JurPC Web-Dok. 51/2010 - DOI 10.7328/jurpcb/201025351

Ines M. Hassemer *

Der so genannte Hackerparagraph § 202 c StGB - Strafrechtliche IT-Risiken in Unternehmen

JurPC Web-Dok. 51/2010, Abs. 1 - 47


I n h a l t s ü b e r s i c h t
1. Informationstechnologie und Strafrecht - ein heterogenes Paar:
2. Was bisher geschah
3. Juristen und Informatiker: Eine Beziehung mit Hindernissen
4. Entscheidung des BVerfG, 2 BvR 2233/07 vom 18.5.2009:(11)
5. Ausblick

1.  Informationstechnologie und Strafrecht - ein heterogenes Paar:

Das Gebiet der Strafvorschriften mit informationsrechtlichem Einschlag wächst seit geraumer Zeit zu beeindruckender Größe an. Angesichts der intensiven Nutzung von Computer und Internet ist das keine Überraschung. Während für die Menschen aus der IT-Industrie der rasante Fortschritt bei der Entwicklung neuer Technologien systemimmanent und vielleicht sogar überlebensnotwendig ist, stolpert das Strafrecht mehr schlecht als recht hinterher, und vielerorts versinkt der Praktiker in ehrfürchtiges Staunen angesichts der Fülle neuer, unbekannter Vorschriften, die innerhalb kürzester Zeit geschaffen und in das StGB integriert wurden. JurPC Web-Dok.
51/2010, Abs. 1
Am 11. August 2007 traten 7 neue bzw. geänderte Strafvorschriftenin Kraft. Sie befinden sich sowohl im Bereich "Sachbeschädigung" als auch in der Abteilung "Verletzung des persönlichen Lebens- und Geheimbereichs". Dort findet sich auch der "neue" § 202 c StGB(2)der, in irreführender Weise, zumeist als Hackerparagraph bezeichnet wird. Der Titel ist allerdings trügerisch, denn das "Hacken" eines gesicherten Systems ist, soweit damit das unbefugte Eindringen bezeichnet wird, nicht von § 202 c StGB sondern vielmehr von § 202 a StGB erfasst. § 202 c StGB beschäftigt sich, im weitesten Sinne mit den Hilfsmitteln für die Straftaten, die nach § 202 a, b und § 303 a, b sanktioniert sind: Abs. 2

§202 c  Gesetzeswortlaut(3): Abs. 3
Vorbereiten des Ausspähens oder Abfangens von Daten § 202 c StGBAbs. 4

(1)  Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er Abs. 5
1.  Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder Abs. 6
2.  Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, Abs. 7
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Abs. 8
(2)  § 149 Abs. 2 und 3 gilt entsprechend. Abs. 9

