Unbefugter Zugang und Kontrolle von Unternehmens-E-Mails: Wenn der Zugang zum Unternehmenssystem zur Straftat wird

Der Kassationsgerichtshof, Abteilung V für Strafsachen, hat sich in seinem Urteil Nr. 542 vom 20. Juni 2025 mit einem sehr interessanten Fall befasst, in dem es um die missbräuchliche Verwendung von IT-Werkzeugen durch einen ehemaligen Unternehmensleiter ging. Der Fall ergab sich aus dem Verhalten dieses ehemaligen Geschäftsführers, der, obwohl er über die technischen Zugangsberechtigungen zu den Computersystemen des Unternehmens verfügte, diese Berechtigungen nutzte, um auf die E-Mails von Kollegen und Mitarbeitern zuzugreifen und vertrauliche E-Mails, auch mit vertraulichem Inhalt, zu lesen. Die Richter bestätigten, dass, selbst wenn man die Zugangsdaten zu einem System besitzt, die Art und Weise, wie man sie nutzt, von großer Bedeutung ist: Wenn man sich aus persönlichen und nicht aus dienstlichen Gründen Zugang verschafft, kann eine Straftat vorliegen.

Dieser Gedanke wurde bereits 2017 vom Gerichtshof selbst in dem als „Savarese“ bekannten Urteil (Cass., SSUU, Urteil vom 18. Mai 2017) bekräftigt, in dem festgestellt wurde, dass der Zugriff auf ein Computersystem eines Unternehmens auch dann eine Straftat darstellt, wenn die betreffende Person über eine formale Genehmigung verfügt, wenn sie dies zu Zwecken tut, die nichts mit ihrer Arbeit zu tun haben (Artikel 615-ter des Strafgesetzbuchs).

In dem untersuchten Fall hatte der ehemalige Geschäftsführer mehr als 1.500 E-Mail-Nachrichten heruntergeladen und fast hundert direkt gelesen, von denen viele Gespräche zwischen anderen Unternehmensmitarbeitern und ihren Anwälten enthielten. Nach Ansicht der Richter gab es keinen konkreten Grund für den Verdacht auf ein rechtswidriges Verhalten der Absender oder Empfänger dieser E-Mails, der den systematischen Zugriff und das Lesen der betreffenden Nachrichten auch nur potenziell rechtfertigen würde. Daher wurde die Tätigkeit der Beklagten als Verletzung der Privatsphäre und nicht als rechtmäßige Kontrolle im Interesse des Unternehmens angesehen.

Im Allgemeinen können die Rechtsvorschriften zum Datenschutz unter bestimmten Umständen die so genannten defensiven Systeme als zulässig erachten. Abwehrsysteme, d. h. Kontrollen - auch mit technischen Mitteln -, die der Arbeitgeber bei begründetem Verdacht auf eine Straftat zum Schutz von Unternehmensgütern oder -informationen oder zur Verhinderung rechtswidrigen Verhaltens durchführt, sofern ein angemessenes Gleichgewicht zwischen der Notwendigkeit des Schutzes von Unternehmensinteressen und -gütern im Zusammenhang mit der Freiheit der wirtschaftlichen Initiative und dem unerlässlichen Schutz der Würde und der Vertraulichkeit des Arbeitnehmers hergestellt wird, vorausgesetzt, die Kontrolle bezieht sich auf Daten, die nach dem Entstehen des Verdachts erhoben wurden.

In Italien erlaubt das Gesetz dem Arbeitgeber die Kontrolle der Unternehmensausrüstung, allerdings nur unter bestimmten Bedingungen. Diese Kontrollen müssen gerechtfertigt und verhältnismäßig sein und dürfen nicht zu stark in das Unternehmen eingreifen. Außerdem müssen sie den Arbeitnehmern zumindest in allgemeiner Form mitgeteilt werden. Nach Ansicht des Landgerichts wären die Kontrollen insbesondere deshalb rechtswidrig gewesen, weil sie gegen die Grundsätze der Verhältnismäßigkeit und Angemessenheit der Verarbeitung personenbezogener Daten der Arbeitnehmer verstoßen hätten, die die italienische Datenschutzbehörde bereits 2007 und im Zusammenhang mit der Einführung des Gesetzesdekrets 151/2015 formuliert hatte. Die Vorschriften und die ständige Rechtsprechung zu diesem Punkt erlauben keine massive, lang andauernde und wahllose Überwachung der Tätigkeiten von Arbeitnehmern.

In diesem speziellen Fall befand der Kassationsgerichtshof, dass die Handlungen des ehemaligen Verwalters nicht nur gegen diese Vorschriften, sondern auch gegen das Recht auf das Briefgeheimnis gemäß Artikel 616 des Strafgesetzbuchs verstießen. Es wurde klargestellt, dass das Lesen der E-Mails anderer Personen, selbst wenn man über einen technischen Zugang verfügt, eine Straftat darstellen kann, wenn kein echtes arbeitsbezogenes Motiv vorliegt.

Ein weiterer Aspekt, der erörtert wurde, betrifft eine Änderung, die der Angeklagte an einem Programm des Unternehmens vorgenommen hatte, das die Computeraktivitäten verfolgte, mit dem Ziel - so die Richter -, keine Spuren seines Handelns zu hinterlassen. Obwohl diese Änderung technisch reversibel war, verhinderte sie tatsächlich das normale Funktionieren des Systems für mehrere Monate und machte es für andere unzugänglich. Der Oberste Gerichtshof entschied, dass eine vorübergehende, aber erhebliche Veränderung des Systems den Straftatbestand gemäß Artikel 615-ter Absatz 2 erschweren kann.

Der Beklagte wurde außerdem verurteilt, dem Unternehmen die Kosten für die technische Untersuchung zu erstatten, die zur Entdeckung seiner Aktivitäten geführt hatte. Sein Anwalt argumentierte, dass diese Kosten mit einer defensiven Untersuchung und nicht mit einem tatsächlichen Schaden zusammenhingen. Das Gericht bekräftigte jedoch, dass, wenn das Unternehmen gezwungen ist, Sachverständige zu beauftragen, um herauszufinden, ob ein rechtswidriges Verhalten stattgefunden hat, und diese Untersuchungen die Straftat bestätigen, die Kosten als direkter Schaden zu betrachten sind, der gemäß Artikel 185 des Strafgesetzbuchs zu ersetzen ist.

Schließlich hatte der ehemalige Verwalter darum gebeten, nicht bestraft zu werden, weil die Tat seiner Meinung nach geringfügig war. In der Tat gibt es eine Vorschrift - Artikel 131-bis des Strafgesetzbuches -, die es erlaubt, eine Verurteilung zu vermeiden, wenn die Straftat besonders geringfügig ist. Das Gericht lehnte jedoch auch diesen Antrag ab: Es betonte die Schwere der Verletzung des Datenschutzes, die Anzahl der gelesenen Nachrichten, die Dauer der Deaktivierung des Kontrollsystems und das Fehlen von Anzeichen von Reue oder Kooperation nach der Tat.

Aus diesen Gründen bestätigte das Kassationsgericht die Verurteilung, verwarf alle Berufungsgründe und verurteilte den Angeklagten auch zur Zahlung der Gerichtskosten.

Das fragliche Urteil lehrt uns also, dass: