Cybercrime

Mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität wurde § 202c in das Strafgesetzbuch eingefügt. Nach Abs. 1 Nr. 2 dieser Vorschrift wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Dieses 41. Strafrechtsänderungsgesetz diente der Umsetzung von Rechtsinstrumenten des Europarats und der Europäischen Union¹, namentlich des Übereinkommens des Europarats über Computerkriminalität vom 23. November 2001 und des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme².

Das Übereinkommen über Computerkriminalität („Convention on Cybercrime“) des Europarats wurde am 23. November 2001 in Budapest von Mitgliedstaaten des Europarats – darunter Deutschland – und einigen Nichtmitgliedstaaten – darunter den Vereinigten Staaten von Amerika, Kanada und Japan – unterzeichnet. Es trat am 1. Juli 2004 nach Erfüllung der vorgesehenen Bedingungen³ in Kraft. Mit dem „Gesetz zu dem Übereinkommen des Europarats vom 23. November 2001 über Computerkriminalität“ vom 5. November 2008⁴ hat der Deutsche Bundestag dem Übereinkommen zugestimmt. Das Übereinkommen sieht vor, dass die Vertragsparteien den unbefugten Zugang zu Computersystemen (Art. 2), das unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen (Art. 3), das unbefugte Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten (Art. 4) und die unbefugte schwere Behinderung des Betriebs eines Computersystems (Art. 5) unter Strafe stellen. Art. 6 enthält in diesem Zusammenhang Bestimmungen über die Strafbarkeit wegen Missbrauchs von Vorrichtungen⁵:

(1) Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben:

(a) das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen
(i) einer Vorrichtung einschließlich eines Computerprogramms, die in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine nach den Artikeln 2 bis 5 umschriebene Straftat zu begehen;
(ii) eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen,
mit dem Vorsatz, sie zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden, und
(b) den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser Mittel eintritt.
(2) Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt.
(3) …

Nach dem Erläuternden Bericht („Explanatory Report“) des Europarats bezieht sich die Erwähnung eines „Computerprogramms“ in Art. 6 auf Programme, die beispielsweise – wie Virenprogramme – dafür gestaltet worden sind, Daten zu verändern oder gar zu zerstören oder in Datenverarbeitungsvorgänge einzugreifen, oder die dazu gestaltet oder eingerichtet worden sind, Zugang zu Computersystemen zu erhalten⁶. Im Wege eines vernünftigen Kompromisses beschränke das Übereinkommen seine Anwendbarkeit auf Fälle, in denen Vorrichtungen objektiv in erster Linie dazu gestaltet oder eingerichtet worden sind, eine Straftat zu begehen. Dies allein werde „dual-use-Vorrichtungen” in der Regel ausschließen („As a reasonable compromise the Convention restricts its scope to cases where the devices are objectively designed, or adapted, primarily for the purpose of committing an offence. This alone will usually exclude dual-use devices”, a.a.O. Rn. 73).

Gegen diese gesetzliche Bestimmungen gingen beim Bundesverfassungsgericht drei Verfassungsbeschwerden ein. Das Bundesverfassungsgericht hat die unmittelbar gegen die gesetzliche Vorschrift des § 202c StGB erhobenen Verfassungsbeschwerden der drei Beschwerdeführer jedoch – mangels eigener Betroffenheit der Beschwerdeführer – als unzulässig angesehen und nicht zur Entscheidung angenommen.

Die drei Beschwerdeführer üben verschiedene Tätigkeiten im Umgang mit Programmen aus, die nach ihrer Auffassung von der Vorschrift des § 202c StGB erfasst werden:

