Kurzer Nachtrag in Sachen Gerichtsurteil gegen einen IT-Spezialisten, der eine Sicherheitslücke in der Software von Modern Solutions aufdeckte, meldete und veröffentlichte. Der Mann ist inzwischen rechtskräftig zu einer Strafe von 3.000 Euro verurteilt. Wegen des Urteils des OLG Köln vom Juli 2025 hat der Verurteilte über seinen Anwalt eine Verfassungsbeschwerde in Karlsruhe einreichen lassen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Der Modern Solution-Fall
Der kurze Abriss des originären Sachverhalts: Einem IT-Spezialisten, der mit einer Fehlersuche für einen Kunden betraut war, fiel bei der Installation einer (Händler-) Software eine Datenbankverbindung zu einem externen Server auf, bei der die Daten ungesichert übermittelt wurden.
Es handelte sich um einen E-Commerce-Server Server von Modern Solution GmbH & Co. KG, und über die Datenbankverbindung waren persönliche Händlerdaten (Bestellungen, Adressen und auch Kontodaten) von hunderttausenden Kunden für Dritte über das Internet abrufbar bzw. einsehbar (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar).
Der IT-Spezialist meldete das Problem an Modern Solution und ging später, weil die Behebung der Sicherheitslücke nicht zeitnah erfolgte, über den Blog Wordfilter an die Öffentlichkeit.
Das veranlasste Modern Solution zu einer Anzeige; die Staatsanwaltschaft Köln leitete ein Strafverfahren samt Hausdurchsuchung mit Beschlagnahme von Arbeitsgeräten des Beschuldigten ein. Der Vorwurf lautete auf Verstoß gegen § 202a und §205 StGB (Vorbereiten des Ausspähens und Abfangens von Daten, Verwertung fremder Geheimnisse) .
Rechtsprechung abseits der Praxis?
Was folgte, war ein Prozessmarathon, erst vor dem Amtsgericht Jülich, dann vor dem Landgericht Aachen und schließlich vor dem Oberlandesgericht Köln. Nach diversen Verhandlungen vor Gerichten wurde der Entdecker der Schwachstelle erstinstanzlich vom Amtsgericht Jülich auf Grund des "Hackerparagraphen" zu einer Geldstrafe von 3.000 Euro verurteilt (siehe Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024), Urteil 17 Cs-230 Js 99/21-55/23). Der Richter sah in der Verwendung von phpMyAdmin zum Zugriff auf die Datenbank der Modern Solutionen eine strafbare Handlung nach §202a ff. StGB.
Das Landgericht Aachen bestätigte in der Berufungsverhandlung des Urteil des Amtsgerichts. Das Verfahren ging in der Berufung zum Oberlandesgericht Köln, welches das Urteil des Landgerichts Aachen vom 4. November 2024 Ende Juli 2025 bestätigte. Das Urteil des Oberlandesgerichts Köln ist inzwischen rechtskräftig, der IT-Spezialist muss die 3.000 Euro Geldstrafe zahlen. heise hatte Ende August 2025 im Artikel Modern Solution: Verurteilter IT-Experte reicht Verfassungsbeschwerde ein darüber berichtet.
Das Problem des Urteils
Ich selbst bin kein Rechtsanwalt, und bezüglich der juristischen Feinheiten des Prozessrechts eine Nullstelle. Im Artikel Sachstand im "Modern Solution"-Verfahren hatte ich die juristische Bewertung des Falls durch den betreffenden Anwalt angesprochen. Der Anwalt stellt in einem LinkedIn-Beitrag fest, dass man sich über die Gerichtsinstanzen immer weiter von der eigentlichen Rechtsfrage entfernt habe, aber relevante Rechtsfragen ungeklärt geblieben wären. Die Knackpunkte:
- Wenn ein IT-Dienstleister im Rahmen seiner Tätigkeit für einen Kunden eine Sicherheitslücke entdeckt, darf er diese dann überhaupt offenlegen?
- Ist es zulässig, im Zuge der Entdeckung der Sicherheitslücke diese niedrigschwellig zu verifizieren und zu dokumentieren.
Ein weiterer Rechtsanwalt, RA Kramarz, hat in diesem Artikel den Sachverhalt nachgezeichnet und die rechtlichen Fallstricke für den Entdecker von Sicherheitslücken offen gelegt. Wobei die Frage: "Wenn ich eine Sicherheitslücke entdecke, bei der ich potentiell Zugriff auf persönliche Daten erhalte, darf ich dann durch Zugriff verifizieren, dass der Zugriff auch funktioniert?", die das praxisfremde Urteil der Richter aufwirft, nicht mal adressiert wird. Das Gericht führt nach meiner Lesart in seinem Urteil aus, dass bei Entdeckung einer Sicherheitslücke sofort abgebrochen werden muss, um sich nicht strafbar zu machen.
Das nun rechtskräftige Urteil legt nahe, dass ein Entdecker einer Schwachstelle diese nicht meldet – jedenfalls nicht, wenn er klug ist – und nicht als Pentester vom Unternehmen mit der Aufdeckung von Schwachstellen beauftragt wurde. Also Stillschweigen bewahren, um einer potentiellen Strafbarkeit zu entgehen. Der IT-Sicherheitskultur in Deutschland hat man damit juristisch, zumindest in meinen Augen, einen Bärendienst erwiesen.
Novelle des Hackerparagraphen in weiter Ferne
Auf Grund der misslichen rechtlichen Lage wurde von der vorhergehenden Bundesregierung unter Justizminister Marco Buschmann (FDP) eine Novellierung des Paragraphen 203 StGB geplant und es lag sogar ein Referentenentwurf vor. Dieser wollte die Untersuchung von Sicherheitslücken durch Sicherheitsforscher "entkriminalisieren".
heise hatte den damaligen Sachstand im Herbst 2024 in diesem Artikel zusammengefasst. Durch die geplatzte Koalition wurde die Novellierung des §203 a bis c in der vorherigen Legislaturperiode Geschichte, und ob in dieser Legislaturperiode was kommt, steht in den Sternen – ich erwarte da nichts mehr.
Was bleibt, ist die Presse als Relais
Wer aktuell auf eine Schwachstelle stößt und sich nicht dem Risiko des Paragraphen 203 StGB ff. aussetzen, aber nicht schweigen möchte, hat derzeit in Deutschland nur die Möglichkeit sich an die Presse zu wenden. Bei einer Meldung an die Presse kann das Presseorgan Quellenschutz beanspruchen.
Blog-Leser haben dies in der Vergangenheit mehrfach so gehandhabt, indem sie mir (manchmal sogar anonym) die Informationen über die Sicherheitslücke zukommen ließen. Da ich in diesen Fällen nie mit den Details befasst war oder Zugriff auf die betroffenen Systeme hatte, und auch keine Screenshots von Daten oder Details veröffentliche, greifen §203 a-c bei mir nicht – und für die Quelle beanspruchte ich Quellenschutz bzw. kannte die teilweise nicht einmal.
Je nach gelagertem Fall habe ich zur Meldung sogar das BSI oder den zuständigen Landesdatenschutzbeauftragten eingeschaltet. In einigen Fällen, wo es nach meiner Schätzung opportun war, hatte ich auch direkten Kontakt mit den Verantwortlichen in den Unternehmen. Im Anschluss an die Beseitigung der Schwachstelle wurden die Informationen im Rahmen einer verantwortlichen Offenlegung dann im Blog dokumentiert. Es ist aber ein aufwändiges und langwieriges Prozedere.
Verfassungsbeschwerde in Karlsruhe eingereicht
Ein Aktenzeichen für das oben erwartete Urteil des OLG-Köln liegt mir nicht vor. Aber heise hatte Ende August 2025 im Artikel Modern Solution: Verurteilter IT-Experte reicht Verfassungsbeschwerde ein bestätigt, dass durch das OLG-Urteil die Rechtsmöglichkeiten des IT-Experten ausgeschöpft sind. Er muss die 3.000 Geldstrafe sowie die Anwaltskosten zahlen.
Da aber grundlegende Rechtsfragen ungeklärt sind und der Anwalt sich auch über die aus seiner Sicht "merkwürdige" Prozessführung beklagt, hat er für seinen Mandanten eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht eingereicht. Es steht der Vorwurf eines unfair geführten Verfahrens im Raum. Zudem sei durch das Urteil das verfassungsmäßige Recht des Angeklagten auf freie Berufsausübung (Art. 12 GG) eingeschränkt worden.
