Er ist seit einer Protestaktion beim ARD-Sommerinterview bundesweit bekannt, aber Ordnungshütern wohl ein Dorn im Auge: Die Berliner Polizei nimmt offenbar die Anwesenheit des Protestbusses „Adenauer SRP+“ bei Versammlungen zum Anlass, diesen Demonstrationen besondere Lärmauflagen zu machen. So hatte die Berliner Versammlungsbehörde zuletzt am 2. August einer Demo gegen Rechtsextremismus und Verschwörungsideologie eine Lautstärkebegrenzung auferlegt. Im Auflagenbescheid an den Veranstalter hieß es:

Ein Lautstärkepegel von maximal 90 dB(A) am maßgeblichen Immissionsort (MIO) darf durch die zum Einsatz kommende Lautsprecheranlage nicht überschritten werden.

Diese Auflage hatte Auswirkungen auf die Teilnahme des Protestfahrzeuges vom Zentrum für politische Schönheit, das die Polizei – nicht nur in Berlin – seit Längerem auf dem Kieker hat. Im Verlauf der Versammlung stellte die Polizei mit ihrem Messgerät einen Verstoß gegen die Lärmauflage fest – und versuchte, die Lautsprecher des Fahrzeuges zu beschlagnahmen.

Später teilte die Polizei mit, dass ein Polizist durch die Lautstärke leicht verletzt worden sei. Insgesamt seien in den letzten Monaten durch das „Tatmittel Adenauer SRP+“ schon 26 Polizist:innen leicht verletzt worden, Ermittlungsverfahren wegen gefährlicher Körperverletzung würden laufen.

Nicht nur in Berlin

Die Maßnahme gegen den antifaschistischen Protestbus steht exemplarisch für die neueste Hürde für Veranstalter:innen von Demonstrationen. So berichtete auch das Bündnis „MyGruni“, das immer wieder Demos mit Tausenden Menschen im Berliner Villenviertel Grunewald abhält, dass die Polizei bei Aktionen angeordnet habe, dass die Lautsprecherwagen beispielsweise beim Vorbeifahren an Seniorenheimen heruntergedreht werden müssten. Warum ausgerechnet Senior:innen, die in der Regel ja schlechter hören, von den Inhalten eines Protestes abgeschirmt werden sollen, bleibt das Geheimnis der Polizei.

Berlin steht als Bundesland nicht allein, wenn es um solche Auflagen geht. Auch im sächsischen Dresden gilt seit vergangenem Jahr ein Richtwert von 90 Dezibel, in Bayern gibt es ähnliche Auflagen. Im nordrhein-westfälischen Düsseldorf setzte die Polizei bei einer Kundgebung – es war wieder der Adenauer-Protestbus – sogar die Lautstärke auf maximal 70dB fest, in Spitzen durfte sie 90dB nicht übersteigen. Um das abzusichern, erließ die Polizei sogar die Auflage (Dokument 1, Dokument 2), dass drei Polizeibeamte permanent im Bus sein sollten und zuvor vom Veranstalter in der technischen Bedienung des Fahrzeuges eingewiesen werden sollten.

Soweit so absurd und einschränkend. Doch was heißen eigentlich die Dezibel-Zahlen?

Wer in einer Diskothek feiert, ist auf der Tanzfläche oft Lautstärken von 90 bis 100 Dezibel ausgesetzt, manchmal auch mehr. Auf Dauer sind solche Lautstärken schädlich für das Gehör. Doch Lärmschutzauflagen auf 90 oder gar 70 Dezibel beschränken letztlich die Versammlungsfreiheit massiv.

Dazu muss man sich etwas näher anschauen, was es mit Dezibel auf sich hat und wie der Schall mit der Entfernung zu- beziehungsweise abnimmt: Die Skala, die den sogenannten Schalldruckpegel abbildet, verhält sich nicht linear, sondern logarithmisch. 10 Dezibel entsprechen etwa einer Verdopplung der empfundenen Lautstärke, gleichzeitig nimmt die Lautstärke bei einer Verdopplung des Abstandes zur Schallquelle um jeweils 6 Dezibel ab.

