Dienst-Laptop: Beamter löscht Daten, Staatsanwalt beantragt Haftstrafe (Spiegel Online, 16.5.2011)
Dienst-Laptop
Beamter löscht Daten, Staatsanwalt beantragt Haftstrafe
Darf man E-Mails und Dateien auf dem Dienst-Laptop löschen? Ein Beamter schredderte vor Rückgabe seines Rechners mehrere Hundert Dateien – ein Staatsanwalt beantragte zur Strafe neun Monate Haft auf Bewährung. Schließlich einigte man sich auf eine Geldbuße.
Spiegel Online, 16.5.2011
{jumi [*3]}
Die Geschichte beginnt ganz alltäglich: Ein Beamter, nennen wir ihn Herr P., wechselt beim Land Thüringen zu einer anderen Dienststelle, er muss seinen Dienst-Laptop zurückgeben. Herr P. löscht Dateien, private und auch dienstliche, und zwar mit dem kostenlosen Programm “Secure Eraser”, das Daten mehrfach überschreibt und so die Wiederherstellung verhindern soll, das sie zumindest ganz erheblich erschwert.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt “Secure Ersaser” in seiner Anleitung zum “richtigen Löschen”. Weil Herr P. dieses Werkzeug genutzt hat, leitet die Staatsanwaltschaft Erfurt 2010 ein Ermittlungsverfahren gegen ihn ein. Nicht auf Antrag des Arbeitgebers, sondern von sich aus, weil ein “öffentliches Interesse an der Strafverfolgung” bestehe.
Die Staatsanwälte schalteten sich wohl ein, weil gegen den Angeklagten wegen eines anderen Vergehens Vorermittlungen liefen, es ging um Wettbewerbsbeschränkende Absprachen bei Ausschreibungen. Allerdings hat die Staatsanwaltschaft in diesem Fall bis heute keine Anklage erhoben. Laut mehrerer mit dem Vorgang vertrauter Personen bei der Justiz wird die Staatsanwaltschaft das Verfahren wohl bald einstellen. Die Vorermittlungen haben vermutlich nicht genügend Anlass zur Klageerhebung geliefert. Was blieb, war das andere Verfahren.
Nach Abschluss der Ermittlungen beantragte die Staatsanwaltschaft beim Amtsgericht einen Strafbefehl: Zu neun Monaten Freiheitsstrafe auf Bewährung sollte das Gericht den Beamten verurteilen. Nicht wegen angeblicher Mauscheleien, sondern weil er die Dateien von seinem Dienstrechner gelöscht hat. Um eine umfassende und kostspielige Auswertung der beim Arbeitgeber vorhandenen und der gelöschten Daten zu vermeiden – der Ausgang ist ungewiss – akzeptiert der Verteidiger des Angeklagten letzten Endes auf eine Einstellung des Verfahrens. Dafür zahlt der Beschuldigte 2000 Euro Geldbuße.
Ein Gesetz von 1986 regelt, welche “Datenveränderung” strafbar ist
Das Verfahren zeigt sehr anschaulich die Probleme bei der Formulierung und Anwendung von Gesetzen im IT-Umfeld. Die Staatsanwaltschaft hat Herrn P. wegen “Datenveränderung” angeklagt. Diesen Straftatbestand definiert Paragraf 303a des Strafgesetzbuchs so:
“Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.”
Verabschiedet wurde dieses Gesetz 1986, zu einer Zeit, als gerade der erste tragbare Computer entwickelt wurde. Schon seit 1978 hatten diverse Referenten und Bundesregierungen am 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität gearbeitet.
Weil Gesetze unabhängig von aktuellen Entwicklungen über längere Zeiträume hinweg gelten sollen, sind sie abstrakt formuliert. Die Gefahr: Manchmal ist die Beschreibung so schwammig, dass nicht so ganz klar ist, was nun eigentlich strafbar ist. Dies ist hier der Fall, argumentiert der Jurist Martin Weigel in einem Beitrag für das Fachmagazin “c’t”.
In der Tat: Beim Straftatbestand “Datenveränderung” denkt ein juristischer Laie erstmal an Hacker, die in fremde Rechner eindringen, nicht an Mitarbeiter, die auf ihren Dienstrechnern Daten löschen. Den Eindruck bestätigt der Freiburger Jurist Stefan Ernst, der den Paragrafen in einer Abhandlung zur Strafbarkeit von Hacking und Computerviren kommentiert hat; “Bei 303a geht es in der Regel eher um Fälle, bei denen Menschen von außen in Computersysteme eindringen und Schaden anrichten. Solche Fälle standen beim Gesetzgebungsverfahren auch im Mittelpunkt.”
Datenschreddern als Sachbeschädigung
Aber, schränkt Ernst ein, das bedeute keineswegs, dass “nicht auch Arbeitnehmer, die Daten auf Dienstgeräten löschen, gegen diesen Paragrafen verstoßen können.” Denn wie ein Gesetz angewendet und ausgelegt wird, entscheidet sich erst in der Rechtsprechung.
So ungewöhnlich es klingen mag, den Straftatbestand von 303a kann das Löschen von Daten auf dem Dienstgerät durchaus erfüllen, wenn jemand dienstliche Daten mit einem Schredder-Programm löscht. Jurist Ernst: “Das ist mit einer Sachbeschädigung vergleichbar.”
Den Erfurter Fall taugt wegen vieler Besonderheiten nicht als Präzedenzfall. Entscheidende Fragen wurden vor Gericht nicht geklärt. Zum Beispiel: Welche Dateien wurden eigentlich im Detail gelöscht? Welche davon lagen als Kopie auf dem Server des Arbeitgebers vor? Gab es eine klare Dienstanweisung, was wann zu löschen sei und was nicht? Eine Dienstanweisung besagte offenbar, dass nur E-Mails gelöscht werden durften, die zuvor ausgedruckt und abgeheftet worden waren. Der Arbeitgeber des Angeklagten hatte zwar eine Liste der Namen der gelöschten Dateien wiederherstellen können. Beim Amtsgericht heißt es, die Liste habe mehrere Hundert private und dienstliche Dateien umfasst, und zwar nicht nur E-Mails. Doch was für welche genau?
Vielleicht hat der Datenlöscher also korrekt gehandelt – sollte er nur Dateien gelöscht haben, die auch auf dem Behördenserver gespeichert waren. Das wurde aber vor Gericht gar nicht mehr überprüft. Das Unterfangen, die Dateiliste mit den Akten in der Behörde abzugleichen, hätte einen enormen Aufwand und zusätzliche Kosten mit sich gebracht. Der Staatsanwalt und der Verteidiger des Angeklagten einigten sich auf die Einstellung des Verfahrens, der Beschuldigte zahlt das Bußgeld.
Es ist unklar, was Arbeitnehmer löschen dürfen
Über “die entscheidenden Dinge” wurde nicht gesprochen, resümiert der Jurist Weigel den Fall. Es ist unklar, was ein Mitarbeiter auf Dienstrechnern löschen darf, ohne gegen den Datenveränderungs-Paragrafen zu verstoßen: E-Mails? Digitale Faxnachrichten? Vorab-Versionen von Präsentationen? Entwürfe von Zwischenberichten?
Diese Frage wird auch wohl so bald kein Gericht beantworten. Denn Verfahren wie das in Erfurt sind sehr selten. Wegen Datenveränderung wurde ohne Antrag wohl nur deshalb ermittelt, weil es ein anderes Verfahren gab. Diese Vorermittlungen führen aller Wahrscheinlichkeit nach ins Nirgendwo, die 2000 Euro wegen gelöschter Dateien muss der Angeklagte dennoch zahlen. Ohne dass geklärt wurde, ob er sich überhaupt strafbar gemacht hat. Die Alternative: Der Angeklagte riskiert, dass er mehr Anwaltsgebühren bezahlen muss und vielleicht letzten Endes dann doch wegen Datenveränderung verurteilt wird.
Der Jurist Stefan Ernst rät Arbeitnehmern deshalb, auf eine klare Anweisung zu drängen, die regelt, welche Daten wann gelöscht werden dürfen, wie gesichert werden muss, ob eine private Nutzern erlaubt ist. Wenn es solche Regeln nicht gibt, rät Ernst: “Wenn Sie sich fragen, ob das, was sie tun, in Ordnung ist, sollten sie es nicht tun, ohne das genauer zu klären. Wie ein Dienstlaptop genutzt wird, bestimmt der Arbeitgeber.”