aus wistra 1/2025
Das Bundesministerium der Justiz hat am 4.11.2024 seinen Referentenentwurf eines „Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts“ vorgelegt und den Ländern und Verbänden Gelegenheit zur Stellungnahme gegeben. Der Entwurf will strafwürdiges Verhalten und legitime IT-Sicherheitsforschung voneinander abgrenzen. IT-Fachleute, die aus lauteren Motiven Sicherheitslücken nachgehen, nutzen dabei ähnliche Methoden wie kriminelle Hacker und seien deshalb einem Strafbarkeitsrisiko ausgesetzt (RefE, S. 6), das kontraproduktiv sei, weil es nicht nur von verbotenem, sondern auch von gesellschaftlich erwünschtem Verhalten abschrecke. IT-Sicherheit sei die Achillesferse der Informationsgesellschaft (RefE, S. 1). Sicherheitslücken zu schließen habe daher allergrößte Bedeutung für die Abwehr von Cyberangriffen durch Kriminelle und fremde Mächte (RefE, S. 1). Der Koalitionsvertrag für die 20. Legislaturperiode sieht dazu vor, dass das „Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, legal durchführbar sein“ soll. Der Gesetzentwurf will nun durch einen Tatbestandsausschluss in den §§ 202a, 202b und 303a StGB die bestehende Rechtsunsicherheit beseitigen und Konflikte zwischen IT-Sicherheitsinteressen und Strafverfolgung lösen („IT-Sicherheitsforschung ohne Strafbarkeitsrisiken“, RefE, S. 6).
Zum Referentenentwurf s. Marnau, CR 2024, 839; zu Strafbarkeitsrisiken für die IT-Sicherheitsforschung s. FZI Forschungszentrum Informatik, Whitepaper zur Rechtslage der IT-Sicherheitsforschung; Golla/Brodowski, IT-Sicherheitsforschung und Strafrecht, 2023; Golla, JZ 2021, 985; Hillert, AnwZert ITR 23/2024 Anm. 2; Kipker / Rohstock, ZRP 2020, 240; Klaas, MMR 2022, 187; Schröder HRRS 2024, 75; Wagner, PinG 2020, 66.
Nach § 202a StGB (Ausspähen von Daten) macht sich strafbar, wer sich unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Dabei muss der Täter die Zugangssicherung überwinden. Der Gesetzentwurf (Art. 1 Nr. 1) schlägt eine negative Legaldefinition von „unbefugt“ vor, die in einem neuen Abs. 3 verortet sein und wie folgt lauten soll:
(3) Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn
- 1. sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten und
- 2. sie zur Feststellung der Sicherheitslücke erforderlich ist.
Für § 202b StGB (Abfangen von Daten) und § 303a StGB (Datenveränderung) soll diese Regelung entsprechend gelten (jeweils neuer § 202b Abs. 2 und § 303a Abs. 4 StGB-E, Art. 1 Nr. 2, 3).
Weiter sollen die Strafrahmen in §§ 202a, 202b StGB durch einen besonders schweren Fall auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren angehoben werden (Art. 1 Nr. 1, 2). Der vorgeschlagene neue § 202a Abs. 4 StGB (Art. 1 Nr. 1) lautet wie folgt:
(4) In besonders schweren Fällen des Absatzes 1 ist die Strafe Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter
- 1. einen Vermögensverlust großen Ausmaßes herbeiführt,
- 2. aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von solchen Taten verbunden hat oder
- 3. durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt.
Für § 202b soll dieser neue besonders schwere Fall entsprechend gelten (Art. 1 Nr. 2; neuer § 202b Abs. 2 StGB-E). Die Neuregelungen sollen mit Beginn des auf die Verkündung folgenden Quartals in Kraft treten (Art. 2).
1. Tatbestandsausschluss bei § 202a StGB Die nach § 202a StGB tatbestandliche Überwindung von Zugangssicherungen sei eine typische Herangehensweise bei IT-Sicherheitstests. Das Merkmal „unbefugt“ markiert dabei die Grenze zwischen Strafbarkeit und Straflosigkeit. Unbefugt handelt zunächst nicht, wer sich mit Einverständnis des Berechtigten Zugang zu Daten verschafft, so dass ein beauftragter Zugangsversuch („penetration test“) nicht strafbar sei (RefE, S. 7). Die Verteilung von Berechtigungen könne bei IT-Systemen aber komplex sein und sich nicht immer klären lassen (RefE, S. 7). Zudem müssten Sicherheitslücken nicht nur unter „Laborbedingungen“, sondern auch in „natürlicher Umgebung“ aufgespürt werden können, ohne dass zuvor das Einverständnis sämtlicher potentiell Berechtigter eingeholt werden müsste (RefE, S. 7, 16). Viele Unternehmen forderten IT-Sicherheitstester dazu auf, ihre Sicherheitssysteme auf die Probe zu stellen und Schwachstellen ggf. zu melden. Teilweise würden dafür sogar Prämien ausgelobt („Bug Bounties“, RefE, S. 7).
a) Feststellungs- und Meldeabsicht
Mit dem neuen § 202a Abs. 3 StGB-E wäre die Zugangsverschaffung nicht mehr unbefugt, wenn sie die Absicht verfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und den für das informationstechnische System Verantwortlichen, den Betreiber der Datenverarbeitungsanlage, den Hersteller der betroffenen IT-Anwendung oder das BSI davon zu unterrichten. Entscheidend ist danach die Absicht des Handelnden. Um sie festzustellen, seien neben den Einlassungen des Betroffenen die Tatumstände im Übrigen zu würdigen, wie dies auch sonst im Strafrecht üblich sei (RefE, S. 16). Die Absicht müsse sich darauf beziehen, eine Sicherheitslücke festzustellen und zu schließen. Abzugrenzen sei dies vom mutwilligen Ausprobieren, ob sich Systeme „knacken“ ließen und einem Hacking aus rein persönlichen Motiven (RefE, S. 17). Ein bestimmter Meldeweg werde nicht vorgegeben, zumal kein allgemein anerkanntes standardisiertes Verfahren für die sog. „responsible disclosure“ existiere (S. 17). Nutze der Handelnde den vom Verantwortlichen angebotenen Meldeweg, könne das als Nachtatverhalten aber ein sehr starker Beleg für seine lautere Absicht sein (RefE, S. 17). Nicht ausreichend sei es für den Tatbestandsausschluss, wenn der Handelnde nur vorhatte, die Sicherheitslücke irgendjemandem mitzuteilen oder sie sogleich publik zu machen (RefE, S. 17).
Weil es nur auf die Absicht ankommt, bleibt es auch dann bei dem Tatbestandsausschluss, wenn die ursprüngliche Meldeabsicht nach der Tat aufgegeben und die Schwachstelle nicht gemeldet wird (RefE, S. 17). Die Ausgestaltung als Tatbestandsausschluss sei gleichwohl erforderlich, um bereits zum Zeitpunkt der Handlung (also der Zugangsverschaffung) bestimmen zu können, ob der Tatbestand erfüllt sei oder nicht, und einen Schwebezustand zu vermeiden (RefE, S. 17). Ebenfalls aus Gründen der Rechtssicherheit entscheidet sich der Entwurf auch gegen einen bloßen Rechtfertigungs- oder Strafaufhebungsgrund (RefE, S. 17).
b) Erforderlichkeit
Der Tatbestandsausschluss setzt weiter voraus, dass die Handlung zur Feststellung der Sicherheitslücke geeignet ist und kein milderes Mittel zur Verfügung steht (wie etwa die Einholung des Einverständnisses des Berechtigten; RefE, S. 17). Dadurch werde sichergestellt, dass diejenigen, die auf mehr oder andere Daten zugreifen als für die Feststellung der Sicherheitslücke notwendig, sich auch in Zukunft strafbar machen (RefE, S. 17). Dass das beabsichtigte Aufspüren einer Sicherheitslücke misslingt, schließe die Erforderlichkeit dagegen nicht aus (RefE, S. 17).
2. Entsprechende Geltung für § 202b (Abfangen von Daten) und § 303a StGB (Datenveränderung)
Für § 202b und § 303a StGB soll der Tatbestandsausschluss des § 202a Abs. 3 StGB-E entsprechend gelten. Während § 202b StGB ebenfalls das Merkmal „unbefugt“ enthält, spricht § 303a StGB von „rechtswidrig“, und die Bedeutung dieses Merkmals (allgemeines Verbrechensmerkmal oder Tatbestandseinschränkung) sei umstritten (RefE, S. 29). § 202a Abs. 3 StGB-E solle hier mit der Maßgabe entsprechend gelten, dass das Verhalten nicht rechtswidrig sei (RefE, S. 20). Denn es sei für die IT-Sicherheitsforschung im Rahmen ihrer Tätigkeiten kaum möglich, nicht auch Daten zu verändern (RefE, S. 20).
Für die Computersabotage (§ 303b StGB) soll der Tatbestandsausschluss dagegen nicht gelten. Die dort vorausgesetzte erhebliche Störung einer Datenverarbeitung von wesentlicher Bedeutung dürfe nicht straflos bleiben (RefE, S. 14). Allerdings besteht eine der Tatbestandsvarianten des § 303b StGB in der erheblichen Störung einer relevanten Datenverarbeitung durch Begehung einer (rechtswidrigen) Tat nach § 303a Abs. 1 StGB (§ 303b Abs. 1 Nr. 1 StGB). Die entsprechende Anwendbarkeit des neuen § 202a Abs. 3 StGB-E bei § 303a StGB lässt die Rechtswidrigkeit entfallen. Computersabotage wäre demnach zukünftig nicht mehr strafbar, wenn sie durch eine Datenveränderung (§ 303a Abs. 1 StGB) begangen würde, die ihrerseits unter entsprechender Anwendung von § 202a Abs. 3 StGB-E nicht „unbefugt“ war (RefE, S. 20). Hier komme jedoch das in § 202a Abs. 3 StGB-E vorgesehene Merkmal der Erforderlichkeit ins Spiel. Bei seiner Prüfung sei zu berücksichtigen, dass die Datenveränderung (§ 303a Abs. 1 StGB) vorgenommen worden sei, um für eine Computersabotage nach § 303b Abs. 1 Nr. 1 StGB verwendet zu werden (RefE, S. 20). Eine solche Sabotage könne aber niemals erforderlich sein (RefE, S. 20).
3. Strafbarkeit bei Absichtsänderung
Der Gesetzentwurf erörtert auch die Situation, dass eine Sicherheitslücke zunächst in guter Absicht identifiziert, dann aber aufgrund einer späteren Absichtsänderung nicht nur ungemeldet bleibt, sondern missbräuchlich verwendet wird. Eine Strafbarkeit nach §§ 202a, 202b und § 303a StGB scheidet nach der Neuregelung in diesen Fällen aus. Einen gesonderten Tatbestand für den Missbrauch von Daten, zu denen der Täter zuvor straflos Zugang erlangt, kennt das Computerstrafrecht nicht. Das ist angesichts der vorverlagerten Strafbarkeit nach § 202a StGB konsequent, der schon die Zugangsverschaffung unter Strafe stellt und nur geringe Anforderungen an die zu überwindende Zugangssicherung enthält (zu „Innentätern“ s. Popp/Malek/Nadeborn in Malek/Popp/Nadeborn, Strafsachen im Internet, 3. Aufl. 2024, Rz. 135). Dadurch ist regelmäßig jedenfalls eine Strafbarkeit nach § 202a StGB
gegeben, so dass es keines allgemeinen „Datenmissbrauchs-Tatbestands“ bedarf. Auch die jetzt vorgesehenen Strafbarkeitsausnahmen bei § 202a StGB verursachten nach der Gesetzesbegründung keine unvertretbaren Strafbarkeitsdefizite (RefE, S. 12). Zum einen werde sich das Problem einer nachträglichen Absichtsänderung in der Praxis nicht allzu oft stellen, da ein solches Nachtatverhalten die Feststellung nahelegen könne, dass der Handelnde von vornherein mit deliktischer Absicht vorgegangen sei (RefE, S. 12).
Habe sich der Handelnde den Datenzugang zunächst tatsächlich in guter Absicht verschafft, so könne er sich zum anderen bei einem anschließenden Missbrauch der Daten nach sonstigen Regelungen strafbar machen. Enthielten die Daten Geschäftsgeheimnisse, so greife das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG; RefE, S. 13). Bei personenbezogenen Daten komme eine Strafbarkeit nach dem BDSG in Betracht (§ 42 Abs. 2 Nr. 1 BDSG; RefE, S. 13). Handele es sich weder um Geschäftsgeheimnisse noch um personenbezogene, sondern nur um „gewöhnliche“ Daten, fehle es an einer Strafbarkeit. Mangels rechtswidriger Vortat bleibe damit auch eine anschließende Hehlerei an den Daten (§ 202d StGB) straflos (RefE, S. 13). Dies könne aber hingenommen werden, denn die Situation unterscheide sich nicht von der im geltenden Recht, wenn jemand berechtigten Zugriff auf Daten hat und diesen dann missbraucht (RefE, S. 13).