Etwas weiter entfernt nur noch ein Flüstern

Stehe ich bei einem Demo-Lautsprecher – der bei einem Meter Abstand die polizeilich erlaubten 90 Dezibel laut ist – in 64 Meter Entfernung, dann bleiben von den vorn lauten 90 Dezibel gerade noch 54 Dezibel übrig, was deutlich leiser ist als ein Fernseher auf Zimmerlautstärke oder die Geräuschkulisse in einem Büro – und in etwa der Lautstärke eines normalen Gesprächs zwischen zwei Menschen entspricht.

Bei der extremen Düsseldorfer Auflage mit den 70 Dezibel ist der Klang des Lautsprecherwagens in schon 32 Metern Entfernung nur noch als Flüstern mit etwa 40 Dezibel wahrzunehmen. Bei Umgebungsgeräuschen durch Verkehr oder dem Geraschel und Gemurmel von vielen versammelten Menschen, wird es dann schon schwierig, etwas von den politischen Inhalten zu verstehen.

Das hat Auswirkungen auf die Versammlungsfreiheit: Demonstrationen haben, gerade wenn sie laufen, oftmals eine Ausdehnung über mehrere Hundert Meter. Bei einer Lautstärkebeschränkung auf 90 Dezibel am Lautsprecher haben so viele der Teilnehmenden gar keine Chance, die Inhalte eines Lautsprecherwagens zu hören.

Und auch die Adressaten des Protests dürften durch so eine Regelung davon verschont werden, die Redebeiträge inhaltlich mitzubekommen. Demonstriere ich gegen eine Institution oder eine Veranstaltung, von der die Polizei den Lautsprecherwagen auf mehr als 50 Meter Abstand hält, dann dürfte der Adressat des Protests bei geschlossenen Fenstern nichts mehr vom Protest hören.

Eine allgemeine Beschränkung der Lautstärke widerspricht dem Grundrecht auf Versammlungsfreiheit, das Proteste laut Rechtsprechung in „Hör- und Sichtweite“ zum Adressaten ermöglichen soll. Proteste in Hörweite sind bei den üblichen Lautstärkebeschränkungen dann schon deutlich erschwert bis unmöglich.

Flüsterdemo wegen Arbeitsschutz der Polizei?

Der Lärmvorfall bei der Demo gegen Rechtextremismus in Berlin hat es nun bis ins Berliner Abgeordnetenhaus geschafft. Der grüne Innenpolitiker Vasili Franco ha eine parlamentarische Anfrage (PDF) mit vielen Fragen gestellt.

Spannend ist an der Antwort unter anderem, dass die Berliner Landesregierung die Lärmschutzauflagen in erster Linie mit dem Arbeitsschutz der eingesetzten Polizeibeamt:innen begründet, denn in der Regel dürften Demoteilnehmende oder Passant:innen gar nicht so nahe an den etwa drei Meter hoch hängenden Lautsprecher herankommen wie die messenden Polizist:innen.

In der Antwort auf die parlamentarische Anfrage heißt es: Es habe die Gefahr bestanden, dass durch den Einsatz von Lautsprechern mit einer über 90 Dezibel A-Bewertung (dB(A)) hinausgehenden Lautstärke „Belange des Schutzes Dritter vor Lärm, des Schutzes der Gesundheit und der körperliche Unversehrtheit der Versammlungsteilnehmenden, der eingesetzten Dienstkräfte der Polizei Berlin und unbeteiligter Dritter sowie zu berücksichtigende Belange des Arbeitsschutzes“ verletzt würden. Eine längere Konfrontation mit einem Schalldruckpegel von mehr als 90 dB(A) könne Gehörschäden verursachen.

In der Anfrage an die Landesregierung hat Vasili Franco auch gefragt, warum denn die Polizeibeamt:innen beim Messen direkt am Lautsprecher keinen Gehörschutz getragen hätten. Hierzu antwortet die Innensenatorin:

Im Gegensatz zu anderen Berufsgruppen ist es nicht möglich, dass Polizeibeamtinnen und -beamte während der Begleitung des Aufzuges einen über die Impulsschallgehörschutzstöpsel hinausgehenden Gehörschutz tragen. […] Das Tragen eines umfassenden Gehörschutzes ist daher mangels Effektivität nicht als milderes Mittel in Betracht zu ziehen (vgl. Verwaltungsgericht (VG) München, Urteil vom 24. Juli 2013 – 7 K 13.2850). Bei Versammlungen kann daher im Wege der Beschränkung eine Höchstlautstärke vorgegeben werden (siehe Niedersächsisches Oberverwaltungsgericht, Beschluss vom 10. November 2010 – 11 LA 298/10; Oberverwaltunsggericht Magdeburg, Beschluss vom 13. Februar 2012 – 3 L 257/10).

Den gesetzten Grenzwert von 90 Dezibel sieht die Berliner Innenverwaltung in Sachen Versammlungsfreiheit als unproblematisch an: Nach Meinung der Innenverwaltung würde der auferlegte Maximalwert das Schutzgut des Versammlungsgrundrechts aus Art. 8 GG als Recht zur kollektiven Meinungskundgabe wahren. Mit der angesetzten Lautstärke könnten laut der Landesregierung sowohl die eigenen Teilnehmenden als auch unbeteiligte Dritte erreicht werden, so dass die Binnen- und die Außenkommunikation gewährleistet war. Die Einwirkung auf den öffentlichen Meinungsbildungsprozess, die das Wesen einer jeden Versammlung ausmacht, sei damit möglich gewesen.

„Unverhältnismäßige Einschränkung der Versammlungsfreiheit“

Das sieht der grüne Innenpolitiker Franco anders. Er kritisiert, dass „Versammlungen von der Polizei nicht als demokratische Wahrnehmung von Grundrechten, sondern als Hort von Gefahren betrachtet werden“. Im Falle des Protestbusses dränge sich mittlerweile der Eindruck auf, dass die Berliner Polizei nach Vorwänden suche, den Bus aus dem Verkehr zu ziehen, so Franco weiter.

„Lärmauflagen und penible Kontrollen muten in der Gesamtschau als unverhältnismäßige Einschränkung der Versammlungsfreiheit an. Es ist schon verwunderlich, dass wiederholt Verletzungen von Polizist:innen durch die überschrittene Lautstärke angeführt werden, gleichzeitig jedoch keinerlei Beschwerden oder Verletzungen von Dritten oder Demonstrationsteilnehmenden zu verzeichnen sind“, sagt Franco gegenüber netzpolitik.org.

Die Polizei schaffe durch ihren Einsatz faktisch mutwillig selbst den Grund, die Versammlungsfreiheit einzuschränken. „Der Protest auf der Straße wird im Ergebnis unterdrückt, während die rechtsextreme Propaganda im Netz lauter als jeder Demobus den politischen Diskurs verschiebt.“

„Mittel, um Versammlungsleitungen zu gängeln“

Stefan Pelzer vom Zentrum für politischen Schönheit sagt gegenüber netzpolitik.org, dass er die Lautstärkebeschränkungen als willkürlich empfinde. „Sie dienen letztlich nur dazu, Demonstrationen jederzeit behindern zu können und Fahrzeuge wie unseren Bus von Demonstrationen ausschließen zu können.“

Kritik an Lärmauflagen hat auch der Republikanische Anwältinnen- und Anwälteverein (RAV): „Versammlungen müssen wahrgenommen werden können. Lautstärkeauflagen erschweren die Außenwahrnehmung. Sie sind ein Mittel, um Versammlungsleitungen unnötig zu gängeln“, erklärt auch Rechtsanwalt Peer Stolle, Vorstandsmitglied des RAV.

„Derartige Auflagen sind Ausdruck eines behördlichen Verständnisses, Versammlungen als Störung wahrzunehmen und nicht als elementaren Ausdruck einer lebendigen Demokratie“, so Stolle weiter.

Nehmen die Lärmschutzauflagen in Berlin zu?

Wie oft die Berliner Versammlungsbehörde Demonstrationen in der Hauptstadt Lärmauflagen macht, ist nicht so leicht herauszubekommen. Die Berliner Polizei kann nach eigener Auskunft keine Angaben zur Entwicklung der Lärmschutzauflagen in den letzten Jahren machen oder sagen, ob es mehr werden. Bei der Polizei Berlin erfolge keine automatisierte Erfassung von Beschränkungen bei Versammlungen. „Deshalb ist ein Überblick dazu nicht möglich“, sagt ein Sprecher der Polizei gegenüber netzpolitik.org. In einer früheren kleinen Anfrage zum Thema antwortete die Senatsverwaltung, dass Lärmschutzauflagen immer eine Einzelfallbewertung voraussetzen würden.

