Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Abogados
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Lexikon

Wiki»Legal Lexikon»IT Recht»Störung von Datenverarbeitungsanlagen

Störung von Datenverarbeitungsanlagen

Begriff und Einordnung: Störung von Datenverarbeitungsanlagen

Die Störung von Datenverarbeitungsanlagen bezeichnet rechtswidrige Eingriffe, die die Funktionsfähigkeit, Verfügbarkeit oder Integrität von informationstechnischen Systemen (z. B. Server, Netzwerke, Steuerungsanlagen, Cloud-Dienste) beeinträchtigen. Gemeint sind sowohl physische als auch digitale Handlungen, die den Betrieb behindern, unterbrechen oder erheblich erschweren. Das kann vom gezielten Überfluten eines Systems mit Anfragen bis zur Manipulation von Hard- oder Software reichen.

Was sind Datenverarbeitungsanlagen?

Unter Datenverarbeitungsanlagen versteht man technische Einrichtungen, die Daten erfassen, speichern, verarbeiten oder übertragen. Dazu gehören unter anderem Arbeitsplatzrechner, mobile Endgeräte, Server, Rechenzentren, Netzkomponenten, Maschinensteuerungen, industrielle Leit- und Automatisierungssysteme sowie verteilte Cloud-Infrastrukturen.

Abgrenzung zu anderen IT-bezogenen Rechtsbegriffen

Die Störung von Datenverarbeitungsanlagen richtet sich auf die Funktionsbeeinträchtigung des Systems. Davon abzugrenzen sind Handlungen, die primär auf Daten selbst zielen (z. B. Ausspähen, unbefugtes Verändern oder Löschen). In der Praxis überschneiden sich diese Bereiche häufig, etwa wenn ein System stillgelegt wird, indem zentrale Dateien oder Konfigurationen manipuliert werden.

Rechtliche Relevanz und Schutzgüter

Strafrechtliche Relevanz

Rechtsordnungen schützen die Verfügbarkeit und Funktionsfähigkeit von IT-Systemen. Wer Anlagen gezielt stört, kann strafrechtlich verfolgt werden. Typische Schutzgüter sind die Funktionsfähigkeit technischer Infrastrukturen, die Sicherheit des Datenverkehrs, der wirtschaftliche Betrieb und, bei bestimmten Einrichtungen, die öffentliche Sicherheit.

Zivilrechtliche Haftung

Betroffene können Ersatz ihrer Schäden verlangen, etwa für Betriebsunterbrechungen, Wiederherstellungskosten, Mehraufwände oder entgangenen Gewinn. In Betracht kommen Ansprüche aus unerlaubter Handlung, Eigentums- oder Besitzschutz, sowie aus vertraglichen Beziehungen (z. B. bei Ausfällen durch vertragliche Partner). Haftungsbeschränkungen in Verträgen und Mitverursachungsbeiträge können den Umfang beeinflussen.

Öffentlich-rechtliche und aufsichtsrechtliche Bezüge

Bei bestimmten Sektoren (z. B. Energie, Gesundheit, Verkehr, Finanzwesen) gelten erhöhte Anforderungen an Sicherheit und Störungsresilienz. Aufsichtsbehörden können Vorfälle prüfen, Anordnungen treffen und Sanktionen verhängen. Kommt es infolge einer Störung zu Beeinträchtigungen von Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten, können Melde- und Benachrichtigungspflichten bestehen.

Tatbestandliche Voraussetzungen

Tathandlungen

Als Störung kommen insbesondere folgende Handlungen in Betracht:

  • Digitale Eingriffe: Überlastungsangriffe (z. B. DoS/DDoS), Einschleusen schädlicher Software, unbefugte Systemkonfigurationen, Blockieren von Diensten, Sabotage durch Insider.
  • Physische Eingriffe: Beschädigung von Hardware, Unterbrechen von Strom- oder Netzwerkanbindungen, Manipulation von Kühlung oder Zugangskontrollen.
  • Indirekte Eingriffe: Ausnutzen von Schwachstellen in Zulieferketten oder bei Dienstleistern, die mittelbar den Betrieb stören.

Vorsatz und Fahrlässigkeit

Im Kernbereich geht es regelmäßig um vorsätzliche Eingriffe. Fahrlässiges Verhalten kann jedoch zivilrechtliche Haftung begründen und in bestimmten Konstellationen ordnungsrechtlich relevant sein, etwa wenn Sorgfaltspflichten zur Systemsicherheit verletzt werden und dadurch Störungen eintreten.