2.  Was bisher geschah:

Bereits im Gesetzgebungsverfahren kam es aus den unterschiedlichsten Richtungen zu kritischen Stellungnahmen.(4)Laut protestiert wurde zum einen auf Seiten der IT-Experten/Informatiker.(5)Aber auch Juristen versuchten vor Verabschiedung noch Einfluss auf die Formulierung der Strafvorschrift zu nehmen.(6)Ohne Erfolg. Allerdings wurde Einiges zur Thematik "Anwendung der Norm" zu Papier gebracht. Zentrales Thema war dabei die Frage, welche Art von Programmen von § 202 c Abs. 1 Ziffer 2. StGB erfasst sein sollte. Im Besonderen ging es um die Materie der dual use Programme, also solcher Programme, die sowohl für legale als auch für illegale Zwecke eingesetztwerden können. Abs. 10
Unternehmen in der Praxis beklagen die Kriminalisierung von bisher straflosen, IT-spezifischen Handlungen. Allen voran hat die IT-Sicherheitsbranche die berechtigte Sorge, in den Dunstkreis strafrechtlicher Ermittlungen zu gelangen. Ist der Umgang mit Hackertools und Dual Use Programmen doch das tägliche Brot eines Sicherheitsberaters, ohne das keine vernünftige Netzüberprüfung stattfinden kann. Die Unsicherheit im Umgang mit der Vorschrift zeigt sich zum einen an zahlreichen, bereits wenige Monate nach Inkrafttreten des Gesetzes erschienenen Leitfäden und Hilfestellungen.(7)Zum anderen kam es aus dem Bereich der "engagierten" Betroffenen zu Anzeigen bzw. Selbstanzeigen bei den Staatsanwaltschaften, in der Hoffnung, von der Justiz Erhellendes über die Anwendung der Vorschrift zu erfahren. Abs. 11
Das Online-Magazin TecChannel stellte am 08.10.2007 gegen die Verantwortlichen des Bundesamts für Sicherheit in der Informationstechnik (BSI) Strafanzeige wegen Verstoßes gegen § 202c StGB bei der Staatsanwaltschaft Bonn. Als Begründung trug es vor, dass sich auf der Website des BSI ein direkter Link zum Hersteller der Hackersoftware "John the Ripper" befinde. Die Staatsanwaltschaft lehnte nach Auskunft des Magazins die Einleitung eines Ermittlungsverfahrens ab. Abs. 12
Ähnlich erging es dem Chefredakteur Seeger des Magazins ix,der sich selbst im Dezember letzten Jahres anzeigte, da das Magazin eine DVD mit "Hacker-Tools" beinhaltete. Auch hier lehnte die Staatsanwaltschaft Hannover die Einleitung eines Verfahrens mit der Begründung ab, dass bei Software, die zwar der Abwehr fremder Angriffe dient, die aber gleichzeitig auch ohne jede Veränderung zu illegalen Zwecken genutzt werden kann, vor allem auf die subjektive Vorstellung des Handelnden ankäme. Unter Strafe gestellt werden solle mit § 202c StGB die Vorbereitung einer anderen Tat, nämlich das rechtswidrige und unbefugte Ausspähen oder Abfangen von Daten. Eine solche Vorbereitungshandlung sei aber nicht anzunehmen, wenn für den Verbreiter der Software lediglich "mit der Möglichkeit der illegalen Verwendung des Programms zu rechnen" sei."(8)Abs. 13

3.  Juristen und Informatiker: Eine Beziehung mit Hindernissen

Eines der Kernprobleme ist wohl die große Kluft zwischen Informatikern und Juristen, die regelmäßig wenig Wissen und Verständnis für die Materie des jeweils anderen mitzubringen scheinen.(9)Denn, anders als beispielsweise bei der Beurteilung medizinischer Fragen durch Sachverständige, scheinen die Juristen den Informatikern nicht so recht glauben zu wollen, bzw. halten sich selbst für ebenso kompetent, Kernfragen der Informationstechnologie beurteilen zu können. Abs. 14
Beispielsweise hat der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) in seinem Leitfaden zum Hackerparagraphausgeführt: Abs. 15
"Der Wortlaut des § 202c StGB beschränkt jedoch die Strafandrohung nicht eindeutig auf die vom Gesetzgeber intendierten Fälle. Er lässt vielmehr auch rechtschaffene Software-Anbieter und - Anwender u. U. in die Nähe der Kriminalität geraten, …"(10)Abs. 16
Auch der Chaos Computer Club (CCC), geadelt durch die Gelegenheit zur Stellungnahme zum Verfahren vor dem Bundesverfassungsgericht, blieb mit folgenden Ausführungen ungehört: Abs. 17
"Eine Unterscheidung, welchen Zweck eine Software verfolgt, ist aus informationstechnischer Sicht nicht möglich. Es gibt keine objektiven Kriterien, anhand derer sich festmachen ließe, dass ein Programm ausschließlich legalen oder illegalen Absichten dient. Wie bei einem mechanischen Werkzeug, etwa einem Skalpell oder einem Hammer, entscheidet erst die Verwendung durch den Anwender über den Zweck und die mögliche Strafbarkeit des damit ausgeführten Handelns. Angesichts der Verschiedenartigkeit und Komplexität von Computern und Netzwerken ist eine unüberschaubare Vielfalt von Programmen und Softwarekomponenten entstanden, die für den Betrieb von IT-Systemen notwendig sind, sich aber auch für illegale Zwecke einsetzen lassen. Die Mehrzahl der Angriffe im Internet erfolgt mit Hilfe solcher "dual-use"-Werkzeuge - bis hin zum normalen Webbrowser." Abs. 18

