Die Vizepräsidentin des obersten Gerichts Doris König vermutet einen "technischen" Fehler, wie sie gleich zu Beginn der Urteilsverkündung am Dienstagmorgen sagte. Wobei der Tatsache, dass am späten Montagabend plötzlich das Urteil des BVerfG zur Wahlrechtsreform der Ampelregierung im Netz kursierte, obwohl es erst am Dienstagmorgen verkündet werden sollte, dann wohl eher menschliches Versagen zugrunde lag – verursacht von einem Programmierer oder einem Mitarbeiter*.

Die Spur der spektakulären Vorab-Veröffentlichung führt zu einer Nachricht in dem sozialen Netzwerk Bluesky, das versucht, dem deutlich größeren Konkurrenten X (vormals Twitter) den Rang abzulaufen. Dort verbreitete ein Anonymus am Montagabend einen Link zu einer Fassung des Richterspruchs, die nur in Formalien etwas von der offiziellen Veröffentlichung am folgenden Morgen abwich (etwa indem Leitsätze fehlten und es sich um ein PDF handelte, was anders als etwa beim BGH beim Verfassungsgericht nicht Usus ist) und die die Karlsruher Höchstinstanz schleunigst stilllegte, ohne das kommentieren zu wollen.

Mehr hat der Karlsruher "Spiegel"-Korrespondent Dietmar Hipp herausgefunden. Auf seine Nachfrage behauptete jener Nutzer des "Blauen Himmels", er sei studierter Mathematiker und Hobby-Wahlforscher; seit mehr als zwanzig Jahren beschäftige er sich interessehalber mit Wahlen und Wahlrecht. Vor einigen Tagen sei ihm aufgefallen, dass das Serverdatum der Urteile, die das BVerfG ins Netz stellte, oft vor dem Verkündungsdatum lag. Und dass die Internetadressen einem bestimmten Muster folgten. Seinen Angaben nach hat er am Montag erstmals probiert, den entsprechenden Link zu finden – gleich beim ersten Versuch mit Erfolg. Ein Blick auf Bluesky zeigt außerdem den kleinen Seitenhieb des Nutzers: "Wenn das BVerfG in letzter Zeit nicht so wenig Entscheidungen veröffentlicht hätte, hätte ich übrigens keine Statistik dazu erstellt, bei der mir aufgefallen ist, dass die PDFs auf dem Server oft älter als die Veröffentlichung sind."

Leak oder Leck?

Ist das glaubhaft? Der Datenbankentwickler Christoph Schwalb schrieb dazu auf X: "Sehr interessant - und immer die gleichen Fehler! 😉  Nach dem gleichen Verfahren konnte man lange Zeit auch das BGBl. I schon am Tag vor Erscheinen abrufen, als es noch im Bundesanzeiger Verlag erschien." Auch die Softwareentwicklerin und Aktivistin Lilith Wittmann kommentierte dort, eigentlich sei es Stand der Technik, in professionellen Content-Management-Systemen (CMS), wenn etwas nicht veröffentlicht werden solle, den Inhalt nicht nur zu verstecken, sondern auch zu schützen.

Was die Frage aufwirft: Waren Zugriff und Veröffentlichung strafbar? Immerhin hat der Gesetzgeber im Jahr 2017 diverse neue Straftatbestände zur Bekämpfung der Computerkriminalität eingeführt bzw. erweitert. So mit § 202a StGB das "Ausspähen von Daten", um ausdrücklich auch das Hacking zu kriminalisieren. § 202b StGB ahndet das "Abfangen von Daten", § 202c StGB die Vorbereitung eines dieser beiden Delikte. Und dann gibt es da noch die Datenhehlerei (§ 202d StGB), die aber hier ausscheiden dürfte, da sich der "Täter" wohl weder bereichern noch andere schädigen wollte.

Strafbares Hacking?

Das wird nun im Internet fleißig diskutiert. Softwarespezialistin Willmann findet: "An öffentliche Informationen zu kommen, indem man URLS (Webadressen – die Red.) hochzählt, wird allgemein nicht als Hacking angesehen." Und ergänzt ironisch: "Ja, sowas passiert, wenn Systeme nicht so gebaut sind, dass sie die Datei, die nicht veröffentlicht ist, auch wirklich durch zB Authentifizierung schützen." Jemand anders empfahl vor der Urteilsverkündung belustigt, nun könnten die Richter und Richterinnen ja noch schnell das Urteil umschreiben, um das peinliche Durchsickern zu bemänteln. Der Freiburger Rechtsanwalt Stefan Ernst sagte gegenüber beck-aktuell auf Anfrage, Ferndiagnosen seien natürlich nicht möglich. Aber gegen eine Strafbarkeit spreche nach den bisherigen Erkenntnissen, dass weder ein Passwort geknackt noch ein besonders gesichertes Hindernis überwunden worden sei. Dies aber verlange § 202a StGB.

Der Düsseldorfer Rechtsanwalt Christian Franz, der unter anderem auf dem Gebiet des Datenschutzes arbeitete, postete: "Das Erraten von URLs, die einem vorhersehbaren Muster folgen, ist doch beim besten Willen kein 'Hacking'. Da fehlt es an einer 'besonderen Zugangssicherung' i.S.d. § 202a Abs. 1 StGB, auch wenn manche Gerichte da noch einen strengen Maßstab anlegen. Die Datei war schlicht online." Der Berliner Grünen-Politiker Johannes Mihram befand jedenfalls: "Man stelle sich vor, ein Durchsuchungsbeschluss für eine terroristische Vereinigung leakt vorher. Die Server der Justiz sollten sicher sein."

*Anm. d. Red.: Beispielhafte Aufzählung, kurz nach der Veröffentlichung "entgendert", um Missverständnissen vorzubeugen (pl, 31.07., 16:18 Uhr)