Public DENIC mailinglist

[Rob Liebwein <liste.denic.de AT liebwein.de>]

Hallo Herr Loewe,

> Ich habe hier gerade 4 Fälle in welchen eine GmbH als Registrant einer
> .de in Insolvenz ging, und wir nun eine Weisung des
> Insolvenzverwalters haben, unser Kunde eine andere Weisung gibt.
> Wir mischen uns rein rechtlich nicht ein und befolgen die Weisung des
> Insolvenzverwalters, welcher per Gericht bestellt wurde.

        Da haben Sie Recht. Ich hoffe ja nur, dass hier nicht auch
Provider mit dem Domaininhaber verwechselt wird... =8-)

> Der Geschäftsführer als natürliche Person sieht dies natürlich etwas
> anders, da ein anderer über die Nutzung der Domains entscheidet.

        Wie begruendet er das denn?

        Hat der Insolvenzverwalter sich eine Stellungnahme vom
Datenschutzbeauftragten eingeholt? Ich koennte mir vorstellen, dass die
normale Post (Brief, Paket, Postkarte) von ihm eingesammelt wird bzw.
bei der DP gelagert wird. Wie es sich aber mit dem elektronischen
Schriftverkehr verhaelt, das kann nur der zustaendige
Datenschutzbeauftragte beurteilen, denke ich.

        Ich hatte der DENIC eine Frist gegeben, mir den
Datenschutzbeauftragten der DENIC zu benennen, die die DENIC heute um
12:00 fruchtlos verstreichen hat. ---> § 43 Abs. 1 Ziff. 2 BDSG.

        Die DENIC hat zwischenzeitlich zugegeben, dass sie gar keinen
Datenschutzbeauftragten benennen kann, weil sie gar keinen haben. Nun,
dann haben sie die 1-Monatsfrist verstreichen lassen, wozu sie mit der
Inbetriebnahme der WHOIS-Datenbank verpflicht waren. Und die neue Frist
von mir hat die DENIC auch nicht eingehalten. Mag fies klingen...

>  >Sie haben sich wenigstens mit einer Ltd. nach UK abgesichert (Ndl.
>  >Deutschland) und dann erst haben Sie mit Ihrem Geschaeft angefangen.
> Stimmt so nicht ganz, wir waren früher GbR :-), nutzen aber das
> EU-Recht voll aus mittlerweile...

        Finde ich echt prima. :-)

>  > inbesondere wegen der Begehungsgefahr zur Verletzung von Post- und
>  > Fernmeldegeheimnis und Ausspaehen von Daten
> Zu diese Thema wäre zu klären ob eine unverschlüsselt durchs Netz
> gesendete Nachricht dem Fernmeldegeheimniss unterliegt.

        Ok, wobei ich meine, dass auch zu klaeren waere, welches
nationale Strafrecht hier zur Anwendung kommt. Im Grunde genommen
koennen alle 271 nationale Strafrechtsnormen herangezogen werden. Denn
ein Deutscher kann auch im Ausland eine Straftat begehen und verurteilt
werden.

[Ausfuehrungen zu 202, 202a, 303a StGB]

        Vielen Dank fuer Ihre interessanten sachlichen Ausfuehrungen.
Problem: Im Gegensatz zu § 184 StGB fehlt hier ein Verweis in den § 11
Abs. 3 StGB, der Schriftstuecke und Daten gleichstellt. Nachdem ein
_Versuch_ zum Ausspaehen von Daten nicht strafbar ist (anders: § 303a
Abs. 2 StGB bei _versuchten_ Datenveraenderungen), muss klar sein, dass
die Strafbarkeit erst dann zu bejahen waere, wenn ein Ausspaehen von
Daten i.S. des 202a tatsaechlich stattgefunden hat.

        (Aus diesem Grunde meine ich, dass besagter 19jaehriger
EBAY.DE-Hijacker nicht wegen 202a verurteilt werden koennte, was es
wegen den Emails an die EBAY.DE betrifft. Anders in Sachen RITTER.DE).

> Der Tatbestand des Ausspähens von Daten setzt laut deutscher
> Rechtsprechung das Überwinden einer technischen Sicherung (sprich
> Passwort oder Verschlüsselung) vorraus.
> vgl: http://dejure.org/gesetze/StGB/202a.html
> "die gegen unberechtigten Zugang besonders gesichert sind,"

        Ja, und darunter verstehe ich die Aenderung des
Domaindatenbanksatzes zu den DNS-Zeilen in der DENIC-Datenbank. Nach
meiner Rechtsauffassung sind die Original-DNS-Eintraege als eine
technische Sicherung zu verstehen. Gerade nur diese DNS-Zeilen konnten
bestimmen, welcher Rechner fuer Email zustaendig ist und welche Daten zu
welchem Rechner fliessen durften. Nachdem diese DNS-Zeilen fehlen bzw.
geaendert worden sind, kann nicht mehr bestimmt werden, welcher
Original-Rechner fuer Email zustaendig ist. Die Daten "fliessen" jetzt -
dank des falschen DNS-Eintrags in der DENIC-Datenbank - nicht mehr zum
Original-Rechner. Die technische Sicherung ist damit "durchbrochen".

        Meinen Sie, wir koennen uns bis dahin einigen? :-)

(Es kommt nicht mehr darauf an, was jetzt momentan fuer DNS-Zeilen zu
dem neuen Domaindatenbanksatz stehen. Es geht nur um die "Ueberwindung"
der Sicherung).

        Damit ist der 202a aber trotzdem noch nicht ganz durch, meine
ich.

        "...Wer [..] Daten, [..] sich oder einem anderen verschafft..."

        Unter dem "sich verschaffen" verstehe ich den derzeitigen
DNS-Eintrag in der DENIC-Datenbank als den neuen DNS-Eintrag zum Zwecke
der Ueberwindung der technischen Sicherung, der durch einen
DENIC-Mitarbeiter erfolgt ist, was die DENIC zu verantworten hat.

        Unter dem "oder einem anderen verschafft" verstehe ich die DENIC
als die verantwortliche Stelle, wenn ein neuer DNS-Eintrag eines Dritten
hinzukommt und die DENIC diesen gerade erfasst.

        Daraus schliesse ich: Es ist egal, es geht so oder so auf die
DENIC hinaus. Nachdem alleine nur das Verschaffen schon ausreichend fuer
202a ist, kommt es nicht mehr darauf an, ob die Emails von den
DENIC-Mitarbeitern oder ob die Emails von dem neuen Registranten gelesen
werden oder nicht.

(+) 202a StGB

> Wenn keinerlei technische Sicherung vorhanden ist, greift der
> Tatbestand hier nicht, der ausgespähte hat Pech gehabt.

        Tja, das ist aber leider der Fall. Deswegen stoert mich das
auch. Es geht niemanden was an, welche Emails und welcher Emailverkehr
hier zwischen mir und Microsoft besteht. Dass Email-Schriftverkehr
vorhanden ist, konnte ich ohne Probleme beweisen. Ich hab die Emails
einfach ausgedruckt.

> Inwieweit man eine Datensatzänderung des DENIC hierein interpretieren
> kann, lasse ich einfach dahingestellt.
> 
> Ob und in wie weit ein DNS Eintrag der geändert wurde ein Überwinden
> einer Sicherung ist entzieht sich meiner Kenntniss.

        Es ist ein festes geordnetes System (gewesen). Weltweit einmalig
existierender DE-Domainnname, eindeutige Emailadresse mit der damit
verbundenen Zustellung von elektronischer Post per dieser technischen
Mitteln. Das war seit Jahren technisch abgesichert, zerstoert durch
DENIC-Mitarbeiter.

> Begünstigung einer Straftat auf Seiten Denic sehe ich ebenso nicht als
> gegeben, da dies nunmal eine Straftat vorraussetzt, welche wir oben
> verneint haben.

        Dem ist es eben nicht so.

        Im Zuge der Ermittlungen allerdings vermute ich einen anderen
Hintergrund, wie das bei der DENIC gelaufen ist. Es ist ein Hinweis bei
der DENIC eingegangen. Dann hat die Sachbearbeiterin (als Nichtjuristin)
der DENIC-Rechtsabteilung Anweisungen an die entsprechenden Technikern
gegeben. Mehr so eine Art "Routine" ohne auf die Feinheiten zu achten.
Jetzt hat die DENIC ein Problem, weil in der Tat nur ein "UPDATE" des
Providers erfolgen haette muessen, also die Einschaltung der DENIC als
Vollstreckungsorgan gar nicht erforderlich war und erforderlich sein
haette duerfen.

        Ich schaetze, die DENIC wird hier nur eine Geldstrafe erhalten
und die DENIC-Genossen werden sich daruber freuen, dass der ganze gruene
Verein noch vollstaendig ist.

> Es ist, wie bereits erwähnt, keine angenehme Situation für den/die
> betroffenen.

        Ich haette den 202a verneint, wenn eine DENIC-Sperrfrist auf den
Domainnamen gesetzt worden waere, also dass z.B. noch fuer 6 Monate
elektronische Post an den _richtigen_ Empfaenger gehen. Wenn der
Betroffene nach diesen 6 Monaten immer noch nichts dazu getan hat, diese
Aenderung in seinem Schriftverkehr mitzuteilen (aka "Achtung: ich habe
eine neue Emailadresse"), dann ist er selbst schuld.

(die 6-Monate Sperrfrist habe ich von der Rechtsabteilung der Deutschen
Bundespost)

Viele Gruesse
Rob Liebwein