4.  Entscheidung des BVerfG, 2 BvR 2233/07 vom 18.5.2009:(11)

Nachdem drei Beschwerdeführer gegen § 202 c StGB geklagt hatten, kam es am 18.05.2009 zu den unten zusammengefassten Ausführungen des Bundesverfassungsgerichts im Zusammenhang mit der Anwendung der Vorschrift. Zwar wurden die Verfassungsbeschwerden nicht zur Entscheidung angenommen, dennoch nahm das Gericht zu wesentlichen Rechtsfragen Stellung:(12)Abs. 19

1.Dual Use Programme (Programme mit legalem und illegalem Verwendungszweck) fallen nicht unter § 202 c StGB. Abs. 20
2.Eine Strafbarkeit nach § 202 c StGB setzt voraus, dass die (dann noch verbleibenden) Programme in der Absicht entwickelt oder modifiziert sein müssen, Straftaten nach § 202 a, b StGB zu begehen. Abs. 21
3.Diese Absicht muss sich objektiv manifestiert haben; beispielsweise Abs. 22
a.mag eine äußerlich feststellbare Manifestation dieser Absichten in der Gestalt des Programms selbst liegen im Sinne einer Verwendungsabsicht, die sich nunmehr der Sache selbst interpretativ ablesen lässt oder Abs. 23
b.auch in einer eindeutig auf illegale Verwendungen abzielenden Vertriebspolitik und Werbung des Herstellers Abs. 24
was im Einzelnen zu klären Aufgabe der hierfür zuständigen Fachgerichte ist, und Abs. 25
4.das Programm muss vom Täter (dieser muss nicht mit dem Entwickler identisch sein) vorsätzlich genutzt, modifiziert bzw. weitergegeben worden sein um Straftaten vorzubereiten, wofür Eventualvorsatz genügt. Abs. 26

5.  Ausblick:

Die Entscheidung des Bundesverfassungsgerichts vom 18.05.2009 (BVerfG, 2 BvR 2233/07) wird wohl das Risiko einer Verurteilung nach § 202 c StGB für jedermann vermindern. Allerdings besteht nach wie vor eine ernstzunehmende Gefahr für alle betroffenen Unternehmen, sich einem zeitraubenden, kostenintensiven und rufschädigenden Ermittlungsverfahren nach § 202 c StGB aussetzen zu müssen. Abs. 27
Denn in der Praxis wird diese Norm weiterhin Probleme bereiten. Anschaulich zeigt bereits die Tatsache, dass Dual Use Programme im Gesetzgebungsverfahren, bei den Rechtsausführungen in der Lehre und sogar in den bisher ergangenen staatsanwaltschaftlichen Entscheidungen durchaus als taugliche Tatobjekte erörtert bzw. nicht ausgeschlossen wurden und erst das Bundesverfassungsgericht im Mai 2009 - also 3 Jahre nach Beginn der Diskussionen - das Gegenteil diagnostiziert(13), das Dilemma auf. Abs. 28
Nun sollen also nur noch die "wirklich bösen" Programme, die auch noch in der Absicht entwickelt worden sein müssen, dass damit Straftatbestände des StGB verwirklicht werden, als taugliche Tatobjekte in Frage kommen. Und diese Frage sollen die Fachgerichte klären, was sich ohne IT-Sachverständigen allerdings nicht bewerkstelligen lässt. Erschwerend kommt hinzu, dass nach Ansicht vieler Experten (was auch seit Beginn der Diskussion als Einwand ins Spiel gebracht worden ist) eine solche Eigenschaft einem Programm wohl nicht auf Dauer zugeschrieben werden kann. Abs. 29
Kommt es erst einmal zur Strafanzeige, werden aller Voraussicht nach auch Ermittlungen geführt (kein Strafantragserfordernis bei § 202 c StGB, weshalb die Staatsanwaltschaft von Amts wegen ermitteln müsste), bis aufgeklärt ist, ob ein Verhalten im Sinne der Strafvorschrift vorliegt oder nicht.(14)Bedarf es, wie das Bundesverfassungsgericht ausführt, einer fachgerichtlichen Aufklärung dieser Fragen, so kann es kaum zu einer Einstellung im Vorverfahren kommen. Zumindest wird es stets erforderlich sein, Sachverständige beizuziehen, die dann auch in der Lage sein müssen aus dem Programm herauszulesen, ob es ausschließlich zur Verwirklichung einer Straftat geschrieben wurde. Dies bringt nicht nur ein erhebliches Risiko für den guten Ruf eines IT-Unternehmens und Programmierers mit sich. Auch kann es mit nicht unerheblichen Kosten verbunden sein, da sich für dies Fälle nicht nur anwaltlicher Beistand empfiehlt. Auch die Hinzuziehung von Sachverständigenwird zur Beschleunigung der Aufklärung nötig sein.(15)Abs. 30