Versuch, Vorbereitung und Teilnahme

Bereits der Versuch einer Störung kann rechtlich erfasst sein, sofern das Verhalten die Schwelle zum „Jetzt geht es los“ überschreitet. Die Mitwirkung Dritter (Anstiftung, Unterstützung, Bereitstellen von Werkzeugen oder Infrastrukturen) kann zu eigener Verantwortung führen. Das Inverkehrbringen von Werkzeugen, die speziell zur Sabotage bestimmt sind, kann gesonderte Risiken auslösen.

Beteiligte und Verantwortliche

Täterkreis

In Betracht kommen externe Angreifer, Wettbewerber, unbefugte Nutzer sowie interne Personen mit Systemzugang (z. B. Beschäftigte, Vertragspartner). Die interne Stellung mindert die Rechtswidrigkeit nicht, wenn die Handlung außerhalb eingeräumter Befugnisse erfolgt.

Unternehmensverantwortung

Organisationen können für Handlungen ihrer Leitungspersonen oder Mitarbeitenden verantwortlich sein. Daneben sind aufsichtsrechtliche Konsequenzen möglich, wenn Organisations- und Überwachungspflichten verletzt wurden. Bußgelder und Auflagen kommen in Betracht.

Rolle von Dienstleistern

Bei ausgelagerten IT-Betriebsmodellen (z. B. Cloud, Hosting, Managed Services) stellen sich Fragen nach Verantwortungsbereichen, vertraglichen Pflichten, Reaktions- und Wiederherstellungszeiten sowie Haftungsgrenzen. Auch Mitwirkungshandlungen von Dienstleistern können rechtlich bewertet werden.

Beweis und Verfahren

Beweismittel und forensische Sicherung

Typische Beweise sind System- und Netzprotokolle, forensische Abbilder, Hardware-Spuren, Zugangsnachweise, Kommunikationsdaten sowie Dokumentationen zu Konfigurationen und Änderungen. Die Integrität der Beweise, nachvollziehbare Sicherungsschritte und lückenlose Dokumentation sind für die Verwertbarkeit entscheidend.

Zuständigkeit und internationale Bezüge

Störungen wirken häufig grenzüberschreitend. Zuständigkeitsfragen richten sich regelmäßig nach dem Ort der Handlung und der Wirkung. Internationale Zusammenarbeit, Auskunfts- und Rechtshilfewege sowie Provider-Schnittstellen spielen eine große Rolle.

Rechtsfolgen

Strafrechtliche Sanktionen

Möglich sind Geldstrafen und Freiheitsstrafen. Die Höhe orientiert sich unter anderem am Ausmaß der Störung, der betroffenen Infrastruktur, der Dauer, dem verursachten Schaden und etwaigen Gefährdungen. Qualifizierende Umstände (z. B. Auswirkungen auf kritische Dienste) können sich erhöhend auswirken.

Schadensersatz und Ausgleich

Erstattungsfähig sind typischerweise direkte Beseitigungs- und Wiederherstellungskosten, Aufwände für Untersuchungen, Ausfall- und Stillstandskosten, Mehrkosten für Ausweichlösungen sowie gegebenenfalls immaterielle Beeinträchtigungen. Mitverschulden, vertragliche Haftungsregime und Beweislastfragen sind maßgeblich.

Nebenfolgen

In Betracht kommen Einziehung von Tatmitteln, Sperrung oder Abschaltung missbräuchlich genutzter Ressourcen, behördliche Anordnungen zur Gefahrenabwehr, Veröffentlichungen aufsichtsrechtlicher Maßnahmen sowie register- und reputationsbezogene Konsequenzen.

Präventive Rahmenbedingungen

Organisatorische Sorgfaltspflichten

Betreiber sind gehalten, den Stand der Technik und angemessene Schutzmaßnahmen zu berücksichtigen. Dazu zählen klare Zuständigkeiten, Dokumentation, Risiko- und Notfallkonzepte, regelmäßige Überprüfungen und ein geordnetes Änderungs- und Berechtigungsmanagement. Bei Auftragsverhältnissen sind Verantwortlichkeiten vertraglich zu regeln.

Branchen- und Mindeststandards

In zahlreichen Branchen bestehen anerkannte Mindeststandards, Leitlinien und Prüfmaßstäbe für Informationssicherheit und Ausfallsicherheit. Deren Einhaltung kann bei der Bewertung von Sorgfaltspflichten und Verantwortlichkeit von Bedeutung sein.

Besondere Konstellationen

Störung durch Arbeitnehmer

Eigenmächtige Eingriffe können zu arbeitsrechtlichen Konsequenzen führen, etwa Abmahnung oder Beendigung des Arbeitsverhältnisses, und zusätzlich straf- und zivilrechtliche Folgen nach sich ziehen. Befugnisüberschreitungen sind rechtlich besonders gewichtig.

Störung durch Wettbewerber

Wettbewerbsbezogene Eingriffe können neben straf- und zivilrechtlichen Folgen auch lauterkeits- oder kartellrechtliche Aspekte berühren. Unterlassungs-, Beseitigungs- und Schadensersatzansprüche sind möglich.

Störung im Kontext kritischer Infrastrukturen

Bei Einrichtungen mit zentraler Bedeutung für Versorgung und Sicherheit gelten erhöhte Anforderungen. Störungen können gravierende Folgen haben und besonders strenge aufsichtsrechtliche Reaktionen auslösen.

Minderjährige und Heranwachsende

Auch Minderjährige können verantwortlich gemacht werden. Bei der Bewertung spielen Einsichtsfähigkeit, Entwicklungsstand und erzieherische Maßnahmen eine Rolle; Sanktionen und Reaktionen unterscheiden sich von denen bei Erwachsenen.

Abgrenzungsbeispiele

Typische Fallgruppen

Innerbetriebliche Fehlkonfiguration

Unbeabsichtigte Fehlkonfigurationen können Anlagen ausfallen lassen. Strafrechtlich steht hier meist nicht Vorsatz im Vordergrund; zivil- und aufsichtsrechtliche Folgen sind jedoch möglich, insbesondere bei Sorgfaltspflichtverstößen.

Überlastungsangriff (DoS/DDoS)

Gezieltes Überfluten von Diensten mit Anfragen mit dem Ziel, die Verfügbarkeit zu beeinträchtigen, gilt als klassische Form der Störung und ist regelmäßig rechtswidrig.

Physische Sabotage im Rechenzentrum

Das Abschalten von Stromzufuhr, Kühlung oder Netzwerkzugängen beeinträchtigt unmittelbar die Funktionsfähigkeit und ist rechtlich besonders schwerwiegend.

Manipulation industrieller Steuerungen

Eingriffe in Produktions- oder Versorgungssteuerungen können erhebliche Sach- und Folgeschäden nach sich ziehen und werden streng bewertet, insbesondere bei Gefährdung von Sicherheit und Gesundheit.

Häufig gestellte Fragen

Was zählt rechtlich als Datenverarbeitungsanlage?

Erfasst sind alle technischen Einrichtungen, die Daten erfassen, speichern, verarbeiten oder übertragen. Dazu gehören Arbeitsplatzrechner, Server, Netzwerke, Cloud-Dienste, mobile Geräte sowie industrielle Leit- und Automatisierungssysteme.

Wann liegt eine Störung im Rechtssinn vor?

Eine Störung liegt vor, wenn die Funktionsfähigkeit, Verfügbarkeit oder Integrität der Anlage spürbar beeinträchtigt wird. Erforderlich ist eine nicht nur unerhebliche Beeinträchtigung, etwa Ausfälle, erhebliche Verlangsamungen oder blockierte Funktionen.

Reicht ein kurzzeitiger Ausfall aus?

Auch kurze Ausfälle können erfasst sein, wenn sie das System in relevanter Weise beeinträchtigen. Dauer, Intensität und Auswirkungen auf den Betrieb sind maßgebliche Faktoren der Bewertung.

Ist unbeabsichtigtes Handeln erfasst?

Unbeabsichtigte Handlungen stehen im Strafrecht regelmäßig nicht im Fokus, können aber zivil- oder aufsichtsrechtlich relevant sein, insbesondere bei Verletzung anerkannter Sorgfaltspflichten.

Worin unterscheidet sich die Störung der Anlage vom Angriff auf Daten?

Die Störung richtet sich auf die Funktionsfähigkeit des Systems. Ein Angriff auf Daten betrifft vor allem Vertraulichkeit, Integrität oder Verfügbarkeit der Daten selbst. Beide Bereiche können sich überschneiden.

Wer haftet bei Störungen durch Dienstleister?

Die Haftung richtet sich nach den vertraglichen Regelungen, dem Verantwortungsbereich, der Pflichtenzuordnung und der konkreten Verursachung. Je nach Konstellation können Auftraggeber, Auftragnehmer oder beide in Anspruch genommen werden.

Wie wird bei grenzüberschreitenden Vorfällen die Zuständigkeit bestimmt?

Maßgeblich sind der Ort der Tathandlung und der Erfolgsort. In vielen Fällen kommt internationale Zusammenarbeit in Betracht; Ermittlungen und Rechtsdurchsetzung können mehrere Staaten betreffen.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen