Computerstrafrecht im Rechtsvergleich – Deutschland, Österreich, Schweiz [1 ed.] 9783428537266, 9783428137268

Citation preview

Schriften zum Strafrecht Heft 228

Computerstrafrecht im Rechtsvergleich – Deutschland, Österreich, Schweiz Von

Daniel Schuh

Duncker & Humblot · Berlin

DANIEL SCHUH

Computerstrafrecht im Rechtsvergleich – Deutschland, Österreich, Schweiz

Schriften zum Strafrecht Heft 228

Computerstrafrecht im Rechtsvergleich – Deutschland, Österreich, Schweiz

Von

Daniel Schuh

Duncker & Humblot · Berlin

Der Fachbereich Rechtswissenschaften der Universität Konstanz hat diese Arbeit im Jahre 2011 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2012 Duncker & Humblot GmbH, Berlin

Fremddatenübernahme: L101 Mediengestaltung, Berlin Druck: Berliner Buchdruckerei Union GmbH, Berlin Printed in Germany ISSN 0558-9126 ISBN 978-3-428-13726-8 (Print) ISBN 978-3-428-53726-6 (E-Book) ISBN 978-3-428-83726-7 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Meiner Mutter Inge

Vorwort Die folgende Abhandlung ist meine im Juli 2011 abgeschlossene Dissertation, die von der Juristischen Fakultät der Universität Konstanz angenommen wurde. Für die umfassende Betreuung, die vielen Hinweise und insbesondere die schnelle Korrektur meiner Dissertation möchte ich meinem Doktorvater, Herrn Prof. Dr. Jörg Eisele, ganz herzlich danken. Mein Dank gilt aber auch Herrn Prof. Dr. Rengier für die Erstellung des Zweitgutachtens. Bedanken möchte ich mich ferner bei allen, die mir während der Erstellung dieser Dissertation stets mit Rat und Tat zur Seite standen. Besonderen Dank schulde ich meiner Frau Sandra, die mich mit unermüdlicher Geduld unterstützt hat. Ohne sie hätte ich die vorliegende Arbeit nicht vergleichbar erfolgreich abschließen können. München, im Dezember 2011

Daniel Schuh

Inhaltsübersicht A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Zielsetzung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . .

21 21 24

B. Computerkriminalität und Internetkriminalität . . . . . . . . . . . . . . . . . . . . . . . I. Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Überblick über die Entwicklung des Computerstrafrechts in Deutschland, Österreich und der Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28 28

C. Internationale Rechtsinstrumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Cybercrime Convention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35 35 44

D. Das 41. Strafrechtsänderungsgesetz – Überblick über die Änderungen und Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Das Ausspähen von Daten, § 202a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . II. Das Abfangen von Daten, § 202b dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . III. Das Vorbereiten des Ausspähens und Abfangens von Daten, § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Die Datenveränderung, § 303a dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Die Computersabotage, § 303b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

49 49 55 60 67 68

E. Die Umsetzung der Cybercrime Convention und des EU-Rahmenbeschlusses in Österreich durch die Strafrechtsänderungsgesetze 2002 und 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 I. Widerrechtlicher Zugriff auf ein Computersystem, § 118a öStGB. . . . . 75 II. Verletzung des Telekommunikationsgeheimnisses, § 119 öStGB . . . . . . 85 III. Missbräuchliches Abfangen von Daten, § 119a öStGB. . . . . . . . . . . . . . . 92 IV. Missbrauch von Tonband- oder Abhörgeräten, § 120 Abs. 2a öStGB 98 V. Datenbeschädigung, § 126a öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 VI. Störung der Funktionsfähigkeit eines Computersystems, § 126b öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 VII. Missbrauch von Computerprogrammen oder Zugangsdaten, § 126c öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 F. Die Strafbarkeit der Computerkriminalität in der Schweiz . . . . . . . . . . . . I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB . . . . . . . . . . . . . . . . II. Unbefugtes Eindringen in ein Datenverarbeitungssystem gemäß Art. 143bis sStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Datenbeschädigung gemäß Art. 144bis sStGB . . . . . . . . . . . . . . . . . . . . . . .

141 141 156 168

10

Inhaltsübersicht

G. Unterschiede zwischen den jeweiligen Regelungen – Ein Vergleich anhand ausgewählter Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Computerspionage durch Auswertung von Hardware . . . . . . . . . . . . . . . . . II. Hacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Computersabotage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Spammails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Schwarzsurfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

191 191 194 209 227 230 238

H. Änderungsvorschläge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Änderung des § 202a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Änderung des § 202b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Änderung des § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Änderung des § 303a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Änderung des § 303b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

244 244 245 246 248 248

I.

Zusammenfassung der Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

Anhang I. II. III. IV. V.

– Gesetzestexte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Deutschland. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Österreich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auszug aus der Cybercrime Convention . . . . . . . . . . . . . . . . . . . . . . . . . . . . EU-Rahmenbeschluss 2005/222/JI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

253 253 254 257 258 262

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Sachregister. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

Inhaltsverzeichnis A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Zielsetzung und Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

21 21 24 24 25

B. Computerkriminalität und Internetkriminalität . . . . . . . . . . . . . . . . . . . . . . . I. Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Überblick über die Entwicklung des Computerstrafrechts in Deutschland, Österreich und der Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28 28

C. Internationale Rechtsinstrumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Cybercrime Convention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Entstehungsgeschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Rechtscharakter und Inkrafttreten im nationalen Recht . . . . . . . . . . . . 3. Grundlagen der Umsetzung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Harmonisierung der materiell-strafrechtlichen Vorschriften . . . . . b) Schaffung gemeinsamer strafprozessualer Maßnahmen. . . . . . . . . c) Verbesserung der länderübergreifenden Kooperation . . . . . . . . . . . 5. Aufbau und Regelungsgehalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Kritikpunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Intransparente Entstehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Zusatzprotokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Der EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Entstehungsgeschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Rechtscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Aufbau und Regelungsgehalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Ein Vergleich der Cybercrime Convention mit dem EU-Rahmenbeschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35 35 35 37 38 38 39 39 40 40 40 40 43 43 44 44 45 45 46

29 29 32 33

46

12

Inhaltsverzeichnis

D. Das 41. Strafrechtsänderungsgesetz – Überblick über die Änderungen und Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Das Ausspähen von Daten, § 202a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Synopse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zugangverschaffen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Überwinden einer besonderen Sicherung . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Schutzobjekt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Überwinden der Zugangssicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Das Abfangen von Daten, § 202b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Ratio des § 202b dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich mit der Cybercrime Convention. . . . . . . . . . . . . . . . . . . . . . . . a) Daten im Sinne des § 202b dStGB und Computerdaten gemäß Art. 1 lit. b Cybercrime Convention . . . . . . . . . . . . . . . . . . . . . . . . . . b) Datenübermittlung gemäß § 202b dStGB und Computerdatenübermittlung im Sinne der Cybercrime Convention . . . . . . . . . . . . c) Abstrahlung einer Datenverarbeitungsanlage gemäß § 202b dStGB und Abstrahlung aus einem Computersystem im Sinne der Cybercrime Convention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Das Vorbereiten des Ausspähens und Abfangens von Daten, § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Bisherige Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich mit der Cybercrime Convention. . . . . . . . . . . . . . . . . . . . . . . . a) Unterschiede im Hinblick auf den objektiven Tatbestand . . . . . . . b) Unterschiede im Hinblick auf den subjektiven Tatbestand . . . . . . IV. Die Datenveränderung, § 303a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Synopse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Neuregelung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Die Computersabotage, § 303b dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Synopse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Erweiterung auf Privatpersonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Tathandlungen im Rahmen des § 303b Abs. 1 Nr. 2 dStGB . . . . c) Nachteilszufügungsabsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Benannte Strafzumessungsregeln in § 303b Abs. 4 dStGB . . . . . . e) Vorbereitungshandlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

49 49 49 50 50 50 51 52 52 54 55 55 55 55 56 59

59 60 60 60 61 61 66 67 67 67 67 68 68 69 69 70 70 71 72

Inhaltsverzeichnis 3. Vergleich von § 303b dStGB mit der Cybercrime Convention und dem EU-Rahmenbeschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Datenverarbeitung von wesentlicher Bedeutung (§ 303b dStGB) – Betrieb eines Computersystems (Art. 5 Cybercrime Convention) bzw. Informationssystems (Art. 3 EU-Rahmenbeschluss). . b) Erhebliche Störung (§ 303b dStGB) – Schwere Behinderung (Cybercrime Convention und EU-Rahmenbeschluss). . . . . . . . . . . c) Nachteilszufügungsabsicht im Sinne des § 303b Abs. 1 Nr. 2 dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E. Die Umsetzung der Cybercrime Convention und des EU-Rahmenbeschlusses in Österreich durch die Strafrechtsänderungsgesetze 2002 und 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Widerrechtlicher Zugriff auf ein Computersystem, § 118a öStGB. . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Computersystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Überwinden der Zugangssicherung. . . . . . . . . . . . . . . . . . . . . . . . . . . c) Überschießende Innentendenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich mit § 202a dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Mitgliedschaft in einer kriminellen Vereinigung, § 118a Abs. 3 öStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Verletzung des Telekommunikationsgeheimnisses, § 119 öStGB . . . . . . 1. Synopse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Änderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich des § 119 öStGB mit Art. 3 Cybercrime Convention . . . . 4. Vergleich des § 119 öStGB mit § 202b dStGB . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Missbräuchliches Abfangen von Daten, § 119a öStGB. . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vergleich mit der Cybercrime Convention . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich mit § 202b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Missbrauch von Tonband- oder Abhörgeräten, § 120 Abs. 2a öStGB 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

72

72 73 73

75 75 75 76 76 76 76 78 78 79 83 84 85 86 86 87 87 87 88 91 92 92 93 95 95 95 97 98 98 98

14

Inhaltsverzeichnis 3. Vergleich mit Art. 3 Cybercrime Convention . . . . . . . . . . . . . . . . . . . . . 4. Vergleich mit § 202b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Datenbeschädigung, § 126a öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich des § 126a Abs. 1 öStGB mit § 303a dStGB . . . . . . . . . . . . a) Geschütztes Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Vergleich des § 126a Abs. 2 mit §§ 303a, 303b Abs. 1 Nr. 1, 2 i. V. m. Abs. 4 S. 2 Nr. 1 und 2 dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . a) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Störung der Funktionsfähigkeit eines Computersystems, § 126b öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich von § 126b öStGB mit § 303b Abs. 1 Nr. 2 dStGB. . . . . . a) Geschütztes Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII. Missbrauch von Computerprogrammen oder Zugangsdaten, § 126c öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vergleich von § 126c öStGB mit Art. 6 Cybercrime Convention . . . 3. Vergleich von § 126c öStGB mit § 202c dStGB . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut und Gesetzessystematik . . . . . . . . . . . . . . . . b) Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Computerprogramme und vergleichbare Vorrichtungen gemäß § 126c öStGB – Computerprogramme gemäß § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Besondere Beschaffenheit gemäß § 126c öStGB – Zweck gemäß § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Computerpasswort, Zugangscode und vergleichbare Daten gemäß § 126c Abs. 1 Nr. 2 öStGB – Passwörter und sonstige Sicherungscodes gemäß § 202c Abs. 1 Nr. 1 dStGB . . .

99 99 99 100 103 103 103 103 104 104 105 106 106 107 107 110 111 111 112 113 113 114 122 123 123 124 127 127 127 129

129 130

131

Inhaltsverzeichnis

15

d) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 e) Tätige Reue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 f) Strafbarkeit des Versuchs und Rücktritt. . . . . . . . . . . . . . . . . . . . . . . 140 F. Die Strafbarkeit der Computerkriminalität in der Schweiz . . . . . . . . . . . . I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich von Art. 143 sStGB mit Art. 3 Cybercrime Convention und daraus resultierender Umsetzungsbedarf . . . . . . . . . . . . . . . . . . . . . a) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Vergleich von Art. 143 sStGB und § 202a dStGB . . . . . . . . . . . . . . . . a) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vergleich von Art. 143 sStGB mit § 202b dStGB . . . . . . . . . . . . . . . . a) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Vorschlag der Information Security Society Switzerland zur Änderung des Art. 143 sStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Eigener Vorschlag zur Umsetzung der Cybercrime Convention . . . . II. Unbefugtes Eindringen in ein Datenverarbeitungssystem gemäß Art. 143bis sStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Geschütztes Rechtsgut, gesetzessystematische Stellung und Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Gesetzessystematische Stellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleich des Art. 143bis sStGB mit Art. 2 Cybercrime Convention und daraus resultierender Umsetzungsbedarf . . . . . . . . . . . . . . . . . . . . . a) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Vergleich von Art. 143bis sStGB mit § 202a dStGB. . . . . . . . . . . . . . . a) Gesetzessystematische Stellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Subjektiver Tatbestand. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vorschlag des Eidgenössischen Justiz- und Polizeidepartements. . . . 6. Vorschlag der Information Security Society Switzerland . . . . . . . . . . 7. Eigener Vorschlag zur Umsetzung der Cybercrime Convention . . . . III. Datenbeschädigung gemäß Art. 144bis sStGB . . . . . . . . . . . . . . . . . . . . . . . 1. Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

