Alle Ausgaben der HRRS, Aufsätze und Anmerkungen ab dem Jahr 2000.
HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Februar 2011
12. Jahrgang
PDF-Download
Von Stefanie Hagemeier, Hamburg
Das Street View Projekt des Unternehmens Google Inc. sorgte bereits kurz nach dessen Ankündigung im Jahre 2006 für erheblichen Aufruhr. Das Augenmerk der Diskussion richtete sich auf die Zulässigkeit der Fotoaufnahmen, welche aus datenschutz- und urheberrechtlicher Sicht in Frage gestellt wurde. Durch die Aufdeckung des großflächig vollzogenen WLAN-Scanning bietet sich das Google Street View Projekt nun auch für eine straf- und ordnungsrechtliche Auseinandersetzung an. Der vorliegende Beitrag zeigt nach einem kurzen Überblick zum Erkenntnisstand sowie einer Einführung in die technischen Architekturen anhand der Google WLAN-Affäre auf, welche straf- und ordnungsrechtlichen Folgen sich für das sog. Wardriving im Zusammenhang mit WLAN ergeben.
Im Zuge der Ermittlungen französischer Datenschützer stellte sich im Mai 2010 heraus, dass während der Fahrten für die Fotoaufnahmen auch Daten privater drahtloser Heimnetzwerke, sog. Wireless Local Area Networks (WLAN), abgefangen und in den Datenspeichern von Google aufgezeichnet worden waren.[1] Neben den Netzwerkinformationen wurden zudem Kommunikationsinhalte erfasst. Letztere, die allgemein als Nutzdaten bezeichnet werden, waren private Passwörter für Benutzerkonten und teils vollständige Emailnachrichten.[2] Währenddessen d ie US-amerikanische Kontrollbehörde Federal Trade Commission (FTC) ihre Ermittlungen gegen den Internetkonzern bereits eingestellt und die Löschung der Daten beantragt hat, ermitteln Staatsanwälte in Kanada und aus 38 US-Bundesstaaten weiterhin, inwieweit Google mit der Aufzeichnung der Daten aus ungesicherten Funknetzwerken gegen die Gesetze verstoßen hat. Auch in Europa, u. a. in Frankreich, Italien und Deutschland, laufen Ermittlungsverfahren gegen die Verantwort-
lichen.[3] Diese ergaben, dass die zum Einsatz gekommenen Fahrzeuge waren sowohl mit Kameras, GPS-Systemen und einer Laservermessungstechnik als auch mit herkömmlichen Hard- und Software für das sog. Wardriving ausgerüstet, die systematisch WLAN ortet und Informationen über die Netze filtriert.[4] Erstere Technik diente hauptsächlich der Ablichtung und Kartografisierung der Umgebung. Letztere - welche im Folgenden genauer erläutert wird - bot die technische Grundlage zur Kartografisierung von WLAN.[5]
Den Vorstellungen des Entwicklers entsprechend wurde der Google Street View Dienst in einer erweiterten Version für Mobilfunkteilnehmer mit sog. walking directions unterlegt. Mit Hilfe derer kann die angefragte Route von unterwegs aus abgerufen, virtuell wie real mit den Bildern aus der Umgebung angezeigt und zeitgleich abgegangen werden.[6] Realisierbar wurde dieser Dienst durch die Kartografisierung von WLAN- Geräten, mittels derer ein Verfahren vorbereitet wurde, welches der Lokalisierung der Teilnehmer dient. Denn anders als das Global Positioning System (GPS) unterliegt die WLAN basierte Ortung trotz Hindernissen wie Gebäuden und Häuserschluchten kaum Schwankungen und Störungen. Hinzu kommt, dass die meisten Mobilfunkgeräte über keine GPS-Funktionen verfügen, so dass eine GPS basierte Lokalisierung schlichtweg ungeeignet ist. Das sog. Fingerprinting-Verfahren erweist sich als eine WLAN basierte Ortung hingegen auf Grund der hohen Präsenz an drahtlosen Heimnetzwerken in städtischer Umgebung als vorzugswürdige Methode, um einen großflächig angelegten Lokalisierungsdienst zu erstellen. Das Verfahren basiert darauf, dass der Bereich, an dem das Mobilfunkgerät geortet werden soll, schon fest steht. So wird das gesamte Zielgebiet durch sog. Referenzpunkte ausgewertet. Diese werden in einer Datenbank abgespeichert und stehen als wieder erkennbare Fingerabdrücke zur Verfügung. Kommt es im Anschluss daran zu einer Teilnehmeranfrage, werden die Daten aus der Datenbank mit den Funkwerten des aktuellen Standorts verglichen. Der Aufenthaltsort des Mobilfunkgerätes, der die höchste Ähnlichkeit mit den Referenzpunkten vorweist, wird schließlich als aktuelle Position angegeben. Als Grundlage der Referenzpunktermittlung werden die Netzwerkinformationen der WLAN benötigt. Die Messwerte, die als Fingerabdrücke dienen, werden erfasst, indem die Abstrahlungsmuster der Signalstärken einzelner WLAN in Bezug zu einander ausgewertet werden. Die ebenfalls erhobenen MAC-Adressen kennzeichnen die WLAN-Geräte eindeutig und eignen sich daher als Signatur der ermittelten Messwerte.[7]
