RSS FeedsTwitterEnglish Version
Spionage
Urteil

Datenklau im Bundesgesundheitsministerium: BGH mildert Urteile

Datenklau im Bundesgesundheitsministerium
Datum06. Februar 2021

E-Mail-Postfächer hochrangiger Ministeriumsmitarbeiter ausgespäht

Dem IT-Administrator Christoph H., der für den IT-Branchenriesen Bechtle extern im Bundesgesundheitsministerium tätig war, wurde vorgeworfen, im Auftrag des Pharma-Lobbyisten Thomas Bellartz gezielt die E-Mail-Postfächer hochrangiger Ministeriumsmitarbeiter ausgespäht und anschließend an diesen verkauft zu haben. Nach Informationen der Süddeutschen Zeitung gehörten zu den ausgespähten Postfächern auch die der ehemaligen Gesundheitsminister Philipp Rösler und Daniel Bahr. Dabei war es insbesondere um Entwürfe und Entwicklungen in für die Branche relevanten Gesetzgebungsverfahren gegangen. Für die so verschafften Informationen soll der System-Administrator 26.550€ vom Lobbyisten erhalten haben. Letzterer ist dabei kein Unbekannter, sondern als ehemaliger Leiter der Pharmazeutischen Zeitung, ehemaliger Pressesprecher der Bundesvereinigung Deutscher Apothekenverbände und u.a. Betreiber seines eigenen Branchendienstes Adhoc bestens vernetzt.

Der Verdacht eines Datenlecks kam unter anderem auf, als Informationen zur Arbeit an der Novelle der Apothekenbetriebsordnung öffentlich wurden, die als Verschlusssache eingestuft waren. Daniel Bahr, damals amtierender Bundesgesundheitsminister, stellte Strafanzeige. Wie der Tagesspiegel berichtet, soll die Ex-Frau von Christoph H. einen anonymen Hinweis gegeben haben. Die Ermittler fanden heraus, dass einer der Angeklagten meist dreistellige Beträge von seinem Konto abgehoben hatte, die kurz darauf auf dem Bankkonto des anderen Angeklagten eingezahlt wurden. Am 20. November 2012 durchsuchten Ermittler des Kommissariats 335 ("Cybercrime") das Dienstzimmer 262 des Bundesgesundheitsministeriums. Der sich dort befindende Christoph H. wurde in Handschellen abgeführt. Zur gleichen Zeit durchsuchten Beamte die Räume seiner Wohnadresse und stellten schließlich vier Computer, drei Mobilfunktelefone, elf Festplatten, 232 DVDs, Speichermedien sowie Umschläge mit 15.000 Euro Bargeld sicher.

Das Verfahren am Landgericht Berlin

Am ursprünglichen Verfahren am Landgericht Berlin wurde zwar zuvor in mehr Fällen ermittelt, nach Teileinstellung gemäß § 154 Abs. 2 StPO waren jedoch nur noch zwei Fälle (Fall 28 und Fall 40) aus dem Jahr 2012 Grundlage der Verurteilung. In diesen sah es das Gericht im ursprünglichen Verfahren (LG Berlin 10. April 2019 Az: 222 Js 1953/12 (501 -) (39/13)) als erwiesen an, dass die zwei Angeklagten Daten aus dem Bundesgesundheitsministerium mit der Absicht ausgespäht haben, einen Informationsvorsprung bzgl. gesundheitspolitischer Entwicklungen zu erzielen. Dafür folgten sie laut Überzeugung des Gerichts einem gemeinsamen Tatplan.

Im Rahmen dessen verschaffte sich Christoph H. seit dem Jahr 2009 als Systemadministrator des externen, im Ministerium tätigen IT-Dienstleisters Bechtle unter Ausnutzung systemischer Sicherheitsmängel unrechtmäßig Zugriff zu persönlichen E-Mail-Konten hochrangiger Mitarbeiter des Ministeriums, einschließlich des Bundesgesundheitsministers und dessen Staatssekretären, und schöpfte die in diesen gespeicherten Dateien (z.B. Entwürfe von Gesetzen und Verordnungen) ab. Danach verkaufte er die so kopierten Daten an Thomas Bellartz, der diese dann im von ihm betriebenen Online-Branchenportal Adhoc publizierte. Gemäß § 202a StGB hat das Landgericht das Ausspähen der E-Mail-Accounts als gemeinschaftlich gewertet und darüber hinaus gemäß § 202a Abs. 1 StGB eine Überwindung der Zugangssicherung durch die Angeklagten festgestellt.