141 141 141 142 143 143 147 147 147 150 150 150 153 153 155 156 156 156 156 157 157 158 158 160 160 160 161 162 164 165 167 168 168 169

16

Inhaltsverzeichnis 2. Geschütztes Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Vergleich mit der Cybercrime Convention und daraus resultierender Umsetzungsbedarf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vergleich des Art. 144bis Ziff. 1 sStGB mit §§ 303a Abs. 1, 303b Abs. 1, 2 i. V. m. 4 S. 2 Nr. 1 dStGB . . . . . . . . . . . . . . . . . . . . . . . a) Geschütztes Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Fakultative Qualifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Vergleich des Art. 144bis Ziff. 2 sStGB mit §§ 303a Abs. 3 i. V. m. 202c Abs. 1 Nr. 2 dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Deliktscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Objektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Qualifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Tätige Reue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Vorschlag der Information Security Society Switzerland . . . . . . . . . . . a) Datenbeschädigung, Art. 144bis sStGB . . . . . . . . . . . . . . . . . . . . . . . . b) Unbefugtes Eindringen in eine Datenverarbeitungseinrichtung, Art. 143bis sStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Eigener Vorschlag zur Umsetzung der Cybercrime Convention . . . . . a) Vorbereiten einer Computerstraftat, Art. 143ter sStGB . . . . . . . . . . b) Datenbeschädigung, Art. 144bis sStGB . . . . . . . . . . . . . . . . . . . . . . . . c) Computersabotage, Art. 144ter sStGB . . . . . . . . . . . . . . . . . . . . . . . . .

187 188 188 189 189

G. Unterschiede zwischen den jeweiligen Regelungen – Ein Vergleich anhand ausgewählter Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Computerspionage durch Auswertung von Hardware . . . . . . . . . . . . . . . . . II. Hacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Formen des Hackings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) NASA – Hack. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) KGB – Hack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

191 191 194 195 196 196 196

3. Strafbarkeit des Hackings. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Ping-, Port-Scans und Traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Trojanische Pferde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Strafbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

197 197 197 197 198 198 199

169 170 170 174 174 175 175 176 176 179 179 179 179 183 185 185 186 186

Inhaltsverzeichnis

17

(3) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Zusammenfassendes Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . c) Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Strafbarkeit des Nutzens von Backdoors . . . . . . . . . . . . . . . . . . (1) Deutschland. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Zusammenfassendes Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . cc) Strafbarkeit des Öffnens von Backdoors . . . . . . . . . . . . . . . . . . d) Masquerading und IP-Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Computersabotage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. DoS-Attacken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Strafbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Zusammenfassendes Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Computerviren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Strafbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Zusammenfassendes Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Computerwürmer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Strafbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Zusammenfassendes Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Spammails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Strafbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Phishing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Entwicklungsgeschichte des Phishings. . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vermeidbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

201 202 203 203 203 203 204 205 206 206 207 209 209 209 211 211 213 214 215 216 216 217 218 218 219 220 220 221 221 221 223 223 224 225 226 227 227 228 230 230 231 232

18

Inhaltsverzeichnis 4. Strafbarkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Verschaffen der Zugangsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Verschaffen des Zugangs zum Onlineaccount . . . . . . . . . . . . . . b) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Verschaffen der Zugangsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Verschaffen des Zugangs zum Onlineaccount . . . . . . . . . . . . . . c) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Zusammenfassendes Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Schwarzsurfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Funktionsweise des WLAN und Vorgehensweise der Schwarzsurfer 2. Unterbindungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) WEP- und WPA-Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Mac-Filtertabelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Unterbindung der SSID-Ausstrahlung . . . . . . . . . . . . . . . . . . . . . . . . . d) Deaktivierung der DHCP-Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Strafbarkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Zusammenfassendes Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

233 233 233 234 236 236 236 237 237 238 238 239 239 239 240 240 240 240 242 242 243

H. Änderungsvorschläge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Änderung des § 202a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Änderung des § 202b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Änderung des § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Änderung des § 303a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Änderung des § 303b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

244 244 245 246 248 248

I.

Zusammenfassung der Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250

Anhang – Gesetzestexte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Deutschland. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Ausspähen von Daten, § 202a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Abfangen von Daten, § 202b dStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vorbereiten des Ausspähens und Abfangens von Daten, § 202c dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Datenveränderung, § 303a dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Computersabotage, § 303b dStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Österreich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Widerrechtlicher Zugriff auf ein Computersystem, § 118a öStGB . . 2. Verletzung des Telekommunikationsgeheimnisses, § 119 öStGB. . . . 3. Missbräuchliches Abfangen von Daten, § 119a öStGB . . . . . . . . . . . . 4. Mißbrauch von Tonaufnahme- oder Abhörgeräten, § 120 öStGB . . . 5. Datenbeschädigung, § 126a öStGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

253 253 253 253 253 254 254 254 254 255 255 255 256

Inhaltsverzeichnis 6. Störung der Funktionsfähigkeit eines Computersystems, § 126b öStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Missbrauch von Computerprogrammen oder Zugangsdaten, § 126c öStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Unbefugte Datenbeschaffung, Art. 143 sStGB. . . . . . . . . . . . . . . . . . . . 2. Unbefugtes Eindringen in ein Datenverarbeitungssystem, Art. 143bis sStGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Datenbeschädigung, Art. 144bis sStGB . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Auszug aus der Cybercrime Convention. . . . . . . . . . . . . . . . . . . . . . . . . . . . V. EU-Rahmenbeschluss 2005/222/JI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19

256 257 257 257 257 258 258 262

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

A. Einleitung I. Problemstellung Innerhalb der letzten Jahrzehnte haben sich die Industrienationen kontinuierlich zu Informationsgesellschaften entwickelt, die in immer größerem Umfang von störungsfreien Kommunikationsstrukturen abhängen. Durch diese explosionsartige Entwicklung zeigt sich der unaufhaltsame Wandel vom Industrie- zum Informationszeitalter.1 Diesen Wandel kann man auch als zweite industrielle Revolution2 bezeichnen, bei der Information zu einem Machtfaktor wird und gleichzeitig als neuer Produktionsfaktor gilt.3 In diesem Zusammenhang erfolgt keine Verlagerung von Körperkraft auf Maschinen, sog. „erste industrielle Revolution“, sondern von Geistestätigkeit auf Maschinen. Diese Entwicklung ist neben der Erfindung des Computers auch auf den Wandel des Internets von einem militärischen Forschungsprojekt zu einem Medium, das jede erdenkliche Information für jedermann bereithält, zurückzuführen.4 Die mit dieser Entwicklung des Internets einhergehenden Vorteile im Hinblick auf das Wirtschaftsleben, die Wissenschaft oder auch den Privatbereich sind heutzutage nicht mehr wegzudenken. Unser Alltagsleben und unsere tägliche Arbeit sind ohne die Nutzung des Computers und des Internets mittlerweile nicht mehr zu bewerkstelligen. Nach Einschätzungen der International Data Corporation (IDC) ist die Zahl der Internetuser im Jahre 2009 weltweit um 30 Prozent auf insgesamt 1,6 Mrd. angestiegen. Entsprechend den Internet World Stats liegt die Zahl sogar bei 1,8 Mrd. Diese Zahl soll laut ersten Einschätzungen bis zum Jahr 2013 auf über 2,2 Mrd. Internetuser ansteigen.5 Dieses Wachstum ist insbesondere auf die Wachstumsraten im Mittleren Osten und Afrika zurückzuführen, die 2009 bei ca. 80 Prozent lagen. In Europa hingegen betrug die Wachstumsrate nur 20 Prozent, während sie in den USA nur bei 4 Prozent lag. Deutschland rangierte im Jahre 2009 mit einer Internetnutzung von 77 Prozent der 16- bis 74-Jährigen unter anderem vor Ländern wie Öster1

Sieber, CR 1995, 100 (110). Sieber, NJW 1989, 2569 (2570). 3 Beukelmann, S. 15. 4 Zur Entwicklung des Internets, vgl. Haft/Eisele, JuS 2001, 112 f. 5 Initiative D 21, (N)Onliner Atlas 2010, S. 66, http://www.initiatived21.de/wpcontent/uploads/2010/06/NONLINER2010.pdf (Stand: 4. Januar 2011). 2

22

A. Einleitung

reich mit 72 Prozent.6 In der Schweiz benutzten im Zeitraum von Oktober 2009 bis März 2010 74,5 Prozent der Befragten das Internet mehrmals pro Woche, viele sogar täglich.7 Allerdings liegt Deutschland noch immer hinter den USA mit 80 Prozent und skandinavischen Ländern wie beispielsweise Dänemark mit 86 Prozent.8 Mit diesem breiten Spektrum grenzenloser Kommunikations- und Informationsmöglichkeiten gehen aber auch erhebliche Sicherheitsrisiken für die oben dargestellte Informationsgesellschaft einher. Die Risiken sind beinahe grenzenlos. Hierzu zählen nicht nur Virenattacken und das klassische Hacking, sondern unter anderem auch das Versenden von Spammails9, der Identitätsdiebstahl im Rahmen von Phishing und Pharming, Hasspropaganda10 und der Handel mit allem, das schnellen Profit verspricht. Beispielhaft sei der Handel mit Drogen, gefälschten Medikamenten, Organen oder auch mit Kinderpornografie genannt.11 Die Sicherheitsrisiken zeigte beispielsweise der Fall von sechs italienischen Hackern im Alter von 15 bis 23 Jahren, die die Webserver des Pentagons, der NASA, verschiedener US-Gerichte, sowie offizielle Server der chinesischen, britischen, schwedischen und mexikanischen Regierung hackten. Die Fahndung war sowohl technisch äußerst anspruchsvoll als auch kosten- und aufgrund der Dauer von drei Monaten sehr zeitintensiv.12 Die Vorteile für Cyberkriminelle13 bestehen zum einen in der Unabhängigkeit von Landesgrenzen, die die Ermittlung der Täter erheblich erschwert, und zum anderen in der unterschiedlichen Strafverfolgung in den verschiedenen Ländern. Probleme im Rahmen der Ermittlung der Täter ergeben sich auch daraus, dass professionelle Täter in der Lage sind, ihre di6 Initiative D 21, (N)Onliner Atlas 2010, S. 66 f., http://www.initiatived21.de/ wp-content/uploads/2010/06/NONLINER2010.pdf (Stand: 4. Januar 2011). 7 Bundesamt für Statistik, Internet-Nutzung, http://www.bfs.admin.ch/bfs/por tal/de/index/themen/16/03/key/ind16.indicator.30106.160204.html?open=1 (Stand: 4. Januar 2011). 8 Initiative D 21, (N)Onliner Atlas 2010, S. 66 f., http://www.initiatived21.de/ wp-content/uploads/2010/06/NONLINER2010.pdf (Stand: 4. Januar 2011). 9 Heutzutage geht man von etwa 100 Milliarden Spammails pro Jahr aus, d.h. dass rund 83 Prozent des Email-Verkehrs verspamt sind: Gercke, MMR 2008, 291 (296); nach anderer Ansicht sind mittlerweile 94 Prozent aller Emails Spammails, vgl. Bolesch, Süddeutsche Zeitung vom 1. April 2008, 12. 10 Nach Schätzungen von Experten existieren weltweit über 5600 Websites von al-Qaida, vgl. Bolesch, Süddeutsche Zeitung vom 1. April 2008, 12; zur Strafbarkeit gemäß § 130 Abs. 2 StGB, vgl. Gercke, CR 2007, 62 (66). 11 Bolesch, Süddeutsche Zeitung vom 1. April 2008, 12. 12 Schwarzenegger, Trechsel-Festschrift, S. 305 (307). 13 Zur Anwendbarkeit des deutschen Strafrechts bei Straftaten im Internet vgl. Collardin, CR 1995, 618 ff.; Cornils, JZ 1999, 394 ff.; Sieber, NJW 1999, 2065 ff.

I. Problemstellung

23

gitalen Spuren vollständig zu verwischen. Das Verwischen der Spuren erfolgt durch den Einsatz sogenannter Botnets.14 Nach aktuellen Studien ist bis zu einem Viertel aller Computer mit Internetanschluss Teil eines Botnets.15 Diese Sicherheitsrisiken und die Schwierigkeiten bei der Strafverfolgung wurden von den europäischen Regierungen mittlerweile erkannt.16 Daher entstanden auf der Ebene des Europarats und der Europäischen Union zwei Rechtsinstrumente, die zur Verbesserung der Sicherheit durch eine effektivere strafrechtliche Bekämpfung der Computerkriminalität beitragen sollten und die zu einem Umsetzungsbedarf im deutschen Strafrecht führten. Dies war zum einen die Cybercrime Convention, die auf einem Übereinkommen des Europarats beruhte und am 23. November 2001 in Budapest von 30 Ländern, hierunter auch Deutschland, Österreich und der Schweiz, unterzeichnet wurde („Cybercrime Convention“).17 Aufgrund der nur äußerst schleppenden Ratifikationen18 wurde zum anderen als zweites Rechtsinstrument der EU-Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme („EU-Rahmenbeschluss“) erlassen. Hierdurch sollte eine Harmonisierung des materiellen Strafrechts im Bereich der Europäischen Union erreicht werden. Die Umsetzung sowohl der Cybercrime Convention als auch des EURahmenbeschlusses erfolgte in Deutschland durch das am 11. August 2007 in Kraft getretene 41. Strafrechtsänderungsgesetz19 („41. Strafrechtsänderungsgesetz“) und führte zu weitreichenden Änderungen im deutschen 14

Hierbei erstellen die Cyberkriminellen große länderübergreifende Netzwerke durch den Einsatz sog. Zombies. Ein Zombie ist ein Computer, den ein Unberechtigter nach seinem Belieben kontrollieren kann. Der Computer-User benutzt weiterhin seinen Computer, teilweise sogar ohne die Einschränkung seiner alleinigen Kontrolle überhaupt zu bemerken. Cyberkriminelle nutzen diese Computer dann im Rahmen ihrer Aktivitäten oder spähen die darauf gespeicherten Daten aus. Der Name Botnet beruht auf dem englischen Begriff Roboter, weil der gehackte Computer alle Befehle des den Computer beherrschenden Täters ausführt, vgl. MartinJung, Süddeutsche Zeitung vom 26. November 2009, 6. 15 Gercke, JA 2007, 839 (840). 16 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 5, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 17 Council of Europe, Chart of Signatures and Ratifications, http://conven tions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=08/10/2009&CL =ENG (Stand: 4. Januar 2011). 18 Deutschland ratifizierte die Cybercrime Convention am 9. März 2009, vgl. Council of Europe, Chart of Signatures and Ratifications, http://conventions.coe. int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=08/10/2009&CL=ENG (Stand: 4. Januar 2011). 19 BGBl. I 2007, S. 1786.

24

A. Einleitung

Strafgesetzbuch („dStGB“).20 Insbesondere ergaben sich Änderungen der Regelungen der §§ 202a ff. und der 303a ff. dStGB. Die §§ 202a und 303a ff. dStGB wurden umgestaltet und die §§ 202b und c dStGB neu eingefügt. In Österreich wurde durch das am 1. Oktober 2002 in Kraft getretene Strafrechtsänderungsgesetz 200221 die bislang nur unterzeichnete, aber noch nicht ratifizierte Cybercrime Convention bereits weitgehend umgesetzt („Strafrechtsänderungsgesetz 2002“). Die jüngsten Änderungen im österreichischen StGB („öStGB“) im Hinblick auf die Bekämpfung der Computerkriminalität beruhen auf dem Strafrechtsänderungsgesetz 200822, das der Umsetzung des EU-Rahmenbeschlusses diente („Strafrechtsänderungsgesetz 2008“). Die Schweiz, die die Cybercrime Convention am 23. November 2001 unterzeichnet hatte, hat hingegen noch keine diesbezügliche Reform des Strafgesetzbuches („sStGB“) vorgenommen. Mangels Mitgliedschaft der Schweiz in der Europäischen Union besteht keine Bindung an den EU-Rahmenbeschluss, sodass ein Zwang der Schweiz zur Umsetzung des EU-Rahmenbeschlusses nicht besteht.

II. Zielsetzung und Gang der Untersuchung 1. Zielsetzung Deutschland hat trotz Unterzeichnung der Cybercrime Convention im Vorfeld des 41. Strafrechtsänderungsgesetzes keine Änderungen im Bereich des materiellen Strafrechts vorgenommen. Erst der EU-Rahmenbeschluss statuierte einen Umsetzungszwang, da dieser eine Frist bis zum 16. März 2007 vorgab. Im Zuge dessen sollten gleichzeitig die Vorgaben der Cybercrime Convention umgesetzt werden. Ziel dieser Arbeit ist es, die Umsetzung sowohl der Cybercrime Convention als auch des EU-Rahmenbeschlusses durch die teilweise Neufassung und die teilweise Änderung der §§ 202a, 202b, 202c, 303a und 303b dStGB darzustellen. In diesem Zusammenhang soll mittels eines Vergleichs der deutschen Vorschriften mit der Cybercrime Convention und dem EU-Rahmenbeschluss erläutert werden, ob die deutschen Vorschriften allen Vorgaben gerecht werden oder ob weiterer Reformbedarf besteht. Darüber hinaus soll ein Überblick über die Umsetzung der Cybercrime Convention und des EU-Rahmenbeschlusses in unseren Nachbarländern Ös20 21 22

BGBl. I 2007, S. 1786. ÖBGBl. I 134/2002, S. 1407. ÖBGBl. I 109/2007, S. 1.

II. Zielsetzung und Gang der Untersuchung

25

terreich und der Schweiz gegeben werden. Österreich blickt mittlerweile auf ein seit einigen Jahren überarbeitetes Computerstrafrecht zurück, während die Schweiz an ihrem seit dem Jahre 1995 bestehenden Computerstrafrecht festhält. Unter Berücksichtigung der dabei gefundenen Ergebnisse wird sodann ein Vergleich der drei Rechtsordnungen gezogen. Aufgrund der noch jungen Geschichte des neuen deutschen Computerstrafrechts ist fraglich, ob dieses geeignet ist, die Gefahren für Computersysteme, insbesondere aus dem Internet, wirksam zu bekämpfen. Daher soll im Rahmen dieser Arbeit anhand konkreter Beispiele die Effektivität des materiellen Strafrechts in Deutschland, Österreich und der Schweiz dargestellt werden. Dabei wird erarbeitet, ob die Änderungen des deutschen Strafrechts auch tatsächlich Auswirkungen auf die Strafverfolgung in der Praxis haben oder ob in diesem Zusammenhang noch weiterer Umsetzungsbedarf besteht. Unter Berücksichtigung aller gefundenen Ergebnisse soll dann eine Bewertung erfolgen, inwieweit die Reform gelungen ist. Sofern bestehende Lücken im Strafrechtsschutz aufgedeckt werden, sollen entsprechende Änderungsvorschläge unterbreitet werden. 2. Gang der Untersuchung Vorab wird der Begriff der Computerkriminalität23 erläutert, da es sich hierbei um einen sehr weiten Begriff handelt. Durch die Definition dieses Begriffs soll das Thema dieser Arbeit eingegrenzt werden. Dann wird die Entwicklung der strafrechtlichen Normen im Bereich des Computerstrafrechts in Deutschland24, Österreich25 und der Schweiz26 dargestellt. Dadurch soll vor allem aufgedeckt werden, ob die Anpassung der jeweiligen strafrechtlichen Vorgaben der Entwicklung der Computertechnologie und der damit einhergehenden Kriminalitätszunahme Rechnung getragen hat. Im Anschluss wird ein kurzer Überblick über die beiden internationalen Rechtsinstrumente Cybercrime Convention27 und EU-Rahmenbeschluss28 gegeben. Dabei soll dem Leser durch die Entwicklungsgeschichte29 und die Ziele30 ein Überblick über die jeweiligen Vorgaben und deren Regelungsgegenstände31 gegeben werden. Im Rahmen einer kritischen Betrachtung 23 24 25 26 27 28 29 30 31