Nachlese:  Vorschriften, die von § 202 c StGB betroffen sind: Abs. 31

§202a  Ausspähen von DatenAbs. 32
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Abs. 33
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Abs. 34

§202b  Abfangen von DatenAbs. 35
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Abs. 36

§303a DatenveränderungAbs. 37
(1) Wer rechtswidrig Daten (§ 202a Abs. 2)  löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Abs. 38
(2) Der Versuch ist strafbar. Abs. 39
(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend. Abs. 40

§ 303b  ComputersabotageAbs. 41
(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er Abs. 42
1. eine Tat nach § 303a Abs. 1 begeht, Abs. 43
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder Abs. 44
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, Abs. 45
….. Abs. 46
(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend. JurPC Web-Dok.
51/2010,   Abs. 47


Fußnoten:

(1) Die Referentin ist Rechtsanwältin und Fachanwältin für Strafrecht in der Kanzlei SSW Schneider Schiffer Weihermüller in München.
(2)Zeitgleich wurden unter anderem eine geänderte Fassung der §§ 202 a, 303 b, 303 c StGB sowie der neue § 202 b StGB eingeführt. Zu beachten ist, dass nicht nur die Vorbereitung von Straftaten nach §§ 202 a, 202 b StGB von § 202 c StGB erfasst wird, sondern auch diejenige von kriminellen Handlungen im Sinne der §§ 303 a StGB (Datenveränderung) und 303 b StGB (Computersabotage).
(3)Eingefügt durch das 41. StrÄndG mit Wirkung zum 11.08.2007. 
(4)Erwartungsgemäß protestierten auch Gruppierungen, die sich vor allem gegen eine Überreglementierung im Bereich der Neuen Medien stark machen, wie etwa der Chaos Computer Club. Die wesentlichen Punkte wurden vom CCC noch einmal im Rahmen einer Stellungnahme zusammengefasst und können auf der Website des CCC abgerufen werden: http://www.ccc.de/updates/2008/stellungnahme202c.
(5)Anschaulich zusammengestellt im heise online Magazin, abrufbar unter: http://www.heise.de/security/meldung/Gesellschaft-fuer-Informatik-befuerchtet-Kriminalisierung-von-Informatikern-146674.html, http://www.heise.de/security/meldung/Kritik-am-Gesetzesentwurf-zu-Hacker-Tools-haelt-an-173659.html. Zuletzt besucht am 18.10.2009.
(6)Stellvertretend für Viele: Alexander Schultz, Neue Strafbarkeiten und Probleme - Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20.09.2006, MIR 2006, Dok. 180, Rz. 1-52; Dennis Jlussi: IT-Sicherheit und § 202c StGB - Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, Hannover/München 2007.
