|
Dr. Jürgen Peter Graf
Richter am BGH
Vortrag auf der IT-Anwaltskonferenz 4.0 "Daten und Informationen als Wirtschaftsgüter - Produktion, Handel und Verwertung von Daten und Informationen, Zugang und Rechtsschutz" am 30./31. März 2001 in Berlin
A. Einleitung
Zur Einführung in ein strafrechtliches Thema erscheint es immer angezeigt, eine Statistik der Ermittlungsbehörden mit möglichst stark ansteigenden Fallzahlen zu präsentieren, schon um die Bedeutung des Themas für Wirtschaft und Strafrechtswissenschaft und die eigene Existenzberechtigung als Staatsanwalt zu dokumentieren. Leider musste ich bei meinen Recherchen feststellen, dass jedenfalls auf Bundesebene (derzeit) eine aktuelle Statistik zu den speziellen Fragen meines Vortrages nicht vorhanden ist.
Ein zweiter, meist erfolgreicher Weg ist die Sichtung der höchstrichterlichen Rechtsprechung. Allerdings war auch dies wenig erfolgreich; immerhin erfährt man dadurch von Unterlagen zur Konstruktion eines Fernthermometers, welche ehemalige Betriebsangehörige beim Firmenwechsel mitgenommenen hatten (BGH WM 1985, 365), vom Festhalten der Konstruktionsidee (für einen Stapelautomaten) in Zeichnungen durch einen ehemaligen Mitarbeiter (BGH NJW 1984, 239 = WM 1983, 535), der Verwendung von Kundenanschriften durch einen ausgeschiedenen Handelsvertreter (BGH NJW-RR 1999, 1131 = WM 1999, 1430) und, wir nähern uns langsam dem Thema - von einem mitgenommenen Magnetband mit Kundenanschriften eines Versandhauses (BGH NJW 1992, 1776 = NStZ 1992, 451). - Dennoch sind wir auch dabei noch weit von dem Thema der Datenentwendung in Internet oder Intranet entfernt. Zieht man zusätzlich noch die Entscheidungen von Oberlandesgerichten oder gar Landgerichten bei, stößt man mehrfach auf die Problematik des Leerspielens von Geldspielautomaten (OLG Hamm CR 1991, 233; LG Stuttgart MDR 1991, 81; LG Ravensburg StV 1991, 214; Achenbach NStZ 1993, 478 m. weit. Nachw.). Allerdings waren „die einarmigen Banditen„ zum damaligen Zeitpunkt - für die Zukunft mag dies eine Vision sein - weder über Intranet noch Internet mit Aufstellern oder Herstellern verbunden.
Wenn dann auch - was angesichts des Themas nahe liegt - eine Recherche im Internet wenig Weiterführendes erbringt, könnte es nahe liegen, an dieser Stelle die Ausführungen zu beenden.
Doch würde dies der an mich gerichteten Bitte nicht gerecht - zumal wenn die Erinnerung kommt, dass es vor wenigen Jahren einen spektakulären Fall José Ignacio López gab, welcher mit drei Mitarbeitern 1993 von General Motors (GM) zu Volkswagen wechselte und dabei insbesondere EDV-Unterlagen und –daten (welche später einen Ausdruck von insgesamt 2,3 Millionen DIN A4-Seiten ergaben) mitbrachte. Allerdings kam es auch insoweit - wie Sie sicherlich noch wissen - zu keiner strafrechtlichen Verurteilung (Das Verfahren wurde gemäß § 153a StPO im Juli 1998 gegen Zahlung von 400 000,- DM von Lopez an eine heilpädagogische Einrichtung eingestellt; die drei Mitbeschuldigten mussten insgesamt 190 000,- DM an gemeinnützige Einrichtungen entrichten. VW selbst verpflichtete sich u.a. zu einer Zahlung von 100 Millionen Dollar an GN ).
Somit erscheint es aber mehr als naheliegend, dass auch weitere entsprechende Sachverhalte durchaus vorhanden waren und sind - aus den unterschiedlichsten Motivationen aber entweder gar nicht zur Anzeige oder jedenfalls nicht zu einer Verurteilung führen.