Anhand der Netzstrukturen von WLAN ist nachzuvollziehen, dass das Abfangen dieser Daten ohne technischen und zeitlichen Aufwand zu realisieren ist. Wardriver machen sich üblicherweise die Punkt- zu- Punktübertragung (Point-to-Point-Protocol) von Standard-WLAN der 802.11-Familie zunutze. Der Angriff erfolgt während einer Datenübermittlung. In diesem Zeitraum ist das WLAN-Gerät ausschließlich einem sog. Access Point als Kommunikationspartner zugewiesen, der als zentrale Basisstation die Datenströme verwaltet und an die Zielempfänger koordiniert. Die abzufangenden Datenströme sind nach Schichten für Übertragungs-, Sicherheits- und Anwendungsaufgaben gebündelt. Diese Schichten untergliedern sich in diverse Datenrahmen (Frames), in denen Netzwerkinformationen, aber auch Kommunikationsinhalte als solche codiert werden.[8] Das sog. Management-Frame enthält die benötigten Media Access Control- Adressen (MAC) und u. a. die Benutzerkennung des WLANs. Letztere wird als Service Set Identifier (SSID) bezeichnet. Der Datenrahmen enthält ferner Informationen über den Verschlüsselungsstatus der WLAN. Im Frame Body werden schließlich die Nutzdaten (Emails und Passwörter) transportiert. Die MAC-Adresse und die SSID sind als Authorisierungsinformationen zu charakterisieren, da sie festlegen, welches Endgerät eine Verbindung zum Router aufbauen darf. Sie übernehmen daher Zugriffs- und Verwaltungsaufgaben für den Austausch zwischen den Systemen.[9] Ob ein Nutzer die Bekanntgabe seiner Benutzerkennung deaktiviert hat, indem er eine versteckte SSID verwendet, ist für die Frage einer Strafbarkeit wegen unerlaubten Ausspähens unerheblich. Die eigene Benutzerkennung ist dergestalt zwar nicht in der Netzwerkliste von anderen WLAN-Teilnehmern erkennbar. Es werden jedoch alle Netzwerkinformationen, auch die MAC-Adresse und selbst die versteckten SSID, als Bestandteile des Management Frame unverschlüsselt übertragen und können damit während einer Datenübermittlung jederzeit mithilfe von freiverfügbarer Sniffing-Software ausgelesen werden. Allein die Kommunikationsinhalte, welche durch Wireless Equivalent Privay
(WEP) oder durch Wi-fi Protected Access 2 (WPA/2) verschlüsselt wurden, können nicht im Klartext abgefangen werden.[10]
Im Mittelpunkt der rechtlichen Auseinandersetzung stehen die durch das 41. StrÄndG novellierten Vorschriften des StGB zum Schutz des persönlichen Lebens- und Geheimbereichs. Aufbauend auf die allgemeinen Strafvorschriften wird die Strafbarkeit des Wardriving nach den speziellen Straftatbeständen des TKG und BDSG untersucht. Zum Abschluss des Rechtsgutachtens erfolgt eine Bewertung nach den Vorschriften des besonderen Ordnungswidrigkeits rechts des BDSG . Übertragen auf den aktuellen Fall des Google WLAN-Scanning werden das Orten der drahtlosen Heimnetzwerke, das Aufbereiten der ausgespähten Informationen sowie dessen Ablage in tätereigene Datenspeicher als strafbewährte Handlungen untersucht. Es ist darauf hinzuweisen, dass das Rechtsgutachten die Frage der Täterschaft unberührt lässt. Anzumerken ist, dass gemäß § 14 StGB mangels Straffähigkeit einer juristischen Person als Verantwortliche der Tat nur vertretungsberechtigte Organe und Gesellschafter sowie dessen Vertreter in Betracht kommen. Im Hinblick auf einen ordnungsrechtlichen Verstoß ist für eine Ahndung der Verantwortlichen die Vorschrift des § 30 OWiG zu beachten.
Die Funkaufnahmen könnten einen elektronischen Hausfriedensbruch gemäß § 202a Abs. 1 StGB verwirklicht haben.
Was strafrechtlich dem Datenbegriff unterfällt, wird nicht legaldefiniert. Einen Definitionsansatz bietet der Begriff der Computerdaten gemäß Art. 1 b des Übereinkommens über Computerkriminalität. Danach sind "Computerdaten jede Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschließlich eines Programms, das die Ausführung einer Funktion durch ein Computersystem auslösen kann"[11]. Der konkrete Informationsgehalt der Daten ist hierbei unerheblich.[12] Tatbestandsmäßig sind gemäß § 202a Abs. 2 StGB Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden. Daten sind nicht unmittelbar wahrnehmbar, wenn sie ohne eine technische Aufbereitung sinnlich nicht zu erfassen sind.[13] Gespeichert sind Daten, wenn diese auf einem Datenträger zum Zwecke der Weiterverarbeitung oder Nutzung erfasst, aufgenommen oder aufbewahrt werden. Ein Übermitteln bezeichnet den Netzverkehr zwischen den Systemen.[14] Sämtliche Netzwerkinformationen und Kommunikationsinhalte, die während der Funkübertragung abgefangen wurden, stellen Daten mit den technischen Anforderungen nach § 202a Abs. 2 StGB dar.
Der objektive Tatbestand erfordert, dass für den Täter keine Verfügungsberechtigung über die Daten bestand und die Daten vom Opfer bereits vor der Tat gegen unberechtigten Zugang besonders gesichert gewesen sind. Normativ schützenwert ist das Geheimhaltungsinteresse des Verfügungsberechtigten über die Daten. Im Falle einer Internetverbindung ist Berechtigter der Versender, nach deren Erhalt auch der Datenempfänger.[15] Übertragen auf den Zeitpunkt, indem die Sniffing-Software in der Lage ist, den Netzverkehr auszuspähen, ist Berechtigter der WLAN-Nutzer, von dem der Sendevorgang ausgeht, und der ihm während der gesamten Verbindungsphase zugewiesene Access Point. Die Informationen sind dazu bestimmt, nur von diesen Teilnehmern genutzt und ausgetauscht zu werden. Dafür spricht, dass der Funkverkehr stets über Point-to-Point-Protokolle abgewickelt wird. Für ein Mithören durch Wardriver sind die Daten hingegen nicht bestimmt. Diese Annahme gilt erst Recht für die Kommunikationsinhalte. Passwörter und Emails sind stets nur für den angegeben Empfänger bestimmt und keinesfalls für einen Dritten, der sich extern in den Netzverkehr einspäht. Weder für die Netzwerkinformationen, noch für die Nutzdaten lag eine Verfügungsberechtigung seitens der Täter vor.
Das Geheimhaltungsinteresse ist ferner betroffen, wenn der Berechtigte vor einem externen Angriff Sicherungsvorkehrungen vorgenommen hat. Unter einer Sicherung versteht man eine Maßnahme, die den unbefugten Zugang auf die Daten erheblich erschwert oder ausschließt.[16] Eine unüberwindbare Zugangssicherung ist nicht zu fordern.[17] Die Vorkehrung soll den Zweck hinreichend dokumentieren, einen unbefugten Zugang bewusst unterbinden zu wollen. Unbeabsichtigte Erschwerungen oder solche, die bloße Nebeneffekte darstellen, gelten nicht als besondere Zugangssicherung nach § 202a Abs. 1 StGB, auch wenn sie faktisch zugleich einen Zugriffschutz bewirken.[18] Das bloße Verstecken von Dateien ist darunter ebenfalls nicht zu subsumieren.[19] Als Sicherungen kommen alle physischen und softwaretechnischen Maßnahmen in Betracht. Sofern es um Datensicherungen in drahtlosen Heimnetzwerken geht, ist hier unter letztgenannter Variante zu subsumieren. Zu der
Frage, ob Netzwerkinformationen besonders gesichert sind, ist anzumerken, dass diese konzipiert wurden, um den WLAN-Nutzer an einem Access Point zu autorisieren Dieser Vorgang ermöglicht zwar einen Zugriffschutz, wenn eine Kommunikation nicht zugelassen wird, bevor eine Authentifizierung durch den Abgleich der MAC-Adresse und der SSID erfolgte.[20] Gegen die Annahme einer Sicherung spricht jedoch, dass ein Management Frame stets unverschlüsselt übertragen wird. Ein unbefugter Zugang durch das Mitschneiden der Daten ist dadurch gerade nicht erheblich erschwert oder gar ausgeschlossen. Als Fall einer bloßen Deaktivierung kann zudem das Verstecken der SSID nicht als besondere Zugangssicherung angesehen werden. Schließlich wird das Datum ebenfalls unverschlüsselt übertragen. Gänzlich an einer Zugangssicherung fehlt es bei unverschlüsselt übertragenen Nutzdaten. Sofern der Nutzer einen Verschlüsselungscode (WEP/WPA/2) aktiviert hat, ist der Wille, seine Daten gegenüber Dritten geheim zu halten, unabhängig von der Effektivität des jeweiligen Verschlüsselungsstatus erkennbar in Erscheinung getreten.[21] Im Ergebnis verfügen die Netzwerkinformationen, insbesondere die Angaben der MAC-Adressen, der (versteckten) SSID, der Signalstärken und des Verschlüsselungsstatus sowie die unverschlüsselten Nutzdaten über keine besondere Zugangssicherung. Diese stellen keine geeigneten Tatobjekte gemäß § 202a Abs. 1 StGB dar. Eine Sicherung ist daher nur im Falle verschlüsselter Kommunikationsinhalte gegeben. Bezogen auf die verschlüsselten Kommunikationsinhalte scheitert die Verwirklichung des objektiven Tatbestand schließlich am fehlenden Taterfolg. Denn jedenfalls beim bloßen Auslesen und Abspeichern von verschlüsselten Daten auf einen Datenträger bleibt die Verschlüsselung unangetastet.[22] Die verschlüsselten Nutzdaten wurden vorliegend von der Sniffing-Software zwar aus dem Netzverkehr extrahiert. Bevor es überhaupt zu einer Speicherung kommen konnte, wurden die Inhalte bereits vom System erkannt und zudem unmittelbar verworfen. Mangels Taterfolgs ist der objektive Tatbestand des § 202a Abs. 1 StGB nicht erfüllt.
In Betracht kommt eine Strafbarkeit nach § 202b StGB, wenn Daten unter Anwendung technischer Mittel aus einer nichtöffentlichen Datenübermittlung oder elektronmagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft wurden.
Schwierigkeiten bei der rechtlichen Subsumtion nach § 202b StGB ergeben sich allein bei der Frage, ob es sich bei dem Netzverkehr um eine nichtöffentliche Datenvermittlung gehandelt hat. Eine Datenvermittlung, die laut Definition jeden Sende- und Empfangsvorgang von Daten zwischen elektronischen Systemen oder innerhalb eines Computersystems zum Tatzeitpunkt bezeichnet,[23] ist vorliegend zweifelsohne zu bejahen Der Begriff der Nichtöffentlichkeit ist hingegen unbestimmt und bedarf einer Auslegung. Systematisch ließe sich aus der gleichlautenden Vorschrift § 201 Abs. 1 StGB, welche das Aufnehmen des nichtöffentlich gesprochenen Worts unter Strafe stellt, Folgendes entnehmen: Nach dem Wortverständnis des § 201 Abs. 1 StGB ist "nichtöffentlich", was nach dem Willen des Absenders nicht an die Allgemeinheit, sondern seiner Zielsetzung nach nur an einen beschränkten Adressaten- kreis gerichtet ist.[24] Übertragen auf den Netzverkehr in Funknetzen sind Emails und sonstige Nachrichten nichtöffentlicher Art.[25] Auch die Punkt- zu- Punkt- Übertragung der Netzwerkinformationen spricht subjektiv für eine nichtöffentliche Datenvermittlung. Zu bedenken ist, dass Äußerungen, die zwar nicht für die Öffentlichkeit bestimmt sind, aber dennoch ohne besonderes Bemühen von anderen mitgehört werden können, nach § 201 Abs. 1 StGB nicht schützenswert sind.[26] Als Beispiele für ein faktisches Mithören gemäß § 201 Abs. 1 StGB werden laute Gespräche in öffentlichen Verkehrsmitteln oder Äußerungen erfasst, die über lizenzfreie, abhörbare Funkwege kommuniziert werden. Unerbetene oder heimliche Lauscher, mit denen nicht unbedingt gerechnet werden muss, stehen der Nichtöffentlichkeit nicht entgegen.