle von E-Mails, S. 158. 571
D. Verletzung des Fernmeldegeheimnisses
205
Die Gegenansicht geht jedoch davon aus, dass auch elektronische Nachrichten der CaaS-Nutzer unter den Sendungsbegriff fallen.579 Dieser Ansicht ist zuzustimmen. Hierfür spricht schon das in der amtlichen Überschrift und in § 206 Abs. 5 Satz 2 StGB genannte Fernmeldegeheimnis, das unstreitig auch die unkörperliche Kommunikation schützt.580 Zudem ist es inkonsequent, wenn der Gesetzgeber über § 206 Abs. 1 StGB jegliche Form der Mitteilung über den Inhalt fernmelderelevanter Tatsachen der CaaS-Nutzer erfasst, aber bei den besonders gravierenden Verletzungen der Integrität und Verfügbarkeit der Nutzerdaten nach § 206 Abs. 2 StGB eine Verkörperung verlangen würde.581 Aus dem Merkmal des Verschlossenseins lassen sich ferner keine Schlussfolgerungen für den Sendungsbegriff ziehen, da sich aus dem Vergleich des § 206 Abs. 2 Nr. 2 StGB mit § 206 Abs. 2 Nr. 1 StGB gerade entnehmen lässt, dass nicht jede Sendung „verschlossen“ sein muss.582 Auch der Wortsinn des Begriffs „Sendung“ setzt schließlich nicht zwingend eine Verkörperung voraus. So verwendet das TKG in § 3 Nr. 9, 22, 23 für die unkörperliche Kommunikation selbst die Begrifflichkeiten „Aussendung“ und „senden“.583 Auch der BGH spricht in Übereinstimmung mit der Alltagssprache im Zusammenhang mit den Anforderungen an die Sicherstellung von E-Mails beim Provider von einer „E-MailSendung“.584 Zuletzt trifft es auch nicht zu, dass bei den Innentäter-Angriffen ein umfassender strafrechtlicher Schutz der Nutzerdaten während ihres Übertragungsvorgangs durch § 202b StGB585 und – wie noch zu zeigen sein wird – durch § 148 TKG586 gewährleistet wird. Um das Interesse der CaaS-Nutzer auf Geheimhaltung des Inhalts ihrer elektronischen Nachrichten strafrechtlich nach § 206 Abs. 2 StGB abzusichern, wird vorliegend, was den Begriff der Sendung anbelangt, keine Körperlichkeit gefordert. Demzufolge sind die fernmelderelevanten Inhaltsdaten der CaaS-Nutzer unter dem Sendungsbegriff des § 206 Abs. 2 Nr. 2 StGB zu subsumieren. 2. Verschlossensein Des Weiteren müsste es sich bei den elektronischen Nachrichten der CaaS-Nutzer um verschlossene Sendungen handeln. Unter Verweis auf die Definition des § 202 Abs. 1 StGB werden hierunter nur solche Sendungen verstanden, die mit Vorkeh579
OLG Karlsruhe MMR 2005, 178 (180); Fischer, § 206 StGB, Rn. 13; Hoyer, SK-StGB, § 206, Rn. 25; Preuß, Die Kontrolle von E-Mails, S. 158; Härting, CR 2007, 311 (315); Heidrich, CR 2009, 168 (169); Heidrich/Tschoepe, MMR 2004, 75 (77); Kitz, CR 2005, 450 (451); Cornelius/Tschoepe, K&R 2005, 269 (271). 580 Hoyer, SK-StGB, § 206, Rn. 25. 581 Fischer, § 206 StGB, Rn. 13; Sassenberg/Lammer, DuD 2008, 461 (462). 582 Fischer, § 206 StGB, Rn. 13. 583 Preuß, Die Kontrolle von E-Mails, S. 158. 584 BGH MMR 2009, 391; Preuß, Die Kontrolle von E-Mails, S. 158. 585 Siehe hierzu die Ausführungen auf S. 170 ff. 586 Zu dieser Strafvorschrift siehe S. 274 ff.
206
Kap. 3: Allgemeiner strafrechtlicher Schutz
rungen versehen sind, welche ein deutliches Hindernis gegen eine unbefugte Kenntnisnahme ihres Inhalts darstellen.587 Bei verschlüsselten Daten wird allerdings das Tatbestandsmerkmal von der ganz überwiegenden Meinung verneint.588 Dieser Ansicht ist zuzustimmen. Zwar können durch Verschlüsselungsmechanismen auch Daten vor einer unberechtigten Kenntnisnahme ihres Inhalts gesichert werden, allerdings wird aus der Verwendung des Begriffs „Verschluss“ deutlich, dass die Schutzvorkehrung für den Täter eine körperliche Barriere darstellen muss. Die Erfüllung des Tatbestandsmerkmals ist deshalb nur bei körperlichen Gegenständen, beispielsweise in Form von zugeklebten Briefumschlägen oder Paketverpackungen, denkbar.589 Vor diesem Hintergrund kann der Tatbestand nach dem Wortsinn „verschlossensein“ und dem Analogieverbot aus Art. 103 Abs. 2 GG, § 1 StGB nicht derart weit ausgelegt werden, dass eine Datenverschlüsselung mit einem „Verschluss“ gleichgesetzt werden kann.590 Hätte der Gesetzgeber auch unkörperliche Sicherungen erfassen wollen, hätte er eine ähnliche Formulierung wie in § 202a Abs. 1 StGB „gegen unberechtigten Zugang besonders gesichert“ wählen müssen.591 Folglich bleiben Innentäter nach § 206 Abs. 2 Nr. 1 StGB straflos, wenn sie unbefugt Kenntnis von dem Inhalt der elektronischen Nachrichten der CaaS-Nutzer nehmen, und zwar unabhängig davon, ob sie diese im Klartext ausspähen oder ihre Tat verschlüsselte Nachrichten zum Gegenstand hat, deren Verschlüsselung sie mithilfe eines Brute-Force-Angriffs oder mittels sonstiger Entschlüsselungs-Tools brechen.
III. Zusammenfassung Da bei den IaaS, PaaS- und SaaS-Diensten keine Telekommunikationsdienstleistungen erbracht werden, fallen ihre Betreiber und ihre Beschäftigten nicht in den möglichen Täterkreis des § 206 StGB. Lediglich die Administratoren der CaaSAnbieter und die bei den CaaS-Diensten eingeschalteten Beschäftigten der Subunternehmer (Hardware- und Softwareanbieter sowie der Cloud Service Developer) kommen als taugliche Täter der Strafvorschrift in Betracht. Allerdings kann das Tatbestandsmerkmal „verschlossene Sendung“ nach seinem Wortsinn und des im 587 Kargl, NK, § 206 StGB, Rn. 27; Fischer, § 202 StGB, Rn. 5; OLG Stuttgart NStZ 1984, 25 (26). 588 OLG Karlsruhe MMR 2005, 178 (180); OLG Hamm, NJW 1980, 2320 (2321); Altvater, LK, § 206 StGB, Rn. 36; Eisele, Schönke/Schröder, § 206 StGB, Rn. 17; Fischer, § 206 StGB, Rn. 13; Altenhain, MK, § 206 StGB, Rn. 46; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 8; Hoyer, SK-StGB, § 206, Rn. 25; Weidemann, in: BeckOK StGB, § 206, Rn. 14; Schuster, ZIS 2010, 68 (73); Barton, CR 2003, 839 (844); Welp, in: FS Lenckner, S. 641. 589 Weitergehend Altvater, LK, § 206 StGB, Rn. 36. 590 Ebenso Hoyer, SK-StGB, § 206, Rn. 25; Altenhain, MK, § 206 StGB, Rn. 46; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 8. 591 So auch Preuß, Die Kontrolle von E-Mails, S. 159.
D. Verletzung des Fernmeldegeheimnisses
207
Strafrecht geltenden Analogieverbots aus Art. 103 Abs. 2 GG, § 1 StGB nicht so weit ausgelegt werden, dass hierunter auch verschlüsselte Daten der Cloud-Nutzer fallen. Demzufolge bleiben Innentäter nicht nur dann aus § 206 Abs. 2 Nr. 1 StGB straflos, wenn sie elektronische Nachrichten der CaaS-Nutzer im Klartext abgreifen, sondern auch dann, wenn sie fernmelderelevante Nutzerdaten in verschlüsselter Form ausspähen. Der Strafnorm kommt damit für den Schutz der Inhaltsdaten vor ihrer unbefugten Kenntnisnahme und Verschaffung durch Innentäter des Cloud Computing überhaupt keine Bedeutung zu. Bei einer Weitergabe der elektronischen Nachrichten der Cloud-Nutzer durch taugliche Innentäter könnte allerdings § 206 Abs. 1 StGB einschlägig sein. Ob dies der Fall ist, soll aber erst an anderer Stelle erörtert werden.592
592
Hierzu S. 219 ff.
4. Kapitel
Allgemeiner strafrechtlicher Schutz vor Weitergabe und Verwertung Die in der Cloud gespeicherten Inhaltsdaten der Cloud-Nutzer erweisen sich für Innentäter als wirtschaftlich äußerst profitabel. Erhebliche Gewinne können sie vor allem bei einem Verkauf der entwendeten Daten auf den Handelsplattformen der Underground Economy generieren.1 Neben der Fortsetzung und Vertiefung ihrer bereits durch die Vortat verletzten formellen Verfügungsbefugnis sehen sich die Cloud-Nutzer bei einer Weitergabe ihrer unbefugt erlangten Inhaltsdaten oftmals auch mit enormen immateriellen wie materiellen Schäden konfrontiert (Umsatzverluste durch Plagiate, Verlust von Wettbewerbsvorteilen, Imageschäden, Erpressung mit gestohlenen Daten etc.). Vor diesem Hintergrund ist Ziel des nachfolgenden Kapitels zu untersuchen, ob die Weitergabe und Verwertung der ausgespähten oder abgefangenen Inhaltsdaten durch Innentäter des Cloud Computing de lege lata ausreichend unter Strafe gestellt wird. Im Fokus der Prüfung stehen dabei die Straftatbestände der Datenhehlerei gem. § 202d Abs. 1 StGB, der Offenbarung und Verwertung fremder Privatgeheimnisse nach den §§ 203 Abs. 1, 3 Satz 2, 204 StGB sowie der Tatbestand der Verletzung des Fernmeldegeheimnisses gem. § 206 Abs. 1 StGB. Nicht mehr erörtert werden sollen an dieser Stelle die bereits untersuchten Tatbestände aus § 202c Abs. 1 Nr. 1 StGB und § 202a Abs. 1 StGB. Wie schon gezeigt wurde, machen sich Innentäter aus diesen Strafvorschriften strafbar, wenn sie unberechtigten Dritten Passwörter der Cloud-Nutzer verschaffen, verkaufen, überlassen oder sonst zugänglich machen.2 Nicht verwirklicht sind die Tatbestände dagegen dann, wenn Innentäter treuwidrig ihre Zugriffsberechtigung auf die Nutzerdaten dazu missbrauchen, um diese unbefugt an Dritte weiterzuleiten.3 Im Folgenden soll nun der Frage nachgegangen werden, ob dieser unbefriedigende strafrechtliche Schutz der Vertraulichkeit der Inhaltsdaten von den Vorschriften der § 202d Abs. 1 StGB; §§ 203 Abs. 1, 3 Satz 2, 204 StGB und § 206 Abs. 1 StGB aufgefangen wird.
1 2 3
BKA, Cybercrime 2016, S. 4. Siehe hierzu S. 160 f. und S. 187 f. Dazu S. 163 ff. und S. 187 f.
A. Datenhehlerei
209
A. Datenhehlerei, § 202d StGB Infolge des zunehmenden Handels mit rechtswidrig erlangten Daten, vor allem von digitalen Identitäten, wie Kreditkartendaten oder Zugangsdaten zu Onlinebanking, E-Mail-Diensten oder sozialen Netzwerken, auf den Verkaufsforen der Underground Economy, wurde mit dem Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 10. 12. 2015 trotz zahlreicher rechtspolitischer, dogmatischer und verfassungsrechtlicher Bedenken4 die Strafnorm der Datenhehlerei nach § 202d in das StGB eingefügt.5 Da der klassische Tatbestand der Hehlerei gem. § 259 StGB nur für körperliche Sachen eingreift, beabsichtigte der Gesetzgeber mit der am 18. 12. 2015 in Kraft getretenen Strafvorschrift Strafbarkeitslücken des bisherigen Rechts bei der Verwertung von rechtswidrig erlangten Daten zu schließen.6 Insofern soll der Straftatbestand in Anlehnung an die Strafvorschrift der Sachhehlerei die Datenherrschaft, d. h. die Entscheidungsgewalt darüber, wem die eigenen Daten zugänglich sein sollen, umfassend gewährleisten.7 Aus diesem Grund machen sich Datenhändler nunmehr gem. § 202d Abs. 1 StGB strafbar, wenn sie Daten im Sinne des § 202a Abs. 2 StGB, die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschaffen, einem anderen überlassen, verbreiten oder sonst zugänglich machen, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Einen für die Praxis bedeutsamen Tatbestandsausschluss begründet allerdings § 202d Abs. 3 StGB für solche Handlungen, die ausschließlich dem Zweck der Erfüllung rechtmäßiger beruflicher oder dienstlicher Pflichten dienen. Dazu gehören insbesondere 1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie 2. solche beruflichen Handlungen der in § 53 Abs. 1 S. 1 Nr. 5 der Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen, ausgewertet oder veröffentlicht werden. Kritisiert wird in diesem Zusammenhang, dass Berufsjournalisten und andere journalistisch tätige Personen im Bereich des investigativen Journalismus, bei dem häufig rechtswidrig erlangtes Material von Innentätern (sog. Whistleblowern) entgegengenommen, ausgewertet und publiziert wird,
4
Im Mittelpunkt der Kritik stehen u. a. die Unbestimmtheit und der Hinweis auf nicht vorhandene Regelungslücken; ausführlich hierzu Selz, in: Taeger (Hrsg.), Internet, S. 915 ff.; Stuckenberg, ZIS 2016, 526 (530 ff.); Meinicke/Eidam, K&R 2016, 315 (315 f.); Franck, RDV 2015, 180 (182); Stellungnahme der DGRI vorgestellt von Beck/Meinicke, CR 2015, 481 (481 ff.); Golla/Zur Mühlen, JZ 2014, 668 (669 ff.). 5 BGBl. I S. 2218; zur Gesetzgebungsgeschichte siehe nur Stuckenberg, ZIS 2016, 526 (526 ff.). 6 BT-Drs. 18/5088, S. 25. 7 Berghäuser, JA 2017, 244 (245); vgl. auch BT-Drs. 18/5088, S. 2 f.
210
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
nicht ausreichend vor einer Strafverfolgung geschützt seien.8 Nach der Konzeption des Gesetzgebers soll allerdings der Tatbestandsausschluss des § 202d Abs. 3 Satz 2 Nr. 2 StGB derartige Situationen umfassen und in Anlehnung an den § 184b Abs. 5 StGB investigativ tätige Journalisten privilegieren.9 Ob hierunter aber auch nebenberufliche Journalisten, nicht beruflich journalistisch tätige Bürger (Blogger) und extern hinzugezogene Berater fallen, ist unklar.10 Vor diesem Hintergrund legte ein Zusammenschluss von Bürgerrechtsorganisationen und Journalisten am 16. 12. 2016 beim BVerfG Verfassungsbeschwerde gegen das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten ein mit dem Ziel, den Tatbestand der Datenhehlerei wegen einer Verletzung der Presse- und Rundfunkfreiheit gem. Art. 5 Abs. 1 Satz 2 GG, der Freiheit der Berufsausübung nach Art. 12 GG, der allgemeinen Handlungsfreiheit nach Art. 2 Abs. 1 GG, den allgemeinen Gleichheitssatz aus Art. 3 Abs. 1 GG und dem strafrechtlichen Bestimmtheitsgrundsatz gem. Art. 103 Abs. 2 GG, § 1 StGB für nichtig zu erklären.11 Ungeachtet des Ausgangs dieses Verfahrens ist die Strafvorschrift aber, wie im Folgenden noch gezeigt werden wird, ohnehin nicht geeignet, die Cloud-Nutzer hinreichend vor einer Weitergabe ihrer ausgespähten oder abgefangenen Daten durch Innentäter zu schützen.
I. Tatgegenstand Entsprechend seiner systematischen Stellung zu den §§ 202a ff. StGB schützt die Strafvorschrift der Datenhehlerei ebenfalls die formelle Verfügungsbefugnis der Cloud-Nutzer, die aufgrund ihres Rechts an dem gedanklichen Dateninhalt befugt sind, über eine Weitergabe und Übermittlung ihrer in der Cloud befindlichen Inhaltsdaten zu entscheiden.12 Verletzt ein Innentäter dieses Recht, indem er rechtswidrig Nutzerdaten ausspäht oder abfängt, soll der Tatbestand der Datenhehlerei verhindern, dass es zu einer Aufrechterhaltung bzw. Vertiefung dieser Rechtsgutsverletzung kommt, indem sich ein Dritter die erlangten Datenkopien verschafft und 8 Verneinend Roßnagel, NJW 2016, 533 (538); Dix/Kipker/Schaar, ZD 2015, 300 (305); Franck, RDV 2015, 180 (182); a.A. mit dem zutreffenden Verweis auf den nicht abschließenden Charakter und der Möglichkeit einer weiten Auslegung der Vorschrift Singelnstein, ZIS 2016, 432 (436); Kirchner, Kriminalistik 2016, 368 (370); Neuhöfer, jurisPR-Compl 2015, Anm. 6. 9 BT-Drs. 18/5088, S. 48. 10 Herfurth/Drews, ZD-Aktuell 2017, 5490; Hartmann, MMR-Aktuell 2017, 385442; Selz, in: Taeger (Hrsg.), Internet, S. 929. 11 Das Verfahren ist unter dem AZ 1 BvR 2821/16 beim Bundesverfassungsgericht anhängig. Ausführlich hierzu auch ZD-Aktuell 2017, 05467; Herfurth/Drews, ZD-Aktuell 2017, 5490; Hartmann, MMR-Aktuell 2017, 385442. 12 BT-Drs. 18/5088, S. 26; Kargl, NK, § 202d StGB, Rn. 5; Graf, MK, § 202d StGB, Rn. 2a, 3; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 202d StGB, Rn. 2; Hoyer, SK-StGB, § 202d, Rn. 1; ablehnend u. a. Selz, in: Taeger (Hrsg.), Internet, S. 925 f.; Golla/Zur Mühlen, JZ 2014, 668 (670).
A. Datenhehlerei
211
damit eine weitere Person anstelle der Cloud-Nutzer über die Zugänglichmachung ihrer Inhaltsdaten entscheiden kann.13 Diese Perpetuierung stellt vor allem auch deshalb gegenüber der illegalen Datenerlangung ein selbstständiges Unrecht dar, da es für die Cloud-Nutzer mit jeder Weiterverbreitung ihrer Inhaltsdaten komplizierter wird, ihre Daten nachzuverfolgen und die alleinige Entscheidungsbefugnis zurückzugewinnen.14 Daneben dient die Strafvorschrift auch allgemeinen Sicherheitsinteressen, welche durch die wirtschaftliche Verwertung der illegal erlangten Inhaltsdaten und dem hierdurch geschaffenen Anreiz zur Begehung von strafbaren Vortaten beeinträchtigt werden.15 In Erfüllung dieser Schutzrichtung ist der Anwendungsbereich des Tatbestands weit gefasst.16 Durch den Verweis auf § 202a Abs. 2 StGB fallen in seinen Schutzbereich zunächst alle ausgelagerten und verarbeiteten Inhaltsdaten der Nutzer in der Cloud.17 Dabei kommt es in Anlehnung an das formelle Datengeheimnis der §§ 202a ff. StGB weder auf ihren wirtschaftlichen Wert noch auf ihren Informationsinhalt an.18 Da die Strafvorschrift die in den Daten angelegten Informationen schützt, ist es für die Einordnung der gehehlten Inhaltsdaten als taugliches Tatobjekt zudem nicht von Belang, ob der Vortäter die rechtswidrig erlangten Daten in eine andere Kodierung bzw. Datenformate bringt oder Datenderivate schafft, indem er zunächst die verschlüsselt ausgespähten Daten entschlüsselt und sodann die KlartextDaten verkauft.19 Allerdings führt die Bezugnahme auf den Datenbegriff des § 202a Abs. 2 StGB auch zu einer tatbestandlichen Beschränkung des Schutzbereichs. Durch das Erfordernis der mangelnden unmittelbaren Wahrnehmbarkeit der gehandelten Informationen stellen nur elektronische Daten taugliche Tatgegenstände dar.20 Insofern können Innentäter eine Strafbarkeit aus § 202d Abs. 1 StGB dadurch leicht umgehen, dass sie die illegal erlangten Informationen mündlich oder in ausgedruckter Form an Dritte weitergeben. Eine weitere Einschränkung des Tatbestands folgt zudem durch die Notwendigkeit, dass die Inhaltsdaten nicht allgemein zugänglich sein dürfen. Der Tatbestandsausschluss ist im Zusammenhang mit der Informationsfreiheit gemäß Art. 5 13 BT-Drs. 18/5088, S. 26; Hoyer, SK-StGB, § 202d, Rn. 1; Graf, MK, § 202d StGB, Rn. 2a; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 202d StGB, Rn. 8. 14 Vgl. BT-Drs. 18/5088, S. 26; Kargl, NK, § 202d StGB, Rn. 5; Graf, MK, § 202d StGB, Rn. 2a. 15 BT-Drs. 18/5088, S. 26; Hoyer, SK-StGB, § 202d, Rn. 2; kritisch hierzu Kargl, NK, § 202d StGB, Rn. 5. 16 Berghäuser, JA 2017, 244 (245). 17 Siehe hierzu bereits oben S. 124 ff. 18 Graf, MK, § 202d StGB, Rn. 6, 10; Fischer, § 202d StGB, Rn. 4; Singelnstein, ZIS 2016, 432 (432); Stuckenberg, ZIS 2016, 526 (529). 19 Differenzierend Brodowski/Marnau, NStZ 2017, 377 (380); siehe auch Reinbacher, GA 2018, 311 (315 f.). 20 Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 202d StGB, Rn. 8; Gercke, ZUM 2016, 825 (826).
212
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
Abs. 1 Satz 1 2. Hs. GG zu verstehen, wonach jeder das Recht hat, „sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten“,21 wobei über „die Zugänglichkeit einer Information und die Modalitäten des Zugangs allein die Person entscheidet, die über ein entsprechendes Bestimmungsrecht verfügt“.22 Für die Auslegung des Tatbestandsmerkmals wird in der Gesetzesbegründung auf den § 10 Abs. 5 Satz 2 BDSG a.F. Bezug genommen.23 Danach sind solche Daten nicht allgemein zugänglich, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann. Nicht einschlägig ist der Tatbestand daher für Daten, wie zum Beispiel für ausgespähte, sensible Privatbilder von Prominenten,24 die im Internet – sei es an versteckter Stelle oder auf Umwegen – frei oder nach Entrichtung eines Nutzungsentgelts potentiell für jedermann verfügbar sind.25 Dass ein Täter nicht auf die allgemein zugängliche Quelle zurückgreift, sondern sich die Vortat zunutze macht, soll daher keine Strafbarkeit aus § 202d Abs. 1 StGB begründen.26 Demgegenüber sind gehandelte Daten aber dann nicht allgemein zugänglich, wenn sie nur an eine bestimmte Person zur freien und ausschließlichen Nutzung überlassen werden.27 Werden allerdings die rechtswidrig erlangten Daten wiederum auf den Verkaufsforen des Darknets zum Kauf bereitgehalten, scheidet eine Strafbarkeit des Erwerbers wegen Datenhehlerei aus.28 Das Darknet mag ein vom Durchschnittsnutzer im Regelfall nicht frequentierter Bereich des Internets sein - da aber keine Anmeldung, Zulassung oder Entrichtung eines Entgelts erforderlich ist, sind alle dort frei verfügbaren Daten allgemein zugänglich und damit von dem Anwendungsbereich der Strafnorm ausgenommen.29 Bedeutende Absatzmodalitäten des Datenhandels werden damit von der Strafnorm überhaupt nicht erfasst. Anders wäre dies aber dann, wenn man den maßgeblichen Zeitpunkt für das Vorliegen dieses Tatbestandsmerkmals auf die Begehung der Vortat erstrecken würde. Angesichts des eindeutigen Wortlauts der Strafnorm, wonach Bezugsobjekt des Merkmals allein die Hehlereihandlung ist, indem es in der Vorschrift heißt, dass der Täter „Daten, die nicht allgemein zugänglich sind […] sich oder einem anderen 21
Golla/Zur Mühlen, JZ 2014, 668 (669); vgl. auch BT-Drs. 17/14362, S. 14. BVerfG NJW 2001, 1633 (1634). 23 BT-Drs. 18/5088, S. 45; siehe auch Eisele, Schönke/Schröder, § 202d StGB, Rn. 6. 24 Siehe hierzu nur Stern, Pressemeldung „Nacktbilder von Scarlett Johansson: PromiHacker zu zehn Jahren Haft verurteilt“ vom 18. 12. 2012; abrufbar unter https://www.stern.de/ panorama/nacktbilder-von-scarlett-johansson-promi-hacker-zu-zehn-jahren-haft-verurteilt-3 892478.html (zuletzt aufgerufen am 01. 02. 2018). 25 Fischer, § 202d StGB, Rn. 5; Hoyer, SK-StGB, § 202d, Rn. 4; Heger, in: Lackner/Kühl, § 202d StGB, Rn. 2; Eisele, Schönke/Schröder, § 202d StGB, Rn. 6; Franck, RDV 2015, 180 (180). 26 BT-Drs. 18/5088, S. 45; Graf, MK, § 202d StGB, Rn. 11; Weidemann, in: BeckOK StGB, § 202d, Rn. 4: Hoyer, SK-StGB, § 202d, Rn. 4. 27 Vgl. Eisele, Schönke/Schröder, § 202d StGB, Rn. 6. 28 Stam, StV 2017, 488 (489); Gercke, ZUM 2016, 825 (827); Weidemann, in: BeckOK StGB, § 202d, Rn. 4.1. 29 Gercke, ZUM 2016, 825 (827); vgl. auch Eisele, Schönke/Schröder, § 202d StGB, Rn. 6. 22
A. Datenhehlerei
213
verschafft […]“, verbietet sich aufgrund des Analogieverbots („Nullum crimen sine lege stricta“) gem. Art. 103 Abs. 2 GG, § 1 StGB aber eine strafbegründende Auslegung zu Lasten des Täters per analogiam.30 Mit Blick auf den Sinn und Zweck der Strafvorschrift, den illegalen Datenhandel mit strafrechtlichen Mitteln effektiv dadurch zu bekämpfen, dass durch eine umfassende Strafandrohung der Anreiz zur Erlangung von Inhaltsdaten und ihrem entgeltlichen Weiterkauf an Dritte genommen wird,31 könnte ein anderer Ansatzpunkt zur Erfassung solcher Handelsformen darin liegen, das Tatbestandsmerkmal abweichend von § 10 Abs. 5 S. 2 BDSG a.F. zu definieren. Hierfür bietet es sich an, das Kriterium unter Berücksichtigung des Rechts auf Informationsfreiheit aus Art. 5 Abs. 1 Satz 1 Halbsatz 2 GG auszulegen und nur solche Daten als „allgemein zugänglich“ anzusehen, wenn sie nach dem Willen des Verfügungsberechtigten dazu bestimmt wurden, der Allgemeinheit, also einem individuell nicht bestimmbaren Personenkreis ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts zugänglich zu sein.32 In diesem Sinn entscheiden allein die CloudNutzer über die Zugänglichkeit und die Art der Zugangseröffnung ihrer Inhaltsdaten. Entsprechend der ratio legis der Strafvorschrift, eine Aufrechterhaltung und Vertiefung ihres durch die Vortat verletzten Verfügungsrechts unter Strafe zu stellen, geht die Entscheidungsgewalt über die Zugänglichkeit ihrer Daten auch nicht mit der rechtswidrigen Datenerlangung auf den Innentäter über.33 Demzufolge werden auch die im Internet bzw. im Darknet rechtswidrig, d. h. ohne oder gegen den Willen der Cloud-Nutzer, gehandelten Inhaltsdaten, tatbestandlich erfasst. Der mit dieser Tatbestandsauslegung verbundenen Ausweitung der Strafbarkeit sollte allerdings im Rahmen des subjektiven Tatbestands durch eine strenge Prüfung des Vorsatzes Rechnung getragen werden. Insofern sollte ein vorsätzliches Handeln des Datenkäufers nur angenommen werden, wenn sich ihm die fehlende Berechtigung des Innentäters zum Zugänglichmachen der Inhaltsdaten nach den Tatumständen (vor allem nach den Zugangsmöglichkeiten zur Webseite sowie ihrer Aufmachung und Inhalt) aufdrängen musste.34 In dieser Hinsicht wird jedenfalls ein (bedingt) vorsätzliches Handeln des Erwerbers bei einem Datenhandel auf den Verkaufsforen des Darknets anzunehmen sein.
30
Ausführlich zum Analogieverbot Hassemer/Kargl, NK, § 1 StGB, Rn. 70 ff. BT-Drs. 18/5088, S. 26 f. 32 BVerfGE 103, 44 (60 f.) = NJW 2001, 1633 (1634); BVerfGE 27, 71 (83) = NJW 1970, 235 (237); vgl. auch Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 12; Reinbacher, GA 2018, 311 (321 f.). 33 A.A. Singelnstein, ZIS 2016, 432 (434 f.); wohl auch Franck, RDV 2015, 180 (180). 34 Ähnlich für § 42 BDSG Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 13. 31
214
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
II. Vollendete rechtswidrige Vortat Schutzlücken für die Cloud-Nutzer ergeben sich aber daraus, dass der Vortäter die Nutzerdaten durch eine rechtswidrige Tat (§ 11 Abs. 1 Nr. 5 StGB) erlangt haben muss. Als Vortat kommen alle Taten in Betracht, die ein Strafgesetz verwirklichen und die sich auch gegen die formelle Verfügungsbefugnis des Berechtigten richten.35 Taugliche Vortaten können daher nicht nur das Abfangen und Ausspähen von Daten (§§ 202a, 202b StGB) sein, sondern beispielsweise auch ein Diebstahl (§ 242 StGB), ein Computerbetrug (§ 263a StGB) und eine Nötigung (§ 240 StGB).36 Schließlich kommt die Datenhehlerei ebenso als Vortat in Betracht wie grundsätzlich eine Straftat aus § 42 BDSG.37 An einer gegen die formelle Verfügungsbefugnis gerichteten Vortat fehlt es aber dann, wenn die Inhaltsdaten erst durch die Vortat hervorgebracht wurden.38 Von dem Straftatbestand ausgenommen werden damit solche personenbezogenen Daten, die Anbieter, etwa im Rahmen des Data Mining39, selbst unbefugt erstellen und sich dabei nach § 42 Abs. 2 Nr. 1 BDSG strafbar machen.40 Darüber hinaus fehlt es an einer tauglichen Vortat, „wenn Daten in einem berechtigt genutzten System unter Verletzung von vertraglichen Zugriffsbeschränkungen erlangt worden sind“.41 Straflos bleiben damit die Angriffsszenarien des Privilegienmissbrauchs, bei denen die Administratoren der Cloud-Anbieter und Cloud-Nutzer als Berechtigte auf die Datensätze der Nutzer zugreifen und diese unerlaubterweise an Dritte weitergeben.42 Dies gilt sogar unabhängig davon, ob das vertragswidrige Ausspähen der Nutzerdaten eine Strafbarkeit aus den § 42 Abs. 2 35 BT-Drs. 18/5088, S. 46; BT-Drs. 17/14362, S. 13; BR-Drs. 249/15, 51; Hoyer, SK-StGB, § 202d, Rn. 5; Eisele, Schönke/Schröder, § 202d StGB, Rn. 8. 36 BT-Drs. 18/5088, S. 46; Weidemann, in: BeckOK StGB, § 202d, Rn. 6; Hassemer, in: Schneider (Hrsg.), Handbuch EDV-Recht, Rn. 44. 37 Vgl. BT-Drs. 18/5088, S. 46; Kirchner, Kriminalistik 2016, 368 (369). 38 BT-Drs. 18/5088, S. 46. 39 Beim Data Mining werden Nutzerdaten (insbesondere Alter, Geschlecht, Adresse und Beruf des Cloud-Nutzers) für Marketingzwecke analysiert. Ziel hierbei ist es, Werbestrategien zu entwickeln und weitere Marktsegmente zu bestimmen, um den Absatz der eigenen CloudDienstleistungen zu fördern; vgl. Conrad, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch, § 34, Rn. 439; vgl. auch die Begriffserklärung von Grützner/Jakob, Compliance. Ausführlich zum Data Mining Runkler, Data Mining, S. 1 ff. und zur urheber- und datenschutzrechtlichen Zulässigkeit Spindler, GRUR 2016, 1112 (1113 ff.). 40 Vgl. BT-Drs. 18/5088, S. 46; Weidemann, in: BeckOK StGB, § 202d, Rn. 8; Graf, MK, § 202d StGB, Rn. 16; Neuhöfer, jurisPR-Compl 2015, Anm. 6. 41 BT-Drs. 18/5088, S. 46; BT-Drs. 17/14362, S. 13; BR-Drs. 249/15, S. 51; Kargl, NK, § 202d StGB, Rn. 8; Bosch, Satzger/Schluckebier/Widmaier, § 202d StGB, Rn. 3; Graf, MK, § 202d StGB, Rn. 17; Heger, in: Lackner/Kühl, § 202d StGB, Rn. 1; Weidemann, in: BeckOK StGB, § 202d, Rn. 9; Eisele, Schönke/Schröder, § 202d StGB, Rn. 8. 42 Vgl. Fischer, § 202d StGB, Rn. 6; Heckmann, in: juris-PraxisKommentar, 8. Kap., Rn. 5; Brodowski/Marnau, NStZ 2017, 377 (383); Gercke, ZUM 2016, 825 (828); ders., ZUM 2013, 605 (613).
A. Datenhehlerei
215
Nr. 1 BDSG, § 17 UWG nach sich zieht.43 Unbefriedigend ist dieses Ergebnis auch deshalb, weil die Administratoren der IaaS, PaaS- und SaaS-Anbieter – wie bereits gezeigt wurde44 – keine Beschäftigten eines Telekommunikationsunternehmens sind, weshalb sie sich bei einer Weitergabe der rechtswidrig erlangten Daten auch nicht wegen einer Verletzung des Fernmeldegeheimnisses aus § 206 Abs. 1 StGB strafbar machen. Des Weiteren scheidet der objektive Tatbestand aus, wenn die Strafbarkeit der Vortat erst mit der Weitergabe oder der Übermittlung der Daten vollendet ist.45 Wie sich aus der Formulierung „erlangt hat“ ergibt, muss die Vortat entsprechend der Regelung bei der Sachhehlerei nach § 259 StGB bereits vollendet sein, wenn der Täter die Daten sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht.46 Damit bleiben vor allem die Fälle straflos, in denen Innentäter durch die Versendung eines Datenlinks unbefugten Dritten Zugang zu den Inhaltsdaten einräumen. Keine tauglichen Vortaten stellen zudem urheberrechtswidrige Verwertungshandlungen i.S.d. § 106 UrhG sowie Verletzungen des Dienstgeheimnisses gem. § 353 Abs. 1, 2 StGB, Verletzungen von Privatgeheimnissen nach § 203 StGB und Verletzungen von Geschäfts- und Betriebsgeheimnissen nach § 17 Abs. 1 UWG und § 17 Abs. 2 Nr. 2 UWG dar.47 Gleiches gilt sogar für den Landesverrat (§ 94 StGB), für das Offenbaren (§ 95 Abs. 1 StGB) und die Preisgabe von Staatsgeheimnissen (§ 97 Abs. 1, 2 StGB) sowie für den Verrat illegaler Geheimnisse (§ 97a Abs. 1 StGB), soweit dem Innentäter auf diese Staatsgeheimnisse eine Zugriffsmöglichkeit eingeräumt worden war: In all diesen Fällen waren die Daten nämlich zunächst dem Innentäter zugänglich und damit schon vorher verfügbar, so dass er, selbst wenn er diese strafrechtswidrig dupliziert, weitergegeben oder übermittelt hat, diese Daten nicht „durch“ seine Straftat „erlangt hat“.48 Als Anknüpfungspunkt der Datenhehlerei kommen damit bei den CloudDienstleistungen lediglich die Angriffsformen anderer Cloud-Nutzer und der Mitarbeiter der involvierten Subunternehmer (Manufactor, Cloud Service Developer, Softwareanbieter) in Betracht, da ihnen die Inhaltsdaten entsprechend den Überlegungen im Rahmen des § 202a Abs. 1 StGB49 zur Datenbestimmung nicht anvertraut sind, weil sie nach dem Willen des datenverfügungsberechtigten Cloud-Nutzers 43
Zu § 17 UWG siehe S. 256 ff. und zu § 42 Abs. 2 Nr. 1 BDSG siehe S. 306 ff. Siehe hierzu S. 166 ff. 45 Brodowski/Marnau, NStZ 2017, 377 (382). 46 BT-Drs. 18/5088, S. 46; Graf, MK, § 202d StGB, Rn. 19; Eisele, Schönke/Schröder, § 202d StGB, Rn. 10; Bosch, Satzger/Schluckebier/Widmaier, § 202d StGB, Rn. 4; Weidemann, in: BeckOK StGB, § 202d, Rn. 10; Hoyer, SK-StGB, § 202d, Rn. 7; Neuhöfer, jurisPRCompl 2015, Anm. 6.; zur parallelen Rechtslage bei der Sachhehlerei siehe nur BGH NJW 2012, 3736. 47 Vgl. Brodowski/Marnau, NStZ 2017, 377 (382). 48 Brodowski/Marnau, NStZ 2017, 377 (382); vgl. auch Weidemann, in: BeckOK StGB, § 202d, Rn. 10; Eisele, Schönke/Schröder, § 202d StGB, Rn. 10. 49 Siehe hierzu S. 129 ff. 44
216
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
keine Zugriffsmöglichkeit auf die Inhaltsdaten haben sollen. Gleichwohl scheiden aber auch diese Innentäter als taugliche Täter einer Datenhehlerei aus, da für sie keine rechtswidrige Vortat eines „anderen“ gegeben ist.50 Zwar kommt bei ihnen eine mögliche Teilnahmestrafbarkeit in Betracht, wenn die verkauften Daten später rechtswidrig, etwa für Bestellungen in Online-Shops oder für Online-Überweisungen und damit zur Begehung eines Computerbetrugs gem. § 263a StGB, verwendet werden, zumeist wird aber eine strafrechtliche Ahndung daran scheitern, dass – vor allem bei einem Datenverkauf auf den Handelsplattformen der Underground Economy – kaum festgestellt werden kann, ob und von wem der Haupttäter die illegal verwendeten Daten angekauft hat.51 Indessen kommen aber Teilnehmer der Vortat als taugliche Täter der Datenhehlerei in Frage.52 Zu denken ist etwa an Familienangehörige, die Mitarbeiter der Subunternehmer zum Ausspähen von Daten, etwa zur Ausbesserung des Familieneinkommens, anstiften oder an sonstige Personen, die den tauglichen Vortätern bei der Planung und Durchführung ihres Angriffs psychisch (zum Beispiel durch ein Bestärken des Tatentschlusses) oder physisch (beispielsweise durch die Beschaffung von Malware) unterstützen. Ihre Täterqualität ergibt sich aus dem Wortlaut und dem Schutzzweck der Strafvorschrift. § 202d StGB setzt die Vortat eines anderen voraus. Für den Teilnehmer der Haupttat ist die Vortat jedoch eine fremde Tat, da er sie gerade nicht als eigene will. Somit muss ihm auch die Vortat als Tat eines anderen zugerechnet werden. Zum anderen wird der Unwertgehalt der Datenhehlerei nicht bereits von der Strafbarkeit der Vortatteilnahme mit abgegolten. Durch das SichVerschaffen der rechtswidrig erlangten Inhaltsdaten durch den Vortatteilnehmer wird neues strafwürdiges Unrecht dadurch begründet, dass zum einen die Verletzung der formellen Verfügungsbefugnis der Cloud-Nutzer durch die Erlangung von Datenkopien vertieft und zum anderen die Wiedererlangung ihrer Daten erschwert wird. Diese täterschaftliche Perpetuierung wird durch die Strafbarkeit der Vortatteilnahme gerade nicht erfasst. Sein Vorsatz erschöpft sich lediglich darin, eine fremde Tat zu veranlassen oder zu fördern. Seine Absicht, die Inhaltsdaten nach vollendeter Tat selbst zu erwerben, liegt damit außerhalb seines Teilnahmeunrechts.
50
Vgl. Graf, MK, § 202d StGB, Rn. 37 f.; Eisele, Schönke/Schröder, § 202d StGB, Rn. 9; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 202d StGB, Rn. 5; Vogelgesang/ Hessel/Möllers, DuD 2016, 729 (733); Kirchner, Kriminalistik 2016, 368 (371); Kühl, in: Lackner/Kühl, § 259 StGB, Rn. 18. 51 BT-Drs. 18/5088, S. 25; BT-Drs. 17/14362, S. 10; Hahn/Bußmann, DRiZ 2012, 223 (223). 52 Graf, MK, § 202d StGB, Rn. 41; Eisele, Schönke/Schröder, § 202d StGB, Rn. 9; zur vergleichbaren Rechtslage bei der Sachhehlerei siehe nur BGHSt 7, 134; Hecker, Schönke/ Schröder, § 259 StGB, Rn. 51; Maier, MK, § 259 StGB, Rn. 61 ff.; Altenhain, NK, § 259 StGB, Rn. 6; a.A. Seelmann, JuS 1988, 39 (42); Oellers, GA 1967, 6 (14 f.).
A. Datenhehlerei
217
III. Sonstige Voraussetzungen Sofern eine taugliche Anknüpfungstat gegeben ist, machen sich die Erwerber der ausgespähten oder abgefangenen Inhaltsdaten wegen einer Datenhehlerei strafbar, wenn sie sich oder einem anderen die rechtswidrig erlangten Nutzerdaten verschaffen, einem anderen überlassen, verbreiten oder sonst zugänglich machen. Die Begehungshandlungen entsprechen dabei den Tathandlungen der Strafvorschrift des Vorbereitens und Ausspähens von Daten gem. § 202c StGB.53 Aus datenschutzrechtlicher Sicht erfasst die Datenhehlerei damit sehr umfassend alle Formen der Übermittlung von Daten an Dritte, aber auch solche eigenen Nutzungen der Daten, bei denen Dritte notwendig Kenntnis erlangen.54 Der bloße schuldrechtliche Abschluss eines (möglicherweise zivilrechtlich nichtigen) Kaufvertrages stellt aber im Gegensatz zur Sachhehlerei nur eine straflose Vorbereitungshandlung dar.55 Entscheidend für ein Sich-Verschaffen ist damit die Erlangung der tatsächlichen Verfügungsmacht über die betreffenden Daten im einverständlichen Zusammenwirken mit dem Vortäter.56 Denn nur bei einem einverständlichen Zusammenwirken zwischen dem Erwerber und dem Vortäter werden allgemeine Sicherheitsinteressen verletzt, indem anderen potentiellen Tätern ein Anreiz zur Vortatbegehung dadurch geschaffen wird, dass ihnen die Möglichkeit vor Augen geführt wird, ihre deliktisch erlangte Beute unter Zuhilfenahme eines Hehlers wirtschaftlich zu verwerten.57 Aus diesem Grund bleibt ein Erwerber straflos, wenn er sich die bemakelten Daten eigenmächtig oder von einem Dritten verschafft, der weder der Vortäter noch dessen Mittelsmann ist.58 In subjektiver Hinsicht muss der Datenkäufer im Hinblick auf die objektiven Tatbestandsmerkmale bedingt vorsätzlich handeln. Insbesondere muss dabei von seinem Vorsatz der Umstand umfasst sein, dass die Daten von dem Innentäter durch eine rechtswidrige Tat erlangt worden sind. Hierfür müssen ihm aber die genauen Einzelheiten der Vortat, d. h. vor allem die Art und Umstände ihrer Begehung oder die
53 BT-Drs. 18/5088, S. 46; Kargl, NK, § 202d StGB, Rn. 9; Graf, MK, § 202d StGB, Rn. 18; Kirchner, Kriminalistik 2016, 368 (369); Franck, RDV 2015, 180 (181). Ausführlich zu den Tathandlungen siehe S. 186 f. 54 Singelnstein, ZIS 2016, 432 (433). Nach teleologischer Auslegung des Tatbestands wird sogar – im Gegensatz zu § 259 StGB – die Ersatzhehlerei, d. h. die Überlassung von Kopien von den in strafbarer Weise erlangten Daten an Dritte nach § 202d StGB unter Strafe gestellt; Heger, in: Lackner/Kühl, § 202d StGB, Rn. 2 f.; siehe auch Reinbacher, GA 2018, 311 (315 f.). 55 BT-Drs. 18/5088, S. 46 f.; Bosch, Satzger/Schluckebier/Widmaier, § 202d StGB, Rn. 5; Graf, MK, § 202d StGB, Rn. 18; Weidemann, in: BeckOK StGB, § 202d, Rn. 11.1; Eisele, Schönke/Schröder, § 202d StGB, Rn. 12. 56 Ausführlich zu den Tathandlungen Graf, MK, § 202d StGB, Rn. 20 f.; Eisele, Schönke/ Schröder, § 202d StGB, Rn. 12 f.; Kirchner, Kriminalistik 2016, 368 (370 f.). 57 Berghäuser, JA 2017, 244 (248). 58 Berghäuser, JA 2017, 244 (248).
218
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
Person des Vortäters nicht bekannt sein.59 Ausreichend ist es, wenn der Datenkäufer davon ausgeht, die Sache stamme aus (irgend-)einer gegen eine fremde Verfügungsbefugnis gerichtete Vortat.60 Erfährt er hingegen erst nach seinem Erwerb von der illegalen Herkunft der tatgegenständlichen Inhaltsdaten, liegt der Hehlereivorsatz wegen der notwendigen Simultanität von Tathandlung und Tatvorsatz gem. § 8 StGB nur dann vor, wenn er im Anschluss daran selbst tatbestandliche Handlungen vornimmt, indem er etwa die inkriminierten Inhaltsdaten im Internet verbreitet oder im Darknet zum Kauf anbietet.61 Darüber hinaus muss der Datenkäufer auch in der zielgerichteten Absicht handeln, einer anderen Person zu schaden oder sich selbst oder eine dritte Person zu bereichern. Entsprechend der Vorschrift des § 42 Abs. 2 BDSG liegt dabei eine (Fremd-)Bereicherungsabsicht vor, wenn seine Vorstellung auf die Erlangung eines Vermögensvorteils für sich selbst oder einen Dritten gerichtet ist, wobei hinsichtlich der Bereicherung dolus directus 1. Grades erforderlich ist.62 Erfüllt ist das Merkmal vor allem dann, wenn der Datenkäufer mit der weiteren Verbreitung oder Nutzung der Daten einen Gewinn oder sonstige vermögenswerte Vorteile (z. B. ein Honorar) anstrebt. Entsprechend der Rechtslage zur Sachhehlerei scheiden allerdings Fallkonstellationen aus, in denen der taugliche Vortäter die rechtswidrig erlangten Daten einem Mittelsmann übergibt, der sie sodann für seine Rechnung an Dritte verkauft. Aus der Verwendung des Begriffspaars „anderer“ und „Dritter“ ergibt sich nämlich, dass der taugliche Vortäter als der zu bereichernde Dritte ausscheidet.63 Der ausschließlich auf die Bereicherung des tauglichen Vortäters abzielende Absatz der illegal erlangten Inhaltsdaten wird aber in seinem Unwertgehalt ausreichend durch die Straftaten der Begünstigung gem. § 257 Abs. 1 StGB und der Strafvereitelung aus § 258 Abs. 1, 2 StGB erfasst.64 Strafrechtliche Schutzlücken bestehen daher bei dieser Absatzform nicht.
59 Kargl, NK, § 202d StGB, Rn. 10; Graf, MK, § 202d StGB, Rn. 26; Bosch, Satzger/ Schluckebier/Widmaier, § 202d StGB, Rn. 7; Eisele, Schönke/Schröder, § 202d StGB, Rn. 18; vgl. zur Sachhehlerei auch BGH NStZ-RR 2013, 79; Hecker, Schönke/Schröder, § 259 StGB, Rn. 39; Fischer, § 259 StGB, Rn. 19. 60 BT-Drs. 18/5088, S. 47; Kargl, NK, § 202d StGB, Rn. 10; Weidemann, in: BeckOK StGB, § 202d, Rn. 21. 61 BT-Drs. 18/5088, S. 47; Graf, MK, § 202d StGB, Rn. 27; Berghäuser, JA 2017, 244 (248). 62 BT-Drs. 18/5088, S. 47; Kirchner, Kriminalistik 2016, 368 (370). 63 Vgl. nur BGH NStZ 1995, 595; Fischer, § 259 StGB, Rn. 24; Altenhain, NK, § 259 StGB, Rn. 70; zu § 374 AO auch Schuster/Schultehinrichs, in: Flore/Tsambikakis (Hrsg.), Steuerstrafrecht, § 374 AO, Rn. 37; a.A. BGH NJW 1979, 2621; Hecker, Schönke/Schröder, § 259 StGB, Rn. 44; speziell zur Datenhehlerei Berghäuser, JA 2017, 244 (248 f.). 64 Vgl. Weidemann, in: BeckOK StGB, § 202d, Rn. 27; Franck, RDV 2015, 180 (182); vgl. auch Cramer, MK, § 257 StGB, Rn. 14 (Sicherung der Verkaufsmöglichkeit von Daten); Hecker, Schönke/Schröder, § 258 StGB, Rn. 15 (Aushändigung des Verkaufserlöses zur Ermöglichung der Flucht).
B. Verletzung des Fernmeldegeheimnisses
219
Keine Besonderheiten ergeben sich dagegen bei dem subjektiven Merkmal der Schädigungsabsicht. Diese ist gegeben, wenn es dem Datenkäufer darauf ankommt, dem Cloud-Nutzer oder dem vom Dateninhalt Betroffenen einen Schaden zuzufügen.65 Da der beabsichtigte Schaden nicht notwendigerweise wirtschaftlicher Natur sein muss, kann er vor allem auch darin bestehen, den Cloud-Nutzer oder den vom Dateninhalt Betroffenen im Internet bloßzustellen, ihn in seiner beruflichen oder sonstigen Tätigkeit zu behindern oder zu seinem Nachteil reichende Maßnahmen Dritter zu veranlassen.66
IV. Zusammenfassung Obwohl die Strafvorschrift erst im Dezember 2015 mit dem Ziel in das StGB eingeführt wurde, den Handel mit illegal erlangten Daten umfassend unter Strafe zu stellen, kommt ihr für den Schutz der Cloud-Nutzer vor einer Weitergabe ihrer ausgespähten und ausgelesenen Inhaltsdaten durch Innentäter des Cloud Computing nur ein geringer praktischer Anwendungsbereich zu. So fehlt es vor allem schon an einer tauglichen Vortat, wenn sich Innentäter die Nutzerdaten unter Verletzung ihrer vertraglichen Zugriffsbeschränkungen verschaffen. Insofern wird ein Privilegienmissbrauch durch die Administratoren der Cloud-Anbieter und Cloud-Nutzer, bei dem sie treuwidrig ausgespähte oder abgefangene Nutzerdaten unbefugt an Dritte weitergeben, von dem Tatbestand überhaupt nicht erfasst. Lediglich bei den Angriffsformen anderer Cloud-Nutzer und den Mitarbeitern der eingeschalteten Subunternehmer (Manufactor, Cloud Service Developer, Softwareanbieter) kommt eine Strafbarkeit des Erwerbers aus § 202d Abs. 1 StGB in Betracht. Erheblich eingeschränkt wird der strafrechtliche Schutz aber nach der überwiegenden Meinung wiederum dadurch, dass dessen Strafbarkeit bei einem Datenhandel auf den Verkaufsforen des Darknets verneint wird. Nach der hier vertretenen Auffassung richtet sich die Auslegung des Tatbestandsmerkmals „allgemein zugänglich“ hingegen nach dem Willen des Cloud-Nutzers, so dass eine Strafbarkeit des Erwerbers wegen Datenhehlerei gem. § 202d Abs. 1 StGB auch in diesen Fällen in Erwägung zu ziehen ist, vorausgesetzt, es liegt eine Vortat eines tauglichen Innentäters vor.
B. Verletzung des Fernmeldegeheimnisses, § 206 Abs. 1 StGB Eine Weitergabe rechtswidrig erlangter Inhaltsdaten durch Innentäter könnte schließlich den Straftatbestand der Verletzung des Fernmeldegeheimnisses gem. § 206 Abs. 1 StGB verwirklichen. Nach dieser Vorschrift macht sich strafbar, wer 65 66
Weidemann, in: BeckOK StGB, § 202d, Rn. 23; Kirchner, Kriminalistik 2016, 368 (370). Fischer, § 202d StGB, Rn. 8; Graf, MK, § 202d StGB, Rn. 29.
220
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekannt geworden sind, das geschäftsmäßig Telekommunikationsdienste erbringt.
I. Fernmelderelevante Tatsachen Zunächst müsste es sich bei den weitergegebenen Inhaltsdaten der Nutzer um Tatsachen handeln, die dem Fernmeldegeheimnis unterliegen und die dem Innentäter in seiner Eigenschaft als Inhaber oder Beschäftigter eines Telekommunikationsunternehmens anvertraut worden sind. Nach § 206 Abs. 5 Satz 2 1. Alt. StGB unterliegt dem Fernmeldegeheimnis zunächst der Inhalt der Telekommunikation. Die Vorschrift ist § 88 Abs. 1 TKG nachgebildet und erfasst den Inhalt jedweder Art individueller Nachrichtenübermittlung, also neben dem klassischen Fernsprechen und Fernschreiben auch die modernen Telekommunikationsdienstleistungen wie E-Mail und Internettelefonie.67 Auf den materiellen Geheimnischarakter der Nachricht68 oder der Überwindung einer besonderen Zugangssicherung kommt es dabei für die Tatbestandsverwirklichung nicht an. Neben jeglichen denkbaren Kommunikationsinhalten gehören zu dem Fernmeldegeheimnis nach § 206 Abs. 5 Satz 2 2. Alt. StGB auch die näheren Umstände der Telekommunikation, d. h. die Verkehrsdaten (§§ 3 Nr. 30, 96 TKG), die besagen, wer, wann, mit wem, wie oft, wie lange, von wo, wohin und auf welche Weise kommuniziert hat.69 Erweitert wird das Fernmeldegeheimnis gem. § 206 Abs. 5 Satz 3 StGB zudem auf die näheren Umstände erfolgloser Verbindungsversuche, so dass bereits der bloße Versuch des Einwählens in das Internet oder Intranet bzw. das Aufrufen der bereitgestellten Telekommunikationsdienstleistungen tatbestandlich geschützt wird. Nicht von der Strafnorm erfasst werden dagegen Nutzerdaten von sog. Telemedien. Hierunter sind nach § 1 Abs. 1 TMG alle elektronischen Informations- und Kommunikationsdienste zu verstehen, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 TKG, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des TKG oder Rundfunk nach § 2 RStV sind. Entsprechend dieser nicht abschließenden Legaldefinition70 ist für die Einordnung einer Dienstleistung als Telemediendienst in Abgrenzung zu einem Telekommunikationsdienst kennzeichnend, dass der Anbieter elektronische Inhalte im Bereich der Informations- und Kommunika67
Eisele, Schönke/Schröder, § 206 StGB, Rn. 6b; Kargl, NK, § 206 StGB, Rn. 17. Hoyer, SK-StGB, § 206, Rn. 20; Altvater, LK, § 206 StGB, Rn. 23. 69 BVerfGE 115, 166 (183) = NJW 2006, 976 (978); BVerfG NJW 2007, 351 (353); BGH NJW 2001, 1587 (1587); Altenhain, MK, § 206 StGB, Rn. 32. 70 Müller-Broich, Müller-Broich (Hrsg.), Telemediengesetz, § 1, Rn. 2. 68
B. Verletzung des Fernmeldegeheimnisses
221
tionsdienste erbringt, die über die reine Signalübertragung oder das Anbieten von Rundfunkleistungen hinausgehen.71 Zu den Telemediendiensten gehören damit solche Internetdienste, bei denen Inhalte oder andere Dienstleistungen im Internet, etwa Online-Angebote von Waren und Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z. B. die Verkaufsplattformen von Amazon und Ebay) oder Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage (z. B. die InternetSuchmaschinen von Google oder Yahoo) bereitgestellt werden.72 Darüber hinaus werden aber auch bei den herkömmlichen Cloud-Diensten inhaltsbezogene Leistungen zur Verfügung gestellt.73 So erbringt der IaaS-Anbieter mit der Bereitstellung von Speicherplatz und Rechenleistung Aufgaben, die für einen Host-Provider i.S.v. § 10 TMG typisch sind.74 Diese Bewertung entspricht auch der jüngsten Rechtsprechung, wonach der Online-Speicherdienst „Rapidshare“ als Cloud-Dienst angesehen75 und dem Dienstanbieter das Haftungsprivileg des § 10 TMG zuerkannt wurde.76 Des Weiteren werden elektronische Inhalte auch bei den PaaS- und SaaSDiensten in der Form von Software und einer Entwicklungs- bzw. Laufzeitumgebung von den Anbietern zum Abruf bereitgehalten. PaaS- und SaaS-Anbieter sind damit als Content-Provider i.S.d. § 7 TMG einzustufen.77 Ein anderes Ergebnis ergibt sich auch dann nicht, wenn der Cloud-Anbieter einen Drittanbieter einschaltet, der ihm zur Bereitstellung der PaaS- und SaaS-Dienste Speicherplatz auf eigene Server zur Verfügung stellt. Solange der Cloud-Anbieter nämlich das vertragliche Recht besitzt, den ihm auf den fremden Rechnern eingeräumte Speicherplatz zu nutzen, hält er 71
Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 567; Jotzo, Schutz personenbezogener Daten, S. 52. 72 BT-Drs. 16/3078, S. 13 f.; Eisele, Schönke/Schröder, § 206 StGB, Rn. 6b. Weitere Beispiele sind Informationsseiten, soziale Netzwerke, Blogs, Chatrooms und Videoportale, nicht aber Webradios oder reine VoIP-Dienste; Altenhain, MK, § 1 TMG, Rn. 26. 73 Altenhain, MK, § 1 TMG, Rn. 26; Bedner, Cloud Computing, S. 116; Jotzo, Schutz personenbezogener Daten, S. 52; Kroschwald, Informationelle Selbstbestimmung, S. 171; Wicker, Cloud Computing, S. 89; Boos/Kroschwald/Wicker, ZD 2013, 205 (206); Heidrich/ Wegener, MMR 2010, 803 (805). 74 Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), Cloud Computing, Teil 14, Rn. 28; Kroschwald, Informationelle Selbstbestimmung, S. 171; Heidrich/Wegener, MMR 2010, 803 (805); zustimmend Hoffmann, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 10 TMG, Rn. 1; Heckmann, in: juris-PraxisKommentar, Kap. 1, Rn. 48; Auer-Reinsdorff/ Conrad, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch, § 21, Rn. 37; Kremer/Völkel, CR 2015, 501 (501). 75 OLG Hamburg MMR 2012, 394; Schröder, MMR 2010, 483 (486). 76 OLG Düsseldorf ZUM 2010, 600; siehe auch Kroschwald, Informationelle Selbstbestimmung, S. 171; Wicker, Cloud Computing, S. 89; Boos/Kroschwald/Wicker, ZD 2013, 205 (206); a.A. Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 29, zweifelnd auch Bedner, Cloud Computing, S. 116. 77 Nolte, in: Borges/Meents (Hrsg.), Cloud Computing, § 11, Rn. 28; Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), Cloud Computing, Teil 14, Rn. 28; Bedner, Cloud Computing, S. 116; für SaaS als Telemediendienst auch Ulmer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 A, Rn. 60; Heidrich/Wegener, MMR 2010, 803 (805); ausführlich zu Apps auch Sachs/ Meder, ZD 2013, 303 (303 ff.); vgl. auch Kremer, CR 2012, 438 (441).
222
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
elektronische Inhalte in Form der PaaS- und SaaS-Dienste für die Cloud-Nutzer bereit.78 Insofern erbringen herkömmliche Cloud-Anbieter auch dann inhaltsbezogene Leistungen, wenn diese von einem anderen Dienstanbieter für sie bereitgehalten bzw. gespeichert werden und sie lediglich den Zugang zu ihrer Nutzung vermitteln.79 Nicht ausgeschlossen wird bei den IaaS-, PaaS- und SaaS-Diensten aber eine Strafbarkeit der Mitarbeiter des Internet Service Providers (Cloud Carriers) aus § 206 Abs. 1 StGB, wenn sie fernmelderelevante Tatsachen der Cloud-Nutzer in der Übertragungsphase abfangen und diese unbefugt an Dritte weitergeben.80 Diese Fallkonstellation ist jedoch nicht das eigentliche Thema der Arbeit. Bezogen auf das Cloud Computing ist als tauglicher Telekommunikationsanbieter, der als Dritter eine Nachrichtenübermittlung zwischen Nutzern gewährleistet,81 – wie oben bereits gezeigt worden ist – nur der CaaS-Anbieter einzuordnen.82 Alle übermittelten und empfangenen elektronischen Nachrichten des CaaS-Nutzers, also insbesondere seine E-Mails, Text- und Sprachnachrichten, stellen damit taugliche Tatobjekte des § 206 StGB dar. Demgegenüber werden aber elektronische Dokumente, die nicht befördert, sondern nur in der Cloud gespeichert oder verarbeitet werden, wie dies etwa bei Geschäftsbriefen, Notizen, Einträgen in elektronische Kalender oder zu Sicherungszwecken an die eigene Person gesendete E-Mails der Fall ist, mangels eines tatbestandlich relevanten Telekommunikationsvorgangs nicht vor einer Weitergabe nach § 206 Abs. 1 StGB geschützt.83 Der tatbestandliche Schutz des Fernmeldegeheimnisses bezieht sich zunächst auf die Phase der Übermittlung der fernmelderelevanten Tatsachen zur und aus der Cloud.84 Darüber hinaus werden die CaaS-Nutzer durch die Strafandrohung des § 206 StGB aber auch dann geschützt, solange ihre Kommunikationsdaten auf den Servern der CaaS-Anbieter gespeichert sind.85 Demzufolge fällt auch die „Machine78
Vgl. Krischker, Internetstrafrecht, S. 234; Altenhain, MK, Vorb. §§ 7 ff. TMG, Rn. 43. BT-Drs. 13/7385, S. 51; 13/8153, S. 8 f.; OLG Düsseldorf MMR 2008, 682 (683); Müller-Broich, Müller-Broich (Hrsg.), Telemediengesetz, § 1, Rn. 6; Altenhain, MK, Vorb. §§ 7 ff. TMG, Rn. 44; Krischker, Internetstrafrecht, S. 234 f. 80 Altvater, LK, § 206 StGB, Rn. 11; Altenhain, MK, § 206 StGB, Rn. 21; Eisele, Schönke/ Schröder, § 206 StGB, Rn. 6b; Heidrich/Tschoepe, MMR 2004, 75 (76). 81 Kargl, NK, § 206 StGB, Rn. 17; siehe auch Hoyer, SK-StGB, § 206, Rn. 7, 19; Eisele, Computerstrafrecht, § 14, Rn. 22. 82 Siehe hierzu S. 196 ff. 83 Vgl. Preuß, Die Kontrolle von E-Mails, S. 133 f. 84 Altenhain, MK, § 206 StGB, Rn. 34. 85 Vgl. BVerfGE 124, 43 (54) = NJW 2009, 2431 (2432); Altenhain, Matt/Renzikowski, § 206 StGB, Rn. 15. So verbleiben die E-Mails jedenfalls bei dem in der Praxis am meisten genutzten Übertragungsprotokoll des Internet Message Access Protocol (IMAP) auch nach ihrem Lesen weiterhin auf den Servern der Provider gespeichert, es sei denn, der Nutzer nimmt eine Löschung vor. Beim zeitlich früher entwickelten Verfahren des Post Office Protocol Version 3 (POP3) werden die E-Mails im Regelfall beim Abruf auf den heimischen PC geladen und je nach Konfiguration des E-Mail-Programms entweder automatisch von den Mailservern 79
B. Verletzung des Fernmeldegeheimnisses
223
to-Machine-Kommunikation“, d. h. die Datenübertragungen innerhalb der CaaSCloud, in den Anwendungsbereich des § 206 StGB.86 Denn die fehlende technische Möglichkeit der Cloud-Nutzer, einen Zugriff, eine Vervielfältigung oder eine Weitergabe ihrer fernmelderelevanten Tatsachen durch Mitarbeiter des CaaS-Anbieters zu verhindern, begründet in Anlehnung an die Entscheidung des BVerfG vom 16. 06. 2009 – 2 BvR 902/06 ihre besondere Schutzwürdigkeit. In diesem Zusammenhang führt das BVerfG zur Reichweite des Fernmeldegeheimnisses aus:87 „Der Schutz der auf dem Mailserver des Providers gespeicherten E-Mails durch das Fernmeldegeheimnis entfällt auch nicht dadurch, dass ihr Inhalt oder Eingang vom Empfänger möglicherweise schon zur Kenntnis genommen worden ist. Die Reichweite des Schutzes von Art. 10 Abs. 1 GG endet nicht in jedem Fall mit der Kenntnisnahme des Kommunikationsinhalts durch den Empfänger. Ob Art. 10 Abs. 1 GG Schutz vor Zugriffen bietet, ist mit Blick auf den Zweck der Freiheitsverbürgung unter Berücksichtigung der spezifischen Gefährdungslage zu bestimmen […]. Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestehen auch dann weiter, wenn die E-Mails nach Kenntnisnahme beim Provider gespeichert bleiben. Durch die Endspeicherung wird der von Art. 10 Abs. 1 GG zuvörderst geschützte Kommunikationsinhalt infolge der Nutzung eines bestimmten Kommunikationsmediums auf einem vom Kommunikationsmittler bereit gestellten Speicherplatz in einer von keinem Kommunikationsteilnehmer beherrschbaren Sphäre abgelegt. Weder bei einer Zwischen- noch bei einer Endspeicherung der E-Mails auf dem Mailserver des Providers ist dessen Tätigkeit beendet; der Provider bleibt dauerhaft in die weitere E-Mail-Verwaltung auf seinem Mailserver eingeschaltet.“ (Hervorhebungen hinzugefügt)
Zwar befasst sich das BVerfG in der zitierten Entscheidung nur mit dem zeitlich bestehenden Schutz des Fernmeldegeheimnisses bei einer Kenntnisnahme des Kommunikationsinhalts durch den Nutzer, so dass man annehmen könnte, dass sich Innentäter dann nicht aus § 206 StGB strafbar machen, wenn die Kommunikationsdaten zum Zeitpunkt ihres Angriffs bereits vollständig in den Herrschaftsbereich des CaaS-Nutzers verbracht wurden, was etwa dann der Fall ist, wenn der Nutzer die E-Mails auf der Festplatte seines heimischen PCs abgespeichert hat.88 Gegen eine solche Beschränkung des Tatbestands spricht aber ebenfalls der Schutzgedanke des Fernmeldegeheimnisses, wonach die Nutzer von Telekommunikationsmitteln infolge der fehlenden technischen Sicherungsmöglichkeiten ihrer auf den Server der Telekommunikationsanbieter gespeicherten Kommunikationsdaten schutzwürdig bleiben, solange ein Anbieter „dauerhaft in die weitere […] Verwaltung [der auf
gelöscht oder als Kopie dort gespeichert; zu den beiden Verfahren siehe nur Hoppe/Braun, MMR 2010, 80 (82); Nolte/Becker, CR 2009, 125 (127); Schlegel, HRRS 2007, 44 (46). 86 A.A. wohl Ulmer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 A, Rn. 32; Schuster/Reichl, CR 2010, 38 (43). 87 BVerfGE 124, 43 (56) = NJW 2009, 2431 (2432 f.). 88 BVerfGE 115, 166 = NJW 2006, 976 (978); Kargl, NK, § 206 StGB, Rn. 17; Altvater, LK, § 206 StGB, Rn. 25; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 206 StGB, Rn. 7.
224
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
seiner Infrastruktur gespeicherten Kommunikationsdaten] eingeschaltet bleibt“.89 In zeitlicher Hinsicht endet daher der Schutz des Fernmeldegeheimnisses und damit auch die Anwendbarkeit des § 206 StGB erst mit der Löschung der geschützten Kommunikationsdaten durch den CaaS-Nutzer.90 Dem steht auch nicht der Wortlaut des § 206 Abs. 5 S. 2 StGB entgegen.91 Zwar bezieht sich der rein technische Telekommunikationsbegriff des § 3 Nr. 22 TKG anders als Art. 10 Abs. 1 2. Alt. GG nicht „ausdrücklich auch auf statische Zustände“92, sondern allein auf den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Signalen. Angesichts des insoweit weitergehenden grundrechtlichen Schutzes des Fernmeldegeheimnisses und der insoweit bestehenden Schutzbedürftigkeit der CaaS-Nutzer sprechen die besseren Argumente aber dafür, die § 206 Abs. 5 Satz 2 StGB i.V.m. § 3 Nr. 22 TKG im Lichte des Grundrechts aus Art. 10 Abs. 1 2. Alt. GG und der damit genannten Entscheidung des BVerfG verfassungskonform auszulegen.93 Hierfür bietet sich in Anlehnung an den Übermittlungsbegriff des § 3 Abs. 4 Nr. 3b BDSG a.F. an, auch unter dem Merkmal des Übermittelns i.S.d. § 3 Nr. 22 TKG die „zum Abruf bereitgehaltenen Daten“ einzubeziehen.94
II. Weitergabe von E-Mails, Textoder Sprachnachrichten Wie bereits im Rahmen der Prüfung des § 206 Abs. 2 Nr. 1 StGB gezeigt wurde, kommen als taugliche Innentäter der Strafvorschrift grundsätzlich die entgeltlich oder unentgeltlich beschäftigten Mitarbeiter der CaaS-Anbieter, die bei der Administration und der Erbringung der Telekommunikationsdienstleistungen mitwirken, in Betracht.95 Erweitert wird der Tatbestand zudem nach § 206 Abs. 3 Nr. 2 und Nr. 3 StGB auf die „unternehmensnahen“ Beschäftigten der Software- und Hardwareanbieter sowie des Cloud Service Developers, die mit der Herstellung, Wartung und
89
BVerfGE 124, 43 (56) = NJW 2009, 2431 (2432); ebenso Schmidl, in: Corporate Compliance, § 28, Rn. 320; Klesczewski, in: Säcker (Hrsg.), TKG, § 88, Rn. 13; Graulich, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, § 88, Rn. 15. 90 Ebenso Altenhain, MK, § 206 StGB, Rn. 34; vgl. auch Schmidl, in: Corporate Compliance, § 28, Rn. 321; Deutlmoser/Filip, in: Hoeren/Sieber/Holznagel (Hrsg.), MultimediaRecht, Teil 16.6, Rn. 104; VGH Kassel NJW 2009, 2470 (2471); LAG Niedersachsen NZA-RR 2010, 406 (408); VG Karlsruhe NVwZ-RR 2013, 797 (801). 91 Altenhain, MK, § 206 StGB, Rn. 34. 92 So BVerfGE 124, 43 (55) = NJW 2009, 2431 (2432). 93 So auch Deutlmoser/Filip, in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht, Teil 16.6, Rn. 104; vgl. auch Hoppe/Braun, MMR 2010, 80 (82 f.). 94 Im Ergebnis auch Altenhain, MK, § 206 StGB, Rn. 34; a.A. Behling, BB 2010, 892 (894 f.), wonach der Schutzbereich des § 206 StGB hinter dem verfassungrechtlichen Schutz des Fernmeldegeheimnisses zurückbleibt. 95 Siehe hierzu S. 196 ff.
B. Verletzung des Fernmeldegeheimnisses
225
dem Betrieb der den CaaS-Diensten dienenden technischen Einrichtungen und ITSystemen betraut wurden. Die Tathandlung besteht in der Mitteilung einer dem Fernmeldegeheimnis unterliegenden und dem tauglichen Innentäter bekannt gewordenen Tatsache an eine andere Person. Die bloße Einsichtnahme in E-Mails oder Chatprotokolle der Nutzer genügt hierfür aber ebensowenig wie das Anfertigen von Kopien oder das Filtern und Mitprotokollieren der Kommunikation des Nutzers über Netzwerksniffer.96 Ein „Mitteilen“ liegt nämlich nur dann vor, wenn einem Dritten die Gelegenheit zur Kenntnisnahme verschafft wird.97 Dafür genügt jede Art des Informierens, gleichgültig ob die Bekanntgabe in mündlicher, schriftlicher oder anderer Form erfolgt.98 Die zum Teil99 vertretene Beschränkung der Tathandlung auf eine mündliche oder schriftliche Mitteilung ist zum Schutz der CaaS-Nutzer abzulehnen. Würde man die Erfüllung des Tatbestands nur bei diesen Informationsformen bejahen, läge bei einer Überlassung von Datenträgern oder der unkörperlichen Übermittlung der ausgespähten oder ausgelesenen Nachrichten der CaaS-Nutzer keine Mitteilung vor, obwohl die eingeräumte Möglichkeit der „authentischen Wahrnehmung“ der weitergegebenen Nachrichten gegenüber einer „abgeleiteten Wissensvermittlung“ gerade die intensivste Form einer Geheimnisverletzung darstellt.100 Hinzu kommt, dass eine Verwirklichung der Tathandlung bei großen Datenbeständen der CaaS-Nutzer aufgrund des Aufwands der mündlichen oder schriftlichen Übermittlung kaum möglich wäre.101 § 206 StGB schützt aber nicht lediglich vor „Verrat“ der geschützten Nutzerinformationen, sondern nach seinem Wortlaut vor jeder Form ihrer Offenbarung.102 Die Mitteilung muss an eine andere Person erfolgen. Dazu zählen auch Personen, die selbst dem Fernmeldegeheimnis verpflichtet sind.103 Erfolgt die Mitteilung aber ausschließlich zu dem Zweck, die CaaS-Dienste zu erbringen, ist sie nicht tatbestandsmäßig, da sie dem Schutzzweck des § 206 StGB nicht widerspricht, sondern erst die Voraussetzungen dafür schafft, dass überhaupt ein geschützter Kommunikationsvorgang stattfinden kann.104 Demnach handelt es sich nicht um eine Mittei96 Vgl. Eisele, Schönke/Schröder, § 206 StGB, Rn. 10; Schuster, in: Knierim/Rübenstahl/ Tsambikakis (Hrsg.), Internal Investigations, Rn. 161; ders., ZIS 2010, 68 (73). 97 Siehe nur Kargl, NK, § 206 StGB, Rn. 21; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 7. 98 Statt vieler Altenhain, MK, § 206 StGB, Rn. 40; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 6. 99 So Hoyer, SK-StGB, § 206, Rn. 23. 100 Welp, in: FS Lenckner, S. 636; Preuß, Die Kontrolle von E-Mails, S. 155. 101 Vgl. Preuß, Die Kontrolle von E-Mails, S. 155. 102 Altvater, LK, § 206 StGB, Rn. 27; Welp, in: FS Lenckner, S. 636; Preuß, Die Kontrolle von E-Mails, S. 155. 103 Kargl, NK, § 206 StGB, Rn. 23; Altenhain, MK, § 206 StGB, Rn. 42; Eisele, Schönke/ Schröder, § 206 StGB, Rn. 10. 104 Altenhain, MK, § 206 StGB, Rn. 42; Altvater, LK, § 206 StGB, Rn. 30; Kargl, NK, § 206 StGB, Rn. 23; Welp, in: FS Lenckner, S. 637.
226
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
lung, wenn die elektronischen Nachrichten innerhalb des Cloud-System auf mehrere, weltweit verteilte Server gespeichert werden, um die Hochverfügbarkeit der CaaSDienste sicherzustellen. Demgegenüber stellt aber z. B. die elektronische oder körperliche Weitergabe von Nachrichtenkopien des CaaS-Nutzers sowie die unbefugte Einräumung von Zugriffsrechten für einen Dritten, der nicht dienstlich mit der Erbringung der CaaS-Dienste befasst ist, ein tatbestandlich erfasstes Mitteilen von geschützten Tatsachen dar. Des Weiteren ist zur Erfüllung des objektiven Tatbestands erforderlich, dass dem tauglichen Innentäter die weitergeleiteten Informationen in der Zeit seiner telekommunikationsspezifischen Tätigkeit bekannt geworden ist. Im Gegensatz zu § 206 Abs. 2 StGB bleibt er zwar auch dann an die Schweigepflicht des § 206 Abs. 1 StGB gebunden, wenn sein Beschäftigungs- bzw. Auftragsverhältnis zum CaaSAnbieter zum Zeitpunkt der Weitergabe der E-Mails, Text- oder Sprachnachrichten der Cloud-Nutzer beendet ist,105 umstritten ist allerdings, ob er zur Erfüllung des Kriteriums „bekanntgeworden“ positive Kenntnis von den Tatsachen haben muss oder ob es ausreicht, wenn er Inhaltsdaten, die er selbst nicht zur Kenntnis genommen hat, in dem Wissen weitergibt, dass diese dem Fernmeldegeheimnis unterliegen. Zum Teil wird aus dem Gesetzeswortlaut gefordert, dass der taugliche Innentäter die mitgeteilten Tatsachen positiv kennen muss.106 Eine solche Auslegung sei angesichts des Wortlauts „bekanntgeworden“ zwingend, um nicht gegen das strafrechtliche Analogieverbot zu verstoßen.107 Das Wissen, dass dem Fernmeldegeheimnis unterliegende Tatsachen betroffen sind, gehöre bereits zum Teil des diesbezüglichen Vorsatzes. Hätte der Gesetzgeber ein allgemeines Wissen auch zur Erfüllung des objektiven Tatbestands für ausreichend gehalten, dann hätte er in Anlehnung an § 17 Abs. 1 UWG die Formulierung „zugänglich geworden“108 wählen müssen. Deshalb handele ein tauglicher Innentäter nicht tatbestandsmäßig, wenn er beispielsweise durch die Installation eines Trojaners oder einer sonstigen Abhöreinrichtung einem unberechtigtem Dritten die Kenntnisnahme der Kommunikationsinhalte der Cloud-Nutzer ermögliche, ohne selbst Kenntnis von den geschützten Tatsachen genommen zu haben.109 Im Ergebnis führt diese Ansicht dazu, dass Kommunikationsdaten im großen Umfang ohne Strafbarkeitsrisiko weitergegeben werden können, wenn der taugliche
105 Kargl, NK, § 206 StGB, Rn. 19; Eisele, Schönke/Schröder, § 206 StGB, Rn. 9; Altenhain, MK, § 206 StGB, Rn. 36. 106 Kargl, NK, § 206 StGB, Rn. 21; Altenhain, MK, § 206 StGB, Rn. 40; Hoyer, SK-StGB, § 206, Rn. 22; Wicker, Cloud Computing, S. 168. 107 Kargl, NK, § 206 StGB, Rn. 21; Altenhain, MK, § 206 StGB, Rn. 40; Hoyer, SK-StGB, § 206, Rn. 22. 108 Eine Kenntnisnahme ist hierfür nicht erforderlich; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 9. 109 Vgl. Altenhain, MK, § 206 StGB, Rn. 40.
B. Verletzung des Fernmeldegeheimnisses
227
Innentäter den Inhalt der mitgeteilten Tatsachen selbst nicht kennt.110 Die praktische Relevanz des Tatbestands wäre damit allein durch die Schutzbehauptung, den Inhalt überhaupt nicht zur Kenntnis genommen zu haben, erheblich eingeschränkt. Um daher den Schutzzweck, das individuelle Geheimhaltungsinteresse der CaaS-Nutzer, umfassend zu gewährleisten, geht die herrschende Auffassung zu Recht von einer berichtigenden Auslegung aus und lässt es für die Erfüllung des Tatbestandsmerkmals bereits genügen, wenn dem tauglichen Innentäter bewusst ist, dass es sich bei den weitergebenen Informationen um Tatsachen handelt, die dem Fernmeldegeheimnis unterliegen.111 Aus der Sicht des CaaS-Nutzers ist es nämlich unerheblich, ob der Innentäter Kenntnis von den geheimzuhaltenden Tatsachen hat, da seine Geheimhaltungsinteressen durch die Offenbarung der geschützten Tatsachen ohnehin verletzt werden.112 Aus teleologischer Sicht erscheint es daher nicht sinnvoll, eine Strafbarkeit nur dann zu bejahen, wenn dem Innentäter die der Geheimhaltung unterliegende Tatsache selbst bekannt ist. Zumal eine konkrete Kenntnis sämtlicher fernmelderelevanter Inhalte gerade bei einem Ausspähen gesamter Datensätze eines CaaS-Nutzers und ihrem Weiterverkauf auf den Handelsplattforen des Darknets völlig lebensfremd ist. Der „berichtigenden Auslegung“ steht auch nicht die Wortlautschranke (Art. 103 Abs. 2 GG, § 1 StGB) entgegen.113 Denn mit dem Wortlaut ohne weiteres vereinbar ist die Überlegung, dass das Merkmal lediglich auf den vorgenannten funktionalen Tätigkeitsbezug verweist, für dessen Erfüllung es bereits ausreichend ist, wenn ein tauglicher Innentäter im Rahmen seiner Beschäftigung die Möglichkeit hat, Kommunikationsinhalte der Cloud-Nutzer anderen Personen mit oder ohne vorherige Kenntnisnahme weiterzugeben.114 Eine entsprechende Auslegung findet sich zudem bei den vergleichbaren Tatbeständen der Verletzung von Privatgeheimnissen gem. § 203 StGB und des Verrats von Geschäfts- und Betriebsgeheimnissen nach § 17 Abs. 1 UWG.115 Zusammenfassend machen sich taugliche Innentäter deshalb nach der hier vertretenen Ansicht aus § 206 Abs. 1 StGB strafbar, wenn sie ausgelesene oder ausgespähte E-Mails, Text- oder Sprachnachrichten der CaaS-Nutzer an unbefugte Dritte weitergeben, und zwar unabhängig davon, ob sie zuvor selbst positive Kenntnis von den mitgeteilten Kommunikationsinhalten erlangt haben.
110
Dies erkennend Wicker, Cloud Computing, S. 166 f. Altvater, LK, § 206 StGB, Rn. 28; Eisele, Schönke/Schröder, § 206 StGB, Rn. 10; Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 6; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 7; Schuster, ZIS 2010, 68 (73). 112 So auch Schuster, ZIS 2010, 68 (73). 113 So aber Altenhain, MK, § 206 StGB, Rn. 40; Hoyer, SK-StGB, § 206, Rn. 22. 114 Ebenso Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 6; Schuster, ZIS 2010, 68 (73). 115 Schuster, ZIS 2010, 68 (73); Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 9; siehe auch die Ausführungen zu § 203 StGB auf S. 232 ff. und zu § 17 UWG auf S. 261 f. 111
228
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
Darüber hinaus kann der Tatbestand auch durch ein Unterlassen verwirklicht werden. Dies ist der Fall, wenn es taugliche Innentäter pflichtwidrig geschehen lassen, dass sich unberechtigte Dritte Kenntnis von fernmelderelevanten Inhalten eines Cloud-Nutzers, etwa durch Einsichtnahme in dessen E-Mail-Postfach, verschaffen.116 Pflichtwidrig handelt er in diesem Fall dann, wenn ihm die fernmelderelevanten Tatsachen aufgrund seiner unternehmensinternen Aufgabenstellung anvertraut worden sind oder wenn er dafür Sorge zu tragen hat, dass unbefugte Dritte keinen Zugang zu den geheimzuhaltenden Informationen der CaaS-Nutzer erhalten können.117 Denkbar ist daher eine strafbare Verletzung des Fernmeldegeheimnisses durch Unterlassen insbesondere für die Administratoren der CaaS-Anbieter, da sie infolge der ihnen anvertrauten Verwaltung des Cloud-Systems verpflichtet sind, eine Kenntnisnahme der Kommunikationsinhalte der CaaS-Nutzer durch unautorisierte Personen zu verhindern. Eine Strafbarkeit aus § 206 Abs. 1 StGB durch Unterlassen ist bei ihnen beispielsweise dann gegeben, wenn sie bekannte Fehlkonfigurationen nicht beheben oder gebotene, übliche und angemessene technische Schutzmaßnahmen, wie das Einspielen von Sicherheitsupdates, unterlassen und es dadurch zumindest bedingt vorsätzlich geschehen lassen, dass sich ein Angreifer unter Ausnutzung der Sicherheitslücke widerrechtlichen Zugang zu den gespeicherten Nachrichten der CaaS-Nutzer verschafft.
III. Zusammenfassung Administratoren der CaaS-Anbieter und die bei den CaaS-Diensten eingeschalteten Beschäftigten der Subunternehmer (Hardware- und Softwareanbieter sowie der Cloud Service Developer) machen sich aus § 206 Abs. 1 StGB strafbar, wenn sie ausgespähte oder ausgelesene elektronische Nachrichten der CaaS-Nutzer an außenstehende Dritte oder an interne Personen, die nicht dienstlich mit der Erbringung der CaaS-Dienste befasst sind, weitergeben. Weder kommt es dabei nach der hier vertretenen Auffassung auf die Form der Übermittlung der geschützten Nutzerinformationen an, noch darauf, dass sie die mitgeteilten Nachrichten zuvor positiv zur Kenntnis genommen haben. Dieser strafrechtliche Schutz der CaaS-Nutzer endet zudem nicht schon mit dem Herunterladen und der Kenntnisnahme ihrer Nachrichten, sondern erst mit der rückstandsfreien Löschung ihrer geschützten Kommunikationsdaten im Cloud-System. Nochmals zu betonen ist allerdings, dass die Strafvorschrift de lege lata nur auf CaaS-Dienste anwendbar ist. Für die zumeist genutzten IaaS-, PaaS- und SaaS-Dienstleistungen ist § 206 StGB dagegen trotz ähnlicher Interessenslage nicht einschlägig. Im Ergebnis bietet daher die Strafnorm keine generelle Lösung für einen umfassenden Schutz der Vertraulichkeit der Inhaltsdaten vor den potentiellen Angriffsszenarien der Cloud-Innentäter. 116 117
Eisele, Schönke/Schröder, § 206 StGB, Rn. 10. Altenhain, MK, § 206 StGB, Rn. 41; Kargl, NK, § 206 StGB, Rn. 22.
C. Verletzung und Verwertung von Privatgeheimnissen
229
C. Verletzung und Verwertung von Privatgeheimnissen, §§ 203 Abs. 4, 204 Abs. 1 StGB Sofern die Cloud-Dienstleistungen von Berufsgeheimnisträgern genutzt werden, ist auch an eine Strafbarkeit der Innentäter wegen Offenbarung und Verwertung von Privatgeheimnissen nach den §§ 203, 204 StGB zu denken. Als Cloud-Nutzer kommen die in den § 203 Abs. 1 – 3 StGB abschließend aufgezählten schweigepflichtigen Personen in Betracht. Umfasst sind beispielsweise Ärzte (Abs. 1 Nr. 1), Rechtsanwälte, Notare, Steuerberater und Wirtschaftsprüfer (Abs. 1 Nr. 3), die vor allem IaaS- und SaaS-Dienste zur Speicherung und Verarbeitung der ihnen im Rahmen ihrer Berufstätigkeit anvertrauten oder sonst bekannt gewordenen fremde Individualgeheimnisse ihrer Patienten und Mandanten nutzen. Anknüpfend an das aus dem allgemeinen Persönlichkeitsrecht aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG abgeleiteten Rechts, grundsätzlich selbst zu entscheiden, wann und in welchen Grenzen persönliche Lebenssachverhalte einem Dritten offenbart und verwertet werden dürfen (informationelles Selbstbestimmungsrecht), schützen die Sonderdelikte der §§ 203, 204 StGB118 in erster Linie das private Verfügungsrecht über (vermögenswerte) geheime Tatsachen.119 Dieses Verfügungsrecht kommt denjenigen natürlichen oder juristischen Personen zu, auf die sich die geheimzuhaltenden Informationen inhaltlich unmittelbar beziehen, d. h. den sog. Geheimnisbetroffenen.120 Die Strafnormen dienen damit in erster Linie dem Individualrechtsgüterschutz.121 Hierfür sprechen neben dem Erfordernis der Stellung eines Strafantrags durch den Verletzten nach § 205 Abs. 1 Satz 1 StGB und der systematischen Stellung der Strafvorschriften im 15. Abschnitt des StGB vor allem auch die ratio legis der Tatbestände.122 Bei einer freiwilligen oder aufgrund einer rechtlichen Verpflichtung erfolgenden Inanspruchnahme der Tätigkeit der tatbestandlich umschriebenden Funktions- und Berufsgruppen sind die Geheimnisbetroffenen nämlich gezwungen, Informationen aus ihrem engsten Persönlichkeitsbereich preiszugeben und auf den ordnungsgemäßen Umgang mit den geheimen Tatsachen durch die Berufsgeheimnisträger zu vertrauen.123 Insofern sollen die 118
BGHSt 4, 355 (359). BGHZ 115, 123 (125); BGHZ 122, 115 (117); OLG Dresden NJW 2007, 3509 (3510); HansOLG Hamburg NStZ 1998, 358 (358); OLG Oldenburg NJW 1992, 758 (759); Fischer, § 203 StGB, Rn. 3; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 1; Hoyer, SKStGB, § 203, Rn. 3; Eisele, Schönke/Schröder, § 203 StGB, Rn. 3; Cierniak/Niehaus, MK, § 203 StGB, Rn. 6; Weidemann, in: BeckOK StGB, § 203, Rn. 2. 120 Hoyer, SK-StGB, § 203, Rn. 3. 121 Kargl, NK, § 203 StGB, Rn. 3; Fischer, § 203 StGB, Rn. 3; Tag, Dölling/Duttge/König/ Rössner (Hrsg.), Strafrecht, § 203 StGB, Rn. 4; Eisele, Schönke/Schröder, § 203 StGB, Rn. 3; Weidemann, in: BeckOK StGB, § 203, Rn. 2. 122 Hoyer, SK-StGB, § 203, Rn. 3; Eisele, Schönke/Schröder, § 203 StGB, Rn. 3; ausführlich hierzu Schünemann, LK, § 203 StGB, Rn. 14 f. 123 Vgl. Kargl, NK, § 203 StGB, Rn. 3; Eisele, Schönke/Schröder, § 203 StGB, Rn. 3. 119
230
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
Strafvorschriften eine „informationelle Untreue“ ahnden, wenn die Verwalter der Fremdinformationen ihre aus dem bestehenden Treuhandverhältnis resultierenden Pflichten, namentlich ihre Verschwiegenheitspflicht und das auf ihre Aufgabenerfüllung beschränkte Verwertungsrecht der privaten Geheimnisse, für eigene oder fremde Zwecke verletzen.124 Mittelbar geschützt wird darüber hinaus auch das allgemeine Vertrauen in die Verschwiegenheit und Funktionsfähigkeit der tatbestandlich erfassten Berufskreise sowie das Vertrauen in die nicht kommerzielle Nutzung der anvertrauten Geheimnisse.125 Berufsständische Interessen, wie das Interesse an einer ungestörten Berufsausübung, erfahren hingegen allenfalls nur reflexartigen Schutz, da es nicht Aufgabe der strafbewehrten Schweigepflicht ist, den Berufsstand um seiner selbst willen zu schützen.126 Weil die Administratoren der Cloud-Anbieter auf sämtliche im Cloud-System gespeicherten und verarbeiteten Nutzerdaten zugreifen können,127 was – wie noch gezeigt wird – ausreichend ist, um ein strafbares Offenbaren i.S.d. Vorschrift des § 203 Abs. 1 StGB zu begründen, wurde im Rahmen der alten Fassung des § 203 StGB kontrovers diskutiert, ob sich die tatbestandlich erfassten Berufsgruppen aus § 203 Abs. 1 StGB strafbar machen, wenn sie Cloud-Dienstleistungen in Anspruch nehmen. Um sie an den wirtschaftlichen Vorteilen des Cloud Computing, wie Kosteneinsparungen und Verbesserung der Servicequalität, teilhaben zu lassen, wurde unter der Geltung des § 203 StGB a.F. zum Teil mit unterschiedlichen Begründungen das Merkmal des Offenbarens verneint128, eine (mutmaßliche) Einwilligung129 oder Sozialadäquanz der Cloud-Nutzung angenommen130 oder der CloudAnbieter durch eine erweiterte Auslegung des Gehilfenbegriffs in den Kreis der zum
124
Cierniak/Pohlit, MK2, § 203 StGB, Rn. 5. Ebenso BGH NJW 1968, 2288 (2290); Cierniak/Niehaus, MK, § 203 StGB, Rn. 8; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 203 StGB, Rn. 5; Eisele, Schönke/ Schröder, § 203 StGB, Rn. 3; vgl auch Heger, in: Lackner/Kühl, § 203 StGB, Rn. 1; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 1; Graf, MK, § 204 StGB, Rn. 2; Fischer, § 204 StGB, Rn. 2. Demgegenüber wird von einer Ansicht vorrangig das Allgemeininteresse als geschützt angesehen; Köln NStZ 1983, 412 (413); Schlund, JR 1977, 265 (269); Schmidt, NJW 1962, 1745 (1747). Zum Teil wird auch nur das Individualinteresse als Schutzgut anerkannt; Kargl, NK, § 203 StGB, Rn. 4; Hoyer, SK-StGB, § 203, Rn. 3; Schünemann, LK, § 203 StGB, Rn. 14; ders., ZStW 1978, 11 (55); Rogall, NStZ 1983, 1 (4). 126 BGHZ 115, 123; 122, 115; Kargl, NK, § 203 StGB, Rn. 2; Tag, Dölling/Duttge/König/ Rössner (Hrsg.), Strafrecht, § 203 StGB, Rn. 6; a.A. Fischer, § 203 StGB, Rn. 3. 127 Siehe hierzu bereits die Ausführungen auf S. 67 f. und S. 78 ff. 128 Etwa bei entsprechenden vertraglichen Regelungen oder einer sicher verschlüsselten Speicherung der Daten im Rahmen der IaaS-Dienste Cornelius, StV 2016, 380 (390); Rammos/ Vonhoff, CR 2013, 265 (272); Becker, DSRITB 2013, 343 (358); Kroschwald/Wicker, CR 2012, 758 (764). 129 Etwa Trüg/Mansdörfer, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 7, Rn. 74. 130 Siehe nur Ewer, AnwBl 2014, 336 (336); Hellwig, AnwBl 2012, 590 (593); Franck, DuD 2015, 253 (255 f.). 125
C. Verletzung und Verwertung von Privatgeheimnissen
231
Wissen berufenen Personen einbezogen131. Während vor allem für die letzte Ansicht schon nach der bisherigen Rechtslage gute Argumente sprachen,132 wurde hingegen von nicht wenigen Autoren eine Strafbarkeit des Berufsgeheimnisträgers bei der Nutzung von Cloud-Dienstleistungen bejaht.133 Mit dem Ziel, dass auch sie sich bei der Einrichtung, Betrieb, Wartung und Anpassung von informationstechnischen Systemen und Anwendungen, auf deren Nutzung sie bei ihrer täglichen Arbeit zunehmend angewiesen sind, externen Sachverstand straffrei bedienen können,134 hat der Gesetzgeber mit dem am 09. 11. 2017 in Kraft getretenen Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen135 entsprechende Befugnisnormen in der BRAO, der BNotO, der PAO, dem StBerG und der WPO erlassen und die Strafvorschrift des § 203 StGB geändert. Wie bisher macht sich nach § 203 Abs. 1 StGB der Berufsgeheimnisträger strafbar, wenn er unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, einer anderen Person offenbart. Entsprechend dem § 203 Abs. 3 Satz 2 StGB a.F. wird auch in § 203 Abs. 3 Satz 1 StGB n.F. klargestellt, dass kein Offenbaren vorliegt, wenn das Geheimnis einem berufsmäßig tätigen Gehilfen oder einer zur Vorbereitung auf den Beruf tätigen Person zugänglich gemacht wird. Neu in den Täterkreis einbezogen wird hingegen die sog. „mitwirkende Person“. Hierunter sind nach § 203 Abs. 3 Satz 2 StGB n.F. alle sonstigen Personen zu verstehen, die an der beruflichen oder dienstlichen Tätigkeit des Berufsgeheimnisträgers mitwirken. Soweit dies für die Inanspruchnahme ihrer Tätigkeit erforderlich ist, kann das Geheimnis von dem Arzt oder Rechtsanwalt ebenfalls an diese straffrei weitergegeben werden. Das Gleiche gilt wiederum nach § 203 Abs. 3 Satz 3 StGB n.F. für die mitwirkenden Personen, wenn sich diese für ihre Aufgabenerfüllung weiterer Personen als Subunternehmer bedienen (sog. „weitere mitwirkende Person“). In Anbetracht des Umstands, dass die „mitwirkenden Personen“ im Rahmen der ordnungsgemäßen Durchführung ihrer Tätigkeit die Möglichkeit erhalten, selbst von den geschützten Geheimnissen Kenntnis zu erlangen, soll der hierdurch verringerte strafrechtliche Geheimnisschutz durch ihre Einbeziehung in den tauglichen Täter-
131 Etwa Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 D, Rn. 47 ff.; Behling, in: Borges/Meents (Hrsg.), Cloud Computing, § 13, Rn. 53; Preuß, DuD 2016, 802 (808); Schuster, medstra 2015, 280 (283 f.); Rammos/Vonhoff, CR 2013, 265 (270 ff.); Conrad/ Fechtner, CR 2013, 137 (141 ff.); vgl. auch Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht, S. 86, 93 f. 132 Siehe hierzu vor allem Preuß, DuD 2016, 802 (808); Schuster, medstra 2015, 280 (283 f.). 133 So etwa Seiler, DSRITB 2015, 69 (78); Redeker, ITRB 2014, 232 (234); Hornung/ Sädtler, DuD 2013, 148 (153); Schelzke, HRRS 2013, 86 (91). 134 BT-Drs. 18/11936, S. 1. 135 BGBl. I 2017, S. 3618.
232
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
kreis der §§ 203, 204 StGB kompensiert werden.136 So machen sich nach § 204 Abs. 4 Satz 1 StGB n.F. auch die mitwirkenden Personen strafbar, wenn sie unbefugt ein fremdes Geheimnis offenbaren, das ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeiten bekannt geworden ist. In diesem Fall trifft die gleiche Strafbarkeit nach § 204 Abs. 4 Satz 2 StGB n.F. auch den Berufsgeheimnisträger oder die mitwirkende Person, wenn diese nicht dafür Sorge getragen haben, dass die (weitere) mitwirkende Person, derer sie sich bei der Erbringung ihrer Tätigkeiten bedient haben, nicht zur Geheimhaltung verpflichtet wurde. Unverändert geblieben ist hingegen der Straftatbestand des § 204 Abs. 1 StGB. Nach dieser Strafvorschrift wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein Betriebs- oder Geschäftsgeheimnis, zu dessen Geheimhaltung er nach § 203 StGB verpflichtet ist, verwertet. Im Folgenden soll nun untersucht werden, ob Cloud-Innentäter die Straftatbestände der § 203 Abs. 4 StGB und § 204 Abs. 1 StGB bei einer Offenbarung oder Verwertung fremder Geheimnisse verwirklichen. In diesem Zusammenhang soll auch im Rahmen eines Exkurses untersucht werden, ob das bislang bei einer CloudNutzung bestehende Strafbarkeitsrisiko aus § 203 Abs. 1 StGB a.F. für die Berufsgeheimnisträger durch die Neuregelung des § 203 Abs. 4 Satz 2 StGB entfallen ist.
I. Tauglicher Täterkreis Im Hinblick auf die tatbestandlich erfassten Innentäter ist im Besonderen zwischen den berufsmäßig tätigen Gehilfen und den sonstigen mitwirkenden Personen (§ 203 Absatz 3 Satz 2 StGB) zu differenzieren. Beide Personengruppen bilden zusammen den Kreis der „mitwirkenden Personen“ in Bezug auf die Tätigkeit der Berufsgeheimnisträger nach § 203 Abs. 1 und Abs. 2 StGB.137 1. § 203 Abs. 3 Satz 1 StGB § 203 Abs. 3 Satz 1 StGB stellt die berufsmäßig tätigen Gehilfen den Berufsgeheimnisträgern gleich. Hierdurch werden sie in den Kreis der Wissenden oder der zum Wissen Berufenen einbezogen, mit der Folge, dass Mitteilungen zwischen den schweigepflichtigen Berufsgruppen und ihren Gehilfen kein tatbestandliches Offenbaren darstellt. Die Geheimnisberechtigten werden vielmehr durch die drohende eigene Strafbarkeit des Gehilfen nach § 203 Abs. 4 Satz 1 StGB hinreichend geschützt. Gehilfe ist jede Person, die innerhalb des beruflichen Wirkungsbereichs des cloudnutzenden Berufsgeheimnisträgers eine auf dessen berufliche Tätigkeit un136 137
BT-Drs. 18/11936, S. 2, 20. BT-Drs. 18/11936, S. 21.
C. Verletzung und Verwertung von Privatgeheimnissen
233
mittelbar bezogene Unterstützung ausübt, welche die Kenntnis fremder Geheimnisse mit sich bringt oder ohne Überwindung besonderer Hindernisse ermöglicht.138 Die unterstützende Tätigkeit des Gehilfen muss dabei in einem inneren Zusammenhang mit der berufsspezifischen Tätigkeit des Geheimnisträgers stehen;139 er darf also nicht lediglich die äußeren Bedingungen für die Berufsausübung schaffen oder unterhalten.140 Während die weiteren Anforderungen an die Gehilfeneigenschaft nach der alten Rechtslage im Hinblick auf die Frage, ob auch externe Personen in den Kreis der berufsmäßig tätigen Gehilfen aufgenommen werden können, umstritten waren,141 hat sich der Gesetzgeber mit der Neufassung des § 203 Abs. 3 StGB für die bislang überwiegend vertretene Literaturmeinung ausgesprochen.142 Begründet hat er dies mit dem Argument, dass dem Gehilfenbegriff der Gedanke eines geschlossenen Geheimnisträgerkreises immanent sei, der sich aufgrund eines einheitlichen ethi-
138 Cierniak/Niehaus, MK, § 203 StGB, Rn. 123; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 28; Eisele, Schönke/Schröder, § 203 StGB, Rn. 25; Weidemann, in: BeckOK StGB, § 203, Rn. 27. 139 Eisele, Schönke/Schröder, § 203 StGB, Rn. 25; Weidemann, in: BeckOK StGB, § 203, Rn. 27.1. 140 Cierniak/Niehaus, MK, § 203 StGB, Rn. 124; Schünemann, LK, § 203 StGB, Rn. 73; Weidemann, in: BeckOK StGB, § 203, Rn. 27. 141 Im Besonderen wurde von einem Teil der Literatur nach einer datenschutzkonformen Auslegung des Gehilfenbegriffs auch externe Personen in den Kreis der zum Wissen Berufenen einbezogen, wenn der Berufsgeheimnisträger in Anlehnung an die Kriterien des § 11 BDSG a.F. effektive Kontroll-, Steuerungs- und Kontrollbefugnisse über den Externen erlangt hat; siehe hierzu Heghmanns/Niehaus, NStZ 2008, 57 (59 ff.); Hoenike/Hülsdunk, MMR 2004, 788 (791 ff.); C¸ekin, ZIS 2012, 425 (428 ff.); Jahn/Palm, AnwBl 2011, 613 (620); zum Cloud Computing Cornelius, StV 2016, 380 (386 f.); Ruppert, StraFo 2016, 329 (333 ff.); Schuster, medstra 2015, 280 (283); Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (63); Conrad/Fechtner, CR 2013, 137 (144); Niemann/Paul, K&R 2009, 444 (451). Eine weitere Ansicht zog hingegen die Rechtsprechung des EuGH zur Abtretung von Entgeltforderungen aus Telekommunikationsdienstleistungen argumentativ heran (EuGH CR 2012, 255) und bejahte bei externen Personen die Gehilfeneigenschaft, wenn die organisatorische Einbindung durch eine vertraglich abgesicherte Ausübung von Weisungs- und Kontrollrechten sowie durch eine gesonderte Verpflichtung zur Geheimhaltung gesichert werde; hierzu Vander, DSRITB 2013, 105 (119 ff.); Conrad/Fechtner, CR 2013, 137 (137 ff.); Eine vermittelnde Ansicht erweiterte den Kreis der zum Wissen Berufenen auch auf externe Dritte, wenn sie in den informationellen Schutzbereich des Berufsgeheimnisträgers einbezogen seien, was der Fall sein soll, wenn der Dritte mit der Ausführung von Aufträgen betraut werde, die eine besonders enge Beziehung zum Aufgabenkreis des Schweigepflichtigen aufweise, hierzu Cierniak/Pohl, MK2, § 203 Rn. 123, 125, unter Hinweis auf OLG Köln StV 1991, 506; LG Frankfurt NJW 1959, 589 und LG Verden StV 1996, 371; weitergehend zur alten Rechtslage Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 D, Rn. 47 f. 142 BT-Drs. 18/11936, S. 21. Im Hinblick auf die Auslegung des Gehilfenbegriffs wurde damit den bislang hierzu vertretenen Gegenansichten die Grundlage entzogen; zutreffend Cierniak/Niehaus, MK, § 203 StGB, Rn. 134.
234
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
schen Grundkonsenses der Wahrung des Geheimnisses verpflichtet fühle.143 In Abgrenzung zu den „mitwirkenden Personen“ setzt die Gehilfenstellung i.S.d. § 203 Abs. 3 Satz 1 StGB daher eine organisatorische Einbindung in den Betrieb des Berufsgeheimnisträgers voraus,144 die sich durch eine fehlende Eigenverantwortung,145 gewisse Regelmäßigkeit und Dauer der Tätigkeit146 sowie persönliche und individuelle Kontroll- und Weisungsbefugnisse des Geheimnisträgers147, insbesondere auf den Inhalt, Ort und Zeit der Hilfstätigkeit, auszeichnet. Zu diesem Personenkreis gehören damit alle Angestellte des Cloud-Nutzers, die unmittelbar bei der Vorbereitung und Durchführung seiner Berufstätigkeit mitwirken oder mit der Auswertung und Verwaltung der Geheimnisse befasst sind.148 Dabei ist aber nicht das Bestehen eines wirksamen Arbeitsvertrags, sondern allein die faktische Ausübung der Hilfstätigkeit entscheidend.149 Demzufolge stellen vor allem die bei den Berufsgeheimnisträgern angestellten Serviceadministratoren und das sonstige technische Bedienungs- und Wartungspersonal berufsmäßig tätige Gehilfen dar,150 wohingegen die den Geheimnisträgern unbekannten151 Mitarbeiter der Cloud-Anbieter und Subunternehmer mangels einer organisatorischen Eingliederung in den internen Bereich der vertrauensbegründenden Sonderbeziehung und einer fehlenden individuellen Weisungsbefugnis des Cloud-Nutzers nicht unter den Gehilfenbegriff fallen.152 143
BT-Drs. 18/11936, S. 18; ebenso Große Strafrechtskommission des Deutschen Richterbundes, Gutachten, S. 115. 144 Fischer, § 203 StGB, Rn. 40; Schünemann, LK, § 203 StGB, Rn. 80; Kargl, NK, § 203 StGB, Rn. 38; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 11; Eisele, Schönke/Schröder, § 203 StGB, Rn. 24; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 28; Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht, S. 92; Sieber, in: FS Eser, S. 1166; Ehmann, CR 1991, 293 (294). 145 Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 D, Rn. 52; Pohle/ Ghaffari, CR 2017, 489 (491). 146 Kargl, NK, § 203 StGB, Rn. 38a; Bräutigam, CR 2011, 411 (415). 147 Schünemann, LK, § 203 StGB, Rn. 78; Fischer, § 203 StGB, Rn. 40; Hoyer, SK-StGB, § 203, Rn. 49; Lilie, in: FS Otto, S. 676; Ehmann, CR 1991, 293 (295). 148 Fischer, § 203 StGB, Rn. 41. 149 Cierniak/Niehaus, MK, § 203 StGB, Rn. 123; Schünemann, LK, § 203 StGB, Rn. 78. 150 Vgl. Kargl, NK, § 203 StGB, Rn. 38; Eisele, Schönke/Schröder, § 203 StGB, Rn. 25; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 203 StGB, Rn. 19; Bosch, Satzger/ Schluckebier/Widmaier, § 203 StGB, Rn. 28; Fischer, § 203 StGB, Rn. 41; Heger, in: Lackner/ Kühl, § 203 StGB, Rn. 11; Weidemann, in: BeckOK StGB, § 203, Rn. 27; Ehmann, CR 1991, 293 (294); a.A. Cierniak/Niehaus, MK, § 203 StGB, Rn. 124, mit dem Argument, dass Angehörige des technischen Personals lediglich die äußeren Bedingungen für die Berufstätigkeit schaffen. Unter Zugrundelegung dieser Ansicht dürften die Serviceadministratoren aber als „mitwirkende Personen“ i.S.d. § 203 Abs. 3 Satz 2 StGB ebenfalls zum tauglichen Täterkreis gehören. Ein Streitentscheid ist daher im Ergebnis nicht erforderlich. 151 Zu diesem Erfordernis siehe nur Ehmann, CR 1991, 293 (294). 152 Eisele, Schönke/Schröder, § 203 StGB, Rn. 26; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 D, Rn. 52; Wicker, Cloud Computing, S. 142; Hartung/Steinweg, DB
C. Verletzung und Verwertung von Privatgeheimnissen
235
2. § 203 Abs. 3 Satz 2 StGB Der Kreis der Wissenden bzw. der zum Wissen Berufenen wird nach § 203 Abs. 3 Satz 1 1. Hs. StGB zudem um die „sonstigen mitwirkenden Personen“ erweitert. Unter diesem Begriff sollen nach der Gesetzesbegründung alle Personen fallen, die zwar anders als die Gehilfen i.S.d. § 203 Abs. 3 Satz 1 StGB nicht in die Sphäre des Berufsgeheimnisträgers organisatorisch eingegliedert und auch nicht unmittelbar an der Erbringung seiner fachlichen Aufgaben beteiligt sind, die aber in irgendeiner Weise bei der beruflichen oder dienstlichen Tätigkeit der tatbestandlich erfassten Berufsgruppen mitwirken.153 Eine solche Mitwirkung kommt – in Übereinstimmung zum Gehilfenbegriff des § 203 Abs. 3 Satz 1 StGB – nach den Gesetzesmaterialen in Betracht, wenn die mitwirkende Person aufgrund eines Vertragsverhältnisses mit dem Berufsgeheimnisträger oder aus einem anderen Rechtsgrund unmittelbar mit der beruflichen Tätigkeit der schweigepflichtigen Person, ihrer Vorbereitung, Durchführung, Auswertung und Verwaltung befasst ist.154 Als Beispiele für solche mitwirkende Tätigkeiten nennt die Gesetzesbegründung die Einrichtung, den Betrieb, die (Fern-)Wartung und Anpassung von informationstechnischen Anlagen, Anwendungen und Systeme aller Art sowie die Bereitstellung von informationstechnischen Anlagen und Systemen zur externen Speicherung von Daten.155 Vor diesem Hintergrund sind die allein im selbstständigen Betrieb des CloudAnbieters organisatorisch eingegliederten Administratoren als „mitwirkende Personen“ einzuordnen, da sie mit der Verwaltung der in der Cloud gespeicherten Geheimnisse sowie mit der Administration der Cloud-Dienste, welche von den Berufsgeheimnisträgen gerade zur Ausübung ihrer fachlichen Tätigkeiten genutzt werden, befasst sind. Zwar erwähnt die Gesetzesbegründung als Cloud-Dienste nur „die Speicherung von Daten auf externen informationstechnischen Anlagen“156, so dass man annehmen könnte, der Gesetzgeber habe als Dienstleistungsform lediglich die IaaS-Dienste im Blick gehabt. Allerdings spricht für eine Einbeziehung aller Serviceformen des Cloud Computing neben dem umfassenden Schutz des Geheimhaltungsinteresses der über das Geheimnis verfügungsberechtigten Personen auch der Gedanke, dass der Gesetzgeber die Neufassung des § 203 Abs. 4 Satz 2 StGB bewusst technikneutral formulierte, um der voranschreitenden Digitalisierung und Technisierung des Berufslebens Rechnung zu tragen und damit den Anwendungsbereich der Norm auf alle Formen des IT-Outsourcings zu erstrecken.157 Ob allerdings die Berufsgeheimnisträger auch die SaaS- und PaaS-Dienste, ohne 2017, 2081 (2085); Kroschwald/Wicker, CR 2012, 758 (763); im Hinblick auf die Betreibermodelle des Cloud Computing differenzierend Krischker, Internetstrafrecht, S. 204. 153 BT-Drs. 18/11936, S. 22; Cierniak/Niehaus, MK, § 203 StGB, Rn. 137; Weidemann, in: BeckOK StGB, § 203, Rn. 29; Hartung/Steinweg, DB 2017, 2081 (2086). 154 BT-Drs. 18/11936, S. 22. 155 BT-Drs. 18/11936, S. 22. 156 BT-Drs. 18/11936, S. 18. 157 Ebenso Pohle/Ghaffari, CR 2017, 489 (492); a.A. Grupp, PinG 2017, 55 (59).
236
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
strafrechtliche Konsequenzen befürchten zu müssen, nutzen können, ist im Rahmen des § 203 Abs. 3 Satz 2 1. Hs. StGB bei dem Tatbestandsmerkmal der Erforderlichkeit des Zugänglichmachens des Geheimnisses zu prüfen. Um einen lückenlosen Schutz der in die Cloud ausgelagerten fremden Geheimnisse zu erreichen, werden nach § 203 Abs. 3 Satz 2 2. Hs. StGB als „weitere mitwirkende Personen“ außerdem die im Einvernehmen mit dem Berufsgeheimnisträger von den Cloud-Anbietern eingeschalteten Subunternehmer und deren Mitarbeiter erfasst, da auch sie im Rahmen der mehrstufigen Datenverarbeitung die Möglichkeit haben, auf die tatbestandlich geschützten Geheimnisse zuzugreifen und von ihrem Inhalt Kenntnis zu nehmen.158 Exkurs: Straffreie Cloud-Nutzung durch Berufsgeheimnisträger?
§ 203 Absatz 3 Satz 2 StGB enthält als Kernstück der Neuregelung des strafrechtlichen Geheimnisschutzes von schweigepflichtigen Personen die Voraussetzungen, unter denen die Weitergabe oder das Zugänglichmachen von Geheimnissen an mitwirkende Personen, unabhängig von dem Vorliegen einer außerstrafrechtlichen Befugnisnorm, straffrei ist.159 Während gegenüber den berufsmäßig tätigen Gehilfen und der zur Vorbereitung auf den Beruf tätigen Personen mit der Zugänglichmachung des Geheimnisses nach § 203 Absatz 3 Satz 1 StGB schon kein strafrechtlich relevantes Offenbaren vorliegt, bestimmt § 203 Absatz 3 Satz 2 1. Hs. StGB, dass ein Offenbaren von geschützten Geheimnissen gegenüber sonstigen mitwirkenden Personen grundsätzlich den Straftatbestand erfüllt. Um allerdings einen angemessenen Ausgleich zwischen dem nachvollziehbaren wirtschaftlichen Interesse von Berufsgeheimnisträgern, bestimmte die Berufsausübung unterstützende Tätigkeiten durch Personen erledigen zu lassen, die nicht in ihren Betrieb eingebunden sind, und dem schützenswerten Geheimhaltungsinteresse der Personen, die ihre Geheimnisse schweigepflichtigen Personen anvertrauen, zu erreichen, handelt der Berufsgeheimnisträger bei der Einschaltung von „mitwirkenden Personen“ befugt und damit nicht rechtswidrig, soweit das Offenbaren der geschützten Geheimnisse für die Inanspruchnahme von deren Tätigkeit erforderlich ist.160 Gleiches gilt gem. § 203 Absatz 3 Satz 2 1. Hs. StGB auch für Offenbarungen seitens mitwirkender Personen gegenüber den von ihnen eingeschalteten Subunternehmern. Aufgrund dieses Erforderlichkeitsprinzip sind damit die Berufsgeheimnisträger und mitwirkenden Personen verpflichtet, für jeden beauftragten IT-Dienstleister zu prüfen, ob und inwieweit für deren Tätigkeit ein Zugriff auf die tatbestandlich geschützten Daten erforderlich ist, d. h. inwiefern es keine gleich geeigneten, weniger eingreifenden Möglichkeiten gibt, das Risiko einer möglichen Kenntnisnahme der Geheimnisse durch den beauftragten IT-Dienstleister zu verringern.161 Im Rahmen 158 159 160 161
Vgl. BT-Drs. 18/11936, S. 23. BT-Drs. 18/11936, S. 23. BT-Drs. 18/11936, S. 24. BT-Drs. 18/11936, S. 23; Hartung/Steinweg, DB 2017, 2081 (2086).