Vgl. Vgl. Vgl. Vgl. Vgl. Vgl. Vgl. Vgl. Vgl.

die die die die die die die die die

Ausführungen Ausführungen Ausführungen Ausführungen Ausführungen Ausführungen Ausführungen Ausführungen Ausführungen

unter unter unter unter unter unter unter unter unter

Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel Kapitel

B. B. B. B. C. C. C. C. C.

I. II. 1. II. 2. II. 3. I. II. I. 1. und C. II. 1. I. 4. und C. II. 3. I. 5. und C. II. 4.

26

A. Einleitung

werden die beiden internationalen Rechtsinstrumente auch im Hinblick auf etwaige Kritikpunkte beleuchtet.32 Letztlich werden beide Rechtsinstrumente zusammenfassend verglichen.33 Im Anschluss daran werden die neuen Regelungen des deutschen Strafrechts jeweils einzeln dargestellt.34 Hier wird vorab im Rahmen einer Synopse35 ein Überblick über die Änderungen zu den alten Fassungen36 gegeben und die Neuregelungen im Anschluss mit der Cybercrime Convention und dem EU-Rahmenbeschluss verglichen.37 Dadurch soll für den Leser erkennbar werden, welche Vorgaben zu den jeweiligen Änderungen führten und ob alle Vorgaben der beiden Rechtsinstrumente berücksichtigt wurden. Nachdem die Neuregelungen im deutschen Strafrecht umfassend dargestellt wurden, werden die österreichischen Normen zuerst mit den beiden Rechtsinstrumenten38 und im Anschluss mit den neuen Normen des deutschen Strafrechts verglichen.39 Dabei wird herausgearbeitet, welche Vor- und Nachteile die jeweiligen Normen aufweisen. Nach der Darstellung der Unterschiede erfolgt eine Betrachtung der Normen des sStGB. Dabei wird vorab ein Vergleich der einzelnen Normen mit der Cybercrime Convention gezogen40, da diese ebenfalls von der Schweiz unterzeichnet wurde.41 In dem im Anschluss durchzuführenden Vergleich mit den deutschen Normen42 wird ebenfalls ein besonderes Augenmerk auf die Vor- und Nachteile der verschiedenen Rechtsordnungen gelegt. Letztlich soll im Rahmen der Darstellungen zum sStGB aufgrund des bereits durchgeführten Vernehmlassungsverfahrens zur Revision des sStGB jeweils noch ein kurzer Überblick über die diesbezüglichen Vorschläge gegeben werden.43 Dabei werden die Vorschläge des Eidgenössischen Justiz- und Polizeidepartements44 und der Information Secu32

Vgl. die Ausführungen unter Kapitel C. I. 6. Vgl. die Ausführungen unter Kapitel C. II. 5. 34 Vgl. die Ausführungen unter Kapitel D. 35 Vgl. die Ausführungen unter Kapitel D. I. 1., D. IV. 1. und D. V. 1. 36 Vgl. die Ausführungen unter Kapitel D. I. 2. und D. V. 2. 37 Vgl. die Ausführungen unter Kapitel D. I. 3., D. II. 3., D. III. 3., D. IV. 3. und D. V. 3. 38 Vgl. die Ausführungen unter Kapitel E. I. 2., E. II. 3., E. III. 2., E. IV. 3., E. V. 2. und E. VI. 2. 39 Vgl. die Ausführungen unter Kapitel E. I. 3., E. II. 4., E. III. 3., E. IV. 4., E. V. 3. und E. VI. 3. 40 Vgl. die Ausführungen unter Kapitel F. I. 3., F. II. 3. und F. III. 4. 41 Ein Vergleich mit dem Rahmenbeschluss scheidet hingegen aus, da die Schweiz nicht EU-Mitglied ist. 42 Vgl. die Ausführungen unter Kapitel F. I. 4., 5., F. II. 4. und F. III. 5., 6. 43 Vgl. die Ausführungen unter Kapitel F. I. 6., F. II. 5., 6. und F. III. 7. 44 Eidgenössisches Justiz- und Polizeidepartement, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum erläuternden Bericht und zum Vorentwurf 33

II. Zielsetzung und Gang der Untersuchung

27

rity Society Switzerland45 beleuchtet. Unter Berücksichtigung aller Kritikpunkte werden vom Verfasser eigene Änderungsvorschläge für das sStGB dargestellt.46 Im Folgenden werden dann die gefundenen Ergebnisse anhand ausgewählter Begehungsweisen der Computerkriminalität in der Praxis dargestellt und mittels der verschiedenen Normen strafrechtlich bewertet.47 Hierbei wird herausgearbeitet, ob die jeweiligen strafrechtlichen Normen den drohenden Gefahren durch Cyberkriminelle gerecht werden oder ob die Normen weiter an die tatsächlichen Gegebenheiten angepasst werden müssen, um die noch bestehenden Strafbarkeitslücken zu schließen. Darüber hinaus wird aber auch beurteilt, ob die Normen nicht teilweise über ihr Ziel hinausschießen. Zum Schluss werden die erarbeiteten Erkenntnisse zusammengefasst und unter Berücksichtigung der Ergebnisse der Vergleiche Änderungsvorschläge unterbreitet, um das dStGB insbesondere im Hinblick auf die Strafverfolgung in der Praxis noch effektiver gestalten zu können.