Bei der Höhe der Strafen wurden die Verzögerung des Verfahrens und die defizitären Datenschutzmaßnahmen im Ministerium strafmildernd berücksichtigt, während sich die Tragweite der Taten erschwerend auswirkte: Die abgeschöpften Daten enthielten unter anderem Informationen zu  einer Novellierung der Apothekenbetriebsordnung, einem Entwurf des Arzneimittelneuordnungsgesetzes, Verhandlungsergebnisse zu Erstattungsbeiträgen bestimmter Medikamente, Honorarverhandlungen mit der Kassenärztlichen Bundesvereinigung und den gesetzlichen Krankenversicherungen und zur Einführung einer Pauschalvergütung für die Nacht- und Notdienste von Apotheken.

Gegen Thomas Bellartz verhängte das Landgericht eine Geldstrafe in Höhe von 300 Tagessätzen zu je 220€ (Gesamthöhe 66.000 €), wobei davon 60 Tagessätze als bereits vollstreckt galten, was einer Reduktion auf 52.800€ gleichkommt. Gegen Christoph H., der ebenso wegen eines Wohnungseinbruchs und des Besitzes von Kinderpornografie verurteilt wurde, verhängte das Gericht eine Freiheitsstrafe von einem Jahr und elf Monaten, die auf Bewährung ausgesetzt wurde. Auch bei Christoph H. galt ein Teil der Strafe (fünf Monate) als bereits vollstreckt. Bei der Einzugsentscheidung bzgl. Christoph H. wurden nach § 154 Abs. 2 StPO auch dessen Einnahmen aus dem Weiterverkauf der abgeschöpften Daten berücksichtigt. Beide Angeklagten legten Revision gegen das Urteil ein.

Entscheidung des BGH

Am 13.05.2020 entschied der BGH in der Sache (BGH Beschluss - 5 StR 614/19) und milderte dabei das Urteil des LG Berlin im Fall von H. ab. Der Schuldspruch gegen Bellartz in seiner vorigen Form wurde aufgehoben.

Hierbei war die Revision von H. zwar hinsichtlich der Höhe der Geldstrafe, nicht aber hinsichtlich der Schuldfeststellung erfolgreich. So betonte der BGH, dass dessen Verurteilung wegen Ausspähens in zwei Fällen von den im Rahmen des Verfahrens rechtsfehlerfrei gemachten Feststellungen getragen wird. Christoph H. machte sich nach § 202a Abs. 1 StGB und § 202a Abs. 2 StGB strafbar, indem er bewusst Sicherheitsmaßnahmen überwand, um sich unberechtigten Zugang zu Daten Dritter zu verschaffen und Kopien von diesen anzufertigen. Bemerkenswert stellt der BGH fest, dass die Strafbarkeit dieser Handlung sich auch nicht dadurch ändere, dass die betroffenen Sicherheitsmaßnahmen für Christoph H. leicht zu umgehen waren.

Der Teilerfolg der Revision von Christoph H ergibt sich demnach vollständig daraus, dass das LG Berlin bei der Ansetzung der Höhe der Geldstrafe nicht nur die Taterträge der zwei als erwiesen angesehenen, sondern auch diejenigen eines Teils der eingestellten Taten einbezogen hatte. Der BGH wies darauf hin, dass dies nicht zulässig sei und hat bei der Anpassung der Geldstrafe für Christoph H. daher den sich daraus ergebenden Betrag von der Gesamtsumme der Strafe abzogen. Wie der BGH ausdrücklich betonte, wurde die Strafe ansonsten korrekt berechnet, sodass die Revision darüber hinaus unbegründet ist.

Im Fall von Bellartz entschied der BGH hingegen, dass dessen Mittäterschaft einer revisionsgerichtlichen Überprüfung nicht standhalte. Dies ergebe sich daraus, dass er auf die eigentliche Begehung der Tat (Ausspähen und Abschöpfen von Daten unter Überwindung von Zugangssicherungen) keinen Einfluss nahm und nehmen konnte. Auch wenn Bellartz Interesse am Erfolg der Tat hatte, besaß er keine Kenntnis darüber, auf welche Weise sich Christoph H. Zugang zu den Daten verschaffen hatte. Der BGH hatte deshalb erwogen, den Schuldspruch gegen Bellartz von einer Mittäterschaft auf eine Anstiftung zum Ausspähen von Daten abzuändern. Daran sah sich der Senat jedoch gehindert, da sich Bellartz gegen eine solche Anklage möglicherweise erfolgreicher verteidigt hätte.

Über diesen Wertungsfehler hinaus sind die Feststellungen allerdings unberührt, sodass die Revision von Bellartz erfolglos bleibt. Ausgehend vom Wertungsfehler wurde die Sache wieder an das Landgericht zwecks einer neuen Entscheidung zurückgewiesen.

Quellen