Dies könnte sich jedoch bald ändern, man muss nur an die verschiedenen Vorwürfe des Insiderhandels, des Verbreiten von Insiderinformationen im Netz oder überhaupt an unterschiedliche Möglichkeiten wirtschaftlicher Transaktionen unter Benutzung von Datennetzen denken.
Der durch illegale Beschaffung und Manipulation von Daten allein in Deutschland verursachte Schaden wird nach einer aktuellen Meldung vom 23.03.2001 auf jährlich etwa 20 Milliarden Mark geschätzt.
B. Rechtsschutz von Daten und Betriebsgeheimnissen in Intranet und Internet
Daten und Betriebsgeheimnisse sind vor einer Wegnahme, einem Verschaffen oder einer unbefugten Verwendung durch unterschiedliche Rechtsvorschriften strafrechtlich geschützt. Hierbei kommen einmal in Betracht allgemeine Vorschriften des Strafgesetzbuches, wie § 202a, § 246 und § 303a StGB, und dann spezielle Vorschriften zum Schutz des Geschäftsverkehrs, insbesondere §§ 17 ff. UWG.
Des Weiteren ist die Beurteilung des Sachverhaltes davon abhängig, ob die Tathandlung durch eine(n) Mitarbeiter(in) des betroffenen Unternehmens begangen worden ist. Vielfach dürfte es sich bei letzteren Fällen meist um Handlungen im Intranet des Unternehmens handeln; dies ist aber nicht zwingend, da gerade bei weitverzweigten Firmen vielfach auch schon Daten im Serverraum des Internets für Mitarbeiter weltweit zur Verfügung gehalten werden.
Da nach aktuellen Untersuchungen zwei Drittel aller Angriffe auf Wirtschaftsdaten eines Unternehmens auf das Konto der eigenen Mitarbeitern gehen, will ich mein Hauptaugenmerk zunächst auf die Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) richten.
I. § 17 UWG
1. Geschäfts- oder Betriebsgeheimnis
Der Schutz des § 17 UWG und der Folgevorschriften erfasst Geschäfts- oder Betriebsgeheimnisse eines Unternehmens. Eine Legaldefinition existiert nicht. Jedoch dürfte es zutreffend sein, davon auszugehen, dass sich Geschäftsgeheimnisse auf den kaufmännischen Geschäftsverkehr und Betriebsgeheimnisse auf den technischen Betriebsablauf beziehen, wobei letztlich eine genaue terminologische Unterscheidung zwischen beiden Begriffen wegen des gleichen Schutzumfangs entbehrlich ist. Viel entscheidender ist das weitere Abgrenzungskriterium, dass es sich um eine geheimzuhaltende Tatsache handeln muss, welche nur einem eng begrenzten Personenkreis bekannt sein darf. Wie groß dieser Personenkreis sein kann, wird vom Einzelfall abhängen; jedenfalls kann das Geheimnis nur solange ein solches sein, wie es nicht offenkundig ist. Daraus folgt, dass der Schutz des § 17 UWG sogar dann verloren geht, wenn die Offenkundigkeit nicht vom Firmeninhaber zu vertreten oder auch Folge vertragswidriger Verhaltensweisen ist, insbesondere würde dies mit der Veröffentlichung einer bislang geheimen Tatsache in Druckschriften, elektronischen Medien oder auch dem Internet eintreten.
Aus dem Begriff "geheimzuhaltende Tatsache" folgt schließlich die Erforderlichkeit eines Geheimhaltungswillens und eines -interesses des Geschäftsinhabers.
Als Beispiele für Geschäfts- und Betriebsgeheimnisse sind die bereits erwähnten Kundenlisten, die Bezugsquellen oder Lieferanten eines Unternehmens, Konstruktionspläne einer Maschine, technische Aufzeichnungen oder die Gestaltung einer Softwarelösung angesehen worden. Umgekehrt dürften allein die Kreditkartendaten der Kunden wohl nicht erfaßt werden, sofern es der Angreifer nur hierauf abgesehen haben sollte.
2. § 17 Abs. 1 UWG umfasst den Geheimnisverrat durch Beschäftigte, wobei es hier in erster Linie darum geht, dass dem Täter das Geheimnis währendseines Dienstverhältnissesanvertraut oder zugänglich geworden ist; des Weiteren muss er dieses Geheimnis noch während der Geltungsdauer des Dienstverhältnisses unbefugt einem anderen mitgeteilt haben, wobei dies zu Zwecken des Wettbewerbs, aus Eigennutz, zur Besserstellung eines Dritten oder in der Absicht, dem Geschäftsinhaber Schaden zuzufügen, erfolgen muss. Täter kann hier also jeder Betriebsangehörige sein; die Ausnutzung der EDV ist möglich, im Regelfall aber nicht zwingend, weshalb ich es diesbezüglich bei dieser allgemeinen Darstellung belassen will ‑ vor allen Dingen auch deshalb, weil bei dem hier interessierenden Themenkreis auch bei Betriebsangehörigen in aller Regel die nachfolgend dargestellten Vorschriften des § 17 Abs. 2 UWG Anwendung finden werden.
3. Betriebsspionage (§ 17 Abs. 2 Nr. 1 UWG)
Der in § 17 Abs. 2 Nr. 1 UWG geregelte Tatbestand der Betriebsspionage kann im Gegensatz zu § 17 Abs. 1 UWG durch Jedermann begangen werden, das heißt, Täter können sowohl außenstehende Personen als auch Beschäftigte des geschädigten Unternehmens sein. Tatobjekt ist aber auch in diesem Fall ein Geschäfts- oder Betriebsgeheimnis.
Die Tathandlung liegt darin, dass sich der Täter ein Geschäfts- oder Betriebsgeheimnis durch Einsatz
a)Anwendung technischer Mittel,
b)Herstellung einer verkörperten Wiedergabe oder
c)Wegnahme einer Sache, in der das Geheimnis verkörpert ist,
unbefugt verschafft oder sichert.
Unter die Anwendung technischer Mittel fallen alle technischen Vorrichtungen, die dem Täter (ohne Verkörperung) eine Wiedergabe des Geheimnisses verschaffen, etwa Ablichtungsgeräte, Foto- oder Filmkameras, Abhörvorrichtungen, aber auch das Abrufen gespeicherter Daten und das Eindringen in fremde Computernetze (sei es direkt oder über das Internet). Ob die Maßnahmen heimlich erfolgt sind oder nicht, spielt für die Tatbestandsmäßigkeit zunächst keine Rolle (allerdings unbefugt!).
Die Herstellung einer verkörperten Wiedergabedes Geheimnisses ist dann vielfach das Ergebnis der "Anwendung technischer Mittel", also gefertigte Ablichtungen, Fotografien, Zeichnungen, Tonbandaufzeichnungen, aber auch daraus gefertigte Texte und Abschriften.
Die Wegnahme einer das Geheimnis verkörpernden Sache erfasst alle Maßnahmen, mit denen jemand ein körperlich festgelegtes Geheimnis gegen den Willen des Besitzers an sich bringt, so dass er es weitergeben kann. Diese Definition schließt eine Anwendung in unserem Themenbereich allerdings vielfach aus, da beispielsweise bloßes Kopieren und Verwerten von auf einem Datenträger gespeicherten Daten keine Zueignung des Datenträgers darstellt, wenn dieser dem Berechtigten unverändert zurückgegeben wird oder zurückgegeben werden soll (BayObLG NStZ 1992, 284).
