Google Plus gehackt – wer ruft nach dem Staatsanwalt?

Hackingangriffe auf soziale Netzwerke wie Google Plus oder Facebook haben oft gravierende Folgen für Betroffene. An der strafrechtlichen Verfolgung von Hacker-Angriffen können die Nutzerinnen und Nutzer, aber auch die Unternehmen selbst ein vitales Interesse haben, denn die Wertschöpfung dieser Big-Data-Anwendungen beruht auf Vertrauen. Gleichzeitig kann Strafverfolgung wegen eines Hacks den Ruf eines Unternehmens auch schädigen. Wer darf eigentlich die Strafverfolgung nach einem Daten-Hack überhaupt in Gang setzen?

Nutzerinnen und Nutzer von Google Plus (G+) und Facebook (FB) erlebten im Jahr 2018 weitreichende Hackingangriffe, im Zuge derer Daten wie Namen, E-Mail-Adressen, Informationen zum Beschäftigungsverhältnis, Geschlecht, aber auch Religion, Qualifikation, Gesprächspartner und Standort an Dritte gelangten. Hacker konnten dadurch in Erfahrung bringen, wer mit wem wie lange kommuniziert hat, welche Interessen die Nutzerinnen und Nutzer haben und diese Informationen in einen Kontext mit Geschlecht, Standort und Qualifikation setzen. Grund waren jeweils Sicherheitslücken in den Schnittstellen (APIs) der sozialen Netzwerke, die für Dritte offenstanden. Google zog daraus unmittelbar Konsequenzen und schloss das soziale Netzwerk G+. FB dagegen suchte zunächst die Sicherheitslücken zu schliessen.

In beiden Fällen sind die Sicherheitslücken sowohl für die Betreiber der sozialen Netzwerke als auch für die angemeldeten Nutzerinnen und Nutzer und nicht zuletzt für viele Big-Data-Anwender gravierend.

Wer ruft nach dem Staatsanwalt ?

Diese Frage stellen sich möglicherweise (auch im Jahre 2019) immer noch die registrierten Nutzerinnen und Nutzer, die vielerlei Hackingangriffe gewöhnt scheinen. Doch das Problem der Hackingangriffe auf Daten ist ein Gravierendes, was sich bei einem Blick auf den Nutzen dieser Daten vergegenwärtigt: Daten sozialer Netzwerke wie Freundeslisten, Standort und Qualifikation u.a. sind die Basis vieler Big-Data-Anwendungen, die aus dieser Datenmenge die Schöpfung neuer Erkenntnisse versprechen.

Personalfrühfluktuationstools errechnen, gespeist mit diesen Daten, welcher Bewerber und/oder Mitarbeiter wann voraussichtlich das Unternehmen wieder verlassen wird. Lohnt es sich, diesen Mitarbeiter einzustellen oder dieser Mitarbeiterin eine kostspielige Weiterbildung zu finanzieren? Meinungsbildungstools wie Cambridge Analytica errechnen auf Basis von Big Data die Wechselfreude des Wählers/der Wählerin. Zudem sind die Artikel einer FB-Timeline oder die Aktivitätsindizes aufschlussreich für Suizidpräventionsangebote, Preisanpassungstools, Werbemassnahmen, Versicherungstarife und sonstige verhaltensbasierte Preisbildungen. Daten sozialer Netzwerke sind nicht zuletzt auch interessant für ermittelnde Kriminalbehörden, die so genannte Pre-Crime-Tools nutzen. An welchem Standort befindet sich der Betroffene wie oft und welche Freunde hat er? Ist diese Region, sind diese Freunde in der Vergangenheit bereits polizeilich auffällig geworden? Auf Grundlage dieser Daten versprechen Pre-Crime-Tools die Verhinderung von Straftaten, bevor sie begangen werden.

Werden diese Daten gehackt und infolgedessen manipuliert, wirkt sich das unmittelbar auf die darauf aufbauenden Big-Data-Anwendungen aus. Die gehackten Daten verändern also die Ergebnisse vieler Big-Data-Anwendungen mit weitreichenden Folgen für die Betroffenen wie für die nutzenden Unternehmen. Die Menge und Echtzeit der Daten verschärfen das Problem: Je grösser «Big Data», desto folgenreicher ein Datenhack. Betroffene und Big-Data-Anwender haben daher ein valides Interesse an einer Strafverfolgung.

