Vorbereiten des Ausspähens und Abfangens von Daten

Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Bitte hilf uns dabei, die Situation in anderen Staaten zu schildern.

Vorbereiten des Ausspähens und Abfangens von Daten (umgangssprachlich auch Hackerparagraf oder Hackertoolparagraf) ist ein Tatbestand, der in § 202c des deutschen Strafgesetzbuches (StGB) normiert ist. Er wurde Ende Mai 2007 mit großer Mehrheit im Deutschen Bundestag verabschiedet. Der Paragraph stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und den Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal zwei Jahre Freiheitsstrafe).

Der Hackerparagraf steht seit seiner Verabschiedung in der Kritik, dass durch die vage Definition der Hackertools und des Begriffs „Daten“ (in § 202a) gutwillige Sicherheitsforschung einen Straftatbestand darstelle^[1] und damit wesentlich behindert würde.^[2] Entsprechende Verfassungsbeschwerden wurde 2009 abgelehnt.^[3] Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.^[4] Bei keiner im Rahmen des § 202c gestellten Selbstanzeige ist es zu einer Verurteilung gekommen.^[5][6]

Entstehungsgeschichte

Er wurde durch das Einundvierzigste Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG)^[7] in das StGB eingefügt und trat am 11. August 2007 in Kraft.^[8] Die deutsche Rechtsnorm stellt unter anderem die Herstellung und die Verbreitung von sogenannten Hackertools unter bestimmten Umständen unter Strafe. Hierdurch wird das Übereinkommen des Europarats über Computerkriminalität^[9] vom 23. November 2001 (Cybercrime Convention, ETS No. 185) sowie der Rahmenbeschluss des Rates der Europäischen Union über Angriffe auf Informationssysteme^[10] umgesetzt. Die Höchststrafe in der Urfassung von 2007 war ein Jahr Freiheitsstrafe.

Artikel 9 Abs. 2 der Richtlinie 2013/40/EU^[11] fordert eine Mindesthöchststrafe von zwei Jahren. Die Umsetzung erfolgte mit Art. 1 Nr. 5 des Gesetzes zur Bekämpfung der Korruption durch die Erhöhung des Strafrahmens in § 202c Abs. 1 StGB n.F. auf zwei Jahre.

Rechtslage

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Reaktionen und Kritik

Welche Software unter Hackertools fällt, ist im Gesetzestext sehr vage formuliert und stößt daher auf erhebliche Kritik insbesondere von Sicherheitsexperten und IT-Branchenverbänden. Vor allem wird kritisiert, dass allein entscheidend sei, dass ein Programm oder eine Information genutzt werden könnte, in fremde Computer einzudringen und keine Ausnahmeregelungen bestehen, die den Einsatz für legale Zwecke erlaubt. So wurde unter anderem gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt angeblich selbst gegen das Gesetz verstoße. Die Staatsanwaltschaft Bonn stellte das Ermittlungsverfahren ein, da der Tatbestand gemäß § 202c StGB nicht erfüllt sei.^[12] Ebenso wurde das Verfahren von der Staatsanwaltschaft Mannheim im Falle der Selbstanzeige von Michael Kubert im Februar 2008 eingestellt.^[5]

Als Reaktion auf die wachsende Kritik wies der Rechtsausschuss des Deutschen Bundestages 2007 in einem Bericht^[13] darauf hin, dass der gutwillige Umgang mit Hackertools von IT-Sicherheitsexperten nicht vom § 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrmals darauf, dass dieser Paragraf nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.^[14]

Fraglich war auch die Rechtslage für die Hersteller von Hackertools, wenn sie ihre Software beispielsweise im Internet verbreiten und diese von Kriminellen tatsächlich für Straftaten missbraucht werden. Aus diesem Grund verlagern viele Hersteller ihr Angebot auf ausländische Webseiten bzw. publizieren im Ausland.^[15]

Ein weiteres Beispiel für die Unklarheit dieses Paragrafen stellt auch der Beschluss der Staatsanwaltschaft des Landgerichts Fulda dar. Denn auch der Fall der Selbstanzeige des Geschäftsführers Herbert Treinen der dit-consulting GmbH, ebenfalls IT-Dienstleister und damit zwangsläufig auf den Gebrauch sogenannter Hacker-Tools angewiesen, wurde im Februar 2008 eingestellt. Als Begründung gab die Staatsanwaltschaft an, dass „die §§ 202a, 202b mangels Rechtswidrigkeit nicht gegeben sind“^[16] und somit eine Verurteilung nicht zu erwarten war. Auch der Tatbestand des § 202c StGB sei nicht erfüllt worden, da die Hacker-Tools nur zu „gutartigen“^[8] Verwendungen beschafft und genutzt wurden, so die Staatsanwaltschaft.^[16]