Schließlich muss das Ausspähen unbefugt, das heißt, gegen den ausdrücklichen oder mutmaßlichen Willen des Geheimnisinhabers, geschehen - und zwar entweder in der Form der Verschaffung oder des Sicherns des Geheimnisses. Das Sichern eines Geheimnisses liegt in den Fällen vor, in denen der Täter das Geheimnis schon kennt, diese Kenntnis jedoch verfestigt, indem er sich beispielsweise eine verkörperte Wiedergabe (schriftliche Aufzeichnungen usw.) verschafft. In diesem Zusammenhang dürfte davon auszugehen sein, dass beispielsweise Computersoftware durch Beschäftigte meist nur durch eine der vorgenannten Ausspähungshandlungen verschafft werden kann, da sie kaum im Gedächtnis speicherbar ist (Problemfall Programmierer).
Für den subjektiven Tatbestand sind - wie bei Abs. 1 - entweder wirtschaftliche Motive oder eine Schädigungsabsicht gegenüber dem Firmeninhaber erforderlich.
4. Geheimnishehlerei (§ 17 Abs. 2 Nr. 2 UWG)
§ 17 Abs. 2 Nr. 2 UWG regelt den Tatbestand der Geheimnishehlerei, das heißt, Geschäfts- oder Betriebsgeheimnisse, welche durch eine Vortat nach § 17 Abs. 1 oder Abs. 2 Nr. 1 UWG erlangt oder vom Täter anderweitig unbefugt verschafft worden sind, werden verwertet oder weitergegeben.
5. Für alle Tatbestandsalternativen des § 17 UWG gilt darüber hinaus, dass der Versuch der Tat nach § 17 Abs. 3 UWG unter Strafe gestellt ist. Die Strafandrohung reicht bis Freiheitsstrafe von drei Jahren, in besonders schweren Fällen bis zu fünf Jahren, wobei ein besonders schwerer Fall im Regelfall anzunehmen ist, wenn der Täter davon Kenntnis hat, dass das Geheimnis im Ausland verwertet werden soll oder er selbst das Geheimnis im Ausland verwertet (§ 17 Abs. 4 Satz 2 UWG).
Gemäß § 22 Abs. 1 UWG wird zudem die Tat nur auf Antrag verfolgt, worauf wohl die geringe Anzahl von Strafverfahren in diesen Fällen zurückzuführen sein dürfte; allerdings kann das besondere öffentliche Interesse an der Strafverfolgung bejaht werden.
Aus Zeitgründen will ich abschließend nur noch darauf hinweisen, dass gemäß § 20 UWG auch Anstiftungshandlungen oder das Bereitfinden zu Tathandlungen unter Strafe gestellt werden.
II. Vorschriften des StGB und des UrhG
1.§ 202a StGB
Von den Vorschriften des Strafgesetzbuches, welche den Schutz von Daten oder Betriebsgeheimnissen im Bereich der Datenanwendung hauptsächlich schützen, ist insbesondere § 202a StGB anzuführen. Geschütztes Rechtsgut ist das Interesse des Verfügungsberechtigten an Informationen, welche in Daten, Dateien oder Datenbanksystemen enthalten sind. Diese sollen vor einem unbefugten Zugriff geschützt werden.
Weitere Voraussetzung ist aber einerseits, dass es sich um gespeicherte oder übermittelte Daten gemäß § 202a Abs. 2 StGB handelt und dass diese Daten gegen unberechtigten Zugang besonders gesichert sind. Dabei umfasst das Merkmal Zugang zu Daten jede technische und physische Einwirkungsmöglichkeit auf Datenspeicher ebenso wie den physischen Zugang zum System und Sicherungsbereich. Ob der Zugang unberechtigt ist, hängt von der Bestimmung des Verfügungsberechtigten ab, die aber allein noch keine besondere Sicherung ist. Unzweifelhaft dürfte dies vorliegen bei Vergabe besonderer Zutrittsberechtigungen (z.B. Schlüssel) oder durch Identifizierungssysteme (Passwörter, Kennungen), aber auch hardware- oder sofwaremäßige Sicherungen, schließlich auch Datenverschlüsselungen, weil sie den Zugang zu den Originaldaten ausschließen sollen.
Die Besonderheit der Vorschrift des § 202a StGB, dass das bloße Hacken von Zugangssystemen nicht strafbar ist, dürfte sich bei der vorliegenden Themenstellung, bei der es um die Verschaffung von Daten geht, nicht auswirken.
In vielen Fällen wird gerade im Zusammenhang mit Datennetzen sowohl eine Strafbarkeit nach § 17 Abs. 2 UWG als auch gemäß § 202a StGB anzunehmen sein.
2. In besonderen Fallgestaltungen werden einzelne Tathandlungen auch unter die Vorschriften des § 123 StGB (Hausfriedensbruch), des § 203 StGB (Verletzung von Privat- oder Geschäftsgeheimnissen), der Unterschlagung (§ 246 StGB) und insbesondere bei Sabotagehandlungen unter den Tatbestand der Datenveränderung (§ 303a StGB) fallen.
3. Ergänzend finden in den entsprechenden Sachverhalten auch die Vorschriften des Urheberrechts Anwendung. Dies dürfte vor allem bei Fragen des Rechtsschutzes für Computerprogramme der Fall sein, welche seit der Urheberrechtsnovelle vom Juni 1985 ausdrücklich bei den Sprachwerken in § 2 Abs. 2 Nr. 1 UrhG genannt und im Übrigen gemäß § 69a ff. UrhG im Einzelnen geregelt sind.
III. Einzelne Problemfragen
Grundsätzlich ist die rechtliche Ausgangssituation gerade im Hinblick auf Geschäfts- oder Betriebsgeheimnisse insbesondere durch die Vorschrift des § 17 UWG klar geregelt. Zusätzlich gilt, was gerade im Zusammenhang mit Internet-Attacken besonders wichtig ist, das Strafrecht der Bundesrepublik auch dann, wenn die Tat vom Ausland aus begangen wird (§ 5 Nr. 7 StGB).
Problemfragen ergeben sich aber aus dem Zusammentreffen eines konkreten Sachverhalts und einer hierauf anzuwendenden Rechtsfolge. Einige Einzelfälle will ich hier beispielhaft anführen:
1. Immer wieder wird festgestellt, dass Firmennetzwerke - gerade bei Internetanbindung - über keinen ausreichenden Zugangsschutz verfügen, so dass bei entsprechendem Know-How interne Daten und Dateien teilweise offen verfügbar sind. Nahezu monatlich ist auch zu vernehmen, dass beispielsweise bei Online-Versandhändlern Kundenlisten oder Teile davon im Netz sichtbar waren. Zusammen hängt dies entweder mit unzureichenden Firewalls oder dem zeitweisen Ausfall dieser Sicherungssysteme; teilweise beruht dies auch auf Lücken in den Betriebssystemen der Server bzw. dem nicht rechtzeitigen Einbringen von Sicherheitsupdates bzw. aktuellen Hotfixes, was möglicherweise darauf beruht, dass die IT-Struktur eines Unternehmens überlastet ist. Rechtliche Konsequenz könnte in diesen Fällen nicht nur der Verlust der Daten mit möglicherweise entsprechenden Schadenersatzforderungen sein, sondern auch die Folge, dass die Daten im Sinne von § 17 UWG als offenkundig einzuschätzen sind und damit keinen entsprechenden Schutz genießen.
In diesem Zusammenhang kann ich auch auf eigene Erfahrungen bezüglich der Schnelligkeit von Abhilfemaßnahmen bei veröffentlichten Sicherheitsmängeln verweisen.
2. Bei firmeninternen Netzwerken sind Schwachpunkte oftmals bereits organisatorisch bedingt. Unzureichender Passwortschutz (zu kurze oder einfache Passworte) verlocken ebenso zu Hack-Versuchen wie eine fehlerhafte Administrierung der einzelnen Arbeitsplatzrechner. § 17 UWG dürfte zwar weiter anwendbar sein, im Hinblick auf den Schutzbereich des § 202a StGB ("gegen unberechtigten Zugang besonders gesichert") sind aber zumindest Zweifel nicht auszuschließen.
3. Ein weiteres Sicherheitsproblem, worauf gerade eine Beraterzeitschrift hingewiesen hat, ergibt sich für das Internet durch die dort zunehmend eingeführten Wireless Lan-Adapter (Funknetzwerkanbindungen), mit Hilfe derer Laptops problemlos Daten mit dem Firmennetzwerk austauschen können. Als Beispiel wird berichtet, dass auf der EXPO 2000 ein Hacker ein solches drahtloses Lan kaperte und mit seinem Laptop die Steuerung von 76 Robotern übernahm. Angesichts der Schnelligkeit solcher neueren Netzwerkanbindungen ist vorstellbar, in welch kurzer Zeit - insbesondere im Vergleich zu einer Internetanbindung - Datenmengen aus dem Netzwerk abgezogen werden können.
4. Ein anderer Punkt in diesem Zusammenhang, auf den ich aufmerksam machen möchte, ergibt sich aus dem zunehmenden Outsourcing von Unternehmensaufgaben, gerade wenn diese innerhalb der Firmenstruktur durch ein Subunternehmen ausgeführt werden. Nicht nur Geschäfts- und Betriebsgeheimnisse liegen damit Firmenfremden (kein Schutz durch § 17 Abs. 1 UWG) offen zu Tage; auch EDV-Verbindungen in dem Unternehmen sind dann kaum mehr ausreichend zu sichern.
5. Ein letzter, aber in den bislang bekanntgewordenen Gerichtsverfahren entscheidender Punkt ist die Beweisführung und die Beweislast.
Nicht nur bei Nachbauten von technischen Produkten war es oftmals schwierig nachzuweisen, dass beispielsweise ein vom Konkurrenten übernommener Arbeitnehmer nicht nur seine dort redlich erworbenen Kenntnisse weiter benutzt hat, sondern bei der Produktentwicklung in der neuen Firma unbefugt ausgespähte Geheimnisse des alten Betriebes verwertet hat. In gleicher Weise war es zumindest in einer älteren Entscheidung des Oberlandesgerichts Karlsruhe (CR 1987, 763) nicht möglich, einem Programmierer nachzuweisen, dass er früher entwickelte Programmroutinen kopiert und nicht aus seinem Gedächtnis nachvollzogen hat (trotz eines gleichartigen Fehlers in einem Programmteil).
Gerade bei Internet-Attacken wird der Beweislast nur Genüge getan werden, wenn der Angriff mit Logdateien oder auf andere Weise online dokumentiert werden kann, es sei denn, der vom Hacker benutzte Rechner kann rechtzeitig sichergestellt werden (hier aber Probleme im Zusammenhang mit Auslandstaten oder bei Benutzung ausländischer Rechner - Dauer der Rechtshilfe).
C. Zusammenfassung
Zusammenfassend kann festgestellt werden, dass die rechtlichen Voraussetzungen für den Schutz von Geschäfts- oder Betriebsgeheimnissen insbesondere durch die Vorschriften des § 17 Abs. 1 und Abs. 2 UWG und die daneben anwendbaren §§ 202a und 303a StGB aus jetziger Sicht ausreichend erscheinen. Probleme ergeben sich eher aus tatsächlichen Gründen, nämlich unzureichender Absicherung der Firmennetze, sowohl im Hinblick auf die dortigen Mitarbeiter wie auch nach außen über vorhandene Internetanbindungen oder nicht ausreichend abgesicherte Einwahlverbindungen. Auch im Hinblick auf eine beweissichere Dokumentation von Ausspähungen und Hacking werden noch entsprechende Erfahrungen zu sammeln sein, soweit diesen nicht Datenschutzvorschriften oder kurze Löschungsfristen von Logdateien entgegenstehen bzw. diese überhaupt fehlen.
Letztlich wird aber das Problembewusstsein sowohl für Industrie wie auch die Verfolgungsbehörden nur dann geschärft werden können, wenn im Rahmen einer Zusammenarbeit entsprechende Sachverhalte bekanntgemacht werden. Ich hoffe, dass ich mit meinen Ausführungen ein klein wenig die Sensibilität dahingehend schärfen konnte.
|
