Entscheidung des Monats –
März 2025

Das Landgericht Aachen prüfte vornehmlich, ob die Daten für den Täter bestimmt waren, ob sie besonders gesichert waren, ob der Zugriff hierauf unbefugt erfolgte und ob der Täter gerechtfertigt gehandelt haben könnte.

Das Gericht stellte fest, dass für die Frage, ob Daten "nicht für den Täter bestimmt" sind, der Wille des Dispositionsbefugten maßgeblich ist. Eine beschränkte Nutzungsberechtigung für bestimmte Daten umfasse nicht automatisch den Zugriff auf den gesamten Datenbestand. Bezüglich des Tatbestandsmerkmals „besonders gesichert“ entschied das Landgericht Aachen, dass dieses auch dann erfüllt sein kann, wenn ein Passwort im Quellcode einer Software im Klartext hinterlegt ist. Voraussetzung ist, dass dessen Auffinden und Auslesen spezielle IT-Kenntnisse erfordert und dies nicht für jedermann ohne weiteres möglich ist.

Zur Frage der Rechtfertigung nach § 34 StGB für sogenannte Grey-Hat-Hacker stellte das Gericht klar, dass diese nur in Betracht kommt, wenn die Sicherheitslücke bereits vor dem Eindringen in das System bekannt war. Ein verdachtsmäßiges Eindringen sei nicht gerechtfertigt.

Diese Entscheidung verdeutlicht die komplexe rechtliche Beurteilung von IT-Sicherheitsforschung und unterstreicht den bestehenden Reformbedarf im Bereich des Cyberstrafrechts. Sie zeigt, dass insbesondere eigeninitiativ handelnde Hacker nach aktueller Rechtslage einem erheblichen Strafbarkeitsrisiko ausgesetzt sind.

Nach Auffassung des Autors wäre es wünschenswert, wenn der Gesetzgeber klare rechtliche Vorgaben für IT-Sicherheitsforscher und nicht böswillig handelnde Hacker schaffen würde, um deren wichtige Rolle bei der Aufdeckung von Sicherheitslücken angemessen zu berücksichtigen und gleichzeitig Rechtssicherheit zu gewährleisten

Weitere Einzelheiten zum Sachverhalt, zu den Entscheidungsgründen und zu den Konsequenzen für die Praxis hat der Autor hier zusammengefasst: