Cybercrime

Mit dem 41. Straf­rechts­än­de­rungs­ge­setz zur Bekämp­fung der Com­pu­ter­kri­mi­na­li­tät wur­de § 202c in das Straf­ge­setz­buch ein­ge­fügt. Nach Abs. 1 Nr. 2 die­ser Vor­schrift wird mit Frei­heits­stra­fe bis zu einem Jahr oder mit Geld­stra­fe bestraft, wer eine Straf­tat nach § 202a (Aus­spä­hen von Daten) oder § 202b (Abfan­gen von Daten) vor­be­rei­tet, indem er Com­pu­ter­pro­gram­me, deren Zweck die Bege­hung einer sol­chen Tat ist, her­stellt, sich oder einem ande­ren ver­schafft, ver­kauft, einem ande­ren über­lässt, ver­brei­tet oder sonst zugäng­lich macht. Die­ses 41. Straf­rechts­än­de­rungs­ge­setz dien­te der Umset­zung von Rechts­in­stru­men­ten des Euro­pa­rats und der Euro­päi­schen Uni­on [1], nament­lich des Über­ein­kom­mens des Euro­pa­rats über Com­pu­ter­kri­mi­na­li­tät vom 23. Novem­ber 2001 und des Rah­men­be­schlus­ses 2005/​222/​JI des Rates vom 24. Febru­ar 2005 über Angrif­fe auf Infor­ma­ti­ons­sys­te­me [2].

Cybercrime

Das Über­ein­kom­men über Com­pu­ter­kri­mi­na­li­tät („Con­ven­ti­on on Cybercrime“) des Euro­pa­rats wur­de am 23. Novem­ber 2001 in Buda­pest von Mit­glied­staa­ten des Euro­pa­rats – dar­un­ter Deutsch­land – und eini­gen Nicht­mit­glied­staa­ten – dar­un­ter den Ver­ei­nig­ten Staa­ten von Ame­ri­ka, Kana­da und Japan – unter­zeich­net. Es trat am 1. Juli 2004 nach Erfül­lung der vor­ge­se­he­nen Bedin­gun­gen [3] in Kraft. Mit dem „Gesetz zu dem Über­ein­kom­men des Euro­pa­rats vom 23. Novem­ber 2001 über Com­pu­ter­kri­mi­na­li­tät“ vom 5. Novem­ber 2008 [4] hat der Deut­sche Bun­des­tag dem Über­ein­kom­men zuge­stimmt. Das Über­ein­kom­men sieht vor, dass die Ver­trags­par­tei­en den unbe­fug­ten Zugang zu Com­pu­ter­sys­te­men (Art. 2), das unbe­fug­te Abfan­gen nicht­öf­fent­li­cher Com­pu­ter­da­ten­über­mitt­lun­gen (Art. 3), das unbe­fug­te Beschä­di­gen, Löschen, Beein­träch­ti­gen, Ver­än­dern oder Unter­drü­cken von Com­pu­ter­da­ten (Art. 4) und die unbe­fug­te schwe­re Behin­de­rung des Betriebs eines Com­pu­ter­sys­tems (Art. 5) unter Stra­fe stel­len. Art. 6 ent­hält in die­sem Zusam­men­hang Bestim­mun­gen über die Straf­bar­keit wegen Miss­brauchs von Vor­rich­tun­gen [5]:

(1) Jede Ver­trags­par­tei trifft die erfor­der­li­chen gesetz­ge­be­ri­schen und ande­ren Maß­nah­men, um fol­gen­de Hand­lun­gen, wenn vor­sätz­lich und unbe­fugt began­gen, nach ihrem inner­staat­li­chen Recht als Straf­ta­ten zu umschrei­ben:

(a) das Her­stel­len, Ver­kau­fen, Beschaf­fen zwecks Gebrauchs, Ein­füh­ren, Ver­brei­ten oder ander­wei­ti­ge Ver­füg­bar­ma­chen
(i) einer Vor­rich­tung ein­schließ­lich eines Com­pu­ter­pro­gramms, die in ers­ter Linie dafür aus­ge­legt oder her­ge­rich­tet wor­den ist, eine nach den Arti­keln 2 bis 5 umschrie­be­ne Straf­tat zu bege­hen;
(ii) eines Com­pu­ter­pass­worts, eines Zugangs­codes oder ähn­li­cher Daten, die den Zugang zu einem Com­pu­ter­sys­tem als Gan­zem oder zu einem Teil davon ermög­li­chen,
mit dem Vor­satz, sie zur Bege­hung einer nach den Arti­keln 2 bis 5 umschrie­be­nen Straf­tat zu ver­wen­den, und
(b) den Besitz eines unter Buch­sta­be a Zif­fer i oder ii bezeich­ne­ten Mit­tels mit dem Vor­satz, es zur Bege­hung einer nach den Arti­keln 2 bis 5 umschrie­be­nen Straf­tat zu ver­wen­den. Eine Ver­trags­par­tei kann als gesetz­li­che Vor­aus­set­zung vor­se­hen, dass die straf­recht­li­che Ver­ant­wort­lich­keit erst mit Besitz einer bestimm­ten Anzahl die­ser Mit­tel ein­tritt.
(2) Die­ser Arti­kel darf nicht so aus­ge­legt wer­den, als begrün­de er die straf­recht­li­che Ver­ant­wort­lich­keit in Fäl­len, in denen das Her­stel­len, Ver­kau­fen, Beschaf­fen zwecks Gebrauchs, Ein­füh­ren, Ver­brei­ten oder ander­wei­ti­ge Ver­füg­bar­ma­chen oder der Besitz nach Absatz 1 nicht zum Zweck der Bege­hung einer nach den Arti­keln 2 bis 5 umschrie­be­nen Straf­tat, son­dern bei­spiels­wei­se zum geneh­mig­ten Tes­ten oder zum Schutz eines Com­pu­ter­sys­tems erfolgt.
(3) …

Nach dem Erläu­tern­den Bericht („Explana­to­ry Report“) des Euro­pa­rats bezieht sich die Erwäh­nung eines „Com­pu­ter­pro­gramms“ in Art. 6 auf Pro­gram­me, die bei­spiels­wei­se – wie Viren­pro­gram­me – dafür gestal­tet wor­den sind, Daten zu ver­än­dern oder gar zu zer­stö­ren oder in Daten­ver­ar­bei­tungs­vor­gän­ge ein­zu­grei­fen, oder die dazu gestal­tet oder ein­ge­rich­tet wor­den sind, Zugang zu Com­pu­ter­sys­te­men zu erhal­ten [6]. Im Wege eines ver­nünf­ti­gen Kom­pro­mis­ses beschrän­ke das Über­ein­kom­men sei­ne Anwend­bar­keit auf Fäl­le, in denen Vor­rich­tun­gen objek­tiv in ers­ter Linie dazu gestal­tet oder ein­ge­rich­tet wor­den sind, eine Straf­tat zu bege­hen. Dies allein wer­de „dual-use-Vor­rich­tun­gen” in der Regel aus­schlie­ßen („As a rea­son­ab­le com­pro­mi­se the Con­ven­ti­on restricts its scope to cases whe­re the devices are objec­tively desi­gned, or adap­ted, pri­ma­ri­ly for the pur­po­se of com­mit­ting an offence. This alo­ne will usual­ly exclu­de dual-use devices”, a.a.O. Rn. 73).

Gegen die­se gesetz­li­che Bestim­mun­gen gin­gen beim Bun­des­ver­fas­sungs­ge­richt drei Ver­fas­sungs­be­schwer­den ein. Das Bun­des­ver­fas­sungs­ge­richt hat die unmit­tel­bar gegen die gesetz­li­che Vor­schrift des § 202c StGB erho­be­nen Ver­fas­sungs­be­schwer­den der drei Beschwer­de­füh­rer jedoch – man­gels eige­ner Betrof­fen­heit der Beschwer­de­füh­rer – als unzu­läs­sig ange­se­hen und nicht zur Ent­schei­dung ange­nom­men.