Bei der Berliner Lauti-Gruppe, die seit vier Jahrzehnten etwa 50 Demonstrationen im Jahr mit einem Lautsprecherwagen unterstützt, heißt es, dass Lautstärkeauflagen bei Demonstrationen in Berlin noch die „absolute Ausnahme“ seien, aber immer wieder vorkämen.

„Wenn es dann aber doch willkürlich diese Auflagen gibt, stellt es eine starke Einschränkung der Demo dar, die ja den Zweck hat, gehört zu werden“, sagt Toni*, 39, die in der Gruppe mitarbeitet. „Sind solche Auflagen im Vorfeld bekannt, sollte man unbedingt rechtlich dagegen vorgehen“, so Toni weiter.

Lautstärkeauflagen in der Vergangenheit

Es ist nicht das erste Mal, dass die Frage von Lautstärke und Versammlungsfreiheit das Berliner Abgeordnetenhaus erreicht. Im Jahr 2023 gab es eine schriftliche Anfrage der Linkspartei (PDF) zum Thema. Schon damals wurde gefragt, auf welcher Grundlage eigentlich Lärmauflagen erteilt würden.

Hier antwortete die Senatsinnenverwaltung, dass der Behörde eine „einzelfallbezogene Bewertung der Zumutbarkeit“ vorbehalten bleibe. Die Versammlungsfreiheit beinhalte kein Recht, „musikalische Vorträge oder Redebeiträge in beliebiger Lautstärke abzuspielen“, hieß es dort weiter. Bei der Festsetzung von Grenzwerten würden „bei dem vorzunehmenden Rechtsgüterausgleich in praktischer Konkordanz die Zeit, Örtlichkeit und Teilnehmendenzahl der Versammlung und gegebenenfalls weitere Variablen miteinbezogen“.

Weiterhin wurde damals mit der öffentlichen Sicherheit argumentiert. Der Begriff der öffentlichen Sicherheit umfasse laut dem Innensenat u.a. die Individualrechtsgüter Leben und Gesundheit. Außerdem seien grundrechtlich relevante Belange wie beispielsweise Lärmschutz von Anwohnenden, Passantinnen und Passanten, aber auch die negative Versammlungsfreiheit anderer Personen in den Blick zu nehmen. Insgesamt sei es immer eine Einzelfallprüfung.

Streitpunkt Musik- und Tanzdemos

Im Visier von Versammlungsbehörden und Polizeien sind seit Jahren Versammlungen, bei denen viel Musik gespielt wird. Hier gibt es immer wieder Auseinandersetzungen, ob Musik eine politische Meinungsbekundung ist. Der bekannteste Fall ist die „Fuckparade“, eine Demonstration, die gegen die Kommerzialisierung der Loveparade gestartet war. Hier stufte die Polizei im Jahr 2001 die Fuckparade nicht als Demonstration ein und verbot sie. Die Veranstalter:innen zogen bis vor das Bundesverwaltungsgericht, das ihnen im Jahr 2007 Recht gab und die Fuckparade als politische Versammlung anerkannte.

Ebenjener Fuckparade hatte die Berliner Polizei im Jahr 2023 allerdings strenge Lärmschutzauflagen gemacht, die den Charakter der politischen Musikparade stark veränderten, weil diese plötzlich ganz leise war. Unklar ist hier auch der unterschiedliche Umgang im Einzelfall. Während die Fuckparade starke Beschränkungen hinnehmen musste, sind bei der Musikdemo „Rave the Planet“, die seit 2022 in Berlin stattfindet, keine Lautstärkeeinschränkungen bekannt. Bei der Techno-Demo „Zug der Liebe“ hingegen setzte die Polizei wieder einen Höchstwert von 90 Dezibel fest.

Musik als Meinungskundgabe hat sich trotz mittlerweile längerer Tradition und zahlreichen Musik-Demonstrationen im ganzen Bundesgebiet noch nicht durchgesetzt. Jüngst hatte die Polizei Aachen der „Krachparade Aachen“, einer Demonstration aus Nachtleben und Subkultur, den Status als Demonstration abgesprochen und sie verboten. Die Veranstalter:innen hatten sich daraufhin gewehrt, waren aber sowohl vor dem Verwaltungsgericht Aachen als auch vor dem Oberverwaltungsgericht Münster gescheitert.

Augsburg schießt den Vogel ab

Im bayerischen Augsburg hingegen reglementiert man Musik und Lautstärke maximal versammlungsfeindlich. Bei einer Demo zum Frauentag 2022 durften Lautsprecheranlagen und Megafone „nicht für reine Unterhaltungs-/Vergnügungszwecke, sondern nur für direkte Versammlungszwecke“ verwendet werden.

Weiterhin verfügte die Versammlungsbehörde, durch das „Rufen von Parolen, Benutzen von Lärm- und ähnlichen Geräten darf es zu keiner unzumutbaren Lärmbelästigung von Passanten und Anwohnern oder Beeinträchtigungen des Straßenverkehrs kommen“. Zudem sollten „alle Reden und auch von Ton-/Bildträgern abgespielte Texte, Videos und Musikstücke“ den „öffentlichen Frieden“ wahren. So dürfe nicht zum „Hass gegen Bevölkerungsteile aufgestachelt werden oder zu Gewalt oder Willkürmaßnahmen aufgerufen werden, indem Teile der Bevölkerung beschimpft, böswillig verächtlich gemacht oder verleumdet werden“.

Die Veranstalterinnen fingen sich nach der Demo einen Strafbefehl in Höhe von 1.200 Euro ein, weil sie die Auflagen missachtet hätten. RAV-Vorstandsmitglied Peer Stolle  sagte damals gegenüber netzpolitik.org, solche rigiden Auflagen seien „mit einer liberalen Demokratie nicht zu vereinbaren“.

* Name der Redaktion bekannt

Wegen des Cyberangriffs und der technischen Probleme beim Einchecken und der Gepäckabgabe erwartet der Berliner Flughafen weiterhin längere Wartezeiten. Auch verspätete Abflüge wie am Samstag sind wohl nicht ausgeschlossen. „Wir bitten alle Passagiere, sich darauf so weit wie möglich einzustellen. Der Flughafen BER unternimmt zusammen mit den Fluggesellschaften und den Bodenverkehrsdienstleistern alle Anstrengungen, um die Beeinträchtigungen möglichst gering zu halten“, hieß es am Vormittag.

In den Terminals hätten sich die Abläufe inzwischen eingespielt, so dass die Passagierabfertigung ruhig und flüssig laufe. Die Passagiere sollten den Online-Check-in im Internet oder den Self-Service-Check-in an Automaten im Flughafen nutzen. Auch das Gepäck könne oft selbst an Automaten aufgegeben werden. Am Samstag seien vier Landungen und vier Abflüge gecancelt worden. Verspätungen seien in der Regel kürzer gewesen als 45 Minuten.

Das Personal im Flughafen musste beim Check-in mit Papierlisten und Stiften statt mit Computern arbeiten. Wegen des Cyberangriffs auf einen Flughafen-Dienstleister hatten in Europa vier Flughäfen Probleme bei der Passagierabfertigung gemeldet. Die Flughäfen Berlin, Brüssel, Dublin und London Heathrow sind von den IT-Problemen betroffen, wie die Flugsicherungs-Dachorganisation Eurocontrol mitteilte. Laut den Flughäfen Berlin und London Heathrow ist die Firma Collins Aerospace betroffen, das Unternehmen bestätigte der Deutschen Presse-Agentur „eine cyberbedingte Störung“ an einigen Flughäfen.

Nur Check-in vor Ort betroffen

Der Tagesspiegel zitiert einen Sprecher des BER, laut dem die Angriffe auf Collins-Systeme am Freitagabend an den Flughafen gemeldet wurden. Die dadurch ausgelösten Störungen sind auch am Sonntag noch nicht behoben. In Europa sind Flughäfen in Berlin, Brüssel, Dublin und London Heathrow betroffen. Die Webseiten der Airports weisen auf die Probleme hin und geben, wie in Berlin, vor allem den Rat, den Online-Check-in zu nutzen. Offenbar sind also nur die Systeme von Collins vor Ort am Flughafen derzeit nicht nutzbar.

