Das Strafgesetzbuch (StGB) kennt verschiedene Straftatbestände, die im Zusammenhang mit der Nutzung eines Identity- und Access-Managements auftreten können.

Folgende Normen kommen im Zusammenhang mit einem IAM in Betracht:

  • § 202 StGB Ausspähen von Daten
  • § 202 a StGB Abfangen von Daten
  • § 202 b StGB Vorbereiten des Ausspähens und Abfangens von Daten
  • § 303 a StGB Datenveränderung
  • § 303 b StGB Computersabotage

Im Fall des § 202b StGB reicht die Strafandrohung von gefängnisstrafen bis zu einem Jahr oder Geldstrafen. Der § 303b Abs. 4 StGB sieht sogar Haftstrafen von mindestens 6 Monaten bis zu 10 Jahren vor.

Denkbare strafrechtlich relevante Nutzerhandlungen

a) Unbeabsichtigter Zugriff
Es wäre denkbar, dass der Administrator dem Benutzer versehentlich den Zugriff auf Daten eingeräumt hat, auf die der Benutzer überhaupt nicht zugreifen darf, weil es sich z.B. Betriebs- und Geschäftsgeheimnisse oder Personaldaten handelt. Eine Strafbarkeit nach dem StGB scheidet in diesen Fällen aus.

b) Nutzen einer fremden Benutzerkennung
Weiterhin wäre denkbar, dass sich ein Benutzer Zugriff zu Daten verschafft, indem er eine fremde Benutzerkennung nutzt. Eine Strafbarkeit nach § 202 a StGB dürfte gegeben sein, da sich der Benutzer Zugang zu Daten verschafft, die nicht für Ihn bestimmt sind. Er überwindet die Zugangssicherung, denn er nutzt Zugangsdaten, die nicht für Ihn bestimmt sind. Daneben macht sich der Nutzer gemäß § 202 c StGB strafbar. Diese Vorschrift stellt bereits das Verschaffen der fremden Benutzerkennung zur Begehung einer Straftat nach § 202 a StGB unter Strafe.

c) Manipulation der EDV-Anlage bzw. des IAM
Schließlich kommt noch die Möglichkeit in Betracht, dass Täter gezielt das EDV-System des Arbeitgebers manipulieren, um sich unmittelbar Zugriff auf geschützte Daten zu verschaffen.
Eine Strafbarkeit nach § 202 a StGB dürfte gegeben sein, da sich der Benutzer Zugang zu Daten verschafft, die nicht für Ihn bestimmt sind. Er überwindet auch hier die Zugangssicherung. Sofern der Täter bei seiner Manipulation auch noch Daten löscht oder unbrauchbar macht, könnte auch eine strafbare Datenveränderung nach § 303 a StGB oder sogar Computersabotage gemäß § 303 b StGB vorliegen.

Für die Straftatbestände aus dem BDSG klicken Sie bitte hier.

Rechtsanwalt Dipl.-Inform. Dr. jur. Marcus Werner ist Fachanwalt für IT-Recht und Inhaber der Kölner Kanzlei AHW Rechtsanwälte.