Längst nicht alle Unternehmen schützen die ihnen anvertrauten personenbezogenen Daten ihrer Kunden. So können Hacker sie mitunter ins Netz stellen oder für kriminelle Zwecke missbrauchen. Datenschützer gehen gegen Firmen vor, wenn sie den Datenschutz verletzt haben – etwa bei der Plattform Knuddels, gegen deren Betreiber der baden-württembergische Datenschutzbeauftragte ein Bußgeld von 20.000 Euro verhängte.

Knuddels hatte die Daten seiner Kunden nicht verschlüsselt, sondern als Klartext gespeichert und dadurch nach Ansicht der Datenschützer gegen seine Verpflichtung aus Art. 32 Abs. 1 Buchstabe a DSGVO verstoßen. Aufgrund dieser Pflichtverletzung konnten Hacker sich Zugriff auf personenbezogene Daten von rund 1,8 Millionen Nutzern verschaffen und sie ins Internet stellen. Dem Betreiber kam zugute, dass er den Vorfall der Datenschutzaufsichtsbehörde gemeldet und sich somit kooperativ verhalten hatte.

Doch längst nicht jedes Unternehmen handelt so, obwohl es zur unverzüglichen Mitteilung einer damit verbundenen Verletzung des Schutzes persönlicher Daten nach Art. 33 Abs. 1 DSGVO verpflichtet ist, sofern ihm die Datenschutzverletzung bekannt ist.

Auch manche IT-Sicherheitsexperten dringen in fremde Netzwerke ein, weil sie dort Schwachstellen vermuten, die Hacker für Angriffe auf die Daten von Kunden missbrauchen könnten. Werden sie fündig, nehmen sie Kontakt mit dem Betreiber des Netzwerks auf. Gegebenenfalls gehen sie mit ihren Informationen auch an die Öffentlichkeit – vor allem, wenn der Betreiber des Netzwerks die Sicherheitslücke nicht behebt.

Nur: Dieses Vorgehen, das sich nicht gegen die Hacker, sondern gegen infiltrierte Netzwerke und deren Nutzer richtet, kann schwerwiegende rechtliche Konsequenzen für die Sicherheitsforscher haben.

Hat der Programmierer Daten ausgespäht?

Das wird an einem aktuellen Fall deutlich, in dem ein IT-Experte auf diese Weise herausgefunden hatte, dass auf dem Datenbank-Server des Webhosting-Anbieters Modern Solution die Zugangsdaten von rund 700.000 aller angeschlossenen Online-Händler unverschlüsselt im Klartext hinterlegt waren.

Hiervon erfuhr die Öffentlichkeit zunächst nichts. Zwar soll laut eines Sprechers der Landesbeauftragten für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Modern Solution die Datenpanne fristgemäß an das LDI NRW und die betroffenen-Online-Händler gemeldet haben. Die Datenschützer sollen von der Einleitung von aufsichtsbehördlichen Maßnahmen jedoch vor allem deshalb abgesehen haben, weil das Unternehmen sich kooperativ gezeigt und angemessene und geeignete Maßnahmen zur Behebung der Datenpanne eingeleitet habe.

Nachdem der IT-Experte darüber sowohl den Webhosting-Anbieter, den Blogger Mark Steier als auch die Öffentlichkeit über die Datenpanne informiert hatte, ermittelte die Staatsanwaltschaft Köln gegen ihn. Die Ermittler warfen ihm vor, sich illegal Zugriff auf den Server von Modern Solution verschafft zu haben.

Er soll hierzu mittels eines Decompilers – eines frei zugänglichen Programms – aus der von Modern Solution genutzten Software einen Quellcode erzeugt haben. Dann soll er dem Quellcode die im Klartext hinterlegten Passwörter entnommen, die Zugangsdaten zu den Kundendaten ausgelesen und auf seinen Rechner kopiert haben.

Die Staatsanwaltschaft Köln sah darin eine Straftat in Form des Ausspähens von Daten gemäß § 202a StGB und beantragte beim Amtsgericht Jülich den Erlass eines Strafbefehls. In diesem sollte es eine Geldstrafe von 60 Tagessätzen festsetzen.