Das Bundesverfassungsgericht prüft und entscheidet, ob die Verfassungsbeschwerde angenommen und überhaupt Aussicht auf Erfolg hat. Das werden wir erst nach vielen Monaten erfahren. Der Anwalt des Verurteilten drückte im Gespräch mit heise die Hoffnung aus, dass selbst eine Ablehnung durch Karlsruhe Hinweise geben könnten, wie IT-Experten künftig mit gefundenen Sicherheitslücken umgehen. heise geht in obigem Beitrag auf die Ausführungen des Sachverhalts durch den Anwalt ein, und erwähnt die – aus Sicht der Praxis – sehr kruden Ansicht der Richter, dass selbst ein im Quellcode im Klartext abgelegtes Passwort bereits eine "besondere Sicherung" darstellt, also §2023c greift. Bei Sicherheitsforschern gelten feste Zugangsdaten in einer Software dagegen als Sicherheitslücke oder Backdoor, die beseitigt werden muss.
Wird die Verfassungsbeschwerde angenommen, könnte in Sachen "Hackerparagraph" (§203c) eine weitere Klärung durch das Bundesverfassungsgericht erfolgen. Der Fall zeigt erneut, was in Deutschland bezüglich IT schief läuft.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Landgericht Aachen bestätigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle
Sachstand im "Modern Solution"-Verfahren
MVP: 2013 – 2016
Ich hoffe, dass er mit der Beschwerde durchkommt und wieder vernünftiges Arbeiten für IT-Spezialisten möglich wird. Vielleicht gerät er ja dieses Mal an einen IT-kompetenten Richter, der nicht aus Neuland kommt.
Hackerparagraph" (§202c) wurde von Juristen formuliert die keine Ahnung von der Lebenswirklichkeit haben.
Die Paragraphen §202a-c wurden von Abgeordneten des Bundestages und des Bundesrats beschlossen, obwohl Fachleute in den Anhörungen deutlich vor den negativen Folgen gewarnt hatten. Ich erinnere mich dunkel, dass es seinerzeit der CDU/CSU nicht scharf genug gegen "Hacker und Hackerwerkzeuge" im Gesetz gehen konnte. Nichts gegen die Partei an sich, aber die Hackerparagraphen fallen uns, wie prognostiziert, seit Jahren genau wie vorgesehen auf die Füße.
Ich erinnere an den Fall der ranzigen CDU-Wahlkampf-App, wo die Partei Lilith Wittmann dann wegen des ominösen Paragraphen angezeigt hatte, dann aber einen Rückzieher machen musste. Hier mal ein paar Links aus dem Blog als Beleg für "Digitalkompetenz" unserer "ersten" politischen Garden …
Ich bin keiner Partei zugehörig, aber ein tut mir in der Seele weh, wenn ich in nachfolgender Link-Liste wiederkehrend den Namen einer bestimmten Partei lesen. Digitalpolitische Kompetenz einer "Kartoffelschale" – oder wie Oma meinte "diesbezüglich dumm wie Bohnenstroh und unbelehrbar". Denn in jedem Gesetzgebungsverfahren gibt es Anhörungen des Bundestags (meist sogar unter Zuziehung von externem Sachverstand). Wenn es ein Entwurf in das Gesetzgebungsverfahren schafft und angenommen wird, haben vorher einige Leute drüber geschaut. Dass da einzelne Juristen was formuliert haben, greift zu kurz.
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft
CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein
Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Grünen
CDU erneut gerettet – deren NextCloud-Server ist wieder online und gepatcht
Cyberangriff auf das CDU-Netzwerk
BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack?
Digitalkompetenz und Cybersecurity: Neues vom CDU-Hack & nächstes CDU-Datenleck
WebEx-Gate: Versäumnisse der Verantwortlichen, Blamage für Deutschland – und CDU-Hack
Danke für den Schritt. Es wäre traurig, wenn es den anderen Teilnehmern der EUVD ähnlich ergehen würde. :-(
Die, die helfen können das Sicherheitsniveau anzuheben, werden systematisch kriminalisiert. Die Verursacher von data breaches gehen i. d. R. straffrei aus. In Zukunft will dann keiner mehr helfen. Cybersicherheit ist in Deutschland am Ende, verschuldet von denjenigen, die keine Ahnung haben und denjenigen, die ihre Versäumisse und Unkenntnis vertuschen wollen.
Ich bin immer noch der Meinung, dass "Täter" in vielen Fällen einfach zu wenig machen um den Hersteller/Anbieter zu kontaktieren. Ich denke das fällt den Meldenden dann auch richtig auf die Füße, weil man eben nicht über Wochen 20x Anrufversuche, Mails an diverse Stellen vorweisen kann. Je nach Betrachtungsweise ist das auch ziemlich unklug, weil je mehr Kontaktversuche umso peinlicher wird es später für den Hersteller.
Auf der anderen Seite ist es teilweise nahezu unmöglich irgendwas an einen großen Hersteller/Anbieter zu melden. Das ist eigentlich ein großer Skandal. Man muss ja davon ausgehen, dass jeder Kunde/DAU ein Problem finden kann und dann muss es einen Meldeweg geben. Der sollte nicht zu einfach sein, aber es muss irgendwie einfach gehen. Theoretisch kann jedes gefundene Problem zeitkritisch sein.
Das sollte alles nicht Problem des Meldenden sein, aber man sollte schon sicherstellen, dass die Info auch ankommt. Die 0815 Antworten vom Support kann man halt auch nicht ernst nehmen, meiner Meinung nach.
Dann gibt es beim Sachverhalt noch sehr viele Probleme und mögliche Abläufe, da braucht es einfach eine Blaupause und eine Rechtsgrundlage. Ich hab schon mal erwähnt, dass man sich ja einfach beim BSI oder so melden/registrieren könnte. Das Meldungen grundsätzlich darüber abgeschickt werden. Darüber dann ggf. auch das Recht erwirbt noch mal zu testen. Das das Ganze mit Aufwand verbinden sein wird, ist klar. Einfach mal Nachts mal bissel was hacken, ist nicht. Das sollte man dann schon dokumentieren.
Man kann weder Sicherheitslücken und Bugs an Unternehmen melden. Theoretisch kann auch "jeder" Bug eine Sicherheitslücke sein. Hier gibt es auch keine Meldeplattform…. Wäre auch interessant für Kunden, wenn man Bugs bei Geräten irgendwo zentral melden und einsehen könnte.
stellt sich halt die Frage wie man ein Unternehmen korrekt informieren will/soll.
erfahrungsgemäß trudeln über die Adressen die im Impressum stehen tausende Mails am Tag ein, das tagtäglich zu filtern und dann an eine adäquate Stelle und das auch noch weiterzuleiten stelle ich mir schwierig vor.
Es gäbe die Möglichkeit, eine security.txt mit den relevanten Kontaktinformationen auf der Webseite abzulegen – habe ich für meine Blogs aber auch nicht gemacht.
Das sind halt Themen, die man mal ansprechen müsste.
Ich stimme dir zu, dass z.B. über das Impressum viele Mails eingehen und dazu noch Spam. Der Meldeweg ist vermutlich für zeitkritische Sachen grundsätzlich nicht geeignet, weil du halt immer eine Verzögerung hast.
Was man hier aber erwarten kann/darf, dass das Unternehmen in der Lage ist Mails intern weiterzuleiten. Was oft schon daran scheitert, dass es irgendwelche Dienstleister sind… Das ist ein Zustand, der gar nicht geht.
Man muss hier aber auch davon ausgehen, dass mal was versackt.
Man kann ja durchaus mehrere Wege anbieten. Wie von Günter angesprochen, es gibt die security.txt. Für Deutsche könnte man evtl. über den Ausweis und BSI einen Fall eröffnen, der direkt durch geht. Vielleicht kann man auch den CCC ermächtigen, dass die Sachen direkt weiterleiten.
Das Problem wird weniger bei den "Sicherheitsexperten" sein, sondern normale Leute die was melden wollen. Wie gesagt, das ganze Thema "Bugs" ist ja auch so ein Punkt. Hier bekommst du dann richtig Probleme, einmal weil viel "Mist" gemeldet wird was keine Bugs sind und die Art wie gemeldet wird. Ich bin aber auch der Meinung, dass Bugs durchaus für Sicherheitsexperten und auch andere Akteure interessant sind. Ich denke hier eher an Mängel…
Genau das bietet doch der CCC an, relay spielen.
siehe https://www.ccc.de/disclosure
Betr. "Auf der anderen Seite ist es teilweise nahezu unmöglich irgendwas an einen großen Hersteller/Anbieter zu melden.":
Naive Frage, auch weil ich zu faul bin, zu graben: Gibt es denn keine Rechtsgrundlagen, durch welche zuverlässige Kanäle etabliert resp. vorgeschrieben sind? Ich denke da bspw. an Kontaktdaten von betrieblichen Datenschutzbeauftragten, Landesdatenschutzbeauftragten oder Aufsichtsbehörden (abseits des Datenschutzes) aus dem Internetimpressum (exkl. Adressen der Art info@… oder kundendienst@…).
"Gibt es denn keine Rechtsgrundlagen, durch welche zuverlässige Kanäle etabliert resp. vorgeschrieben sind?"
nein :-) Natürlich, in Sachen Datenschutz hast du i.d.R. einen Datenschutzverantwortlichen und viele große Firmen haben auch Security Report Möglichkeiten (irgendwo). Für deutsche Firmen sehe ich weniger ein Problem, sobald es aber um große Firmen geht die nicht mal in Deutschland ansässig sind. Du musst die Kontakte auch erst finden UND das Problem sollte dann auch zum Ansprechpartner passen.
-Bei wirklichen Leaks, die sowohl Datenschutz als auch Sicherheit betreffen, hast du "NUR" das Problem die richtigen Kontakte zu finden. Das ist schon unnötig kompliziert und versteckt, sofern man es findet. Der normaler Nutzer wird gar nicht solche Ideen haben. Da sehe ich in in Deutschland bei kleinen Firmen weniger als Problem.
ABER: Du weiß ja auch nicht immer was du vor dir hast.
-Es gibt kein klar ersichtliches Problem, es ist nur Vermutung/Gefühl oder man hat eine Frage…
-Es ist kein offensichtliches Sicherheitsproblem, sondern erstmal nur ein Bug. Das kann man thematisch weder an den Datenschützer noch über SecurityReport melden. Du kannst es aber auch NICHT über den Support melden, weil oft versackt das dort auch. In dem Fall könnte man dann wieder die Pressestelle mit informieren.
Da sprechen wir nicht mal von normalen Nutzern. Ein normaler Nutzer wird über den normalen Supportweg getunnelt und die Meldung geht beim Support verloren. Es ist teilweise auch üblich, dass man beim Support bei regulären Problemen mehrmals nachfragen muss was jetzt der Stand ist.
In so einer Umgebung kann man aus meiner Sicht keine Probleme melden. Es ist nichts Standardisiert, ggf. schickt man was über ein Formular ab und hat keinen Nachweis was verschickt wurde (sofern man überhaupt mehr als 200 Zeichen schreiben kann).
Zu meiner Zeit in einem großen deutschen Unternehmen hat man die interne Telefonzentrale abgeschafft und den Job zum Empfang gegeben.
Da kannst du dir ja vorstellen, was die Empfangsdamen und -herren der externen Security-Firma für Probleme hatten, den richtigen Ansprechpartner im Unternehmen mit tausenden Mitarbeitern zu finden.
Alles, was irgendwie nach IT klang, kam dann gerne zu mir, obwohl oft ganz andere Ansprechpartner, z. B. im Vertrieb, dafür zuständig waren, die auch ich nicht kannte. Sehr professionelle Außenwirkung …
Richtig so – niemals aufgeben – und gegen das "OLG Köln" sowieso nicht … wenn der Mann Spenden braucht (über Sie dann), sag' Bescheid.
An Spenden dachte ich auch, Frage hierzu: Kann man auf Postdienststellen 20 Euro anonym in bar auf ein bekanntgegebenes Spendenkonto einzahlen? Oder steht dem Rechtliches bzw. allfällig fehlendes Wohlwollen im Einzelfallermessen des Schalterpersonals entgegen?
Da dürfte das Geldwäschegesetz greifen und es muss ersichtlich sein, von wem die Zahlung kam.
Jedem der so etwas findet ist besser beraten die Lücke zu verkaufen statt zu melden. Danach bist noch vorbestraft und hast Probleme eine Arbeitstelle zu finden.
