Bei einem Beschluss des Oberlandesgerichts Karlsruhe vom 10. Januar 2005 ging es um die Frage, ob die Überwachung und Filterung von E-Mails strafrechtlich relevant ist. Ein wissenschaftlicher Mitarbeiter hatte gegen einen entsprechenden Prüfungsbescheid vor dem Verwaltungsgerichtshof geklagt.
Nachfolgend finden Sie die Fortsetzung des oben beschriebenen und bereits im ersten Teil dieser Serie thematisierten Schadenfalls sowie weitere Urteile, die erhebliche praktische Relevanz haben.
Fortsetzung Teil 1
…Gegen diese Auffassung der Generalstaatsanwaltschaft wandte sich der wissenschaftliche Mitarbeiter und beantragte eine gerichtliche Entscheidung. Sie erging in seinem Sinne: Das Oberlandesgericht Karlsruhe verweist in seinem Urteil in dieser Sache darauf, dass die Einleitung eines Ermittlungsverfahrens wegen des Verdachts der Verletzung des Post- und Fernmeldegeheimnisses zu Unrecht verweigert wurde.
Zwar seien in einigen Punkten noch Sachverhalte aufzuklären, so die Richter. Allerdings könne nicht generell insoweit eine Strafbarkeit abgelehnt werden. Im Gegensatz zur Generalstaatsanwaltschaft wird der Begriff des Unternehmens in § 206 StGB weit gefasst, so dass dieser auch auf Hochschulen anzuwenden ist. Das Oberlandesgericht verweist in diesem Zusammenhang darauf, dass die strafrechtliche Vorschrift nicht nur für unverschlossene Postsendungen, sondern für jede Form der dem Fernmeldegeheimnis unterliegenden Telekommunikation gilt.
Damit sind auch E-Mails erfasst. Eine E-Mail wird dann unterdrückt, wenn durch technische Eingriffe in den technischen Vorgang des Aussendens, Übermittelns oder Empfangs von Nachrichten mittels Telekommunikationsanlagen verhindert wird, dass die Nachricht ihr Ziel vollständig oder unverstümmelt erreicht. Dies betrifft also jede Art der Filterung.
Wichtig ist die Frage, ob dies unbefugt erfolgt. Die Befugnis kann sich zunächst aus einem ausdrücklichen Einverständnis ergeben. Das Einverständnis kann aber nur dann von Bedeutung sein, wenn es von allen an dem konkreten Fernmeldevorgang Beteiligten erteilt wird. Dies war in dem Fall des wissenschaftlichen Mitarbeiters nicht der Fall. Als weitere Rechtfertigungsgründe für eine Filterung kommen nur gesetzliche Vorschriften in Betracht.
Ob allerdings allgemeine Rechtfertigungsgründe greifen können, bezweifelt das Oberlandesgericht. Nach Auffassung der Richter kann es unter Umständen gerechtfertigt sein, eine E-Mail herauszufiltern, wenn sie mit Viren behaftet ist, so dass bei deren Verbreitung Störungen oder Schäden der Telekommunikations- und Datenverarbeitungssysteme eintreten. Allerdings ist hier der Verweis auf die Umstände sehr bedeutend und als einschränkend festzustellen. Da in dem zu entscheidenden Fall etwaige Anhaltspunkte nicht vorlagen, musste zunächst von einem unbefugten Filtern ausgegangen werden. In jedem Fall fordert das Oberlandesgericht einen konkreten Anlass, da andernfalls nicht von einer Berechtigung zur Filterung von E-Mails ausgegangen werden kann.
Filtern von E-Mails ohne Einverständnis unzulässig
Dieses Urteil bedeutet in der Praxis, dass eine Spam- und Virenfilterung sowie eine Filterung von E-Mails ohne Regelung im Arbeitsvertrag oder ohne ausdrückliches Einverständnis strafrechtlich relevant ist. Die Verantwortlichen können in einem solchen Fall wegen Verletzung des Post- und Fernmeldegeheimnisses belangt werden.
Darüber hinaus ist zu bedenken, dass bei einer privaten E-Mail-Nutzung nach den telekommunikationsrechtlichen Vorschriften ein Unternehmen Telekommunikationsanbieter wird. Dies bedeutet erhöhte Sicherungsanforderungen an die Telekommunikation und auch an die datenschutzrechtlichen Maßnahmen zur Sicherung des Fernmeldegeheimnisses.
Erhebliche Bedeutung für die Praxis hat auch die Entscheidung des Oberlandesgerichtes Hamm vom 01.12.2003 (Az.: 13 U 133/03). Dabei ging es um die Frage der Schädigung durch einen IT-Dienstleister beim Austausch einer Festplatte. In seinen rechtlichen Ausführungen verweist das Gericht auf folgende Eckpunkte:
- Das geschädigte Unternehmen habe nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese grob vernachlässigt.
- Die Sicherung der Unternehmensdaten hätte täglich erfolgen müssen, die Vollsicherung mindestens einmal wöchentlich.
- Es ist grob fahrlässig (blauäugig), wenn der nach dem Absturz festgestellte Stand der Komplettsicherung dem Stand vier Monate vor den Wartungsarbeiten entsprach.
Das bedeutet: Selbst wenn dem IT-Dienstleister die Verletzung der Kontrollpflichten vor dem Austausch einer Festplatte nachgewiesen werden kann, liegt ein überwiegendes Mitverschulden des geschädigten Unternehmens vor, wenn es den nach fachlicher Einschätzung erforderlichen Sicherungsroutinen zuvor nicht nachgekommen ist.
Im genannten Fall ging es um die Frage, wer die Kosten für eine Rekonstruktion der verloren gegangenen Daten zu tragen hat. Aufgrund dieser Entscheidung wird durchaus die Auffassung vertreten, dass der Auftraggeber selbst bei dilettantischen Wartungsarbeiten damit hätte rechnen müssen, dass er für die Schäden der Wartungsarbeiten durch den Datenverlust selbst aufkommen muss.