Die drei Beschwer­de­füh­rer üben ver­schie­de­ne Tätig­kei­ten im Umgang mit Pro­gram­men aus, die nach ihrer Auf­fas­sung von der Vor­schrift des § 202c StGB erfasst wer­den:

  • Der Beschwer­de­füh­rer zu 1) ist in einem Unter­neh­men tätig, das Dienst­leis­tun­gen im Bereich der Sicher­heit von Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien anbie­tet und in die­sem Rah­men nicht auto­ri­sier­te Zugriffs­ver­su­che simu­liert. Hier­bei kom­men zum einen so genann­te dual use tools zum Ein­satz; das sind Pro­gram­me, die sowohl vom berech­tig­ten Nut­zer eines Com­pu­ter­sys­tems zu des­sen bestim­mungs­ge­mä­ßer War­tung und Pfle­ge als auch ohne oder gegen den Wil­len des Berech­tig­ten zum Zwe­cke des Aus­spä­hens von Schwach­stel­len ver­wen­det wer­den kön­nen. Ver­wen­det wer­den aber auch Pro­gram­me, bei denen zu ver­mu­ten ist, dass es sich um so genann­te mal­wa­re oder Schad­soft­ware han­delt, also Soft­ware, die von ihren Urhe­bern zum Zwe­cke des ille­ga­len Ein­drin­gens in EDV-Sys­te­me kon­zi­piert wur­de.
  • Der Beschwer­de­füh­rer zu 2) ist in der aka­de­mi­schen Leh­re tätig und macht sei­nen Stu­den­ten zu Lehr­zwe­cken regel­mä­ßig Pro­gram­me zugäng­lich, die sowohl zum Zweck der Sicher­heits­ana­ly­se, als auch für Zwe­cke des uner­laub­ten Zugangs zu frem­den Rech­nern und Netz­wer­ken ein­ge­setzt wer­den kön­nen.
  • Der Beschwer­de­füh­rer zu 3) setzt im Rah­men der Nut­zung des Com­pu­ter­be­triebs­sys­tems Linux eben­falls der­ar­ti­ge Pro­gramm­kom­po­nen­ten ein.

Der Ent­schei­dung der 2. Kam­mer des Zwei­ten Senats des Bun­des­ver­fas­sungs­ge­richts lie­gen im Wesent­li­chen fol­gen­de Erwä­gun­gen zugrun­de:

Nach der stän­di­gen Recht­spre­chung des Bun­des­ver­fas­sungs­ge­richts setzt die Zuläs­sig­keit einer Ver­fas­sungs­be­schwer­de unmit­tel­bar gegen ein Gesetz vor­aus, dass der Beschwer­de­füh­rer selbst, gegen­wär­tig und unmit­tel­bar durch die ange­grif­fe­nen Rechts­nor­men in sei­nen Grund­rech­ten betrof­fen ist. Das wäre z.B. dann der Fall, wenn der Beschwer­de­füh­rer zunächst das Risi­ko eines Buß­geld- oder Straf­ver­fah­rens ein­ge­hen müss­te, um Rechts­schutz vor den Fach­ge­rich­ten erwir­ken zu kön­nen. Auf der Grund­la­ge des Vor­brin­gens der Beschwer­de­füh­rer lässt sich aber nicht fest­stel­len, dass die von ihnen beschrie­be­nen Tätig­keits­fel­der von § 202c Abs. 1 StGB erfasst wer­den. Das Risi­ko straf­recht­li­cher Ver­fol­gung ist mit­hin nicht gege­ben.