• Der Beschwerdeführer zu 1) ist in einem Unternehmen tätig, das Dienstleistungen im Bereich der Sicherheit von Informations- und Kommunikationstechnologien anbietet und in diesem Rahmen nicht autorisierte Zugriffsversuche simuliert. Hierbei kommen zum einen so genannte dual use tools zum Einsatz; das sind Programme, die sowohl vom berechtigten Nutzer eines Computersystems zu dessen bestimmungsgemäßer Wartung und Pflege als auch ohne oder gegen den Willen des Berechtigten zum Zwecke des Ausspähens von Schwachstellen verwendet werden können. Verwendet werden aber auch Programme, bei denen zu vermuten ist, dass es sich um so genannte malware oder Schadsoftware handelt, also Software, die von ihren Urhebern zum Zwecke des illegalen Eindringens in EDV-Systeme konzipiert wurde.
• Der Beschwerdeführer zu 2) ist in der akademischen Lehre tätig und macht seinen Studenten zu Lehrzwecken regelmäßig Programme zugänglich, die sowohl zum Zweck der Sicherheitsanalyse, als auch für Zwecke des unerlaubten Zugangs zu fremden Rechnern und Netzwerken eingesetzt werden können.
• Der Beschwerdeführer zu 3) setzt im Rahmen der Nutzung des Computerbetriebssystems Linux ebenfalls derartige Programmkomponenten ein.

Der Entscheidung der 2. Kammer des Zweiten Senats des Bundesverfassungsgerichts liegen im Wesentlichen folgende Erwägungen zugrunde:

Nach der ständigen Rechtsprechung des Bundesverfassungsgerichts setzt die Zulässigkeit einer Verfassungsbeschwerde unmittelbar gegen ein Gesetz voraus, dass der Beschwerdeführer selbst, gegenwärtig und unmittelbar durch die angegriffenen Rechtsnormen in seinen Grundrechten betroffen ist. Das wäre z.B. dann der Fall, wenn der Beschwerdeführer zunächst das Risiko eines Bußgeld- oder Strafverfahrens eingehen müsste, um Rechtsschutz vor den Fachgerichten erwirken zu können. Auf der Grundlage des Vorbringens der Beschwerdeführer lässt sich aber nicht feststellen, dass die von ihnen beschriebenen Tätigkeitsfelder von § 202c Abs. 1 StGB erfasst werden. Das Risiko strafrechtlicher Verfolgung ist mithin nicht gegeben.

Die von den Beschwerdeführern eingesetzten Programme sind überwiegend keine tauglichen Tatobjekte der Strafvorschrift in den Grenzen ihrer verfassungsrechtlich zulässigen Auslegung. Tatobjekt in diesem Sinn kann nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) gerichtet ist. Das Programm muss mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass ein Programm – wie das für das so genannte dual use tools gilt – für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist.

Soweit der Beschwerdeführer zu 1) auch Schadsoftware einsetzt, die ein taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen kann, fehlt dem Beschwerdeführer jedenfalls der zusätzlich erforderliche Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und somit im Einverständnis mit den über die überprüften Computersysteme Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des „unbefugten“ Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem insofern eindeutigen und durch die Entstehungsgeschichte wie die einschlägige Bestimmung des Übereinkommens des Europarats über Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB grundsätzlich auch Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt, beschafft oder weitergegeben werden. Ein Strafbarkeitsrisiko entsteht hier erst, sobald die betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder anderweitig auch Personen zugänglich gemacht werden, von deren Vertrauenswürdigkeit nicht ausgegangen werden kann.

Bundesverfassungsgericht, Beschluss vom 18. Mai 2009 – 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08

1. vgl. Gesetzesbegründung der Bundesregierung, BT-Drucks 16/3656, S. 1, 7 f.[↩]
2. ABlEU Nr. L 69 vom 16. März 2005, S. 67[↩]
3. Ratifikation durch mindestens fünf Staaten, darunter drei Mitgliedstaaten des Europarats[↩]
4. BGBl II S. 1242[↩]
5. zitiert nach der Übersetzung in BGBl. 2008 II S. 1243 ff.[↩]
6. „programs that are for example designed to alter or even destroy data or interfere with the operation of systems, such as virus programs, or programs designed or adapted to gain access to computer systems“, Rn. 72 des im Internet unter http://conventions.coe.int/Treaty/en/Reports/Html/185.htm abrufbaren Berichts[↩]