In die Richtung dachte ich auch gerade. Wenn ich strafrechtlich verurteilt werde, weil ich guten Willens und kostenlos den "Inhaber" einer Sicherheitsheitslücke darüber informiere, kann ich das Risiko einer Verurteilung auch in Kauf nehmen, indem ich die Lücke an Kriminelle verkaufe.
Klar ist die zu erwartende Strafe dann deutlich höher, aber die Justiz muss mich überhaupt erst einmal als Beteiligten identifizieren und statt 0 € habe ich potentiell ein kleines Vermögen verdient.
Dieserart Urteile sind so unglaublich dumm. Eigentlich müsste das Unternehmen mit der Lücke bestraft werden:
– für die Lücke selbst, wenn sie grob fahrlässig ist (keine Verschlüsselung zu verwenden fällt IMMER in diese Kategorie!)
– für die Ignoranz gegenüber der meldenen Person und der damit einhergehenden zeitlichen Verschleppung des Sicherheitsvorfalls
– für unnötige in Anspruchnahme der Justiz, denn in so einem Fall schließt man die Lücke, dankt dem Entdecker und hält ansonsten schön brav die Füße still
Das kann doch alles nicht so schwer sein!
Betr. "kann ich das Risiko einer Verurteilung auch in Kauf nehmen, indem ich die Lücke an Kriminelle verkaufe.":
Mit Verlaub – red' doch kein' Scheiss! Hier ist kein Kleinganovenforum. Diese Deine Denke ist asozial. Ich sage Dir was Du kannst: die Füsse stillhalten.
Oh, ein gar wild schnaubender Hutbürger?
Bitte mal an der Lesekompetenz arbeiten, dann sollte recht schnell klar werden, dass es weder meine Meinung ist, noch ich jemandem empfohlen habe, strafbare Handlungen zu begehen.
Für gewöhnlich wird hier doch auf einem etwas elaborierteren Niveau diskutiert.
Verstehe ich nicht. Ist denn der Verkauf von Sicherheitslücken nicht auch strafbar?
Doch, ist er – § 202c StGB. Du hast den Gedanken nur nicht vollständig erfasst: Wenn man dafür kriminalisiert wird, dass man Sicherheitslücken an den Betreiber meldet *und dafür auch nichts bekommt*, dann ist es stattdessen rational, die Sicherheitslücke nicht zu melden, sie zu verkaufen und gleichsam kriminell zu werden.
Dazu kommt noch, dass das Strafmaß für den 202a höher ist als für den 202c.
war das nicht der, der als die Firma nicht reagierte abgezogene Daten öffentlich machte?
Ist halt auch nicht korrekt!
Tja, auf Unrecht mit Unrecht zu antworten wandelt eben nicht zu Recht!
Der Rechtsstaat hat schlicht versagt. Vor allem die Gerichte.
Es werden nicht immer neue Gesetze benötigt. Es reicht die Vorhandenen zu nutzen.
Zur von Günter aufgeworfenen Frage :" Wenn ein IT-Dienstleister im Rahmen seiner Tätigkeit für einen Kunden eine Sicherheitslücke entdeckt, darf er diese dann überhaupt offenlegen?"
In einem Szenario nimmt man z.B. an, dass der Dienstleister die Lücke nicht offenlegen darf und die Verurteilung gem. dem Hacker Paragraphen richtig war.
Dann hätte die Staatsanwaltschaft eigentlich sofort tätig werden müssen.
Der Dienstleister hat Modern Solution vorher informiert und die Lücke nicht einfach offengelegt. Wenn Staatsanwaltschaft und Gerichte daran interessiert wären, könnte man grob fahrlässiges Verhalten und sogar Schaden nachweisen.
Auch einen LKW lässt die Polizei nicht mit defekten Bremsen weiterfahren, bis es zum Unfall kommt.
Wenn man dieses grob fahrlässige Verhalten nachweisen kann, dann könnte man Modern Solution irgendwann auch als Verursacher der Offenlegung sehen.
Wenn die Staatsanwaltschaft und/oder das Gericht nach dem AG Urteil tätig geworden wären, dann wäre es nie zu dem Urteil beim OLG gekommen.
