Juristischer Umgang

1) Strafbarkeit des Programmierens und In-Umlauf-Bringens von Malware

Formen der Datenmanipulation werden in den §§ 303a ff. StGB unter Strafe gestellt. Sie stehen als „virtuelle“ Sachbeschädigungsdelikte im Gesetz im unmittelbar räumlichen und rechtlichen Zusammenhang mit der Sachbeschädigung gem. § 303 StGB.[1] Geschützt werden soll „das Interesse des jeweiligen Verfügungsberechtigten am Zustand der ihm gehörenden Daten und deren unversehrter Verwendbarkeit“, wobei es auf den wirtschaftlichen oder sonstigen Wert der Daten nicht ankommt.[2]

a) § 303a StGB (Datenveränderung)

Gem. § 303a StGB wird bestraft, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Der Begriff der Daten entspricht dem des § 202a StGB (vgl. dazu unten unter § 202a StGB). § 303a StGB umfasst nur fremde Daten, „da nur durch eine solche restriktive Auslegung verhindert werden kann, dass der objektive Tatbestand auch in den Fällen erfüllt ist, in denen der Verfügungsberechtigte eine Löschung von Daten vornimmt“.[3] „Löschen“ meint das vollständige und unwiederbringliche Unkenntlichmachen von Daten, das sowohl durch die Beseitigung der in einem Datenträger verkörperten Daten, als auch durch Zerstörung des Datenträgers selbst erfolgen kann.[4] „Unterdrückt“ werden Daten, wenn sie dem Zugriff des Berechtigten entzogen werden (ohne gelöscht zu werden) und deshalb von diesem nicht mehr verwendet werden können.[5] Ein „Unbrauchbarmachen“ liegt vor, wenn Daten derart beeinträchtigt werden, dass sie nicht mehr bestimmungsgemäß verwendet werden können.[6] Daten werden „verändert“, wenn sie einen anderen Informationsgehalt erhalten und dadurch der ursprüngliche Verwendungszweck beeinträchtigt wird.[7] Jedoch dürfen sie nicht in ihrer objektiven Gebrauchstauglichkeit gemindert werden, da sonst bereits ein Unbrauchbarmachen vorläge.[8] Problematisch ist, ob ein Verändern auch durch das bloße Hinzufügen von Daten zu bejahen ist.[9] Der Versuch einer Tat nach § 303a Abs. 1 StGB ist gem. Abs. 2 strafbar. „Zu denken ist an Fälle, in denen die beabsichtigte Tatvollendung ausgeblieben ist oder die Tathandlung sich noch nicht auf den Datenbestand ausgewirkt hat, etwa bei Installation eines Programms, dessen schädliche Computerviren noch nicht aktiviert wurden“.[10] Gem. § 303c StGB wird die Tat grundsätzlich nur auf Antrag verfolgt.

b) § 303b StGB (Computersabotage)

Mit einem im Vergleich zu § 303a StGB erhöhten Strafmaß muss rechnen, wer widerrechtlich und schuldhaft die Tatbestandsvoraussetzungen des § 303b Abs. 1 und/oder Abs. 2 StGB erfüllt. Grund hierfür ist, dass die in § 303b StGB durch die Tat erheblich gestörte Datenverarbeitung für einen anderen von wesentlicher Bedeutung ist. Umfasst ist bspw. das „Interesse von Wirtschaft und Verwaltung am störungsfreien Funktionieren der Datenverarbeitung als wesentliche Voraussetzung des Betriebserfolges bzw. der behördlichen Aufgabenerfüllung“.[11] Der Versuch einer Tat nach § 303b Abs. 1 bzw. Abs. 2 StGB ist gem. Abs. 3 strafbar. Dieser dürfte vorliegen, „sobald ein zur erheblichen Störung einer Datenverarbeitung geeignetes, aber vorerst noch inaktives Programm (zB Virus, Trojaner) erfolgreich installiert wurde“.[12] § 303c StGB wird die Tat grundsätzlich nur auf Antrag verfolgt.

c) Weitere Straftatbestände

Ferner kommen u.a. folgende Straftatbestände bei einer Datenmanipulation z.B. durch Viren oder Trojaner in Betracht:[13]

