Aus dem Leben eines Szlauszafs

Das OLG Karlsruhe (Beschluss vom 21.01.2009 - 2 Ss 155/08 -) hatte sich als Revisionsgericht mit der Frage zu befassen, ob die Bestellung von Domains bei einem Provider im Rahmen eines laufenden bzw. bereits gekündigten Vertragsverhältnisses in der Absicht, diese nicht zu bezahlen (und bei völlig fehlender Zahlungsfähigkeit) strafbar ist oder nicht.

Die Vorinstanzen hatten festgestellt, dass der Angeklagte seit 2002 bei einem Provider mehrfach Webhosting-Verträge abgeschlossen hatte, bei denen der Angeklagte auch Domains bestellte, die der Provider dann bei der Registrierungsstelle auf diesen registrieren ließ und dieser - oder seinem Vorleister gegenüber - bezahlte. Er stellte diese Leistungen dann dem Angeklagten in Rechnung. Bei der ersten Anmeldung hatte der Angeklagte seine Bankverbindung anzugeben und eine Einzugsermächtigung zu erteilen. Es wurde für ihn dann ein Account angelegt, über den solche Bestellungen vollautomatisiert veranlasst werden konnten; eine weitere (Bonitäts-)Prüfung erfolgte nicht, wie der Angeklagte wußte. Im weiteren Verlauf der Geschäftsbeziehung kam es zu Unstimmigkeiten; der Angeklagte wiederrief seine Einzugsermächtigungen, der Provider kündigte im Juli/August 2003 alle bestehenden Verträge. Dennoch loggte sich der Angeklagte vom 08.12.2003 bis 21.02.2004 in seinen dortigen Account ein und bestellte in 11 einzelnen Handlungen eine Vielzahl von Domains, für die Kosten in Höhe von 83.374,- € anfielen, die er weder bezahlen konnte noch wollte.

Post- und Fernmeldegeheimnis genießen besonderen verfassungsrechtlichen Schutz. Dies drückt sich nicht nur in strafprozessualen und präventiven Rechtsnormen aus, die den Schutz des Post- und Fernmeldegeheimnisses dem Staat gegenüber dienen, sondern gilt auch gegenüber Privaten. So stellt bspw. § 88 Abs. 3 S. 1 TKG klar, daß auch Fernmeldedienstleister nicht einfach Einblick in die Kommunikation ihrer Kunden nehmen dürfen, also bspw. deren E-Mail-Verkehr mitlesen.

Für den Bereich des Post- und des Telefoniewesens werden diese Verbote durch strafrechtliche Schutzvorschriften flankiert: §§ 202 Abs. 1, 206 Abs. 2 Nr. 1 StGB sanktionieren den Zugriff auf verschlossene Postsendungen durch Mitarbeiter des Postunternehmens (und Dritte), § 201 Abs. 2 Nr. 1 StGB stellt das Abhören von Telefongesprächen generell unter Strafe. Aber wie sieht es mit E-Mails und anderen elektronischen Kommunikationsformen aus? Bei näherer Betrachtung tun sich überraschende Strafbarkeitslücken auf.

§ 202 StGB, der das Briefgeheimnis schützt, betrifft nur verschlossene (!) Schriftstücke (!), also körperliche Gegenstände, und ist damit für den Schutz von E-Mails u.ä. nicht fruchtbar zu machen.

§ 202a StGB, der das Ausspähen von Daten durch Überwindung einer Sicherung gegen unbefugten Zugriff betrifft, dürfte nicht einschlägig sein, weil Systemadministratoren u.a. Mitarbeiter eines Mailproviders regelmäßig Zugang zu den entsprechenden Systemen und Daten haben, also keine besondere Sicherung überwinden.

