Die Kriminalität wird digital. Das Gesetz muss nachziehen.
Nachdem der erste Versuch, die Integrität der informationstechnischen Systeme in Deutschland mehr zu schützen zu keinem Erfolg geführt hatte, legte der Bundesrat Mitte 2018 erneut den Entwurf eines Gesetzes vor, durch das die „unbefugte Benutzung informationstechnischer Systeme“ unter Strafe gestellt werden sollte.
Dass die Problematik mit fortschreitender Digitalisierung mehr und mehr Präsenz erhält, hat das Bundesverfassungsgericht (BVerfG) bereits 2008 im Rahmen des Urteils zu einer Onlinedurchsuchung erkannt und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integration informationstechnischer Systeme aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschaffen. Dem Bundesrat hat das aber nicht gereicht. Er fordert, den Schutz der IT-Systeme in das Strafgesetzbuch (StGB) aufzunehmen. Nach dem Gesetzesentwurf, der am 18.04.2018 eingebracht wurde, soll ein neuer § 202e StGB entstehen. Danach wird bestraft, wer unbefugt sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft, ein solches in Gebrauch nimmt oder einen Datenverarbeitungsvorgang oder informationstechnischen Ablauf beeinflusst oder in Gang setzt. Die bereits bestehenden „Hackerparagraphen“ § 202a ff. StGB (Ausspähen und Abfangen von Daten) würden deswegen nicht ausreichen, weil sie nur die Daten, nicht jedoch die informationstechnischen Systeme an sich, schützen würden.
Die Idee war, die Rechtsgedanken der § 123 StGB (Hausfriedensbruch) und § 248b StGB (Unbefugter Gebrauch eines Fahrzeugs) in die digitale Welt zu übertragen. Ob die Umsetzung jedoch sonderlich gelungen ist, kann bestritten werden. Denn im Rahmen des Hausfriedensbruchs wird von „widerrechtlichem Eindringen“ gesprochen, nicht von „unbefugtem Benutzen“. Außerdem wurde der Begriff „Benutzen“ im StGB generell ansonsten nicht gebraucht, sodass schon seine Bedeutung unklar ist.
Die Gesetzesbegründung spricht davon, dem Einzelnen einen lückenlosen Schutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu garantieren. Das könne nur durch das scharfe Schwert des Strafrechts umfangreich durchgesetzt werden. Auch an Art. 13 GG (Grundrecht auf Unverletzlichkeit der Wohnung) soll der neue § 202e StGB angelehnt werden. Fraglich ist jedoch, inwiefern der Paragraph diese Grundrechte schützen soll. Zum einen soll er Integritätsschutz privater informationstechnischer Systeme bieten (§ 123 StGB), zum anderen soll die missbräuchliche Nutzung dieser Systeme als „virtuelle Gebrauchsanmaßung“ unter Strafe gestellt und deswegen in das StGB aufgenommen werden (§ 248b StGB). Damit sind die Schutzziele des möglicherweise entstehenden § 202e StGB unklar definiert und gerade der Grundrechtsschutz scheint etwas in den Hintergrund zu treten.
Außerdem werden durch den Wortlaut alle informationstechnischen Systeme erfasst, die in irgendeiner Weise von einer unbefugten Benutzung betroffen sein können. Nach dem Gesetzesentwurf sollen zwar „nur Geräte, Anlagen etc. geschützt sein, die objektiv eine besondere Bedeutung für den Berechtigten haben oder deren Fremdnutzung besonders gefährdungsintensiv ist und die damit in herausgehobener Weise schutzwürdig ist.“ Doch eine konkrete Ausführung im Wortlaut der Norm fehlt hierzu. Abhilfe soll der Gefahr der uferlosen Anwendung dadurch geschaffen werden, dass nach § 202e Abs. 1 Satz 2 StGB die Tat nur dann strafbar wäre, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen. Wann ein Interesse allerdings „berechtigt“ ist, wird nicht erklärt.
Trotz der Schwächen des Gesetzesentwurfs scheint dieser jedoch unerlässlich. Bereits im April 2018 ging man davon aus, dass bis zu 40% aller internetfähigen informationstechnischen Systeme in Deutschland mit Schadsoftware verseucht sind. Auch gezielte Cyberangriffe auf mit Internet verbundenen Kritischen Infrastrukturen (Einrichtungen wie große Industrieanlagen, Telekommunikationsanlagen, Elektrizitätswerke, Staudämme, Anlagen der Wasserversorgung), wie etwa der Internetangriff auf den Deutschen Bundestag 2015 und auf ein deutsches Stahlwerk 2014, zeigen den enormen Bedarf einer solchen Regelung. Besonders in den Vordergrund gerückt sind beim Bundesrat die sogenannten Botnetze. Das sind Verbünde von mit einer Schadsoftware infizierten Computern – den einzelnen Bots -, die durch einen zentralen Server kontrolliert, ausspioniert und manipuliert werden können. Botnetze werden insbesondere für DDoS-Attacken genutzt, die die durch Botnetze gesteuerten Systeme zeitweise oder dauerhaft lahmlegen können. Die daraus entstehenden Schäden können sich dann auch „analog“ entfalten. So können beispielsweise ganze Einrichtungen außer Kraft gesetzt werden.
Gerade im Hinblick auf die Gefahr für Kritische Infrastrukturen entfaltet das Problem somit auch Wirkung auf die Allgemeinheit. Das hebt die Notwendigkeit einer Regelung umso mehr hervor. Der Gesetzesentwurf des Bundesrates mag nur teilweise ein wenig über das Ziel hinausschießen und pendelt zwischen verschiedenen Schutzzielen hin und her. Die Lösung, zuerst alle denkbaren Formen des Missbrauchs informationstechnischer Systeme zu erfassen und dies nur durch eine (zudem sehr unbestimmte) Geringfügigkeitsklausel einzugrenzen, könnte außerdem damit in Konflikt geraten, dass das Strafrecht als ultima ratio gerade nicht jede noch so geringe, schädigende Handlung erfassen soll.
Quellen:
- „heute im Bundestag“ Kurzmeldung, https://www.bundestag.de/presse/hib/2018_04/-/551028
- Digitale Rechtsgüter zwischen Grundrechtsschutz und kollektiver Sicherheit (Wiss. Mit. Mathias Kahler, LL.M. und Prof. Dr. Klaus Hoffmann-Holland), KriPoZ 2018, 267, https://kripoz.de/2018/09/17/digitale-rechtsgueter-zwischen-grundrechtsschutz-und-kollektiver-sicherheit/
- Yvonne Bachmann, Bundesrat: Gesetzesentwurf zum digitalen Hausfriedensbruch eingereicht, http://www.onlinehaendler-news.de/e-recht/gesetze/31538-bundesrat-gesetzentwurf-digitalen-hausfriedensbruch