Daten-GAU bei Zyxel: Diese Strafen drohen

Zyxel hat zwischen November 2017 und 17. Mai 2018 über 21.000 Telefongespräche aufgezeichnet. Diese waren nach einer ZDNet.de vorliegenden Stellungnahme zufolge zwischen dem 7. und 17. Mai – also für insgesamt zehn Tage – öffentlich zugänglich.

Entdeckt hatte die Aufnahmen ein Leser von ZDNet.de. Die Dateinamen enthielten Angaben wie Telefonnummer der Gesprächsteilnehmer sowie Zeitpunkt des Gesprächs. Nachdem ZDNet.de Zyxel über den Vorfall informiert hatte, wurde der Zugriff auf die Daten am 17. Mai gegen 13 Uhr gestoppt.

Auf Anfrage von ZDNet.de hat der auf IT-Recht spezialisierte Rechtsanwalt Christian Solmecke die rechtlichen Aspekte des Falls beleuchtet. Hier seine Stellungnahme:

„Eine Befugnis zum Aufzeichnen von Telefongesprächen besteht nur dann, wenn die jeweiligen Gesprächspartner, also die Kunden und die Beschäftigten, hierin eingewilligt haben oder eine gesetzliche Erlaubnis vorliegt. Das Mitschneiden von Telefonaten ohne Einwilligung aller Gesprächspartner oder gesetzlicher Erlaubnis kann strafrechtlich geahndet werden (§ 201 Abs. 1 Strafgesetzbuch, Verletzung der Vertraulichkeit des Wortes). Danach drohen Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe. Sollte die Firma aber die Erlaubnis gehabt haben, die Gespräche aufzuzeichnen, wäre zumindest dieser Teil legal gewesen.

Rechtsanwalt Christian Solmecke beleuchtet für ZDNet.de die rechtlichen Aspekte des FallsDiese Straftat wird allerdings grundsätzlich nur auf Antrag verfolgt, § 205 StGB. Das bedeutet, dass die Betroffenen zur Staatsanwaltschaft gehen müssen. Allerdings kann die Staatsanwaltschaft in diesem Fall wegen des „besonderen öffentlichen Interesses“ ein Einschreiten für geboten halten. In diesem Fall des so großen Datenlecks solcher sensibler Aufnahmen ist davon auszugehen, dass die Staatsanwaltschaft ohne entsprechende Anträge ermitteln wird.

Ohne Einwilligung ist die Aufzeichnung solcher Gespräche inklusive dazu gehöriger Daten wie Telefonnummer und Gesprächszeitpunkt auch ein eklatanter Verstoß gegen Datenschutzrecht – aktuell noch das Bundesdatenschutzgesetz (BDSG). Und selbst, wenn die Aufzeichnungen legal erfolgten, so wäre zumindest die Veröffentlichung definitiv illegal. Wenn eine dieser Taten vorsätzlich geschah in der Absicht, sich oder einen anderen zu bereichern oder zu schädigen, kann mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden (§ 44 BDSG). Handelten die Täter nur fahrlässig oder nicht in Bereicherungs- bzw. Schädigungsabsicht, so droht immerhin eine Geldbuße bis zu dreihunderttausend Euro. (§ 43 Abs. 2, 3 BDSG).

Der datenschutzrechtliche Verstoß ist kein Antragsdelikt, die Staatsanwaltschaft kann definitiv ermitteln. Falls nur eine Ordnungswidrigkeit in Betracht kommt, können die Aufsichtsbehörden ebenfalls selbstständig tätig werden.“