Ebenfalls wurde die Ende 2008 erstattete Selbstanzeige des iX-Chefredakteurs Jürgen Seeger von der Staatsanwaltschaft Hannover „aus rechtlichen Gründen“ im März 2009 abgelehnt.^[6] Seeger hatte sich selbst angezeigt, nachdem er ein iX-Sonderheft „Sicher im Netz“ veröffentlichte. Diese enthält unter anderem einen Datenträger mit der Linux-Distribution BackTrack, die verschiedene Hackertools beinhaltet. „Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen“, kommentierte Seeger seine Selbstanzeige.^[17] Die Staatsanwaltschaft wiederum kommentierte die Ablehnung dahingehend, dass es vor allem auf die subjektive Vorstellung des Handelnden ankäme. Dies spiegele auch der Gesetzesentwurf wider.

Der Chaos Computer Club hat 2008 Auswirkungen der Strafrechtsänderung des Hackerparagrafen untersucht und in einer Stellungnahme Standortnachteile für IT-Betriebe in Deutschland festgestellt. Diese rechtlichen Maßregelungen würden vielmehr dem Ziel des Gesetzgebers entgegenstehen und das Sicherheitsniveau senken: „Sicherheitsforscher und -unternehmen können Leistungen nicht mehr erbringen, ohne sich der Gefahr einer Strafverfolgung auszusetzen.“ Vielmehr zeige sich, dass die Ziele des Gesetzgebers, eine Verbesserung der Sicherheitslage zu erreichen, verfehlt wurden. Die Kriminalisierung von Softwareherstellern und -benutzern führe zu einem Standortnachteil für die deutsche Forschung und Wirtschaft.^[2] Prof. Dennis-Kenji Kipker sagte 2024 zum Hackerparagrafen und verwandten Teilen des Computerstrafrechts, dass die Handlungen von Sicherheitsforschern „regelmäßig bereits objektiv tatbestandsmäßig [...] und damit natürlich dann auch strafrechtlich relevant“ seien. Das Eindringen in das System durch Sicherheitsforscher sei ausreichend, „damit sich die Gefahr für das Gesamtsystem“ und somit ein Tatbestand realisiere, egal ob die Sicherheitsforscher Kenntnis von Daten genommen hätten oder nicht. Das deutsche Computerstrafrecht solle dringend reformiert werden.^[1]

In der Rechtswissenschaft wurde die Vorschrift als Straftatbestand „ohne erkennbaren ‚Unrechtskern‘“ bezeichnet.^[18]

Verfassungsrechtliche Bewertung

Aufgrund dieser Unklarheiten haben drei Personen – eine aus der IT-Branche, eine aus dem akademischen Bereich und der Berliner Rechtsanwalt und Strafverteidiger Ulrich Kerner^[19] – jeweils eine Verfassungsbeschwerde gegen den sogenannten Hackerparagraphen (genauer: gegen § 202c Absatz 1 Nr. 2 StGB) eingereicht.^[20] Die drei Beschwerden wurden mit Beschluss vom 18. Mai 2009 durch das Bundesverfassungsgericht (BVerfG) als unzulässig abgelehnt.^[20][3] Das BVerfG begründete die Ablehnung damit, dass die Beschwerdeführer durch § 202c StGB nicht „selbst, gegenwärtig und unmittelbar“ in ihren Grundrechten betroffen seien. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die von ihnen genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Zum einen könne man (insbesondere bei sogenannten „dual use tools“) nicht davon ausgehen, dass die Programme als „Zweck die Begehung einer Straftat“ hätten.^[21] Bei den Beschwerdeführern fehle jedenfalls das „subjektiv[e] Merkmal der Vorbereitung einer Computerstraftat“.^[22]

Situation in der Schweiz

Hier stellt Artikel 143bis StGB das unbefugte Eindringen in ein Datenverarbeitungs-System als solches, Art. 143 den Daten-Diebstahl und 144bis die Daten-Beschädigung unter Strafe. Hinzu kommen die zivilrechtlichen Schadenersatz-Ansprüche.

Per 1. Januar 2011 wurde in der Schweiz Art. 143bis StGB um Bestimmungen analog zum deutschen Hackerparagraphen erweitert.^[23]

Siehe auch

• Computerkriminalität
• Ausspähen von Daten
• Abfangen von Daten
• Datenhehlerei
• Datenveränderung § 303a StGB
• Einverständnis (Strafrecht)
• Straftat, Abschnitt Vorbereitungshandlung

Literatur

• Dennis Jlussi: IT-Sicherheit und § 202c StGB – Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, Hannover/München 2007.^[4]
• Kai Cornelius: Zur Strafbarkeit des Anbietens von Hackertools, in Computer und Recht 2007, S. 682 (688).
• Kai Cornelius: Gut oder nicht gut – Was bei der Entwicklung von Sicherheitssoftware zu beachten ist, iX 3/2008, Seite 101.
• Gröseling/Höfinger, Der strafbare Umgang mit 'Hacker-Tools’ auf dem Prüfstand, in Multimedia und Recht 2007, Heft 12, S. XXVII.
• Ines M. Hassemer: Der so genannte Hackerparagraph § 202 c StGB – Strafrechtliche IT-Risiken in Unternehmen, in JurPC Web-Dok. 51/2010, Abs. 1 – 47. jurpc.de
• Stefan Holzner: Klarstellung strafrechtlicher Tatbestände durch den Gesetzgeber erforderlich, in Zeitschrift für Rechtspolitik 2009, S. 177.
• Carl-Friedrich Stuckenberg: Viel Lärm um nichts? – Keine Kriminalisierung der „IT-Sicherheit“ durch § 202c StGB, in Zeitschrift für Wirtschafts- und Steuerstrafrecht 2010, S. 41.

Weblinks

• Stellungnahme des Chaos Computer Clubs anlässlich der Verfassungsbeschwerde gegen den § 202c StGB: Derzeitige und zukünftige Auswirkungen der Strafrechtsänderung auf die Computersicherheit (PDF; 177 kB)
• Der Hackerparagraf – der § 202c auf dem Prüfstand. Chaosradio-Podcast
• Der Hackerparagraf ist der größte Unsinn. (Memento vom 21. Mai 2007 im Internet Archive) Netzeitung.de
• „Hackerparagraph“ – Auch die Aufpasser müssen aufpassen. Stern
• Hackerparagraf: „Das A und O ist eine gute Beweissicherung – Interview mit dem Rechtsanwalt und Strafrechtler Dr. Kai Cornelius“. GULP Knowledge Base
• Ausführliche juristische Darstellung unter Berücksichtigung aktueller Literatur (Stand Dezember 2008)

Einzelnachweise

1. Florian Hantke, Prof Dr Dennis-Kenji Kipker: Was lange währt, wird endlich gut? Die Modernisierung des Computerstrafrechts. 28. Dezember 2024, abgerufen am 29. Januar 2025 (Zitat ab 17:18). 
2. CCC: Hackerparagraph gefährdet den IT-Standort Deutschland. In: Golem.de. Abgerufen am 29. Januar 2025. 
3. Bundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08. Abgerufen am 19. Juni 2009. 
4. Dennis Jlussi: IT-Sicherheit und § 202c StGB. (PDF; 231 kB) European Expert Group for IT Security, 19. Oktober 2007, abgerufen am 25. Oktober 2012 (im Rahmen des Information Security Summit abgegebene juristische Stellungnahme). 
5. Hackertoolparagraph 202c: Verfahren eingestellt. (Memento vom 10. Februar 2009 im Internet Archive) SpitBlog
6. Az. 1111 Js 181/09, siehe auch: Meldung Heise online, 10. März 2009
7. Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 7. August 2007 (BGBl. I S. 1786, PDF)
8. Redaktion nC: network Computing. Test, Trends, Technik für technische IT-Entscheider. 2. März 2010, ISSN 1435-2524, S. 66. 
9. Cybercrime-Konvention des Europarats
10. Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. In: Amtsblatt der Europäischen Union. L, Nr. 69, S. 67–71.
11. Richtlinie 2013/40/EU
12. Das BSI und der Hackerparagraf § 202c: Keine Strafverfolgung durch Staatsanwalt. TecChannel
13. BT-Drs. 16/5449
14. Aussage von Brigitte Zypries am 26. Juli 2007 auf abgeordnetenwatch.de
15. The Hackers Choice (Memento vom 16. September 2010 im Internet Archive) als Beispiel für eine Trennung von deutscher und internationaler Webseite
16. Staatsanwaltschaft bei dem Landgericht Fulda. Geschäftszeichen 12 Js 17070/07 vom 25. Februar 2008
17. heise online: "Hacker-Paragraf": iX-Chefredakteur zeigt sich selbst an. 19. Dezember 2008, abgerufen am 29. Januar 2025. 
18. Eric Hilgendorf: Recht durch Unrecht? Interkulturelle Perspektiven, in: Juristische Schulung (JuS), Heft 9/2008, S. 761–767 (S. 766 Fn. 59).
19. anwaltfuerstrafsachen.de
20. Bundesverfassungsgericht – Pressestelle –: Pressemitteilung Nr. 67/2009. 19. Juni 2009, abgerufen am 19. Juni 2009. 
21. Bundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08, Absatz 62 ff. Abgerufen am 19. Juni 2009. 
22. Bundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08, Absatz 70 ff. Abgerufen am 19. Juni 2009 (Verlinkung auf (besondere) subjektive Merkmale im subjektiven Tatbestand nicht im Original; Kursive Hervorhebung nicht im Original). 
23. swissblawg.ch

Bitte den Hinweis zu Rechtsthemen beachten!