[27] Demnach müsste auch bei § 202b StGB eine subjektive Bewertung zurücktreten, wenn faktisch die Möglichkeit besteht, Daten mit herkömmlichen Mitteln aufzufangen. Die Auslegung der nichtöffentlichen Datenübermittlung ist daher sowohl nach einer gewillkürten als auch nach einer faktischen Öffentlichkeit zu bestimmen.[28] Anhand dieser Schlussfolgerungen wird für § 202b StGB zumindest das Mitlesen durch handelsübliche, unmanipulierte Funkgeräte eine nichtöffentliche Datenübermittlung ausschließen. Nicht nachvollziehbar ist in diesem Zusammenhang die Ansicht, eine Datenvermittlung als öffentlich zu qualifizieren, wenn der Übermittler weiß oder wissen könnte, dass Unbefugte Daten voraussichtlich abfangen werden.[29] Diese Argumentation würde unverschlüsselte Datensätze von dem Schutz der Vorschrift ausnehmen. Dies erscheint mit Blick auf den Schutzgehalt der Norm, die Vertraulichkeit der Daten unabhängig von ihrem Informationsgehalt zu gewährleisten, nicht vereinbar, da eine besondere Zugangssicherung, wie sie für Daten in § 202a Abs. 1 StGB gefordert wird, für § 202b StGB nicht vorgesehen ist. Der Gesetzesentwurf zu § 202b StGB zeigt vielmehr, dass eine Internetverbindung nichtöffentlich sein kann, selbst wenn es sich bei den übermittelten
Daten um Informationen öffentlich zugänglicher Art handelt.[30] Die Ausführungen verdeutlichen, dass eine faktische Öffentlichkeit nicht danach zu bestimmen ist, ob die Daten verschlüsselt oder unverschlüsselt übertragen werden. Entscheidungserheblich ist, dass der Funkweg und die darüber kommunizierten Informationen für ein herkömmliches Funkgerät abhörbar sind. Als solches lässt sich das Endgerät mit WLAN-Karte einordnen. Dieses erkennt zwar innerhalb der Netzwerkliste andere WLAN-Stationen mit deren Signalstärken, Verschlüsselungsstatus und SSID-Kennung. Allerdings sind darüber weder versteckte SSIDs, MAC-Adressen, noch verschlüsselte oder unverschlüsselte Nutzdaten einsehbar und ohne besondere Bemühungen bzw. Zusatzdienste erst recht nicht ausspähbar. Als ein "besonderes Bemühen" ist es m. E. zu verstehen, sog. Sniffing-Software zu verwenden. Die von Google verwendeten Programme Kismet und Gslite mögen zwar auf dem Markt frei verfügbar und kostenlos zu erwerben sein, sprachgebräuchlich werden diese als Hacker-Tools[31] bezeichnet. Das Abhören mit dieser Software entspricht einem unerbetenen und heimlichen Lauscher, nicht einem Dritten der laute Gespräche auf öffentlichen Wegen mithört. Nach alledem sind sowohl die Netzwerkinformationen als auch die Nutzdaten einvernehmlich unter den Schutz des § 202b StGB i. S. e. nichtöffentlichen Datenübermittlung zu stellen.
Fraglich ist, ob in dem zugrunde liegenden Verhalten ein Verschaffen unter Anwendung von technischen Mitteln zu sehen ist. Ein Verschaffen von Daten bezeichnet, die "Herrschaft über die Daten" zu erlangen.[32] Bei einem weiten Begriffsverständnis ist darunter sowohl die geistige Einverleibung (Kenntnisnahme der Daten), als auch die tatsächliche Einverleibung (Inbesitznahme der Daten) zu verstehen. Dass die Daten bei einer Inbesitznahme tatsächlich zur Kenntnis genommen wurden, ist nicht zu fordern.[33]
Eine Inbesitznahme von Daten ist jedenfalls im Auffangen und Speichern der Netzwerkinformationen und unverschlüsselten Nutzdaten sehen. Da die verschlüsselten Nutzdaten versehentlich ausgespäht und auch nicht gespeichert wurden, fehlt es sowohl an deren Kenntnis- als auch an deren Inbesitznahme. Letztere haben sich die Täter nicht gemäß § 202b StGB verschafft.
Die Netzwerkinformationen wurden wissentlich und willentlich von den Projektverantwortlichen ausgespäht, um diese für eine WLAN basierte Ortung im Onlinedienst Google Street View zu nutzen. Die Tatsache, dass durch die Software auch unverschlüsselte Nutzdaten aufgefangen und gespeichert wurden, war diesen weder bekannt noch war dies im Interesse des Unternehmens. Es lag vielmehr eine unerwünschte Fehlprogrammierung der Software vor, die laut Angaben[34] des Unternehmens von einem unauthorisierten Programmierer unerlaubt in die Software implementiert worden war. Diese Fehlprogrammierung ist vorliegend als wesentliche Abweichung vom Kausalverlauf zu bewerten, sodass der Vorsatz zumindest für die Projektverantwortlichen hinsichtlich der unverschlüsselten Nutzdaten gemäß § 16 Abs. 1 S. 1 StGB entfällt. Hinsichtlich der Netzwerkinformationen ist hingegen von einem vorsätzlichem, rechtswidrigen und schuldhaften Verschaffen auszugehen.
Die Voraussetzungen der Strafbarkeit nach § 202b StGB sind wegen Ausspähens und Auswertung der Netzwerkinformationen aus dem Netzverkehr privater Heimnetzwerke verwirklicht. Ein nach § 205 S. 2 StGB erforderlicher Strafantrag ist im Fall Google Street View bereits gestellt worden.[35]
Indem Informationen aus einer funkgestützten Übermittlung aufgefangen wurden, könnten die Verantwortlichen gegen das telekommunikationsrechtliche Abhörverbot einer Funkanlage gemäß § 148 Abs. 1 Nr. 1 i. V. m. § 89 S. 1 TKG verstoßen haben.
Tatmittel des § 89 S. 1 TKG ist eine Funkanlage. Darunter ist jedes leitungslos arbeitende Kommunikationsgerät in einem Netzwerk, in dem Informationen mittels elektromagnetischen Wellen übertragen werden, zu verstehen.[36] Ein Funkscanner oder auch ein Endgerät mit WLAN- Karte, welche in den Fahrzeugen zum Einsatz kamen, stellen Funkanlagen dar.[37]
Währenddessen Kommunikationsinhalte zweifelsohne als Nachrichten zu charakterisieren sind, bereitet es Schwierigkeiten auch den elektronischen Datenverkehr zwischen Endgerät und Router als Nachricht gemäß § 89 S. 1 TKG zu qualifizieren. Nachrichten stellen sich als Informationen in Form von Zeichen, Sprache, Bildern
oder Tönen dar.[38] Dass der Informationsaustausch nicht zwischen Menschen, sondern rein maschinell stattfindet, ist unerheblich.[39] Der Begriff der Nachricht ließe sich daher weit auslegen, sodass bereits jede funkgestützte Übermittlung von Informationen als Nachrichtenübertragung erfasst wäre.[40] Vergleichsweise hat dazu der Bundesgerichtshof 1980 entschieden, dass die Strahlen einer Radarfalle für den Begriff der Nachricht ausreichen, sofern ihnen noch der Informationsgehalt "Radarfalle aktiv" entnommen werden könnte.[41] Netzwerkinformationen, denen Akkreditierungscodes zugrunde liegen, weisen hiernach einen ausreichenden Informationsgehalt auf, um als Nachrichten i. S. v § 89 S.1 TKG charakterisiert zu werden.
Dieses Ergebnis erschiene jedoch zweifelhaft. Zum einen diente das Urteil des BGH historisch der Legitimierung der Strafverfolgung von Radarfallen-Warnern und daran anknüpfend der Sicherung des staatlichen Monopols über Funkanlagen.[42] Für die aktuelle Frage, ob ein Abhören von privaten Netzwerkinformationen strafbar ist, bietet die Auslegung daher keinen Vergleichsmaßstab. Zum anderen ist auf das LG Wuppertal zu verweisen, welches in einem aktuellen Beschluss zur Strafbarkeit des Schwarzsurfens die Ansicht, auch bloße Steuerungsinformationen in den Schutzbereich der Strafrechtnorm einzubeziehen, als kritisch bewertete.[43] Gegen die Annahme, dass jedes elektrische Signal mit irgendeinem Informationsgehalt als Nachricht aufgefasst werden dürfte, spricht letztlich ein Blick auf den Straf- und Schutzgehalt der Norm. Als im 7. Teil des TKG verortet, handelt es sich bei der Strafnorm um eine einfachgesetzliche Ausprägung des Fernmeldegeheimnis nach Art. 10 Abs. 1 3. Fall GG. Mit Verweis auf § 88 Abs. 1 TKG dienen die Normen in dem genannten Abschnitt dem Schutz der Kommunikationsinhalte. Darüber hinaus sind Kommunikationsvorgänge und nähere Umstände gemäß §§ 88 Abs. 1 und 3 TKG schützenswert. Bezogen auf die Netzwerkinformationen ließe sich vertreten, dass ein Geheimhaltungsinteresse zumindest daran bestehen kann, dass überhaupt eine Kommunikation stattgefunden hat. Zu den näheren Umständen der Kommunikation gehört es insoweit, "ob, wann und wie oft[…]Telekommunikationsverkehr stattgefunden hat"[44]. Den jeweiligen WLAN-Nutzer könnte demnach interessieren, Dritten nicht preisgeben zu wollen, wann und wie er seinen Internetzugang für das Versenden von Nachrichten genutzt hat. Das Abhörverbot bezöge sich nach dieser Sichtweise auch auf Authorisierungsinformationen. Dagegen spricht jedoch eine grammatikalische Auslegung des Begriffs "Nachricht". Der Gesetzgeber verwendete bei der Ausformulierung des TKG auf der einen Seite den Begriff der "Verkehrsdaten" gemäß § 96 TKG, auf der anderen Seite den der "Nachricht" gemäß §§ 89, 148 TKG. Währenddessen Verkehrsdaten u. a. personenbezogene Berechtigungscodes oder übermittelte Datenmengen darstellen können, wird man, um eine klare Differenzierung der Begriffe zu gewährleisten, bei einer Nachricht gesteigerte kommunikative Elemente fordern müssen. Welche Informationen letztlich vom Wortgehalt einer Nachricht erfasst werden, bleibt Teil einer Einzelfallbetrachtung. M.E. sind Steuerungsprozesse und deren Datenrahmen vom Begriff der Nachricht gemäß § 89 S.1 TKG auszuschließen.
Entscheidend für eine Strafe nach § 148 Abs. 1 Nr. 1 i. V. m § 89 S. 1 TKG ist, ob die Kommunikationsinhalte der WLAN abgehört wurden. Unter Abhören ist das unmittelbare Zuhören oder das Hörbarmachen für andere, aber auch das Zuschalten einer Aufnahmerichtung zu verstehen.[45] Es ist bereits zu bezweifeln, dass das bloße Aufzeichnen und Abspeichern der Daten ein strafbewährtes Abhören nach § 89 S. 1 TKG darstellt. Eine Tatbestandverwirklichung scheidet jedenfalls aus, soweit die Nachrichten nicht willentlich zur Kenntnis genommen wurden.[46] Nach unwiderlegter Aussage hatten die Projektverantwortlichen keine Kenntnis darüber, dass es zum Aufzeichnen von Nutzdaten, insbesondere Emails und Passwörtern, gekommen war. Ein Abhören gemäß § 89 S. 1 TKG scheidet hiernach im Ergebnis aus.
An dieser Stelle kann eine umfassende Prüfung dahinstehen, da die strafbarkeitsbegründenden Voraussetzungen des § 44 Abs. 1 BDSG ersichtlich nicht vorliegen. Eine Entgeltlichkeit, die gemäß § 11 Abs. Nr. 9 StGB als jede in einem Vermögensvorteil bestehende Gegenleistung definiert wird, ist auszuschließen. Hinsichtlich einer Bereicherungsabsicht ist bereits das Vorliegen eines stoffgleichen Vermögensvorteils nicht erkennbar. Mangels gegenteiliger Beweislage kann eine Schädigungsabsicht der Verantwortlichen zu Lasten der betroffenen Netzwerknutzer nicht nachgewiesen werden. Das Ausspähen von Daten drahtloser Heimnetzwerke erfüllt somit nicht den Tatbestand des § 44 Abs. 1 i. V. m. § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG.
Möglich ist allerdings ein ordnungsrechtlicher Verstoß gegen die Vorschrift § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG.
Eine Strafbarkeit nach dem BDSG kommt in Betracht, soweit der Anwendungsbereich des § 1 Abs. 2 Nr. 3 BDSG eröffnet ist. Dies setzt voraus, dass personenbezogene Daten von einer nicht-öffentlichen Stelle unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt wurden. Google Inc. ist eine nicht-öffentliche Stelle gemäß § 2Abs. 4 S. 1 BDSG. Unter den Begriff personenbezogener Daten gemäß § 3 Abs. 1 BDSG fallen sowohl Daten, die sich direkt einer bestimmten Person zuordnen lassen, aber auch sog. personenbeziehbare Daten, denen kontextbezogen oder durch einen vertretbaren Aufwand an Zeit, Kosten und Personaleinsatz eine bestimmte Person zu zuordnen ist.[47] Kommunikationsdaten wie Emailnachrichten enthalten Sender- und Empfängerinformationen oder sogar elektronische Signaturen. Selbst pseudonymisierte Emailadressen lassen sich mit vertretbarem zeitlichen und finanziellen Aufwand einer bestimmten Person zuordnen.[48] Sie erfüllen das Merkmal des Personenbezugs. Eine SSID, die vom Benutzer frei zu wählen ist, kann Rückschlüsse auf den Betroffen geben, soweit dieser Klarnamen verwendet.[49] Im Hinblick darauf erscheint es nicht ausgeschlossen, dass zumindest hinsichtlich dieser Netzwerkinformationen ein Personenbezug gegeben ist. Die Daten müssten erhoben, verarbeitet oder genutzt worden sein. Nach der Legaldefinition des § 3 Abs. 4 BDSG ist unter Erheben, das Verschaffen von Daten, unter Verarbeiten, das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten zu verstehen. Indem die Täter, Sendeinhalte des drahtlosen Netzverkehrs scannten, anschließend durch eine Software aufbereiteten und in Datenspeichern ablegten, erhoben und verarbeiteten sie personenbezogene Daten i. S. d. BDSG. Der Anwendungsbereich des BDSG ist gemäß § 1 Abs. 2 Nr. 3 BDSG eröffnet . Mangels bereichsspezifischer Vorschriften des Bundes kommen die Normen des BDSG gemäß § 1 Abs. 3 BDSG zur Anwendung.
Gemäß Nr. 1 müssten personenbezogene Daten unbefugt erhoben und verarbeitet werden, die nicht allgemein zugänglich sind. Das Erfassen der Kommunikationsdaten, MAC- Adressen und SSID sowie deren anschließende Aufbereitung erfüllt die Tatvoraussetzungen gemäß Nr. 1.
Ferner ist ein Verstoß gegen § 43 Abs. 2 Nr. 3 BDSG möglich. Hierzu müssten die genannten Daten unbefugt abgerufen oder aus automatisierten Verarbeitungen verschafft worden sein. Der unbefugte Abruf von Daten setzt voraus, dass Daten zumindest in automatisierter Form vorgehalten werden.[50] Die verwendete Sniffing-Software arbeitete rein passiv und las nur diejenigen Daten aus, die sich unmittelbar in einer Übermittlung befanden. Zu keinem Zeitpunkt griff das Programm auf abgespeicherte Daten im Rechner des Nutzers zu. Ein Abrufen von Daten liegt hier nicht vor. Unter einem Verschaffen von automatisierten Verarbeitungen ist gemäß § 3 Abs. 2 BDSG der Einsatz von Datenverarbeitungsanlagen zu verstehen, um personenbezogene Daten zu erheben, verarbeiten oder zu nutzen. Ein herkömmlicher Personal Computer mit WLAN-Karte stellt bereits eine Datenverarbeitungsanlage i. S. d. Norm dar.[51] Die entsprechenden Daten wurden zudem erhoben und verarbeitet.
Die Datenerhebung und Verarbeitung müsste vorsätzlich oder fahrlässig begangen worden sein. Vorsatz bezeichnet das Wissen und Wollen der Zuwiderhandlung.[52] Fahrlässigkeit ist die unbewusste oder ungewollte, aber pflichtwidrige Verwirklichung eines Tatbestandes. Fahrlässig handelt der Täter, wenn er die Sorgfalt, zu der er nach seinen Umständen und seinen persönlichen Fähigkeiten verpflichtet und imstande ist, außer Acht lässt und deshalb die Tatbestandsverwirklichung nicht erkennt (unbewusste Fahrlässigkeit) oder die Möglichkeit der Tatbestandsverwirklichung zwar erkennt, aber darauf vertraut, sie werde nicht eintreten (bewusste Fahrlässigkeit).[53] Dass die integrierten Softwaresysteme unverschlüsselte Kommunikationsdaten auffangen und abspeichern war den Projektverantwortlichen zum Tatzeitpunkt nach eigenen Angaben nicht bewusst. Das Erfassen und Aufbereiten der Netzwerkinformationen war hingegen willentlich vorgenommen worden, um eine WLAN basierte Ortung zukünftiger Google Street View-Nutzer vorzubereiten. Die Tatsache, dass die Verantwortlichen die Vorgehensweise des Wardriving als legitim erachteten, ist für die Bewertung eines fahrlässigen Pflichtverstoßes unbeachtlich. Der Rechtsverstoß erfolgte ferner rechtswidrig und schuldhaft. Das von Google Inc. veranlasste WLAN-Scanning begründet eine Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG.
Das Aufspüren drahtloser Funknetze und das Analysieren der Netzwerkinformationen, welches als Wardriving bekannt ist, verwirklicht die Strafvoraussetzungen des § 202b StGB. Unter der Prämisse, dass eine Personen-beziehbarkeit der Daten ausreicht, eröffnet das Verhalten auch eine datenschutzrechtliche Ahndung nach § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG. Weitere Rechtsverstöße sind nicht ersichtlich. Die dargelegten Ergebnisse zu der Google WLAN-Affäre zeigen, dass seit dem 41. StrÄndG die rechtlichen Rahmenbedingungen zur Gewährleistung des Informationsschutzes und der Daten- und Netzwerksicherheit erheblich ausgebaut wurden. Als zentrale Aussage des Rechtsgutachtens ist festzuhalten, dass ein
rein passives Scannen von drahtlosen Netzwerken mangels eines Eingriffs in die Computersysteme zwar nicht die Voraussetzungen eines elektronischen Hausfriedensbruchs erfüllt. Als Vorbereitungshandlung für ein Ausspähen von übermittelten Daten stellt der Einsatz sog. Sniffer jedoch bereits einen klassischen Anwendungsfall des § 202b StGB dar. Durch das Zusammenspiel mit den telekommunikations- und datenschutzrechtlichen Sondervorschriften werden der Schutz der Vertraulichkeit von Informationen und die Integrität der Informationssysteme verstärkt. Die Novellierung der materiellen Strafvorschriften schließt in diesem Sinne Strafbarkeitslücken und bezieht unterschiedliche Angriffsrichtungen einer modernen Computerkriminalität mit ein. Aus diesem Grund ist auch die weit verbreitete Meinung von Hackern unrichtig, Wireless Lan dürfte stets straflos abgegriffen werden. Die weitläufige Diskussion zu den Tatbestandsmerkmalen - bspw. der Nichtöffentlichkeit einer Datenübermittlung in § 202b StGB - zeigt allerdings, dass die erklärten Ziele des Gesetzgebers, neue Formen komplexer Computerkriminalität sachgerecht zu erfassen und die einschlägigen Vorgaben des Europarats und der EU umzusetzen, noch nicht vollständig erreicht wurden. Die seit der Novellierung ergangenen Urteile und Beschlüsse verdeutlichen, dass die technischen Funktionsweisen, die den modernen Kommunikationsstrukturen und Übermittlungsvorgängen zu Grunde liegen, eine fehlerfreie rechtliche Einordnung des Sachverhalts erschweren und in diesen Bereichen geradewegs noch keine Rechtssicherheit herrscht. In diesem Zusammenhang wird sich zeigen, ob das eingeleitete Strafverfahren einen Beitrag zu der Klärung noch offener Fragen liefert. Feststeht, dass jedenfalls datenschutzrechtliche Disziplinarmaßnahmen gegen das Unternehmen geführt werden können.
[1] Sawall, WLAN- Nutzdaten - Google hat auch Passwörter aufgezeichnet, URL: http://www.golem.de/1006/75899.html (Stand: 10.01.2011).
[2] Sawall, (Fn. 1); Pressemitteilung der Süddeutschen Tageszeitung, Google Street View - Ganze Emails gespeichert, URL: http://www.sueddeutsche.de/digital/google-street-view-ganze-e-mails-gespeichert-1.1015255; Official Google Blog, Wifi data collection: An update, URL: http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html (Stand: 10.01.2011).
[3] http://www.heise.de/newsticker/meldung/US-Kontrollbehoerde-stellt-Ermittlungen-gegen-Google-ein-1126657.html .
[4] Bild Nr.16, URL: http://www.n-tv.de/mediathek/bilderserien/technik/Was-ist-eigentlich-Google-Street-View-article743657.html (Stand: 10.01.2011).
[5] Pressemitteilung BfDI, URL: http://www.bfdi.bund.de/cln_136/DE/Oeffentlichkeitsarbeit/ Pressemitteilungen/2010/GoogleWLANScanning.html?nn=408920; Google European Public Blog, Data collected by Google cars, URL: http://googlepolicyeurope.blogspot.com/2010/04/data-collected-by-google-cars.html (Stand: 10.01.2011).
[6] Meyer, Bodenständig - Positionsbestimmung per WLAN statt GPS, URL: http://www.heise.de/mobil/artikel/Positionsbestimmung-per-WLAN-statt-GPS-222253.html (Stand: 10.01.2011).
[7] Meyer a.a.O. (Fn. 6) ; IIS- Bericht, URL: http://www.iis.fraunhofer.de/bf/ln/technologie/rssi/tl/ (Stand: 10.01.2011) .
[8] OSI-Referenzmodell mit Erläuterung abrufbar unter: http://www.netzwerke.com/OSI-Schichten-Modell.htm; Friedberg, Source Code Analysis Code of Gstumbler, 2010, I. B. 9, URL: http://static.googleusercontent.com/ external_content/untrusted_dlcp/www.google.com/en//googleblogs/pdfs/ friedberg_sourcecode_analysis_060910.pdf.
[9] Buntrock, Authentifikation, Authorisierung, Abrechnung (AAA), 2006, Kap. 2. 1, URL: http://www.sec.informatik.tu-darmstadt.de/pages/dipl/docs/finished/buntrock_diplom.pdf; Dörhöfer, Empirische Untersuchungen zur WLAN-Sicherheit mittels Wardriving, 2006, Kap. 5. 2. 1, URL: http://pi1.informatik.uni-mannheim.de/filepool/theses/diplomarbeit-2006-doerhoefer.pdf; Friedberg a.a.O. (Fn. 8), I. B. b).
[10] Dörhöfer (Fn. 9), Kap. 3. 3. 4. 3, Kap. 5. 2. 1.
[11] Art. 1b des Übereinkommens über Computerkriminalität, URL: http://conventions.coe.int/treaty/ger/treaties/html/185.htm.
[12] Hoyer , in: SK-StGB (2009), § 202a Rn. 1.
[13] Fischer, StGB, 58. Aufl. (2011), § 202a Rn. 4.
[14] Graf, in: MüKo-StGB (2003), § 202a Rn. 16.
[15] Vgl. Graf (Fn.14), § 202a Rn. 17; Hoyer (Fn. 12), § 202a Rn. 1, 7.