(7)Hawellek, Christian: Die strafrechtliche Relevanz von IT-Sicherheitsaudits, http://www.eicar.org/about_us/Legal-Advisory-Board.htm, zuletzt besucht am 21.09.2009, BITKOM: Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den" 202 c StGB, vgl. Fußnote 6. Der von der BITKOM herausgegebene Leitfaden richtet sich unter anderem an Ermittlungsbeamte und Richter. Er hat die neue Rechtsprechung des BVerfG allerdings nicht berücksichtigt und beschäftigt sich mit dem zweifelhaften Versuch, Software als taugliches Objekt des § 202c StGB einzuordnen mit jeweils anschließender Empfehlung ein Ermittlungsverfahren einzuleiten oder nicht, und dürfte daher in der Praxis Fassung für mehr Verwirrung als für Klarheit sorgen. Dies liegt in der Natur der Sache, denn die Vorschrift ist kaum praxistauglich und auch durch die Auflistung von Szenarien nicht in den Griff zu bekommen.
(8)Zitat und Zusammenfassung entnommen aus dem Online-Magazin Telemedicus, abrufbar unter: http://www.telemedicus.info/article/1199-Hackerparagraph-Kein-Verfahren-gegen-iX-Redakteur.html.
(9)Symptomatisch für die allgemein schlechte Stimmung auf Seiten der IT-Experten sind die Ausführungen von Hal Faber in der sonntäglichen Wochenschau des IT-Fachmagazins heise Online vom 18.10.2009: "Der Hackerparagraph ist ein ähnlich schusseliges Gesetz, gemacht von Politikern, die über den Unrechtskern von Hackertools schwadronieren wie Zöglinge des Priesterseminars von zertifizierten feministischen Kriterien sexueller Ausdrucksweisen." http://www.heise.de/newsticker/meldung/Was-war-Was-wird-832295.html.
(10)Vgl. Fußnote 6.
(11)Die Entscheidung ist einstimmig ergangen.
(12)Die Feststellungen sind keine wörtlichen Zitate, sondern Zusammenstellungen der Autorin aus dem Inhalt der Entscheidungsgründe des Bundesverfassungsgerichts.
(13)Bei der Abhandlung über die Entstehungsgeschichte führt das BVerfG zur Thematik der dual use tools aus: "Nach alledem ließe es sich nicht vertreten, im Rahmen des § 202c Abs. 1 Nr. 2 StGB für die Bestimmung des Zwecks eines Computerprogramms auf dessen Eignung oder auch spezifische Eignung abzustellen. Eine solche Auslegung würde dem Wortlaut der Norm und dem Willen des Gesetzgebers widersprechen und stellte damit gleichzeitig einen Verstoß gegen Art. 103 Abs. 2 GG dar …… (die) teilweise vertretene Auffassung, der objektive Tatbestand des § 202c Abs. 1 Nr. 2 StGB erfasse allgemein auch so genannte dual use tools, lässt sich nicht halten." Vgl. BVerfG, 2 BvR 2233/07 vom 18.5.2009, Absatz-Nr.: 66. 
(14)Näheres zum Inhalt und zum weiteren Gang des Verfahrens: http://www.tecchannel.de/sicherheit/grundlagen/1729025/, zuletzt besucht: 17.09.2009.
(15)Vertiefend zur Problematik: Hassemer/Ingeberg, Dual-Use-Software aus der Perspektive des Strafrechts (§ 202c StGB), ITRB 2009, 84; Hassemerin Schneider, Handbuch des EDV-Rechts, Kapitel B, Rn. 1525 ff.
* Die Autorin ist Rechtsanwältin und Fachanwältin für Strafrecht in der Kanzlei SSW Schneider Schiffer Weihermüller in München.
[ online seit: 16.03.2010 ]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs. 
Zitiervorschlag: Hassemer, Ines M., Der so genannte Hackerparagraph § 202 c StGB - Strafrechtliche IT-Risiken in Unternehmen - JurPC-Web-Dok. 0051/2010