Und in der eigentlichen Spezialvorschrift zum Post- und Fernmeldegeheimnis, nämlich § 206 StGB, ist zum einen schon generell sehr umstritten, ob “Sendungen” im Sinne von Abs. 2 der Vorschrift nur körperliche Gegenstände sein können, was die herrschende Meinung in der Literatur annimmt, das OLG Karlsruhe jedoch in einem (der in der Regel nur im Promillebereich erfolgreichen) Klageerzwingungsverfahren für die Variante des Unterdrückens von Sendungen (§ 206 Abs. 1 Nr. 2 StGB) bestreitet (Beschluß vom 10.01.2005, 1 Ws 152/04). Für unsere Fragestellung kommt es darauf jedoch gar nicht an, weil die Tatbestandsvariante des § 206 Abs. 2 Nr. 1 StGB ausdrücklich “eine Sendung, die einem solchen Unternehmen zur Übermittlung anvertraut und verschlossen ist”, verlangt; das kann - unstreitig - nur körperliche Gegenstände betreffen. Auch hier ist also der unbefugte Zugriff auf E-Mails u.ä. durch Mitarbeiter des Anbieters nicht strafbewehrt.

Im TKG finden sich gleichfalls keine auf § 88 Abs. 2 TKG bezogenen Strafnormen.

Womit ich die Frage dann mal an die Leserschaft weitergeben möchte - übersehe ich eine Strafnorm, oder ist der unbefugte Zugriff auf textuelle elektronische Kommunikation schlicht strafrechtlich bisher nicht sanktioniert?

Bei NTV fand sich dieser Tage ein interessanter Beitrag über die rechtliche Beurteilung pornographischer Live-Darstellungen in MMORPG, also großen Multiplayer-Online-Rollenspielen wie bspw. “Second Life”.

Obwohl es nicht  besonders überraschend sein sollte, daß die Verbreitung von Pornographie an Minderjährige und von Gewalt- und Tierpornographie grundsätzlich strafbar ist, genauso wenig, wie es nicht darauf ankommt, ob es sich um Texte, Fotos oder Zeichungen im weitesten Sinne, einschließlich Comics und Computeranimationen handelt, gab es darüber offenbar doch einiges an Erstaunen. Man sollte sich daher dabei vor Augen halten, daß eben gerade nicht “virtuelles” Handeln plötzlich strafbewehrt wird - die Vergleiche mit der strafrechtlichen Ahndung von erschossenen Aliens in einem Computerspiel als “virtuellen Mord” gehen daher völlig fehl -, schließlich ist die “Live-Darstellung” von Pornographie im realen Leben (von Ausnahmen abgesehen) gerade nicht strafbar. Sehr wohl strafbar ist aber die Verbreitung bestimmter Arten von pornogrpahischen Schriften und Darstellungen, bzw. die Verbreitung auf eine bestimmte Art und Weise, sowie deren Übertragung, bspw. im Fernsehen. Und genau das passiert, wenn “Avatare Sex haben”.

Im Januar hatte ich über eine - überraschenderweise damals im Nachgang des Heise-Foren-Urteils kaum beachtete - Entscheidung des Landgerichts Berlin berichtet, die einem Provider nicht nur Unterlasungspflichten für die Zukufnt hinsichtlich auf Kundenwebspace veröffentlichter Lichtbilder nach deren Kenntis auferlegte, sondern auch einen Auskunftsanspruch der Verletzten aus § 242 BGB hinsichtlich der über den Verletzer vorhandenen Daten bejahte.

Das KG Berlin - Az. 10 U 262/05 - hat nunmehr in der Berufung die Entscheidung im Hinblick auf den zugesprochenen Auskunftsanspruch aufgehoben. Die wenig überraschende Entscheidung belegt dabei einmal mehr die dringende Notwendigkeit der Verankerung eines zivilrechtlichen Auskunftsanspruchs nicht nur bei Urheberrechts-, sondern auch bei Persönlichkeistrechtsverletzungen de lege ferenda.

Das Landgericht Köln hatte sich vor 14 Tagen mit der im Usenet regelmäßig auftauchenden - und ebenso regelmäßig dann zuvörderst von Ralph Babel mit Verweis auf die Leserbrief-Entscheidung des BGH vom 25.05.1954 (BHGZ 13, 334) beantworteten - Frage nach der Zulässigkeit der Veröffentlichung fremder E-Mails zu beschäftigen und hat in einer wenig überraschenden und nur aufgrund der m. E. bestenfalls verwirrenden Berichterstattung u.a. bei Heise teilweise kontrovers diskutierten Entscheidung (28 O 178/06 vom 06.09.2006), deren Inhalt bei der Kanzlei Dr. Bahr abrufbar ist, die Unzulässigkeit der Veröffentlichung im konkreten Fall bestätigt.

Dem Fall lag zugrunde die Veröffentlichung zweier vertraulicher E-Mails, die - offenbar - ein Aufsichtsratsmitglied einer Aktiengesellschaft in deren Angelegnheiten versandte, auf einer Webseite, die sich - mutmaßlich kritisch - mit dieser Aktiengesellschaft beschäftigte. Wie die E-Mails nach dort gelangten, ist unklar, mutmaßlich wurden sie jedoch von einem Rechner entwendet.

Der Absender der E-Mails verlangte unter Berufung auf sein allgemeines Persönlichkeitsrecht, die E-Mails nicht mehr öffentlich zugänglich zu machen, Schadensersatz zu leisten und zur Bestimmung des Schadensersatzanspruches der Höhe nach Auskunft über die Abrufzahlen der entsprechenden Seite zu erteilen. Der beklagte Veröffentlicher hielt dagegen, die E-Mails seien mit dem Absenden aus der Privatsphäre und dem persönlichen Geheimbereich des Absenders in den allgemeinen Bereich gelangt, so dass eine gravierende Verletzung des allgemeinen Persönlichkeitsrechts nicht vorliege; darüber hinaus diene die Veröffentlichung dem legitimen Informations- und Schutzinteresse der von dem Handeln der AG und des Klägers betroffenen Nutzer der Webseite.

Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkriminalität beschlossen.

Begrüßenswert ist, daß künftig nicht nur das Verschaffen besonders gesicherter Daten strafbar sein soll, sondern bereits das Verschaffen des Zugangs zu diesen Daten. Die Neufassung des § 202a StGB entspricht dem besonderes Gewicht des Datenschutzes und dürfte auch Beweisschwierigkeiten beseitigen. Gleichfalls zu begrüßen ist die vorgesehene Ausweitung der Vorschriften über Computersabotage auf private Datenverarbeitungsanlage und die auch strafrechtliche Sanktionierung von (d)DOS-Angriffen durch die Neufassung des § 303b StGB, die zugleich eine Qualifikation für besonders schwere Fälle vorsieht.

Ergänzt wird der bestehende strafrechtliche Schutz der Übermittlungswege gegen den Zugriff von Mitarbeitern von Telekommunikations- und Postunternehmen (Post- und Fernmeldegeheimnis, § 206 StGB) und gegen das Belauschen von Telefon- und Briefkommunikation (§§ 201, 202 StGB) nun durch den Schutz elektronisch übertragener Daten, gleichviel, ob drahtgebunden oder drahtlos, auch gegen Dritte, die nicht beruflich Telekommunikationsdienste erbringen.

Bedenken erregt die vorgesehene Kriminalisierung von Vorbereitungshandlungen in § 202c StGB, soweit nicht nur berechtigter Weise das Verschaffen, Verkaufen, Zugänglichmachen usw. von Paßworten und Sicherheitscodes unter Strafe gestellt werden soll, sondern auch der Umgang mit sog. “Hacker-Tools”, d.h. “Computerprogrammen, deren Zweck die Begehung einer solchen Tat [im Sinne dee §§ 202a, 202b StGB] ist”. Ich fürchte, daß es schwierig sein wird, Tools zur Sicherheits- und Netzwerkanalyse sowie zum (automatisierten) Finden von Schwachstellen von “Cracking”programmen oder Exploits - einschließlich sog. “proofs of concept” - sauber zu trennen. Zwar halte ich es durchaus für berechtigt, jedenfalls aber zur Erreichung des Schutzzieles für vertretbar, Software, die gezielt und nur dem Eindringen in fremde Systeme dient, zu kriminalisieren; die Veröffentlichung eines “proof of concept” mag zwar im Sinne von “full disclosure” von mancher Seite für wünschenswert gehalten werden, sie ist aber jedenfalls nicht zwingend. Jedoch steht zu befürchten, daß - soll die Strafnorm insoweit nicht völlig leer laufen - auch “neutrale” Anwendungen erfaßt werden; man denke nur an Software wie “John the Ripper” o.ä., die dem automatisierten Brechen von Paßworten dienen, aber durchaus legitime Anwendungen - nämlich zur Prüfung und Sicherstellung der Paßwortsicherheit! - dienen und auch verwendet werden, von Netzwerkanalysesoftware im weitesten Sinne gar nicht zu reden.

Ich fürchte, so sehr es notwendig und wünschenswert ist, den teilweise eingerissenen Wildwestmanieren Einhalt zu gebieten, so sehr schießt diese Regelung (§ 202c Abs. 1 Nr. 2 RegE) über das Ziel hinaus.

Isotopp berichtete letzte Woche über die erfolgreiche gerichtliche Durchsetzung der GPL - ein wichtiger Sieg in dem Bemühen, freie Inhalte im weitesten Sinne auch frei zu erhalten. In seinem Beitrag stellt Isotopp das auch richtig dar und holt in einem Kommentar dazu noch weiter aus, um die theoretischen Grundlagen freier Software zu erläutern.

Ich finde seine Darlegungen nicht nur sehr überzeugend und einsichtig, sondern stimme - ausnahmsweise - auch mit seinem Tenor überein. Allerdings sehe ich dieses Konfliktfeld gleichsam als Spiegelbild der “Raubkopierer”-Debatte über den Schutz geistigen Eigentums, auch wenn hier sozusagen die Seiten vertauscht sind und die Verfechter freier Inhalte sich gegen Anbieter proprietärer Inhalte wehren.

Die Parallelen habe ich bereits in einem Kommentar zu seinem Beitrag dargestellt, den ich hier nicht wiederholen möchte.

Oft hört man davon, wie wichtig Freiheit ist. Und selbstverständlich - wer möchte denn nicht gerne alle Freiheiten haben? Gerne dabei übersehen wird allerdings, daß zur Freiheit auch die Übernahme von Verantwortung gehört. Verantwortung möchte allerdings am liebsten niemand übernehmen, weder für sich (und das, was er sagt, und tut), noch etwa gar für andere und deren Handeln.

So liest sich denn auch die Klage bei netzpolitik.org über die jüngste Entscheidung des Landgerichts Hamburg über die Verantwortung eines Betreibers eines offenen WLAN-Zuganges: wie soll man denn “freie Infrastrukturen” betreiben, wenn man am Ende auch noch verantworten soll, was über diese “freien Infrastrukturen alles getrieben wird? Natürlich ist es schön für den Autor des Beitrags, wenn er frei und kostenlos ein WLAN nutzen kann. Natürlich ist es auch schön, wenn er anderen sein WLAN genauso frei und kostenlos zur Verfügung stellt. Auf der Strecke bleiben bei dieser schönen Welt der freien Infrastruktur - wieder einmal - die Rechte Dritter. Denn natürlich weiß niemand, wer wann über dieses WLAN online war. Und wenn dieser jemand böse Dinge tut, wer will das schon wissen oder dagegen einschreiten müssen? Am Ende gar - Verantwortung tragen? Für die ”freie Infrastruktur" und das, was man selbst und andere damit tun? Nein, Freiheit mit Verantwortung - das ist zu viel verlangt!

Das Heise-Foren-Urteil fand in der Onlinewelt und den dort verbreiteten Medien ein umfangreiches Echo, das wohl nicht nur der Tatsache geschuldet ist, daß die Beklagte ein einflußreiches Presseunternehmen mit auflage- und verbreitungsstarken Publikationen
war bzw. ist.

Umso überrachender, daß eine vergleichbare, aber durchaus noch weitergehende Entscheidung des Landgerichts Berlin gegen einen großen deutschen Online-Anbieter bis jetzt nach meiner Beobachtung noch keine vergleichbare Erwähnung fand. An der fehlenden Rechtskraft kann es wohl kaum liegen.

Am heutigen Tag fand vor der 38. Kleinen Strafkammer des Landgerichts Stuttgart die Berufungshauptversammlung gegen Alvar Freude statt, der im Oktober vergangenen Jahres aufgrund der Verlinkung der von den Sperrungsverfügungen der Bezirksregierung Düsseldorf betroffenen gewaltverherrlichenden und rechtsextremistischen Webpräsenzen durch sein Projekt odem.org zu 120 Tagessätzen Geldstrafe verurteilt wurde.

Um das Ergebnis vorwegzunehmen: Freude wurde freigesprochen - die Urteilsbegründung kann ich leider nicht beisteuern, da ich unmittelbar nach dem Tenor auf dem Weg zu einem anderen Termin davoneilen mußte.