über die Änderung des Schweizerischen Strafgesetzbuches und des Rechtshilfegesetzes, http://www.admin.ch/ch/d/gg/pc/documents/1722/Ergebnis.pdf (Stand: 4. Januar 2011). 45 Die Information Security Society Switzerland ist eine Mitgliedorganisation von ICTswitzerland, Fachpartnerin von SwissICT und über ihre Mitglieder mit der Schweizerischen Informatikgesellschaft verbunden. Im ECC Arbeitskreis haben mehr als 40 Vertreter von Anbietern von Produkten und Verfahren zur Informationssicherheit, Sicherheitsverantwortliche bedeutender Anwender aus Wirtschaft und Verwaltung, Spezialisten der Ermittlungsbehörden sowie Rechtsberater auf dem Gebiet des Informatikrechts mitgewirkt, vgl. Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), http://www.isss.ch/fileadmin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 46 Vgl. die Ausführungen unter Kapitel F. I. 7., F. II. 7. und F. III. 8. 47 Vgl. die Ausführungen unter Kapitel G.

B. Computerkriminalität und Internetkriminalität I. Definitionen Bei dem Begriff der Computerkriminalität handelt es sich um einen bisher nicht eindeutig definierten Begriff. Grundsätzlich können unter den Begriff der Computerkriminalität alle Delikte subsumiert werden, die mittels Computer begangen werden.1 In Betracht kommt dabei der Einsatz von Computern zur Optimierung der Organisation und der Planung und somit zur Verbesserung der Effizienz und der Durchführbarkeit des jeweiligen Delikts. Der Computer dient dann lediglich als Mittel zum Zweck und sein Einsatz ist keine zwingende Voraussetzung für die Erfüllung des objektiven Tatbestandes. Probleme ergeben sich aber daraus, dass viele Delikte im dStGB mittels Computer begangen werden können. Um den Begriff der Computerkriminalität sinnvoll zu definieren, bedarf es somit einer Einschränkung. Deshalb wird teilweise vertreten, dass ein Computer oder Netzwerk entweder Ziel, Handlungsobjekt oder Handlungsort sein müsse.2 Richtigerweise muss der Begriff der Computerkriminalität jedoch noch weiter eingeschränkt werden.3 Computerkriminalität bedeutet demnach, dass nach der Ausgestaltung des Tatbestandes bei der Begehung der Straftat der Computer entweder als zwingend erforderliches Tatmittel oder als Tatobjekt der deliktischen Handlungen eine wesentliche Rolle spielt. Nur dadurch wird der Bereich der Computerkriminalität klar umrissen. Auch der EU-Rahmenbeschluss erfasst ausschließlich Computerkriminalität in diesem Sinne. Die Cybercrime Convention geht freilich über diesen Begriff hinaus, weil sie unter anderem auch den Online-Betrug erfasst.4 1

Hilgendorf/Frank/Valerius, Rn. 123. Gercke/Brunst, Rn. 73. 3 Hilgendorf/Frank/Valerius, Rn. 123. 4 Wortlaut des Art. 8 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlung, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben: die Beschädigung des Vermögens eines anderen durch a. Eingeben, Verändern, Löschen oder Unterdrücken von Computerdaten; b. Eingreifen in den Betrieb eines Computersystems in der betrügerischen oder unredlichen Absicht, sich oder einem anderen unbefugt einen wirtschaftlichen Vorteil zu verschaffen. 2

II. Überblick über die Entwicklung des Computerstrafrechts

29

Lediglich einen Teilbereich der Computerkriminalität stellt die Internetkriminalität dar. In der Literatur wird vertreten, dass von dem Begriff der Internetkriminalität alle Delikte erfasst werden, bei denen das Internet Tatmittel bzw. Tatobjekt ist.5 Unter den Begriff der Internetkriminalität fallen kriminelle Handlungen, die mittels elektronischer Kommunikationsnetze und Informationssystemen begangen werden oder sich gegen derartige Netze und Systeme richten. Zu den Delikten, die über elektronische Kommunikationsnetze und Informationssysteme begangen werden, zählt vor allem die strafbare Verbreitung oder Äußerung von Texten, Bildern und Tönen in Dateien unter anderem im Rahmen der Volksverhetzung6, der Anleitung zu Straftaten7, der Gewaltdarstellung8, das Verbreiten pornografischer Schriften9 und sonstiger jugendgefährdender Medien.10 Delikte gegen elektronische Netze können sich gegen wichtige Infrastrukturen, wie beispielsweise Atomkraftwerke durch den Einsatz von Computerwürmern wie Stuxnet11 richten. Deren Beeinträchtigung zieht erhebliches Gefährdungspotenzial für Leib und Leben oder die in zahlreichen Bereichen bestehenden Frühwarnsysteme, unter anderem Tsunami-Warnsysteme im indischen und pazifischen Ozean, die der gefährdeten Bevölkerung einen zeitlichen Vorsprung verschaffen sollen, nach sich.

II. Überblick über die Entwicklung des Computerstrafrechts in Deutschland, Österreich und der Schweiz Bei der Computerkriminalität handelt es sich um eine vergleichsweise junge Erscheinungsform, da Computer erstmalig in den fünfziger Jahren zur Steuerung von Routineabläufen in der Wirtschaft und der Verwaltung eingesetzt wurden. 1. Deutschland Bereits Ende der sechziger, Anfang der siebziger Jahre traten erstmals kriminelle Verhaltensweisen im Zusammenhang mit Computern auf. Ein be5

Hilgendorf/Frank/Valerius, Rn. 213. § 130 dStGB. 7 § 130a dStGB. 8 § 131 dStGB. 9 § 184 dStGB. 10 Creifelds/Weber, Internetkriminalität, S. 621. 11 Bachfeld, Stuxnet-Wurm: weitere Tricks im Cyberwar, http://www.heise.de/ security/meldung/Stuxnet-Wurm-weitere-Tricks-im-Cyberwar-1098197.html (Stand: 10. Januar 2011). 6

