Aufsatz
RA Alexander Schultz
Neue Strafbarkeiten und Probleme - Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20.09.2006*
MIR 2006, Dok. 180, Rz. 1-52
1
I. Einleitung
Am 20. September 2006 hat die Bundesregierung der Öffentlichkeit den Entwurf eines neuen Strafrechtsänderungsgesetzes[1] zur Bekämpfung der Computerkriminalität vorgelegt.[2] Mit den Gesetzesänderungen und Neuerungen plant das Bundeskabinett die Umsetzung der von Deutschland ratifizierten "Convention on Cybercrime" vom 21. September 2001[3] und des europäischen Rahmenbeschlusses 2005/222/JI vom 24. Februar 2005[4]. Handlungsbedarf besteht allemal, da sich viele neue Phänomene aus dem Bereich der Informations- und Kommunikationskriminalität (Mediendelikte) nur noch schwerlich unter die bestehenden Strafvorschriften des nationalen Rechts subsumieren lassen.
Am 20. September 2006 hat die Bundesregierung der Öffentlichkeit den Entwurf eines neuen Strafrechtsänderungsgesetzes[1] zur Bekämpfung der Computerkriminalität vorgelegt.[2] Mit den Gesetzesänderungen und Neuerungen plant das Bundeskabinett die Umsetzung der von Deutschland ratifizierten "Convention on Cybercrime" vom 21. September 2001[3] und des europäischen Rahmenbeschlusses 2005/222/JI vom 24. Februar 2005[4]. Handlungsbedarf besteht allemal, da sich viele neue Phänomene aus dem Bereich der Informations- und Kommunikationskriminalität (Mediendelikte) nur noch schwerlich unter die bestehenden Strafvorschriften des nationalen Rechts subsumieren lassen.
2
Die vorgeschlagenen Änderungen und Neuerungen haben weitreichende Folgen. Jede einzelne Norm birgt Stoff für eine umfangreiche Besprechung und Kommentierung. Daher kann im Folgenden nur Rücksicht auf einige wenige Modi Operandi genommen werden. Ein besonderes Gewicht soll auf den geplanten Tatbeständen der §§ 202a, 202b und 202c StGB sowie den Phänomenen Hacking (im weitesten Sinne) und Phishing liegen. Bereits vorweg lässt sich sagen, dass die Begründung des Gesetzesvorschlags enttäuschend knapp ausgefallen ist. Einige Phänomene finden zwar Erwähnung und Berücksichtigung, doch zieht sich die Begründung häufig auf bekannte Oberbegriffe und Schlagwörter zurück, die den in Betracht kommenden Fallvarianten nicht gerecht werden. Wer sich mit Computerkriminalität befasst, stellt schnell fest, dass die vielen unterschiedlichen Ausführungsmöglichkeiten und technischen Details das eigentliche Problem bei der rechtlichen Würdigung sind.
3
Ein gutes Beispiel dafür sind die diversen Phishing-Varianten, die rechtlich nur sehr schwer eingeordnet werden können. Eine Strafbarkeit wegen Betrugs scheidet im Regelfall aus, da nach der Handlung des Phishing-Opfers häufig noch weitere Zwischenschritte verwirklicht werden müssen, damit es letztlich zu einem Vermögensschaden oder einer konkreten Vermögensgefährdung kommt (mangelnde Unmittelbarkeit). Der Täter, der die Vermögensverfügung per Online-Banking mit der ausgespähten PIN/TAN vornimmt, macht sich zwar letztlich wegen Computerbetrugs gem. § 263a Abs. 1 StGB strafbar, doch wird man seiner Person in den seltensten Fällen habhaft. Zumeist scheidet auch entgegen anderer Ansicht[5] eine Strafbarkeit wegen Ausspähens von Daten gem. § 202a Abs. 1 StGB aus, da beim Social-Engineering[6] weder ein unmittelbarer Zugriff auf (i.S.d. § 202a StGB gespeicherte oder übertragene) Daten erfolgt, noch wird der Täter durch eine besondere (physikalische oder technische) Zugangssicherung behindert.[7] Vielmehr überträgt das Opfer seine Daten freiwillig aufgrund einer Legende (Täuschung), die ihm gegenüber aufgebaut wird. Viele Phisher führen im Endeffekt die schädigende Vermögensverfügung auch gar nicht selbst aus, sondern bedienen sich eines ganzen Netzwerkes von Gehilfen oder so genannter (teilweise gutgläubiger) Finanzagenten.[8]
4
Hinzu kommt, dass es bei Taten mit Bezug zur organisierten Kriminalität akribischer Ermittlungsarbeit bedarf, um (Mit)-Täterschaften und Beihilfen lückenlos nachweisen zu können. Wie fast alle Bereiche der organisierten Kriminalität beruht auch das Phishing auf dem Prinzip der Arbeitsteilung und erreicht erst dadurch seine hochgradig schädigende Qualität. Professionell organisierte Gruppen verwenden Botnets/ Zombies, Proxies oder Anonymisierungsdienste. Daher ist es der Polizei häufig unmöglich, einzelne Tatbeiträge einer bestimmten Person zuzuordnen. Für das Übrige sorgt die Unlust der Banken, ihre Online-Banking-Verfahren auf täuschungssicherere Verfahren umzustellen.
5
In Anbetracht dessen, verwundert es schon, dass in der Presseerklärung des Bundesjustizministeriums nur lapidar erwähnt wird, dass Phishing bereits nach geltendem Recht strafbar sei. Zuletzt kam in der rechtstheoretischen Diskussion die Idee auf, beim Phishing eine Strafbarkeit nach § 269 Abs. 1 StGB ("Fälschung beweiserheblicher Daten") anzunehmen. Diese Lösung ist allerdings umstritten, was mit dem Verständnis des Urkundenbegriffs und der Flüchtigkeit des Mediums Internet (mangelnde Perpetuierung und Beweiskraft) zusammenhängt. Auch hilft § 269 Abs. 1 StGB nicht über den Umstand hinweg, dass es so gut wie nie gelingt, die Hintermänner von Phishing-Sites oder Phishing-Emails zu identifizieren.
6
In der folgenden Besprechung werden die geplanten Gesetzesänderungen mit dem Zusatz "n.F." gekennzeichnet.
7
II. Die Auswirkungen des geplanten Änderungsgesetzes
1. § 202a Abs. 1 StGB n.F.
a) Erweiterung des Schutzgutes
Der Wortlaut des § 202a Abs. 1 StGB n.F. trägt der Regelung des Art. 2 S. 1 der CyberCrime-Konvention ("illegal access") Rechnung, wonach die Vertragsparteien unrechtmäßige Zugriffe auf Rechnersysteme unter Strafe stellen sollen. Damit bezweckt § 202a Abs. 1 StGB n.F. neben dem Geheimnisschutz[9] nun auch den Integritätsschutz.
1. § 202a Abs. 1 StGB n.F.
a) Erweiterung des Schutzgutes
Der Wortlaut des § 202a Abs. 1 StGB n.F. trägt der Regelung des Art. 2 S. 1 der CyberCrime-Konvention ("illegal access") Rechnung, wonach die Vertragsparteien unrechtmäßige Zugriffe auf Rechnersysteme unter Strafe stellen sollen. Damit bezweckt § 202a Abs. 1 StGB n.F. neben dem Geheimnisschutz[9] nun auch den Integritätsschutz.
8
b) Was bleiben und was sich ändern soll
aa) Was sind eigentlich Daten i.S.d. § 202a StGB?
Weder in 202a Abs. 2 noch in der neuen Fassung liefert der Gesetzgeber eine Legaldefinition des Datenbegriffs. Zwar wird der Begriff der Daten in § 202a Abs. 2 StGB konkretisiert, doch was nun genau "Daten" sein sollen, definiert die Vorschrift damit noch nicht. Kurz gefasst lässt sich sagen, dass Daten i.S.d. § 202a Abs. 2 StGB als kodierte Informationen verstanden werden, die für den Menschen nicht unmittelbar wahrnehmbar sind.[10] Diese Informationen werden durch (Programmier-)Sprachen wieder wahrnehmbar gemacht, wobei sich die Sprachen über eine festgelegte Zeichenfolge (= Syntax) definieren. Erst die Verwendung solcher sprachlicher Regelwerke ermöglicht es, Informationen in Daten zu kodieren und bei Bedarf wieder zu dekodieren, ohne dass sich dabei der Umfang oder die Anordnung der Informationen ändert.
aa) Was sind eigentlich Daten i.S.d. § 202a StGB?
Weder in 202a Abs. 2 noch in der neuen Fassung liefert der Gesetzgeber eine Legaldefinition des Datenbegriffs. Zwar wird der Begriff der Daten in § 202a Abs. 2 StGB konkretisiert, doch was nun genau "Daten" sein sollen, definiert die Vorschrift damit noch nicht. Kurz gefasst lässt sich sagen, dass Daten i.S.d. § 202a Abs. 2 StGB als kodierte Informationen verstanden werden, die für den Menschen nicht unmittelbar wahrnehmbar sind.[10] Diese Informationen werden durch (Programmier-)Sprachen wieder wahrnehmbar gemacht, wobei sich die Sprachen über eine festgelegte Zeichenfolge (= Syntax) definieren. Erst die Verwendung solcher sprachlicher Regelwerke ermöglicht es, Informationen in Daten zu kodieren und bei Bedarf wieder zu dekodieren, ohne dass sich dabei der Umfang oder die Anordnung der Informationen ändert.
9
bb) Vom Sicherverschaffen zum Zugangsverschaffen
Die neue Regelung des § 202a Abs. 1 ersetzt die Tathandlung des Sichverschaffens von Daten durch ein Zugangsverschaffen zu Daten. Damit wird auch die bloße (erfolgreiche) Systempenetration vom Tatbestand des § 202a Abs. 1 StGB erfasst. Ursprünglich wollte der Gesetzgeber das bloße Eindringen in ein fremdes System nicht unter Strafe stellen.[11] Dieses Ansinnen war schon bei Verabschiedung des 2. WiKG Auslöser vieler Kontroversen. Im Nachhinein haben die Kritiker[12] Recht behalten; der gute Glaube an eine rechtlich umsetzbare Trennung des ethisch gelenkten White-Hat-Hackings[13] vom Datendiebstahl hat sich als eine Strafbarkeitslücke erwiesen. Der weit überwiegende Teil von Systemeinbrüchen dient in erster Linie der Informationsverschaffung oder Datenveränderung. Reine Penetrationstests machen einen kaum wahrnehmbaren Anteil aus. Zwar ziehen viele Hacks schon aus technischen Gründen eine unbefugte Kenntnisnahme von Daten nach sich,[14] doch sprechen der Wortlaut und der Wille des Gesetzgebers gegen das grundsätzliche Subsumieren von Systemeinbrüchen unter die geltende Fassung des § 202a Abs. 1 StGB. Eine Neuregelung des § 202a Abs. 1 StGB liegt somit nahe und ist nur konsequent.