Die Staatsanwaltschaft muss eigentlich bei öffentlichem Interesse tätig werden.
Das Problem ist also nicht in erster Linie der Hackerparagraph sondern dass sich Gerichte und Staatsanwaltschaft die Gesetze und das öffentliche Interesse aussuchen, was sie befolgen wollen.
Beim Richter heißt so etwas z.B. "freie Beweiswürdigung".
"Dann hätte die Staatsanwaltschaft eigentlich sofort tätig werden müssen.
[…]
Auch einen LKW lässt die Polizei nicht mit defekten Bremsen weiterfahren, bis es zum Unfall kommt.
Wenn man dieses grob fahrlässige Verhalten nachweisen kann, […]"
Njääh, erstmal würde das eben die Kenntnis eines zu ahndenden "Tatbestands" voraus setzen, den ja aber eigtl. nach aktueller Rechtslage die jeweilige Ermittlungsinstanz noch gar nicht haben kann und dann ist da ganz schön viel konjunktive "wenn"-Abhängigkeit. 🧐
Zuerst ist der Dienstleister vom Vertragspartner engagiert und hat seine Interessen priorisiert zu bedienen, nicht die der Allgemeinheit – dazu gehört dann auch die mögl. Geheimhaltung bestimmter Sachumstände/-vorgänge, solang' sie nicht offenkundig gegen die zumutbar bekannten Gesetze verstößt. 🤷♂️
Das Problem entsteht, weil alle Gesetze von einer grundsätzlichen Freiwilligkeit zur Befolgung ausgerichtet sind – auch die der selbstständigen Behebung falscher Zustände – und sich daraus eigtl. ja auch richtigerweise die Unschuldsvermutung rechtfertigt, aber mittlerweile ist das durch immens unverhältnismäßigen Mißbrauch ins Gegenteil pervertiert und dsh. filtern eben auch die zuständigen Behörden das "öffentliche Interesse". 🙄
Zitat :" Njääh, erstmal würde das eben die Kenntnis eines zu ahndenden "Tatbestands" voraus setzen, den ja aber eigtl. nach aktueller Rechtslage die jeweilige Ermittlungsinstanz noch gar nicht haben kann und dann ist da ganz schön viel konjunktive"
Wenn ein AG Urteil ergangen ist, dann ist der Tatbestand bekannt.
Zwischen AG Urteil und OLG Urteil hätte die Staatsanwaltschaft also genügend Zeit für die Ermittlung. Das schrieb ich ja.
Welcher Tatbestand war der Staatsanwaltschaft also nicht bekannt ?
Zitat :"Zuerst ist der Dienstleister vom Vertragspartner engagiert und hat seine Interessen priorisiert zu bedienen, nicht die der Allgemeinheit – dazu gehört dann auch die mögl. Geheimhaltung bestimmter Sachumstände/-vorgänge,"
Der Vertragspartner war aber nicht Modern Solution sondern der Auftraggeber des Dienstleisters.
Welche Geheimhaltung des Auftraggebers wurde also verletzt ?
Geheimhaltungspflicht gegenüber einem Dritten (hier Modern Solution) ? Aha.
"Vor Gericht und auf hoher See bist du in Gottes Hand."
Die schnelllebige IT-Welt ist immer noch nicht in den rechtlichen Instanzen angekommen. Und die Begriffe sind für alle ein Problem, da braucht man keine Urteile, ist eine Schande hoch drei!
Hoffentlich kann bei sowas endlich ein Präzidentsfall geschaffen werden.
Schlimm genug, wenn man sich so fühlt, dass man seine Unschuld beweisen muss…
"Schlimm genug, wenn man sich so fühlt, dass man seine Unschuld beweisen muss…"
Wo ist das denn mittlerweile nicht so – die immer propagierte "Unschuldsvermutung" ist in unserem Rechtssystem faktisch nicht mehr vorhanden und wird überall juristisch gekonnt ignoriert.
Eigentlich ist die Konsequenz, entdeckte Lücken an jemanden weiterzugeben, der maximalen Schaden anrichten wird. Denn offenbar kann die Lernkurve nur durch echte Schmerzen mal aus der Waagrechten ausbrechen.
Und viel Arbeit spart man sich damit auch….
Und Geld kann man damit auch viel besser verdienen.