C. Verletzung und Verwertung von Privatgeheimnissen
237
dieses unternehmerischen Entscheidungsspielraums sind „strenge Maßstäbe“ anzulegen, wobei insbesondere technische Zugriffsbeschränkungen wie Anonymisierung, Pseudonymisierung und Verschlüsselung zu berücksichtigen sind.162 Mangels beispielhaft normierter Anforderungen wird die Erforderlichkeitsprüfung in der Literatur zum Teil als zu vage und offen kritisiert und daher als ein Verstoß gegen den strafrechtlichen Bestimmtheitsgrundsatz gem. Art. 103 Abs. 2, GG § 1 StGB bewertet.163 Darüber hinaus wird das erforderliche Maß des Offenbarens besonders beim Cloud Computing angezweifelt.164 Während teilweise die Erforderlichkeit der Inanspruchnahme der Cloud-Dienste gänzlich verneint wird, weil Berufsgeheimnisträger selbst im Falle der Datenverschlüsselung nicht nachvollziehen können, ob und wann der Cloud-Anbieter tatsächlich auf die Datenbestände zugreife,165 geht ein anderer Teil der Literatur davon aus, dass lediglich die Nutzung der SaaS-Dienste problematisch sei, da bei diesen keine verschlüsselte Datenverarbeitung erfolge.166 Der Bestimmtheitsgrundsatz verlangt, dass der Normadressat anhand des gesetzlichen Tatbestands vorhersehen kann, welches Verhalten verboten und mit Strafe bedroht ist.167 Dies ist aber bei dem Merkmal der Erforderlichkeit der Fall. Aus dem Tatbestandserfordernis wird hinreichend deutlich, dass der Berufsgeheimnisträger nicht mehr geschützte Geheimnisse preisgeben darf, als dies notwendig ist, damit er die Tätigkeit der sonstigen mitwirkenden Person übertragen kann.168 Auch um der Vielseitigkeit und der künftigen Entwicklung des Outsourcing gerecht werden zu können, ist es sachgerecht, diesen Umstand nicht mit einem abschließenden Kriterienkatalog, sondern mit der Verwendung des unbestimmten Rechtsbegriffs der Erforderlichkeit zu verdeutlichen.169 Dies umso mehr, weil das Tatbestandsmerkmal dem StGB auch nicht fremd ist. So findet es sich z. B. zwecks Herstellung einer Einzelfallgerechtigkeit in den § 32 Abs. 2 StGB und § 323c StGB wieder. Schließlich deckt sich die Erforderlichkeitsprüfung auch mit der datenschutzrechtlichen Regelung des Art. 35 Abs. 4 DSGVO, wonach ebenfalls der Berufsgeheim162
BT-Drs. 18/11936, S. 23, 34; Hartung/Steinweg, DB 2017, 2081 (2086). Eisele, Schönke/Schröder, § 203 StGB, Rn. 52; Fechtner/Haßdenteufel, CR 2017, 355 (360); siehe auch die Stellungnahmen des Instituts für Wirtschaftsprüfer e.V. (IDW), S. 2 und des Zentralverbands Elektrotechnik-und Elektronikindustrie, S. 3 sowie der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), S. 2; alle Stellungnahmen zum Referentenentwurf des BMJV sind abrufbar unter https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/ DE/Neuregelung_Schutzes_von_Geheimnissen_bei_Mitwirkung_Dritter_an_der_Berufsausue bung_schweigepflichtiger_Personen.html (zuletzt aufgerufen am 01. 02. 2018). 164 Kritisch hierzu schon die Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht, S. 7. 165 Kargl, StV 2017, 482 (486). 166 Grupp, AnwBl 2017, 816 (821 f.); ders., AnwBl 2017, 507 (512). 167 Siehe nur BVerfG NJW 1987, 3175; BGH NZG 2016, 751 (752). 168 BT-Drs. 18/11936, S. 23. 169 Vgl. BVerfGE 48, 48 (56); BVerfGE 14, 245 (252); BGH NZG 2016, 751 (752). 163
238
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
nisträger im Rahmen einer Datenschutz-Folgenabschätzung die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in der Cloud in Bezug auf den Zweck der Inanspruchnahme der Cloud-Dienste zu bewerten hat. Fraglich ist allerdings, ob die tatbestandlich erfassten Berufsgruppen auch alle Dienstleistungsformen des Cloud Computing straffrei nutzen können. Auf der einen Seite geht der Gesetzgeber davon aus, dass für die Berufsgeheimnisträger eine Speicherung von geschützten Daten in der Cloud wirtschaftlich sinnvoll ist,170 auf der anderen Seite wird aber nur eine verschlüsselte Datenspeicherung für zulässig gehalten.171 Kann daraus der Schluss gezogen werden, dass nur die Nutzung der IaaSDienste zulässig sein soll? Angesichts des Sinn und Zwecks der Neuregelungen, aus Wirtschaftlichkeitserwägungen oder mangels eigenen technischen Know-Hows oder eigener IT-Ressourcen externe Unternehmen für die Einrichtung, den Betrieb, die Wartung und Anpassung von IT-Systemen und Anwendungen, heranziehen zu dürfen,172 muss es den Berufsgeheimnisträgern auch möglich sein, Cloud-Dienste unabhängig von einer Datenverschlüsselung in Anspruch zu nehmen.173 Dies umso mehr, weil die Cloud-Anbieter auch bei den Data at Rest aufgrund der eingesetzten Algorithmen und Datenstrukturen nicht stets garantieren können, dass die geschützten Geheimnisse verschlüsselt auf den physischen Cloud-Servern gespeichert werden.174 Hinzu kommt, dass bei den SaaS- und PaaS-Diensten ohnehin nach dem bisherigen Stand der Technik keine durchgängige Verschlüsselung der ausgelagerten Geheimnisse möglich ist. Letztendlich kann bei den herkömmlichen CloudDienstleistungen auch ein Zugriff der Administratoren der Cloud-Anbieter auf das Cloud-System und die ausgelagerten Inhaltsdaten nicht vollständig unterbunden werden, da andernfalls eine elastische und skalierbare Bereitstellung der CloudDienste überhaupt nicht möglich wäre. Vergleichbar zu einem IT-Spezialisten, der ebenfalls im Rahmen seiner Tätigkeit (Wartung, Einrichtung der IT-Anlagen etc.) die Möglichkeit erhält, von den in dem IT-System gespeicherten Informationen Kenntnis zu erlangen,175 sollte daher auch beim Cloud Computing grundsätzlich die Erforderlichkeit der Offenbarung der Geheimnisse bejaht werden, da andernfalls Berufsgeheimnisträger überhaupt keine Cloud-Dienste sinnvoll in Anspruch nehmen könnten, ohne strafrechtliche Konsequenzen befürchten zu müssen. Durch die Einbeziehung der Administratoren der Cloud-Anbieter und Subunternehmer in den tauglichen Täterkreis der § 203 Abs. 4 StGB wird der strafrechtliche Geheimnis-
170
BT-Drs. 18/11936, S. 18. BT-Drs. 18/11936, S. 34. 172 Vgl. BT-Drs. 18/11936, S. 17 f. 173 Ebenso Knierim, in: Knierim/Oehmichen/Beck/Geisler (Hrsg.), Gesamtes Strafrecht, Kap. 4, Rn. 33; Cornelius, NJW 2017, 3751 (3752); a.A. Heger, in: Lackner/Kühl, § 203 StGB, Rn. 25a. 174 Terplan/Voigt, Cloud Computing, S. 79; Bedner, Cloud Computing, S. 190; Streitberger/Ruppel, Cloud Computing Sicherheit, S. 21. 175 Siehe hierzu BT-Drs. 18/11936, S. 28; Dierlamm/Ihwas, DB 2017, M24 (M24). 171
C. Verletzung und Verwertung von Privatgeheimnissen
239
schutz hierdurch im Ergebnis auch nicht nennenswert weniger gewährleistet.176 Allerdings können betreibersichere Organisationsformen des Cloud Computing im Einzelfall als relatives milderes Mittel in Betracht kommen. Sofern nämlich den Berufsgeheimnisträgern eine gleichwertige Nutzung der Dienstleistungsformen der Sealed Cloud oder Split Cloud möglich ist, bei denen durch zahlreiche Schutzvorkehrungen sichergestellt wird, dass Mitarbeiter der Cloud-Anbieter überhaupt keinen Zugriff auf die Inhaltsdaten nehmen können, wird eine Inanspruchnahme von herkömmlichen Cloud-Dienstleistungen i.S.d. § 203 Abs. 3 Satz 2 1. Hs. StGB nicht „erforderlich“ sein. Während in strafrechtlicher Hinsicht nur das „ob“ der Cloud-Nutzung geregelt wird, ist das „wie“, d. h. die Grenzen und Voraussetzungen, unter denen die Berufsgeheimnisträger Cloud-Dienstleistungen ohne Einwilligung der Geheimnisberechtigten in Anspruch nehmen dürfen, im Berufsrecht177 und im Hinblick auf personenbezogene Daten subsidiär im Datenschutzrecht normiert. Insofern hat der Gesetzgeber für die rechtsberatenden Berufe (Rechtsanwälte, Patentanwälte, Notare, Steuerberater und Wirtschaftsprüfer) berufsrechtliche Befugnisnormen erlassen, deren Einhaltung ein „unbefugtes Offenbaren“ i.S.d. § 203 StGB ausschließt.178 Aufgrund der Eigenständigkeit der strafrechtlichen Bewertung der Erforderlichkeit nach § 203 Abs. 3 Satz 2 1. Hs. StGB n.F. bedingt allerdings umgekehrt ein berufsrechtlicher Verstoß nicht zwingend eine strafbewehrte Verletzung von Privatgeheimnissen.179 In berufsrechtlicher Hinsicht müssen die schweigepflichtigen Cloud-Nutzer neben der ebenfalls notwendigen Prüfung der „Erforderlichkeit“ der Zugangseröffnung zu den geschützten Geheimnissen für die Inanspruchnahme der CloudDienste (§ 43e Abs. 1 Satz 1 BRAO, § 26a Abs. 1 Satz 1 BNotO, § 39c Abs. 1 Satz 1 PAO, § 62a Abs. 1 Satz 1 StBerG, § 50a Abs. 1 Satz 1 WPO) die Cloud-Anbieter sorgfältig auswählen und umgekehrt die Cloud-Nutzung unverzüglich beenden, wenn die Einhaltung der vertraglich auferlegten Vorgaben nicht gewährleistet wird (§ 43e Abs. 2 Satz 1 BRAO, § 26a Abs. 2 Satz 1 BNotO, § 39c Abs. 2 Satz 1 PAO, § 62a Abs. 2 Satz 1 StBerG, § 50a Abs. 2 Satz 1 WPO). Diese Auswahl- und Überwachungspflichten entsprechen im Datenschutzrecht den Regelungen der Art. 24, 25, 32, 35 und 36 DSGVO, § 62 BDSG, die sich insbesondere auf die Einhaltung der von den Cloud-Anbietern getroffenen technischen und organisato176
Im Ergebnis ebenso Dierlamm/Ihwas, DB 2017, M24 (M24). Ausführlich hierzu Knierim, in: Knierim/Oehmichen/Beck/Geisler (Hrsg.), Gesamtes Strafrecht, Kap. 4, Rn. 43 ff. 178 BT-Drs. 18/11936, S. 19, 24; Eisele, Schönke/Schröder, § 203 StGB, Rn. 54. Für berufsrechtliche Regelungen im medizinischen Bereich fehlte dem Gesetzgeber die Gesetzgebungskompetenz, kritisch hierzu Ehmann, ZD 2017, 201 (201 f.); Stellungnahme des Bundesverbands Gesundheits-IT e.V. zum Referentenentwurf des BMJV, S. 3 f. 179 BT-Drs. 18/11936, S. 23; Dierlamm/Ihwas, DB 2017, M24 (M25). Gleichwohl bleibt aber eine berufsrechtliche Ahndung des Verstoßes unberührt; Eisele, Schönke/Schröder, § 203 StGB, Rn. 54. 177
240
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
rischen Sicherheitsmaßnahmen beziehen. Da es den Berufsgeheimnisträgern aber beim Cloud Computing zumeist nicht möglich sein wird, sich durch eine Vor-OrtKontrolle über die Sicherheitsmaßnahmen des Cloud-Anbieters zu informieren und deren Einhaltung zu kontrollieren, reicht es zur Erfüllung der Auswahl- und Überwachungspflicht auch in berufsrechtlicher Hinsicht aus, wenn sich die Berufsgeheimnisträger Zertifizierungen und sonstige Qualifikationsnachweise unabhängiger Dritter als Nachweis für die fachliche Eignung und Zuverlässigkeit des Cloud-Anbieters vorlegen lassen und diese bewerten.180 Sofern der Mandant nicht auf die Einhaltung der berufsrechtlichen Anforderungen an eine Cloud-Nutzung verzichtet hat – seine Einwilligung lässt insofern das berufsrechtliche Schutzniveau nicht entfallen (§ 43e Abs. 6 BRAO, § 26a Abs. 6 BNotO, § 39c Abs. 6 PAO, § 62a Abs. 6 StBerG, § 50a Abs. 6 WPO) –, muss der Berufsgeheimnisträger zudem einen sog. Geheimnisschutzvertrag181 mit dem CloudAnbieter in Textform abschließen, der inhaltlich mindestens die Verpflichtung des Anbieters zur Verschwiegenheit unter Belehrung über die strafrechtlichen Folgen seiner Pflichtverletzung, die Verpflichtung des Cloud-Anbieters auf die Einhaltung des Erforderlichkeitsprinzips sowie seine Befugnis zur Einschaltung von Subunternehmer unter der Bedingung, dass diese ebenfalls in Textform zur Verschwiegenheit zu verpflichten sind, enthalten muss (§ 43e Abs. 3 BRAO, § 26a Abs. 3 BNotO, § 39c Abs. 3 PAO, § 62a Abs. 3 StBerG, § 50a Abs. 3 WPO). Im Hinblick auf die Pflicht der Berufsgeheimnisträger, die Cloud-Nutzung unverzüglich im Falle der Verletzung dieser Vertragsvereinbarungen zu beenden, sollten in dem CloudVertrag neben Regelungen zur fristlosen Kündigung der Cloud-Dienste vor allem auch Vereinbarungen über die Möglichkeit, die ausgelagerten Daten auf eigene Systeme oder die eines Drittanbieters zu migrieren sowie über umfassende Löschpflichten der Geheimnisse, getroffen werden.182 Sofern Berufsgeheimnisträger Cloud-Dienstleistungen in Anspruch nehmen, die im Ausland erbracht werden, d. h. bei denen z. B. der Serverstandort im Ausland liegt oder ausländische Niederlassungen Verarbeitungsleistungen erbringen,183 ist die Cloud-Nutzung nur unter der Einschränkung berufsrechtlich zulässig, dass der dort bestehende Schutz der Geheimnisse dem deutschen Schutz vergleichbar ist (§ 43e Abs. 4 BRAO, § 26a Abs. 4 BNotO, § 39c Abs. 4 PAO, § 62a Abs. 4 StBerG, § 50a Abs. 4 WPO). In der Literatur wird diese Überprüfungspflicht zum Teil mit ihrer schwierigen praktischen Umsetzung kritisiert.184 Hieran ist zwar richtig, dass es zurzeit an rechtsverbindlichen Vorgaben fehlt, welche Staaten eine dem deutschen Schutzniveau vergleichbaren Geheimnisschutz gewährleisten,185 allerdings haben 180 181 182 183 184 185
BT-Drs. 18/11936, S. 34. Stellungnahme der GDD zum Referentenentwurf des BMJV, S. 2. Hartung/Steinweg, DB 2017, 2081 (2087). Grupp, AnwBl 2017, 816 (820). Fechtner/Haßdenteufel, CR 2017, 355 (361). Fechtner/Haßdenteufel, CR 2017, 355 (361).
C. Verletzung und Verwertung von Privatgeheimnissen
241
viele ausländische Cloud-Anbieter ihre Rechenzentren in Deutschland und weiteren EU-Mitgliedstaaten mit dem Angebot eingerichtet, die Datenverarbeitung auf diese Regionen zu beschränken. Dementsprechend können die Berufsgeheimnisträger den berufsrechtlichen Vorgaben durch die Wahl des Speicher- und Verarbeitungsort der Geheimnisse Rechnung tragen.186 Andererseits könnte aber bei der Wahl von europäischen Cloud-Anbietern problematisch sein, dass einige innereuropäische Rechtsordnungen besonders im Hinblick auf Wirtschaftsprüfer kein dem deutschen Recht entsprechendes Beschlagnahmeverbot i.S.d. § 97 StPO kennen.187 Im Einzelfall kann daher dem Berufsgeheimnisträger die Nutzung von europäischen CloudDienstleistungen berufsrechtlich untersagt sein. In diesem Fall liegt aber kein unionrechtswidriger Eingriff in die europarechtlich garantierte Dienstleistungsfreiheit gem. Art. 56, 57 AEUV i.V.m. Art. 16 der RL 2006/123/EG (Dienstleistungsrichtlinie) vor, weil die unterschiedslos anwendbaren Beschränkungen der §§ 43e Abs. 4 BRAO, 26a Abs. 4 BNotO, 39c Abs. 4 PAO, 62a Abs. 4 StBerG, 50a Abs. 4 WPO mangels einer europäischen Harmonisierung des Berufsrechts aus zwingenden Gründen des Allgemeininteresses, namentlich zum Schutz des allgemeinen Vertrauens in die Verschwiegenheit und Funktionsfähigkeit der schweigepflichtigen Berufskreise, erforderlich und angemessen sind.188 Gleichwohl sollte den Berufsgeheimnisträgern eine Hilfestellung zur Bewertung des angemessenen Datenschutzniveaus an die Hand gegeben werden, da andernfalls zu befürchten ist, dass sie wegen des Risikos eines Berufsverstoßes überhaupt keine ausländischen CloudAnbieter in Anspruch nehmen werden. Neben der in der Gesetzesbegründung erwähnten „Erarbeitung von Hinweisen in Aufsätzen oder in Merkblättern“189 würde es sich schon angesichts der in den §§ 43e Abs. 8 BRAO, 26a Abs. 8 BNotO, 39c Abs. 8 PAO, 62a Abs. 8 StBerG, 50a Abs. 8 WPO normierten Gleichlaufs mit den datenschutzrechtlichen Regelungen anbieten, ein angemessenes Schutzniveau anzunehmen, wenn auch die grenzüberschreitende Datenübermittlung mit dem Datenschutzrecht vereinbar ist.190 Hierfür spricht vor allem die Überlegung, dass den Berufsgeheimnisträgern schließlich nicht geholfen wäre, wenn eine Cloud-Nutzung zwar straf- und datenschutzrechtlich zulässig ist, sie sich aber berufsrechtlich als 186
Ebenso Hartung/Steinweg, DB 2017, 2081 (2088 f.). Ausführlich hierzu Dierlamm/Ihwas, BB 2017, 1097 (1098 ff.). 188 Vgl. EuGH, Urteil vom 25. 07. 1991, Rs. C-288/89, Slg. 1991 I 4007 Rn. 14 [Gouda]; EuGH, Urteil vom 30. 11. 1995, Rs. C-53/94, Slg. 1995 I 4165 Rn. 37 [Gebhardt], EuGH, Urteil vom 20. 02. 1979, Rs. 120/78, Slg. 1979, 649 [Cassis de Dijon]; a.A. Dierlamm/Ihwas, BB 2017, 1097 (1101), Stellungnahme des Deutschen Anwaltvereins durch den Berufsausschuss zum Referentenentwurf des BMJV, S. 22. 189 BT-Drs. 18/11936, S. 35. Vorgeschlagen wird z. B. die Herausgabe einer verbindlichen White List; siehe hierzu die Stellungnahmen des Instituts für Wirtschaftsprüfer in Deutschland e.V. (IDW), S. 8 und der Wirtschaftsprüferkammer, S. 6. 190 Stellungnahmen der Wirtschaftsprüferkammer, S. 6 f., der GDD, S. 3 und des Bundesverbands Gesundheits-IT e.V. (bvitg), S. 3; Dierlamm/Ihwas, DB 2017, M24 (M25); vgl. auch Eisele, Schönke/Schröder, § 203 StGB, Rn. 53; ders., JR 2018, 79 (85); Fechtner/Haßdenteufel, CR 2017, 355 (361). 187
242
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
problematisch erweist.191 Zudem könnte eine solche Lösung zügig umgesetzt werden und damit schnell für Rechtsklarheit sorgen.192 Weitergehende Anforderungen, die sich aus dem Datenschutzrecht ergeben, sind insbesondere vertragliche Regelungen zur Auftragsdatenverarbeitung, wie Vereinbarungen zu Gegenstand und Dauer des Auftrags (Art. 28 Abs. 3 Satz 1 DSGVO, § 62 Abs. 5 Satz 1 BDSG), zu Umfang, Art und Zweck der vorgesehenen Offenbarung (Art. 28 Abs. 3 Satz 1 DSGVO, § 62 Abs. 5 Satz 1 BDSG), die für einen effektiven Geheimnisschutz zu treffenden technischen und organisatorischen Maßnahmen (Art. 28 Abs. 3 lit. c DSGVO, § 62 Abs. 2 BDSG) oder auch Weisungsund Kontrollrechte des Berufsgeheimnisträgers sowie entsprechende Duldungs- und Mitwirkungspflichten des Cloud-Anbieters (Art. 28 Abs. 3 lit. a, h DSGVO, § 62 Abs. 5 Satz 2 Nr. 1, 5 BDSG). Zusammenfassend können nunmehr auch Berufsgeheimnisträger im Einklang mit den straf-, berufs- und datenschutzrechtlichen Regelungen Cloud-Dienstleistungen nutzen. Wenngleich ihnen zwar hierfür keine Blankovollmacht eingeräumt wurde, schaffen die Neuregelungen einen angemessenen Ausgleich zwischen dem wirtschaftlichen Interesse des Berufsgeheimnisträgers an der Cloud-Nutzung und dem Geheimhaltungsinteresse des Geheimnisberechtigten. Allerdings beruht die Erweiterung der Offenbarungsbefugnis für schweigepflichtige Personen auf der Idee einer Erweiterung des Täterkreises auf „mitwirkende Personen“ und einer lückenlosen Übernahme von vertraglichen Leistungs- und Verschwiegenheitspflichten seitens der Cloud-Anbieter und Subunternehmer. Ob sich diese Vorgaben tatsächlich in der Praxis durchsetzen lassen, hängt von der Verhandlungsmacht des Berufsgeheimnisträgers und von der Bereitschaft des Cloud-Betreibers ab, neben vertraglichen Pflichten auch ein eigenes Strafbarkeitsrisiko zu übernehmen.193 Aufgrund der Vertragsmacht und der standardisierten Bereitstellung der Cloud-Dienste wird dies in der Praxis, aber besonders bei den großen Public Cloud-Anbietern, wie Dropbox, Microsoft, Google, Amazon und Apple, kaum vorstellbar sein.194 (Exkurs Ende)
191
Fechtner/Haßdenteufel, CR 2017, 355 (361). Dierlamm/Ihwas, DB 2017, M24 (M25). 193 Kritisch hierzu Knierim, in: Knierim/Oehmichen/Beck/Geisler (Hrsg.), Gesamtes Strafrecht, Kap. 4, Rn. 63; Hartung/Steinweg, DB 2017, 2081 (2087 f.). 194 Ebenso Knierim, in: Knierim/Oehmichen/Beck/Geisler (Hrsg.), Gesamtes Strafrecht, Kap. 4, Rn. 63; vgl. hierzu auch International Working Group on Data Protection in Telecommunications, Arbeitspapier, S. 2; Deussen/Strick/Peters, Cloud Computing, S. 20; Schrotz/ Zdanowiecki, CR 2015, 485 (486); Heymann, CR 2015, 807 (809); Kühling/Biendl, CR 2014, 150 (154); Sädtler, PIK 2013, 165 (166); Gaul/Koehler, BB 2011, 2229 (2232); Heidrich/ Wegener, MMR 2010, 803 (806). 192
C. Verletzung und Verwertung von Privatgeheimnissen
243
II. Fremde Geheimnisse Gemeinsamer Schutzgegenstand der Tatbestände sind fremde Geheimnisse, die dem Berufsgeheimnisträger anvertraut worden oder sonst bekannt geworden sind. Fremd ist das Geheimnis, wenn es eine andere natürliche oder juristische Person betrifft.195 Unter einem Geheimnis fallen alle Tatsachen, die nach dem erkennbaren Willen des Geheimnisberechtigten geheim gehalten werden sollen, nur einem Einzelnen oder einem begrenzten Personenkreis bekannt sind und an denen der Betroffene ein von seinem Standpunkt aus sachlich begründetes Interesse an deren Geheimhaltung hat oder bei eigener Kenntnis der Tatsachen haben würde.196 Der Geheimnisbegriff enthält damit drei Elemente: das Geheimsein, der Geheimhaltungswille und das objektive Geheimhaltungsinteresse.197 Geheim ist eine Tatsache, wenn sie nicht offenkundig ist, d. h. nur einer beschränkten Zahl von Personen bekannt oder zugänglich ist.198 Dieses Kriterium liegt bei der Cloud-Nutzung unproblematisch vor, da die ausgelagerten Informationen nur den Mitarbeitern des Berufsgeheimnisträgers oder des Cloud-Anbieters als überschaubaren Personenkreis zugänglich sind.199 Nach dem Schutzzweck der Strafvorschriften verliert die Information auch nicht durch ihre Ausspähung durch einen nicht zugriffsberechtigten Innentäter ihren Geheimnischarakter.200 Ihr strafrechtlicher Schutz endet allerdings dann, wenn sie für jedermann abrufbar ins Internet oder Darknet gestellt wird, so dass sie von einem nicht mehr überschaubaren und kontrollierbaren Personenkreis ohne Weiteres zur Kenntnis genommen werden kann.201 Voraussetzung ist zudem, dass die betroffene Person ein persönliches oder sachliches Interesse an der Geheimhaltung der Information durch den Geheimnisträger hat. In der Regel wird sich ein solches Interesse schon aus dem (mutmaßlichen) Geheimhaltungswillen ergeben.202 Aufgrund der Ultima-Ratio-Funktion des Strafrechts sind aber nicht geheimhaltungswürdige Tatsachen aus dem Tatbestand auszufiltern.203 Bloße Bagatellinformationen, wie der Name oder die Anschrift des 195
Statt vieler Eisele, Schönke/Schröder, § 203 StGB, Rn. 8. Siehe nur Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 203 StGB, Rn. 33; Kargl, NK, § 203 StGB, Rn. 6; Schünemann, LK, § 203 StGB, Rn. 19. 197 OLG Frankfurt a.M. NStZ-RR 2005, 235 (235); OLG Hamm NJW 2001, 1957; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 2. 198 Eisele, Schönke/Schröder, § 203 StGB, Rn. 6; Fischer, § 203 StGB, Rn. 8. 199 Vgl. Schünemann, LK, § 203 StGB, Rn. 22. 200 RGSt 38, 108 (111); Cierniak/Niehaus, MK, § 203 StGB, Rn. 16; Schünemann, LK, § 203 StGB, Rn. 22. 201 Vgl. BGH NJW 2013, 549 (551); BGH NJW 2003, 226 (227); Hoyer, SK-StGB, § 203, Rn. 13; siehe dazu auch S. 260. 202 Fischer, § 203 StGB, Rn. 9. 203 Cierniak/Niehaus, MK, § 203 StGB, Rn. 21; Hoyer, SK-StGB, § 203, Rn. 7; Schünemann, LK, § 203 StGB, Rn. 27; Fischer, § 203 StGB, Rn. 9; Eisele, Schönke/Schröder, § 203 StGB, Rn. 7. 196
244
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
Opfers sowie Informationen über persönliche Vorlieben, etwa die Präferenz für einen bestimmten Urlaub oder eine bestimmte Kunstrichtung, werden daher von den §§ 203, 204 StGB nicht geschützt.204 Einschlägig sind für solche personenbezogenen Informationen aber die – noch darzustellenden205 – datenschutzrechtlichen Straf- und Bußgeldtatbestände der Art. 83 DSGVO, § 42 BDSG. Im Übrigen kann sich das Geheimnis auf jeden persönlichen, wirtschaftlichen, politischen, wissenschaftlichen oder beruflichen Lebensbereich beziehen, sofern sie nur einer bestimmten Person zuzuordnen sind und das Geheimhaltungsinteresse aus einer objektiv-normativen Sicht vom Standpunkt des Betroffenen zu bejahen ist.206 Insofern fallen unter den Geheimnisbegriff sogar Vorgänge, die sich auf rechtswidrige Sachverhalte beziehen (sog. illegale Geheimnisse), wie Tatsachen über eine begangene oder geplante Straftat.207 Des Weiteren muss das Geheimnis auch dem Berufsgeheimnisträger anvertraut oder sonst bekannt geworden sein. Während ein Geheimnis anvertraut ist, wenn der Berufsgeheimnisträger in die geheime Information unter ausdrücklicher oder konkludenter Auflage der Geheimhaltung eingeweiht wird, ist ihm das Geheimnis bei jeder sonstigen Kenntnisnahme in Ausübung seiner Sondereigenschaft sonst bekannt geworden.208 Tatgegenstand sind damit neben den in §§ 203, 204 StGB beispielhaft erwähnten Geschäfts- und Betriebsgeheimnisse209 schon das Bestehen eines BehandlungsBeratungs- oder Mandantenverhältnisses.210 Gleiches gilt z. B. für die Identität des Patienten oder Mandanten und für Behandlungsdaten, Befunde, Medikamentenpläne sowie für solche Informationen, die der Berufsgeheimnisträger aus den anvertrauten Tatsachen kraft eigenen Fachwissens generiert, wie beispielsweise eine Diagnose oder die rechtliche Bewertung des vom Mandanten geschilderten Lebenssachverhalts.211 Selbst Drittgeheimnisse, die untrennbar mit dem beruflichen Vertrauensverhältnis zusammenhängen, wie beispielsweise Krankheiten von Angehörigen oder 204
Eisele, Schönke/Schröder, § 203 StGB, Rn. 7; Schünemann, LK, § 203 StGB, Rn. 27; Cierniak/Niehaus, MK, § 203 StGB, Rn. 22; enger Hoyer, SK-StGB, § 203, Rn. 8, der als tatbestandlich geschütztes Geheimnis nur solche Information versteht, deren Mitteilung im Falle ihrer Unwahrheit den objektiven Tatbestand der §§ 186 f. verwirklichen würde. 205 Dazu S. 279 ff. 206 Schünemann, LK, § 203 StGB, Rn. 20, 27; Cierniak/Niehaus, MK, § 203 StGB, Rn. 23; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 14; kritisch zum Geheimhaltungsinteresse Kargl, NK, § 203 StGB, Rn. 8, der allein auf die Persönlichkeitsrelevanz der Information für den Geheimnisbetroffenen abstellt. 207 Statt vieler Cierniak/Niehaus, MK, § 203 StGB, Rn. 23. 208 Fischer, § 203 StGB, Rn. 11 f.; Weidemann, in: BeckOK StGB, § 203, Rn. 12 f.; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 16. 209 Siehe ausführlich zu den Wirtschaftsgeheimnissen S. 257 ff. 210 BGH NJW 1985, 2203 (2204). 211 Cierniak/Niehaus, MK, § 203 StGB, Rn. 25; Fischer, § 203 StGB, Rn. 13; Preuß, DuD 2016, 802 (803); zu weiteren Beispielen Schünemann, LK, § 203 StGB, Rn. 29.
C. Verletzung und Verwertung von Privatgeheimnissen
245
geheime Informationen des Prozessgegners, werden geschützt.212 Damit fallen nahezu alle die Patienten oder Mandanten betreffenden Informationen, die mit der Tätigkeit der Ärzte, Anwälte, Steuerberater und Wirtschaftsprüfer in einem inneren Zusammenhang stehen, in den Anwendungsbereich der §§ 203, 204 StGB, sofern der Betroffene einen entsprechenden Geheimhaltungswillen und -interesse hat.213 Ihr strafrechtlicher Schutz besteht dabei nach § 203 Abs. 4 StGB sogar nach dem Tod des Betroffenen fort. Nicht unter den Geheimnisbegriff fallen dagegen solche Informationen, die keine Rückschlüsse auf das Mandats- oder Behandlungsverhältnis zulassen, wie etwa reine Computer-Systemdaten.214 Da die Informationen personenbezogen sein müssen, indem sie eine bestimmte natürliche oder juristische Person als Geheimnisträger erkennen lassen,215 scheiden zudem Daten in anonymisierter oder pseudonymisierter Form als taugliche Tatobjekte aus.216 Allerdings werden solche beim Cloud Computing kaum vorliegen. Eine Anonymisierung und Pseudonymisierung ist nämlich mit erheblichem technischen Aufwand verbunden, was dem Ziel des Cloud Computing, Kosten und Zeit einzusparen, zuwiderläuft.217 Neben einer fraglichen Praktikabilität im täglichen Umgang mit mandats- oder patientenbezogenen Informationen in anonymisierter oder pseudonymisierter Form besteht zudem immer das Risiko einer fehlerhaften Zuordnung der Daten beim Berufsgeheimnisträger.218
III. Tathandlung Tathandlung i.S.d. § 203 Abs. 4 StGB ist das Offenbaren und im Rahmen des § 204 Abs. 1 StGB die Verwertung des fremden Geheimnisses. 1. Offenbaren Das Offenbaren des fremden Geheimnisses liegt bei jeder Mitteilung der zur Tatzeit geheimzuhaltenen Tatsache an einen nicht zum Kreis der zum Wissen berufenen Personen gehörenden Dritten vor, der das Geheimnis zuvor nicht, nicht in 212 Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 8; Kargl, NK, § 203 StGB, Rn. 17 f. 213 Vgl. Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 203 StGB, Rn. 36. 214 Wicker, Cloud Computing, S. 131. 215 Cierniak/Niehaus, MK, § 203 StGB, Rn. 13; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 14; Rogall, NStZ 1983, 1 (5). 216 Cornelius, StV 2016, 380 (384). 217 Preuß, DuD 2016, 802 (805); Ruppert, StraFo 2016, 329 (331); Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (68). 218 Cornelius, StV 2016, 380 (384); Schuster, medstra 2015, 280 (282); Bräutigam, CR 2011, 411 (413).
246
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
dem Umfang, nicht in dieser Form oder nicht sicher kannte.219 An die Form der Mitteilung werden dabei keine besonderen Anforderungen gestellt.220 So genügt beispielsweise eine Veröffentlichung, Auskunftserteilung, Einsichtsgewährung oder eine andere Form der Zugangsverschaffung.221 Allerdings müssen die weitergegebenen Daten inhaltlich so konkret sein, dass bei einem persönlichen Geheimnis der davon Betroffene zumindest aus den Begleitumständen erkennbar ist und bei einem Betriebs- oder Geschäftsgeheimnis dessen wirtschaftliche Verwertung möglich wird.222 Während bei einer mündlichen Weitergabe des Geheimnisses zur Vollendung der Tathandlung einhellig gefordert wird, dass der Erklärungsempfänger die geheime Information tatsächlich zur Kenntnis genommen haben muss,223 ist umstritten, ob dies auch bei einer Weitergabe von unkörperlichen Geheimnissen, wie Daten und EMails zu verlangen ist. In der Rechtsprechung wird lediglich auf ein „Vermitteln von Wissen“ abgestellt, dass dem Erklärungsempfänger – jedenfalls aus der Sicht des Offenbarenden – noch verborgen ist oder von dem dieser keine sichere Kenntnis hat.224 Dagegen wird in der Literatur vereinzelt vertreten, dass eine vollendete Offenbarung der fremden Geheimnisse ihre Kenntnisnahme erfordert, da andernfalls das Rechtsgut nur gefährdet, nicht aber verletzt werde.225 Besonders im Hinblick auf eine Weitergabe von sehr großen Datenbeständen wird weiter eingewandt, dass man schon aus quantitativen und qualitativen Gründen keine konkrete Zugriffsmöglichkeit auf jedes einzelne Geheimnis annehmen könne.226 Nach der herrschenden Ansicht reicht hingegen die Einräumung eines Datenzugangs, also die Verschaffung der Möglichkeit zur Kenntnisnahme der geheimen Informationen, für ein tatbestandmäßiges Offenbaren aus.227 Dieser Ansicht ist zu folgen. Für sie spricht nicht nur der Wille des Gesetzgebers,228 sondern auch die allgemeine Bedeutung des Wortes „offenbaren“. Nach dem allgemeinen Sprachgebrauch wird hierunter ver219
Kargl, NK, § 203 StGB, Rn. 19; Fischer, § 203 StGB, Rn. 33. Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 31; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 17. 221 Kargl, § 203 StGB, Rn. 19; Fischer, § 203 StGB, Rn. 33. 222 Statt vieler Hoyer, SK-StGB, § 203, Rn. 31; Schünemann, LK, § 203 StGB, Rn. 42. 223 Cierniak/Niehaus, MK, § 203 StGB, Rn. 55; Hoyer, SK-StGB, § 203, Rn. 31; Kargl, § 203 StGB, Rn. 20; Eisele, Schönke/Schröder, § 203 StGB, Rn. 20. 224 BGHSt 27, 120 (121); BGH NJW 1995, 2915 (2916). 225 Altenhain, Matt/Renzikowski, § 203 StGB, Rn. 29; bezüglich eines Offenbarens durch Unterlassens Cierniak/Niehaus, MK, § 203 StGB, Rn. 55. 226 Fischer, § 203 StGB, Rn. 34; ebenso Hartung, VersR 2012, 400 (405); vgl. auch Cierniak/Niehaus, MK, § 203 StGB, Rn. 55. 227 BT-Drs. 18/11936, S. 28; Schünemann, LK, § 203 StGB, Rn. 41; Kargl, § 203 StGB, Rn. 20; Eisele, Schönke/Schröder, § 203 StGB, Rn. 20; Hoyer, SK-StGB, § 203, Rn. 31; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 17; Cornelius, StV 2016, 380 (383); Kroschwald/Wicker, CR 2012, 758 (761) bei einer Offenbarung durch aktives Tun ebenso Cierniak/Niehaus, MK, § 203 StGB, Rn. 55. 228 BT-Drs. 18/11936, S. 28. 220
C. Verletzung und Verwertung von Privatgeheimnissen
247
standen, dass „etwas, was bisher verborgen war, nicht bekannt war, offen gezeigt wird“.229 Insofern reicht bereits ein offenes Zeigen für ein „offenbaren“ aus; eine tatsächliche Kenntnisnahme der Information durch eine dritte Person ist in der Wortbedeutung nicht enthalten.230 Als weiteres Argument lässt sich auch der Sinn und Zweck der Strafvorschriften anführen. Das informationelle Selbstbestimmungsrecht der Geheimnisträger und das Vertrauen in die Verschwiegenheit der cloudnutzenden Berufsgeheimnisträger und der ihnen gleichgestellten Personen wird nämlich auch bei einer treuwidrigen Einräumung einer Verfügungsgewalt über die anvertrauten Daten mit der Möglichkeit der Kenntnisnahme der in ihnen enthaltenen geheimen Informationen durch einen nicht zugriffsberechtigten Dritten tangiert. Dem steht auch nicht der Einwand entgegen, dass bei einer Weitergabe einer unüberschaubaren Zahl von Daten keine Kenntnisnahmemöglichkeit bestehe, da es letztendlich auch bei großen digitalen Datenbeständen mit der Nutzung von entsprechenden Suchtools sehr einfach ist, gezielt auf bestimmte Informationen zuzugreifen.231 Nach der hier vertretenen Ansicht ist daher ein vollendetes Offenbaren von fremden Geheimnissen gegeben, sobald sie in den Herrschaftsbereich eines nicht eingeweihten Dritten gelangen. Dies ist z. B. mit der Weitergabe eines Datenträgers, auf dem sich die geheimen Informationen befinden oder mit der Übermittlung der Daten per E-Mail sowie das Hochladen der Geheimnisse in das Darknet zu bejahen.232 Dagegen scheidet ein tatbestandliches Offenbaren bei der Weitergabe von verschlüsselten Daten grundsätzlich aus.233 Sofern nämlich dem Dritten der Verschlüsselungs-Key nicht gleich mitgeliefert wird, hat er bei einer hochwertigen Verschlüsselung der Ursprungsdaten keine Möglichkeit, den Bedeutungsgehalt der erlangten Geheimnisse zu erfassen. 2. Verwerten Verwertet werden Geheimnisse, wenn sie wirtschaftlich zur Gewinnerzielung ausgenutzt werden.234 Gleichgültig ist dabei, ob die Nutzung des in dem Geheimnis verkörperten wirtschaftlichen Werts zum eigenen oder fremden Vorteil geschieht.235 Da sich die Tathandlungen des Offenbarens und Verwertens aber gegenseitig ausschließen, genügt es nicht, dass der taugliche Innentäter den wirtschaftlichen Vorteil 229
https://www.duden.de/rechtschreibung/offenbaren (zuletzt aufgerufen am 01. 02. 2018). Cornelius, StV 2016, 380 (383). 231 Kroschwald/Wicker, CR 2012, 758 (761); ebenso Cornelius, StV 2016, 380 (383); Schelzke, HRRS 2013, 86 (88). 232 Eisele, Schönke/Schröder, § 203 StGB, Rn. 20. 233 Statt vieler Stiemerling/Hartung, CR 2012, 60 (67). 234 BT-Drs. 7/550, S. 244; Bosch, Satzger/Schluckebier/Widmaier, § 204 StGB, Rn. 3; Kargl, NK, § 204 StGB, Rn. 6. 235 BayObLG NStZ 1984, 169 (169); Graf, MK, § 204 StGB, Rn. 10. 230
248
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
aus der Offenbarung des Geheimnisses zieht.236 Nur eine Offenbarung i.S.d. § 203 StGB und kein Verwerten stellt daher der Verkauf der ausgespähten Geheimnisse an Dritte dar.237 Nicht wirtschaftlich ausgenutzt wird der in dem fremden Geheimnis verkörperte Wert zudem, wenn es der taugliche Innentäter zur Verfolgung politischer Absichten oder ideeller Ziele verwendet.238 Auch die Drohung mit dem Verrat eines kompromittierenden Geheimnisses, um Schweigegeld zu erhalten, stellt zwar tatbestandlich eine Erpressung i.S.d. § 253 Abs. 1 StGB, aber kein Verwerten nach § 204 Abs. 1 StGB dar.239 Davon abgesehen, liegt der Unrechtsgehalt der Tat darin, dass ein tauglicher Innentäter unter Missbrauch seiner Treuepflicht den wirtschaftlichen Wert des Geheimnisses, dessen Nutzung allein dem Geheimnisberechtigten zusteht, durch eine unbefugte Verwendung der ihm zur Verwaltung anvertrauten Information dem eigenen Vermögen oder dem eines Dritten einverleibt.240 Entsprechend diesem Schutzbereich genügt für eine tatbestandsmäßige Verwertung jede Handlung, die auf eine Gewinnerzielung gerichtet ist und die Vermögensinteressen des Geheimnisträgers berührt oder zumindest gefährdet.241 Dafür reicht es aus, wenn die wirtschaftliche Nutzung des Geheimnisses geeignet ist, zu Lasten des Geheimnisberechtigten einen Gewinn zu erzielen;242 tatsächlich muss ein Gewinn aber nicht realisiert worden sein.243 Ein Verhalten, das die beabsichtigte Gewinnerzielung aber lediglich vorbereiten soll, bildet selbst noch kein Verwerten.244 Die bloße Aufbewahrung der ausgespähten Geheimnisse genügt daher nicht.245 Vielmehr muss der taugliche Innentäter das fremde Geheimnis zur Verwirklichung seiner Gewinnerzielungsabsicht tatsächlich verwenden bzw. nach § 22 StGB analog hierzu unmittelbar angesetzt haben.246 236
Schünemann, LK, § 204 StGB, Rn. 5; Hoyer, SK-StGB, § 204, Rn. 7; Kargl, NK, § 204 StGB, Rn. 6; Fischer, § 204 StGB, Rn. 4; a.A. Schmitz, JA 1996, 949 (955), der sodann den § 203 StGB konkurrenzrechtlich für spezieller hält. 237 Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6; Fischer, § 204 StGB, Rn. 4. 238 Kargl, NK, § 204 StGB, Rn. 7; Schünemann, LK, § 204 StGB, Rn. 6. 239 Graf, MK, § 204 StGB, Rn. 10; Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6. 240 Vgl. Schünemann, LK, § 204 StGB, Rn. 6; Maiwald, NStZ 1984, 170. 241 Fischer, § 204 StGB, Rn. 5; Graf, MK, § 204 StGB, Rn. 11; Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6; Heger, in: Lackner/Kühl, § 204 StGB, Rn. 4; Schünemann, LK, § 204 StGB, Rn. 6; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 204 StGB, Rn. 4; a.A. BayObLG NStZ 1984, 169 (169); Hoyer, SK-StGB, § 204, Rn. 8; Kargl, NK, § 204 StGB, Rn. 9; Bosch, Satzger/Schluckebier/Widmaier, § 204 StGB, Rn. 3, die das Erfordernis einer Beeinträchtigung der Vermögensinteressen des Geheimnisträgers ablehnen. 242 Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6; Graf, MK, § 204 StGB, Rn. 10. 243 Schünemann, LK, § 204 StGB, Rn. 6; Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6; Graf, MK, § 204 StGB, Rn. 10; ähnlich Bosch, Satzger/Schluckebier/Widmaier, § 204 StGB, Rn. 3; Hoyer, SK-StGB, § 204, Rn. 7, die § 204 StGB als unechtes Unternehmensdelikt qualifizieren; a.A. Heger, in: Lackner/Kühl, § 204 StGB, Rn. 4, welcher einen Verwertungserfolg verlangt. 244 Hoyer, SK-StGB, § 204, Rn. 7; Kargl, NK, § 204 StGB, Rn. 8. 245 Kargl, NK, § 204 StGB, Rn. 8. 246 RGSt 39, 85; 40, 408; Hoyer, SK-StGB, § 204, Rn. 7; Kargl, NK, § 204 StGB, Rn. 8.
C. Verletzung und Verwertung von Privatgeheimnissen
249
Demzufolge verwertet ein tauglicher Innentäter z. B. fremde Geheimnisse, wenn er ein fremdes Patent zur eigenen Produktion benutzt247 oder fremde Kundendaten zum Aufbau einer eigenen Firma verwendet.248 Nicht verwirklicht wird die Tathandlung dagegen, wenn ausgespähte Geheimnisse Dritten im Darknet zum Kauf angeboten werden. In diesem Fall kommt allerdings neben einer Strafbarkeit aus § 203 Abs. 4 StGB – wie noch gezeigt wird249 – auch eine Erfüllung der Bußgeld- und Strafvorschriften aus 17 UWG, Art. 83 DSGVO, § 42 BDSG in Betracht.250
IV. Sonstige Voraussetzungen Im Hinblick auf eine Verwirklichung der objektiven Tatbestandsmerkmale des § 203 Abs. 4 Satz 1 StGB muss der taugliche Innentäter vorsätzlich gehandelt haben. Dabei muss er insbesondere wissen, dass es sich bei der weitergegebenen Information, um ein Geheimnis handelt, das ihm mit der Verpflichtung zur Verschwiegenheit anvertraut oder sonst bekannt gegeben worden ist. Hierfür genügt allerdings dolus eventualis,251 weshalb es ausreichend ist, wenn der taugliche Innentäter mit der Möglichkeit rechnet und es billigend in Kauf nimmt, dass sich seine Tat auf geheime Inhaltsdaten i.S.d. § 203 Abs. 1 StGB bezieht. Sofern er bei einer Weitergabe der fremden Geheimnisse entgeltlich oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, verwirklicht er sogar den Qualifikationstatbestand des § 203 Abs. 6 StGB. Unter Entgelt ist nach der Legaldefinition des § 11 Abs. 1 Nr. 9 StGB jede in einem Vermögensvorteil bestehende Gegenleistung zu verstehen. Eine Gegenleistung liegt vor, wenn die Vermögensvorteile in einem synallagmatischen Verhältnis zu der Tat stehen.252 Vor diesem Hintergrund liegt das Qualifikationsmerkmal vor, wenn sich der taugliche Innentäter mit dem Empfänger des Geheimnisses im Zeitpunkt der Tatbegehung darüber einig ist, dass der Vermögensvorteil die Gegenleistung für die Offenbarung des fremden Geheimnisses sein soll.253 Nicht erforderlich ist dabei, dass der Dritte den Vermögensvorteil auch tatsächlich geleistet hat.254 Unerheblich ist es zudem, dass die getroffene vertragliche Vereinbarung nach §§ 134, 138 BGB un247 Fischer, § 204 StGB, Rn. 4; Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6; Kargl, § 204 StGB, Rn. 6. 248 Eisele, Schönke/Schröder, § 204 StGB, Rn. 5/6. 249 Siehe zu § 17 UWG S. 256 ff. und zu den Art. 83 DSGVO, § 42 BDSG S. 279 ff. 250 Insoweit drohen durch das Erfordernis eines Betroffenseins der Vermögensinteressen des Geheimnisträgers durch die Verwertung des fremden Geheimnisses auch keine Schutzlücken, a.A. Bosch, Satzger/Schluckebier/Widmaier, § 204 StGB, Rn. 3. 251 Kargl, § 204 StGB, Rn. 48; Eisele, Schönke/Schröder, § 203 StGB, Rn. 109. 252 Hilgendorf, LK, § 11 StGB, Rn. 101; Hecker, Schönke/Schröder, § 11 StGB, Rn. 63. 253 Cierniak/Niehaus, MK, § 203 StGB, Rn. 159; Hoyer, SK-StGB, § 203, Rn. 66. 254 Schünemann, LK, § 203 StGB, Rn. 162; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 49.
250
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
wirksam ist.255 Sofern der Innentäter mit der Weitergabe eines fremden Geheimnisses die Erlangung eines geldwerten Vermögensvorteils anstrebt, wird er ferner zugleich mit einer eigennützigen Bereicherungsabsicht handeln. Insofern überschneiden sich die beiden Qualifikationsmerkmale. Anders als bei einem „Handeln gegen Entgelt“ muss allerdings für das Vorliegen einer Bereicherungsabsicht keine Abrede mit dem Datenempfänger vereinbart worden sein,256 vielmehr genügt es, wenn der taugliche Innentäter mit dolus directus 1. Grades das fremde Geheimnis zur Erlangung eines Vermögensvorteils für sich selbst oder für einen Dritten offenbart.257 Wie sich bereits aus dem Wortlaut der Strafvorschrift und aus einem Umkehrschluss zu §§ 253 Abs. 1, 263 Abs. 1 StGB ergibt, die von einer „zu Unrecht“ erfolgten Bereicherung oder einem „rechtswidrigen Vermögensvorteil“ sprechen, muss der Vermögensvorteil im Rahmen des § 203 Abs. 6 StGB zudem nicht rechtswidrig sein.258 Für eine in Schädigungsabsicht vorgenommene Offenbarung genügt wiederum jeder zielgerichtete Wille der auf die Herbeiführung eines Nachteils beim Geheimnisträger oder einem sonstigen Dritten gerichtet ist.259 Entsprechend den inhaltsgleichen Tatbestandsmerkmalen in §§ 17 UWG, 42 Abs. 2 BDSG260 und der Schutzfunktion des § 203 StGB, nicht das Vermögen, sondern das private Verfügungsrecht des Geheimnisträgers strafrechtlich abzusichern, kann der beabsichtigte Nachteil materieller oder ideeller Art sein.261 Dementsprechend liegt das Qualifikationsmerkmal z. B. nicht nur dann vor, wenn ein Serviceadministrator das ausgespähte fremde Geheimnis zur Verschlechterung der Marktsituation seines (ehemaligen) Geschäftsherrn an ein Konkurrenzunternehmen weitergibt, sondern auch dann, wenn ein tauglicher Innentäter Geheimnisse offenbart, um den guten Ruf des Geheimnisträgers zu schädigen.262 255
Saliger, NK, § 11 StGB, Rn. 69; Fischer, § 11 StGB, Rn. 31. Hoyer, SK-StGB, § 203, Rn. 67; Schünemann, LK, § 203 StGB, Rn. 163. 257 Heger, in: Lackner/Kühl, § 203 StGB, Rn. 28. 258 Ebenso Fischer, § 203 StGB, Rn. 95; Kargl, § 203 StGB, Rn. 83; Eisele, Schönke/ Schröder, § 203 StGB, Rn. 112; Hoyer, SK-StGB, § 203, Rn. 67; Bosch, Satzger/Schluckebier/ Widmaier, § 203 StGB, Rn. 49; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 28; a.A. Jung, NK1, 203 StGB, Rn. 41. 259 Hoyer, SK-StGB, § 203, Rn. 68; Schünemann, LK, § 203 StGB, Rn. 164. 260 Siehe nur Janssen/Maluga, MK, § 17 UWG, Rn. 65; vgl. auch zu § 44 BDSG a.F. Ambs, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 44 BDSG a.F., Rn. 2. 261 Im Ergebnis ebenso Schünemann, LK, § 203 StGB, Rn. 164; Fischer, § 203 StGB, Rn. 95; Cierniak/Niehaus, MK, § 203 StGB, Rn. 159; Eisele, Schönke/Schröder, § 203 StGB, Rn. 112; Heger, in: Lackner/Kühl, § 203 StGB, Rn. 28; Weidemann, in: BeckOK StGB, § 203, Rn. 61; a.A. Hoyer, SK-StGB, § 203, Rn. 68; Kargl, NK, § 203 StGB, Rn. 84, Bosch, Satzger/ Schluckebier/Widmaier, § 203 StGB, Rn. 49, die das Qualifikationsmerkmal auf materielle Schäden beschränken. 262 Eisele, Schönke/Schröder, § 203 StGB, Rn. 112; Cierniak/Niehaus, MK, § 203 StGB, Rn. 159. Siehe auch FAZ, Pressemeldung „Hacker-Upload – Nacktbilder von mehr als hundert Stars aufgetaucht“ vom 01. 09. 2014, abrufbar unter http://www.faz.net/aktuell/gesellschaft/kri minalitaet/hacker-upload-nacktbilder-von-mehr-als-hundert-stars-aufgetaucht-13129641.html (zuletzt aufgerufen am 01. 02. 2018). 256
C. Verletzung und Verwertung von Privatgeheimnissen
251
Im Fall einer Verwertung der ausgespähten Geheimnisse i.S.d. § 204 Abs. 1 StGB muss die Tathandlung mit dolus directus 1. Grades verübt worden sein, da sie gerade mit dem Ziel einer Gewinnerzielung erfolgt sein muss.263 Im Hinblick auf die übrigen Tatbestandsmerkmale reicht zur Verwirklichung des subjektiven Tatbestands aber ebenfalls ein bedingt vorsätzliches Handeln des tauglichen Innentäters aus.264 Des Weiteren muss die Tathandlung auch unbefugt vorgenommen worden sein. Entsprechend den Ausführungen im Rahmen des § 202a Abs. 1 StGB handelt es sich bei diesem Merkmal um einen Hinweis auf das allgemeine Straftaterfordernis der Rechtswidrigkeit.265 Demnach schließt die Einwilligung des Geheimnisberechtigten nicht schon den Tatbestand, sondern als Rechtfertigungsgrund erst die Rechtswidrigkeit aus. Geheimnisberechtigter ist nach einhelliger Ansicht bei Geheimnissen, die ihn selbst unmittelbar betreffen, allein der Mandant oder Patienten des cloudnutzenden Berufsgeheimnisträgers.266 Umstritten ist die Verfügungsberechtigung dagegen in solchen Fällen, in denen der anvertrauende Mandant bzw. Patient und der Geheimnisbetroffene personenverschieden sind (sog. Drittgeheimnisse).267 Als Beispiele für solche Drittgeheimnisse kann die in einem gespeicherten Befund mitgeteilte Aids-Erkrankung der Lebensgefährtin des Patienten des schweigepflichtigen Cloud-Nutzers, um festzustellen, ob dieser selbst unter der Krankheit leidet oder das aus einer elektronischen Akte hervorgehende Mandatsverhältnis des Prozessgegners zu dessen Anwalt genannt werden. Zum Teil wird mit Blick auf den Schutzbereich der §§ 203, 204 StGB und der viktimdogmatischen Überlegung, dass im Falle des unbefugt erlangten Wissens durch den Anvertrauenden der Geheimnisgeschützte seine Dispositionsbefugnis nicht verliere, angenommen, dass die Verfügungsberechtigung allein dem vom Geheimnisinhalt betroffenen Dritten zukomme.268 Die Gegenansicht nimmt hingegen an, dass entweder der anvertrauende Mandant bzw. Patient alleine269 oder neben dem Dritten, den das Geheimnis un263 Kargl, § 204 StGB, Rn. 10; Hoyer, SK-StGB, § 204, Rn. 9; Bosch, Satzger/Schluckebier/Widmaier, § 204 StGB, Rn. 4; a.A. Graf, MK, § 204 StGB, Rn. 18; Eisele, Schönke/ Schröder, § 204 StGB, Rn. 8, die einen direkten Vorsatz fordern; hingegen genügt nach Weidemann, in: BeckOK StGB, § 204, Rn. 8 sogar dolus eventualis. 264 Graf, MK, § 204 StGB, Rn. 18; Eisele, Schönke/Schröder, § 204 StGB, Rn. 8. 265 Dazu S. 139; siehe auch Fischer, § 203 StGB, Rn. 61; Kargl, NK, § 204 StGB, Rn. 12; Hoyer, SK-StGB, § 204, Rn. 10; Schünemann, § 204 StGB, Rn. 10; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 35; a.A. Eisele, Schönke/Schröder, § 203 StGB, Rn. 29; Cierniak/Pohlit, § 203 StGB, Rn. 54, Graf, MK, § 204 StGB, Rn. 13, die eine doppelfunktionelle Bedeutung des Einverständnisses annehmen. 266 OLG Karlsruhe NJW 1960, 1392 (1392); Fischer, § 203 StGB, Rn. 70; Schünemann, LK, § 203 StGB, Rn. 102; Eisele, Schönke/Schröder, § 203 StGB, Rn. 31; Kargl, NK, § 203 StGB, Rn. 54; Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 36. 267 Zur Definition siehe Hoyer, SK-StGB, § 203, Rn. 23. 268 OLG Hamburg NJW 1962, 689 (691); Kargl, NK, § 203 StGB, Rn. 55; Cierniak/Niehaus, MK, § 203 StGB, Rn. 26. 269 Siehe nur Bosch, Satzger/Schluckebier/Widmaier, § 203 StGB, Rn. 38; Rüpke, NJW 2002, 2835 (2835 f.); Schmitz, JA 1996, 949 (952).
252
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
mittelbar betrifft,270 dispositionsbefugt ist. Als Begründung wird angeführt, dass der strafrechtliche Schutz des Verfügungsrechts an einem Geheimnis alleine durch die bestehende Sonderbeziehung des Mitteilenden zu dem Berufsgeheimnisträger vermittelt werde.271 Insofern ende auch der Schutzbereich der §§ 203, 204 StGB, sobald der Mandant oder Patient den cloudnutzenden Berufsgeheimnisträger von seinen Treuepflichten entbinde.272 Letztendlich kommt es auf einen Streitentscheid bei den hier untersuchten Angriffsszenarien aber nicht an, da taugliche Innentäter sowohl ohne oder gegen den Willen des Anvertrauenden als auch ohne Einwilligung des verfügungsberechtigten Dritten handeln, wenn sie ausgespähte oder ausgelesene Geheimnisse an Unbefugte weitergeben oder wirtschaftlich verwerten.
V. Unterlassene Verschwiegenheitserklärung, § 203 Abs. 4 Satz 2 StGB Sofern ein fremdes Geheimnis vorsätzlich durch einen Administrator des CloudAnbieters oder Cloud-Nutzers unbefugt offenbart wurde, macht sich nach § 203 Abs. 4 Satz 2 Nr. 1 StGB auch der cloudnutzende Berufsgeheimnisträger strafbar, wenn er nicht zuvor dafür Sorge getragen hat, dass der treuwidrig handelnde Innentäter zur Geheimhaltung verpflichtet wurde. Darüber hinaus erstreckt sich die Strafbarkeit auch auf die Cloud-Anbieter, soweit sie weitere Subunternehmer in die Verarbeitung der anvertrauten Geheimnisse eingeschaltet haben. So machen auch sie sich nach § 203 Abs. 4 Satz 2 Nr. 2 StGB strafbar, wenn Mitarbeiter der Subunternehmer den Geheimnisschutz verletzen ohne dass die Cloud-Anbieter zuvor die Angestellten der Unterauftragnehmer zur Geheimhaltung verpflichtet haben. Vor diesem Hintergrund soll den schweigepflichtigen Cloud-Nutzern die Möglichkeit, ohne strafrechtliches Risiko Cloud-Dienstleistungen zu nutzen, nur unter der Prämisse gewährt werden, dass alle Mitarbeiter der Cloud-Anbieter und Subunternehmer, die bei der ordnungsgemäßen Ausübung ihrer Tätigkeit Kenntnis von den geschützten Geheimnissen erlangen können, zur Geheimhaltung verpflichtet werden. Diese Pflicht, die unabhängig von berufsrechtlichen oder sonstigen rechtlichen Vorgaben gilt, kann der Berufsgeheimnisträger dadurch erfüllen, dass er im Cloud-Vertrag die Cloud-Anbieter selbst zur Verschwiegenheit verpflichtet und er gleichzeitig durch entsprechende vertragliche Vereinbarungen dafür Sorge trägt, dass die Anbieter ihre Administratoren und im Falle einer Gestattung einer Unterbeauftragung auch die ausführenden Mitarbeiter der Unterauftragnehmer zur Ge-
270
OLG Köln NStZ 1983, 412 (413); Eisele, Schönke/Schröder, § 203 StGB, Rn. 31; Schünemann, LK, § 203 StGB, Rn. 99; Weidemann, in: BeckOK StGB, § 203, Rn. 38; Hoyer, SK-StGB, § 203, Rn. 74; Krauß, ZStW 1985, 81 (113). 271 Vgl. Eisele, Schönke/Schröder, § 203 StGB, Rn. 31; Hoyer, SK-StGB, § 203, Rn. 72. 272 Vgl. nur Schünemann, LK, § 203 StGB, Rn. 99.
C. Verletzung und Verwertung von Privatgeheimnissen
253
heimhaltung verpflichten.273 Um die Einhaltung der Geheimhaltungspflichten und deren Weitergabe zu gewährleisten, sollten dabei für den Fall des Verstoßes entsprechende Vertragstrafen vereinbart werden.274 Sinn und Zweck dieser Straftatbestände ist es, den Geheimnisschutz umfassend durch eine lückenlose Kette von Verschwiegenheitspflichten zwischen dem Berufsgeheimnisträger und des beim Cloud Computing letztlich tätig werdenden Administrators zu gewährleisten.275 Zu diesem Zweck sollen alle Mitarbeiter der CloudBetreiber durch die Auferlegung von vertraglichen Schranken, die sie in Richtung Geheimhaltung, sorgsame Aufbewahrung und Umgang mit den anvertrauten Geheimnissen und zivilrechtliche Sanktionierung von Geheimnisverrat binden, eng in den Geheimnisschutz des Berufsgeheimnisträgers einbezogen werden. Durch diese Anbindung erlangen die schweigepflichtigen Cloud-Nutzer eine „Steuerungsmacht“276 über die Mitarbeiter der Cloud-Anbieter und Subunternehmer, weshalb es letztendlich auch gerechtfertigt ist, dass diese ihre Stellung als „außenstehende Dritte“ verlieren und sie als „mitwirkende Personen“ i.S.d. § 203 Abs. 3 Satz 2 StGB angesehen werden.277 Die Strafvorschriften wurden allerdings im Gesetzgebungsverfahren kontrovers diskutiert. Ausgangspunkt der Kritik ist, dass das strafbare Offenbaren des Geheimnisses durch die (weitere) mitwirkende Person als objektive Strafbarkeitsbedingung ausgestaltet ist, so dass die strafbare Schweigepflichtverletzung nach § 203 Abs. 4 Satz 1 StGB in keinem kausalem und zurechenbaren Zusammenhang mit der unterlassenen Geheimhaltungsverpflichtung stehen muss.278 Vor diesem Hintergrund wurde eingewandt, dass die §§ 203 Abs. 4 Satz 2 Nr. 1 und Nr. 2 StGB nicht mit dem Schuldgrundsatz zu vereinbaren seien.279 Hiernach könne nämlich nur derjenige bestraft werden, dem auch eine Straftat und deren spezifischer Unrechtsgehalt persönlich vorwerfbar sei. Indem aber eine Strafbarkeit der Cloud-Anbieter und cloudnutzenden Berufsgeheimnisträger unabhängig von einem selbst schuldhaft verursachten oder unterstützten Geheimnisverrat begründet werde, normieren die Tatbestände im Widerspruch zu den Vorschriften über Täterschaft und Teilnahme
273
Vgl. BT-Drs. 18/11936, S. 2, 29. Pohle/Ghaffari, CR 2017, 489 (494). 275 BT-Drs. 18/11936, S. 22, 29. 276 Heghmanns/Niehaus, NStZ 2008, 57 (60). 277 Vgl. Große Strafrechtskommission des Deutschen Richterbundes, Gutachten, S. 118; vgl. zur alten Rechtslage Cornelius, StV 2016, 380 (387); Spatscheck, AnwBl 2012, 478 (479); Jahn/Palm, AnwBl 2011, 613 (618); Heghmanns/Niehaus, NStZ 2008, 57 (60). 278 BT-Drs. 18/11936, S. 29. 279 Stellungnahme der Bundesärztekammer zum Referentenentwurf des BMJV, S. 7; Kargl, StV 2017, 482 (487); kritisch hierzu auch Eisele, der mit Blick auf den Schuldgrundsatz den Tatbestand verneinen möchte, wenn der Mitwirkende die Schweigepflicht positiv kannte; Eisele, Schönke/Schröder, § 203 StGB, Rn. 104; ders., JR 2018, 79 (87). 274
254
Kap. 4: Strafrechtlicher Schutz vor Weitergabe und Verwertung
i.S.d. §§ 25, 26, 27 StGB eine Haftung für fremdes Unrecht.280 Weiterhin wird argumentiert, dass auch kein Bedürfnis für eine zusätzliche Bestrafung der CloudNutzer und Cloud-Anbieter bestehe, weil das Unrecht der Schweigepflichtverletzung durch den treuwidrig handelnden Innentäter bereits durch dessen Strafbarkeit aus § 203 Abs. 4 Satz 1 StGB hinreichend unter Strafe gestellt werde.281 Berücksichtigt man bei dem Strafgrund des § 203 Abs. 4 Satz 2 StGB aber datenschutzrechtliche Beurteilungskriterien, kann die Strafwürdigkeit einer unterlassenen Geheimhaltungsverpflichtung mit der Überlegung bejaht werden, dass in diesem Fall die Cloud-Anbieter und cloudnutzenden Berufsgeheimnisträger ihre Steuerungsmacht über das ihnen anvertraute Geheimnis verlieren, wenn sie „mitwirkende Personen“, die auf die geheimen Inhaltsdaten zugreifen können, nicht nach Art. 28 Abs. 3 lit. b DSGVO, § 62 Abs. 5 Nr. 2 BDSG zur Verschwiegenheit verpflichten.282 Je weniger sie nämlich die Einhaltung der Verschwiegenheitspflicht bei dem Umgang mit den Geheimnissen einfordern können, desto mehr kann davon gesprochen werden, dass sie eine Verletzung des Geheimbereichs durch mitwirkende Personen billigend in Kauf nehmen.283 Insofern wird als eigenes Unrecht in den §§ 203 Abs. 4 Satz 2 Nr. 1 und Nr. 2 StGB das Unterlassen eines Schutzniveaus unter Strafe gestellt, gegen den ein tauglicher Innentäter sonst bei einem unbefugten Offenbaren der ausgespähten Geheimnisse verstoßen müsste, indem er sich über seine schadensersatzbewehrte, zivilrechtlich vereinbarte Schweigepflicht hinwegsetzt. Die hieraus für den Geheimnisschutz resultierende, rechtswidrig geschaffene Gefahr wird bereits bußgeldrechtlich vor allem durch die Art. 83 Abs. 4 lit. a i.V.m. Art. 28 Abs. 3 lit. b DSGVO, § 41 BDSG geahndet, wobei sogar die fahrlässige Unterlassung einer Verschwiegenheitsverpflichtung für eine Erfüllung des Bußgeldtatbestands ausreichend ist. Korrespondierend hierzu stellen die §§ 204 Abs. 4 Satz 2 Nr. 1 und Nr. 2 StGB als erhöhtes Unrecht die vorsätzlich unterlassene Geheimhaltungsverpflichtung als kausale und objektiv zurechenbare Verursachung eines mangelhaften Schutzniveaus unter Strafe,284 der sich in der unbefugten Offenbarung des Geheimnisses durch eine „mitwirkende Person“ realisiert. Allerdings ist zu bedenken, dass sich die unterlassene Geheimhaltungsverpflichtung in der Regel als bloße Sorgfaltspflichtverletzung erweisen wird, weshalb sie mangels
280 Stellungnahme der Bundesärztekammer zum Referentenentwurf des BMJV, S. 7; zust. Cornelius, NJW 2017, 3751 (3753 f.). 281 Stellungnahmen der Bundesärztekammer, S. 7 und der Bundespsychotherapeutenkammer, S. 7; siehe auch Heger, in: Lackner/Kühl, § 203 StGB, Rn. 27a. 282 Vgl. Cierniak/Niehaus, MK, § 203 StGB, Rn. 55 f.; Lenckner/Eisele, Schönke/ Schröder29, § 203 StGB, Rn. 20; Cornelius, StV 2016, 380 (387); Conrad/Fechtner, CR 2013, 137 (145); Hoenike/Hülsdunk, MMR 2004, 788 (791 f.); auch Redeker, ITRB 2014, 232 (233 f.); Otto, wistra 1999, 201 (205); Heghmanns/Niehaus, wistra 2008, 161 (163 ff.); Hilgendorf, in: FS Tiedemann, S. 1136. 283 Vgl. Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht, S. 101. 284 Vgl. hierzu auch Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht, S. 102 f.
C. Verletzung und Verwertung von Privatgeheimnissen
255
Anordnung einer Fahrlässigkeitsstrafbarkeit nach § 203 Abs. 4 Satz 2 StGB zumeist straflos bleiben wird.285
VI. Zusammenfassung Unter Strafe gestellt wird nicht nur das Offenbaren und Verwerten fremder Geheimnisse durch Innentäter, sondern auch die unterlassene Verschwiegenheitsverpflichtung der Cloud-Anbieter und Cloud-Nutzer, sofern ein treuwidrig handelnder Innentäter ein fremdes Geheimnis offenbart. Der Schutz der Datenvertraulichkeit wird daher recht umfassend von den §§ 203 Abs. 4, 204 Abs. 1 StGB gewährleistet. Wegen des frühen Vollendungszeitpunkts der Tathandlungen ändert daran auch die fehlende Versuchsstrafbarkeit der Strafnormen nichts. Auf der anderen Seite sind die Strafvorschriften aber nur dann anwendbar, wenn es sich bei dem Cloud-Nutzer um einen tatbestandlich erfassten Berufsgeheimnisträger handelt. Zudem sind die Strafvorschriften nach § 205 Abs. 1 Satz 1 StGB, anders als die §§ 202a, 202b und 202d StGB, absolute Antragsdelikte. Ein besonderes öffentliches Interesse ist mithin für die Strafverfolgung nicht ausreichend. Problematisch ist dabei, dass dem Geheimnisberechtigten, also dem Mandanten, Patienten oder einem Dritten, zumeist gar nicht bekannt sein wird, dass eine Straftat verübt wurde. Aus diesem Grund ist die praktische Relevanz der Vorschriften als sehr gering einzuschätzen, wenngleich schon die Angst vor zivil- und strafrechtlichen Sanktionen „mitwirkende Personen“ davon abhalten wird, fremde Geheimnisse weiterzugeben oder wirtschaftlich zu verwerten.
285 Zutreffend hierzu die Stellungnahme des Bundesrates, BT-Drs. 18/11936, S. 43; zustimmend Cierniak/Niehaus, MK, § 203 StGB, Rn. 158; kritisch zum Vorsatzerfordernis auch der Ausschuss Berufsrecht des Deutschen Anwaltvereins in seiner Stellungnahme zum Referentenentwurf des BMJV, S. 9.
5. Kapitel
Nebenstrafrechtlicher Schutz der Datenvertraulichkeit Außerhalb des Strafgesetzbuchs wird der Schutz der Vertraulichkeit bestimmter Nutzerdaten vor allem in den Straf- und Bußgeldvorschriften des UWG und TKG1 sowie der DSGVO und des BDSG geregelt. Im Weiteren soll nun untersucht werden, ob und inwieweit die nebenstrafrechtlichen Vorschriften geeignet sind, die aufgezeigten Schutzlücken des Kernstrafrechts des StGB bei einem Auslesen, einer Verwertung und Weitergabe der Nutzerdaten durch Innentäter des Cloud Computing zu schließen.
A. Verrat von Geschäfts- und Betriebsgeheimnissen, § 17 UWG Bei einem Ausspähen, einer Verwertung und Weitergabe von Geschäfts- und Betriebsgeheimnissen der Cloud-Nutzer könnten sich Innentäter auch nach § 17 1 Da jedenfalls die §§ 89, 90, 148 TKG auf der RL 2002/58/EG basieren, bleiben sie gem. Art. 95 DSGVO bis zum Inkrafttreten der EP-VO auf die öffentlich zugänglichen CloudDienste anwendbar. Dagegen werden die §§ 11 ff. TMG und damit der bei einem Innentäterangriff in Betracht kommende Bußgeldtatbestand aus § 16 Abs. 2 Nr. 4 TMG durch den unmittelbaren Anwendungsvorrang der DSGVO gem. Art. 288 Abs. 2 AEUVab dem 25. 05. 2018 verdrängt. Dies resultiert zum einen daraus, dass die §§ 11 ff. TMG weitgehend nicht auf der RL 2002/58/EG basieren und zum anderen, dass sich der Anwendungsbereich der RL 2002/58/ EG überwiegend auf elektronische Kommunikationsdienste (Art. 3 Abs. 1 RL 2002/58/EG) erstreckt, für welche das TMG gerade nicht anwendbar ist; ebenso Geminn/Richter, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 4, Rn. 222, 262, 302; Piltz, Gola (Hrsg.), DSGVO, Art. 95, Rn. 19; Selk, Redeker (Hrsg.), IT-Verträge, Teil 3.16, Rn. 159 f.; Keber, Schwartmann (Hrsg.), Medien-, IT- und Urheberrecht, 20. Kap., Rn. 47 f.; Schmitz, ZRP 2017, 172 (173); Schantz, NJW 2016, 1841 (1841); Keppeler, MMR 2015, 779 (781). Hiervon geht auch der Gesetzgeber aus, siehe hierzu BT-Drs. 18/12356, S. 28. Ungeachtet dessen, stellen die ausgelagerten Daten in der Cloud keine Bestands- oder Nutzungsdaten im Sinne der §§ 14, 15 TMG, sondern Inhaltsdaten dar, weshalb das TMG nach der bis zum 25. 05. 2018 geltenden Rechtslage ohnehin nicht auf die hier untersuchten Innentäter-Angriffe anwendbar ist; Bräutigam/Thalhofer, in: Bräutigam (Hrsg.), Cloud Computing, Teil 14, Rn. 28; Kroschwald, Informationelle Selbstbestimmung, S. 173; Wicker, Cloud Computing, S. 93; Boos/Kroschwald/ Wicker, ZD 2013, 205 (207); vgl. auch Spindler/Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 15 TMG, Rn. 3; Zscherpe, Taeger/Gabel (Hrsg.), Kommentar, § 15 TMG, Rn. 27.
A. Verrat von Geschäfts- und Betriebsgeheimnissen
257
UWG strafbar machen. Um den modernen Erscheinungsformen der Wirtschaftsspionage mit den daraus resultierenden erheblichen Schäden strafrechtlich zu begegnen, verfolgt die Strafvorschrift das Ziel, Unternehmensinhaber vor der Verletzung ihrer Betriebs- und Geschäftsgeheimnisse sowie das Interesse der Allgemeinheit an einem funktionsfähigen und lauteren Wettbewerb zu schützen.2 Indirekt dient der Tatbestand letztlich aber auch dem Schutz des betrieblichen Vermögens.3 Der strafrechtliche Schutz erfolgt dabei nicht nur vor Eingriffen von Mitbewerbern und Konkurrenten, sondern auch vor Handlungen der eigenen Mitarbeiter.4 In dieser Hinsicht enthält die mit dem 2. WiKG vom 15. 05. 19865 normierte Strafvorschrift drei unterschiedliche Tatbestände: Nach § 17 Abs. 1 UWG wird zunächst der Geheimnisverrat eines Beschäftigten des Unternehmens während der Dauer seines Dienstverhältnisses unter Strafe gestellt. Die Betriebsspionage in Form des unbefugten Verschaffens oder Sicherns von Geschäfts- oder Betriebsgeheimnissen unter Einsatz bestimmter Mittel und Methoden wird in § 17 Abs. 2 Nr. 1 UWG geregelt. Schließlich ist nach § 17 Abs. 2 Nr. 2 UWG auch die sog. Geheimnishehlerei durch die unbefugte Verwertung oder Mitteilung eines nach § 17 Abs. 1 UWG oder § 17 Abs. 2 Nr. 1 UWG erlangten Geheimnisses strafbar.
I. Geschäfts- und Betriebsgeheimnisse als Tatobjekt Gegenstand aller Tatvarianten sind Geschäfts- und Betriebsgeheimnisse, die im Gegensatz zur Strafvorschrift des Ausspähens von Daten gem. § 202a Abs. 1 StGB keiner besonderen Zugangssicherung bedürfen. Unter dem gesetzlich nicht definierten Begriff fällt jede im Zusammenhang mit einem Betrieb stehende Tatsache, die nicht offenkundig, sondern nur einem eng begrenzten Personenkreis bekannt ist und nach dem Willen des Betriebsinhabers aufgrund eines berechtigten wirtschaftlichen Interesses geheim gehalten werden soll, weil eine Aufdeckung der Tatsachen geeignet wäre, dem Geheimnisträger wirtschaftlichen Schaden zuzufügen.6 Der Begriff des Betriebsgeheimnisses zielt dabei auf Kenntnisse und Tatsachen 2 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 2; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 2. 3 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 171; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 213; a.A. Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 6, wonach das Vermögen das deliktsprägende Rechtsgut der Strafvorschrift ist. 4 Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 1; Eisele, Computerstrafrecht, § 16, Rn. 52. 5 BGBl. I S. 721, 726. 6 BVerfG MMR 2006, 375 (376); BGH GRUR 2003, 356 (358); BGH NJW 1995, 2301; BGH GRUR 1955, 424; RGZ 149, 329 (333); Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 1. Eine Modifikation dieser gängigen Definition des Betriebs- und Geschäftsgeheimnisses findet sich in der am 05. 07. 2016 in Kraft getretenen EURichtlinie über den Schutz vertraulichen und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (EU-RL 2016/943).
258
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
im Betriebsablauf ab, während sich Geschäftsgeheimnisse auf den kaufmännischen Geschäftsverkehr beziehen.7 Wegen der rechtlichen Gleichbehandlung beider Begriffe ist allerdings eine genaue Grenzziehung entbehrlich,8 so dass man als Oberbegriff auch von „Unternehmens-“9 oder besser „Wirtschaftsgeheimnissen“10 sprechen kann. In diesem Sinn muss die geheimzuhaltende Tatsache, um als Wirtschaftsgeheimnis zu gelten, in Beziehung zu einem bestimmten Geschäftsbetrieb einer natürlichen oder juristischen Person bzw. teilrechtsfähigen Personengesellschaft stehen.11 Als geschäftlicher Betrieb gilt jede auf Dauer angelegte Unternehmung, die nicht privater Natur ist und mittels des Austausches von Waren und Dienstleistungen am Wirtschaftsleben teilnimmt.12 Darunter fallen auch Wirtschaftsbetriebe der öffentlichen Hand.13 Keine tauglichen Tatobjekte stellen aber wissenschaftliche Erkenntnisse von Forschungsinstituten des Staates, der Universitäten oder ähnlicher Einrichtungen dar.14 Auch staatliche und rein private Geheimnisse sowie alle sonstigen nichtgewerblichen Informationen fallen nicht in den Anwendungsbereich des § 17 UWG.15 Erfasst werden beispielsweise Kunden- und Lieferantendaten, Kalkulationen, Bilanzen, Gehaltslisten oder sonstige Personalunterlagen sowie im Auftrag oder in Eigenregie speziell entwickelte Computerprogramme einschließlich ihrer Quellcodes, Schnittstellen und Algorithmen.16 Diese Daten sind allerdings nur Danach liegt gem. Art. 2 Abs. 1 EU-RL2016/943 ein Geschäftsgeheimnis vor, wenn die Information generell unbekannt oder in den angesprochenen Verkehrskreisen nicht bekannt ist (lit. a). Zudem muss das Geschäftsgeheimnis einen kommerziellen Wert verkörpern (lit. b) und durch angemessene Geheimhaltungsmaßnahmen gesichert sein (lit. c). Mangels einer EUKompetenz zum Erlass von strafrechtlichen Regelungen beschränkt sich die Richtlinie aber nur auf zivilrechtliche Schutzvorschriften (vgl. Erwägungsgrund 10 und Art. 6 Abs. 1 der Richtlinie). Dennoch ist unklar, ob § 17 UWG im Rahmen der Umsetzung in das nationale Recht aufgehoben und geändert wird; so Kalbfus, GRUR 2016, 1009 (1016); McGuire, GRUR 2016, 1000 (1008). Nach Hoeren und Münker plant dagegen der Gesetzgeber die Umsetzung in ein eigenes Spezialgesetz, ohne den § 17 UWG anzutasten; Hoeren/Münker, WRP 2108, 150 (151). 7 Siehe nur Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 4a m.w.N. 8 Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 1; Janssen/Maluga, MK, § 17 UWG, Rn. 17. 9 Statt vieler Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 5. 10 Siehe nur Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 8 m.w.N. 11 Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 6; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 12. 12 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 215; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 173. 13 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 12. 14 Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 14; Bär, in: Wabnitz/ Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 173. 15 Janssen/Maluga, MK, § 17 UWG, Rn. 18; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 5. 16 Hierzu sowie zu weiteren Beispielen siehe Harte-Bavendamm, Harte-Bavendamm/ Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 7; Janssen/Maluga, MK, § 17 UWG, Rn. 41.
A. Verrat von Geschäfts- und Betriebsgeheimnissen
259
dann Betriebsgeheimnisse des Cloud-Nutzers, wenn es sich bei diesem um ein Unternehmen handelt. Zugeordnet werden ihm die Wirtschaftsgeheimnisse aber nicht nur, wenn sie von dem Unternehmensinhaber selbst in der Cloud gespeichert wurden, sondern auch dann, wenn sie von seinen Beschäftigten in Ausübung der Berufstätigkeit in die Cloud eingebracht bzw. bei der Benutzung der SaaS- und PaaSDienste begründet worden sind.17 Vor diesem Hintergrund stellt z.B. auch eine im Rahmen der PaaS-Dienste entwickelte Software oder App eines Mitarbeiters gem. §§ 4, 24 ArbEG18 ein von § 17 Abs. 1 UWG geschütztes Wirtschaftsgeheimnis des cloudnutzenden Unternehmens dar.19 In Anbetracht des schutzwürdigen Geheimhaltungsinteresses des Cloud-Nutzers an seinen ausgelagerten sensiblen Inhaltsdaten werden daneben auch die Zugangsdaten zu den Cloud-Diensten und die zu ihrer sicheren Nutzung individuell getroffenen Schutzmechanismen (etwa die eingesetzten Verschlüsselungsverfahren) tatbestandlich als Wirtschaftsgeheimnisse geschützt und zwar unabhängig davon, ob in der Cloud selbst Betriebs- oder Geschäftsgeheimnisse gespeichert und verarbeitet werden.20 Der Geheimnischarakter der Tatsache entfällt aber, sobald ihr Gegenstand offenkundig ist. Dies ist anzunehmen, wenn die Information entweder allgemein bekannt ist oder sie derart leicht zugänglich gemacht wird, dass jeder Interessent sie ohne weiteres in Erfahrung bringen kann.21 Nicht offenkundig ist demgegenüber eine Tatsache, die nur einem eng begrenzten Personenkreis bekannt ist.22 Wie groß der Kreis der „Wissenden“ sein muss, um dem Geheimnis seine Eigenschaft zu nehmen, ist jedoch im Wesentlichen eine Tat- und Beweisfrage, die im Einzelfall vom Tatrichter zu beurteilen ist.23 Maßgebliches Kriterium ist dabei, dass der Geheimnisinhaber den Kreis der Mitwisser unter Kontrolle behält und das Geheimnis gegenüber Konkurrenten gewahrt bleibt.24 Hierfür ist es ausreichend, wenn das Wirtschaftsgeheimnis nur Personen mitgeteilt wird, die vertraglich oder gesetzlich zur Ver-
17 Vgl. BGH GRUR 1977, 539 (540); Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 13. 18 Das Arbeitnehmererfindungsgesetz ist seit dem 01. 10. 1957 in Kraft und regelt im Hinblick auf die während der Dauer des Arbeitsverhältnisses gemachten Diensterfindungen die Rechte und Pflichten der Arbeitgeber und Arbeitnehmer. 19 Vgl. nur Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 21. 20 Vgl. Janssen/Maluga, MK, § 17 UWG, Rn. 41; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 750 f; Binder, RDV 1995, 116 (122); a.A. Eisele, Computerstrafrecht, § 16, Rn. 54, der die Credentials nur dann als Wirtschaftsgeheimnisse einstuft, wenn in der Cloud Betriebs- und Geschäftsgeheimnisse verarbeitet werden. 21 Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 6. 22 Janssen/Maluga, MK, § 17 UWG, Rn. 22. 23 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 10; Janssen/Maluga, MK, § 17 UWG, Rn. 22. 24 Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 4; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 16.
260
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
schwiegenheit verpflichtet sind.25 Hierzu gehören zunächst die eigenen Beschäftigten des Cloud-Nutzers, weil für sie eine generelle Schweigepflicht aus dem Arbeitsvertrag besteht.26 Aber auch die Mitarbeiter der Cloud-Anbieter und Subunternehmer trifft eine Geheimhaltungspflicht, so dass die Wirtschaftsgeheimnisse trotz ihrer potentiellen Zugriffsmöglichkeiten auf die geheimen Inhaltsdaten mit der Cloud-Nutzung nicht offenkundig werden.27 Auch unabhängig von einer ausdrücklich vereinbarten Verschwiegenheitsverpflichtung ergibt sich bereits aus den Umständen (§§ 133, 157 BGB), dass die Cloud-Nutzer auf eine Geheimhaltung durch die Angestellten der Cloud-Anbieter und der eingeschalteten Subunternehmer vertrauen (dürfen) und nicht mit einer Kenntnisnahme, Weitergabe oder Verwertung ihrer ausgelagerten Geheimnisse an Dritte rechnen müssen.28 Offenkundig sind nach der überwiegenden Meinung aber Wirtschaftsgeheimnisse, die im Internet oder auf den allgemein zugänglichen Handelsplattformen des Darknets veröffentlicht wurden.29 Insofern handeln Dritte tatbestandslos, wenn sie derart zugängliche Geheimnisse unbefugt zur Kenntnis nehmen oder von ihnen Datenkopien anfertigen. Ist dagegen der Kreis der Dritten, denen die ausgespähten Betriebs- und Geschäftsgeheimnisse zugänglich gemacht wurden, begrenzt, was etwa bei ihrer Offenbarung an einzelne Personen durch die missbräuchliche Nutzung der Linkfunktion oder ihrer Bereitstellung auf den geschlossenen Verkaufsplattformen des Darknets der Fall ist, wird ihr Geheimnischarakter nicht aufgehoben,30 so dass sich Dritte nach dieser Ansicht aus § 17 UWG mit der unbefugten Verschaffung und Sicherung der Geheimnisse strafbar machen, sofern die übrigen Tatbestandsvoraussetzungen erfüllt sind. Angesichts der Ratio Legis des § 17 UWG, Unternehmensinhaber vor der Verletzung ihrer Betriebs- und Geschäftsgeheimnisse sowie 25
Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 8; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 7a. 26 Siehe nur Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 4 m.w.N. 27 Vgl. OLG Düsseldorf Beschl. v. 09. 02. 2007-5 Ss 163, 59/06 = BeckRS 2008, 5432; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 16; a.A. Janssen/Maluga, MK, § 17 UWG, Rn. 22 mit dem Argument, dass trotz einer vertraglichen Geheimhaltungspflicht kein Einfluss auf den Wechsel des Personals des Auftragnehmers genommen werden könne, so dass ein Auftraggeber auch nicht den Personenkreis der Mitwissenden beherrschen könne. Da es aber nicht sachgerecht scheint, dem Geheimnisinhaber den strafrechtlichen Schutz aus § 17 UWG im Rahmen eines Outsourcings trotz einer bestehenden Geheimhaltungsverpflichtung des Auftragnehmers zu verwehren, ist diese Ansicht nicht überzeugend. 28 Vgl. Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 4; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 7a.; a.A. Grunewald, WRP 2007, 1307 (1308), der entgegen den allgemeinen Grundsätzen der ergänzenden Vertragsauslegung eine vertraglich vereinbarte Verschwiegenheitspflicht fordert. 29 Siehe nur Hassemer, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch, § 43, Rn. 247; Janssen/Maluga, MK, § 17 UWG, Rn. 23, 30. 30 Vgl. BayObLG ZIP 2000, 2177 (2178); Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 7a; Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 8; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 4
A. Verrat von Geschäfts- und Betriebsgeheimnissen
261
das Interesse der Allgemeinheit an einem funktionsfähigen und lauteren Wettbewerb zu schützen, sollte das Tatbestandsmerkmal für eine effektive strafrechtliche Bekämpfung des illegalen Datenhandels – entsprechend den Überlegungen zum inhaltsgleichen Merkmal des § 202d Abs. 1 StGB31 – jedoch dahingehend ausgelegt werden, dass Wirtschaftsgeheimnisse nur dann „allgemein zugänglich“ sind, wenn sie auch nach dem Willen des verfügungsberechtigten Cloud-Nutzers dazu bestimmt wurden, der Allgemeinheit, also einem individuell nicht bestimmbaren Personenkreis ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts zugänglich zu sein. Im Ergebnis liegt damit nach der hier vertretenen Ansicht ein taugliches Tatobjekt auch dann vor, wenn ausgespähte Wirtschaftsgeheimnisse auf den offenen Verkaufsforen des Darknets gehandelt werden.
II. Geheimnisverrat, § 17 Abs. 1 UWG Den objektiven Straftatbestand verwirklicht, wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Beschäftigungsverhältnisses unbefugt an eine andere Person mitteilt. Tauglicher Täter des Sonderdelikts ist nur der Beschäftigte des Unternehmens, um dessen Geheimnis es geht. Nichtbeschäftigte können hingegen nach den allgemeinen Vorschriften der §§ 26, 27, 28 Abs. 1 StGB lediglich Teilnehmer (Anstifter oder Gehilfe) des Geheimnisverrats sein.32 Der Begriff des Beschäftigten ist dabei zwecks Gewährleistung eines umfassenden Geheimnisschutzes weit auszulegen und erfasst jede natürliche Person, die unabhängig von Art, Umfang, Dauer und Bezahlung seine Arbeitskraft dem Geschäftsbetrieb eines anderen widmet.33 Bedingt durch den am Arbeitnehmerbegriff orientierten Gesetzeswortlaut kommen aber nur die Mitarbeiter des cloudnutzenden Unternehmens, d.h. alle Angestellten, Praktikanten, Auszubildenden und Leiharbeiter sowie alle Vorstands- und Aufsichtsratsmitglieder, (faktischen) Geschäftsführer und Handelsvertreter i.S.d § 84 Abs. 2 HGB,34 als taugliche Täter des § 17 Abs. 1 UWG in Betracht. Die Mitarbeiter der Cloud-Anbieter und Subunternehmer sind dagegen keine Beschäftigten der Cloud-Nutzer, weshalb sie als Täter nur den Tatbestand des § 17 Abs. 2 UWG verwirklichen können.35 31
S. 211 f. Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 18. 33 BGH NJW 2009, 1420 (1420); Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 14. 34 Vgl. nur Brammsen, in: Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 35; HarteBavendamm, in: Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 8. 35 Wicker, Cloud Computing, S. 246; vgl. auch Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 14. 32
262
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Tatbestandlich vorausgesetzt wird des Weiteren, dass den Beschäftigten des Cloud-Nutzers die geheimzuhaltende Tatsache im Rahmen ihres Dienstverhältnisses anvertraut worden oder sonst zugänglich geworden ist. Die Situation unterscheidet sich hierbei nicht unbedingt mit derjenigen, in der Geheimnisse, die nicht in der Cloud gespeichert sind, unbefugt von Mitarbeitern des Cloud-Nutzers verschafft werden. Denn zur Tatbestandserfüllung genügt bereits das Bestehen eines kausalen Zusammenhangs zwischen dem Beschäftigungsverhältnis und der Kenntniserlangung dergestalt, dass der taugliche Innentäter das Geheimnis aufgrund seines Anstellungsverhältnisses zum Cloud-Nutzer erfahren hat.36 Anvertraut wurde ihm dabei das Wirtschaftsgeheimnis, wenn es ihm unter der ausdrücklichen oder konkludenten Auflage der Geheimhaltung mitgeteilt wurde.37 Zugänglich geworden ist ihm hingegen das Geheimnis, wenn er es irgendwie aufgrund des Dienstverhältnisses erfahren hat.38 Hierfür reicht es sogar aus, wenn er sich seine Kenntnis durch eine rechtswidrige Maßnahme, z.B. durch eine Betriebsspionage, einen Diebstahl, eine Anstiftung zum Geheimnisverrat oder durch eine Bestechung Dritter verschafft hat.39 Tathandlung ist die Mitteilung des Geheimnisses während der rechtlichen Dauer40 des Beschäftigungsverhältnisses an einen beliebigen Dritten. Dafür genügt es, wenn das Wirtschaftsgeheimnis einem Außenstehenden oder einer im Betrieb des CloudNutzers beschäftigten Person, der das Geheimnis zuvor nicht zugänglich war, übermittelt wird.41 Auf die Form der unberechtigten Weitergabe der geheimzuhaltenden Information kommt es dabei nicht an, so dass sowohl eine mündliche oder schriftliche Übermittlung als auch eine elektronische Übertragung der geheimen Daten (etwa durch die Versendung eines Datenlinks) sowie die Übergabe von Speichermedien (USB-Sticks, CDs, Festplatten etc.), auf denen sich die Geheimnisse befinden, den Tatbestand verwirklicht. Entgegen einer zum Teil in der Literatur vertretenen Ansicht ist es hierbei auch nicht erforderlich, dass der Empfänger das Wirtschaftsgeheimnis zur Kenntnis genommen hat.42 Um den in § 17 UWG enthaltenen Normzweck bestmöglich zu gewährleisten und das durch die Tathandlung begründete Risiko einer Verwertung oder einer weiteren Offenbarung des Geheimnisses durch den unmittelbaren Empfänger vollumfassend strafrechtlich erfassen zu können, ist die Tathandlung zum Schutz der Cloud-Nutzer weit auszulegen, weshalb der objektive Tatbestand des Geheimnisverrats bereits mit der bloßen 36
Janssen/Maluga, MK, § 17 UWG, Rn. 46; Többens, NStZ 2000, 505 (507). Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 14. 38 Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 17. 39 Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 39. 40 Ausführlich hierzu Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 12. 41 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 27; Janssen/Maluga, MK, § 17 UWG, Rn. 48. 42 So aber Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 19; Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 22; Eisele, Computerstrafrecht, § 16, Rn. 54; Többens, NStZ 2000, 505 (508). 37
A. Verrat von Geschäfts- und Betriebsgeheimnissen
263
Verschaffung der Möglichkeit der Kenntnisnahme erfüllt ist.43 Demzufolge braucht der Empfänger das Geheimnis als solches auch nicht zu verstehen und muss nicht selbst die Fähigkeit haben, es zu nutzen; es genügt, wenn er von den erhaltenen Geheimnissen Gebrauch machen kann.44 Insofern bedarf es bei einer unbefugten Übermittlung verschlüsselter Daten an einen zur ihrer Kenntnisnahme nicht berechtigten Dritten auch nicht der vorherigen Datenentschlüsselung, um eine vollendete Mitteilung zu bejahen. Erforderlich ist allerdings, dass der Empfänger die Entschlüsselung vornehmen kann, also die ungehinderte Möglichkeit zur Kenntnisnahme hat.45 Möglich ist die Erfüllung der Tathandlung auch durch ein Unterlassen, sofern der Innentäter eine Garantenstellung i.S.d. § 13 StGB inne hat. Sie kann sich vor allem aus einer besonderen Vertrauensstellung im Unternehmen des Cloud-Nutzers oder daraus ergeben, dass der Garant vertraglich die Pflicht übernommen hat, Geheimnisse gegen den Zugriff Dritter zu schützen.46 Entsprechend den Überlegungen im Rahmen des § 206 Abs. 1 StGB kommt daher eine Unterlassungsstrafbarkeit vor allem bei den Serviceadministratoren der Cloud-Nutzer in Betracht, sofern sie bekannte Schutzlücken bei den IaaS- oder PaaS-Diensten bestehen lassen (z.B. durch unterlassene Sicherheitspatches oder eine fehlerhafte Benutzer-, Rollen- und Berechtigungsverwaltung) und dabei billigend in Kauf nehmen, dass hierdurch unbefugte Personen Kenntnis von geheimen Inhaltsdaten erhalten können.47 Vollendet ist ihre Tat allerdings erst dann, wenn der Dritte tatsächlich Zugang zu den fremden Wirtschaftsgeheimnissen erlangt hat.
III. Geheimnisausspähung und -verwertung, § 17 Abs. 2 UWG § 17 Abs. 2 UWG schützt vor typischen und besonders gefährlichen Erscheinungsformen der Wirtschaftsspionage.48 Taugliche Täter können hier nicht nur die Mitarbeiter des Cloud-Nutzers, sondern alle potentiellen Innentäter sein, die Wirtschaftsgeheimnisse eines Unternehmens ausspähen, verwerten oder an Dritte wei-
43 Ebenso Wicker, Cloud Computing, S. 245; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 41; Janssen/Maluga, MK, § 17 UWG, Rn. 50; Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 15. 44 RGSt. 51, 185 (189); Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 22. 45 Janssen/Maluga, MK, § 17 UWG, Rn. 50. 46 Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 15; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 10. 47 Vgl. S. 228. 48 BT-Drs. 10/5058, S. 40.
264
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
tergeben.49 Im Gegensatz zur Strafvorschrift des § 17 Abs. 1 UWG ist es damit bei den Tatbeständen der Betriebsspionage und der Geheimnishehlerei unerheblich, ob sich die Tat auf geheime Inhaltsdaten des Cloud-Nutzers bezieht oder ob die Daten Geheimnisse bezogen auf ein anderes Unternehmen darstellen, mit denen der CloudNutzer zusammenarbeitet und die infolge der Inanspruchnahme der Cloud-Dienste ebenfalls in der Cloud gespeichert und verarbeitet werden.50 Denn in jedem Fall handelt es sich für die Innentäter um fremde Betriebs- und Wirtschaftsgeheimnisse, die unter dem strafrechtlichen Schutz des § 17 Abs. 2 UWG stehen. 1. Betriebsspionage, § 17 Abs. 2 Nr. 1 UWG Der Tatbestand der Betriebsspionage gem. § 17 Abs. 2 Nr. 1 UWG erweitert den strafrechtlichen Schutz der Wirtschaftsgeheimnisse in das Vorstadium der Kundgabe- bzw. Mitteilungshandlungen zurück auf den Zeitpunkt der Geheimnisausspähung.51 Innentäter machen sich hiernach strafbar, wenn sie ein Betriebs- oder Geschäftsgeheimnis durch Anwendung technischer Mittel (lit. a), durch die Herstellung einer verkörperten Wiedergabe des Geheimnisses (lit. b) oder durch eine Wegnahme einer Sache, in der das Geheimnis verkörpert ist (lit. c), unbefugt verschaffen oder sichern. Ein Verschaffen liegt vor, wenn der Innentäter ein ihm inhaltlich unbekanntes Geheimnis zur Kenntnis nimmt.52 Dem steht es gleich, wenn er Computerausdrucke oder Datenträger, auf dem die geheimzuhaltenen Inhaltsdaten der Cloud-Nutzer gespeichert sind, in seinen Gewahrsam bringt oder wenn er die betreffenden Daten auf einen in eigener Verfügungsgewalt stehenden Datenträger kopiert und damit die Möglichkeit erhält, von ihrem Inhalt Kenntnis zu nehmen.53 Darüber hinaus ist es auch ausreichend, wenn er die Geheimnisse am Bildschirm abruft und sich so einprägt, dass er in der Lage ist, die Informationen wiederzugeben.54 Gesichert wird hingegen ein Geheimnis, wenn es der Innentäter zwar schon kennt, sich aber eine bleibende Kenntnis durch eine verkörperte Wiedergabe, z.B. durch die Anfertigung einer Datenkopie oder durch das Verschieben des Wirtschaftsgeheimnisses in das eigene E-Mail-Konto, verschafft, so dass er jederzeit darauf zugreifen kann.55 Eine 49
Vgl. nur Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 34; Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 17. 50 Vgl. Wicker, Cloud Computing, S. 244. 51 Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 80. 52 Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 30; Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 18; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 20. 53 Vgl. Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 18; Hassemer, in: Auer-Reinsdorff/ Conrad (Hrsg.), Handbuch, § 43, Rn. 250. 54 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 175. 55 BGH GRUR 2012, 1048; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 86; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 31; Ohly, Ohly/Sosnitza
A. Verrat von Geschäfts- und Betriebsgeheimnissen
265
trennscharfe Abgrenzung zwischen beiden Tatvarianten ist zwar nicht möglich, aber auch nicht erforderlich.56 So verschafft sich ein Innentäter beispielsweise mit der Speicherung der fremden Wirtschaftsgeheimnisse auf einen eigenen USB-Stick geheime Daten und sichert sie zugleich. Unproblematisch werden die Angriffshandlungen der Innentäter zudem regelmäßig unter Anwendung technischer Mittel ausgeübt. Entsprechend dem inhaltsgleichen Tatbestandsmerkmal des § 202b StGB versteht man unter diesem Tatmittel alle technischen Vorrichtungen, die geeignet sind, dem Verschaffen oder dem Sichern der geheimzuhaltenden Inhaltsdaten zu dienen.57 Ferner genügt zur Verwirklichung der Tathandlung bereits die bloße Verwendung der technischen Mittel, auf die Überwindung einer Zugangssicherung, wie bei § 202a StGB, kommt es dagegen nicht an. Unter dem für technische Neuerungen offenen und weit auszulegenden Begriff58 fällt damit bereits der bloße Zugriff auf das Cloud-System59 und das Anzeigen bzw. Aufrufen geheimer Nutzerdaten auf der EDV-Anlage des Innentäters60 sowie der Einsatz von Malware61. Erstellt der Innentäter von dem Geheimnis eine schriftliche Aufzeichnung bzw. einen Computerausdruck oder kopiert es auf einen Datenträger, stellt er ferner eine verkörperte Wiedergabe i.S.d. § 17 Abs. 2 Nr. 1b UWG her.62 Entwendet er dagegen eine das Geheimnis verkörpernde Sache, etwa einen Datenträger, auf dem das Wirtschaftsgeheimnis des Cloud-Nutzers gespeichert ist, indem er vergleichbar der Tathandlung des einfachen Diebstahls nach § 242 Abs. 1 StGB fremden Gewahrsam bricht und neuen nicht notwendigerweise tätereigenen Gewahrsam an der Sache begründet, begeht er unter Anwendung des Tatmittels des § 17 Abs. 2 Nr. 1c UWG einen sog. Geheimnisdiebstahl.63
(Hrsg.), UWG, § 17, Rn. 18; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 20. 56 Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 18. 57 Statt vieler Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 37. 58 Janssen/Maluga, MK, § 17 UWG, Rn. 79 m.w.N. 59 Vgl. nur BT-Drs. 10/5058, S. 40; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 88. 60 Vgl. nur BayObLG NJW 1991, 438 (438); Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 37; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 22. 61 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 220. 62 Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 89. 63 Siehe nur Janssen/Maluga, MK, § 17 UWG, Rn. 83 f.
266
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
2. Geheimnishehlerei, § 17 Abs. 2 Nr. 2 UWG Um möglichst alle Fälle einer unbefugten Geheimniserlangung abzudecken,64 wird schließlich nach § 17 Abs. 2 Nr. 2 UWG derjenige Innentäter bestraft, der ein Geschäfts- oder Betriebsgeheimnis unbefugt verwertet oder einem anderen mitteilt, das er durch eine der in § 17 Abs. 1 UWG bezeichneten Mitteilung, also einem tatbestandsmäßigen und rechtswidrigen Geheimnisverrat seitens eines Beschäftigten des Cloud-Nutzers, oder durch eine eigene oder fremde Handlung nach § 17 Abs. 2 Nr. 1 UWG, d.h. einer strafbaren Betriebsspionage eines beliebigen Innentäters, erlangt oder sich auf andere Weise unbefugt verschafft oder gesichert hat. Von einer solchen Verwertung ist immer dann auszugehen, wenn der Innentäter die unbefugt erlangten Informationen wirtschaftlich nutzen will.65 Gemeint ist damit eine Tätigkeit, die auf eine Gewinnerzielung ausgerichtet ist, wobei es aber nicht darauf ankommt, dass ein Gewinn tatsächlich erzielt wird.66 Unter die Tathandlung fallen etwa der Weiterverkauf der ausspionierten Informationen oder die Weiterentwicklung einer ausgespähten Nutzer-App oder Software, um sie im eigenen Namen auf den Markt zu bringen.67 Demgegenüber zielt die Tathandlung des Mitteilens nicht notwendigerweise auf die Erlangung eines wirtschaftlichen Vorteils ab, obwohl dies in den meisten Fällen gleichwohl das Hauptmotiv des Innentäters sein wird.68 Entsprechend den inhaltsgleichen Tathandlungen des § 206 Abs. 1 StGB und § 203 Abs. 1 bis 3 StGB genügt vielmehr jede beliebige Weitergabe der Wirtschaftsgeheimnisse an Dritte, denen sie bislang unbekannt waren.69 Für die Bewertung der Insiderangriffe hat vor allem die dritte Vortatalternative der sonstigen unbefugten Verschaffung und Sicherung des Wirtschaftsgeheimnisses weitreichende Bedeutung. Mit diesem Auffangtatbestand sollen alle Fälle des unbefugten Ausspähens von Wirtschaftsgeheimnissen erfasst werden, in denen der Täter die Information mit Mitteln erlangt hat, die zwar nicht zu den besonders gefährlichen Begehungsformen der Geheimnisausspähung i.S.d. § 17 Abs. 2 Nr. 1 UWG gehören, die aber einen mit § 17 Abs. 1 oder Abs. 2 Nr. 1 UWG vergleichbaren 64 Wolters, Teplitzky/Pfeifer/Leistner (Hrsg.), UWG, § 17, Rn. 102; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 26. 65 Janssen/Maluga, MK, § 17 UWG, Rn. 107; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 41; Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 50. 66 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 50; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 177. 67 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 223; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 177. 68 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 223. 69 Siehe S. 225 f. und S. 246 f.; vgl. auch Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 22; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 10.
A. Verrat von Geschäfts- und Betriebsgeheimnissen
267
Unrechtsgehalt aufweisen.70 Insofern liegt die Tatbestandsalternative vor, wenn sich Innentäter unredlich Kenntnis vom Geheimnis verschaffen, indem sie sich für die Ausspähung der geheimen Inhaltsdaten strafbarer, rechts- , sitten- oder vertragswidriger Mittel bedienen.71 Einschlägig ist die Tatvariante damit nicht nur bei der Verwirklichung der Strafvorschriften aus dem Bereich des Datenschutzstrafrechts, sondern auch dann, wenn sich Innentäter die geheimen Daten der Cloud-Nutzer durch klassische Straftaten wie Diebstahl (§ 242 StGB), Hausfriedensbruch (§ 123 StGB) oder Unterschlagung (§ 246 StGB) beschaffen oder sie die Wirtschaftsgeheimnisse durch eine Erpressung (§ 253 StGB), Nötigung (§ 240 StGB) oder Bestechung (§ 299 StGB) eines Angestellten des Cloud-Nutzers oder Cloud-Anbieters erlangt haben bzw. sie diesen durch Social Engineering72 zur Preisgabe der Geheimnisse veranlassten.73 Als „sonstiges unbefugtes Verschaffen oder Sichern“ ist aber auch jede dem Geheimhaltungsinteresse des Cloud-Nutzers widersprechende Benutzung seiner Inhaltsdaten zu verstehen.74 Im Gegensatz zu den Strafvorschriften der §§ 202a ff. StGB werden damit von dem Tatbestand der Geheimnishehlerei auch die Fallkonstellationen des vorsätzlichen Privilegienmissbrauchs erfasst, bei denen Innentäter ihren Zugriff auf die geheimen Inhaltsdaten zweck- oder vertragswidrig missbrauchen, um sie entgegen dem Willen des Cloud-Nutzers auszuspähen.75 Unredlich verschafft oder gesichert werden daher Wirtschaftsgeheimnisse, wenn Innentäter unbefugt Datenkopien anfertigen76 oder sie sich ihre Kenntnis von den geheimen Daten durch eine nicht im Rahmen ihrer vertraglichen Tätigkeit liegende nähere Beschäftigung mit den Informationen derart festigen, dass sie später davon Gebrauch machen können.77 Dies gilt ebenso, wenn die Cloud-Dienstleistungen von vornherein in der Absicht bereitgestellt werden, systematisch Wirtschaftsgeheim-
70 Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 47; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 116; Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 42; ähnlich Janssen/Maluga, MK, § 17 UWG, Rn. 105, welche ein „großes Maß an Erheblichkeit“ der Verfehlung fordern. 71 BayObLGSt 1995, 110 (121); Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 47; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 31; Stier/Hasselblatt, in: NK, UWG, § 17, Rn. 63. 72 Vgl. hierzu LG Münster ZD 2012, 476. 73 Vgl. Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 48; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 117. 74 Vgl. Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 31; Wolters, Teplitzky/Pfeifer/Leistner (Hrsg.), UWG, § 17, Rn. 105. 75 Vgl. BGH NJW-RR 2003, 833; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 121; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 32. 76 Vgl. nur BGH GRuR 2009, 603 (604 f.); BGH GRUR 1960, 294. 77 Siehe nur BGH GRUR 1983, 179 (180 f.); BGH GRUR 1963, 367 (371); Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 52.
268
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
nisse auszuspähen, um sie gewinnbringend an ein Konkurrenzunternehmen des Cloud-Nutzers oder an sonstige Dritte zu verkaufen.78 Praktische Relevanz erlangt die Tatalternative zudem für die Mitarbeiter des Cloud-Nutzers bei Beendigung ihres Beschäftigungsverhältnisses. Zwar verschafft sich ein ausgeschiedener Beschäftigter ein Wirtschaftsgeheimnis nicht „sonst unbefugt“, wenn er während seiner Beschäftigungszeit redliche Kenntnis von dem Geheimnis erlangt und diese allein in seinem Gedächtnis gespeicherte Information verwertet oder Dritten mitteilt.79 Unbefugt verschafft wird allerdings das Wirtschaftsgeheimnis i.S.d. § 17 Abs. 2 Nr. 2 Var. 3 StGB dann, wenn der ausgeschiedene Mitarbeiter Datenkopien verwertet, die er sich während seiner Beschäftigungszeit angefertigt hat.80 In diesem Fall gilt dies sogar unabhängig davon, ob er das Geheimnis auf redliche Weise oder durch einen Vertrauensbruch erlangt hat.81 Mit Beendigung des Beschäftigungsverhältnisses endet die Befugnis zur Nutzung des Geheimnisses. Insofern handelt der frühere Mitarbeiter dem Normzweck des § 17 UWG auch dann zuwider, wenn er sein Herrschaftsverhältnis über die befugt erlangten Informationen in der Absicht aufrechterhält, sie zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder zwecks Schädigung des CloudNutzers, zu verwerten oder einem Dritten mitzuteilen. Es erscheint daher sachgerecht, eine solche Aufbewahrung der Inhaltsdaten mit der erstmaligen unbefugten Begründung der Verfügungsgewalt über die Wirtschaftsgeheimnisse gleichzusetzen. Die Fälle sind mit den strafbaren Fallgruppen der Unterschlagung gem. § 246 Abs. 1 StGB vergleichbar, in denen ein Täter seinen anvertrauten (berechtigten) Fremdbesitz unerlaubt in Eigenbesitz umwandelt, um die ihm anvertraute Sache für eigene Zwecke zu nutzen.82 Vor diesem Hintergrund erscheint es auch zum Schutz der Geheimnisinhaber angemessen, die Tatvariante nicht nur bei einer unbefugten erstmaligen Geheimniserlangung, sondern auch bei der unbefugten Verwertung und Mitteilung von ursprünglich redlich verschafften Datenkopien anzuwenden.83 78 Vgl. nur BGH GRUR 1973, 483 (484 f.); BGH GRUR 1961, 40 (41 f.); Diemer, in: Erbs/ Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 49; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 27. 79 Vgl. BGH GRUR 2009, 603 (604); BGH GRUR 2006, 1044 (1045); BGH, GRUR 1999, 934 (935); Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 32; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 47. 80 Vgl. BGH GRUR 2009, 603 (604 f.); BGH GRUR 2006, 1044 (1045); BGH, GRUR 2003, 453 (454); Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 47. 81 Ebenso BGH GRUR 2012, 1048 (1049); BGH GRUR 2009, 603 (604 f.); BGH GRUR 2006, 1044 (1045); Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 32; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 47; Ohly, Ohly/ Sosnitza (Hrsg.), UWG, § 17, Rn. 21. 82 Siehe hierzu nur Kindhäuser, NK, § 246 StGB, Rn. 29. 83 Im Ergebnis ebenso BGH GRUR 2012, 1048 (1049); Harte-Bavendamm, HarteBavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 32; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 47; a.A. Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 222.
A. Verrat von Geschäfts- und Betriebsgeheimnissen
269
IV. Weitere Tatbestandsvoraussetzungen Des Weiteren müssten die Tathandlungen auch unbefugt ausgeübt worden sein. Entsprechend den Überlegungen im Rahmen des § 202a Abs. 1 StGB ist dieses Merkmal als ein allgemeines Verbrechensmerkmal einzuordnen.84 Unbefugt handelt daher der Innentäter, wenn ihm die vertragliche Befugnis fehlt, sich das Wirtschaftsgeheimnis zu verschaffen, es zu sichern, zu verwerten oder es an Dritte weiterzugeben oder wenn sein Handeln sonst nicht gerechtfertigt ist.85 Als Rechtfertigungsgrund kommt vor allem eine wirksame Einwilligung des Cloud-Nutzers in Betracht. An einer solchen fehlt es aber, wenn sich der Innentäter die Einwilligung zur Verschaffung des Wirtschaftsgeheimnisses durch Täuschung erschlichen oder mittels einer Drohung erlangt hat.86 Im Ergebnis handeln Innentäter, wie bei dem Tatbestand des Aussspähens von Daten gem. § 202a StGB, damit nicht unbefugt, wenn der Cloud-Nutzer zum Tatzeitpunkt mit der Verschaffung, Sicherung und Verwertung seiner Wirtschaftsgeheimnisse einverstanden ist.87 Dies gilt ebenso, wenn Innentäter die betrieblichen Geheimnisse nur an solche Personen weitergeben, die nach dem Willen des Cloud-Nutzers zum Kreis der befugten Mitwisser gehören.88 Unbefugt handeln Innentäter aber dann, wenn sie sich außerhalb des vom CloudNutzers eingeräumten Befugnisrahmens bewegen. Dies ist z.B. der Fall, wenn die Administratoren des Cloud-Anbieters ihr vertraglich eingeräumtes Zugriffsrecht auf die Datensätze der Nutzer für eigene, verwaltungsfremde Zwecke missbrauchen.89 84 Hierzu S. 168; siehe auch Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 40; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 21; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 175; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 218; differenzierend Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 55, 116; Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 21, wonach es sich jedenfalls bei dem Merkmal „sonst unbefugt“ um ein Tatbestandsmerkmal, im Übrigen um ein allgemeines Verbrechensmerkmal handelt; a.A: Jansssen/Maluga, MK, § 17 UWG, Rn. 52, wonach die Befugnis stets als Tatbestandsmerkmal eingeordnet wird. 85 Vgl. nur Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 23; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 21, 36. 86 Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 21a; Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 21; so auch Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 27; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 56, die jedenfalls die Gestattung an eine bestimmte Person als rechtfertigende Einwilligung einordnen; a.A. wohl Janssen/Maluga, MK, § 17 UWG, Rn. 53, nach denen die erteilte Befugnis stets tatbestandsauschließenden Charakter hat. 87 Vgl. S. 135. Brammsen spricht in diesem Zusammenhang zutreffend von einer „situativsingulären Gestattung“ zur Vornahme der Tathandlung; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 97. 88 Vgl. Rengier, in: Fezer/Büscher/Obergfell, § 17 UWG, Rn. 62; Janssen/Maluga, MK, § 17 UWG, Rn. 53. 89 Zum vertraglich eingeräumten Recht der Administratoren des Cloud-Anbieters zur Verwaltung und Bereitstellung der Cloud-Dienste auf die Nutzerdaten zuzugreifen siehe die Nutzungsbedingungen des Cloud-Dienstes Amazon Drive auf S. 134 f.
270
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Im Unterschied zu § 202a StGB wird damit jede vertrags- bzw. zweckwidrige Datenverwendung, die den berechtigten Geheimhaltungsinteressen des Cloud-Nutzers zuwiderläuft, von der Strafvorschrift erfasst.90 Insofern garantiert § 17 UWG für cloudnutzende Unternehmen einen relativ umfassenden Schutz der Vertraulichkeit ihrer in der Cloud gespeicherten und verarbeiteten Wirtschaftsgeheimnissen vor den potentiellen Angriffsformen der Cloud-Innentäter. Im subjektiven Tatbestand muss der Innentäter aber hinsichtlich der objektiven Tatbestandsmerkmale vorsätzlich gehandelt haben. Zwar wird man im Hinblick auf die unbefugte Datenverschaffung in der Regel einen entsprechenden Tatvorsatz des Innentäters annehmen können, problematisch kann allerdings im Einzelfall sein, ob der Innentäter auch einen Vorsatz bezüglich der konkreten Beschaffung von Betriebs- und Geschäftsgeheimnissen aufweist. Sofern das Angriffsziel des Innentäters keine CRM- oder ERP-Dienste, sondern Cloud-Dienstleistungen sind, die sowohl von Unternehmen als auch von Privatnutzern in Anspruch genommen werden, weiß er in der Regel nicht, welche Nutzerdaten in der Cloud gespeichert und verarbeitet werden. Erst nachdem er von den ausgespähten Inhaltsdaten Kenntnis genommen hat, kann er wissen, dass sich seine Tat auch auf Wirtschaftsgeheimnisse bezog. Allerdings genügt zur Verwirklichung des subjektiven Tatbestands, wenn der Innentäter mit der Möglichkeit rechnet und es billigend in Kauf nimmt, dass er sich geheime Inhaltsdaten i.S.d. § 17 UWG verschafft.91 In der Regel wird daher ein vorsätzliches Handeln des Innentäters zu bejahen sein. Hinzukommen muss zudem bei allen Tatbeständen ein Vorgehen des Innentäters zu Zwecken des Wettbewerbs oder ein Handeln aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Geheimnisinhaber Schaden zuzufügen. Diese Motive brauchen zwar nicht die einzigen handlungsleitenden Intentionen des Innentäters zu sein, sie dürfen aber nicht völlig hinter anderen Beweggründen zurücktreten, weshalb sie für das Vorgehen des Innentäters im Sinne einer Absicht (dolus directus 1. Grades) zumindest (mit-)kausal sein müssen.92 Zu Zwecken des Wettbewerbs handelt ein Innentäter, wenn er das Geheimnis entweder selbst oder durch ein Konkurrenzunternehmen des Cloud-Nutzers wirtschaftlich verwerten (lassen) will.93 Ziel ist dabei, durch eine Ausbeutung des ausgespähten Geheimnisses den eigenen oder fremden Wettbewerb zum Nachteil des Cloud-Nutzers zu fördern.94 90 Zu § 202a StGB siehe S. 135 ff., vgl. auch Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 96. 91 Statt vieler Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 28. 92 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 225. 93 Vgl. Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 29; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 226. 94 Vgl. Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 24; Harte-Bavendamm, Harte-Baven-damm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 14.
A. Verrat von Geschäfts- und Betriebsgeheimnissen
271
In der Regel wird der Innentäter aber einen rein persönlichen Vorteil in Form der Erlangung eines Geldbetrags durch die Weitergabe des ausgespähten Geheimnisses an Dritte anstreben, so dass sein Handeln aus Eigennutz erfolgen wird.95 Verfolgt er dagegen keine wettbewerbsrechtlichen Interessen und handelt er auch nicht aus Eigennutz oder in Schädigungsabsicht, sondern allein aus ideologischen oder politischen Gründen, indem er die Betriebsspionage zugunsten eines Dritten (z.B. einer Organisation wie Wikileaks96 oder einem anderen Staat) begeht, um diesem einen materiellen oder immateriellen Vorteil zu verschaffen, ist das Merkmal des Handelns zugunsten eines Dritten erfüllt.97 Häufig wird aber auch das letzte Tatmotiv, die Absicht dem Geheimnisinhaber Schaden zuzufügen, verwirklicht sein, wenn der Innentäter durch seine Tat die Herbeiführung eines wirtschaftlichen Vermögensschadens beim Cloud-Nutzer anstrebt oder er sonstige rechtliche Interessen des Geheimnisinhabers beeinträchtigen will, indem er z.B. beabsichtigt, den guten Ruf des Cloud-Nutzers zu schädigen.98
V. Zusammenfassung Nicht tatbestandsmäßig handeln Innentäter, wenn sie nach der Beendigung ihres Beschäftigungsverhältnisses redlich erworbenes Wissen über vorhandene Sicherheitslücken der Cloud-Nutzung, die zu einem Auslesen von Wirtschaftsgeheimnissen missbraucht werden können, an Dritte weitergeben. Gleichwohl ist in diesen Fällen aber eine Bestrafung des Innentäters wegen Beihilfe zur Datenspionage des Dritten nach den §§ 202a ff., § 17 Abs. 2 Nr. 1 und Nr. 2 UWG möglich. Im Übrigen wird das Ausspähen, die Verwertung und Weitergabe von Geschäfts- und Betriebsgeheimnissen durch Innentäter nach 17 UWG hinreichend strafrechtlich erfasst.99 Begehen sie die Wirtschaftsspionage bandenmäßig oder führen sie durch die Tat einen besonders hohen, insbesondere existenzgefährdenden Vermögensschaden des Cloud-Nutzers herbei, liegt sogar gem. § 17 Abs. 4 Satz 1 UWG ein unbenannter besonders schwerer Fall vor,100 der im Gegensatz zum Strafrahmen der Regelfälle aus 95 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 227. 96 Ausführlich zur Strafbarkeit der Datenbeschaffung und der Veröffentlichung der ausgespähten Informationen auf der Enthüllungsplattform Wikileaks siehe Gercke, ZUM 2011, 609 (615 ff.). 97 Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 16; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 53. 98 Janssen/Maluga, MK, § 17 UWG, Rn. 65; Ohly, Ohly/Sosnitza (Hrsg.), UWG, § 17, Rn. 25. 99 Ausführlich zum Konkurrenzverhältnis der einzelnen Tatmodalitäten siehe nur Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 59. 100 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 61; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 150; Janssen/Maluga, MK, § 17 UWG, Rn. 120.
