Datensicherheitsdelikte

Der Gesetzgeber hat in den letzten Jahren einige Paragrafen beschlossen, um den „neuen“ Phänomenen des digitalen Zeitalters entgegenzutreten. Im Mittelpunkt stehen dabei die „Daten“. Diese sollen weder „verändert“, „ausgespäht“ oder „abgefangen“ werden. Inwiefern die Strafgesetze auch tatsächlich greifen, ist lebhaft umstritten und in den meisten Fällen noch nicht höchstrichterlich entschieden. Die polizeilichen Kriminalstatistiken zeigen deutlich steigende Zahlen. So sind im Jahre 2014 schon mehr als 70.000 Fälle von Cyberkriminalität erfasst. Es gilt im Internetstrafrecht den Einzelfall genau zu prüfen und darzulegen, dass genau hier keine strafbare Handlung nachweisbar ist. Der gemeinsame Begriff der Daten ist schwer zu fassen und kaum begrenzt. Eine allgemeine Definition sieht Daten als codierte Informationen über eine außerhalb des verwendeten Zeichensystems befindliche Wirklichkeit (Haft in NStZ 87, 8).

§ 202a StGB Ausspähen von Daten

Nach dem Paragrafen 202a StGB wird strafrechtlich belangt, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung, verschafft. Der Gesetzgeber sieht dafür eine Geldstrafe oder eine Freiheitsstrafe von bis zu drei Jahren vor.

Schutzbereich des Strafgesetzes ist dabei der persönliche und geheime Bereich, sowie das wirtschaftliche Interesse des Betroffenen.

Tatbestandlich müssen die Daten gegen unberechtigten Zugang besonders gesichert sein, was den Tatbestand begrenzen soll. Gemeint sind damit insbesondere Datenverschlüsselungen und die Verwendung von Passwörten. Nicht erfasst ist der Kopierschutz von Datenträgern. Auch das bloße Auslesen von Daten auf einem Magnetstreifen wie etwa bei einer EC-Karte („Skimming“) erfüllt den Tatbestand nicht. Umstritten sind die Fälle, wo die Betroffenen durch Emails oder nachgebaute Websites zur Herausgabe von Daten gebracht werden. Hier geht es im Einzelfall genau darum, welche Daten erlangt wurden.

§ 202 b StGB Abfangen von Daten

Das Strafgesetz bestraft das unbefugte Verschaffen von Daten unter Anwendung von technischen Mitteln aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage. Der Strafrahmen ist mit Geldstrafe oder Freiheitsstrafe von bis zu zwei Jahren festgesetzt.

Der Schutzzweck der Norm zielt auf ein formelles Geheimhaltungsinteresse des Betroffenen (BT-Drs. 16/3656). Die Tathandlung setzt ein „Verschaffen“ voraus, was über eine einfache Zugriffsmöglichkeit hinausgeht. Praktisch gesehen müssen übermittelte Daten auf dem Rechner des Täters umgeleitet oder kopiert werden. Streitig ist, ob das „einfache Hacking“ den Tatbestand erfüllt. Dagegen spricht der systematische Vergleich zu § 202 a StGB, der bereits den Zugang unter Strafe stellt. Fischer (Richter am Bundesgerichtshof) vertritt daher die Ansicht, schlichtes Hacking sei nicht erfasst (Fischer in § 202 b StGB Rn. 5).

§ 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten

Die Strafvorschrift setzt bereits vor den §§ 202a und 202 b StGB an und straft bereits das Vorbereitungsstadium. Namentlich ist strafbar, wer eine Straftat nach den §§ 202a und 202b StGB vorbereitet, in dem er

  1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem Dritten verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht.

Der Strafrahmen liegt bei Geldstrafe bis zu einem Jahr Freiheitsstrafe. Die Strafrechtsvorschrift hat seit der Einführung im Jahr 2007 für Zündstoff gesucht. Problematisch ist dabei rechtlich die Vorverlagerung der Strafbarkeit in die Vorbereitungsphase, aber vor allem die praktische Relevanz für Softwareentwickler, IT-Fachbereiche und IT-Sicherheitsfirmen. Die ins gesetzgeberische Auge gefallenen „Hacker-Tools“ sind technisch komplex und können wie viele Dinge im Leben unterschiedlich eingesetzt werden. Gerade dieser „dual-use“ – Charakter der Programme gibt dem Strafverteidiger eine gute Argumentationsgrundlage, da auf den wesentlichen Zweck eines Programms abzustellen ist. Positiv bleibt zu erwähnen, dass die Vorschrift entgegen vieler Befürchtungen nur restriktiv verwandt wird.

