Neu eingeführter Paragraf betrifft Abfangen von Daten Security-Händlern droht Haftstrafe

Autor / Redakteur: Rechtsanwältin Kathrin Hofmann / Katrin Hofmann

Seit dem 11. August ist neben dem Ausspähen auch das Abfangen von Daten und die Vorbereitung hierzu wie das Anbieten geeigneter Software strafbar. Der neu eingeführte Paragraf 202c Strafgesetzbuch droht, Händler, Entwickler und Anwender von Security-Programmen zu kriminalisieren.

Firmen zum Thema

Viele Security-Händler bewegen sich seit dem 11. August in einer rechtlichen Grauzone.
Viele Security-Händler bewegen sich seit dem 11. August in einer rechtlichen Grauzone.
( Archiv: Vogel Business Media )

Der neue Paragraf 202c im Strafgesetzbuch (StGB) stellt Handlungen unter Strafe, mit denen das Ausspähen von Daten vorbereitet wird, indem Sicherungscodes oder Computerprogramme, die den Zugang ermöglichen, verbreitet, beschafft oder hergestellt werden. Hintergrund dieser höchst umstrittenen Regelung ist die Umsetzung von Artikel 6 des Übereinkommens des Europarates über Computerkriminalität von 2001, der ersten internationalen Vereinbarung über mittels Computernetze begangene Straftaten.

An der Neuregelung wird vor allem beanstandet, dass die Bestrafung an den Zweck des Programms zur »Begehung einer solchen Tat« anknüpft. Aus Sicht der Kritiker werde nicht differenziert, zu welchem Zweck ein solches Programm tatsächlich eingesetzt wird, ob die mit ihm vorgenommenen Handlungen in der Tat eine Bestrafung verdienen. Nach einhelliger Auffassung erfasst der Gesetzeswortlaut nicht nur illegale Hackerwerkzeuge, sondern auch legale Programme und Sicherheitswerkzeuge, mit denen Computersysteme auf Sicherheitslücken überprüft werden können.

Derlei Bedenken werden sicherlich zu Recht vorgebracht. Liest man die Gesetzesbegründung, mag man jedoch zweifeln, ob sie auch gerechtfertigt sind. Denn hier hat der Gesetzgeber deutlich gemacht, dass nur solche Programme vom Straftatbestand erfasst sein sollen, die nach Art ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind und denen die illegale Verwendung sozusagen immanent ist. Für Programme, die eindeutig einem legalen Zweck dienen, wie etwa der Überprüfung der Sicherheit, soll dies dagegen nicht gelten. Auch Programme, die unabhängig von ihrer Eignung erst infolge ihrer Verwendung und nicht bereits ihrem funktionalen Zweck nach als legal oder illegal eingeordnet werden können, sollen demnach aus dem Tatbestand herausfallen.

Bloße Ignoranz?

Zusätzlich muss die Tathandlung, um strafbar zu sein, laut der Gesetzesbegründung der Vorbereitung einer Computerstraftat dienen. Nach der Intention des Gesetzgebers ist dies jedoch nicht erfüllt, wenn ein Programm ausschließlich zu nicht kriminellen Zwecken wie etwa zur Überprüfung von Sicherheitslücken in der IT-Infrastruktur hergestellt, angeschafft oder verbreitet wird – selbst dann, wenn der ursprüngliche Zweck des Programms ein illegaler war.

Im Gesetzeswortlaut findet sich diese Auffassung jedoch nicht wieder. Zugunsten des Gesetzgebers mag man unterstellen, dass er aus reiner Ignoranz die Reichweite seiner Regelung nicht erkannt hat. Da hilft auch nicht, dass Paragraf 202c StGB als Antragsdelikt ausgestaltet wurde, bei dem die Staatsanwaltschaft nur in besonderen Ausnahmefällen auch ohne Strafantrag von Amts wegen tätig werden kann.

Fazit

Letztendlich wird es Aufgabe der Gerichte sein, die unzureichende Gesetzesformulierung im Paragraf 202c des Strafgesetzbuches zu konkretisieren. Entwickler und Hersteller von Sicherheitstools dürften allerdings nicht bereit sein, sich hierauf einzulassen. Die ersten haben bereits ihre Entwicklungstätigkeit in Deutschland eingestellt und ins Ausland verlagert. Damit erreicht die neue Gesetzesregelung genau das Gegenteil von dem, was sie eigentlich wollte, nämlich weniger statt mehr Computersicherheit.

Artikelfiles und Artikellinks

(ID:2007411)