272
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
§ 17 Abs. 1 und Abs. 2 UWG von drei Jahren Freiheitsstrafe oder Geldstrafe die Strafandrohung auf bis zu fünf Jahre Freiheitsstrafe oder Geldstrafe erhöht. Daneben ist in der Regel ein benannter Strafschärfungsgrund gem. § 17 Abs. 4 Satz 2 UWG gegeben, wenn der Innentäter bei der Tat gewerbsmäßig handelt (Nr. 1), bei der Mitteilung in den Fällen des § 17 Abs. 1 UWG oder § 17 Abs. 2 Nr. 2 UWG weiß, dass das Geheimnis im Ausland verwertet werden soll (Nr. 2), wobei ein bedingt vorsätzliches Handeln in dem Sinn genügt, dass der Innentäter mit der Möglichkeit rechnet, dass die Verwertung im Ausland stattfinden soll und dies gleichwohl billigt101 oder wenn er eine Verwertung nach § 17 Abs. 2 Nr. 2 UWG im Ausland selbst vornimmt (Nr. 3). Unter Strafe gestellt wird zudem in allen Tatvarianten eine versuchte Tatbegehung, also etwa der Geheimnisverrat an einen Dritten, der das Geheimnis bereits kennt,102 eine Geheimnisverwertung durch ein bislang nicht angenommenes Verkaufsangebot der ausgespähten Informationen103 oder eine Geheimnisausspähung, bei der virtuelle Maschinen des Cloud-Nutzers, in denen entgegen der Vermutung des Innentäters keine Wirtschaftsgeheimnisse gespeichert sind, mit Spyware infiziert werden. Ergänzt wird dieser strafrechtliche Geheimnisschutz durch den Straftatbestand des Verleitens und Erbietens zum Verrat gem. § 19 UWG, indem die Strafbarkeit in Anlehnung an die Strafvorschrift des § 30 StGB für bestimmte, besonders gefährliche Vorbereitungshandlungen weit in den Gefährdungsbereich einer Verletzung von Wirtschaftsgeheimnissen vorverlagert wird.104 Unter Strafe gestellt wird bereits die versuchte Anstiftung (Abs. 1), die Bereiterklärung und die Verabredung sowie die Annahme des Erbietens eines anderen (Abs. 2), einen Geheimnisverrat, eine Betriebsspionage oder eine Geheimnishehlerei i.S.d. § 17 UWG zu begehen oder dazu anzustiften, wobei der Täter aber bei allen Tatvarianten entweder aus Eigennutz oder in der Absicht einer Wettbewerbsförderung gehandelt haben muss. Gegenüber dem Vergehen aus § 17 UWG besteht allerdings ein Subsidiaritätsverhältnis, so dass eine Bestrafung nach § 19 UWG nur dann erfolgt, solange der Innentäter nicht selbst täterschaftlich eine Straftat aus § 17 UWG begeht oder daran als Anstifter (§ 26 StGB) oder Gehilfe (§ 27 Abs. 1 StGB) teilnimmt.105 Ungeachtet dieses recht umfassenden, strafrechtlichen Schutzes der Betriebs- und Geschäftsgeheimnisse in der Cloud, kommt § 17 UWG aber bisher auch jenseits der 101
Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 63; Többens NStZ 2000, 505 (510). Da der Gesetzestatbestand der Betriebsspionage gem. § 17 Abs. 2 Nr. 1 UWG die Tathandlung der Geheimnismitteilung nicht benennt, kann das Regelbeispiel nur bei einem Geheimnisverrat oder einer Geheimnishehlerei verwirklicht werden; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 147 m.w.N. 102 Harte-Bavendamm, Harte-Bavendamm/Henning-Bodewig (Hrsg.), § 17 UWG, Rn. 37. 103 Vgl. Janssen/Maluga, MK, § 17 UWG, Rn. 115. 104 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 19 UWG, Rn. 2. 105 Janssen/Maluga, MK, § 17 UWG, Rn. 24; Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 19 UWG, Rn. 3.
A. Verrat von Geschäfts- und Betriebsgeheimnissen
273
hiesigen Problematik nur eine geringe praktische Bedeutung zu. So wurden in der Polizeilichen Kriminalstatistik für das Jahr 2016 lediglich 231 Fälle eines Geheimnisverrats und 166 Fälle einer Geheimnisausspähung und -verwertung erfasst.106 Auch im Berichtsjahr 2015 waren es im Hinblick auf den § 17 Abs. 1 UWG nur 261 Fälle und betreffend § 17 Abs. 2 UWG lediglich 135 Fälle.107 Ebenso ist die Anzahl an strafrechtlichen Verurteilungen sehr überschaubar. Allein im Jahr 2016 wurden nur 70 (!) der insgesamt 397 in der PKS erfassten Straftaten mit einer Freiheits- oder mit einer Geldstrafe geahndet.108 Ausgegangen werden muss dagegen von einem überproportional großem Dunkelfeld.109 Eine mögliche Ursache für diese Diskrepanz zwischen der Weite der Strafvorschrift und ihrer praktischen Anwendung könnte zum einen in der im Einzelfall schwierigen Einordnung einer Information als Geschäfts- und Betriebsgeheimnis liegen. Daher lässt sich vermuten, dass manche geschädigte Unternehmen zur Verfolgung des relativen Antragsdelikts keinen Strafantrag stellen, da ihnen nicht bewusst ist, dass die von dem Innentäter-Angriff betroffene Information den strafrechtlichen Schutz aus § 17 UWG genießt.110 Gleichwohl entscheiden sich auch viele geschädigte Unternehmen aus Angst vor Reputationsschäden gegen eine Strafanzeige.111 Hinzu kommt, dass viele verletzten Geheimnisinhaber die Einleitung eines Strafverfahrens auch deshalb fürchten, weil es zum Nachweis eines strafbaren Verhaltens des Innentäters aus § 17 UWG im Einzelfall erforderlich sein kann, dass einzelne, geheime Tatsachen im Rahmen der öffentlichen Hauptverhandlung erörtert werden müssen. Dies kann für die geschädigten Unternehmen zur Folge haben, dass der bereits durch die Straftat des Innentäters angerichtete Schaden nochmals vertieft wird (Sekundärviktimisierung).112 Auf der anderen Seite kann zwar die Staatsanwaltschaft bei Vorliegen eines besonderen öffentlichen Interesses an der Strafverfolgung von Amts wegen Ermittlungen vornehmen, allerdings ist ein solches nach den Ziffern 255, 260 und 260 a RiStBV nur dann zu bejahen, wenn der Innentäter-Angriff zugleich wichtige Allgemeininteressen verletzt.113 Aus diesem Grund neigen häufig die Staatsanwaltschaften dazu, das Verfahren mangels eines öffentlichen Strafverfolgungsinteresses einzustellen und die betroffenen Unternehmen auf den Privatklageweg zu verweisen. Angesichts dieser geringen forensischen Bedeutung des § 17 UWG und der ständig 106
PKS 2016, S. 121. PKS 2015, S. 105. 108 Strafverfolgungsstatistik 2016, S. 52. 109 Siehe nur Brammsen, Heermann/Schlingloff (Hrsg.), UWG, Vorb. §§ 17 – 19, Rn. 7; Kasper, Wirtschaftsspionage und Konkurrenzausspähung, S. 12; Fleischer, Wirtschaftsspionage, S. 26; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, Kap. 14, Rn. 179. 110 Vgl. Föbus, Die Insuffizienz des strafrechtlichen Schutzes von Geschäfts- und Betriebsgeheimnissen, S. 217 f., 245 f. 111 Kasper, Wirtschaftsspionage und Konkurrenzausspähung, S. 80 f. 112 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, Kap. 14, Rn. 179. 113 Ausführlich hierzu Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 74 f.; Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 71 f. 107
274
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
zunehmenden strafbaren Fälle von Geheimnisverrat und Datenmissbrauch mit jährlichen Schäden in Milliardenhöhe,114 wäre es für eine wirksame und abschreckende Durchsetzung des Datenschutzstrafrechts wünschenswert, wenn Verletzungen der Datenvertraulichkeit durch Innentäter unabhängig von der Einordnung des Tatobjekts als Wirtschaftsgeheimnis von einem im StGB geregelten relativem Antragsdelikt erfasst wären. De lege ferenda wäre ein solcher Tatbestand nicht nur für die Gerichte und Staatsanwaltschaften leichter anwendbar und durchsetzbar, sondern auch die Adressaten der Regelung könnten ihr Verhalten eher nach dieser ausrichten.115 Zudem müssten die geschädigten Unternehmen auch keine Sekundärviktimisierung mehr befürchten, da es für eine Bestrafung des Innentäters nicht mehr notwendig wäre, dass einzelne, betriebliche Geheimnisse im Rahmen einer öffentlichen Gerichtsverhandlung erörtert und festgestellt werden müssen. Insofern wären die verletzten Geheimnisinhaber wohl eher dazu bereit, von ihrem Strafantragsrecht Gebrauch zu machen.
B. Strafbarkeit nach § 148 Abs. 1 Nr. 1 TKG Während sich die Strafvorschrift des § 148 Abs. 1 Nr. 2 TKG auf das Abhören des nichtöffentlich gesprochenen Wortes und auf das Bild eines anderen beschränkt und damit für die elektronischen Datenverarbeitungsprozesse in der Cloud keine Rolle spielt, ist zu erwägen, ob sich Innentäter bei den CaaS-Dienstleistungen nach § 148 Abs. 1 Nr. 1 TKG strafbar machen, wenn sie den E-Mail-Verkehr oder die SMS-, Chat- oder WhatsApp-Nachrichten der Cloud-Nutzer ausspähen und an Dritte weitergeben. Nach der als Blankettstraftatbestand ausgestalteten Strafvorschrift116 wird bestraft, wer entgegen dem Abhörverbot und der Geheimhaltungspflicht der Betreiber von Empfangsanlagen aus § 89 Satz 1 und Satz 2 TKG eine Nachricht abhört, in vergleichbarer Weise zur Kenntnis nimmt oder den Inhalt einer Nachricht oder die Tatsache ihres Empfangs einem anderen mitteilt. Ebenso wie der Tatbestand des § 206 StGB schützt die Norm das subjektive Recht der Cloud-Nutzer auf Geheimhaltung des Inhalts und der näheren Umstände ihrer Telekommunikation.117 Allerdings ergänzt die Strafvorschrift des § 148 Abs. 1 Nr. 1 TKG insofern eine Verletzung des Fernmeldegeheimnisses im Sinne des § 206 StGB, als taugliche Täter jede Person und nicht nur die Administratoren der CaaS-Anbieter sein können, die gemäß § 88 TKG geheimhaltungspflichtig sind.118
114 Köhler, Köhler/Bornkamm/Feddersen (Hrsg.), UWG, § 17, Rn. 2; Kasper, Wirtschaftsspionage und Konkurrenzausspähung, S. 23 ff. 115 Ausführlich hierzu S. 398 ff. 116 Klesczewski, in: Säcker (Hrsg.), TKG, § 148, Rn. 4; Altenhain, MK, § 148 TKG, Rn. 8. 117 Altenhain, MK, § 148 TKG, Rn. 6. 118 Altenhain, MK, § 148 TKG, Rn. 6, 35.
B. Strafbarkeit nach § 148 Abs. 1 Nr. 1 TKG
275
I. Verstoß gegen das Abhörverbot aus § 89 Satz 1 TKG Bei den Tatmodalitäten ist zwischen einem Verstoß gegen das Abhörverbot aus § 89 Satz 1 TKG und gegen das Mitteilungsverbot aus § 89 Satz 2 TKG zu unterscheiden. Nach dem Abhörverbot aus § 89 Satz 1 TKG dürfen mit einer Funkanlage nur Nachrichten, die für den Betreiber der Funkanlage, Funkamateure, die Allgemeinheit oder einen unbestimmten Personenkreis bestimmt sind, abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden. 1. Tatgegenstand Als Tatobjekt setzt die Vorschrift eine nicht für den Innentäter bestimmte Nachricht voraus. Unter Rückgriff auf die DIN 44 300 handelt es sich hierbei um alle übermittelten Informationen.119 Nicht maßgeblich ist dabei die Form der Informationsübertragung, so dass als Nachrichten sowohl gesprochene und bildliche als auch schriftliche zielgerichtete Mitteilungen an Kommunikationspartner angesehen werden.120 Unter das technikoffene Merkmal fallen damit alle elektronischen Dokumente der Cloud-Nutzer, die an ihre Kommunikationspartner gerichtet sind. Hiervon sind zum Beispiel neben E-Mails auch Chat-, SMS- oder WhatsAppNachrichten umfasst, die mittels der CaaS-Dienste an Dritte versandt werden.121 Nachrichten dürfen gem. § 89 Satz 1 TKG lediglich abgehört werden, wenn sie für den Betreiber der Funkanlage, Funkamateure, die Allgemeinheit oder einen unbestimmten Personenkreis bestimmt sind. Der Begriff des Betreibers einer Funkanlage wird im TKG nicht definiert. Unter Rückgriff auf § 3 Nr. 1, 2 TKG 1996 fallen darunter alle Personen, die für das Betreiben der Übertragungswege und Telekommunikationsnetze die Ausübung der rechtlichen und tatsächlichen Kontrolle (Funktionsherrschaft) über die Gesamtheit der Funktionen, die zur Realisierung der Informationsübertragung auf den Übertragungswegen unabdingbar sind bzw. zur Erbringung der Telekommunikationsdienstleistungen unabdingbar zur Verfügung gestellt werden müssen, inne haben.122 Als Betreiber der Funkanlage kommen damit lediglich die CaaS-Anbieter in Betracht, da sie die tatsächliche Kontrolle über die Funktionen des Cloud-Systems ausüben. Fraglich ist aber, ob die empfangenen Nachrichten der Cloud-Nutzer auch für sie bestimmt sind. Während die überwiegende Ansicht das Merkmal der Bestimmung allein nach dem subjektiven Willen des Senders bestimmt,123 stellt die Gegenansicht 119 Dierlamm/Cordes, Scheurle/Mayen, TKG, § 148, Rn. 9; siehe auch Bock, in: BeckOK, TKG, § 89, Rn. 5. 120 Klesczewski, in: Säcker (Hrsg.), TKG, § 148, Rn. 7. 121 Altenhain, MK, § 148 TKG, Rn. 10. 122 Klesczewski, in: Säcker (Hrsg.), TKG, § 148, Rn. 7; Altenhain, MK, § 148 TKG, Rn. 16. 123 Statt vieler Klesczewski, in: Säcker (Hrsg.), TKG, § 148, Rn. 8 m.w.N.
276
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
darauf ab, ob der Sender durch eine Zugriffsicherung seinen Willen objektiv zum Ausdruck gebracht hat.124 Da sich der Schutzbereich des § 89 Satz 1 TKG auf die Vertraulichkeit des Fernmeldeverkehrs bezieht, ohne dass der Sender die Nachrichten im Gegensatz zur Strafnorm des § 202a Abs. 1 StGB gegen einen unberechtigten Zugang besonders gesichert haben muss, ist der herrschenden Ansicht zu folgen.125 Entsprechend den Überlegungen der Datenbestimmung im Sinne der Strafnorm des Ausspähens von Daten nach § 202a Abs. 1 StGB sind die Nachrichten nach dem Willen der CaaS-Nutzer für die Anbieter bestimmt.126 Schon aus diesem Grund scheidet daher eine Strafbarkeit der CaaS-Administratoren aus § 148 Abs. 1 Nr. 1 TKG aus. Darüber hinaus ist der Tatbestand auch deshalb nicht einschlägig, weil die Nachrichten der CaaS-Nutzer nicht mit einer Funkanlage abgehört werden. Unter Verweis auf die Definition des § 3 Nr. 4 TKG 1996 werden nämlich hierunter alle elektrischen Sende- oder Empfangseinrichtungen verstanden, zwischen denen eine Informationsvermittlung ohne Verbindungsleitungen stattfinden kann. Ergänzend wird § 2 Nr. 3 FTEG herangezogen, wonach eine Funkanlage ein Erzeugnis oder ein wesentliches Bauteil eines Erzeugnisses ist, das in dem für terrestrische oder satellitengestützte Funkkommunikation zugewiesenen Spektrum durch Ausstrahlung und/oder Empfang von Funkwellen kommunizieren kann. Entscheidend ist damit, dass die Einrichtung Funkwellen versenden und/oder empfangen kann und dass sie auch in dieser Funktion zum Einsatz kommt.127 Nicht tatbestandlich erfasst werden insofern Abhöreinrichtungen an leitungsgebundenen Anlagen.128 Das fremdbetriebene Cloud-System kann somit nicht mit einer Funkanlage gleichgesetzt werden. Denn die Anbindung der Systemkomponenten der Cloud-Architektur sowie die Kommunikation der Clients mit der Cloud-Infrastruktur erfolgt gerade nicht mittels des Einsatzes von Funktechnik, sondern allein unter Verwendung von Netzwerkprotokollen, Glasfaserkabeln, Switches und Routern, bei denen die Datenpakete der Nutzer mithilfe von digitalen Signalen versandt werden.129 Aufgrund der Beschränkung des Tatbestands auf den funkwellenbasierten Nachrichtenaustausch kann die Strafnorm zudem nicht das Abhören der elektromagnetischen Abstrahlung (Seitenkanalangriffe) sanktionieren.130 124
AG Burgdorf CR 1998, 223 (224); Sassenberg, AnwBl 2006, 196 (198). So auch Preuß, Die Kontrolle von E-Mails, S. 341. 126 S. 129 ff. 127 Altenhain, MK, § 148 TKG, Rn. 29. 128 Klesczewski, in: Säcker (Hrsg.), TKG, § 89, Rn. 5. 129 Ausführlich zu den eingesetzten Protokollen, welche die Datenübertragungen in einem Netzwerk regeln; Eckert, IT-Sicherheit, S. 93 ff. 130 Koch, Angriff und Verteidigung in Computernetzen, S. 71. Denkbar ist eine Strafbarkeit aus § 148 Abs. 1 Nr. 1 StGB hingegen beim Abhören der Funkwellen eines mobilen Endgeräts durch die Installation eines Hardware-Trojaners seitens des Mitarbeiters des Cloud-Nutzers; Altenhain, MK, § 148 TKG, Rn. 30. Da diese Angriffsform aber kein cloudspezifisches Risiko darstellt, sondern zum typischen modus operandi einer Wirtschaftsspionage in einem Unter125
B. Strafbarkeit nach § 148 Abs. 1 Nr. 1 TKG
277
2. Tathandlung Objektiv tatbestandsmäßig handelt nur, wer eine Nachricht abhört. Hierfür kommt es weder auf die Heimlichkeit des Abhörens131 noch auf die Überwindung einer Verschlüsselung132 an. Unter die Tathandlung fallen zunächst das unmittelbare Zuhören und das Hörbarmachen der Nachricht für dritte Personen.133 Umstritten ist aber, ob auch elektronische Daten „abgehört“ werden können. Mit Blick auf den intendierten Schutzzweck der Wahrung des Fernmeldegeheimnisses wird zum Teil vertreten, dass es nicht auf die Art und Weise der Wahrnehmung der Nachrichten ankommen könne, so dass jede Form der Kenntnisnahme von Nachrichten tatbestandlich erfasst sei.134 Gegen die Einbeziehung der akustisch nicht wahrnehmbaren Kommunikation kann jedoch der Wortlaut angeführt werden, wonach der Begriff „abhören“ den Wortstamm „hören“ beinhaltet, was gerade eine akustische Wahrnehmung der Nachricht mit dem Gehör erfordert.135 Das Erfordernis einer sinnlichen Wahrnehmung deckt sich zudem mit der Gesetzesbegründung, wonach gerade das Abhören des Polizeifunks ein typischer Anwendungsfall der Strafvorschrift sein soll.136 Da eine andere Auslegung des Tatbestandsmerkmals gegen das Analogieverbot aus Art. 103 Abs. 2 GG, § 1 StGB verstoßen würde,137 stellt das Aufzeichnen und Kopieren der elektronischen Nachrichten der Cloud-Nutzer durch Innentäter kein tatbestandliches Abhören im Sinne des § 148 Abs. 1 Nr. 1 i.V.m. § 89 Satz 1 TKG dar.
nehmen gehört, wird auf ihre weitere Darstellung verzichtet. Zur Sicherheit von Smartphones siehe weitergehend Spitz, DuD 2014, 671 (671 ff.); Vikas S./Pawan/Gurudatt A./Shyam, in: ICECS 2014, S. 550 ff. und zum Datenschutz bei mobilen Apps siehe nur Lober/Falker, K&R 2013, 357 (357 ff.). 131 Eisele, Computerstrafrecht, § 15, Rn. 47. 132 Altenhain, MK, § 148 TKG, Rn. 22. 133 LG Wuppertal MMR 2011, 65 (65); Altenhain, MK, § 148 TKG, Rn. 22 f.; Baumeister, ZUM 2000, 114 (115); a.A. Klesczewski, in: Säcker (Hrsg.), TKG, § 89, Rn. 11, wonach ein Hörbarmachen für Dritte nur eine strafbare Beihilfe zum Abhören darstellt. 134 So Graulich, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, § 89, Rn. 11; Altenhain, MK, § 148 TKG, Rn. 25. 135 Preuß, Die Kontrolle von E-Mails, S. 343; siehe auch OLG Zweibrücken NStZ 2004, 701 (702); Klesczewski, in: Säcker (Hrsg.), TKG, § 89, Rn. 12; a.A. Dierlamm/Cordes, Scheurle/Mayen, TKG, 148, Rn. 10, wonach sich die Tathandlung auch auf die akustisch nicht wahrnehmbare Kommunikation erstreckt; wobei der objektive Tatbestand aber nur bei einer tatsächlichen Inaugenscheinnahme der Nachricht erfüllt sein soll; in diese Richtung auch Graf, BeckOK StPO, § 148 TKG, Rn. 4 , der anführt, dass der Begriff „Hören“ auf ein willensgesteuertes, gezieltes Verhalten des Täters in der Bedeutung eines „Horchens“ und „Ausforschens“ hinweist. 136 BT-Drs. 13/4438, S. 21 zu § 83 TKG-Entwurf. 137 Höfinger, ZUM 2011, 212 (212); ders., MMR 2008, 632 (633).
278
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
II. Verstoß gegen das Mitteilungsverbot aus § 89 Satz 2 TKG Nach dem Mitteilungsverbot aus § 89 Satz 2 TKG dürfen der Inhalt anderer als in § 89 Satz 1 TKG genannter Nachrichten sowie die Tatsache ihres Empfangs, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 88 TKG besteht, anderen nicht mitgeteilt werden. Unter einem Mitteilen ist jedes, nicht notwendig wörtliche, in beliebiger Form (z.B. mündlich, schriftlich oder elektronisch) erfolgende In-Kenntnis-Setzen einer anderen Person über den Inhalt der Nachricht oder die Tatsache ihres Empfangs zu verstehen.138 Entsprechend der Auslegung des gleichlautenden Merkmals der Mitteilung des nichtöffentlich gesprochenen Wortes nach § 201 Abs. 2 Nr. 2 StGB und der Formulierung „Mitteilung machen“ in § 206 Abs. 1 StGB kommt es dabei nicht darauf an, ob der Dritte die Nachricht oder die Tatsache des Empfangs akustisch wahrgenommen oder zur Kenntnis genommen hat.139 Es reicht aus, wenn der Täter dem Dritten die Gelegenheit zur Kenntnisnahme verschafft, was z.B. bei einer Weiterleitung der ausgespähten Nachrichten an Dritte oder durch ein Einstellen der unbefugt erlangten Nachrichten auf den offenen Verkaufsforen des Darknets gegeben ist.140 Die an den Innentäter gestellte Geheimhaltungspflicht greift allerdings nur dann, wenn es sich bei den weitergegebenen Nachrichten um diejenigen handelt, die er zuvor abgehört hat. Dieses Erfordernis ergibt sich zwar nicht aus dem Wortlaut des § 89 Satz 2 TKG, jedoch aus seinem Schutzzweck, eine Vertiefung der Verletzung der Vertraulichkeit der Kommunikation durch eine Weitergabe der abgehörten Informationen und des Umstands ihrer Kenntniserlangung durch Dritte zu verhindern.141 Da ein Abhören elektronischer Daten aus den vorgenannten Gründen jedoch nicht tatbestandsmäßig ist, verstößt ihre Weitergabe auch nicht gegen das Mitteilungsverbot aus § 89 Satz 2 TKG.142
III. Zusammenfassung Weder das Abhören der elektronischen Nachrichten der Cloud-Nutzer noch deren Weitergabe an Dritte wird von der Strafvorschrift des § 148 TKG erfasst. Unbe138
Altenhain, MK, § 148 TKG, Rn. 37. Fetzer, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, § 148, Rn. 8; Preuß, Die Kontrolle von E-Mails, S. 344. 140 Vgl. Altenhain, MK, § 148 TKG, Rn. 37; Dierlamm/Cordes, Scheurle/Mayen, TKG, 148, Rn. 12. 141 Fetzer, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, § 148, Rn. 8; Klesczewski, in: Säcker (Hrsg.), TKG, § 89, Rn. 14. 142 Ebenso Preuß, Die Kontrolle von E-Mails, S. 344. 139
C. Bußgeldnorm nach Art. 83 DSGVO
279
friedigend ist dieses Ergebnis auch deshalb, weil der Schutz der Vertraulichkeit des elektronischen Nachrichtenverkehrs beim Cloud Computing auch nicht hinreichend von den Strafnormen des Ausspähens von Daten gem. § 202a Abs. 1 StGB, des Abfangens von Daten gem. § 202b 1. Alt. StGB und der Verletzung des Fernmeldegeheimnisses gem. § 206 Abs. 1 StGB und § 206 Abs. 2 Nr. 1 StGB vor potentiellen Insiderangriffen gewährleistet wird. Es bleibt abzuwarten, ob die zur Ergänzung und Präzisierung der DSGVO noch zu verabschiedende E-Privacy-Verordnung (EP-VO), die als Teil der Strategie eines einheitlichen digitalen Binnenmarktes das Ziel verfolgt, das Vertrauen in elektronische Kommunikationsdienste und deren Sicherheit zu erhöhen, in diesem Zusammenhang Abhilfe schaffen wird. Im Entwurf der Europäischen Kommission vom 10. 01. 2017143 sowie in dem am 26. 10. 2017 vom EU-Parlament verabschiedete Verordnungsvorschlag144 sollen jedenfalls Eingriffe in die Vertraulichkeit von Kommunikationsdaten, d.h. den übermittelten Kommunikationsinhalten und den Verkehrsdaten, wie das „Mithören, Abhören, Speichern, Beobachten, Scannen oder andere Arten des Abfangens, Überwachens oder Verarbeitens elektronischer Kommunikationsdaten durch andere Personen als die Endnutzer, sofern sie nicht durch die Verordnung erlaubt werden“ jeweils nach Art. 23 Abs. 3 i.V.m. Art. 5 mit einer Geldbuße von bis zu 20 Mio. EUR oder im Fall eines Verstoßes durch ein Unternehmen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden. Dieser bußgeldrechtliche Schutz soll dabei nicht nur den Vorgang der Nachrichtenübermittlung zum Anbieter erfassen, sondern auch die Machine-toMachine-Kommunikation einbeziehen.145 In Art. 24 der Entwurfsfassungen findet sich zudem jeweils eine Öffnungsklausel zum Erlass weitergehender strafrechtlicher Sanktionen. Inwieweit die Bußgeldvorschrift geltendes Recht wird und der Gesetzgeber weitergehende Sanktionen erlässt, ist allerdings zum Zeitpunkt der Untersuchung nicht absehbar.
C. Bußgeldnorm nach Art. 83 DSGVO Sofern der Innentäter-Angriff personenbezogene Daten zum Gegenstand hat, ist auch an eine Erfüllung der Bußgeldtatbestände aus Art. 83 Abs. 4 lit. a und Abs. 5 lit. a DSGVO zu denken. Ziel der Bußgeldnormen ist es, ein unionsweites wirksames Datenschutzniveau bei der Verarbeitung von personenbezogenen Daten zu gewährleisten sowie Unterschiede im Binnenmarkt bei der Verfolgung von Daten-
143
COM(2017)0010 – C8 – 0009/2017 – 2017/0003(COD). A8 – 0324/2017. 145 Erwägungsgrund 12 des Entwurfs der Europäischen Kommisssion vom 10. 01. 2017, COM (2017) 10 final – 2017/0003 (COD); kritisch hierzu nur BITKOM, Stellungnahme zur EPrivacy Verordnung, S. 3. 144
280
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
schutzverstößen zu beseitigen.146 Hierzu wurden die Geldbußen nach dem Vorbild des Kartellrechts ausgestaltet147 und die zu ahndenden Verstöße, die Obergrenze sowie die Kriterien für ihre Festsetzung verbindlich vorgeschrieben.148 Zudem wurden die Aufsichtsbehörden nach Art. 83 Abs. 1 DSGVO dazu verpflichtet, in jedem Einzelfall sicherzustellen, dass die verhängte Geldbuße wirksam und abschreckend ist und dem Verhältnismäßigkeitsgrundsatz genügt.
I. Anwendungsbereich Die Auferlegung einer Bußgeldsanktion gem. Art. 83 DSGVO setzt zunächst voraus, dass bei einem Innentäter-Angriff der sachliche und räumliche Anwendungsbereich des europäischen Datenschutzrechts nach den Art. 2 Abs. 1 und Art. 3 DSGVO eröffnet ist. 1. Sachlicher Anwendungsbereich In sachlicher Hinsicht gilt das europäische Datenschutzrecht nach Art. 2 Abs. 1 DSGVO für die ganz oder teilweise automatisierte Verarbeitung von personenbezogenen Daten. Zur Verarbeitung zählt gem. Art. 4 Nr. 2 DSGVO jeder im Zusammenhang mit personenbezogenen Daten stehender Vorgang. Als nicht abschließende Beispiele nennt die Vorschrift das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. Der technikneutrale149 Begriff der Verarbeitung ist dabei weit zu verstehen,150 so dass letztendlich jede menschliche Form der Verwendung oder Einflussnahme auf personenbezogene Daten von der DSGVO erfasst wird.151 Automatisiert ist die Verarbeitung, wenn sie ohne menschliche Einwirkung mittels eines IT-Systems stattfindet; teilautomatisiert ist sie, wenn ein Mensch die elektronische 146 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 2; siehe auch die jeweiligen Sätze 1 der Erwägungsgründe 148 und 150. 147 Albrecht/Jotzo, Datenschutzrecht, Teil 8, Rn. 34; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 2; ders., DuD 2017, 555 (555). 148 Hohmann, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 317; Neun/Lubitzsch, BB 2017, 1538 (1540). 149 Herbst, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 2 DSGVO, Rn. 18. 150 Barlag, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 7; Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 309. 151 Schreiber, in: Plath (Hrsg.), BDSG/DSGVO, Art. 4 DSGVO, Rn. 9; Schantz, Schantz/ Wolff (Hrsg.), Datenschutzrecht, Rn. 309; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 32.
C. Bußgeldnorm nach Art. 83 DSGVO
281
Datenverarbeitungsanlage steuert oder Daten eingibt.152 Da die Innentäter-Angriffe beim Cloud Computing unter Anwendung von technischen Mitteln erfolgen, liegt zumindest eine teilautomatisierte Verarbeitung vor.153 Personenbezogene Daten sind nach der Legaldefinition des Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person, die als betroffene Person bezeichnet wird, beziehen. Unter dem weit auszulegenden Begriff fällt jede Information, die einen Bezug zu einer natürlichen Person aufweist (z.B. Name, Anschrift, Geburtsdatum, Credentials und Kreditkarteninformationen) oder Aussagen über die betroffene Person ermöglicht (z.B. Kommunikations- und Vertragsbeziehungen, Mitgliedschaften, IP-Adressen und Kontextinformationen bei Bild- und Tonaufnahmen).154 Sofern sich der InnentäterAngriff auf eine unverschlüsselte Information bezieht, die er einer bestimmten natürlichen Person zuordnen kann, liegt ein personenbezogenes Datum vor.155 Dies gilt selbst dann, wenn seine Tat verschlüsselte und damit pseudonymisierte Daten i.S.d. Art. 4 Nr. 5 DSGVO zum Gegenstand hat.156 Denn durch die Pseudonymisierung ändert sich nach dem Erwägungsgrund 26 Satz 1 der Personenbezug der Daten nicht, da weiterhin die objektive Möglichkeit besteht, die betroffenen Personen durch eine Entschlüsselung zu identifizieren. Die Pseudonymisierung stellt damit nur eine technisch-organisatorische Sicherheitsmaßnahme dar, die ohne Einfluss auf die Einordnung einer Information als personenbezogenes Datum ist.157 Auf die subjektive Intention und die technischen Kenntnisse und Fähigkeiten des Innentäters zur Re-Identifizierbarkeit der verschlüsselten Daten kommt es somit nicht an.158 Hierfür spricht nicht nur das Gebot des Art. 83 Abs. 1 DSGVO, einen präventiven und wirksamen Schutz des Persönlichkeitsrechts der betroffenen Personen durch eine effektive Ahndung der Datenschutzverstöße von Innentätern zu gewährleisten, sondern auch der Erwägungsgrund 26 Satz 3, in dem es heißt, dass „alle Mittel“ bei 152
Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 310. Vgl. Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 34. 154 Klar/Kühling, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 1 DSGVO, Rn. 8; Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 4 DSGVO, Rn. 14, 18; vgl. auch Dammann, in: Simitis (Hrsg.), BDSG, § 3 a.F., Rn. 10. 155 Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 4 DSGVO, Rn. 8; Schantz, Schantz/ Wolff (Hrsg.), Datenschutzrecht, Rn. 277. 156 Im Ergebnis wohl ebenso Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007, S. 23; Klabunde, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 4, Rn. 13; vgl. auch Schreiber, in: Plath (Hrsg.), BDSG/DSGVO, Art. 4 DSGVO, Rn. 18, 20; Klar/Kühling, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 1 DSGVO, Rn. 29. 157 Klabunde, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 4, Rn. 23; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 78; Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 4 DSGVO, Rn. 40; differenzierend dagegen Ziebarth, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 5, Rn. 97 f., der die Pseudonymisierung einer absoluten oder faktischen Anonymisierung gleichstellt, wenn die Wiederherstellung eines Personenbezugs niemanden oder dem Verantwortlichen nur mit einem unverhältnismäßigen Aufwand möglich ist. 158 Vgl. Klar/Kühling, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 1 DSGVO, Rn. 23; Klabunde, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 4, Rn. 13. 153
282
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
der Feststellung der Personenbeziehbarkeit zu berücksichtigen sind, die irgendeine „andere Person“ nach allgemeinen Ermessen unter Berücksichtigung der Kosten, des Zeitaufwands und des Stands der Technik nutzen wird, um eine Person zu identifizieren.159 Schon angesichts der objektiven Möglichkeit, das Ressourcen-Potential des Cloud Computing im Rahmen einer Brute-Force-Attacke zum „Knacken“ selbst komplexer kryptographischer Verfahren zu verwenden,160 entfaltet eine Pseudonymisierung damit jedenfalls für Innentäter, die unbefugt fremde Datensätze ausspähen, verändern, unterdrücken oder weitergeben keine Wirkung. Vor diesem Hintergrund sind nur wenige Datensätze in der Cloud als reine Sachdaten ohne Personenbezug zu qualifizieren.161 Angesichts des weiten Spektrums der angebotenen Cloud-Dienste muss aber gleichwohl im Einzelfall geklärt werden, ob die Tat des Innentäters personenbezogene Daten zum Gegenstand hat.162 So stellen Daten von juristischen Personen, Personengesellschaften oder von Vereinen, wie z.B. die Unternehmensanschrift, die Zahl der Mitarbeiter oder der Geschäftsumsatz, keine personenbezogenen Daten dar.163 Etwas anderes gilt aber dann, wenn aus ihnen Rückschlüsse auf die hinter der juristischen Person oder Personengesellschaften stehenden natürlichen Personen gezogen werden können,164 was auf Seiten der cloudnutzenden Unternehmen beispielsweise bei Lohn- und Gehaltsdaten, Geschäftsdokumenten, Kundenschreiben, elektronischen Adressbüchern oder bei EMails zu bejahen ist.165 2. Räumlicher Anwendungsbereich Die Datenschutzrichtlinie 95/46/EG (DS-RL)166 forderte für den räumlichen Anwendungsbereich des europäischen Datenschutzrechts noch einen territorialen 159 Klabunde, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 4, Rn. 13; vgl. auch Artikel-29Datenschutzgruppe, Stellungnahme 05/2014, S. 23 f.; Über die Problematik der InnentäterAngriffe hinaus wird überwiegend der Ansatz eines relativen Personenbezugs vertreten Schreiber, in: Plath (Hrsg.), BDSG/DSGVO, Art. 4 DSGVO, Rn. 8, 20; Klar/Kühling, Kühling/ Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 1 DSGVO, Rn. 26; Barlag, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 9; Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 280; Hofmann/Johannes, ZD 2017, 221 (226); a.A. Klabunde, Ehmann/ Selmayr (Hrsg.), DSGVO, Art. 4, Rn. 13. 160 Hennrich, Cloud Computing, S. 139 ff.; siehe hierzu auch S. 104. 161 Hennrich, Cloud Computing, S. 127. 162 Ebenso Jotzo, Schutz personenbezogener Daten, S. 65. 163 Klar/Kühling, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 1 DSGVO, Rn. 4; Ziebarth, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 1, Rn. 13; Ambs, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 3 BDSG a.F., Rn. 2. 164 Klar/Kühling, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 1 DSGVO, Rn. 4; Ziebarth, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 1, Rn. 13; Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 317 f. 165 Hennrich, Cloud Computing, S. 127. 166 ABl. L 281 vom 23/11/1995 S. 0031 – 0050.
C. Bußgeldnorm nach Art. 83 DSGVO
283
Anknüpfungspunkt. So musste entweder die Datenverarbeitung im Rahmen einer Niederlassung des Verantwortlichen durchgeführt werden (Niederlassungsprinzip, Art. 4 Abs. 1 lit. a DS-RL) oder der Verantwortliche auf ein in der EU belegenes Mittel der Datenverarbeitung zurückgreifen (Territorialitätsprinzip, Art. 4 Abs. 1 lit. c DS-RL). Die DSGVO erweitert dagegen in konsequenter Fortführung der Google Spain-Entscheidung des EuGH167 nunmehr den räumlichen Geltungsbereich des europäischen Datenschutzrechts, so dass ein effektiver Schutz personenbezogener Daten unabhängig von dem Standort ihrer Verarbeitung oder der arbeitsteiligen Organisation des Datenverarbeiters gewährleistet wird.168 a) Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO In Art. 3 Abs. 1 DSGVO wird zunächst das bislang in Art. 4 Abs. 1 lit. a DS-RL geregelte Niederlassungsprinzip erweitert. Danach findet das europäische Datenschutzrecht auf eine Datenverarbeitung Anwendung, wenn sie im Rahmen einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt. Im Gegensatz zu Art. 4 Abs. 1 lit. a DS-RL reicht damit bereits die Niederlassung eines Auftragsdatenverarbeiters in der EU aus, um die Anwendung der DSGVO auszulösen. Klargestellt wird von Art. 3 Abs. 1 DSGVO zudem, dass die Anwendung der DSGVO unabhängig davon ist, ob die Datenverarbeitung auf CloudServern innerhalb oder außerhalb der Union erfolgt. Somit ist nicht der Ort des Serverstandorts, sondern allein das Vorhandensein einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU ausschlaggebend für die räumliche Anwendbarkeit der DSGVO. Durch diese Anknüpfung schafft die Regelung besonders bei einer multiplen Cloud-Infrastruktur, bei der die genaue Verortung der gespeicherten Daten Schwierigkeiten bereitet, Rechtssicherheit.169 Nach der Legaldefinition des Art. 4 Nr. 7 DSGVO fallen unter dem Begriff des „Verantwortlichen“ alle natürlichen oder juristischen Personen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Verarbeiten dagegen natürliche oder juristische Personen personenbezogene Daten im Auftrag des Verantwortlichen, also innerhalb von dessen Weisungen (Art. 29 DSGVO), stellen sie nach Art. 4 Nr. 8 DSGVO
167 In dieser Entscheidung hat der EuGH den Anwendungsbereich der DS-RL zwecks eines wirksamen und umfassenden Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen auf IT-Dienstleister erweitert, die zwar die eigentliche Datenverarbeitung nicht in der EU durchführen, aber eine Niederlassung im Unionsgebiet haben, deren Aufgabe darin besteht, den Absatz und den Verkauf der angebotenen IT-Dienstleistungen an Unionsbürger zu fördern; EuGH NJW 2014, 2257, Rn. 52 ff. 168 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 321; vgl. auch Zerdick, Ehmann/ Selmayr (Hrsg.), DSGVO, Art. 3, Rn. 1 f. 169 Ebenso Zerdick, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 3, Rn. 11.
284
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
„Auftragsverarbeiter“ dar. Da aufgrund der sog. „Haushaltsausnahme“170 des Art. 2 Abs. 1 lit. c DSGVO das europäische Datenschutzrecht auf Datenverarbeitungen von Einzelpersonen, die objektiv betrachtet ausschließlich der Ausübung persönlicher oder familiärer Tätigkeiten dienen, keine Anwendung findet,171 kommen aber nur solche natürlichen und juristischen Personen als Verantwortliche und Auftragsverarbeiter in Betracht, die personenbezogene Daten aus beruflichen oder wirtschaftlichen Gründen verarbeiten.172 In diesem Fall können sie sich auch dann nicht auf die Ausnahme des Art. 2 Abs. 1 lit. c DSGVO berufen, wenn die Cloud-Dienste von Einzelpersonen ausschließlich zur Speicherung und Verarbeitung privater Daten genutzt werden.173 Das entscheidende Kriterium für die Abgrenzung zwischen einem „Verantwortlichen“ und einem „Auftragsverarbeiter“ bildet das Innehaben der tatsächlichen Entscheidungsgewalt über den Zweck und die Mittel der Datenverarbeitung.174 Sofern der Cloud-Nutzer mit dem Cloud-Anbieter unter Einhaltung der Voraussetzungen des Art. 28 Abs. 3 DSGVO einen schriftlichen oder einen im elektronischen Format geschlossenen Vertrag vereinbart, in dem vor allem Gegenstand und Dauer der Cloud-Nutzung, Art und Zweck der Verarbeitung sowie die Pflichten des Cloud-Anbieters, die personenbezogenen Daten nur auf dokumentierte Weisung des Cloud-Nutzers zu verarbeiten und diesem die korrekte Durchführung der Datenverarbeitungsvorgänge (etwa mit der Vorlage von Zertifikaten, genehmigten Verhaltensregeln175 und Verarbeitungsverzeichnissen176) nachzuweisen, geregelt ist, liegt eine Auftragsdatenverarbeitung vor, bei welcher der Cloud-Nutzer als „Herr der Daten“ Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO und der Cloud-Anbieter als „verlängerter Arm“ des Cloud-Nutzers Auftragsverarbeiter i.S.d. Art. 4
170 Statt vieler Kühling/Raab, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 2 DSGVO, Rn. 23. 171 Etwas anderes gilt aber dann, wenn Privatpersonen personenbezogene Daten in sozialen Netzwerken oder sonstigen Internetdiensten veröffentlichen, so dass die Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden; EuGH EuZW 2004, 245 (249). 172 Erwägungsgrund 18 Satz 1; Ennöckl, Sydow (Hrsg.), NK-DSGVO, Art. 2, Rn. 11; Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 2 DSGVO, Rn. 16. Hierfür reicht bereits eine Nutzung der Cloud-Dienste sowohl zu privaten als auch zu beruflichen oder wirtschaftlichen Zwecken aus; vgl. Kühling/Raab, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 2 DSGVO, Rn. 26. 173 Zerdick, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 2, Rn. 11; siehe auch Erwägungsgrund 18 Satz 3. 174 Da die Begriffe des „Verantwortlichen“ und „Auftragsverarbeiters“ mit denjenigen aus Art. 2 lit. d, e DS-RL, §§ 3 Abs. 7, 11 Abs. 1 BDSG a.F. übereinstimmen, kann auf die bisherige Auslegung zurückgegriffen werden; ausführlich zu den Kriterien Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, S. 10 ff. 175 Ausführlich zum Nachweis der datenschutzkonformen Datenverarbeitung mit Zertifikaten und Verhaltensregeln Albrecht/Jotzo, Datenschutzrecht, S. 99 f.; Hofmann, ZD-Aktuell 2016, 05324; Schäfer/Fox, DuD 2016, 744 (744 ff.). 176 Weitergehend zur datenschutzkonformen Implementierung von Verarbeitungsverzeichnissen Gossen/Schramm, ZD 2017, 7 (7 ff.); Licht, ITRB 2017, 65 (65 ff.).
C. Bußgeldnorm nach Art. 83 DSGVO
285
Nr. 8 DSGVO ist.177 Liegt eine derartige Weisungs- und Kontrollbindung des CloudAnbieters vor, wird dieser auch nicht dadurch zum Verantwortlichen, dass er die Cloud-Infrastruktur und die technisch-organisatorischen Maßnahmen bei der CloudNutzung vorgibt.178 Entscheidend ist nämlich nur, dass er sich bei der Ausgestaltung seines Spielraums über die technischen Mittel der Datenverarbeitung innerhalb der Grenzen des vom Cloud-Nutzers gesteckten Rahmens bewegt. Verhält sich der Cloud-Anbieter dagegen weisungswidrig, indem er eigenmächtig die Zwecke und Mittel der Datenverarbeitung bestimmt, wird er im Hinblick auf den missbräuchlichen Datenumgang nach Art. 28 Abs. 10 DSGVO neben dem Cloud-Nutzer selbst zum Verantwortlichen.179 Fehlt es hingegen an den Anforderungen für eine Auftragsdatenverarbeitung i.S.d. Art. 28 Abs. 3 DSGVO, liegt die Datenverarbeitung i.S.d. Art. 26 DSGVO grundsätzlich in der gemeinsamen und geteilten Verantwortung des Cloud-Anbieters und Cloud-Nutzers.180 Während nämlich der Cloud-Nutzer bei allen Dienstleistungsformen den Verarbeitungszweck festlegt, indem er insbesondere über den Umstand der Verarbeitung sowie über die Speicherdauer, Löschung und Veränderung der Daten entscheidet, kommt dem Cloud-Anbieter ein bestimmender Einfluss auf die technischen Mittel der Datenverarbeitung zu. Denn mit der Eingabe der Daten in das Cloud-System erlangt ein Cloud-Anbieter, wie bereits dargelegt wurde,181 die faktische Hoheit über die im Cloud-System gespeicherten Daten. So ist er beispielsweise technisch dazu in der Lage, den Ort der Datenverarbeitung zu bestimmen, die Daten zu Sicherungszwecken zu kopieren und sie zum Zwecke der Wartung abzurufen sowie weitere Subunternehmer in die Dienstleistungserbringung einzuschalten und damit weitere Zugriffsrechte auf die Datensätze einzuräumen. Dagegen hängen die technischen Einflussmöglichkeiten des CloudNutzers auf die einzelnen Systemkomponenten der Cloud-Architektur von dem jeweils genutzten Dienstleistungsmodell ab.182 Erbringt der Cloud-Anbieter z.B. einen SaaS-Dienst, verbleibt dem Cloud-Nutzer lediglich die Entscheidung über den Inhalt 177 Ausführlich zu den Voraussetzungen der Auftragsdatenverarbeitung nach der DSGVO Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 938 ff.; Hartung/Büttgen, DuD 2017, 549 (549 ff.); zu den Änderungen im Vergleich zur BDSG a.F. siehe Eckhardt, CCZ 2017, 111 (113 ff.); Schenck/Mueller-Stöfen, GWR 2017, 171 (175 f.); speziell zum Cloud Computing Härting, DSGVO, S. 137 ff.; Rücker/Kugler, DB 2016, 2767 (2767 ff.) und zum Anpassungsbedarf von Individualverträgen, Binding Corporate Rules, Standardvertragsklauseln und Musterverträgen bei der Nutzung der Cloud-Dienste nach der DSGVO Hofmann, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 266 ff. 178 Hartung, Kühling/Buchner, DSGVO/BDSG, Art. 28 DSGVO, Rn. 44; Hartung/Büttgen, DuD 2017, 549 (551); vgl. auch Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010, S. 17; Bertermann, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 28, Rn. 3; Ennöckl, Sydow (Hrsg.), NK-DSGVO, Art. 3, Rn. 124; a.A. Funke/Wittmann, ZD 2013, 221 (222 f.), wonach allein der Cloud-Nutzer als Verantwortlicher anzusehen ist. 179 Vgl. nur Plath, in: Plath (Hrsg.), BDSG/DSGVO, Art. 28 DSGVO, Rn. 32. 180 Hofmann, ZD-Aktuell 2017, 05488; ausführlich hierzu Kroschwald, Informationelle Selbstbestimmung, S. 120 ff.; siehe hierzu auch S. 60 f. 181 S. 78 f. 182 Hierzu S. 60 f.
286
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
der eingegebenen Daten, eine technische Gestaltungsmöglichkeit hat er dagegen nicht. Eine solche kommt ihm in engen Grenzen dagegen nur im Rahmen der PaaSund IaaS-Dienste zu, wobei sein technischer Einflussbereich zwar bei der IaaSNutzung am größten ist, dieser aber gleichwohl von den technisch gesetzten Gegebenheiten des Cloud-Anbieters abhängt. Im Ergebnis sind die Cloud-Nutzer und Cloud-Anbieter außerhalb einer Auftragsdatenverarbeitung i.S.d. Art. 26 Abs. 1 Satz 1 DSGVO gemeinsame Verantwortliche für die Datenverarbeitung in der Cloud, da der Cloud-Nutzer für den Zweck der Verarbeitung verantwortlich ist und der Cloud-Anbieter die wesentliche Verantwortung für die Gewährleistung der Datensicherheit und den ordnungsgemäßen Umgang mit den personenbezogenen Daten trägt. Als Niederlassung wird nach dem Erwägungsgrund 22 in Übereinstimmung mit Art. 4 Abs. 1 lit. a DS-RL derjenige Ort angesehen, an dem der Verantwortliche oder der Auftragsverarbeiter „effektiv und tatsächlich eine Tätigkeit durch eine feste Einrichtung“ ausübt, wobei die Rechtsform der Einrichtung, bei der es sich um eine Zweigstelle oder Tochtergesellschaft handeln kann, gleichgültig ist.183 Besonders für die Cloud-Anbieter, die ihre IT-Dienstleistungen über das Internet anbieten, ist bei der Feststellung, ob sie über eine Niederlassung innerhalb des Unionsgebietes verfügen, neben dem Grad an Beständigkeit der Einrichtung auch die effektive Ausübung der wirtschaftlichen Tätigkeit unter Beachtung des besonderen Charakters der angebotenen Cloud-Dienstleistungen zu berücksichtigen.184 Die Anforderungen, die hierbei an das Innehaben einer Niederlassung im Unionsgebiet gestellt werden, sind allerdings gering. So genügt bereits das Betreiben eines einzigen Cloud-Servers in der EU185, das Anbieten der Cloud-Dienstleistungen in einer Sprache eines EUMitgliedstaates oder die Nutzung eines Postfachs oder Bankkontos sowie die (geringfügige) Tätigkeit und Präsenz eines einzigen Mitarbeiters in der EU, um eine Niederlassung im Unionsgebiet anzunehmen.186 Um eine mögliche Umgehung der datenschutzrechtlichen Vorschriften durch eine Auslagerung von Datenverarbeitungsprozessen außerhalb der EU zu verhindern, muss zudem die Niederlassung
183
EUGH NJW 2015, 3636, Rn. 28. EuGH NJW 2015, 3636, Rn. 29; Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 3 DSGVO, Rn. 7; Schantz, Schantz/Wolff (Hrsg.); Datenschutzrecht, Rn. 326. 185 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 329; a.A. wohl Zerdick, Ehmann/ Selmayr (Hrsg.), DSGVO, Art. 3, Rn. 8; Ennöckl, Sydow (Hrsg.), NK-DSGVO, Art. 3, Rn. 7. Aufgrund der geringen Anforderungen, die an eine Niederlassung gestellt werden, ist die Gegenansicht allerdings nicht überzeugend. Zumal auch nach der bisherigen Rechtslage das europäische Datenschutzrecht nach Art. 4 Abs. 1 lit. c DS-RL anzuwenden gewesen wäre, weil die Cloud-Anbieter auf in der Union belegene Mittel zur Speicherung der Inhaltsdaten zurückgreifen; vgl. Artikel-29-Datenschutzgruppe, Stellungnahme 8/2010, S. 27. 186 Vgl. EuGH NJW 2015, 3636, Rn. 30 f.; Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 15 f. 184
C. Bußgeldnorm nach Art. 83 DSGVO
287
nicht datenverarbeitend tätig sein.187 Ausreichend ist vielmehr, dass ihre Tätigkeit den Geschäftszweck des Cloud-Anbieters oder Cloud-Nutzers wirtschaftlich fördert, was beispielsweise schon durch den Vertrieb von Werbeanzeigen gegeben ist.188 Sofern der Cloud-Anbieter oder Cloud-Nutzer in diesem Sinn personenbezogene Daten im Rahmen einer Niederlassung in der Union verarbeitet, ist der räumliche Anwendungsbereich der DSGVO eröffnet. Die Rechtmäßigkeit der Datenverarbeitung in der Cloud bestimmt sich dann nach den Vorschriften der DSGVO.189 b) Marktortprinzip, Art. 3 Abs. 2 lit. a DSGVO Sofern die Niederlassung des Cloud-Anbieters oder Cloud-Nutzers außerhalb der Union liegt, ist die DSGVO nach Art. 3 Abs. 2 lit. a DSGVO gleichwohl räumlich anwendbar, wenn personenbezogene Daten von betroffenen Personen, die sich in der Union befinden, verarbeitet werden und die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union entgeltliche oder unentgeltliche Cloud-Dienstleistungen anzubieten. Dieses sog. Marktortprinzip, das auch in weiteren Rechtsgebieten anerkannt ist,190 verknüpft die wirtschaftliche Tätigkeit der Cloud-Anbieter auf dem europäischen Markt mit der Einhaltung der europäischen Datenschutzvorschriften. Dadurch kann ein effektiver Schutz der personenbezogenen Daten der EU-Bürger sowie anderer sich innerhalb der Union (vorübergehend) aufhaltender Personen auch gegenüber außerhalb Europas stattfindender Datenverarbeitungen gewährleistet werden.191 Entscheidender Anknüpfungspunkt für die Bestimmung des Marktorts ist das gezielte Anbieten der Cloud-Dienstleistungen auf dem europäischen Markt. Ob dieses finale Element192 vorliegt, ist anhand einer Gesamtbetrachtung aller Umstände des Einzelfalls zu bestimmen.193 Die bloße Abrufbarkeit der Webseite des Cloud-
187 EuGH ZD 2014, 350, Rn. 52; Ennöckl, Sydow (Hrsg.), NK-DSGVO, Art. 3, Rn. 6; Plath, in: Plath (Hrsg.), BDSG/DSGVO, Art. 3 DSGVO, Rn. 9 f.; Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 17, 25. 188 EuGH ZD 2014, 350, Rn. 55; Zerdick, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 3, Rn. 10; Plath, in: Plath (Hrsg.), BDSG/DSGVO, Art. 3 DSGVO, Rn. 9; Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 25. 189 Vgl. nur Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 3 DSGVO, Rn. 22. 190 So beispielsweise im Banken- und Finanzmarktrecht (siehe hierzu BVerwG NZG 2009, 1112 zu § 32 KWG) oder im europäischen Wettbewerbsrecht (Art. 6 Abs. 1 der Verordnung EG Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11. Juli 2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht „Rom II“, Abl. EU L 199 vom 31. 07. 2007, S. 40). 191 Erwägungsgrund 23; Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 332. 192 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 334. 193 Ennöckl, Sydow (Hrsg.), NK-DSGVO, Art. 3, Rn. 13; Albrecht/Jotzo, Datenschutzrecht, Rn. 32.
288
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Anbieters aus der EU soll für diese Ausrichtung noch nicht genügen.194 Letztendlich kommt es auf die inhaltliche Gestaltung des Cloud-Angebots an.195 Ausreichend kann im Einzelfall sein, wenn die Cloud-Dienste in einer Sprache präsentiert werden, die in der EU üblich ist, für den Cloud-Anbieter aber eine Fremdsprache darstellt.196 Weiteres Indiz für eine Unionsausrichtung des Cloud-Angebots ist die Möglichkeit, entgeltliche Cloud-Dienstleistungen mit der EU-Währung zu bezahlen, die am Verarbeitungsort des Anbieters eine Fremdwährung darstellt.197 Schließlich kann auch das Werben mit der Cloud-Nutzung in einem Mitgliedstaat,198 die Verwendung eines „Flaggen-Icons“199 oder einer Top Level Domain eines Mitgliedstaates200 sowie die Veröffentlichung von Kundenbewertungen mit der Angabe eines Mitgliedstaats als Herkunftsland,201 darauf hindeuten, dass ein Cloud-Angebot bewusst an Personen in der Union gerichtet ist. Angesichts dieser Ausweitung des räumlichen Anwendungsbereichs weit über die Grenzen der EU hinaus werden die europäischen Datenschutzregeln regelmäßig auch auf die im EU-Ausland niedergelassenen Cloud-Anbieter und damit auch auf außereuropäische Cloud-Nutzer und Subunternehmer Anwendung finden.202 Demzufolge kommt der Vorschrift besonders für die internationalen Cloud-Infrastrukturen der amerikanischen Großanbieter enorme praktische Relevanz zu.203 Durch die regelmäßige Eröffnung des räumlichen Anwendungsbereichs können nämlich nicht nur staatliche Schutzfunktion im Hinblick auf die Persönlichkeitsrechte der betroffenen Unionsaufhältigen gegen außereuropäische Cloud-Anbieter wirksam 194
Erwägungsgrund 23. Vgl. Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 3 DSGVO, Rn. 16. 196 Vgl. Erwägungsgrund 23; Albrecht/Jotzo, Datenschutzrecht, Rn. 32. 197 Vgl. Erwägungsgrund 23; Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 32. 198 Vgl. Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 3 DSGVO, Rn. 16. 199 DKA, Marktortprinzip, S. 2. 200 Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 32; Barlag, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 18. 201 Vgl. Erwägungsgrund 23; Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 32. 202 Vgl. Hanloser, in: BeckOK Datenschutzrecht, Art. 3 DSGVO, Rn. 31. 203 Während bis zum Herbst 2015 noch zwischen den USA und der EU das Safe-HarborAbkommen vom 26. 07. 2000 (Abl. EU 2000 Nr. L 215/7) bestand, das für US-Unternehmen, die dem Abkommen beitraten, die Vermutung begründete, einen ausreichenden Schutz personenbezogener Daten von EU-Bürgern nach den Bestimmungen der DS-RL zu gewährleisten, hat der EuGH das Safe-Harbor-Abkommen mit Urteil vom 06. 10. 2015 (EuGH EuZW 2015, 881) für ungültig erklärt. Seit dem 12. 07. 2016 existiert aber mit dem sog. EU-US Privacy Shield (Abl. EU 2016 Nr. L 2017, S. 1) ein entsprechendes Nachfolgeabkommen zwischen den USA und der EU. Ausführlich zum EU-US Privacy Shield siehe Lewinski, EuR 2016, 405 (412 ff.); im Hinblick auf eine Verarbeitung von medizinischen Daten in einer US-Cloud Molnár-Gábor/Kaffenberger, ZD 2017, 18 (18 ff.); zu möglichen Alternativen bei einem internationalen Datentransfer Determann/Weigl, EuZW 2016, 811 (811 ff.). 195
C. Bußgeldnorm nach Art. 83 DSGVO
289
durchgesetzt, sondern auch eine Wettbewerbsgleichheit mit europäischen CloudBetreibern hergestellt werden.204 c) Résumé Die Anwendung des Marktortprinzips auf das Cloud Computing hat zur Folge, dass die DSGVO bei jedem unionsbezogenen Cloud-Dienst räumlich anwendbar ist. Insofern können sich Cloud-Anbieter, die ihre Rechenzentren im EU-Ausland betreiben, nicht mehr dem europäischen Datenschutzrecht dadurch entziehen, dass sie weder über einen Sitz noch über eine datenverarbeitende Niederlassung innerhalb der EU verfügen. Nicht räumlich anwendbar ist die DSGVO damit nur – in der praktisch kaum relevanten – Fallkonstellation, in der weder der Cloud-Anbieter noch der Cloud-Nutzer eine Niederlassung in der EU haben und das Produktangebot der unionsfremden Niederlassung keinen Unionsbezug aufweist, weil sich der Bezug der Cloud-Dienstleistungen nicht an Personen richtet, die sich zum Zeitpunkt der Datenerhebung205 innerhalb der EU aufhalten. Ebenfalls ist der räumliche Geltungsbereich des europäischen Datenschutzrechts nicht eröffnet, wenn zwar eine Niederlassung des Cloud-Anbieters oder Cloud-Nutzers im Unionsgebiet liegt, diese aber selbst keine personenbezogenen Daten von Unionsaufhältigen verarbeitet und die Datenverarbeitung in der Drittstaatenniederlassung keine untrennbare Verbindung zur Tätigkeit der innergemeinschaftlichen Niederlassung aufweist.206
II. Ordnungswidrigkeit nach Art. 83 Abs. 4 lit. a, Abs. 5 lit. a DSGVO Bei einer unbefugten Verarbeitung von personenbezogenen Daten durch Innentäter könnten vor allem die Bußgeldtatbestände aus Art. 83 Abs. 4 lit. a, Abs. 5 lit. a DSGVO verwirklicht sein. Während Art. 83 Abs. 4 lit. a DSGVO Verstöße von Verantwortlichen und Auftragsverarbeitern gegen ihre datenschutzrechtlichen Pflichten aus den Art. 8, 11, 25 bis 39, 42 und 43 DSGVO mit einer Geldbuße von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert, werden nach Art. 83 Abs. 5 lit. a DSGVO Verstöße gegen die Grundsätze für die 204
Klar, DuD 2017, 533 (535); vgl. auch Ennöckl, Sydow (Hrsg.), NK-DSGVO, Art. 3, Rn. 12; Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 332. 205 Ebenso Plath, in: Plath (Hrsg.), BDSG/DSGVO, Art. 3 DSGVO, Rn. 14 mit dem zutreffenden Argument, dass das Persönlichkeitsrecht einer betroffenen Person, deren Daten durch einen nicht-europäischen Cloud-Anbieter oder Cloud-Nutzer gespeichert werden, auch dann noch geschützt werden muss, wenn sich die betroffene Person auf einer (kurzfristigen) Auslandsreise befindet. Der Zeitpunkt der Datenerhebung wirkt damit auf den Zeitpunkt eines missbräuchlichen Datenumgangs fort. A.A. Albrecht, CR 2016, 88 (90), der den Zeitpunkt der Datenverarbeitung für maßgeblich hält. 206 Ebenso Hofmann, ZD-Aktuell 2017, 05488.
290
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gem. den Art. 5, 6, 7 und 9 DSGVO mit einem Bußgeldrahmen von bis zu 20 Mio. EUR oder bei Unternehmen von bis zu 4 % des weltweiten Jahresumsatzes geahndet. 1. Adressat der Bußgeldtatbestände Wie sich aus dem Wortlaut des Art. 83 DSGVO entnehmen lässt, richtet sich die Bußgeldnorm in erster Linie an Verantwortliche und Auftragsverarbeiter. Normadressat der Bußgeldtatbestände sind damit zunächst die Cloud-Anbieter und CloudNutzer. In Anlehnung an das Sanktionsmodell des Kartellrechts werden ihnen alle Datenschutzverstöße ihrer Beschäftigten oder extern agierenden Beauftragten zugerechnet,207 wobei die schuldhaft handelnde Person nicht einmal identifiziert werden muss (sog. anonyme Unternehmenshaftung).208 Dies ist ein wesentlicher Unterschied zum deutschen Zurechnungsmodell aus § 30 Abs. 1 OWiG, das stets die Handlung einer Leitungsperson voraussetzt.209 Grundgedanke dieser unmittelbaren Verbandshaftung sui generis ist, dass jedes Unternehmen verpflichtet ist, sich so zu organisieren, dass Rechtsverstöße ausbleiben.210 Aus diesem Grund muss ein Unternehmen das Tun seiner Mitarbeiter und beauftragten Personen kennen und kann sich nicht darauf berufen, dass seine Unternehmensorganisation mangelhaft funktioniert hat.211 Beruht der Datenschutzverstoß des Mitarbeiters auf einer Aufsichtspflichtverletzung eines Organs, Vertreters oder eines sonstigen Leitungsverantwortlichen des Cloud-Anbieters bzw. Cloud-Nutzers kann zudem gem. § 41 Abs. 1 Satz 1 BDSG i.V.m. §§ 130, 9 OWiG auch ein Bußgeld gegen die Leitungsperson verhängt werden.212 Unklar ist allerdings, ob auch eine Sanktionierung des datenschutzverstoßenden Innentäters möglich ist. Mit Blick auf den Wortlaut ließe sich vertreten, dass die Regelungen des Art. 83 DSGVO als Sondertatbestände nur für Verantwortliche und Auftragsverarbeiter gelten, womit die Verhängung eines Bußgelds gegen den einzelnen Innentäter ausscheiden würde.213 Hierfür könnte angeführt werden, dass 207 DKA, Aufsichtsbefugnisse/Sanktionen, S. 2; Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 11. 208 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 20; ders., DuD 2017, 555 (556); Rost, RDV 2017, 13 (17). 209 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 11; Neun/Lubitzsch, BB 2017, 1538 (1542). 210 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 20; ders., DuD 2017, 555 (556); Albrecht/Jotzo, Datenschutzrecht, Rn. 33. 211 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 20; ders., DuD 2017, 555 (556). 212 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 360, 1146; Hohmann, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 326; Nolde, PinG 2017, 114 (119). 213 So für die Beschäftigten des Verantwortlichen und Auftragsverarbeiters Gola, Gola (Hrsg.), DSGVO, Art. 83, Rn. 16; Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO,
C. Bußgeldnorm nach Art. 83 DSGVO
291
sich Art. 83 Abs. 4 lit. a DSGVO ausdrücklich nur auf die „Pflichten der Verantwortlichen und der Auftragsverarbeiter“ bezieht. Aufgrund der Verweisungen auf die allgemeinen Grundsätze der Datenverarbeitung könnte man schließlich auch den Bußgeldtatbestand des Art. 83 Abs. 5 lit. a DSGVO als Sonderdelikt einordnen. So regelt beispielsweise der Grundtatbestand des Art. 5 Abs. 2 DSGVO, dass nur der „Verantwortliche für die Einhaltung [der Pflichten] des Absatzes 1 verantwortlich“ ist. Schließlich hat auch die Konkurrenzregel des Art. 83 Abs. 3 DSGVO nur „Verstöße eines Verantwortlichen und Auftragsverarbeiters“ im Blick. Des Weiteren zeigen auch die umsatzbezogene Ausgestaltung des Bußgeldrahmens und die in Art. 83 Abs. 2 DSGVO genannten Kriterien zur Bemessung der Bußgeldhöhe, dass der Verordnungsgeber vornehmlich juristische Personen als Sanktionsadressaten ansieht.214 Unterstützt wird diese Ansicht durch den 1. Referentenentwurf des Bundesinnenministeriums vom 05. 08. 2016, der einen entsprechenden Regelungsbedarf bejahte und als nationalen Auffangtatbestand vorsah, dass „ordnungswidrig handelt, wer in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Artikel 83 Absatz 4, 5 oder 6 der Verordnung (EU) 2016 verstößt“.215 Gleichwohl hat sich diese Fassung im Gesetzgebungsverfahren nicht durchgesetzt, was daran liegen könnte, dass dem deutschen Gesetzgeber aufgrund der abschließenden Regelung des Adressatenkreises in Art. 83 DSGVO keine Gesetzgebungsbefugnis im Hinblick auf eine nationale Ausdehnung der Haftung auf Innentäter zukommt.216 In systematischer Hinsicht spricht für diese Ansicht zudem der Umstand, dass die DSGVO, etwa in den Art. 29 und 32 Abs. 4 ausdrücklich zwischen den Verantwortlichen, Auftragsverarbeitern und den ihnen unterstellten Personen unterscheidet. Insofern hätte der Verordnungsgeber im Besonderen auch die Mitarbeiter in Art. 83 DSGVO benannt, sofern er die Bußgeldhaftung auf sie erstrecken wollte. Gegen diese Auslegung ist allerdings einzuwenden, dass sie zu erheblichen Sanktionslücken führt, die vom Unionsrecht ersichtlich nicht gewollt sein können. Dass sich die Bußgeldsanktionen nicht nur gegen Unternehmen richten, geht vor allem aus dem Erwägungsgrund 150 Satz 4 hervor, wonach Geldbußen auch „natürlichen Personen, die keine Unternehmen sind,“ auferlegt werden können. Um im Hinblick auf den „effet utile“-Grundsatz aus Art. 4 Abs. 4 EUV und des in Art. 83 Abs. 1 DSGVO normierten Gebots einer wirksamen, abschreckenden und angemessenen Sanktionierung von Datenschutzverstößen zu garantieren, sollten auch Rn. 8, 20; Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 1146; Neun/Lubitzsch, BB 2017, 1538 (1541 f.); wohl auch Nolde, ZWH 2017, 76 (76 f.). 214 Nolde, ZWH 2017, 76 (77). 215 Gola, Gola (Hrsg.), DSGVO1, Art. 83, Rn. 25; Nolde, PinG 2017, 114 (118). 216 Vgl. Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 20; Kühling/ Martini/Heberlein/Kühl/Nink/Weinzierl/Wenzel, DSGVO, S. 275, 280; a.A. Wolff, Schantz/ Wolff (Hrsg.), Datenschutzrecht, Rn. 1144 f., wonach eine Erweiterung der Haftung auf die Mitarbeiter des Verantwortlichen und Auftragsverarbeiters über Art. 84 Abs. 1 DSGVO möglich ist.
292
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Innentäter in den Kreis der Normadressaten einbezogen werden. Dies umso mehr, weil besonders die Mitarbeiter der Cloud-Anbieter und Cloud-Nutzer letztendlich die Verantwortung dafür tragen, dass die Datenverarbeitung in der Cloud dem Schutzniveau der DSGVO entspricht. Insofern wäre es in spezial- und generalpräventiver Hinsicht äußerst kontraproduktiv, wenn für ein von ihnen begangener Verstoß nur ihr Anstellungsunternehmen und ggf. die aufsichtspflichtverletzende Leitungsperson datenschutzrechtlich haften würde. Ein möglicher Lösungsansatz für eine Einbeziehung der Innentäter in den Adressatenkreis der Bußgeldnormen könnte zunächst darin bestehen, den Einheitstäterbegriff des § 14 OWiG nach § 41 Abs. 1 BDSG anzuwenden.217 Dann würde allerdings die bußgeldbewehrte Haftung des Innentäters aufgrund des Grundsatzes der limitierten Akzessorietät eine vorsätzliche Beteiligung an einer vorsätzlichen Anknüpfungstat des Cloud-Anbieters oder CloudNutzers voraussetzen,218 an der es in der Regel fehlen wird. Aus diesem Grund ist es vorzugswürdig, den Innentäter einem Verantwortlichen gleichzustellen, wenn er personenbezogene Daten für eigene Zwecke verarbeitet.219 Als Verantwortlicher gilt nach Art. 4 Nr. 7 DSGVO diejenige natürliche Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. De facto wird der Verarbeitungszweck aber von dem Innentäter bestimmt, wenn er personenbezogene Daten entgegen oder ohne den Willen des Cloud-Nutzers bzw. der betroffenen Person speichert, manipuliert, verwendet oder einem Dritten übermittelt. Insofern lässt sich ein datenschutzverstoßender Innentäter schon nach den Kriterien des Art. 4 Nr. 7 DSGVO als Verantwortlicher einordnen.220 Im Rahmen einer Auftragsverarbeitung folgt die Täterqualität eines Innentäters zudem aus der Zuteilung der verschiedenen gesetzlichen Verantwortlichkeiten nach den Art. 4 Nr. 7, Nr. 8 und 29 DSGVO. Danach ist der Cloud-Nutzer – wie bereits gezeigt wurde221 – als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO und der Cloud-Anbieter als Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO einzuordnen. Die tatsächliche Entscheidungsbefugnis und Steuerungsmacht des Cloud-Nutzers über das „Ob“ und „Wie“ der Verarbeitungsvorgänge in der Cloud werden wiederum durch Art. 29 DSGVO abgesichert.222 217
So Bülte, StV 2017, 460 (469). Vgl. BGH NJW 1983, 2272; Rengier, Mitsch (Hrsg.), OWiG, § 14, Rn. 70; Engelhart, Esser/Rübenstahl/Saliger/Tsambikakis (Hrsg.), Wirtschaftsstrafrecht, § 14 OWiG, Rn. 2; Gürtler, Göhler (Begr.), OWiG, § 14, Rn. 5b m.w.N. Mögliche Anknüpfungstat wäre z.B. das bewusste Unterlassen von Aufsichtsmaßnahmen durch ein garantenpflichtiges Organ oder gesetzlichen Vertreters des Cloud-Anbieters oder Cloud-Nutzers; vgl. Niesler, Graf/Jäger/ Wittig/Allgayer, § 14 OWiG, Rn. 21. 219 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 360; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 22; ders., DuD 2017, 555 (560 f.); Nolde, PinG 2017, 114 (119). 220 So auch schon die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 (S. 15 f.) zum inhaltsgleichen Begriff des Verantwortlichen i.S.d. Art. 2 lit. d, e DS-RL. 221 S. 283 f. 222 Hartung, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 29 DSGVO, Rn. 1; Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 29 DSGVO, Rn. 1, 5. 218
C. Bußgeldnorm nach Art. 83 DSGVO
293
Danach dürfen die Mitarbeiter des Cloud-Anbieters oder Cloud-Nutzers, die eine faktische Zugriffsmöglichkeit auf die in der Cloud gespeicherten personenbezogenen Daten haben,223 diese nur nach der Weisung des Cloud-Nutzers verarbeiten. Befolgen die Beschäftigten die Anordnungen des Cloud-Nutzers, sind sie mangels eigenständiger Entscheidungen keine Verantwortlichen.224 Missbrauchen sie aber ihre Zugriffsmöglichkeit auf die ihnen zur Verwaltung anvertrauten personenbezogenen Daten, um diese weisungswidrig zu verarbeiten, werden sie im Umkehrschluss auch selbst zum Verantwortlichen.225 Im Ergebnis kommen auch Cloud-Innentäter als taugliche Normadressaten des Art. 83 DSGVO in Betracht. Einschränkend ist allerdings zu verlangen, dass die verletzte Datenschutzvorschrift nach einer teleologischen Auslegung keine Pflicht normiert, die sich nach ihrem Sinn und Zweck ausschließlich nur an die Cloud-Anbieter und Cloud-Nutzer richtet, weil sie z.B. nur von ihnen erfüllt werden kann. 2. Bußgeldbewehrte Datenschutzverstöße nach Art. 83 Abs. 4 lit. a DSGVO Art. 83 Abs. 4 lit. a DSGVO sanktioniert Verstöße gegen administrative226 Pflichten des Verantwortlichen und des Auftragsverarbeiters nach den Art. 8, 11, 25 bis 39, 42 und 43 DSVO. Bedeutsam sind bei den Innentäter-Angriffen vor allem die Art. 28 Abs. 2 lit. f, 29, 32, 33 und 34 DSGVO. Art. 32 Abs. 1 DSGVO enthält die generalklauselartige Verpflichtung des CloudAnbieters und Cloud-Nutzers geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau bei der Verarbeitung der personenbezogenen Daten in der Cloud zu gewährleisten. Als Ausprägung des Verhältnismäßigkeitsgrundsatzes227 sind allerdings nur solche Datensicherheitsmaßnahmen zu ergreifen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Datenschutzverstöße die Durchführung von Innentäter-Angriffen erschweren.228 Damit wird kein absolutes, statisches Schutzniveau verlangt, das eine – ohnehin nicht zu erreichende229 – hundertprozentige Sicherheit vor den Angriffsszenarien der Innentäter gewährleisten kann, sondern nur die Sicherstellung einer 223
Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 29 DSGVO, Rn. 16 f. Hartung, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 29 DSGVO, Rn. 6. 225 Hartung, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 29 DSGVO, Rn. 6. 226 Albrecht, CR 2016, 88 (96); Spindler, DB 2016, 937 (947). 227 Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 3; Wolff, Schantz/ Wolff (Hrsg.), Datenschutzrecht, Rn. 852. 228 Weitergehend zu diesen Bewertungskriterien Hladjk, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 32, Rn. 4 f. 229 Jandt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 8; siehe hierzu auch S. 83, 89 f. 224
294
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
solchen Datensicherheit gefordert, die in einem vernünftigen Verhältnis zwischen dem technisch machbaren Schutzaufwand und dem Risiko einer Verletzung der Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten durch Innentäter steht.230 In Art. 32 Abs. 1 2. Hs. DSGVO wird hierzu beispielhaft ein Katalog von Mindestmaßnahmen aufgelistet, denen eine besondere Bedeutung bei der Implementierung einer angemessenen Datensicherheit beigemessen wird. Erfasst werden neben der Verschlüsselung und Pseudonymisierung der personenbezogenen Daten u.a. auch die redundante Auslegung zentraler Systemkomponenten, das Vorhalten von Datenbackups, die Installation von Anti-Viren-Software und das Monitoring der Datenzugriffe.231 Die Auswahl der Sicherheitsmaßnahmen steht dabei im Ermessen des Cloud-Anbieters und Cloud-Nutzers.232 Die Aufsichtsbehörde überprüft nur, ob anhand der typischen Schadensszenarien und dem jeweiligen Schutzbedarf der personenbezogenen Daten eine ermessensfehlerfreie Entscheidung getroffen und ein angemessenes Schutzniveau implementiert worden ist.233 Als Indiz hierfür kann nach Art. 32 Abs. 3 DSGVO auf genehmigte Verhaltensregeln und Zertifizierungsverfahren zurückgegriffen werden.234 Vor diesem Hintergrund wird ein Verstoß gegen Art. 32 Abs. 1 DSGVO nur vorliegen, wenn der Cloud-Anbieter oder Cloud-Nutzer entweder überhaupt keine risikoadäquaten Sicherheitsmaßnahmen zur Verhinderung potentieller Innentäter-Angriffe bei der Bereitstellung und Nutzung der Cloud-Dienste ergriffen hat oder die implementierte Verarbeitungssicherheit nicht im Einklang mit dem Schutzniveau der personenbezogenen Daten und den möglichen Angriffsvektoren der Innentäter steht. Darüber hinaus ist der Bußgeldtatbestand erfüllt, wenn die technische und organisatorische Umsetzung der Datenverarbeitungsprozesse in der Cloud der Zertifizierung der Cloud-Dienste und den genehmigten Verhaltensregeln widerspricht und dies den Innentäter-Angriff ermöglicht oder erleichtert hat. Des Weiteren ist der Tatbestand erfüllt, wenn die Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten gem. Art. 32 Abs. 4 DSGVO auf einer Aufsichtspflichtverletzung des Cloud-Anbieters oder CloudNutzers beruht. Dies ist der Fall, wenn sie keine geeigneten Maßnahmen235 ergriffen haben, um sicherzustellen, dass die ihnen unterstellten Personen, die personenbe230 Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 46; Wolff, Schantz/ Wolff (Hrsg.), Datenschutzrecht, Rn. 855. 231 Ausführlich hierzu Jandt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 17 ff. Als Leitlinien kann zudem der Maßnahmekatalog der Anlage zu § 9 Satz 1 BDSG a.F. herangezogen werden; Grages, in: Plath (Hrsg.), BDSG/DSGVO, Art. 32 DSGVO, Rn. 4. 232 Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 30. 233 Hladjk, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 32, Rn. 11; Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 30. 234 Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 856. 235 In Betracht kommen etwa die Etablierung eindeutiger Verhaltensregeln und Dienstanweisungen sowie die Durchsetzung der Weisungen durch arbeitsrechtlich zulässige Mittel der Sanktionierung von Fehlverhalten; Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 66.
C. Bußgeldnorm nach Art. 83 DSGVO
295
zogenen Daten nur nach Anweisung des Cloud-Nutzers verarbeiten. Nach dem Wortlaut des Art. 32 Abs. 4 DSGVO erstreckt sich die Verpflichtung nur auf solche unterstellten natürlichen Personen, „die Zugang zu [den] personenbezogenen Daten haben“. Mitarbeiter, die sich im Ramen einer Privilege Escalation einen Datenzugriff verschaffen, fallen damit nicht hierunter. Dieses Ergebnis widerspricht allerdings dem Sinn und Zweck der Vorschrift, die Persönlichkeitsrechte der betroffenen Personen umfassend zu schützen.236 Demnach sollten die Cloud-Anbieter und CloudNutzer aus Art. 32 Abs. 4 DSGVO generell dazu verpflichtet sein, die personenbezogenen Daten gegen den Zugriff unbefugter Dritter, die ihrer Weisungsbefugnis unterliegen, zu schützen.237 Korrespondierend zu diesen Sicherheits- und Aufsichtspflichten handelt auch der angestellte Innentäter des Cloud-Anbieters und Cloud-Nutzers ordnungswidrig i.S.d. Art. 83 Abs. 4 lit. a DSGVO i.V.m. Art. 29 DSGVO, wenn er die personenbezogenen Daten entgegen den Anordnungen des Cloud-Nutzers verarbeitet.238 In diesem Fall bestimmt er nämlich eigenmächtig den Zweck der Datenverarbeitung, so dass er – wie bereits gezeigt wurde – einem Verantwortlichen gleichzustellen und damit tauglicher Normadressat des Art. 83 Abs. 4 lit. a DSGVO ist.239 Sofern der Eintritt von physischen, materiellen oder immateriellen Schäden bei der betroffenen Person wahrscheinlich ist, was etwa der Fall ist, wenn ihm durch den Innentäter-Angriff der Verlust der Kontrolle der personenbezogenen Daten, eine Diskriminierung, ein Identitätsdiebstahl oder -betrug, finanzielle Verluste, eine unbefugte Aufhebung der Pseudonymisierung, eine Rufschädigung, ein Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen,240 treffen den Verantwortlichen und den Auftragsverarbeiter zudem nach den Art. 28 Abs. 2 lit. f, Art. 33 und 34 DSGVO umfassende Melde-, Benachrichtigungs- und Dokumentationspflichten, deren unterlassen ebenfalls i.S.d. Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt sind. Neben der aus der Publizitätswirkung einer öffentlichen Mitteilung folgenden präventiven Wirkung, zum Schutz vor Reputationsschäden, Sicherheitsverletzungen zu vermeiden, bezwecken die Benachrichtigungs- und Dokumentationspflichten, die Aufsichtsbehörden und die betroffenen Personen in die Lage zu versetzen, etwa durch eine Änderung von Passwörtern oder der Sperrung der Benutzerkonten angemessen auf die Datenpannen reagieren zu können.241 Vor die236
Hladjk, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 32, Rn. 2. Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 32 DSGVO, Rn. 65. 238 Bertermann, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 32, Rn. 7; Hartung, Kühling/ Buchner (Hrsg.), DSGVO/BDSG, Art. 29 DSGVO, Rn. 20; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 88; wohl auch Martini, Paal/Pauly (Hrsg.), DSGVO/ BDSG, Art. 29 DSGVO, Rn. 14, 23. 239 Dazu S. 290 f. 240 Erwägungsgrund 85 Satz 1. 241 Weitergehend zu den Melde- und Dokumentationspflichten Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 912 ff. 237
296
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
sem Hintergrund können taugliche Normadressaten der Datenschutzvorschriften nur die Cloud-Anbieter und Cloud-Nutzer sein. Hierfür spricht nicht nur der Normzweck, durch die Bußgeldandrohung und der öffentlichen Bekanntmachung der Datenschutzverstöße einen wirtschaftlichen Anreiz für ein hohes Niveau der Datensicherheit zu sorgen, sondern auch der Umstand, dass nur die Cloud-Anbieter und Cloud-Nutzer über die erforderlichen Informationen und technischen Mittel verfügen, die Benachrichtigungs- und Dokumentationspflichten in vollem Umfang zu erfüllen. Eine Sanktionierung des datenschutzverstoßenden Innentäters aus den Art. 33, 34 DSGVO ist damit nach einer teleologischen Auslegung nicht möglich. Dagegen handelt aber der Cloud-Anbieter ordnungswidrig, wenn er den Datenschutzverstoß nach Kenntniserlangung nicht, nicht unverzüglich oder nur unvollständig dem Cloud-Nutzer meldet (Art. 28 Abs. 2 lit. f, Art. 33 Abs. 2, 3 DSGVO). Auf der anderen Seite kommt auch eine bußgeldrechtliche Haftung des CloudNutzers in Betracht, wenn er die zuständige Aufsichtsbehörde oder den Betroffenen über den Innentäter-Angriff nicht, nicht fristgerecht oder nur unvollständig informiert (Art. 33 Abs. 1, 3, 34 Abs. 1, 2 DSGVO) oder der Datenschutzverstoß einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen nicht oder fehlerhaft von dem Cloud-Anbieter dokumentiert worden ist (Art. 33 Abs. 4 DSGVO). Dass bei einer schuldhaften Verletzung der Art. 32 Abs. 1 und Abs. 2 DSGVO die Meldung des Innentäter-Angriffs ein Tätigwerden der Aufsichtsbehörden gegen die Cloud-Anbieter und Cloud-Nutzer auslösen kann, kollidiert zwar mit dem Grundsatz, dass niemand verpflichtet ist, sich selbst zu belasten („Nemo tenetur se ipsum accusare“), gleichwohl wurde diese Problematik nach § 43 Abs. 3 BDSG im Einklang mit der als Ausdruck der Menschenwürde aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG garantierten Selbstbelastungsfreiheit in verfassungsrechtlich zulässiger Weise dadurch gelöst, dass die Meldung nach Art. 33 DSGVO bzw. die Benachrichtigung i.S.d. Art. 34 Abs. 1 DSGVO in dem Ordnungswidrigkeitenverfahren gegen den Cloud-Anbieter oder den Cloud-Nutzer nur mit dessen Zustimmung verwertet werden darf.242 3. Bußgeldbewehrte Datenschutzverstöße nach Art. 83 Abs. 5 lit. a DSGVO Bei Verletzungen der Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten verstößt ein Innentäter vor allem gegen das bußgeldbewehrte Rechtsmäßigkeitsgebot aus Art. 5 Abs. 1 1. Var. i.V.m. Art. 6 Abs. 1 DSGVO. Nach diesem allgemeinen für alle Verarbeitungsvorgänge geltenden Datenschutzgrundsatz ist ein Verantwortlicher verpflichtet, personenbezogene Daten auf rechtmäßige Weise zu verarbeiten. Konkretisiert wird dieser aus Art. 8 Abs. 2 GRCh und dem 242 Ebenso Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 915; vgl. auch Martini, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 33 DSGVO, Rn. 27; Brink, in: BeckOK Datenschutzrecht, Art. 33 DSGVO, Rn. 42.
C. Bußgeldnorm nach Art. 83 DSGVO
297
Rechtsstaatsprinzip folgender Grundsatz insbesondere durch die Vorschrift des Art. 6 Abs. 1 DSGVO.243 Nach dieser Vorschrift ist eine Verarbeitung nur dann rechtmäßig, wenn sie entweder durch eine wirksame Einwilligung der betroffenen Person oder einer anderen Rechtsgrundlage gedeckt ist. Der Sache nach bildet damit der Grundsatz der Rechtmäßigkeit im gesamten Zyklus der Datenverarbeitung, d.h. von der Erhebung und Speicherung über die Verwendung und Übermittlung bis zum Löschen oder der Vernichtung der personenbezogenen Daten,244 ein Verbot mit Erlaubnisvorhalt.245 Da die eigenmächtige Datenverarbeitung des Innentäters weder auf einer wirksamen Einwilligung der betroffenen Person beruht bzw. dem Verarbeitungszweck in der Cloud widerspricht246 (Abs. 1 lit. a DSGVO) noch zur Erfüllung eines Vertrags (Abs. 1 lit. b DSGVO), einer rechtlichen Verpflichtung (Abs. 1 lit. c DSGVO) oder zur Wahrung berechtigter Interessen (Abs. 1 lit. e bis f DSGVO) erforderlich ist, verwirklicht der Innentäter den Bußgeldtatbestand aus Art. 83 Abs. 5 lit. a i.V.m. Art. 5 Abs. 1 1. Var., Art. 6 Abs. 1 DSGVO, wenn er sich personenbezogene Daten eigenmächtig verschafft, verwendet, verändert, unterdrückt oder an unbefugte Dritte weitergibt. Des Weiteren kommt bei einem Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung aus Art. 5 Abs. 1 lit. f DSGVO auch eine bußgeldrechtliche Haftung des Cloud-Nutzers in Betracht.247 Nach dieser Grundpflicht müssen die personenbezogenen Daten in der Cloud in einer Weise verarbeitet werden, dass eine angemessene Datensicherheit gewährleistet ist. Dies erfordert geeignete technische und organisatorische Maßnahmen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch Dritte und unternehmensinterne Mitarbeiter, die nicht zur Verarbeitung der personenbezogenen Daten berechtigt sind.248 Entsprechend den Überlegungen zum Art. 83 Abs. 4 lit. a DSGVO i.V.m. Art. 32 Abs. 1 DSGVO kann damit auch nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld gegen den Cloud-Nutzer verhängt werden, wenn keine risikoadäquaten Sicherheitsmaßnahmen zur Verhinderung von Datenschutzverstößen seitens nicht zugriffsberechtigter Innentäter bei der Bereitstellung und Nutzung der Cloud-Dienste implementiert worden sind oder die ergriffenen Sicherheitsmaßnahmen nicht im Einklang mit dem Schutzniveau der personenbezogenen Daten steht. 243 Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO, Rn. 5; Heberlein, Ehmann/ Selmayr (Hrsg.), DSGVO, Art. 5, Rn. 8. 244 Heberlein, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 5, Rn. 1. 245 Siehe nur Buchner/Petri, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 6 DSGVO, Rn. 11; Plath, in: Plath (Hrsg.), BDSG/DSGVO, Art. 6, Rn. 2; Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 389. 246 Vgl. Plath, in: Plath (Hrsg.), BDSG/DSGVO, Art. 6, Rn. 8; Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 527. 247 Weitergehend Reimer, Sydow (Hrsg.), NK-DSGVO, Art. 5, Rn. 9, der entgegen dem Wortlaut des Art. 5 Abs. 2 DSGVO, wonach nur der „Verantwortliche“ für die Einhaltung der Pflichten aus Absatz 1 verantwortlich ist, auch den Auftragsverarbeiter und damit auch den Cloud-Anbieter in den Adressatenkreis des Art. 5 Abs. 1 DSGVO einbezieht. 248 Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 5 DSGVO, Rn. 47.
298
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
4. Verschuldenserfordernis In Art. 83 Abs. 2 lit. b DSGVO wird die Unterscheidung zwischen Vorsätzlichkeit und Fahrlässigkeit des begangenen Datenschutzverstoßes lediglich als ein Zumessungskriterium für die Bemessung der Geldbuße genannt. Keine Erwähnung findet dagegen das Verschuldenserfordernis in den Bußgeldtatbeständen. Aus diesem Umstand wird zum Teil geschlossen, dass auch schuldlose Verstöße mit einem Bußgeld belegt werden können (strict liability).249 Hierfür solle vor allem die Entstehungsgeschichte des Gesetzes sprechen. Im Gegensatz zu den Entwürfen der Kommission und des Rates250 werde nämlich in der DSGVO an keiner Stelle Fahrlässigkeit oder Vorsatz als Voraussetzung einer Geldbuße kodifiziert. Art. 83 DSGVO entspreche daher dem Vorschlag des Parlaments.251 Danach sollte es gem. Art. 79 Abs. 2b DSGVO-E nur dann auf ein Verschulden als Voraussetzung der Bußgeldverhängung ankommen, wenn der Verantwortliche oder Auftragsverarbeiter im Besitz des europäischen Datenschutzsiegels ist.252 Da ein Verschulden auch nicht in einem „Allgemeinen Teil“ des EU-Sanktionsrechts geregelt ist, könne aus der Streichung der Worte „vorsätzlich“ oder „fahrlässig“ in den Bußgeldtatbeständen nur der Schluss gezogen werden, dass es hierauf eben nur noch bei der Höhe der Sanktion ankomme.253 Demgegenüber nimmt die überwiegende Meinung im Hinblick auf den Schuldgrundsatz, das bei strafrechtlichen Sanktionen integrationsfest dem Europarecht vorgeht,254 an, dass nur schuldhafte Verstöße mit einer Geldbuße geahndet werden können.255 Hierzu wird teilweise das Schuldprinzip als Aspekt der Verhältnismäßigkeit in Art. 83 Abs. 1 DSGVO hineingelesen.256 Andere gehen dagegen davon aus, dass die „positiv-rechtlich beiläufige“ Erwähnung in Art. 83 Abs. 2 lit. b
249 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 35; ders., DuD 2017, 555 (558); Sommer, Däubler/Wedde/Weichert/Sommer (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 12; Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 17; so auch Härting, DSGVO, Rn. 253, der aber gleichzeitig die Verhängung eines Bußgeldes ohne Schuldfeststellung für verfassungswidrig hält. 250 Art. 79 Abs. 4, 5 und 6 DSGVO-E (Kommission), Art. 79a Abs. 1, 2 und 3 DSGVO-E (Rat). 251 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 35; ders., DuD 2017, 555 (558). 252 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 35; ders., DuD 2017, 555 (558); Härting, CR 2017, 715 (721). 253 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 35; ders., DuD 2017, 555 (558). 254 BVerfG NJW 2016, 1149 (1150), Rn. 36. 255 Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 14; Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 18; Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 1130; Neun/Lubitzsch, BB 2017, 1538 (1542); im Ergebnis auch Becker, in: Plath (Hrsg.), BDSG/DSGVO, Art. 83 DSGVO, Rn. 11; Hohmann, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 317. 256 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 18.
C. Bußgeldnorm nach Art. 83 DSGVO
299
DSGVO für die Statuierung des Schuldprinzips ausreicht.257 Dieser Ansicht ist mit den folgenden Erwägungen zuzustimmen: Unabhängig von der Frage, ob der Grundsatz „nulla poena sine culpa“ auch für Unternehmen im Ordnungswidrigkeitenrecht integrationsfest ist und ein allgemeiner Rechtsgrundsatz des Unionsrechts darstellt,258 hat eine Bußgeldsanktion aus Art. 83 DSGVO schon aufgrund ihrer Funktion, wirksam, verhältnismäßig und abschreckend zu sein, und der damit verbundenen Schwere des Eingriffs in grundrechtlich geschützte Freiheitsrechte der Bußgeldadressaten materiell strafrechtlichen Charakter.259 Hiervon geht auch der deutsche Gesetzgeber aus, indem er auf die Verstöße nach den Art. 83 Abs. 4 bis 6 DSGVO mit Ausnahme der §§ 17, 35 und 36 OWiG das Ordnungswidrigkeitenrecht nach § 41 Abs. 1 BDSG für anwendbar erklärt.260 Demzufolge wird von dieser Verweisung auch der § 10 OWiG erfasst, der für die Ahndung einer Ordnungswidrigkeit wenigstens fahrlässiges Handeln fordert.261 Letztendlich kann durch eine Klassifizierung der Bußgeldsanktionen des Art. 83 Abs. 4 und Abs. 5 DSGVO als Strafen im weiteren Sinn auch sichergestellt werden, dass Rechtsgrundsätze des Strafrechts und rechtsstaatliche Garantien des Strafverfahrensrechts, wie der „nemo tenetur“-Grundsatz, das Recht auf Akteneinsicht und das Recht auf ein faires Verfahren, gewahrt werden.262 Vor diesem Hintergrund ist eine verschuldensunabhängige Haftung auch mit dem aus der Menschenwürde des Art. 1 Abs. 1 GG und dem Rechtsstaatsprinzip (Art. 20 Abs. 3 GG) hergeleiteten Schuldgrundsatz, der nach Art. 79 Abs. 3 GG zur unverfügbaren Verfassungsidentität gehört, nicht vereinbar.263 257
Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 14; Popp, Sydow (Hrsg.), NK-DSGVO, Art. 83, Rn. 13. 258 Zweifelnd Bergt, DuD 2017, 555 (558); verneinend Hochmayr, ZIS 2016, 226 (230); bejahend dagegen Dannecker/Dannecker, NZWiSt 2016, 162 (169); ausführlich zum Schuldgrundsatz im Unionsrecht siehe auch Eser, in: Europäisches Strafrecht, Teil 5, § 55, Rn. 60 ff. 259 Ebenso Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 4.2; Popp, Sydow (Hrsg.), NK-DSGVO, Art. 83, Rn. 3; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 84 DSGVO, Rn. 18; Bülte, StV 2017, 460 (470); wohl auch Neun/Lubitzsch, BB 2017, 1538 (1541); vgl. auch EGMR (Pl) - Engel u.a./NL, Urt. v. 08. 06. 1976, Az.: 5100/ 71 u.a., Rn. 80 ff. (= EuGRZ 1976, 221); EGMR NJW 1985, 1273 (1274). 260 Bülte, StV 2017, 460 (470). 261 Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 41 BDSG, Rn. 17.1, die allerdings den Verweis für verzichtbar halten, da sich schon aus dem Normkontext des Art. 83 DSGVO ausreichend das Verschuldenserfordernis für die Bebußbarkeit eines Datenschutzverstoßes ergebe. 262 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 4.2; Bülte, StV 2017, 460 (470). 263 BVerfG NJW 2016, 1149 (1152), Rn. 48 ff.; BVerfG NJW 2009, 2267 (2269), Rn. 218 ff. Vor diesem Hintergrund ist es für die Cloud-Anbieter und Cloud-Nutzer nach erfolglosem Bestreiten des deutschen Rechtswegs nicht ausgeschlossen, gegen die Ahndung eines schuldlos begangenen Bußgeldverstoßes durch eine deutsche Aufsichtsbehörde gem. Art. 93 Abs. 1 Nr. 4a GG Verfassungsbeschwerde beim BVerfG einzulegen, das sodann den deutschen Behörden zur Vermeidung einer Verletzung der Ewigkeitsgarantie des Art. 79 Abs. 3 GG im Rahmen einer Identitätskontrolle verbindlich vorschreibt, den Art. 83 DSGVO dahingehend
300
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Insofern kann auch gegen den Cloud-Anbieter und den Cloud-Nutzer eine Geldbuße nur dann verhängt werden, wenn der Innentäter-Angriff auf einer fahrlässigen oder vorsätzlichen Verletzung ihrer Aufsichts- oder Organisationspflichten beruht.264 Dies ist vor allem dann der Fall, wenn ihnen der Datenschutzverstoß ihres Mitarbeiters durch fehlende bzw. unzureichende technische und organisatorische Sicherheitsmaßnahmen i.S.d. Art. 5 Abs. 1 lit. f, 32 DSGVO265 zurechenbar oder durch eine Billigung266 persönlich vorwerfbar ist. Haben sie dagegen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten geeignete technische und organisatorische Maßnahmen i.S.d. Art. 5 Abs. 1 lit. f, 32 DSGVO umgesetzt und somit alles getan, was datenschutzrechtlich von ihnen verlangt wird, um Datenschutzverstöße durch die eigenen Mitarbeiter zu verhindern, handelt es sich bei der bewussten Überschreitung der Funktionen und Aufgabenbereiche des Beschäftigten um eine Exzesstat, für die sie mangels eines Verschuldens bußgeldrechtlich nicht zur Verantwortung gezogen werden können.267 Neben dem Schuldgrundsatz und dem strafrechtlichen Selbstverantwortungsprinzip, wonach Unternehmen keine Garantenpflicht im Hinblick auf die straffreie Lebensführung ihrer Mitarbeiter während der Berufsausübung haben,268 sprechen hierfür vor allem auch kriminalpolitisch-präventive Gründe. Wenn jedweder schuldhafter Datenschutzverstoß eines Beschäftigten zugleich eine bußgeldrechtliche Haftung des Cloud-Anbieters und CloudNutzers begründen würde, wären diesbezügliche Compliance-Anstrengungen sinnlos, da es ihnen selbst bei Einhaltung der größtmöglichen Sorgfalt nicht möglich wäre, die Haftung für das exzesshafte Handeln eines Mitarbeiters zu vermeiden.269 Dies würde dem Schutzzweck der Bußgeldnorm, durch die Androhung von Bußgeldsanktionen Betriebe und Unternehmen zur Schaffung und Aufrechterhaltung einer datenschutzkonformen, innerbetrieblichen Organisationsform anzuhalten, entgegenlaufen.270 Im Ergebnis kommt damit neben dem schuldhaft handelnden Innentäter eine bußgeldrechtliche Haftung des Cloud-Anbieters und Cloud-Nutzers auszulegen, dass nur schuldhaft begangene Datenschutzverstöße geahndet werden können; ausführlich zur Identitätskontrolle Calliess, in: Maunz/Dürig (Begr.), GG, Art. 24, Rn. 208 ff. und zu den Rechtsbehelfen gegen einen Bußgeldbescheid einer deutschen Aufsichtsbehörde Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 41 BDSG, Rn. 32 ff. 264 Vgl. Nolde, PinG 2017, 114 (119). 265 Vgl. Mansdörfer/Timmerbeil, EuZW 2011, 214 (216 f.). 266 Faust/Spittka/Wybitul, ZD 2016, 120 (121). 267 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 11; vgl. auch Blassl, CCZ 2016, 201 (204); Kubiciel/Gräbener, ZRP 2016, 137 (139); Beulke/Moosmayer, CCZ 2014, 146 (148); Rettenmaier/Palm, NJOZ 2010, 1414 (1418 f.). 268 Tiedemann, Wirtschaftsstrafrecht AT, Rn. 387. 269 So ließe sich jedenfalls aus deutscher Sicht argumentieren; siehe hierzu Kubiciel/ Gräbener, ZRP 2016, 137 (139). 270 Vgl. Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 1107.
C. Bußgeldnorm nach Art. 83 DSGVO
301
nur dann in Betracht, wenn ihnen eine Aufsichtspflichtverletzung oder ein Organisationsversagen vorzuwerfen ist. 5. Rechtsfolge Während bei den Datenschutzverstößen des Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 Mio. Euro und bei Unternehmen auf bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr drohen, beträgt der Bußgeldrahmen für die als besonders schwerwiegend eingestuften Verstöße des Art. 83 Abs. 5 DSGVO von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des weltweiten Jahresumsatzes. Ist Bußgeldadressat ein Unternehmen, richtet sich die Ahndung der datenschutzrechtlichen Zuwiderhandlung nach dem jeweiligen 2. Hs. der Art. 84 Abs. 4 und Abs. 5 DSGVO sogar nach dem jeweils höchsten Betrag. Welche Kriterien wiederum bei der Entscheidung über die Verhängung der Geldbuße und der Bemessung der Bußgeldhöhe im Einzelfall zu berücksichtigen sind, bestimmt sich nach Art. 83 Abs. 2 DSGVO, wobei die zuständige Aufsichtsbehörde271 bzw. im Falle eines festgesetzten Bußgeldes von mehr als 100.000 Euro das zuständige Landgericht (§ 42 Abs. 1 Satz 3 BDSG) nach dem Erwägungsgrund 148 Satz 2 anstelle einer Geldbuße auch lediglich eine Verwarnung erteilen kann, wenn es sich bei der Tat nur um einen geringfügigen Datenschutzverstoß handelt oder die Bußgeldsanktion eine unverhältnismäßige Belastung für den Innentäter darstellt. Im Rahmen dieses Auswahl- und Entschließungsermessens272 sind 271 Werden die Inhaltsdaten im Rahmen einer inländischen Niederlassung des Cloud-Anbieters oder Cloud-Nutzers verarbeitet oder ist das Cloud-Angebot auf Personen ausgerichtet, die ihren Wohnsitz in Deutschland haben, liegt nach Art. 55 Abs. 1 DSGVO i.V.m. dem Erwägungsgrund 122, §§ 9, 40 Abs. 1, 2 BDSG die Zuständigkeit zur Verhängung eines Bußgeldes bei den deutschen Aufsichtsbehörden. Dies gilt ebenso, wenn der Datenschutzverstoß des Innentäters ausschließlich personenenbezogene Daten von Personen zum Gegenstand hat, die ihren Wohnsitz in Deutschland haben; ausführlich hierzu Eichler, in: BeckOK Datenschutzrecht, Art. 55 DSGVO, Rn. 2 ff. Liegt dagegen eine grenzüberschreitende Datenverarbeitung i.S.d. Art. 4 Nr. 23 DSGVO vor, was der Fall ist, wenn personenbezogene Daten in Niederlassungen der Cloud-Anbieter oder Cloud-Nutzer verarbeitet werden, die sich in mehreren EU-Mitgliedstaaten befinden oder wenn die Datenverarbeitung in einer einzelnen EUNiederlassung des Cloud-Anbieters oder Cloud-Nutzers erfolgt, sich aber der Datenschutzverstoß des Innentäters auf betroffene Personen erheblich auswirkt, die ihren Wohnsitz in mehreren EU-Mitgliedstaat haben, richtet sich die Zuständigkeit nach Art. 56 Abs. 1 DSGVO, § 40 Abs. 1 BDSG. In diesem Fall ist grundsätzlich die Aufsichtsbehörde an dem Ort der Hauptniederlassung (Art. 4 Nr. 16 DSGVO) des Cloud-Anbieters oder Cloud-Nutzers federführend zuständig. Sofern keine Hauptverwaltung in der EU existiert, ist nach dem Konzept des „One Stop Shop“ diejenige Aufsichtsbehörde am Ort der EU-Niederlassung des Cloud-Anbieters oder Cloud-Nutzers federführend zuständig im Rahmen derer die Verarbeitungstätigkeiten „hauptsächlich“ stattfinden; ausführlich hierzu Artikel-29-Datenschutzgruppe, WP 244, S. 3 ff.; Bayerisches Landesamt für Datenschutzaufsicht, One Stop Shop, S. 1 f. 272 Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 10; Becker, in: Plath (Hrsg.), BDSG/DSGVO, Art. 83 DSGVO, Rn. 2; Holländer, in: BeckOK Datenschutzrecht,
302
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
vor allem die Art, Schwere und Dauer des Verstoßes, die Verschuldensform, die Art der betroffenen personenbezogen Daten, eingetretene Schäden bei den betroffenen Personen sowie die ergriffenen präventiven und repressiven Maßnahmen des CloudAnbieters und Cloud-Nutzers zur Minderung der Folgen des Innentäter-Angriffs zu berücksichtigen.273 Richtet sich das Bußgeld gegen den Innentäter selbst soll bei der Bestimmung der Bußgeldhöhe zudem das allgemeine Einkommensniveau in dem betreffenden Mitgliedstaat und die wirtschaftliche Lage des Innentäters Rechnung getragen werden.274 Für die Sanktionierung des Cloud-Anbieters oder Cloud-Nutzers stellt der Erwägungsgrund 150 in seinem Satz 3 mit der Bezugnahme auf die Art. 101 und 102 AEUV zudem klar, dass nicht die Definition des Unternehmens in Art. 4 Nr. 18 DSGVO, sondern der kartellrechtliche Unternehmensbegriff heranzuziehen ist. Dieser Umstand wird zum Teil mit Blick auf den Bestimmtheitsgrundsatz des Art. 103 Abs. 2 GG, Art. 49 Abs. 1 Satz 1 GrCH kritisiert.275 Gleichwohl müssen sich die Cloud-Anbieter und Cloud-Nutzer in der Praxis auf diese Auslegung durch die Aufsichtsbehörden einstellen. So geht auch die Datenschutzkonferenz in ihrer veröffentlichten Auslegungshilfe zum Art. 83 DSGVO von dem weiten, funktionalen Unternehmensbegriff des Kartellrechts aus,276 worunter „jede wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“ zu subsumieren ist.277 Dementsprechend richtet sich die Sanktionierung nicht nach der einzelnen Gesellschaft, sondern nach der wirtschaftlichen Einheit als Ganzes. Dies hat zum einen zur Folge, dass bei einem Konzern, auch die Muttergesellschaft für die Datenschutzverstöße ihrer Tochtergesellschaft gesamtschuldnerisch haftet, sofern sie auf das Tochterunternehmen aus wirtschaftlichen,
Art. 83 DSGVO, Rn. 22, 26; Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 1126; Härting, DSGVO, Rn. 251; Neun/Lubitzsch, BB 2017, 1538 (1542); Bülte, StV 2017, 460 (463); Grünwald/Hackl, ZD 2017, 556 (557); dagegen nimmt Bergt unter Bezugnahme auf den Wortlaut des Art. 83 Abs. 2 S. 1 DSGVO „Geldbußen werden […] verhängt“ sowie des Erwägungsgrunds 148 Satz 1 „[…] sollten bei Verstößen […] Geldbußen verhängt werden“ die Geltung des Legalitätsprinzips an; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 30 f.; ders., DuD 2017, 555 (556 f.); mit Blick auf das Gebot einer effektiven Durchsetzung des europäischen Datenschutzrechts aus Art. 83 Abs. 1 DSGVO ebenso Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 14. 273 Ausführlich zu den Zumessungskriterien Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 16 ff.; siehe auch Artikel-29-Datenschutzgruppe, WP 253, S. 4 ff. 274 Erwägungsgrund 148 Satz 4. 275 Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 20; Wolff, Schantz/ Wolff (Hrsg.), Datenschutzrecht, Rn. 1120; v. Holleben/Knaut, CR 2017, 299 (303); Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 42 f.; ders., DuD 2017, 555 (559); kritisch zum kartellrechtlichen Verständnis des Unternehmensbegriffs auch Grünwald/ Hackl, ZD 2017, 556 (558 f.); Faust/Spittka/Wybitul, ZD 2016, 120 (124); a.A. Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 42. 276 DKA, Aufsichtsbefugnisse/Sanktionen, S. 2. 277 EuGH EuZW 2014, 713 (714 f.); EuGH EuZW 2006, 600 (601) m.w.N.
C. Bußgeldnorm nach Art. 83 DSGVO
303
organisatorischen oder rechtlichen Gründen einen bestimmenden Einfluss ausübt,278 was wiederum (widerlegbar) vermutet wird, wenn die Muttergesellschaft (nahezu) 100 % der Anteile an der Tochtergesellschaft hält.279 Zum anderen ist bei der Bemessung des Bußgelds der Gesamtumsatz der Unternehmensgruppe zugrunde zu legen.280 Im Ergebnis wird durch den Rückgriff auf den kartellrechtlichen Unternehmensbegriff eine wirksame und abschreckende Durchsetzung des europäischen Datenschutzrechts erreicht.281 Besonders international agierenden Mutterunternehmen ist es trotz einer Beherrschung des Verhaltens ihrer Tochtergesellschaft nicht mehr möglich, sich aus der datenschutzrechtlichen Verantwortung zu stehlen.282 Insofern werden die Cloud-Anbieter und Cloud-Nutzer zur Abmilderung bzw. Entgehung der drohenden Haftungsfolgen aus Art. 83 DSGVO dazu veranlasst, im Rahmen eines wirksamen Compliance-Systems für einen angemessenen Schutz der personenbezogenen Daten bei der technischen und organisatorischen Erbringung und Nutzung der Cloud-Dienste zu sorgen. Die Heranziehung des kartellrechtlichen Unternehmensbegriffs bei der Sanktionierung der Datenschutzverstöße ist damit für einen spezial- und generalpräventiven Schutz vor potentiellen Innentäter-Angriffen beim Cloud Computing besonders zielführend.
III. Zusammenfassung Zumeist wird es sich bei dem Innentäter-Angriff um eine Exzesstat handeln, so dass die Verhängung eines Bußgeldes gegen den Cloud-Anbieter und den CloudNutzer sowie gegen deren Leitungspersonen mangels einer schuldhaften Verletzung einer Organisations- und Aufsichtspflicht ausscheidet. Noch nicht vollends geklärt ist zudem die Frage, ob der datenschutzverstoßende Innentäter tauglicher Normadressat des Art. 83 DSGVO ist. Nach der hier vertretenen Auffassung ist dies jedenfalls bei einer weisungswidrigen Verarbeitung i.S.d. Art. 29 DSGVO und bei einem Verstoß gegen das Rechtmäßigkeitsgebot gem. Art. 5 Abs. 1 1. Var. i.V.m. 278 Hohmann, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung, § 3, Rn. 321; Rost, RDV 2017, 13 (17); Faust/Spittka/Wybitul, ZD 2016, 120 (121, 124); Neun/Lubitzsch, BB 2017, 1538 (1543). 279 EuGH EuZW 2009, 816 (821); Grünwald/Hackl, ZD 2017, 556 (558). 280 DKA, Aufsichtsbefugnisse/Sanktionen, S. 2; Bergt, DuD 2017, 555 (559); Faust/Spittka/Wybitul, ZD 2016, 120 (121); Dieterich, ZD 2016, 260 (264); zur Möglichkeit einer Gewinnabschöpfung Nolde, PinG 2017, 114 (116 f.). 281 Ebenso Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 43; Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 14; Albrecht/Jotzo, Datenschutzrecht, Teil 8, Rn. 34; ähnlich auch Cornelius, der allerdings nicht auf den kartellrechtlichen Unternehmensbegriff, sondern auf die „datenschutzrechtliche Einheit“ und damit bei einem Unternehmensverbund darauf abstellt, ob das „herrschende“ Unternehmen die nachgeordneten Unternehmen auf die Einhaltung bestimmter datenschutzrechtlicher Prozeduren im Hinblick auf den Zweck und die Mittel der Datenverarbeitung verpflichtet kann; Cornelius, NZWiSt 2016, 421 (425 f.). 282 Ebenso Dieterich, ZD 2016, 260 (264).
304
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
Art. 6 Abs. 1 DSGVO zu bejahen, wobei die Anwendung des Verhältnismäßigkeitsprinzips gem. Art. 83 Abs. 1 DSGVO i.V.m. dem Erwägungsgrund 148 Satz 2, 3 verhindert, dass die zu verhängende Geldbuße den Innentäter mit Blick auf den zur Verfügung stehenden Bußgeldrahmen von bis zu 20 Mio. Euro übermäßig belastet.283 Allerdings erscheint ein Bußgeld als nicht ehrenrührige Pflichtenmahnung284, als unangemessen, wenn man bedenkt, dass private Daten in einer Cloud meist mindestens ebenso höchstpersönlichen Charakter besitzen, wie ein Telefongespräch oder eine E-Mail-Kommunikation, welche durch § 206 StGB umfassenden Schutz erfahren. Zudem gilt im Ordnungswidrigkeitenverfahren nach §§ 41 Abs. 2 BDSG, 47 OWiG das Opportunitätsprinzip. Demnach liegt es in der Hand der Aufsichtsbehörden dem aus Art. 83 Abs. 1 DSGVO folgenden Gebot einer effektiven und abschreckenden Durchsetzung des Datenschutzrechts Rechnung zu tragen. Die bisherigen praktischen Erfahrungen haben allerdings gezeigt, dass die Ahndungspraxis mehr auf eine Kooperation statt auf eine Repression ausgerichtet ist, was zu einem erheblichen Vollzugsdefizit und einer mangelnden Präventivwirkung der datenschutzrechtlichen Bußgeldvorschriften führte.285 Darüber hinaus sind die Bußgeldtatbestände von einer teilweisen Redundanz und fehlenden Bestimmtheit geprägt. So verweisen insbesondere die Art. 83 Abs. 4 und Abs. 5 DSGVO pauschal auf datenschutzrechtliche Regelungen, die von unbestimmten Rechtsbegriffen und Ermessensspielräumen durchsetzt sind.286 Dies gilt insbesondere für die Verweisungen auf die „Generalklauseln“ der Art. 32 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f DSGVO. Die Datensicherheitsvorschriften unterliegen bei den vielfältigen Innentäter-Angriffen einem erheblichen Interpretationsspielraum, so dass besonders für die Cloud-Anbieter und Cloud-Nutzer im Einzelfall nicht rechtssicher vorherzusehen ist, ob ihr Sicherheitsmanagement von der Aufsichtsbehörde als unzureichend bewertet wird und damit ein sanktionsbewehrter Verstoß vorliegt.287 Unklar ist zudem, weshalb die Implementierung einer unzureichenden Datensicherheit sowohl nach Art. 83 Abs. 4 lit. a DSGVO als auch nach Art. 83 Abs. 5 lit. a DSGVO sanktioniert wird. Die bußgeldbewehrte Ahndung des spezielleren Art. 32 Abs. 1 283
Artikel-29-Datenschutzgruppe, WP 253, S. 9. Dazu etwa Schuster, Das Verhältnis von Strafnormen und Bezugsnormen, S. 76 m.w.N. 285 Kritisch hierzu auch Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 3; Bergt, DuD 2017, 555 (561), die als Voraussetzung für eine Änderung der Ahndungspraxis vor allem die Verbesserung der Personal- und Finanzausstattung der Aufsichtsbehörden fordern. 286 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 6; Neun/Lubitzsch, BB 2017, 1538 (1543); von Holleben/Knaut, CR 2017, 299 (303); Nolde, PinG 2017, 114 (115); Nolde, ZWH 2017, 76 (76, 78); Rost, RDV 2017, 13 (15); Nolte, jurisPR-Compl 3/2017, Anm. 5.; ebenso für Art. 83 Abs. 5 lit. a DSGVO Popp, Sydow (Hrsg.), NK-DSGVO, Art. 83, Rn. 8; Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 24. 287 Vgl. Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 6; Neun/Lubitzsch, BB 2017, 1538 (1543); kritisch hierzu auch Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 1118, der allerdings die Verletzung des Bestimmtheitsgrundsatzes durch eine restriktive Auslegung auffangen will, so dass nur „klare Verstöße“ gegen die datenschutzrechtlichen Vorgaben eine Bußgeldhaftung auslösen. 284
D. Strafvorschrift gem. § 42 BDSG
305
DSGVO288 hätte völlig ausgereicht. Aber nicht nur auf der Tatbestandsebene ergeben sich einige Ungereimtheiten, sondern auch die Rechtsfolgenseite ist mangels einer Vorhersehbarkeit der maximalen Gesamthöhe einer Geldbuße problematisch. Die Bußgeldhöhe wird nämlich bei Unternehmensgruppen nicht durch die in den Absätzen 4 und 5 genannten absoluten Werte begrenzt, sondern kann abhängig vom relativen Wert des (weltweiten) Jahresumsatzes auch höher ausfallen, „(…) je nachdem, welcher Wert höher ist“.289 Mit Blick auf die Gesetzesbestimmtheit ist zudem kritisch zu sehen, dass der datenschutzrechtliche Unternehmensbegriff des Art. 4 Nr. 18 DSGVO von dem kartellrechtlichen Unternehmensbegriff des Erwägungsgrunds 150 Satz 2 verdrängt wird.290 Auch Fragen der Verfolgungs- und Vollstreckungsverjährung sind in der DSGVO ungeregelt geblieben.291 Teilweisen Aufschluss könnten lediglich die noch im Europäischen Datenschutzausschuss nach Art. 70 Abs. 1 lit. k DSGVO zu erstellenden Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach den Art. 58 Abs. 2 lit. i i.V.m. Art. 83 DSGVO geben,292 was allerdings unter dem Gesichtspunkt der Gewaltenteilung und des Demokratieprinzips nicht ganz unkritisch zu betrachten ist, da es sich um eine wesentliche Entscheidung zur Ahndbarkeit von Datenschutzverstößen handelt, die eigentlich vom Verordnungsgeber zu treffen ist.293
D. Strafvorschrift gem. § 42 BDSG Art. 84 Abs. 1 Satz 1 DSGVO berechtigt und verpflichtet die Mitgliedstaaten für Verstöße gegen das europäische Datenschutzrecht, die nicht den Bußgeldtatbe288
Vgl. Heberlein, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 5, Rn. 28; Herbst, Kühling/ Buchner (Hrsg.), DSGVO/BDSG, Art. 5 DSGVO, Rn. 76; Schantz, in: BeckOK Datenschutzrecht, Art. 5 DSGVO, Rn. 35. 289 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 7; Faust/Spittka/ Wybitul, ZD 2016, 120 (124); a.A. mit Bezugnahme auf den Art. 23 VO (EG) 1/2003 und die kartellrechtliche Ahndungspraxis Bergt, Kühling/Buchner (Hrsg.), DSGVO, Art. 83, Rn. 48 f.; Neun/Lubitzsch, BB 2017, 1538 (1543). 290 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 43; Popp, Sydow (Hrsg.), NK-DSGVO, Art. 83, Rn. 7; Neun/Lubitzsch, BB 2017, 1538 (1543); von Holleben/Knaut, CR 2017, 299 (303); Nolde, ZWH 2017, 76 (79); kritisch hierzu auch Wolff, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 1121; Faust/Spittka/Wybitul, ZD 2016, 120 (124); a.A. Nemitz, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 83, Rn. 42 f. 291 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 113; Becker, in: Plath (Hrsg.), BDSG/DSGVO, Art. 83, Rn. 3; Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 29; Neun/Lubitzsch, BB 2017, 1538 (1540). 292 Becker, in: Plath (Hrsg.), BDSG/DSGVO, Art. 83, Rn. 3; Neun/Lubitzsch, BB 2017, 1538 (1540). Bis dahin empfehlen Becker und Bergt auf die nationalen Verjährungsregeln der §§ 31 ff. OWiG zurückzugreifen; Becker, in: Plath (Hrsg.), BDSG/DSGVO, Art. 83 DSGVO, Rn. 3, § 41 BDSG, Rn. 14; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 83 DSGVO, Rn. 113. 293 Holländer, in: BeckOK Datenschutzrecht, Art. 83 DSGVO, Rn. 7.1, 29.