§ 303a StGB Datenveränderung

Die Strafvorschrift wurde in den 27. Abschnitt des Strafgesetzbuches im Abschnitt Sachbeschädigung im Jahre 2007 eingefügt. Strafbar ist demnach, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Der Strafrahmen wurde von Geldstrafe bis zu zwei Jahren Freiheitsstrafe festgelegt. Im Gegensatz zu den vorstehenden Strafvorschriften der §§ 202 a ff. StGB ist hier die Versuchsstrafbarkeit ausdrücklich angeordnet. Demnach reicht bereits ein unmittelbares Ansetzen und der Tatentschluss aus, um die Schwelle der Strafbarkeit zu überschreiten.

Abstrakt geschützt werden soll die Verfügungsgewalt des Berechtigten über die in Datenspeichern enthaltenen Informationen (BT-Drs. 10/5058, 34).

Bei „neuen“ Strafvorschriften ist es fast als üblich zu bezeichnen, dass die konkrete Anwendung der Praxis zunächst große Probleme bereitet, bis eine höchstrichterliche Rechtsprechung den Tatbestand mit Leben füllt. Die Unsicherheiten beginnen schon in den ersten Worten des Tatbestands. „Rechtswidrige Daten“ hält die herrschende Meinung unter den Rechtsanwendern für zu unbestimmt, weswegen das typische Merkmal der Fremdheit für Sachbeschädigungsdelikte in den Tatbestand gelesen wird. Was nun „fremde Daten“ sind, ist bisher im Detail nicht geklärt. Problematisch sind insbesondere Provider, da das Abstellen auf die Verfügungsbefugnis nicht für alle Varianten passt. Zusammenfassend ist zu sagen, dass Unsicherheiten im Tatbestand mit anwaltlichem Geschick positiv für die Mandanten sind. So kann mit juristischer Argumentation der Vorwurf der Datenveränderung entkräftet werden.

§ 303 b StGB die Computersabotage

Die Computersabotage enthält neben verschiedener Tatvarianten noch Qualifikationstatbestände, was einen Blick auf das Strafgesetz im Ganzen erfordert.

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er

  1. eine Tat nach § 303a Abs. 1 begeht,
  2. Daten (§ 202a Abs. 2) in der Absicht, einem Anderen Nachteil zuzufügen, eingibt oder übermittelt oder
  3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

(3) Der Versuch ist strafbar.

(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1.einen Vermögensverlust großen Ausmaßes herbeiführt,

2.gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,

3.durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt.

(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Relevant ist besonders die Begehungsvariante des Absatz I Nr. 2, in dem neutrale Handlungen wie die Übermittlung von Daten sanktioniert werden. Namentlich sollen damit die Denial-of-Service Attacken (DoS-Attacke), DDoS – Attacken, DRDoS – Attacken(distributed reflected DoS) sowie das IP-Spoofing unter Strafe gestellt werden. Die Varianten eint das Ziel, eine Website oder Datenbank durch Überlastung unzugänglich zu machen. Genutzt werden diese Formen auch für politischen Protest zur Lahmlegung des jeweils gegenteiligen Internetauftritts. So wurde schon das interne Netzwerk des Bundestages attackiert. Die weltweite Hackergruppe Anonymus nutzt diese Formen des Protests, um auf die eigenen politischen Ziele aufmerksam zu machen oder direkt den Gegnern zu schaden.

Weitere Möglichkeiten der Begehung bestehen in der Nutzung von Malware Viren, Würmern und Trojanern, um fremde Systeme zu beeinträchtigen.

Aus Strafverteidigersicht gilt es zunächst in der Akteneinsicht zu klären, inwieweit die angeklagten Taten auf den Mandanten beweisbar zurückzuführen sind. Es bietet sich dabei auch an, eigene Sachverständigengutachten in Auftrag zu geben, welche die Schlüssigkeit der staatsanwaltlichen Angaben überprüfen.

Besonderer Fokus wird auf das Entkräften der Qualifikationstatbestände gelegt, welche unter anderem die Mitgliedschaft in einer Bande zur fortgesetzten Begehung von Computersabotage bestrafen. Von einer Bande kann ab drei Personen ausgegangen werden.

Problematisch ist auch die Herbeiführung eines Vermögensverlustes von großem Ausmaß. Welche genaue Summe das Merkmal erfüllt, wird im Einzelfall unter Betrachtung der Opfersituation getroffen. Aus Rechtsprechung hat sich die Grenze von 50.000 € recht verbreitet.

Bei dem Vorwurf der Computersabotage gilt es, die Vorwürfe genau zu prüfen, um die geeignete Verteidigungsstrategie zu entwerfen. Bei einer politischen Motivation können noch die einschlägigen Grundrechte in Stellung gebracht werden.

Die Kanzlei BUSE HERZ GRUNST Rechtsanwälte aus Berlin berät Sie in allen Fragen des Internetstrafrechts bzw. IT-Strafrechts.

Benjamin Grunst, Rechtsanwalt aus Berlin
Der Bereich des Strafrechts wird maßgeblich betreut von Herrn Rechtsanwalt Benjamin Grunst, Strafverteidiger in Berlin und Brandenburg.

Treten Sie jetzt mit uns in Kontakt!