Im August 2012 führte der französische Aktivist Olivier Laurelli eine Google-Suche durch, die er später in seinem Blog als die "vermutlich teuerste in der bisherigen Geschichte Googles" bezeichnen sollte. Er hatte nach "Informationen zur aktuellen Situation in Syrien" gesucht und einen Link angeklickt, der ihn ins Extranet der französischen Behörde "Anses" führte (Agence nationale de securité sanitaire de l’alimentation, de l’environment et et du travail, auf Deutsch: Nationale Behörde für Lebensmittel-, Umwelt- und Arbeitssicherheit). Ein Extranet ist die Erweiterung eines firmen- oder behördeneigenen Intranets, das nur für bestimmte externe Nutzer zugänglich ist – beziehungsweise sein sollte.

Laurelli, in der französischen Blogosphäre bekannt als "bluetouff", lud von der Anses-Seite, die er über Google gefunden hatte, Dokumente im Gesamtumfang von acht Gigabyte herunter. Für den gesamten Vorgang wurde er am 5. Februar 2014 im Berufungsverfahren zu einer Zahlung von 3.000 Euro verurteilt.

Das ganze Verfahren fand überhaupt nur statt, weil Laurelli einen Teil der Dokumente weitergab, ohne sich bewusst zu sein, dass er sie gar nicht haben dürfte. Nach seinen Angaben kopierte er die Dokumente aus Bequemlichkeit auf einen anderen Rechner, um sie dort zu lesen. Später leitete er einen Teil an Yovan Menckevic weiter, der wie Laurelli für die Seite reflets.info schreibt und dort zusammen mit einem Artikel einige der Dokumente veröffentlichte.

Als Anses durch den Artikel das Leck bemerkte, war zunächst von "piratage informatique", also Hacking, die Rede. Der französische Inlandsgeheimdienst DCRI wurde mit der Untersuchung des Falles beauftragt und stieß schnell auf Laurelli. Der gab offen zu, die Dokumente im öffentlich zugänglichen Internet gefunden und heruntergeladen zu haben. Nachdem er im ersten Verfahren im April 2013 freigesprochen worden war, legte die Staatsanwaltschaft in Paris Berufung ein.

Schuldig in zwei von drei Anklagepunkten

In der neuen Gerichtsverhandlung war nicht mehr von "Hacken" die Rede, der Vorgang wurde rechtlich aufgeschlüsselt und Laurelli für drei separate Tatbestände angeklagt: Das unbefugte Eindringen in ein System ("introduction frauduleuse"), das unbefugte Verweilen in diesem System ("maintien frauduleux") und das unbefugte Entwenden von Dateien ("soustraction frauduleuse"). Die rechtliche Grundlage hierfür bildet Artikel 323-1 des französischen Strafgesetzbuches, der noch aus den achtziger Jahren stammt. "Die Gesetzesgrundlage ist im Vergleich zu manch anderen Paragraphen klar und gut geschrieben", meint Olivier Iteanu, Laurellis Anwalt, "aber das Gesetz bildet letztlich nur den Rahmen und muss interpretiert werden."

Für den ersten Anklagepunkt, das unbefugte Eindringen, wurde Laurelli erneut freigesprochen – immerhin hatte es die Behörde selbst verschuldet, dass er überhaupt auf deren Seite gelangt war. Schuldig gesprochen wurde er allerdings für die anderen beiden Punkte, das unbefugte Verweilen im betroffenen System und das Entwenden dort gefundener Dokumente.

"Ein Haus ohne Mauern, Fenster und Briefkasten"

An dem Urteil, das an den Fall von Andrew Auernheimer alias "Weev" in den USA erinnert, scheiden sich die Geister. Die spontane Reaktion vieler Blogger ist Empörung – wie konnte Laurelli dafür verurteilt werden, dass Anses ihr Exranet nicht ausreichend absicherte? Manche Seiten titeln zynisch "Blogger dafür verurteilt, dass er Google benutzen kann". Bloggende Juristen wiederum regen sich über die schlecht informierte Empörung auf.

Das Gericht erkennt an, dass Laurelli durch Nachlässigkeit seitens der Behörde in deren Extranet gelangt war, indem er über Google den direkten Link auf die Seite https://extranet.anses.fr/Docs fand. Laut Laurelli befand sich auf dieser Seite ein einfaches Verzeichnis – quasi eine Liste der dort gespeicherten Dateien, ohne jeglichen Hinweis darauf, für welche Öffentlichkeit sie bestimmt waren und in welchem Zusammenhang sie dort gespeichert waren. "Für alle Freunde der Analogie des offenen Hauses", schreibt Laurelli in seinem Blog, "versteht bitte, dass dieses Haus nicht einfach eine offene Tür hatte. Es hatte keine Mauern, keine Fenster und keinen Briefkasten."

Richter verkennen technische Realität

So klickte Laurelli sich in der Hierarchie der Seite weiter nach oben und landete auf der Hauptseite, extranet.anses.fr, auf der er nach einem Login gefragt wurde. Im Urteil heißt es, da die Hauptseite offensichtlich nur für bestimmte Personen gedacht war, hätte Laurelli auch davon ausgehen müssen, dass das Gleiche auf  "untergeordnete" Seiten zutraf. Er hätte sich daher der Tatsache bewusst sein müssen, dass er sich unbefugt in dem System aufhielt.

Diese Einschätzung verkennt die technische Realität: Wenn eine Hauptseite ein Login verlangt, bedeutet dies keinesfalls zwangsläufig, dass die gleiche Zugangssperre auch für alle untergeordneten Seiten gilt – die Hierarchie der Seiten muss mit der des Dateisystems nichts zu tun haben. "Ich werfe den Richtern nicht vor, ein falsches Urteil gefällt zu haben", betont Iteanu, "aber es ist natürlich problematisch, wenn sie den technischen Kontext, in dem sie urteilen, nicht verstehen." Aus diesem Grund hat er bereits angekündigt, nun seinerseits beim Cour de Cassation, dem höchsten Gericht Frankreichs, Berufung einzulegen, wo er auf eine erneute Revision des Urteils hofft.

Wo ist die Grenze zwischen gar keiner und mangelhafter Sicherung?

Laurellis Fall wirft einige Fragen auf: Das Eindringen in ein unzureichend geschütztes System ist ebenso strafbar wie das in ein perfekt abgesichertes. Doch wo genau verläuft die Grenze zwischen gar keiner und einer mangelhaften Sicherung? Die Entscheidung des französischen Gerichts impliziert, dass es in der Verantwortung der Nutzer liegt, alle Hinweise zu interpretieren und beim leisesten Zweifel aufzugeben. Genau diesen Teil der Entscheidung kritisiert Iteanu: "So ein Urteil wird Aktivisten, die im Internet recherchieren, zur Selbstzensur anhalten, im Zweifel werden sie auf Nummer sicher gehen und das Gefundene nicht veröffentlichen."

Ein weiterer Streitpunkt betrifft die technische Kompetenz der Richter: Wenn es an ihnen ist, zu entscheiden, welche Hinweise den Internetnutzern schlüssig klarmachen sollten, dass ein System "geschützt" ist, bräuchten sie mindestens das gleiche technische Wissen wie der Angeklagte. Ansonsten kommt es zu Situationen wie der in Paris: Die Richter legen eine technische Realität zugrunde, wie sie sie selbst verstehen und urteilen basierend darauf, Laurelli aber behauptet das Gegenteil und hat aus technischer Sicht Recht.

In Deutschland so nicht vorstellbar

Was im erneuten Berufungsverfahren noch einmal eine Rolle spielen könnte, ist der dritte Teil von Laurellis Urteil, das Entwenden von Daten: Datenträger wie USB-Sticks oder CDs können gestohlen werden. Dokumente kann man jedoch kopieren, ohne dass sie dem ursprünglichen Besitzer abhanden kommen. Ein "Diebstahl" von Daten ist in Frankreich strafrechtlich eigentlich nicht möglich.

In Deutschland wäre wohl bereits das zweite Urteil zu Laurellis Gunsten ausgefallen: Das Strafgesetzbuch definiert das "Ausspähen von Daten" als das Überwinden der Zugangssicherung zu "besonders gesicherten" Daten. "Der Fall macht ja gerade deutlich, dass dies nicht der Fall war. Allenfalls wollte Anses die Daten sichern, hat das aber nicht geschafft", meint Ulf Buermeyer, Richter am Landgericht Berlin, "und selbst, wenn man das als Sicherung interpretieren würde, fehlt es immer noch am Überwinden." Ein weiterer Unterschied ist, dass das deutsche Recht das Delikt des unbefugten "Verweilens" in einem fremden System nicht kennt. Gleiches gilt für das Konzept des "Diebstahls" von Dateien.

Aus Buermeyers Sicht wäre der heikelste Teil des Falles in Deutschland wohl nicht einmal die Beschaffung der Informationen an sich, sondern vielmehr die Publikation kompletter Dokumente – aus urheberrechtlichen Gründen.