306
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
ständen des Art. 83 DSGVO unterliegen, weitere Sanktionen zu normieren, die wirksam, verhältnismäßig und abschreckend sind. In Ausfüllung dieser Öffnungsklausel hat der deutsche Gesetzgeber den Straftatbestand des § 42 BDSG erlassen.294 Nach dessen Absatz 1 wird mit einer Freiheitsstrafe bis zu drei Jahren oder mit einer Geldstrafe bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt (Nr. 1) oder auf andere Art und Weise zugänglich macht (Nr. 2) und hierbei gewerbsmäßig handelt. Mit einer Freiheitsstrafe von bis zu zwei Jahren oder mit einer Geldstrafe wird zudem nach § 42 Abs. 2 BDSG sanktioniert, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein verarbeitet (Nr. 1) oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Ob die selbstständigen Straftatbestände auch bei einem Innentäter-Angriff verwirklicht sind, soll im Folgenden untersucht werden.
I. Anwendungsbereich In sachlicher Hinsicht gelten die inländischen Datenschutzvorschriften gem. § 1 Abs. 1 Satz 2 BDSG für nichtöffentliche Stellen, soweit sie personenbezogene Daten ganz oder teilweise automatisiert in einem Dateisystem verarbeiten. Unter dem Begriff der „nichtöffentlichen Stelle“ fallen nach § 2 Abs. 4 BDSG alle natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, die personenbezogene Daten ohne Wahrnehmung einer hoheitlichen Aufgabe der öffentlichen Verwaltung, d.h. allein für geschäftliche oder berufliche Zwecke, verarbeiten.295 Das deutsche Datenschutzrecht gilt damit für alle Datenverarbeitungen durch private Stellen, die auch in den sachlichen Anwendungsbereich der DSGVO fallen.296 Demnach wird auch von dem BDSG jede Verwendung (Speicherung, Nutzung, Löschung und Weitergabe) und Veränderung von personenbezogenen Daten beim Cloud Computing erfasst.297 Dies umso mehr, weil für die Strafnorm aus § 42 BDSG nach § 1 Abs. 4 Satz 2 BDSG stets auch der räumliche Anwendungsbereich des BDSG eröffnet ist.298 Der nationalen Strafgewalt unterliegt eine Auslandstat des Innentäters gleichwohl nur dann, wenn auch die Vorausset-
294 BT-Drs. 18/11325, S. 109. Daneben wurde der § 43 BDSG erlassen, der bestimmte Verstöße gegen die Vorschriften zu Verbraucherkrediten bußgeldrechtlich ahndet. 295 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 347; vgl. auch Dammann, in: Simitis (Hrsg.), BDSG, § 2 a.F., Rn. 118 ff. 296 Schantz, Schantz/Wolff (Hrsg.), Datenschutzrecht, Rn. 344. 297 Ausführlich hierzu siehe S. 280 f. 298 Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 18; Bergt, Kühling/ Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 2.
D. Strafvorschrift gem. § 42 BDSG
307
zungen des deutschen Strafanwendungsrechts i.S.d. §§ 3 – 7, 9 StGB gegeben sind.299 Bei den folgenden Überlegungen soll aber von reinen Inlandskonstellationen ausgegangen werden. Die Untersuchung der Anwendbarkeit des deutschen Strafrechts auf grenzüberschreitende Datenschutzverstöße soll vielmehr dem 7. Kapitel vorbehalten bleiben.300 Nach § 1 Abs. 2 Satz 1 BDSG ist das deutsche Datenschutzrecht gegenüber anderen bundesrechtlichen Datenschutzgesetzen formell subsidiär. Ausnahmsweise bleibt das BDSG gem. § 1 Abs. 2 Satz 2 BDSG aber anwendbar, wenn das datenschutzrechtliche Spezialgesetz einen Sachverhalt nicht oder nicht abschließend regelt. Diese Auffangfunktion entfaltet das BDSG bei den Innentäter-Angriffen vor allem bei der Strafnorm des § 148 TKG, da weder eine Verletzung der Integrität und Verfügbarkeit noch eine Beeinträchtigung der Vertraulichkeit von personenbezogenen Daten durch Innentäter von § 148 TKG tatbestandlich erfasst wird.301 § 42 BDSG wird somit bei einem Innentäter-Angriff nicht von § 148 TKG verdrängt. Nach § 1 Abs. 2 Satz 3 BDSG bleibt zudem die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, unberührt. Demzufolge bleibt § 42 BDSG auch neben den §§ 17 UWG, 203 und 204 StGB anwendbar.302
II. Tatgegenstand Gemeinsames Tatobjekt der Tatbestandsalternativen sind personenbezogene Daten. Hierunter fällt – wie bereits im Rahmen der Prüfung des Art. 83 DSGVO gezeigt wurde303 – jede in der Cloud gespeicherte und verarbeitete Information, die sich auf eine bestimmte oder bestimmbare natürliche Person bezieht. Aufgrund des Schutzzwecks der Norm muss sich das personenbezogene Datum aber auf eine andere Person als den Innentäter beziehen.304 Weitere Voraussetzung der Tatbestandsalternativen ist, dass die personenbezogenen Daten zum Tatzeitpunkt nicht allgemein zugänglich sein dürfen. In Anlehnung an das inhaltsgleiche Merkmal des § 43 Abs. 2 BDSG a.F. sind Daten dann allgemein zugänglich, wenn sie von jedermann zur Kenntnis genommen werden können, ohne 299 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 2; Brodowski/ Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 18, vgl. auch Erwägungsgrund 149; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 7; Plath, in: Plath (Hrsg.), BDSG/DSGVO16, § 1 BDSG a.F., Rn. 47; Gabel, Taeger/Gabel (Hrsg.), Kommentar, § 1 BDSG a.F., Rn. 51; Gola/Klug/ Körffer, in: Gola/Schomerus, § 1 BDSG a.F., Rn. 31. 300 S. 369 ff. 301 Dazu S. 274 ff. 302 Ausführlich hierzu Dix, in: Simitis (Hrsg.), BDSG, § 1 a.F., Rn. 179 f. 303 S. 250 f. 304 Vgl. Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 55.
308
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
dass hierbei der Zugang zu den Daten rechtlich beschränkt ist.305 Da auf die passwortgesicherten, personenbezogenen Daten in der Cloud nicht jedermann zugreifen kann, bezieht sich die Tat des Innentäters auf nicht allgemein zugängliche Daten. Straflos könnte aber ein Datenhehler sein, der sich ausgespähte Inhaltsdaten auf den offenen Verkaufsforen des Darknets verschafft.306 Für einen umfassenden Schutz der Persönlichkeitsrechte der betroffenen Personen sowie angesichts des aus Art. 84 Abs. 1 Satz 2 DSGVO folgenden Gebots, eine wirksame und abschreckende strafrechtliche Ahndung von rechtswidrigen Datenverarbeitungsvorgängen zu gewährleisten, sollte das Tatbestandsmerkmal – entsprechend den Überlegungen im Rahmen der § 202d Abs. 1 StGB307 und § 17 UWG308 – jedoch dahingehend ausgelegt werden, dass nur solche personenbezogenen Daten „allgemein zugänglich“ sind, deren Abrufbarkeit für einen individuell nicht bestimmbaren Personenkreis datenschutzrechtlich erlaubt ist.309 Da der Verkauf ausgespähter, personenbezogener Daten aber mangels einer wirksamen Einwilligung der betroffenen Person oder des Eingreifens einer anderweitigen Rechtsgrundlage offensichtlich gegen das Rechtsmäßigkeitsgebot aus Art. 5 Abs. 1 1. Var. i.V.m. Art. 6 DSGVO verstößt,310 liegt nach der hier vertretenen Ansicht ein taugliches Tatobjekt auch dann vor, wenn rechtswidrig erlangte personenbezogene Daten auf den offenen Verkaufsforen des Darknets gehandelt werden. Gegenstand einer Straftat aus § 42 Abs. 1 BDSG müssen zudem personenbezogene Daten „einer großen Zahl von Personen“ sein. In der Gesetzesbegründung werden zur Auslegung dieses unbestimmten Rechtsbegriffs weder eine feste Mindestzahl festgelegt noch allgemeine Bewertungsmaßstäbe benannt.311 Auch eine Auslegung nach dem Wortlaut der Vorschrift ist abschließend nicht möglich, da aus dem Begriff „große Zahl von Personen“ nur zu entnehmen ist, dass unter dem Merkmal nicht ein unüberschaubarer Personenkreis, sondern nur mehr Personen umfasst sein müssen, als dies beim Begriff „mehrere“, der schon bei drei Personen
305
Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 8; Brodowski/ Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 25; siehe auch BGH NJW 2013, 2530, Rn. 54; Gola/Klug/Körffer, in: Gola/Schomerus, 43 BDSG a.F., Rn. 18. 306 So Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 26; wohl auch Becker, in: Plath (Hrsg.), BDSG/DSGVO, § 42 BDSG, Rn. 3; vgl. auch BGH NJW 2013, 2530, Rn. 57; Wolff, in: BeckOK Datenschutzrecht, § 28 BDSG a.F., Rn. 83; Plath, in: Plath (Hrsg.), BDSG/DSGVO16, § 10 BDSG a.F., Rn. 32; § 28 BDSG a.F., Rn. 76. 307 S. 211 f. 308 S. 260 f. 309 Vgl. Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 13; Gola/Klug/ Körffer, in: Gola/Schomerus, § 43 BDSG a.F.:, Rn. 18; § 44 BDSG a.F., Rn. 4; Wolff, in: BeckOK Datenschutzrecht, § 28 BDSG a.F., Rn. 86; Wedde, Däubler/Klebe/Wedde/Weichert (Hrsg.), BDSG a.F., § 28, Rn. 58. 310 Siehe dazu S. 265 f. 311 Vgl. BT-Drs. 18/11325, S. 109.
D. Strafvorschrift gem. § 42 BDSG
309
erfüllt wäre, der Fall ist.312 Unklar ist daher, nach welchen Kriterien das normative Tatbestandsmerkmal verwirklicht ist. Mit Blick auf den Bestimmtheitsgrundsatz gem. § 1 StGB, Art. 103 Abs. 2 GG erscheint es jedenfalls nicht sachgerecht, den Begriff einzelfallabhängig auszulegen. Auch eine an dem Schutzzweck der Strafnorm orientierte Differenzierung nach der Schwere der Verletzung des informationellen Selbstbestimmungsrechts, die sich vor allem aus der Art und dem Inhalt der unberechtigt weitergegebenen personenbezogenen Daten ergeben könnte, ist angesichts des Wortlauts der Strafvorschrift, der nur auf die Zahl der betroffenen Personen abstellt, nicht möglich. Vor diesem Hintergrund sollte eine tatbestandsspezifische objektive Untergrenze festgelegt werden, die es für jeden Innentäter vorhersehbar macht, wann eine unberechtigte Datenweitergabe unter die Strafandrohung des § 42 Abs. 1 BDSG fällt. Hierbei sollte vor allem berücksichtigt werden, dass die Höchststrafe der gewerbsmäßigen Datenweitergabe i.S.d. § 42 Abs. 1 BDSG von drei Jahren Freiheitsstrafe gegenüber der bei § 42 Abs. 2 Nr. 1 BDSG geltenden Höchststrafe von zwei Jahren, welche schon für die entgeltliche bzw. in Eigen- bzw. Fremdbereicherungsabsicht vorgenommene Übermittlung eines einzelnen personenbezogenen Datums angedroht wird, nicht übermäßig angehoben ist. Zu beachten ist zudem, dass der Begriff der „großen Zahl“ auch in anderen Straftatbeständen Verwendung findet (vgl. §§ 306b Abs. 1, 308 Abs. 2, 309 Abs. 3, 312 Abs. 3, 315 Abs. 3 Nr. 2, 318 Abs. 3 StGB) und dort nach dem überwiegenden Schrifttum mit einer Grenze von mindestens 10 Personen verbunden wird.313 Insofern bietet es sich aufgrund einer einheitlichen Auslegung des Merkmals an, auch bei der Bestimmung der Mindestzahl der betroffenen Personen im Rahmen des § 42 Abs. 1 BDSG auf die Anzahl von zehn Personen abzustellen. Zum einen geht hierdurch eine gewisse einschränkende Auslegung der Norm mit ihrer erhöhten Strafandrohung einher, ohne die Anforderungen gegenüber dem § 42 Abs. 2 Nr. 1 BDSG zu überdehnen. Zum anderen ist eine Gruppe von mindestens zehn betroffenen Personen auf den ersten Blick auch nicht ohne Weiteres überschaubar, so dass man durchaus von einer „großen Zahl“ sprechen kann.314 312 Siehe hierzu BGH NJW 1999, 299 (300), allerdings zur Auslegung des Tatbestandsmerkmals der Gesundheitsschädigung „einer großen Zahl von Menschen“ i.S.d. § 306b Abs. 1 StGB. 313 Siehe nur Zieschang, NK, § 315 StGB, Rn. 67; Heine/Bosch, Schönke/Schröder, Vorb. §§ 306 ff. StGB, Rn. 13a m.w.N. Der BGH hält im Rahmen des § 306b Abs. 1 StGB eine Anzahl von „jedenfalls 14 Personen“ für ausreichend; BGH NJW 1999, 299 (300). 314 Ebenso für § 315 Abs. 3 Nr. 3 StGB Zieschang, NK, § 315 StGB, Rn. 67. Ähnlich auch Bergt, der vorschlägt, für die erforderliche große Zahl an Geschädigten eine Anzahl „im zweistelligen Bereich“ anzusetzen; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 6; a.A. Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 29, wonach die Schwelle bei „nicht unter 50 Personen“ liegt. Frenzel will dagegen nur einen Personenkreis im dreistelligen Bereich erfassen; Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 6. Sehr unbestimmt dagegen Becker, der annimmt, dass das Tatbestandsmerkmal jedenfalls bei „vielen tausend Datensätzen sicher“ und bei nur „einigen wenigen Dutzend Datensätzen“ überhaupt nicht einschlägig sein sollte; Becker, in: Plath (Hrsg.), BDSG/ DSGVO, § 42 BDSG, Rn. 3.
310
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
III. Tauglicher Täter Wie sich aus dem Wortlaut des § 42 BDSG ergibt, ist der Täterkreis nicht auf die in § 1 Abs. 1 Satz 2 BDSG genannten nicht-öffentlichen Stellen beschränkt. Mit Ausnahme der vom Dateninhalt betroffenen Person kann damit tauglicher Täter des § 42 BDSG jedermann, also jeder Innentäter sein.315
IV. Tathandlungen des § 42 Abs. 1 BDSG Als Begehungsvarianten verlangt der § 42 Abs. 1 BDSG entweder die Übermittlung der tattauglichen personenbezogenen Daten an einen Dritten (Nr. 1) oder ihr Zugänglichmachen auf andere Art und Weise (Nr. 2). Die Tathandlung der Datenübermittlung liegt in der Bekanntgabe von gespeicherten oder durch eine Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten.316 Dritter ist gem. Art. 4 Nr. 10 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem für die Datenverarbeitung verantwortlichen Cloud-Nutzer, dem auftragsverarbeitenden Cloud-Anbieter und ihren Mitarbeitern, die unter ihrer unmittelbaren Verantwortung befugt sind, die personenbezogenen Daten zu verarbeiten. Eine unbefugte Datenweitergabe innerhalb des cloudnutzenden Unternehmens oder zwischen den Administratoren der Cloud-Anbieter stellt daher keine Übermittlung, sondern „nur“ eine unbefugte Nutzung der anvertrauten personenbezogenen Daten dar.317 Damit fehlt es zwar an der Verwirklichung des objektiven Tatbestands des § 42 Abs. 1 Nr. 1 BDSG, allerdings kommt in diesem Fall eine Strafbarkeit des datenübermitteltenden und -empfangenden Mitarbeiters aus § 42 Abs. 2 Nr. 1 BDSG in Betracht, sofern die Datenweitergabe einem illegalen Zweck verfolgt oder nicht mit dem festgelegten Verarbeitungszweck vereinbar ist und damit gegen den Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b DSGVO verstößt. Gleiches gilt, wenn die Datenübermittlung nicht zur Verarbeitung der personenbezogenen Daten erforderlich ist. Im Übrigen kommt es auf die Form der Datenweitergabe nicht an, weshalb sowohl eine mündliche, schriftliche und elektronische Weitergabe (z.B. durch 315 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 3, 29; vgl. auch Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 1, 4. Aufgrund der Regelungssystematik der DSGVO wollen demgegenüber Brodowski und Nowak nur Verantwortliche und Auftragsverarbeiter in den Täterkreis einbeziehen. Allerdings bejahen auch sie die Eröffnung des persönlichen Anwendungsbereichs der Strafvorschrift für einen Innentäter, sofern dieser über einen betrieblich erteilten Auftrag hinausgehend Daten erhebt. In diesem Fall wird nach ihrer Auffassung der Innentäter nämlich selbst zum Verantwortlichen; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 15 f., 66. 316 Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 49; Plath, in: Plath (Hrsg.), BDSG/DSGVO16, § 3 BDSG a.F., Rn. 39. 317 Vgl. Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 49; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 32.
D. Strafvorschrift gem. § 42 BDSG
311
Versendung einer E-Mail oder eines Datenlinks) als auch die Aushändigung von Datenträgern, auf denen die nicht allgemein zugänglichen personenbezogenen Daten einer großen Zahl von Personen gespeichert sind, tatbestandlich erfasst wird.318 In Abgrenzung zur Tathandlung des Zugänglichmachens liegt die Tathandlung der Datenübermittlung in diesen Fällen allerdings nur dann vor, wenn der Dritte von dem Dateninhalt Kenntnis erlangt hat, indem er die personenbezogenen Daten eingesehen oder abgerufen hat.319 Insofern stellt ein Bereithalten der Daten zum Abruf für sich genommen noch keine tatbestandsmäßige Übermittlung dar.320 Dieses Verständnis wahrt nicht nur dem eigenständigen Charakter der Tatbestandsmerkmale, sondern deckt sich auch mit dem Übermittlungsbegriff des EuGH, der in der „Bodil Lindqvist“-Entscheidung vom 06. 11. 2003 – C-101/01 ausführte, dass ein Hochladen von Daten auf einer Internetseite noch keine Datenübermittlung darstellt, weil ein Dritter erst noch die Seite und die bereitgehaltenen personenbezogenen Daten aufrufen muss.321 Vor diesem Hintergrund liegt in Übereinstimmung mit den inhaltsgleichen Tathandlungen der § 202c StGB und § 202d StGB ein „Zugänglichmachen auf andere Art und Weise“ vor, wenn ein Innentäter einer zur Datenverarbeitung nicht berechtigten Person die Möglichkeit des Zugriffs auf die personenbezogenen Daten eröffnet hat,322 was beispielsweise schon durch das Versenden eines Datenlinks an einen unbefugten Dritten oder das Einstellen personenbezogener Daten zum Verkauf im Darknet der Fall ist. Da es für die Verwirklichung der Tathandlung nicht auf eine Kenntnisnahme der Daten, sondern nur auf die Einräumung einer Zugriffsmöglichkeit ankommt, wird von dem objektiven Tatbestand des § 42 Abs. 1 BDSG letztendlich jede unberechtigte, d.h. ohne oder gegen die Einwilligung der betroffenen Person, erfolgte Weitergabe von personenbezogenen Daten an eine nicht zugriffsberechtigte Person unter Strafe gestellt.
318
Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 50. Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 30 f. 320 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 17, 21; vgl. auch Herbst, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 2 DSGVO, Rn. 31; Reimer, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 2, Rn. 69; a.A. Ernst, Paal/Pauly (Hrsg.), DSGVO/ BDSG, Art. 4 DSGVO, Rn. 30; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 50. 321 EuGH EuZW 2004, 245, Rn. 56 ff.; Herbst, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 2 DSGVO, Rn. 31; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 31. 322 Siehe hierzu S. 186 und S. 217; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 21; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 33; vgl. auch Herbst, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 2 DSGVO, Rn. 29. 319
312
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
V. Tathandlungen des § 42 Abs. 2 BDSG Tatbestandsmäßige Angriffshandlungen des § 42 Abs. 2 BDSG sind das Verarbeiten (Nr. 1) oder das Erschleichen von nicht allgemein zugänglichen, personenbezogenen Daten durch unrichtige Angaben (Nr. 2). Entsprechend den Ausführungen zu Art. 83 DSGVO fällt unter dem technikneutralen Begriff des Verarbeitens jeder Umgang mit personenbezogenen Daten bzw. jeglicher Vorgang, der unmittelbar oder mittelbar auf taugliche Daten einwirkt.323 Mithin erfasst die Tathandlung unabhängig von der Art und Weise des InnentäterAngriffs jede Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten.324 Im Besonderen ist damit jeder Zugriff und Abruf sowie jedes Verschaffen, Speichern, Verändern, Löschen, Unterdrücken, Verwenden, Übermitteln und sonstige Zugänglichmachen von personenbezogenen Daten tatbestandmäßig.325 Die Tathandlung des § 42 Abs. 2 Nr. 2 BDSG entspricht der Begehungsweise des § 43 Abs. 2 Nr. 4 BDSG a.F. Erfasst werden solche Fälle, in denen sich ein Täter mithilfe unrichtiger Angaben Zugang zu geschützten personenbezogenen Daten verschafft. Ein Erschleichen erfordert, dass der Zugang zu den oder die Verfügung über die Daten durch eine Täuschung, d.h. mithilfe von unrichtigen Angaben, ermöglicht oder gefördert wird.326 Im Unterschied zum Betrugstatbestand nach § 263 Abs. 1 StGB muss hierdurch aber weder ein Irrtum erregt noch der Getäuschte eine irrtumsbedingte Vermögensverfügung vorgenommen haben.327 Der Begriff der Angaben ist weit zu verstehen und umfasst alle Informationen, die nach der Verkehrssitte oder den jeweiligen Verhältnissen geeignet sind, einem Innentäter Zugang zu nicht allgemein zugänglichen, personenbezogenen Daten zu verschaffen.328 Unrichtig sind dabei solche Angaben, die nicht mit den tatsächlichen Verhältnissen übereinstimmen und damit unwahr sind.329 In dieser Hinsicht handelt ein Innentäter tatbestandsmäßig, wenn er sich durch falsche Angaben über seine Identität, seine 323 Dazu S. 280 f.; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 32; siehe auch Schreiber, in: Plath (Hrsg.), BDSG/DSGVO, Art. 4 DSGVO, Rn. 9; Reimer, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 2, Rn. 43. 324 Vgl. Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 32 f. Demgegenüber wollen Brodowski und Nowak die Tathandlung nur auf solche Verarbeitungsformen reduzieren, welche die Vertraulichkeit nicht allgemein zugänglicher personenbezogener Daten verletzen oder deren Verletzung intensivieren oder perpetuieren; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 45. 325 Weitergehend zu den tatbestandsmäßigen Modalitäten des Umgangs mit personenbezogenen Daten Herbst, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 4 Nr. 2 DSGVO, Rn. 20 ff.; Reimer, Sydow (Hrsg.), NK-DSGVO, Art. 4 Nr. 2, Rn. 53 ff. 326 Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 67. 327 Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 67; Holländer, in: BeckOK Datenschutzrecht, § 43 BDSG a.F., Rn. 53. 328 Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 70. 329 Holländer, in: BeckOK Datenschutzrecht, § 43 BDSG a.F., Rn. 53.
D. Strafvorschrift gem. § 42 BDSG
313
Zugriffsberechtigung und Aufgabenerfüllung oder durch die Vorspiegelung sonstiger berechtigter Interessen und Zulässigkeitsvoraussetzungen Zugriff auf tatbestandlich geschützte Daten verschafft.330 Der objektive Tatbestand des § 42 Abs. 2 Nr. 2 BDSG wird damit nicht nur beim Social Engineering, Phishing, Pharming und IP-Spoofing, sondern auch dann erfüllt, wenn ein Innentäter ein ausgespähtes Passwort verwendet, um unbefugten Zugang zu geschützten personenbezogenen Daten zu erlangen.331 Nicht tatbestandlich erfasst werden aber ein Privilegienmissbrauch und das Verschaffen eines Datenzugangs unter Ausnutzung von Bugs und sonstigen Sicherheitsmängeln. In diesen Fällen fehlt es nämlich an einer Täuschung des Innentäters über seine Zugriffsbefugnis auf die personenbezogenen Daten bzw. über seine Berechtigung zur Benutzung des Passworts.332 Datenschutzrechtlich erfasst werden diese Angriffshandlungen aber von § 42 Abs. 2 Nr. 1 BDSG.
VI. Sonstige Voraussetzungen Zur Verwirklichung des subjektiven Tatbestands des § 42 Abs. 1 BDSG muss der Innentäter „wissentlich“ gehandelt haben. Bedingter Vorsatz (dolus eventualis), eine bloße Absicht oder fahrlässiges Handeln sind mithin nicht erfasst. Demzufolge erfüllt ein Innentäter nur dann den subjektiven Tatbestand des § 42 Abs. 1 BDSG, wenn er sicher weiß, dass er ohne Berechtigung personenbezogene Daten einer großen Zahl von Personen, die nicht allgemein zugänglich sind, an Dritte übermittelt oder sonst zugänglich macht.333 Des Weiteren muss er gewerbsmäßig, also in der Absicht gehandelt haben, sich durch eine wiederholte (entgeltliche) Offenlegung der personenbezogenen Daten i.S.d. § 42 Abs. 1 BDSG eine fortlaufende Einnahmequelle von gewisser Dauer und Umfang zu verschaffen.334 Im Gegensatz hierzu reicht für ein vorsätzliches Handeln im Rahmen des § 42 Abs. 2 BDSG das Vorliegen eines bedingten Vorsatzes des Innentäters aus. Im Unterschied zum § 42 Abs. 1 BDSG muss sich dabei sein Vorsatz auch nicht auf seine fehlende Berechtigung zur Verarbeitung der nicht allgemein zugänglichen, personenbezogenen Daten beziehen. Das Merkmal stellt nämlich im Rahmen des § 42 Abs. 2 BDSG kein objektives Tatbestandsmerkmal, das von seinem Vorsatz umfasst 330
Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 71; Holländer, in: BeckOK Datenschutzrecht, § 43 BDSG a.F., Rn. 53; Nink, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 43 BDSG a.F., Rn. 13. 331 Vgl. Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 35. 332 Vgl. Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 37; Holländer, in: BeckOK Datenschutzrecht, § 43 BDSG a.F., Rn. 53.1; Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 71. 333 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 25; vgl. auch Frenzel, Paal/Pauly (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 4; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 39 f. 334 Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 27; vgl. auch RGSt 58, 19 (20); BGHSt 1, 383.
314
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
sein müsste, sondern lediglich ein allgemeiner Hinweis auf das Fehlen von Rechtfertigungsgründen dar.335 Eine Einwilligung der betroffenen Person schließt damit nicht schon den Tatbestand, sondern erst die Rechtswidrigkeit der Tathandlung aus. Da es aber an einer solchen bei den hier untersuchten Angriffshandlungen fehlt, ist der Innentäter-Angriff auch rechtswidrig. Sofern die Tathandlungen nicht entgeltlich vorgenommen wurden, muss der Innentäter in subjektiver Hinsicht zudem mit Bereicherungs- oder mit Schädigungsabsicht gehandelt haben. Entsprechend den Überlegungen im Rahmen des § 203 Abs. 6 StGB336 und § 17 UWG337 sind diese überschießenden Innentendenzen bereits mit der Vornahme von Absatzbemühungen, wie etwa das Hochladen der tattauglichen Daten auf den Verkaufsforen des Darknets, oder durch eine beabsichtigte Rufschädigung des Cloud-Anbieters, des CloudNutzers oder der betroffenen Person erfüllt.338
VII. Zusammenfassung Verletzungen der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten durch Innentäter werden von den Straftatbeständen des § 42 Abs. 2 Nr. 1 und Nr. 2 BDSG in weitem Umfang unter Strafe gestellt. Werden die Datenschutzdelikte bei einem Innentäter-Angriff in engem zeitlich-räumlichen Zusammenhang mit Strafvorschriften des Kernstrafrechts oder mit dem § 17 UWG verwirklicht, besteht sogar aufgrund des unterschiedlichen Unrechtsgehalts der erfüllten Tatbestände Idealkonkurrenz.339 Dies gilt besonders auch für das Verhältnis von § 42 BDSG zum § 206 StGB340 und den §§ 203, 204 StGB341, da die Subsidiaritätsklausel 335 A.A. Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 23 f., 34; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 35.1, 47. 336 S. 249 f. 337 S. 270 f. 338 Vgl. Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, § 42 BDSG, Rn. 49 f., 52 f.; Ehmann, in: Simitis (Hrsg.), BDSG, § 44 a.F., Rn. 6 f. 339 Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 67; vgl. auch Ambs, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 44 BDSG a.F., Rn. 4; Wieck-Noodt, MK, § 303a StGB, Rn. 22; Brammsen, Heermann/Schlingloff (Hrsg.), UWG, § 17, Rn. 106; Preuß, Die Kontrolle von E-Mails, S. 414; Binder, RDV 1995, 116 (123); a.A. Holländer, in: BeckOK Datenschutzrecht, § 44 BDSG a.F., Rn. 17, wonach die Datenschutzdelikte gegenüber den §§ 303a, 303b StGB lex specialis sind. 340 Vgl. BGH NZWiSt 2013, 189 (191); Preuß, Die Kontrolle von E-Mails, S. 414; Cornelius, in: Leupold/Glossner (Hrsg.), Münchener Anwalts Handbuch, S. 168; a.A. Holländer, in: BeckOK Datenschutzrecht, § 44 BDSG a.F., Rn. 18, der § 206 StGB als lex specialis ansieht. 341 Vgl. Ambs, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 44 BDSG a.F., Rn. 4; Ehmann, in: Simitis (Hrsg.), BDSG, § 44 a.F., Rn. 2; Hilgendorf/Valerius, Computerund Internetstrafrecht, Rn. 746; a.A. Eisele, Schönke/Schröder, § 203 StGB, Rn. 114; Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 264; Golla, Datenschutzgesetze, S. 136; differenzierend Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 68.
D. Strafvorschrift gem. § 42 BDSG
315
des § 1 Abs. 2 BDSG aufgrund der unterschiedlich geschützten Rechtsgüter nicht eingreift. Die mit den § 206 StGB und §§ 203, 204 StGB geahndeten Verstöße gegen das Fernmeldegeheimnis und das allgemeine Vertrauen in die Verschwiegenheit und Funktionsfähigkeit bestimmter Berufskreise sind nämlich im Unrechtsgehalt der Straftatbestände aus § 42 Abs. 2 BDSG, welche nur Verletzungen des informationellen Selbstbestimmungsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG strafrechtlich ahnden, nicht enthalten. Bedenklich ist allerdings, dass der datenschutzrechtliche Verstoß des Innentäters nach § 42 Abs. 3 BDSG nur auf Antrag der betroffenen Person, des Verantwortlichen, des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder der Aufsichtsbehörde verfolgt werden kann.342 Die Einleitung eines Ermittlungsverfahrens von Amts wegen bei Bejahung eines besonderen öffentlichen Interesses an der Strafverfolgung seitens der zuständigen Staatsanwaltschaft ist hingegen nicht vorgesehen. Dieses absolute Antragserfordernis kann für eine effiziente strafrechtliche Verfolgung und Ahndung der Innentäter-Angriffe hinderlich sein. Gerade beim Cloud Computing wird nämlich der antragberechtigte Betroffene in der Regel kaum Kenntnis von der Verletzung seiner personenbezogenen Daten erlangen.343 Erfährt er dagegen von der Straftat des Innentäters kann gleichwohl ein Sanktionsdefizit entstehen, wenn zwar der Datenschutzverstoß eine Vielzahl von Personen betrifft, für den einzelnen Betroffenen aber nur von (scheinbar) geringer Bedeutung ist, so dass er mangels eines eigenen Verfolgungsinteresses nicht von seinem Antragsrecht Gebrauch macht.344 Aufgrund der auf Kooperation statt auf Repression ausgerichteten Ahndungspraxis ist in diesen Fällen auch nicht in jedem Fall davon auszugehen, dass die Aufsichtsbehörden einen Strafantrag stellen, um eine gebotene strafrechtliche Sanktionierung des Innentäters zu ermöglichen.345 Schon aus diesem Grund dürften die Datenschutzdelikte nur von geringer praktischer Relevanz sein und kaum eine effektive Präventivwirkung entfalten.346 Hinzu kommt, dass neben den hohen An342 Diese Antragsberechtigten haben jeweils ein eigenes und vom Willen der anderen Berechtigten unabhängiges Recht zur Stellung des Strafantrags; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 71. 343 Wicker, Cloud Computing, S. 241. 344 Golla, Datenschutzgesetze, S. 214; ders., ZIS 2016, 192 (197 f.). 345 Becker, in: Plath (Hrsg.), BDSG/DSGVO16, § 43 BDSG a.F., Rn. 4; Golla, Datenschutzgesetze, S. 214; ders., ZIS 2016, 192 (193), siehe auch Ziebarth, Sydow (Hrsg.), NKDSGVO, Art. 57, Rn. 10, nach dem den Aufsichtsbehörden keine unionsrechtliche Pflicht treffen soll, bei allen Datenschutzverstößen repressive Sanktionen heranzuziehen; a.A. Bergt, der eine solche Pflicht aus Art. 84 Abs. 1 DSGO herleitet; Bergt, Kühling/Buchner (Hrsg.), DSGVO/BDSG, Art. 84 DSGVO, Rn. 21. Weitergehend zur bisherigen Ahndungspraxis der Aufsichtsbehörden Ehmann, in: Simitis (Hrsg.), BDSG, § 43 a.F., Rn. 79 ff. 346 Dies geht auch aus den in der PKS veröffentlichten Fallzahlen zur Strafvorschrift des § 44 BDSG a.F., die ebenfalls als absolutes Antragsdelikt ausgestaltet war, hervor. So wurden z. B. im Jahr 2016 „nur“ 421 Straftaten gegen das Bundes- und Landesdatenschutzgesetz (PKS 2016, S. 124) und im Jahr 2015 538 Fälle (PKS 2015, S. 108) in der PKS erfasst. Ausgegangen werden muss dagegen von einem deutlich größeren Dunkelfeld; vgl. nur Bär, in: Roßnagel (Hrsg.), Datenschutzrecht, Teil 5.7, Rn. 3.
316
Kap. 5: Nebenstrafrechtlicher Schutz der Datenvertraulichkeit
forderungen der großen Personenanzahl und der Gewerbsmäßigkeit des § 42 Abs. 1 BDSG sowie den Tatbestandseinschränkungen des Handelns gegen Entgelt oder in Bereicherungs- und Schädigungsabsicht in § 42 Abs. 2 BDSG auch die im Einzelfall schwierige Einordnung der betroffenen Informationen als personenbezogene Daten nur zu einer geringen Verurteilungsrate führt.347 Problematisch sind in diesem Zusammenhang vor allem solche Fälle, in denen Innentäter eine Vielzahl unterschiedlicher Datenkategorien von Privatpersonen, Behörden und cloudnutzenden Unternehmen ausspähen, manipulieren, verwerten oder weitergeben.
347 Bestätigt wird dies auch durch die geringe Zahl an erfassten Verurteilungen in der Strafverfolgungsstatistik. So wurden – trotz der großen Zahl der tatsächlich begangenen Straftaten nach dem BDSG – allein im Jahr 2016 „lediglich“ ein Täter zu einer Freiheitsstrafe und „nur“ 7 Täter zu Geldstrafen verurteilt; Statistisches Bundesamt, Strafverfolgungsstatistik 2016, S. 120. Weitergehend zur praktischen Bedeutung des § 44 BDSG a.F. Golla, Datenschutzgesetze, S. 188 ff. Ebenfalls eine geringe Praxisrelevanz des § 42 BDSG prognostizieren Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 42 BDSG, Rn. 9.
6. Kapitel
Strafrechtlicher Schutz der Datenintegrität und -verfügbarkeit Die Integrität und Verfügbarkeit der Nutzerdaten ist in dem komplexen, multimandantenfähigen Cloud-System durch Innentäter besonders gefährdet. Bereits mit geringem Aufwand können sie Sabotagehandlungen ausüben, die erhebliche wirtschaftliche Schäden verursachen können. Sofern ihr Angriff mittels eines Eingriffs in die physischen Systemkomponenten des Cloud-Systems erfolgt, also z.B. Festplatten zerstört, beschädigt oder entwendet werden, ergeben sich für eine strafrechtliche Beurteilung keine großen Schwierigkeiten. Die Zerstörung oder Beschädigung der Hardwarekomponenten wird unter dem Tatbestand der Sachbeschädigung gem. § 303 Abs. 1 StGB und ihre Wegnahme unter der Strafvorschrift des Diebstahls gem. § 242 Abs. 1 StGB bzw. der Unterschlagung nach § 246 Abs. 1 StGB subsumiert. Darüber hinaus kommen bei einem Löschen, Verändern oder Unterdrücken der Nutzerdaten die Straftatbestände der Datenveränderung gem. § 303a StGB, der Urkundenunterdrückung aus § 274 Abs. 1 Nr. 2 StGB und die Vorschrift der Verletzung des Fernmeldegeheimnisses gem. § 206 Abs. 2 Nr. 2 StGB in Betracht. Soweit sich der interne Angriff auch gegen die Funktionsfähigkeit der Cloud-Dienste richtet, könnte zudem der § 303b StGB einschlägig sein. Nachfolgend soll nun untersucht werden, ob diese Strafvorschriften hinreichend sind, um einen lückenlosen strafrechtlichen Schutz der Integrität und Verfügbarkeit der Nutzerdaten nicht nur bei externen Angriffen, sondern auch bei den Angriffsszenarien der Innentäter des Cloud Computing zu gewährleisten.
A. Datenveränderung, § 303a StGB Die Strafnorm schützt als „virtuelle Sachbeschädigung“1 das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit der gespeicherten oder übermittelten Daten.2 Der Tatbestand der Sachbeschädigung gem. § 303 Abs. 1
1 Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 268; ders., NJW 2007, 2661 (2664). 2 Statt vieler Zaczyk, NK, § 303a StGB, Rn. 2; Hecker, Schönke/Schröder, § 303a StGB, Rn. 1; Wolff, LK, § 303a StGB, Rn. 4. Ohne inhaltliche Abweichung hierzu sieht demgegenüber Haft als geschütztes Rechtsgut das Vermögen an, Haft, NStZ 1987, 6 (10); während nach Fi-
318
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
StGB ist hierzu nicht ausreichend, da er lediglich Veränderungen an körperlichen Datenträgern, nicht hingegen an unkörperlichen Daten und Informationen unter Strafe stellt und somit nicht sämtliche Fallgestaltungen einer Sachbeschädigung an Daten umfasst.3 Um diese Strafbarkeitslücke zu schließen und den bedeutenden ökonomischen Wert von Computerdaten als auch der weitreichenden und stetig wachsenden Abhängigkeit von Datenverarbeitungsanlagen in Wirtschaft und Verwaltung Rechnung zu tragen, soll der Tatbestand durch verschiedene, sich teilweise überschneidende Tathandlungen erreichen, dass alle Fälle an rechtswidrigen Beeinträchtigungen der Verwendbarkeit von Daten erfasst werden.4 Insoweit machen sich Innentäter wegen einer Datenveränderung gem. § 303a StGB strafbar, wenn sie rechtswidrig Daten löschen, unterdrücken, unbrauchbar machen oder verändern.
I. Fremde Daten Tatobjekt der Vorschrift sind Daten i.S.d. § 202a Abs. 2 StGB, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.5 Damit erfasst der Tatbestand neben den ausgelagerten Inhaltsdaten der Cloud-Nutzer auch Programme und Programmteile,6 wobei es weder auf einen wirtschaftlichen Wert, eine Beweiserheblichkeit i.S.d. § 274 Abs. 1 Nr. 2 StGB oder – aufgrund des fehlenden Verweises auf § 202a Abs. 1 StGB – auf eine besondere Sicherung der Daten gegen unberechtigten Zugang ankommt.7 Den Umstand, dass die Vorschrift auch Daten in der Übermittlungsphase erfasst,8 wird teilweise als Redaktionsversehen des Gesetzgebers kritisiert.9 Schon angesichts der Begründung des Gesetzesentwurfs, dass auch Verletzungen der Integrität von übermittelten Daten unter Strafe gestellt werden sollen,10 kann der Kritik aber nicht zugestimmt werden. Dazu kommt, dass beim Cloud Computing Manipulationen an übermittelte Daten als Folge der dynamischen und skalierbaren Datenverarbeitungsprozesse ein erhebliches Risiko darstellen, weshalb dem Schutz der Datenübertragungen beim Cloud scher Schutzgegenstand die Verfügungsgewalt des Berechtigten über die in den Datenspeichern enthaltenen Informationen ist; Fischer, § 303a StGB, Rn. 2. 3 Wieck-Noodt, MK, § 303a StGB, Rn. 7; zur Abgrenzung von Sachen und Daten siehe auch Eisele, Computerstrafrecht, § 9, Rn. 65. 4 BT-Drs. 10/5058, S. 34; Wieck-Noodt, MK, § 303a StGB, Rn. 7. 5 Siehe hierzu oben S. 124 ff. 6 Hecker, Schönke/Schröder, § 303a StGB, Rn. 2; Wieck-Noodt, MK, § 303a StGB, Rn. 8; Bühler, MDR 1987, 448 (455); Möhrenschlager, wistra 1986, 128 (141); a.A. Gravenreuth, NStZ 1989, 201 (203). 7 Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 4; Wieck-Noodt, MK, § 303a StGB, Rn. 8. 8 Statt vieler Wolff, LK, § 303a StGB, Rn. 7; Ernst, NJW 2003, 3233 (3237); a.A. Fischer, § 303a StGB, Rn. 3. 9 Zaczyk, NK, § 303a StGB, Rn. 6; Meinhardt, § 303a StGB, S. 150. 10 BT-Drs. 10/5058, S. 34.
A. Datenveränderung
319
Computing durch § 303a Abs. 1 StGB enorme praktische Bedeutung zukommt. Aus diesem Grund sollten zur Vermeidung von gravierenden Strafbarkeitslücken entsprechend den Ausführungen im Rahmen des § 202a Abs. 1 StGB11 auch Daten in den Tatbestand fallen, die sich zur Zeit des Innentäter-Angriffs im Arbeitsspeicher eines Cloud-Servers oder im Speicher des Cloud-Netzwerks befinden.12 Die Strafnorm schützt als Rechtsgut die Integrität von gespeicherten und übermittelten Daten, die es dem Verfügungsberechtigten ermöglicht, auf diese zuzugreifen oder sie zu verarbeiten.13 Problematisch ist allerdings, dass der Wortlaut des § 303a Abs. 1 StGB nicht wie in § 303 Abs. 1 StGB eine Begrenzung des Tatbestands auf solche Tatobjekte enthält, die fremd sind. Dies hat zur Folge, dass Beeinträchtigungen von Daten unter Strafe gestellt werden, an denen ausschließlich dem Täter die Verfügungsbefugnis zusteht.14 Eine solche Auslegung wäre aber offenkundig zu weit. Sie würde sozialadäquate Verhaltensweisen unter Strafe stellen und die Strafnorm entgegen dem Willen des Gesetzgebers zu einem Tatbestand zur Verfolgung inhaltlicher Unrichtigkeit sowie von Verletzungen des informationellen Selbstbestimmungsrechts umfunktionieren.15 Vor diesem Hintergrund sind im Hinblick auf das Bestimmtheitsgebot nach Art. 103 Abs. 2 GG, § 1 StGB gegen die Strafvorschrift vereinzelt verfassungsrechtliche Bedenken erhoben worden.16 Dem Erfordernis der tatbestandlichen Bestimmtheit kann jedoch dadurch Rechnung getragen werden, dass der Anwendungsbereich des § 303a StGB auf solche Daten beschränkt wird, an denen einer anderen Person ein unmittelbares rechtlich geschütztes Interesse in Form einer eigentümerähnlichen Datenverfügungsbefugnis zusteht.17 In diesem Fall ist ein strafwürdiges Unrecht gegeben, da eine fremde Rechtsposition verletzt wird und insofern eine andere Person als der Täter von der Tathandlung betroffen ist.18 Entsprechend seinem Schutzzweck und seiner systematischen Stellung des Tatbestands zur Strafvorschrift der Sachbeschädigung gem. 11
Siehe hierzu S. 127 f. Ebenso Hoyer, SK-StGB, § 303a, Rn. 3; a.A. Wolff, LK, § 303a StGB, Rn. 7; Fischer, § 303a StGB, Rn. 3. 13 Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 303a StGB, Rn. 1. 14 Wieck-Noodt, MK, § 303a StGB, Rn. 9; Weidemann, in: BeckOK StGB, § 303a StGB, Rn. 4. 15 Fischer, § 303a StGB, Rn. 4; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 128. 16 Zaczyk, NK, § 303a StGB, Rn. 1, 4; Tolksdorf, LK11, § 303a StGB, Rn. 7; Malek/Popp, Strafsachen, Rn. 182; verfassungsrechtliche Bedenken äußern auch Fischer, § 303a StGB, Rn. 4 f.; Hoyer, SK-StGB, § 303a, Rn. 1; Weidemann, in: BeckOK StGB, § 303a StGB, Rn. 4; Meinhardt, § 303a StGB, S. 84 ff., S. 91, S. 166; Frommel, JuS 1987, 667 (667 f.); Popp, JuS 2011, 385 (388); Welp, iur 1988, 443 (447). 17 Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 4; Weidemann, in: BeckOK StGB, § 303a, Rn. 5; Lenckner/Winkelbauer, CR 1986, 824 (829). 18 Hecker, Schönke/Schröder, § 303a StGB, Rn. 3. 12
320
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
§ 303 Abs. 1 StGB kann hierfür als einschränkendes Kriterium auf die „Fremdheit der Daten“ abgestellt werden.19 Im Ergebnis ohne Bedeutung20 ist dabei, ob man dieses Merkmal als ungeschriebenes Tatbestandsmerkmal21 ansieht und damit die Formulierung „rechtswidrig“ lediglich als deklaratorischen Verweis auf das allgemeine Verbrechensmerkmal der Rechtswidrigkeit interpretiert22 oder ob man für dessen Herleitung an das Tatbestandsmerkmal der Rechtswidrigkeit23 anknüpft.24 Denn letztendlich unterscheiden sich beide Ansichten nicht, da Einigkeit darüber besteht, dass nur dem Täter rechtlich nicht zuzuordnende Daten von § 303a Abs. 1 StGB geschützt sind.25 Mangels gesetzlicher Regelungen sind die Anknüpfungspunkte für die Begründung der Datenverfügungsbefugnis anhand der systematischen Stellung und des Schutzzwecks des § 303a StGB im Einzelfall zu entwickeln.26 Hierbei gelten im Prinzip ähnliche Erwägungen wie bei der Bestimmung der Verfügungsberechtigung bei § 202a Abs. 1 StGB.27 Nicht tragfähig als Zuordnungskriterium ist es jedenfalls, auf die aus dem Recht auf informationelle Selbstbestimmung abgeleitete inhaltliche Betroffenheit abzustellen, da sich allein aus einem Interesse am Inhalt eines Datums keine Verfügungsbefugnis über die Integrität der Daten begründet und ein solches Interesse bereits durch die datenschutzrechtlichen Straf- und Bußgeldvorschriften der Art. 83 DSGVO, § 42 BDSG geschützt wird.28 Um nicht § 303a StGB in eine
19 Fischer, § 303a StGB, Rn. 4a; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 5; Wieck-Noodt, MK, § 303a StGB, Rn. 9; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 588. 20 OLG Nürnberg ZD 2013, 282 (283); Wolff, LK, § 303a StGB, Rn. 8; Hirsnik, Angriff auf das Computersystem, S. 152; Krutisch, Zugang zu Computerdaten, S. 145. 21 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 135; Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Lenckner/Winkelbauer, CR 1986, 824 (828 f.); Welp, iur 1988, 443 (447). 22 Hecker, Schönke/Schröder, § 303a StGB, Rn. 10; Lenckner/Winkelbauer, CR 1986, 824 (829). 23 Wolff, LK, § 303a StGB, Rn. 8; Hoyer, SK-StGB, § 303a, Rn. 2; Heger, in: Lackner/ Kühl, § 303a StGB, Rn. 4; Hirsnik, Angriff auf das Computersystem, S. 151 f.; Hilgendorf, JuS 1996, 890 (892). 24 Die Ansicht Zaczyk, die Konkretisierungen des Tatbestands seien unzulässige Tatbestandsergänzungen; die allein in den Aufgabenbereich des Gesetzgebers fallen, weshalb die Norm wegen Verstoßes gegen Art. 103 Abs. 2 GG verfassungswidrig sei, verkennt, dass diese Auslegung dem Willen des Gesetzgebers entspricht, der in der Gesetzesbegründung selbst auf die Verletzung fremder Verfügungsrechte als Strafgrund Bezug nimmt; Zaczyk, NK, § 303a StGB, Rn. 4; vgl. BT-Drs. 10/5058, S. 34. 25 OLG Nürnberg ZD 2013, 282 (283); Wolff, LK, § 303a StGB, Rn. 8. 26 Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 129. 27 Siehe hierzu S. 129 ff. 28 Zaczyk, NK, § 303a StGB, Rn. 5; Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Welp, iur 1988, 443 (448); vgl. hierzu auch die Ausführungen auf S. 131 f.; genügen lassen wollen ein
A. Datenveränderung
321
Erweiterung des Urheberrechtsschutzes zu verwandeln und eine von dem Regime des Urheberrechts nicht vorgesehene Pönalisierung inhaltsverändernden Verhaltens außerhalb der §§ 69a ff., 106 ff. UrhG unter Strafe zu stellen, scheidet auch eine Datenzuordnung nach der geistigen Urheberschaft am Dateninhalt aus.29 Bezugnehmend auf den Charakter der Datenverfügungsbefugnis als eigentumsähnliches Recht könnte man aber die originäre Verfügungsberechtigung in Abhängigkeit von der sachenrechtlichen Zuordnung am Datenträger bestimmen.30 Fraglich ist allerdings, ob dies auch für das Cloud Computing uneingeschränkt zu übernehmen ist. Der Ansatz hat zur Folge, dass die Cloud-Anbieter als Eigentümer oder rechtmäßige Besitzer der Datenträger auch Verfügungsberechtigte über die auf ihren Servern gespeicherten Inhaltsdaten sind. Damit wären aber die Cloud-Nutzer vor Verletzungen der Integrität und Verfügbarkeit ihrer Inhaltsdaten durch die Mitarbeiter der Cloud-Anbieter völlig schutzlos gestellt. Vor diesem Hintergrund wird bei der Auslagerung eigener Daten auf fremden Datenträgern innerhalb dieser Ansicht übereinstimmend davon ausgegangen, dass der dingliche Nutzungsberechtigte die Befugnis zur Nutzung seines IT-Systems auf schuldrechtlicher Grundlage einem Dritten mit der Folge einräumen kann, dass diesem als Inhaber schuldrechtlicher Nutzungsrechte am Datenträger die Verfügungsbefugnis über seine dort rechtmäßig gespeicherten Daten zukommt.31 Unter dieser Voraussetzung steht die Verfügungsgewalt über die übermittelten und gespeicherten Inhaltsdaten allein den CloudNutzern zu, da ihnen mietrechtliche oder leiherechtliche Nutzungsbefugnisse32 an dem Cloud-System von den Cloud-Betreibern eingeräumt werden.33 Demzufolge könnten sich auch die Administratoren der Cloud-Anbieter in Ausübung der dinglichen Rechte ihres Geschäftsherrn wegen einer Datenunterdrückung gem. § 303a Abs. 1 StGB strafbar machen, wenn sie die Integrität und Verfügbarkeit der im Cloud-System gespeicherten Daten der schuldrechtlich nutzungsberechtigten
solches Interesse aber BT-Drs. 10/5058, S. 34; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 4; Möhrenschlager, wistra 86, 128 (141). 29 Siehe hierzu S. 132; a.A. Wolff, LK, § 303a StGB, Rn. 10 ff. 30 Hecker, Schönke/Schröder, § 303a StGB, Rn. 3. 31 Fischer, § 303a StGB, Rn. 6; Weidemann, in: BeckOK StGB, § 303a, Rn. 5; Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Wieck-Noodt, MK, § 303a StGB, Rn. 10; Zaczyk, NK, § 303a StGB, Rn. 5; Hoyer, SK-StGB, § 303a, Rn. 6. 32 Siehe umfassend zur vertragstypologischen Einordnung der Cloud-Dienstleistungen Meents, in: Borges/Meents (Hrsg.), Cloud Computing, § 4, Rn. 38 ff.; Wicker, Cloud Computing, S. 63 ff.; dies., MMR 2012, 783 (783 ff.); Kürzer: Intveen/Hilber/Rabus, in: Hilber (Hrsg.), Handbuch Cloud Computing, Teil 2, Rn. 149 f. 33 Wicker, Cloud Computing, S. 176; Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 290; vgl. auch Fischer, § 303a StGB, Rn. 6 f.; Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 4; Hirsnik, Angriff auf das Computersystem, S. 154; Lenckner/Winkelbauer, CR 1986, 824 (829); Welp, iur 1988, 443 (448).
322
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
Cloud-Anwender beeinträchtigen.34 Zu dem gleichen Ergebnis gelangt man auch, wenn man als Zuordnungskriterium allein auf den Skripturakt abstellt.35 Nach diesem Ansatz haben ebenfalls die Cloud-Nutzer als Urheber der Datenübertragung und Datenspeicherung im Cloud-System die Verfügungsbefugnis über die Inhaltsdaten inne. Insofern hat der in der Literatur bestehende Streit, ob die Bestimmung der Datenverfügungsbefugnis bei § 303a StGB nach sachenrechtlichen Kriterien zu erfolgen hat oder auf den Skripturakt als maßgebliches Zuordnungskriterium abzustellen ist, für die strafrechtliche Bewertung der Angriffsszenarien der Innentäter des Cloud Computing keine Bedeutung, da für sie die Nutzerdaten übereinstimmend fremde Daten i.S.d. § 303a Abs. 1 StGB darstellen. Dies gilt vor allem auch für die Serviceadministratoren, weil diese lediglich in Wahrnehmung ihrer Aufgaben aus dem Auftrags- bzw. Dienstverhältnis zum Cloud-Nutzer dienstliche Daten in das Cloud-System eingeben und die Nutzerdaten nach den Anweisungen ihres Geschäftsherrn verwalten.36 Des Weiteren verbleibt die Verfügungsberechtigung über die Inhaltsdaten auch dann bei den Cloud-Nutzern, wenn sie im Rahmen der PaaS- und SaaS-Nutzung Daten erstellen oder Synchronisationsdienste nutzen, die selbstständig Daten in der Cloud speichern. In diesen Fällen erbringt der Cloud-Anbieter über die Bereitstellung der entsprechenden Software hinaus keine eigene Leistung. Deshalb ist es auch nicht notwendig, ihn im Hinblick auf die im Rahmen der Software-Nutzung generierten Daten der Cloud-Anwender bzw. die automatisch gespeicherten Inhaltsdaten zu schützen, indem man ihm – vergleichbar der mittels einer Software erstellten Steuererklärung durch einen Steuerberater, der hierfür aber eigenes Wissen anwendet – eigentümerähnliche Rechte an den Nutzerdaten einräumt.37 Fraglich ist allerdings, ob die Cloud-Nutzer auch Verfügungsberechtigte der Datenkopien sind, die von den Cloud-Anbietern zum Zweck der Sicherung der Inhaltsdaten oder der schnelleren Verfügbarkeit der Cloud-Nutzung erstellt werden. Zum Teil wird in der Literatur die Ansicht vertreten, dass sich die Verfügungsberechtigung der Cloud-Nutzer nicht an den vorgenommenen Datenkopien der Anbieter fortsetzt.38 Dieser Ansatz widerspricht aber der Lehre vom Skripturakt, wo34 Vgl. Wicker, Cloud Computing, S. 176 f.; Hoyer, SK-StGB, § 303a, Rn. 6; Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Wieck-Noodt, MK, § 303a StGB, Rn. 10. 35 OLG Nürnberg ZD 2013, 282 (283); BayObLG, JR 1994, 476 (477); Hilgendorf, Satzger/ Schluckebier/Widmaier, § 303a StGB, Rn. 6; ders., JuS 1996, 890 (892); Welp, iur 1988, 443 (447). 36 Vgl. nur OLG Nürnberg ZD 2013, 282 (283); Wolff, LK, § 303a StGB, Rn. 14; Zaczyk, NK, § 303a StGB, Rn. 5; Eisele, Computerstrafrecht, § 9, Rn. 68; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 136; Popp, JuS 2011, 385 (388 f.); Hilgendorf, JuS 1996, 890 (893); Welp, iur 1988, 443 (448). 37 Wicker, Cloud Computing, S. 180 f.; vgl. auch Hoeren, MMR 2013, 486 (488); Welp, iur 1988, 443 (447). 38 Wicker, Cloud Computing, S. 181; siehe auch OLG Nürnberg ZD 2013, 282 (284); Fischer, § 303a StGB, Rn. 6; Hecker, Schönke/Schröder, § 303a StGB, Rn. 3; Weidemann, in:
A. Datenveränderung
323
nach die Cloud-Nutzer Veranlasser der Datenverarbeitungsprozesse in der Cloud und damit auch Urheber der in ihrem Auftrag erstellten Datenbackups sind. Auch in den schuldrechtlichen Nutzungsverträgen der Cloud-Anbieter wird zudem stets betont, dass alle (kopierten) Inhaltsdaten den Nutzern „gehören“.39 Entsprechend den Ausführungen im Rahmen des § 202a Abs. 1 StGB40 haben die Cloud-Nutzer daher auch bei dem Tatbestand der Datenveränderung gem. § 303a Abs. 1 StGB die Verfügungsbefugnis an den erstellten Datenkopien inne. Ob allerdings auch eine strafbare Verletzung der Integrität der Datenbackups i.S.d. § 303a Abs. 1 StGB möglich ist, ist anhand des Schutzzwecks der Norm, das Interesse des Cloud-Nutzers an der unversehrten Verwendbarkeit seiner gespeicherten Informationen zu gewährleisten,41 zu beurteilen. So wird ihr Bestandsinteresse auch bei einer Veränderung, Löschung oder Unbrauchbarmachung der Sicherungskopien tangiert.42 Zu denken ist in diesem Zusammenhang etwa an den Fall, in dem der Cloud-Nutzer gerade im Vertrauen auf die Erstellung von Datenbackups seitens der Anbieter auf eigene Sicherungskopien verzichtet. Diese Auslegung deckt sich zudem mit dem Wortlaut der Norm, wonach es für die Tatbestandsverwirklichung allein auf die konkret gespeicherte Datei ankommt, so dass es unerheblich ist, ob sich die Tat auf eine Originaldatei oder auf eine Sicherungskopie derselben bezieht.43 Nicht tatbestandsmäßig handeln dagegen Innentäter, wenn sie die (unerlaubt) erstellten Datenkopien für eigene Zwecke nutzen.44 In diesem Fall liegt nämlich kein Eingriff in das von § 303a StGB geschützte Bestandsinteresse des Cloud-Nutzers vor, da der Informationsgehalt der Originaldaten von der Tathandlung unberührt bleibt und diese weiterhin unter seiner Verfügungsgewalt stehen.45 Die Verfügungsbefugnis des Cloud-Nutzers endet zudem erst dann, wenn er entweder explizit auf sein Datenverfügungsrecht verzichtet oder seine Rechtsposition über einen längeren Zeitraum nicht mehr geltend gemacht hat, obwohl ihm dies möglich war, und der Cloud-Anbieter daraufhin auf eine Aufgabe seines VerfüBeckOK StGB, § 303a, Rn. 5; a.A. AG Böblingen CR 1989, 308 im Hinblick auf das Kopieren von Daten einer EC-Karte. 39 Siehe hierzu etwa die AGB von Dropbox; abrufbar unter https://www.dropbox.com/de/pri vacy#terms (zuletzt aufgerufen am 01. 02. 2018). 40 S. 133 f. 41 Statt vieler Zaczyk, NK, § 303a StGB, Rn. 2 m.w.N. 42 A.A. Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 290; Wicker, Cloud Computing, S. 183; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 134. 43 Hecker, Schönke/Schröder, § 303a StGB, Rn. 5; Fischer, § 303a StGB, Rn. 9; WieckNoodt, MK, § 303a StGB, Rn. 12; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 3; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 8; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 129; Lenckner/Winkelbauer, CR 1986, 824 (829). 44 Vgl. OLG Nürnberg ZD 2013, 282 (284); Fischer, § 303a StGB, Rn. 6; Hecker, Schönke/ Schröder, § 303a StGB, Rn. 3; Weidemann, in: BeckOK StGB, § 303a, Rn. 5. 45 Vgl. OLG Nürnberg ZD 2013, 282 (284); Hilgendorf, JuS 1996, 890 (890); MarberthKubicki, Computer- und Internetstrafrecht, Rn. 134.
324
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
gungsrechts vertrauen durfte (Rechtsgedanke der Verwirkung).46 Die Datenverfügungsbefugnis des Cloud-Nutzers erlischt somit nicht automatisch mit der Beendigung der vertraglichen Beziehungen zu den Cloud-Anbietern. Aus diesem Grund ist eine Strafbarkeit aus § 303a Abs. 1 StGB bei einer nicht vollständigen Herausgabe der Inhaltsdaten bei Ablauf des Cloud-Vertrags in Betracht zu ziehen. Dies gilt ebenso, wenn die Nutzerdaten nach Vertragsende sofort gelöscht werden, ohne dass der Cloud-Nutzer zuvor eine Möglichkeit hatte, seine Inhaltsdaten auf einen eigenen Datenträger oder in einen anderen Account zu kopieren.47
II. Tathandlungen Als Angriffshandlungen enthält die Vorschrift das Löschen, Unterdrücken, Unbrauchbarmachen und Verändern von Daten. Dass sich die Tathandlungen häufig überschneiden und sich nicht scharf voneinander abgrenzen lassen – zum Beispiel setzt das Verändern von Daten in vielen Fällen das vorherige Löschen anderer Daten voraus48 – ist vom Gesetzgeber beabsichtigt, um einen umfassenden und lückenlosen strafrechtlichen Schutz der Integrität und Verfügbarkeit von Daten zu gewährleisten.49 Entsprechend dieser gesetzgeberischen Intention wurde der Tatbestand auch als Erfolgsdelikt konzipiert, um eine Tatbestandsverwirklichung durch garantenpflichtwidriges Unterlassen i.S.d. § 13 StGB zu ermöglichen.50 Denkbar ist eine Strafbarkeit aus Unterlassen vor allem seitens der Administratoren der Cloud-Anbieter und Cloud-Nutzer, da sie infolge ihrer vertraglich übernommenen Schutzpflicht für die Sicherung der Nutzerdaten eine Garantenstellung innehaben.51 Sofern sie es unterlassen, bekannte Sicherheitsmängel zu schließen und dabei eine drohende Verletzung der Integrität und Verfügbarkeit der Nutzerdaten in Kauf nehmen, machen sie sich bei einer Veränderung, Löschung oder Unterdrückung der Nutzerdaten durch Dritte strafbar, wenn diese die aufrechterhaltene Sicherheitslücke für ihren Angriff ausnutzen.
46 47
196. 48
Hilgendorf, JuS 1996, 890 (894). Im Hinblick auf die sofortige Löschung eines E-Mail-Accounts OLG Dresden CR 2013,
BayObLG JR 1994, 476 (477). BT-Drs. 10/5058, S. 34; Fischer, § 303a StGB, Rn. 8; Wolff, LK, § 303a StGB, Rn. 18; als „gesetzestechnisch unsauber“ bezeichnend Zaczyk, NK, § 303a StGB, Rn. 11. 50 Wieck-Noodt, MK, § 303a StGB, Rn. 11; Fischer, § 303a StGB, Rn. 8; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 3. 51 Vgl. auch Wolff, LK, § 303a StGB, Rn. 18; Binder, RDV 1995, 116 (117); Hilgendorf, JuS 1996, 1082 (1084); zur Garantenpflicht siehe Roos/Schumacher, MMR 2014, 377 (380); siehe auch Bosch, Schönke/Schröder, § 13 StGB, Rn. 28; Sondermann, Computerkriminalität, S. 63. 49
A. Datenveränderung
325
1. Datenlöschung Die Tathandlung entspricht dem Zerstören einer Sache gem. § 303 Abs. 1 StGB und gleicht weitgehend der Begriffsdefinition des § 3 Abs. 4 Nr. 5 BDSG a.F. (Art. 4 Nr. 2 DSGVO).52 Von einem Löschen der Daten ist daher auszugehen, wenn diese vollständig und unwiederbringlich von einem Innentäter unkenntlich gemacht worden sind, so dass sie nicht mehr rekonstruiert werden können.53 Unerheblich ist dabei, auf welche Art und Weise er die Unkenntlichmachung der Inhaltsdaten realisiert. Demzufolge fallen alle Angriffshandlungen der Innentäter unter dieses Tatbestandsmerkmal, bei denen sie die Speicherung der Nutzerdaten im Cloud-System ganz oder teilweise aufheben. In diesem Sinn verwirklichen Innentäter beispielsweise die Tatbestandsalternative, wenn sie die Verkörperung der Inhaltsdaten auf den physischen Cloud-Servern durch eine Beschädigung oder Zerstörung von Serverund Netzwerkkomponenten des Cloud-Systems irreversibel beseitigen.54 Erfasst wird zudem eine Datenlöschung durch die Einschleusung von Viren und Würmern55 (z.B. mit dem ExploreZip-Wurm oder einem Killer-Programm, das bei einem üblichen Systemstart Programmteile löscht56). Daneben kann auch eine DDoS-Attacke die Tathandlung erfüllen, sofern sie zu einem Systemabsturz und zu einer vollständigen Vernichtung der Daten im Cloud-System führt.57 Zu einer Datenlöschung kommt es ferner bei einem Herunterfahren der physischen Server, einer Unterbrechung der Stromversorgung oder einer Überschreibung der Speicherbereiche der VM und Hypervisoren im Rahmen eines Buffer Overflows.58 Fraglich ist aber, ob eine andere rechtliche Bewertung der Angriffshandlungen geboten erscheint, wenn dem Nutzer (unveränderte) Sicherungskopien seiner Inhaltsdaten in der Cloud zur Verfügung stehen. Zum Teil wird in der Literatur die Ansicht vertreten, dass eine Veränderung, Löschung oder Unbrauchbarmachung der Datenbackups der Nutzer nicht den Straftatbestand des § 303a Abs. 1 StGB verwirklicht, sofern dem Cloud-Nutzer noch eine unverfälschte Datenversion erhalten 52
Wieck-Noodt, MK, § 303a StGB, Rn. 12; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 115; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 55. 53 BT-Drs. 10/5058, S. 34; Fischer, § 303a StGB, Rn. 9; Hecker, Schönke/Schröder, § 303a StGB, Rn. 5. 54 Vgl. Fischer, § 303a StGB, Rn. 9; Hecker, Schönke/Schröder, § 303a StGB, Rn. 5; Zaczyk, NK, § 303a StGB, Rn. 7; Wolff, LK, § 303a StGB, Rn. 23; Möhrenschlager, wistra 1986, 128 (141); a.A. Haft, der lediglich eine Sachbeschädigung am Datenträger annimmt; gem. § 303 Abs. 1 StGB Haft, NStZ 1987, 6 (10). 55 Vgl. Fischer, § 303a StGB, Rn. 9; Hecker, Schönke/Schröder, § 303a StGB, Rn. 5; Wieck-Noodt, MK, § 303a StGB, Rn. 12; Malek/Popp, Strafsachen, Rn. 187. 56 LG Ulm CR 1989, 825 (826). 57 Vgl. Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 115; Vetter, Gesetzeslücken, S. 62 f.; Roos/Schumacher, MMR 2014, 377 (379 f.). 58 Vgl. Fischer, § 303a StGB, Rn. 9; Hecker, Schönke/Schröder, § 303a StGB, Rn. 5; Vahle, RDV 1990, 128 (129).
326
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
bleibt, auf die er jederzeit zugreifen kann.59 Zur Begründung wird angeführt, dass das Bestandsinteresse der Cloud-Nutzer durch die Tathandlung des Innentäters in diesem Fall nicht tangiert werde. Unter Verweis auf die Parallelität der Strafvorschrift zu dem Tatbestand der Sachbeschädigung gem. § 303 Abs. 1 StGB wird zudem argumentiert, dass unerhebliche Verletzungshandlungen von der Strafvorschrift ausgeschlossen seien.60 Demzufolge seien Beeinträchtigungen der Datenintegrität lediglich straflose Bagatellfälle, wenn dem Cloud-Nutzer eine unverfälschte Datenkopie zur Verfügung stehe, auf die er jederzeit zugreifen könne und so den alten Zustand ohne nennenswerten Aufwand wiederherstellen könne.61 Strafbar seien daher Verletzungen der Datenintegrität nur dann, wenn der Cloud-Nutzer überhaupt nicht mehr die Möglichkeit habe, auf eine Version seiner gespeicherten Daten zuzugreifen, indem sowohl die Originaldatei als auch die Sicherungskopie gelöscht, unbrauchbar gemacht oder inhaltlich verfälscht wurde.62 Unter Zugrundelegung dieser Ansicht verwirklichen Innentäter beispielsweise dann den Tatbestand der Datenveränderung gem. § 303a Abs.1 StGB, wenn sie bei den Synchronisationsdiensten gemeinsam genutzte Daten mit Schadcodes (etwa mit der Ransomware „Virlock“) infizieren, wodurch sowohl die lokalen Daten als auch die in der Cloud gespeicherten Inhaltsdaten verändert bzw. verschlüsselt werden.63 In diesem Fall stehen nämlich dem Cloud-Nutzer überhaupt keine unverfälschten Daten mehr zur Verfügung.64 Für diese Auffassung spricht zwar, dass die Cloud-Nutzer nicht spürbar beeinträchtigt werden, wenn sie weiterhin auf ihre ausgelagerten Informationen zugreifen können. Zumal es für sie in diesem Fall letztendlich auch keinen Unterschied macht, ob es sich hierbei um die ursprünglich hochgeladene Originaldatei handelt oder ob nunmehr nur noch eine Sicherungskopie, die sich nicht vom Original unterscheidet, vorgehalten wird.65 Den Vorzug verdient dennoch die Gegenansicht, die annimmt, dass auch das Bestehen einer Sicherungskopie nicht zur Straflosigkeit führen kann, da es für die Tatbestandsverwirklichung – wie bereits ausgeführt wurde – allein auf die konkret gespeicherte Datei ankommt.66 Eine Einschränkung des Tatbestands 59
Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), CloudServices, S. 290; Wicker, Cloud Computing, S. 183. 60 Wolff, LK, § 303a StGB, Rn. 19; Zaczyk, NK, § 303a StGB, Rn. 11; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 589; im Ergebnis auch Wicker, Cloud Computing, S. 183. 61 Wolff, LK, § 303a StGB, Rn. 19; Hirsnik, Angriff auf das Computersystem, S. 160; Hilgendorf, JuS 1996, 890 (891). 62 Wicker, Cloud Computing, S. 183. 63 Vgl. Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 134; a.A. Wolff, LK, § 303a StGB, Rn. 29. 64 Die nachfolgende Erpressung des Opfers, das gegen Geldzahlung zum Freikauf seiner Daten genötigt werden soll, erfüllt zudem den Straftatbestand der (versuchten) Erpressung gem. § 253 StGB; ausführlich hierzu Vogelgesang/Möllers, jM 2016, 381 (383 f.). 65 So Wicker, Cloud Computing, S. 183. 66 Hecker, Schönke/Schröder, § 303a StGB, Rn. 5; Fischer, § 303a StGB, Rn. 9; WieckNoodt, MK, § 303a StGB, Rn. 12; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 3; Hilgendorf,
A. Datenveränderung
327
dahingehend, dass durch die Tathandlung ein Informationsverlust beim Opfer eingetreten sein müsste, lässt sich nämlich dem Wortlaut nicht entnehmen. Eine solche Auslegung würde auch dem Willen des Gesetzgebers, Datenmanipulationen vollständig und lückenlos unter Strafe zu stellen, widersprechen.67 Auch aus kriminalpolitischen Gründen vermag die Gegenansicht nicht zu überzeugen. Schutzgut der Strafvorschrift ist die Verfügungsgewalt des Berechtigten an seinen gespeicherten Informationen. Diese Verfügungsbefugnis wird aber auch beim Vorhandensein von Sicherheitskopien verletzt, wenn konkrete Daten gegen seinen Willen gelöscht werden. Demnach kann es für den Schutz des Verfügungswillens der Cloud-Nutzer über ihre Inhaltsdaten nach der ratio legis der Strafvorschrift auch nicht auf das Bestehen einer Sicherungskopie ankommen, um eine gegen ihren Willen vorgenommene Verletzung der Datenintegrität zu verneinen. 2. Datenunterdrückung Ein Unterdrücken ist gegeben, wenn Inhaltsdaten dem Zugriff der Cloud-Nutzer entzogen und deshalb von ihnen nicht mehr verwendet werden können.68 Anders als beim Löschen bleibt die physische Integrität der Daten hierbei unberührt.69 Die Feststellung eines konkreten Verwendungswillens der Nutzer ist dabei aber nicht erforderlich; ausreichend ist die Beeinträchtigung ihrer potentiellen Zugriffsmöglichkeit.70 Die Tathandlung ist bereits dann verwirklicht, wenn die ausgelagerten Daten den Nutzern vorübergehend nicht mehr zur Verfügung stehen.71 Tendenzen in der Rechtsprechung, kurzfristige Datenunterdrückungen aufgrund des im Strafrecht geltenden „Ultima-Ratio“-Grundsatzes von dem Anwendungsbereich des Tatbestands auszuschließen,72 sind insofern abzulehnen. Nach dem Gesetzeswortlaut wird zur Verwirklichung der Angriffshandlung keine besondere Mindestdauer vorausgesetzt. Auch die Gesetzesbegründung, wonach für die Tathandlung gefordert wird, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 8; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 129; Lenckner/Winkelbauer, CR 1986, 824 (829). 67 BT-Drs. 10/5058, S. 34. 68 Vgl. BT-Drs. 10/5058, S. 34 f.; Hecker, Schönke/Schröder, § 303a StGB, Rn. 6; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 130. 69 Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 9; Wolff, LK, § 303a StGB, Rn. 24; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 177; Möhrenschlager, wistra 1986, 128 (141). 70 Hecker, Schönke/Schröder, § 303a StGB, Rn. 6; Wieck-Noodt, MK, § 303a StGB, Rn. 13; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 591. 71 Wolff, LK, § 303a StGB, Rn. 24; Zaczyk, NK, § 303a StGB, Rn. 8; Wieck-Noodt, MK, § 303a StGB, Rn. 13; Fischer, § 303a StGB, Rn. 10; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 591; Ernst, NJW 2003, 3233 (3237); Lenckner/Winkelbauer, CR 1986, 824 (829). 72 OLG Frankfurt a.M. MMR 2006, 547 (551); zust. Malek/Popp, Strafsachen, Rn. 188.
328
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
dass die Daten „nicht mehr“ von dem Berechtigten verwendet werden können,73 deutet nicht auf eine zeitliche Komponente hin. Die Wendung „nicht mehr“ in den Materialien bringt wohl nur zum Ausdruck, dass dem Berechtigten die Daten vor der Unterdrückung zur Verfügung standen und dies dann nach der Tathandlung eben nicht mehr der Fall ist.74 Auch kriminalpolitisch ist nicht ersichtlich, warum eine vorsätzliche und rechtswidrige Datenentziehung erst dann strafwürdiges Unrecht darstellen soll, wenn sie endgültig wirkt. Bereits eine kurzzeitige Nichterreichbarkeit von Daten kann empfindliche Schäden bei den Opfern herbeiführen.75 Dies ist vor allem dann denkbar, wenn die Cloud-Dienstleistungen von einem Unternehmen genutzt werden oder die Cloud als kritische Infrastruktur gem. §§ 2 Abs. 10, 10 Abs. 1 S. 1 BSI-Gesetz i.V.m. Teil 3 Nr. 2.3.1 der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) betrieben wird. Insofern spricht auch der Umfang und die Intensität der Beeinträchtigung trotz ihrer zeitlich überschaubaren Dauer für eine tatbestandliche Unterdrückung, so dass alleine die geringe Dauer nicht zwangsläufig bedeutet, dass einer Entziehung Bagatellcharakter zukommt.76 Darüber hinaus widerspricht die Gegenansicht auch der Gesetzessystematik. Sie würde dazu führen, dass der Datenunterdrückung kein sinnvoller eigener Anwendungsbereich neben den anderen Begehungsalternativen verbleibt.77 Eine dauerhafte Datenentziehung ließe sich nach der Gegenansicht nämlich nur dann feststellen, wenn der Innentäter auf die Daten selbst oder den Datenträger so eingewirkt hat, dass klar ist, dass die Daten unwiederbringlich verloren sind. Dies ist etwa der Fall, wenn der Innentäter die Daten löscht oder den Datenträger zerstört. Solche Handlungen sind aber bereits durch die Tatbestandsalternativen des Löschens und Unbrauchbarmachens abgedeckt.78 Des Weiteren führt das Erfordernis eines dauerhaften Entzugs der Daten beim Cloud Computing auch zu zufälligen Ergebnissen. So bleibt nach der Gegenansicht eine Unterdrückung der in die Cloud ausgelagerten Inhaltsdaten immer dann straflos, wenn die CloudNutzer noch anderweitig auf sie zugreifen können. Dies ist etwa der Fall, wenn sie ihre Daten zusätzlich auf einem Endgerät gespeichert haben. Unberücksichtigt bleibt dabei aber, dass ihnen durch die Tathandlung gerade die Nutzung der Cloud-Dienste verwehrt bleibt. Zusammenfassend ist daher der herrschenden Meinung79 zu folgen, 73
BT-Drs. 10/5058, S. 35. Kitz, ZUM 2006, 730 (734). 75 Vgl. Hecker, Schönke/Schröder, § 303a StGB, Rn. 6; Eisele, Computerstrafrecht, § 9, Rn. 73; Gercke, ZUM 2007, 282 (286 f.); Jüngel/Schwan/Neumann, MMR 2005, 820 (821); Binder, RDV 1995, 116 (118). 76 Preuß, Die Kontrolle von E-Mails, S. 318; Gercke, ZUM 2007, 282 (287); vgl. auch Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 179. 77 Hecker, Schönke/Schröder, § 303a StGB, Rn. 6; Kitz, ZUM 2006, 730 (734). 78 Kitz, ZUM 2006, 730 (734). 79 Wolff, LK, § 303a StGB, Rn. 24; Fischer, § 303a StGB, Rn. 10; Hoyer, SK-StGB, § 303a, Rn. 9; Hecker, Schönke/Schröder, § 303a StGB, Rn. 6; Zaczyk, NK, § 303a StGB, Rn. 8; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 303a StGB, Rn. 5; Binder, RDV 1995, 116 (118). 74
A. Datenveränderung
329
die in Anlehnung an die Strafvorschrift der Urkundenunterdrückung gem. § 274 Abs. 1 Nr. 2 StGB eine zeitwillige Datenentziehung zur Tatbestandsverwirklichung ausreichen lässt80 und damit verhindert, dass die Datenunterdrückung durch das Erfordernis des dauerhaften Entzugs in eine Datenzueignung umgedeutet wird.81 Vor diesem Hintergrund machen sich Innentäter wegen einer Datenunterdrückung strafbar, wenn sie vorsätzlich Konfigurationsdaten ändern oder durch einen DDoSAngriff82 bzw. dem Einschleusen von Malware83 in das Cloud-System Störungen des Netzwerkverkehrs herbeiführen, die dazu führen, dass die Cloud-Nutzer vorübergehend nicht mehr auf ihre Daten zugreifen können und sie hierdurch nach Umfang und Intensität des Angriffs nicht nur unwesentlich beeinträchtigt sind. Insofern wird vom Tatbestand der Datenveränderung auch das Portscanning erfasst, wenn es als Mittel eines DDoS-Angriffs genutzt wird, um das Cloud-System durch mehrere Systemanfragen zu blockieren.84 Daneben kann eine Datenvorenthaltung aber auch beim Spamming85 oder bei einem Ransomware-Angriff86 erfolgen, in dem etwa das Zugangspasswort87, die Verschlüsselungs-Keys oder die Dateinamen88 verändert bzw. die Inhaltsdaten mit einem dem Cloud-Nutzer unbekannten Entschlüsselungscode verschlüsselt werden, um ihn zum Freikauf seiner Daten zu zwingen. Eine Kontosperrung ist darüber hinaus seitens der Administratoren der Cloud-Anbieter 80 Weidemann, in: BeckOK StGB, § 303a StGB, Rn. 10.2.; Vetter, Gesetzeslücken, S. 65; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 179. 81 Tolksdorf, LK11, § 303a StGB, Rn. 27. 82 Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 9; Heckmann, in: jurisPraxisKommentar, Kap. 8, Rn. 31; Roos/Schumacher, MMR 2014, 377 (380); Gercke, ZUM 2007, 282 (286 f.); Ernst, NJW 2003, 3233 (3238). 83 Vgl. LG Ulm CR 1989, 825 (826); Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 9. 84 Rinker, MMR 2002, 663 (665). Das Cloud-System hat zum Internet hin mehrere Ein- und Ausgänge, sog. Ports. Beim Portscanning tastet der Cloud-Nutzer diese Ein- und Ausgänge ab, um Schwachstellen und damit verbundene Angriffswege auf die Cloud-Dienste herauszufinden. Daneben kann das Portscanning bei einer entsprechenden Anzahl von gleichzeitig durchgeführten „Scans“ auch für einen (D)DoS-Angriff eingesetzt werden. 85 Wolff, LK, § 303a StGB, Rn. 33; Ernst, NJW 2003, 3233 (3239). Spamming (Mailbombing) kann im Rahmen der CaaS-Dienste verübt werden. Unter dieser Angriffsform versteht man das massenhafte Versenden von E-Mails an eine unbestimmte Anzahl von Nutzern, um den gesamten E-Mail-Verkehr lahmzulegen. Zwar kommt beim Spamming auch eine Ordnungswidrigkeit nach den § 16 Abs. 1, Abs. 3 i.V.m. § 6 Abs. 2 TMG in Betracht, die mit einer Geldbuße von bis zu 50.000 EUR geahndet werden kann, allerdings tritt der Bußgeldtatbestand hinter den verwirklichten Straftaten aus §§ 303a, 303b StGB gem. § 21 Abs. 1 Satz 1 OWiG zurück; ausführlich hierzu Bär, Roßnagel (Hrsg.), Beck-TMG, § 16, Rn. 11 ff. 86 Heckmann, in: juris-PraxisKommentar, Kap. 8, Rn. 140; Vogelgesang/Möllers, jM 2016, 381 (383). 87 Vgl. Zaczyk, NK, § 303a StGB, Rn. 8; Ernst, NJW 2003, 3233 (3238); Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 9; ders., JuS 97, 323 (325); Lenckner/ Winkelbauer, CR 1986, 824 (829). 88 Vgl. Hoyer, SK-StGB, § 303a, Rn. 9; Hecker, Schönke/Schröder, § 303a StGB, Rn. 6; Zaczyk, NK, § 303a StGB, Rn. 8; Hilgendorf, JuS 1996, 890 (891).
330
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
auch durch eine Verhinderung des Zugriffs auf die API möglich. Ob hierin aber auch eine rechtswidrige Tat zu sehen ist, muss im Einzelfall näher geprüft werden.89 Unproblematisch ist dagegen eine Strafbarkeit der Sicherheits- und Netzwerkadministratoren gegeben, wenn sie z.B. die DPI-Technologie oder die Netzwerksniffer dazu missbrauchen, die Inhaltsdaten während ihrer Übertragung umzuleiten oder auszufiltern und dadurch verhindern, dass die übertragenen Nutzerdaten auf dem Cloud-System gespeichert werden.90 Daneben können sie eine tatbestandsmäßige Datenunterdrückung auch bei einem ARP-Spoofing begehen, sofern sie die Verfügbarkeit der Cloud-Dienste durch die Eintragung einer nicht existierenden MACAdresse eines Cloud-Servers im ARP-Cache beeinträchtigen.91 3. Unbrauchbarmachen von Daten Unbrauchbar gemacht sind Daten, wenn sie – entsprechend dem Beschädigen i.S.d. § 303 Abs. 1 StGB – in ihrer Gebrauchsfähigkeit so beeinträchtigt werden, dass sie nicht mehr ordnungsgemäß verwendet werden können und damit ihren bestimmungsgemäßen Zweck nicht mehr zu erfüllen vermögen.92 Eine solche Wirkung können Innentäter durch inhaltliche Manipulationen an den übertragenen oder gespeicherten Inhaltsdaten erreichen. Denkbare Angriffsformen sind das Überschreiben einzelner Daten, ihre inhaltliche Umgestaltung durch Wiederherstellung älterer oder gefälschter Replikate oder das Hinzufügen weiterer (Teil-)Daten.93 Zudem fällt auch eine Beschädigung oder Löschung einzelner Datenfragmente unter die Handlungsvariante des Unbrauchbarmachens, wenn bei einer geteilten Speicherung der Inhaltsdaten auf mehreren Datenträgern bewirkt wird, dass sich die Datenfragmente nach ihrer Zusammenführung inhaltlich widersprechen.94
89
Hierzu S. 333 ff. Vgl. Wolff, LK, § 303a StGB, Rn. 25; Hirsnik, Angriff auf das Computersystem, S. 164; vgl. hierzu die Rechtslage zum Abfangen von E-Mails Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 140; Jüngel/Schwan/Neumann, MMR 2005, 820 (823 f.); Hoeren, NJW 2004b, 3513 (3515). 91 Vgl. BSI, ISi-LANA, S. 120. 92 BT-Drs. 16/5058, S. 35; Hecker, Schönke/Schröder, § 303a StGB, Rn. 7; Wieck-Noodt, MK, § 303a StGB, Rn. 14. 93 Vgl. Hecker, Schönke/Schröder, § 303a StGB, Rn. 7; Zaczyk, NK, § 303a StGB, Rn. 9; Wieck-Noodt, MK, § 303a StGB, Rn. 14; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 180 f. 94 Vgl. Wieck-Noodt, MK, § 303a StGB, Rn. 14; Wolff, LK, § 303a StGB, Rn. 26; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 10; Bühler, MDR 1987, 448 (455). 90
A. Datenveränderung
331
4. Datenveränderung Inhaltsdaten werden verändert, wenn sie inhaltlich umgestaltet werden und dadurch einen anderen Informationsgehalt erhalten.95 Da es auch bei dieser Tatmodalität nicht auf eine besondere Begehungsweise des Innentäters ankommt, stellt jede Veränderung des Aussagegehalts der Nutzerdaten eine tatbestandliche Datenveränderung dar. Dies kann z.B. durch eine Teillöschung, das Hinzufügen weiterer Daten, die Übersetzung in eine andere Programmiersprache oder eine geänderte Verknüpfung mit anderen Datensätzen des Nutzers geschehen.96 Während das unbefugte Kopieren der Nutzerdaten und deren Übertragung auf tätereigene Datenträger den Informationsgehalt der Nutzerdaten unberührt lässt und kein tatbestandliches Verändern darstellt,97 kommt die Begehungsalternative aber bei einer inhaltlichen Umgestaltung der Nutzerdaten durch Malware in Betracht, indem sie z.B. durch die eingesetzten Schadcodes verschlüsselt oder überschrieben werden oder sie bei einer Löschung einzelner Datenbestandteile einen anderen Sinn erhalten.98 Darüber hinaus ist fraglich, ob bereits die Speicherung der Malware in einer fremden VM oder im physischen Host-System der Cloud tatbestandlich erfasst wird. Ob dies der Fall ist, muss im Einzelfall anhand der Wirkungsweise und Funktion der Schadprogramme bestimmt werden. Eine Strafbarkeit aus § 303a Abs. 1 StGB ist jedenfalls dann gegeben, wenn die Malware eine tatsächlich aktivierte Schadensroutine besitzt, die nach ihrer Wirkungsweise eine Löschung, Veränderung, Unterdrückung oder Unbrauchbarmachung von Daten bewirkt.99 Die Einschleusung von entsprechenden Viren100 oder logischen Bomben101, etwa bei einer Malware Injection oder bei einem RansomwareAngriff102, verwirklicht damit den objektiven Tatbestand des § 303a Abs. 1 StGB. In der Infizierung der physischen oder virtuellen fremden Speicherbereiche des Cloud95 Wolff, LK, § 303a StGB, Rn. 11; Weidemann, in: BeckOK StGB, § 303a StGB, Rn. 13; Fischer, § 303a StGB, Rn. 12. 96 Wieck-Noodt, MK, § 303a StGB, Rn. 15; Weidemann, in: BeckOK StGB, § 303a StGB, Rn. 13; Hecker, Schönke/Schröder, § 303a, Rn. 8. 97 Fischer, § 303a StGB, Rn. 12; Wieck-Noodt, MK, § 303a StGB, Rn. 15; Wolff, LK, § 303a StGB, Rn. 29; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 3; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 142; a.A. Richter, CR 1989, 303 (305 f.). 98 Vgl. Wieck-Noodt, MK, § 303a StGB, Rn. 15; ausführlich hierzu Wolff, LK, § 303a StGB, Rn. 30 f. 99 Heckmann, in: juris-PraxisKommentar, Kap. 8, Rn. 139; Hirsnik, Angriff auf das Computersystem, S. 171; Eischelberger, MMR 2004, 594 (595). 100 Hirsnik, Angriff auf das Computersystem, S. 171; Krutisch, Zugang zu Computerdaten, S. 153; Wolff, LK, § 303a StGB, Rn. 30. 101 Krutisch, Zugang zu Computerdaten, S. 153; Wolff, LK, § 303a StGB, Rn. 30; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 147; Kochheim, Cybercrime und Strafrecht, Rn. 646; Mühle, Hacker und Computerviren, S. 103. 102 Vogelgesang/Möllers, jM 2016, 381 (383).
332
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
Systems ohne vorherige Aktivierung der Schadensroutine stellt somit bei dieser Art von Schadsoftware bereits ein unmittelbares Ansetzen zum strafbaren Versuch gem. § 303a Abs. 2 StGB dar.103 Umstritten ist die Rechtslage aber bei der Installation von Spyware (Trojaner, Backdoor und Keylogger) und beim Aufspielen von nicht-überschreibenden Viren, die nicht Teile des infizierten Programms (Wirtsprogramms) überschreiben (überschreibender Virus)104, sondern sich lediglich an das Wirtsprogramm anhängen (nicht-überschreibender Virus) sowie bei Würmern, die sich unabhängig von einer Wirtsdatei auf fremden VM verbreiten.105 Ein nicht unerheblicher Teil im Schrifttum verneint in diesen Fällen eine Strafbarkeit aus § 303a Abs. 1 StGB mit dem Argument, dass keine Funktionsbeeinträchtigung der fremden Inhaltsdaten gegeben sei, da lediglich freier Speicherplatz in der VM bzw. in den Speicherbereichen des physischen Host-Systems belegt werde, ohne dass die Nutzerdaten einen anderen Informations- oder Aussagegehalt erhielten.106 Nicht erfasst werde daher z.B. die Installation eines sog. Backdoor-Trojaners im Cloud-System, dessen Funktionsweise es dem Innentäter ermöglicht, fremde Nutzerdaten auszuspähen.107 Denn in solchen Konstellationen werden zwar durch Hinzufügen neuer Daten fremde Speicherbereiche zur Installation des Trojanischen Pferdes genutzt, jedoch werden die Nutzerdaten hierbei nicht verändert, da sie ihren ursprünglichen Verwendungszweck nicht einbüßen.108 Dem kann jedoch entgegengehalten werden, dass die Malware zwingend eine Start- oder Referenzroutine in die befallene Software oder in dem Betriebssystem der VM bzw. des physischen Host-Systems der Cloud einfügen muss, um ihre Scha-
103 Fischer, § 303a StGB, Rn. 16; Malek/Popp, Strafsachen, Rn. 193; Eischelberger, MMR 2004, 594 (595); differenzierend Wolff, LK, § 303a StGB, Rn. 36; ausführlich zum Versuchsbeginn beim Einsatz von Malware Kochheim, Cybercrime und Strafrecht, S. 215 ff. 104 Der Einsatz solcher Viren verwirklicht den Tatbestand der Datenveränderung. Durch das Überspielen des Wirtsprogramms werden Daten gelöscht und verändert. Daneben kommt auch ein Unbrauchbarmachen von Daten in Betracht, wenn das Wirtsprogramm nach seiner Infektion nicht mehr ablauffähig ist; Krutisch, Zugang zu Computerdaten, S. 153; Mühle, Hacker und Computerviren, S. 98. 105 Heckmann, in: juris-PraxisKommentar, Kap. 8, Rn. 139; Hirsnik, Angriff auf das Computersystem, S. 171; Krutisch, Zugang zu Computerdaten, S. 152. 106 Fischer, § 303a StGB, Rn. 12; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 11; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 597; Hirsnik, Angriff auf das Computersystem, S. 171 f.; Krutisch, Zugang zu Computerdaten, S. 153; Schuh, Computerstrafrecht, S. 218; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 189; Mühle, Hacker und Computerviren, S. 103; Ernst, NJW 2003, 3233 (3238); differenzierend nach der Ausgestaltung des Trojaners Wolff, LK, § 303a StGB, Rn. 32; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 192. 107 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 597. 108 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 597.
A. Datenveränderung
333
densfunktionen ausführen zu können.109 Hierdurch wird das infizierte Programm durch die infizierten Teile erweitert und inhaltlich umgestaltet, da es neue Arbeitsanweisungen und damit einen neuen Dateninhalt erhält.110 Zudem zielt die Malware darauf ab, ihre Schadensfunktionen unentdeckt im Cloud-System auszuüben, wofür ebenfalls Systemeinstellungen, d.h. gespeicherte Programmdaten der Cloud, verändert werden müssen.111 Schließlich lässt der erste Ansatz auch unberücksichtigt, dass der Informationsgehalt des virtuellen oder physischen Gesamtspeichers durch die Einschleusung der Schadprogramme erweitert und die Datenspeicherkapazität durch die Installation einer neuen Software vermindert wird.112 Letztendlich hängt die Strafbarkeit des Einsatzes von Malware nach der ersten Ansicht auch von dem bloßem Zufall ab, ob ihre Schadensroutine zur Infizierung des fremden IT-Systems in strafbarer Weise Daten überschreibt oder ob sie hierfür leeren Speicherplatz mit der Folge in Anspruch nimmt, dass ihre Verwendung straffrei bleibt. Dieser Umstand führt in der Praxis zu erheblichen Beweisschwierigkeiten.113 Auch vor dem Hintergrund der Intention des Gesetzgebers, die Datenintegrität umfassend zu schützen, erscheint es vorzugswürdig, eine Strafbarkeit aus § 303a Abs. 1 StGB auch bei der Infizierung fremder Speicherbereiche in der Cloud mit nicht-überschreibenden Viren, Würmern und Spyware zu bejahen.114
III. Rechtswidrigkeit der Tathandlung Schließlich muss die Tathandlung des Innentäters auch rechtswidrig sein. Systematisch handelt es sich bei diesem Merkmal nicht um ein allgemeines Verbrechens-115, sondern um ein einschränkendes Tatbestandsmerkmal.116 Denn inhaltlich kennzeichnet das Rechtswidrigkeitserfordernis die Verletzung der Rechtsposition 109 Vgl. Eischelberger, MMR 2004, 594 (595); Hilgendorf, JuS 1997, 323 (324 f.); Vahle, RDV 1990, 128 (130); siehe auch Kochheim, Cybercrime und Strafrecht, Rn. 664 ff.; Buermeyer/Golla, K&R 2017, 14 (15). 110 Weidemann, in: BeckOK StGB, § 303a, Rn. 13; Heghmanns, in: Achenbach/Ransiek/ Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 141; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 118; Kochheim, Cybercrime und Strafrecht, Rn. 322, 324; Eischelberger, MMR 2004, 594 (595). 111 Jones, Mobile Geräte im Strafrecht, S. 118; speziell zum Einsatz von Computerwürmern siehe Schuh, Computerstrafrecht, S. 223; Eischelberger, MMR 2004, 594 (595). 112 Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 130; Krischker, Internetstrafrecht, S. 114. 113 Krischker, Internetstrafrecht, S. 114. 114 Vgl. Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 130; Krischker, Internetstrafrecht, S. 114. 115 So aber Fischer, § 303a StGB, Rn. 13; Hecker, Schönke/Schröder, § 303a StGB, Rn. 10; Wicker, Cloud Computing, S. 191; Lenckner/Winkelbauer, CR 1986, 824 (828). 116 Zaczyk, NK, § 303a StGB, Rn. 12; Wieck-Noodt, MK, § 303a StGB, Rn. 17; Wolff, LK, § 303a StGB, Rn. 9; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 4; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 598; Hilgendorf, JuS 1996, 890 (894).
334
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
des Cloud-Nutzers,117 so dass die Tathandlung ohne oder gegen seinen Willen vorgenommen worden sein muss. Ist der Cloud-Nutzer daher mit der Vorgehensweise des Innentäters einverstanden, schließt dies den Tatbestand aus (tatbestandsausschließendes Einverständnis).118 Die Sperrung der Zugangsmöglichkeiten des Cloud-Nutzers auf seinen Benutzeraccount durch die Administratoren der Cloud-Anbieter erfüllt zwar in objektiver und subjektiver Hinsicht den Tatbestand der Datenunterdrückung, fraglich ist aber, ob diese Einwirkung auf die Nutzerdaten auch dann rechtswidrig ist, wenn sie auf einem berechtigten Interesse des Cloud-Anbieters beruht. Zu denken ist etwa an die Blockierung des Kontozugriffs zwecks Durchsetzung von fälligen und durchsetzbaren Zahlungsansprüchen der Anbieter oder einer Einstellung der Dienstleistungserbringung, wenn die Cloud-Nutzung Rechte Dritter gefährdet. Zum Ausschluss ihrer zivilrechtlichen Haftung oder zur Sicherung ihrer Zahlungsansprüche gegen den Cloud-Nutzer behalten sich die Cloud-Anbieter in ihren Vertragsbedingungen regelmäßig die Rechte vor, die Cloud-Dienste einzustellen und den Zugang der Nutzer zu sperren oder zu beschränken. So heißt es etwa in den Nutzungsbedingungen von Amazon Drive vom 26. 07. 2016: „Ihre Rechte aus der Vereinbarung enden automatisch ohne weitere Mitteilung, wenn Sie die darin enthaltenen Bedingungen nicht erfüllen. Wir können die Vereinbarung jederzeit und im eigenen Ermessen beenden oder Ihre Nutzung des Services beschränken, zeitweilig einstellen oder beenden, auch wenn wir feststellen, dass Ihre Nutzung die Vereinbarung verletzt, missbräuchlich ist, von einer normalen Nutzung durch andere Benutzer abweicht oder diese übersteigt oder auf andere Weise mit Betrug oder Missbrauch des Services verbunden ist oder unsere Interessen oder denen eines anderen Nutzers des Services schadet. Wenn Ihr Servicepaket beschränkt, zeitweilig eingestellt oder beendet wird, können Sie möglicherweise nicht auf Ihre Dateien zugreifen und Sie erhalten keine Rückerstattung von Gebühren oder eine anderweitige Entschädigung.“119
Diese Vereinbarungen wirken sich im Strafrecht rechtlich als (konkludente) Zustimmung des Cloud-Nutzers zu dem entsprechenden Vorgehen der Administratoren der Cloud-Anbieter aus.120 Dementsprechend entfällt eine Strafbarkeit aus § 303a Abs. 1 StGB, wenn diese den Zugang des Nutzers zu den Cloud-Dienstleistungen zur Sicherung der Zahlungsansprüche des Anbieters (zeitweilig) ausschließen oder die Dienstleistungen einstellen, um kriminelle Aktivitäten des Nutzers (z.B. Speichern von urheberrechtsverletzenden Inhalten oder Malware, Missbrauch der Cloud für Schneeball-Systeme, Phishing- oder Pharming-Angriffe) zu unterbinden. Auf die zivilrechtliche Wirksamkeit der Vertragsbedingungen nach den 117
Siehe hierzu S. 319 f. Vgl. Hoyer, SK-StGB, § 303a, Rn. 12; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 12. 119 https://www.dropbox.com/terms (zuletzt aufgerufen am 01. 02. 2018). 120 Vgl. die Rechtslage zur Programmsperrung LG Ulm, CR 1989, 825 (826); ausführlich zu den zivil- und strafrechtlichen Aspekten Wuermeling, CR 1994, 585 (586 ff.). 118
A. Datenveränderung
335
§§ 307 ff. BGB kommt es dabei für die strafrechtliche Wertung der Zustimmung des Cloud-Nutzers als tatbestandsausschließendes Einverständnis nicht an.121 Die gesetzliche Wertentscheidung der Vorschriften zur Inhaltskontrolle können zur Bestimmung der Wirksamkeit des Einverständnisses des Nutzers schon deshalb nicht herangezogen werden, weil der Tatbestand der Datenveränderung gem. § 303a Abs. 1 StGB allein die tatsächliche Verfügungsgewalt über Daten schützt und damit keinen rechtsgeschäftlichen Bezug aufweist.122 Aufgrund des rein tatsächlichen Charakters des Einverständnisses ist einzig entscheidend, dass die Zustimmung des Cloud-Nutzers auf einem frei gefassten Entschluss beruht und zu Beginn der Tatausführung vorliegt. In dieser Hinsicht beeinflusst aber die Verwendung von unwirksamen AGB i.S.d. §§ 307 ff. BGB nicht die autonome Entscheidung des Nutzers, die Cloud-Dienstleistungen zu den festgelegten Vertragsvereinbarungen des Anbieters in Anspruch zu nehmen.123 Dieses Ergebnis wird auch durch die unterschiedlichen Regelungsziele des tatbestandlichen Einverständnisses und der zivilrechtlichen Inhaltskontrolle gestützt:124 Während das Einverständnis der Ausübung der allgemeinen Handlungsfreiheit aus Art. 2 Abs. 1 GG dient,125 bezweckt die AGBKontrolle, die Vertragsfreiheit einzuschränken und den Verbraucher vor einer unangemessenen Benachteiligung zu schützen.126 In diesem Zusammenhang beeinflusst aber eine etwaig unangemessene Vertragsgestaltung des Cloud-Anbieters nicht die wirksame Ausübung der Handlungsfreiheit des Cloud-Nutzers.127 Denn im hiesigen Kontext wird seine autonome Entscheidung, die Cloud-Dienstleistungen in Anspruch zu nehmen, jedenfalls dann nicht beeinträchtigt, wenn ihm i.S.d. § 305 Abs. 2 Nr. 2 BGB die Möglichkeit eingeräumt wurde, von den AGB in zumutbarer Weise Kenntnis zu nehmen. In der Praxis wird dies regelmäßig dadurch erfüllt, dass dem Cloud-Nutzer ein Link zur Verfügung gestellt wird, über den er die AGB und die Nutzungsbedingungen des Cloud-Anbieters einsehen kann. Kein tatsächliches Einverstandensein des Cloud-Nutzers in die Vorgehensweise des Innentäters wird man aber dann unterstellen können, wenn die Klausel i.S.d. § 305c BGB überraschend oder mehrdeutig ist und damit völlig außerhalb des Erwartbaren liegt.128 121
A.A. Wicker, Cloud Computing, S. 193 f. Vgl. Rönnau/Hohn, LK, § 32 StGB, Rn. 159. 123 Vgl. Sternberg-Lieben, Schönke/Schröder, Vor. §§ 32 ff. StGB, Rn. 47. Gleichwohl können in diesem Fall zivilrechtliche Haftungsansprüche des Nutzers gegen die Anbieter in Betracht kommen; ausführlich hierzu Wicker, MMR 2014, 715 (716 ff.); vgl. auch Meier/ Wehlau, NJW 1998, 1585 (1585 ff.). 124 Vgl. Preuß, Die Kontrolle von E-Mails, S. 187. 125 Siehe nur Paeffgen/Zabel, NK, § 228 StGB, Rn. 3, 5. 126 Grüneberg, in: Palandt, BGB, Überbl. v. § 305, Rn. 8 f. 127 Preuß, Die Kontrolle von E-Mails, S. 187. 128 § 305c BGB liegt etwa bei den sog. Abo-Fallen vor, bei denen aus der Art der CloudDienstleistung und dem optischen Erscheinungsbild der Webseite des Cloud-Anbieters für einen durchschnittlich informierten und verständigen Cloud-Nutzer nicht ohne weiteres ersichtlich ist, dass er für den angebotenen Cloud-Dienst ein Entgelt entrichten muss. Die erstmalige Erwähnung der Entgeltpflicht in den AGB stellt sodann eine überraschende Klausel dar. 122
336
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
Vor diesem Hintergrund liegt ein rechtswidriges Handeln der Administratoren der Cloud-Anbieter auch dann nicht vor, wenn der Cloud-Nutzer damit einverstanden ist, dass seine Daten „modifiziert werden, um den Zugriff in verschiedenen Formaten zu ermöglichen“129 oder wenn seine Daten nicht mehrfach, sondern nur einfach gespeichert werden, indem zu den bereits hochgeladenen Dateien Verknüpfungen erstellt werden, anstatt die neue Datenversion neben der bereits hochgeladenen Datei in der Cloud zu speichern.130 Daneben bleiben auch die allgemeinen Rechtfertigungsgründe anwendbar. Administratoren der Cloud-Anbieter sind demnach nach den §§ 7 Abs. 2 Satz 2, 10 Satz 1 Nr. 2 TMG berechtigt, rechtswidrige Inhalte der Cloud-Anwender (z.B. solche, gegen deren Nutzung und Speicherung Beseitigungs- und Unterlassungsansprüche Dritter bestehen) zu löschen.131 Darüber hinaus bleiben die Administratoren der Cloud-Anbieter auch dann straflos, wenn ihre Tathandlung technisch notwendig ist. So können sie sich auf die Rechtfertigungsgründe der Notwehr gem. § 32 StGB und des rechtfertigenden Notstands nach § 34 StGB berufen, wenn sie absichtlich oder versehentlich hochgeladene Schadprogramme der Nutzer löschen, um die ordnungsgemäße Funktionsweise der Cloud-Dienste zu gewährleisten und andere Nutzerdaten zu schützen.132 Bei einer vorübergehenden Zugangsverhinderung infolge der Durchführung administrativer Aufgaben, wie etwa dem Einspielen von notwendigen Updates oder einer Sperrung des Kontos bei einem bekannt gewordenen Ausspähen der entsprechenden Zugangsdaten, kommt zudem eine (mutmaßliche) Einwilligung des betroffenen Cloud-Nutzers in Betracht.133 Seine Einwilligung bleibt in diesen Fällen auch dann allein maßgebend, wenn die Datenveränderung zugleich die Interessen nicht verfügungsberechtigter Dritter, etwa der vom Dateninhalt Betroffenen, verletzt.134 Dies umso mehr, wenn sie in den AGB im Fließtext versteckt wird; vgl. hierzu nur LG Berlin MMR 2012, 95 (96); Grüneberg, in: Palandt, BGB, § 305c, Rn. 5. In strafrechtlicher Hinsicht kann sich der Cloud-Anbieter in diesen Fällen durch die Ausgestaltung seiner Webseite und der AGB sogar wegen (versuchten) Betrugs strafbar machen; vgl. hierzu BGH NJW 2014, 2595. Darüber hinaus stellt die Sperrung des Benutzeraccounts zwecks Durchsetzung der täuschungsbedingt eingegangenen Zahlungspflicht des Cloud-Nutzers eine strafbare Datenunterdrückung gem. § 303a StGB dar. 129 Siehe hierzu etwa die AGB von Amazon; abrufbar unter https://www.amazon.de/gp/ help/customer/display.html?&nodeId=201376540 (zuletzt aufgerufen am 01. 02. 2018). 130 Wicker, Cloud Computing, S. 187 f. 131 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 120. 132 Wicker, Cloud Computing, S. 192; Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 290; vgl. auch Hecker, Schönke/ Schröder, § 303a StGB, Rn. 10; Zaczyk, NK, § 303a StGB, Rn. 14; weitergehend hierzu auch Koch, Angriff und Verteidigung in Computernetzen, S. 170 ff. 133 Wicker, Cloud Computing, S. 192; vgl. auch Hirsnik, Angriff auf das Computersystem, S. 177. 134 Hilgendorf, Satzger/Schluckebier/Widmaier, § 303a StGB, Rn. 12; Hecker, Schönke/ Schröder, § 303a StGB, Rn. 10; a.A. BT-Drs. 10/5058, S. 34; Heger, in: Lackner/Kühl, § 303a StGB, Rn. 4.
B. Computersabotage
337
IV. Zusammenfassung Zur Verwirklichung des Tatbestands der Datenveränderung gem. § 303a Abs. 1 StGB kommt es weder auf eine besondere Täterqualität noch auf eine bestimmte Begehungsweise an. Insofern wird von der Strafvorschrift jede denkbare Angriffsform eines Innentäters, mit der er vorsätzlich fremde Inhaltsdaten löscht, unterdrückt, unbrauchbar macht oder verändert, unter Strafe gestellt. Von strafrechtlicher Relevanz sind dabei auch Verletzungen der Integrität und Verfügbarkeit von Sicherungskopien. Als Veranlasser der Datenverarbeitungsprozesse erstreckt sich die Verfügungsbefugnis der Cloud-Nutzer nämlich auf alle gespeicherten und verarbeiteten Inhaltsdaten in der Cloud, einschließlich der zu ihrer Sicherung oder zur schnelleren Bereitstellung der Cloud-Dienstleistungen vorgenommenen Datenkopien. Vertragliche Vereinbarungen oder technische Gegebenheiten können allerdings die Tathandlungen rechtfertigen. So handeln Innentäter insbesondere dann nicht unbefugt, wenn die Cloud-Nutzer in ihre Vorgehensweise vertraglich eingewilligt haben oder die hochgeladenen Nutzerdaten die Sicherheit des Cloud-Systems gefährden. Unter den in § 202c StGB genannten Voraussetzungen ist gem. § 303a Abs. 3 StGB auch die Vorbereitung einer Datenveränderung strafbar. Damit wird bereits die Herstellung, das sich oder einem anderen Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonstige Zugänglichmachen von Schadsoftware, die Daten auf dem Cloud-System löscht, verändert, unterdrückt oder unbrauchbar macht, mit Strafe bedroht.135 Darüber hinaus ist auch eine versuchte Datenveränderung gem. § 303a Abs. 2 StGB strafbar. Zu denken ist hier an Fälle, in denen die beabsichtigte Tatvollendung auf irgendeine Weise verhindert wurde (z.B. Löschung der Malware durch Antiviren-Programme vor Ausübung ihrer schädlichen Funktionen) oder sich die Tathandlung noch nicht auf einen fremden Datenbestand eines Cloud-Nutzers ausgewirkt hat, indem beispielsweise bei der Infektion der fremden Speicherbereiche mit Malware deren Schadfunktionen noch nicht von dem Innentäter aktiviert wurden.136
B. Computersabotage, § 303b StGB Über die Datenveränderung nach § 303a StGB hinaus können Verletzungen der Integrität und Verfügbarkeit der Nutzerdaten durch Innentäter auch von dem Sondertatbestand der Computersabotage erfasst sein. Entsprechende Innentäter-Angriffe fallen dann in den Tatbestand des § 303b Abs. 1 StGB, wenn sie eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich 135
Ausführlich hierzu S. 184 ff. Hecker, Schönke/Schröder, § 303a StGB, Rn. 11; Wieck-Noodt, MK, § 303a StGB, Rn. 20. 136
338
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
stören, dass sie eine Tat nach § 303a Abs. 1 StGB begehen (Nr. 1), Daten im Sinne des § 202a Abs. 2 StGB in der Absicht, einem anderen Nachteil zuzufügen, eingeben oder übermitteln (Nr. 2), oder eine Datenverarbeitungsanlage oder einen Datenträger zerstören, beschädigen, unbrauchbar machen, beseitigen oder verändern (Nr. 3). Ihre Straftat wird nach § 303b Abs. 2 StGB sogar qualifiziert,137 wenn sich ihr Angriff gegen eine Datenverarbeitung richtet, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist. Darüber hinaus enthält die Strafvorschrift in § 303b Abs. 4 StGB eine Strafzumessungsregel mit der ein Schutz von drei Fallgruppen kritischer Infrastruktur angestrebt wird.138 Danach machen sich Innentäter wegen einer Computersabotage in einem besonders schweren Fall strafbar, wenn sie durch ihre Tat einen Vermögensverlust großen Ausmaßes herbeiführen (Nr. 1), sie gewerbsmäßig oder als Mitglied einer Bande handeln, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat (Nr. 2) oder durch ihre Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird (Nr. 3). Auch die Vorbereitung und der Versuch einer Computersabotage wird in den Absätzen 3 und 5 unter Strafe gestellt. Die Strafvorschrift bezweckt, der zunehmenden Bedeutung von vernetzten Datenverarbeitungsprozessen und der gestiegenen Abhängigkeit von ihrem störungsfreien Ablauf in der Wirtschaft, Verwaltung und im Privatleben Rechnung zu tragen.139 Schutzgut ist deshalb neben der Verfügungsgewalt über Daten140 und der Funktionsfähigkeit der Datenverarbeitungsanlagen141 auch das Vermögen, da ein Ausfall entsprechender IT-Systeme erhebliche Vermögenseinbußen bis hin zu einem wirtschaftlichen Ruin der Rechenzentrumsbetreiber und der angeschlossenen Unternehmen zur Folge haben kann.142 Insoweit dient die Vorschrift neben dem § 303a StGB vor allem der strafrechtlichen Gewährleistung des aus dem ComputerGrundrecht gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs.1 GG resultierenden Rechts der Cloud-Nutzer auf Integrität und Verfügbarkeit des Cloud-Systems.143 Darüber hinaus
137
Statt vieler Hoyer, SK-StGB, § 303b, Rn. 2. BT-Drs. 16/3656, S. 14; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 303b StGB, Rn. 11. 139 BT-Drs. 10/5058, S. 35. 140 Fischer, § 303b StGB, Rn. 2; Wicker, Cloud Computing, S. 196; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 160. 141 BT-Drs. 16/3656, S. 13; Wiek-Noodt, MK, § 303b StGB, Rn. 1; Hecker, Schönke/ Schröder, § 303b StGB, Rn. 1; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 3. 142 BT-Drs. 10/5058, S. 35; Fischer, § 303b StGB, Rn. 2; Wicker, Cloud Computing, S. 197; Hirsnik, Angriff auf das Computersystem, S. 191; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 160. 143 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 125. 138
B. Computersabotage
339
wird nach § 303a Abs. 1 Nr. 3 StGB auch das Sacheigentum und über § 303b Abs. 4 Nr. 3 StGB die öffentliche Sicherheit geschützt.144 Für den strafrechtlichen Schutz des Interesses des Cloud-Nutzers an der ordnungsgemäßen Funktionsweise der Cloud-Dienste kommt der Strafnorm enorme praktische Bedeutung zu. Dies umso mehr, weil das Sachbeschädigungsdelikt gem. § 303 Abs. 1 StGB lediglich die Cloud-Betreiber vor Eigentumsverletzungen in der Form der Vernichtung oder der Beeinträchtigung der bestimmungsgemäßen Brauchbarkeit der ihnen gehörenden Datenverarbeitungssysteme, nicht aber das Interesse der Nutzer an der Funktionstüchtigkeit des Cloud-Systems schützt. Des Weiteren enthält auch der Tatbestand der Datenveränderung – wie bereits gezeigt wurde – keine den § 303b Abs. 2, Abs. 4 StGB entsprechenden Qualifikationstatbestände oder Regelbeispiele, so dass die schweren Tatfolgen für die cloudnutzenden Unternehmen, die bei einer Sabotage des Cloud-Systems durch Innentäter eintreten können, bei dieser Strafvorschrift keine tatbestandliche Berücksichtigung finden.
I. Cloud als Datenverarbeitung von wesentlicher Bedeutung Angriffsobjekt der Vorschrift ist in allen Tatvarianten eine Datenverarbeitung von wesentlicher Bedeutung. Nach dem Willen des Gesetzgebers ist das Merkmal der Datenverarbeitung weit auszulegen und umfasst nicht nur den einzelnen Datenverarbeitungsvorgang, sondern auch den weiteren Umgang mit den Daten und deren Verwertung, einschließlich ihrer Erfassung, Speicherung, Dokumentierung, Aufbereitung und Verwendung.145 Allerdings ist diese Definition zu weit, da der weitere Umgang und die Verwendung von bereits verarbeiteten Daten auch nicht-elektronische Vorgänge, wie z.B. die Versendung eines Datenträgers per Post oder das Lesen und Benutzen von Computerausdrucken, erfasst, was mit dem Bestimmtheitsgrundsatz kollidiert.146 Zutreffend geht daher die ganz überwiegende Auffassung davon aus, dass der Begriff entsprechend seiner allgemeinen Bedeutung nur auf elektronische Datenverarbeitungsvorgänge zu beschränken ist.147 Diese Auslegung ergibt sich zudem aus der ratio legis der Strafvorschrift und aus systematischen Erwägungen. Aus der Einbeziehung von § 303a Abs. 1 StGB, der Gesetzesüberschrift und des Verweises des § 303b Abs. 1 Nr. 2 StGB auf den Datenbegriff des § 202a StGB folgt nämlich, dass unter einer tatbestandlichen Datenverarbeitung nur 144 Fischer, § 303b StGB, Rn. 2; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 160. 145 BT-Drs. 10/5058, S. 35; so auch Hecker, Schönke/Schröder, § 303b StGB, Rn. 3; WieckNoodt, MK, § 303b StGB, Rn. 8; Zaczyk, NK, § 303b StGB, Rn. 4a; Weidemann, in: BeckOK StGB, § 303b, Rn. 4; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 601. 146 Schultz, DuD 2006, 778 (783). 147 Statt vieler Fischer, § 303b StGB, Rn. 4 f.; Hoyer, SK-StGB, § 303b, Rn. 5; Zaczyk, NK, § 303b StGB, Rn. 4a; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 126.
340
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
der gesamte elektronisch ablaufende Prozess von der Eingabe über die computerinterne Verknüpfung von Daten bis zu ihrer Übermittlung innerhalb eines internen oder externen Netzwerks zu verstehen ist.148 Folglich werden von dem Tatbestand nur elektronisch ablaufende Verarbeitungsprozesse erfasst, wobei es aber nicht erforderlich ist, dass die Datenverarbeitung zum Zeitpunkt der Tathandlung bereits aktiv lief. Vielmehr genügt es, wenn sie zum Tatzeitpunkt geplant oder beabsichtigt war und durch den Innentäter-Angriff gestört wurde.149 Im Ergebnis ist damit die Nutzung der Cloud-Dienste, einschließlich der Speicherung und Erzeugung von Inhaltsdaten sowie ihrer Übermittlung zur Cloud und innerhalb des multiplen Cloud-Systems, als eine Datenverarbeitung im Sinne des § 303b StGB anzusehen.150 Dies gilt unabhängig davon, ob die Cloud-Ressourcen ergänzend oder ausschließlich aus der Cloud bezogen werden.151 Zum Teil wird im Schrifttum allerdings vertreten, dass das Tatbestandsmerkmal dahingehend einzuschränken ist, dass einzelne abgeschlossene Rechenoperationen nur dann unter die Strafnorm fallen, wenn durch ihre Störung die gesamte Datenverarbeitung beeinträchtigt wird.152 Nach Krutisch und Tolksdorf ergibt sich diese Auslegung daraus, dass der Gesetzgeber zwischen den Begriffen Datenverarbeitung und Datenverarbeitungsvorgang unterscheide und in § 303b StGB – anders als in § 263a StGB, wo ausdrücklich auf einen einzelnen Datenverarbeitungsvorgang Bezug genommen werde – allgemein nur von „Datenverarbeitung“ die Rede sei.153 Kriterien für eine trennscharfe Abgrenzung werden von dieser Ansicht allerdings nicht genannt. Eine Unterscheidung zwischen einzelnen Datenverarbeitungsvorgängen und der Gesamtheit der Datenverarbeitung dürfte auch praktisch kaum möglich sein.154 Zudem wird von der Gegenansicht nicht berücksichtigt, dass schon Störungen einzelner Datenverarbeitungsvorgänge für die Betreiber und Nutzer des IT-Systems genauso schwere Schäden verursachen können wie bei einer Beeinträchtigung der Gesamtheit der Datenverarbeitungsprozesse.155 Die Entstehungsgeschichte und der Terminus „Datenverarbeitung“, der bereits denklogisch einzelne Rechenvorgänge beinhaltet, sprechen gegen die vorgeschlagene Tatbestandsein148 Statt vieler Hoyer, SK-StGB, § 303b, Rn. 5; Wolff, LK, § 303b StGB, Rn. 4; Fischer, § 303b StGB, Rn. 5. 149 Ebenso Fischer, § 303b StGB, Rn. 5; Schultz, DuD 2006, 778 (783); a.A. Hirsnik, Angriff auf das Computersystem, S. 194 f. 150 Wicker, Cloud Computing, S. 198. 151 Wicker, Cloud Computing, S. 198. 152 Heger, in: Lackner/Kühl, § 303b StGB, Rn. 2 f.; Hilgendorf, Satzger/Schluckebier/ Widmaier, § 303b StGB, Rn. 4; Krutisch, Zugang zu Computerdaten, S. 156; Hilgendorf, JuS 1996, 1082 (1082 f.); ähnlich Tolksdorf, LK11, § 303b StGB, Rn. 15, der eine „unbestimmte Vielzahl“ von gestörten Datenverarbeitungsvorgängen verlangt. 153 Tolksdorf, LK11, § 303b StGB, Rn. 3, 15; Krutisch, Zugang zu Computerdaten, S. 156. 154 Hirsnik, Angriff auf das Computersystem, S. 193; Fischer, § 303a StGB, Rn. 5. 155 Hirsnik, Angriff auf das Computersystem, S. 194; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 198.
B. Computersabotage
341
schränkung.156 Die Bestimmtheit der Strafvorschrift, die man durch die restriktive Auslegung des Merkmals der „Datenverarbeitung“ zu erreichen versucht, kann vielmehr – wie nachfolgend aufgezeigt wird - über das Kriterium der „Wesentlichkeit“ erreicht werden.157 Geschützt werden nämlich von dem Tatbestand der Computersabotage nur Datenverarbeitungen, die für einen anderen von wesentlicher Bedeutung sind. Mit diesem Erfordernis sollen nach der Entwurfsbegründung Sabotagehandlungen von untergeordneter Bedeutung von vornherein nicht dem Tatbestand unterfallen.158 Um diese Filterfunktion für Bagatellfälle zu erreichen und der bedenklichen Weite des Tatbestands im Hinblick auf den Bestimmtheitsgrundsatz gerecht zu werden, ist das Merkmal eng auszulegen.159 Der Datenverarbeitung kommt für einen anderen dann eine wesentliche Bedeutung zu, wenn die Aufgabenstellung, Ausstattung oder Organisation von der Funktionsfähigkeit der Datenverarbeitung ganz oder jedenfalls überwiegend abhängig ist.160 Zweck und Umfang der Datenverarbeitung selbst sind dabei unbeachtlich; entscheidend ist nur ihre Bedeutung für den Betroffenen.161 Betroffener ist schon nach dem Wortlaut der Strafvorschrift nicht nur der Cloud-Betreiber, dessen Datenverarbeitungsprozesse durch den Innentäter-Angriff unmittelbar gestört werden, sondern auch die mittelbar betroffenen Cloud-Anwender, die geschäftlich oder privat auf eine intakte Nutzung der betroffenen Cloud-Dienste angewiesen sind.162 Angesichts des hohen Stellenwerts des Cloud Computing ist es nicht sachgerecht, den strafrechtlichen Schutz allein auf den von der Sabotage unmittelbar betroffenen Cloud-Anbieter zu beschränken. Gegen diese Auslegung kann auch nicht eingewandt werden, sie laufe auf eine systemwidrige Einbeziehung des bloßen Interesses an der Erfüllung schuldrechtlicher Verpflichtungen hinaus.163 Dieser Einwand kann allenfalls nur für Angriffsszenarien gültig sein, in denen Mitarbeiter der Cloud156 BT-Drs. 10/5058, S. 35; Wolff, LK, § 303b StGB, Rn. 4; Hirsnik, Angriff auf das Computersystem, S. 194; Möhrenschlager, wistra 1986, 128 (142); Volesky/Scholten, iur 1987, 280 (280); ablehnend auch Zaczyk, NK, § 303b StGB, Rn. 4a; Hecker, Schönke/Schröder, § 303b StGB, Rn. 3; Wieck-Noodt, MK, § 303b StGB, Rn. 8; Hoyer, SK-StGB, § 303b, Rn. 6. 157 Wolff, LK, § 303b StGB, Rn. 4; Fischer, § 303a StGB, Rn. 2a, 5; Hirsnik, Angriff auf das Computersystem, S. 194; a.A. Weiler, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 303b StGB, Rn. 1. 158 BT-Drs. 16/3656, S. 13. 159 Ebenso Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 6; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 2; für verfassungswidrig hält die Vorschrift dagegen Zaczyk, NK, § 303b StGB, Rn. 1, 5. 160 Weidemann, in: BeckOK StGB, § 303b, Rn. 6; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 2; Fischer, § 303b StGB, Rn. 6; Schultz, DuD 2006, 778 (783). 161 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 601. 162 Wicker, Cloud Computing, S. 199; vgl. auch BT-Drs. 10/5058, S. 35; Hilgendorf, JuS 1996, 1082 (1083). 163 So aber Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 215; Lenckner/ Winkelbauer, CR 1986, 824 (831).
342
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
Betreiber für die Störung verantwortlich sind, betrifft aber nicht die Fälle, in denen andere Nutzer, die keine vertraglichen Beziehungen zu dem mittelbar betroffenen Cloud-Nutzer haben, die Integrität des Cloud-Systems beeinträchtigen. Darüber hinaus besteht auch kein Grund, den strafrechtlichen Schutz bei einer Vertragsverletzung zurückzunehmen. Aus einem Plus an Rechtsverletzung kann kein Minus an strafrechtlichem Schutz folgen.164 Abgesehen davon, soll nach der ratio legis der Strafvorschrift nicht nur das Interesse der Betreiber, sondern auch der Nutzer von Datenverarbeitungen an deren ordnungsgemäßer Funktionsweise geschützt werden.165 Gleichwohl fallen die betroffenen Cloud-Nutzer nur dann in den Schutzbereich der Strafvorschrift, wenn sie von dem störungsfreien Ablauf der Datenverarbeitung in der Cloud ganz oder überwiegend abhängig sind.166 Dies ist für die cloudnutzenden Betriebe und Unternehmen jedenfalls dann der Fall, wenn grundlegende Daten und Arbeitsvorgänge in der Cloud gespeichert und verarbeitet werden, so dass bei einem Ausfall der Cloud-Dienste notwendige Daten nicht zur Verfügung stehen bzw. Datenverarbeitungsprozesse in wichtigen Teilbereichen nicht mehr oder nur mit erheblichem Mehraufwand (z.B. Überstunden, Zusatzkräften, Einsatz weiterer Mittel) bzw. einer beträchtlichen zeitlichen Verzögerung genutzt werden können.167 Wie bereits dargestellt wurde, kann das Wesentlichkeitserfordernis auch einen einzelnen Datenverarbeitungsvorgang betreffen, wenn etwa die Buchhaltung, das Controlling, die Personalverwaltung oder sonstige zentrale Aufgabenbereiche ohne das ordnungsgemäße Funktionieren der Cloud nicht mehr von dem betroffenen Unternehmen wahrgenommen werden können.168 Im privaten Bereich hat die Datenverarbeitung in der Cloud dann eine wesentliche Bedeutung, wenn sie für die Lebensgestaltung der betroffenen Person eine zentrale
164
Hilgendorf, JuS 1996, 1082 (1083). BT-Drs. 16/3656 S. 13; zust. Wiek-Noodt, MK, § 303b StGB, Rn. 1; Hecker, Schönke/ Schröder, § 303b StGB, Rn. 1; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 3. 166 Vgl. Fischer, § 303b StGB, Rn. 17; Zaczyk, NK, § 303b StGB, Rn. 5; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 6; Hilgendorf, JuS 1996, 1082 (1083); ähnlich Wolff, LK, § 303b StGB, Rn. 13; Hecker, Schönke/Schröder, § 303b StGB, Rn. 13 (im Auftragsverhältnis: unmittelbare Betroffenheit des Auftragnehmers). 167 Vgl. Hecker, Schönke/Schröder, § 303b StGB, Rn. 13; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 127; Hilgendorf, JuS 1996, 1082 (1083); Lenckner/Winkelbauer, CR 1986, 824 (830). 168 Vgl. Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 127; siehe auch WieckNoodt, MK, § 303b StGB, Rn. 23; Wolff, LK, § 303b StGB, Rn. 10. In der Verwaltung besteht eine solche Abhängigkeit von einer intakten Datenverarbeitung in der Cloud etwa dann, wenn den Verkehrsteilnehmern beim automatisierten Fahren Informationen zum Straßenverkehr (Daten zu Fahrbahnmarkierungen, Verkehrsschildern, Tempolimits sowie zur Fahrbahngeometrie, Unfällen, Wetter oder Stau etc.) nicht mehr über die Verkehrscloud bereitgestellt werden können; vgl. auch LG Ulm CR 1989, 825 zum Ausfall einer Praxissoftware, wodurch den Ärzten sämtliche Patienten- und Behandlungsdaten nicht mehr zur Verfügung standen. 165
B. Computersabotage
343
Funktion einnimmt.169 Daran fehlt es, wenn die Cloud-Dienste nur für die private Kommunikation und für Computerspiele170 oder für die Vernetzung von elektronischen Haushaltsgeräten wie HiFi- und TV-Anlagen und Navigationsgeräten genutzt werden.171 In diesem Zusammenhang erscheint allerdings eine pauschale Betrachtung für einen angemessenen Strafrechtschutz nicht sachgerecht. Daher müssen auch im privaten Bereich alle Umstände des Falles berücksichtigt werden, um zu entscheiden, ob die konkrete Cloud-Nutzung für den betroffenen Privatnutzer einen zentralen Stellenwert einnimmt.172 So wird man infolge des zunehmenden Sicherheitsbedürfnisses in der Gesellschaft einer elektronischen Gebäudesicherung (Alarmanlage, Jalousien) eine zentrale Funktion für die private Lebensgestaltung zusprechen müssen.173 Dies gilt ebenso, wenn die Cloud-Dienste von einer Privatperson hauptsächlich zur Abwicklung des Zahlungsverkehrs beim Online-Banking174 oder im Rahmen einer Erwerbstätigkeit oder einer sonstigen schriftstellerischen, wissenschaftlichen oder künstlerischen Tätigkeit verwendet werden,175 so etwa bei der Verfassung und Speicherung einer Dissertation mithilfe der Inanspruchnahme der IaaS- und SaaS-Dienste.176 Das Merkmal der Wesentlichkeit wird bei der Nutzung der Cloud zur Datensicherung auch nicht dadurch aufgehoben, dass dem Privatnutzer anderweitige Daten-Backups zur Verfügung stehen, da bereits die Datensicherung ein Indiz für die Wesentlichkeit darstellt.177 Darüber hinaus kommt den Datenverarbeitungsprozessen in der Cloud selbstredend auch für die Cloud-Anbieter und deren Subunternehmer eine wesentliche Bedeutung zu. So fallen sie schon deshalb in den Schutzbereich der Strafnorm, weil die Funktionsfähigkeit der Cloud-Architektur für ihre wirtschaftliche Tätigkeit unabdingbar ist.178 Denn ihr Kerngeschäft besteht gerade darin, ihren Kunden stö-
169 Vgl. BT-Drs. 16/3656, S. 13; Wieck-Noodt, MK, § 303b StGB, Rn. 9; Hecker, Schönke/ Schröder, § 303b StGB, Rn. 4. 170 BT-Drs. 16/3656, S. 13; Hecker, Schönke/Schröder, § 303b StGB, Rn. 4; Vassilaki, CR 2008, 131 (133); einschränkend für Computerspiele dagegen Heghmanns/Kusnik, CR 2011, 248 (250). 171 Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 6; Hecker, Schönke/ Schröder, § 303b StGB, Rn. 4; Wieck-Noodt, MK, § 303b StGB, Rn. 9. 172 Fischer, § 303b StGB, Rn. 6; Weidemann, in: BeckOK StGB, § 303b, Rn. 6.1; Hirsnik, Angriff auf das Computersystem, S. 201 f.; mit Blick auf den Bestimmtheitsgrundsatz einen rein objektiven Maßstab zugrunde legend dagegen Wolff, LK, § 303b StGB, Rn. 11; Hoyer, SKStGB, § 303b, Rn. 9; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 127. 173 Fischer, § 303b StGB, Rn. 7; a.A. Hecker, Schönke/Schröder, § 303b StGB, Rn. 4. 174 Vgl. Schumann, NStZ 2007, 675 (679). 175 BT-Drs. 16/3656, S. 13; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 6; Wieck-Noodt, MK, § 303b StGB, Rn. 9. 176 Vgl. Ernst, NJW 2007, 2661 (2665); siehe auch Hecker, Schönke/Schröder, § 303b StGB, Rn. 4. 177 Wicker, Cloud Computing, S. 199; vgl. auch Fischer, § 303b StGB, Rn. 8. 178 Wicker, Cloud Computing, S. 199.
344
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
rungsfreie, d.h. jederzeit verfügbare Cloud-Dienstleistungen zur Verfügung zu stellen.179
II. Tathandlungen Als Angriffshandlungen der Computersabotage kommen entweder ein Eingriff in die Software (§ 303b Abs. 1 Nr. 1 und Nr. 2 StGB) oder ein Angriff auf die Hardware (§ 303b Abs. 1 Nr. 2 StGB) des Cloud-Systems in Betracht. Zu berücksichtigen ist bei der Prüfung, dass sowohl die Cloud-Anbieter als auch die Cloud-Nutzer Opfer der Sabotagehandlungen der Innentäter sein können. 1. Datenveränderung nach § 303a Abs. 1 StGB Der Tatbestand der Computersabotage nach § 303b Abs. 1 Nr. 1 StGB setzt eine Tat nach § 303a Abs. 1 StGB voraus, d.h. eine rechtswidrige Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung von Daten, die rechtlich nicht der Verfügungsbefugnis des Täters unterliegen. Taugliche Täter der Vorschrift sind damit sowohl die Angestellten der Cloud-Anbieter und Subunternehmer als auch andere Cloud-Nutzer und deren Serviceadministratoren, da nur sie sich aufgrund des Erfordernisses der Fremdheit der Nutzerdaten nach § 303a Abs. 1 StGB strafbar machen können.180 Entsprechend den bereits angestellten Überlegungen zum Tatbestand der Datenveränderung ist eine Strafbarkeit der Innentäter aus dem Qualifikationstatbestand181 zu § 303a Abs. 1 StGB vor allem bei einem DDoS-Angriff denkbar.182 Aber auch die Angriffsmethoden der Malware Injection sowie eines Ransomware-Angriffs können die Tatmodalität verwirklichen.183
179
Vgl. auch Kitz, ZUM 2006, 730 (735). Siehe hierzu S. 318 ff. 181 BT-Drs. 10/5058, S. 36; Fischer, § 303b StGB, Rn. 11; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 9, a.A. Zaczyk, NK, § 303b StGB, Rn. 19, wonach der Tatbestand aus § 303b Abs. 1 Nr. 1 StGB ein erfolgsqualifiziertes Delikt sei. 182 Vgl. auch Weidemann, in: BeckOK StGB, § 303b, Rn. 9; zum Pharming siehe Goeckenjan, wistra 2009, 47 (52); Popp, MMR 2006, 84 (86); Buggisch/Kerling, Kriminalistik 2006, 531 (536). 183 Heckmann, in: juris-PraxisKommentar, 8. Kap., Rn. 140 f.; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 605; Vogelgesang/Möllers, jM 2016, 381 (384 f.). Zu weiteren von § 303a Abs. 1 StGB erfassten Angriffsszenarien der Innentäter siehe S. 324 ff. 180
B. Computersabotage
345
2. Eingeben oder Übermitteln von Daten Als weitere Sabotagehandlung wird nach § 303b Abs. 1 Nr. 2 StGB das Eingeben oder Übermitteln von Daten i.S.d. § 202a Abs. 2 StGB unter Strafe gestellt, wenn dies in der Absicht erfolgt, einem anderen einen Nachteil zuzufügen. Mit der Normierung dieses Straftatbestands sollte dem Umstand Rechnung getragen werden, dass auch an sich neutrale Handlungen bei missbräuchlicher oder unbefugter Begehungsweise geeignet sein können, erhebliche Störungen einer für das Opfer wesentlichen Datenverarbeitung zu verursachen.184 Nach dem Willen des Gesetzgebers sollten vor allem die DDoS-Angriffe, bei denen die Dienste eines Servers durch eine Vielzahl von Anfragen derart belastet werden, dass dessen Aufnahme- und Verarbeitungskapazität nicht ausreicht und der Zugang für berechtigte Kontaktaufnahmen mit dem Server blockiert oder zumindest erschwert wird, unabhängig von ihrer zeitlichen Dauer und der Frage, ob auch eine kurzzeitige Zeitspanne tatbestandlich für eine Datenunterdrückung im Sinne des § 303a Abs. 1 StGB ausreicht, unter die Strafvorschrift fallen.185 Fraglich ist allerdings, ob auch die missbräuchlichen Dateneingaben und Datenübermittlungen der Innentäter beim Cloud Computing, mit denen sie die ordnungsgemäße Funktionsweise der Cloud-Dienste beeinträchtigen, von dieser Tatmodalität erfasst werden. Unter einem Eingeben von Daten ist der Vorgang gemeint, durch den einem Rechner von außen Daten zugeführt werden.186 Da aber durch den Verweis des § 303b Abs. 1 Nr. 2 StGB auf den Datenbegriff des § 202a Abs. 2 StGB nur solche Daten tatbestandsrelevant sind, die zum Zeitpunkt des Innentäter-Angriffs bereits gespeichert sind oder übermittelt werden, kann sich das Eingeben nur auf solche Daten beziehen, die von einem externen Datenträger eingelesen werden.187 Erfasst wären damit z.B. nur solche DDoS-Angriffe, die mithilfe bereits gespeicherter Würmer und Viren verübt werden, indem sie von einem externen Datenträger, etwa einem USB-Stick, direkt in das Cloud-System eingeschleust werden.188 Manuell im Cloud-System eingegebene Daten und ein damit bezweckter DDoS-Angriff würden demgegenüber aus dem Anwendungsbereich der Strafnorm fallen, weil die Eingabebefehle regelmäßig noch gar nicht in gespeicherter Form vorliegen.189 Straflos 184 185 186
(627).
BT-Drs. 16/3656, S. 13. BT-Drs. 16/3656, S. 13. Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Gröseling/Höfinger, MMR 2007, 626
187 Altenhain, Matt/Renzikowski, § 303b StGB, Rn. 7; Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Vassilaki, CR 2008, 131 (134); Gröseling/Höfinger, MMR 2007, 626 (627). 188 Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Hirsnik, Angriff auf das Computersystem, S. 207 f.; Vassilaki, CR 2008, 131 (134); Gröseling/Höfinger, MMR 2007, 626 (627); wohl auch Zaczyk, NK, § 303b StGB, Rn. 9a. 189 Vgl. Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; vgl. auch Hoyer, SK-StGB, § 303b, Rn. 16; Eisele, Computerstrafrecht, § 10, Rn. 83; Goeckenjan wistra 2009, 47 (52).
346
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
bleiben nach dieser Auslegung damit die Administratoren der Cloud-Anbieter und Cloud-Nutzer, wenn sie ihren lokalen Zugriff auf das Cloud-System missbrauchen, um mittels eingegebener Befehle den Cloud-Dienst zu beenden oder wenn sie Eingaben vornehmen (etwa die massenhafte Erstellung von Snapshots und Clones der VM oder ein ständiges Anfordern von Rechnerkapazitäten in der Form der übermäßigen Buchung von VM), die zu einem Absturz des Cloud-Systems führen.190 Dieses Ergebnis widerspricht aber nicht nur der zugedachten kriminalpolitischen Funktion der Strafnorm, missbräuchliche Befehlseingaben, die zu einer erheblichen Störung einer für eine andere Person wesentlichen Datenverarbeitung führen, umfassend unter Strafe zu stellen, sondern auch den Regelungsvorgaben der Cybercrime-Konvention.191 So bezieht Art. 1 lit. b der Konvention das „Eingeben“ zutreffend auf „Computerdaten“, d.h. „jede Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form […].“ Dieser Datenbegriff erfasst damit auch die Eingabe der Daten von menschlicher Hand, denn er schließt Daten mit ein, die erst „erzeugt oder in eine Form gebracht werden […], die für die Verarbeitung […] geeignet ist.“192 Vor diesem Hintergrund sollte zur Vermeidung von Strafbarkeitslücken und zur Wahrung des eigenständigen Charakters der Tatalternative „Eingeben“ die Tatmodalität europarechtskonform dahingehend ausgelegt werden, dass sie eine Umwandlung von Information in technische Impulse, die in ein Computersystem eingespeist werden, und damit jede unmittelbare Zuführung von Daten in das betroffene System erfasst.193 Folge einer solchen Tatbestandsauslegung ist, dass sie alle manuellen Dateneingaben im Cloud-System erfasst, so dass sich auch die Administratoren der Cloud-Anbieter und die Cloud-Nutzer aus § 303b Abs. 1 Nr. 2 StGB strafbar machen, wenn sie mittels ihres Administratoren- bzw. Benutzerkontos unbefugt in das Cloud-System Befehle eingeben, die zu einer erheblichen Störung der Cloud-Dienstleistungen führen. Eine solche Auslegung widerspricht auch nicht dem Wortlaut des Tatbestands, da schon nach dem allgemeinen Verständnis des Wortsinns „Eingabe“ jeder Input von Daten, die dem betroffenen IT-System unmittelbar (z.B. über die Tastatur) zugeführt werden, verstanden wird.194 In Abgrenzung zu der Tatvariante des Eingebens werden unter dem Merkmal „Übermitteln“ hingegen nur solche Daten erfasst, die erst an einem anderen Rechner 190
Vgl. Gröseling/Höfinger, MMR 2007, 626 (627); Vassilaki, CR 2008, 131 (134). Hecker, Schönke/Schröder, § 303b StGB, Rn. 7. 192 Gröseling/Höfinger, MMR 2007, 626 (627). 193 Hoyer, SK-StGB, § 303b, Rn. 16; Wolff, LK, § 303b StGB, Rn. 21; Wieck-Noodt, MK, § 303b StGB, Rn. 12; Weidemann, in: BeckOK StGB, § 303b, Rn. 11; Gercke, in: Spindler/ Schuster (Hrsg.), Recht der elektronischen Medien, § 303b StGB, Rn. 7; Popp, JuS 2011, 385 (389); a.A. Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Eisele, Computerstrafrecht, § 10, Rn. 83; Gröseling/Höfinger, MMR 2007, 626 (627). 194 Im Ergebnis ebenso Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 10; a.A. Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Gröseling/Höfinger, MMR 2007, 626 (627). 191
B. Computersabotage
347
entstehen und dann innerhalb eines bestehenden Netzwerks oder über Fernmeldewege auf andere IT-Systeme übertragen werden.195 Da es entsprechend den Überlegungen im Rahmen des § 202a Abs. 1 StGB für eine Übermittlung von Daten im Sinne des § 202a Abs. 2 StGB genügt, dass diese bereits vor der Tathandlung im Arbeitsspeicher eines Rechners gespeichert waren und nunmehr durch die Tathandlung zu einer anderen Speicherungsstelle transportiert werden,196 erfasst die Strafnorm vor allem die DDoS-Angriffe der Cloud-Nutzer, bei denen sie das CloudSystem mit der massenhaften Erstellung von Systemanfragen überlasten, indem sie zunächst manuelle Daten ihrem eigenen System zuführen und diese sodann an das anzugreifende Cloud-System weiterleiten.197 Insofern wird als besondere Form einer DDoS-Attacke auch ein DRDoS (Distributed Reflected Denial of Service)-Angriff erfasst. Bei diesem Angriff sendet ein Cloud-Nutzer oder dessen Serviceadministrator Datenpakete nicht direkt an das Cloud-System, sondern an andere Internetdienste. Über veränderte IP-Adressen (IP-Spoofing) wird jedoch als Absenderadresse diejenige des Cloud-Anbieters eingegeben, so dass es durch die Antworten auf diese Anfragen zum eigentlichen DDoS-Angriff auf den Cloud-Betreiber und damit auch auf andere Cloud-Nutzer kommt, ohne dass der Ursprung des Angriffs erkennbar ist.198 In den Anwendungsbereich der Tatmodalität fallen zudem auch DDoS-Attacken, die mithilfe eines Botnetzes,199 Schadprogrammen (Viren und Würmer)200 oder Spamming201 ausgeübt werden. In subjektiver Hinsicht muss der Innentäter neben einem bedingten Vorsatz bezüglich der Verwirklichung der objektiven Tatbestandsmerkmale zum Zeitpunkt seiner missbräuchlichen Befehlseingabe oder Datenübermittlung auch mit der überschießenden Innentendenz der Nachteilszufügungsabsicht gehandelt haben. Dieses subjektive Korrektiv stellt klar, dass die an sich neutralen Handlungen der Nr. 2 nur dann unter Strafe gestellt sind, wenn sie missbräuchlich, d.h. mit Schädigungsabsicht, vorgenommen wurden.202 Der Nachteil ist weit zu verstehen und
195
Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Hilgendorf, Satzger/Schluckebier/ Widmaier, § 303b StGB, Rn. 10. 196 Siehe hierzu S. 128 f.; vgl. zum Ganzen auch Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Wieck-Noodt, MK, § 303b StGB, Rn. 12; Hoyer, SK-StGB, § 303b, Rn. 16; Gröseling/ Höfinger, MMR 2007, 626 (627). 197 Vgl. LG Düsseldorf MMR 2011, 624 (625); Hecker, Schönke/Schröder, § 303b StGB, Rn. 7; Popp, jurisPR-ITR 25/2011, Anm. 6. 198 Fischer, § 303b StGB, Rn. 12; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 130. 199 LG Düsseldorf MMR 2011, 624 (625); Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 10; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 5; Roos/Schumacher, MMR 2014, 377 (380). 200 Ausführlich hierzu Schuh, Computerstrafrecht, S. 223 ff. 201 Weidemann, in: BeckOK StGB, § 303b, Rn. 10; Wolff, LK, § 303b StGB, R. 21. 202 BT-Drs. 16/3656,13; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 11; Weidemann, in: BeckOK StGB, § 303b, Rn. 17.
348
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
umfasst nicht nur Vermögensschäden, sondern jede beliebige Beeinträchtigung.203 Dass der Nachteil eintritt, ist nicht erforderlich.204 Ausreichend ist die sichere Kenntnis, dass der Nachteil die notwendige Folge der Tat ist.205 Da Innentäter zum Zeitpunkt ihres vorsätzlich geführten Angriffs sichere Kenntnis darüber haben, dass die Interessen der Cloud-Anbieter und Cloud-Nutzer an dem störungsfreien Ablauf der Cloud-Dienste beeinträchtigt werden, handeln sie regelmäßig in Nachteilszufügungsabsicht. Vor diesem Hintergrund werden DDoS-Angriffe hinreichend nach den Strafnormen der §§ 303a, b StGB erfasst, weshalb der deutsche Gesetzgeber zu Recht einen Regelungsbedarf für die Schaffung eines § 202e StGB-E, welcher die unbefugte Benutzung informationstechnischer Systeme („Digitaler Hausfriedensbruch“)206 unter Strafe stellen sollte, ablehnte.207 3. Sabotagehandlungen am Cloud-System oder an Datenträgern Einer Strafandrohung nach § 303b Abs. 1 Nr. 3 StGB unterliegen auch Sabotageakte von Innentätern, die sie durch Beeinträchtigungen der für die Datenverarbeitung benutzten technischen Mittel begehen, nämlich durch ein Zerstören, Beschädigen, Unbrauchbarmachen, Beseitigen oder Verändern einer Datenverarbeitungsanlage oder eines Datenträgers des Cloud-Systems. Erfasst werden damit nur Angriffe auf die Substanz von körperlichen Sachen, die zu einer erheblichen Störung einer für das Opfer wesentlichen Datenverarbeitung führen.208 Im Falle einer destruktiven Einwirkung können sich die Angriffsszenarien auch als gewöhnliche Sachbeschädigung gem. § 303 StGB oder bei einem auf Zueignung gerichteten Verhalten als Diebstahl nach § 242 StGB oder als Unterschlagung gem. § 246 StGB darstellen. Sofern aber über die unmittelbare Einwirkung auf die Hardware hinaus die Funktionsfähigkeit der Datenverarbeitungsanlage beeinträchtigt wird, kommt 203
Siehe nur Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 11. Statt vieler Fischer, § 303b StGB, Rn. 12a. 205 Hierzu nur BT-Drs. 16/3656,13; Wieck-Noodt, § 303b StGB, Rn. 12; Zaczyk, NK, § 303b StGB, Rn. 10; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 11; entgegen dem Willen des Gesetzgebers, der für die Auslegung der Nachteilszufügungsabsicht auf § 274 Abs.1 Nr. 1 StGB verweist, fordern dagegen dolus directus 1. Grades; Hoyer, SKStGB, § 303b, Rn. 18; Schumann, NStZ 2007, 675 (679). 206 Gesetzesantrag des Bundesrats vom 02. 11. 2016 (BT-Drs. 18/10182), vorausgegangen war ein entsprechender Gesetzesantrag des Bundeslandes Hessen vom 17. Juni 2016 (BRDrs. 338/16). 207 Stellungnahme des deutschen Bundestages vom 04. 11. 2016 (BT-Drs. 18/10182, S. 19 f.); ausführlich hierzu auch Mavany, KriPoZ 2016, 106 (106 ff.); Buermeyer/Golla, K&R 2017, 14 (14 ff.). Trotzdessen wurde von dem Bundesrat am 18. 04. 2018 erneut ein wort- bzw. inhaltsgleicher Gesetzesentwurf (BT-Drs. 19/1716, BR-Drs. 47/18) in den Bundestag eingebracht. 208 Fischer, § 303b StGB, Rn. 13; Zaczyk, NK, § 303b StGB, Rn. 11a; Heger, in: Lackner/ Kühl, § 303b StGB, Rn. 6. 204
B. Computersabotage
349
eine Strafbarkeit wegen einer Computersabotage gem. § 303b Abs. 1 Nr. 3 StGB in Betracht, die das Delikt der Sachbeschädigung im Wege der Spezialität verdrängt, wohingegen mit den Zueignungsdelikten Tateinheit möglich ist.209 Unter einer Datenverarbeitungsanlage ist die funktionelle Einheit von technischen Geräten zu verstehen, mit der eine Datenverarbeitung ermöglicht wird.210 Erfasst werden damit alle Einzelbestandteile der maschinentechnischen Ausstattung von der Zentraleinheit einschließlich Prozessor, Betriebssystem und Hauptspeicher, Eingabe- (Tastatur und Scanner) und Ausgabegeräte (Bildschirm und Drucker) bis hin zu Speicher- und weiteren Peripheriegeräten.211 Ist die Datenverarbeitungsanlage Teil eines LAN-Netzwerks gehören auch die Übertragungskabel zu der von § 303b StGB geschützten Hardware.212 Nicht erfasst werden aber Leitungen eines internationalen Netzwerkes, da diese zur weltweiten Kommunikation erforderlich sind und daher keiner bestimmten Datenverarbeitungsanlage zugeordnet werden können.213 Mit Datenträgern sind insbesondere Festplatten, CDs oder Memory-Sticks gemeint.214 Letztlich wird mit der Tatbestandsvariante die gesamte datenverarbeitende Einrichtung der Cloud-Anbieter vor rechtswidrigen Sabotageakten der Innentäter geschützt. Da es nach dem Wortlaut der Strafnorm unerheblich ist, in wessen Eigentum die Datenverarbeitungsanlagen und Datenträger stehen und auch die Fremdheit der betroffenen Daten zur Erfüllung der Tatmodalität belanglos ist, handelt es sich bei der Vorschrift um ein eigenständiges Delikt und nicht um eine Qualifikation zur Sachbeschädigung nach § 303 StGB oder zur Datenveränderung gem. § 303a StGB.215 Gleichwohl stellt eine Manipulation von tätereigener Hardware grundsätzlich kein strafwürdiges Unrecht dar, es sei denn, die Einwirkung greift gleichzeitig in den Rechtskreis eines Dritten ein.216 Vor diesem Hintergrund muss der Tatbestand auch im Hinblick auf den Bestimmtheitsgrundsatz einschränkend ausgelegt werden. Insofern könnte man vertreten, dass der Eigentümer einer Datenverarbeitungsanlage, der an ihr Sabotagehandlungen vornimmt, nur dann tatbestandsmäßig handelt, wenn zugleich dingliche oder obligatorische Nutzungsrechte Dritter verletzt werden.217 209 Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 176. 210 Siehe nur Wieck-Noodt, MK, § 303b StGB, Rn. 13. 211 Hecker, Schönke/Schröder, § 303b StGB, Rn. 8; Wolff, LK, § 303b StGB, Rn. 17. 212 Wieck-Noodt, MK, § 303b StGB, Rn. 13; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 131. 213 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 607. 214 Weidemann, in: BeckOK StGB, § 303b, Rn. 13; Hilgendorf, Satzger/Schluckebier/ Widmaier, § 303b StGB, Rn. 12. 215 Fischer, § 303b StGB, Rn. 13; Hecker, Schönke/Schröder, § 303b StGB, Rn. 8. 216 Vgl. BT-Drs. 10/5058, S. 36. 217 Wieck-Noodt, MK, § 303b StGB, Rn. 14; Zaczyk, NK, § 303b StGB, Rn. 13; Hoyer, SKStGB, § 303b, Rn. 8, 13; Lenckner/Winkelbauer, CR 1986, 824 (831); zum Teil werden auch schuldrechtliche Nutzungsrechte einbezogen; vgl. hierzu BT-Drs. 10/5058, S. 36; Hecker,
350
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
Dieser Ansatz entspricht auch dem Willen des Gesetzgebers, der Tathandlungen gegen eigene Sachen auch dann strafrechtlich erfasst wissen will, wenn sie zu einer Störung einer wesentlichen Datenverarbeitung des Opfers führen.218 Unter Heranziehung des Schutzzwecks der Strafvorschrift, das Interesse an einem störungsfreien Ablauf einer Datenverarbeitung zu sichern, könnte man für die restriktive Auslegung des Tatbestands aber auch auf die Datenverarbeitung anknüpfen und einen Sabotageakt an tätereigenen technischen Mitteln dann als tatbestandsmäßig ansehen, wenn die Tathandlung fremde Verfügungsrechte an betroffenen Daten beeinträchtigt.219 Beide Ansätze führen damit zu einem umfassenden Schutz der Cloud-Nutzer, da alle Einwirkungen von Innentätern auf die physischen Systemkomponenten der Cloud-Architektur tatbestandsmäßig sind, sofern sie zu einer wesentlichen Störung der Cloud-Nutzung führen. Dabei kommt eine Strafbarkeit der Innentäter nach § 303b Abs. 1 Nr. 3 StGB aufgrund des obligatorischen Nutzungsrechts an den Cloud-Ressourcen bzw. der Verfügungsbefugnis der Cloud-Nutzer an ihren Inhaltsdaten selbst dann in Betracht, wenn die Angriffshandlungen mit dem Einverständnis der Cloud-Anbieter ausgeübt werden. Als Tathandlung wird zunächst das Zerstören genannt, also die so weitgehende Beschädigung der datenverarbeitenden technischen Mittel, die zu einer völligen Aufhebung ihrer Gebrauchsfähigkeit führt.220 Die Beschädigung führt dagegen zu einer erheblichen Beeinträchtigung der bestimmungsgemäßen Brauchbarkeit der Datenverarbeitungsanlage oder Datenträger.221 Neben der Beschädigung und Zerstörung von Server- und Netzwerkkomponenten durch Innentäter werden die Tathandlungen mithin auch durch die Infizierung des Cloud-Systems mit Viren und Sabotageprogrammen verwirklicht, sofern sie direkte Auswirkungen auf die Hardware haben, indem sie etwa zur Zerstörung der Festplatte führen oder die Funktion des Cloud-Systems insgesamt beeinträchtigen (etwa durch eine Reduzierung der Arbeitsgeschwindigkeit der Cloud-Server oder durch die Schaffung einer tätereigenen Cloud durch den Einsatz von Hardware Based Virtualization Rootkits).222 Nicht tatbestandsmäßig sind dagegen Tathandlungen, die nicht auf die stoffliche Integrität der Datenverarbeitungsanlage oder Datenträger einwirken; möglich ist aber, dass die Angriffsformen dann im Sinne des § 303b Abs. 1 Nr. 1 StGB tatbestandsmäßig sind.223 Nicht von der Tatmodalität erfasst werden deshalb ManipulaSchönke/Schröder, § 303b StGB, Rn. 8; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 6; Weidemann, in: BeckOK StGB, § 303b, Rn. 13; Hilgendorf, JuS 1996, 1082 (1083). 218 BT-Drs. 10/5058, S. 36; BT-Drs. 16/3656, S. 13. 219 Vgl. Wolff, LK, § 303b StGB, Rn. 18; Hirsnik, Angriff auf das Computersystem, S. 197. 220 Statt vieler Heghmanns, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht, 6. Teil, Rn. 179; Malek/Popp, Strafsachen, Rn. 202. 221 Siehe nur Hecker, Schönke/Schröder, § 303 StGB, Rn. 8 ff. 222 Vgl. Fischer, § 303b StGB, Rn. 13; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 166; Ernst, NJW 2003, 3233 (3238); Gravenreuth, NStZ 1989, 201 (204); Volesky/ Scholten, iur 1987, 280 (286 ff.). 223 Wieck-Noodt, MK, § 303b StGB, Rn. 18.
B. Computersabotage
351
tionen der Software oder sonstige hervorgerufene Fehlfunktionen des Cloud-Systems. Demnach verwirklichen vor allem die DDoS-Angriffe nicht die Tatbestandsvariante, da die Blockierung der Cloud-Server lediglich deren Erreichbarkeit beeinträchtigt, aber die Hardware des Cloud-Systems unangetastet lässt.224 Dagegen stellen aber das Verstecken und die unberechtigte Mitnahme von Datenverarbeitungsanlagen und Datenträgern durch Innentäter sowie deren sonstige Entziehung aus dem Herrschaftsbereich der Cloud-Anbieter und Cloud-Nutzer, etwa durch die Installation einer Programmsperre oder der Änderung des Zugangspassworts,225 tatbestandlich ein Beseitigen dar.226 Mit der Tathandlung des Unbrauchbarmachens als wesentliche Minderung der Gebrauchsfähigkeit der Datenverarbeitungsanlage wird häufig zugleich auch ein Beschädigen vorliegen.227 Selbstständige Bedeutung erlangt das Merkmal aber dann, wenn der Innentäter die Gebrauchsfähigkeit des Cloud-Systems ohne unmittelbaren Substanzeingriff bewirkt.228 Dies kann etwa durch eine Unterbrechung der Stromversorgung oder durch Einwirkungen auf die Datenübertragungsleitungen geschehen.229 Unter die Tathandlung des Veränderns, also die Herbeiführung eines Zustands der Hardware, der vom bisherigen abweicht,230 kann wiederum der Einbau eines Hardware-Keyloggers subsumiert werden.
224
Heckmann, in: juris-PraxisKommentar, Kap. 8, Rn. 35. Teilweise wird auch die Ansicht vertreten, dass die Tathandlung des Beseitigens eine Ortsveränderung des betroffenen Gegenstandes erfordere, weshalb Fälle des Zugangsausschlusses nicht erfasst seien; Wolff, LK, § 303b StGB, Rn. 22; Krutisch, Zugang zu Computerdaten, S. 161; Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 221; Hilgendorf, JuS 1996, 1082 (1082). Diese Ansicht widerspricht aber dem Willen des Gesetzgebers, der unter die Tathandlung des Beseitigens alle Fallgestaltungen erfassen wollte, in denen die Datenverarbeitungsanlage oder der Datenträger dem Zugriff des Berechtigten entzogen wird (BT-Drs. 10/5058, S. 36). Möglich ist dies aber auch durch die Installation von Programmsperren oder durch die Veränderung von Passwörtern, da beide Angriffsmethoden letztendlich dazu führen, dass die Datenverarbeitungsanlage nicht mehr von einem Berechtigten gebraucht werden kann. Im Ergebnis wirkt sich dieser Streit aber nicht auf die Strafbarkeit eines tauglichen Innentäters aus, da das Schaffen einer Zugangsperre nach übereinstimmender Ansicht jedenfalls nach § 303b Abs. 1 Nr. 1a StGB strafbar ist; vgl. nur Schulze-Heiming, Strafrechtlicher Schutz der Computerdaten, S. 221. 226 Vgl. Zaczyk, NK, § 303b StGB, Rn. 12; Fischer, § 303b StGB, Rn. 13; Wieck-Noodt, MK, § 303b StGB, Rn. 17. 227 Siehe hierzu nur Wolff, LK, § 303b StGB, Rn. 22. 228 Wieck-Noodt, MK, § 303b StGB, Rn. 16. 229 Vgl. Hoyer, SK-StGB, § 303b, Rn. 20; Wieck-Noodt, MK, § 303b StGB, Rn. 16; Krutisch, Zugang zu Computerdaten, S. 161; Hilgendorf, JuS 1996, 1082 (1082). 230 Siehe nur BT-Drs. 10/5058, S. 36; Fischer, § 303b StGB, Rn. 13; Hoyer, SK-StGB, § 303b, Rn. 20. 225
352
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
III. Erhebliche Störung der Datenverarbeitung als Taterfolg Durch die Tathandlung muss eine Datenverarbeitung von wesentlicher Bedeutung erheblich gestört werden. Dies ist der Fall, wenn ihr reibungsloser Ablauf nicht unerheblich beeinträchtigt wird.231 Für den Eintritt des Taterfolgs reicht es dabei aus, wenn ein einziger sonst möglicher Datenverarbeitungsvorgang in der Cloud infolge des Innentäter-Angriffs in seiner bisherigen Form nicht mehr durchführbar ist.232 Nicht erforderlich ist daher, dass der gesamte Cloud-Betrieb durch die Tathandlung des Innentäters beeinträchtigt wird.233 Eine tatbestandliche Störung der Datenverarbeitungsprozesse in der Cloud ist zum Beispiel gegeben, wenn jede Datenverarbeitung unmöglich gemacht wird, zum Beispiel durch die Zerstörung oder gravierende Beschädigung von Systemkomponenten,234 durch das Löschen der Cloud-Software oder dem Großteil der gespeicherten Datensätze,235 der Verhinderung der Cloud-Nutzung durch Spamming oder einem DDoS-Angriff236 sowie durch die Installation einer Programm- oder Zugriffssperre237. Darüber hinaus liegt eine Störung vor, wenn der Datenfluss zum oder innerhalb des Cloud-Systems unterbrochen wird,238 Programmänderungen vorgenommen werden, die zu einem Systemausfall oder -absturz führen,239 oder wenn die Sabotagehandlung des Innentäters inhaltlich unrichtige Datenverarbeitungsergebnisse verursacht.240 Nach dem Wortlaut reicht aber eine bloße Gefährdung eines Datenverarbeitungsvorgangs nicht aus.241 Objekt der Störung ist nicht die Datenverarbeitungsanlage, sondern allein die stattfindende Datenverarbeitung. Demzufolge liegt eine vollendete Computersabotage durch die Einschleusung von Malware in das Cloud-System nur dann vor, wenn ihre Schadfunktionen tatsächlich eine Störung der Datenverarbeitungsprozesse in der Cloud bewirken.242 Eine Vorverla231 BT-Drs. 16/3656, S. 13; BT-Drs. 10/5058, S. 35; Fischer, § 303b StGB, Rn. 9; Zaczyk, NK, § 303b StGB, Rn. 6; Wieck-Noodt, § 303b StGB, Rn. 19. 232 Vgl. Wolff, LK, § 303b StGB, Rn. 40; Wieck-Noodt, MK, § 303b StGB, Rn. 19; Hecker, Schönke/Schröder, § 303b StGB, Rn. 9. 233 Vgl. BT-Drs. 10/5058, S. 35; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 8; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 7. 234 Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 132; Krutisch, Zugang zu Computerdaten, S. 159; Volesky/Scholten, iur 1987, 280 (284). 235 Vgl. Hecker, Schönke/Schröder, § 303b StGB, Rn. 9; Wolff, LK, § 303b StGB, Rn. 25. 236 Weidemann, in: BeckOK StGB, § 303b, Rn. 14; LG Düsseldorf MMR 2011, 624 (625). 237 Zaczyk, NK, § 303b StGB, Rn. 6; LG Ulm CR 1989, 825 (826). 238 Vgl. Fischer, § 303b StGB, Rn. 9; Weidemann, in: BeckOK StGB, § 303b, Rn. 14. 239 Wolff, LK, § 303b StGB, Rn. 24. 240 Zaczyk, NK, § 303b StGB, Rn. 6; Wolff, LK, § 303b StGB, Rn. 24. 241 So auch Fischer, § 303b StGB, Rn. 9; Hecker, Schönke/Schröder, § 303b StGB, Rn. 9; Wieck-Noodt, MK, § 303b StGB, Rn. 19; a.A. Hoyer, SK-StGB, § 303b, Rn. 6. 242 Vgl. Wolff, LK, § 303b StGB, Rn. 23 m.w.N.
B. Computersabotage
353
gerung des Vollendungszeitpunkts auf die Infizierung des Cloud-Systems genügt damit zur Tatbestandsverwirklichung auch dann nicht, wenn eine Störung der Datenverarbeitung durch eine Aktivierung der Schadcodes jederzeit möglich ist. Eingeschränkt wird eine Strafbarkeit der Innentäter wegen Computersabotage aber durch das Erfordernis der Erheblichkeit der verursachten Beeinträchtigung.243 Straflos bleiben damit Angriffshandlungen, wenn ihre Auswirkungen ohne großen Aufwand an Zeit, Mühe und Kosten, z.B. durch den Rückgriff auf Sicherungskopien, beseitigt werden können.244 Gleiches wird gelten, wenn die Funktionsfähigkeit der Cloud-Nutzung als Folge einer redundanten Systemauslegung über andere funktional gleiche oder vergleichbare Systemkomponenten ohne großen Zeitaufwand oder Kosten wieder erreicht werden kann.245 Vor diesem Hintergrund verbietet sich eine abschließende Betrachtung. Vielmehr muss stets im Einzelfall geprüft werden, inwieweit die Störung erheblich ist und damit ein tatbestandlicher Erfolg eingetreten ist.246 Im Hinblick auf die Cloud-Anbieter wird man das Merkmal aber jedenfalls bei technischen Funktionsbeeinträchtigungen, Beeinträchtigungen der Datenübertragungsvorgänge wie auch bei Programmveränderungen, die einen Absturz des gesamten Cloud-Systems zur Folge haben, bejahen können, da ihr Geschäftsmodell auf eine jederzeitige Erreichbarkeit der Cloud-Ressourcen und ordnungsgemäß funktionierende Übertragungs-, Speicher- und Verarbeitungsprozesse in der Cloud ausgelegt ist. In Bezug auf den CloudNutzer wird im Besonderen eine erhebliche Störung dann anzunehmen sein, wenn er die IT-Ressourcen nicht selbst vorhält, sondern ausschließlich aus der Cloud bezieht, so dass er zur Ausübung seiner beruflichen, wissenschaftlichen, schriftstellerischen oder künstlerischen Tätigkeit auf die Verfügbarkeit der Cloud-Dienste und auf die inhaltliche Richtigkeit seiner gespeicherten und verarbeiteten Daten in der Cloud angewiesen ist. Eine konkrete Gefährdung reicht dabei zur Bejahung des Tatbestandsmerkmals aus. Demnach ist es nicht erforderlich, dass der Cloud-Nutzer vergeblich versucht hat, die gestörte Datenverarbeitung in der Cloud zu nutzen.247 Es genügt vielmehr für eine erhebliche Störung, dass eine bestimmte Datenverarbei-
243 Nach dem Willen des Gesetzgebers dient das Merkmal „erheblich“ vor allem im Hinblick auf die Erweiterung des Tatbestandes auf Computer- und Informationssysteme von Privatpersonen insoweit der Klarstellung, dass nur Handlungen, die eine Erheblichkeitsschwelle überschreiten, strafbar sind; BT-Drs. 16/3656, S. 13. 244 Hoyer, SK-StGB, § 303b, Rn. 7; Hecker, Schönke/Schröder, § 303b StGB, Rn. 9; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 8; Wolff, LK, § 303b StGB, Rn. 26; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 303b StGB, Rn. 3; Schumann, NStZ 2007, 675 (679); kritisch hierzu Marberth-Kubicki, da die Strafbarkeit letztendlich von Vorkehrungen des Betroffenen abhängig ist; Marberth-Kubicki, Computerund Internetstrafrecht, Rn. 164. 245 Vgl. Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 132. 246 Wicker, Cloud Computing, S. 200. 247 Wieck-Noodt, MK, § 303b StGB, Rn. 19.
354
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
tungsmöglichkeit objektiv nicht mehr besteht und daher nicht genutzt werden könnte, falls der Cloud-Nutzer gerade von ihr Gebrauch machen wollte.248 In subjektiver Hinsicht ist für ein vorsätzliches Handeln des Innentäters in Bezug auf dieses Tatbestandsmerkmal nicht notwendig, dass er eine konkrete Kenntnis über die Person des geschädigten Cloud-Nutzers hat.249 Zur Erfüllung des subjektiven Tatbestands genügt vielmehr das Vorliegen von dolus eventualis. Insofern liegt ein vorsätzliches Handeln des Innentäters beispielsweise bereits dann vor, wenn er Malware in das Cloud-System einschleust und dabei billigend in Kauf nimmt, dass sich die Schadcodes innerhalb des multiplen Cloud-Systems vermehren und hierdurch Cloud-Dienste, deren Erreichbarkeit für einige Cloud-Nutzer von wesentlicher Bedeutung ist, lahmlegen oder erheblich beeinträchtigen.
IV. Qualifikation nach § 303b Abs. 2 StGB Den Qualifikationstatbestand zu § 303b Abs. 1 StGB verwirklicht der Innentäter, wenn sich seine Tat auf eine Datenverarbeitung bezieht, die für einen fremden Betrieb oder ein fremdes Unternehmen von wesentlicher Bedeutung ist. Die Begriffe „Betrieb“ und „Unternehmen“ sind im Sinne des § 14 Abs. 2 StGB zu sehen, so dass sie eine auf gewisse Dauer angelegte organisatorisch zusammengefasste Einheit von Personen und Sachmitteln unter einheitlicher Leitung, die bestimmten arbeitstechnischen Zwecken der Leistungserbringung dient, kennzeichnen.250 Ihre Rechtsform und Größe ist dabei ebenso unerheblich wie die Art ihrer Tätigkeit und der verfolgte Zweck.251 Erfasst sind demnach private wie öffentliche Betriebe, Freiberufler, karitative oder kulturelle Einrichtungen, wobei die geschädigten Betriebe sowohl der Cloud-Anbieter als auch der Cloud-Nutzer sein können.252 Voraussetzung für die Erfüllung des Qualifikationstatbestands ist aber neben der Verwirklichung des bereits erörterten Merkmals der Wesentlichkeit der Datenverarbeitung, dass der Betrieb bzw. das Unternehmen für den Innentäter fremd ist. Dies ist in rechtlich-wirtschaftlicher Betrachtung zu beurteilen.253 Demnach ist das Tatbestandsmerkmal erfüllt, wenn das Unternehmen nicht oder nicht ausschließlich 248 Hoyer, SK-StGB, § 303b, Rn. 6; a.A. wohl Fischer, § 303b StGB, Rn. 10, der jede „bagatellhafte, leicht behebbare und vorübergehende Störung“ nicht für die Tatbestandsverwirklichung ausreichen lässt. 249 Vgl. Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 605. 250 Siehe nur Bosch, Satzger/Schluckebier/Widmaier, § 14 StGB, Rn. 12. 251 Wieck-Noodt, MK, § 303b StGB, Rn. 21. 252 Hecker, Schönke/Schröder, § 303b StGB, Rn. 12; Fischer, § 303b StGB, Rn. 15; Wicker, Cloud Computing, S. 204. 253 Fischer, § 303b StGB, Rn. 15; Weidemann, in: BeckOK StGB, § 303b, Rn. 21; Lenckner/Winkelbauer, CR 1986, 824 (830); nach einer anderen Ansicht soll für die Fremdheit allein die bürgerlich-rechtliche Zuordnung entscheidend sein; Hoyer, SK-StGB, § 303b, Rn. 10.
B. Computersabotage
355
seinem Vermögen zugeordnet ist.254 Neben Außenstehenden sind damit auch die Betriebs- oder Unternehmensangehörigen der Cloud-Anbieter und Cloud-Nutzer taugliche Täter des § 303b Abs. 2 StGB.255 Für sie ist das Cloud-System einschließlich der dort verarbeiteten oder gespeicherten Daten der Cloud-Nutzer stets fremd im Sinne des § 303b StGB, da es insoweit allein auf die Eigentums-, Gebrauchs- und Verfügungsrechte ankommt, die ausschließlich bei den Cloud-Anbietern als Eigentümer des Cloud-Systems bzw. den Cloud-Nutzern als Verfügungsberechtigte ihrer Inhaltsdaten liegen.256 Vor diesem Hintergrund sind auch Sabotageakte, die von (alleingeschäftsführungsberechtigten) Cloud-Betreibern selbst oder mit deren Einwilligung gegen die eigenen Datenträger oder Systemkomponenten gerichtet sind, nach § 303b Abs. 2 StGB strafbar, weil hierdurch die Verfügungsrechte der Nutzer an ihren Inhaltsdaten beeinträchtigt werden.257
V. Besonders schwere Fälle nach § 303b Abs. 4 StGB Bei besonders gravierenden Angriffsszenarien im Sinne des § 303b Abs. 2 StGB werden Innentäter einer Computersabotage regelmäßig die Strafzumessungsregel des § 303b Abs. 4 StGB verwirklichen. Nach dieser Vorschrift liegt ein besonders schwerer Fall der Computersabotage vor, wenn der Innentäter einen Vermögensverlust großen Ausmaßes herbeiführt (Nr. 1) oder wenn er gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat (Nr. 2) sowie wenn durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt worden ist (Nr. 3). Vor allem bei den DDoS- bzw. den Economic Denial of Sustainability-Angriffen wird regelmäßig das Regelbeispiel des § 303b Abs. 4 Nr. 1 StGB eine Rolle spielen, da die Angriffsformen oft zu enormen finanziellen Schäden (Kosten für die Schadensbeseitigung, entgangener Gewinn etc.)258 bei den Cloud-Anbietern und den cloudnutzenden Unternehmen führen. Insbesondere genügt bereits ein eingetretener Schaden von ca. 50.000 E, um einen Vermögensverlust großen Ausmaßes im Sinne des § 303b Abs. 4 Nr. 1 StGB i.V.m. §§ 263a Abs. 2, 263 Abs. 3 Satz 2 Nr. 2 StGB zu 254 Zaczyk, NK, § 303b StGB, Rn. 15a; Hecker, Schönke/Schröder, § 303b StGB, Rn. 12; Hilgendorf, Satzger/Schluckebier/Widmaier, § 303b StGB, Rn. 7. 255 Vgl. Fischer, § 303b StGB, Rn. 15; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 167; Lenckner/Winkelbauer, CR 1986, 824 (830). 256 Gruhl, in: Müller-Gugenberger (Hrsg.), Wirtschaftsstrafrecht, § 42, Rn. 102. 257 Vgl. Wieck-Noodt, MK, § 303b StGB, Rn. 22; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 2; Wolff, LK, § 303b StGB, Rn. 9; Gruhl, in: Müller-Gugenberger (Hrsg.), Wirschaftsstrafrecht, § 42, Rn. 102; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 134. 258 Vgl. Hirsnik, Angriff auf das Computersystem, S. 220; a.A. Zaczyk, wonach nur die unmittelbaren Störungsschäden und nicht auch Störungsfolgeschäden bei der Ermittlung der Schadenssumme zu berücksichtigen sind; Zaczyk, NK, § 303b StGB, Rn. 24.
356
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
bejahen.259 Zumal der Vermögensverlust auch nicht bei einem einzigen Opfer eingetreten sein muss, sondern es für die Schadensfeststellung ausreicht, wenn sich die wirtschaftlichen Einbußen auf mehrere Cloud-Anbieter und Cloud-Nutzer verteilen.260 Handelt der Innentäter zudem als Mitglied einer Bande, d.h. einer Gruppe von mindestens drei Personen, die sich ausdrücklich oder stillschweigend zur Begehung fortgesetzter im Einzelnen möglicherweise noch ungewisser Sabotagehandlungen im Sinne der § 303b Abs. 1 und Abs. 2 StGB zusammengeschlossen hat, ist auch die Indizwirkung des benannten Regelbeispiels aus § 303b Abs. 4 Nr. 2 StGB erfüllt.261 Denkbar ist dies etwa bei zeitlich koordinierten gemeinsamen Ransomware- oder DDoS-Angriffen von mehreren Tätern, um einen oder mehrere Cloud-Anbieter zum „Freikauf“ ihres Cloud-Systems zu veranlassen, nachdem sie die Cloud-Server lahmgelegt haben. In diesem Zusammenhang kommt auch ein gewerbsmäßiges Handeln in Betracht, wenn die Täter in der Absicht handeln, sich durch die wiederholte Begehung von Straftaten eine fortlaufende Einnahmequelle von gewisser Dauer und gewissem Umfang zu verschaffen.262 Sofern die Cloud-Dienstleistungen von Unternehmen im Bereich der Energieversorgung, Wasserwirtschaft, Krankenversorgung, Telekommunikation, des Straßenverkehrs oder im Bankwesen genutzt werden und der Innentäter-Angriff dazu führt, dass die Versorgung der Bevölkerung mit lebenswichtigen Gütern (Gas, Wasser, Energie) oder Dienstleistungen (etwa Telekommunikation, Krankenversorgung, Verkehrsinformationen, Geldverkehr) für eine nicht nur geringfügige Zeit und in einem nicht nur geringfügigen Umfang beeinträchtigt wird, erfüllt der Innentäter auch das Regelbeispiel des § 303b Abs. 4 Nr. 3 StGB.263 259 Siehe hierzu nur BGH StV 2004, 20; Hoyer, SK-StGB, § 303b, Rn. 22; Wolff, LK, § 303b StGB, Rn. 35. 260 Ernst, NJW 2007, 2661 (2665). 261 Ausführlich zur bandenmäßigen Begehung siehe nur Fischer, § 244 StGB, Rn. 34 ff.; Eser/Bosch, Schönke/Schröder, § 244 StGB, Rn. 23 ff. 262 Vgl. RGSt 58, 19 (20); BGHSt 1, 383; Hoyer, SK-StGB, § 303b, Rn. 23; Wolff, LK, § 303b StGB, Rn. 36. 263 Vgl. BT-Drs. 16/3656, S. 14; Zaczyk, NK, § 303b StGB, Rn. 26 f.; Fischer, § 303b StGB, Rn. 25; Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 303b StGB, Rn. 11. Bei der Benutzung der Cloud-Dienste durch die Verwaltung kommt eine Verwirklichung des § 303b Abs. 4 Nr. 2 StGB daneben auch bei einer Beeinträchtigung der inneren oder äußeren Sicherheit der Bundesrepublik Deutschland in Betracht. Darüber hinaus ist bei einer behördlichen Cloud-Nutzung auch eine Verwirklichung der Straftatbestände der Störung öffentlicher Betriebe aus § 316b StGB, der Angriffe auf den Luft- und Seeverkehr nach § 316c StGB, der Störung von Telekommunikationsanlagen gem. § 317 StGB, der verfassungsfeindlichen Sabotage nach § 88 StGB und der Sabotagehandlungen an Verteidigungsmitteln gem. § 109e StGB denkbar, die im Falle ihrer Tatbestandserfüllung dann in Tateinheit zur Computersabotage gem. § 303b Abs. 2, Abs. 4 Nr. 2 StGB stehen; Hecker, Schönke/Schröder, § 303b StGB, Rn. 23; Heger, in: Lackner/Kühl, § 303b StGB, Rn. 10; Fischer, § 303b StGB, Rn. 27; a.A. Zaczyk, NK, § 303b StGB, Rn. 30, wonach § 303b StGB gegenüber den §§ 88, 109e, 316b, 317 StGB subsidiär sei.
C. Urkundenunterdrückung
357
Darüber hinaus kommt bei der Angriffsform des Cloud War aufgrund der Vielzahl der geschädigten Unternehmen auch die Erfüllung eines unbenannten besonders schweren Falles in Betracht.264 Dies gilt ebenso, wenn durch die Sabotagehandlungen gravierende, nicht vermögensrechtliche Nachteile eingetreten sind.265
VI. Zusammenfassung Innentäter machen sich wegen einer Computersabotage gem. § 303b StGB strafbar, wenn sie eine erhebliche Störung der Cloud-Dienste, deren störungsfreie Funktionsweise jedenfalls für die Cloud-Anbieter von wesentlicher Bedeutung ist, bewirken. Sofern die Cloud-Dienstleistungen von Unternehmen genutzt werden, verwirklichen sie zumeist auch den Qualifikationstatbestand des § 303b Abs. 2 StGB. Die Datenverarbeitung in der Cloud ist nämlich aufgrund der ergänzenden oder ersetzenden Nutzung der Cloud-Ressourcen zur vorhandenen Unternehmens-IT für die cloudnutzenden Unternehmen regelmäßig von wesentlicher Bedeutung. Geschützt werden die Cloud-Betreiber und cloudnutzenden Unternehmen zudem durch die Regelbeispiele des § 303b Abs. 4 StGB. Besonders § 303b Abs. 4 Nr. 1 StGB wird bei einer erheblichen Beeinträchtigung der Funktionsweise der CloudDienste regelmäßig mitverwirklicht sein, da schon eine kurze Störung ihrer Verfügbarkeit zu erheblichen Vermögensschäden führen kann.
C. Urkundenunterdrückung, § 274 Abs. 1 Nr. 2 StGB Innentäter könnten bei Verletzungen der Integrität und Verfügbarkeit der Nutzerdaten auch den Straftatbestand der Urkundenunterdrückung nach § 274 Abs. 1 Nr. 2 StGB verwirklichen. Nach dieser Vorschrift macht sich strafbar, wer beweiserhebliche Daten (§ 202a Abs. 2 StGB), über die er nicht oder nicht ausschließlich verfügen darf, in der Absicht, einem anderen einen Nachteil zuzufügen, löscht, unterdrückt, unbrauchbar macht oder verändert.
I. Tatbestandsvoraussetzungen Als Tatobjekt werden zunächst beweiserhebliche Daten genannt. Unter den auf § 202a Abs. 2 StGB Bezug genommenen Datenbegriff fallen alle in dem CloudSystem gespeicherten Nutzerdaten.266 Umstritten ist allerdings, was unter dem 264 265 266
Fischer, § 303b StGB, Rn. 22; Wieck-Noodt, MK, § 303b StGB, Rn. 32. Fischer, § 303b StGB, Rn. 22; Wieck-Noodt, MK, § 303b StGB, Rn. 32. Siehe S. 124 ff.
358
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
einschränkenden Kriterium der Beweiserheblichkeit zu verstehen ist. Zum Teil wird eine „urkundengleiche Beweisfunktion“ gefordert, so dass nur solche Daten taugliche Tatgegenstände sein können, die den Anforderungen einer Datenurkunde im Sinne der Vorschrift des § 269 StGB genügen.267 Beweiserheblich sind damit nur solche Daten, die im Falle ihrer Wahrnehmung eine Urkunde darstellen. Demnach müssen die Daten bis auf das Erfordernis der visuellen Wahrnehmbarkeit alle sonstigen Merkmale des Urkundenbegriffs erfüllen,268 d.h. eine menschliche Gedankenerklärung verkörpern, die zum Beweis im Rechtsverkehr bestimmt und geeignet ist und ihren wahren Aussteller erkennen lässt.269 Begründet wird diese Ansicht zunächst mit der systematischen Stellung des § 274 StGB im Abschnitt der Urkundendelikte und dem strafrechtlichen Schutz der Urkundenunterdrückung nach § 274 Abs. 1 Nr. 1 StGB.270 Danach liege es nahe, auch für den § 274 Abs. 1 Nr. 2 StGB nur solche Daten ausreichen zu lassen, die den Anforderungen des § 269 StGB entsprechen.271 Andernfalls wären durch § 274 Abs. 1 Nr. 2 StGB geringere Beweismittel vor einer Unterdrückung geschützt als durch § 269 StGB vor einer Fälschung.272 Insofern erhalte das Merkmal „beweiserheblich“ seinen Bedeutungsgehalt erst aus der Gleichstellung mit der Urkunde.273 Von diesem Gesichtspunkt gehe auch der Gesetzgeber aus. So findet sich in der Gesetzesbegründung der Hinweis, dass mit der Verwendung des Begriffs „beweiserheblich“ nur die zunächst vorgesehene Verweisung auf den § 269 StGB ersetzt werden sollte.274 Die Gegenansicht lässt hingegen jede Beweiserheblichkeit genügen.275 Dieser Ansicht ist zu folgen. Der Gesetzestext verweist lediglich auf den Datenbegriff des § 202a Abs. 2 StGB. Eine Bezugnahme auf den § 269 StGB und dessen Erfordernis der „urkundengleichen Beweisfunktion“ findet sich dagegen im Wortlaut nicht. Im Umkehrschluss kann dies nur bedeuten, dass auf die Urkundengleichheit der Daten verzichtet wird und stattdessen alle „beweiserheblichen Daten“ in den Schutzbereich des § 274 Abs. 1 Nr. 2 StGB fallen sollen.276
267
Freund, MK, § 274 StGB, Rn. 32; Wittig, Satzger/Schluckebier/Widmaier, § 274 StGB, Rn. 14; Heger, in: Lackner/Kühl, § 274 StGB, Rn. 5; Hilgendorf, JuS 1997, 323 (325). 268 Freund, MK, § 274 StGB, Rn. 32. 269 Statt vieler Hoyer, SK-StGB, § 269, Rn. 13 f. 270 Koch, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 274 StGB, Rn. 10; Freund, MK, § 274 StGB, Rn. 32; Heger, in: Lackner/Kühl, § 274 StGB, Rn. 5. 271 Freund, MK, § 274 StGB, Rn. 32. 272 Meyer, iur 1988, 421 (422); vgl. auch Heger, in: Lackner/Kühl, § 274 StGB, Rn. 5. 273 Heger, in: Lackner/Kühl, § 274 StGB, Rn. 5. 274 BT-Drs. 10/5058, S. 34 f. 275 Puppe/Schumann, NK, § 274 StGB, Rn. 8; Heine/Schuster, Schönke/Schröder, § 274 StGB, Rn. 22c; Zieschang, LK, § 274 StGB, Rn. 15; Hoyer, SK-StGB, § 274, Rn. 18; Preuß, Die Kontrolle von E-Mails, S. 322; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 52; Lenckner/Winkelbauer, CR 1986, 824 (827). 276 Statt vieler Hoyer, SK-StGB, § 274, Rn. 18; Puppe/Schumann, NK, § 274 StGB, Rn. 8; Meyer, iur 1988, 421 (422).
C. Urkundenunterdrückung
359
Entsprechend dem inhaltsgleichen Begriff des § 269 StGB277 sind beweiserheblich solche Daten, die dazu bestimmt und geeignet sind, bei der Verarbeitung im Rechtsverkehr als Beweis für rechtlich erhebliche Tatsachen benutzt zu werden.278 Vergleichbar mit einer zusammengesetzten Urkunde ist dabei nicht erforderlich, dass das einzelne Datum für sich allein beweiserheblich ist; vielmehr reicht es aus, dass sich die Beweiserheblichkeit erst aus der Kombination mit mehreren Daten ergibt, die auf verschiedenen Cloud-Servern gespeichert sind.279 Tatbestandlich erfasst werden damit insbesondere alle für den Rechtsverkehr relevanten digitalisierten Geschäftsunterlagen, die entweder einen Vollbeweis oder zumindest ein Indiz für eine rechtserhebliche Tatsache erbringen.280 Insofern stellen neben E-Mails, die mit einer elektronischen Signatur im Sinne des § 2 Nr. 3 SigG versehen sind und damit nach § 371a Abs. 1 S. 1 ZPO i.V.m. § 416 ZPO vollen Beweis für die Tatsache erbringen, dass die Erklärung vom Inhaber des Signaturschlüssels abgegeben worden ist, auch nicht signierte elektronische Dokumente beweiserhebliche Daten dar, da sie im Rahmen der freien Beweiswürdigung nach § 286 ZPO Berücksichtigung finden können.281 Keine beweiserheblichen Daten sind aber ausschließlich für private, wirtschaftliche, technische oder wissenschaftliche Zwecke gespeicherte Informationen der Cloud-Nutzer, da sie keine rechtserhebliche Erklärung enthalten und nicht dazu bestimmt sind, als Beweisdaten für eine rechtlich erhebliche Tatsache benutzt zu werden.282 Weitere Voraussetzung des Tatbestands ist, dass die Innentäter über die beweiserheblichen Daten nicht oder nicht ausschließlich verfügen dürfen. Da es sich bei der Strafvorschrift nicht um ein Eigentums-, sondern um ein Beweismitteldelikt handelt, bezieht sich das Tatbestandsmerkmal „verfügen darf“ nicht auf eine dingliche Rechtsposition, sondern nur auf das Recht, mit den Daten im Rechtsverkehr Beweis zu erbringen.283 Verfügungsberechtigter ist damit derjenige, der aufgrund des bürgerlichen oder öffentlichen Rechts verlangen kann, dass die Beweismittel herausgegeben, vorgelegt oder zur Einsicht bereitgehalten werden.284 Beim Cloud Computing ist dies aufgrund des Cloud-Vertrags der Cloud-Nutzer. Dies entspricht dem 277
BT-Drs. 10/5058, S. 34; Zieschang, LK, § 274 StGB, Rn. 14. Freund, MK, § 274 StGB, Rn. 32. 279 Heine/Schuster, Schönke/Schröder, § 269 StGB, Rn. 10; vgl. auch Hoyer, SK-StGB, § 274, Rn. 18; Erb, MK, § 269 StGB, Rn. 21; Puppe/Schumann, NK, § 269 StGB, Rn. 24; Weidemann, in: BeckOK StGB, § 269, Rn. 5. 280 Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 269 StGB, Rn. 3. 281 Preuß, Die Kontrolle von E-Mails, S. 323; siehe auch Gercke, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, § 269 StGB, Rn. 3; ders., CR 2005, 606 (609); Stuckenberg, ZStW 2006, 878 (887 f.); Buggisch, NJW 2004, 3519 (3520). 282 Zieschang, LK, § 269 StGB, Rn. 9; Erb, MK, § 269 StGB, Rn. 12. 283 Heine/Schuster, Schönke/Schröder, § 274 StGB, Rn. 22d; Freund, MK, § 274 StGB, Rn. 3; Lenckner/Winkelbauer, CR 1986, 824 (827). 284 Fischer, § 274 StGB, Rn. 3, 7; Zieschang, LK, § 274 StGB, Rn. 5 f., 16 m.w.N. 278
360
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
Ergebnis hinsichtlich der Verfügungsberechtigung im Rahmen des § 202a Abs. 1 StGB.285 Folglich können bei dienstlichen oder behördlichen Datensätzen neben den Administratoren der Cloud-Anbieter auch die Serviceadministratoren taugliche Täter der Strafvorschrift sein, da das Verfügungsrecht über die ausgelagerten Dateien infolge des arbeitsrechtlichen Direktionsrechts aus § 106 GewO allein ihrem Arbeitgeber zukommt. Die Tathandlungen entsprechen denjenigen des § 303a Abs. 1 StGB.286 Dementsprechend verwirklichen Innentäter den objektiven Tatbestand des § 274 Abs. 1 Nr. 2 StGB, wenn sie geschäftliche E-Mails oder sonstige für den Rechtsverkehr beweiserhebliche Dokumente, an denen die Cloud-Nutzer ein Beweisführungsrecht haben, etwa mittels eines Malware Injection-Angriffs oder einer DDoS-Attacke löschen, unterdrücken, unbrauchbar machen oder verändern.287 Neben einem zumindest bedingt vorsätzlichen Handeln hinsichtlich der objektiven Tatbestandsmerkmale muss allerdings für eine Strafbarkeit aus § 274 Abs. 1 Nr. 2 StGB die Absicht des Innentäters, einem anderen einen Nachteil zuzufügen, hinzukommen. Der Nachteil braucht nicht einzutreten und muss nicht vermögensrechtlicher Natur sein oder den beweisführungsberechtigten Cloud-Nutzer treffen.288 Es genügt, wenn der Innentäter in der Vorstellung handelt, dass die betroffenen Daten eine potentielle Beweisbedeutung haben und die Tat zu einer Beeinträchtigung eines fremden Beweisführungsrechts führt.289 Unabhängig davon, ob man hierfür dolus directus 1. Grades290 oder dolus directus 2. Grades291 verlangt oder sogar dolus eventualis292 ausreichen lässt, fehlt es aber an der erforderlichen Nachteilszufügungsabsicht, sofern sich die Angriffshandlungen der Innentäter ausschließlich gegen privat genutzte Cloud-Dienstleistungen richten und sie sich bei ihrer Tat keine Gedanken darüber machen, dass als Nebenfolge ihres Handelns auch beweiserhebliche Daten manipuliert werden oder nicht mehr erreichbar sind.293
285
Siehe hierzu S. 133 f. Siehe nur Fischer, § 274 StGB, Rn. 8; Heger, in: Lackner/Kühl, § 274 StGB, Rn. 5; Weidemann, in: BeckOK StGB, § 274, Rn. 8. 287 Siehe zu den Tathandlungen S. 324 ff. 288 RGSt 50, 213 (216); BGHSt 29, 192 (196); Weidemann, in: BeckOK StGB, § 274, Rn. 11; Wittig, Satzger/Schluckebier/Widmaier, § 274 StGB, Rn. 21. 289 Fischer, § 274 StGB, Rn. 9a; Heine/Schuster, Schönke/Schröder, § 274 StGB, Rn. 22 f.; Heger, in: Lackner/Kühl, § 274 StGB, Rn. 7. 290 Freund, MK, § 274 StGB, Rn. 58 f. 291 BGH NStZ 2010, 332; BGH NJW 1953, 1924; Fischer, § 274 StGB, Rn. 9a; Zieschang, LK, § 274 StGB, Rn. 57; Heine/Schuster, Schönke/Schröder, § 274 StGB, Rn. 22 f.; Heger, in: Lackner/Kühl, § 274 StGB, Rn. 7. 292 Puppe/Schumann, NK, § 274 StGB, Rn. 12. 293 Vgl. Freund, MK, § 274 StGB, Rn. 56; Preuß, Die Kontrolle von E-Mails, S. 324. 286
D. Verletzung des Fernmeldegeheimnisses
361
II. Zusammenfassung Sofern Innentäter nicht in dem Bewusstsein handeln, die Integrität und Verfügbarkeit beweiserheblicher Daten zu beeinträchtigen, über die sie nicht oder nicht ausschließlich verfügen dürfen, machen sie sich nicht wegen einer Urkundenunterdrückung gem. § 274 Abs. 1 Nr. 2 StGB strafbar. Dagegen handeln sie aber dann tatbestandsmäßig, wenn sie in der Absicht handeln, fremde Beweisführungsrechte zu vereiteln. Dies ist beispielsweise dann der Fall, wenn sie BPaaS-Dienste294 angreifen, um die Geschäfts- und Betriebsabläufe eines Konkurrenten zu stören. Nach verbreitetem Verständnis wird der Tatbestand auch dann verwirklicht, wenn Innentäter die Möglichkeit der Beeinträchtigung fremder Beweisführungsrechte als sichere Folge ihrer Tathandlung erkennen.295 Demzufolge liegt eine Strafbarkeit aus § 274 Abs. 1 Nr. 2 StGB auch dann vor, wenn Innentäter in Kenntnis der beweiserheblichen Nutzung der Cloud-Dienste Malware einschleusen oder DDoS-Angriffe durchführen und dabei als sichere Folge ihres Angriffs vorhersehen, dass Daten oder elektronische Dokumente, an denen fremde Beweisführungsrechte bestehen, gelöscht, vorenthalten oder verändert werden.296 Auf Konkurrenzebene geht dann die Strafvorschrift des § 274 Abs. 1 Nr. 2 StGB den Straftatbeständen der Datenveränderung gem. § 303a Abs. 1 StGB und der Computersabotage gem. § 303b Abs. 1 StGB im Wege der Spezialität vor.297
D. Verletzung des Fernmeldegeheimnisses, § 206 Abs. 2 Nr. 2 StGB Die Verletzung der Datenintegrität könnte auch eine Strafbarkeit aus § 206 Abs. 2 Nr. 2 StGB begründen. Nach dieser Vorschrift macht sich strafbar, wenn ein Inn294 Unter BPaaS wird die Abbildung organisationsübergreifender Geschäftsprozesse in SaaS-Applikationen verstanden. Hierbei wird vor allem Software für die Abrechnung, Buchhaltung und Verwaltung des E-Mail-Verkehrs sowie Web Services für Web Conferencing offeriert; vgl. hierzu Haas/Hofmann, Risiken, S. 5; Baun/Kunze/Nimis/Tai, Cloud Computing, S. 39; Brennscheidt, Cloud Computing, S. 31; Giedke, Cloud Computing, S. 32; Sujecki, K&R 2012, 312 (313); Niemann/Paul, K&R 2009, 444 (445). 295 BGH NJW 1953, 1924; Koch, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 274 StGB, Rn. 17; Fischer, § 274 StGB, Rn. 9a; Zieschang, LK, § 274 StGB, Rn. 57; Heine/ Schuster, Schönke/Schröder, § 274 StGB, Rn. 22 f.; Heger, in: Lackner/Kühl, § 274 StGB, Rn. 7. 296 Darüber hinaus verwirklichen Innentäter den Straftatbestand der Urkundenunterdrückung aus § 274 Abs. 1 Nr. 1 StGB und den Tatbestand der Fälschung einer technischen Aufzeichnung gem. § 268 StGB, wenn sie nachträglich ihre Logdateien löschen oder überschreiben, um ihre Angriffsspuren zu verwischen; vgl. hierzu Koch, Angriff und Verteidigung in Computernetzen, S. 97 f. Gegenüber § 268 StGB ist § 274 Abs. 1 Nr. 1 StGB allerdings subsidiär; statt vieler Heine/Schuster, Schönke/Schröder, § 274 StGB, Rn. 22. 297 Freund, MK, § 274 StGB, Rn. 76; Hoyer, SK-StGB, § 274, Rn. 28; Zieschang, LK, § 274 StGB, Rn. 65.
362
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
entäter als Inhaber oder Beschäftigter eines Unternehmens, das geschäftsmäßig Telekommunikationsdienste erbringt, eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt. Neben dem öffentlichen Interesse in das ordnungsgemäße Funktionieren des Fernmeldeverkehrs schützt die Vorschrift das individuelle Beförderungsinteresse.298 Tauglicher Täter des Sonderdelikts kann aber nur sein, wer als Inhaber oder Beschäftigter eines Unternehmens handelt, das geschäftsmäßig Telekommunikationsdienstleistungen erbringt. Entsprechend den Ausführungen zur Strafbarkeit aus § 206 Abs. 2 Nr. 1 StGB kommen somit als mögliche Täter nur die Administratoren der CaaS-Anbieter sowie die Mitarbeiter der Hardware- und Softwareanbieter und des Cloud Service Developers, die von den Anbietern mit der Herstellung, Wartung oder Reparatur einzelner Komponenten des CaaS-Systems oder mit der Bereitstellung einzelner Serviceleistungen betraut wurden, in Betracht.299
I. Anvertraute Sendung Ebenso wie bei dem Tatbestand des § 206 Abs. 2 Nr. 1 StGB ist Tatgegenstand der Strafnorm eine Sendung, die den CaaS-Anbietern anvertraut worden ist. Während EMails und sonstige elektronische Sprach- und Chatnachrichten der Cloud-Nutzer kein taugliches Tatobjekt des § 206 Abs. 2 Nr. 1 StGB darstellen,300 ist fraglich, ob dies gleichfalls auch für die Tatalternative des Unterdrückens einer Sendung der Fall ist. Eine Ansicht geht davon aus, dass § 206 Abs. 2 StGB in allen Tatbestandsvarianten nur körperliche Gegenstände umfasst.301 Entsprechend den Überlegungen im Rahmen des § 206 Abs. 2 Nr. 1 StGB setzt der Sendungsbegriff des § 206 Abs. 2 StGB allerdings nach der hier vertretenen Auffassung keine Körperlichkeit voraus, so dass auch eine elektronische Nachricht des CaaS-Nutzers taugliches Tatobjekt i.S.d. § 206 Abs. 2 Nr. 2 StGB ist.302 Hierfür spricht vor allem der Vergleich des § 206 Abs. 2 Nr. 1 StGB mit dem § 206 Abs. 2 Nr. 2 StGB. Hieraus lässt sich gerade entnehmen, dass Tatgegenstand des § 206 Abs. 2 Nr. 2 StGB auch eine unver298 Siehe nur Altvater, LK, § 206 StGB, Rn. 7; Hoyer, SK-StGB, § 206, Rn. 4; Welp, in: FS Lenckner, S. 643; kritisch zum Universalrechtsgut der Sicherheit und Zuverlässigkeit des Telekommunikationsverkehrs Altenhain, MK, § 206 StGB, Rn. 2 f. 299 Siehe hierzu S. 196 ff. 300 Dazu S. 203 ff. 301 OLG Hamm NJW 1980, 2320 (2321); Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 8; Heger, in: Lackner/Kühl, § 206 StGB, Rn. 8; Welp, in: FS Lenckner, S. 639, 641, 643. 302 S. 204 f.; ebenso OLG Karlsruhe MMR 2005, 178 (180); Fischer, § 206 StGB, Rn. 13; Hoyer, SK-StGB, § 206, Rn. 28; Altvater, LK, § 206 StGB, Rn. 46; Altenhain, MK, § 206 StGB, Rn. 54; Eisele, Schönke/Schröder, § 206 StGB, Rn. 20; Kargl, NK, § 206 StGB, Rn. 30; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 156; Sassenberg/Lammer, DuD 2008, 461 (462); Härting, CR 2007, 311 (315); Cornelius/Tschoepe, K&R 2005, 269 (270).
D. Verletzung des Fernmeldegeheimnisses
363
schlossene Sendung sein kann,303 weshalb die Tatalternative nicht auf körperliche Gegenstände beschränkt ist.304 Dies umso mehr, weil das Interesse des CaaS-Nutzers in die ordnungsgemäße Übermittlung seiner elektronischen Nachrichten genauso schutzwürdig ist, wie das individuelle Beförderungsinteresse des Postkunden bei der Briefpost.305 Bei beiden Kommunikationsformen soll letztendlich der Nutzer des Post- und Fernmeldemediums darauf vertrauen dürfen, dass seine Nachrichten tatsächlich an ihn oder an den von ihm gewünschten Empfänger übersandt und ausgehändigt werden. Des Weiteren müsste die elektronische Nachricht dem CaaS-Anbieter zur Übermittlung anvertraut worden sein. Dies ist der Fall, wenn die Nachricht auf vorschriftsmäßige Weise zur Beförderung in den Telekommunikationsverkehr gelangt ist und sich damit im Herrschaftsbereich des CaaS-Anbieters befindet.306 Demzufolge beginnt die strafrechtliche Verantwortlichkeit des Anbieters bei einer Übermittlung der Nachricht aus der Cloud mit ihrer ordnungsgemäßen Eingabe im CaaS-Dienst und bei einer an die Cloud gesendeten Nachricht mit ihrem Eingang auf dem Cloud-System.307 In diesem Zusammenhang ist allerdings fraglich, ob sich Netzwerk- und Sicherheitsadministratoren des CaaS-Anbieters aus § 206 Abs. 2 Nr. 2 StGB strafbar machen, wenn sie mittels einer Filtertechnologie (insbesondere Netzwerksniffer, DPI-Verfahren) bereits nach Übersendung der IP- oder Mailadresse des Absenders die Übermittlung und Speicherung der an die Cloud-Nutzer gerichteten elektronischen Nachrichten im Cloud-System verhindern. Eine Ansicht verneint in diesen Fällen eine Strafbarkeit mit der Begründung, dass dem CaaS-Anbieter zu diesem Zeitpunkt noch keine Kommunikationsinhalte anvertraut wurden, da die versandten Nachrichten mangels ihrer Speicherung im Cloud-System nicht in seinen Herrschaftsbereich gelangt sind.308 Weiter wird angeführt, dass der Begriff „anvertraut“ auf zwei Voraussetzungen verweise, die auch in der herkömmlichen Definition aufscheinen: Erstens das Überlassen der Sendung an das Telekommunikationsunternehmen bei eigenem Kontrollverlust und zweitens die Übernahme der Verantwortung durch dieses Unternehmen.309 An der letzten Voraussetzung fehle es aber bei dem Einsatz von Filtertechnologien, die bereits nach Übersendung der IP- oder Mailadresse des Absenders die Übermittlung einer Nachricht ablehnen und dadurch technisch verhindern, dass sich der CaaS-Anbieter die Nachricht anvertrauen lasse. Argumentiert wird zudem, dass bei der elektroni303
Fischer, § 206 StGB, Rn. 13; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 156; Heidrich/Tschoepe, MMR 2004, 75 (79). 304 Eisele, Schönke/Schröder, § 206 StGB, Rn. 20; Kargl, NK, § 206 StGB, Rn. 30. 305 Härting, CR 2007, 311 (315); vgl. auch Cornelius/Tschoepe, K&R 2005, 269 (270). 306 Vgl. OLG Karlsruhe MMR 2005, 179 (180); Kargl, NK, § 206 StGB, Rn. 26. 307 Vgl. OLG Karlsruhe MMR 2005, 179 (180); Altenhain, MK, § 206 StGB, Rn. 55; Heidrich, CR 2009, 168 (169); Heidrich/Tschoepe, MMR 2004, 75 (77). 308 Vgl. Altenhain, MK, § 206 StGB, Rn. 55; Altvater, LK, § 206 StGB, Rn. 48; Eisele, Schönke/Schröder, § 206 StGB, Rn. 20b; Heidrich, CR 2009, 168 (169). 309 Hierzu sowie im Folgenden Altenhain, MK, § 206 StGB, Rn. 55.
364
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
schen Nachrichtenübermittlung im Prinzip nichts anderes gelten könne, als dies im Postverkehr der Fall ist. Denn auch im Postwesen könne nicht von einer anvertrauten Sendung gesprochen werden, wenn der zuständige Postbedienstete schon die Annahme eines Pakets ablehne. Zusammenfassend kommt nach dieser Ansicht eine Tatbestandserfüllung nur dann in Betracht, wenn die Netzwerk- und Sicherheitsadministratoren des CaaS-Anbieters die an den CaaS-Nutzer versandten elektronischen Nachrichten erst nach ihrer Speicherung im Cloud-System herausfiltern.310 Nach der Gegenansicht ist ein Anvertrautsein schon zu dem Zeitpunkt zu bejahen, in dem die Anfrage des Absenders auf Speicherung seiner elektronischen Nachrichten im Cloud-System eingegangen ist.311 Hierfür spreche schon der Vergleich der abgesendeten elektronischen Nachricht mit dem Einwerfen einer schriftlichen Sendung in den Briefkasten.312 Denn bei beiden Vorgängen begebe sich der Absender jeglicher Einwirkungsmöglichkeit auf die Nachricht. Schon aus diesem Grund gebiete die Ratio des § 206 StGB, einen lückenlosen Schutz des Fernmeldeverkehrs zu gewährleisten, für eine Tatbestandserfüllung jeden Eingriff in den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten mittels Telekommunikationsanlagen anzusehen.313 Insofern handeln Netzwerk- und Sicherheitsadministratoren der CaaS-Anbieter mit dem Herausfiltern der an den CaaSDienst übersandten elektronischen Nachrichten bereits dann tatbestandsmäßig, wenn die IP- und Mailadresse des Absenders an das Cloud-System übersandt wurde. Dieser Ansicht ist zuzustimmen. Der Sinn des § 206 Abs. 2 Nr. 2 StGB liegt darin, das Vertrauen der Allgemeinheit in die Zuverlässigkeit des Fernmeldeverkehrs und in die ordnungsgemäße Beförderung von elektronischen Nachrichten zu schützen.314 Insofern ist es nach dem Schutzzweck der Norm nicht erforderlich, dass zum Zeitpunkt der Nichtweiterleitung der Nachricht diese vollständig bei den CaaSAnbietern eingegangen und postalisch verarbeitet worden ist.315 Strafwürdig ist bereits die Verweigerung der Entgegennahme und Speicherung der an die CaaSNutzer adressierten Nachrichten im Cloud-System. Demnach verstärkt der Tatbestand die vertraglich übernommene Beförderungspflicht des CaaS-Anbieters.316 Auch nach dem Beförderungsvertrag liegt ein Anvertrautsein der Nachricht schon zu dem Zeitpunkt vor, in dem die IP- und Mailadresse des Absenders von dem CaaSSystem empfangen wurde, da es in diesem Moment allein im Herrschafts- und Einflussbereich des CaaS-Anbieters liegt, den gesamten Nachrichteninhalt an den CaaS-Nutzer weiterzuleiten und auf seinen Cloud-Servern zu speichern. 310
Vgl. Heidrich, CR 2009, 168 (169). Vgl. Cornelius/Tschoepe, K&R 2005, 269 (270); Härting, CR 2007, 311 (315 f.); Heidrich/Tschoepe, MMR 2004, 75 (75 f.). 312 Cornelius/Tschoepe, K&R 2005, 269 (270); Heidrich/Tschoepe, MMR 2004, 75 (77). 313 Cornelius/Tschoepe, K&R 2005, 269 (270). 314 Statt vieler Hoyer, SK-StGB, § 206, Rn. 4. 315 Heidrich/Tschoepe, MMR 2004, 75 (77). 316 Härting, CR 2007, 311 (316). 311
D. Verletzung des Fernmeldegeheimnisses
365
Die fehlende technische Kontrollmöglichkeit des CaaS-Nutzers im Hinblick auf den ordnungsgemäßen Umgang mit den an ihn adressierten Nachrichten gebietet aber nicht nur, das Tatbestandsmerkmal des „Anvertrautseins“ bereits mit dem Eingang der IP- und Mailadresse des Absenders zu bejahen, sondern auch den strafrechtlichen Schutz durch § 206 StGB nicht mit dem Eingang der elektronischen Nachrichten auf den Cloud-Servern und ihrer Kenntnisnahme durch den CaaSNutzer enden zu lassen. Wie bereits im Rahmen der Prüfung des § 206 Abs. 1 StGB aufgezeigt wurde,317 sollte vielmehr das Tatbestandsmerkmal zur strafrechtlichen Gewährleistung des Fernmeldegeheimnisses aus Art. 10 Abs. 1 2. Alt. GG verfassungskonform ausgelegt werden, so dass elektronische Nachrichten solange als „anvertraut“ anzusehen sind, wie sie im Cloud-System gespeichert werden.
II. Unterdrücken Als Tathandlung verlangt die Vorschrift die Unterdrückung der dem CaaS-Anbieter anvertrauten elektronischen Sendung. Dies ist der Fall, wenn sie zumindest vorübergehend dem Telekommunikationsverkehr entzogen wird.318 Demzufolge unterdrückt ein tauglicher Innentäter eine elektronische Nachricht des CaaS-Nutzers, wenn er die Sendung ganz oder teilweise, dauerhaft oder vorübergehend herausfiltert oder nicht an den Empfänger weiterleitet, so dass die Nachricht ihr Ziel nicht oder nur unvollständig erreicht.319 Nicht erfasst wird dagegen das Kopieren oder die Fehlleitung der Nachricht an unbefugte Dritte.320 Zudem wird die Nachricht dem Telekommunikationsverkehr auch nicht entzogen, wenn sie an den Absender zurückgeschickt wird.321 Dagegen stellt es aber erst Recht ein tatbestandliches Unterdrücken dar, wenn taugliche Innentäter die Nachricht löschen oder inhaltlich verändern, indem sie wesentliche Nachrichtenteile entfernen oder durch andere ersetzen.322 Da der strafrechtliche Schutz der Nutzer aus § 206 StGB solange besteht, wie die CaaS-Anbieter in die Verwaltung der auf ihren Servern gespeicherten Datensätze involviert sind,323 handeln ihre Administratoren und die Mitarbeiter der von ihnen eingeschalteten Subunternehmer auch dann tatbestandsmäßig, wenn sie die vorge317
S. 222 f. Statt vieler BGHSt 19, 32; Fischer, § 206 StGB, Rn. 15; Kargl, NK, § 206 StGB, Rn. 31; Hoyer, SK-StGB, § 206, Rn. 29 f. 319 Vgl. Altenhain, MK, § 206 StGB, Rn. 58; Eisele, Schönke/Schröder, § 206 StGB, Rn. 20b; Kargl, NK, § 206 StGB, Rn. 31. 320 Fischer, § 206 StGB, Rn. 15. 321 Altenhain, MK, § 206 StGB, Rn. 58; a.A. Altvater, LK, § 206 StGB, Rn. 50. 322 Fischer, § 206 StGB, Rn. 15; Altvater, LK, § 206 StGB, Rn. 50, 53; Tag, Dölling/Duttge/ König/Rössner (Hrsg.), Strafrecht, § 206 StGB, Rn. 17; Hoyer, SK-StGB, § 206, Rn. 30; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 156; a.A. Altenhain, MK, § 206 StGB, Rn. 58. 323 Siehe S. 222 f.; vgl. auch Eisele, Schönke/Schröder, § 206 StGB, Rn. 20b. 318
366
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
nannten Tathandlungen nach Abschluss des Übertragungsvorgangs begehen.324 Daher kommt beispielsweise eine Strafbarkeit für die Systemadministratoren der CaaS-Anbieter aus § 206 Abs. 2 Nr. 2 StGB auch dann in Betracht, wenn sie den Zugriff der Cloud-Nutzer auf ihre gespeicherten Nachrichten, etwa mittels der Durchführung eines DDoS-Angriffs oder der Sperrung des Nutzeraccounts, verhindern. Der in diesem Fall ebenfalls verwirklichte Tatbestand aus § 303a StGB steht dann wegen der unterschiedlich geschützten Rechtsgüter der beiden Strafvorschriften in Tateinheit zur Strafbarkeit aus § 206 Abs. 2 Nr. 2 StGB.325 Gleiches gilt für den Tatbestand der Computersabotage gem. § 303b StGB, dessen Verwirklichung in diesem Zusammenhang dann denkbar ist, wenn ein cloudnutzendes Unternehmen die gesamte Kommunikation als CaaS-Dienste bezieht.326 Sofern ein Arbeitgeber die CaaS-Dienste gegenüber den eigenen Angestellten erbringt und hierbei Nachrichten unterdrückt, gilt zu berücksichtigen, dass der Arbeitgeber – wie oben bereits aufgezeigt wurde327 – nur bei einer erlaubten Privatnutzung als Telekommunikationsunternehmen im Sinne des § 3 Nr. 22 TKG anzusehen ist, so dass er den Tatbestand nur dann verwirklichen kann, wenn sich seine Tat auf die Unterdrückung privater Nachrichten seiner Arbeitnehmer bezieht.328
III. Unbefugt Die Unterdrückung der elektronischen Nachricht des CaaS-Nutzers muss schließlich unbefugt sein. Dies ist der Fall, wenn die Tathandlung ohne Zustimmung des Nutzers ausgeübt wurde.329 Unabhängig davon, ob diese Gestattung der Verletzung des Fernmeldegeheimnisses als tatbestandsausschließendes Einverständnis330 oder als rechtfertigende Einwilligung331 einzuordnen ist, scheidet eine Strafbarkeit aus § 206 Abs. 2 Nr. 2 StGB jedenfalls dann aus, wenn der CaaS-Nutzer mit der Unterdrückung seiner Nachrichten einverstanden ist. Die Zustimmung kann dabei für den Einzelfall oder generell mittels eines zwischen ihm und dem CaaS324
A.A. Altenhain, MK, § 206 StGB, Rn. 58. Statt vieler Kargl, NK, § 206 StGB, Rn. 56. 326 Siehe hierzu S. 352 f. 327 Siehe hierzu S. 199 f. 328 Eisele, Schönke/Schröder, § 206 StGB, Rn. 20b; Altenhain, MK, § 206 StGB, Rn. 58; ausführlich zu den Erlaubnistatbeständen bei Kontrollen von E-Mails und sonstigen elektronischen Dokumenten durch den Arbeitgeber Preuß, Die Kontrolle von E-Mails, S. 161 ff. 329 Altenhain, MK, § 206 StGB, Rn. 44. 330 Eisele, Schönke/Schröder, § 206 StGB, Rn. 26; Altenhain, MK, § 206 StGB, Rn. 43; Tag, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 206 StGB, Rn. 11; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 157. 331 Bosch, Satzger/Schluckebier/Widmaier, § 206 StGB, Rn. 14; Fischer, § 206 StGB, Rn. 9; Altvater, LK, § 206 StGB, Rn. 84; Hoyer, SK-StGB, § 206, Rn. 39; Kargl, NK, § 206 StGB, Rn. 44. 325
D. Verletzung des Fernmeldegeheimnisses
367
Anbieter geschlossenen Vertrags erteilt werden.332 Entsprechend den Ausführungen im Rahmen des § 303a Abs. 1 StGB handeln daher Innentäter dann nicht unbefugt, wenn sie den Kontozugriff der CaaS-Nutzer zwecks Durchsetzung von fälligen und durchsetzbaren Zahlungsansprüchen der Anbieter blockieren.333 Aufgrund der erteilten (konkludenten) Zustimmung in die entsprechenden Nutzungsvereinbarungen der CaaS-Anbieter334 gilt dies ebenso, wenn sie Spam-Mails oder virenverseuchte EMails der Cloud-Nutzer löschen oder herausfiltern, um Störungen oder Schäden ihrer Telekommunikations- und Datenverarbeitungssysteme zu verhindern.335 Die Zustimmung des Absenders bedarf es dagegen zu diesen Vorgehensweisen nicht.336 Abgesehen davon, dass dies praktisch kaum umsetzbar wäre, steht dem auch die negative Informationsfreiheit des CaaS-Nutzers aus Art. 5 Abs. 1 S. 1 Var. 2 GG entgegen, wonach er befugt ist, selbst zu entscheiden, welche elektronischen Nachrichten er empfangen möchte und welche nicht.337 Indem es ihm auch jederzeit möglich ist, die übersandten Nachrichten selbst ungelesen zu löschen, kann er dies auch dem CaaS-Anbieter überlassen.338 In diesem Kontext weist Kitz zutreffend darauf hin, dass die Administratoren des CaaS-Anbieters lediglich als Geheißpersonen des Nutzers dessen Dispositionsrecht über die Sendung ausüben und daher nicht eigenmächtig von ihrem grundsätzlichen Zustellungsauftrag abweichen, weshalb die Spam- und Virenfilterung auch kein Zustimmungserfordernis des Absenders auslöse, da dessen von § 206 Abs. 2 Nr. 2 StGB geschütztes Beförderungsinteresse überhaupt nicht berührt werde.339
IV. Zusammenfassung Unter Strafe gestellt wird jeder vorsätzliche Eingriff in den technischen Vorgang des Aussendens, Übermittelns und Empfangens elektronischer Nachrichten ohne 332 Vgl. nur Altenhain, MK, § 206 StGB, Rn. 44; Eisele, Schönke/Schröder, § 206 StGB, Rn. 26. 333 Siehe hierzu S. 334 f. 334 Siehe nur Punkt 3 des Microsoft-Servicevertrags, abrufbar unter https://www.microsoft. com/de-de/servicesagreement/ (zuletzt aufgerufen am 01. 02. 2018). 335 Vgl. Altvater, LK, § 206 StGB, Rn. 86; Heidrich/Tschoepe, MMR 2004, 75 (78); Sassenberg/Lammer, DuD 2008, 461 (462); Härting, CR 2007, 311 (316); Kitz, CR 2005, 450 (453); Hoeren, NJW 2004, 3513 (3515 ff.); Spindler/Ernst, CR 2004, 437 (439 ff.); ähnlich Lejeune, CR 2005, 288 (291), der ein mutmaßliches Einverständnis annimmt; einen etwas anderen Ansatz vertritt Altenhain, MK, § 206 StGB, Rn. 59, der in diesen Fällen schon das Anvertrautsein verneint. 336 A.A. Hoyer, SK-StGB, § 206, Rn. 39; Fischer, § 206 StGB, Rn. 9. 337 Im Ergebnis so auch Altvater, LK, § 206 StGB, Rn. 86; Heidrich, MMR 2005, 178 (182); Sassenberg/Lammer, DuD 2008, 461 (462). 338 Altvater, LK, § 206 StGB, Rn. 86; Härting, CR 2007, 311 (316); Spindler/Ernst, CR 2004, 437 (439). 339 Kitz, CR 2005, 450 (453).
368
Kap. 6: Schutz der Datenintegrität und -verfügbarkeit
oder gegen den Willen des CaaS-Nutzers. Insofern werden unbefugte Verletzungen der Integrität und Verfügbarkeit ihrer fernmelderelevanten Inhaltsdaten recht umfassend unter Strafe gestellt. So liegt ein tatbestandliches Unterdrücken bereits dann vor, wenn ihre E-Mails, Text- oder Sprachnachrichten gelöscht, inhaltlich verändert oder ganz oder teilweise, dauerhaft oder vorübergehend herausgefiltert oder nicht an den Empfänger weitergeleitet werden. Dabei beginnt der Anwendungsbereich des § 206 StGB nach der hier vertretenen Ansicht bereits mit der Eingabe der Nachricht im CaaS-Dienst oder mit dem Eingang der IP- und Mail-Adresse des Absenders im Cloud-System. Vom Schutz umfasst werden zudem auch elektronische Nachrichten, die auf den CaaS-Servern zum Abruf bereitgehalten werden. Taugliche Täter der Vorschrift sind allerdings nur die Administratoren der CaaS-Anbieter und die bei den CaaS-Diensten eingeschalteten Beschäftigten der Subunternehmer (Hardware- und Softwareanbieter sowie der Cloud Service Developer). Andere Cloud-Nutzer und deren Serviceadministratoren fallen hingegen nicht in den möglichen Täterkreis. Indessen drohen hierdurch aber keine Strafbarkeitslücken, da sie sich bei einer Unterdrückung, Löschung oder Veränderung fremder elektronischer Nachrichten aus § 303a StGB und ggf. aus § 303b StGB strafbar machen.340
340
Siehe S. 285 ff.
7. Kapitel
Anwendbarkeit des deutschen Strafrechts Infolge der globalen Zugriffsmöglichkeiten auf die Cloud-Dienstleistungen ist für einen Innentäter-Angriff charakteristisch, dass er von jedem Ort der Welt aus durchführbar ist und in Überschreitung von Ländergrenzen das Verfügungsrecht einer Vielzahl von Cloud-Nutzern unterschiedlicher Nationalitäten verletzt. Inwieweit die hierbei verwirklichten Straftatbestände überhaupt der deutschen Strafgewalt unterliegen, damit es zu einer Ahndung der Angriffe und Verurteilung des Innentäters nach dem deutschen Strafrecht kommen kann, ist im internationalen Strafanwendungsrecht geregelt.1 Finden die deutschen Strafvorschriften nämlich keine Anwendung, liegt ein unüberwindbares Prozesshindernis vor, das zur Einstellung des Strafverfahrens führt.2 Das Strafanwendungsrecht, das im Deliktsaufbau üblicherweise isoliert für jeden Straftatbestand3 vor der Tatbestandsmäßigkeit geprüft wird,4 wird zum Teil etwas irreführend auch als „Internationales Strafrecht“ bezeichnet.5 Durch diese Terminologie wird allerdings der Eindruck erweckt, es würde sich hierbei um supranationale Strafrechtsnormen mit weltweitem Geltungsanspruch handeln.6 Anders als beim Internationalen Privatrecht, handelt es sich aber bei dem in §§ 3 – 7, 9 StGB normiertem Anwendungsrecht nicht um ein Kollisionsrecht, sondern um die ein-
1 Da nach § 21 Abs. 1 OWiG, § 41 Abs. 1 Satz 1 BDSG der vom Innentäter verwirklichte Bußgeldtatbestand aus Art. 83 DSGVO im Wege der Subsidiarität hinter einer tateinheitlich zusammentreffenden Straftat zurücktritt, wird die nachfolgende Untersuchung auf das Strafanwendungsrecht beschränkt; vgl. Becker, in: Plath (Hrsg.), BDSG/DSGVO, § 42 BDSG, Rn. 8. Demgegenüber vertreten Brodowski und Nowak – entgegen dem Verbot einer Doppelbestrafung („ne bis in idem“) – die Ansicht, dass aufgrund des Gebots der effektiven Durchsetzung des Unionsrechts gegen den Innentäter neben einer Kriminalstrafe ausnahmsweise auch ein Bußgeld wegen derselben Tat verhängt werden kann; Brodowski/Nowak, in: BeckOK Datenschutzrecht, § 41 BDSG, Rn. 24; siehe auch Sommer, Däubler/Wedde/Weichert/Sommer (Hrsg.), DSGVO/BDSG, § 41 BDSG, Rn. 5. 2 BGH NStZ 1986, 320 (320). 3 Safferling, Internationales Strafrecht, § 3, Rn. 12. 4 Joecks/Jäger, StGB, Vorb. § 3, Rn. 2; Wessels/Beulke/Satzger, Strafrecht AT, § 2, Rn. 97; Preuß, Die Kontrolle von E-Mails, S. 449; Satzger, JURA 2010, 108 (111). 5 Stellvertretend Heger, in: Lackner/Kühl, Vorb. §§ 3 – 7 StGB, Rn. 1; Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 1. 6 Safferling, Internationales Strafrecht, § 3, Rn. 1; Hecker, Europäisches Strafrecht, Teil 2, Rn. 2; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 1.
370
Kap. 7: Anwendbarkeit des deutschen Strafrechts
seitige, nationale Festlegung des persönlichen und räumlichen Geltungsbereichs der nationalen materiellen Strafvorschriften.7 Um die Anwendbarkeit des deutschen Datenschutzstrafrechts bejahen zu können, muss sowohl ein völkerrechtlich legitimierbarer Anknüpfungspunkt („genuine link“) nach den §§ 3 – 7, 9 StGB vorliegen als auch der Schutzbereich des deutschen Straftatbestands betroffen sein.8 Ein Tatvorsatz des Innentäters hinsichtlich dieser Voraussetzungen muss allerdings nicht vorliegen, da es sich hierbei im ersten Fall um keine Tatbestandsmerkmale9, sondern um objektive Bedingungen der Strafbarkeit handelt.10 Im Einzelfall kann allerdings, auch bei Irrtümern über den Schutzbereich des Tatbestandes, ein Verbotsirrtum nach § 17 StGB in Betracht kommen.11 So handelt ein Innentäter ohne Schuld, wenn ihm bei Begehung seiner Tat die Einsicht fehlt, Unrecht zu tun.12 Nicht ausreichend hierfür ist aber, dass er keine Kenntnis von seiner Strafbarkeit nach dem deutschen Recht hat.13 Eher fernliegend ist ein fehlendes Unrechtsbewusstsein daher in den Fällen, in denen seine Angriffshandlung auch nach dem Recht seines Heimtlandes unter Strafe gestellt ist.14 Um der Gebietshoheit sowie der Unabhängigkeit und Gleichheit souveräner Staaten Rechnung zu tragen,15 geht das Strafanwendungsrecht im Hinblick auf den Anknüpfungspunkt grundsätzlich von dem in § 3 StGB normierten völkerrechtlich anerkannten Territorialitätsprinzip16 aus, wonach das deutsche Strafrecht Anwendung findet, wenn die Straftat des Innentäters im deutschen Hoheitsgebiet begangen wurde. Dabei wird von dem Tatbegriff des § 3 StGB sowohl eine täterschaftliche Begehung als auch eine Teilnahme des Innentäters an einer Straftat eines Dritten erfasst.17 Nach dem in § 9 StGB normierten Ubiquitätsprinzip18 ist der Begehungsort 7 Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 1 f.; Fischer, Vorb. §§ 3 – 7 StGB, Rn. 1; Eser/ Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 5 f. 8 Safferling, Internationales Strafrecht, § 3, Rn. 12 ff.; Satzger, JURA 2010, 108 (111). 9 So aber Pawlik, ZIS 2006, 274 (283). 10 Stellvertretend für diese vorherrschende Ansicht Werle/Jeßberger, LK, Vorb. § 3 ff. StGB, Rn. 452; Hecker, Europäisches Strafrecht, Teil 2, Rn. 3; Eisele, Computerstrafrecht, § 3, Rn. 3; Satzger, JURA 2010, 108 (111). 11 Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 85; Safferling, Internationales Strafrecht, § 3, Rn. 5. 12 Statt vieler Satzger, Satzger/Schluckebier/Widmaier, Vorb. §§ 3 – 7 StGB, Rn. 3; Safferling, Internationales Strafrecht, § 3, Rn. 5. 13 BGHSt 45, 97; Werle/Jeßberger, LK, Vorb. § 3 ff. StGB, Rn. 453. 14 Siehe nur Werle/Jeßberger, LK, Vorb. § 3 ff. StGB, Rn. 453. 15 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 133; Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 222. 16 BGHSt 30, 1 (3); Satzger, Satzger/Schluckebier/Widmaier, § 3 StGB, Rn. 1; Werle/ Jeßberger, LK, § 5 StGB, Rn. 2. 17 Satzger, Satzger/Schluckebier/Widmaier, § 3 StGB, Rn. 2; Eser/Weißer, Schönke/ Schröder, § 3 StGB, Rn. 4a. Ebenso zu § 3 StGB Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 320 mit der Begründung, dass es bei einem abweichenden Begriffsverständnis sonst an
Kap. 7: Anwendbarkeit des deutschen Strafrechts
371
sowohl der Ort, an dem der Innentäter gehandelt hat, als auch der Ort, an dem er im Falle eines Unterlassens hätte handeln müssen, oder der Ort, an dem der zum Tatbestand gehörende Erfolg eingetreten ist bzw. bei einer versuchten Tat nach der Vorstellung des Innentäters eintreten sollte. Der Handlungsort i.S.d. § 9 Abs. 1 1. Var. StGB liegt dort, wo der Innentäter eine auf die Verwirklichung des Straftatbestands gerichtete Tätigkeit ausgeübt hat.19 Der Erfolgsort gem. § 9 Abs. 1 3. Var. StGB bezeichnet dagegen den Ort, an dem der in den gesetzlichen Tatbeständen umschriebene Erfolg eingetreten ist.20 Sofern die Tat des Innentäters mehrere Handlungs- und Erfolgsorte aufweist, stellt jeder von ihnen einen Begehungsort dar, so dass mehrere Tatorte gegeben sind.21 Darüber hinaus ist die Teilnahme an einer Straftat nach § 9 Abs. 2 Satz 1 StGB sowohl an dem Ort begangen, an dem die Tat begangen ist, als auch an jedem Ort, an dem der Teilnehmer gehandelt hat oder im Falle des Unterlassens hätte handeln müssen oder an dem nach seiner Vorstellung die Tat begangen werden sollte. Gem. § 9 Abs. 2 Satz 2 StGB ist für die Teilnahme der Geltungsbereich des deutschen Strafrechts sogar dann eröffnet, wenn der Teilnehmer an einer Auslandstat im Inland gehandelt hat, obwohl die Haupttat nach dem Recht des Tatorts nicht mit Strafe bedroht ist. Insofern lockert die Vorschrift den Grundsatz der limitierten Akzessorietät der Teilnahme und ergänzt das in § 7 StGB geregelte Erfordernis der Tatortstrafbarkeit.22 Ergänzt wird das Territorialitätsprinzip um weitere Anknüpfungspunkte, von denen im Zusammenhang mit der Bewertung grenzüberschreitender InnentäterAngriffe im Besonderen das aktive (§ 7 Abs. 2 Nr. 1 StGB) und passive Personalitätsprinzip (§ 7 Abs. 1 StGB) sowie das Staatsschutzprinzip (§ 5 Nr. 7 StGB) bedeutsam sind.23 Während das Personalitätsprinzip die Strafanwendung auf einen grenzüberschreitenden Innentäter-Angriff auf deutsche Beteiligte oder Opfer ausdehnt,24 sofern der Innentäter eine „identische Tatortnorm“25 erfüllt, erstreckt das Staatsschutzprinzip nach § 5 Nr. 7 StGB, unabhängig von der Staatsangehörigkeit einer Norm über die Geltung des deutschen Strafrechts für die im Inland oder im Ausland begangene Teilnahme an einer Inlandstat fehlen würde. Im Besonderen werde dieser Fall auch nicht von § 9 Abs. 2 Satz 2 StGB geregelt, da dort nur die Anwendbarkeit des deutschen Strafrechts an einer ausländischen Haupttat durch eine inländische Teilnahme normiert werde. Für eine täterschaftliche Begehung dagegen noch Eser, Schönke/Schröder29, § 3 StGB, Rn. 4 mit dem Argument, dass andernfalls § 9 Abs. 2 Satz 2 StGB überflüssig wäre. 18 Eser/Weißer, Schönke/Schröder, § 9 StGB, Rn. 3. 19 Ambos, MK, § 9 StGB, Rn. 8; Eser/Weißer, Schönke/Schröder, § 9 StGB, Rn. 4. 20 Fischer, § 9 StGB, Rn. 4. 21 Eser/Weißer, Schönke/Schröder, § 9 StGB, Rn. 3; Hartmann, Dölling/Duttge/König/ Rössner (Hrsg.), Strafrecht, § 9 StGB, Rn. 1. 22 Ambos, MK, § 9 StGB, Rn. 39. 23 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 163; Eser/Weißer, Schönke/ Schröder, § 5 StGB, Rn. 1 f.; Ambos, MK, § 7 StGB, Rn. 1. 24 Ausführlich zum aktiven und passiven Personalitätsprinzip Safferling, Internationales Strafrecht, § 3, Rn. 33 f. 25 Ambos, MK, § 7 StGB, Rn. 5.
372
Kap. 7: Anwendbarkeit des deutschen Strafrechts
des Innentäters, die Geltung des deutschen Strafrechts auf alle Auslandstaten, bei denen Betriebs- und Geschäftsgeheimnisse eines in Deutschland liegenden oder ansässigen cloudnutzenden Betriebs verletzt worden sind.26 Hinsichtlich der Anwendbarkeit des deutschen Strafrechts soll für die weitere Untersuchung zwischen folgenden Fallkonstellationen unterschieden werden: 1. Ein Innentäter gibt Befehle auf seinem Endgerät innerhalb des Geltungsbereichs von Deutschland ein, wodurch er unter täterschaftlicher Verwirklichung eines deutschen Straftatbestands die Vertraulichkeit, Integrität und Verfügbarkeit fremder Inhaltsdaten verletzt, die auf einer international verteilten Cloud-Architektur gespeichert sind. Anschließend verwertet er in strafbarer Weise die ausgespähten Nutzerdaten in Deutschland oder er gibt die rechtswidrig erlangten Inhaltsdaten unter Erfüllung eines deutschen Straftatbestands innerhalb der deutschen Landesgrenzen an Dritte weiter („Innentäter-Angriffe aus Deutschland“). 2. Ein Innentäter nimmt unter Verstoß gegen einen deutschen Straftatbestand eine Angriffshandlung aus dem Ausland vor, indem er fremde Nutzerdaten, die auf eine inländische Cloud-Infrastruktur gespeichert sind, ausspäht, löscht, verändert oder deren Erreichbarkeit beeinträchtigt oder indem er die ausgespähten Nutzerdaten im Ausland verwertet bzw. unbefugt an Dritte weitergibt („InnentäterAngriffe aus dem Ausland“). 3. Ein Innentäter verwirklicht täterschaftlich einen deutschen Straftatbestand, indem er die Vertraulichkeit, Verfügbarkeit und Integrität fremder Nutzerdaten, die sich auf einer international verteilten Cloud-Infrastruktur befinden, aus dem Ausland angreift („Ausländische Angriffshandlung auf eine international verteilte Cloud-Infrastruktur“). 4. Ein Innentäter greift unter Verstoß gegen einen deutschen Straftatbestand aus dem Ausland die Vertraulichkeit, Verfügbarkeit und Integrität fremder Nutzerdaten, die auf einer internationalen Cloud-Infrastruktur gespeichert und verarbeitet werden, an, indem er hierfür inländische Cloud-Server verwendet („InnentäterAngriff aus dem Ausland mittels inländischer Cloud-Server“).
A. Innentäter-Angriffe aus Deutschland Sofern der Innentäter unter Verwirklichung eines deutschen Straftatbestands die Vertraulichkeit, Integrität und Verfügbarkeit fremder Inhaltsdaten von Deutschland aus verletzt, bestimmt sich die Anwendbarkeit des deutschen Strafrechts gem. § 9 Abs. 1 1. Var. StGB nach seinem Handlungsort. Der Handlungsort ist derjenige Ort, an dem der Innentäter zu dem Tatzeitpunkt körperlich anwesend ist und an dem er 26
Allgemein zum Staatsschutzprinzip Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 225 f.