Das schweizerische Strafrecht enthält bereits seit einigen Jahren spezielle Tatbestände, die das Hacking, also die unbefugte Datenbeschaffung, das unbefugte Eindringen in ein Datenverarbeitungssystem und auch die Datenbeschädigung unter Strafe stellen.

Wer darf die Strafverfolgung in Gang setzen?

Liegt ein Fall des Hacking vor, ist also ein Dritter beispielsweise unbefugt in ein fremdes Datenverarbeitungssystem eingedrungen, das besonders gegen Zugriff gesichert war, wird die Staatsanwaltschaft nur tätig, wenn ein Strafantrag gestellt worden ist. Jede Person, die durch diese Tat verletzt worden ist, hat nach den allgemeinen Regeln des Strafgesetzbuches das Recht, einen Strafantrag zu stellen und somit die Strafverfolgung in Gang zu setzen.

Sind denn aber die registrierten Nutzerinnen und Nutzer des sozialen Netzwerks und/oder das Big-Data-einsetzende Unternehmen überhaupt strafantragsbefugt? Sie können die Strafverfolgung nur in Gang setzen, wenn sie durch die Tat in ihrer Datenherrschaft verletzt worden sind. Hier liegt das Problem der strafrechtlichen Verfolgung von Hackingangriffen.

Strafrechtlich geschützt werden soll nämlich die Befugnis, über Daten zu verfügen. Oder anders gesagt: Wer die Herrschaft über die Daten hat, darf die Strafverfolgung beantragen. Doch diese Frage ist nach wie vor ungeklärt. Wer ist Herr der Daten? Ist es der datenspeichernde Netzwerkbetreiber oder hat vielmehr der Betroffene die Herrschaft über «seine» Daten? Kann das Big-Data-einsetzende Unternehmen nicht ebenfalls ein zumindest vertraglich gesichertes «Recht an den Daten» für sich reklamieren? Dürfen alle Beteiligten die Strafverfolgung in Gang setzen?

Konträre Interessenlage in Mehrpersonenkonstellationen

Oder steht dem die unterschiedliche, teils sehr konträre Interessenlage in diesem Dreiecksverhältnis zwischen Netzwerkbetreiber, Nutzer und Big-Data-Anwender entgegen? Welcher Betreiber eines sozialen Netzwerks hat schon Interesse an der Veröffentlichung oder öffentlichen Verfolgung seiner unter Umständen zahlreichen Sicherheitslecks? Imageschäden durch Datenhacking zerstören das Vertrauen der Nutzerinnen und Nutzer in das Netzwerk. Dies kann für den Netzwerkbetreiber gravierende Folgen mit sich bringen: Ohne Nutzer keine Daten und ohne Daten wenig Validität der (zu verkaufenden) Big-Data-Anwendungen.

Eine strafrechtliche Verfolgung des Hackers hätte für den Netzwerkbetreiber auch wenig Benefit – wird der Eindringling verurteilt oder nicht, bliebe für den Betreiber, dem in erster Linie daran gelegen ist, die Sicherheitslücke schnellstmöglich zu schliessen, ohne weitere Konsequenzen. Ein Netzwerkbetreiber wird daher in der Regel zunächst ohne öffentliche Verhandlung das Datenleck zu schliessen suchen.

Läge also die Datenherrschaft allein in den Händen der Netzwerkbetreiber, blieben Hackingangriffe der beschriebenen Art mangels Strafverfolgungsmöglichkeiten trotz u.U. gravierender Folgen für inhaltlich Betroffene und Big-Data-Anwender straflos. Die Klärung der Frage nach der Herrschaft über Daten ist damit für die strafrechtliche Verfolgung von Hackingangriffen essentiell.

In a nutshell

Ein strafrechtliches Vorgehen setzt aber den Strafantrag des Verletzten voraus, der nicht notwendig mit den inhaltlich Betroffenen oder Big-Data-Anwendern gleichzusetzen ist. Nur wer die Herrschaft über die Daten hat, darf einen Strafantrag stellen und damit die Strafverfolgung von Datendelikten in Gang setzen.

Zum Projekt

Weiterführende Links

• Projektbeschreibung auf www.nfp75.ch
• Beukelmann «Cyber-Attacken – Erscheinungsformen, Strafbarkeit, Prävention» NJW-Spezial 2017, 376
• Singelnstein, «Predictive Policing : Algorithmenbasierte Straftatprognosen zur vorausschauenden Kriminalintervention», NStZ 2018,1