Nach bisher unbestätigten Berichten von Security-Experten in sozialen Netzwerken wurde die Multi-User-Umgebung von Collins für deren System ARINC (Aeronautical Radio, Incorporated) angegriffen. Dieses verbindet mehrere andere Datenquellen, unter anderem für Check-in, Boarding und Gepäckabwicklung an Flughäfen. Das System soll seit Freitag offline sein. Am Samstag meldete die Tagesschau in einem Korrespondentenbericht vom BER, es handele sich nach Informationen der ARD um eine Ransomware-Attacke. Dazu gibt es jedoch am Sonntagmittag keine weiteren Hinweise, ebenso ist die Quelle des Angriffs noch unklar.

(nie)

Das Bundesverfassungsgericht hat die Verfassungsbeschwerde des im Modern-Solution-Prozess angeklagten IT-Experten ohne Begründung abgelehnt. In einer Entscheidung vom 15. September, die heise online vorliegt, heißt es, dass drei Richter und Richterinnen der Dritten Kammer des Zweiten Senats des Gerichtes einstimmig beschlossen haben, dass die Verfassungsbeschwerde nicht zur Entscheidung angenommen wird. Damit hat der Fall Modern Solution seit Juni 2021 alle deutschen Gerichtsinstanzen vom Amtsgericht Jülich bis hin zum Bundesverfassungsgericht in Karlsruhe durchlaufen.

Die Geschichte des freiberuflichen IT-Experten aus Heinsberg in Nordrhein-Westfalen, der eine Sicherheitslücke in einer E-Commerce-Software der Firma Moden Solution aus Gladbeck im Ruhrgebiet entdeckte und dafür statt einer Belohnung eine Anzeige und Durchsuchung erntete, war von vielen Beobachtern aus der deutschen IT-Branche mit Interesse verfolgt worden. Nicht wenige hatten sich nicht zuletzt von der Verfassungsbeschwerde eine Klärung der diversen Rechtsunsicherheiten im Alltag von IT-Experten und Sicherheitsforschern erhofft. Stattdessen liefert die letztinstanzliche Entscheidung des Oberlandesgerichts Köln und nun die Ablehnung der Verfassungsbeschwerde das Gegenteil: Der sogenannte Hackerparagraf 202 StGB macht es in Deutschland heikel wie nie, eine gefundene Sicherheitslücke ans Licht der Öffentlichkeit zu bringen.

Der Fall Modern Solution: ein modernes Märchen aus Neuland

Die Saga um Modern Solution nahm Ende Juni 2021 ihren Lauf, als die Öffentlichkeit von einer Sicherheitslücke erfuhr, die dazu geführt hatte, dass Namen, Adressen, Kontodaten und weitere Informationen von rund 700.000 Online-Shoppern frei im Internet abrufbar waren. Die Sicherheitslücke befand sich in einer E-Commerce-Middleware der Firma Modern Solution, die es Anbietern von kleineren Online-Shops ermöglichen sollte, ihre Waren in den großen Online-Shops von Kaufland, Otto, Check24 und anderen Unternehmen anzubieten. Modern Solution hatte die Daten aller Einkäufer, die über diese Software an die Betreiber der Modern-Solution-Software übermittelt worden waren, in einer einzigen Datenbank abgelegt. Das Passwort zu dieser Datenbank auf den Servern von Modern Solution war unverschlüsselt in einer ausführbaren Datei der Middleware-Software gespeichert und für alle Modern-Solution-Kunden gleich. Somit war es mit Zugang zu dieser Software, die zu diesem Zeitpunkt frei aus dem Netz heruntergeladen werden konnte, ziemlich einfach möglich, an diese Daten zu gelangen. Bei heise online hatten wir den öffentlichen Zugang zu diesen Daten damals selbst bestätigen können.

Anstatt den Fehler zu beheben, zeigte sich Modern Solution uneinsichtig, weshalb der IT-Berater, der die Lücke entdeckt hatte, diese an einen E-Commerce-Blogger meldete, um den Druck auf das Unternehmen zu erhöhen. Das führte dazu, dass Modern Solution die Lücke schloss, allerdings zeigte man zusätzlich den Berater, der die Lücke gemeldet, und den Blogger, der darüber berichtet hatte, an. Das Verfahren gegen den Blogger wurde eingestellt, bei dem unabhängigen IT-Experten wurde dann im Oktober 2021 allerdings eine Hausdurchsuchung durchgeführt und sein gesamtes Arbeitsgerät beschlagnahmt.