B. Innentäter-Angriffe aus dem Ausland
373
eine auf die Tatbestandserfüllung gerichtete Angriffshandlung vornimmt.27 Befindet sich der Innentäter damit zum Zeitpunkt seiner Tathandlung, d.h. seiner Befehlseingabe28 bzw. der Verschaffung, Verwertung oder Weitergabe der (ausgespähten) Nutzerdaten innerhalb der deutschen Landesgrenzen, findet das deutsche Strafrecht über § 9 Abs. 1 1. Var. StGB Anwendung.29
B. Innentäter-Angriffe aus dem Ausland Wenn ein Innentäter die Vertraulichkeit, Integrität und Verfügbarkeit von Inhaltsdaten, die auf inländischen Cloud-Servern verarbeitet und gespeichert werden, unter Verwirklichung eines deutschen Straftatbestands aus dem Ausland angreift, könnte ein völkerrechtlich legitimierter Anknüpfungspunkt nach dem Schutzprinzip gem. § 5 Nr. 7 StGB und dem aktiven bzw. passiven Personalitätsprinzip nach § 7 Abs. 1, Abs. 2 Nr. 1 StGB gegeben sein. Darüber hinaus könnte sich die Anwendbarkeit des deutschen Strafrechts auch über das Ubiquitätsprinzip gem. §§ 3, 9 StGB ergeben.
27 Fischer, § 9 StGB, Rn. 3; Ambos, MK, § 9 StGB, Rn. 8; Böse, NK, § 9 StGB, Rn. 3; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 145. 28 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 145; Krischker, Internetstrafrecht, S. 183. 29 Darüber hinaus liegt bei dem Tatbestand der Datenhehlerei gem. § 202d Abs. 1 StGB auch dann eine Inlandstat vor, wenn die Hehlereihandlung des Datenkäufers innerhalb des deutschen Hoheitsgebiets vorgenommen wird, aber die rechtwidrige Vortat des Innentäters unter Verwirklichung eines deutschen Straftatbestands im Ausland verübt wurde. Dies folgt schon aus dem Sinn und Zweck des § 202d StGB, dem internationalen Datenhandel strafrechtlich begegnen zu können (BT-Drs. 18/5088, S. 26). Dem steht auch nicht der Wortlaut der Vorschrift entgegen. Im Gegenteil: Aus dem auf § 11 Abs. 1 Nr. 5 StGB verweisenden Tatbestandsmerkmal folgt lediglich, dass sich die Strafbarkeit der Vortat aus dem deutschen (materiellen) Strafrecht ergeben muss. Damit kommt es für die nationale Sanktionsbefugnis in Anlehnung an den Tatbestand der Sachhehlerei aus § 259 StGB nur darauf an, dass die im Ausland verübte Vortat nach dem deutschem Recht strafbar gewesen wäre und den Schutzbereich der deutschen Strafnorm berührt; Vgl. nur Hecker, Schönke/Schröder, § 259 StGB, Rn. 10; Walter, LK, § 259 StGB, Rn. 10 m.w.N.; a.A. Brodowski/Marnau, NStZ 2017, 377 (386 ff.), die in solchen Fällen für die Anwendbarkeit des deutschen Strafrechts eine Tatortstrafbarkeit fordern und im Falle einer möglichen Straflosigkeit der Vortat – entgegen dem Amtsermittlungsgrundsatz und der Unschuldsvermutung – das „Beweisrisiko“ dem Beschuldigten auferlegen wollen.
374
Kap. 7: Anwendbarkeit des deutschen Strafrechts
I. Betriebs- und Geschäftsgeheimnisse, § 5 Nr. 7 StGB Werden durch die Straftat des Innentäters Betriebs- und Geschäftsgeheimnisse30 eines cloudnutzenden Betriebs oder Unternehmens verletzt, findet das deutsche Strafrecht nach § 5 Nr. 7 StGB unabhängig vom Territorialitätsprinzip und dem Erfordernis der identischen Tatortstrafbarkeit Anwendung.31 Voraussetzung hierfür ist allerdings, dass das cloudnutzende Unternehmen seinen handelsrechtlichen Sitz im Inland hat, also nicht nur eine „Briefkastenadresse“, sondern tatsächlich die Produktions- bzw. Geschäftstätigkeit in Deutschland ausübt und dadurch einen Beitrag zur deutschen Volkswirtschaft leistet (Schaffung von Arbeitsplätzen; Entrichtung von Steuern, Beitrag zum Bruttosozialprodukt etc.).32 Primär wird damit von der Norm die deutsche Volkswirtschaft geschützt.33 Insofern wird das passive Personalitätsprinzip durch das Staatsschutzprinzip überlagert, indem inländische Individualrechtsgüter nur geschützt werden, soweit dies zum Schutz der deutschen Volkswirtschaft erforderlich ist.34 Vor diesem Hintergrund fällt auch ein im Ausland angesiedeltes Unternehmen in den Anwendungsbereich des § 5 Nr. 7 StGB, wenn es von einem inländischen Unternehmen abhängig ist und mit diesem einen Konzern bildet. Eine solche Abhängigkeit besteht vor allem zwischen einer ausländischen Tochtergesellschaft und einem deutschen Mutterunternehmen, sofern sie sich zu einem einheitlichen Konzern i.S.d. § 18 Abs. 1 AktG verbunden haben und nicht bloß rechtlich selbstständige Unternehmensgruppen bilden (sog „Gleichordnungskonzerne“, § 18 Abs. 2 AktG).35 „Verletzt“ werden Betriebs- und Geschäftsgeheimnisse der cloudnutzenden Unternehmen bei ihrer strafbaren Ausspähung und Weitergabe i.S.d. §§ 202a Abs. 1, 202b, 202d, 203 Abs. 4, 204 Abs. 1 StGB36 und § 206 Abs. 1 StGB.37 Dies gilt ebenso für die im Rahmen eines Ransomware-Angriffs verwirklichte Erpressung aus § 253 StGB, da die Vermögensschädigung auf der Verletzung der Verfügbarkeit der 30
Ausführlich dazu S. 257 ff. Satzger, Satzger/Schluckebier/Widmaier, § 5 StGB, Rn. 1. 32 Böse, NK, § 5 StGB, Rn. 20; Eser/Weißer, Schönke/Schröder, § 5 StGB, Rn. 19; Ambos, MK, § 5 StGB, Rn. 26 f. 33 BT-Drs. 4/650, 11; Ambos, MK, § 5 StGB, Rn. 27; kritisch hierzu Werle/Jeßberger, LK, § 5 StGB, Rn. 124. 34 Böse, NK, § 5 StGB, Rn. 20. 35 Böse, NK, § 5 StGB, Rn. 20; Ambos, MK, § 5 StGB, Rn. 26; Hartmann, Dölling/Duttge/ König/Rössner (Hrsg.), Strafrecht, § 5 StGB, Rn. 11. 36 Insbesondere stellen die dem cloudnutzenden Unternehmen anvertrauten Privatgeheimnisse Kundendaten dar, die als Wirtschaftsgeheimnisse dem § 5 Nr. 7 StGB unterfallen; Pohle/Ghaffari, CR 2017, 489 (493). 37 Böse, NK, § 5 StGB, Rn. 20; Eser/Weißer, Schönke/Schröder, § 5 StGB, Rn. 19; Ambos, MK, § 5 StGB, Rn. 26; Werle/Jeßberger, LK, § 5 StGB, Rn. 116; Fischer, § 5 StGB, Rn. 7; Hartmann, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht, § 5 StGB, Rn. 11; Werkmeister/ Steinbeck, wistra 2015, 209 (210). 31
B. Innentäter-Angriffe aus dem Ausland
375
Wirtschaftsgeheimnisse beruht.38 Daneben enthält auch das Delikt des Verrats von Geschäfts- und Betriebsgeheimnissen aus § 17 UWG in dessen Absatz 4 eine Verweisung auf § 5 Nr. 7 StGB. Neben diesen strafbaren Verletzungen der Datenvertraulichkeit fallen auch Innentäter-Angriffe auf die Integrität und Verfügbarkeit der Wirtschaftsgeheimnisse i.S.d. §§ 206 Abs. 2 Nr. 2, 303a, 274 Abs. 1 Nr. 2 StGB und § 303b StGB in den Anwendungsbereich der Norm. Nicht erfasst von § 5 Nr. 7 StGB wird aber der Tatbestand des Vorbereitens und Abfangens von Daten aus § 202c StGB. Bei dieser Strafvorschrift handelt es sich nämlich um ein abstraktes Gefährdungsdelikt.39 Nach dem Wortlaut des § 5 Nr. 7 StGB muss aber der InnentäterAngriff zu einer tatsächlichen „Verletzung“ eines Wirtschaftsgeheimnisses geführt haben. Die Herbeiführung einer abstrakten Gefährdung als Taterfolg genügt insoweit nicht, um die Anwendbarkeit des deutschen Strafrechts zu begründen.40
II. Geltung für Auslandstaten in anderen Fällen, § 7 StGB Unabhängig vom Ubiquitätsprinzip lässt sich die Anwendbarkeit des deutschen Strafrechts bei grenzüberschreitenden Innentäter-Angriffen auch über § 7 StGB begründen. Bedeutsam sind vor allem die Abs. 1 und Abs. 2 Nr. 1 StGB. Hiernach unterliegt die Auslandstat des Innentäters der nationalen Strafgewalt, wenn seine Tat am Tatort mit Strafe bedroht ist oder der Tatort keiner Strafgewalt unterliegt. Erforderlich ist zudem, dass der Innentäter entweder Deutscher ist oder Deutscher nach seiner Straftat geworden ist (§ 7 Abs. 2 Nr. 1 StGB) oder dass sich der InnentäterAngriff gegen einen deutschen Cloud-Nutzer richtete (§ 7 Abs. 1 StGB). Als Deutsche gelten nach Art. 116 Abs. 1 GG nur natürliche Personen, welche die deutsche Staatsangehörigkeit i.S.d. § 1 StAG besitzen.41 Ob darüber hinaus auch juristische Personen mit Sitz im Inland „Deutsche“ sein können, ist umstritten. Für eine Erweiterung des Anwendungsbereichs auf cloudnutzende Unternehmen könnte die Überlegung sprechen, dass es unter dem Gesichtspunkt des Schutzes inländischer Rechtsgüter nicht verständlich wäre, strafbare Innentäter-Angriffe gegen natürliche und juristische Personen unterschiedlich zu behandeln.42 Gegen eine Ausdehnung der Vorschrift spricht aber ihre Entstehungsgeschichte. Nach dem Willen des Gesetzgebers beruhen die § 7 Abs. 1 StGB und § 7 Abs. 2 Nr. 1 StGB einzig auf dem aktiven und passiven Personalitätsprinzip, weshalb nur deutsche Staatsangehörige in 38 Vgl. Ambos, MK, § 5 StGB, Rn. 26; Werkmeister/Steinbeck, wistra 2015, 209 (210); a.A. Böse, NK, § 5 StGB, Rn. 20; Satzger, Satzger/Schluckebier/Widmaier, § 5 StGB, Rn. 18. 39 Siehe nur Fischer, § 202c StGB, Rn. 2; Kargl, NK, § 202c StGB, Rn. 3; a.A. Hoyer, SKStGB, § 202c, Rn. 3, der § 202c StGB wegen der überschießenden Innentendenz des Täters in Bezug auf die vorbereitete Straftat als Erfolgsdelikt einstuft. 40 Ebenso Böse, NK, § 5 StGB, Rn. 20; Werkmeister/Steinbeck, wistra 2015, 209 (210). 41 Statt vieler Fischer, § 7 StGB, Rn. 2a. 42 Vgl. Böse, NK, § 7 StGB, Rn. 4; Hoyer, SK-StGB, § 7, Rn. 8.
376
Kap. 7: Anwendbarkeit des deutschen Strafrechts
den Schutzbereich der Norm einbezogen werden sollen.43 Dieser gesetzgeberische Wille geht auch eindeutig aus dem Wortlaut der Vorschrift hervor. Im Gegensatz zum § 5 Nr. 7 StGB, der von „Unternehmen“ und „Betriebe“ spricht, ist in § 7 StGB nämlich nur von einem „Deutschen“ die Rede. Hätte der Gesetzgeber die Vorschrift auch auf juristische Personen anwenden wollen, hätte er dies – wie bei § 5 Nr. 7 StGB – deutlich gemacht und nicht nur von einem „Deutschen“ gesprochen.44 Dies umso mehr, weil auch nach dem allgemeinen Sprachgebrauch als „Deutsche“ nur die Angehörigen des Staatsvolks bezeichnet werden, wozu juristische Personen gerade nicht gehören.45 Folglich fehlt es im Rahmen des § 7 StGB an einem Anknüpfungspunkt, um das deutsche Datenschutzstrafrecht anwenden zu können, wenn ausschließlich Inhaltsdaten eines cloudnutzenden Unternehmens Gegenstand des Innentäter-Angriffs sind.46 Gleichwohl erstreckt sich die nationale Strafgewalt – unabhängig von den in §§ 3, 9 StGB normiertem Ubiquitätsprinzip – auch auf diese Auslandstaten, wenn die Voraussetzungen des § 5 Nr. 7 StGB vorliegen. Im Hinblick auf den § 7 Abs. 1 StGB muss sich die Straftat des Innentäters gegen einen deutschen Cloud-Nutzer gerichtet haben. Dies ist der Fall, wenn der grenzüberschreitende Innentäter-Angriff ein Rechtsgut eines deutschen Cloud-Nutzers verletzt, wobei es – wie im Rahmen der Bestimmung des Schutzbereichs der deutschen Straftatbestände47 – ausreichend ist, dass die strafbare Handlung des Innentäters zumindest auch Individualrechtsgüter tangiert.48 Sofern ein deutscher Cloud-Nutzer betroffen ist oder der Innentäter zum Zeitpunkt seines erfolgreichen Angriffs Deutscher war, muss die konkrete Straftat nach Maßgabe des ausländischen Rechts am Tatort mit Strafe bedroht sein. Durch dieses Erfordernis soll verhindert werden, dass sich das deutsche Strafrecht auch für solche Gebiete Geltung anmaßt, in denen der territorial primär zuständige Auslandsstaat strafrechtlichen Schutz nicht für geboten hält.49 Vor diesem Hintergrund muss sich die Auslandstat des Innentäters unter einer vergleichbaren Strafvorschrift des Tatortstaats subsumieren lassen.50 Für diese Tatidentität ist allerdings weder erforder43 BT-Drs. IV/650, S. 112; Werle/Jeßberger, LK, § 7 StGB, Rn. 63; ausführlich zur Entstehungsgeschichte OLG Stuttgart NStZ 2004, 402 (403). 44 BGH NStZ-RR 2007, 16 (17); OLG Stuttgart NStZ 2004, 402 (404); AG Bremen NStZRR 2005, 87 (87); Ambos, MK, § 7 StGB, Rn. 23; von Heintschel-Heinegg, in: BeckOK StGB, § 7, Rn. 3 45 AG Bremen NStZ-RR 2005, 87 (87); Werle/Jeßberger, LK, § 7 StGB, Rn. 63. 46 Ebenso BGH NStZ-RR 2007, 16 (17); OLG Stuttgart NStZ 2004, 402 (403); KG Berlin NJW 2006, 3016 (3017); AG Bremen NStZ-RR 2005, 87 (87); Ambos, MK, § 7 StGB, Rn. 23; Fischer, § 7 StGB, Rn. 4; Eser/Weißer, Schönke/Schröder, § 7 StGB, Rn. 11; Satzger, Satzger/ Schluckebier/Widmaier, § 7 StGB, Rn. 4; Werle/Jeßberger, LK, § 7 StGB, Rn. 62. 47 Siehe hierzu S. 393 f. 48 Vgl. Fischer, § 7 StGB, Rn. 6; Böse, NK, § 7 StGB, Rn. 5; Preuß, Die Kontrolle von EMails, S. 453. 49 E 1962 Begr. S. 112 f.; Eser/Weißer, Schönke/Schröder, § 7 StGB, Rn. 2. 50 Werle/Jeßberger, LK, § 7 StGB, Rn. 29; Böse, NK, § 7 StGB, Rn. 7.
B. Innentäter-Angriffe aus dem Ausland
377
lich, dass der ausländische Straftatbestand mit der inländischen Strafvorschrift deckungsgleich51 ist, noch denselben Schutzzweck52 verfolgt bzw. ein substantiell vergleichbares Unrecht vertypt.53 Vielmehr reicht es für das Vorliegen einer „identischen Tatortnorm“ aus, dass der konkrete Innentäter-Angriff nach dem Tatortrecht unter irgendeinem rechtlichen Gesichtspunkt mit einer Kriminalstrafe oder einer gleichwertigen Sanktion und nicht nur mit bloßen ordnungsrechtlichen Maßnahmen, die mit den Rechtsfolgen einer Ordnungswidrigkeit vergleichbar sind, geahndet wird.54 Ungeachtet dessen, ist die Prüfung der beiderseitigen Strafbarkeit aber in der Praxis ein nicht ganz so leichtes Unterfangen. Denkbar wäre es hierzu Rechtsgutachten des Max-Planck-Instituts für ausländisches und internationales Strafrecht in Freiburg heranzuziehen oder Auskünfte über das ausländische Recht nach dem Europäischen Übereinkommen vom 7. Juni 196855 einzuholen. Neben den hierdurch entstehenden Kosten und einer Verlängerung der Verfahrensdauer können sich weitere Schwierigkeiten vor allem aus der sinngemäßen Umstellung des Sachverhalts oder der nicht hinreichenden Ausermittlung beweiserheblicher Tatsachen im Hinblick auf das Vorliegen von ausländischen Tatbestandsmerkmalen ergeben. Vor diesem Hintergrund wird die Prüfung des § 7 StGB in der Praxis gern vermieden. Stattdessen ziehen die deutschen Strafverfolgungsbehörden vorrangig die § 3 i.V.m. § 9 Abs. 1 StGB in Betracht, um bei Auslandstaten von Innentätern die Anwendbarkeit des deutschen Strafrechts durch die Feststellung eines inländischen Erfolgsorts zu begründen. Exkurs: „Identische Tatortnorm“ bei Innentäter-Angriffen aus den USA
Weil sich die Cloud-Infrastrukturen der am meisten genutzten Cloud-Dienstleistungen von Dropbox, Amazon, Apple und Google in den USA befinden und hauptsächlich von dort aus administriert werden, drängt sich für die Anwendung des deutschen Strafrechts über § 7 Abs. 1, Abs. 2 Nr. 1 StGB dennoch die Frage auf, ob die nach dem deutschen Strafrecht strafbaren Innentäter-Angriffe auf die Vertraulichkeit, Integrität und Verfügbarkeit der Inhaltsdaten auch in den Vereinigten Staaten von Amerika mit einer Kriminalstrafe bedroht sind. Aufgrund der föderalistischen Struktur des US-amerikanischen Strafrechtssystems wird das materielle Computerstrafrecht sowohl in Bundesgesetzen als auch in 51
BGH NJW 1997, 952 (952); Ambos, MK, § 7 StGB, Rn. 6. BGH NJW 1954, 1086; OLG Celle NJW 2001, 2724 (2734 f.); Eser/Weißer, Schönke/ Schröder, § 7 StGB, Rn. 4. 53 Böse, NK, § 7 StGB, Rn. 7. 54 BGHSt 27, 5 (8); Fischer, § 7 StGB, Rn. 9; von Heintschel-Heinegg, in: BeckOK StGB, § 7, Rn. 2; Heger, in: Lackner/Kühl, § 7 StGB, Rn. 2. 55 BGBl. 1974 II, S. 937. Das Übereinkommen, welches von allen EU-Mitgliedstaaten außer von Irland ratifiziert wurde, ist in Deutschland seit dem 19. 03. 1975 in Kraft (BGBl. II, S. 300). Zunächst regelte es nur Auskunftsrechte in Zivil- und Handelssachen (Art. 1 Abs. 1). Mit dem Zusatzprotokoll vom 05. 03. 1978 (BGBl. 1987 II, S. 58) wurde es allerdings auf Strafsachen erweitert; zum Ganzen siehe Jähnke/Schramm, Europäisches Strafrecht, Kap. 7, Rn. 21. 52
378
Kap. 7: Anwendbarkeit des deutschen Strafrechts
eigens kodifizierte Strafgesetzbüchern der 50 Bundesstaaten sowie in dem Penal Code des Distrikts von Columbia geregelt.56 Infolge der souveränen Strafgewalt und der zum Teil großen Unterschiede zwischen den einzelnen Strafrechtssystemen der Bundesstaaten57 ist es an dieser Stelle nicht möglich einen umfassenden Einblick in das US-amerikanische Strafrecht zu geben. Exemplarisch soll aber die infolge des Computer Fraud and Abuse Acts von 1984 kodifizierten Bundesstrafvorschriften des 18 United States Code (U.S.C.) § 1029 zu „Fraud and related activity in connection with access devices“ und des 18 U.S.C. § 1030 zu „Fraud and related activity in connection with computers“ dargestellt werden, die als das „Herzstück des amerikanischen Computerstrafrechts“58 bezeichnet werden. Nach 18 U.S.C. § 1030 (a) (2) (C) macht sich strafbar, wer vorsätzlich unbefugt oder unter Überschreitung seiner Befugnis Zugang zu einem Computer erlangt und sich dadurch Informationen verschafft, die in einem geschützten Computer gespeichert sind. Unter einem geschützten Computer werden nach 18 U.S.C. § 1030 (e) (2) (B), alle IT-Systeme erfasst, die im zwischenstaatlichen Handel oder zur Kommunikation mit dem Ausland benutzt werden. Für die Annahme dieses Tatbestandsmerkmals reicht es bereits aus, dass der angegriffene PC an das Internet angeschlossen ist.59 In den Schutzbereich der Norm fallen damit auch die physischen und virtuellen Server der Cloud,60 wobei zur Erfüllung der Tathandlung bereits die bloße Wahrnehmung der Informationen auch ohne das Herunterladen oder Kopieren der fremden Nutzerdaten ausreicht.61 Hinsichtlich der Frage, ob der Zugang zu den Systemkomponenten der Cloud-Architektur „unbefugt“ oder unter „Überschreitung einer Befugnis“ erfolgt, wird im amerikanischen Recht zwischen Innentätern und Außentätern unterschieden.62 Nach der Legaldefinition des 18 U.S.C. § 1030 liegt eine Befugnisüberschreitung vor, wenn ein Innentäter seinen autorisierten Zugang dazu missbraucht, um entgegen dem Willen des Verfügungsberechtigten Informationen zu erlangen oder zu verändern.63 Vor diesem Hintergrund erfasst der 18 U.S.C. 56
Brenner, in: Casey (Hrsg.), Computer Crime, S. 85. Reinbacher, Strafrechtssystem der USA, S. 123. Einen Einblick in das Computerstrafrecht der Bundesstaaten in ausgewählte Kriminalitätsbereiche, insbesondere zum Identitätsdiebstahl und zum Hacking, ist zu finden bei Easttom/Taylor, Computer Crime, S. 139 ff. 58 Cornelius, MMR 2007, 218 (219); Easttom/Taylor, Computer Crime, S. 72. 59 United States v. Drew, 259 F.R.D. 449, 457 (C.D. Cal. 2009); Office of Legal Education (OLE) Executive Office for United States Attorneys, Computer Crimes, S. 113 f.; Cornelius, MMR 2007, 218 (219). 60 Property Rights Law Group PC v. Lynch et al., No. 13-00273, 2014 WL 2452803 (D. Haw. May 30, 2014). 61 America Online v. National Health Care Discount, Inc., 121 F.Supp.2d 1255; Paramonova, Internationales Strafrecht, S. 93 f. 62 Office of Legal Education (OLE) Executive Office for United States Attorneys, Computer Crimes, S. 5. 63 Ob allerdings eine „offensichtliche Überschreitung“ der Zugriffsberechtigung zur konkludenten Aufhebung derselben führt, mit der Folge, dass ein Innentäter „without authorisation“ und damit „unbefugt“ handelt, wird in der amerikanischen Gerichtspraxis uneinheitlich 57
B. Innentäter-Angriffe aus dem Ausland
379
§ 1030 (a) (2) (C) im Gegensatz zu den vergleichbaren Strafvorschriften der §§ 202a Abs. 1, 202b StGB auch einen Privilegienmissbrauch der Administratoren der Cloud-Anbieter und Cloud-Nutzer. So wurde zum Beispiel in der Entscheidung United States v. Czubinski ein Angestellter für die Überschreitung seiner Zugriffsberechtigung verurteilt, weil er mittels seines PC-Zugangs Steuerakten des Unternehmens für private Zwecke eingesehen hatte.64 Strafschärfend wird zudem gemäß 18 U.S.C. § 1030 (c) (2) (B) (iii) berücksichtigt, wenn der Wert der erlangten Informationen 5.000 US-Dollar übersteigt. Des Weiteren wird vergleichbar mit dem Tatbestand der Datenveränderung gem. § 303a StGB65 nach 18 U.S.C. § 1030 (a) (5) (A) ein Innentäter bestraft, der wissentlich die Übermittlung eines Programms, einer Information, eines Codes oder eines Befehls bewirkt und als Folge dieses Verhaltens vorsätzlich einen geschützten Computer unbefugt schädigt. Als Schaden wird gem. 18 U.S.C. § 1030 (e) (8) jede Beeinträchtigung der Integrität und Verfügbarkeit von Computerdaten, eines Programms, eines Systems oder einer Information verstanden. Entsprechend der deutschen Strafvorschrift aus § 303a StGB macht sich demnach z.B. ein Innentäter auch nach dem amerikanischen Computerstrafrecht strafbar, wenn er unbefugt fremde Inhaltsdaten mittels einer Malware Injection löscht oder verändert oder die Verfügbarkeit der Cloud-Dienste mittels einer DDoS-Attacke beeinträchtigt.66 Im Hinblick auf die Erheblichkeit der verursachten Störung enthält der United States Code zudem in 18 U.S.C. § 1030 (c) (4) (A) (B) Qualifizierungen zu 18 U.S.C. § 1030 (a) (5), die wiederum mit dem deutschen Straftatbestand der Computersabotage aus § 303b StGB vergleichbar sind.67 Nach dieser Strafnorm ist nämlich die Tat des Innentäters qualifiziert, wenn er durch die Beeinträchtigung der Integrität und Verfügbarkeit der Cloud-Dienste wissentlich die medizinische Versorgung oder die Sicherheit der USA bedroht oder einen Schaden von mehr als 5.000 US-Dollar herbeiführt [§ 1030 (c) (4) (A) (i) (I und IV)], wobei unter dem Schadensbegriff insbesondere die Wiederherstellungskosten, der entgangene Gewinn und die Reputationsschäden des Cloud-Anbieters fallen.68 Eine zu § 202c Abs. 1 Nr. 1 StGB vergleichbare Vorbereitungstat zu den vorgenannten Delikten findet sich außerdem in den 18 U.S.C. § 1030 (6) und § 1029, die beurteilt. Bedeutsam ist die Frage insofern, weil nach 18 U.S.C. § 1030 (a) (5) (B) auch die grob fahrlässige Herbeiführung eines Schadens i.S.d. 18 U.S.C. § 1030 (e) (8) unter Strafe gestellt ist, sofern dieser von einem nicht zugriffsberechtigten Täter verursacht wurde; ausführlich hierzu Office of Legal Education (OLE) Executive Office for United States Attorneys, Computer Crimes, S. 5 f.; Paramonova, Internationales Strafrecht, S. 108 f. 64 United States v. Czubinski, 106 F.3d 1069 (Ist Cir. 1997). 65 Ebenso Paramonova, Internationales Strafrecht, S. 99 f. 66 Vgl. Office of Legal Education (OLE) Executive Office for United States Attorneys, Computer Crimes, S. 39. 67 Paramonova, Internationales Strafrecht, S. 103. 68 Office of Legal Education (OLE) Executive Office for United States Attorneys, Computer Crimes, S. 42 f.
380
Kap. 7: Anwendbarkeit des deutschen Strafrechts
neben der Weitergabe auch die Benutzung von Passwörtern oder ähnlichen, den unberechtigten Zugang zu Computern ermöglichenden Informationen unter Strafe stellen.69 Im Gegensatz zum deutschen Recht muss der Innentäter allerdings zur Erfüllung des subjektiven Tatbestands wissentlich und mit Täuschungsvorsatz gehandelt haben. Eine teilweise mit § 202c Abs. 1 Nr. 2 StGB vergleichbare Strafvorschrift enthält der United States Code auch durch die in 18 U.S.C. § 1030 (b) geregelte strafbare Verabredung zur Begehung einer Tat zu 18 U.S.C. § 1030 (a). Nach diesem Tatbestand kann ebenfalls der Verkauf oder die Überlassung von Malware als „conspiracy“ geahndet werden, sofern der Innentäter Kenntnis davon hat, dass diese zur Begehung einer Straftat i.S.d. 18 U.S.C. § 1030 (a) verwendet werden, wofür aber schon die Natur der überlassenen Tatwerkzeuge spricht.70 Agiert hingegen der Innentäter als Einzeltäter wird in 18 U.S.C. § 1030 (a) (5) (A) lediglich die Verwendung von Malware pönalisiert. Insofern wird die Herstellung oder das Sich-Verschaffen von Schadprogrammen nach dem US-amerikanischen Strafrecht nicht mit Strafe bedroht, weshalb auch der Geltungsbereich des deutschen Strafrechts über § 7 Abs. 1, Abs. 2 Nr. 1 StGB nicht eröffnet ist. Zusammenfassend finden sich im US-amerikanischen Computerstrafrecht identische Tatortnormen vor allem zu den §§ 202a, 202b StGB und §§ 303a, 303b StGB. Demzufolge kommt eine Anwendung des deutschen Strafrechts über § 7 Abs. 1, Abs. 2 Nr. 1 StGB in Betracht, wenn sich ein (deutscher) Innentäter Inhaltsdaten anderer (deutscher) Cloud-Nutzer verschafft, diese verändert, löscht oder unterdrückt. Zudem ist die Begründung der nationalen Strafgewalt über § 7 Abs. 1, Abs. 2 Nr. 1 StGB denkbar, wenn ein (deutscher) Innentäter in Amerika unter Verwirklichung des § 202c Abs. 1 StGB Passwörter von (deutschen) Cloud-Nutzern unbefugt an Dritte weitergibt oder Malware an einen Dritten verkauft, sofern er zum Tatzeitpunkt Kenntnis davon hat, dass der Dritte die Schadfunktionen zur Verletzung der Vertraulichkeit, Verfügbarkeit und Integrität (deutscher) Inhaltsdaten einsetzen wird. Für andere Staaten dieser Erde gelten jedoch andere Regeln. Rechenzentren können sich u.a. auch in Brasilien, Japan, Singapur oder in China befinden.71 (Exkurs Ende)
69
Siehe hierzu Brenner, in: Casey (Hrsg.), Computer Crime, S. 92 f. Vgl. United States v. Tramaglino, 197 F.2d 928 (2d Cir.1952); United States v. Kertess, 139 F.2d 923 (2d Cir.1944); LaFave, Criminal Law, S. 281. 71 Siehe hierzu etwa die globale Infrastruktur der Amazon Cloud unter https://aws.amazon. com/de/about-aws/global-infrastructure/ oder die Standorte der Rechenzentren von Google unter https://cloud.google.com/about/ datacenters/ (alle Webseiten zuletzt aufgerufen am 01. 02. 2018). 70
B. Innentäter-Angriffe aus dem Ausland
381
III. Ubiquitätsprinzip, §§ 3, 9 StGB Nach dem Ubiquitätsprinzip lässt sich die Anwendbarkeit des deutschen Strafrechts bei einem im Ausland verübten Innentäter-Angriff nicht über den Handlungsort, sondern nur über den Erfolgsort i.S.d. § 9 Abs. 1 3. Var. StGB bestimmen. Hierfür bedarf es allerdings einer differenzierenden Betrachtung, die vor allem eine Abgrenzung zwischen Erfolgs- und abstrakten Gefährdungsdelikten erfordert. 1. Erfolgsdelikte Erfolgsdelikte sind solche Straftaten, deren Deliktstatbestand den Eintritt eines bestimmten Ereignisses in der Außenwelt, den sog. Taterfolg, verlangen. 72 Da nach dem Grundgedanken des § 9 StGB das deutsche Strafrecht unabhängig vom Tathandlungsort auch dann Anwendung finden soll, wenn es im Inland zu einer Schädigung von Rechtsgütern kommt, deren Vermeidung Zweck der betreffenden Strafnorm ist, sind bei der Bestimmung des Erfolgsorts nicht nur die Tatbestandsmerkmale, sondern sämtliche im Gesetz beschriebenen Umstände, die den Unwertgehalt der Tat ausmachen, zu berücksichtigen.73 In diesem Sinn stellen die Verschaffung des Datenzugangs bzw. die Verschaffung der Verfügungsgewalt über fremde Inhaltsdaten und Passwörter für sich oder für einen Dritten Verletzungserfolge i.S.d. §§ 202a Abs. 1 StGB,74 202b StGB, 17 UWG und § 42 BDSG dar.75 Des Weiteren sind auch die Beeinträchtigung der Integrität und Verfügbarkeit von fremden Nutzerdaten i.S.d. §§ 206 Abs. 2 Nr. 2, 274 Abs. 1 Nr. 2, § 303a StGB76 und die Erlangung eines wirtschaftlichen Vorteils infolge der Verwertung der ausgespähten Informationen nach § 204 StGB als Taterfolge einzuordnen.77 Auch § 303b StGB setzt durch das Erfordernis einer erheblichen Störung der Datenverarbeitungsprozesse in der Cloud tatbestandlich einen Erfolgseintritt voraus.78 Zuletzt wird auch durch den Zugang der weitergebenen Inhaltsdaten beim datenempfangenden Dritten im Rahmen der § 203 Abs. 1 StGB und § 206 Abs. 1 StGB ein tatbestandsmäßiger Erfolg im Sinne einer „Außenweltveränderung“ gefordert, der logisch von der tatbestandsmäßigen Tathandlung abgegrenzt werden kann.79
72 Weidemann, in: BeckOK StGB, Lexikon des Strafrechts, Deliktstypen und ihre spezifischen Eigenheiten, Rn. 19. 73 BGHSt 46, 212 (220); BGHSt 42, 235 (242 f.); Ambos, MK, § 9 StGB, Rn. 21. 74 Graf, MK, § 202a StGB, Rn. 3. 75 Vgl. nur Werkmeister/Steinbeck, wistra 2015, 209 (212); Graf, MK, § 202b StGB, Rn. 3. 76 Vgl. nur Werkmeister/Steinbeck, wistra 2015, 209 (213). 77 Vgl. Kargl, NK, § 204 StGB, Rn. 8. 78 Hecker, Schönke/Schröder, § 303b StGB, Rn. 1. 79 Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht, S. 87.
382
Kap. 7: Anwendbarkeit des deutschen Strafrechts
Diese Delikte unterliegen dann der deutschen Strafgewalt, wenn sie einen im Inland liegenden Erfolgsort aufweisen, was der Fall ist, wenn der zum jeweiligen Tatbestand gehörende Erfolg auf dem deutschen Hoheitsgebiet eingetreten ist.80 In diesem Sinn ist das deutsche Strafrecht anwendbar, wenn ein Innentäter unter Verwirklichung der §§ 202a Abs. 1, 202b StGB, 17 UWG, 42 BDSG oder §§ 206 Abs. 2 Nr. 2, 274 Abs. 1 Nr. 2, 303a Abs. 1 StGB aus dem Ausland auf Inhaltsdaten zugreift, deren Speicherort innerhalb Deutschlands liegt, weil dann die Datenverfügungsbefugnis des betroffenen Cloud-Nutzers im Inland verletzt wird.81 Ebenso liegt im Rahmen des § 303b StGB der Erfolgseintritt im Inland, wenn z.B. ein Innentäter mittels eines DDoS-Angriffs oder einer Malware Injection die Verfügbarkeit inländischer Cloud-Dienste zum Erliegen bringt und damit eine erhebliche Störung innerdeutscher Datenverarbeitungsprozesse verursacht. Dagegen fehlt es aber an einem inländischen Erfolgsort, wenn ein Innentäter rechtswidrig erlangte Inhaltsdaten im Ausland verwertet oder an eine Person, die sich außerhalb des deutschen Territoriums befindet, weitergibt.82 Zum Teil wird die Anwendbarkeit des deutschen Strafrechts in solchen Fallkonstellationen aber auch mit der Begründung bejaht, dass bei Straftaten, die den persönlichen Lebens- und Geheimbereich schützen als Erfolgsort auf den Ort abzustellen sei, an dem sich das Opfer zum Tatzeitpunkt befindet.83 Hat demnach das cloudnutzende Unternehmen seinen Sitz in Deutschland oder hält sich der betroffene Privatnutzer zum Zeitpunkt des Innentäter-Angriffs innerhalb des deutschen Territoriums auf, ist die deutsche Strafrechtsordnung anwendbar.84 Diese Ansicht überzeugt jedoch schon deshalb nicht, weil es bei einer Weitergabe oder Verwertung von rechtswidrig erlangten Inhaltsdaten im Ausland an einem räumlich und zeitlich abtrennbaren Verletzungserfolg,85 der in Deutschland eintritt, fehlt. Insofern geht durch diese Ansicht auch die in § 9 StGB vorgesehene Differenzierung zwischen dem Handlungs- und Erfolgsort verloren, da letztendlich Auswirkungen, die für die tatbestandliche Verwirklichung nicht oder nicht mehr erheblich sind, als tatortbegründend herangezogen werden.86 De lege lata spricht gegen eine weite Auslegung des § 9 Abs. 1 StGB zudem die Existenz von § 5 Nr. 7 StGB. Die Vorschrift wäre nämlich überflüssig, 80
Böse, NK, § 9 StGB, Rn. 9; Eser/Weißer, Schönke/Schröder, § 9 StGB, Rn. 6. Ebenso Krischker, Internetstrafrecht, S. 184; Jones, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität, S. 138; Gercke, CR 2010, 345 (346); vgl. auch Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 143. 82 Vgl. Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht, S. 87. 83 Werkmeister/Steinbeck, wistra 2015, 209 (214). 84 Werkmeister/Steinbeck, wistra 2015, 209 (212 ff.); ähnlich Paramonova, Internationales Strafrecht, S. 147 f., die im Ergebnis vorschlägt, Auswirkungen der Straftat, die für die Verwirklichung des Straftatbestands nicht von Bedeutung sind, als tatortbegründend zu berücksichtigen. 85 Vgl. BGH NStZ 2015, 81 (82); Hilgendorf, NJW 1997, 1873 (1876). 86 Ebenso Fischer, § 9 StGB, Rn. 4a; Ambos, MK, § 9 StGB, Rn. 16 m.w.N.; a.A. Paramonova, Internationales Strafrecht, S. 147 f. 81
B. Innentäter-Angriffe aus dem Ausland
383
wenn es für die Eröffnung des Geltungsbereichs des deutschen Strafrechts über § 9 Abs. 1 3. Var. StGB ausreichend wäre, dass der betroffene persönliche Lebens- und Geheimbereich des Cloud Nutzer bei einem ausländischen Innentäter-Angriff auf die Datenvertraulichkeit im Inland liegt. Demzufolge ist das deutsche Strafrecht auf die im Ausland erfolgte strafbare Datenweitergabe oder -verwertung eines Innentäters nach dem geltenden Recht nur anwendbar, wenn entweder die Voraussetzungen des § 5 Nr. 7 StGB oder diejenigen der §§ 7 Abs. 1, Abs. 2 Nr. 1 StGB vorliegen. Daneben kann sich die Anwendbarkeit des deutschen Strafrechts auch in den Fällen einer Teilnahme aus § 9 Abs. 2 StGB ergeben, sofern eine Teilnahmehandlung an der Auslandstat des Innentäters im Inland vorgenommen wurde. 2. Abstrakte Gefährdungsdelikte Problematisch gestaltet sich zudem die Anwendbarkeit des deutschen Strafrechts bei dem abstrakten Gefährdungsdelikt des § 202c StGB. Für dessen Tatbestandsverwirklichung reicht bereits die bloße Vornahme der vom Gesetzgeber als besonders gefährlich eingestuften Vorbereitungshandlungen aus, ohne dass der Innentäter hierdurch ein Gefahrerfolg i.S.d. allgemeinen Tatbestandslehre herbeigeführt haben muss.87 Vor diesem Hintergrund weist die Strafvorschrift – anders als etwa die §§ 202a, 202b StGB – keinen Verletzungserfolg und damit auch keinen Erfolgsort auf,88 weshalb sich die Anwendbarkeit des deutschen Strafrechts nur über den Handlungsort ergeben kann. Befindet sich aber der Innentäter zum Zeitpunkt der Herstellung von Hacker-Tools oder dem eigen- bzw. fremdnützigen Verschaffen von fremden Passwörtern im Ausland, unterliegt seine Straftat aus § 202c StGB nicht der nationalen Strafgewalt. Um gleichwohl den Geltungsbereich des deutschen Strafrechts zu eröffnen, werden innerhalb der Literatur verschiedene Lösungsmöglichkeiten diskutiert. a) Ausdehnung des Handlungsorts So befürworten Teile des Schrifttums eine Ausweitung des Handlungsorts mit dem Argument, dass das Internet einem Nutzer nicht nur gestatte, an seinem eigenen Rechner Datenverarbeitungsvorgänge auszulösen, sondern ebenso an demjenigen Rechner, auf den er mittels des Internets zugreife und dort seine Daten speichere.89 Als Handlungsorte kommen daher sowohl der Ort der unmittelbaren Dateneingabe (Ausgangsrechner) als auch der Ort des Zielrechners in Betracht, sofern der Täter die Datenverarbeitung steuern und kontrollieren kann.90 Mit Blick auf den § 202c StGB 87
Vgl. nur Fischer, § 9 StGB, Rn. 5c m.w.N. Werkmeister/Steinbeck, wistra 2015, 209 (213); vgl. auch Eser/Weißer, Schönke/ Schröder, § 9 StGB, Rn. 6a. 89 Cornils, JZ 1999, 394 (396 f.); Eser, Schönke/Schröder29, § 9 StGB, Rn. 4. 90 Cornils, JZ 1999, 394 (397). 88
384
Kap. 7: Anwendbarkeit des deutschen Strafrechts
wäre demnach ein inländischer Handlungsort gegeben, wenn ein Innentäter Malware oder ausgespähte Sicherungscodes auf einen deutschen Server speichert bzw. diese auf einem inländischen Mail-Server für sich oder für einen Dritten zum Abruf bereit hält.91 Gegen diese Auffassung spricht jedoch, dass sich die Handlung des Innentäters in der Eingabe von Befehlen an seinem Ausgangsrechner erschöpft. Die Datenübertragung bzw. die in Gang gesetzten Datenverarbeitungsprozesse am Zielrechner sind lediglich die Folge dieser Tätigkeit, weshalb ihnen auch keine eigene Handlungsqualität zukommen kann.92 Würde man diese Folgen gleichwohl der ursprünglichen Handlung selbst zurechnen, wäre die Unterscheidung von Handlungsund Erfolgsort in § 9 StGB überflüssig.93 Aus diesem Grund kann der Handlungsort stets nur am Ort der körperlichen Präsenz des Innentäters sein.94 Hinzu kommt, dass eine erweiterte Auslegung des § 9 Abs. 1 1. Var. StGB beim Cloud Computing zu einer Vielzahl an Handlungsorten führen würde, wenn die als Crime-as-a-Service bereit gehaltenen oder versandten Datensätze auf international verteilten CloudServern gespeichert werden.95 b) Erweiterung des Erfolgsorts Andere Ansätze versuchen die Anwendung des deutschen Strafrechts über eine weite Auslegung des Erfolgsorts zu begründen. So wird vereinzelt vertreten, dass schon die bloße Zugriffsmöglichkeit aus Deutschland auf die Tatobjekte des § 202c StGB ein Zugänglichmachen im Inland darstellt und damit einen inländischen Erfolgsort begründet.96 Unter dieser Prämisse könnte vor allem der strafbare Handel von Malware und ausgespähten Passwörtern in dem für jedermann zugänglichen Darknet der nationalen Strafgewalt unterstellt werden. Im Ergebnis führt dieser Ansatz jedoch zu einer weltweiten Zuständigkeit der deutschen Strafverfolgungsbehörden, was nicht nur im Hinblick auf die Verfolgungspflicht aus § 152 Abs. 2 StPO,97 sondern auch mit dem Nichteinmischungsprinzip, welches die Achtung der Souveränität fremder Staaten gebietet, problematisch wäre.98 91
Eser, Schönke/Schröder29, § 9 StGB, Rn. 7b; Cornils, JZ 1999, 394 (396 f.). Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 150; Fischer, § 9 StGB, Rn. 5c. 93 Böse, NK, § 9 StGB, Rn. 4; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 80; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 150; Sieber, NJW 1999, 2065 (2070); Hilgendorf, ZStW 2001, 650 (666); nunmher auch Eser/Weißer, Schönke/Schröder, § 9 StGB, Rn. 4a. 94 BGH NStZ 2015, 81 (82); Ambos, MK, § 9 StGB, Rn. 29; Satzger, Satzger/Schluckebier/ Widmaier, § 9 StGB, Rn. 16. 95 Vgl. Krischker, Internetstrafrecht, S. 188; Hilgendorf, ZStW 2001, 650 (666). 96 Conradi/Schlömer, NStZ 1996, 366 (368 f.). 97 Im Besonderen kann die Ermittlungspflicht auch nicht durch § 153c StPO begrenzt werden, da dieser nur in Ausnahmefällen eine Verfahrenseinstellung durch die Staatsanwaltschaft ermöglicht; Vec, NJW 2002, 1535 (1536). 92
B. Innentäter-Angriffe aus dem Ausland
385
Nach einer weiteren Ansicht soll dagegen ein tatortbegründender „Tathandlungserfolg“ dort anzunehmen sein, wo sich die tatbestandsmäßige Handlung realisiert.99 In diesem Sinn ist bei einem Zugänglichmachen oder bei einem fremdnützigen Verschaffen der Tatobjekte des § 202c StGB das deutsche Strafrecht anwendbar, wenn der Innentäter sog. „Push-Technologien“ verwendet, mit denen er die Tatobjekte vom Ausland aus zielgerichtet an ein deutsches Computersystem übermittelt.100 Wird aber der Inlandsbezug dadurch hergestellt, dass der Innentäter die Tatobjekte auf einem ausländischen Server bereitstellt, die sodann von einem Dritten aus Deutschland durch sog. „Pull-Technologien“ abgerufen werden können, liegt nach dieser Auffassung kein Erfolgsort vor.101 Abgesehen davon, dass sich die Unterscheidung zwischen den Pull- oder Push-Technologien weder aus dem Wortlaut noch aus der Systematik des Gesetzes ergibt, lässt sich der „Tathandlungserfolg“ kaum von dem „Taterfolg“ abgrenzen.102 Denn letztendlich wird auch der Taterfolg durch die Tathandlung verursacht, so dass er als „Tathandlungserfolg“ einzuordnen wäre.103 Angesichts der in § 9 StGB ausdrücklich normierten Differenzierung zwischen dem Erfolgs- und dem Handlungsort kann daher auch diese Ansicht nicht vollends überzeugen. Eine weitere Meinung nimmt dagegen an, dass abstrakte Gefährdungsdelikte generell einen Erfolgsort aufweisen.104 Der zum Tatbestand gehörende Erfolg i.S.d. § 9 Abs. 1 3. Var. StGB liege in der Begründung einer – von der Tathandlung zu trennenden – tatbestandlichen Gefahr, die letztendlich an jedem Ort eintrete, an der die abstrakte Gefahr in eine konkrete Gefahr umschlagen könne.105 Um allerdings einer universellen Geltung des deutschen Strafrechts zu vermeiden, soll nach diesem Ansatz die nationale Strafverfolgung nur unter der Bedingung möglich sein, dass ein besonderer territorialer Bezug zum Inland vorliegt.106 Während vereinzelt hierfür auf 98 Gercke, in: Borges/Meents, Rechtshandbuch Cloud Computing, § 20, Rn. 24; Valerius, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität, S. 7, 13 f.; Hilgendorf, ZStW 2001, 650 (660); ders., NJW 1997, 1873 (1874); Sieber, NJW 1999, 2065 (2067). 99 Sieber, NJW 1999, 2065 (2068 f.); zust. Fischer, § 9 StGB, Rn. 7a; Vec, NJW 2002, 1535 (1538). 100 Sieber, NJW 1999, 2065 (2071). 101 Sieber, NJW 1999, 2065 (2071). 102 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 153; ders., ZStW 2001, 650 (668); Klengel/Heckler, CR 2001, 243 (248); Cornils, JZ 1999, 394 (396); siehe auch Satzger, Internationales Strafrecht, § 5, Rn. 52. 103 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 153. 104 Werle/Jeßberger, LK, § 9 StGB, Rn. 32 f., 89; Hoyer, SK-StGB, § 9, Rn. 7; Zöller, in: AnwK-StGB, § 9, Rn. 22; Hecker, ZStW 2003, 880 (886); Martin, ZRP 1992, 19 (20); Beisel/ Heinrich, JR 1996, 95 (96). 105 Werle/Jeßberger, LK, § 9 StGB, Rn. 89; Zöller, in: AnwK-StGB, § 9, Rn. 22; Hombrecher, JA 2010, 637 (640); Heinrich, GA 1999, 72 (82); Hecker, ZStW 2003, 880 (887); Martin, ZRP 1992, 19 (20). 106 BGHSt 26, 212 (224); Werle/Jeßberger, LK, § 9 StGB, Rn. 102; Collardin, CR 1995, 618 (621). Eine territoriale Spezifierung fordern darüber hinaus auch für Erfolgs- und konkrete
386
Kap. 7: Anwendbarkeit des deutschen Strafrechts
ein finales Interesse abgestellt wird, mit der Folge, dass die Strafbarkeit des Innentäters aus § 202c StGB nur dann der deutschen Strafgewalt unterliegen soll, wenn er durch seine Handlung gerade in Deutschland wirken will,107 werden von der Gegenauffassung zur Bestimmung des Inlandsbezugs objektive Kriterien herangezogen. Als solche können bei einem grenzüberschreitenden Innentäter-Angriff vor allem die Einstellung der Tatobjekte zum Verkauf in deutscher Sprache oder ein fester Wohnsitz des Täters oder Opfers in Deutschland herangezogen werden.108 Daneben kann von einer „territorialen Spezifizierung“109 der Auslandstat in Anlehnung an die Voraussetzungen des § 7 StGB auch dann gesprochen werden, wenn der Innentäter zum Zeitpunkt der Tat Deutscher ist oder sich seine Tat gegen deutsche Cloud-Nutzer richtet.110 Nicht überzeugend wäre es dagegen, zusätzlich für die Anwendbarkeit des deutschen Strafrechts auch das in § 7 StGB niedergelegte Prinzip der „identischen Tatortnorm“ zu verlangen und damit den Geltungsbereich der nationalen Strafgewalt nur auf solche Auslandstaten zu erstrecken, bei denen sich der Innentäter am Handlungsort nach einer dem § 202c StGB korrespondierenden Strafnorm strafbar gemacht hat („lex loci“).111 Dies würde nämlich dazu führen, dass sich ein Innentäter einfach vor der Tat in ein Land begeben könnte, in dem keine identische Strafnorm besteht, um straffrei zu bleiben.112 Angesichts des Umstands, dass ein Innentäter bei einer nach § 202c StGB strafbaren Auslandstat auch mit einem entsprechenden Unrechtsbewusstsein handeln wird, selbst wenn am Handlungsort keine identische Strafnorm existiert, sollte ihm keine Flucht in eine „Strafbarkeitsoase“113 ermöglicht werden, um sich der nationalen Strafverfolgung entziehen zu können. Während der BGH in der sog. Toeben-Entscheidung dieser Ansicht teilweise gefolgt ist, indem er zumindest bei den abstrakt-konkreten Gefährdungsdelikten114 einen Erfolgsort überall dort annahm, „wo die Tat ihre Gefährlichkeit im Hinblick auf das im Tatbestand umschriebene Rechtsgut entfalten“ könne,115 hat er eine erweiternde Auslegung des Erfolgsbegriffs bei den abstrakten Gefährdungsdelikten in Gefährdungsdelikte von Heintschel-Heinegg, in: BeckOK StGB, § 9, Rn. 20; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 159 f.; ders., ZStW 2001, 650 (661); ders., NJW 1997, 1873 (1876 f.); Breuer, MMR 1998, 141 (143). 107 Collardin, CR 1995, 618 (621); kritisch hierzu Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 160; Hilgendorf, ZStW 2001, 650 (661); Breuer, MMR 1998, 141 (143). 108 Werle/Jeßberger, LK, § 9 StGB, Rn. 102; von Heintschel-Heinegg, in: BeckOK StGB, § 9, Rn. 20; Hilgendorf, ZStW 2001, 650 (670); ders., NJW 1997, 1873 (1876 f.). 109 Hilgendorf, ZStW 2001, 650 (670). 110 Werle/Jeßberger, LK, § 9 StGB, Rn. 102; Breuer, MMR 1998, 141 (144). 111 So aber Valerius, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität, S. 17. 112 Hilgendorf, ZStW 2001, 650 (665); ebenso Krischker, Internetstrafrecht, S. 188. 113 Hilgendorf, ZStW 2001, 650 (665). 114 Kritisch zu diesem Deliktstypus Hilgendorf, ZStW 2001, 650 (672); Breuer, MMR 1998, 141 (143). 115 BGHSt 46, 212 (220 f.).
B. Innentäter-Angriffe aus dem Ausland
387
einer jüngst zu § 86a StGB ergangenen Entscheidung abgelehnt und ausgeführt, dass „an dem Ort, an dem die hervorgerufene abstrakte Gefahr in eine konkrete umgeschlagen ist oder gar nur umschlagen kann, kein zum Tatbestand gehörender Erfolg eingetreten ist“.116 Dieser müsse vielmehr „in einer von der tatbestandsmäßigen Handlung räumlich und/oder zeitlich abtrennbaren Außenweltsveränderung bestehen“,117 an der es aber bei einer abstrakten Gefährdung gerade fehlt.118 Diese Entscheidung ist zu begrüßen. Um den Tatbestand eines abstrakten Gefährdungsdelikt zu verwirklichen, muss nämlich weder eine Verletzung noch eine abstrakte Gefährdung eines geschützten Rechtsguts herbeigeführt werden.119 Die Verursachung einer abstrakten Gefahr stellt daher kein Tatbestandsmerkmal dar, sondern bildet lediglich das gesetzgeberische Motiv zum Erlass der Strafnorm.120 Bei den abstrakten Gefährdungsdelikten soll nämlich nach dem Willen des Gesetzgebers die generelle Gefährlichkeit eines Verhaltens unabhängig von einem Erfolgsort pönalisiert werden.121 Folglich erschöpft sich auch der Unrechtstatbestand des § 202c StGB in der schlichten Vornahme der strafbewehrten Vorbereitungshandlungen zu den §§ 202a, 202b StGB und §§ 303a, 303b StGB, ohne dass hierdurch der Eintritt eines „zum Tatbestand gehörenden Erfolgs“ bewirkt wird. Demzufolge kann sich die Anwendbarkeit des deutschen Strafrechts nach dem Ubiquitätsprinzip nur nach dem Handlungsort ergeben. Liegt dieser aber außerhalb der deutschen Landesgrenzen, unterliegt die Straftat des Innentäters aus § 202c StGB nicht der nationalen Strafgewalt. c) Fazit Verwirklicht ein Innentäter außerhalb des deutschen Staatsgebietes den § 202c StGB, kann eine deutsche Strafgewalt nicht über §§ 3, 9 StGB begründet werden. Auch § 5 Nr. 7 StGB findet auf die Auslandstat keine Anwendung.122 Ist der Innentäter aber Deutscher oder richtet sich seine Bezugstat gegen deutsche CloudNutzer und macht sich der Innentäter auch am Tatort wegen einer identischen Strafnorm strafbar, ist das deutsche Strafrecht über § 7 Abs. 1, Abs. 2 Nr. 1 StGB anwendbar. Darüber hinaus kommt nach § 9 Abs. 2 StGB eine nationale Strafverfolgungsbefugnis in Betracht, wenn sich der Innentäter im Inland als Teilnehmer (Anstifter oder Gehilfe) strafbar gemacht hat. Denkbar ist dies z.B. dann, wenn er 116
BGH NStZ 2015, 81 (82). BGH NStZ 2015, 81 (82). 118 So schon Hilgendorf, NJW 1997, 1873 (1876). 119 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 156; ders., NJW 1997, 1873 (1876). 120 Böse, NK, § 9, Rn. 11; Fischer, § 9 StGB, Rn. 5c; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 156; Cornils, JZ 1999, 394 (395). 121 Böse, NK, § 9, Rn. 11; Krischker, Internetstrafrecht, S. 188. 122 Siehe dazu S. 375. 117
388
Kap. 7: Anwendbarkeit des deutschen Strafrechts
einem Inländer ausgespähte Passwörter oder Malware verkauft, die der Inländer sodann für eine eigene Straftat i.S.d. §§ 202a ff. StGB verwendet.
C. Ausländische Angriffshandlung auf eine international verteilte Cloud-Infrastruktur Fraglich ist, ob das deutsche Strafrecht Anwendung findet, wenn ein Innentäter von dem Ausland aus die Vertraulichkeit, Integrität und Verfügbarkeit von Inhaltsdaten verletzt, die auf einer international verteilten Serverfarm eines oder mehrerer Cloud-Anbieter gespeichert sind. Ausgehend von dem Ubiquitätsprinzip kann die Geltung der nationalen Strafrechtsordnung jedenfalls nicht über den Handlungsort gem. § 9 Abs. 1 1. Var. StGB begründet werden, da der Innentäter aus dem Ausland auf die Inhaltsdaten zugreift. Darüber hinaus wird aber häufig auch der Erfolgsort kein tauglicher Anknüpfungspunkt sein, da dieser in der Regel nicht ermittelbar ist. Aufgrund der Virtualisierungstechnik befinden sich nämlich die Nutzerdaten auf mehreren global verteilten Cloud-Servern, wo sie zwecks Gewährleistung einer hohen Verfügbarkeit der Cloud-Dienste und einer optimalen Auslastung der Cloud-Ressourcen mehrfach als Datenkopien vorgehalten und ressourcen- bzw. lastabhängig verschoben werden.123 Dies hat zur Folge, dass es weder dem Cloud-Nutzer noch dem Cloud-Anbieter möglich ist, den exakten Speicherort der Inhaltsdaten zum Zeitpunkt des Innentäter-Angriffs zu bestimmen.124 Dies umso mehr, weil die Nutzerdaten oft auch als Dateifragmente im Cloud-System gespeichert werden, die erst bei ihrem Abruf zu einer Information zusammengesetzt werden.125 Weiter erschwert wird die fehlende Bestimmbarkeit des Datenverarbeitungsorts, wenn der Cloud-Anbieter zusätzliche Speicherressourcen von Subunternehmern in Anspruch nimmt.126 Vor diesem Hintergrund ist das deutsche Strafrecht bei einer Auslandstat eines Innentäters auf eine internationale Cloud-Infrastruktur bei einer engen Auslegung des Erfolgsorts zumeist auch nicht über § 9 Abs. 1 3. Var. StGB begründbar.127 Etwas anderes gilt aber dann, wenn der Cloud-Anbieter den Standort der gespeicherten und verarbeiteten Inhaltsdaten zu jedem Zeitpunkt protokolliert, so dass der Erfolgsort ex post bestimmt werden kann.128 123
Gercke, CR 2010, 345 (348); Söbbing, MMR 2008, XII (XIV). Economic Crime Division, Project on Cybercrime, S. 5; Wicker, MMR 2013, 765 (766); Birk/Wegner, DuD 2010, 641 (644 f.); Nägele/Jacobs, ZUM 2010, 281 (289 ff.). 125 Bedner, Cloud Computing, S. 192; Gercke, CR 2010, 345 (348). 126 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe, S. 27. 127 Krischker, Internetstrafrecht, S. 189. 128 Siehe hierzu das sog. Fingerprint-Verfahren, das vom Forschungspartner VeriMetrix zur Bestimmung des Verarbeitungsortes der Nutzerdaten entwickelt wurde; Jäger/Kraft/Selzer/ 124
C. Ausländische Angriffshandlung
389
Zu einem anderen Ergebnis könnte man allerdings für deutsche Cloud-Nutzer, die einen ausländischen Cloud-Dienst in Anspruch nehmen, gelangen, wenn man den Erfolgsort losgelöst von dem Belegenheitsort der Inhaltsdaten betrachtet, indem man es für die Anwendbarkeit des deutschen Strafrechts nach § 9 Abs. 1 3. Var. StGB genügen lässt, dass sich der verletzte Cloud-Nutzer zum Tatzeitpunkt im Inland befindet.129 Das Problem, dass sich beim Cloud Computing der Speicherort der Inhaltsdaten zum Zeitpunkt des Innentäter-Angriffs nicht ermitteln lässt, würde sich damit erübrigen.130 Neben der leichten Handhabbarkeit spricht für diesen Ansatz auch die Parallele zum datenschutzrechtlichen Marktortprinzip gem. Art. 3 Abs. 2 lit. a DSGVO, § 1 Abs. 4 Nr. 3 BDSG, wonach zur Gewährleistung eines effektiven Schutzes von personenbezogenen Daten von EU-Bürgern bei außerhalb von Europas stattfindenden Datenverarbeitungsprozessen nicht auf den Speicherort der Daten, sondern allein darauf abgestellt wird, ob sich das Cloud-Angebot an Unionsbürger richtet.131 Einen ähnlichen Rechtsgedanken verfolgt auch § 9 StGB, indem deutsches Strafrecht immer dann zur Anwendung kommen soll, wenn inländische Rechtsgüter verletzt oder gefährdet werden.132 Diesem aus dem Territoritaliätsprinzip abgeleiteten Wirkungsprinzip liegt die Einsicht zugrunde, dass die nach der Gebietshoheit gebotenen Verantwortung des deutschen Staates über Personen und Sachen auf seinem Territorium unvollkommen wäre, wenn er bei ausländischen Angriffshandlungen, die sich im Inland auswirken, keine Regelungshoheit hätte.133 Bei datenbezogenen Delikten, die einen konkreten Verletzungserfolg voraussetzen, könnte man daher darauf abstellen, dass der Erfolgsort auch dort liegt, wo sich der Rechtsgutsinhaber zum Tatzeitpunkt befindet.134 Begründet werden könnte dieser folgenbezogene Ansatz mit der Überlegung, dass die Datenschutzdelikte nicht die Daten als solche, sondern allein die Verfügungsbefugnis schützen, die unlösbar mit dem Dateninhaber verbunden ist.135 Demzufolge wäre ein inländischer Erfolgsort bei einer Verletzung der Integrität und Verfügbarkeit der Inhaltsdaten i.S.d. §§ 303a, 303b, 274 Abs. 1 Nr. 2, 206 Abs. 2 Nr. 2 StGB schon deshalb gegeben, weil deutsche Cloud-Nutzer nicht mehr auf ihre (unverfälschten) Daten zugreifen können. Bei einer strafbaren Verletzung der Datenvertraulichkeit i.S.d. §§ 202a, 202b, 202d, 203 Abs. 4, 204 Abs. 1, 206 Abs. 1 StGB, § 17 UWG, § 42 BDSG ließe sich dagegen ein inländischer Erfolgsort bejahen, wenn der Innentäter die Verfügungsbefugnis von deutschen Cloud-Nutzern verletzt.
Waldmann, DuD 2016, 239 (239 ff.); Jäger/Selzer/Waldmann, DuD 2015, 26 (26 ff.); Jäger/ Kraft/Waldmann/Luhn/Wilmer, in: BSI 2015, S. 231 ff. 129 Werkmeister/Steinbeck, wistra 2015, 209 (212). 130 Werkmeister/Steinbeck, wistra 2015, 209 (212). 131 Siehe S. 287 f. 132 BGHSt 46, 212 (220); BGHSt 42, 235 (242 f.); Ambos, MK, § 9 StGB, Rn. 23. 133 Schmahl, ZÖR 73 (2018), 3 (20 f.) m.w.N. 134 Werkmeister/Steinbeck, wistra 2015, 209 (212). 135 Werkmeister/Steinbeck, wistra 2015, 209 (212).
390
Kap. 7: Anwendbarkeit des deutschen Strafrechts
Gegen diesen an sich kriminalpolitisch überzeugenden Ansatz spricht jedoch, dass Tatwirkungen, welche für die Tatbestandsverwirklichung nicht oder nicht mehr relevant sind, keinen Tatort begründen können.136 In Widerspruch hierzu ließe sich aber bei Zugrundelegung dieser Ansicht jede Rechtsgutsverletzung als Auswirkung bzw. Folge der Tatbestandsverwirklichung unter § 9 Abs. 1 3. Var. StGB subsumieren, wenn der Rechtsgutsträger eine im Inland ansässige natürliche Person oder Unternehmen ist. De lege lata liegt damit der Erfolgsort i.S.d. §§ 202a Abs. 1 StGB, 202b StGB, 17 UWG und § 42 BDSG nur dort, wo sich der Innentäter einen unbefugten Datenzugang bzw. die Verfügungsgewalt über fremde Inhaltsdaten und Passwörter verschafft.137 Im Hinblick auf eine Beeinträchtigung der Integrität und Verfügbarkeit von fremden Nutzerdaten i.S.d. §§ 206 Abs. 2 Nr. 2, 274 Abs. 1 Nr. 2, 303a StGB und § 303b StGB liegt der Verletzungserfolg an dem Ort, an dem die Daten unbefugt gelöscht, verändert, unbrauchbar gemacht oder unterdrückt werden bzw. an dem Ort, an dem die Datenverarbeitungsprozesse in der Cloud erheblich gestört werden.138 Im Ergebnis ist damit der Erfolgsort nur der Serverort, an dem sich die tatbestandlich geschützten Inhaltsdaten befinden.139 Dass sich der Speicherort zum Tatzeitpunkt beim Cloud Computing häufig nicht ermitteln lässt, ändert an dieser Rechtslage nichts. Würde man nämlich den Erfolgsort i.S.d. § 9 Abs. 1 3. Var. StGB z.B. bei den Angriffen auf die Datenvertraulichkeit derart erweiternd auslegen, dass schon die durch einen unbefugten Datenzugriff bewirkte Verletzung des Verfügungsrechts von deutschen Cloud-Nutzern tatortbegründend wäre, wäre der § 5 Nr. 7 StGB völlig überflüssig. Eine weitere Möglichkeit die Anwendbarkeit des deutschen Strafrechts bei ausländischen Angriffshandlungen von Innentätern auf eine internationale CloudInfrastruktur zu bejahen, könnte aber darin bestehen, dass man durch eine erweiternde Auslegung des Handlungs- oder des Erfolgsorts auf die Cloud als Ganzes abstellt. Möglich wäre dies zum einen, wenn man als Handlungsort sowohl den Ort der Befehlseingabe (Ausgangsrechner) als auch den Ort des Zielrechners zugrunde legt.140 Zum anderen könnte man sich auf einen tatortbegründenden Tathandlungserfolg beziehen, der sich letztendlich auf die gesamte Cloud-Infrastruktur erstrecken würde, weil sich dort die tatbestandsmäßige Handlung des Innentäters realisiert.141 Unter diesen Voraussetzungen ließe sich die Anwendbarkeit des deutschen Strafrechts über das Ubiquitätsprinzip gem. § 9 StGB jedenfalls dann bejahen, wenn ein Serverstandort innerhalb der Bundesrepublik Deutschland liegt. In diesem Fall 136 BGH NJW 2006, 1984; Böse, NK, § 9 StGB, Rn. 8; Fischer, § 9 StGB, Rn. 4a; Eser/ Weißer, Schönke/Schröder, § 9 StGB, Rn. 6; Ambos, MK, § 9 StGB, Rn. 16; Werle/Jeßberger, LK, § 9 StGB, Rn. 22. 137 Vgl. nur Werkmeister/Steinbeck, wistra 2015, 209 (212); Graf, MK, § 202b StGB, Rn. 3. 138 Vgl. nur Werkmeister/Steinbeck, wistra 2015, 209 (213). 139 Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 140. 140 So Cornils, JZ 1999, 394 (397); Eser, Schönke/Schröder29, § 9 StGB, Rn. 4. 141 So wohl Fischer, § 9 StGB, Rn. 7a; Sieber, NJW 1999, 2065 (2068 f.); Vec, NJW 2002, 1535 (1538).
D. Innentäter-Angriff aus dem Ausland
391
würde sich nämlich die Tathandlung bzw. der Taterfolg als Teil der globalen CloudArchitektur auch im Inland realisieren.142 Damit wäre jedoch die in § 9 Abs. 1 StGB getroffene Differenzierung zwischen dem Handlungs- und Erfolgsort hinfällig. Die Ansätze sind daher schon aus dogmatischen Erwägungen abzulehnen.143 Aus diesem Grund kommt den deutschen Strafverfolgungsbehörden über die Auslandstat des Innentäters im Falle einer fehlenden Bestimmbarkeit des Speicherorts der Inhaltsdaten de lege lata nur dann eine Ahndungsbefugnis zu, wenn entweder die Voraussetzungen des § 5 Nr. 7 StGB oder diejenigen des § 7 Abs. 1, Abs. 2 Nr. 1 StGB vorliegen.
D. Innentäter-Angriff aus dem Ausland mittels inländischer Cloud-Server Möglich sind auch Angriffsszenarien, bei denen ein Innentäter die Vertraulichkeit, Verfügbarkeit und Integrität fremder Nutzerdaten, die auf einer internationalen Cloud-Infrastruktur gespeichert und verarbeitet werden, aus dem Ausland verletzt, indem er hierfür die Rechenleistung von deutschen Cloud-Servern verwendet. Denkbar wäre etwa der Einsatz deutscher Cloud-Ressourcen zur Durchführung eines DDoS-Angriffs gegen ausländische Clouds (Cloud War), indem ein im Ausland ansässiger Innentäter in Deutschland belegene Cloud-Server mit Malware infiziert, sie sodann zu einem Botnetz zusammenschließt und anschließend die deutschen Cloud-Ressourcen über sog. Command and Control-Befehle144 zur Verletzung der Verfügbarkeit ausländischer Cloud-Dienste verwendet. In Betracht kommt diese Fallkonstellation aber auch bei einer Malware Injection, wenn deutsche CloudRessourcen zur Verbreitung von Schadsoftware auf verbundene, international belegene Cloud-Infrastrukturen mit der Folge benutzt werden, dass Inhaltsdaten ausländischer Cloud-Nutzer ausgespäht oder manipuliert werden. Da sowohl der Ort der körperlichen Präsenz des Innentäters als auch der Ort der Rechtsgutsverletzung im Ausland liegen, wäre die Anwendbarkeit des deutschen Strafrechts nach dem Wortlaut des § 9 StGB in solchen Fällen ausgeschlossen. Berücksichtigt werden muss allerdings, dass durch den missbräuchlichen Einsatz deutscher Cloud-Ressourcen ein territorialer Bezug zum Inland besteht. Der im Ausland agierende Innentäter setzt nämlich das deutsche Cloud-System als Tatmittel ein, indem er die durch seine Eingabebefehle (Tathandlung) in Gang gesetzten Datenverarbeitungsprozesse für Rechtsgutverletzungen im Ausland (Taterfolg) verwendet.145 Derartige Fälle sind daher mit den sog. Transitdelikten vergleichbar, 142
Vgl. Krischker, Internetstrafrecht, S. 189. Ausführlich hierzu S. 383 f. 144 Siehe hierzu Kochheim, Cybercrime und Strafrecht, Rn. 587, 683; vgl. auch Eisele, Computerstrafrecht, § 10, Rn. 83. 145 Krischker, Internetstrafrecht, S. 191. 143
392
Kap. 7: Anwendbarkeit des deutschen Strafrechts
bei denen die Tathandlung und der Taterfolg im Ausland liegen, aber ein Bezug zum inländischen Territorium darin besteht, dass ein Teil der Kausalkette im Inland abläuft.146 Da nach dem Grundgedanken des § 9 StGB deutsches Strafrecht immer dann zur Anwendung kommen soll, wenn im Inland strafrechtlich geschützte Rechtsgüter verletzt oder gefährdet werden,147 ist der Geltungsbereich des deutschen Strafrechts bei solchen Transitvorgängen dann eröffnet, wenn der Innentäter durch die Kompromittierung des deutschen Cloud-Systems einen Zwischenerfolg in Deutschland bewirkt, der einen Straftatbestand verwirklicht.148 Dies ist bei dem missbräuchlichen Einsatz deutscher Cloud-Ressourcen zur Durchführung eines DDoS-Angriffs auf ausländische Clouds oder zur Verbreitung von Malware der Fall. In beiden Konstellationen wird nämlich das deutsche Cloud-System unbefugt mit Schadsoftware infiziert, was nach der hier vertretenen Ansicht den Straftatbestand der Datenveränderung gem. § 303a Abs. 1 StGB erfüllt.149 Darüber hinaus liegt auch eine strafbare Computersabotage aus § 303b Abs. 2 Nr. 1, Nr. 3 StGB vor, da die Ausführung der Schadcodes dem Cloud-System Rechenkapazität entzieht und ein permanentes Risiko für die Integrität und Verfügbarkeit der deutschen Cloud-Dienste begründet, so dass ihre Installation und Ausführung als erhebliche Störung der ordnungsgemäßen Funktionsweise des Cloud-Betriebs angesehen werden kann.150 Auf die Installation und Inbetriebnahme der Malware findet damit das deutsche Strafrecht Anwendung. Im Hinblick auf die im ausländischen Zielsystem verwirklichten Straftaten ist dagegen der Geltungsbereich des deutschen Strafrechts nicht über § 9 StGB eröffnet. Zum einen kommt der Bearbeitung der Befehlseingaben bzw. der Ausführung der Schadcodes auf den deutschen Cloud-Servern keine eigenständige Handlungsqualität zu, so dass kein inländischer Handlungsort i.S.d. § 9 Abs. 1 1. Var. StGB gegeben ist.151 Zum anderen realisiert sich die Verletzung der strafrechtlich geschützten Rechtgüter der betroffenen Cloud-Nutzer nur auf dem ausländischen Zielsystem. In dieser Hinsicht sind die von dem Innentäter in Gang gesetzten inländischen Datenverarbeitungsprozesse der Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten im Zielsystem nur vorgelagert. Die Verarbeitung und Ausführung der Befehlsleingaben bzw. der Schadcodes auf den deutschen Cloud146
Hoyer, SK-StGB, § 9, Rn. 7; von Heintschel-Heinegg, in: BeckOK StGB, § 9, Rn. 6. BGHSt 46, 212 (220); BGHSt 42, 235 (242 f.); Ambos, MK, § 9 StGB, Rn. 23. 148 Vgl. BGH NStZ 2007, 287; Eser/Weißer, Schönke/Schröder, § 9 StGB, Rn. 6d; Fischer, § 9 StGB, Rn. 3a; Hoyer, SK-StGB, § 9, Rn. 7; Satzger, Satzger/Schluckebier/Widmaier, § 9 StGB, Rn. 2; Werle/Jeßberger, LK, § 9 StGB, Rn. 40; von Heintschel-Heinegg, in: BeckOK StGB, § 9, Rn. 6; Heger, in Lackner/Kühl, § 9 StGB, Rn. 2; Hilgendorf/Valerius, Computerund Internetstrafrecht, Rn. 137. 149 Siehe hierzu S. 298 f.; vgl. auch Kochheim, Cybercrime und Strafrecht, Rn. 684. 150 Siehe dazu S. 312 ff.; vgl. auch Kochheim, Cybercrime und Strafrecht, Rn. 684. 151 Zur Ablehnung einer erweiterten Auslegung des Handlungsorts siehe S. 350 f.; ebenso Jones, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität, S. 138 f.; Krischker, Internetstrafrecht, S. 191. 147
E. Schutzbereich der verwirklichten Straftatbestände
393
Servern stellt damit nur einen sog. „Tathandlungserfolg“ dar, dem keine tatortbegründende Wirkung zukommt.152 Demzufolge scheidet auch eine Anwendung des deutschen Strafrechts im Hinblick auf die im Zielsystem bewirkten Rechtsgutsverletzungen über den Erfolgsort gem. § 9 Abs. 1 3. Var. StGB aus.153 Wie bereits gezeigt wurde,154 gilt dies nach hiesiger Auffassung auch dann, wenn durch die Auslandstat das Verfügungsrecht von deutschen Cloud-Nutzern verletzt wird. In diesem Fall kann sich die Anwendbarkeit des deutschen Strafrechts nur unter den Voraussetzungen des § 5 Nr. 7 StGB oder des § 7 Abs. 1 StGB ergeben. Unabhängig davon, ob durch die Tat des Innentäters inländische oder ausländische Cloud-Nutzer betroffen sind, kann seine Straftat zudem über § 7 Abs. 2 Nr. 1 StGB der nationalen Strafgewalt unterliegen, wenn seine Tat am Tatort mit Strafe bedroht ist oder der Tatort keiner Strafgewalt unterliegt und der Innentäter zum Tatzeitpunkt Deutscher war oder nach seinem erfolgreichen Angriff Deutscher geworden ist.
E. Schutzbereich der verwirklichten Straftatbestände Liegt für die Anwendbarkeit des deutschen Strafrechts ein Anknüpfungspunkt nach den §§ 3 – 7, 9 StGB vor, ist zu prüfen, ob das vom Innentäter im Einzelfall verletzte oder gefährdete Rechtsgut des Cloud-Nutzers überhaupt in den Schutzbereich des verwirklichten Straftatbestands fällt.155 Im Kern geht es dabei um die Frage, ob der Innentäter-Angriff in einem Maße nationale (deutsche) Interessen berührt, dass es gerechtfertigt oder sogar notwendig erscheint, die hierbei tangierten Rechtsgüter der Cloud-Nutzer am inländischen Strafrechtsschutz teilnehmen zu lassen.156 Schützt eine Strafvorschrift Individualrechtsgüter, wie die Privatsphäre oder das Vermögen, ist der Geltungsbereich des deutschen Strafrechts unabhängig von der Staatsangehörigkeit des Täters oder Opfers (Rechtsgutsträgers) oder der Belegenheit des betroffenen Rechtsguts eröffnet.157 Begründet wird diese Erweiterung des Schutzbereichs des deutschen Strafrechts auf alle im Ausland belegenen Tatobjekte mit dem Argument, dass Individualrechtsgüter persönliche Rechte sind, die jedem 152
Zur Ablehnung dieses Ansatzes siehe S. 384 f. Ebenso Jones, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität, S. 139; Krischker, Internetstrafrecht, S. 192. 154 Dazu S. 388 f. 155 Satzger, Satzger/Schluckebier/Widmaier, Vorb. §§ 3 – 7 StGB, Rn. 7; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 80; Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 55; Fischer, Vorb. §§ 3 – 7 StGB, Rn. 4; Safferling, Internationales Strafrecht, § 3, Rn. 9; Preuß, Die Kontrolle von E-Mails, S. 456. 156 Vgl. Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 80; Hoyer, SK-StGB, Vorb. §§ 3 – 9, Rn. 31. 157 Siehe nur Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 85; Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 56; Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 42; Satzger, Satzger/Schluckebier/Widmaier, Vorb. §§ 3 – 7 StGB, Rn. 8. 153
394
Kap. 7: Anwendbarkeit des deutschen Strafrechts
Menschen unabhängig von seiner Staatsangehörigkeit zustehen.158 Demzufolge ist auch jeder Staat nach dem völkerrechtlichen Fremdenrecht dazu verpflichtet, ein Mindestmaß an strafrechtlichem Schutz („minimum standard of justice“) für ausländische Individualrechtsgüter zu garantieren.159 Demgegenüber ist der Schutzbereich des deutschen Strafrechts auf Taten, die ausländische staatliche Rechtsgüter tangieren, grundsätzlich nicht eröffnet.160 Etwas anderes gilt nur dann, wenn der deutsche Gesetzgeber explizit den Schutzbereich des Tatbestands erweitert hat.161 Die fehlende Erstreckung des Schutzbereichs auf staatliche Interessen ausländischer Hoheitsträger folgt aus der Souveränität des betroffenen Staates.162 Würde nämlich das deutsche Strafrecht auch ausländische staatliche Interessen schützen, würde dies eine Einmischung in die Hoheitsgewalt des fremden Staates bedeuten. Um dies zu vermeiden, ist das deutsche Strafrecht als innerstaatliches Ordnungsrecht in erster Linie nur auf den Schutz von inländischen Rechtsgütern beschränkt.163 Anders als bei Tatbeständen, die unmittelbar staatliche Interessen schützen, wird dagegen der Schutzbereich bei solchen Delikten, die neben einem Kollektiv- auch ein Individualrechtsgut schützen, auch auf ausländische Rechtsgüter erstreckt.164 Welches Rechtsgut letztendlich von der jeweiligen Strafnorm geschützt wird, ist durch eine Auslegung des vom Innentäter verwirklichten Straftatbestands zu bestimmen.165 Im Folgenden soll nun untersucht werden, welche Rechtsgüter der Cloud-Nutzer bei einem Innentäter-Angriff auf die Vertraulichkeit, Integrität und Verfügbarkeit fremder Inhaltsdaten betroffen sind und ob diese von den Schutzbereichen der verwirklichten deutschen Strafvorschriften erfasst werden. 158
Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 85. Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 56; Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 276; Lüttger, in: FS Jescheck, S. 147. 160 BGH NJW 1979, 2482 (2483); BayOblG NJW 1980, 1057 (1057); Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 49; Fischer, Vorb. §§ 3 – 7 StGB, Rn. 10; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 83; Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 277; Hoyer, SK-StGB, Vorb. §§ 3 – 9, Rn. 34. 161 So etwa für die §§ 153 ff. StGB durch § 162 Abs. 1 StGB bei einem Verfahren vor einem internationalen Gericht; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 83; weitergehend Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 57; Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 258 f. 162 BGH NJW 1969, 517 (518); Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 83. 163 OLG Düsseldorf NJW 1982, 1242 (1243); Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 49; Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 58. 164 Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 44; Satzger, Satzger/Schluckebier/Widmaier, Vorb. §§ 3 – 7 StGB, Rn. 10; vgl. auch zu § 265b StGB: BGH NJW 2015, 423 (425) und zu § 164 StGB: BGH NJW 1952, 1385. Darüber hinaus fordert Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 56, dass der Tatbestand vorrangig dem Individualrechtsgüterschutz dient. Eine andere Auffassung hält es dagegen für erforderlich, dass der Individualschutz eigenständiger Schutzzweck und nicht nur bloßer Schutzreflex der einschlägigen Vorschrift ist; Werle/Jeßberger, LK, Vorb. §§ 3 ff. StGB, Rn. 275; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 86; weitergehend hierzu Preuß, Die Kontrolle von E-Mails, S. 458 f. 165 OLG Düsseldorf NJW 1982, 1242; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 82; Fischer, Vorb. §§ 3 – 7 StGB, Rn. 4. 159
E. Schutzbereich der verwirklichten Straftatbestände
395
I. Schutzbereich der §§ 202a ff. StGB Nach der hier vertretenen Auffassung166 schützen die Strafvorschriften der §§ 202a, 202b und 202d StGB167 die formelle Verfügungsbefugnis bzw. das Geheimhaltungsinteresse der Cloud-Nutzer an ihren Inhaltsdaten, wohingegen die geschützten Rechtgüter der Tatbestände der Datenveränderung gem. § 303a StGB und der Computersabotage aus § 303b Abs. 2 StGB neben der Verfügungsgewalt der Nutzer über ihre ausgelagerten Daten und ihr Vermögen vorwiegend ihr Interesse an der unversehrten Verwendbarkeit und Erreichbarkeit ihrer Nutzerdaten sind.168 Das Rechtsgut des § 202c StGB ist wiederum dasselbe, welches die vorgenannten Strafnormen schützen, also z.B. ebenfalls die Verfügungsgewalt der Cloud-Nutzer, sofern durch die tatbestandliche Handlung des Innentäters eine Straftat i.S.d. §§ 202a, 202b StGB vorbereitet wird.169 Die Strafvorschrift der Urkundenunterdrückung gem. § 274 Abs. 1 Nr. 2 StGB dient dagegen dem Schutz der individuellen Beweisführungsbefugnis der Cloud-Nutzer, d.h. ihrem Recht mit den in der Cloud gespeicherten und verarbeiteten, beweiserheblichen Daten Beweis zu erbringen.170 Da es sich bei diesen Schutzgütern um Individualrechtsgüter handelt, ist der Schutzbereich der vorgenannten Strafvorschriften bei einem Innentäter-Angriff unabhängig von der Nationalität des Cloud-Nutzers und des Speicherorts seiner Inhaltsdaten in der Cloud eröffnet.
II. Schutzbereich der §§ 203, 204 StGB; § 206 StGB und § 17 UWG § 17 UWG schützt neben der individuellen Verfügungsbefugnis des cloudnutzenden Unternehmens an seinen im Cloud-System gespeicherten Wirtschaftsgeheimnissen auch das Interesse der Allgemeinheit an der Erhaltung eines unverfälschten und damit funktionsfähigen Wettbewerbs.171 Der Schutzbereich der §§ 203, 204 StGB bezieht sich hingegen sowohl auf das private Verfügungsrecht über (vermögenswerte) geheime Tatsachen, die einem Berufsgeheimnisträger anvertraut werden, als auch auf das allgemeine Vertrauen in die Verschwiegenheit und Funk-
166
Zum umstrittenen Rechtsgut des § 202a StGB siehe S. 122 f. Kargl, NK, § 202a StGB, Rn. 3; Hilgendorf, LK, § 202b StGB, Rn. 2; Graf, MK, § 202c StGB, Rn. 2; Hoyer, SK-StGB, § 202d, Rn. 1. 168 Siehe nur Hilgendorf, LK, § 303a StGB, Rn. 4; Hecker, Schönke/Schröder, § 303b StGB, Rn. 1. 169 Graf, MK, § 202c StGB, Rn. 2; Hilgendorf, LK, § 202c StGB, Rn. 2. 170 Vgl. nur Heine/Schuster, Schönke/Schröder, § 274 StGB, Rn. 1; Wittig, Satzger/ Schluckebier/Widmaier, § 274 StGB, Rn. 1 f.; Puppe/Schumann, NK, § 274 StGB, Rn. 1. 171 Diemer, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze, § 17 UWG, Rn. 2; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 747. 167
396
Kap. 7: Anwendbarkeit des deutschen Strafrechts
tionsfähigkeit der tatbestandlich erfassten Berufsgruppen.172 Dagegen schützt der § 206 StGB nach der hier vertretenen Auffassung173 das subjektive Recht der CloudNutzer auf Geheimhaltung ihrer elektronischen Nachrichten und das Vertrauen der Allgemeinheit in die Sicherheit und Zuverlässigkeit der CaaS-Dienste. Die Schutzbereiche dieser Strafnormen erfassen damit sowohl ein Individual- als auch ein Kollektivrechtsgut. Da es bei solchen Tatbeständen aber für die Anwendbarkeit des deutschen Strafrechts ausreichend ist, dass sie auch einen individualschützenden Charakter haben, ist ihr Schutzbereich ebenfalls bei einer Auslandstat eines Innentäters ohne Rücksicht auf die Nationalität der Betroffenen oder des Orts des CloudServers, auf dem die fremden Nutzerdaten gespeichert und verarbeitet werden, eröffnet.174
III. Schutzbereich des § 42 BDSG Der § 42 BDSG dient neben der Gewährleistung des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG auch dem Schutz der Grundfreiheiten natürlicher Personen, namentlich ihr Recht auf Schutz der sie betreffenden personenbezogenen Daten gem. Art. 8 Abs. 1 GRCh, Art. 16 Abs. 1 AEUV und ihr Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation gem. Art. 7 GRCh.175 Da es sich hierbei um Individualrechtsgüter handelt, bezieht sich der Schutzbereich des § 42 BDSG ebenfalls auf inländische und ausländische Rechtsgüter.
IV. Ergebnis zum Schutzbereich der deutschen Strafund Bußgeldtatbestände Werden fremde Inhaltsdaten durch einen Innentäter unter Verwirklichung eines deutschen Straf- oder Bußgeldtatbestands ausgespäht, weitergegeben bzw. verwertet oder verändert, gelöscht oder unterdrückt, sind die Schutzbereiche der deutschen Straf- und Bußgeldvorschriften unabhängig von der Nationalität des Cloud-Nutzers und des Belegenheitsorts seiner betroffenen Daten, tangiert. 172
Hierzu S. 229 f. Siehe S. 195. 174 Vgl. BGH NJW 2015, 423 (425); BGH NJW 1952, 1385; Eser/Weißer, Schönke/ Schröder, Vor. §§ 3 – 9 StGB, Rn. 44; Satzger, Satzger/Schluckebier/Widmaier, Vorb. §§ 3 – 7 StGB, Rn. 10; Preuß, Die Kontrolle von E-Mails, S. 459. 175 Dies ergibt sich schon aus dem in § 1 Abs. 2 DSGVO normiertem Zweck, „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu gewährleisten; ausführlich hierzu Ernst, Paal/Pauly (Hrsg.), DSGVO/BDSG, Art. 1 DSGVO, Rn. 6 f.; Zerdick, Ehmann/Selmayr (Hrsg.), DSGVO, Art. 1, Rn. 7 f. 173
F. Zusammenfassung
397
F. Zusammenfassung Das deutsche Strafrecht ist nach § 3 StGB i.V.m. § 9 StGB anwendbar, wenn entweder der Innentäter-Angriff innerhalb der deutschen Landesgrenzen ausgeführt wird oder Nutzerdaten ausgespäht, verändert, gelöscht oder unterdrückt werden, die auf einer inländischen Cloud-Infrastruktur gespeichert sind. Im Übrigen können täterschaftlich verwirklichte Auslandstaten von Innentätern nur nach den Vorschriften der § 5 Nr. 7 StGB oder § 7 Abs. 1, Abs. 2 Nr. 1 StGB dem deutschen Strafrecht unterliegen. Keine Anwendung findet das deutsche Strafrecht daher auf grenzüberschreitende Straftaten von nichtdeutschen Innentätern, die am Tatort nicht mit Strafe bedroht sind und die gegen außerhalb von Deutschland belegene CloudSysteme gerichtet sind, um andere Daten als Geschäfts- und Betriebsgeheimnisse von deutschen Nutzern auszuspähen oder zu manipulieren. Ein möglicher Lösungsansatz in diesen Fällen wäre, das Territorialitätsprinzip extensiv auszulegen und den Erfolgseintritt im Sinne des § 9 StGB in Deutschland zu bejahen, wenn sich der Innentäter-Angriff auf inländisch geschützte Rechtsgüter auswirkt.176 Bedenken gegen eine so weitgehende Auslegung bestehen aber nicht nur im Hinblick auf den ausdrücklichen Wortlaut des § 9 StGB, wonach nur solche Tatfolgen als tatortbegründend anerkannt werden, die für die Verwirklichung des Tatbestands erheblich sind,177 sondern auch im Hinblick auf den § 5 Nr. 7 StGB, welcher bei einer erweiternden Auslegung des Tatorts überflüssig wäre. Nicht sachgerecht ist diese Rechtslage aber für deutsche Cloud-Nutzer, da ein Innentäter dadurch Straffreiheit erlangen kann, dass er andere Daten als Geschäfts- und Betriebsgeheimnisse, die auf einem ausländischen Cloud-Server gespeichert sind, aus einem Land angreift, in dem sein Innentäter-Angriff nicht unter Strafe gestellt ist. Um solchen sog. Divergenzkonflikten178 zu begegnen, wäre es de lege ferenda wünschenswert, wenn das in § 5 StGB normierte Schutzprinzip um die Fallgruppe ergänzt wird, dass das deutsche Strafrecht auf Auslandstaten auch dann anwendbar ist, wenn durch den InnentäterAngriff natürliche Personen betroffen sind, die zum Zeitpunkt der Tat ihren Wohnsitz oder gewöhnlichen Aufenthalt im Inland haben.
176 So Svetlana, Internationales Strafrecht im Cyberspace, S. 147; im Ergebnis auch Werkmeister/Steinbeck, wistra 2015, 209 (212 ff.). 177 Fischer, § 9 StGB, Rn. 4a; Ambos, MK, § 9 StGB, Rn. 16. 178 Brodowski, in: Lange/Bötticher (Hrsg.), Cyber-Sicherheit, S. 259.
8. Kapitel
Strafrechtlicher Schutz de lege ferenda Die rechtliche Prüfung hat gezeigt, dass das geltende Straf- und Ordnungswidrigkeitenrecht nur in Teilbereichen die Angriffsszenarien der Innentäter erfasst. Im Folgenden soll nun abschließend bewertet werden, welche Änderungen de lege ferenda wünschenswert wären, um eine effektive Ahndung und Verfolgung der Verletzungen der Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten durch Innentäter zu gewährleisten.
A. Schutz der Datenvertraulichkeit Die Nutzung der Cloud-Dienste gehört inzwischen in allen Lebensbereichen zum Standard. Immer selbstverständlicher werden sensible Inhaltsdaten auf Servern externer Anbieter gespeichert, wo sie allerdings für Innentäter-Angriffe besonders anfällig sind. Mangels einer technischen Möglichkeit der Cloud-Nutzer, sich bei den herkömmlichen Cloud-Diensten lückenlos vor einer Ausforschung und Weitergabe der Inhaltsdaten durch Innentäter zu schützen, folgt nach der wegweisenden Entscheidung des BVerfG zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gem. Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG ein „grundrechtlich erhebliches Schutzbedürfnis“, das für alle Datenarten unabhängig davon besteht, „ob der Zugriff auf das informationstechnische System leicht oder nur mit erheblichem Aufwand möglich ist“.1 Aufgrund der mittelbaren Drittwirkung des Computer-Grundrechts ist es auch die Aufgabe des materiellen Strafrechts, die Vertraulichkeit der auf der Cloud-Infrastruktur gespeicherten Datenbestände der Cloud-Nutzer abzusichern.2 Dem entgegenstehend gewährt das deutsche Straf- und Ordnungswidrigkeitenrecht nur in Teilbereichen einen ange-
1
BVerfGE 120, 274 (306 f.) = BVerfG NJW 2008, 822 (824 f.). Luch, MMR 2011, 75 (77 f.); Gurlit, NJW 2010, 1035 (1040); Stögmüller, CR 2008, 435 (436); Hornung, CR 2008, 299 (305); vgl. auch den Gesetzesentwurf zur Strafbarkeit des digitalen Hausfriedensbruchs, BT-Drs. 18/10182, S. 3 und die Gesetzesentwürfe zum Tatbestand der Datenhehlerei, BT-Drs. 18/1288, S. 1; BT-Drs. 17/14362, S. 9. 2
A. Schutz der Datenvertraulichkeit
399
messenen Schutz vor unbefugten Datenzugriffen durch Innentäter.3 Lediglich das Ausspähen, die Verwertung und die Weitergabe von Inhaltsdaten durch nicht zugriffsberechtigte Innentäter (andere Cloud-Nutzer sowie Mitarbeiter des Manufactors, Cloud Service Developers und Softwareanbieters) wird unmfassend strafrechtlich erfasst. Lückenhaft ist dagegen der strafrechtliche Schutz in den Fällen, in denen Innentäter berechtigt auf die Nutzerdaten zugreifen und ihren privilegierten Zugang dazu missbrauchen, Inhaltsdaten auszuspähen und an Dritte weiterzugeben. Die Schutzlücken resultieren vor allem daraus, dass die Strafvorschriften der §§ 202a ff. StGB eine fehlende Zugriffsbefugnis und die Überwindung einer zum Tatzeitpunkt wirksamen Sicherheitsmaßnahme fordern. Bei beiden Tatbestandsmerkmalen fehlt es aber bei einem Priviliegienmissbrauch der Administratoren der Cloud-Anbieter und Cloud-Nutzer. Zum einen wurden sie von den Cloud-Nutzern zur Verwaltung ihrer Datensätze ermächtigt, weshalb sie berechtigt sind, auf die Nutzerdaten zuzugreifen. Verletzungen der Datenvertraulichkeit unter Ausnutzung ihres privilegierten Zugriffsrechts stellen damit nach den §§ 202a ff. StGB nur eine tatbestandslos wirkende vertrags- bzw. zweckwidrige Verwendung dar.4 Zum anderen fehlt es bei ihren Angriffshandlungen auch an der Überwindung einer Sicherheitsvorkehrung. Unter diesem Tatbestandsmerkmal fallen nämlich nur solche Angriffsszenarien, bei denen die Überwindung der Zugangssicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert.5 Unwirksam sind Sicherheitsvorkehrungen aber bei den herkömmlichen Cloud-Diensten nicht nur für die Supervisoren, sondern auch gegenüber den Systemadministratoren der CloudAnbieter, wenn sie z.B. Inhaltsdaten im Klartext mithilfe der Erstellung von Snapshots und Clones von den VM der Cloud-Nutzer ausspähen. Keine Wirkung entfalten Sicherheitsmaßnahmen zudem gegenüber den Serviceadministratoren, die ihre Zugriffsrechte auf das Benutzerkonto und auf die Speicherbereiche dazu nutzen, unbefugt sensible Daten zu kopieren oder diese durch die Versendung eines Datenlinks an Dritte weiterzugeben.6 Bezieht sich die Tat des Innentäters aber auf Geschäfts- und Betriebsgeheimnisse oder personenbezogene Daten kommt eine Verwirklichung der Straf- und Bußgeldvorschriften nach den §§ 17 UWG, 42 BDSG und Art. 83 DSGVO in Betracht. Problematisch ist allerdings, dass die Vorschriften ein erhebliches Vollzugsdefizit aufweisen und damit keine effektive Präventivwirkung entfalten.7 Unklar ist zudem, ob der datenschutzverstoßende Innentäter tauglicher Normadressat des Art. 83 3 Vgl. Sieber, Gutachten zum 69. Deutschen Juristentag, C 43, C 86; Gercke, in: Spindler/ Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 7; ders., ZUM 2011, 609 (617). 4 Zum Ganzen siehe S. 135 ff. 5 Ausführlich dazu S. 153 ff. 6 Siehe zu weiteren Fällen einer straflosen Datenspionage aufgrund des fehlenden, tatbestandlichen Erfordernisses, eine wirksame Zugangssicherung zu überwinden oder zu umgehen, S. 162 ff. 7 Zu § 17 UWG siehe S. 272 f., zu Art. 83 DSGVO S. 303 f. und zu § 42 BDSG S. 315 f.
400
Kap. 8: Strafrechtlicher Schutz de lege ferenda
DSGVO ist.8 Abgesehen davon, dass eine Bußgeldsanktion als nicht ehrenrührige Pflichtenmahnung zur Ahndung des Innentäter-Angriffs auch als unangemessen erscheint, wird es sich bei dem Datenschutzverstoß des Innentäters zumeist um eine Exzesstat handeln, so dass auch die Verhängung eines Bußgeldes gegen den CloudAnbieter und den Cloud-Nutzer sowie gegen deren Leitungspersonen mangels einer schuldhaften Verletzung einer Organisations- und Aufsichtspflicht nicht in Betracht kommen wird.9 Nicht hinreichend geschlossen wird diese strafrechtliche Schutzlücke zudem durch die Straftatbestände der Verletzung des Fernmeldegeheimnisses aus § 206 Abs. 1 StGB und der Verletzung und Verwertung von Privatgeheimnissen gem. §§ 203 Abs. 4, 204 Abs. 1 StGB, da diese nur in bestimmten Fallkonstellationen einschlägig sind. So liegt eine Strafbarkeit des Innentäters aus § 206 Abs. 1 StGB nur dann vor, wenn der Cloud-Anbieter geschäftsmäßig Telekommunikationsdienstleistungen erbringt und der Innentäter fernmelderelevante Nachrichten der Cloud-Nutzer an eine Dritte Person offenbart.10 Eine Strafbarkeit des Innentäters aus §§ 203 Abs. 4, 204 Abs. 1 StGB kommt wiederum nur in Betracht, wenn die CloudDienste von Berufsgeheimnisträgern genutzt werden und der Innentäter Privat- oder Wirtschaftsgeheimnisse verwertet oder einem Dritten mitteilt.11
I. Ergänzung der Tätergruppe des § 203 Abs. 1 StGB um „IT-Dienstleister“ Der strafrechtliche Schutz der Datenvertraulichkeit könnte zunächst dadurch erweitert werden, dass „Angehörige von IT-Dienstleistungsunternehmen“ in den Täterkreis des § 203 Abs. 1 StGB einbezogen werden.12 Für diesen Lösungsansatz spricht zwar, dass sich der Schutzzweck der Strafvorschrift, das Individualinteresse an der Geheimhaltung bestimmter Tatsachen sowie das allgemeine Vertrauen in die Verschwiegenheit bestimmter Berufskreise und in die nicht kommerzielle Nutzung anvertrauter Geheimnisse,13 grundsätzlich auch auf das Anbieter-Nutzer-Verhältnis des Cloud Computing übertragen lässt. Im Allgemeinen trifft diese Überlegung jedoch nicht auf jede Tätigkeit eines IT-Dienstleisters zu. Mit Blick auf das Verfassungsgebot des Art. 103 Abs. 1 GG ist es aber kaum möglich, den Täterkreis so hinreichend bestimmt zu formulieren, dass nur solche Tätigkeiten eines IT-Dienst8
Siehe hierzu S. 290 ff. S. 298 f. 10 Zur Einordnung des Cloud-Anbieters als Telekommunikationsdienstleister siehe S. 196 ff. und zu den tatbestandlich erfassten fernmelderelevanten Tatsachen der Cloud-Nutzer siehe S. 220 ff. 11 Siehe hierzu S. 229 ff. 12 Vgl. S. 107 ff. des Gutachtens der Großen Strafrechtskommission, das mit dem Ziel erstellt wurde, rechtliche Möglichkeiten für eine straflose Nutzung von fremden IT-Dienstleistungen durch Berufsgeheimnisträger aufzuzeigen. 13 Dazu S. 229 f. 9
A. Schutz der Datenvertraulichkeit
401
leistungsunternehmen in den Anwendungsbereich der Strafnorm fallen, die sich nach der Ratio legis des § 203 StGB gerade auf den Geheimnisschutzbereich beziehen und keine anderen Felder der Berufstätigkeit betreffen, die keinen Kontakt mit den schützenswerten geheimen Daten erfordern.14 Als Beispiel für einen fehlenden funktionalen Bezug zum Geheimnisbereich ist etwa die technische Unterstützung der Organisation des Arbeitsablaufs, wie das Human Resource- oder das Gebäudemanagement zu nennen.15 Hinzu kommt, dass eine Beschränkung des Strafrechtsschutzes auf spezifische Datenarten nicht mit dem aus dem Computergrundrecht folgenden umfassenden Schutz der Vertraulichkeit eines IT-Systems im Einklang steht. Darüber hinaus ist ein lückenloser, strafrechtlicher Schutz aller Inhaltsdaten vor den potentiellen Angriffsszenarien der Innentäter zur Stärkung des Vertrauens der Cloud-Nutzer in die Dienstleistungserbringung und zur Förderung der Einsatzpotentiale des Cloud Computing für den Wirtschaftsstandort Deutschland unabdingbar.
II. Schaffung eines Straftatbestands der Datenuntreue, § 202d StGB-E Ein wirksamer und abschreckender, strafrechtlicher Schutz der Nutzerdaten vor den potentiellen Angriffsformen der Cloud-Innentäter kann allerdings dadurch erreicht werden, dass der Rechtsgedanke des Tatbestands der Untreue gem. § 266 StGB auf das Cloud Computing übertragen wird. Das charakteristische Unrecht der Untreue, einen Täter zu bestrafen, der die ihm anvertraute Dispositionsmöglichkeit zur pflichtwidrigen Schädigung fremden Vermögens einsetzt,16 findet sich nämlich auch in den Fällen des Privilegienmissbrauchs wieder, in denen Innentäter die ihnen mit der Maßgabe einer besonderen Sicherung zur weiteren Speicherung oder Verarbeitung anvertraute Zugriffsbefugnis über fremde Daten zu einer Verletzung des Datenverfügungsrechts des Cloud-Nutzers ausnutzen. Um einen effektiven, strafrechtlichen Schutz der formellen Verfügungsbefugnis der Cloud-Nutzer vor allen Angriffsarten der Innentäter zu gewährleisten, sollte daher in Anlehnung an den Schutzzweck des § 266 StGB de lege ferenda auch für das IT-Outsourcing ein Straftatbestand der Datenuntreue im StGB geschaffen werden, der als relatives Antragsdelikt alle ausgelagerten Daten der Cloud-Nutzer vor einem Privilegienmissbrach der Innentäter schützt. Hierdurch wird nicht nur dem Schutzauftrag des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 1 Abs. 1 GG i.V.m. Art. 2 Abs. 1 GG Rechnung getragen, indem der immer wichtiger werdende digitale Besitz der Cloud-Nutzer an sämtlichen in der Cloud gespeicherten und verarbeiteten Datenkategorien, wie z.B. 14 15 16
Große Strafrechtskommission des Deutschen Richterbundes, Gutachten, S. 109 f. Große Strafrechtskommission des Deutschen Richterbundes, Gutachten, S. 109 f. Siehe nur Kindhäuser, NK, § 266 StGB, Rn. 2; Dierlamm, MK, § 266 StGB, Rn. 2.
402
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Konten- und Kreditkartendaten, Fotoalben, E-Mails, Geschäftsbriefe, Forschungsdaten sowie sonstige staatliche, geschäftliche oder rein private Geheimnisse, vollumfassend geschützt wird, sondern auch eine umfassende Bestrafung des Datenhehlers sichergestellt. Der Tatbestand der Datenuntreue wäre nämlich zugleich taugliche Anknüpfungstat – der de lege ferenda sodann in § 202e Abs. 1 StGB-E zu regelnden Strafvorschrift – der Datenhehlerei, an der es in den Fällen eines Privilegienmissbrauchs durch zugriffsberechtigte Innentäter nach dem geltenden Recht gerade fehlt.17 Eine Erweiterung des strafrechtlichen Schutzes um den Straftatbestand der Datenuntreue steht auch nicht die „ultima ratio“-Funktion des Strafrechts entgegen. Nach diesem aus dem Verhältnismäßigkeitsgrundsatz folgenden Prinzip darf das Strafrecht wegen seines am stärksten eingreifenden Charakters nur herangezogen werden, wenn andere Schutzmaßnahmen keine entsprechende Wirkung entfalten.18 In diesem Sinn könnte als milderes, gleich wirksames Mittel zunächst an die rechtliche Verpflichtung der Cloud-Anbieter gedacht werden, ein angemessenes Sicherheitsniveau umzusetzen. So wird vor allem in den Art. 32 DSGVO i.V.m. Art. 83 Abs. 4 lit. a DSGVO für personenbezogene Daten und in den §§ 109 Abs. 4 i.V.m. 149 Abs. 1 Nr. 5 TKG für die CaaS-Anbieter sowie in den §§ 8a Abs. 1 Satz 1 i.V.m. 14 Abs. 1 Nr. 1 BSI-Gesetz für die Betreiber Kritischer Infrastrukturen i.S.d. § 2 Abs. 10 BSI-Gesetz i.V.m. der BSI-KritisV19 die bußgeldbewehrte Pflicht normiert, nach dem Stand der Technik angemessene technische und organisatorische Sicherheitsmaßnahmen im Cloud-System zu implementieren, worunter neben Mitarbeiterschulungen, der Einrichtung von Zugriffskontrollen (Zwei-FaktorenAuthentifizierung, 4-Augen-Prinzip), eine Datenverschlüsselung sowie eine Überwachung und Protokollierung der administrativen Tätigkeiten weitere Sicherheitsmaßnahmen zur Entdeckung und Abwehr von Innentäter-Angriffen (IDS und IPS etc.) gehören.20 Die Umsetzung, Kontrolle und fortlaufende Weiterentwicklung eines 17
Siehe hierzu S. 135 ff. und S. 214 f. BVerfG NJW 2008, 1137 (1138); BVerfG NJW 1993, 1751 (1754); Roxin, AT I, § 2, Rn. 98. 19 Kritische Infrastrukturen sind im Besonderen Einrichtungen, die den Sektoren Informationstechnik,Telekommunikation und Verkehr angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Ein möglicher Anwendungsfall in diesem Sinn ist etwa beim autonomen Fahren gegeben. Denkbar ist es, den Anbieter der „Verkehrs-Cloud“, die den Datenaustausch zwischen den Fahrzeugen untereinander (Vehicle-to-Vehicle, V2V) und zwischen den Fahrzeugen und den Verkehrseinrichtungen (Vehicle-to-Infrastructure, V2I) regelt, als Betreiber einer kritischen Infrastruktur einzustufen; ausführlich zur Providerhaftung und zum Dilemma-Problem siehe Schuster, in: Hilgendorf (Hrsg.), Autonome Systeme, S. 49 ff. und S. 99 ff. 20 Ausführlich zu den Anforderungen an eine angemessene Datensicherheit beim Cloud Computing BSI, Anforderungskatalog, S. 15 ff.; CSA, Security Guidance V 3.0, S. 27 ff.; siehe auch Schneider/Sunyaev, Cloud-Service-Zertifizierung, S. 28 ff.; Bedner, Cloud Computing, S. 213 ff.; speziell zu Sicherheitsmaßnahmen zur Erschwerung von Innentäter-Angriffen CERT Insider Threat Center, Guide to Mitigating Insider Threats, S. 11 ff. 18
A. Schutz der Datenvertraulichkeit
403
angemessenen Sicherheitskonzepts, das sowohl jede einzelne Schicht des CloudReferenzmodells und die in ihr für die Bereitstellung und Nutzung der Cloud-Dienste eingesetzten Systemkomponenten, Netzwerke und Anwendungen als auch die von den Akteuren des Cloud-Ökosystems ausgehenden, potentiellen Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit der Nutzerdaten berücksichtigt, ist zwar zum Schutz der Cloud-Nutzer unabdingbar, den Einsatz des Strafrechts kann hierdurch jedoch nicht obsolet gemacht werden. Dies folgt schon aus der Tatsache, dass außerstrafrechtliche, technische und organisatorische Präventivmaßnahmen keinen absoluten Schutz der Cloud-Nutzer gewährleisten können.21 Infolge des privilegierten Zugangs der Innentäter zu den Systemkomponenten der Cloud-Architektur und der fortlaufenden Weiterentwicklung der Angriffswerkzeuge wird es für sie immer Wege und Mittel geben, die Vertraulichkeit der Inhaltsdaten zu verletzen. Aus diesem Grund ist eine rein technische Lösung zum Schutz des Verfügungsrechts der Cloud-Nutzer nicht ausreichend. Hinzu kommt, dass Adressaten der Bußgeldsanktionen bei einem fehlenden oder unzureichenden Sicherheitskonzept nur die CloudAnbieter und dessen Leitungspersonen sind.22 Vor diesem Hintergrund bedarf es aus spezial- und generalpräventiver Sicht der verhaltenssteuernden Wirkung des Strafrechts, um die Inhaltsdaten der Cloud-Nutzer angemessen vor den potentiellen Gefahren durch Innentäter zu schützen.23 Insofern könnte eine entsprechende Regelung im StGB Innentäter eher dazu veranlassen, sich regelkonform zu verhalten. Dies ist zunächst die logische Folge aus dem Umstand, dass kernstrafrechtliche Regelungen einen höheren Bekanntheitsgrad aufweisen, als die nebenstrafrechtlichen Vorschriften des Datenschutzrechts.24 Außerdem besteht bei den Tatbeständen des Nebenstrafrechts das Risiko, dass sie als „Kavaliersdelikte“ betrachtet werden, die weniger ernst genommen werden als die Strafnormen des StGB.25 Schließlich ist ein Strafrechtsschutz auch zur Wahrung der freien Entfaltung der Persönlichkeit der Cloud-Nutzer geboten und angemessen. Denn das Wissen, dass letztendlich kein Sicherheitsmanagement einen lückenlosen Schutz vor den Angriffsszenarien der Innentäter gewährleisten kann und dass diese – möglicherweise sogar sanktionslos – jederzeit auf ihre Daten zugreifen können, wirkt sich negativ auf ihre Entscheidung aus, Cloud-Dienste zu beruflichen oder privaten Zwecken in Anspruch zu nehmen.26 21
Vgl. hierzu S. 83, 94 ff. Zu Art. 32 DSGVO i.V.m. Art. 83 Abs. 4 lit. a DSGVO siehe S. 293 f. 23 Im Ergebnis auch Sieber, Gutachten zum 69. Deutschen Juristentag, C 93; Brodowski/ Freiling, Cyberkriminalität, S. 101; Gercke, ZUM 2015, 772 (775); ders., ZUM 2011, 609 (616 f.); Dauster/Braun, NJW 2000, 313 (319). 24 Golla, Datenschutzgesetze, S. 238; vgl. auch Föbus, Die Insuffizienz des strafrechtlichen Schutzes von Geschäfts- und Betriebsgeheimnissen, S. 239, 275; Heinrich, in: FS Wandtke, S. 413, 417. 25 Golla, Datenschutzgesetze, S. 238; vgl. auch Föbus, Die Insuffizienz des strafrechtlichen Schutzes von Geschäfts- und Betriebsgeheimnissen, S. 218, 275. 26 Vgl. BVerfGE 65, 1 (43) = NJW 1984, 419 (422); Sendzik, Datendiebstahl, S. 31. Luch spricht in diesem Zusammenhang zutreffend von der „Online-Handlungsfreiheit“ bzw. dem 22
404
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Dies umso mehr, weil auch die zivilrechtlichen Sanktionen nicht ausreichend dem Schutzbedürfnis der Cloud-Nutzer bei Verletzungen der Datenvertraulichkeit durch Innentäter Rechung tragen. So trifft die Darlegungs- und Beweislast über die Voraussetzungen eines Schadensersatzanspruchs grundsätzlich den betroffenen CloudNutzer. Diesem ist jedoch die Ermittlung des Innentäters und den Tatumständen noch weitaus schwieriger möglich als den Organen der Strafrechtspflege. Schadensersatzansprüche werden daher im Zivilprozess für den Cloud-Nutzer kaum durchsetzbar sein.27 Abgesehen davon, hängt die zivilprozessuale Geltendmachung etwaiger Schadensersatzansprüche auch von dem individuellen Willen und den finanziellen Möglichkeiten des Cloud-Nutzers ab, während im Strafverfahren das Legalitätsprinzip gilt und das Kostenrisiko der Innentäter trägt.28 Insofern kann ein Sanktionsdefizit vor allem bei „Streuschäden“ entstehen. Eine solche Schadenskonstellation liegt vor, wenn sich der Innentäter-Angriff zwar gegen zahlreiche Cloud-Nutzer richtet, bei jedem Einzelnen aber nur geringe Schäden eingetreten sind, so dass die einzelnen Betroffenen von einer zivilrechtlichen Geltendmachung ihrer Schadensersatzansprüche gegen den Innentäter absehen, obwohl insgesamt ein beträchtlicher Schaden entstanden ist.29 Schließlich ist ein materieller oder immaterieller Schadensausgleich auch oftmals unzureichend. Werden Inhaltsdaten unbefugt ausgespäht oder an Dritte weitergegeben, kann die Verletzung des Verfügungsrechts des Cloud-Nutzers nicht wieder rückgängig gemacht werden. Abgesehen davon ist auch fraglich, ob die Tatfolgen eines Innentäter-Angriffs auf Daten von Privatnutzern stets immaterielle Schäden darstellen. Zudem hängt die zivilrechtlich gewährte Kompensation in Geld von der Vermögenssituation des Innentäters ab. Aufgrund dieser Umstände verfolgt das zivilrechtliche Haftungsrecht im Gegensatz zum Datenschutzstrafrecht keine präventiven oder repressiven Ziele. Diese sind allenfalls bloße Reflexwirkung. Des Weiteren wäre es auch aus viktimologischer Sicht nicht verständlich, dem gegen ein Abfangen von übermittelten Daten schutzlosen Opfer den strafrechtlichen Schutz aus § 202b StGB zu gewähren, dem in gleichermaßen schutzlosen Cloud-Nutzer aber den Strafrechtsschutz zu versagen und ihn allein auf das zivilrechtliche Haftungsrecht zu verweisen. Dass einem Innentäter bei einer vertragswidrigen Verwendung anvertrauter Daten neben zivilrechtlichen Folgen de lege ferenda auch strafrechtliche Sanktionen drohen, stellt kein Grund dar, den strafrechtlichen Schutz zurückzunehmen. Aus einem Plus an Rechtsverletzung kann kein Minus an strafrechtlichem Schutz folgen.30 Als Ergebnis ist somit festzuhalten, dass die Einführung eines Straftatbestands der Datenuntreue ein geeignetes, erforderliches und angemessenes Mittel darstellt, um Verletzungen der Datenvertraulichkeit durch Innentäter adäquat entgegenzutreten. „Recht auf digitale Entfaltung“ der Persönlichkeit, die aus dem Computergrundrecht abgeleitet werden; Luch, MMR 2011, 75 (77). 27 Vgl. Wicker, MMR 2014, 715 (717). 28 Vgl. Golla, Datenschutzgesetze, S. 116. 29 Vgl. Golla, Datenschutzgesetze, S. 219. 30 Hilgendorf, JuS 1996, 1082 (1083).
A. Schutz der Datenvertraulichkeit
405
Darüber hinaus steht einer Ergänzung des strafrechtlichen Schutzes um den Tatbestand der Datenuntreue auch nicht Art. 2 der Cybercrime-Konvention entgegen.31 Dieser sieht für einen einheitlichen, internationalen Strafrechtsschutz der Vertraulichkeit von Computersystemen in Satz 1 vor, dass jede Vertragspartei den unbefugten, vorsätzlichen Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon unter Strafe stellen soll. Hinsichtlich der konkreten Umsetzung dieser Vorgaben in das nationale Recht ermöglicht Art. 2 Satz 2 der CybercrimeKonvention eine Beschränkung der Strafbarkeit auf solche Fälle, die entweder „unter Verletzung von Sicherheitsmaßnahmen, in der Absicht, Computerdaten zu erlangen, in anderer unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist“, begangen wurde. Trotz dieser fakultativen Einschränkungsmöglichkeiten kriminalisiert das deutsche Strafrecht in § 202a Abs. 1 StGB nur externe Täter, die sich Daten unter Überwindung einer Zugangssicherung verschaffen. Der von Art. 2 Satz 2 der Cybercrime-Konvention eingeräumte Handlungsspielraum erlaubt aber auch die Bestrafung einer zweckwidrigen Datenverwendung eines zugriffsberechtigten Innentäters, die er in unredlicher Absicht gegen oder ohne Willen des Datenverfügungsberechtigten im Zusammenhang mit einem verbundenen Computersystem begeht. Zusammenfassend wird unter Berücksichtigung der objektiven und subjektiven Strafbarkeitsbeschränkungen des Art. 2 Satz 2 der Cybercrime-Konvention vorgeschlagen, in § 202d StGB-E die Datenuntreue wie folgt zu regeln: § 202d StGB Datenuntreue (1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, für ihn bestimmte, nicht allgemein zugängliche Daten (§ 202a Abs. 4), die ihm als Inhaber oder Beschäftigtem eines Unternehmens, das geschäftsmäßig fremde Daten mit der Maßgabe einer besonderen Sicherung in einem vernetzten Computersystem speichert oder verarbeitet, anvertraut wurden, sich oder einem anderen unbefugt verschafft, verkauft, verbreitet oder sonst zugänglich macht, wird mit Freiheitstrafe von bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Absatz 1 gilt auch für Personen, die mit der Nutzung und Verwaltung der in Absatz 1 bezeichneten IT-Dienstleistungen aufgund ihres Beschäftigungsverhältnisses zum Dienstleistungsnutzer betraut wurden. (3) In besonders schweren Fällen des Absatzes 1 und 2 ist die Strafe Freiheitsstrafe bis zu drei Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Straftaten nach Absatz 1 verbunden hat oder 2. Daten einer großen Zahl von Personen sich oder einem anderen verschafft, verkauft, verbreitet oder sonst zugänglich macht.
31 Ebenso Sieber, Gutachten zum 69. Deutschen Juristentag, C 43; Gercke, in: Spindler/ Schuster (Hrsg.), Recht der elektronischen Medien, § 202a StGB, Rn. 7; ders., MMR 2004, 728 (729).