Die neue Regelung des § 202a Abs. 1 ersetzt die Tathandlung des Sichverschaffens von Daten durch ein Zugangsverschaffen zu Daten. Damit wird auch die bloße (erfolgreiche) Systempenetration vom Tatbestand des § 202a Abs. 1 StGB erfasst. Ursprünglich wollte der Gesetzgeber das bloße Eindringen in ein fremdes System nicht unter Strafe stellen.[11] Dieses Ansinnen war schon bei Verabschiedung des 2. WiKG Auslöser vieler Kontroversen. Im Nachhinein haben die Kritiker[12] Recht behalten; der gute Glaube an eine rechtlich umsetzbare Trennung des ethisch gelenkten White-Hat-Hackings[13] vom Datendiebstahl hat sich als eine Strafbarkeitslücke erwiesen. Der weit überwiegende Teil von Systemeinbrüchen dient in erster Linie der Informationsverschaffung oder Datenveränderung. Reine Penetrationstests machen einen kaum wahrnehmbaren Anteil aus. Zwar ziehen viele Hacks schon aus technischen Gründen eine unbefugte Kenntnisnahme von Daten nach sich,[14] doch sprechen der Wortlaut und der Wille des Gesetzgebers gegen das grundsätzliche Subsumieren von Systemeinbrüchen unter die geltende Fassung des § 202a Abs. 1 StGB. Eine Neuregelung des § 202a Abs. 1 StGB liegt somit nahe und ist nur konsequent.
10
Nach der geplanten Neufassung des § 202a Abs. 1 StGB würde sich auch derjenige strafbar machen, der aus reiner Experimentierfreude unbefugt in fremde Systeme eindringt. Diese Neuregelung ist zu begrüßen, auch wenn Sicherheitsexperten darin Probleme für ihre Tätigkeiten sehen. Sie verweisen darauf, dass erfolgreiche Penetrationen zum Auffinden und Bekannt werden von Sicherheitslücken beitragen und somit auf lange Sicht zu einer Verbesserung der Sicherheit führen.
11
In der Tat dürfte ein "White-Hat"-Hacker, der beispielsweise eine Sicherheitslücke in einem Bankensystem ohne Auftrag aufdeckt, nun zweimal darüber nachdenken, ob er die Bank über die aufgefundene Lücke in Kenntnis setzt. Er würde sich nämlich dem erhöhten Risiko einer Strafanzeige mit anschließender Strafverfolgung aussetzen. Hinzu kommt, dass viele Dienstleister durchaus ein Interesse daran haben, technische Mängel zu verschweigen, um ihr Image zu wahren und weitergehende Schäden zu verhindern. Eine drohende Strafanzeige ist ein nicht zu unterschätzendes Druckmittel.
12
Allerdings obliegt es nicht einem beliebigen Dritten, die Sicherheit eines fremden Systems zu überprüfen, quasi in Form einer Geschäftsführung ohne Auftrag. Der erfolgreiche Hacker dringt in einen fremden Rechtskreis ein. Sofern er dafür eine legitime Rechtfertigung findet, mag er diese im Rahmen der allgemeinen Rechtfertigungsgründe zu seiner Verteidigung heranziehen, doch kann ein allgemeines übergeordnetes Informations- und Aufklärungsinteresse nicht zu Lasten desjenigen gehen, der ein äußerlich erkennbares Geheimhaltungsinteresse bekundet.
13
cc) Weiterhin straflos möglich: Hacken im Auftrag des Berechtigten
Hacken im Auftrag des Berechtigten zur Überprüfung der Systemsicherheit wäre auch nach der Gesetzesänderung weiterhin straflos möglich, da sich der Hacker in dem Fall nicht unbefugt Zugang zu Daten verschafft. Problematisch ist nur die Wahl der Mittel in Hinblick auf § 202c Abs. 1 StGB n.F. (dazu später).
Hacken im Auftrag des Berechtigten zur Überprüfung der Systemsicherheit wäre auch nach der Gesetzesänderung weiterhin straflos möglich, da sich der Hacker in dem Fall nicht unbefugt Zugang zu Daten verschafft. Problematisch ist nur die Wahl der Mittel in Hinblick auf § 202c Abs. 1 StGB n.F. (dazu später).
14
c) Weiter streitig: Die Qualität der Zugangssicherung
Sowohl der bisherige objektive Tatbestand des § 202a Abs. 1 StGB als auch der neue Entwurf erfordern die Überwindung einer Sicherung durch den Täter.[15] Frei einsehbare Daten werden vom Tatbestand weder bisher noch in Zukunft erfasst. Neu ist an der Änderung, dass es sich nicht länger um eine "besondere" Sicherung handeln muss. Nach wohl überwiegender Auffassung ist von einer "besonderen Sicherung" auszugehen, wenn die Maßnahmen zur Sicherung objektiv geeignet und nach dem Willen des Berechtigten dazu bestimmt sind, eine Kenntnisnahme durch Unberechtigte zu verhindern oder zu erschweren.[16] Sowohl nach der bisherigen h.M.[17] als auch nach der Begründung zur Neuregelegung[18] sollen all jene Fälle nicht erfasst werden, in denen die Durchbrechung des Schutzes ohne weiteres möglich ist und die Überwindung ohne erheblichen zeitlichen oder technischen Aufwand erfolgen kann. Das ist durchaus problematisch, denn genaue Kriterien bezüglich des Zeit- und Technikaufwandes werden nicht genannt. Damit wird die Konkretisierung der Rechtsprechung überlassen.
Sowohl der bisherige objektive Tatbestand des § 202a Abs. 1 StGB als auch der neue Entwurf erfordern die Überwindung einer Sicherung durch den Täter.[15] Frei einsehbare Daten werden vom Tatbestand weder bisher noch in Zukunft erfasst. Neu ist an der Änderung, dass es sich nicht länger um eine "besondere" Sicherung handeln muss. Nach wohl überwiegender Auffassung ist von einer "besonderen Sicherung" auszugehen, wenn die Maßnahmen zur Sicherung objektiv geeignet und nach dem Willen des Berechtigten dazu bestimmt sind, eine Kenntnisnahme durch Unberechtigte zu verhindern oder zu erschweren.[16] Sowohl nach der bisherigen h.M.[17] als auch nach der Begründung zur Neuregelegung[18] sollen all jene Fälle nicht erfasst werden, in denen die Durchbrechung des Schutzes ohne weiteres möglich ist und die Überwindung ohne erheblichen zeitlichen oder technischen Aufwand erfolgen kann. Das ist durchaus problematisch, denn genaue Kriterien bezüglich des Zeit- und Technikaufwandes werden nicht genannt. Damit wird die Konkretisierung der Rechtsprechung überlassen.
15
Wann also ist die Schwelle zu einem nicht unerheblichen technischen Aufwand erreicht? Sind damit Firewalls, Logins, Passwörter oder IP-Checks zwingend erforderlich oder genügt beispielsweise bereits ein Windows-System ohne Serverdienst und ohne sonstige Freigaben dem Merkmal der Sicherung?
16
Der Verfasser vertritt die Ansicht, dass Höhe und Qualität des Sicherungsgrades nur sehr bedingt einen Rückschluss auf das Vorliegen einer tauglichen Zugangssicherung i.S.d. § 202a Abs. 1 StGB erlauben. Meinungen[19], welche die Lösung in der Höhe des Sicherungsgrades suchen, verkennen sowohl die Ratio als auch den gesetzlichen Zusammenhang zu den anderen Vorschriften des Geheimnisschutzes. Auch ein verschlossener Brief kann von einem Nichtberechtigten nicht ohne weiteres gelesen werden, doch ist es für ihn ein leichtes, den Brief zu öffnen und seinen Inhalt zu Kenntnis zu nehmen.[20] Die Schwierigkeit des Öffnens darf kein Strafbarkeitskriterium sein, denn technische Sicherheitsmaßen sind selten ihrer Zeit voraus. Vielmehr reagieren sie häufig nur auf schädliche Entwicklungen. Auch der technische Laie muss Möglichkeiten haben, seine Daten dem Schutz des § 202a Abs. 1 StGB zu unterstellen. Im Ergebnis muss es daher ausreichen, wenn der Berechtigte den Zugang zu seinen Daten dergestalt behindert, dass für den Verkehr objektiv ersichtlich ist, dass ein regulärer Zugriff vom Willen des Berechtigten abhängig sein soll. Diesem Willen kann er mitunter bereits dadurch Ausdruck verleihen, dass er am Internetverkehr teilnimmt, ohne einen frei zugänglichen Server/ Dienst zu betreiben. Für diese Ansicht spricht auch, dass der Gesetzgeber in Zukunft hinsichtlich der Sicherung auf den Zusatz "besonders" verzichten will.
17
Das bewusste Ausnutzen eines Exploits zum Zweck des Einbruchs stellt keinen regulären Zugriff dar. Wer durch das Ausnutzen eines Exploits und ohne Einwilligung des Berechtigten Spyware oder Keylogger in ein System implementiert, verwirklicht sowohl den Straftatbestand des 202a Abs. 1 StGB n.F. als auch die zurzeit geltende Fassung des § 202a Abs. 1 StGB.[21] Für eine entsprechende Strafbarkeit nach der Gesetzesänderung streitet in jedem Fall der Verzicht auf eine "besondere" Sicherung. Die Daten dürfen nur nicht "offen liegen" und durch regulären Zugriff frei abrufbar sein. Eine Firewall oder ein sonstiger technischer Schutz des Betriebssystems sind nicht zwingend erforderlich. Freilich kann auch § 202a Abs. 1 StGB n.F. nicht denjenigen schützen, der von vorneherein entsprechende Freigaben in seiner Browser- oder Systemkonfiguration erteilt und dabei lediglich über die Reichweite seiner Freigaben irrt.
18
2. § 202b StGB n.F. - Abfangen von Daten
a) Allgemeines
Mit der Einfügung des § 202b StGB n.F. soll einerseits die Vereinbarung gem. Art. 3 der Cyber-Crime-Konvention ("illegal interception") umgesetzt werden, zum anderen will man die Lücke zum bestehenden § 201 ("Verletzung der Vertraulichkeit des Wortes") schließen.[22] Heutzutage findet ein Großteil unserer Fern(-sprech-)kommunikation nicht mehr auf dem herkömmlichen Wege per Telefon statt, sondern alternative Übertragungsmöglichkeiten wie Internet-Chats, Emails oder VoIP prägen zunehmend unseren Kommunikationsalltag.
a) Allgemeines
Mit der Einfügung des § 202b StGB n.F. soll einerseits die Vereinbarung gem. Art. 3 der Cyber-Crime-Konvention ("illegal interception") umgesetzt werden, zum anderen will man die Lücke zum bestehenden § 201 ("Verletzung der Vertraulichkeit des Wortes") schließen.[22] Heutzutage findet ein Großteil unserer Fern(-sprech-)kommunikation nicht mehr auf dem herkömmlichen Wege per Telefon statt, sondern alternative Übertragungsmöglichkeiten wie Internet-Chats, Emails oder VoIP prägen zunehmend unseren Kommunikationsalltag.
19
Grundsätzlich ist das sog. Fremd-Sniffen[23] bzw. Mitschneiden von Netztraffic nach geltendem Recht aufgrund des Erfordernisses der besonderen Sicherung gem. § 202a Abs. 1 StGB straflos möglich. Eine Strafbarkeit nach § 202a Abs. 1 StGB ergibt sich lediglich dann, wenn die mitgeschnittenen Daten zuvor verschlüsselt wurden und die Originaldaten nach dem Abfangen wieder erfolgreich entschlüsselt werden.[24] Das verschlüsselte Datenpaket als solches erfährt keinen Schutz. Mit § 202b StGB n.F. soll nun eine Vorschrift geschaffen werden, die auch unverschlüsselten Datenpaketen grundsätzlich Schutz gewährt.
20
b) Merkmal der nichtöffentlichen Übermittlung
§ 202b StGB n.F. grenzt den Tatbestand insoweit ein, dass nur die nichtöffentliche Datenübertragung geschützt werden soll. Diesbezüglich verweist die Begründung des Gesetzesvorschlags auf die Regelung des § 201 Abs. 2 Nr. 2 StGB. Danach ist eine Mitteilung öffentlich, wenn ihr Inhalt von einem größeren, nach Zahl und Individualität unbestimmten oder durch nähere Beziehungen nicht verbundenen Personenkreis unmittelbar zur Kenntnis genommen werden kann. Ob dies auch tatsächlich geschieht, ist dabei irrelevant.[25]
§ 202b StGB n.F. grenzt den Tatbestand insoweit ein, dass nur die nichtöffentliche Datenübertragung geschützt werden soll. Diesbezüglich verweist die Begründung des Gesetzesvorschlags auf die Regelung des § 201 Abs. 2 Nr. 2 StGB. Danach ist eine Mitteilung öffentlich, wenn ihr Inhalt von einem größeren, nach Zahl und Individualität unbestimmten oder durch nähere Beziehungen nicht verbundenen Personenkreis unmittelbar zur Kenntnis genommen werden kann. Ob dies auch tatsächlich geschieht, ist dabei irrelevant.[25]
21
Eine Datenübertragung dürfte im Sinne des Gesetzesvorschlags als nichtöffentlich einzustufen sein, wenn sich das technische Verfahren zur Übertragung der Daten an ein bestimmtes Ziel zur Entgegennahme der Daten richtet, ohne dabei der Allgemeinheit einen freien Zugriff auf die Übertragung gewähren zu wollen.[26] Damit würde praktisch jede zielgerichtete Datenübertragung[27] im Internet von § 202b StGB n.F. geschützt. Eine solche Interpretation des Gesetzeswortlauts scheint gewollt; ein Streit hinsichtlich der Auslegung ist aber absehbar, denn die Art und Weise wie nichtöffentlich gesprochene Worte abgehört werden (§ 201 Abs. 2 Nr. 2 StGB), lässt sich schlecht mit einer Datenfernübertragung vergleichen, bei der die Datenpakete ungeschützt mit 20 Hops[28] einmal um die Welt reisen.
22
§ 202b StGB n.F. bietet Möglichkeiten zur Ahndung von Phishing mittels Trojaner oder gefälschter Bank-Websites ("technische Mittel" zum Abfangen von Daten). Leider ist dies insbesondere unter Berücksichtigung der beigefügten Begründung nicht ganz unproblematisch. Danach würden nämlich lediglich Verfahren erfasst, in denen Daten mitgeschnitten werden. Hingegen scheiden alle Varianten aus, in denen die Übermittlung bzw. Umleitung gerade das Ziel des Trojaners oder der Phishing-Site ist. Laut der Begründung des Gesetzesentwurfs kommt es nicht auf die Art oder den Inhalt der übertragenen Daten an, sondern ausschließlich auf die Art des Übertragungsvorgangs.[29] Nicht der Geheimhaltungswille soll entscheidend sein, sondern vielmehr die formelle Nichtöffentlichkeit der Kommunikation.[30] Erfolgt die eigentliche Dateneingabe auf der Phishing-Site oder in dem Trojaner und übermitteln diese die PIN/TAN an einen Dritten weiter, so wird der Übermittlungsvorgang von dem "Schadcode" bestimmungsgemäß ausgeführt. Ob die Daten in Form von PIN/TAN ausschließlich für die Bank bestimmt sind, ist dann völlig unerheblich. Das Opfer wird in einem solchen Fall nämlich lediglich über die Identität und die Authentizität der Technik getäuscht, die technische Abwicklung der Datenübertragung erfolgt aber gemäß der bezweckten Funktionsweise des Schadprogramms (nichtöffentlich zwischen Geschädigtem und Phisher/ Hacker).
23
Nun lässt sich zwar argumentieren, dass das Schadprogramm im Ergebnis das "technische Mittel" zum Abfangen i.S.d. § 202b StGB n.F. ist, doch "Abfangen" (geplante amtliche Überschrift) setzt voraus, dass das "Abgefangene" ursprünglich woanders hin sollte und unter Umständen nach dem Abfangen auch noch woanders ankommt. Bei einer anfänglichen Fehlleitung oder stillen Übermittlung (d.h. einer unbewussten nichtöffentlichen Übermittlung des Opfers) werden die Daten nicht "aus" einer nichtöffentlichen Datenübermittlung abgefangen, sondern sie sind von Anfang an Teil der nichtöffentlichen Datenübermittlung zwischen Täter und Opfer. Insoweit müsste also der Wortlaut der Vorschrift nachgebessert werden, denn eine Erfassung entsprechender Phänomene scheint durchaus gewollt zu sein.[31]
24
c) Subsidiaritätsklausel
§ 202b StGB n.F. enthält am Ende eine Subsidiaritätsklausel. Bejaht man bereits eine Strafbarkeit nach § 202a Abs. 1 StGB n.F. (s.o.), so tritt § 202b StGB n.F. im Wege der Gesetzeskonkurrenz zurück. § 202b hat also lediglich eine Auffangfunktion. Auf eine Versuchsstrafbarkeit will man richtigerweise gänzlich verzichten.[32]
§ 202b StGB n.F. enthält am Ende eine Subsidiaritätsklausel. Bejaht man bereits eine Strafbarkeit nach § 202a Abs. 1 StGB n.F. (s.o.), so tritt § 202b StGB n.F. im Wege der Gesetzeskonkurrenz zurück. § 202b hat also lediglich eine Auffangfunktion. Auf eine Versuchsstrafbarkeit will man richtigerweise gänzlich verzichten.[32]
25
3. § 202c StGB n.F. - Vorbereiten des Ausspähens und Abfangens von Daten
Der Vorschlag zur Einführung des § 202c StGB n.F. setzt die Vereinbarung nach Art. 6 Abs. 1 lit. a) Nr. i) und ii) der Cyber-Crime-Konvention ("Misuse of devices") in deutsches Recht um.
Der Vorschlag zur Einführung des § 202c StGB n.F. setzt die Vereinbarung nach Art. 6 Abs. 1 lit. a) Nr. i) und ii) der Cyber-Crime-Konvention ("Misuse of devices") in deutsches Recht um.
26
a) § 202c Abs. 1 Nr. 1: die neue Sanktion gegen Phishing-Versuche?
§ 202c Abs. 1 Nr. 1 StGB n.F. lässt sich auf Fälle anwenden, in denen sich Phisher Passwörter oder ähnliches verschaffen, mit deren Hilfe sie auf Daten zugreifen können, die gesichert und nicht für sie bestimmt sind. Darunter fallen beispielsweise Zugriffe auf Konten via Online-Banking. Da die Art und Weise der Erlangung nicht weiter konkretisiert wird, dürfte es im Gegensatz zu § 202a Abs. 1 StGB n.F. keinen Unterschied machen, ob der Täter die Zugangsdaten via Social-Engineering, Phishing-Site oder Trojaner erlangt. § 202c Abs. 1 Nr. 1 StGB n.F. spricht ausdrücklich nur von "oder sonstige Sicherungscodes", weshalb Sicherungsmaßnahmen in Form von Cookies, IP-Checks etc. ausgeklammert wären.
§ 202c Abs. 1 Nr. 1 StGB n.F. lässt sich auf Fälle anwenden, in denen sich Phisher Passwörter oder ähnliches verschaffen, mit deren Hilfe sie auf Daten zugreifen können, die gesichert und nicht für sie bestimmt sind. Darunter fallen beispielsweise Zugriffe auf Konten via Online-Banking. Da die Art und Weise der Erlangung nicht weiter konkretisiert wird, dürfte es im Gegensatz zu § 202a Abs. 1 StGB n.F. keinen Unterschied machen, ob der Täter die Zugangsdaten via Social-Engineering, Phishing-Site oder Trojaner erlangt. § 202c Abs. 1 Nr. 1 StGB n.F. spricht ausdrücklich nur von "oder sonstige Sicherungscodes", weshalb Sicherungsmaßnahmen in Form von Cookies, IP-Checks etc. ausgeklammert wären.
27
b) Hacker-Tools und neue Strafbarkeiten
Die Ankündung des Straftatbestandes § 202c Abs. 1 Nr. 2 StGB n.F. hat in der IT-Security-Branche für erhebliche Verunsicherung gesorgt. Die Vorschrift soll als abstraktes Gefährdungsdelikt grundsätzlich das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen so genannter Hacker-Tools strafrechtlich ahnden. Auf den konkreten Erfolg i.S.d. § 202a / b StGB n.F. soll es nicht ankommen. Um den Tatbestand nicht ausufern zu lassen, wird in der Begründung des Vorschlags damit argumentiert, dass die objektivierte Zweckbestimmung des Programms ausschlaggebend sei.[33] Allgemeine Programmier-Tools, -Sprachen oder sonstige Anwendungsprogramme seien von der Regelung ausgenommen. Einen Satz später wird diese Aussage wieder relativiert, indem gesagt wird, dass das Programm nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein muss. Damit kommen grundsätzlich auch Programme in Betracht, die potentiell gefährliche Funktionen als zusätzliche Features offerieren.
Die Ankündung des Straftatbestandes § 202c Abs. 1 Nr. 2 StGB n.F. hat in der IT-Security-Branche für erhebliche Verunsicherung gesorgt. Die Vorschrift soll als abstraktes Gefährdungsdelikt grundsätzlich das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen so genannter Hacker-Tools strafrechtlich ahnden. Auf den konkreten Erfolg i.S.d. § 202a / b StGB n.F. soll es nicht ankommen. Um den Tatbestand nicht ausufern zu lassen, wird in der Begründung des Vorschlags damit argumentiert, dass die objektivierte Zweckbestimmung des Programms ausschlaggebend sei.[33] Allgemeine Programmier-Tools, -Sprachen oder sonstige Anwendungsprogramme seien von der Regelung ausgenommen. Einen Satz später wird diese Aussage wieder relativiert, indem gesagt wird, dass das Programm nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein muss. Damit kommen grundsätzlich auch Programme in Betracht, die potentiell gefährliche Funktionen als zusätzliche Features offerieren.
28
Jüngst beklagten Heidrich[34], der Chaos Computer Club e.V.[35] sowie die Verbände BITKOM[36]- und eco e.V.[37], dass sich der neue § 202c StGB n.F. zu einem Eigentor entwickeln könne. Die neue Vorschrift gefährde die Arbeit von Systemadministratoren, Programmierern und Beratern, die auf entsprechende Tools im Rahmen ihrer Arbeit angewiesen seien. Potentiellen Bedrohungsszenarien könne man nur durch ihre Erforschung wirksam begegnen. Im Übrigen bringe das Verbot sowieso nichts, da sich die globalen Täter nicht um deutsche oder europäische Vorschriften scheren würden. Benachteiligt würde letztlich nur der deutsche Standort.[38]
29
Diese Bedenken sind nicht ganz unbegründet. Richtig ist, dass sich grundsätzlich auch der IT-Sicherheitsexperte, der ein entsprechendes Schadprogramm aus dem Internet herunterlädt und ausprobiert, von § 202c Abs. 1 StGB n.F. erfasst wird.
30
Wie bereits oben erwähnt, ähnelt das Tatbestandskonzept des § 202c StGB n.F. dem Tatbestand des § 263a Abs. 3 StGB (sowie §§ 149 Abs. 1, 275 Abs. 1 StGB). Genau wie § 263 Abs. 3 StGB ist auch § 202c StGB n.F. von polizeilichen Beweiserwägungen geprägt. In der Begründung klingt dies kurz an ("Kommt es nicht zur Begehung der Haupttat des § 202a Abs. 1 StGB, läge nur eine nicht strafbare versuchte Beihilfe vor" und "..die aus dem Internet weitgehend anonym geladen werden können").[39] Eine solche Vorverlagerung ist sowohl systematisch als auch kriminologisch stark umstritten.[40] Normalerweise werden Vorbereitungshandlungen im Wege der Versuchs- oder Beihilfestrafbarkeit erfasst. Da es aber der Polizei häufig technisch unmöglich ist, konkrete Verbindungen zwischen Taten gem. §§ 202a Abs. 1 StGB a.F. (n.F.) / (202b StGB n.F.) und entsprechenden Programmen zu beweisen, soll nun der neue § 202c Abs. 1 Nr. 2 StGB das Problem lösen, auch wenn dies in der Begründung nur indirekt formuliert wird.
31
Doch wie soll in Fällen von potentiell gefährlichen Programmen verfahren werden? Die in der Begründung des Gesetzesvorschlags genannten Kriterien zu § 202c Abs. 1 Nr. 2 StGB n.F sind leider nicht viel aufschlussreicher als die der Entwurfsbegründung zu § 263a Abs. 3 StGB[41]. Bereits bei § 263a Abs. 3 StGB ist die Anwendung der Vorschrift auf Programme mit hohem Missbrauchspotential völlig ungeklärt.[42] Im Fall der §§ 202a / b StGB n.F. kommt erschwerend hinzu, dass noch sehr viel mehr Programme als bei § 263a StGB in Betracht kommen. Geradezu ausufernd wird es, wenn man die Verweise der geplanten § 303a Abs. 3 StGB n.F. (Vorbereitung einer Datenveränderung) und § 303b Abs. 5 StGB n.F. (Vorbereitung einer Computersabotage) auf § 202c Abs. 1 StGB n.F. hinzunimmt.
32
Folglich müsste die Regelung des § 202c Abs. 1 Nr. 2 StGB n.F. noch restriktiver ausgelegt werden als die des § 263a Abs. 3 StGB. Es wäre übertrieben, würde man behaupten, es ließen sich grundsätzlich gar keine Abgrenzungskriterien zu Schadprogrammen i.S.d. § 202c Abs. 1 Nr. 2 StGB n.F. finden. Eine rein objektivierte Zweckbestimmung, wie sie die Begründung des Gesetzesvorschlags vorsieht, erscheint allerdings unzureichend. Vielmehr müsste der Zweck eines Programms mit Missbrauchpotential anhand gemischt objektiv-subjektiver Kriterien bestimmt werden.[43] Lässt sich das Computerputerprogramm sowohl für strafbare Vorbereitungshandlungen als auch zu legitimen Zwecken einsetzen, so müsste untersucht werden, welche der Verwendungsmöglichkeiten offensichtlich überwiegt. Im Zweifelsfall müsste die Gesinnung des Urhebers entscheiden oder eine Straffreiheit angenommen werden. Dadurch ließen sich zumindest Computerprogramme ausklammern, deren mögliche strafbare Zweckentfremdung nur ein ungewollter Nebeneffekt ist. Etwas anderes würde gegen die Grundsätze der Verhältnismäßigkeit und Bestimmtheit verstoßen und ungerechtfertigt die Hersteller und Anwender verschiedener legitimer Computerprogramme (z.B. Diagnoseprogramme, Netzwerk-Scanner, Trafficauswertung, etc.) mit Strafe bedrohen. Es bestünde eine erhebliche Rechtsunsicherheit bei der Entwicklung entsprechender Software, die erst durch höchstrichterliche Kasuistik eingegrenzt würde.
33
Einzig und allein die Tatsache, dass der geplante § 202c Abs. 1 StGB n.F. Vorbereitungshandlungen für Straftaten gem. §§ 202a / b StGB n.F. sanktionieren soll, verschafft dem Tatbestand ein wenig Bestimmtheit. Da Beauftragte oder Berechtigte von § 202a Abs. 1 StGB n.F. gar nicht erst erfasst werden, ließe sich bei potentiell gefährlichen Programmen an eine teleologische Reduktion denken; denn wenn eine Verwirklichung der Tatbestände §§ 202a / b StGB n.F. von vorneherein ausscheidet, kann auch keine Vorbereitungshandlung i.S.d. § 202c Abs. 1 StGB n.F. vorliegen. Für diese Auslegung spricht auch die Regelung des Art. 6 Abs. 2 der Cyber-Crime-Konvention, wonach der berechtigte Einsatz entsprechender Produkte straffrei bleiben soll. Bei der geplanten deutschen Umsetzung spricht allerdings dagegen, dass es ausweislich der Begründung nicht um die Tatbegehung i.S.v. § 202a / b StGB n.F. gehen soll, sondern vielmehr um die bloße Gefährlichkeit der tatvorbereitenden Programme.[44] Wenn noch keine konkrete (End)tat vorliegt und nur objektive Merkmale geprüft werden, kann schlecht mit der Planung einer solchen Tat als begrenzendes Kriterium für eine Tat nach § 202c Abs. 1 StGB n.F. argumentiert werden.
34
b) Unlogisches Strafmaß
§ 202c StGB n.F. sieht ein Strafmaß von bis zu einem Jahr oder Geldstrafe vor. Dieses niedrig angesetzte Strafmaß widerspricht der Aussage in der Begründung, es sei ein eigener Tatbestand von Nöten, um die Gefährlichkeit entsprechender Vorbereitungshandlungen angemessen erfassen zu können.[45] Diese inkonsequente Umsetzung offenbart, dass man sich bei der Erstellung des Entwurfs offensichtlich selbst nicht ganz so sicher war, wie extensiv die Staatsanwaltschaften und Gerichte mit dem Instrumentarium des § 202c StGB n.F. umgehen werden.
§ 202c StGB n.F. sieht ein Strafmaß von bis zu einem Jahr oder Geldstrafe vor. Dieses niedrig angesetzte Strafmaß widerspricht der Aussage in der Begründung, es sei ein eigener Tatbestand von Nöten, um die Gefährlichkeit entsprechender Vorbereitungshandlungen angemessen erfassen zu können.[45] Diese inkonsequente Umsetzung offenbart, dass man sich bei der Erstellung des Entwurfs offensichtlich selbst nicht ganz so sicher war, wie extensiv die Staatsanwaltschaften und Gerichte mit dem Instrumentarium des § 202c StGB n.F. umgehen werden.
35
c) Art. 6 Abs. 3 der Cyber-Crime-Konvention - Ãœberkriminalisierung verhindern
Die momentane Ausgestaltung des Tatbestandes als abstraktes Gefährdungsdelikt erscheint aufgrund obiger Bedenken verfehlt. Der Gesetzgeber sollte die Möglichkeit nutzen, gem. Art. 6 Abs. 3 der Cyber-Crime-Konvention von der Reglementierung entsprechender Tools Abstand zu nehmen. Mit dem aktuellen Gesetzesvorschlag drohen Softwareentwicklung und IT-Forensik Schaden zu nehmen. Der wirtschaftliche und sicherheitstechnische Schaden dürfte bedeutend größer sein als der zu erwartende polizeiliche Nutzen. Darüber hilft auch nicht der von der Begründung benannte "Filter" der §§ 153 ff. StPO hinweg.[46] Deren Anwendung steht im Ermessen der Staatsanwaltschaft bzw. des Gerichts, was erfahrungsgemäß zur Rechtssicherheit nicht sonderlich beiträgt. Die ganze Problematik war schon aufgrund der hitzigen Diskussionen bei den Beratungen zu Art. 6 der Cyber-Crime-Konvention abzusehen. Es ist daher unverständlich, warum der Vorschrift nicht zumindest über den subjektiven Tatbestand (Bsp.: "Wer in der Absicht [..]") ein wenig Kontur verschafft wird.
Die momentane Ausgestaltung des Tatbestandes als abstraktes Gefährdungsdelikt erscheint aufgrund obiger Bedenken verfehlt. Der Gesetzgeber sollte die Möglichkeit nutzen, gem. Art. 6 Abs. 3 der Cyber-Crime-Konvention von der Reglementierung entsprechender Tools Abstand zu nehmen. Mit dem aktuellen Gesetzesvorschlag drohen Softwareentwicklung und IT-Forensik Schaden zu nehmen. Der wirtschaftliche und sicherheitstechnische Schaden dürfte bedeutend größer sein als der zu erwartende polizeiliche Nutzen. Darüber hilft auch nicht der von der Begründung benannte "Filter" der §§ 153 ff. StPO hinweg.[46] Deren Anwendung steht im Ermessen der Staatsanwaltschaft bzw. des Gerichts, was erfahrungsgemäß zur Rechtssicherheit nicht sonderlich beiträgt. Die ganze Problematik war schon aufgrund der hitzigen Diskussionen bei den Beratungen zu Art. 6 der Cyber-Crime-Konvention abzusehen. Es ist daher unverständlich, warum der Vorschrift nicht zumindest über den subjektiven Tatbestand (Bsp.: "Wer in der Absicht [..]") ein wenig Kontur verschafft wird.
36
4. § 303a StGB n.F. - Datenveränderung
§ 303a StGB soll nach dem Vorschlag der Bundesregierung einen neuen Absatz 3 erhalten:
"(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend."
Es gelten grundsätzlich die Ausführungen zu § 202c Abs. 1 Nr. 2 StGB n.F., wobei es bei § 303a StGB n.F. noch schwieriger werden dürfte, taugliche Abgrenzungskriterien bei Programmen mit Missbrauchspotential zu finden. Die Anzahl der in Frage kommenden Programme ist noch viel größer als bei §§ 202a / b StGB n.F. Jeder herkömmliche Dateimanager lässt sich für eine rechtswidrige Datenveränderung zweckentfremden. Ein File-Shredder-Programm kann einem Berechtigten sowohl zur unwiderruflichen Dateilöschung dienen als auch zum Instrument eines Datensaboteurs werden.
§ 303a StGB soll nach dem Vorschlag der Bundesregierung einen neuen Absatz 3 erhalten:
"(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend."
Es gelten grundsätzlich die Ausführungen zu § 202c Abs. 1 Nr. 2 StGB n.F., wobei es bei § 303a StGB n.F. noch schwieriger werden dürfte, taugliche Abgrenzungskriterien bei Programmen mit Missbrauchspotential zu finden. Die Anzahl der in Frage kommenden Programme ist noch viel größer als bei §§ 202a / b StGB n.F. Jeder herkömmliche Dateimanager lässt sich für eine rechtswidrige Datenveränderung zweckentfremden. Ein File-Shredder-Programm kann einem Berechtigten sowohl zur unwiderruflichen Dateilöschung dienen als auch zum Instrument eines Datensaboteurs werden.
37
5. § 303b StGB n.F. - Computersabotage
a) Ausweitung des Schutzbereiches
Die Vorschrift des § 303b StGB soll in ihrer Neufassung erheblich umstrukturiert werden. Mit der Änderung des Absatzes 1 käme der Schutzbereich auch Privatpersonen zugute. Geschütztes Rechtsgut des § 303b Abs. 1 StGB n.F. ist das allgemeine Interesse der Betreiber und Nutzer von Datenverarbeitungen an deren ordnungsgemäßen Funktionsweise.[47] Grundsätzlich gilt Abs. 1 n.F. für jedermann, doch durch die Qualifikation der Tat nach Absatz 2 (Abs. 1 der geltenden Fassung) ist für betroffene Betriebe, Unternehmen und Behörden die Regelung des § 303b Abs. 2 StGB n.F. einschlägig.
a) Ausweitung des Schutzbereiches
Die Vorschrift des § 303b StGB soll in ihrer Neufassung erheblich umstrukturiert werden. Mit der Änderung des Absatzes 1 käme der Schutzbereich auch Privatpersonen zugute. Geschütztes Rechtsgut des § 303b Abs. 1 StGB n.F. ist das allgemeine Interesse der Betreiber und Nutzer von Datenverarbeitungen an deren ordnungsgemäßen Funktionsweise.[47] Grundsätzlich gilt Abs. 1 n.F. für jedermann, doch durch die Qualifikation der Tat nach Absatz 2 (Abs. 1 der geltenden Fassung) ist für betroffene Betriebe, Unternehmen und Behörden die Regelung des § 303b Abs. 2 StGB n.F. einschlägig.
38
Die Neuregelung dient der Umsetzung des Art. 5 der Cyber-Crime-Konvention ("System interference"). Im Gegensatz zu Art. 6 sieht Art. 5 keine Einschränkungsmöglichkeiten für den nationalen Gesetzgeber vor, daher muss die Vorschrift vollumfänglich in deutsches Recht umgesetzt werden.
39
b) Begriff der Datenverarbeitung
Da § 303b Abs. 1 StGB im Gegensatz zu § 263a Abs. 1 nicht von einem Datenverarbeitungsvorgang spricht, sondern sich an den weiten Begriff der "Verarbeitung" hält, ist damit zunächst der gesamte Umgang mit elektronisch gespeicherten Daten (d.h. von ihrer Erhebung bis zu ihrer Verwendung) erfasst.[48] Der Ratio entsprechend sind aber nur elektronische Formen des Umgangs gemeint, da der Tatbestand ansonsten ausufern würde. § 303b StGB verlangt nicht, dass die Datenverarbeitung zum Zeitpunkt der Tathandlung bereits aktiv lief. Vielmehr reicht es aus, dass sie geplant war und durch den Eingriff gestört wurde. [49]
Da § 303b Abs. 1 StGB im Gegensatz zu § 263a Abs. 1 nicht von einem Datenverarbeitungsvorgang spricht, sondern sich an den weiten Begriff der "Verarbeitung" hält, ist damit zunächst der gesamte Umgang mit elektronisch gespeicherten Daten (d.h. von ihrer Erhebung bis zu ihrer Verwendung) erfasst.[48] Der Ratio entsprechend sind aber nur elektronische Formen des Umgangs gemeint, da der Tatbestand ansonsten ausufern würde. § 303b StGB verlangt nicht, dass die Datenverarbeitung zum Zeitpunkt der Tathandlung bereits aktiv lief. Vielmehr reicht es aus, dass sie geplant war und durch den Eingriff gestört wurde. [49]
40
c) Neue Merkmale in § 303b Abs. 1 Nr. 2 StGB n.F.: Dateneingabe und Übermittlung
§ 303b Abs. 1 Nr. 2 StGB n.F. erweitert den Tatbestand des Absatzes 1 um die Merkmale der Dateneingabe und Übermittlung. Dies entspricht der Regelung des Art. 5 der Cyber-Crime-Konvention, welche im Unterschied zur geltenden Fassung des § 303b Abs. 1 Nr. 1 StGB die Tathandlungen des "inputting" (Dateneingabe) und "transmitting" (Übermittlung) nennt. Durch diese Tatvarianten sollen unter anderem DoS-Attacken erfasst werden. Da Abs. 2 Nr. 2 n.F. zusätzlich eine Schädigungsabsicht erfordert, sind Test-Attacken durch Beauftragte weiterhin möglich. Bzgl. der Nachteilszufügungsabsicht wird von der Gesetzesbegründung auf § 274 Abs. 1 Nr. 1 StGB verwiesen. Der Täter muss sich bewusst sein, dass der Nachteil die notwendige Folge der Tat ist, d.h. es genügt auch schon dolus directus 2. Grades.[50]
§ 303b Abs. 1 Nr. 2 StGB n.F. erweitert den Tatbestand des Absatzes 1 um die Merkmale der Dateneingabe und Übermittlung. Dies entspricht der Regelung des Art. 5 der Cyber-Crime-Konvention, welche im Unterschied zur geltenden Fassung des § 303b Abs. 1 Nr. 1 StGB die Tathandlungen des "inputting" (Dateneingabe) und "transmitting" (Übermittlung) nennt. Durch diese Tatvarianten sollen unter anderem DoS-Attacken erfasst werden. Da Abs. 2 Nr. 2 n.F. zusätzlich eine Schädigungsabsicht erfordert, sind Test-Attacken durch Beauftragte weiterhin möglich. Bzgl. der Nachteilszufügungsabsicht wird von der Gesetzesbegründung auf § 274 Abs. 1 Nr. 1 StGB verwiesen. Der Täter muss sich bewusst sein, dass der Nachteil die notwendige Folge der Tat ist, d.h. es genügt auch schon dolus directus 2. Grades.[50]
41
d) Merkmal: "von wesentlicher Bedeutung"
Das Tatbestandsmerkmal "von wesentlicher Bedeutung" bleibt auch in der neuen Fassung des § 303b Abs. 1 StGB erhalten. Bislang gilt, dass der Betrieb, das Unternehmen oder die Behörde ganz oder überwiegend aufgrund seiner/ ihrer Organisation von der ungestörten Datenverarbeitung abhängig sein muss.[51] Bei Privatpersonen soll in Zukunft darauf abzustellen sein, "..ob die Datenverarbeitungsanlage für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt"; z.B. Nutzung des Computers als Arbeitsmittel bei der Heimarbeit. Kurze DoS-Attacken oder Flood-Pings im Rahmen eines Quake-Matches werden von der Gesetzesbegründung ausdrücklich ausgenommen (".. nicht aber jeglicher Kommunikationsvorgang im privaten Bereich oder etwa Computerspiele.")[52] Das ist leider ziemlich inkonsequent, wenn man bedenkt, dass schon das bloße Verschaffen entsprechender Tools gem. § 303b Abs. 5 i.V.m. § 202c Abs. 1 Nr. 2 StGB n.F. strafbar sein soll. Eine weitere Unausgewogenheit des Gesetzesvorschlags.
Das Tatbestandsmerkmal "von wesentlicher Bedeutung" bleibt auch in der neuen Fassung des § 303b Abs. 1 StGB erhalten. Bislang gilt, dass der Betrieb, das Unternehmen oder die Behörde ganz oder überwiegend aufgrund seiner/ ihrer Organisation von der ungestörten Datenverarbeitung abhängig sein muss.[51] Bei Privatpersonen soll in Zukunft darauf abzustellen sein, "..ob die Datenverarbeitungsanlage für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt"; z.B. Nutzung des Computers als Arbeitsmittel bei der Heimarbeit. Kurze DoS-Attacken oder Flood-Pings im Rahmen eines Quake-Matches werden von der Gesetzesbegründung ausdrücklich ausgenommen (".. nicht aber jeglicher Kommunikationsvorgang im privaten Bereich oder etwa Computerspiele.")[52] Das ist leider ziemlich inkonsequent, wenn man bedenkt, dass schon das bloße Verschaffen entsprechender Tools gem. § 303b Abs. 5 i.V.m. § 202c Abs. 1 Nr. 2 StGB n.F. strafbar sein soll. Eine weitere Unausgewogenheit des Gesetzesvorschlags.
42
e) Neues Merkmal: "erhebliche Störung"
Mit dem neuen Merkmal der "erheblichen Störung" will man klarstellen, dass nur Handlungen erfasst werden sollen, die eine gewisse Erheblichkeitsschwelle überschreiten.[53] Leider konkretisiert die Begründung dieses Erfordernis nicht weiter. Letztlich dürfte es unerheblich sein, ob die Störung einfach oder schwer zu beheben ist. Angesichts der Komplexität der heutigen Datenverarbeitungen liegt die eigentliche Leistung der Fehlerbehebung letztlich darin, den Fehler zu finden.[54] In Anbetracht der Tatsache, dass § 303b Abs. 1 n.F. StGB aber recht allgemein jedermann schützt, erscheint es verfehlt, einen pauschalen Maßstab hinsichtlich der Erheblichkeit der Störung anzulegen. So kann unter Umständen bereits ein kurzer Datenverarbeitungsausfall für einen Heimarbeiter Umsatzeinbußen bedeuten, wohingegen jemand anderer möglicherweise von dem Ausfall überhaupt nichts bemerkt.
Mit dem neuen Merkmal der "erheblichen Störung" will man klarstellen, dass nur Handlungen erfasst werden sollen, die eine gewisse Erheblichkeitsschwelle überschreiten.[53] Leider konkretisiert die Begründung dieses Erfordernis nicht weiter. Letztlich dürfte es unerheblich sein, ob die Störung einfach oder schwer zu beheben ist. Angesichts der Komplexität der heutigen Datenverarbeitungen liegt die eigentliche Leistung der Fehlerbehebung letztlich darin, den Fehler zu finden.[54] In Anbetracht der Tatsache, dass § 303b Abs. 1 n.F. StGB aber recht allgemein jedermann schützt, erscheint es verfehlt, einen pauschalen Maßstab hinsichtlich der Erheblichkeit der Störung anzulegen. So kann unter Umständen bereits ein kurzer Datenverarbeitungsausfall für einen Heimarbeiter Umsatzeinbußen bedeuten, wohingegen jemand anderer möglicherweise von dem Ausfall überhaupt nichts bemerkt.
43
Die Höchststrafe des Grundtatbestandes der Neufassung soll bis zu drei Jahre Freiheitsstrafe betragen.
44
f) Qualifikation des Absatzes 2 n.F.: Betriebe, Unternehmen oder Behörde
Der geltende § 303b Abs. 1 StGB wird zu § 303b Abs. 2 StGB n.F. und stellt eine Qualifikation des Grundtatbestandes dar. Voraussetzung ist, dass Betriebe, Unternehmen oder Behörden von der Sabotagehandlung betroffen sind. Hinsichtlich der drei Begrifflichkeiten gilt § 14 StGB. Inwieweit diese (juristisch) ausgeprägt sind, ist für § 303b StGB unerheblich. Wichtig ist nur, dass sie für den Täter nach rechtlicher und wirtschaftlicher Betrachtung fremd sind. Das bedeutet: Es darf keine wirtschaftliche Identität zwischen dem Täter und dem Betrieb/ Unternehmen bzw. dessen zuständigen Repräsentanten bestehen.[55] Demnach können auch Betriebsangehörige Täter sein, solange ihnen keine ausschließliche Verfügungsgewalt über den Betrieb zusteht. Der Behördenbegriff entspricht dem des § 11 Abs. 1 Nr. 7 StGB.
Der geltende § 303b Abs. 1 StGB wird zu § 303b Abs. 2 StGB n.F. und stellt eine Qualifikation des Grundtatbestandes dar. Voraussetzung ist, dass Betriebe, Unternehmen oder Behörden von der Sabotagehandlung betroffen sind. Hinsichtlich der drei Begrifflichkeiten gilt § 14 StGB. Inwieweit diese (juristisch) ausgeprägt sind, ist für § 303b StGB unerheblich. Wichtig ist nur, dass sie für den Täter nach rechtlicher und wirtschaftlicher Betrachtung fremd sind. Das bedeutet: Es darf keine wirtschaftliche Identität zwischen dem Täter und dem Betrieb/ Unternehmen bzw. dessen zuständigen Repräsentanten bestehen.[55] Demnach können auch Betriebsangehörige Täter sein, solange ihnen keine ausschließliche Verfügungsgewalt über den Betrieb zusteht. Der Behördenbegriff entspricht dem des § 11 Abs. 1 Nr. 7 StGB.
45
Als Höchststrafe sind unverändert bis zu fünf Jahre Freiheitsstrafe vorgesehen.
46
g) Regelbeispiele des Absatzes 4 n.F.
§ 303b Abs. 4 n.F. enthält Regelbeispiele für den Qualifikationstatbestand des Absatzes 2 n.F., bei deren Vorliegen es aufgrund einer besonders schweren Folge zu einer weiteren Strafschärfung kommt: ein Vermögensverlust hohen Ausmaßes, gewerbsmäßiges Handeln, Handeln als Mitglied einer Bande zur fortgesetzten Begehung, Beeinträchtigung der Bevölkerungsversorgung mit lebenswichtigen Gütern (oder Dienstleistungen) oder Beeinträchtigung der Sicherheit des Staates.
§ 303b Abs. 4 n.F. enthält Regelbeispiele für den Qualifikationstatbestand des Absatzes 2 n.F., bei deren Vorliegen es aufgrund einer besonders schweren Folge zu einer weiteren Strafschärfung kommt: ein Vermögensverlust hohen Ausmaßes, gewerbsmäßiges Handeln, Handeln als Mitglied einer Bande zur fortgesetzten Begehung, Beeinträchtigung der Bevölkerungsversorgung mit lebenswichtigen Gütern (oder Dienstleistungen) oder Beeinträchtigung der Sicherheit des Staates.
47
In diesen Fällen sind eine Mindestfreiheitsstrafe von sechs Monaten und eine Höchstfreiheitsstrafe von bis zu zehn Jahren vorgesehen.
48
h) Verweis des Absatzes 5 n.F. für Taten nach Abs. 1 n.F. auf § 202c StGB n.F.
Die Regelung des § 303b Abs. 5 n.F. verweist für Taten nach Abs. 1 n.F. auf die Vorschrift des § 202c StGB n.F. Es gelten obige Ausführungen und Bedenken zu § 202c StGB. Wie schon bei § 303a Abs. 3 StGB n.F. stellt sich auch hier die Frage, wie die schwer abgrenzbare Abstraktheit des § 202c Abs. 1 StGB n.F. praktisch mit der restriktiv gefassten Regelung des § 303b Abs. 1 StGB n.F. zusammenpassen soll.
Die Regelung des § 303b Abs. 5 n.F. verweist für Taten nach Abs. 1 n.F. auf die Vorschrift des § 202c StGB n.F. Es gelten obige Ausführungen und Bedenken zu § 202c StGB. Wie schon bei § 303a Abs. 3 StGB n.F. stellt sich auch hier die Frage, wie die schwer abgrenzbare Abstraktheit des § 202c Abs. 1 StGB n.F. praktisch mit der restriktiv gefassten Regelung des § 303b Abs. 1 StGB n.F. zusammenpassen soll.
49
6. Fazit
Der Entwurf eines neuen Strafrechtsänderunggesetzes zur Bekämpfung der Computerkriminalität vom 20. September 2006 setzt die vereinbarten Vorgaben der Cyber-Crime-Konvention vom 21. September 2001 und des europäischen Rahmenbeschlusses 2005/222/JI vom 24. Februar 2005 recht konsequent in deutsches Recht um. Eine Anpassung des deutschen Strafgesetzbuches an die heutigen Erscheinungsformen der IuK-Kriminalität ist auch durchaus von Nöten, da die Vorschriften des 2. WiKG immer extensiver ausgelegt werden müssen, damit multimediale Bedrohungsszenarien überhaupt noch erfasst werden können. Über einzelne Notwendigkeiten lässt sich zwar vortrefflich streiten, doch letztlich fiel die Entscheidung für die Einführung der neuen Strafbarkeiten schon vor über fünf Jahren mit der Ratifizierung des Cyber-Crime-Abkommens. Was allerdings bei dem Gesetzesvorschlag vom 20.09.2006 irritierend wirkt, ist die Tatsache, dass an manchen Stellen sowohl der Gesetzeswortlaut als auch die Begründung viel zu allgemein gehalten sind, und dass von möglichen Freiräumen bei der Gesetzgebung kaum Gebrauch gemacht wurde. Gerade in Hinblick auf den geplanten § 202c Abs. 1 Nr. 2 StGB mit den entsprechenden Verweisen der §§ 303a Abs. 3 und 303b Abs. 5 StGB n.F. sollte überlegt werden, ob man nicht angesichts der erheblichen Unsicherheit bzgl. der Auswirkungen von einer Regelung absieht oder zumindest eine Sicherheitsleine im subjektiven Tatbestand einbaut. Die Vorverlagerungen der Strafbarkeiten auf Vorbereitungshandlungen sind offensichtlich aus der Not heraus geboren, dass es in der Praxis nur selten möglich ist, Täter zu identifizieren oder vor Gericht Tatzusammenhänge aufgrund der kriminellen Organisationsstrukturen zu beweisen.
Der Entwurf eines neuen Strafrechtsänderunggesetzes zur Bekämpfung der Computerkriminalität vom 20. September 2006 setzt die vereinbarten Vorgaben der Cyber-Crime-Konvention vom 21. September 2001 und des europäischen Rahmenbeschlusses 2005/222/JI vom 24. Februar 2005 recht konsequent in deutsches Recht um. Eine Anpassung des deutschen Strafgesetzbuches an die heutigen Erscheinungsformen der IuK-Kriminalität ist auch durchaus von Nöten, da die Vorschriften des 2. WiKG immer extensiver ausgelegt werden müssen, damit multimediale Bedrohungsszenarien überhaupt noch erfasst werden können. Über einzelne Notwendigkeiten lässt sich zwar vortrefflich streiten, doch letztlich fiel die Entscheidung für die Einführung der neuen Strafbarkeiten schon vor über fünf Jahren mit der Ratifizierung des Cyber-Crime-Abkommens. Was allerdings bei dem Gesetzesvorschlag vom 20.09.2006 irritierend wirkt, ist die Tatsache, dass an manchen Stellen sowohl der Gesetzeswortlaut als auch die Begründung viel zu allgemein gehalten sind, und dass von möglichen Freiräumen bei der Gesetzgebung kaum Gebrauch gemacht wurde. Gerade in Hinblick auf den geplanten § 202c Abs. 1 Nr. 2 StGB mit den entsprechenden Verweisen der §§ 303a Abs. 3 und 303b Abs. 5 StGB n.F. sollte überlegt werden, ob man nicht angesichts der erheblichen Unsicherheit bzgl. der Auswirkungen von einer Regelung absieht oder zumindest eine Sicherheitsleine im subjektiven Tatbestand einbaut. Die Vorverlagerungen der Strafbarkeiten auf Vorbereitungshandlungen sind offensichtlich aus der Not heraus geboren, dass es in der Praxis nur selten möglich ist, Täter zu identifizieren oder vor Gericht Tatzusammenhänge aufgrund der kriminellen Organisationsstrukturen zu beweisen.
50
Die eigentliche Ursache für viele Erscheinungsformen der IuK-Kriminalität liegt in der mangelnden Transparenz von Handlungen im Internet. Bei aller Zurückverfolgbarkeit von Verbindungen bietet das Tatmittel Internet viele Möglichkeiten, um unerkannt zu bleiben. Sicherlich gibt es viele Gründe, warum beim Lesen im Internet Anonymität erstrebenswert ist (Bsp.: Recht auf informationelle Selbstbestimmung, Verbraucherschutz, etc.), allerdings sollte man sich auch vor Augen führen, dass mangelnde Transparenz grundsätzlich delinquentes Verhalten fördert. Daher sollte insbesondere bei der Entwicklung neuer Techniken und internationaler Standards verstärkt darauf geachtet werden, dass beim reinen Lesezugriff gegenüber Dritten Anonymität, hingegen beim Schreibzugriff und öffentlichen Anbieten Transparenz gewährleistet wird. Was nutzt ein abstraktes Gefährdungsdelikt zur Ahndung kaum abgrenzbarer "Hacker-Tools" (mit Verzicht auf die Tathandlung des Besitzes), wenn es auf internationaler Ebene keine praktisch umsetzbaren Kontrollmechanismen gibt. Strafverfolgung kann nur dort erfolgreich betrieben werden, wo sich konkrete Zusammenhänge zwischen Personen und Verhaltensweisen herstellen und beweisen lassen. Die eigentliche Gefahr geht nicht von experimentierfreudigen deutschen Netzwerkadministratoren oder Skript-Kids aus, sondern von organisierten Banden aus Ost-Europa, Russland, Süd-Afrika und Süd-Amerika. Selbst die USA, der führende Produzent von Spam und Phishing-Attacken, können trotz drakonischer Strafgesetze kaum nennenswerte Erfolge bei der Bekämpfung von organisierten Tätern vorweisen. Die organisierte Kriminalität setzt nicht auf Tools, "die aus dem Internet weitgehend anonym geladen werden können", sondern es werden Entwickler und Technik eingekauft, um gezielt Angriffe auf bestimmte Ziele verüben zu können. Nur so gelingt es den Tätern, den Herstellern von Sicherheitssoftware ständig voraus zu sein. Genau wie sich die organisierten Release-Gruppen der Warez-Szene mit ihren versteckten FTP-Servern nicht um öffentliche P2P-Netzwerke scheren, so spielen auch Tools, die in der Öffentlichkeit von jedermann wahrgenommen und analysiert werden können, für organisierte Phisher und Erpresser kaum eine Rolle.
51
Im Ergebnis würde mit der Einführung des geplanten § 202c Abs. 1 Nr. 2 StGB bei unverändertem Wortlaut die Kriminalisierung einer großen Anzahl von potentiell gefährlichen Programmen drohen. Die Tätigkeit von IT-Sicherheitsexperten und Administratoren wäre gefährdet, auch wenn das Bundesjustizministerium dies offensichtlich anders sieht.[56] Dabei lässt sich der von Beweiserwägungen geprägte Zweck des § 202c Abs. 1 Nr. 2 StGB möglicherweise auch schon auf anderem Wege erreichen, denn in Zukunft wird der Gesetzgeber die strafprozessualen Befugnisse der Ermittler erweitern; trotz aller Bedenken rückt die umfassende Vorratsdatenspeicherung auch auf nationaler Ebene unaufhaltsam näher. Als positiv zu bewerten ist die Erweiterung des Schutzbereiches bei § 202a Abs. 1 StGB n.F. und die Einführung des neuen § 202b StGB, wobei letzterer in Hinblick auf das Merkmal der "nichtöffentlichen Datenübermittlung" und die Tathandlung der Datenumleitung konkretisiert werden sollte. § 202c Abs. 1 Nr. 1 StGB n.F. eröffnet neben den §§ 202a Abs. 1 und 202b StGB n.F. neue Perspektiven im Kampf gegen das Phishing. Leider wirkt dieses Schwert aufgrund des niedrigen Strafmaßes relativ stumpf.
52
Ferner ist begrüßenswert, dass der Schutzbereich des § 303b Abs. 1 StGB n.F. jedermann zugute kommen soll. DoS-Attacken werden durch die Neuregelung klar erfasst. Unklar sind leider die Merkmale "von wesentlicher Bedeutung" und "erhebliche Störung". Hinzu kommt, dass diese Merkmale im Widerspruch zu den Verweisen auf den weiten Tatbestand des § 202c Abs. 1 StGB n.F. stehen. Es bleibt zu hoffen, dass es bis zur endgültigen Verabschiedung des Gesetzes zu einigen Klarstellungen kommt. Andernfalls sind unterschiedliche Auslegungen und divergierende Rechtsprechung bereits vorprogrammiert.
* Der Autor Alexander Schultz, Rechtsanwalt in Hagen, ist Herausgeber des Computer- & Mediendelikte Kommentars (CuMK), Bochum, zu finden unter der Adresse http://www.mediendelikte.de. Die umfangreiche Praxiskommentierung widmet sich der Darstellung und rechtlichen Bewertung von Phänomenen aus dem Bereich der Informations- und Kommunikationskriminalität.
[1] RegE vom 20.09.2006, http://www.bmj.bund.de/media/archive/1317.pdf
[2] http://www.medien-internet-und-recht.de/volltext.php?mir_dok_id=382
[3] http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm
[4] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:DE:NOT
[5] wohl a.A.: Tröndle/ Fischer, § 202a, Rdnr. 10, 12; vgl. auch Popp, NJW 2004, 3517 f.
[6] Zum Begriff "Social-Engineering": http://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29
[7] vgl. Hilgendorf/ Frank/ Valerius, Computer- und Internetstrafrecht, Rdnr. 762.
[8] vgl. hierzu ausführlicher: Schultz, MIR Dok. 099-2006, Rz. 1 ff; http://www.medien-internet-und-recht.de/volltext.php?mir_dok_id=314
[9] Vgl. zum geltenden § 202a Abs. 1 StGB: Tröndle/ Fischer, § 202a, Rdnr. 2, 11; Lackner, § 202a, Rdnr. 1.
[10] Vgl. Kindhäuser Lb, BT II/1, § 24, Rdnr. 4 ff.; Otto BT § 52/31; Achenbach, Jura 1991, 227; Hilgendorf, JuS 1996, 511.
[11] Vgl. BT-Drucks. 10/5058, S. 28 ff.
[12] Sieber CR 1995, 103, Lenckner/Winkelbauer CR 1986, 488.
[13] Erläuterung zu dem Begriff "White Hat": http://en.wikipedia.org/wiki/White_Hat
[14] Vgl. Tröndle/ Fischer, § 202a, Rdnr. 11; Hauptmann, JUR-PC 89, 215 (216).
[15] Vgl. Sch/ Sch - Lenckner, § 202a, Rdnr. 10, Tröndle/ Fischer, § 202a, Rdnr. 8; LK - Schünemann, § 202a, Rdnr. 10.
[16] Vgl. Sch/ Sch - Lenckner, § 202a, Rdnr. 10.
[17] Tröndle/Fischer, § 202a, Rdnr. 8; LK - Schünemann, § 202a, Rdnr. 15.
[18] RegE vom 20.09.2006, S. 14; http://www.bmj.bund.de/media/archive/1317.pdf
[19] Vgl. Leicht, iur 87, 49; LK - Schünemann, § 202a, Rdnr. 15.
[20] mediendelikte.de / Schultz, § 202a StGB, Rdnr. 7 ff. - Suchbegriff: BT-202a
[21] Vgl. Tröndle/ Fischer, § 202a, Rdnr. 10.
[22] Vgl. Sch/ Sch - Lenckner, § 202a, Rdnr. 8.
[23] Zum Begriff "Sniffer": http://de.wikipedia.org/wiki/Sniffer
[24] RegE vom 20.09.2006, S. 15, Punkt 1; http://www.bmj.bund.de/media/archive/1317.pdf
[25] S/ S - Lenckner, § 201, Rdnr. 26; Joecks, § 201, Rdnr. 16; BT-Drucks. 11/6714 S. 3.
[26] RegE vom 20.09.2006, S. 16, Punkt 2; http://www.bmj.bund.de/media/archive/1317.pdf
[27] Vgl. zur Zielgerichtetheit: mediendelikte.de / Schultz, § 202a StGB, Rdnr. 5 - Suchbegriff: BT-202a
[28] Zum Begriff "Hop": http://de.wikipedia.org/wiki/Hop_%28Netzwerktechnologie%29
[29] RegE vom 20.09.2006, S. 16, Punkt 2 u. 6; http://www.bmj.bund.de/media/archive/1317.pdf
[30] RegE vom 20.09.2006, S. 16, Punkt 6; http://www.bmj.bund.de/media/archive/1317.pdf
[31] Vgl. RegE vom 20.09.2006, S. 16, Punkt 3; http://www.bmj.bund.de/media/archive/1317.pdf
[32] RegE vom 20.09.2006, S. 16, Punkt 5; http://www.bmj.bund.de/media/archive/1317.pdf
[33] RegE vom 20.09.2006, S. 18, Punkt 3; http://www.bmj.bund.de/media/archive/1317.pdf
[34] http://www.spiegel.de/netzwelt/politik/0,1518,438969,00.html
[35] http://www.ccc.de/press/releases/2006/20060925/
[36] Pdf-Datei: http://www.bitkom.de/files/documents/Stellungnahme_BITKOM_StrAendG_12_07_06.pdf
[37] Pdf-Datei: http://www.eco.de/servlet/PB/show/1856416/20060801-StrRndG-Stellungnahme-eco-web.pdf
[38] http://www.spiegel.de/netzwelt/politik/0,1518,438969,00.html
[39] RegE vom 20.09.2006, S. 17, Punkt 2 a.E.; http://www.bmj.bund.de/media/archive/1317.pdf
[40] Vgl. Tröndle/ Fischer, § 263a, Rdnr. 29.
[41] Vgl. BT-Drucks. 15/1720, 10 f.
[42] Vgl. Tröndle/ Fischer, § 263a, Rdnr. 32.
[43] Vgl. mediendelikte.de / Schultz, § 263a, Rdnr. 13, Suchbegriff: BT-263a; Tröndle/ Fischer, § 263a, Rdnr. 32 a.E.
[44] RegE vom 20.09.2006, S. 17, Punkt 2 a.E.; http://www.bmj.bund.de/media/archive/1317.pdf
[45] RegE vom 20.09.2006, S. 17, Punkt 2 a.E.; http://www.bmj.bund.de/media/archive/1317.pdf
[46] RegE vom 20.09.2006, S. 19, Zu Nummer 4; http://www.bmj.bund.de/media/archive/1317.pdf
[47] RegE vom 20.09.2006, S. 20, Punkt 1 a); http://www.bmj.bund.de/media/archive/1317.pdf
[48] Vgl. BT-Drucks., 10/5058, S. 35; Tröndle/ Fischer, § 303b, Rdnr. 4; Sch/ Sch - Stree, § 303b, Rdnr. 3; Lackner/ Kühl, § 303b, Rdnr. 2.
[49] Vgl. Tröndle/ Fischer, § 303b, Rdnr. 5, 12.
[50] Vgl. BGHSt NJW 1953, 1924.
[51] Vgl. NK-Zaczyk, § 303b, Rdnr. 6.
[52] RegE vom 20.09.2006, S. 20, Punkt 1 a); http://www.bmj.bund.de/media/archive/1317.pdf
[53] RegE vom 20.09.2006, S. 21, Punkt 1 c); http://www.bmj.bund.de/media/archive/1317.pdf
[54] mediendelikte.de / Schultz, § 303b StGB, Rdnr. 4 - Suchbegriff: BT-303b
[55] Vgl. Killian/ Heussen - Scheffler, CompRHdb, 102, Rdnr. 180; Tröndle/ Fischer, § 303b, Rdnr. 8.
[56] Vgl. dazu Heise-Meldung: http://www.heise.de/newsticker/meldung/79180
[1] RegE vom 20.09.2006, http://www.bmj.bund.de/media/archive/1317.pdf
[2] http://www.medien-internet-und-recht.de/volltext.php?mir_dok_id=382
[3] http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm
[4] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:DE:NOT
[5] wohl a.A.: Tröndle/ Fischer, § 202a, Rdnr. 10, 12; vgl. auch Popp, NJW 2004, 3517 f.
[6] Zum Begriff "Social-Engineering": http://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29
[7] vgl. Hilgendorf/ Frank/ Valerius, Computer- und Internetstrafrecht, Rdnr. 762.
[8] vgl. hierzu ausführlicher: Schultz, MIR Dok. 099-2006, Rz. 1 ff; http://www.medien-internet-und-recht.de/volltext.php?mir_dok_id=314
[9] Vgl. zum geltenden § 202a Abs. 1 StGB: Tröndle/ Fischer, § 202a, Rdnr. 2, 11; Lackner, § 202a, Rdnr. 1.
[10] Vgl. Kindhäuser Lb, BT II/1, § 24, Rdnr. 4 ff.; Otto BT § 52/31; Achenbach, Jura 1991, 227; Hilgendorf, JuS 1996, 511.
[11] Vgl. BT-Drucks. 10/5058, S. 28 ff.
[12] Sieber CR 1995, 103, Lenckner/Winkelbauer CR 1986, 488.
[13] Erläuterung zu dem Begriff "White Hat": http://en.wikipedia.org/wiki/White_Hat
[14] Vgl. Tröndle/ Fischer, § 202a, Rdnr. 11; Hauptmann, JUR-PC 89, 215 (216).
[15] Vgl. Sch/ Sch - Lenckner, § 202a, Rdnr. 10, Tröndle/ Fischer, § 202a, Rdnr. 8; LK - Schünemann, § 202a, Rdnr. 10.
[16] Vgl. Sch/ Sch - Lenckner, § 202a, Rdnr. 10.
[17] Tröndle/Fischer, § 202a, Rdnr. 8; LK - Schünemann, § 202a, Rdnr. 15.
[18] RegE vom 20.09.2006, S. 14; http://www.bmj.bund.de/media/archive/1317.pdf
[19] Vgl. Leicht, iur 87, 49; LK - Schünemann, § 202a, Rdnr. 15.
[20] mediendelikte.de / Schultz, § 202a StGB, Rdnr. 7 ff. - Suchbegriff: BT-202a
[21] Vgl. Tröndle/ Fischer, § 202a, Rdnr. 10.
[22] Vgl. Sch/ Sch - Lenckner, § 202a, Rdnr. 8.
[23] Zum Begriff "Sniffer": http://de.wikipedia.org/wiki/Sniffer
[24] RegE vom 20.09.2006, S. 15, Punkt 1; http://www.bmj.bund.de/media/archive/1317.pdf
[25] S/ S - Lenckner, § 201, Rdnr. 26; Joecks, § 201, Rdnr. 16; BT-Drucks. 11/6714 S. 3.
[26] RegE vom 20.09.2006, S. 16, Punkt 2; http://www.bmj.bund.de/media/archive/1317.pdf
[27] Vgl. zur Zielgerichtetheit: mediendelikte.de / Schultz, § 202a StGB, Rdnr. 5 - Suchbegriff: BT-202a
[28] Zum Begriff "Hop": http://de.wikipedia.org/wiki/Hop_%28Netzwerktechnologie%29
[29] RegE vom 20.09.2006, S. 16, Punkt 2 u. 6; http://www.bmj.bund.de/media/archive/1317.pdf
[30] RegE vom 20.09.2006, S. 16, Punkt 6; http://www.bmj.bund.de/media/archive/1317.pdf
[31] Vgl. RegE vom 20.09.2006, S. 16, Punkt 3; http://www.bmj.bund.de/media/archive/1317.pdf
[32] RegE vom 20.09.2006, S. 16, Punkt 5; http://www.bmj.bund.de/media/archive/1317.pdf
[33] RegE vom 20.09.2006, S. 18, Punkt 3; http://www.bmj.bund.de/media/archive/1317.pdf
[34] http://www.spiegel.de/netzwelt/politik/0,1518,438969,00.html
[35] http://www.ccc.de/press/releases/2006/20060925/
[36] Pdf-Datei: http://www.bitkom.de/files/documents/Stellungnahme_BITKOM_StrAendG_12_07_06.pdf
[37] Pdf-Datei: http://www.eco.de/servlet/PB/show/1856416/20060801-StrRndG-Stellungnahme-eco-web.pdf
[38] http://www.spiegel.de/netzwelt/politik/0,1518,438969,00.html
[39] RegE vom 20.09.2006, S. 17, Punkt 2 a.E.; http://www.bmj.bund.de/media/archive/1317.pdf
[40] Vgl. Tröndle/ Fischer, § 263a, Rdnr. 29.
[41] Vgl. BT-Drucks. 15/1720, 10 f.
[42] Vgl. Tröndle/ Fischer, § 263a, Rdnr. 32.
[43] Vgl. mediendelikte.de / Schultz, § 263a, Rdnr. 13, Suchbegriff: BT-263a; Tröndle/ Fischer, § 263a, Rdnr. 32 a.E.
[44] RegE vom 20.09.2006, S. 17, Punkt 2 a.E.; http://www.bmj.bund.de/media/archive/1317.pdf
[45] RegE vom 20.09.2006, S. 17, Punkt 2 a.E.; http://www.bmj.bund.de/media/archive/1317.pdf
[46] RegE vom 20.09.2006, S. 19, Zu Nummer 4; http://www.bmj.bund.de/media/archive/1317.pdf
[47] RegE vom 20.09.2006, S. 20, Punkt 1 a); http://www.bmj.bund.de/media/archive/1317.pdf
[48] Vgl. BT-Drucks., 10/5058, S. 35; Tröndle/ Fischer, § 303b, Rdnr. 4; Sch/ Sch - Stree, § 303b, Rdnr. 3; Lackner/ Kühl, § 303b, Rdnr. 2.
[49] Vgl. Tröndle/ Fischer, § 303b, Rdnr. 5, 12.
[50] Vgl. BGHSt NJW 1953, 1924.
[51] Vgl. NK-Zaczyk, § 303b, Rdnr. 6.
[52] RegE vom 20.09.2006, S. 20, Punkt 1 a); http://www.bmj.bund.de/media/archive/1317.pdf
[53] RegE vom 20.09.2006, S. 21, Punkt 1 c); http://www.bmj.bund.de/media/archive/1317.pdf
[54] mediendelikte.de / Schultz, § 303b StGB, Rdnr. 4 - Suchbegriff: BT-303b
[55] Vgl. Killian/ Heussen - Scheffler, CompRHdb, 102, Rdnr. 180; Tröndle/ Fischer, § 303b, Rdnr. 8.
[56] Vgl. dazu Heise-Meldung: http://www.heise.de/newsticker/meldung/79180
Online seit: 10.10.2006
Kurz-Link zum Artikel: http://miur.de/398
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
Was Sie noch interessieren könnte...
Bindung des Mieters an einen vom Vermieter bereitgestellten Kabelanschluss verstößt aktuell nicht gegen das Telekommunikationsgesetz
Bundesgerichtshof, MIR 2021, Dok. 091
Sattelunterseite II - Zur Frage der Sichtbarkeit eines Bauelements (hier: Fahrradsattel) eines komplexen Erzeugnisses (hier: Fahrrad) bei seiner bestimmungsgemäßen Verwendung
BGH, Urteil vom 15.06.2023 - I ZB 31/20 , MIR 2023, Dok. 057
Entfernung von Metadaten - Zur urheberrechtlichen Bewertung der Löschung von Metadaten mit dem Namen des Lichtbildners aus Bilddateien
OLG Köln, Urteil vom 02.06.2023 - 6 U 17/23, MIR 2023, Dok. 051
Glück - Der wettbewerbsrechtliche Nachahmungsschutz betrifft Waren und Dienstleistungen in ihrer konkreten Gestaltung, nicht die dahinterstehende abstrakte Idee
BGH, Urteil vom 07.12.2023 - I ZR 126/22, MIR 2024, Dok. 001
MO ./. MALM - Zu den Voraussetzungen eines Vorbenutzungsrechts im Designrecht
Bundesgerichtshof, MIR 2017, Dok. 027
Bundesgerichtshof, MIR 2021, Dok. 091
Sattelunterseite II - Zur Frage der Sichtbarkeit eines Bauelements (hier: Fahrradsattel) eines komplexen Erzeugnisses (hier: Fahrrad) bei seiner bestimmungsgemäßen Verwendung
BGH, Urteil vom 15.06.2023 - I ZB 31/20 , MIR 2023, Dok. 057
Entfernung von Metadaten - Zur urheberrechtlichen Bewertung der Löschung von Metadaten mit dem Namen des Lichtbildners aus Bilddateien
OLG Köln, Urteil vom 02.06.2023 - 6 U 17/23, MIR 2023, Dok. 051
Glück - Der wettbewerbsrechtliche Nachahmungsschutz betrifft Waren und Dienstleistungen in ihrer konkreten Gestaltung, nicht die dahinterstehende abstrakte Idee
BGH, Urteil vom 07.12.2023 - I ZR 126/22, MIR 2024, Dok. 001
MO ./. MALM - Zu den Voraussetzungen eines Vorbenutzungsrechts im Designrecht
Bundesgerichtshof, MIR 2017, Dok. 027
