Kinderbilder in sozialen Netzwerken und Fehler-Scans im Internet: Zwei neue Fälle vor dem ATHENE-Simulationsgericht
Ein Vater veröffentlicht auf einer Social-Media-Plattform regelmäßig Fotos seiner drei Kinder und verletzt damit deren Persönlichkeitsrechte; eine Cybersicherheitsforscherin scannt die Internetzugänge einer Firma, verursacht dadurch einen Ausfall der Internetseite der Firma und muss für den so entstandenen Schaden aufkommen: Diese zwei Fälle wurden am 19. Juni 2026 vor einem Simulationsgericht am Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE verhandelt, um für mehr Klarheit im IT-Recht zu sorgen. Die Urteilsbegründungen der Richter werden in Kürze in wissenschaftlichen Beiträgen veröffentlicht. Mehr Infos zu den Simulationsstudien, vorherigen Urteilen und Möglichkeiten, selbst einen Fall einzureichen, finden sich unter https://www.athene-center.de/leap-simulationsstudien.
Wenn Eltern Fotos ihrer Kinder in den sozialen Netzwerken teilen, spricht man von Sharenting. Viele Eltern tun das, doch dürfen sie das? Mit dieser Fragestellung befasste sich der dritte simulierte Gerichtsprozess bei ATHENE. Richter, Staatsanwaltschaft und Verteidigung tragen wie vor einem regulären Gericht schwarze Roben, der Prozess findet allerdings in einem Konferenzraum des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt statt und nicht in einem Gerichtssaal. Denn hier veranstaltet seit 2024 das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE simulierte Gerichtsprozesse, in denen echte Richter über fiktive, aber realitätsnahe Fälle entscheiden, um im Bereich des IT-Rechts – besonders in der Cybersicherheitsforschung – die Rechtssicherheit zu erhöhen.
Sharenting kann teuer werden
Angeklagt war ein Vater, der regelmäßig Bilder und Videos seiner drei kleinen Kinder auf einer Social-Media-Plattform postete und damit auch über Werbeeinnahmen Geld verdiente. Unter den Postings war eine Aufnahme des dreijährigen Sohnes, wie er nackt im Planschbecken spielt, ein Foto seiner Tochter (6 Jahre) auf der Toilette sitzend sowie ein Video seines ältesten Sohns (7 Jahre), in dem das Kind weint, nachdem der Vater es angeschrien hat. Zusätzlich zum Bildmaterial veröffentlichte der Vater in den Postings auch regelmäßig Ortsangaben sowie weitere private Informationen. Die vom Vater geschiedene Mutter wusste nichts von den Postings; als sie davon erfuhr, zeigte sie ihn an.
Das Gericht verurteilte den Vater zu einer Geldstrafe, 120 Tagessätze zu 60 Euro (7200 Euro; das Nettomonatseinkommen des Vaters beläuft sich ohne die Werbeeinnahmen aus seinem Kanal auf 1.900 Euro). Außerdem wurde sein Smartphone, mit dem er die Aufnahmen angefertigt hatte, eingezogen und er muss die durch die Tat erzielten Werbeeinnahmen von 75 Euro an den Staat herausgeben. Der Richter begründete sein Urteil mit der Verletzung des höchstpersönlichen Lebensbereichs der drei Kinder. Die Bilder hatte der Vater in der Wohnung aufgenommen und somit in einem geschützten, privaten Raum. Mit dem Video des weinenden Jungen hatte der Vater sich ebenfalls strafbar gemacht, indem er die Hilflosigkeit des Jungen zur Schau gestellt hatte. Als besonders problematisch würdigte das Gericht die Veröffentlichung der angefertigten Aufnahmen.
Dieser fiktive, aber realitätsnahe Fall zeigt, dass der Schutz von Kindern im Internet auch stark von dem Verhalten ihrer eigenen Eltern beeinflusst werden kann. Um die Risiken des umfangreichen Postens von Informationen über die eigenen Kinder aufzuzeigen, planen die ATHENE-Forschenden in den kommenden Jahren, weitere fiktiver Sharenting-Fälle vor das Simulationsgericht zu bringen.
Ist ein Portscan eine unerlaubte Handlung?
"Aufruf der Sache Alpha GmbH gegen A" eröffnet der Richter den zweiten Fall vor dem Simulationsgericht. Die Cybersicherheitsforscherin A hatte mehrere sogenannte Portscans durchgeführt. Portscans sind automatisierte Scans im Internet, die offene Netzwerkzugänge und erreichbare Dienste aufspüren. Ziel ihrer Forschung war, die Sicherheit von Serverkonfigurationen zu verbessern. Dieser großangelegte Scan untersuchte auch einen Server der Alpha GmbH, welcher daraufhin seinen Online-Zugang für längere Zeit automatisch sperrte.
Um zu noch genaueren Forschungsergebnissen zu kommen, führte die Wissenschaftlerin eine zweite Runde von Portscans durch. Dafür nutzte sie jetzt zusätzlich ein Plugin, das sie aus dem Darknet heruntergeladen hatte. Zwar hatte sie das Tool in einer sicheren Umgebung getestet, den Quellcode allerdings nicht angeschaut. Deshalb bemerkte sie nicht, dass die Funktion des Plugins weit über einen bloßen Portscan hinausging: Das Plugin spürte nicht nur Schwachstellen auf, sondern nutzte diese auch direkt aus. Das sorgte bei der Alpha GmbH für erheblichen Schaden: Es kam zu diversen Fehlfunktionen und Neustarts ihres Online-Datenbankdienstes. Um nach diesem versehentlichen Angriff wieder voll funktionstüchtig zu werden, musste die Alpha GmbH einen IT-Dienstleister beauftragen, der 2750 Euro kostete.
Das Gericht verurteilte die Forscherin in einem Zivilverfahren zu einer Schadensersatzzahlung von 2750 Euro an die geschädigte Alpha GmbH. Den zuerst durchgeführten, normalen Portscan sah der Richter nicht als unerlaubte Handlung an. Den erweiterten Portscan mit Plugin aus dem Darknet allerdings wertete er als rechtswidrige Handlung. Da die Forscherin fahrlässig gehandelt hatte, wurde sie zum Ersatz des entstandenen Schadens verpflichtet.
Die detaillierte Darstellung der verhandelten Fälle sowie die Entscheidungen der Richter im Rahmen der Simulationsprozesse werden für den Portscan-Fall gegen Jahresende in der Buchreihe „Rechtsrahmen der Cybersicherheit und Privatheit“ des Verlags Springer-Vieweg und für den Sharenting-Fall in der November-Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) veröffentlicht.
Kontakt
Oliver Küch
PR & Marketing | Innovation Manager Fraunhofer SIT