Absicherung gegen das Ausspähen von Daten
Datenschutzrecht: Wie verhindert man den Datenklau - Wirksamer Datenschutz erfordert einen Blick aufs Strafrecht
Compliance durch Kryptographie: Aus strafrechtlicher Sicht ist schon ein Verschlüsselungsgrad ausreichend, der zumindest nicht ohne weiteres für einen interessierten Dritten überwindbar ist
(30.10.12) - Betriebs- und Geschäftsgeheimnisse sind wertvoller Teil des Unternehmenskapitals. Der Gesetzgeber hat darauf reagiert und sensible Daten in Betrieben, Praxen und Kanzleien unter den Schutz des Strafrechts gestellt. "Das Strafrecht kann seine Wirkung allerdings nur dann entfalten, wenn das Datenschutzkonzept des Unternehmens und die einschlägigen Strafbarkeitsbestimmungen aufeinander abgestimmt sind", stellt Rechtsanwalt Nils Kassebohm von der Anwaltssozietät Eimer Heuschmid Mehle in Bonn klar.
Ein wichtiger Baustein hierbei ist § 202 a des Strafgesetzbuches (StGB), der das Ausspähen von Daten unter einen Strafrahmen von bis zu drei Jahren stellt. Die enge Verknüpfung von betrieblicher IT-Organisation mit der gesetzlichen Bestimmung zeigt sich bereits in den Strafbarkeitsvoraussetzungen der Datenausspähung. "So kann sich ein Mitarbeiter oder ein sogenannter unbefugter Dritter nur dann strafbar machen, wenn die auszuspähenden Daten auch gesichert sind", wie der Fachanwalt für Strafrecht erläutert.
In der Praxis haben inzwischen einige Unternehmen als Sicherung eine elektronische Datenverschlüsselung eingeführt. Aus strafrechtlicher Sicht ist schon ein Verschlüsselungsgrad ausreichend, der zumindest nicht ohne Weiteres für einen interessierten Dritten überwindbar ist. Nicht ausreichend als Sicherung ist dagegen das unverschlüsselte Speichern einer Datei unter einem falschen Dateinamen.
In vielen Fällen steckt bei den Strafrechtsnormen der Teufel im Detail. So kann eine Strafbarkeit gemäß § 202 a StGB ausgeschlossen sein, wenn sich ein Mitarbeiter ihm dienstlich zur Verfügung stehende Daten zwar pflichtwidrig, aber befugt verschafft, um sie dann nur privat zu verwenden. Der Zugriff Dritter auf dann ungeschützte Daten des Unternehmens beim Mitarbeiter wäre z. B. nicht mehr strafbar. "Allerdings sind dort, wo das Strafrecht nicht greift, sehr wohl arbeitsrechtliche Sanktionen möglich", stellt Kassebohm klar.
Natürlich schützt das Strafrecht auch vor Bedrohungen der Unternehmens-IT von außen. Von dort Trojaner, Keylogger oder andere Ausspähungsprogramme einzuschleusen, um fremde Daten zu erlangen, steht unter Strafandrohung. "Fallen sollten jedoch beachtet werden", warnt Kassebohm. Eine Weitergabe von Daten durch Mitarbeiter z. B. als E-Mail-Anhang im Rahmen von Geschäftsabläufen kann eben diese Daten trotz ausreichender unternehmensinterner Sicherung dem strafrechtlichen Schutzbereich entziehen. Der Strafrechtler folgert: "Die Mitarbeiter müssen unbedingt geschult werden, geheime Daten auch als solche zu behandeln." Studien zufolge schult gut ein Drittel der Unternehmen seine Mitarbeiter bisher gar nicht zum Thema Netz- und Informationssicherheit.
Der gesamte Kanon infrage kommender Strafrechtsnormen ist ausgesprochen umfangreich geworden. So hat im Bereich der Daten- und IT-Sicherheit nicht nur die Computersabotage oder die Fälschung technischer Aufzeichnungen inzwischen eigene Paragrafen. Zusätzlich stellt das Gesetz gegen unlauteren Wettbewerb (UWG) unter anderem den Verrat von Unternehmensgeheimnissen unter Strafe. "Diese Normen haben oft sehr spezielle Voraussetzungen. Ohne detaillierte Kenntnisse des Unternehmens und eine exakte Abstimmung mit den Verantwortlichen kann das Erstellen eines Sicherheitskonzeptes für ein Unternehmen leicht ins Leere laufen", warnt Kassebohm. Strafrechtliche Normen wirkten schließlich nur dann, wenn sie bekannt seien, durchgesetzt würden und der Täter fürchten müsse, bei einem Verstoß auch erwischt zu werden. (Eimer Heuschmid Mehle: ra)
Eimer Heuschmid Mehle: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.