Oberster Gerichtshof schränkt den Geltungsbereich des Gesetzes über Computerbetrug und -missbrauch ein

Am 3. Juni 2021 hat der Oberste Gerichtshof der Vereinigten Staaten den Anwendungsbereich des Computer Fraud and Abuse Act (CFAA) in der Rechtssache Van Buren gegen Vereinigte Staatenerheblich eingeschränkt. In diesem mit Spannung verfolgten Fall entschied der Gerichtshof, wann eine Person gemäß dem Computer Fraud and Abuse Act (18 U.S.C. § 1030(a)(2)) „die autorisierte Zugriffsberechtigung überschreitet”, und stellte fest, dass ein Polizeibeamter aus Georgia nicht gegen den CFAA verstoßen hatte, als er seine autorisierte Zugriffsberechtigung auf Regierungsunterlagen überschritt. Das Gericht entschied mit 6:3 Stimmen gegen die Regierung, dass eine Person, die zum Zugriff auf bestimmte Bereiche eines Computers berechtigt ist, nicht „den autorisierten Zugriff” gemäß dem CFAA überschreitet, selbst wenn die Person auf diese Bereiche des Computers für einen verbotenen Zweck zugegriffen hat. Das Urteil hat nicht nur wichtige Auswirkungen auf die Strafverfolgung, sondern auch auf private Kläger, die sich auf die private Klagebefugnis des CFAA wegen angeblichen unzulässigen Zugriffs auf ihre Systeme berufen haben. 

Hintergrund

In Van Buren nahm Herr Van Buren, ein Polizeibeamter aus Georgia, 6.000 Dollar von einem Bekannten an, um seinen Zugang zur Datenbank des Georgia Crime Information Center zu nutzen und herauszufinden, ob eine potenzielle Liebespartnerin eine verdeckte Ermittlerin war. Herr Van Buren war nur berechtigt, für „Strafverfolgungszwecke” auf die Datenbank zuzugreifen, griff jedoch dennoch für seinen Bekannten auf die Informationen zu. Wie sich herausstellte, war der Bekannte ein FBI-Informant in einer verdeckten Ermittlung. Herr Van Buren wurde gemäß dem CFAA angeklagt und verurteilt, weil er seine Zugriffsrechte auf die Datenbank durch die Nutzung für einen nicht autorisierten Zweck überschritten hatte. Der Elfte Bundesberufungsgerichtshof bestätigte Van Burens Verurteilung gemäß dem CFAA und lehnte eine engere Auslegung des CFAA ab.

Die Vorinstanzen waren sich uneinig über die Bedeutung des Begriffs „Überschreitung der autorisierten Zugriffsrechte“, der in 18 U.S.C. § 1030(e)(6) definiert ist. Der Erste, Fünfte, Siebte und Elfte Gerichtsbezirk haben den Begriff weit ausgelegt und „Überschreitung der autorisierten Zugriffsrechte“ so interpretiert, dass er auch den Zugriff auf Informationen auf einem Computer zu einem Zweck umfasst, der vom Arbeitgeber oder den Nutzungsbedingungen verboten ist. Die zweite, vierte und neunte Instanz hingegen haben eine engere Auslegung von „Überschreitung des autorisierten Zugriffs“ gewählt, bei der nicht berücksichtigt wird, ob die Informationen für einen unzulässigen Zweck verwendet wurden. Nach der Auslegung dieser Instanzen kann eine Haftung nach dem CFAA nicht gegen eine Person geltend gemacht werden, die auf einen Bereich eines Computers zugegriffen hat, für den sie eine Zugriffsberechtigung hatte, selbst wenn sie dies für einen unzulässigen Zweck getan hat.

Entscheidung und mögliche Auswirkungen

Der Oberste Gerichtshof entschied sich für die engere Auslegung und stellte fest, dass eine Person den „autorisierten Zugriff” auf einen Computer nicht „überschreitet”, wenn sie diesen Zugriff nutzt, um Informationen für einen nicht autorisierten Zweck zu erhalten oder zu verändern. Das Gericht führte Bedenken an, dass die weiter gefasste Auslegung es Staatsanwälten oder privaten Einrichtungen ermöglichen würde, Ansprüche aufgrund einer Vielzahl relativ harmloser Aktivitäten geltend zu machen, wie beispielsweise wenn ein Mitarbeiter gegen eine Arbeitsplatzrichtlinie verstößt, um soziale Medien auf einem Unternehmensgerät zu nutzen. „Die Auslegung der Klausel ‚überschreitet den autorisierten Zugriff‘ durch die Regierung würde eine atemberaubende Menge alltäglicher Computeraktivitäten mit strafrechtlichen Sanktionen belegen“, schrieb Richterin Amy Coney Barrett für die Mehrheit. Ebenso argumentierten Cybersicherheitsexperten, dass eine weiter gefasste Auslegung des CFAA dazu genutzt werden könnte, White-Hat-Hacker und andere zu verfolgen, die während gut gemeinter Untersuchungen gegen die Nutzungsbedingungen einer Website verstoßen.

Die Entscheidung des Obersten Gerichtshofs schränkt die rechtlichen Mittel und Theorien ein, die Unternehmen und anderen privaten Parteien für bestimmte Arten der unbefugten Nutzung ihrer Computer, Netzwerke und Websites zur Verfügung stehen. Der CFAA sieht eine private Klagebefugnis vor, um Schadenersatz und Unterlassungsansprüche für dasselbe Verhalten zu erlangen, das strafrechtlich verfolgt werden kann, basierend auf derselben gesetzlichen Definition, wann eine Person „den autorisierten Zugriff überschreitet”. Die Van-Buren-Entscheidung verbietet wahrscheinlich solche Klagen, wenn die behauptete Überschreitung des autorisierten Zugriffs lediglich auf dem Zugriff einer Person auf Informationen beruht, der zwar im Rahmen der Berechtigungen dieser Person lag, jedoch für einen unbefugten Zweck erfolgte.

Die Entscheidung befasst sich jedoch nicht mit der Frage, welche Sicherheitsmaßnahmen als ausreichend angesehen werden, um den Zugriff einer Person auf Informationen zu verhindern, sodass eine Person, die diese Sicherheitsmaßnahmen umgeht, gemäß dem CFAA „den autorisierten Zugriff überschritten“ hat. In dieser Hinsicht bietet die Entscheidung zusätzliche Verteidigungsmöglichkeiten gegen CFAA-Klagen und wird wahrscheinlich zu weiteren Rechtsstreitigkeiten darüber führen, was als „autorisierter Zugriff“ gilt. Soweit eine Person Zugriff auf einen Computer erhält , zu dem sie nicht berechtigt ist , sind Ansprüche nach dem CFAA weiterhin möglich. 

Im Beschäftigungskontext legt die Entscheidung nahe, dass ein Arbeitgeber möglicherweise keine CFAA-Ansprüche mehr gegen einen Insider geltend machen kann, der Unternehmenscomputer missbraucht, um Geschäftsgeheimnisse einzusehen, wenn dieser Insider zur Nutzung der betreffenden Computer berechtigt war. Darüber hinaus können weiterhin andere Rechtstheorien zur Anwendung kommen, wie beispielsweise das Bundesgesetz zum Schutz von Geschäftsgeheimnissen (Defend Trade Secrets Act, DTSA) oder das einzelstaatliche Recht zu Geschäftsgeheimnissen, Delikten, Hausfriedensbruch und Verträgen. 

Van Burenhat auch Auswirkungen auf Websites. Die Entscheidung legt nahe, dass eine Person nicht gegen den CFAA verstößt, wenn sie gegen die Nutzungsbedingungen einer Website oder eine andere Online-Lizenzvereinbarung verstößt. Dies kann sich auf Streitigkeiten auswirken, an denen Unternehmen beteiligt sind, die unter Verstoß gegen die Nutzungsbedingungen öffentlich zugänglicher Websites Daten von diesen Websites „abgreifen”. Der Oberste Gerichtshof hat einen Antrag auf Überprüfung der RechtssachehiQ Labs, Inc. gegen LinkedIn Corp., 938 F.3d 985 (9th Cir. 2019) anhängig, in dem der Ninth Circuit einen Antrag auf eine einstweilige Verfügung abgelehnt hat, mit der Begründung, dass das „Scraping“ von Informationen aus LinkedIn unter Verstoß gegen die Nutzungsbedingungen von LinkedIn wahrscheinlich keinen Verstoß gegen den CFAA darstellt, da hiQ nur auf öffentlich zugängliche Informationen zugegriffen hat. Die Entscheidung in der Rechtssache Van Buren deutet darauf hin, dass die Entscheidung des Ninth Circuit wahrscheinlich richtig ist. Es ist jedoch unklar, ob der Oberste Gerichtshof zu derselben Entscheidung kommen würde, wenn ein Nutzer die technischen Maßnahmen des Website-Betreibers zur Verhinderung eines weiteren Zugriffs umgangen hätte, beispielsweise durch Blockieren der IP-Adresse des Nutzers oder durch Beschränken des Zugriffs auf Informationen durch die Verwendung eines CAPTCHA. Auch diese Fragen werden wahrscheinlich weiter verhandelt werden.

Empfehlungen für Unternehmen

Unternehmen, die den CFAA in ihrem Rechtsarsenal behalten möchten, sollten erwägen, den Zugriff auf bestimmte Bereiche ihrer Computersysteme, Netzwerke und Websites strenger zu beschränken und sicherzustellen, dass diese Zugriffsbeschränkungen auch durchgesetzt werden. Wenn beispielsweise einem Mitarbeiter umfassender Zugriff auf bestimmte Informationen im Computersystem seines Arbeitgebers gewährt wird, kann der Arbeitgeber wahrscheinlich keinen CFAA-Anspruch geltend machen, selbst wenn die Richtlinien oder Nutzungsbedingungen des Unternehmens die Verwendung dieser Informationen durch den Mitarbeiter auf bestimmte Zwecke beschränken. Stattdessen sollten Unternehmen die Sicherheitsmaßnahme „Least Privilege“ (geringstmögliche Berechtigungen) anwenden und nur den Mitarbeitern Zugriff auf sensiblere Informationen oder Geschäftsgeheimnisse gewähren, die diesen Zugriff wirklich benötigen. Natürlich ist ein maßgeschneiderter Zugriff mit höheren Kosten und einem größeren Verwaltungsaufwand verbunden. Unternehmen, die diese Praxis anwenden, können jedoch sowohl einen CFAA-Anspruch geltend machen, wenn ein Mitarbeiter dennoch auf die Informationen zugreift, als auch die allgemeine Systemsicherheit im Einklang mit den Best Practices der Branche erhöhen.