Das Amtsgericht Jülich hat am 17. Januar 2024 einen Softwareentwickler wegen unautorisierten Zugriffs auf Kundendaten eines Software-Unternehmens zu 50 Tagessätzen verurteilt.
Das Urteil umfasst mehrere bemerkenswerte Fakten:
Zunächst hatte der Angeklagte eine Schwachstelle, ein im Klartext hinterlegtes Passwort, bemerkt, diese verifiziert und danach dem betroffenen Unternehmen gemeldet. Im Normalfall sind Unternehmen dankbar für derartige Hinweise, insb. da das Unternehmen selbst hier einen potenziell bußgeldbewehrten Verstoß gegen Art. 32 DSGVO begangen hat. Statt dessen entschied sich das betroffene Unternehmen zu einer Strafanzeige gegen den Meldenden.
Ursprünglich hatte das Amtsgericht Jülich dann im Jahr 2023 den Strafantrag abgelehnt, da die Daten nicht ausreichend geschützt waren. Nach Berufung wurde das Verfahren vom Landgericht Aachen an das Amtsgericht zurückverweisen, welches nun genau gegensätzlich argumentierte.
Der Entwickler hatte für den Datenbankzugriff das Tool phpMyAdmin genutzt, welches man durchaus als einen der führenden Standards für die Datenbankadministration bezeichnen kann. phpMyAdmin ist ein Open-Source Produkt, das beispielsweise von nahezu allen gängigen Webhosting-Anbietern auch und gerade für nicht-professionelle Administratoren wie private Websitebetreiber bereitgestellt wird.
Das Gericht hingegen wertete die bloße Nutzung dieses Tools nun als Überwindung der Zugangssicherung gem. § 202a StGB und damit als strafbare Handlung und begründete, dass dem Angeklagten der Zugriff auf die Daten durch „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ möglich gewesen wäre.
Quellen: