Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren
Mit der Einführung dieses Paragrafen 202c StGB - auch als verschärfter Hackerparagraf bezeichnet - soll künftig mit Freiheitsentzug bis zu einem Jahr oder mit Geldstrafe bestraft werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Darauf weist Prof. Dr. Hartmut Pohl, Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik e.V. (GI) hin.
Problematisch ist die Einfügung des 202c StGB, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist aber nicht möglich. Der gewählte Wortlaut führt zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen. Derartige Programme und Tools sind zur Absicherung gegen Angriffe jedoch unverzichtbar (Penetration Testing).
Genauso wird jegliche Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu Prüftools an Universitäten und Fachhochschulen mit diesem Paragrafen unter Strafe gestellt.
Am 24.05.2007 hat der Bundestag trotz fundierter Proteste in 2. und 3. Beratung alle Änderungsanträge abgelehnt und damit den Regierungsentwurf: "Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität" ohne Debatte verabschiedet. Die Zustimmung des Bundesrats steht bisher aus; das Gesetz ist allerdings nicht zustimmungspflichtig (Einspruchsgesetz). Insgesamt stelle der Gesetzentwurf damit eine unzulässige Erweiterung der Cybercrime-Convention des Europarats dar, so Pohl.
Prof. Dr. Alexander Rossnagel, Jurist an der Universität Kassel, erläutert dazu:
1) Risiken
a) Kriminalisierung erwünschten Verhaltens
Es besteht die Gefahr, den bloßen Besitz und die informationstechnische Entwicklung - von Tools zu bestrafen, die der Identifizierung von Sicherheitslücken dienen, zugleich aber wesensnotwendig auch zum Eindringen in Systeme verwendet werden können, ebenso wie man einen Dietrich braucht, um zu überprüfen, ob das Schloss sicher ist. Das angeblich einschränkende objektive Tatbestandsmerkmal der "Zweckbestimmung für eine Straftat" (§ 202c Abs. 1 Nr. 2 StGB-E) ist keines, weil Computerprogramme keinen Zweck haben. Selbst wenn der Entwickler einen bestimmten Zweck intendiert, können sie immer missbraucht werden. Die Begründung erkennt dies implizit an, wenn sie angibt, es reiche aus, wenn die objektive Zweckbestimmung "auch" die Begehung einer Straftat sei. Noch problematischer wird dies dadurch, dass der bedingte Vorsatz erfasst ist. Es ist eine Vielzahl von Fällen vorstellbar, in denen ein Betroffener bei einer an sich legitimen Handlung in Kauf nehmen wird, dass ein Passwort oder ein Computerprogramm auch anderweitig verwendet wird (s. die Beispiele in der Bundesrats-Erwiderung; ein weiteres wäre der wissenschaftliche Austausch über ein Hacker-Tool zwischen Informatik-Professoren oder zwischen solchen Professoren). Bereits die Gefahr, wegen einer solchen Tätigkeit belangt zu werden, kann die Entwicklung und Verbesserung von Sicherheitstechnik behindern, Industrie und Bürgern wichtiger Selbstanalysemöglichkeiten berauben und so die IT-Sicherheit gefährden.
b) Extreme Weite des Tatbestands
(1) Es ist unklar, ob die Eingangsformulierung (Vorbereitung einer Straftat) eine konkrete Tat erfordert, oder ein abstraktes Gefährdungsdelikt darstellt. Wenn letzteres der Fall ist (so z.B. Borges/Stuckenberg/Wegener, DuD 2007, 275), besteht die Gefahr, dass auch der bloße Besitz entsprechender Tools bestraft wird (etwa, wenn Gerichte die Verwendung zum Testen von Sicherheitslücken als Schutzbehauptung werten).
(2) Die Formulierung des "Zugangs zu Daten" in § 202c Abs. 1 Nr. 1 ist sehr weit. Nach dem Entwurf dürfte sich ein Jugendlicher strafbar machen, der sich das Premiere-Passwort seiner Eltern verschafft, selbst wenn er es letztlich gar nicht benutzt. Auch die Überwindung des PIN-Schutzes eines Handys dürfte erfasst sein. Ggf. könnte man wie in der Konvention "Zugang zu einem Computersystem" schreiben, auch wenn man natürlich auch Handys als Computer auffassen kann.
(3) Die Sinnhaftigkeit der sehr weiten Vorverlegung der Strafbarkeit kann man auch insgesamt bezweifeln. Nachdem durch den neuen § 202a StGB-E auch das schlichte Hacken von IT-Systemen strafbar wird, müsste begründet werden, warum tatsächlich bereits die Vorbereitung derartiger Handlungen bestraft werden soll (während die Vorbereitung von Straftaten ansonsten, von ganz wenigen Ausnahmen abgesehen, straflos ist).
2) Veränderungsmöglichkeiten
Auf alle diese Risiken wurde bereits in der Expertenanhörung hingewiesen, ohne Erfolg. Rossnagel: "Wenn man nicht den Paragrafen komplett streichen möchte, ließe er sich auf zwei Arten entschärfen:
a) Bezugnahme auf eine konkrete Tat: Das Tatbestandsmerkmal "vorbereiten" lässt sich als abstraktes Gefährdungsdelikt auslegen, sodass bereits der bloße Besitz strafbar sein könnte. Das ließe sich konkretisieren. Es könnte allerdings zweifelhaft sein, ob das noch mit der Cybercrime-Convention konform geht, die in Art. 6 vorsieht, zu bestrafen "den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden." Borges et al. (s.o.) schlagen deshalb sogar vor, explizit schon den Besitz zu bestrafen. Dagegen ließe sich einwenden, dass die Formulierung der Konvention jedenfalls enger ist als der Gesetzesentwurf, weil sie wohl auf eine konkrete Straftat hindeutet.
b) Streichung des Eventualvorsatzes: das würde zumindest ausschließen, die o.g. Tätigkeiten von Wissenschaftlern zu bestrafen. Die entstehenden Straf-barkeitslücken sind u.E. angesichts der ohnehin weiten Vorverlagerung des Tatbestandes vertretbar. Man könnte in Anlehnung an Borges et al. die Formulierung ändern in "Wer [Nr. 1 und Nr. 2, Text bis zugänglich macht], mit dem Wissen oder in der Absicht, dass sie zur Begehung einer konkreten Straftat nach § 202a oder § 202b gebraucht werden, wird."
"Wir appellieren deshalb an den Bundesrat, die weite Entwurfsfassung des § 202c StGB zu verhindern", so Pohl.
Die Gesellschaft für Informatik e.V. (GI) wurde 1969 in Bonn mit dem Ziel gegründet, die Informatik zu fördern. Sie verfolgt ausschließlich gemeinnützige Zwecke. Die Mitglieder der GI kommen aus Wissenschaft, Wirtschaft, Lehre und Forschung. Derzeit hat die GI rund 24.000 Mitglieder und ist damit die größte Vertretung von Informatikerinnen und Informatikern im deutschsprachigen Raum.
Bei Veröffentlichung Beleg erbeten. Vielen Dank!
03. Juli 2007, Cornelia Winter, Tel. 0228/302-147
Gesellschaft für Informatik e.V. (GI)
Ahrstr. 45
53175 Bonn
Tel 0228/302-145 (Geschäftsstelle)
Fax 0228/302-167
Für weitere Fragen stehen wir Ihnen gerne unter Kontakt zur Verfügung.
Wenn Sie unsere Pressemeldungen regelmäßig erhalten möchten, tragen Sie sich bitte in den GI-Presseverteiler ein: E-Mail
Bitte geben Sie Ihren Namen und Redaktion an.