Verfahren in Jülich

Im Juni 2023 war die Staatsanwaltschaft Köln zuerst damit gescheitert, den IT-Berater anzuklagen. Das Amtsgericht Jülich lehnte den Prozess mit der Begründung ab, es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien. Die Staatsanwaltschaft Köln ging in Berufung und im Juli 2023 entschied das Landgericht Aachen, der Fall müsse doch in Jülich verhandelt werden. Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das „Abrufen“ der Daten „zudem nur nach einer Dekompilierung möglich war“, lautete das Urteil des Landgerichts. „Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus“, somit sei der Straftatbestand des Hackens erfüllt.

Im Januar 2024 kam es dann schließlich zum Verfahren vor dem beschaulichen Amtsgericht in Jülich. Die Verteidigung stellte sich auf den Standpunkt, der Angeklagte habe eine Software untersucht, die Modern Solution seinem Kunden zur Verfügung gestellt habe, und zwar mit allen dazugehörigen Daten. Er habe somit nur auf Daten zugegriffen, die für ihn bestimmt gewesen seien. Das Gericht schloss sich dieser Argumentation nicht an und sah eine Straftat im Sinne von § 202a StGB als gegeben an.

Die Staatsanwaltschaft hatte einen erheblichen Teil der Beweisaufnahme damit verbracht, dem Angeklagten nachzuweisen, er habe den Programmcode der Software von Modern Solution dekompiliert, um an das Passwort für die Datenbankverbindung zu kommen. Der Angeklagte gab zu Protokoll, die in Frage kommende Datei lediglich mit einem Texteditor betrachtet und so das Datenbankpasswort im Klartext ausgelesen zu haben. Er habe dies in der unmittelbaren Nähe anderer, bekannter Verbindungsdaten der von ihm zuvor beobachteten MySQL-Verbindung gefunden. In der Beweisaufnahme beschäftigte sich das Gericht nicht direkt mit der entsprechenden Datei, und es wurde auch nicht versucht, die Angaben des Angeklagten zu überprüfen. Auch die Polizei scheint dies nach den im Prozess verlesenen Teilen der Ermittlungsakte nicht getan zu haben. Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben. Die Ermittler der Polizei konnten zwar Indizien für das Dekompilieren der Modern-Solution-Software auf den Rechnern des Angeklagten sicherstellen, dies belegte aber nur, dass er die Software *nach* seinem angeblichen Ausspähen der Daten zurückübersetzt hatte.

Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Der Vorsitzende Richter gab zu Protokoll, dass alleine die Tatsache, dass die Software ein Passwort für die Verbindung gesetzt habe, bedeute, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle. Dass dies, wie die Verteidigung mehrmals betont hatte, im Zuge einer „funktionalen Analyse“ der Software im Auftrag eines Kunden von Modern Solution (der das in Frage kommende Passwort ja mit der Software ausgeliefert bekommen hatte) passiert war, schien bei dieser Entscheidung keine Rolle zu spielen. Mit Bezug auf die Entscheidung des Aachener Gerichts sagte der Jülicher Richter nun, nach eingehender Sichtung der Rechtslage sei man zu dem Schluss gekommen, dass der Gesetzgeber mit der Verschärfung von § 202a StGB im Jahre 2007 offensichtlich bezweckt habe, „das Hacken als Solches unter Strafe zu stellen.“ Unter diesem Aspekt sei ein Schutz der „nicht für Jedermann“ einfach zu umgehen sei, ausreichend, um den Straftatbestand zu erfüllen. Da der Angeklagte nicht vorbestraft war, wurde er zu einer Geldstrafe verurteilt und kam um eine Haftstrafe herum.

Zweite Berufung, Revision und Verfassungsbeschwerde

Der Angeklagte legte Berufung beim Landgericht Aachen ein, das somit zum zweiten Mal über eine Berufung in dem Fall entscheiden musste. Im November 2024 entschied das Gericht, diese als unbegründet abzuweisen. In dem Prozess übernahm das LG Aachen durchgängig die Einschätzung des AG Jülich, dass der Zugriff auf die gesicherte Datenbank den Straftatbestand erfülle. Zudem war es dem Gericht anscheinend egal, wie der Angeklagte an das Passwort gelangt sei. Das Passwort sei nicht ohne Weiteres zu erraten oder öffentlich bekannt gewesen, das mache den Zugriff zu einer Straftat. In dem Prozess betonte die kleine Strafkammer des Gerichts, dass der Angeklagte eine Strafbarkeit hätte vermeiden können, wenn er den Zugriff in dem Moment abgebrochen hätte, als ihm klar wurde, dass er auf die Daten von Kunden zugreifen konnte, die er nicht hätte sehen dürfen. Dass er diese Daten mit Screenshots dokumentiert habe, was im Prozess unstrittig war, besiegele seine Strafbarkeit.

Die Verteidigung beantragte daraufhin eine Revision des Prozesses beim Oberlandesgericht Köln, dessen 1. Strafsenat am 3. Juli 2025 entschied, dass die Entscheidung des LG Aachen keine Rechtsfehler enthielt und somit rechtskräftig sei. Wie bei Revisionen üblich, wurden in diesem Verfahren die tatsächlichen Umstände des Falles nicht noch einmal untersucht. Da die Verteidigung den Umgang mit dem Angeklagten in den zwei Prozessen in Jülich und Aachen nach wie vor als ungerecht ansah und davon ausging, dass seine verfassungsmäßigen Rechte verletzt worden waren, der Rechtsweg nun aber ausgeschöpft war, legte man im August 2025 Beschwerde beim Bundesverfassungsgericht ein, die nun abgelehnt wurde. Die Entscheidung des Bundesverfassungsgerichts ist unanfechtbar.

Fazit für IT-Experten und Sicherheitsforscher

Aus diesem Verfahren ergeben sich mehrere wichtige Erkenntnisse für alle, die bei ihrer Arbeit auf Sicherheitslücken in IT-Systemen stoßen könnten. Der Umgang mit dem IT-Experten in diesem Fall zeigt, dass es in Deutschland ein fataler Fehler sein kann, Details zu Sicherheitslücken zu veröffentlichen – auch wenn diese bereits geschlossen wurden. Des Weiteren macht das Verfahren deutlich, dass deutsche Gerichte es unter Umständen als strafbar ansehen, wenn sich ein Programmierer im Auftrag seines Kunden, und zur Lösung von Softwareproblemen, Zugriff auf Daten verschafft, die diesem Kunden von Geschäftspartnern zur Verfügung gestellt wurden

Die Sicherung solcher Daten durch ein wie auch immer geartetes Passwort – und sei dies auch noch so simpel und einfach zu erraten – reicht im Zweifel als Zugriffssicherung im Sinne des Gesetzes aus und macht einen Zugriff auf die Daten zur Straftat. Das trifft auch zu, wenn dieses Passwort als Klartext in einer im Internet öffentlich zugänglichen Software zu finden ist. Jedem, der von Berufs wegen Software analysieren muss, sollte es außerdem zu denken geben, dass deutsche Staatsanwälte es offensichtlich als Indiz für strafbares Verhalten ansehen, wenn man einen Dekompilierer auf dem Rechner hat. Diese Meinung wurde in diesem Fall mehrmals vor Gericht geäußert und teilweise sogar von Richtern übernommen.

Abschließend lässt sich sagen, dass über vier Jahre Modern-Solution-Saga nicht dazu geführt haben, die rechtlichen Unsicherheiten bei der Strafbarkeit von Software-Analyse und dem Veröffentlichen von Sicherheitslücken in Deutschland einzuschränken. Ganz im Gegenteil: Die von den Gerichten vertretenen Rechtsmeinungen machen § 202 StGB, wenn überhaupt, zu einer noch größeren Gefahr denn je für alle, die Software-Qualität in Deutschland verbessern wollen. Und auch das Bundesverfassungsgericht scheint eher dazu geneigt, jedwedes sogenanntes „Hacken“ an sich unter Strafe stellen zu wollen, als sich zum Ziel zu setzen, die Arbeitsumstände für solche IT-Profis zu verbessern, die mit guten Absichten im Sinne der Allgemeinheit handeln.

(nie)