Die von den Beschwer­de­füh­rern ein­ge­setz­ten Pro­gram­me sind über­wie­gend kei­ne taug­li­chen Tat­ob­jek­te der Straf­vor­schrift in den Gren­zen ihrer ver­fas­sungs­recht­lich zuläs­si­gen Aus­le­gung. Tat­ob­jekt in die­sem Sinn kann nur ein Pro­gramm sein, des­sen Zweck auf die Bege­hung einer Straf­tat nach § 202a StGB (Aus­spä­hen von Daten) oder § 202b StGB (Abfan­gen von Daten) gerich­tet ist. Das Pro­gramm muss mit der Absicht ent­wi­ckelt oder modi­fi­ziert wor­den sein, es zur Aus­spä­hung oder zum Abfan­gen von Daten ein­zu­set­zen. Außer­dem muss sich die­se Absicht objek­tiv mani­fes­tiert haben. Es reicht schon nach dem Wort­laut der Vor­schrift nicht aus, dass ein Pro­gramm – wie das für das so genann­te dual use tools gilt – für die Bege­hung der genann­ten Com­pu­ter­straf­ta­ten ledig­lich geeig­net oder auch beson­ders geeig­net ist.

Soweit der Beschwer­de­füh­rer zu 1) auch Schad­soft­ware ein­setzt, die ein taug­li­ches Tat­ob­jekt im Sin­ne des § 202c Abs. 1 Satz 2 StGB dar­stel­len kann, fehlt dem Beschwer­de­füh­rer jeden­falls der zusätz­lich erfor­der­li­che Vor­satz, eine Straf­tat nach § 202a oder § 202b StGB vor­zu­be­rei­ten. Da das Unter­neh­men, für das der Beschwer­de­füh­rer arbei­tet, im Auf­trag und somit im Ein­ver­ständ­nis mit den über die über­prüf­ten Com­pu­ter­sys­te­me Ver­fü­gungs­be­rech­tig­ten tätig wird, fehlt es am Tat­be­stands­merk­mal des „unbe­fug­ten“ Han­delns im Sin­ne des § 202a oder § 202b StGB. Viel­mehr liegt ein Han­deln zu einem lega­len Zweck vor; hier­bei dür­fen nach dem inso­fern ein­deu­ti­gen und durch die Ent­ste­hungs­ge­schich­te wie die ein­schlä­gi­ge Bestim­mung des Über­ein­kom­mens des Euro­pa­rats über Com­pu­ter­kri­mi­na­li­tät bekräf­tig­ten Wort­laut des § 202c Abs. 1 Nr. 2 StGB grund­sätz­lich auch Schad­pro­gram­me, deren objek­ti­ver Zweck in der Bege­hung von Com­pu­ter­straf­ta­ten liegt, beschafft oder wei­ter­ge­ge­ben wer­den. Ein Straf­bar­keits­ri­si­ko ent­steht hier erst, sobald die betref­fen­den Pro­gram­me durch Ver­kauf, Über­las­sung, Ver­brei­tung oder ander­wei­tig auch Per­so­nen zugäng­lich gemacht wer­den, von deren Ver­trau­ens­wür­dig­keit nicht aus­ge­gan­gen wer­den kann.

Bun­des­ver­fas­sungs­ge­richt, Beschluss vom 18. Mai 2009 – 2 BvR 2233/​07, 2 BvR 1151/​08, 2 BvR 1524/​08

  1. vgl. Geset­zes­be­grün­dung der Bun­des­re­gie­rung, BT-Drucks 16/​3656, S. 1, 7 f.[]
  2. ABlEU Nr. L 69 vom 16. März 2005, S. 67[]
  3. Rati­fi­ka­ti­on durch min­des­tens fünf Staa­ten, dar­un­ter drei Mit­glied­staa­ten des Euro­pa­rats[]
  4. BGBl II S. 1242[]
  5. zitiert nach der Über­set­zung in BGBl. 2008 II S. 1243 ff.[]
  6. „pro­grams that are for examp­le desi­gned to alter or even des­troy data or inter­fe­re with the ope­ra­ti­on of sys­tems, such as virus pro­grams, or pro­grams desi­gned or adap­ted to gain access to com­pu­ter sys­tems“, Rn. 72 des im Inter­net unter http://conventions.coe.int/Treaty/en/Reports/Html/185.htm abruf­ba­ren Berichts[]