Schutz des passwortgeschützten Zuganges eines EDV-Arbeitsplatzes vor Zugriffen von System-Administratoren BGH, Beschluss vom 13.05.2020 – 5 StR 614/19

Schutz des passwortgeschützten Zuganges eines EDV-Arbeitsplatzes vor Zugriffen von System-Administratoren
BGH, Beschluss vom 13.05.2020 – 5 StR 614/19

Der Bundesgerichtshof hat festgestellt, dass der EDV-Arbeitsplatz eines Behördenmitarbeiters einschließlich seines nicht öffentlich zugänglichen persönlichen Dienst-E-Mail Accounts durch Passwörter gemäß § 202 a Strafgesetzbuch (StGB) auch vor den Zugriffen durch System-Administratoren strafrechtlich geschützt ist.
Wer sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, macht sich nach dem StGB strafbar.
Ein Arbeitnehmer, der als Systemadministrator am Berliner Standort des Bundesministeriums für Gesundheit arbeitete, hat sich Zugriff auf die elektronisch gespeicherten E-Mails aus persönlichen Postfächern der Ministeriumsmitarbeiter verschafft. So konnte er auch Zugriff auf die jeweiligen Inhalte erlangen. Die E-Mails wurden von dem Arbeitnehmer ebenfalls kopiert. Damit hat sich der nun Angeklagte sowohl den Zugang, als auch die Daten selbst verschafft, die jedoch nicht für sein Wissen bestimmt waren. Denn es wurden dem Arbeitnehmer in seiner Aufgabe als System-Administrator keine Zugriffsrechte für das aufgabenunabhängige Lesen und Kopieren von E-Mails aus den persönlichen Postfächern der Behördenmitarbeiter erteilt.
Für das Vorliegen einer Zugangssicherung ist auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen. Es soll das spezielle Interesse an der Geheimhaltung der Daten dokumentiert werden. Dabei ist nicht einzubeziehen, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können, beispielsweise schon mittels weniger „Maus-Clicks“. Auch ist es nicht erforderlich, dass die Sicherung gerade gegenüber dem Täter, der den Tatbestand des § 202 a StGB verwirklicht, wirkt. Eine ausreichende Zugangssicherung der nicht öffentlich zugänglichen persönlichen Dienst-E-Mails sei bereits durch das Einsetzen von Passwörtern gegeben.
Der BGH hat bestätigt, dass die Handlung des Angeklagten geeignet war, die Sicherung in Form des Passwortes auszuschalten bzw. zu umgehen. Er hat den Passwortschutz umgangen, indem er sich als Administrator durch die Manipulation des Ordners „Zugriffsberechtigung“ den Zugriff auf die E-Mail-Daten der Behördenmitarbeiter verschaffte. Einer solchen Zugangsart sollte jedoch gerade durch die klare Beschränkung der jeweiligen Administratorenrechte, sowie der Vorgabe eines bestimmten Ablaufes bei dem Zugriff auf einen E-Mail-Account entgegengewirkt werden.