4. Keine Änderungen bei anderen Straftatbeständen
Keinen Änderungsbedarf sieht der Entwurf bei § 202c StGB, der gelegentlich als „Hackerparagraph“ bezeichnet werde und das Vorbereiten des Ausspähens und Abfangens von Daten (§§ 202a, 202b StGB) mit Strafe bedrohe (RefE, S. 9). Die vorgesehenen Strafbarkeitseinschränkungen bei den beiden Bezugsnormen führe dazu, dass insoweit für die IT-Sicherheitsforschung keine Strafbarkeitsrisiken mehr bestünden (RefE, S. 9).
Der Zugriff auf fremde informationstechnische Systeme kann neben § 202a und § 202b StGB noch den Tatbestand der Sachbeschädigung (§ 303 StGB) sowie die nebenstrafrechtlichen Tatbestände des Urhebergesetzes (UrhG) und des GeschGehG erfüllen. Bei § 303 StGB wird darauf verwiesen, dass die Regelung nur greife, wenn der Tatbestand des § 303b StGB nicht erfüllt sei, der ansonsten § 303 StGB verdränge (RefE, S. 10). Dazu könne es kommen, wenn zwar die Funktionsfähigkeit einer fremden Sache beeinträchtigt werde, dies aber keine erhebliche Störung einer relevanten Datenverarbeitung zur Folge habe (RefE, S. 10). Ein Tatbestandsausschluss werde hier nicht vorgesehen, weil die Sachbeschädigung, die vorsätzlich erfolgen müsse, in diesen Fällen vergleichbar mit anderen Begehungsformen bleibe (RefE, S. 10).
Im Zuge der IT-Sicherheitsforschung können auch Geschäftsgeheimnisse erlangt und im Disclosure-Prozess offengelegt werden. Ob eine Strafbarkeit nach § 23 GeschGehG drohe, hänge vor allem davon ab, ob der Täter zur Förderung des eigenen oder fremden Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht handele, dem Inhaber eines Unternehmens Schaden zuzufügen (RefE, S. 10). Gerichte hätten bei der Prüfung dieser Frage zukünftig zu berücksichtigen, dass die IT-Sicherheitsforschung unter den Voraussetzungen des § 202a Abs. 3 StGB-E regelmäßig ein die Strafbarkeit ausschließendes sonstiges legitimes Interesse (§ 5 GeschGehG) darstelle, sofern der Zugang darauf beschränkt bleibe und auch im Übrigen ein angemessener Schutz des Geschäftsgeheimnisses gesichert werde (RefE, S. 10).
Geschäftsgeheimnisse können auch beim Aufspüren von Sicherheitslücken mittels Reverse Engineering verletzt werden. Dabei werde ein Produkt analysiert, um dessen Bestandteile, Funktionsweisen und auch den Herstellungsprozess nachvollziehen zu können (RefE, S. 10). Es handele sich also um einen gedachten umgekehrten Herstellungsprozess, der nicht von der Idee zum Produkt, sondern vom Produkt zur Idee ablaufe (RefE, S. 10). Dafür enthalte das GeschGehG eine Regelung (§ 3 Abs. 1 Nr. 2 GeschGehG), die Reverse Engineering aber nur dann zulasse, wenn der Testgegenstand öffentlich verfügbar gemacht worden sei oder sich im rechtmäßigen Besitz des Testenden befinde und dieser keiner Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliege (RefE, S. 10). An diesen Voraussetzungen könne es häufig fehlen (RefE, S. 10). Aber auch dann könne ein die Strafbarkeit nach dem GeschGehG ausschließendes sonstiges legitimes Interesse gegeben sein; erforderlich sei stets eine Einzelfallabwägung (RefE, S. 10).
Um Software auf Fehler zu untersuchen, müsse man in einigen Fällen auch den Quellcode vervielfältigen, übersetzen oder auf sonstige Weise bearbeiten. Insbesondere kann eine Dekompilierung des Objektcodes in einen „Quellcode“ erforderlich werden. Darin kann ein strafbarer Verstoß gegen das UrhG liegen. Die Vorgaben des Unionsrechts ließen keinen Spielraum dafür, explizit gesetzliche Nutzungserlaubnisse für die IT-Sicherheitsforschung zu schaffen. Nach der Rechtsprechung sei der rechtmäßige Erwerber eines Computerprogramms aber berechtigt, dieses zu dekompilieren, um Programmfehler zu berichtigen (RefE, S. 10). Lizenzbedingungen für Computerprogramme könnten zwar Grenzen für urheberrechtlich relevante Handlungen setzen, dürften aber nicht jede Möglichkeit einer Fehlerberichtigung ausschließen (RefE, S. 10).
5. Erhöhung des Strafrahmens bei § 202a und § 202b StGB
Um die gestiegene Bedeutung der Informationstechnik für Wirtschaft und Gesellschaft sowie die zunehmenden Gefahren für die IT-Sicherheit abzubilden, will der Gesetzentwurf einen besonders schweren Fall mit vier Regelbeispielen und einer höheren Strafandrohung schaffen (§ 202a Abs. 4 und § 202b Abs. 2 StGB-E; RefE, S. 17). Dies trage auch Anliegen der Länder Rechnung, wie sie z.B. in den (vom Bundesrat nicht eingebrachten) Gesetzesanträgen Bayerns (vom 19.4.2019, BR-Drucks. 168/19) und Nordrhein-Westfalens (vom 28.5.2019, BR-Drucks. 248/19) zum Ausdruck kämen (RefE, S. 17; s. auch den vom Bundesrat nicht angenommenen Entschließungsantrag Hamburgs vom 28.5.2019, BR-Drucks. 264/19). Auch die Innenministerkonferenz habe sich in ihrer Frühjahrsitzung im Jahr 2024 mit dem Thema befasst (RefE, S. 17; s. auch den JuMiKo-Beschluss vom 11./12.11.2021: „Angemessene Strafen bei Cybercrime-Delikten“).
Von den vier neuen Regelbeispielen seien drei (Vermögensverlust großen Ausmaßes, Gewerbsmäßigkeit und bandenmäßiges Handeln) dem § 303b Abs. 4 Nr. 1, 2 StGB entlehnt (RefE, S. 17 f.). Ein Vermögensverlust großen Ausmaßes (§ 202a Abs. 4 S. 1 Nr. 1 StGB-E) sei zwar nicht gegeben, wenn ein erheblicher Vermögensschaden entstehe, dieser jedoch nicht bei einem einzelnen Geschädigten eintrete, sondern erst in der Summe bei einer Vielzahl Betroffener (RefE, S. 18). Die Rechtsprechung gehe von einem opferbezogenen Schadensbegriff aus (RefE, S. 18). Für Fälle dieser Art müsse es aber kein Regelbeispiel geben, da ein unbenannter besonders schwerer Fall in Betracht komme. Dass die Strafschärfung mit dem Vermögensverlust an die Verletzung eines anderen als des von den §§ 202a, 202b StGB geschützten Rechtsguts anknüpfe, sei nicht ungewöhnlich (RefE, S. 18).
§ 202a Abs. 4 S. 1 Nr. 2 StGB-E (banden- bzw. gewerbsmäßige Begehung) greife nicht, wenn sich mehrere Personen nur für einzelne „Projekte“ zusammenschlössen, was bei Hackern häufig vorkomme. Auch hier könne aber auf einen unbenannten schweren Fall zurückgegriffen werden (RefE, S. 18). Das weitere Regelbeispiel in § 202a Abs. 4 S. 1 Nr. 2 StGB-E (Handeln aus Gewinnsucht) werde auch bei anderen Straftatbeständen verwendet und gehe über die allgemeine Bereicherungsabsicht hinaus, was bei § 202a StGB sinnvoll erscheine, um ein besonders schweres Unrecht zu kennzeichnen, weil dieser Tatbestand typischerweise mit „einfacher“ Bereicherungsabsicht begangen werde, diese allein aber nicht zum besonders schweren Fall führen solle (RefE, S. 19).
Das Regelbeispiel in § 202a Abs. 4 S. 1 Nr. 3 StGB-E (Beeinträchtigung der Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder der Sicherheit von Bund oder Ländern) werde aufgenommen, um den Schutz kritischer Infrastrukturen und des Staates selbst zu gewährleisten (RefE, S. 19). Der Begriff „kritische Infrastrukturen“ sei in Anlehnung an die Legaldefinition in § 2 Abs. 10 BSI-Gesetz zu verstehen (RefE, S. 19). Die Gesetzesbegründung weist darauf hin, dass das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (BT-Drucks. 20/13184) diesen Begriff durch den Begriff der „kritischen Anlagen“ (§ 2 Nr. 22 BSI-Gesetz-E) ersetzen solle, so dass das Merkmal „kritische Infrastrukturen“ im Laufe des Gesetzgebungsverfahrens überprüft werden solle (RefE, S. 19, Fn. 5).
Oberstaatsanwalt beim BGH (Referatsleiter im BMJ) Markus Busch LL.M. (Columbia University), Berlin
Der Text gibt ausschließlich die persönliche Meinung des Verfassers wieder.