Page - 425 - in Das materielle Computerstrafrecht

425 Dogmatische Betrachtung des Computerstrafrechts im engen Sinn Christian Bergauer • Das materielle Computerstrafrecht ¶ bank des Betreibers stets eindeutig sein muss und daher nur einmal vorkommen darf. Freilich können auch systemgenerierte Pseudonyme, die ein Identifizierungsmerkmal zB durch eine Buchstaben- und / oder Zahlenfolge ersetzen sollen, als personalisierte Zugangskennung her- angezogen werden.2064 In diesen Fällen lässt sich nur bei Kenntnis des verwendeten Algorithmus 2065 ein Personenbezug herstellen. Gleichgültig, ob der Benutzername aus dem vollständigen Namen, aus Namensteilen des Berechtigten, Pseudonymen oder aus willkürli- chen Zeichenketten besteht, er wird zumindest als » indirekt personen- bezogenes Datum « iSd § 4 Z 1 letzter Satz DSG 2000 zu qualifizieren sein, da – abgesehen vom Inhaber des Benutzernamens selbst – lediglich für den Betreiber der Datenanwendung bzw datenschutzrechtlichen Auf- traggeber die Identität dieser konkreten Person ( seines Kunden ) mit rechtlich zulässigen Mitteln bestimmbar ist. Somit liegen zweifelsohne personenbezogene Daten vor. Im Gegensatz zum Benutzernamen kann jedoch ein Passwort diese Datenqualität nicht erfüllen, da nicht einmal der Betreiber der Datenanwendung auf Grund der Kenntnis eines Pass- wortes – ohne Verbindung zum Benutzernamen – einen Personenbe- zug herstellen kann. Passwörter lassen idR nicht auf verlässliche ( auch personenbezogene ) Inhaltsdaten schließen, denn selbst wenn ein be- stimmter Personenname als Passwort verwendet würde, hieße das nicht, dass es sich dabei auch um den Namen des Passwortinhabers handelt. Und selbst wenn doch, so verhindern prinzipiell Namensgleichheiten eine treffsichere Bestimmbarkeit. Darüber hinaus könnten viele Nutzer unabhängig und unwissend voneinander auch dasselbe Passwort ver- wenden, was ebenfalls ohne eine weitere Datenverknüpfung keine Indi- vidualisierung zulässt. Auch wären willkürliche Zahlenfolgen vermischt mit diversen Sonderzeichen als Passwörter denkbar, deren Zusammen- setzung keine intendierte Semantik aufweist. Daher sind Passwörter im Allgemeinen keine codierten Identitätsdaten, wie zB Benutzernamen, Kontonummern oder Kreditkartennummern, die der berechtigte In- haber mit dem entsprechenden Entschlüsselungscode auflösen kann. Passwörter teilen deshalb das ( datenschutzrechtliche ) Schicksal anony- mer Daten und unterliegen daher in dieser Form – dh sofern sie nicht 2064 Vgl Jahnel in Jahnel, Jahrbuch 2008, 27 ( 37 ); Dohr / Pollirer / Weiss / Knyrim, DSG 2 § 4 Anm 2. 2065 Rechenvorschrift oder Handlungsanweisung ( siehe zu Algorithmen allgemein Kersken, IT-Handbuch 5, 33 f bzw 91 ).