[16] Fischer (Fn. 13), § 202a Rn. 8; Lencker/Eisele, in: Schönke/Schröder, 38. Aufl. (2010), § 202a Rn. 7; Graf (Fn. 14), § 202a Rn. 11.
[17] Fischer (Fn. 13), § 202a Rn. 9; Lencker/Eisele (Fn. 16), § 202a Rn. 7; Jahn JuS 2010, 1030 f.
[18] Gesetzesentwurf der Bundesregierung, S. 13, URL: http://www.bmj.bund.de/media/archive/1317.pdf; Jahn JuS 2010, 1030 f.; Hilgendorf, in: LK-StGB, 12. Aufl. (2010), § 202a Rn. 35; Lencker/Eisele (Fn.16), § 202a Rn. 7.
[19] Entsprechend Fischer (Fn. 13), § 202a Rn. 9; Hilgendorf (Fn. 18), § 202a Rn. 35 f.; Graf (Fn. 14), § 202a Rn. 41.
[20] Vgl. Dörhöfer a.a.O. (Fn. 9), Kap. 3. 3. 4. 2.
[21] A. A. Hilgendorf (Fn. 18), § 202a Rn. 36, der erhöhte technische und zeitliche Anforderungen an die Überwindung zumindest eines Passworts stellt, so dass im Ergebnis nach dieser Ansicht übertragen auf die veraltete WEP-Verschlüsselung keine ausreichende Sicherung angesehen werden könnte..
[22] BGH 4 StR 555/09, Urt. v. 06. Juli 2010 = BeckSR 2010, 18206 = HRRS 2010 Nr. 742 ; Gröseling/Höfinger MMR 2007, 549, 551.
[23] Gesetzesentwurf der Bundesregierung, S. 15, URL: http://www.bmj.bund.de/media/archive/1317.pdf.
[24] Eisele (Fn. 16), § 202b Rn. 3 f.; Fischer (Fn. 13), § 202b Rn. 4 und § 201 Rn. 4; Graf (Fn. 14), § 201 Rn. 13 f.
[25] Ebenso Ernst NJW 2007, 2661, 2662.
[26] Eisele (Fn. 16), § 201 Rn. 9 m. w. N..
[27] Eisele (Fn. 16), § 201 Rn. 9; Fischer § 201 Rn. 4; Graf (Fn. 14), § 201 Rn. 14, 17.
[28] Hoyer (Fn. 12), § 202b Rn. 8.
[29] Lenckner/Eisele (Fn. 16), § 202b Rn. 4; Fischer (Fn. 13), § 202b Rn. 4; Hilgendorf (Fn. 18), § 202b Rn. 8; a. A. Hoyer (Fn. 12), § 202b Rn. 8; Schumann NStZ 2007, 675, 677.
[30] Gesetzentwurf der Bundesregierung (Fn. 23), S. 14.
[31] Definition eines Hackertool abrufbar unter: http://www.webopedia.com/TERM/H/hack_tool.html (Stand 10.01.2011).
[32] BT-Drucks: 16/3656, S. 11.
[33] Hoyer (Fn. 12), § 202b Rn. 5.
[34] Official Google Blog, Wifi data collection: An update, URL: http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html (Stand: 10.01.2010).
[35] Stand v. 02.08.2010 - AZ: 7450 Js 430/10, Hinweis abrufbar unter: http://www.ferner-alsdorf.de/2010/08/ermittlungsverfahren-der-staatsanwaltschaft-hamburg-i-s-google-lauft-weiter/wettbewerbsrecht/strafrecht/rechtsanwalt/verkehrsrecht/ ( Stand 10.01.2011).
[36] Ellinghaus, in: Arndt/Fetzer/Scherer, TKG (2008), § 89 Rn. 9 m. w. N..
[37] Vgl. auch Ellinghaus (Fn. 36), § 89 Rn. 9; Bär MMR 07/05, 440.
[38] Ellinghaus (Fn. 36), § 89 Rn. 10; Zerres, in: Scheuerle/Mayen, TKG, 2.Aufl. (2008), § 89 Rn.4; Bär MMR 07/05, 440; Buermeyer HRRS 2004, 285, 290.
[39] Buermeyer HRRS 2004, 285, 289 f.; Ernst CR 2003, 898, 900; Ernst/Spoenle CR 2008, 439, 440; offen gelassen Gercke ZUM 2010, 633, 644.
[40] Ellinghaus (Fn. 36), § 89 Rn. 10.
[41] BGH, Urt. v. 11.12.1980 - 4 StR 503/, BGHSt 30, 15, 18 ff.
[42] BGH, Urt. v. 11.12.1980 - 4 StR 503/80, BGHSt 30, 15, 20
[43] LG Wuppertal 25 Qs 10 Js 1977/08-177/10, Beschluss v. 19.Oktober 2010 = MIR 2010 Dok.156.
[44] BVerfG MMR 2006, 217, 219; Kühling/Elbracht, Telekommunikationsrecht (2008), S. 22.
[45] AG Wuppertal 26 Ds-10 Js 1977/08-282/08 26 Ds, Beschluss vom 03.08.2010 = BeckRS 2010, 19628.
[46] Ellinghaus (Fn. 36), § 89 Rn. 13; Klesczewski, in: Berl/Komm/TKG, 2. Auf. (2009), § 89 Rn. 11.
[47] Witt, Datenschutz kompakt und verständlich (2010), S. 6.
[48] Vgl. Witt a.a.O. (Fn. 47), S. 123.
[49] Vgl. Gercke ZUM 2010, 633, 644.
[50] Gola/Schomerus, BDSG, 10. Aufl. (2010), § 43 Rn. 22.
[51] Vgl. Definition Datenverarbeitungsanlage abrufbar unter: http://www.itwissen.info/definition/lexikon/Datenverarbeitungsanlage-DPE-data-processing-equipment-DVA.html.
[52] Schwacke, Recht der Ordnungswidrigkeiten, 4. Aufl. (2006), S. 32.
[53] Schwacke a.a.O. (Fn. 52), S. 35.