406
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Der vorgeschlagene Straftatbestand soll die formelle Verfügungsbefugnis von Privatpersonen und Unternehmen, die zur Speicherung und Datenverarbeitung fremde IT-Ressourcen nutzen, die geschäftsmäßig von IT-Dienstleistungsunternehmen zur Verfügung gestellt werden, vor einer unbefugten Verschaffung und Weitergabe ihrer ausgelagerten Daten durch zugriffsberechtigte Mitarbeiter schützen. Als weiteres Rechtsgut soll das allgemeine Interesse an der Vertraulichkeit und Sicherheit von vernetzten, geschäftsmäßig bereitgestellten, fremden Computersystemen geschützt werden. Aufgrund des systematischen Zusammenhangs mit § 206 StGB und der im 15. Abschnitt des Strafgesetzbuchs geschütztem persönlichen Lebens- und Geheimbereich sollte der vorgeschlagene Tatbestand der Datenuntreue in § 202d StGB-E geregelt werden. Zudem wird durch diese Stellung vor dem § 205 StGB zum Ausdruck gebracht, dass es sich bei der Strafvorschrift um ein relatives Antragsdelikt handelt, für dessen Verfolgung es grundsätzlich die Zustimmung des datenverfügungsberechtigten Cloud-Nutzers in der Form der Stellung eines Strafantrags bedarf. Um eine Überkriminialsierung zu vermeiden und die Datenuntreue auf strafwürdige Fälle zu begrenzen, sollte sich die Tat nur auf „nicht allgemein zugängliche Daten“ beziehen. Entsprechend den Überlegungen im Rahmen des Tatbestands der Datenhehlerei sind hierunter nur solche Daten zu verstehen, die nach dem Willen des Verfügungsberechtigten dazu bestimmt wurden, der Allgemeinheit, also einem individuell nicht bestimmbaren Personenkreis ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts zugänglich zu sein.32 Nicht erfasst werden damit sog. Alltagsdaten, die frei zugänglich sind.33 Dass nämlich der Innentäter bei diesen Daten nicht die allgemein zugängliche Quelle nutzt, sondern sich sein privilegiertes Zugriffsrecht zunutze macht, beeinträchtigt nicht die formelle Verfügungsbefugnis des IT-Dienstleistungsnutzers. Insofern wäre es mit dem Übermaßverbot nicht vereinbar, den Zugriff des Innentäters mit einer Strafsanktion zu belegen.34 Als Täter des Sonderdelikts kommen nur natürliche Personen in Betracht, für welche die Daten bestimmt sind. Weiterhin werden nach Abs. 1 als Täter nur solche Personen erfasst, denen die Tatobjekte als Inhaber oder Beschäftigte eines Unternehmen, das geschäftsmäßig fremde Daten mit der Maßgabe einer besonderen Sicherung in einem vernetzten Computersystem speichert oder verarbeitet, anvertraut wurden. Gleichgestellt werden diesem Täterkreis nach Abs. 2 die Beschäftigten des Nutzers, die mit der Benutzung und der Verwaltung der in Abs. 1 bezeichneten ITDienstleistungen betraut wurden. Unter dem Begriff der „geschäftsmäßigen Erbringung“ von IT-Dienstleistungen ist entsprechend dem inhaltsgleichen Merkmal in § 206 Abs. 1 StGB das nachhaltige, d.h. das auf Dauer und auf einen nicht nur geringfügigen Umfang gerichtete Betreiben oder Anbieten von Speicher- und sonstigen 32 33 34
Siehe hierzu S. 211 f. Vgl. BT-Drs. 18/5088, S. 27; BT-Drs. 18/1288, S. 11 f. Vgl. BT-Drs. 18/1288, S. 11 f.
A. Schutz der Datenvertraulichkeit
407
Verarbeitungsdiensten in einem vernetzten Computersystem gegenüber Dritten mit oder ohne Gewinnerzielungsabsicht zu verstehen.35 Der Begriff des „vernetzten Computersystems“ wurde dabei bewusst technikoffen formuliert, um den Tatbestand nicht nur auf das Cloud Computing, sondern auch auf weitere (zukünftige) Formen eines IT-Outsourcings anwenden zu können, bei dem fremde, vernetzte IT-Systeme zur Datenverarbeitung genutzt werden. Anvertraut sind dem Täter die Daten in Anlehnung an die Tatbestandsmerkmale der § 203 Abs. 1 StGB, § 206 Abs. 2 Nr. 1 StGB und § 17 Abs. 1 UWG dann, wenn die Erbringung der IT-Dienstleistung kausal für seine Zugriffsbefugnis auf die Inhaltsdaten ist. In diesem Sinn wurden dem Täter die Daten anvertraut, wenn ihm ein Zugriffsrecht auf die Daten mit der Auflage eingeräumt wurde, diese im Interesse des Dienstleistungsnutzers zu verwalten, zu verarbeiten oder vor unbefugten Zugriffen Dritter zu sichern. Im Hinblick auf das Cloud Computing ist die Strafvorschrift damit zunächst für die Administratoren der Cloud-Anbieter einschlägig, die zur Verwaltung der Datensätze einen privilegierten Zugang zu den Inhaltsdaten haben. Erweitert wird der Täterkreis nach Abs. 2 zudem auf die Beschäftigten des Kunden, die aufgrund ihrer gestatteten Nutzung der ITDienstleistungen ebenfalls Zugang zu den Inhaltsdaten und damit die Möglichkeit zur Vornahme der Tathandlungen nach Abs. 1 haben. Insofern werden als taugliche Täter der Datenuntreue beim Cloud Computing auch die Serviceadministratoren der Cloud-Nutzer erfasst. Da die Datenverfügungsbefugnis des Nutzers eines IT-Outsourcings gegenüber potentiellen Innentätern besonders verletzlich und damit auch schutzwürdig ist, sollten als Tathandlungen der Datenuntreue das sich oder einem anderem Verschaffen, das Verkaufen und das Verbreiten oder sonstige Zugänglichmachen der anvertrauten Daten normiert werden. Unter die erste Tatvariante sollte entsprechend der Begehungsweisen der § 202b StGB und § 202c Abs. 1 Nr. 1 StGB das eigen- oder fremdnützige Verschaffen der tatsächlichen Verfügungsgewalt über die Daten erfasst werden. Ausreichend hierfür ist beispielsweise das Anfertigen von Kopien auf einen eigenen Datenträger des Innentäters oder die Erlangung bzw. Überlassung des Besitzes eines Speichermediums, auf dem sich die fremden Inhaltsdaten befinden. Zur Erfüllung der Handlungsvariante des Verkaufens genügt dagegen der Abschluss eines obligatorischen Kaufvertrags über die anvertrauten Daten mit einem Dritten.36 In Abgrenzung hierzu wird unter einem Verbreiten die Weitergabe der anvertrauten Daten an einen Dritten verstanden werden, um sie dadurch einem größeren Personenkreis zugänglich zu machen. Schließlich sollten unter die Begehungsweise des Zugänglichmachens solche Fälle subsumiert werden, in denen einem Dritten die Möglichkeit des Zugriffs auf die anvertrauten Daten eröffnet wird. Beim Cloud Computing ist dies z.B. bei einer Weitergabe des Benutzerpassworts oder beim Versenden eines Datenlinks der Fall.
35 36
Ausführlich hierzu Altenhain, MK, § 206 StGB, Rn. 15 f. Vgl. hierzu die Ausführungen auf S. 186.
408
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Das Merkmal der Unbefugtheit ist ein allgemeiner Hinweis auf das Fehlen von Rechtfertigungsgründen. Im Zusammenhang mit den Innentäter-Angriffen beim Cloud Computing stellt es insbesondere klar, dass ein strafbares Verhalten des Innentäters nur bei einer fehlenden oder unwirksamen Einwilligung des CloudNutzers vorliegt. Um eine Überkriminalisierung zu vermeiden, sollte der Innentäter die Tat gegen Entgelt oder mit der Absicht begangen haben, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Diese überschießenden Innentendenzen stimmen mit den subjektiven Merkmalen der § 203 Abs. 6 StGB und § 42 Abs. 2 BDSG überein. Entsprechend den dort angestellten Überlegungen ist der subjektive Tatbestand z.B. verwirklicht, wenn der Innentäter die Straftat mit dem zielgerichteten Willen begeht, einen geldwerten bzw. sonstigen Vermögensvorteil zu erlangen oder den guten Ruf des Cloud-Anbieters, des Cloud-Nutzers oder der vom Dateninhalt betroffenen Person zu schädigen.37 Um organisierte und professionalisierte Formen der Kriminalität von Innentätern besser mit den Mitteln des Strafrechts ahnden und bekämpfen zu können, sollte zudem die banden- und gewerbsmäßige Tatbegehung als Regelbeispiele unter Strafe gestellt werden. Dies gilt ebenso für den Fall, dass sich die Tat auf Daten einer großen Zahl von Personen bezieht. Entsprechend den Überlegungen zu § 42 Abs. 1 BDSG ist dies zu bejahen, wenn dieVerfügungsrechte von zehn verschiedenen Dienstleistungsnutzern durch die Tat des Innentäters verletzt werden.38
III. Änderungsbedarf des § 202a StGB Ein gewisser Änderungsbedarf ergibt sich de lege ferenda auch für den Straftatbestand des Ausspähens von Daten gem. § 202a StGB. So sollte zur Auflösung des dogmatischen Widerspruchs, dass bereits die Vorbereitung einer eigenen Straftat i.S.d. § 202c StGB und die Vollendung des § 202a Abs. 1 StGB, aber nicht der in der Straftatphase dazwischenliegende Versuch strafbar ist, in § 202a Abs. 3 StGB-E die versuchte Tatbegehung strafrechtlich erfasst werden.39 Nach der Gesetzesbegründung war zwar auf eine Strafbarkeit des Versuchs verzichtet worden, um eine Überkriminalisierung zu vermeiden und die Anwendbarkeit des Strafrechts auf
37
Ausführlich hierzu S. 249 f. Siehe S. 208 f. 39 Im Ergebnis ebenso Eisele, Schönke/Schröder, § 202a StGB, Rn. 28; ders., Computerstrafrecht, § 8, Rn. 60; Graf, MK, § 202a StGB, Rn. 109; Fischer, § 202a StGB, Rn. 10; Sieber, Gutachten zum 69. Deutschen Juristentag, C 86; Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch, 14. Kap., Rn. 85; Gercke, in: Gercke/Brunst, Internetstrafrecht, Rn. 101; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 115; Hirsnik, Angriff auf das Computersystem, S. 109; Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 253; ders., NJW 2007, 2661 (2662); Schreibbauer/Hessel, K&R 2007, 616 (617). 38
A. Schutz der Datenvertraulichkeit
409
tatsächliche Schäden bzw. Verletzungen des Verfügungsrechts zu beschränken.40 Angesichts des größeren Unrechtsgehalts einer versuchten Tat vermag es jedoch aus spezial- und generalpräventiver Sicht nicht zu überzeugen, weshalb schon das Herstellen und Verschaffen von Malware zur Vorbereitung einer eigenen Tat i.S.d. § 202a Abs. 1 StGB strafbar sein soll, nicht aber das unmittelbare Ansetzen durch den Einsatz der Schadsoftware. Bedeutung erlangt dies etwa dann, wenn die Zugangsverschaffung i.S.d. § 202a Abs. 1 StGB mit einem Hacking-Tool nicht zum Erfolg führt, weil die Daten verschlüsselt sind.41 Gleiches gilt, wenn die eingesetzte Malware von einer Antivirensoftware erkannt wird oder der Brute-Force-Angriff an der Qualität der Datenverschlüsselung scheitert.42 Letztendlich wird damit ein Täter privilegiert, wenn die Tatvollendung durch effektive Sicherheitsmaßnahmen verhindert wird. Dies ist nicht sachgerecht. Ein abschreckender und effektiver, strafrechtlicher Schutz der Datenvertraulichkeit ist vor allem für die Cloud-Nutzer aufgrund der besonderen Verletzlichkeit ihrer Daten und des enormen Schadenspotentials der externen und internen Täter geboten. So könnten durch die vorgeschlagene Versuchsstrafbarkeit vor allem die Mitarbeiter des Cloud-Anbieters mit Zugang zu den physischen Cloud-Servern (so z.B. das Wartungs- oder Reinigungspersonal) wegen eines versuchten Ausspähens von Daten bestraft werden, wenn sie entgegen ihrem Tatentschluss „nur“ verschlüsselte Daten auf ein eigenes Speichermedium kopieren.43 § 202a Abs. 3 StGB-E führt auch nicht zu einem Systembruch mit dem Tatbestand des Vorbereitens des Ausspähens und Abfangens von Daten gem. § 202c StGB, da der Täter beim Versuch seine Tat auf ein individualisiertes Rechtsgut konkretisiert und damit bereits eine konkrete Gefährdung des Rechtsguts bewirkt, wohingegen das Vorfelddelikt aus § 202c StGB die abstrakte Gefährlichkeit in Form der Herstellung, das sich oder einem anderen Verschaffen, das Verkaufen, einem anderen Überlassen, das Verbreiten oder sonstige Zugänglichmachen von Deliktswerkzeugen (Schadsoftware, Passwörter und Sicherungscodes) unter Strafe stellt.44 Schließlich sollte zur effektiven Bekämpfung der organisierten Cyberkriminalität auch die gewerbs- und bandenmäßige Tatbegehung als Qualifikationstatbestand normiert werden.45 Im Ergebnis wird daher vorgeschlagen, § 202a StGB wie folgt zu ändern: § 202a StGB Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zu40
BT-Drs. 10/5088, S. 28. Eisele, Schönke/Schröder, § 202a StGB, Rn. 28; Eisele, Computerstrafrecht, § 8, Rn. 60. 42 Vgl. Ernst, in: Ernst (Hrsg.), Hacker & Computerviren, Rn. 253. 43 Siehe hierzu S. 166 f. 44 Sieber, Gutachten zum 69. Deutschen Juristentag, C 86. 45 Vgl. Sieber, Gutachten zum 69. Deutschen Juristentag, C 87, C 92; Schuh, Computerstrafrecht, S. 244 f.; vgl. auch den Gesetzesentwurf des Bundesrats zur Datenhehlerei, der einen ähnlichen Qualifikationstatbestand vorsah, wobei als subjektive Merkmale noch eine Bereicherungs- und Schädigungsabsicht gefordert wurden; BT-Drs. 17/14362, S. 7. 41
410
Kap. 8: Strafrechtlicher Schutz de lege ferenda
gangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung einer Tat nach Absatz 1 verbunden hat, so ist die Strafe Freiheitstrafe bis zu fünf Jahren. (4) Daten im Sinne der Absätze 1 und 2 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
IV. Änderungsbedarf des § 202b StGB Des Weiteren weist auch der Tatbestand des Abfangens von Daten gewisse Schutzlücken auf. Diese ergeben sich aus dem Umstand, dass § 202b 2. Alt. StGB nur das unbefugte sich oder einem anderen Verschaffen von Daten aus einer elektromagnetischen Abstrahlung erfasst. Auf typische Seitenkanalangriffe beim Cloud Computing, die durch eine Analyse des Systemverhaltens, d.h. einer Messung der vergangenen Rechenzeit (Timing Attack), einer Analyse der genutzten Speicherbereiche oder einer Untersuchung des verschlüsselten Datenstroms unter Berücksichtigung von Quelle, Ziel, Zeitpunkt des Bestehens der Verbindung, Größe und Zeitpunkt der übermittelten Datenpakete und Datenrate (Verkehrsflussanalyse) erfolgen, ist die Strafvorschrift hingegen nicht einschlägig. Zur Gewährleistung eines vollumfassenden Schutzes der Datenvertraulichkeit vor sämtlichen Erscheinungsformen einer Side-Channel-Attacke wäre es daher wünschenswert, den Tatbestand technikneutraler zu formulieren, indem die zweite Tatbestandsalternative mit der „Analyse des Systemverhaltens“ beschrieben wird. Hierdurch wäre die Strafvorschrift nicht nur auf eine unbefugte Datenverschaffung aus einer elektromagnetischen Abstrahlung, sondern auch auf die Seitenkanalangriffe beim Cloud Computing anwendbar. Zugleich wäre sichergestellt, dass der Tatbestand auch zukünftige Varianten solcher Angriffe erfasst. Zusammenfassend wird daher vorgeschlagen, die Strafvorschrift wie folgt zu fassen: § 202b StGB Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2 4) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung durch die Analyse des Systemverhaltens einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
A. Schutz der Datenvertraulichkeit
411
V. Änderungsbedarf des § 202c StGB Von dem Tatbestand des Vorbereitens des Ausspähens und Abfangens von Daten wird weder eine Anleitung zur Herstellung von Angriffswerkzeugen bzw. zur Verschaffung von Passwörtern und Sicherungscodes noch eine Weitergabe von Insiderwissen über Systemschwachstellen, die Dritte zum Auslesen der Nutzerdaten ausnutzen können, erfasst. Zu überlegen ist daher, ob diese Tathandlungen in § 202c StGB aufgenommen werden sollten. Zwar ergibt sich die Strafwürdigkiet solcher Begehungsweisen aus der Schaffung einer abstrakten Gefahr für die Verletzung der Datenvertraulichkeit, allerdings besteht in diesen Fällen keine Strafbarkeitslücke, da eine Bestrafung des Innentäters und Außentäters wegen Beihilfe zu den verwirklichten Straftaten des Dritten nach den §§ 202a f., 303a f. StGB möglich ist. Vor diesem Hintergund besteht kein Bedürfnis, solche Beihilfehandlungen selbstständig in § 202c StGB mit Strafe zu bedrohen.46 In Anbetracht der wachsenden Zunahme des digitalen Handels von Hacker-Tools in der Underground Economy47 sollte aber der Gefährlichkeit der organisierten Cyberkriminalität dadurch Rechnung getragen werden, dass in § 202c StGB ebenfalls banden- und gewerbsmäßige Begehungsweisen als qualifizierte Taten normiert werden.48 Für einen effektiven und abschreckenden, strafrechtlichen Schutz sollte hierbei der Strafrahmen des Qualifikationstatbestands auf eine Höchststrafe von bis zu 3 Jahren festgesetzt werden. Im Ergebnis wird daher vorgeschlagen, die Strafvorschrift wie folgt zu ändern: § 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder, 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung einer Tat nach Absatz 1 verbunden hat, so ist die Strafe Freiheitstrafe bis zu drei Jahren.
46
A.A. Schuh mit dem Argument, dass die selbständige Gehilfenstrafbarkeit in der Praxis zu Beweisschwierigkeiten führt, die durch eine selbstständige Strafbarkeit verhindert werden; Schuh, Computerstrafrecht, S. 246 f. Da nach der ständigen Rechtsprechung ein Gehilfenbeitrag für die Haupttat aber selbst nicht ursächlich sein muss, vielmehr jede tatsächliche Förderung der Handlungen des Haupttäters für eine Gehilfenhandlung ausreichend ist, sind solche Beweisschwierigkeiten in der Praxis allerdings nicht ersichtlich; zur ständigen Rechtsprechung siehe nur BGH NStZ 2017, 465 (467 f.); BGH NStZ-RR 2016, 136 (137); BGH NStZ-RR 2015, 343 (344); BGH NStZ-RR 2009, 311 (312); BGH NStZ 2008, 284 m.w.N. 47 Siehe dazu S. 131 ff. 48 Vgl. BT-Drs. 17/14362, S. 7.
412
Kap. 8: Strafrechtlicher Schutz de lege ferenda
(3) § 149 Abs. 2 und 3 gilt entsprechend.
VI. Änderungsbedarf des § 202d StGB Für den bislang geltenden § 202d StGB ergibt sich ein gewisser inhaltlicher Änderungsbedarf aus dem Fehlen eines Qualifikationstatbstands der banden- und gewerbsmäßigen Datenhehlerei. Angesichts der Zunahme des illegalen Datenhandels ist die Normierung zur Bekämpfung der organisierten Kriminalität auch geboten. Zudem sollte die Datenhehlerhei de lege ferenda in § 202e StGB-E geregelt werden. Durch diese systematische Stellung im StGB wird dem Gesetzesanwender verdeutlicht, dass neben den §§ 202a, 202b StGB auch die strafbare Datenuntreue eines Innentäters i.S.d. § 202d StGB-E taugliche Anknüpfungstat der Datenhehlerei ist. Demzufolge ergibt sich für die Strafvorschrift folgender Änderungsvorschlag: § 202e StGB Datenhehlerei (1) Wer Daten (§ 202a Absatz 2), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe. (3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung einer Tat nach Absatz 1 verbunden hat, so ist die Strafe Freiheitstrafe bis zu fünf Jahren. (4) Die Absätze 1 und 3 gelten nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere 1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie 2. solche beruflichen Handlungen der in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen, ausgewertet oder veröffentlicht werden.
VII. Änderungsbedarf des § 205 StGB Das in § 205 Satz 2 StGB für die Straftaten des Ausspähens und Abfangens von Daten und für die Strafvorschrift der Datenhehlerei normierte Strafantragserfordernis sollte auch für den Straftatbestand der Datenuntreue vorgesehen werden. Zum einen trägt das relative Antragsrecht des durch die Tat verletzten Verfügungsberechtigten dazu bei, Bagatellfälle von der Verfolgungspflicht auszuschließen.49 49
BT-Drs. 10/5058, S. 29.
B. Schutz der Integrität und Verfügbarkeit der Nutzerdaten
413
Zudem muss berücksichtigt werden, dass der Tatbestand der Datenuntreue, ebenso wie die Datenhehlerei und die Strafvorschriften des Ausspähens und Abfangens von Daten, die formelle Verfügungsbefugnis schützt, so dass es auch der Entscheidung des datenverfügungsberechtigten Cloud-Nutzers vorbehalten werden sollte, ob die Verletzung seines persönlichen Lebens- und Geheimbereichs strafrechtlich verfolgt werden soll.50 Dies umso mehr, weil der Geheimnisbruch in einem durchgeführten Strafverfahren vielfach weitere Publizität erfährt.51 Gleichzeitig wird durch die Möglichkeit, einen fehlenden Strafantrag bei Bejahung eines öffentlichen Interesses an der Strafverfolgung sichergestellt, dass eine Datenuntreue von Innentätern, die den öffentlichen Rechtsfrieden erheblich tangiert, strafrechtlich geahndet werden kann. Zudem ist die Beschränkung des Antragserfordernisses vor allem in den Fällen sinnvoll, bei denen Opfer der Straftat des Innentäters die vom Dateninhalt betroffenen Dritten sind, da diese mangels einer formellen Verfügungsbefugnis über die Daten häufig keine Verletzten i.S.d. § 77 Abs. 1 StGB und damit auch nicht antragsberechtigt sind.52 Vor diesem Hintergrund sollte der § 205 StGB wie folgt geändert werden: § 205 StGB Strafantrag (1) In den Fällen des § 201 Abs. 1 und 2 und der §§ 202, 203 und 204 wird die Tat nur auf Antrag verfolgt. Dies gilt auch in den Fällen der §§ 201a, 202a, 202b, und 202d, und § 202e, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. (2) Stirbt der Verletzte, so geht das Antragsrecht nach § 77 Abs. 2 auf die Angehörigen über; dies gilt nicht in den Fällen der §§ 202a, 202b, und 202d, und § 202e. Gehört das Geheimnis nicht zum persönlichen Lebensbereich des Verletzten, so geht das Antragsrecht bei Straftaten nach den §§ 203 und 204 auf die Erben über. Offenbart oder verwertet der Täter in den Fällen der §§ 203 und 204 das Geheimnis nach dem Tod des Betroffenen, so gelten die Sätze 1 und 2 sinngemäß.
B. Schutz der Integrität und Verfügbarkeit der Nutzerdaten Inhaltsdaten werden vor Manipulationen durch Innentäter relativ umfassend unter Strafe gestellt. Dies liegt vor allem daran, dass es für den strafrechtlichen Schutz der Cloud-Nutzer weder auf eine besondere Täterqualität noch auf eine bestimmte Begehungsweise des Innentäters ankommt. So verwirklicht jeder Innentäter den Straftatbestand der Datenveränderung nach § 303a Abs. 1 StGB, wenn er vorsätzlich 50
Graf, MK, § 205 StGB, Rn. 1; Kargl, NK, § 205 StGB, Rn. 2; vgl. auch Schünemann, LK, § 205 StGB, Rn. 1. 51 Kargl, NK, § 205 StGB, Rn. 2; Graf, MK, § 205 StGB, Rn. 1. 52 BT-Drs. 16/3656, S. 12; Graf, MK, § 205 StGB, Rn. 1; a.A. Heger, in: Lackner/Kühl, § 205 StGB, Rn. 2; vgl. hierzu S. 102 f.
414
Kap. 8: Strafrechtlicher Schutz de lege ferenda
fremde Daten ohne oder gegen den Willen des verfügungsberechtigten CloudNutzers löscht, unterdrückt, unbrauchbar macht oder verändert. Ist die Datenverarbeitung in der Cloud für den Nutzer von wesentlicher Bedeutung, erfüllt ein Innentäter bei einer vorsätzlichen Beeinträchtigung der Datenintegrität und Verfügbarkeit der Cloud-Dienste zudem die Strafvorschrift der Computersabotage gem. § 303b StGB. Unter Strafe gestellt wird neben einem Versuch sogar schon die bloße Vorbereitung einer Straftat aus § 303a StGB und § 303b StGB. Hat der InnentäterAngriff beweiserhebliche Daten oder elektronische Nachrichten der Cloud-Nutzer zum Gegenstand, steht die Computersabotage außerdem in Tateinheit mit den Tatbeständen der Urkundenunterdrückung gem. § 274 Abs. 1 Nr. 2 StGB und der Verletzung des Fernmeldegeheimnisses nach § 206 Abs. 2 Nr. 2 StGB.
I. Änderungsbedarf des § 303a StGB Gewisse Schutzlücken ergeben sich aber aus dem Umstand, dass der Tatbestand der Datenveränderung im Gegensatz zur Strafvorschrift der Computersabotage keinen benannten Strafzumessungsgrund für die Fälle der banden- oder gewerbsmäßigen Begehung enthält. Des Weiteren findet sich in § 303a StGB kein Regelbeispiel für den Fall, dass durch den Innentäter-Angriff ein materieller Schaden von besonderem großen Ausmaßes bei einem Cloud-Nutzer eingetreten ist. Zwar wird der Eintritt eines erheblichen Vermögensverlustes im Falle einer Datenunterdrückung nach § 303b Abs. 4 Nr. 1 StGB straferhöhend berücksichtigt, nicht geregelt werden jedoch die Fälle der Löschung, Unbrauchbarmachung oder Veränderung der Inhaltsdaten. Gleichwohl können aber auch solche Tathandlungen enorme Vermögenschäden bei den Cloud-Nutzern zur Folge haben, weshalb es zur Erfassung des erhöhten Erfolgsunrechts geboten ist, einen entsprechenden Erschwerungsgrund in § 303a StGB zu normieren. In Anlehnung an das Regelbeispiel des § 303b Abs. 4 Nr. 1 StGB bietet es sich hierbei an, die Grenze für das Vorliegen des „großen Ausmaßes“ des Vermögensverlustes ebenfalls bei 50.000 E anzusetzen.53 Wünschenswert wäre es zudem, wenn auch eine erhebliche Verletzung des Interesses der Privatnutzer an der Integrität und Verfügbarkeit ihrer gespeicherten und übermittelten Daten strafrechtlich berücksichtigt wird.54 Dies könnte durch ein benanntes Regelbeispiel erreicht werden, dessen Indizwirkung vorliegt, wenn durch die Straftat des Innentäters die Datenverfügungsbefugnis einer großen Zahl von Privatnutzern verletzt werden. Wie bereits im Rahmen des § 42 Abs. 1 BDSG ausgeführt wurde, ist hierbei für die Mindestanzahl der betroffenen Personen beim Cloud Computing auf
53 Zur Schadensgrenze siehe nur Hoyer, SK-StGB, § 303b, Rn. 22; Wolff, LK, § 303b StGB, Rn. 35. 54 In diese Richtung auch Sieber, der ebenfalls eine erhebliche Schädigung von Persönlichkeitsrechten straferhöhend berücksichtigen will; Sieber, Gutachten zum 69. Deutschen Juristentag, C 89.
B. Schutz der Integrität und Verfügbarkeit der Nutzerdaten
415
die Zahl von zehn verfügungsberechtigten Cloud-Nutzern abzustellen.55 Um dem erhöhten Erfolgsunrecht des § 303b StGB Rechnung zu tragen, sollte der Strafrahmen des Regelbeispiels auf bis zu drei Jahren Freiheitsstrafe festgelegt werden. Schließlich sollte in der Gesetzesfassung auch klargestellt werden, dass es sich bei dem Tatobjekt um fremde Daten handeln muss hinsichtlich derer der Innentäter nicht oder nicht allein verfügungsbefugt ist.56 Zusammenfassend wäre es wünschenswert, den § 303a StGB wie folgt zu ändern: § 303a StGB Datenveränderung (1) Wer rechtswidrig fremde Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) In besonders schweren Fällen des Absatzes 1 ist die Strafe Freiheitsstrafe bis zu drei Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. Daten einer großen Zahl von Personen löscht, unterdrückt, unbrauchbar macht oder verändert, 3. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Straftaten nach dem Absatz 1 verbunden hat. (4) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.
II. Änderungsbedarf des § 303b StGB Im Hinblick auf den Tatbestand der Computersabotage gem. § 303b StGB wäre es zu begrüßen, wenn die benannten Strafzumessungsgründe des § 303b Abs. 4 StGB nicht nur auf cloudnutzende Unternehmen und Behörden, sondern auch auf Privatnutzer anwendbar wären.57 Anhaltspunkte, die dafür sprechen, ihr Schutzbedürfnis niedriger anzusetzen als jenes der cloudnutzenden Unternehmen und Behörden sind dabei nicht ersichtlich. Zumal aufgrund des Umstands, dass die meisten Opfer eines Innentäter-Angriffs Privatnutzer sind, durch eine umfassende Anwendung des § 303b Abs. 4 StGB auf das Cloud Computing erreicht werden könnte, dass Angriffsformen der organisierten Kriminalität mit den Mitteln des Strafrechts noch effektiver bekämpft werden könnten. Um auch die Fallkonstellation des Cloud War und der DDOS-Angriffe, die unter Verwendung privater IT-Systeme durchgeführt werden, besser strafrechtlich ahnden zu können, sollte das Regelbeispiel zudem durch das Merkmal der Beeinträchtigung einer großen Anzahl von Datenverarbeitungsvorgängen informatorischer Systeme ergänzt werden. Entsprechend den Erwägungen zu § 303a StGB ist das Merkmal bei einer herbeigeführten erheblichen 55
Siehe S. 308 f. Ebenso Schuh, Computerstrafrecht, S. 248. 57 Ebenfalls für eine Ausweitung des § 303b Abs. 4 StGB auf Privatpersonen Schuh, Computerstrafrecht, S. 248. 56
416
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Störung von 10 IT-Systemen, die jeweils im Eigentum von verschiedenen Personen stehen, zu bejahen. Da das Regelbeispiel auch Fälle des Cyberterrorismus und des Cyberwar erfasst, sollte ferner die bisher in § 303b StGB angedrohte Freiheitsstrafe von drei Monaten bis zu zehn Jahren beibehalten werden.58 Im Ergebnis ergibt sich daher folgender Vorschlag für eine Änderung des § 303b StGB: § 303b Computersabotage (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 4. einen Vermögensverlust großen Ausmaßes herbeiführt, 5. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 6. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. 7. durch die Tat eine große Anzahl von Datenverarbeitungsvorgängen informatorischer Systeme beeinträchtigt, (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.
C. Strafanwendungsrecht Die globale Struktur der Cloud-Dienste hat zur Folge, dass Innentäter und auch Außentäter (die freilich nicht Thema dieser Arbeit sind) die Vertraulichkeit, Verfügbarkeit und Integrität der Inhaltsdaten von überall aus der Welt verletzen können. Bei Außentätern ist bekannt, dass ca. 61 % der Cyberattacken von Osteuropa, China 58 Aus den gleichen Gründen hält auch Sieber den angedrohten Strafrahmen für angemessen; Sieber, Gutachten zum 69. Deutschen Juristentag, C 89.
C. Strafanwendungsrecht
417
und Russland ausgehen.59 Nach § 9 StGB findet, wie oben gezeigt,60 das deutsche Strafrecht nur Anwendung, wenn Innentäter fremde Nutzerdaten von Deutschland aus ausspähen, verändern, löschen oder unterdrücken oder wenn sich ihre Straftat gegen fremde Inhaltsdaten richtet, die auf einer inländischen Cloud-Infrastruktur gespeichert sind. Das Gleiche gilt, wenn der Innentäter ein internationales CloudSystem mithilfe von deutschen Cloud-Servern angreift.61 Verletzt er dagegen außerhalb des Geltungsbereichs der Bundesrepublik Deutschland die Vertraulichkeit, Integrität und Verfügbarkeit fremder Inhaltsdaten, die auf einer international verteilten Serverfarm eines oder mehrerer Cloud-Anbieter verarbeitet werden, ist das deutsche Strafrecht de lege lata, wie oben bereits aufgezeigt wurde,62 nur unter den Voraussetzungen des § 5 Nr. 7 StGB oder der § 7 Abs. 1, Abs. 2 Nr. 1 StGB anwendbar. Ob der Innentäter oder der betroffene CloudNutzer deutscher Staatsangehöriger ist und die Tat auch nach dem Recht des Begehungsortes strafbar ist (§ 7 Abs. 1, Abs. 2 Nr. 1 StGB), kann sehr vom Zufall abhängen. So mag zwar eine identische Tatortnorm bei Angriffen von internen und externen Tätern aus den USA bestehen,63 nicht jedoch bei vielen anderen Ländern, von denen ebenfalls aus die Vertraulichkeit, Verfügbarkeit und Integrität der Inhaltsdaten verletzt wird. Besonders für natürliche Personen im Inland, die ausländische Cloud-Dienste daheim – wie eine Festplatte - zur Verarbeitung oder Speicherung ihrer Daten und elektronischen Nachrichten nutzen, ist dieses Ergebnis aber in höchstem Maße unbefriedigend. Schließlich kann sich der Täter der deutschen Strafgewalt dadurch entziehen, dass er die Inhaltsdaten, die sich auf einem ausländischen Cloud-Server befinden, aus einem Land angreift, in dem seine Tathandlung straflos ist. Außenangriffe erfolgen ja gerade aus diesen Ländern. Um aber der Gefahr einer Bildung von „Strafbarkeitsoasen“ zumindest für Innentäter zu begegnen und für einen angemessenen strafrechtlichen Schutz von deutschen CloudNutzern bei der Inanspruchnahme von ausländischen Cloud-Diensten, wie Dropbox, Google Drive und Amazon Cloud Drive, deren Cloud-Server sich außerhalb der Landesgrenzen von Deutschland befinden, zu gewährleisten, sollte de lege ferenda das in § 5 StGB normierte Schutzprinzip in Anlehnung an das Marktortprinzip gem. Art. 3 Abs. 2 lit. a DSGVO, § 1 Abs. 4 Nr. 3. BDSG auf natürliche Personen ausgeweitet werden. Da die Staatsbürgerschaft des Nutzers auch eher von Zufällen abhängt, sollten ähnlich wie bei § 5 Nr. 9, 9a StGB alle Nutzer geschützt werden, die ihren Wohnsitz oder gewöhnlichen Aufenthalt zum Zeitpunkt des Innentäter-An59 BITKOM, Pressemeldung vom 21. 07. 2017 „Spionage, Sabotage, Datendiebstahl: Deutscher Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro“; abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Spionage-Sabotage-Datendiebstahl-Deut scher-Wirtschaft-entsteht-jaehrlich-ein-Schaden-von-55-Milliarden-Euro.html (zuletzt aufgerufen am 01. 02. 2018). 60 S. 372 f. und S. 381 f. 61 Dazu S. 391 f. 62 Siehe hierzu S. 388 f. 63 S. 377 f.
418
Kap. 8: Strafrechtlicher Schutz de lege ferenda
griffs auf die Vertraulichkeit, Integrität und Verfügbarkeit der Inhaltsdaten im Inland haben. Hierdurch wäre vor allem das Problem, dass sich beim Cloud Computing der Speicherort der Inhaltsdaten nicht lokalisieren lässt, hinfällig. Damit wäre es auch für die nationalen Strafverfolgungsbehörden trotz Nutzung einer international verteilten Cloud-Infrastruktur leichter, die Anwendbarkeit des deutschen Strafrechts zu bestimmen. Dieser Ansatz ist auch völkerrechtlich nicht zu beanstanden. Zwar darf kein Staat auf dem Gebiet eines anderen Staates ohne dessen Zustimmung Hoheitsakte setzen, weshalb sowohl die Durchführung eines gerichtlichen Verfahrens als auch die Verhängung und Vollstreckung einer Strafe auf dem Territorium eines anderen Staates als Verletzung fremder Gebietshoheit grundsätzlich unzulässig ist.64 Nicht ausgeschlossen von diesem völkerrechtlichen Interventionsverbot wird allerdings die Befugnis der nationalen Gesetzgeber, Sachverhalte mit einem Auslandsbezug zu regeln und der eigenen Gerichtsbarkeit zu unterwerfen.65 Insoweit hat bereits der StIGH in der sog. „Lotus-Entscheidung“ vom 07. 09. 1927 66 die bis heute gültige Feststellung getroffen, dass ein Staat auch Vorgänge außerhalb seines Territoriums strafrechtlich erfassen kann, sofern ein „sinnvoller Anknüpfungspunkt“ zum eigenen Hoheitsgebiet besteht.67 Ein solcher territorialer Bezug zum Inland besteht jedenfalls dann, wenn der Innentäter zum Zeitpunkt der Tat Deutscher ist oder sich seine Tat gegen eine Person richtet, die ihren Wohnsitz oder gewöhnlichen Aufenthalt in Deutschland hat68 und die vom Innentäter kompromittierte Datenverarbeitung in Zusammenhang damit steht, den Tatopfern im Inland entgeltliche oder unentgeltliche IT-Dienstleistungen anzubieten.69 Zusammenfassend wird daher vorgeschlagen, den § 5 StGB wie folgt zu ergänzen: 64
Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 12; Werle/Jeßberger, LK, Vorb. 3 ff. StGB, Rn. 22. Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 9; Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 12; Hilgendorf, NJW 1997, 1873 (1873); Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 7 StGB, Rn. 11. 66 PCIJ Ser. A Nr. 10; deutsche Übersetzung in StIGHE 5, 71 ff. (nichtamtlich), ausführlich zur Entscheidung siehe nur Papathanasiou, jM 2018, 80 (80 ff.). 67 Statt vieler Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 12; Werle/Jeßberger, LK, Vorb. 3 ff. StGB, Rn. 21; Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 7 StGB, Rn. 11; Hilgendorf, NJW 1997, 1873 (1873); vgl. auch PCIJ Series A No. 10, Rn. 46, 50: „Far from laying down a general prohibition to the effect that States may not extend the application of their laws and the jurisdiction of their courts to persons, property and acts outside their territory, it leaves them in this respect a wide measure of discretion, which is only limited in certain cases by prohibitive rules … The territoriality of criminal law, therefore, is not an absolute principle of international law and by no means coincides with territorial sovereignty. …“ 68 Werle/Jeßberger, LK, § 9 StGB, Rn. 102; Breuer, MMR 1998, 141 (144); siehe dazu auch die Ausführungen auf S. 385 f. 69 Vgl. PCIJ Series A No. 10, Rn. 57, 60: „International law does not allow a State to take proceedings with regard to offences committed by foreigners abroad, simply by reason of the nationality of the victim …On the contrary, it is certain that the courts of many countries, even of countries which have given their criminal legislation a strictly territorial character, interpret criminal law in the sense that offences, the authors of which at the moment of commission are in the territory of another State, are nevertheless to be regarded as having been committed in the 65
C. Strafanwendungsrecht
419
§ 5 Auslandstaten mit besonderem Inlandsbezug Das deutsche Strafrecht gilt, unabhängig vom Recht des Tatorts, für folgende Taten, die im Ausland begangen werden: … 7a. Straftaten nach den §§ 202a bis 204 und § 206 sowie nach den §§ 274 Abs. 1 Nr. 2, Abs. 2, 303a, 303b und § 42 BDSG, wenn der Täter zur Zeit der Tat Deutscher ist oder wenn sich die Tat gegen eine Person richtet, die zur Zeit der Tat ihren Wohnsitz oder gewöhnlichen Aufenthalt in Deutschland hat, sofern sich die Tat auf eine Datenverarbeitung bezieht, die in Zusammenhang damit steht, den betroffenen Personen im Inland Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von den betroffenen Personen eine Zahlung zu leisten ist; …
Voraussetzung für die Anwendbarkeit des deutschen Strafrechts ist zunächst, dass unter Anknüpfung an das passive Personalitäts- und Domizilprinzip70 ein besonderer personaler Bezug des Täters oder Opfers zum Inland besteht. Insofern muss entweder der externe oder interne Täter Deutscher i.S.d. Art. 116 Abs. 1 GG sein71 oder sich seine Auslandstat (zumindest auch) gegen eine Person richten, die ihren Wohnsitz oder gewöhnlichen Aufenthalt in Deutschland hat. Der Wohnsitz meint hierbei denjenigen Ort, an dem das Tatopfer zum Zeitpunkt der Tat ordnungsrechtlich gemeldet ist, gleich ob als Haupt- oder Nebenwohnsitz.72 Für den gewöhnlichen Aufenthalt kommt es demgegenüber auf die tatsächliche und nicht nur vorübergehende Nutzung einer Wohnung im Inland an.73 Sind die im Inland ansässigen, bestimmten oder bestimmbaren natürlichen Personen Inhaber der verletzten oder gefährdeten Individualrechtsgüter, ist der grenzüberschreitende Angriff auch gegen sie gerichtet.74 Um eine ubiquitäre Geltung des deutschen Strafrechts zu vermeiden, sollte in Anlehnung an das Marktortprinzip gem. Art. 3 Abs. 2 lit. a DSGVO, § 1 Abs. 4 Nr. 3. BDSG als weiteres Kriterium für einen hinreichenden Inlandsbezug zudem vorgesehen werden, dass sich die Tat auf eine Datenverarbeitung bezieht, die in Zusammenhang damit steht, den Tatopfern im Inland entgeltliche oder unentgeltliche
national territory, if one of the constituent elements of the offence, and more especially its effects, have taken place there“. 70 Zur völkerrechtlichen Anerkennung des Domizilprinzips, das aus dem Personalitätsprinzip abgeleitet wird siehe nur Eser/Weißer, Schönke/Schröder, Vor. §§ 3 ff. StGB, Rn. 28; Böse, NK, Vorb. §§ 3 ff. StGB, Rn. 18. 71 Hierzu S. 375 f. 72 Siehe nur Böse, NK, § 5 StGB, Rn. 5; Eser/Weißer, Schönke/Schröder, § 5 StGB, Rn. 5; Satzger, Satzger/Schluckebier/Widmaier, § 5 StGB, Rn. 12. 73 Statt vieler Werle/Jeßberger, LK, § 5 StGB, Rn. 20; Böse, NK, § 5 StGB, Rn. 5. 74 Vgl. Eser/Weißer, Schönke/Schröder, § 7 StGB, Rn. 11, Fischer, § 7 StGB, Rn. 6; Böse, NK, § 7 StGB, Rn. 5.
420
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Waren oder Dienstleistungen anzubieten.75 Wie bereits gezeigt wurde,76 fallen hierunter im Besonderen Cloud-Dienstleistungen, die in deutscher Sprache oder unter Verwendung einer deutschen Top Level Domain zur Nutzung bereitgestellt werden. Aufgrund der wachsenden Bedeutung des Online-Shoppings77 und den damit verbundenen Gefahren für die Vertraulichkeit von gespeicherten und verarbeiteten Kunden-, Bank- und Kreditkarteninformationen durch Innentäter und Cyberkriminelle sollte die nationale Strafgewalt außerdem auf den E-Commerce erstreckt werden. Infolgedessen sollte sich das inlandsbezogene Produktangebot i.S.d. § 5 Nr. 7a StGB-E nicht nur auf IT-Dienstleistungen, sondern auch auf „Waren“ beziehen.
D. Internationale Strafverfolgung Aufgrund des transnationalen Charakters der Innentäter-Angriffe sind beim Cloud Computing neben den bereits erörterten Divergenzkonflikten78 auch konkurrierende Mehrfachzuständigkeiten in den nicht seltenen Fällen denkbar, bei denen auf eine Tat neben dem deutschen Strafrecht auch die Strafrechtsordnungen anderer Staaten anwendbar sind. Hieraus können zum einen positive Kompetenzkonflikte entstehen, bei denen mehrere Staaten zur Verfolgung derselben Straftat des Innentäters zuständig sind.79 Anders als im Internationalen Privatrecht wird in solchen Fällen die eine Strafrechtsordnung auch nicht durch die andere verdrängt, was letztendlich auch zu einer Doppelbestrafung des Innentäters führen kann, da der Grundsatz ne-bis-in-dem außerhalb der EU keine transnationale Anerkennung genießt.80 Zum anderen wird in der Rechtspraxis auch von dem kontra-produktiven
75 Vgl. auch die kennzeichenrechtliche Entscheidung des BGH vom 13. 10. 2004 – I ZR 163/02, in der festgestellt wurde, dass zur Vermeidung einer ubiquitären Geltung des deutschen Markenrechts eine bestimmungsgemäße Ausrichtung auf die inländischen Verkehrskreise erforderlich ist; BGH MMR 2005, 239 (241). 76 S. 287 f. 77 Allein im Jahr 2017 haben – 55 Millionen Bundesbürger im Internet Kleider, Schuhe, Lebensmittel, Medikamente etc. eingekauft, wobei mehr als die Hälfte der Käufer für die Bezahlung Kreditkarten- und Bankinformationen preisgaben; siehe hierzu BITKOM, Shopping Digital, S. 2, 23. 78 Dazu S. 397. 79 Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 61; Eicker, StV 2005, 631 (632). 80 Auf europäischer Ebene wird das Doppelbestrafungsverbot durch Art. 50 EU-Grundrechte-Charta und Art. 54 SDÜ anerkannt; Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 35. Eine erneute Verurteilung stellt insbesondere auch kein Verstoß gegen Art. 103 Abs. 3 GG dar, weil dieser nur eine doppelte Verurteilung des Innentäters in derselben Sache durch deutsche Gerichte entgegensteht; siehe hierzu BVerfGE 6, 176 (177); BGH NStZ 1998, 149 (150). Anwendung findet dann allerdings § 51 Abs. 3 StGB.
D. Internationale Strafverfolgung
421
Ergebnis eines negativen Kompetenzkonflikts berichtet, bei dem kein Staat von seiner Strafgewalt Gebrauch machen will.81 Etwas entschärft werden diese Jurisdiktionskonflikte durch die Cybercrime Konvention des Europarates vom 23. 11. 2001.82 Neben einer Harmonisierung von Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computerdaten und -systemen in den Art. 2 bis 6 sieht die Konvention in Art. 22 Abs. 5 bei Mehrfachzuständigkeiten der Unterzeichnerstaaten83 ein Konsultationsverfahren vor, um die „geeignetste Gerichtsbarkeit zu bestimmen“. In diesem Zusammenhang ist auch der EU-Rahmenbeschluss 2009/948/JI des Europäischen Rates vom 15. 12. 200984 zur Vermeidung und Beilegung von Kompetenzkonflikten in Strafsachen zu nennen, der für alle Deliktsbereiche eine Mitteilungs- und Informationspflicht sowie eine Koordinierung der nationalen Strafjustizsysteme über Eurojust vorsieht. Die Effektivität dieser Konfliktlösungsmechanismen wird allerdings dadurch beeinträchtigt, dass keine Einigungspflicht besteht, so dass ein Mitgliedstaat nicht dazu gezwungen werden kann, seine Strafverfolgungszuständigkeit gegen seinen Willen abzutreten oder auszuüben.85 Vor diesem Hintergrund sind auch die europäischen Vorgaben nicht vollends geeignet, positive und negative Kompetenzkonflikte zu verhindern.86 Im Schrifttum wird daher zur Regelung der Jurisdiktionskonflikte eine Hierarchisierung der völkerrechtlich anerkannten Anknüpfungsprinzipien vorgeschlagen.87 Ob sich dem Völkerrecht bisher eine verbindliche Rangfolge der Anknüpfungspunkte entnehmen lässt, ist zweifelhaft.88 Letztendlich lassen sich diese transnationalen Herausforderungen nur dann wirksam bewältigen, wenn die materiellen Strafrechtsordnungen in der Form eines Katalogs von strafrechtlichen Mindestvorschriften, unter Berücksichtigung des Tatbestands der Datenuntreue i.S.d. § 202d StGB-E, weiter auf der völkerrechtlichen Ebene harmonisiert werden und internationale Abkommen über die Wahrnehmung der staatlichen Verfolgungszuständigkeiten inklusive ihrer verbindlichen Koordinierung durch eine unabhängige Instanz vereinbart werden.89 81 Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 61; Brodowski, in: Lange/Bötticher (Hrsg.), CyberSicherheit, S. 259; Eisele, ZStW 2013, 1 (2 f.). 82 ETS-Nr. 185. 83 Eine Auflistung der unterzeichneten Staaten findet sich unter https://www.coe.int/de/ web/conventions/full-list/-/conventions/treaty/185/signatures?p_auth=KY6BI6BJ (zuletzt aufgerufen am 01. 02. 2018). 84 Abl. L 328/42. 85 Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 62; Eisele, ZStW 2013, 1 (18). 86 Weitergehend hierzu Eisele, ZStW 2013, 1 (18). 87 Ausführlich hierzu Paramonova, Internationales Strafrecht, S. 69 f.; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 63 ff.; ders., Internationales Strafrecht, § 4, Rn. 10 f. 88 Kritisch hierzu Eser/Weißer, Schönke/Schröder, Vor. §§ 3 – 9 StGB, Rn. 37; Werle/Jeßberger, Vorb. §§ 3 ff. StGB, Rn. 47; Walther, in: FS Eser, S. 926 f.; Beken/Vermeulen/Lagodny, NStZ 2002, 624 (625). 89 Ebenso Böse, NK, § 9 StGB, Rn. 15; Ambos, MK, Vorb. §§ 3 – 7 StGB, Rn. 61; Schuster, Verwertbarkeit, S. 278; Hilgendorf, ZStW 2001, 650 (677); Sieber, Gutachten zum 69. Deut-
422
Kap. 8: Strafrechtlicher Schutz de lege ferenda
Noch nicht gelöst sind zudem die praktischen Probleme deutscher Ermittlungsbehörden bei der Verfolgung von Innentäter-Angriffen, die sich gegen eine außerhalb der deutschen Landesgrenzen belegene Cloud-Infrastruktur richten.90 Diese resultieren vor allem daraus, dass im Rahmen des Art. 32 lit. b der Cybercrime-Konvention, der einen grenzüberschreitenden Zugriff einer „Vertragspartei“ auch „ohne die Genehmigung einer anderen Vertragspartei“ gestattet, wenn der Verfolgerstaat „die rechtmäßige und freiwillige Zustimmung der Person“ eingeholt hat, die „rechtmäßig befugt ist, diese Daten mittels dieses Computersystems an sie weiterzugeben“, umstritten ist, ob eine Zustimmung des zugangsberechtigten Cloud-Anbieters oder Cloud-Nutzers zum Zugriff auf die elektronischen Beweismittel in der Cloud die Souveräntiätsverletzung des betroffenen Staates beseitigen kann.91 Dies veranlasste die bisherige Praxis,92 selbst bei einer freiwilligen Preisgabe der beweiserheblichen Daten, den förmlichen Rechtshilfeweg zu beschreiten, der sich allerdings angesichts der langen Dauer, der Ressourcenintensität und Komplexität der Verfahren sowie der fehlenden Transparenz und Flüchtigkeit der beweiserheblichen Daten als wenig effizient erwiesen hat.93 Aus diesem Grund ist es zu begrüßen, dass auf europäischer Ebene bis Ende 2019 ein zweites Zusatzprotokoll zur Cybercrime-Konvention erarbeitet werden soll, in dem beabsichtigt ist, nationale Ermittlungsbehörden zu ermächtigen, beweiserhebliche Daten direkt beim CloudAnbieter zu beschlagnahmen.94 Darüber hinaus wäre es für eine wirksame und abschen Juristentag, C 142 f.; ders., NJW 1999, 2065 (2073); kritisch hierzu Vec, NJW 2002, 1535 (1539). 90 Ausführlich zu den Ermittlungsmöglichkeiten der deutschen Strafverfolgungsbehörden beim Cloud Computing Wicker, Cloud Computing, S. 383 ff.; Dalby, Strafverfolgung in der Cloud, S. 183 ff.; Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services, S. 301 ff. 91 Stellvertretend zur ablehnenden Auffassung Sieber, Gutachten zum 69. Deutschen Juristentag, C 145; zur bejahenden Ansicht Brodowski/Eisenmenger, ZD 2014, 119 (123). 92 Ausführlich zur bisherigen Rechtspraxis und der Verwertbarkeit beweiserheblicher Daten im Strafprozess Warken, NZWiSt 2017, 329 (329 ff.); dies., NZWiSt 2017, 417 (417 ff.). 93 Europäische Kommission, Non-paper: Progress Report following the Conclusions of the Council of the European Union on Improving Criminal Justice in Cyberspace, 7. 12. 2016, ST 15072/1/16, S. 11 f.; Gercke, CR 2010, 345 (347 f.); vgl. auch Warken, NZWiSt 2017, 289 (297 f.). 94 Siehe hierzu die Aufgabenbeschreibung für die Erstellung eines Entwurfs eines zweiten Zusatzprotokolls zum Budapester Übereinkommen über Computerkriminalität, T-CY (2017)3; zu den einzelnen Vorschlägen des Vertragskomittees der Cybercrime-Konvention des Europarates siehe https://www.coe.int/en/web/cybercrime/ceg (zuletzt aufgerufen am 01. 02. 2018); zu den bisherigen supranationalen Lösungswegen siehe auch Warken, NZWiSt 2017, 449 (453 ff.). Für die USA hat der Kongress dagegen bereits am 23. 03. 2018 den sog. „Cloud Act“ (Clarifying Lawful Overseas Use of Data Act) verabschiedet. Das Gesetz verpflichtet CloudAnbieter, die in den USA ansässig sind, beweiserhebliche Daten an US-Ermittler auch dann herauszugeben, wenn diese auf ausländischen Cloud-Servern gespeichert sind. Dafür können bilaterale Abkommen geschlossen werden, welche nicht nur amerikanischen Ermittlungsbehörden innerhalb des vereinbarten Rahmens die Möglichkeit gibt, Zugriff auf dort liegende Daten zu nehmen, sondern auch umgekehrt den Behörden dieses Staates gestattet, die Herausgabe von beweiserheblichen Daten, die auf amerikanischen Cloud-Servern gespeichert sind,
D. Internationale Strafverfolgung
423
schreckende Kriminaltätsbekämpfung im Internet wünschenswert, wenn forensische Standards entwickelt und die vorhandenen Budget- und Humanressourcen des bei Europol angesiedelten Europäischen Zentrums zur Bekämpfung der Cyberkriminalität verstärkt sowie die freiwillige Zusammenarbeit mit ausländischen CloudAnbietern95 ausgebaut werden würden.96 Korrespondierend hierzu sollten zudem auf nationaler Ebene die Bildung von Sonderreferaten bei den Staatsanwaltschaften und Polizeibehörden weiter gefördert und diese mit ausreichenden personellen und sachlichen Mitteln ausgestattet werden, um eine effektive strafrechtliche Ahndung und Verfolgung der Innentäter-Angriffe auch im Rahmen der deutschen Strafrechtspflege zu gewährleisten.
direkt von den Cloud-Anbietern zu verlangen; ausführlich zum Cloud Act Lejeune, ITRB 2018, 118 (118 ff.). 95 Z.B. hat Europol im Jahr 2017 das Portal SIRIUS eingerichtet (Ratsdok. 9554/17), um „Online-Ermittlungen“ zu erleichtern und eine direkte Kommunikation zwischen den zuständigen Ermittlungsbehörden und den Cloud-Anbietern zu ermöglichen; BT-Drs. 18/13310, S. 1. 96 Ebenso der Vorschlag des deutschen Bundesrats, BR-Drs. 654/17, S. 18.
Literaturverzeichnis Abbadi, Imad M., Cloud Management and Security, Chichester 2014. Ablon, Lillian/Libicki, Martin C./Golay, Andrea A., Markets for Cybercrime Tools and Stolen Data – Hackers’ Bazaar, abrufbar unter: http://www.rand.org/pubs/research_reports/RR610. html. Achenbach, Hans/Ransiek, Andreas/Rönnau, Thomas (Hrsg.), Handbuch Wirtschaftsstrafrecht, 4. Auflage, Heidelberg 2015 (zitiert als: Bearbeiter, in: Achenbach/Ransiek/Rönnau (Hrsg.), Wirtschaftsstrafrecht). Adelsberger, Heimo/Drechsler, Andreas, Ausgewählte Aspekte des Cloud Computing aus einer IT-Management-Perspektive – Cloud Governance, Cloud Security und Einsatz von Cloud Computing in jungen Unternehmen, ICB-Research Report No. 41, December 2010. Alawneh, Muntaha/Abbadi, Imad M., Defining and Analyzing Insiders and their Threats in Organizations, in: Wang, Guojun (Hrsg.), IEEE 10th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), 2011 – Changsha, China, 16 – 18 November 2011, Conferences, Symposiums and Workshops, Piscataway, New Jersey 2012, S. 785 – 794. Albrecht, Jan Philipp, Das neue EU-Datenschutzrecht: von der Richtline zur Verordnung – Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung der EU nach der Einigung im Trilog, in: CR 2016, S. 88 – 98. Albrecht, Jan Philipp/Jotzo, Florian, Das neue Datenschutzrecht der EU – Grundlagen, Gesetzgebungsverfahren, Synopse, Baden-Baden 2017. Alkassar, Ammar/Gröne, Michael/Schirmer, Norbert, Secure Partitioning of Application Logic in a Trustworthy Cloud, in: Reimer, Helmut/Pohlmann, Norbert/Schneider, Wolfgang S. (Hrsg.), ISSE 2015 – Highlights of the Information Security Solutions Europe 2015 Conference, 1st edition, Wiesbaden 2015, S. 87 – 97. Ambos, Kai, Internationales Strafrecht – Strafanwendungsrecht, Völkerstrafrecht, Europäisches Strafrecht, Rechtshilfe, 5. Auflage, München 2018. Anderson, Robert H./Brackney, Richard, Understanding the Insider Threat – Proceedings of a March 2004 Workshop, Santa Monica 2004, abrufbar unter: https://www.rand.org/content/ dam/rand/pubs/conf_proceedings/2005/RAND_CF196.pdf. Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Orientierungshilfe – Cloud Computing, Version 2.0 vom 09. 10. 2014, abrufbar unter: https:// www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf. Ardelt, Mathias/Dölitzscher, Frank/Knahl, Martin/Reich, Christoph, Sicherheitsprobleme für IT-Outsourcing durch Cloud Computing, in: HMD (48) 2011, S. 62 – 70.
Literaturverzeichnis
425
Arkenau, Judith/Wübbelmann, Judith, Eigentum und Rechte an Daten – Wem gehören die Daten?, in: Taeger, Jürgen (Hrsg.), Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Edewecht 2015, S. 95 – 109. Armbrust, Michael/Fox, Armando/Griffith, Rean/Joseph, Anthony D./Katz, Randy H./Konwinski, Andy/Lee, Gunho/Patterson, David/Rabkin, Ariel/Stoica, Ion/Zaharia, Matei, Above the Clouds: A Berkeley View of Cloud Computing, abrufbar unter: https://www2.eecs.berke ley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf. Arndt, Hans-Wolfgang/Fetzer, Thomas/Scherer, Joachim (Hrsg.), Telekommunikationsgesetz, Kommentar, 2. Auflage, Berlin 2015 (zitiert als: Bearbeiter, in: Arndt/Fetzer/Scherer/ Graulich (Hrsg.), TKG). Arning, Marian/Moos, Flemming/Becker, Maximilian, Vertragliche Absicherung von Bring Your Own Device – Was in einer Nutzungsvereinbarung zu BYOD mindestens enthalten sein sollte, in: CR 2012, S. 592 – 598. Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136, abrufbar unter: https://www.lda.bayern.de/media/wp136_de.pdf (zitiert als: Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007). – Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 vom 16. 02. 2010, in englischer Fassung abrufbar unter: http://collections.internetmemory.org/haeu/20171122154227/http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf (zitiert als: Artikel-29-Datenschutzgruppe, Stellungnahme 1/2010). – Stellungnahme 8/2010 zum anwendbaren Recht, WP 179 vom 16. 12. 2010, abrufbar unter: https://www.lda.bayern.de/media/wp179_de.pdf (zitiert als: Artikel-29-Datenschutzgruppe, Stellungnahme 8/2010). – Stellungnahme 05/2012 zum Cloud Computing, abrufbar unter: https://www.lda.bayern.de/ media/wp196_de.pdf (zitiert als: Artikel-29-Datenschutzgruppe, Stellungnahme 05/2012). – Stellungnahme 05/2014 zu Anonymisierungstechniken, WP 216 vom 10. 04. 2014, in englischer Fassung abrufbar unter: http://collections.internetmemory.org/haeu/20171122154227/ http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendati on/files/2014/wp216_en.pdf (zitiert als: Artikel-29-Datenschutzgruppe, Stellungnahme 05/ 2014). – Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters, WP 244 vom 05. 04. 2017, abrufbar unter: https://www.daten schutz.rlp.de/fileadmin/lfdi/Dokumente/wp244rev01_de.pdf (zitiert als: Artikel-29-Datenschutzgruppe, WP 244). – Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung 2016/679, WP 253 vom 03. 10. 2017, abrufbar unter: https://www.datenschutz.rlp. de/filead min/lfdi/Dokumente/Orientierungshilfen/wp253_de.pdf (zitiert als: Artikel-29-Datenschutzgruppe, WP 253). Auer-Reinsdorff, Astrid/Conrad, Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Auflage, München 2016 (zitiert als: Bearbeiter, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch).
426
Literaturverzeichnis
Aviram, Amittai/Hu, Sen/Ford, Bryan/Gummadi, Ramakrishna, Determinating Timing Channels in Compute Clouds, in: ACM (Hrsg.), 17th ACM Conference on Computer and Communication Security 2010 (CCS’10), Chicago, IL, USA – October 04.–08.2010, New York 2010, S. 103 – 108. Bär, Wolfgang, Anmerkung zu BGH, Beschluss vom 31. 3. 2009 – 1 StR 76/09, in: NStZ 2009, S. 397 – 399. – Anmerkung zu LG Düsseldorf, Urt. v. 22. 03. 2011 – 3 KLs 1/11, in: MMR 2011, S. 625 – 626. – Die Neuregelung des 100j StPO zur Bestandsdatenauskunft – Auswirkungen auf die Praxis der Strafverfolgung, in: MMR 2013, S. 700 – 704. Barnitzke, Benno, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, 1. Auflage, Baden-Baden 2014. Barton, Dirk M., E-Mail-Kontrolle durch Arbeitgeber – Drohen unliebsame strafrechtliche Überraschungen?, in: CR 2003, S. 839 – 844. Baumann, Jürgen/Weber, Ulrich/Mitsch, Wolfgang/Eisele, Jörg, Strafrecht Allgemeiner Teil – Lehrbuch, 12. Auflage, Bielefeld 2016 (zitiert als: Bearbeiter, in: Baumann/Weber/Mitsch/ Eisele, Strafrecht AT). Baumeister, Klaus, Informationsquelle Funkverkehr: Strafbarkeitsrisiken erläutert am Beispiel Polizeifunk und unter besonderer Berücksichtigung von Art. 5 Abs. 1 GG, in: ZUM 2000, S. 114 – 125. Baun, Christian/Kunze, Marcel/Nimis, Jens/Tai, Stefan, Cloud Computing – Web-Based Dynamic IT Services, 2. Auflage, Berlin 2011. Bayerisches Landesamt für Datenschutzaufsicht, Kurzpapier zur DS-GVO „One Stop Shop“, abrufbar unter: https://www.lda.bayern.de/media/baylda_ds-gvo_13_one_stop_shop.pdf. Beck, Susanne/Meinicke, Dirk, Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei (Drucks. 18/1288) (RefE), in: CR 2015, S. 481 – 484. Becker, Tim, Zulässigkeit der Auftragsdatenverarbeitung von Patientendaten – Auch in der Cloud, in: DSRITB 2013, S. 343 – 359. Beckereit, Frank, Quo vadis Virtualisierung – Infrastrukturen für die Private Cloud, in: KöhlerSchute, Christiana (Hrsg.), Cloud Computing: Flexible Services für Unternehmen – Strategien und Methoden, Lösungen und Praxisbeispiele, juristische Fallstricke, 2. Auflage, Berlin 2013, S. 66 – 99. Bedner, Mark, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, Kassel 2013 (zitiert als: Bedner, Cloud Computing). – „Deep Packet Inspection“ – Technologie und rechtliche Initiativen – Steht die Freiheit im Internet auch in westlichen Demokratien auf dem Spiel?, in: CR 2010, S. 339 – 345. – Rechtmäßigkeit der „Deep Packet Inspection“, abrufbar unter: https://kobra.bibliothek.unikassel.de/bitstream/urn:nbn:de:hebis:34-2009113031192/5/BednerDeepPacketInspection. pdf (zitiert als: Bedner, Deep Packet Inspection). Behling, Thorsten, Compliance versus Fernmeldegeheimnis – Wo liegen die Grenzen bei EMail-Kontrollen als Antikorruptionsmaßnahme?, in: BB 2010, S. 892 – 896.
Literaturverzeichnis
427
Beisel, Daniel/Heinrich, Bernd, Die Strafbarkeit der Ausstrahlung pornographischer Sendungen in codierter Form durch das Fernsehen, in: JR 1996, S. 95 – 99. Beken, Vander/Vermeulen, Gert/Lagodny, Otto, Kriterien für die jeweils „beste“ Strafgewalt in Europa – Zur Lösung von Strafgewaltskonflikten jenseits eines transnationalen Ne-bis-inidem, in: NStZ 2002, S. 624 – 628. Bengel, Günther/Baun, Christian/Kunze, Marcel/Stucky, Karl-Uwe, Masterkurs Parallele und Verteilte Systeme – Grundlagen und Programmierung von Multicore-Prozessoren, Multiprozessoren, Cluster, Grid und Cloud, 2. Auflage, Wiesbaden 2015. Bergauer, Christian, Das materielle Computerstrafrecht, Wien 2016. Berghäuser, Gloria, Sach- und Datenhehlerei – eine vergleichende Gegenüberstellung der §§ 202d, 259 StGB, in: JA 2017, S. 244 – 251. Bergt, Matthias, Sanktionierung von Verstößen gegen die Datenschutz-Grundverordnung, in: DuD 2017, S. 555 – 561. Berl, Andreas/Fischer, Andreas/Meer, Hermann de, Virtualisierung im Future Internet – Virtualisierungsmethoden und Anwendungen, in: Informatik Spektrum 2010, S. 186 – 194. Beulke, Werner/Moosmayer, Klaus, Der Reformvorschlag des Bundesverbandes der Unternehmensjuristen zu den §§ 30, 130 OWiG – Plädoyer für ein modernes Unternehmenssanktionenrecht, in: CCZ 2014, S. 146 – 152. Binder, Jörg, Computerkriminalität und Datenfernübertragung – Teil II, in: RDV 1995, S. 116 – 123. Birk, Dominik/Wegner, Christoph, Über den Wolken: Cloud Computing im Überblick, in: DuD 2010, S. 641 – 645. Bishop, Matt/Gollmann, Dieter/Hunker, Jeffrey/Probst, Christian W., Countering Insider Threats – Dagstuhl Seminar 08302 vom 20. bis 25. Juli 2008, abrufbar unter: http://drops.dag stuhl.de/opus/volltexte/2008/1793/pdf/08302.SWM.1793.pdf. BITKOM, Leitfaden „Cloud Computing – Evolution in der Technik, Revolution im Business“ vom 21. 09. 2009, abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2009/Leitfa den/Leitfaden-Cloud-Computing/090921-BITKOM-Leitfaden-CloudComputing-Web.pdf (zitiert als: BITKOM, Evolution in der Technik). – Leitfaden „Cloud Computing – Was Entscheider wissen müssen“ vom 03. 10. 2010, abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2010/Leitfaden/Leitfaden-Cloud-Com puting-Was-Entscheider-wissen-muessen/BITKOM-Leitfaden-Cloud-Computing-Was-Ent scheider-wissen-muessen.pdf (zitiert als: BITKOM, Entscheider). – Leitfaden „Kosten eines Cyber-Schadensfalles“ vom 29. 04. 2016, abrufbar unter: https:// www.bitkom.org/noindex/Publikationen/2016/Leitfaden/Kosten-eines-Cyber-Schadensfal les/160426-LF-Cybersicherheit.pdf (zitiert als: BITKOM, Kosten eines Cyber-Schadensfalles). – Leitfaden „Server-Virtualisierung – Teil 1: Business-Grundlagen“, Oktober 2009, abrufbar unter: http://docplayer.org/1521878-Server-virtualisierung-teil-1-business-grundlagen-leitfa den.html (zitiert als: BITKOM, Server-Virtualisierung – Teil 1).
428
Literaturverzeichnis
– Leitfaden „Server-Virtualisierung – Teil 4: Glossar“, Version 3, Dezember 2010, abrufbar unter: http://www.security-finder.ch/fileadmin/dateien/pdf/buecher/Server-Virtualisierung_ Teil_4.pdf (zitiert als: BITKOM, Server-Virtualisierung – Teil 4). – Leitfaden „Wie Cloud Computing neue Geschäftsmodelle ermöglicht“ vom 04. 02. 2014, abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2014/Leitfaden/Wie-CloudComputing-neue-Geschaeftsmodelle-ermoeglicht/140203-Wie-Cloud-Computing-neue-Ge schaeftsmodelle-ermoeglicht.pdf (zitiert als: BITKOM, Geschäftsmodelle). – Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter vom 09. 07. 2015, abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2015/Studien/ Studienbericht-Wirtschaftsschutz/150709-Studienbericht-Wirtschaftsschutz.pdf (zitiert als: BITKOM, Spionage, Sabotage und Datendiebstahl). – Stellungnahme zum Kommissionsentwurf der e-Privacy Verordnung (COM (2017) 10 final) vom 27. April 2017, abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2017/Po sitionspapiere/FirstSpirit-149379565484720170427-E-Privacy-Stellungnahme-FIN.pdf (zitiert als: BITKOM, Stellungnahme zur E-Privacy Verordnung). – Studienbericht „Shopping digital – Wie die Digitalisierung den Handel tiefgreifend verändert“, November 2017, abrufbar unter: https://www.bitkom.org/noindex/Publikationen/2017/ Studien/2017/171124-Studienbericht-Handel-Web.pdf (zitiert als: BITKOM, Shopping digital). BKA, Cybercrime – Bundeslagebild 2015, abrufbar unter: https://www.bka.de/SharedDocs/ Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundes lagebild2015.html (zitiert als: BKA, Cybercrime 2015). – Cybercrime – Bundeslagebild 2016, abrufbar unter: https://www.bka.de/SharedDocs/Down loads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslage bild2016.html?nn=28110 (zitiert als: BKA, Cybercrime 2016). – Täter im Bereich Cybercrime – Eine Literaturanalyse, 04. 12. 2015, abrufbar unter: https:// www.bka.de/SharedDocs/Downloads/DE/Publikationen/Publikationsreihen/Forschungsergeb nisse/2015 TaeterImBereichCybercrime.html (zitiert als: BKA, Täter im Bereich Cybercrime). Blassl, Sebastian, Umgehung von Compliance als tatbestandausschließender Exzess bei § 130 OWiG, in: CCZ 2016, S. 201 – 205. Bleikertz, Sören/Mastelic´, Toni/Pape, Sebastian/Pieters, Wolter/Dimkov, Trajce, Defining the Cloud Battlefield – Supporting Security Assessments by Cloud Customers, in: Campbell, Roy (Hrsg.), 2013 IEEE International Conference on Cloud Engineering (IC2E) – 25 – 27 March 2013, San Francisco Bay, California, Piscataway, New Jersey 2013, S. 78 – 87. BMI, Bericht zur Polizeilichen Kriminalistik 2016, abrufbar unter: https://www.bmi.bund.de/ SharedDocs/downloads/DE/publikationen/2017/pks-2016.html (zitiert als: PKS 2016). – Polizeiliche Kriminalstatistik 2015, abrufbar unter: https://www.bmi.bund.de/SharedDocs/ downloads/DE/publikationen/2016/pks-2015.html (zitiert als: PKS 2015). BMWi, Digitale Strategie 2025, abrufbar unter https://www.bmwi.de/Redaktion/DE/Publikatio nen/Digitale-Welt/digitale-strategie-2025.html (zitiert als: BMWI, Digitale Strategie 2025).
Literaturverzeichnis
429
– Trusted Cloud – Innovatives, sicheres und rechtskonformes Cloud Computing vom 01. 02. 2014, abrufbar unter: https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/tru sted-cloud-cloud-computing-version-2.html (zitiert als: BMWI, Trusted Cloud). Böhm, Markus/Koleva, Galina/Leimeister, Stefanie/Riedl, Christoph/Krcmar, Helmut, Towards a Generic Value Network for Cloud Computing, in: Altmann, Jörn/Rana, Omer F. (Hrsg.), Economics of Grids, Clouds, Systems, and Services – 7th International Workshop, GECON 2010, Ischia, Italy, August 31, 2010, Berlin 2010, S. 129 – 141. Böhm, Markus/Leimeister, Stefanie/Riedl, Christoph/Krcmar, Helmut, Cloud Computing: Outsourcing 2.0 oder ein neues Geschäftsmodell zur Bereitstellung von IT-Ressourcen?, in: Information Management und Consulting (24) 2009, S. 6 – 14. Boos, Carina/Kroschwald, Steffen/Wicker, Magda, Datenschutz bei Cloud Computing zwischen TKG, TMG und BDSG – Datenkategorien bei der Nutzung von Cloud-Diensten, in: ZD 2013, S. 205 – 209. Borges, Georg/Brennscheidt, Kirstin, Rechtsfragen des Cloud Computing – ein Zwischenbericht, in: Borges, Georg/Schwenk, Jörg (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Berlin/Heidelberg 2012, S. 43 – 78. Borges, Georg/Meents, Jan Geert (Hrsg.), Cloud Computing – Rechtshandbuch, München 2016 (zitiert als: Bearbeiter, in: Borges/Meents (Hrsg.), Cloud Computing). Borges, Georg/Schwenk, Jörg/Stuckenberg, Carl-Friedrich/Wegener, Christoph (Hrsg.), Identitätsdiebstahl und Identitätsmissbrauch im Internet – Rechtliche und technische Aspekte, Berlin/Heidelberg 2011. Borges, Georg/Stuckenberg, Carl-Friedrich/Wegener, Christoph, Bekämpfung der Computerkriminalität – Zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität, in: DuD 2007, S. 275 – 278. Bosesky, Pino/Hoffmann, Christian/Schulz, Sönke E., Datenhoheit im Cloud-Umfeld, in: DuD 2013, S. 95 – 100. Böttger, Marcus/Brockhaus, Matthias (Hrsg.), Wirtschaftsstrafrecht in der Praxis, 2. Auflage, Bonn 2015 (zitiert als: Bearbeiter, Böttger/Brockhaus (Hrsg.), Wirtschaftsstrafrecht). Bouché, Johannes/Kappes, Martin, Attacking the Cloud from an Insider Perspective, in: Picking, Rich/Cunningham, Stuart/Houlden, Nigel/Oram, Denise/Grout, Vic/Mayers, Julie (Hrsg.), 2015 Internet Technologies and Applications (ITA) – Proceedings of the 6th International Conference: Tuesday 8th-Friday 11th September 2015, Glyndwr University, Wrexham, Wales, UK/Piscataway, New Jersey 2015, S. 175 – 180 (zitiert als: Bouché/ Kappes, in: ITA 2015). – Malicious Administrators, Breakout Exploits: On the Pitfalls of Cloud Computing – Conference Paper, abrufbar unter: https://www.researchgate.net/publication/305755349_Mali cious_Administrators_Breakout_Exploits_On_the_Pitfalls_of_Cloud_Computing (zitiert als: Bouché/Kappes, Malicious Administrators, Breakout Exploits). Braun, Bastian/Gemein, Patrick/Höfling, Benedikt/Maisch, Michael Marc/Seidl, Alexander, Angriffe auf OpenID und ihre strafrechtliche Bewertung – Cross Site Request Forgery, Phishing und Clickjacking, in: DuD 2012, S. 502 – 509. Bräutigam, Peter, § 203 StGB und der funktionale Unternehmensbegriff – Ein Silberstreif am Horizont für konzerninternes IT-Outsourcing bei Versicherern, in: CR 2011, S. 411 – 416.
430
Literaturverzeichnis
– Das Nutzungsverhältnis bei sozialen Netzwerken – Zivilrechtlicher Austausch von ITLeistungen gegen personenbezogene Daten, in: MMR 2012, S. 635 – 641. – IT-Outsourcing und Cloud Computing – Eine Darstellung aus rechtlicher, technischer, wirtschaftlicher und vertraglicher Sicht, 3. Auflage, Berlin 2013 (zitiert als: Bearbeiter, in Bräutigam (Hrsg.), Cloud Computing). Brenner, Susan W., Cybercrime Law: A United States Perspective, in: Casey, Eoghan (Hrsg.), Digital Evidence and Computer Crime – Forensic Science, Computers and the Internet, 3rd ed., Burlington, MA 2011, S. 85 – 123 (zitiert als: Brenner, in: Casey (Hrsg.), Computer Crime). Brennscheidt, Kirstin, Cloud Computing und Datenschutz, 1. Auflage, Baden-Baden 2013. Breuer, Barbara, Anwendbarkeit des deutschen Strafrechts auf exterritorial handelnde InternetNutzer, in: MMR 1998, S. 141 – 145. Brodowski, Dominik, Cybersicherheit durch Cyber-Strafrecht?, in: Lange, Hans-Jürgen/ Bötticher, Astrid (Hrsg.), Cyber-Sicherheit, Band 18, Wiesbaden 2015, S. 249 – 275 (zitiert als: Brodowski, in: Lange/Bötticher (Hrsg.), Cyber-Sicherheit). Brodowski, Dominik/Eisenmenger, Florian, Zugriff auf Cloud-Speicher und Internetdienste durch Ermittlungsbehörden – Sachliche und zeitliche Reichweite der „kleinen OnlineDurchsuchung“ nach § 110 Abs. 3 StPO, in: ZD 2014, S. 119 – 126. Brodowski, Dominik/Freiling, Felix C., Cyberkriminalität, Computerstrafrecht und die digitale Schattenwirtschaft, Band 4, Berlin 2011 (zitiert als: Brodowski/Freiling, Cyberkriminalität). Brodowski, Dominik/Marnau, Nina, Tatobjekt und Vortaten der Datenhehlerei (§ 202d StGB), in: NStZ 2017, S. 377 – 432. BSI, Anforderungskatalog Cloud Computing – Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten, Stand September 2017, abrufbar unter: https://www.bsi.bund. de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungs katalog_node.html (zitiert als: BSI, Anforderungskatalog). – Die Lage der IT-Sicherheit in Deutschland 2015, abrufbar unter: https://www.bsi.bund.de/ Shar-edDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.html (zitiert als: BSI, Die Lage der IT-Sicherheit 2015). – Eckpunktepapier, Sicherheitsempfehlungen für Cloud Computing Anbieter – Mindestanforderungen in der Informationssicherheit, abrufbar unter: https://www.bsi.bund.de/DE/The men/DigitaleGesellschaft/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html (zitiert als: BSI, Sicherheitsempfehlungen). – Gefährdungen und Gegenmaßnahmen beim Einsatz von VCE Vblock, Version 2.5 vom 25. 12. 2011, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cloud Computing/Cloud_Computing_Studie_Einsatz_VCE_Vblock.html (zitiert als: BSI, Gefährdungen und Gegenmaßnahmen). – IT-Grundschutz-Kataloge, abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrund schutz/ITGrundschutzKataloge/Inhalt/inhalt_node.html (zitiert als: BSI, IT-GrundschutzKataloge). – Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA) – BSI-Standards zur Internet-Sicherheit (ISi-S), Version 2.1 vom 26. 08. 2014, abrufbar unter: https://www.bsi.
Literaturverzeichnis
431
bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_lana_studie_pdf.pdf?__ blob=publicationFile&v=1 (zitiert als: BSI, ISi-LANA). – Sichere Nutzung von Cloud-Diensten – Schritt für Schritt von der Strategie bis zum Vertragsende. Stand August 2016, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Down loads/DE/BSI/Publikationen/Broschueren/Sichere_Nutzung_Cloud_Dienste.pdf?__blob=pu blicationFile&v=10 (zitiert als: BSI, Sichere Nutzung von Cloud-Diensten). – Sicherheitsprofil für ein SaaS Archivierungssystem, Stand 2014, abrufbar unter: https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/SaaS/SPC_Gesamt. pdf?__blob=pub-licationFile&v=3 (zitiert als: BSI, Sicherheitsprofil SaaS). – Technische Richtline – Kryptografische Verfahren: Empfehlungen und Schlüssellängen, BSI TR-02102-1 vom 22. 01. 2018, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Down loads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob= publicationFile&v=7 (zitiert als: BSI, Technische Richtline). Buermeyer, Ulf/Golla, Sebastian J., „Digitaler Hausfriedensbruch“ – Der Entwurf eines Gesetzes zur Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme, in: K&R 2017, S. 14 – 18. Buggisch, Walter, Fälschung beweiserheblicher Daten durch Verwendung einer falschen EMail-Adresse?, in: NJW 2004, S. 3519 – 3522. Buggisch, Walter/Kerling, Christoph, „Phishing“, „Pharming“ und ähnliche Delikte – Erscheinungsformen und strafrechtliche Bewertung, in: Kriminalistik 2006, S. 531 – 537. Bugiel, Sven/Nürnberger, Stefan/Pöppelmann, Thomas/Sadeghi, Ahmad-Reza/Schneider, Thomas, AmazonIA: When Elasticity Snaps Back, in: Chen, Yan (Hrsg.), Proceedings of the 18th ACM Conference on Computer and Communications Security (CCS ’11), Chicago, Illinois, USA, October 17 – 21, 2011, New York 2011, S. 389 – 400 (zitiert als: Bugiel/ Nürnberger/Pöppelmann/Sadeghi/Schneider, in: CCS ’11). Bühler, Christoph, Ein Versuch, Computerkriminellen das Handwerk zu legen: Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität, in: MDR 1987, S. 448 – 457. Bull, Ronny/Matthews, Jeanna/Trumbull, Kaitlin, VLAN hopping, ARP poisoning and Man-InThe-Middle Attacks in Virtualized Environments – DEF CON 24 Conference Papers, abrufbar unter: https://www.researchgate.net/publication/307509482_VLAN_hopping_ARP_ poisoning_and_Man-In-The-Middle_Attacks_in_Virtualized_Environments (zitiert als: Bull/ Matthews/Trumbull, DEF CON 24). Bülte, Jens, Das Datenschutzbußgeldrecht als originäres Strafrecht der Europäischen Union?, in: StV 2017, S. 460 – 470. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010, abrufbar unter: https://www.bfdi.bund.de/Sha redDocs/Publikationen/Taetigkeitsberichte/TB_BfDI/23TB_09_10.html. Bundesregierung, Digitale Agenda 2014 – 2017, August 2014, herausgegeben von dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium des Inneren und dem Bundesministerium für Verkehr und digitale Infrastruktur, abrufbar unter: https://www.digita le-agenda.de/Content/DE/_Anlagen/2014/08/2014-08-20-digitale-agenda.pdf?_blob=pu blicationFile&v=6.
432
Literaturverzeichnis
Cappelli, Dawn/Moore, Andrew/Trzeciak, Randall, The CERT Guide to Insider Threats – How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud), Upper Saddle River, New Jersey 2012. Catuono, Luigi/Löhr, Hans/Manulis, Mark/Sadeghi, Ahmad-Reza/Stüble, Christian, Winandy, Marcel, Trusted Virtual Domains: Color Your Network, in: DuD 2010, S. 289 – 298. C¸ekin, Mesut, Strafbarkeitsrisiken beim IT-Outsourcing – Zum externen IT-Dienstleister als Gehilfen im Sinne des § 203 Abs. 3 S. 2 StGB, in: ZIS 2012, S. 425 – 430. Chee, Brian J. S./Franklin, Curtis, Cloud computing – Technologies and Strategies of the Ubiquitous Data Center, New York 2010. Choo, Raymond/Ko, Ryan, The Cloud Security Ecosystem – Technical, Legal, Business and Management Issues, Waltham, Massachusetts 2015. Chou, Te-Shun, Security Threats on Cloud Computing Vulnerabilities, in: IJCSIT (5) 2013, S. 79 – 88. Chraibi, Mhammed/Harroud, Hamid/Maach, Abdelilah, Classification of security issues and solutions in Cloud Environments, in: Weippl, Edgar R./Indrawan-Santiago, Maria/Steinbauer, Matthias/Kotsis, Gabriele/Khalil, Ismail (Hrsg.), The 15th International Conference on Information Integration and Web-based Applications & Services (iiWAS 2013): December 2 – 4, 2013, Vienna, Austria/New York 2013, S. 560 – 564 (zitiert als: Chraibi/ Harroud/Maach, in: iiWAS 2013). Christmann, Stefan/Hilpert, Hendrik/Thöne, Meik/Hagenhoff, Svenja, Datensicherheit und Datenschutz im Cloud Computing – Risiken und Kriterien zur Anbieterauswahl, in: HMD 2010, S. 62 – 70. Claycomb, William/Nicoll, Alex, Insider Threats to Cloud Computing: Directions for New Research Challenges, in: Bai, Xiaoying (Hrsg.), IEEE 36th Annual Computer Software and Applications Conference (COMPSAC), 16 – 20 July 2012, Izmir, Turkey/Piscataway, New Jersey 2012, S. 387 – 394 (zitiert als: Claycomb/Nicoll, in: Bai (Hrsg.), COMPSAC 2012). Collardin, Marcus, Straftaten im Internet – Fragen zum internationalen Strafrecht, in: CR 1995, S. 618 – 622. Collins, Matthew L./Theis, Michael C./Trzeciak, Randall F./Strozer, Jeremy R./Clark, Jason W./ Costa, Daniel L./Cassidy, Tracy/Albrethsen, Michael J./Moore, Andrew P., Common Sense Guide to Mitigating Insider Threats, Fifth Edition, December 2016, abrufbar unter: https://re sources.sei.cmu.edu/asset_files/TechnicalReport/2016_005_001_484758.pdf (zitiert als: CERT Insider Threat Center, Guide to Mitigating Insider Threats). Colwill, Carl, Human factors in information security: The insider threat – Who can you trust these days?, in: Information Security Technical Report (14) 2009, S. 186 – 196. Conrad, Isabell/Fechtner, Sonja, IT-Outsourcing durch Anwaltskanzleien nach der InkassoEntscheidung des EuGH und dem BGH, Urteil vom 7. 2. 2013 – Datenschutzrechtliche Anforderungen, in: CR 2013, S. 137 – 148. Conrad, Isabell/Schneider, Jochen, Einsatz von „privater IT“ im Unternehmen – Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, in: ZD 2011, S. 153 – 159. Conradi, Ulrich/Schlömer, Uwe, Die Strafbarkeit der Internet-Provider – 1. Teil, in: NStZ 1996, S. 366 – 369.
Literaturverzeichnis
433
Cornelius, Kai, Cloud Computing für Berufsgeheimnisträger, in: StV 2016, S. 380 – 390. – Computer Fraud, Spam and Copyright Infringements – Ein Blick auf das US-amerikanische Computerstrafrecht, in: MMR 2007, S. 218 – 221. – Das Non-Legal-Outsourcing für Berufsgeheimnisträger – Straf- und berufsrechtliche sowie strafprozessuale Konsequenzen der neuesten Gesetzesnovelle, in NJW 2017, S. 3751 – 3755. – Die „datenschutzrechtliche Einheit“ als Grundlage des bußgeldrechtlichen Unternehmensbegriffs nach der EU-DSGVO, in: NZWiSt 2016, S. 421 – 426. – Zur Strafbarkeit des Anbietens von Hackertools – Was nach dem 41. Strafrechtsänderungsgesetz noch für die IT-Sicherheit getan werden darf, in: CR 2007, S. 682 – 688. Cornelius, Kai/Tschoepe, Sven, Strafrechtliche Grenzen der zentralen E-Mail-Filterung und -Blockade – Ein Beitrag zu OLG Karlsruhe, 10. 1. 2005 – 1 Ws 152/04, K&R 2005, 181, in: K&R 2005, S. 269 – 271. Cornils, Karin, Der Begehungsort von Äußerungsdelikten im Internet, in: JZ 1999, S. 394 – 398. Cressey, Donald R., Other Peoples Money: A Study in the Social Psychology of Embezzlement, Montclair 1973. CSA, Security guidance for critical areas of focus in Cloud Computing V 4.0, Stand 2017, abrufbar unter: https://cloudsecurityalliance.org/download/security-guidance-v4/. – The Treacherous 12 – Cloud Computing Top Threats in 2016, Februar 2016, abrufbar unter: https://cloudsecurityalliance.org/download/the-treacherous-twelve-cloud-computing-top-thre ats-in-2016/. Cummings, Adam/Lewellen, Todd/McIntire, David/Moore, Andrew P./Trzeciak, Randall F., Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector, July 2012, abrufbar unter: http://resources.sei.cmu.edu/library/asset-view.cfm?ass etID=27971. Dalby, Jakob, Das neue Auskunftsverfahren nach § 113 TKG – Zeitdruck macht Gesetze – Eine Beurteilung der Änderung des manuellen Auskunftsverfahrens und der Neuschaffung des § 100j StPO, in: CR 2013, S. 361 – 369. – Grundlagen der Strafverfolgung im Internet und in der Cloud – Möglichkeiten, Herausforderungen und Chancen, Wiesbaden 2016. Dann, Matthias/Gastell, Roland, Geheime Mitarbeiterkontrollen: Straf- und arbeitsrechtliche Risiken bei unternehmensinterner Aufklärung, in: NJW 2008, S. 2945 – 2949. Dannecker, Gerhard/Dannecker, Christoph, Europäische und verfassungsrechtliche Vorgaben für das materielle und formelle Unternehmensstrafrecht, in: NZWiSt 2016, S. 162 – 177. Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Kurzpapier Nr. 2 – Aufsichtsbefugnisse/Sanktionen, abrufbar unter: https://www.lda.bayern. de/media/dsk_kpnr_2_sanktionen.pdf (zitiert als: DKA, Aufsichtsbefugnisse/Sanktionen). – Kurzpapier Nr. 7 – Markortprinzip: Regelungen für außereuropäische Unternehmen, abrufbar unter: https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf (zitiert als: DKA, Marktortprinzip).
434
Literaturverzeichnis
Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo (Hrsg.), Bundesdatenschutzgesetz – Kompaktkommentar zum BDSG, 5. Auflage, Frankfurt am Main 2016 (zitiert als: Bearbeiter, Däubler/Klebe/Wedde/Weichert (Hrsg.), BDSG a.F.). Däubler, Wolfgang/Wedde, Peter/Weichert, Thilo/Sommer, Imke (Hrsg.), EU-Datenschutzgrundverordnung und BDSG-neu, Frankfurt am Main 2018 (zitiert als: Bearbeiter, Däubler/ Wedde/Weichert/Sommer (Hrsg.), DSGVO/BDSG). Dauster, Manfred/Braun, Franz, Verwendung fremder Daten im Zivilprozess und zivilprozessuale Beweisverbote, in: NJW 2000, S. 313 – 319. Debski, Andrzej, Cloud-Risiken und wie Anwenderunternehmen ihnen begegnen sollten – Wo liegen die typischen Probleme und welche Maßnahmen sind State-of-the-Art?, in: DuD 2016, S. 659 – 666. Deloitte, Case Study – Eine bedarfsgerechte und flexible Deloitte Private Cloud, abrufbar unter: http://www2.deloitte.com/content/dam/Deloitte/de/Documents/technology/deloitte-privatecloud.pdf. Determann, Lothar/Weigl, Michaela, EU-US-Datenschutzschild und Alternativen für internationale Datentransfers, in: EuZW 2016, S. 811 – 816. Deussen, Peter H./Strick, Linda/Peters, Johannes, Cloud-Computing für die öffentliche Verwaltung – ISPRAT-Studie November 2010, 1. Auflage, Berlin. Dierlamm, Alfred/Ihwas, Saleh R., Berufsgeheimnisträger bald in der Cloud – aber nicht alle?, in: BB 2017, S. 1097 – 1102. – Non Legal Outsourcing und die Reform des § 203 StGB – Die Cloud kommt – auch für Berufsgeheimnisträger, in: DB 2017, S. M24-M25. Dieterich, Thomas, Rechtsdurchsetzungsmöglichkeiten der DS-GVO – Einheitlicher Rechtsrahmen führt nicht zwangsläufig zu einheitlicher Rechtsanwendung, in: ZD 2016, S. 260 – 266. Dietrich, Ralf, Das Erfordernis der besonderen Sicherung im StGB am Beispiel des Ausspähens von Daten, § 202a StGB – Kritik und spezialpräventiver Ansatz, Berlin 2009. – Die Rechtsschutzbegrenzung auf besonders gesicherte Daten des § 202a StGB, in: NStZ 2011, S. 247 – 254. Dille, Nicholas/Grote, Marc/Kaczenski, Nils/Kappen, Jan, Microsoft Hyper-V und System Center – Das Handbuch für Administratoren, 2. Auflage, Bonn 2014. Dix, Alexander/Kipker, Dennis-Kenji/Schaar, Peter, Schnellschuss gegen die Grundrechte – Plädoyer für eine ausführliche öffentliche Debatte in Sachen Vorratsdatenspeicherung, in: ZD 2015, S. 300 – 305. Dölling, Dieter/Duttge, Gunnar/König, Stefan/Rössner, Dieter (Hrsg.), Gesamtes Strafrecht – StGB, StPO, Nebengesetze: Handkommentar, 4. Auflage, Baden-Baden 2017 (zitiert als: Bearbeiter, Dölling/Duttge/König/Rössner (Hrsg.), Strafrecht). Dorner, Michael, Big Data und „Dateneigentum“ – Grundfragen des modernen Daten- und Informationshandels, in: CR 2014, S. 617 – 628. Dornseif, Maximilian/Schumann, Kay/Klein, Christian, Tatsächliche und rechtliche Risiken drahtloser Computernetzwerke, in: DuD 2002, S. 226 – 230.
Literaturverzeichnis
435
Duisberg, Alexander, Gelöste und ungelöste Rechtsfragen im IT-Outsourcing und Cloud Computing, in: Picot, Arnold/Hertz, Udo/Götz, Thomas (Hrsg.), Trust in IT: Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? – Münchner Kreis: Fachkonferenz Trust in IT, Berlin 2011, S. 49 – 71 (zitiert als: Duisberg, in: Picot/Hertz/Götz, Trust in IT). Duncan, Adrian/Creese, Sadie/Goldsmith, Michael, An overview of insider attacks in cloud computing, in: CCPE (27) 2015, S. 2964 – 2981. – Insider Attacks in Cloud Computing, in: Min, Geyong (Hrsg.), IEEE 11th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), 25 – 27 June 2012, Liverpool, United Kingdom/Piscataway, New Jersey 2012, S. 857 – 862 (zitiert als: Duncan/Creese/Goldsmith, in: TrustCom 2012). Duncan, Adrian/Creese, Sadie/Goldsmith, Michael/Quinton, Jamie S., Cloud Computing: Insider Attacks on Virtual Machines During Migration, in: IEEE Computer Society (Hrsg.), 12th IEEE International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), 2013 – 16 – 18 July 2013, Melbourne, Victoria, Australia/ Piscataway, New Jersey 2013, S. 493 – 500 (zitiert als: Duncan/Creese/Goldsmith/Quinton, in: TrustCom 2013). Easttom, Chuck/Taylor, Jeffrey, Computer Crime, Investigation, and the Law, Boston, Mass 2011. Eckert, Claudia, IT-Sicherheit – Konzepte – Verfahren – Protokolle, 9. Auflage, Berlin/Boston 2014. – IT-Sicherheit und Industrie 4.0 – Vernetzung, Big Data und Cloud, in: IM+io (29) 2014, S. 40 – 45. Eckhardt, Jens, DS-GVO: Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externer, in: CCZ 2017, S. 111 – 117. Economic Crime Division, Project on Cybercrime – Cloud Computing and cybercrime investigations: Territoriality vs. the power of disposal?, Version from 31. 08. 2010, abrufbar unter: https://rm.coe.int/16802fa3df. Ehmann, Eugen, Externe Dienstleister und ärztliche Schweigepflicht – so wird es nichts werden!, in: ZD 2017, S. 201 – 202. – Strafbare Fernwartung in der Arztpraxis, in: CR 1991, S. 293 – 296. Ehmann, Eugen/Selmayr, Martin, DS-GVO – Datenschutz-Grundverordnung: Kommentar, München/Wien 2017 (zitiert als: Bearbeiter, Ehmann/Selmayr (Hrsg.), DSGVO). Eicker, Andreas, Zur Vermeidung simultaner Strafverfahren im zwischenstaatlichen Kontext: Modell einer (über)individuell-konkreten Kriterien-Gewichtung, in: StV 2005, S. 631 – 637. Eischelberger, Jan, Sasser, Blaster, Phatbot & Co. – alles halb so schlimm? – Ein Überblick über die strafrechtliche Bewertung von Computerschädlingen, in: MMR 2004, S. 594 – 597. Eisele, Jörg, Computer- und Medienstrafrecht, München 2013 (zitiert als: Eisele, Computerstrafrecht). – Die Strafbarkeit nach § 203 StGB bei Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen, in: JR 2018, S. 79 – 88.
436
Literaturverzeichnis
– Jurisdiktionskonflikte in der Europäischen Union: Vom nationalen Strafanwendungsrecht zum Europäischen Kollisionsrecht?, in: ZStW 2013, S. 1 – 33. – Strafrecht – Besonderer Teil I – Straftaten gegen die Person und die Allgemeinheit, 4. Auflage, Stuttgart 2017 (zitiert als: Eisele, Strafrecht BT I). Elmrabit, Nebrase/Yang, Shuang-Hua/Yang, Lili, Insider Threats in Information Security – Categories and Approaches, in: IEEE (Hrsg.), 21st International Conference on Automation and Computing (ICAC) – University of Strathclyde, Glasgow, UK, 11 – 12. September 2015, S. 108 – 114 (zitiert als: Elmrabit/Yang/Yang, in: ICAC). ENISA, Benefits, risks and recommendations for information security, November 2009, abrufbar unter: https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment/at_ download/full Report (zitiert als: ENISA, Benefits, Risks 2009). – Benefits, risks and recommendations for information security, December 2012, abrufbar unter: https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloudcomputing-benefits-risks-and-recommendations-for-information-security (zitiert als: ENISA, Benefits, Risks 2012). – Report: Security & Resilience in Governmental Cloud – Making an informed decision vom 17. 01. 2011, abrufbar unter: https://www.enisa.europa.eu/activities/risk-management/emer ging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds (zitiert als: ENISA, Security & Resilience). Erbs, Georg/Kohlhaas, Max (Begr.)/Häberle, Peter (Hrsg.), Beck’scher Kurzkommentar, Band 4, Strafrechtliche Nebengesetze, Stand: 217. Ergänzungslieferung, München 2017 (zitiert: Bearbeiter, in: Erbs/Kohlhaas (Begr.), Strafrechtliche Nebengesetze). Erd, Rainer, Datenschutzrechtliche Probleme sozialer Netzwerke, in: NVwZ 2011, S. 19 – 22. Erl, Thomas, SOA – Entwurfsprinzipien für serviceorientierte Architektur, München 2010. Erl, Thomas/Cope, Robert/Naserpour, Amin, Cloud Computing – Design Patterns, New York 2015. Erl, Thomas/Mahmood, Zaigham/Puttini, Ricardo, Cloud Computing – Concepts, Technology & Architecture, New York 2013. Ernst, Stefan (Hrsg.), Das neue Computerstrafrecht, in: NJW 2007, S. 2661 – 2666. – Hacker, Cracker & Computerviren – Recht und Praxis der Informationssicherheit, Köln 2004 (zitiert als: Bearbeiter, in Ernst (Hrsg.), Hacker & Computerviren). – Hacker und Computerviren im Strafrecht, in: NJW 2003, S. 3233 – 3239. Esser, Robert/Rübenstahl, Markus/Saliger, Frank/Tsambikakis, Michael (Hrsg.), Wirtschaftsstrafrecht – mit Steuerstrafrecht und Verfahrensrecht: Kommentar, 1. Auflage, Köln 2017 (zitiert als: Bearbeiter, Esser/Rübenstahl/Saliger/Tsambikakis (Hrsg.), Wirtschaftsstrafrecht). Europäische Kommission, SWD (2012) 271 final vom 27. 09. 2012, Commission Staff Working Document, Accompanying the document COM(2012) 529 final, abrufbar unter: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=SWD:2012:0271:FIN:EN:PDF. Europäisches Parlament, Cloud Computing Study 2012, abrufbar unter: http://www.europarl.eu ropa.eu/RegData/etudes/etudes/join/2012/475104/IPOL-IMCO_ET(2012)475104_DE.pdf.
Literaturverzeichnis
437
Europol, The Internet Organised Crime Threat Assessment (IOCTA) 2015, abrufbar unter: https://www.europol.europa.eu/content/internet-organised-crime-threat-assessment-iocta-201 5. Ewer, Wolfgang, Verschwiegenheit und Outsourcing: Was gilt?, in: AnwBl 2014, S. 336 – 337. Faust, Sebastian/Spittka, Jan/Wybitul, Tim, Milliardenbußgelder nach der DS-GVO? – Ein Überblick über die neuen Sanktionen bei Verstößen gegen den Datenschutz, in: ZD 2016, S. 120 – 125. Fechtner, Sonja/Haßdenteufel, Stefan, Die Novelle des § 203 StGB und weiterer berufsrechtlicher Normen – Hoffnungsschimmer oder neue Ungewissheiten für Berufsgeheimnisträger, in: CR 2017, S. 355 – 364. Federrath, Hannes, Das Spektrum der Cyberangriffe, in: Hruschka, Joachim/Joerden, Jan C. (Hrsg.), Themenschwerpunkt: Recht und Ethik im Internet – Law and ethics on the internet, Band 23, Berlin 2015, S. 333 – 345. Fernandes, Diogo A. B./Soares, Liliana F. B./Gomes, João V./Freire, Mário M./Inácio, Pedro R. M., Security issues in cloud environments: a survey, in: IJIS (13) 2014, S. 113 – 170. Fezer, Karl-Heinz/Büscher, Wolfgang/Obergfell, Eva Inés (Hrsg.), Lauterkeitsrecht – Kommentar zum Gesetz gegen den unlauteren Wettbewerb (UWG), Band 2, §§ 3a-20 UWG, Anhang zu § 3 Abs. 3 UWG, 3. Auflage, München 2016 (zitiert als: Bearbeiter, in: Fezer/ Büscher/Obergfell). Fickert, Tim, Entwicklungen des Cloud Computing im Überblick – Aktuelle und künftige rechtliche Probleme, in: Taeger, Jürgen/Wiebe, Andreas (Hrsg.), Inside the Cloud: Neue Herausforderungen für das Informationsrecht – Tagungsband Herbstakademie 2009, Edewecht 2009, S. 419 – 454. Fischer, Thomas, Strafgesetzbuch mit Nebengesetzen – Kommentar, 65. Auflage, München 2018. Fleischer, Dirk, Wirtschaftsspionage – Phänomenologie – Erklärungsansätze – Handlungsoptionen, Wiesbaden 2016. Flore, Ingo/Tsambikakis, Michael, Steuerstrafrecht – Kommentar, 2. Auflage, Köln 2016 (zitiert als: Bearbeiter, in: Flore/Tsambikakis (Hrsg.), Steuerstrafrecht). Föbus, Nikolaus, Die Insuffizienz des strafrechtlichen Schutzes von Geschäfts- und Betriebsgeheimnissen nach Paragraph 17 UWG, Frankfurt am Main 2011. Foitzik, Klaus/Plankemann, Michael, Cloud Computing und Compliance: Probleme und Lösungsansätze, in: CCZ 2015, S. 180 – 185. Foster, Ian, What is the Grid? AThree Point Checklist 20. 07. 2002, abrufbar unter: http://dlib.cs. odu.edu/WhatIsTheGrid.pdf. Foster, Ian/Kesselman, Carl/Tuecke, Steven, The Anatomy of the Grid: Enabling Scalable Virtual Organizations, in: IJHPCA (15) 2001, S. 200 – 222. Foster, Ian/Zhao, Yong/Raicu, Ioan/Lu, Shiyong, Cloud Computing and Grid Computing 360Degree Compared, in: IEEE (Hrsg.), 2008 Grid Computing Environments Workshop (GCE ‘08), 12 – 16 Nov. 2008, Piscataway, New Jersey 2008, S. 60 – 70 (zitiert als: Foster/Zhao/ Raicu/Lu, in: GCE ‘08).
438
Literaturverzeichnis
Franck, Lorenz, Datenhehlerei nach dem künftigen § 202d StGB, in: RDV 2015, S. 180 – 183. – Sozialadäquates IT-Outsourcing in der Rechtsanwaltskanzlei, in: DuD 2015, S. 253 – 256. Frommel, Monika, Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität, in: JuS 1987, S. 667 – 668. Funke, Michael/Wittmann, Jörn, Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? Anforderungen an die verantwortliche Stelle, in: ZD 2013, S. 221 – 228. Furht, Borko/Escalante, Armando (Hrsg.), Handbook of Cloud Computing, New York 2010 (zitiert als: Bearbeiter, in: Handbook of Cloud Computing). Gaul, Björn/Koehler, Lisa-Marie, Mitarbeiterdaten in der Cloud: Datenschutzrechtliche Grenzen des Outsourcing, in: BB 2011, S. 2229 – 2236. Geelan, Jeremy, Twenty-One Experts Define Cloud Computing, abrufbar unter: http://cloud computing.sys-con.com/node/612375. Gentry, Craig, Computing arbitrary functions of encrypted data, in: Communications of the ACM (53) 2010, S. 97 – 105. – Fully Homomorphic Encryption Using Ideal Lattices, in: ACM (Hrsg.), Proceedings of the 2009 ACM International Symposium on Theory of Computing – Bethesda, Maryland, USA, May 31-June 2, 2009, New York 2009, S. 169 – 179 (zitiert als: Gentry, in: ACM 2009). Gercke, Marco, Analyse des Umsetzungsbedarfs der Cybercrime Konvention – Teil 1: Umsetzung im Bereich des materiellen Strafrechts, in: MMR 2004, S. 728 – 735. – Die Entwicklung des Internetstrafrechts im Jahr 2006, in: ZUM 2007, S. 282 – 294. – Die Entwicklung des Internetstrafrechts 2010/2011, in: ZUM 2011, S. 609 – 623. – Die Entwicklung des Internetstrafrechts 2012/2013, in: ZUM 2013, S. 605 – 613. – Die Entwicklung des Internetstrafrechts 2014/2015, in: ZUM 2015, S. 772 – 782. – Die Entwicklung des Internetstrafrechts 2015/2016, in: ZUM 2016, S. 825 – 834. – Die Strafbarkeit von „Phishing“ und Identitätsdiebstahl – Eine Analyse der Reichweite des geltenden Strafrechts, in: CR 2005, S. 606 – 612. – Strafrechtliche und strafprozessuale Aspekte von Cloud Computing und Cloud Storage, in: CR 2010, S. 345 – 348. Gercke, Marco/Brunst, Phillip W., Praxishandbuch Internetstrafrecht, Stuttgart 2009 (zitiert als: Bearbeiter, in: Gercke/Brunst, Internetstrafrecht). Gersdorf, Hubertus/Paal, Boris P. (Hrsg.), Beck’scher Online-Kommentar Informations- und Medienrecht, 19. Auflage, München 2018 (zitiert als: Bearbeiter, in: BeckOK, Informationsund Medienrecht). Giebichenstein, Rüdiger, Chancen und Risiken beim Einsatz von Cloud Computing in der Rechnungslegung, in: BB 2011, S. 2218 – 2224. Giedke, Anna, Cloud Computing – Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, München 2013. Goeckenjan, Ingke, Auswirkungen des 41. Strafrechtsänderungsgesetzes auf die Strafbarkeit des „Phishing“, in: wistra 2009, S. 47 – 55.
Literaturverzeichnis
439
Göhler, Erich (Begr.), Gesetz über Ordnungswidrigkeiten – Beck’scher Kurzkommentar, 17. Auflage, München 2017 (zitiert als: Bearbeiter, Göhler (Begr.), OWiG). Gola, Peter (Hrsg.), Datenschutz-Grundverordnung – Kommentar, 2. Auflage, München 2018 (zitiert als: Bearbeiter, Gola (Hrsg.), DSGVO). – Datenschutz-Grundverordnung – Kommentar, 1. Auflage, München 2017 (zitiert als: Bearbeiter, Gola (Hrsg.), DSGVO1). Gola, Peter/Schomerus, Rudolf (Hrsg.), BDSG – Kommentar, 12. Auflage, München 2015 (zitiert als: Bearbeiter, in: Gola/Schomerus). Golla, Sebastian J., Die Straf- und Bußgeldtatbestände der Datenschutzgesetze – als Teil des Schutzes des informationellen Selbstbestimmungsrechts, Berlin 2015. – Papiertiger gegen Datenkraken: Zum Schutz der informationellen Selbstbestimmung durch das Strafrecht, in: ZIS 2016, S. 192 – 198. Golla, Sebastian J./Zur Mühlen, Nicolas von, Der Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei – Zur Legitimation und Zweckmäßigkeit eines allgemeinen Perpetuierungsdeliktes im Informationsstrafrecht, in: JZ 2014, S. 668 – 674. Göpfert, Burkard/Wilke, Elena, Nutzung privater Smartphones für dienstliche Zwecke, in: NZA 2012, S. 765 – 771. Gora, Stefan, Stealth Malware – Virtualisierungs-Rootkits, in: hakin9 2007, S. 1 – 5. Gossen, Heiko/Schramm, Marc, Das Verarbeitungsverzeichnis der DS-GVO – Ein effektives Instrument zur Umsetzung der neuen unionsrechtlichen Vorgaben, in: ZD 2017, S. 7 – 13. Götting, Horst-Peter/Nordemann, Axel (Hrsg.), NomosKommentar zum UWG, 3. Auflage, Baden-Baden 2016 (zitiert als: Bearbeiter, in: NK, UWG). Graf, Jürgen Peter, Beck’scher Online-Kommentar StPO mit RiStBV und MiStra, 29. Auflage, München 2018 (zitiert als: Bearbeiter, BeckOK StPO). – „Phishing“ derzeit nicht generell strafbar!, in: NStZ 2007, S. 129 – 132. – Stellungnahme zur öffentlichen Anhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 in Berlin zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656), abrufbar unter: http://www.ges mat.bundesgerichtshof.de/gesetzesmaterialien/16_wp/straendg_computer/Stellungnahme_ Graf.pdf (zitiert als: Graf, Stellungnahme). Graf, Jürgen Peter/Jäger, Markus/Wittig, Petra/Allgayer, Peter, Wirtschafts- und Steuerstrafrecht, 2. Auflage, München 2017 (zitiert als: Bearbeiter, Graf/Jäger/Wittig/Allgayer). Gravenreuth, Günter Freiherr von, Computerviren, Hacker, Datenspione, Crasher und Cracker – Überblick und rechtliche Einordnung, in: NStZ 1989, S. 201 – 207. Grenzer, Matthis/Heitmüller, Niklas, Zur Problematik des Personenbezuges beim Cloud Computing – Welche Bedeutung hat der Personenbezug von Daten für Cloud Computing und wonach beurteilt er sich?, in: PinG 2014, S. 221 – 223. Grimm, Detlef, Überwachung im Arbeitsverhältnis: Von Befragungen bis zur GPS-Ortung – wie viel Kontrolle ist erlaubt?, in: jM 2016, S. 17 – 27. Gröne, Michael/Winandy, Marcel, Applying a Security Kernel Framework to Smart Meter Gateways, in: Reimer, Helmut/Pohlmann, Norbert/Schneider, Wolfgang (Hrsg.), ISSE 2012
440
Literaturverzeichnis
Securing Electronic Business Processes – Highlights of the Information Security Solutions Europe 2012 Conference, Wiesbaden 2012, S. 252 – 259 (zitiert als: Gröne/Winandy, in: ISSE 2012). Gröseling, Nadine/Höfinger, Frank Michael, Computersabotage und Vorfeldkriminalisierung – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, in: MMR 2007, S. 626 – 630. – Hacking und Computerspionage – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, in: MMR 2007, S. 549 – 553. Groß, Stephan/Lischka, Mario/Gruschka, Nils/Miede, André/Jensen, Meiko/Mosch, Marc/ Schulte, Stefan/Siebenhaar, Melanie, Sicherheitsprobleme im Cloud Computing, in: PIK 2011, S. 126 – 134. Große Strafrechtskommission des Deutschen Richterbundes, Gutachten zum Thema: Auslagerung von Dienstleistungen durch Berufsgeheimnisträger und Datenaustausch zwischen Behörden, im Auftrag des Bundesministeriums der Justiz, Ergebnisse der Sitzung vom 31. Juli bis 05. August 2006 in Meißen. Grunewald, Ralph, Fern der Quelle – Geheimnisschutz und Outsourcing – Anmerkung zur Entscheidung des OLG Düsseldorf, III-5 Ss 163/06 – 59/06 I, vom 9. 2. 2007, in: WRP 2007, S. 1307 – 1310. Grünwald, Andreas/Döpkens, Harm-Randolf, Cloud Control? – Regulierung von Cloud Computing-Angeboten, in: MMR 2011, S. 287 – 290. Grünwald, Andreas/Hackl, Jens, Das neue umsatzbezogene Sanktionsregime der DS-GVO – Bußgeldbemessung nach kartellrechtlichen Maßstäben?, in: ZD 2017, S. 556 – 560. Grupp, Michael, Non-Legal Outsourcing: Ein erster Schritt aus einem großen Dilemma – Der Gesetzgeber will überflüssige Erlaubnisnormen schaffen, in: AnwBl 2017, S. 507 – 512. – Outsourcing und anwaltliches Berufsgeheimnis: Ein Ende in Sicht?, in: PinG 2017, S. 55 – 60. – Reform von Strafgesetzbuch und BRAO: Outsourcing in Kanzleien wird möglich – Das Berufsgeheimnis in der modernen Sozietät – wie Kanzleien sich vorbereiten sollten, in: AnwBl 2017, S. 816 – 822. Gruschka, Nils/Jensen, Meiko, Attack Surfaces: A taxonomy for attacks on Cloud Services, in: IEEE Computer Society (Hrsg.), IEEE 3rd International Conference on Cloud Computing (CLOUD), 5 – 10 July 2010, Miami, Florida, USA/Piscataway, New Jersey 2010, S. 276 – 279 (zitiert als: Gruschka/Jensen, in: CLOUD 2010). Grützner, Thomas/Jakob, Alexander, Compliance von A bis Z, 2. Auflage, München 2015 (zitiert als: Grützner/Jakob, Compliance). Grzywotz, Johanna/Köhler, Olaf Markus/Rückert, Christian, Cybercrime mit Bitcoints – Straftaten mit virtuellen Währungen, deren Verfolgung und Prävention, in: StV 2016, S. 753 – 759. Guenther, Gerhard/Tami, Farsin, IT Service Management aus der Cloud, in: Köhler-Schute, Christiana (Hrsg.), Cloud Computing: Flexible Services für Unternehmen – Strategien und Methoden, Lösungen und Praxisbeispiele, juristische Fallstricke, 2. Auflage, Berlin 2013, S. 113 – 129 (zitiert als: Guenther/Tami, in: Köhler-Schute (Hrsg.), Cloud Computing).
Literaturverzeichnis
441
Gull, Daniel, Erfolgsfaktoren beim Einsatz virtueller Infrastrukturen im Unternehmen, in: HMD 2010, S. 16 – 24. Gunasekhar, T./Rao, Thirupathi K./Basu, Trinath M., Understanding Insider Attack Problem and Scope in Cloud, in: IEEE (Hrsg.), 2015 International Conference on Circuit, Power and Computing Technologies (ICCPCT) – 19 – 20 March 2015, Kumaracoil, Thuckalay, Tamilnadu, India/Piscataway, New Jersey 2015, S. 1463 – 1468 (zitiert als: Gunasekhar/Rao/ Basu, in: IEEE (Hrsg.), ICCPCT). Gupta, Sanchika/Kumar, Padam/Abraham, Ajith, A Profile Based Network Intrusion Detection and Prevention System for Securing Cloud Environment, in: IJDSN 2013, S. 1 – 12. Gupta, Vishakha/Rai, Yogesh, A Survey Paper: Threats and Vulnerability in Cloud Computing, in: IJARCE 2015, S. 72 – 75. Gurlit, Elke, Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, in: NJW 2010, S. 1035 – 1041. Haas, Andreas/Hofmann, Annette, Risiken aus Cloud-Computing-Services – Fragen des Risikomanagements und Aspekte der Versicherbarkeit, 2. Auflage, Hohenheim 2013. Haft, Fritjof, Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität (2. WiKG) – Teil 2: Computerdelikte, in: NStZ 1987, S. 6 – 10. – Strafrecht Besonderer Teil II – Delikte gegen die Person und die Allgemeinheit, 8. Auflage, München 2005. Hahn, Jörg-Uwe/Bußmann, Heike, Der Hehler ist so schlimm wie der Stehler – auch im Internet!, in: DRiZ 2012, S. 223 – 224. Hansen, Marit, Vertraulichkeit und Integrität von Daten und IT-Systemen im Cloud-Zeitalter, in: DuD 2012, S. 407 – 411. Harte-Bavendamm, Henning/Henning-Bodewig, Frauke (Hrsg.), Gesetz gegen den unlauteren Wettbewerb (UWG), 4. Auflage, München 2016 (zitiert als: Bearbeiter, Harte-Bavendamm/ Henning-Bodewig (Hrsg.)). Harter, Reinhard, Big Data Trends 2016, in: ERP Management (1) 2016, S. 57 – 58. Härting, Niko, Datenschutz-Grundverordnung, Köln 2016. – Datenschutzreform in Europa: Einigung im EU-Parlament – Kritische Anmerkungen, in: CR 2017, S. 715 – 721. – E-Mail und Telekommunikationsgeheimnis – Die drei Gesichter der E-Mail: Telekommunikation, Datensatz, elektronischer Brief, in: CR 2007, S. 311 – 317. Hartmann, Sarah, Verfassungsbeschwerde gegen Straftatbestand der Datenhehlerei, in: MMRAktuell 2017, S. 385 – 442. Hartung, Jürgen, Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, in: VersR 2012, S. 400 – 410. Hartung, Jürgen/Büttgen, Lisa, Die Auftragsdatenverarbeitung nach der DS-GVO, in: DuD 2017, S. 549 – 554. Hartung, Jürgen/Steinweg, Helge, Cloud Computing im Lichte der Neuregelung des § 203 StGB, in: DB 2017, S. 2081 – 2089.
442
Literaturverzeichnis
Haselmann, Till, Cloud-Services in kleinen und mittleren Unternehmen – Nutzen, Vorgehen, Kosten, Münster 2012. Hassemer, Ines M./Ingeberg, Thorsten, Dual-Use-Software aus der Perspektive des Strafrechts (§ 202c StGB), in: ITRB 2009, S. 84 – 87. Hecker, Bernd, Europäisches Strafrecht, 5. Auflage, Berlin/Heidelberg 2015. – Die Strafbarkeit grenzüberschreitender Luftverunreinigungen im deutschen und europäischen Umweltstrafrecht, in: ZStW 2003, S. 880 – 905. Heckmann, Dirk (Hrsg.), Cloud Computing in der öffentlichen Verwaltung? – Rechtliche Grenzen für eine Lockerung staatlicher Datenherrschaft, in: Hill, Hermann/Schliesky, Utz (Hrsg.), Innovationen im und durch Recht – Evolution des Rechts- und Verwaltungssystems II, Band 15, Baden-Baden 2010, S. 97 – 113 (zitiert als: Heckmann, in: Hill/Schliesky (Hrsg.), Innovationen). – juris PraxisKommentar Internetrecht – Telemediengesetz, E-Commerce, E-Government, 5. Auflage, Saarbrücken 2017 (zitiert als: Bearbeiter, in: Juris-PraxisKommentar). – Persönlichkeitsschutz im Internet – Anonymität der IT-Nutzung und permanente Datenverknüpfung als Herausforderung für Ehrschutz und Profilschutz, in: NJW 2012, S. 2631 – 2635. – Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen – Maßstäbe für ein IT-Sicherheitsrecht, in: MMR 2006, S. 280 – 285. Heermann, Peter W./Schlingloff, Jochen (Hrsg.), Münchener Kommentar zum Lauterkeitsrecht – Band 2, §§ 5 – 20 UWG, 2. Auflage, München 2014 (zitiert als: Bearbeiter, Heermann/ Schlingloff (Hrsg.), UWG). Heghmanns, Michael, Strafbarkeit des „Phishing“ von Bankkontendaten und ihrer Verwertung, in: wistra 2007, S. 167 – 170. Heghmanns, Michael/Kusnik, Katharina, Zur strafrechtlichen Relevanz fremd veranlasster Verluste in Online-Spielen, in: CR 2011, S. 248 – 253. Heghmanns, Michael/Niehaus, Holger, Datenschutz und strafrechtliche Risiken beim Outsourcing durch private Versicherungen, in: wistra 2008, S. 161 – 167. – Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB, in: NStZ 2008, S. 57 – 62. Heidrich, Joerg, Rechtliche Fragen bei der Verwendung von DNS-Blacklisting zur SpamFilterung, in: CR 2009, S. 168 – 173. Heidrich, Joerg/Tschoepe, Sven, Rechtsprobleme der E-Mail-Filterung, in: MMR 2004, S. 75 – 80. Heidrich, Joerg/Wegener, Christoph, Sichere Datenwolken – Cloud Computing und Datenschutz, in: MMR 2010, S. 803 – 807. Heier, Hauke/Abt, Tobias/Maistry, Mervyn/Schewski, Fiona, Cloudrise – Chancen und Risiken von IT-Governance vor dem Hintergrund von Cloud Computing, in: Köhler-Schute, Christiana (Hrsg.), Cloud Computing: Flexible Services für Unternehmen – Strategien und Methoden, Lösungen und Praxisbeispiele, juristische Fallstricke, 2. Auflage, Berlin 2013,
Literaturverzeichnis
443
S. 46 – 66 (zitiert als: Heier/Abt/Maistry/Schewski, in: Köhler-Schute (Hrsg.), Cloud Computing). Heinrich, Bernd, Aufnahme der Strafvorschriften des Urheberstrafrechts ins StGB?, in: Bullinger, Winfried/Wöhrn, Kirsten-Inger/Grunert, Eike/Ohst, Claudia (Hrsg.), Festschrift für Artur-Axel Wandtke zum 70. Geburtstag am 26. März 2013, Berlin/Boston 2013 (zitiert als: Heinrich, in: FS Wandtke). – Der Erfolgsort beim abstrakten Gefährdungsdelikt, in: GA 1999, S. 72 – 84. Heintschel-Heinegg, Bernd (Hrsg.), Beck’scher Online Kommentar StGB, 37. Auflage, München 2018 (zitiert als: Bearbeiter, in: BeckOK StGB). Hellwig, Hans-Jürgen, Non-legal Outsourcing und Anwaltsgeheimnis – Die Ermächtigung in der BRAO nutzen: Satzungsversammlung kann es regeln, in: AnwBl 2012, S. 590 – 593. Helmbrecht, Udo, Data Protection and Legal Compliance in Cloud Computing, in: DuD 2010, S. 554 – 556. Hennrich, Thorsten, Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz, Berlin 2016. – Compliance in Clouds – Datenschutz und Datensicherheit in Datenwolken, in: CR 2011, S. 546 – 552. Herfurth, Constantin/Drews, Daniel, Verfassungsbeschwerde gegen Straftatbestand der Datenhehlerei (§ 202 d StGB), in: ZD-Aktuell 2017, S. 5490. Herrmann, Gunnar, Die Strafbarkeit des Phishing, in: StRR 2008, S. 248 – 252. Heymann, Thomas, Der Schutz von Daten bei der Cloud Verarbeitung, in: CR 2015, S. 807 – 811. – Rechte an Daten – Warum Daten keiner eigentumsrechtlichen Logik folgen, in: CR 2016, S. 650 – 657. Hilber, Marc (Hrsg.), Handbuch Cloud Computing, Köln 2014 (zitiert als: Bearbeiter, in: Hilber (Hrsg.), Handbuch Cloud Computing). Hilgendorf, Eric, Die Neuen Medien und das Strafrecht, in: ZStW 2001, S. 650 – 680. – Grundfälle zum Computerstrafrecht, in: JuS 1996, S. 509 – 512. – Grundfälle zum Computerstrafrecht, in: JuS 1996, S. 702 – 706. – Grundfälle zum Computerstrafrecht, in: JuS 1996, S. 890 – 894. – Grundfälle zum Computerstrafrecht, in: JuS 1996, S. 1082 – 1084. – Grundfälle zum Computerstrafrecht, in: JuS 1997, S. 323 – 331. – Strafbarkeitsrisiken nach § 203 StGB bei Offenbarungsketten im Kontext des IT-Outsourcing, in: Sieber, Ulrich (Hrsg.), Strafrecht und Wirtschaftsstrafrecht: Dogmatik, Rechtsvergleich, Rechtstatsachen, Festschrift für Klaus Tiedemann zum 70. Geburtstag, Köln 2008, S. 1125 – 1141 (zitiert als: Hilgendorf, in: FS Tiedemann). – Strafrechtliche Probleme beim Outsourcing von Versicherungsdaten, in: Hilgendorf, Eric (Hrsg.), Informationsstrafrecht und Rechtsinformatik, Berlin 2004, S. 81 – 118 (zitiert als: Hilgendorf, in: Hilgendorf (Hrsg.), Informationsstrafrecht).
444
Literaturverzeichnis
– Überlegungen zur strafrechtlichen Interpretation des Ubiquitätsprinzips im Zeitalter des Internet, in: NJW 1997, S. 1873 – 1878. Hilgendorf, Eric/Valerius, Brian, Computer- und Internetstrafrecht – Ein Grundriss, 2. Auflage, Berlin/Heidelberg 2012. Hirsnik, Erkki, Die Strafbarkeit eines Angriffs auf das Computersystem nach deutschem, estnischem, europäischem und internationalem Recht, Hamburg 2013. Hochmayr, Gudrun, Eine echte Kriminalstrafe gegen Unternehmen und das Schuldprinzip, in: ZIS 2016, S. 226 – 230. Hoenike, Mark/Hülsdunk, Lutz, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung?, in: MMR 2004, S. 788 – 792. Hoeren, Thomas, Dateneigentum – Versuch einer Anwendung von § 303a StGB im Zivilrecht, in: MMR 2013, S. 486 – 491. – Virenscanning und Spamfilter – Rechtliche Möglichkeiten im Kampf gegen Viren, Spams & Co., in: NJW 2004, S. 3513 – 3517. Hoeren, Thomas/Münker, Reiner, Die EU-Richtlinie für den Schutz von Geschäftsgeheimnissen und ihre Umsetzung – unter besonderer Berücksichtigung der Produzentenhaftung, in: WRP 2108, S. 150 – 155. Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.), Handbuch Multimedia-Recht, 45. Ergänzungslieferung, München 2017 (zitiert als: Bearbeiter, in: Hoeren/Sieber/Holznagel (Hrsg.), Multimedia-Recht). Hoffmann, Benjamin, Hostvirtualisierung – Vergleich der Konzepte und Produkte, in: Helmbrecht, Udo/Teege, Gunnar/Stelte, Björn (Hrsg.), Virtualisierung: Techniken und sicherheitsorientierte Anwendungen, S. 7 – 33 (zitiert als: Hoffmann, in: Helmbrecht/Teege/Stelte (Hrsg.), Virtualisierung). Höfinger, Frank Michael, Anmerkung zu AG Wuppertal, Urteil vom 3. 4. 2007 – 22 Ds 70 Js 6906/06, in: MMR 2008, S. 632 – 635. – Zur Straflosigkeit des sogenannten „Schwarz-Surfens“ – Anmerkung zu LG Wuppertal ZUM 2011, 190, in: ZUM 2011, S. 212 – 215. Hofmann, Johanna M., Anforderungen aus DS-GVO und NIS-RL an das Cloud Computing, in: ZD-Aktuell 2017, 05488. – Dynamische Zertifizierung von Cloud Computing-Diensten: Eine rechtswissenschaftliche Betrachtung am Beispiel der Verfügbarkeit, in: Cunningham, Douglas/Hofstedt, Petra/Meer, Klaus/Schmitt, Ingo (Hrsg.), INFORMATIK 2015 – GI-Edition – Lecture Notes in Informatics (LNI), Bonn 2015, S. 539 – 548 (zitiert als: Hofmann, in: INFORMATIK 2015). – Zertifizierungen nach der DS-GVO, in: ZD-Aktuell 2016, 05324. Hofmann, Johanna M./Johannes, Paul C., DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs – Begriffserklärung der entscheidenden Frage des sachlichen Anwendungsbereichs, in: ZD 2017, S. 221 – 226. Holleben, Kevin Max von/Knaut, Johannes, Die Zukunft der Auftragsdatenverarbeitung – Privilegierung, Haftung, Sanktionen und Datenübermittlung mit Auslandsbezug unter der DSGVO, in: CR 2017, S. 299 – 306.
Literaturverzeichnis
445
Höllwarth, Tobias, Cloud Migration – Der Weg in die Cloud, 3. Auflage, Heidelberg/Hamburg 2014. Hombrecher, Lars, Grundzüge und praktische Fragen des Internationalen Strafrechts – Teil 1: Strafanwendungsrecht und Internationale Rechtshilfe, in: JA 2010, S. 637 – 645. Hoppe, René/Braun, Frank, Arbeitnehmer-E-Mails: Vertrauen ist gut – Kontrolle ist schlecht – Auswirkungen der neuesten Rechtsprechung des BVerfG auf das Arbeitsverhältnis, in: MMR 2010, S. 80 – 84. Hoppen, Peter, Sicherung von Eigentumsrechten an Daten – Technisch basierte Anmerkungen zur Rechtsentwicklung, in: CR 2015, S. 802 – 806. Hornung, Gerrit, Ein neues Grundrecht – Der verfassungsrechtliche Schutz der „Vertraulichkeit und Integrität informationstechnischer Systeme“, in: CR 2008, S. 299 – 306. Hornung, Gerrit/Sädtler, Stephan, Eitel Sonnenschein oder Wolken am Horizont? – Cloud Computing im Gesundheitswesen und die rechtlichen Schutzinstrumente der TelematikInfrastruktur, in: DuD 2013, S. 148 – 153. – Europas Wolken – Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Computing, in: CR 2012, S. 638 – 645. Hügel, Stefan/Meyer-Ebrecht, Dietrich, Cyberspace, der neue Wilde Westen – Cybercrime, Cyberterrorism, Cyberwar – Panikmache oder unterschätzte Gefahren, in: Vorgänge Nr. 209 2014, S. 4 – 17. Hunker, Jeffrey/Probst, Christian W., Insiders and Insider Threats: An Overview of Definitions and Mitigation Techniques, in: JoWUA (2) 2011, S. 4 – 27. IBM, 2016 Cyber Security Intelligence Index, abrufbar unter: https://securityintelligence.com/ this-just-in-read-all-about-it-an-ibm-survey-of-the-threat-landscape/ (zitiert als: IBM, Cyber Security 2016). – Cloud Computing Reference Architecture (CCRA) – 4.0 Overview, Version 2 vom 18. September 2014, abrufbar unter: https://www.ibm.com/developerworks/community/ groups/service/html/communityview?communityUuid=033c9a82-ce55-4dd5-99e4-fa2b4 b939585#fullpageWidgetId=Wcfdc6c8ab3f0_4664_9095_3d36b49fbb9e&file=56af12bb6259-4cc6-bf6d-2776682bd232 (zitiert als: IBM, CCRA 4.0). Inci, Mehmet Sinan/Gülmezog˘ lu, Berk/Irazoqui, Gorka/Eisenbarth, Thomas/Sunar, Berk, Seriously, get off my cloud! – Cross-VM RSA Key Recovery in a Public Cloud, in: ePrint Archive: Report 2015/898, S. 1 – 15, abrufbar unter: https://eprint.iacr.org/2015/898. Innovationsstiftung Bayerische Kommune, Compliant Community Cloud (C3) – Sicheres ITOutsourcing für Kommunen, abrufbar unter: https://www.bay-innovationsstiftung.de/filead min/docs/Cloud_Stiftung_2013.pdf. International Working Group on Data Protection in Telecommunications, Arbeitspapier Cloud Computing – Fragen des Schutzes der Privatsphäre und des Datenschutzes – Sopot Memorandum, 51. Sitzung, 23.–24. April 2012, abrufbar unter: http://www.bfdi.bund.de/Shared Docs/Publikationen/Sachthemen/BerlinGroup/51_Cloud_Computing.html?nn=5217132. Internet Engineering Task Force, Cloud Reference Framework – Internet-Draft vom 09. April 2015, abrufbar unter: https://www.ietf.org/archive/id/draft-khasnabish-cloud-reference-frame work-08.txt.
446
Literaturverzeichnis
Intveen, Michael/Lohmann, Lutz, Die Haftung des Providers bei ASP-Verträgen – Wonach richtet sich die Providerhaftung und welche vertraglichen Möglichkeiten zur Beschränkung gibt es noch?, in: ITRB 2002, S. 210 – 213. ISO/IEC 17788:2014, Information technology – Cloud computing – Overview and vocabulary vom 15. 10. 2014, abrufbar unter: http://standards.iso.org/ittf/PubliclyAvailableStandards/in dex.html. ISO/IEC 17789:2014, Information technology – Cloud Computing – Reference architecture vom 15. 10. 2014, abrufbar unter: http://standards.iso.org/ittf/PubliclyAvailableStandards/in dex.html. Jaeger, Stefan, Anbieten von „Hacker-Tools“ – Zur Strafbarkeit „neutraler Handlungen“ als Beihilfe, in: RDV 1998, S. 252 – 255. Jäger, Bernd/Kraft, Reiner/Selzer, Annika/Waldmann, Ulrich, Die Kontrolle des Umsetzungsgrades des Zugangs- und Zugriffsschutzes – Teilautomatisierte Datenschutzkontrollen im Cloud-Umfeld zur Stärkung des Vertrauens in Cloud-Dienste, in: DuD 2016, S. 239 – 243. – Die teilautomatisierte Verifizierung der getrennten Verarbeitung in der Cloud, in: DuD 2016, S. 305 – 309. – Werkzeuge zur Messung der datenschutzkonformen Einhaltung des Verarbeitungsstandorts in der Cloud, in: Cunningham, Douglas/Hofstedt, Petra/Meer, Klaus/Schmitt, Ingo (Hrsg.), INFORMATIK 2015 – GI-Edition – Lecture Notes in Informatics (LNI), Bonn 2015, S. 525 – 537 (zitiert als: Jäger/Kraft/Selzer/Waldmann, in: INFORMATIK 2015). Jäger, Bernd/Kraft, Reiner/Waldmann, Ulrich/Luhn, Sebastian/Wilmer, Thomas, Datenschutz in der Cloud – Kennzahlen für mehr Vertrauen, in: BSI (Hrsg.), Risiken kennen, Herausforderungen annehmen, Lösungen gestalten: – Tagungsband zum 14. Deutschen IT-Sicherheitskongress des BSI 2015, Gau-Algesheim 2015, S. 231 – 243 (zitiert als: Jäger/Kraft/ Waldmann/Luhn/Wilmer, in: BSI 2015). Jäger, Bernd/Selzer, Annika/Waldmann, Ulrich, Die automatisierte Messung von Cloud-Verarbeitungsstandorten – Datenquellen für eine Standortmetrik, in: DuD 2015, S. 26 – 30. Jäger, Hubert/Ernst, Edmund, Telekommunikation, bei der nicht nur Inhalte, sondern auch Metadaten geschützt sind, in: Schartner, Peter/Lipp, Peter (Hrsg.), D-A-CH Security 2014 – Bestandsaufnahme, Konzepte, Anwendungen, Perspektiven, Arbeitskonferenz, Graz, 16. – 17. 9. 2014, Frechen 2014, S. 191 – 202 (zitiert als: Jäger/Ernst, in: D-A-CH Security 2014). Jäger, Hubert/Monitzer, Arnold/Rieken, Ralf/Ernst, Edmund/Nguyen, Khiem Dau, Sealed Cloud – A Novel Approach to Safeguard against Insider Attacks, in: Krcmar, Helmut/ Reussner, Ralf/Rumpe, Bernhard (Hrsg.), Trusted Cloud Computing, Heidelberg 2014, S. 15 – 35 (zitiert als: Jäger/Monitzer/Rieken/Ernst/Nguyen, in: Trusted Cloud). Jahn, Matthias/Palm, Jasmin, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen?, in: AnwBl 2011, S. 613 – 621. Jähnke, Burkhard/Schramm, Edward, Europäisches Strafrecht, Berlin/Boston 2017. Jandt, Silke/Roßnagel, Alexander, Social Networks für Kinder und Jugendliche – Besteht ein ausreichender Datenschutz?, in: MMR 2011, S. 637 – 642. Janowicz, Krzysztof, Sicherheit im Internet – Gefahren einschätzen, Risiken minimieren: fundiertes Hintergrundwissen rund ums Internet, 3. Auflage, Beijing 2007.
Literaturverzeichnis
447
Jeganathan, T.V.S./Prakasam, T. Arun, Secure Cloud Computing Environment from attackers using Intrusion Detection System, in: IJARCST (2) 2014, S. 181 – 186. Jensen, Meiko/Gruschka, Nils/Herkenhöner, Ralph, A survey of attacks on web services – Classification and countermeasures, in: CSRD (24) 2009, S. 185 – 197. Jensen, Meiko/Schwenk, Jörg/Gruschka, Nils/Lo lacono, Luigi, On technical security issues in Cloud Computing, in: IEEE Computer Society (Hrsg.), Proceedings of the 8th International Conference on Cloud Computing (CLOUD II), 21 – 25 Sept. 2009, Bangalore, India/Piscataway, New Jersey 2009, S. 109 – 116 (zitiert als: Jensen/Schwenk/Gruschka/Lo lacono, in: Cloud 2009). Jessen, Ernst, Zugangsberechtigung und besondere Sicherung im Sinne von § 202a StGB – Datensicherung – Nicht nur ein juristisches Problem, Frankfurt am Main 1994. Joecks, Wolfgang (Begr.)/Jäger, Christian, Studienkommentar StGB, 12. Auflage, München 2018. Johanning, Volker/Mildner, Roman, Car IT kompakt – Das Auto der Zukunft – Vernetzt und autonom fahren, Wiesbaden 2015. Jones, Christopher, Cloud-Computing: Straf- und datenschutzrechtliche Einordnung, in: Herczeg, Jirˇí/Hilgendorf, Eric/Grˇivna, Tomásˇ (Hrsg.), Internetkriminalität und die neuen Herausforderungen der Informationsgesellschaft des 21. Jahrhunderts, 1. Auflage, Praha 2010, S. 129 – 143 (zitiert als: Jones, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität). – Mobile internetfähige Geräte im Strafrecht, Berlin 2014. Jotzo, Florian, Der Schutz personenbezogener Daten in der Cloud, 1. Auflage, Baden-Baden 2013. Jüngel, Marc/Schwan, Markus Alexander/Neumann, Nicolas, Das Abfangen von E-Mails nach § 303a StGB, in: MMR 2005, S. 820 – 824. Kalabis, Lukas/Kunz, Thomas/Wolf, Ruben, Sichere Nutzung von Cloud-Speicherdiensten – Wie die Trennung von Identity-, Access- und Key-Management für mehr Sicherheit und Flexibilität sorgt, in: DuD 2013, S. 512 – 516. Kalbfus, Björn, Die EU-Geschäftsgeheimnis-Richtlinie – Welcher Umsetzungsbedarf besteht in Deutschland?, in: GRUR 2016, S. 1009 – 1017. Kandias, Miltiadis/Virvilis, Nikos/Gritzalis, Dimitris, The Insider Threat in Cloud Computing, in: Bologna, Sandro/Hämmerli, Bernhard/Gritzalis, Dimitris/Wolthusen, Stephen (Hrsg.), Critical Information Infrastructure Security – 6th International Workshop, CRITIS 2011, Lucerne, Switzerland, September 8 – 9, 2011, Berlin 2013, S. 93 – 104 (zitiert als: Kandias/ Virvilis/Gritzalis, in: Bologna/Hämmerli/Gritzalis/Wolthusen (Hrsg.), CRITIS 2011). Kappes, Martin, Netzwerk- und Datensicherheit – Eine praktische Einführung, 2. Auflage, Wiesbaden 2013. Karg, Moritz/Fahl, Constantin, Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken, in: K&R 2011, S. 453 – 458. Kargl, Walther, Die Verletzung von Mandatsgeheimnissen bei der Mitwirkung Dritter – Zu den Gesetzesentwürfen des Bundesjustizministeriums und der Bundesregierung zur Änderung des § 203 StGB, in: StV 2017, S. 482 – 488.
448
Literaturverzeichnis
Karlinger, Michael/Ettmayer, Klaus/Schrefl, Michael, Verschlüsselung bei ausgelagerter Datenhaltung, in: HMD (48) 2011, S. 35 – 43. Kasper, Karsten, Wirtschaftsspionage und Konkurrenzausspähung – eine Analyse des aktuellen Forschungsstandes – Ergebnisbericht einer Sekundäranalyse vom 27. 10. 2015, abrufbar unter: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/Publikationsreihen/For schungsergebnisse/2015WirtschaftsspionageUndKonkurrenzausspaehung.html. Kaspersky Lab, Denial of Service: How business evaluate the threat of DDOS attacks – IT security risks special report series, abrufbar unter: https://kasperskycontenthub.com/presscen ter/files/2015/09/IT_Risks_Survey_Report_Threat_of_DDoS_Attacks.pdf. Kast, Christian R., Verschlüsselung, in: Conrad, Isabell/Grützmacher, Malte (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, Köln 2014, S. 1074 – 1096 (zitiert als: Kast, in: Conrad/Grützmacher (Hrsg.), Recht der Daten). Keppeler, Lutz Martin, Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, in: MMR 2015, S. 779 – 783. Khalil, Issa/Khreishah, Abdallah/Azeem, Muhammad, Cloud Computing Security: A Survey, in: Computers (3) 2014, S. 1 – 35. King, Samuel/Chen, Peter/Wang, Yi-Min/Verbowski, Chad/Wang, Helen/Lorch, Jacob, SubVirt: Implementing Malware with Virtual Machines, in: Werber, Bob (Hrsg.), 2006 IEEE Symposium on Security and Privacy (S&P 2006) – 21 – 24 May 2006, Berkeley, Oakland, California/Piscataway, NJ 2006, S. 314 – 328 (zitiert als: King/Chen/Wang/Verbowski/Wang/ Lorch, in: S&P 2006). Kirchner, Christian, Der neue Straftatbestand der Datenhehlerei nach § 202d StGB, in: Kriminalistik 2016, S. 368 – 371. Kitz, Volker, Der Gewaltbegriff im Informationszeitalter und die strafrechtliche Beurteilung von Onlineblockaden – Zugleich Anmerkung zu OLG Frankfurt am Main, Beschluss vom 22. Mai 2006-1 Ss 319/05, in: ZUM 2006, S. 730 – 737. – Meine E-Mails les’ ich nicht! – Zur Einwilligung in die Spamfilterung, in: CR 2005, S. 450 – 454. Klar, Manuel, Die extraterritoriale Wirkung des neuen europäischen Datenschutzrechts, in: DuD 2017, S. 533 – 537. Klengel, Jürgen Detlef/Heckler, Andreas, Geltung des deutschen Strafrechts für vom Ausland aus im Internet angebotenes Glücksspiel – Ein Beitrag zur Frage des Erfolgsorts bei abstrakten Gefährdungsdelikten und zugleich eine Besprechung der Entscheidung des BGH v. 12. 12. 2000 – 1 StR 184/00, in: CR 2001, S. 243 – 249. Klieme, Eric/Strick, Linda/Wunderlich, Wolfgang/Braun, Johannes/Wiesmaier, Alexander, Der elektronische Safe als vertrauenswürdiger Cloud Service – ISPRAT-Studie, September 2011, abrufbar unter: http://publica.fraunhofer.de/documents/N-320224.html. Knierim, Thomas C./Oehmichen, Anna/Beck, Susanne/Geisler, Claudius, Gesamtes Strafrecht aktuell, 1. Auflage, Baden-Baden 2018 (zitiert als: Bearbeiter, in: Knierim/Oehmichen/ Beck/Geisler (Hrsg.), Gesamtes Strafrecht). Knupfer, Jörg, Phishing for Money, in: MMR 2004, S. 641 – 642.
Literaturverzeichnis
449
Koch, Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, 1. Auflage, Baden-Baden 2008. Koch, Frank A., Arbeitsrechtliche Auswirkungen von „Bring your own Device“ – Die dienstliche Nutzung privater Mobilgeräte und das Arbeitsrecht, in: ITRB 2012, S. 35 – 39. – Grid Computing im Spiegel des Telemedien-, Urheber- und Datenschutzrechts, in: CR 2006, S. 112 – 120. Kochheim, Dieter, Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, München 2015. Köhler, Helmut/Bornkamm, Joachim/Feddersen, Jörn (Hrsg.), Gesetz gegen den unlauteren Wettbewerb – Preisangabenverordnung, Unterlassungsklagengesetz, Dienstleistungs-Informationspflichten-Verordnung, 36. Auflage, München 2018 (zitiert als: Bearbeiter, Köhler/ Bornkamm/Feddersen (Hrsg.), UWG). Köhler, Markus/Fetzer, Thomas, Recht des Internet, 8. Auflage, Heidelberg 2016. Kortchinsky, Kostya, Cloudburst – A VMware Guest to Host Escape Story, BlackHat, USA 2009, Las Vegas, abrufbar unter: https://www.blackhat.com/presentations/bh-usa-09/KORT CHINSKY/BHUSA09-Kortchinsky-Cloudburst-SLIDES.pdf (zitiert als: Kortchinsky, Cloudburst). KPMG AG, e-Crime-Studie 2010 – Computerkriminalität in der deutschen Wirtschaft, abrufbar unter: https://www.kpmg.de/docs/20100810_kpmg_e-crime.pdf. KPMG AG/Bitkom Research GmbH, Cloud Monitor 2016 – Cloud-Computing in Deutschland – Status quo und Perspektiven, abrufbar unter: http://hub.kpmg.de/cloud-monitor-2016. Kranawetter, Michael, Identität in der Cloud und on premise – Einsatz des Active Directories und von Windows Azure, in: DuD 2013, S. 517 – 520. Krauß, Detlef, Schweigepflicht und Schweigerecht des ärztlichen Sachverständigen im Strafprozess, in: ZStW 1985, S. 81 – 120. Krcmar, Helmut, Chancen und Risiken von Cloud Computing für die deutsche Wirtschaft, in: Roßnagel, Alexander (Hrsg.), Wolken über dem Rechtsstaat? – Recht und Technik des Cloud Computing in Verwaltung und Wirtschaft, Band 33, 1. Auflage, Baden-Baden 2015, S. 55 – 70 (zitiert als: Krcmar, in: Roßnagel (Hrsg.), Wolken). Kremer, Sascha, Datenschutz bei Entwicklung und Nutzung von Apps für Smart Devices, in: CR 2012, S. 438 – 446. Kremer, Sascha/Sander, Stefan, Bring your own Device, in: ITRB 2012, S. 275 – 280. Kremer, Sascha/Völkel, Christian, Cloud Storage und Cloud Collaboration als Telekommunikations-dienste – Wann Funktionalitäten von Cloud Services unter das TKG fallen, in: CR 2015, S. 501 – 505. Krey, Volker/Heinrich, Manfred/Hellmann, Uwe, Strafrecht Besonderer Teil I, Band 1, Besonderer Teil ohne Vermögensdelikte, 16. Auflage, Stuttgart 2015. Krischker, Sven, Das Internetstrafrecht vor neuen Herausforderungen, Berlin 2014. Kroschwald, Steffen, Informationelle Selbstbestimmung in der Cloud, Wiesbaden 2016 (zitiert als: Kroschwald, Informationelle Selbstbestimmung).
450
Literaturverzeichnis
– Verschlüsseltes Cloud Computing – Anwendung des Daten- und Geheimnisschutzrechts auf „betreibersichere“ Clouds am Beispiel der „Sealed Cloud“, in: Taeger, Jürgen (Hrsg.), Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Tagungsband Herbstakademie 2013, Band 1, Edewecht 2013, S. 289 – 308 (zitiert als: Kroschwald, in: LaaS). Kroschwald, Steffen/Roßnagel, Alexander/Wicker, Magda, Staatliche Zugriffe auf Daten in der Cloud, in: Krcmar, Helmut/Leimeister, Jan Marco/Roßnagel, Alexander/Sunyaev, Ali (Hrsg.), Cloud-Services aus der Geschäftsperspektive, Wiesbaden 2016, S. 301 – 325 (zitiert als: Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services). – Strafrechtliche Risiken beim Cloud Computing, in: Krcmar, Helmut/Leimeister, Jan Marco/ Roßnagel, Alexander/Sunyaev, Ali. (Hrsg.), Cloud-Services aus der Geschäftsperspektive, Wiesbaden 2016, S. 279 – 301 (zitiert als: Kroschwald/Roßnagel/Wicker, in: Krcmar/Leimeister/Roßnagel/Sunyaev (Hrsg.), Cloud-Services). Kroschwald, Steffen/Wicker, Magda, Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB, in: CR 2012, S. 758 – 764. Krutisch, Dorothee, Strafbarkeit des unberechtigten Zugangs zu Computerdaten und -systemen, Frankfurt am Main 2004. Kubiciel, Michael/Gräbener, Niklas, Grundlinien eines modernen Verbandssanktionenrechts, in: ZRP 2016, S. 137 – 140. Kühling, Jürgen/Biendl, Michael, Datenschutzrecht – Basis und Bremse des Cloud Computing – Rechtliche Hemmnisse und Lösungsvorschläge für eine breitere Etablierung von CloudDiensten, in: CR 2014, S. 150 – 156. Kühling, Jürgen/Buchner, Benedikt (Hrsg.), Datenschutz-Grundverordnung, Bundesdatenschutzgesetz – Kommentar, 2. Auflage, München 2018 (zitiert als: Bearbeiter, Kühling/ Buchner (Hrsg.), DSGVO/BDSG). Kühling, Jürgen/Martini, Mario/Heberlein, Johanna/Kühl, Benjamin/Nink, David/Weinzierl, Quirin/Wenzel, Michael, Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zum innerstaatlichen Regelungsbedarf, abrufbar unter: http://www.foev-spey er.de/files/de/downloads/Kuehling_Martini_et_al_Die_DSGVO_und_das_nationale_ Recht_2016.pdf. Kühn, Christoph, Abruf von Daten durch Unbefugte – Anmerkungen zu dem Beschluss des BayObLG vom 12. 08. 1998 – 5 St RR 122/98, in: StV 1999, S. 214 – 215. Kunz, Thomas/Niehues, Peter/Waldmann, Ulrich, Technische Unterstützung von Audits bei Cloud-Betreibern – Automatisierte Kontrolle auf Basis sicherer Log-Daten, in: DuD 2013, S. 521 – 525. Kusnetzky, Dan, Virtualization: A Manger’s Guide, Sebastopol 2011. Kusnik, Katharina, Abfangen von Daten – Straftatbestand des § 202b StGB auf dem Prüfstand, in: MMR 2011, S. 720 – 726. – Strafbarkeit der Daten- bzw. Informationsspionage in Deutschland und Polen, 1. Auflage, Baden-Baden 2012. Kutscha, Martin, Das „Computer-Grundrecht“ – eine Erfolgsgeschichte?, in: DuD 2012, S. 391 – 394.
Literaturverzeichnis
451
Lackner, Karl/Kühl, Kristian (Hrsg.), Strafgesetzbuch Kommentar, 29. Auflage, München 2018 (zitiert als: Bearbeiter, in: Lackner/Kühl). LaFave, Wayne R., Substantive Criminal Law – West’s Criminal Practice Series, Volume 2, Sections 9.1 to 17.5, 2nd Edition, Champaign, Illinois 2003. Langmann, Reinhard/Stiller, Michael, Industrial Cloud – Status und Ausblick, in: HMD (52) 2015, S. 647 – 664. Larenz, Karl/Canaris, Claus-Wilhelm, Methodenlehre der Rechtswissenschaft, 3. Auflage, Berlin 1995. Laue, Philip/Stiemerling, Oliver, Identitäts- und Zugriffsmanagement für Cloud Computing Anwendungen – Technisch-organisatorische Probleme, rechtliche Risiken und Lösungsansätze, in: DuD 2010, S. 692 – 697. Lehmann, Michael/Giedke, Anna, Cloud Computing – technische Hintergründe für die territorial gebundene rechtliche Analyse – Cloudspezifische Serververbindungen und eingesetzte Virtualisierungstechnik, in: CR 2013, S. 608 – 616. Lehmann, Michael/Meents, Jan Geert (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht, 2. Auflage, Köln 2011 (zitiert als: Bearbeiter, in: Lehmann/Meents (Hrsg.), Handbuch Informationstechnologierecht). Lehner, Wolfgang/Sattler, Kai-Uwe, Web-Scale Data Management for the Cloud, New York 2013. Leicht, Armin, Computerspionage – Die besondere Sicherung gegen unberechtigten Zugang (§ 202a StGB), in: iur 1987, S. 45 – 53. Leipold, Klaus/Tsambikakis, Michael/Zöller, Mark A. (Hrsg.), AnwaltKommentar StGB, 2. Auflage, Heidelberg 2015 (zitiert als: Bearbeiter, in: AnwK-StGB). Leipziger Kommentar, StGB, Großkommentar (zitiert als: Bearbeiter, LK). – Band 1, Einleitung, §§ 1 bis 31, Laufhütte, Wilhelm/Rissing-van Saan, Ruth/Tiedemann, Klaus (Hrsg.), 12. Auflage, Berlin 2007. – Band 5, §§ 146 – 222, Jähnke, Burkhard/Laufhütte, Heinrich Wilhelm/Odersky, Walter (Hrsg.), 11. Auflage, Berlin 2005 (zitiert als: Bearbeiter, LK11). – Band 6, §§ 146 – 210, Laufhütte, Wilhelm/Rissing-van Saan, Ruth/Tiedemann, Klaus (Hrsg.), 12. Auflage, Berlin 2010. – Band 8, §§ 302a-335a, Jähnke, Burkhard/Laufhütte, Heinrich Wilhelm/Odersky, Walter (Hrsg.), 11. Auflage, Berlin 2005 (zitiert als: Bearbeiter, LK11). – Band 10, §§ 284 – 305a, Laufhütte, Wilhelm/Rissing-van Saan, Ruth/Tiedemann, Klaus (Hrsg.), 12. Auflage, Berlin 2008. Lejeune, Mathias, Anmerkung zu OLG Karlsruhe, Beschl. v. 10. 01. 2005 – 1 Ws 152/04, in: CR 2005, S. 288 – 291. - Der US CLOUD Act: eine neue Rechtsgrundlage für den internationalen Datenzugriff?, in: ITRB 2018, S. 118 – 122. Lenckner, Theodor/Winkelbauer, Wolfgang, Computerkriminalität – Möglichkeiten und Grenzen des 2. WiKG (I), in: CR 1986, S. 483 – 488.
452
Literaturverzeichnis
– Computerkriminalität – Möglichkeiten und Grenzen des 2. WiKG (III), in: CR 1986, S. 824 – 831. Lenk, Alexander/Klems, Markus/Nimis, Jens/Tai, Stefan/Sandholm, Thomas, What’s Inside the Cloud? – An Architectural Map of the Cloud Landscape, in: IEEE Computer Society Washington DC, USA (Hrsg.), Proceedings of the 2009 ICSE Workshop on Software Engineering Challenges of Cloud Computing, Washington, DC 2009, S. 23 – 31 (zitiert als: Lenk/ Klems/Nimis/Tai/Sandholm, in: ICSE 2009). Lensdorf, Lars/Mayer-Wegelin, Clemens/Mantz, Reto, Outsourcing unter Wahrung von Privatgeheimnissen – Wie das mögliche Hindernis des § 203 Abs. 1 StGB überwunden werden kann, in: CR 2009, S. 62 – 68. Lenzer, Joachim, Cloud Computing: Prinzipien und Anwendungen, in: Conrad, Isabell/ Grützmacher, Malte (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, Köln 2014, S. 116 – 128 (zitiert als: Lenzer, in: Conrad/Grützmacher (Hrsg.), Recht der Daten). Leupold, Andreas/Glossner, Silke (Hrsg.), Münchener Anwalts Handbuch IT-Recht, 3. Auflage München 2013 (zitiert als: Bearbeiter, in Leupold/Glossner (Hrsg.), Münchener Anwalts Handbuch). Lewinski, Kai von, Privacy Shield – Notdeich nach dem Pearl Harbor für die transatlantischen Datentransfers, in: EuR 2016, S. 405 – 421. Licht, Susanna, Das Verarbeitungsverzeichnis nach der DSGVO – Handlungsbedarf im Unternehmen, in: ITRB 2017, S. 65 – 71. Lilie, Hans, Datenfernwartung durch Geheimnisträger – Ein Beitrag zur Reform des § 203 StGB, in: Dannecker, Gerhard/Langer, Winrich/Ranft, Otfried/Schmitz, Roland/Brammsen, Joerg (Hrsg.), Festschrift für Harro Otto zum 70. Geburtstag am 1. April 2007, Köln/Berlin/ München 2007, S. 673 – 688 (zitiert als: Lilie, in: FS Otto). Limoncelli, Thomas A./Chalup, Strata R./Hogan, Christina J., The practice of cloud system administration – designing and operating large distributed systems, Volume 2, New York/ London 2015. Lindinger, Tobias, Optimierung des Wirkungsgrades virtueller Infrastrukturen, München 2009. Lins, Sebastian/Thiebes, Scott/Schneider, Stephan/Sunyaev, Ali, What is really going on at your Cloud Service Provider? – Creating trustworthy certifications by continuous auditing, in: Bui, Tung X./Sprague, Ralph H. (Hrsg.), 48th Hawaii International Conference on System Sciences (HICSS), 5 – 8. Jan. 2015, Kauai, Hawaii/Piscataway, New Jersey 2015, S. 5352 – 5361 (zitiert als: Lins/Thiebes/Schneider/Sunyaev, in: 48th HICSS 2015). Lissen, Nina/Brünger, Christian/Damhorst, Stephan, IT-Services in der Cloud und ISAE 3402 – Ein praxisorientierter Leitfaden für eine erfolgreiche Auditierung, Berlin/Heidelberg 2014. Lober, Andreas/Falker, Frank, Datenschutz bei mobilen Endgeräten – Roadmap für AppAnbieter, in: K&R 2013, S. 357 – 364. Luch, Anika D., Das neue „IT-Grundrecht“ – Grundbedingung einer „Online-Handlungsfreiheit“, in: MMR 2011, S. 75 – 79. Lüttger, Hans, Bemerkungen zu Methodik und Dogmatik des Strafschutzes für nichtdeutsche öffentliche Rechtsgüter, in: Vogler, Theo (Hrsg.), Festschrift für Hans-Heinrich Jescheck zum 70. Geburtstag, Berlin 1985, S. 121 – 179 (zitiert als: Lüttger, in: FS Jescheck).
Literaturverzeichnis
453
Mahajan, Atulay/Sharma, Sangeeta, The Malicious Insiders Threat in the Cloud, in: IJERGS (3) 2015, S. 245 – 256. Maisch, Michael Marc, Informationelle Selbstbestimmung in Netzwerken – Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook, Berlin 2015. Maisch, Michael Marc/Seidl, Alexander, Cloud Government: Rechtliche Herausforderungen beim Cloud Computing in der öffentlichen Verwaltung, in: VBlBW 2012, S. 7 – 12. Malek, Klaus/Popp, Andreas, Strafsachen im Internet, 2. Auflage, Heidelberg 2015. Mandl, Peter, Grundkurs Betriebssysteme – Architekturen, Betriebsmittelverwaltung, Synchronisation, Prozesskommunikation, Virtualisierung, 4. Auflage, Wiesbaden 2014. Mansdörfer, Marco/Timmerbeil, Sven, Das Modell der Verbandshaftung im europäischen Kartellbußgeldrecht, in: EuZW 2011, S. 214 – 218. Marberth-Kubicki, Annette, Computer- und Internetstrafrecht, 2. Auflage, München 2010. Marnau, Ninja/Schirmer, Norbert/Schlehahn, Eva/Schunter, Matthias, TClouds, in: DuD 2011, S. 333 – 337. Martin, Jörg, Grenzüberschreitende Umweltbeeinträchtigungen im deutschen Strafrecht, in: ZRP 1992, S. 19 – 27. Martini, Mario/Zimmermann, Georg von, E-Mail und integrierte VoIP-Services: Telekommunikationsdienste i.S.d. § 3 Nr. 24 TKG?, in: CR 2007, S. 427 – 431. Mather, Tim/Kumaraswamy, Subra/Latif, Shahed, Cloud Security and Privacy – An Enterprise Perspective on Risks and Compliance, Sebastopol 2009. Maunz, Theodor (Begr.)/Dürig, Günter (Begr.), Grundgesetz Kommentar, 81. Ergänzungslieferung, München 2017 (zitiert als: Bearbeiter, in: Maunz/Dürig (Begr.), GG). Matt, Holger/Renzikowski, Joachim, Strafgesetzbuch – Kommentar, 1. Auflage, München 2013. Mavany, Markus, Pferde, Würmer, Roboter, Zombies und das Strafrecht? – Vom Sinn und Unsinn neuer Gesetze gegen den sog. digitalen Hausfriedensbruch, in: KriPoZ 2016, S. 106 – 112. McGuire, Mary-Rose, Der Schutz von Know-how im System des Immaterialgüterrechts – Perspektiven für die Umsetzung der Richtlinie über Geschäftsgeheimnisse, in: GRUR 2016, S. 1000 – 1008. McIntosh, Michael/Austel, Paula, XML signature element wrapping attacks and countermeasures, in: ACM (Hrsg.), 12th ACM Conference on Computer and Communications Security (CCS), Alexandria, VA, USA, November 07 – 10, 2005, New York 2005, S. 20 – 27 (zitiert als: McIntosh/Austel, in: CCS 2005). Meier, Klaus/Wehlau, Andreas, Die zivilrechtliche Haftung für Datenlöschung, Datenverlust und Datenzerstörung, in: NJW 1998, S. 1585 – 1591. Meinel, Christoph/Willems, Christian/Roschke, Sebastian/Schnjakin, Maxim, Virtualisierung und Cloud Computing – Konzepte, Technologiestudie, Marktübersicht, Band 44, Potsdam 2011. Meinhardt, Lars, Überlegungen zur Interpretation von § 303a StGB, Bamberg 1991.
454
Literaturverzeichnis
Meinicke, Dirk/Eidam, Lutz, Aktuelle Entwicklungen im IT-Straf- und Strafprozessrecht, in: K&R 2016, S. 315 – 322. Meir-Huber, Mario, Cloud Computing – Praxisratgeber und Einstiegsstrategien, 2. Auflage, Frankfurt am Main 2011. Mester, Britta Alexandra, Rechnen in der Wolke, in: DuD 2010, S. 675. Metzger, Christian/Reitz, Thorsten/Villar, Juan, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, München 2011. Meyer, Gisela, Datenunterdrückung gemäß § 274 I Nr. 2 StGB – ein Kabinettstückchen?, in: iur 1988, S. 421 – 427. Meywirth, Carsten, Crime-as-a-Service – Die kriminelle Cloud verändert das Kriminalitätsgeschehen, in: Kriminalistik (70) 2016, S. 355 – 365. Mitsch, Wolfgang (Hrsg.), Karlsruher Kommentar zum Gesetz über Ordnungswidrigkeiten, 5. Auflage, München 2018 (zitiert als: Bearbeiter, Mitsch (Hrsg.), OWiG). Modi, C./Patel, D./Borisaniya, B./Patel, A./Rajarajan, M., A survey on security issues and solutions at different layers of Cloud computing, in: The Journal of Supercomputing (63) 2013, S. 561 – 592. Möhrenschlager, Manfred, Das neue Computerstrafrecht, in: wistra 1986, S. 128 – 142. Molnár-Gábor, Fruzsina/Kaffenberger, Laura, EU-US-Privacy-Shield: ein Schutzschild mit Löchern? – Bedeutung des Austauschs von personenbezogenen Daten in der medizinischen Forschung, in: ZD 2017, S. 18 – 24. Möncke, Ulrich, Cloudbasierte Werkzeuge in der Hochschullehre, in: DuD 2015, S. 617 – 621. Mühle, Kerstin, Hacker und Computerviren im Internet – eine strafrechtliche Beurteilung, Passau 1998. Müller, Daniel, Cloud Computing – Der strafrechtliche Schutz der Datenvertraulichkeit vor potentiellen Insiderangriffen, in: DuD 2017, S. 371 – 376. Müller-Broich, Jan D. (Hrsg.), NomosKommentar Telemediengesetz, 1. Auflage, Baden-Baden 2012 (zitiert als: Bearbeiter, Müller-Broich (Hrsg.), Telemediengesetz). Müller-Gugenberger, Christian (Hrsg.), Wirtschaftsstrafrecht – Handbuch des Wirtschaftsstrafund Ordnungswidrigkeitenrechts, 6. Auflage, Köln 2015 (zitiert als: Bearbeiter, in: MüllerGugenberger (Hrsg.), Wirschaftsstrafrecht). Münch, Isabel/Doubrava, Clemens/Essoh, Alex Didier, Eine Gefährdungsanalyse von Private Clouds – Sichere Virtualisierung als Grundlage für sichere Private-Cloud-Umgebungen, in: DuD 2011, S. 322 – 328. Münchener Kommentar zum Strafgesetzbuch (zitiert als: Bearbeiter, MK). – Band 1, §§ 1 – 37 StGB, Joecks, Wolfgang/Miebach, Klaus (Hrsg.), 3. Auflage, München 2017. – Band 3, §§ 80 – 184j StGB, Miebach, Klaus (Hrsg.), 3. Auflage, München 2017. – Band 4, §§ 185 – 262, Joecks, Wolfgang/Miebach, Klaus (Hrsg.), 2. Auflage, München 2012 (zitiert als: Bearbeiter, MK2). – Band 4, §§ 185 – 262, Joecks, Wolfgang/Miebach, Klaus (Hrsg.), 3. Auflage, München 2017.
Literaturverzeichnis
455
– Band 5, §§ 263 – 358, Joecks, Wolfgang/Miebach, Klaus (Hrsg.), 2. Auflage, München 2014. – Band 7, Nebenstrafrecht II, Joecks, Wolfgang/Miebach, Klaus (Hrsg.), 2. Auflage, München 2015. Nägele, Thomas/Jacobs, Sven, Rechtsfragen des Cloud Computing, in: ZUM 2010, S. 281 – 292. Neuhöfer, Daniel, Datenhehlerei nach § 202d StGB, in: jurisPR-Compl 2015, Anm. 6. Neumann, Andreas, Das Arbeitsverhältnis als (telekommunikations-)rechtsfreie Zone?, in: K&R 2014, S. 320 – 325. Neun, Andreas/Lubitzsch, Katharina, EU-Datenschutz-Grundverordnung – Behördenvollzug und Sanktionen, in: BB 2017, S. 1538 – 1544. Newman, Robert C., Computer Security – Protecting Digital Resources, Sudbury, Mass 2010. Nguyen, Minh-Duong/Chau, Ngoc-Tu/Jung, Seungwook/Jung, Souhwan, A Demonstration of Malicious Insider Attacks inside Cloud IaaS Vendor, in: IJIET (4) 2014, S. 483 – 486. Niemann, Fabian/Hennrich, Thorsten, Kontrolle in den Wolken? – Auftragsdatenverarbeitung in Zeiten des Cloud Computings, in: CR 2010, S. 686 – 692. Niemann, Fabian/Paul, Jörg-Alexander (Hrsg.), Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings, in: K&R 2009, S. 444 – 452. – Praxishandbuch Rechtsfragen des Cloud Computing – Herausforderungen für die unternehmerische Praxis, Berlin 2014 (zitiert als: Bearbeiter, in: Niemann/Paul, Praxishandbuch). NIST, Special Publication 500-291, Cloud Computing Standards Roadmap, Version 2 vom Juli 2013, abrufbar unter: https://www.nist.gov/sites/default/files/documents/itl/cloud/NIST_SP500-291_Version-2_2013_June18_FINAL.pdf (zitiert als: NIST, Special Publication 500 – 291). – Special Publication 500-292, Cloud Computing Reference Architecture vom 08. 09. 2011, abrufbar unter: http://www.nist.gov/manuscript-publication-search.cfm?pub_id=909505 (zitiert als: NIST, Special Publication 500-292). – Special Publication 500-299, Cloud Computing Security Reference Architecture (Draft), abrufbar unter: https://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/ CloudSecurity/NIST_Security_Reference_Architecture_2013.05.15_v1.0.pdf (zitiert als: NIST, Special Publication Draft 500-299). – Special Publication 800-144, Guidelines on Security and Privacy in Public Cloud Computing vom 09. 12. 2011, abrufbar unter: http://www.nist.gov/manuscript-publication-search.cfm? pub_id=909494 (zitiert als: NIST, Special Publication 800-144). – Special Publication 800-145, The NIST Definition of Cloud Computing vom September 2011, abrufbar unter: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublica tion800-145.pdf (zitiert als: NIST, Special Publication 800-145). – Special Publication 800-146, Cloud Computing Synopsis and Recommendations vom Mai 2012, abrufbar unter: http://dx.doi.org/10.6028/NIST.SP.800-146 (zitiert als: NIST, Special Publication 800-146). Nkosi, Lucky, Insider threat reduction model for the cloud environment 2014, abrufbar unter: http://uzspace.uzulu.ac.za/handle/10530/1422?show=full.
456
Literaturverzeichnis
Nkosi, Lucky/Jembere, Edgar/Adigun, M., Towards Developing Insider Threat Detection and Prevention Model for Cloud Infrastructure, abrufbar unter: http://www.satnac.org.za/procee dings/2011/papers/Posters/277.pdf. Nolde, Malaika, Sanktionen nach der EU-Datenschutz-Grundverordnung, in: ZWH 2017, S. 76 – 82. – Sanktionen nach DSGVO und BDSG-neu: Wem droht was warum?, in: PinG 2017, S. 114 – 121. Nolte, Norbert, Das Sanktionsregime im novellierten BDSG, in: jurisPR-Compl 2017, Anm. 5. Nolte, Norbert/Becker, Philipp, Anmerkung zu VG Frankfurt/M., Urt. v. 06. 11. 2008 – 1 K 628/ 08.F (3), in: CR 2009, S. 125 – 128. Nomos Kommentar zum Strafgesetzbuch (zitiert als: Bearbeiter, NK). – Band 1 – 3, Kindhäuser, Urs/Neumann, Ulfried/Paeffgen, Hans-Ullrich (Hrsg.), 5. Auflage, Baden-Baden 2017. – Band 4, §§ 164 – 262, Neumann, Ulfried/Albrecht, Hans-Jörg (Hrsg.), 1. Auflage, BadenBaden 2002/2003 (zitiert als: Bearbeiter, NK1). Nostro, Nicola/Ceccarelli, Andrea/Bondavalli, Andrea/Brancati, Francesco, A methodology and supporting techniques for the quantitative assessment of insider threats, in: Correia, Miguel/Mittal, Nerraj (Hrsg.), Proceedings of the 2nd International Workshop on Dependability Issues in Cloud Computing – DISCCO 2013, New York 2013, S. 1 – 6 (zitiert als: Nostro/Ceccarelli/Bondavalli/Brancati, in: Correia/Mittal (Hrsg.), DISCCO 2013). Oechslin, Philippe, Making a Faster Cryptoanalytics Time-Memory Trade-Off, in: Boneh, Dan (Hrsg.), Advances in Cryptology – CRYPTO 2003 – 23rd Annual International Cryptology Conference, Santa Barbara, California, USA, August 17 – 21, 2003, Berlin/Heidelberg 2003, S. 617 – 630 (zitiert als: Oechslin, in: CRYPTO 2003). Oellers, Bernd, Der Hehler ist schlimmer als der Stehler, in: GA 1967, S. 6 – 18. Office of Legal Education (OLE) Executive Office for United States Attorneys, Prosecuting Computer Crimes – Computer Crime and Intellectual Property Section Criminal Division, 2nd Edition 2007. Ohly, Ansgar/Sosnitza, Olaf (Hrsg.), Gesetz gegen den unlauteren Wettbewerb – mit Preisangabenverordnung, Kommentar, 7. Auflage, München 2016 (zitiert als: Bearbeiter, Ohly/ Sosnitza (Hrsg.), UWG). Oracle, White Paper – Cloud Reference Architecture vom November 2012, abrufbar unter: http://www.oracle.com/technetwork/topics/entarch/oracle-wp-cloud-ref-arch-1883533.pdf. Otto, Harro, Strafrechtliche Aspekte des Eigentumsschutzes (II) – Diebstahl, Unterschlagung und Sachbeschädigung in der neueren Lehre und Rechtsprechung, in: JURA, S. 200 – 208. – Strafrechtliche Konsequenzen aus der Ermöglichung der Kenntnisnahme von Bankgeheimnisses in einem öffentlich-rechtlichen Kreditinstitut durch Wartungs- und Servicepersonal eines Computer-Netzwerkes, in: wistra 1999, S. 201 – 206. – Zum Bankautomatenmissbrauch nach Inkrafttreten des 2. WiKG, in: JR 1987, S. 221 – 225.
Literaturverzeichnis
457
Ouedraogo, Moussa/Mignon, Severine/Cholez, Herve/Furnell, Steven/Dubois, Eric, Security transparency: the next frontier for security research in the cloud, in: JoCCASA 2015, S. 1 – 14. Paal, Boris P./Pauly, Daniel A. (Hrsg.), Beck’scher Kompakt-Kommentar: DatenschutzGrundverordnung, Bundesdatenschutzgesetz, 2. Auflage, München 2018 (zitiert als: Bearbeiter, Paal/Pauly (Hrsg.), DSGVO/BDSG). Palandt, Otto (Begr.), Bürgerliches Gesetzbuch mit Nebengesetzen, 77. Auflage, München 2018 (zitiert als: Bearbeiter, in: Palandt, BGB). Papathanasiou, Konstantina, Völkerrechtmäßiges Verhalten und Extraterritorialität der staatlichen Souveränität – zum 90. Jubiläum der Lotus-Entscheidung, in: jM 2018, S. 80 – 85. Paramonova, Svetlana, Internationales Strafrecht im Cyberspace – Strafrechtliche Analyse der Rechtslage in Deutschland, Russland und den USA, Wiesbaden 2013. Pätzel, Claus, Zur Offenkundigkeit von Halterdaten, in: NJW 1999, S. 3246 – 3247. Pawlik, Michael, Strafe oder Gefahrenbekämpfung? – Die Prinzipien des deutschen Internationalen Strafrechts vor dem Forum der Straftheorie, in: ZIS 2006, S. 274 – 293. Pelzl, Norman/Helferich, Andreas/Herzwurm, Georg, Wertschöpfungsnetzwerke deutscher Cloud-Anbieter – HMD Best Paper Award 2013, Wiesbaden 2014. Phaphoom, Nattakarn/Wang, Xiaofeng/Abrahamsson, Pekka, Foundations and Technological Landscape of Cloud Computing, in: ISRN Software Engineering 2013, S. 1 – 31, abrufbar unter: http://www.hindawi.com/journals/isrn/2013/782174/. Plath, Kai-Uwe (Hrsg.), Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Auflage, Köln 2016 (zitiert als: Bearbeiter, in: Plath (Hrsg.), BDSG/DSGVO16). – Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG, 3. Auflage, Köln 2018 (zitiert als: Bearbeiter, in: Plath (Hrsg.), BDSG/DSGVO). Pohle, Jan, Einbeziehung telekommunikativer Leistungen in IT-Verträgen – Zur Anwendbarkeit telekommunikationsrechtlicher Regelungen auf Verträge zur Erbringung von ITDienstleistungen mit Telekommunikationselementen, in: ITRB 2011, S. 290 – 293. Pohle, Jan/Ammann, Thorsten, Software as a Service – auch rechtliche eine Evolution?, in: K&R 2009, S. 625 – 631. – Über den Wolken… – Chancen und Risiken des Cloud Computing, in: CR 2009, S. 273 – 278. Pohle, Jan/Ghaffari, Sheila, Die Neufassung des § 203 StGB – der Befreiungsschlag für ITOutsourcing am Beispiel der Versicherungswirtschaft?!, in: CR 2017, S. 489 – 495. Popp, Andreas, § 202c StGB und der neue Typus des europäischen „Software-Delikts“, in: GA 2008, S. 375 – 393. – Erpresserische DDoS-Angriffe als Computersabotage (§ 303b Abs. 1 Nr. 2 StGB), in: jurisPR-ITR 25/2011, Anm. 6. – Informationstechnologie und Strafrecht, in: JuS 2011, S. 385 – 392. – „Phishing“, „Pharming“ und das Strafrecht, in: MMR 2006, S. 84 – 86.
458
Literaturverzeichnis
– Von „Datendieben“ und „Betrügern“ – Zur Strafbarkeit des so genannten „phishing“, in: NJW 2004, S. 3517 – 3518. Pordesch, Ulrich/Steidle, Roland, Entfernen des Personenbezugs mittels Verschlüsselung durch Cloudnutzer, in: DuD 2015, S. 536 – 541. Porter, Greg, Cloud Service Provider Methods for Managing Insider Threats: Analysis Phase I, November 2013, abrufbar unter: https://resources.sei.cmu.edu/asset_files/TechnicalNote/2 013_004_001_69713.pdf. Preuß, Tamina, Die Kontrolle von E-Mails und sonstigen elektronischen Dokumenten im Rahmen unternehmensinterner Ermittlungen – Eine straf- und datenschutzrechtliche Untersuchung unter Berücksichtigung von Auslandsbezügen, Berlin 2016. – Die Strafbarkeit von Berufsgeheimnisträgern nach § 203 StGB beim Cloud Computing – Eine Betrachtung de lege lata und de lege ferenda, in: DuD 2016, S. 802 – 809. Probst, Christian W., Identifying and Mitigating Insider Threats, in: it (53) 2011, S. 202 – 206. Puttaswamy, Krishna P./Kruegel, Christopher/Zhao, Ben Y., Silverline: Toward Data Confidentiality in Storage-Intensive Cloud Applications, in: ACM (Hrsg.), Proceedings of the 2nd ACM Symposium on Cloud Computing (SOCC ‘11), Cascais, Portugal – October 26 – 28, 2011, New York 2011, S. 10:1 – 10:13 (zitiert als: Puttaswamy/Kruegel/Zhao, in: SOCC’11). PWC, Managing Insider Threats, Februar 2015, abrufbar unter: https://www.pwc.com/us/en/inc reasing-it-effectiveness/publications/managing-insider-threats.html. Rammos, Thanos/Vonhoff, Hans, Cloud Computing und Sozialdatenschutz – Rechtliche Rahmenbedingungen für den Einsatz von Cloud Computing-Diensten im Sozialleistungssektor, in: CR 2013, S. 265 – 272. Rath, Christian, Das Darknet ist kein justizfreier Raum, in: DRiZ 2016, S. 292 – 293. Redeker, Helmut (Hrsg.), Cloud Computing in der öffentlichen Hand und § 203 StGB – Öffentlich-rechtliche Datenverarbeitung in der Cloud: strafrechtliche Fragen und Lösungsmöglichkeiten, in: ITRB 2014, S. 232 – 234. – Handbuch der IT-Verträge, Köln/Saarbrücken 2017 (zitiert als: Bearbeiter, Redeker (Hrsg.), IT-Verträge). Reinbacher, Tobias, Das Strafrechtssystem der USA – Eine Untersuchung zur Strafgewalt im föderativen Staat, Berlin 2010. – Daten- oder Informationshehlerei?, in: GA 2018, S. 311 – 322. Repschläger, Jonas/Pannicke, Danny/Zarnekow, Rüdiger, Cloud Computing: Definitionen, Geschäftsmodelle und Entwicklungspotentiale, in: HMD 2010, S. 6 – 15. Rettenmaier, Felix/Palm, Lisa, Das Ordnungswidrigkeitenrecht und die Aufsichtspflicht von Unternehmensverantwortlichen, in: NJOZ 2010, S. 1414 – 1419. Reuter, Olaf/Brix, Christian, Cloud Computing in der IT-Praxis: Planung, Einrichtung, Sicherheit, Bonn 2012. Richter, Hans, Mißbräuchliche Benutzung von Geldautomaten – Verwendung duplizierter und manipulierter Euroscheckkarten, in: CR 1989, S. 303 – 307. Rieken, Ralf/Jäger, Hubert/Monitzer, Arnold/Ernst, Edmund, Technische Versiegelung – effektiver Schutz für Inhalte und Metadaten in der Cloud, in: BSI (Hrsg.), Risiken kennen,
Literaturverzeichnis
459
Herausforderungen annehmen, Lösungen gestalten: – Tagungsband zum 14. Deutschen ITSicherheitskongress des BSI 2015, Gau-Algesheim 2015, S. 211 – 222 (zitiert als: Rieken/ Jäger/Monitzer/Ernst, in: BSI 2015). Rinker, Mike, Strafbarkeit und Strafverfolgung von „IP-Spoofing“ und „Portscanning“, in: MMR 2002, S. 663 – 666. Ristenpart, Thomas/Tromer, Eran/Shacham, Hovav/Savage, Stefan, Hey, You, Get Off of My Cloud: Exploring information leakage in third-party Compute Clouds, in: Association for Computing Machinery (ACM) (Hrsg.), Proceedings of the 16th ACM Conference on Computer and Communications Security (CCS) 2009, New York, NY 2009, S. 199 – 213 (zitiert als: Ristenpart/Tromer/Shacham/Savage, in: CCS 2009). Robles, Antonio González/Pohlmann, Norbert/Engling, Christoph/Jäger, Hubert/Ernst, Edmund, Doubtless Identification and Privacy Preserving of User in Cloud Systems, in: Reimer, Helmut/Pohlmann, Norbert/Schneider, Wolfgang S. (Hrsg.), ISSE 2015 – Highlights of the Information Security Solutions Europe 2015 Conference, 1st ed. 2015, Wiesbaden 2015, S. 98 – 108 (zitiert als: Robles/Pohlmann/Engling/Jäger/Ernst, in: ISSE 2015). Rocha, Francisco, Insider Threat: Memory Confidentiality and Integrity in the Cloud, Saarbrücken 2015. Rocha, Francisco/Correia, Miguel, Lucy in the sky without diamonds: Stealing confidential data in the cloud, in: IEEE Computer Society (Hrsg.), 2011 IEEE/IFIP 41st International Conference on Dependable Systems and Networks Workshops (DSN-W) – 27 – 30 June 2011, Hong Kong/Piscataway, New Jersey 2011, S. 129 – 134 (zitiert als: Rocha/Correia, in: DSN-W 2011). Rocha, Francisco/Gross, Thomas/van Moorsel, Aad, Defense-in-Depth – Against Malicious Insiders in the Cloud, in: Campbell, Roy (Hrsg.), 2013 IEEE International Conference on Cloud Engineering (IC2E) – 25 – 27 March 2013, San Francisco Bay, California/Piscataway, New Jersey 2013, S. 88 – 97 (zitiert als: Rocha/Gross/van Moorsel, in: Campbell (Hrsg.), IC2E 2013). Rogall, Klaus, Die Verletzung von Privatgeheimnissen (§ 203 StGB) – Aktuelle Probleme und ungelöste Fragen, in: NStZ 1983, S. 1 – 9. Röhrborn, Jens/Sinhart, Michael, Application Service Providing – juristische Einordnung und Vertragsgestaltung, in: CR 2001, S. 69 – 77. Roos, Philipp/Schumacher, Philipp, Botnetze als Herausforderung für Recht und Gesellschaft – Zombies außer Kontrolle?, in: MMR 2014, S. 377 – 383. Roßnagel, Alexander (Hrsg.), Beck’scher Kommentar zum Recht der Telemediendienste, München 2013 (zitiert als: Bearbeiter, Roßnagel (Hrsg.), Beck-TMG). – Die neue Vorratsdatenspeicherung – Der nächste Schritt im Ringen um Sicherheit und Grundrechtsschutz, in: NJW 2016, S. 533 – 539. – Europäische Datenschutz-Grundverordnung – Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, Baden-Baden 2017 (zitiert als: Bearbeiter, Roßnagel (Hrsg.), Europäische Datenschutzgrundverordnung). – Handbuch Datenschutzrecht, München 2003 (zitiert als: Bearbeiter, in: Roßnagel (Hrsg.), Datenschutzrecht).
460
Literaturverzeichnis
Roßnagel, Alexander/Wedde, Peter/Hammer, Volker/Pordesch, Ulrich, Die Verletzlichkeit der ,Informationsgesellschaft‘, 2. Auflage, Wiesbaden 1990. Rost, Maria Christina, Bußgeld im digitalen Zeitalter – was bringt die DS-GVO?, in: RDV 2017, S. 13 – 20. Roth-Neuschild, Birgit, Cloud Way out – Exit-Strategien bei Nutzung von Cloud Services, in: ITRB 2013, S. 213 – 217. Roxin, Claus, Strafrecht Allgemeiner Teil, Band I: Grundlagen, Der Aufbau der Verbrechenslehre, 5. Auflage, München 2006. Roy, Arpan/Sarkar, Santonu/Ganesan, Rajeshwari, Secure the Cloud: From the Perspective of a Service-Oriented Organization, in: ACM Computing Surveys (CSUR) 2015, Article No. 41, S. 1 – 30. Rübenstahl, Markus/Debus, Stefanie, Strafbarkeit verdachtsabhängiger E-Mail- und EDVKontrollen bei Internal Investigations?, in: NZWiSt 2012, S. 129 – 137. Rücker, Daniel/Kugler, Tobias, Cloud Computing im Lichte der Datenschutz-Grundverordnung und des EU-U.S. Privacy Shield, in: DB 2016, S. 2767 – 2772. Runkler, Thomas, Data Mining – Modelle und Algorithmen intelligenter Datenanalyse, 2. Auflage, Wiesbaden 2015 (zitiert als: Runkler, Data Mining). Rüpke, Giselher, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts – ein quasi-datenschutzrechtliches Missverhältnis zu § 203 StGB?, in: NJW 2002, S. 2835 – 2838. Ruppert, Felix, Technischer Fortschritt für Berufsgeheimnisträger – Zur Vereinbarkeit der Cloud mit dem strafrechtlichen Geheimnisschutz, in: StraFo 2016, S. 329 – 336. Rutkowska, Joanna, Introducing Stealth Malware Taxonomy – COSEINC Advanced Malware Labs, November 2006, Version 1.01, abrufbar unter: https://www.helpnetsecurity.com/dl/ar ticles/malware-taxonomy.pdf (zitiert als: Rutkowska, Stealth Malware). Sachs, Andreas/Meder, Miriam, Datenschutzrechtliche Anforderungen an App-Anbieter – Prüfungen am Beispiel von Android-Apps, in: ZD 2013, S. 303 – 308. Säcker, Franz Jürgen (Hrsg.), Telekommunikationsgesetz Kommentar, 3. Auflage, Frankfurt am Main 2013 (zitiert als: Bearbeiter, in: Säcker (Hrsg.), TKG). Sädtler, Stephan, Aktuelle Rechtsfragen des Datenschutzes und der Datensicherheit im Cloud Computing, in: PIK 2013, S. 165 – 173. Safferling, Christoph, Internationales Strafrecht: Strafanwendungsrecht, Völkerstrafrecht, Europäisches Strafrecht, Berlin/Heidelberg 2011. Sahito, Farhan Hyder/Slany, Wolfgang, Advanced Personnel Vetting Techniques in Critical Multi-Tennant Hosted Computing Environments, in: IJACSA (4) 2013, S. 12 – 20. Sandar, S. Vivin/Shenai, Sudhir, Economic Denial of Sustainability (EDoS) in Cloud Services using HTTP and XML based DDOS Attacks, in: IJCA (41) 2012, S. 11 – 16. Sassenberg, Thomas/Lammer, Katharina-Patricia, Zulässigkeit der Spam-Filterung im Unternehmen, in: DuD 2008, S. 461 – 465. Satzger, Helmut, Das deutsche Strafanwendungsrecht (§§ 3 ff. StGB) – Teil 1, in: JURA 2010, S. 108 – 116.
Literaturverzeichnis
461
– Internationales und Europäisches Strafrecht – Strafanwendungsrecht/Europäisches Strafund Strafverfahrensrecht/Völkerstrafrecht, 7. Auflage, Baden-Baden 2016. Satzger, Helmut/Schluckebier, Wilhelm/Widmaier, Gunter, Strafgesetzbuch: Kommentar, 3. Auflage, Köln 2016 (zitiert als: Bearbeiter, Satzger/Schluckebier/Widmaier). Schäfer, Christoph/Fox, Dirk, Zertifizierte Auftragsdatenverarbeitung – Das Standard-ADVModell, in: DuD 2016, S. 744 – 748. Schäfers, Tim Philipp, Hacking im Web, Haar bei München 2016. Schantz, Peter, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutz-recht, in: NJW 2016, S. 1841 – 1847. Schantz, Peter/Wolff, Heinrich Amadeus, Das neue Datenschutzrecht – Datenschutz-Grundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017. Scheffler, Hauke/Dressel, Christian, Die Insuffizienz des Computerstrafrechts – Schleppende Gesetzgebungsverfahren als Störfaktor für die E-Commerce-Wirtschaft, in: ZRP 2000, S. 514 – 517. Schelzke, Ricarda Christine, Die iCloud als Gefahr für den Rechtsanwalt?, in: HRRS 2013, S. 86 – 91. Schenck, Sophie von/Mueller-Stöfen, Tilman, Die Datenschutz-Grundverordnung: Auswirkungen in der Praxis, in: GWR 2017, S. 171 – 179. Scheurle, Klaus-Dieter/Mayen, Thomas, Telekommunikationsgesetz Kommentar, 3. Auflage, München 2018 (zitiert als: Bearbeiter, Scheurle/Mayen, TKG). Schlegel, Stephan, „Beschlagnahme“ von E-Mail-Verkehr beim Provider, zugl. Besprechung zu BVerfG HRRS 2007 Nr. 125 = (BVerfG 2 BvR 902/06 = Beschluss vom 29. Juni 2006), in: HRRS 2007, S. 44 – 51. Schlüchter, Ellen, Zweites Gesetz zur Bekämpfung der Wirtschaftskriminalität – Kommentar mit einer kriminologischen Einführung, Band 42, Heidelberg 1987. Schlund, Gerhard, Zu Fragen der ärztlichen Schweigepflicht, in: JR 1977, S. 265 – 269. Schmahl, Stefanie, Herausforderungen der Regulierung im Cyberspace – Systematisierungsansätze aus der Perspektive des Völkerrechts, in: ZÖR 73 (2018), S. 3 – 37. Schmid, Pirmin, Computerhacken und materielles Strafrecht – unter besonderer Berücksichtigung von § 202a StGB, Konstanz 2001, abrufbar unter: http://nbn-resolving.de/urn:nbn: de:bsz:352-opus-6801. Schmidl, Michael, IT-Recht von A-Z – Accessprovider bis Zwischenspeicherung, 2. Auflage, München 2014. Schmidt, Eberhard, Ärztliche Schweigepflicht und Zeugnisverweigerungsrecht im Bereiche der Sozialgerichtsbarkeit, in: NJW 1962, S. 1745 – 1750. Schmitz, Peter, E-Privacy-VO – unzureichende Regeln für klassische Dienste, in: ZRP 2017, S. 172 – 175. Schmitz, Roland, Ausspähen von Daten, § 202a StGB, in: JA 1995, S. 478 – 484. – Verletzung von (Privat)geheimnissen – Qualifikationen und ausgewählte Probleme der Rechtfertigung, in: JA 1996, S. 949 – 955.
462
Literaturverzeichnis
Schneider, Jochen (Hrsg.), Handbuch EDV-Recht – IT-Recht mit IT-Vertragsrecht, Datenschutz, Rechtsschutz und E-Business, 5. Auflage, Köln 2017 (zitiert als: Bearbeiter, in: Schneider (Hrsg.), Handbuch EDV-Recht). Schneider, Matthias, WhatsApp & Co. – Dilemma um anwendbare Datenschutzregeln Problemstellung und Regelungsbedarf bei Smartphone-Messengern, in: ZD 2014, S. 231 – 237. Schneider, Stephan/Sunyaev, Ali, Cloud-Service-Zertifizierung – Ein Rahmenwerk und Kriterienkatalog zur Zertifizierung von Cloud-Services, Berlin/Heidelberg 2015. Schönke, Adolf/Schröder, Horst, Strafgesetzbuch – Kommentar, 29. Auflage, München 2018 (zitiert als: Bearbeiter, Schönke/Schröder29). – Strafgesetzbuch – Kommentar, 30. Auflage, München 2018 (zitiert als: Bearbeiter, Schönke/ Schröder). Schreibbauer, Marcus/Hessel, Tobias J., Das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, in: K&R 2007, S. 616 – 620. Schröder, Markus, Anmerkung zu OLG Düsseldorf, Urteil vom 27. 4. 2010 – I-20 U 166/09, in: MMR 2010, S. 483 – 487. Schrotz, Jan-Oliver/Zdanowiecki, Konrad, Cloud Computing für die öffentliche Hand – Rechtliche Schlüsselthemen und Lösungsansätze, in: CR 2015, S. 485 – 492. Schuh, Daniel, Computerstrafrecht im Rechtsvergleich – Deutschland, Österreich, Schweiz, Berlin 2012. Schultz, Alexander, Neue Strafbarkeiten und Probleme – Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20. 09. 2006, in: DuD 2006, S. 778 – 784. Schultz, E. Eugene, A framework for understanding and predicting insider attacks, in: Computers & Security (21) 2002, S. 526 – 531. Schultze-Melling, Jyn, Effizientes Information Security Management im Rahmen von ITOutsourcing-Verträgen, in: ITRB 2005, S. 42 – 46. – Public Cloud – quo vadis?, in: ITRB 2011, S. 239 – 240. Schulz, Carsten, Rechtliche Aspekte des Cloud Computing im Überblick, in: Taeger, Jürgen/ Wiebe, Andreas (Hrsg.), Inside the Cloud: Neue Herausforderungen für das Informationsrecht – Tagungsband Herbstakademie 2009, Edewecht 2009, S. 403 – 418 (zitiert als: Schulz, in: Taeger/Wiebe, Inside the Cloud). Schulz, Carsten/Rosenkranz, Timo, Cloud Computing – Bedarfsorientierte Nutzung von ITRessourcen, in: ITRB 2009, S. 232 – 236. Schulz, Gabriel, Das neue IT-Grundrecht – staatliche Schutzpflicht und Infrastrukturverantwortung, in: DuD 2012, S. 395 – 400. Schulz, Sönke, Cloud Computing in der öffentlichen Verwaltung Chancen – Risiken – Modelle, in: MMR 2010, S. 75 – 80. Schulze-Heiming, Ingeborg, Der strafrechtliche Schutz der Computerdaten gegen die Angriffsformen der Spionage, Sabotage und des Zeitdiebstahls, Münster, New York 1995. Schumann, Kay, Das 41. StrÄndG zur Bekämpfung der Computerkriminalität, in: NStZ 2007, S. 675 – 680.
Literaturverzeichnis
463
Schünemann, Bernd, Der strafrechtliche Schutz von Privatgeheimnissen, in: ZStW 1978, S. 11 – 63. Schuster, Fabian, Der Arbeitgeber und das Telekommunikationsgesetz – Ein Arbeitgeber unterfällt auch bei Gestattung der privaten Nutzung von Telefon und E-Mail durch die Arbeitnehmer nicht den Pflichten nach dem TKG, in: CR 2014, S. 21 – 27. Schuster, Fabian/Reichl, Wolfgang, Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? – Die eigentlichen Unterschiede zu Outsourcing, ASP & Co liegen im Datenschutz und der TK-Anbindung, in: CR 2010, S. 38 – 43. Schuster, Frank Peter, Arztpraxen in der Cloud? – Strafbarkeitsrisiken nach § 203 StGB und weitere Fragestellungen, in: medstra 2015, S. 280 – 284. – Das Dilemma-Problem aus Sicht der Automobilhersteller – eine Entgegnung auf Jan Joerden, in: Hilgendorf (Hrsg.), Autonome Systeme und neue Mobilität – Ausgewählte Beiträge zur 3. und 4. Würzburger Tagung zum Technikrecht, Baden-Baden 2017, S. 99 – 119 (zitiert als: Schuster, in: Hilgendorf (Hrsg.), Autonome Systeme). – Das Verhältnis von Strafnormen und Bezugsnormen aus anderen Rechtsgebieten – Eine Untersuchung zum Allgemeinen Teil im Wirtschafts- und Steuerstrafrecht, Berlin 2012. – IT-gestützte interne Ermittlungen in Unternehmen – Strafbarkeitsrisiken nach den §§ 202a, 206 StGB, in: ZIS 2010, S. 68 – 75. – Providerhaftung und der Straßenverkehr der Zukunft, in: Hilgendorf (Hrsg.), Autonome Systeme und neue Mobilität – Ausgewählte Beiträge zur 3. und 4. Würzburger Tagung zum Technikrecht, Baden-Baden 2017, S. 49 – 64 (zitiert als: Schuster, in: Hilgendorf (Hrsg.), Autonome Systeme). – Verwertbarkeit im Ausland gewonnener Beweise im deutschen Strafprozess, Berlin 2006. Schwartmann, Rolf (Hrsg.), Praxishandbuch Medien-, IT- und Urheberrecht, 4. Auflage, Heidelberg 2017 (zitiert als: Bearbeiter, Schwartmann (Hrsg.), Medien-, IT- und Urheberrecht). Schwarz, Ingo, Angriffstechniken auf Server-Virtualisierung und deren Gefahrenpotential, in: Helmbrecht, Udo/Teege, Gunnar/Stelte, Björn (Hrsg.), Virtualisierung: Techniken und sicherheitsorientierte Anwendungen, S. 33 – 54 (zitiert als: Schwarz, in: Helmbrecht/Teege/ Stelte (Hrsg.), Virtualisierung). Schwenk, Jörg/Gajek, Sebastian/Liao, Lijun/Jensen, Meiko, Analysis of Signature Wrapping Attacks and Countermeasures, in: Damiani, Ernesto (Hrsg.), Proceedings of the 7th International Conference on Web Services (ICWS), 6 – 10 July 2009, Los Angeles, CA, USA/ Piscataway, New Jersey 2009, S. 575 – 582 (zitiert als: Schwenk/Gajek/Liao/Jensen, in: ICWS 2009). Schwind, Hand-Dieter, Kriminologie und Kriminalpolitik – Eine praxisorientierte Einführung mit Beispielen, 23. Auflage, Heidelberg 2016. Seelmann, Kurt, Grundfälle zur Hehlerei (§ 259 StGB), in: JuS 1988, S. 39 – 42. Seiler, David, Auftragsdatenverarbeitung im Gesundheitswesen im Spannungsfeld mit dem Berufsgeheimnis, in: DSRITB 2015, S. 69 – 79.
464
Literaturverzeichnis
Selz, Ilan Leonard, Gesetzentwurf zur Strafbarkeit der sogenannten Datenhehlerei, in: Taeger, Jürgen (Hrsg.), Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Edewecht 2015, S. 915 – 931 (zitiert als: Selz, in: Taeger (Hrsg.), Internet). Selzer, Annika, Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing – Alternativen zur Vor-Ort-Kontrolle des Auftragnehmers durch den Auftraggeber, in: DuD 2013, S. 215 – 219. Sen, Jaydip, Security and Privacy Issues in Cloud Computing, in: Ruiz-Martinez, Antonio/ Marin-Lopez, Rafael/Pereñiguez-Garcia, Fernando (Hrsg.), Architectures and Protocols for Secure Information Technology Infrastructures, Hershey, Pennsylvania 2014, S. 1 – 46. Sendzik, Björn, Der „Datendiebstahl“, Hamburg 2014. Shrivastava, Ajey Singh, Overview of attacks on cloud computing, in: IJEIT (1) 2012, S. 321 – 323. Sieber, Ulrich, Der strafrechtliche Schutz des Arzt- und Patientengeheimnisses unter der modernen Informationstechnik, in: Arnold, Jörg (Hrsg.), Menschengerechtes Strafrecht – Festschrift für Albin Eser zum 70. Geburtstag, München 2005, S. 1155 – 1185 (zitiert als: Sieber, in: FS Eser). – Internationales Strafrecht im Internet – Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, in: NJW 1999, S. 2065 – 2073. – Straftaten und Strafverfolgung im Internet – Gutachten C zum 69. Deutschen Juristentag, München 2012 (zitiert als: Sieber, Gutachten zum 69. Deutschen Juristentag). Sieber, Ulrich/Böse, Martin (Hrsg.), Europäisches Strafrecht, 2. Auflage, Baden-Baden 2014 (zitiert als: Bearbeiter, in: Europäisches Strafrecht). Simitis, Spiros (Hrsg.), Nomos Kommentar – Bundesdatenschutzgesetz, 8. Auflage, BadenBaden 2014 (zitiert als: Bearbeiter, in Simitis (Hrsg.), BDSG). Singelnstein, Tobias, Ausufernd und fehlplatziert: Der Tatbestand der Datenhehlerei (§ 202d StGB) im System des strafrechtlichen Daten- und Informationsschutzes, in: ZIS 2016, S. 432 – 439. Sitaram, Dinkar/Manjunath, Geetha, Moving to the Cloud – Developing Apps in the New World of Cloud Computing, New York 2012. Sittig, Markus/Brünjes, Nicole, Zur Strafbarkeit beim Einsatz von Trojanern, in: StRR 2012, S. 127 – 134. Slade, Robert M., Software forensics – Collecting evidence from the scene of a digital crime, New York 2004. Slamanig, Daniel/Stingl, Christian, Vollständigkeitsnachweis für Daten im Cloud Computing, in: DuD 2012, S. 510 – 514. Slamka, C./Georg, L., Management-Einschätzungen der Sicherheit im Cloud Computing, in: Schartner, Peter/Weippl, Edgar (Hrsg.), D-A-CH Security 2010 – Bestandsaufnahme, Konzepte, Anwendungen, Perspektiven, Klagenfurt 2010, S. 20 – 31 (zitiert als: Slamka/ Georg, in: D-A-CH Security 2010). Söbbing, Thomas, Cloud und Grid Computing: IT-Strategien der Zukunft rechtlich betrachtet, in: MMR 2008, S. XII-XIV.
Literaturverzeichnis
465
– Einführung in das Recht der Informations-Technologie (IT-Recht) – Das Leben in parallelen Welten, in: JURA 2010, S. 915 – 922. – Handbuch IT-Outsourcing – Recht, Strategie, Prozesse, IT, Steuern und Cloud Computing, 4. Auflage, Heidelberg, München 2015. Sondermann, Markus, Computerkriminalität: die neuen Tatbestände der Datenveränderung gem. § 303a StGB und der Computersabotage gem. § 303 b StGB, Münster 1989. Song, Dawn Xiadong/Wagner, David/Tian, Xuqing, Timing analysis of keystrokes and timing attacks on SSH, in: USENIX Association Berkeley, CA, USA (Hrsg.), Proceedings of the 10th Conference on USENIX Security Symposium (SSYM’01), Washington D.C. August 13.–17.2001, S. 337 – 352 (zitiert als: Song/Wagner/Tian, in: SSYM’01). Sorge, Christoph/Gruschka, Nils/Lo lacono, Luigi, Sicherheit in Kommunikationsnetzen 2013. Spatscheck, Rainer, Outsourcing trotz Anwaltsgeheimnis: Nationale Lösung, in: AnwBl 2012, S. 478 – 481. Spies, Axel, USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, in: MMR 2009, S. XI-XII. Spindler, Gerald, Die neue EU-Datenschutz-Grundverordnung, in: DB 2016, S. 937 – 947. – Text und Data Mining – urheber- und datenschutzrechtliche Fragen, in: GRUR 2016, S. 1112 – 1120. Spindler, Gerald/Ernst, Stefan, Vertragsgestaltung für den Einsatz von E-Mail-Filtern, in: CR 2004, S. 437 – 445. Spindler, Gerald/Schuster, Fabian (Hrsg.), Recht der elektronischen Medien, 3. Auflage, München 2015 (zitiert als: Bearbeiter, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien). Spitz, Stefan, Vertrauen und Sicherheit bei Smartphones – Wie sicher ist mein neues Smartphone, in: DuD 2014, S. 671 – 674. Srinivasan, Madhan Kumar/Sarukesi, K./Rodrigues, Paul/Manoj, M. Sai/Revathy, P., State-ofthe-art Cloud Computing Security Taxonomies – A classification of security challenges in the present cloud computing environment, in: Gopalan, K. (Hrsg.), Proceedings of the International Conference on Advances in Computing, Communications and Informatics, Chennai, India – August 03 – 05, 2012 (ICACCI ’12), New York 2012, S. 470 – 476 (zitiert als: Srinivasan/Sarukesi/Rodrigues/Manoj/Revathy, in: ICACCI ’12). Stam, Fabian, Die Datenhehlerei nach § 202d StGB – Anmerkungen zu einem sinnlosen Straftatbestand, in: StV 2017, S. 488 – 492. Statistisches Bundesamt, Fachserie 10, Reihe 3 – Rechtspflege – Strafverfolgung 2016, abrufbar unter: https://www.destatis.de/DE/Publikationen/Thematisch/Rechtspflege/Strafverfol gungVollzug/Strafverfolgung2100300167004.pdf?__blob=publicationFile. Stelte, Björn/Koch, Robert, Absicherung von Xen-basierten Virtualisierungen – Selbstschutz durch den Einsatz von Sensoragenten, in: Paulsen, Christian (Hrsg.), Sicherheit in vernetzten Systemen – 17. DFN Workshop, 09./10. Februar 2010 in Hamburg, Norderstedt 2010, S. E1-F (zitiert als: Stelte/Koch, in: Sicherheit).
466
Literaturverzeichnis
Stephanow, Philipp/Banse, Christian, Evaluating the Performance of Continuous Test-Based Cloud Service Certification, in: IEEE Computer Society (Hrsg.), CCGrid 2017 – 2017 17th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing: Proceedings: 14 – 17 May 2017, Madrid, Spain, Los Alamitos, California 2017, S. 1117 – 1127 (zitiert als: Stephanow/Banse, in: CCGrid 2017). Stephanow, Philipp/Banse, Christian/Schütte, Julian, Generating threat profiles for cloud service certification systems, in: Babiceanu, Radu/Waeselynck, Helene/Paul, Raymond A./ Cukic, Bojan/Xu, Jie (Hrsg.), The 17th IEEE International Symposium on High Assurance Systems Engineering (HASE 2016) – 7 – 9 January 2016, Orlando, Florida: proceedings, Piscataway, New Jersey 2016, S. 260 – 267 (zitiert als: Stephanow/Banse/Schütte, in: HASE 2016). Stiemerling, Oliver/Hartung, Jürgen, Datenschutz und Verschlüsselung – Wie belastbar ist Verschlüsselung gegenüber dem Anwendungsbereich des Datenschutzrechts?, in: CR 2012, S. 60 – 68. Stögmüller, Thomas, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen – Ausstrahlungswirkungen des „neuen“ Grundrechts in die Privatwirtschaft, in: CR 2008, S. 435 – 439. Störing, Marc, Anmerkung zu LG Konstanz, Beschluss vom 27. 10. 2006-4 Qs 92/06, in: MMR 2007, S. 193 – 195. Streitberger, Werner/Ruppel, Angelika, Cloud Computing Sicherheit – Schutzziele, Taxonomie, Marktübersicht, Garching bei München 2009. Stuckenberg, Carl-Friedrich, Der missratene Tatbestand der neuen Datenhehlerei (§ 202d StGB), in: ZIS 2016, S. 526 – 533. – Zur Strafbarkeit des „Phishing“, in: ZStW 2006, S. 878 – 912. Subashini, S./Kavitha, V., A survey on security issues in service delivery models of cloud computing, in: JoNaCA 2011, S. 1 – 11. Sujecki, Bartosz, Internationales Privatrecht und Cloud Computing aus europäischer Perspektive, in: K&R 2012, S. 312 – 317. Süptitz, Thomas/Utz, Christine/Eymann, Thorsten, State-of-the-Art: Ermittlungen in der Cloud – Sicherstellung und Beschlagnahme von Daten bei Cloud Storage-Betreibern, in: DuD 2013, S. 307 – 312. SwissICT, Leitfaden Cloud-Architektur vom 02. Mai 2013, abrufbar unter: http://www.swissict. ch/fileadmin/customer/CloudArchitekturLeitfaden_-_Final.pdf. Sydow, Gernot (Hrsg.), NomosKommentar: Europäische Datenschutzgrundverordnung, 1. Auflage, Baden-Baden 2017 (zitiert als: Bearbeiter, Sydow (Hrsg.), NK-DSGVO). Systematischer Kommentar zum Strafgesetzbuch (zitiert als: Bearbeiter, SK-StGB). – Band I, §§ 1 – 37 StGB, Wolter, Jürgen (Hrsg.), 9. Auflage, Köln 2017. – Band IV, §§ 174 – 241a StGB, Wolter, Jürgen (Hrsg.), 9. Auflage, Köln 2017. – Band V, §§ 242 – 302 StGB, Wolter, Jürgen (Hrsg.), 9. Auflage, Köln 2017. – Band VI, §§ 303 – 358 StGB, Wolter, Jürgen (Hrsg.), 9. Auflage, Köln 2016.
Literaturverzeichnis
467
Szer, Benjamin, Cloud Computing und Wissensmanagement – Bewertung von Wissensmanagementsystemen in der Cloud, Hamburg 2014. Taeger, Jürgen, Die Entwicklung des Computerrechts, in: NJW 2010, S. 25 – 31. Taeger, Jürgen/Gabel, Detlev (Hrsg.), Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Auflage, Frankfurt am Main 2013 (zitiert als: Bearbeiter, Taeger/Gabel (Hrsg.), Kommentar). Teplitzky, Otto/Pfeifer, Karl-Nikolaus/Leistner, Matthias (Hrsg.), Gesetz gegen den unlauteren Wettbewerb – Großkommentar, Dritter Band, §§ 8 – 22, Register, 2. Auflage, Berlin/München 2015 (zitiert als: Bearbeiter, Teplitzky/Pfeifer/Leistner (Hrsg.), UWG). Terplan, Kornel/Voigt, Christian, Cloud Computing, 1. Auflage, Heidelberg 2011. Tetzner, Thaddäus, Sicherheitsanforderungen an das Cloud Computing – Identifikation und Analyse, Saarbrücken 2010. Thiesen, Michael, Wie hoch ist der Preis der Anonymität? – Haftungsrisiken beim Betrieb eines TOR-Servers, in: MMR 2014, S. 803 – 809. Thilakarathne, Anuradha/Wijayanayake, Janaka, Security Challenges of Cloud Computing, in: IJSTR (3) 2014, S. 200 – 203. Thorenz, Lynn/Zacher, Mathias, Cloud-Computing: Neue Chancen für das Outsourcing, in: Rickmann, Hagen/Diefenbach, Stefan/Brüning, Kai T. (Hrsg.), IT-Outsourcing – Neue Herausforderungen im Zeitalter von Cloud Computing, Berlin/Heidelberg 2013, S. 25 – 38. Tiedemann, Klaus, Wirtschaftsstrafrecht – Besonderer Teil, 3. Auflage, München 2011 (zitiert als: Tiedemann, Wirtschaftsstrafrecht BT). – Wirtschaftsstrafrecht – Einführung und Allgemeiner Teil, 4. Auflage, München 2014 (zitiert als: Tiedemann, Wirtschaftsstrafrecht AT). Tilkov, Stefan/Starke, Gernot, Einmaleins der serviceorientierten Architekturen, in: Starke, Gernot/Tilkov, Stefan (Hrsg.), SOA-Expertenwissen – Methoden, Konzepte und Praxis serviceorientierter Architekturen, 1. Auflage, Heidelberg 2007, S. 9 – 36 (zitiert als: Tilkov/ Starke, in: SOA). Többens, Hans, Wirtschaftsspionage und Konkurrenzausspähung in Deutschland, in: NStZ 2000, S. 505 – 512. Uniscon GmbH, White Paper: Datenraum – Durch Versiegelung sind Datenräume so sicher, einfach und günstig wie noch nie, April 2014, abrufbar unter: https://www.idgard.de/service/ downloads/white-paper/. Vahle, Jürgen, Computerkriminalität, in: RDV 1990, S. 128 – 134. Valerius, Brian, BVerfG v. 18. 5. 2009-2 BvR 2233/07. Restriktive Auslegung des § 202c StGB, in: JR 2010, S. 79 – 86. – Zum Anwendungsbereich nationaler Rechtsordnungen im Zeitalter des Internets, in: Herczeg, Jirˇí/Hilgendorf, Eric/Grˇivna, Tomásˇ (Hrsg.), Internetkriminalität und die neuen Herausforderungen der Informationsgesellschaft des 21. Jahrhunderts, 1. Auflage, Praha 2010, S. 7 – 19 (zitiert als: Valerius, in: Herczeg/Hilgendorf/Grˇivna (Hrsg.), Internetkriminalität). Vander, Sascha, Weisungsgebundene Datenweitergabe nach der Rechtsprechung des EuGH – Allgemeine Auswirkungen auf den Geheimnisschutz, in: DSRITB 2013, S. 105 – 124.
468
Literaturverzeichnis
Vaquero, Luis/Rodero-Merino, Luis/Caceres, Juan/Lindner, Maik, A Break in the Clouds: Towards a Cloud Definition, in: ACM SIGCOMM Computer Communication Review (39) 2009, S. 50 – 55. Vaquero, Luis/Rodero-Merino, Luis/Morán, Daniel, Locking the sky: A survey on IaaS cloud security, in: Computer (91) 2011, S. 93 – 118. Vassilaki, Irini E., Das 41. StrÄndG – Die neuen strafrechtlichen Regelungen und ihre Wirkung auf die Praxis, in: CR 2008, S. 131 – 136. Vec, Milosˇ, Internet, Internationalisierung und nationalstaatlicher Rechtsgüterschutz, in: NJW 2002, S. 1535 – 1539. Verizon, Data Breach Investigations Report 2016, abrufbar unter: http://www.verizonenterprise. com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf. Vetter, Jan, Gesetzeslücken bei der Internetkriminalität, Hamburg 2003. Vikas S., Solanke/Pawan, Katgaonkar/Gurudatt A., Kulkarni/Shyam, Gupta, Mobile Cloud Computing: Security Threats, in: Smys, S. (Hrsg.), International Conference on Electronics and Communication Systems (ICECS), 13 – 14 Feb. 2014, Coimbatore, India/Piscataway, New Jersey 2014, S. 550 – 553 (zitiert als: Vikas S./Pawan/Gurudatt A./Shyam, in: ICECS 2014). Vogel, Robert/Koçog˘ lu, Tarkan/Berger, Thomas, Desktopvirtualisierung – Definitionen, Architekturen, Business-Nutzen, 1. Auflage, Wiesbaden 2010. Vogelgesang, Stephanie/Hessel, Stefan/Möllers, Frederik, Hardware-Keylogger: – Die Tastatur in der Hand des Feindes, in: DuD 2016, S. 729 – 734. Vogelgesang, Stephanie/Möllers, Frederik, Ransomware als moderne Piraterie – Erpressung in Zeiten digitaler Kriminalität, in: jM 2016, S. 381 – 387. Volesky, Karl-Heinz/Scholten, Hansjörg, Computersabotage, Sabotageprogramme, Computerviren – Rechtliche Probleme von § 303b StGB, in: iur 1987, S. 280 – 289. Vollmer, Timm, Der Einstieg in die Cloud – Ein Blick auf die Technik und die juristischen Grundlagen des Cloud Computings, Hamburg 2013. Vossen, Gottfried/Haselmann, Till/Hoeren, Thomas, Cloud-Computing für Unternehmen – Technische, wirtschaftliche, rechtliche und organisatorische Aspekte, 1. Auflage, Heidelberg 2012. Wabnitz, Heinz-Bernd/Janovsky, Thomas (Hrsg.), Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Auflage, München 2014 (zitiert als: Bearbeiter, in: Wabnitz/Janovsky (Hrsg.), Handbuch). Wagner, Axel-Michael/Groß, Stefan, Das globale Rechenzentrum als rechtliche Herausforderung für Gesetzgeber und Unternehmen, in: BB 2011, S. I (Beilage). Walther, Susanne, Terra Incognita: – Wird staatliche internationale Strafgewalt den Menschen gerecht?, in: Arnold, Jörg (Hrsg.), Menschengerechtes Strafrecht – Festschrift für Albin Eser zum 70. Geburtstag, München 2005, S. 925 – 954 (zitiert als: Walther, in: FS Eser). Wandtke, Artur-Axel/Bullinger, Winfried (Hrsg.), Praxiskommentar zum Urheberrecht, 4. Auflage, München 2014 (zitiert als: Bearbeiter, Wandtke/Bullinger).
Literaturverzeichnis
469
Warken, Claudia, Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 1 – Beweissicherung im Zeitalter der digitalen Cloud, in: NZWiSt 2017, S. 289 – 298. – Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 2 – Beweisverwertung im Zeitalter der digitalen Cloud und datenspezifische Regelungen in der StPO, in: NZWiSt 2017, S. 329 – 338. – Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 3 – Jenseits der StPO: Analogie, supra- und internationale Regelungen, praktische Lösungsansätze, in: NZWiSt 2017, S. 417 – 425. – Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 4 – Quo vadis, StPO? Warum es expliziter gesetzlicher Regelungen für den Umgang mit elektronischen Beweismitteln im Strafprozess bedarf und welche Rolle die Europäische Union dabei spielt, in: NZWiSt 2017, S. 449 – 458. Wedde, Peter, Neue Entwicklungen im Internet und Auswirkungen auf Arbeitnehmer – Wie kann der Betriebsrat diese Entwicklung begleiten?, in: AiB 2011, S. 287 – 291. Weichert, Thilo, Cloud Computing und Datenschutz, in: DuD 2010, S. 679 – 687. Weißgerber, Michael, Das Einsehen kennwortgeschützter Privatdaten des Arbeitnehmers durch den Arbeitgeber, in: NZA 2003, S. 1005 – 1009. Welp, Jürgen, Datenveränderung (§ 303a StGB) – Teil 1, in: iur 1988, S. 443 – 449. – Strafbare Verletzungen des Post- und Fernmeldegeheimnisses nach der Privatisierung der Post (§ 206 StGB), in: Eser, Albin/Schittenhelm, Ulrike/Schumann, Heribert (Hrsg.), Festschrift für Theodor Lenckner zum 70. Geburtstag, München 1998, S. 619 – 644 (zitiert als: Welp, in: FS Lenckner). Werkmeister, Christoph/Steinbeck, Friederike, Anwendbarkeit des deutschen Strafrechts bei grenzüberschreitender Cyberkriminalität, in: wistra 2015, S. 209 – 214. Wessels, Johannes/Beulke, Werner/Satzger, Helmut, Strafrecht, Allgemeiner Teil – Die Straftat und ihr Aufbau, 47. Auflage, Heidelberg 2017. Wicker, Magda, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, 1. Auflage, Baden-Baden 2016 (zitiert als: Wicker, Cloud Computing). – Die Neuregelung des § 100j StPO auch beim Cloud Computing? – Zugriff auf Zugangsdaten zur Cloud nach der neuen Bestandsdatenauskunft?, in: MMR 2014, S. 298 – 302. – Durchsuchung in der Cloud – Nutzung von Cloud-Speichern und der strafprozessuale Zugriff deutscher Ermittlungsbehörden, in: MMR 2013, S. 765 – 769. – Haftet der Cloud-Anbieter für Schäden beim Cloud-Nutzer? Relevante Haftungsfragen in der Cloud, in: MMR 2014, S. 715 – 718. – Vertragstypologische Einordnung von Cloud Computing-Verträgen – Rechtliche Lösungen bei auftretenden Mängeln, in: MMR 2012, S. 783 – 788. Wind, Stefan, Evaluierung und Auswahl von Enterprise Cloud Services, Aachen 2014. Wolf, Dieter, Strafrechtliche Bewertung des Missbrauchs von Mobiltelefon-Prepaid-Paketen und SIM-Karten, in: MMR 2003, S. XIV-XVIII.
470
Literaturverzeichnis
Wolff, Amadeus Heinrich/Brink, Stefan (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 23. Auflage, München 2018 (zitiert als: Bearbeiter, in: BeckOK Datenschutzrecht). Wuermeling, Ulrich, Einsatz von Programmsperren – Zivil- und strafrechtliche Aspekte, in: CR 1994, S. 585 – 595. Wybitul, Tim, Neue Spielregeln bei E-Mail-Kontrollen durch den Arbeitgeber – Überblick über den aktuellen Meinungsstand und die Folgen für die Praxis, in: ZD 2011, S. 69 – 74. Xiao, Zhifeng/Xiao, Yang, Security and Privacy in Cloud Computing, in: IEEE Communications Survey & Tutorials (15) 2013, S. 843 – 859. Yazar, Ceren/Ammerich, Florian, Facebook, Google & Co. – Chancen und Risiken, in: NVwZ 2012, S. 1156 – 1158. Youseff, Lamia/Butrico, Maria/Da Silva, Dilma, Toward a Unified Ontology of Cloud Computing 2008, abrufbar unter: http://spsteve.wikispaces.asu.edu/file/view/unified+interface+ cloud.pdf. Zhang, Yinqian/Juels, Ari/Reiter, Michael, K./Ristenpart, Thomas, Cross-VM side channels and their use to extract private keys, in: Yu, Ting (Hrsg.), Proceedings of the 2012 ACM Conference on Computer and Communications Security (CCS 2012), New York, NY 2012, S. 305 – 316 (zitiert als: Zhang/Juels/Reiter/Ristenpart, in: CCS 2012). Ziegler, Paul Sebastian, Netzwerkangriffe von innen – Angreifer diesseits der Firewall, 1. Auflage, Beijing 2008. Zöll, Oliver/Kielkowski, Jacek B., Arbeitsrechtliche Umsetzung von „Bring Your Own Device“ (BYOD), in: BB 2012, S. 2625 – 2630.
Sachverzeichnis Access-Provider 196 Advanced Persistent Threat 86 AGB 114, 134, 139, 335 Aggregator 71, 73 Allgemeines Persönlichkeitsrecht 119, 229 Anything as a Service/Everything as a Service (XaaS) 50, 51 Application Programming Interface (API) 57, 75, 77, 114, 330 Application Service Providing (ASP) 29, 57 ARP-Spoofing 113, 166, 182, 330 Auftragsdatenverarbeitung 80 Fn. 283, 81 Fn. 293, 242, 284, 285, 286 Auftragsverarbeiter 283, 284, 286, 289, 290, 291, 292, 293, 295, 298, 310 Fn. 315 Backdoor 98, 107 Fn. 160, 155, 158, 188, 332 Backup 52, 58, 66, 68, 97, 101, 102, 106, 114, 140, 294, 323, 325, 343 Beihilfe 162, 164, 186, 187, 188, 194, 271, 277 Fn. 133, 411 Berufsgeheimnisträger 229, 231, 232, 233 Fn. 141, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 251, 253, 254, 255, 395, 400 Betriebsspionage 136, 257, 262, 264, 266, 271, 272 Bots 110 Breakout Exploits 107 Bring Your Own Device 76, 199 Broad Network Access 35, 74 Brute-Force-Angriff/Brute-Force-Attacke 104, 105, 158, 167, 206, 282, 409 BSI-Gesetz 37, 328, 402 BSI-KritisV 328, 402 Buffer-Overflow 107 Bugs 111, 115, 313 Bundesamt für Sicherheit in der Informationstechnik (BSI) 37
CERT Insider Threat Center 84 Clones 68, 69 Fn. 218, 102, 103, 106, 163, 346, 399 Cloud Broker 71, 73, 90 Cloud Burst Attacke 107 Cloud Carrier 75, 197, 198, 222, siehe auch Internet Service Provider Cloud Collaboration 77, 116, 175, 198, siehe auch Datenlink/Linkfunktion Cloud Service Developer 91, 92, 97, 98,136, 151, 158, 171, 188, 203, 206, 215, 219, 224, 228, 362, 368, 399 Cloud War 118, 391, 415 Cluster 62, 64, 69 Fn. 217 Cluster Computing 29 Communication as a Service (CaaS) 199 – CaaS-Anbieter/CaaS-Betreiber 199, 200, 201, 202, 203, 204, 222, 275, 362, 363, 364, 365, 367, 402 – CaaS-Administratoren 202, 203, 228, 274, 276, 362, 363, 364, 366, 367, 368 – CaaS-Nutzer 200, 201, 202, 204, 205, 206, 207, 222, 223, 224, 225, 226, 227, 228, 276, 362, 363, 364, 365, 366, 367, 368 – Mitarbeiter/Beschäftigte der CaaS-Anbieter 200, 201, 202, 223, 224 Community Cloud 44, 45, 46, 47 Computer Emergency Response Team (CERT) 84 Computer-Grundrecht 120, 121, 175, 338, 398 Content-Provider 221 Cracker 87 Credentials 75, 77, 90, 100, 103, 111, 126, 132, 157, 162, 164, 168, 180, 183, 259 Fn. 20, 281, siehe auch Passwort/Passwörter Cross-Site-Scripting (XSS) 88 Cyberangriffe 90, 96 Cybercrime-Kits 157
472
Sachverzeichnis
Cybercrime-Konvention 122, 141, 159 Fn. 292, 172, 176 Fn. 387, 178, 179 Fn. 408, 184, 189, 346, 405, 422 Cybercrime-as-a-Service/Crime-as-a-Service 84, 85, 86, 96 Fn. 80, 384 Cyberkriminelle 85 Fn. 19, 93, 115 Darknet 84, 85, 86, 190, 212, 213, 218, 219, 227, 243, 247, 249, 260, 261, 278, 308, 311, 314, 384 Database as a Service (DBaaS) 50 Data at Rest 101, 105, 166, 173, 175, 183, 238 Data in Motion 101, 105, 165 Data in Use 102, 105, 165, 173, 175, 183 Data Mining 214 Data Storage as Service (DSaaS) 51 Daten-Aggregatoren 73 Datendiebstahl 26, 27, 123, 158 Datenlink/Linkfunktion 77, 116, 154, 163, 164, 185, 187, 193, 198, 215, 260, 262, 311, 399, 407 Datenuntreue 401, 402, 404, 405, 406, 407, 412, 413, 421 DDoS-ähnlicher Angriff 106 DDoS-Angriff/DDoS-Attacke 106 Fn. 147, 117, 118, 324, 329, 344, 345, 347, 348, 351, 352, 355, 356, 360, 361, 366, 379, 382, 391, 392, 415 Dechiffrierschlüssel 100, 103, 106, 162 Deep Packet Inspection (DPI) 113, 114, 138, 165, 330, 363 Deep Web 84, siehe auch Darknet Dienstgeheimnisse 121 Fn. 16, 215 DNS Cache Spoofing 113, 165, 166 DRDoS (Distributed Reflected Denial of Service)-Angriff 347 Drei-Schichten-Modell 61, 71 Drittgeheimnisse 244, 251 Dual Use Tools 192 E-Mail-Provider 77, 198 E-Privacy-Verordnung 279 Economic Denial of Sustainability Angriff 118, 355 Faktische Datenhoheit 78 Faktische Herrschaft 81
Fernmeldegeheimnis 119, 174, 175, 195, 198, 204, 205, 220, 223, 225, 226, 227, 315 Geheimnisberechtigter/Geheimnisträger 88 Fn. 35, 137 Fn. 134, 233, 234, 243, 245, 247, 248, 249 Fn. 250, 250, 251, 257 Ghostware 111 Grid Computing 29, 40 Fn. 40, 197 Hacker 87, 105 Hacker-Angriffe 26 Hardware Based Virtualization Rootkits (HBVR) 108, 350 Hardware-Trojaner 98, 159, 182, 276 Fn. 130 Hardwareanbieter 91, 98, 203, 224, siehe auch Manufactor Hash-Algorithmus 104 Hashfunktion 104 Hashwert 104, 145 HeartBleed Bug 95 Hostadministratoren 91 Hostingprovider 86 Human as a Service (HuaaS) 50, 51 Hybrid Cloud 35, 47, 46, 47 Hypervisor 65, 66, 67, 68, 69, 70, 78, 79, 80, 91, 92, 101, 106, 107, 108, 109, 129, 157, 163, 325, siehe auch Virtual Machine Monitor IaaS-Anbieter 53, 60, 71, 90, 215, 221 IaaS-Nutzer 52, 107, 108 Identitätsdiebstahl 110 Fn. 179, 295, 378 Fn. 57 Independent Software Vendor 91, siehe auch Softwareanbieter Insiderwissen 87, 90, 186, 194, 411 Inter Cloud Provider 71 Internet Service Provider 197, 222, siehe auch Cloud Carrier IP-Spoofing 313, 347 IT as a Service 38 IT-Outsourcing 29, 42, 136, 235, 401, 407 Intrusion Detection-System (IDS) 99, 147, 163, 402 Intrusion Prevention Systeme (IPS) 99, 148, 402
Sachverzeichnis Keylogger 190, 332 – Hardware-Keylogger 159 Fn. 288, 182, 351 – Software-Keylogger 110 Fn. 179 Keystroke Timing Attacken 109 Kryptografie 101, 107, siehe auch Verschlüsselung Kryptografiemethoden 105 Least Privilege Model 100 Live Migration 69, 103, 163 Logische Bomben 98 Machine-to-Machine-Kommunikation 174, 279 Malware 85, 86, 95, 98 108, 110, 111, 112, 113 Fn. 199, 115, 138, 157, 161 Fn. 303, 182, 186, 190, 191, 194, 216, 265, 329, 331, 332, 333, 334, 337, 352, 254, 361, 380, 384, 388, 391, 392, 409 Malware-as-a-Service 115 Malware Injection (Angriff) 110, 157, 182, 190, 194, 331, 344, 360, 379, 382, 391 Man-in-the-Middle-Angriff 88 Fn. 33, 113, 144, 146, 165, 182, 183 Mandantentrennung 47, 67, 107, 109, 148, 157, 158, 183 Manufactor 91, 92, 97, 151, 158, 215, 219, 399, siehe auch Hardwareanbieter Marktortprinzip 287, 289, 389, 417, 419 Measured Service 36 Mitwirkende Personen 231, 232, 234, 235, 236, 242, 253, 254, 255 Multi-Cloud Interface 73, 112 Multi-Tenant-Architektur/multimandantenfähige Architektur 40, 57 Fn. 156, 64 National Institute for Standards and Technology (NIST) 34, 35, 37 Network as a Service (NaaS) 50 Fn. 114, 197 Netzwerkadministratoren 91, 100, 103, 112, 138, 139, 143, 151, 165, 166, 171, 178, 182, 183, 188, 330, 363, 364 Netzwerksniffer 138, 165, 182, 188, 192, 225, 330, 363 Next Generation Certification (NGCert) 28, 81
On-Demand Self-Service
473 35, 77
PaaS-Anbieter 55, 61, 71, 90, 215, 221 PaaS-Nutzer 56, 107, 108 Paketfilter 138 Passwort-Hash 104 Passwort-Scanner 192 Pay-Per-Use-Prinzip/Pay-as-You-Go-Prinzip 36 Fn. 20, 39, 65 Pharming 313, 334 Phishing 137, 138 Fn. 136, 160, 166, 313, 334 Phishing-Mails 190 Port Scanning/Portscanner 88, 192 PREsTiGE 28, 81 Privilegienmissbrauch 26, 142, 165, 214, 219, 267, 313, 379, 401, 402, siehe auch Privilege Escalation Privilegienstufe 79 Programmierfehler 111, siehe auch Bugs Private Cloud 32 Fn. 23, 39, 41, 42, 43, 44, 46, 47, 48, 75 Fn. 248 Privilege Escalation 115, 116, 159, 201, 295, siehe auch Privilegienmissbrauch Privilegierte(r) Zugang/Zugriff/Zugriffsrechte 80, 90, 96, 100, 101, 145 Fn. 190, 162, 201, 399, 403, 406, 407 Programmierschnittstelle (API) 57, 75, siehe auch Application Programming Interface (API) Public Cloud(s/-Anbieter) 32 Fn. 23, 39, 40, 41, 42, 44, 45, 46, 47, 48, 56, 60 Fn. 174, 74 Fn. 248, 76 Fn. 261, 80, 92, 111, 140, 242 Rainbow Tables 104, 158, 167 RAMCloud 127 Ransomware(-Attacke/Angriff) 117, 190, 326, 329, 331, 344, 356, 374 Rapid Elasticity 36, 65 Reinigungspersonal 166, 409 Ressource Pooling 35, 64 Ressourcenzuteilung 66, 69, 79, 80, 91 Root-Rechte 99, 101, 103 SaaS-Anbieter 57, 58, 59, 71, 90, 215, 221 SaaS-Nutzer 57
474
Sachverzeichnis
Schadprogramme/Schadsoftware 61, 85, 92, 97, 98, 106 Fn. 147, 108, 110, 111, 159, 188, 189, 190, 331, 332, 333, 336, 337, 347, 380, 391, 392, 409 Sealed Cloud 143, 144, 145, 153, 169, 239 Securing the Financial Cloud (SFC) 28 Security-as-a-Service 72 Seitenkanalangriff(e) 109, 158, 179, 183, 276, 410 Self-Service-Modell 48 Self-Service-Web-Portal 77, 93 Serviceorientierten Architekturen (SOA) 74 Fn. 248 Session Hijacking 96 Fn. 82, 155 Sicherheitsadministratoren 91, 100, 103, 112, 113, 138, 139, 143, 151, 165, 166, 171, 178, 182, 183, 188, 363, 364 Sicherungscodes 161, 181, 184, 185, 186, 187, 188, 194, 384, 409, 411 Side-Channel-Attacke(n) 109, 410, siehe auch Seitenkanalangriffe Single Point of Failure (SPOF) 66 Single-Sign-on-Lösung 88 Fn. 33, 100 Skalierung 40, 56, 58, 117, 129 Skript-Kiddie 87 Skripturakt 133, 322 Snapshots 68, 69 Fn. 218, 102, 103, 106, 163, 346, 399 Sniffer-Programme 113, 114, siehe auch Netzwerksniffer Social Engineering/Social Hacking 88, 137, 160, 166, 267, 313 Softwareanbieter 91, 97, 136, 151, 158, 206, 215, 219, 229, 362, 368, 399, siehe auch Independent Software Vendor Spamming 329, 347, 352 Split Cloud 28, 143, 145, 156, 169, 239 Spyware 110, 157, 182, 272, 332, 333 Staatsgeheimnisse 121 Fn. 16, 215 Subunternehmer 40, 41, 53, 56, 58, 71, 76, 82, 87, 90, 91, 92, 121 Fn. 16, 129, 130, 134, 170, 181, 203, 206, 215, 216, 219, 228, 231, 234, 236, 238, 240, 242, 252, 253, 260, 261, 285, 288, 343, 344, 365, 368, 388 Supervisor 91, 99, 100, 103, 106, 107, 137, 138, 141, 162, 167, 187, 193, 399
Systemadministratoren 88 Fn. 35, 91, 101, 102, 103, 106, 107, 137, 138, 141, 162 Fn. 305, 187, 192, 366, 399 Telekommunikationsunternehmen 196, 202, 203, 215, 220, 363, 366 Telemedien(-Dienste) 220, 221 Timing Attack 109, 180, 183, 410 Trapdoor 98, 155, 159, 182, siehe auch Backdoor Trojaner 98, 110, 155, 157, 159, 188, 190, 226, 332 Unberechtigter/unbefugter Datenzugriff(e) 27, 42, 48, 152, 193, 390, 399 Underground Economy 84, 85, 93, 95, 96 Fn. 80, 105, 107, 150, 191, 208, 209, 216, 411 Unterlassen(e) 111, 228, 254, 263, 292 Fn. 218, 295, 324, 371 – Unterlassene Verschwiegenheitserklärung/Geheimhaltungsverpflichtung 252, 253, 254, 255 Utility Computing 28, 29 Verantwortlicher 284, 285 Fn. 178, 292, 296 Verfügungsbefugnis/Datenverfügungsbefugnis 123, 128, 130, 133, 135, 140, 155, 171, 172, 208, 210, 214, 216, 218, 319, 320, 321, 322, 323, 324, 327, 337, 344, 350, 382, 389, 395, 401, 406, 407, 413, 414 Verfügungsberechtigung 129, 130, 132, 133, 134, 145, 251, 320, 321, 322, 360 Verfügungsgewalt 121, 164, 165, 182, 184, 186, 247, 264, 268, 317 Fn. 2, 321, 323, 335, 338, 381, 390, 395, 407 Verkehrsdaten 86, 209, 210, 220, 279 Verifi-eiD 28, 138 Fn. 136 VeriMetrix 28, 81, 388 Fn. 128 Vertragswidrige(n) Verwendung 399, 404, siehe auch zweckwidrige Verwendung Verkehrsflussanalyse 109, 158, 410 Verschlüsselung(en/sverfahren/smechanismen)/Datenverschlüsselung(en) 72, 76 Fn. 261, 78, 95, 101, 103, 104 Fn. 139, 105, 106, 112, 120, 142, 144, 145, 148,
Sachverzeichnis 149, 153, 159 Fn. 288, 163, 165, 166, 167, 206, 237, 238, 259, 277, 294, 402, 409 – Asymmetrische Verschlüsselungen 101 – Clientseitige Datenverschlüsselung 103 Fn. 127, 105 – Homomorphe Verschlüsselungsmethode(n) 102, 103 – Hybride Verschlüsselungen 101 – Symmetrische Verschlüsselungen/Verschlüsselungsverfahren 101, 104 Fn. 139 – Verschlüsselungs-Key(s) 54, 103, 104 Fn. 139, 105, 107, 109, 111, 116, 157, 158, 179, 247, 329 Vier-Augen-Prinzip 45, 147 Viren 85 Fn. 13, 90 Fn. 89, 98 Fn. 94, 110, 111, 157, 325, 331, 332, 333, 345, 347, 350 – Überschreibender Virus 332 – Nicht-überschreibender Virus 332 Virtualisierungsadministratoren 91, 100 Virtual-Machine Based Rootkit (VMBR) 108 Virtualisierende Rootkits 107 Virtual Private Cloud 37 Fn. 23, 39, 47, 48, 54, 75 Virtual Local Area Network (VLAN) 67 Fn. 209 Virtual-Machine Based Rootkit (VMBR) 108 Virtual Machine Monitor 65, 67, siehe auch Hypervisor
475
Virtual Private Network (VPN) 42, 48, 54, 176 Virtuelle Maschine(n) 52, 54, 57, 64, 65, 69, 97, 108, 109, 112, 272 VM Escape 107, 109, 157, 188 VM Hopping 108, 157, 188, 194 Wartungspersonal 97, 234 Würmer 85 Fn. 13, 90 Fn. 89, 110, 111, 190, 325, 332, 333, 345, 347 XML Signature Wrapping
88
Zero-Day-Schwachstellen 95 Zertifizierung(en) 80, 240, 294 Zugangsdaten 84, 88, 103, 105, 109, 110 Fn. 179, 111, 116, 137 Fn. 134, 137 Fn. 135, 148, 157, 160, 164, 187, 188, 209, 259, 336 Zugriffsprotokolle 54 Zugriffsrecht(e) 55, 56, 60, 84 Fn. 10, 96, 115, 136, 137, 138, 140, 142, 148 Fn. 208, 159, 162, 163, 171, 183, 192, 193, 194, 226, 269, 285, 399, 406, 407 Zulieferer 90, 92 Zweckwidrige Verwendung 137, 143, 399, siehe auch vertragswidrige Verwendung Zwei-Faktoren-Authentifizierung 45, 402