  • 240 StGB (Nötigung) oder § 253 StGB (Erpressung) (z.B. wenn Virus eingeschleust wurde und mit dessen Aktivierung gedroht wird, um etwas zu erlangen)
  • 274 StGB (Urkundenunterdrückung)

2) Strafbarkeit von Hacking und Cracking

a) § 202a StGB (Ausspähen von Daten)

Die wichtigste in Zusammenhang mit Hacking/Cracking stehende Norm des deutschen Strafrechts ist § 202a StGB,[14] die das „Sich-Verschaffen“ von Daten mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft und insofern auch als „elektronischer Hausfriedensbruch“ bezeichnet werden kann.[15] Geschütztes Rechtsgut ist die „formelle Verfügungsbefugnis desjenigen, der als „Herr der Daten“ – d. h. kraft seines Rechts an ihrem gedanklichen Inhalt und damit unabhängig von den Eigentumsverhältnissen am Datenträger – darüber bestimmen kann, wem diese zugänglich sein sollen“.[16] „Daten“ i.S.d. Vorschrift sind nicht nur alle speicherbaren Informationen, die einer weiteren Verarbeitung in einer Datenverarbeitungsanlage unterliegen.[17] Der Begriff ist nicht eindeutig,[18] jedoch denkbar weit zu fassen.[19] Er wird durch § 202a Abs. 2 StGB dahingehend eingeschränkt, dass Daten i.S.d. § 202a Abs. 1 StGB nur solche sind, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden[20] Als Tathandlung bestimmt § 202a StGB das „Sich-Verschaffen“ von Daten. Das bloße Eindringen ohne tatsächlichen Zugriff auf die Inhalte des gehackten Rechners könnte nicht von § 202a StGB erfasst sein.[21] Allerdings genügt bereits das Auslesen der Verzeichnisstruktur für ein „Sich-Verschaffen“.[22] Des Weiteren dürfen die Daten nicht für den Täter bestimmt sein und müssen gegen unberechtigten Zugang gesondert gesichert sein.[23] Eine Tat gem. § 202a StGB wird grundsätzlich nur auf Antrag verfolgt (vgl. § 205 Abs. 1 S. 2 StGB).

b) § 202b StGB (Abfangen von Daten)

Auch eine Strafbarkeit gem. § 202b StGB kommt für Hacker/Cracker in Betracht, wenn sie unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für sie bestimmte Daten (§ 202a Abs. 2 StGB) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschaffen. Regelmäßig wird jedoch die Subsidiaritätsregelung des § 202b a.E. StGB greifen. Eine Tat gem. § 202b StGB wird grundsätzlich nur auf Antrag verfolgt (vgl. § 205 Abs. 1 S. 2 StGB).

c) § 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten)

202c StGB stellt als abstraktes Gefährdungsdelikt bestimmte Vorbereitungshandlungen zu § 202a StGB und § 202b StGB (s. oben) selbständig unter Strafe und erlangt insbesondere dann Bedeutung, wenn §§ 202a, 202b StGB nicht vollendet sind, da der Versuch dort jeweils straflos ist (vgl. § 23 Abs. 1 StGB).[24] Letzteres ist rechtspolitisch zumindest diskussionswürdig.[25] Gem. § 202c StGB wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a oder § 202b StGB vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Gem. § 202c Abs. 2 StGB, der auf § 149 Abs. 2 und 3 StGB verweist, ist tätige Reue möglich, die die Strafbarkeit entfallen lässt. Dies erscheint kriminalpolitisch geboten, da bei einer Vorbereitungshandlung ein Rücktritt gem. § 24 StGB nicht möglich ist, dem Täter aber auch hier ein Weg zurück in die Legalität möglich sein muss.[26] Jedoch soll für eine Strafbefreiung nicht lediglich das freiwillige Aufgeben der vorbereitenden Tat und das Abwenden der Gefahr, dass andere die Tat weiterführen, genügen.[27]  Vielmehr enthalten die Abs. 2 und 3 des § 149 StGB zusätzliche Voraussetzungen (bspw. die Unschädlichmachung der hergestellten Programme.[28] Eine Vorbereitungshandlung gem. § 202c StGB wird grundsätzlich nur auf Antrag verfolgt (vgl. § 205 Abs. 1 S. 2 StGB).

d) § 202d StGB (Datenhehlerei)

Wer Daten (i.S.d. § 202a Abs. 2 StGB), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat (z.B. § 202a StGB) erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird gem. § 202d Abs. 1 StGB mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. § 202d StGB schützt also das formelle Datengeheimnis vor einer Fortsetzung und Vertiefung seiner durch die Vortat erfolgten Verletzung.[29] Eine Tat gem. § 202d StGB wird grundsätzlich nur auf Antrag verfolgt (vgl. § 205 Abs. 1 S. 2 StGB). Der Versuch ist nicht strafbar (vgl. § 23 Abs. 1 StGB).

e) Weitere Straftatbestände

Über die §§ 202a f. StGB hinaus kann das Hacken/Cracken auch weitere Straftatbestände erfüllen. In Betracht kommen u.a.:[30]

  • § 44 Abs. 1, 43 Abs. 2 BDSG (sofern es sich bei den „erhackten“ Informationen um personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG handelt)
  • 17 Abs. 2 Nr. 1 UWG (Betriebsspionage)
  • 148 Nr. 1 TKG (Abhören einer Nachricht oder Mitteilen ihres Inhalts oder der Tatsache ihres Empfangs)
  • 206 StGB (Verletzung des Post- oder Fernmeldegeheimnisses)
  • 263a StGB (Computerbetrug)
  • 268 StGB (Fälschung technischer Aufzeichnungen)
  • 269 StGB (Fälschung beweiserheblicher Daten)
  • 274 StGB (Urkundenunterdrückung)
  • 317 StGB (Störung von Telekommunikationsanlagen)
  • Convention on Cybercrime (ETS No. 185)[31]

[1] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 268.

[2] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 268.

[3] Gercke, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 303a StGB Rn. 2.

[4] BT-Drs. 10/5058 S. 34; Gercke, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 303a StGB Rn. 4; Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 273.)

[5] BT-Drs. 10/5058 S. 35.

[6] Stree/Hecker, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 303a Rn. 7; Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 276.

[7]  BT-Drs. 10/5058 S. 35.

[8] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 277.

[9] hierzu Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 278.

[10] Stree/Hecker, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 303a Rn. 11.

[11] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 279.

[12] Stree/Hecker, in: Schönke/Schröder, StGB, 29. Aufl. 2004, § 303b Rn. 16.

[13] Vgl. Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 289 ff.; Holznagel, Recht der IT-Sicherheit, München 2003, § 7 Rn. 22 ff.

[14] Ernst, NJW 2003, 3233, 3234.

[15]  Ernst, NJW 2003, 3233, 3235.

[16] Lenckner, Eisele, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 202a Rn. 1.

[17] Vgl. BT-Drs. V/4094, 37.

[18] Lenckner, Eisele, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 202a Rn. 3.

[19] Holznagel, Recht der IT-Sicherheit, München 2003, § 7 Rn. 10.

[20] Holznagel, Recht der IT-Sicherheit, München 2003, § 7 Rn. 10.

[21] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 232.

[22] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 232.

[23] Lenckner, Eisele, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 202a Rn. 7.

[24] Eisele, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 202c Rn. 1.

[25] Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 253; Ernst, NJW 2007, 2662 ff.

[26] Sternberg-Lieben, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 149 Rn. 13.

[27] Sternberg-Lieben, in: Schönke/Schröder, StGB, 29. Aufl. 2014, § 149 Rn. 13.

[28] Bär, in: Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. 2016, Kap. 14 Rn. 100.

[29] Weidemann, in: BeckOK StGB (Stand: 01.06.2016), § 202d Rn. 2.

[30]  Vgl. Ernst, Hacker, Cracker & Computerviren, Köln 2004, Rn. 254 ff.; Holznagel, Recht der IT-Sicherheit, München 2003, § 7 Rn. 42 ff.

[31] Vgl. europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/7_conv_budapest_/7_conv_budapest_en.pdf .

Ähnliche Einträge