Strafrecht Gesetzlich geschützte Geheimnisse

Geheimnisse bewahren im virtuellen Raum – keine leichte Aufgabe. Im Interview spricht Prof. Dr. Sebastian Golla über Grauzonen und Lücken im IT-Strafrecht. Außerdem schlägt der Jurist Regelungen vor, die es IT-Sicherheitsforschenden und Behörden erleichtern würden, unsere Daten zu schützen.

Herr Prof. Golla, wie ist im deutschen Recht der Schutz von Geheimnissen, etwa von privaten Daten, geregelt?
Der Schutz von Geheimnissen ist eine Querschnittsmaterie und wird an unterschiedlichen Stellen, im Zivilrecht, öffentlichen Recht und Strafrecht geregelt. So gibt es beispielsweise ein Gesetz zum Schutz von Geschäftsgeheimnissen. Dieses zielt vor allem darauf, dass Geheimnisse im Wettbewerb geschützt sind. Oder denken wir an Verschwiegenheitspflichten für bestimmte Berufsgruppen – auch dieser Schutz ist gesetzlich geregelt.

Ihr Forschungsgebiet umfasst das Strafrecht – wo ist hier der Geheimnisschutz verankert?
Im Strafrecht gibt es verschiedene Regelungen, die Geheimnisse schützen beziehungsweise den Bruch von Geheimnissen unter Strafe stellen. Das Strafgesetzbuch ist so strukturiert, dass es neben dem Allgemeinen Teil, der für alle Straftaten gilt, zahlreiche Abschnitte gibt, die sich auf bestimmte Typen von Straftaten beziehen. Ein Schutz von Geheimnissen findet sich unter anderem im Abschnitt über die Verletzung des persönlichen Lebens- und Geheimbereichs. Dort geregelt sind unter anderem Delikte zum Schutz der Vertraulichkeit von Daten, auf die ich mich zuletzt spezialisiert habe.

Wie gut sind wir in Deutschland im Bereich IT-Strafrecht aufgestellt?
Deutschland ist eigentlich recht fortschrittlich in diesem Bereich. Wir haben in den 1980er-Jahren schon Straftatbestände verabschiedet, die bis heute Geltung haben. Und auch in den internationalen Ermittlungen waren wir immer weit vorne mit dabei.

Wo sehen Sie Verbesserungsbedarf?
Das IT-Strafrecht bleibt ein Gebiet des Strafrechts, in dem man gesetzlich noch viel Grundsätzliches festhalten und sehr viel verbessern kann. Ich wünsche mir vor allem ein konsistentes, kriminologisch fundiertes System von Strafbarkeit für den virtuellen Bereich. Verbesserungsbedarf sehe ich konkret zum Beispiel im Bereich der virtuellen Kommunikation, Stichwort Hate Speech, und auch im Bereich der IT-Sicherheitsforschung.

An der Ruhr-Universität Bochum wird viel zum Thema IT-Sicherheit geforscht. Inwiefern können unsere Forschenden mit dem Strafrecht in Berührung kommen?
Das IT-Strafrecht gewährleistet, dass unsere Computersysteme und Daten geschützt sind. Die Verletzung ihrer Integrität ist unter Strafe gestellt. Forschende, die im Bereich der IT-Sicherheit unterwegs sind, wollen ebenfalls zum Schutz der IT-Systeme und Software beitragen. Dafür klopfen sie unter anderem Systeme ab und testen, ob diese resilient sind. Wenn sie also explorativ in eine freie Umgebung reingehen und versuchen, in ein System vorzudringen, dann kann es passieren, dass sie Zugangsbarrieren überwinden und den Zugriff auf Daten erlangen, die eigentlich nicht für sie vorgesehen sind. Und das steht unter Strafe.

Wie lautet der konkrete Strafbestand?
Konkret geht es um den Paragrafen 202a des Strafgesetzbuchs, umgangssprachlich Hackerparagraf genannt. Dieser bedroht das unbefugte Ausspähen von Daten mit bis zu drei Jahren Freiheitsstrafe und setzt voraus, dass man sich Daten verschafft oder auf Daten zugreift, die durch technische Vorkehrungen vor dem Zugriff besonders geschützt sind. Das ist ein relativ schlecht formulierter Tatbestand. Allein der Begriff „Daten“ ist zum Beispiel sehr vage definiert. Und der sogenannte formelle Geheimnisschutz besteht bereits, wenn man die Daten mit einer leichten Zugangsbarriere, etwa dem Passwort 12345, versieht.

Gibt es Fälle, in denen aufgrund dieses Tatbestands bereits Anklage gegen Forschende erhoben wurde?
Der bekannteste Fall aus Deutschland ist der von Lilith Wittmann. Wittmann hat 2021 in der Wahlkampf-App CDU connect eine Sicherheitslücke aufgedeckt – die Daten waren öffentlich zugänglich. Die CDU erstattete erst Strafanzeige, zog diese später zurück. Das Verfahren wurde eingestellt. Dieser Fall ist deswegen für Forschende interessant, weil Aktivist*innen wie Wittmann nicht ohne wissenschaftliche Fundierung arbeiten. Auch wenn in diesem Fall keine Anklage erhoben wurde, sind die Einschüchterungseffekte nicht zu vernachlässigen. Wenn jemand um sechs Uhr morgens bei Ihnen klingelt und alle Ihre technischen Geräte beschlagnahmt, dann macht das etwas mit Ihnen.

Wie kann man gutwillige IT-Sicherheitsforschung schützen?
Mein Kollege Dominik Brodowski und ich haben dazu einen Sammelband herausgegeben, in dem wir mehrere juristische Möglichkeiten diskutieren. Eine Option ist es, Forschungstätigkeiten zum Aufspüren von Sicherheitslücken von vornherein vom Tatbestand auszuschließen. Das ist die von uns bevorzugte Lösung. Eine andere ist es, zu sagen, dass das Forschungsverhalten zwar grundsätzlich vom Straftatbestand erfasst wird, aber als gerechtfertigt angesehen wird. Im Strafrecht haben wir in vielen Situationen diese Konstellation, etwa wenn es um Notwehr oder Nothilfe geht. Und dann gibt es noch die tätige Reue im Strafrecht. Wenn man sich im Nachgang einer Tat sofort eines Besseren besinnt und die schädlichen Folgen rückgängig macht, lässt sich die Strafe reduzieren oder ausschließen.

Wie reagieren Forschung und Politik auf Ihre Vorschläge?
Die IT-Sicherheitsforschung interessiert sich sehr dafür. Das sieht man auch daran, dass sich deutschlandweit praktisch sämtliche relevante Forschungseinrichtungen zu dem Thema positioniert haben. Auch hier an der Ruhr-Universität ist das Interesse an rechtlichen Fragen groß. Das merke ich in meinen Lehrveranstaltungen zu dem Thema, an denen auch Interessierte aus der Informatik und den IT Security Studies teilnehmen.

Auch mit Politikschaffenden haben wir hier in Bochum viel diskutiert. Und tatsächlich stand im Koalitionsvertrag, dass die IT-Sicherheitsforschung entkriminalisiert werden soll. Im vergangenen November wurde ein Entwurf vorgelegt, der konkret vorschlug, das Gesetz so zu formulieren, dass Tätigkeiten mit der Absicht, Sicherheitslücken aufzudecken, von der Strafbarkeit ausgenommen sind. Dieses fällt jetzt höchstwahrscheinlich dem Koalitionsbruch zu Opfer. Ich hoffe dennoch, dass die gesetzliche Klarstellung bald kommt.

Und bis dahin? Was machen Forschende im Falle einer Anklage?
Man muss das Ganze freihändig lösen. Es gibt in dem Tatbestand ein paar Stellschrauben, an denen man drehen kann. Es gibt zum Beispiel das Merkmal, dass man den Zugriff auf Daten unbefugt erhalten haben muss. Man könnte eine Befugnis herleiten, nach der die Forschungstätigkeit adäquat war und einem legitimen Interesse diente. Das ist jedoch nicht trivial.

Ich nehme an, dass derzeit Fälle, in denen eine Forschungseinrichtung mit einem seriösen Anliegen hinter einem unbefugten Daten-Zugriff steht, über die zuständigen Staatsanwaltschaften lokal gelöst werden. Das wird aber nicht öffentlich kommuniziert.

Doch dass man in solchen Graubereichen irgendwie eine informelle Lösung findet – darauf können wir uns im Rechtsstaat nicht immer verlassen. Es muss klare Regeln geben. Und das ist eigentlich gar nicht so ein Hexenwerk.