Die Staatsanwaltschaft Köln führte gegen einen Angeschuldigten ein Ermittlungsverfahren wegen Ausspähens von Daten gem. § 202a Abs. 1, Abs. 2 StGB. Es ging um folgenden Sachverhalt: Die geschädigte Firma V. war Webhosting-Anbieterin für ein Warenwirtschaftssystem. Diese Software stellte die V. über eine hauseigene Schnittstelle zahlreichen Firmenkunden entgeltlich zur Verfügung. Bestandteil des Hostings war die Zurverfügungstellung von Kundendatenbanken der Endkunden der jeweiligen Firmenkunden. Der Angeschuldigte nahm von seiner Wohnung aus Zugriff auf den Datenbankserver der V. Dies tat er, indem er zunächst mittels eines sog. Decompilers – eines für jedermann zugänglichen Programms – aus der von der Firma V. genutzten Software einen Quellcode erzeugte. Dem durch die Dekompilierung erlangten Quellcode entnahm er anschließend das dort im Klartext hinterlegte Passwort, mit dem er dann die Zugangsdaten zu den jeweiligen Kundendatenbanken auslas und diese auf seinen eigenen Computer kopierte.
Mit Verfügung vom 13.2.2023 hatte die Staatsanwaltschaft Köln den Erlass eines Strafbefehls wegen Ausspähens von Daten (§ 202a StGB) sowie die Festsetzung einer Geldstrafe i.H.v. 90 Tagessätzen zu je 60 EUR gegen den Angeschuldigten beantragt. Das AG Jülich hatte den Antrag der Staatsanwaltschaft auf Erlass des Strafbefehls aus rechtlichen Gründen abgelehnt (Beschl. v. 10.5.2023 – 60 Qs 16/23). Zur Begründung hatte das AG u.a. ausgeführt, der Tatbestand des § 202a StGB sei nicht erfüllt. Dem Schutzbereich des Straftatbestandes unterlägen nur Daten, die gegen den unberechtigten Zugang besonders gesichert seien. Dies setze voraus, dass Maßnahmen getroffen wurden, die objektiv geeignet und nach dem Willen des Berechtigten auch dazu bestimmt seien, den Zugang zu den Daten zu verhindern. Ein Passwortschutz als solcher genüge nicht, um eine besondere Sicherung i.S.d. § 202a StGB zu begründen. Darüber hinaus habe der Angeschuldigte die Dekompilierung mittels eines gängigen Hilfsprogrammes durchgeführt, was für eine tatbestandsmäßige Überwindung einer besonderen Zugangssicherung i.S.d. § 202a StGB nicht ausreiche.
Dagegen legte die Staatsanwaltschaft sofortige Beschwerde ein und begründete diese damit, für das geschützte Rechtsgut sei es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden werde. Die Dekompilierung setze – auch wenn sie mit frei zugänglichen Programmen möglich sei – ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung voraus, um mit dem Ergebnis der Dekompilierung umgehen zu können. Folglich seien die hier in Rede stehenden Daten und Passwörter nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt, zugänglich.
Das LG Aachen folgte der Argumentation der Staatsanwaltschaft, hob als Beschwerdegericht den amtsgerichtlichen Beschluss auf und führte aus, dass der Strafbefehl zu erlassen sei (Urt. v. 27.7.2023 – 60 Qs 16/23). Entgegen der Auffassung des AG bestehe ein hinreichender Tatverdacht für eine Strafbarkeit des Angeschuldigten wegen Ausspähens von Daten gem. § 202a StGB. Die Sicherung des Zugangs mittels Passworts reiche als Zugangssicherung aus. Entgegen der Auffassung des AG Jülich stelle das Auslesen des Passwortes nach Dekompilierung des Objektcodes in den Quellcode eine Überwindung einer besonderen Zugangssicherung i.S.d. § 202a StGB auch dann dar, wenn sie mit für jedermann zugänglichen Tools erfolgt ist.
Soweit in den Gesetzesmaterialien von einer „Überwindung mit einem nicht unerheblichen zeitlichen oder technischen Aufwand” die Rede ist, sei dies dahingehend zu verstehen, dass die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern muss. Selbst dann, wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden werde, sei der Tatbestand erfüllt (vgl. BGH, Beschl. v. 13.5.2020 – 5 StR 614/19). Auch wenn der Täter für die Dekompilierung frei zugängliche Programme verwendet habe, setze eine solche Vorgehensweise sowohl ein tieferes Verständnis über Programmiersprachen und Softwareentwicklung als auch ausgeprägte Kenntnisse im Bereich der Anwendungsentwicklung und die Fähigkeit zum sog. Reverse Engineering der Softwareschnittstelle voraus. Die in Rede stehenden Daten seien für den Angeschuldigten aufgrund seiner Kenntnisse leicht abgreifbar gewesen, indes „typischerweise” nicht für jedermann ohne Weiteres. Schließlich sei der Angeschuldigte auch nicht befugt gewesen i.S.d. § 202a StGB, da die ausgespähten Daten nicht zu seiner Kenntnisnahme bestimmt waren.