30

B. Computerkriminalität und Internetkriminalität

sonderes Augenmerk hierauf richteten vor allem Unternehmensberater, Datenschützer, Strafverfolgungsbehörden, Wissenschaftler und die Medien.12 Startschuss für die gesetzliche Bekämpfung der Computerkriminalität war die Einfügung einer Regelung betreffend den Datenschutz im Bereich der öffentlichen Verwaltung durch das Einführungsgesetz zum Strafgesetzbuch vom 2. März 1974.13 Maßgebliche Norm war § 203 dStGB, der das unbefugte Offenbaren personenbezogener Daten durch Amtsträger oder amtsnahe Personen beinhaltete. Der Datenschutz wurde durch das Bundesdatenschutzgesetz vom 21. Januar 197714, insbesondere durch die Einführung von §§ 41 und 42 BDSG, weiter forciert. Dieser Datenschutz wurde durch die Neufassung des BDSG vom 20. Dezember 199015 in den §§ 43 und 44 BDSG weiter vertieft. Ein Meilenstein in der Bekämpfung der Computerkriminalität war das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität („2. WiKG“).16 Ziel war das Unterbinden neuer Formen der Wirtschaftskriminalität, die im Zusammenhang mit der zunehmenden Nutzung von Datenverarbeitungsanlagen standen.17 Ausschlaggebend für die Verabschiedung des 2. WiKG war die weiterhin andauernde rapide Zunahme der Verwendung von elektronischen Datenverarbeitungsanlagen sowohl im wissenschaftlichen als auch im wirtschaftlichen und privaten Bereich.18 Der Gesetzgeber hatte den wirtschaftlichen Wert der Daten und das Erfordernis der ständigen Einsatzbereitschaft von Datenverarbeitungsanlagen erkannt.19 Das 2. WiKG blickt allerdings auf eine lange Entstehungsgeschichte zurück. Bereits am 25. Juli 1972 wurde erstmals eine Sachverständigenkommission mit dem Ziel der Erarbeitung einer gesetzlichen Reform zur Bekämpfung der Wirtschaftskriminalität gegründet. Aufgrund umfangreicher Streitpunkte wurde der Regierungsentwurf des 2. WiKG aber erst am 4. Juni 1982 dem Bundesrat zugeleitet. Allerdings führte das konstruktive Misstrauensvotum gegen den damaligen Bundeskanzler Helmut Schmidt zum Ende der 9. Legislaturperiode und gemäß § 125 GoBT20 zum Abbruch aller noch offenen Gesetzgebungsverfahren, sog. „Diskontinuitätsgrundsatz“.21 Daher musste der ursprüng12

Vgl. hierzu auch Möhrenschläger, wistra 1991, 321. BGBl. I 1974, S. 469. 14 BGBl. I 1977, S. 201. 15 BGBl. I 1990, S. 2954. 16 Zur Entwicklungsgeschichte vgl. Beukelmann, S. 34 ff.; Möhrenschläger, wistra 1986, 128 (130 ff.). 17 BT-Drs. 10/5058, S. 1; Fischer, § 263a Rn. 2. 18 BT-Drs. 10/5058, S. 35; Beukelmann, S. 34; Fischer, vor § 263 Rn. 2. 19 BT-Drs. 10/5058, S. 34; Jaeger, RDV 1998, 252. 20 Gemäß § 125 der Geschäftsordnung des Bundestages werden mit dem Ende der Amtszeit des Bundestages noch nicht erledigte Gesetzesvorlagen gegenstandslos. 13

II. Überblick über die Entwicklung des Computerstrafrechts

31

liche Regierungsentwurf von der neuen Bundesregierung am 8. April 1983 erneut dem Bundestag zugeleitet werden. Am 26. August 1983 wurde der Regierungsentwurf schließlich an den Bundesrat weitergereicht. Nach längerem Streit und weitgreifenden Veränderungen des Entwurfs wurde das 2. WiKG schließlich am 15. Mai 1986 verkündet und trat am 1. August 1986 in Kraft. Durch das 2. WiKG wurden neben verschiedenen Vorschriften im Bereich der Wirtschaftskriminalität auch die heutigen Kernvorschriften des Computerstrafrechts eingefügt.22 Technisch gesehen wurden dabei in einzelnen Abschnitten des Strafgesetzbuchs Ergänzungen bereits bestehender Deliktskategorien durch selbstständige Straftatbestände vorgenommen. Im Einzelnen handelte es sich dabei um das Ausspähen von Daten, § 202a dStGB, den Computerbetrug, § 263a dStGB, die Fälschung beweiserheblicher Daten, § 269 dStGB, die Täuschung im Rechtsverkehr bei der Datenverarbeitung, § 270 dStGB, die Datenveränderung, § 303a dStGB und die Computersabotage, § 303b dStGB. Dabei war ursprünglich in Bezug auf die Computerdelikte nur die Einführung des Computerbetruges gemäß § 263a dStGB und der Fälschung beweiserheblicher Daten gemäß § 269 dStGB geplant.23 Jedoch wurde weiterer Änderungsbedarf im Rahmen einer Anhörung am 6. Juni 1984 erkannt, weshalb die weiteren Straftatbestände entwickelt wurden.24 Die aktuellen Änderungen des dStGB beruhen auf dem 41. Strafrechtsänderungsgesetz.25 Inhaltlich sollten unter anderem Regelungslücken im Bereich des Hackings und der Computersabotage geschlossen werden. Das 41. Strafrechtsänderungsgesetz führte zu Änderungen im Bereich des Ausspähens von Daten, § 202a dStGB, der Datenveränderung, § 303a dStGB, und der Computersabotage, § 303b dStGB. Darüber hinaus wurde das unbefugte Abfangen von Daten, § 202b dStGB, unter Strafe gestellt und eine selbstständige Strafbarkeit der Vorbereitungshandlungen, § 202c dStGB, in das Gesetz aufgenommen.

Der folgende Bundestag kann über diese Vorlagen dann entscheiden, wenn sie erneut ordnungsgemäß in das Gesetzgebungsverfahren eingebracht werden. 21 Creifelds/Weber, Diskontinuitätsgrundsatz, S. 284. 22 Beukelmann, NJW-Spezial 2003, 135; Möhrenschläger, wistra 1991, 321 (322). 23 Vgl. zu den sonstigen Änderungen Achenbach, NJW 1986, 1835 (1838 ff.). 24 Haft, NStZ 1987, 6. 25 BGBl. I 2007, S. 1786.

32

B. Computerkriminalität und Internetkriminalität

Statistische Entwicklung §§ 303a, b dStGB

§ 202a dStGB (seit 2007 auch §§ 202b und c dStGB) 11491

7727 4829 3130 1743

2004

1609

2366

2005

2990 1672

2006

2660

2207

2007

2008

2267

2009

Abbildung 1: Statistische Entwicklung in Deutschland – Erfasste Fälle26

2. Österreich Bereits im Jahre 1978 wurde vom österreichischen Gesetzgeber das Computerstrafrecht im Rahmen des Datenschutzgesetzes (DSG 1978) im österreichischen Nebenstrafgesetzbuch integriert.27 Die neuen Normen waren die §§ 48 und 49 öDSG, die sich gegen die missbräuchliche Verwendung personenbezogener Daten richteten. Aufgrund des Rufs nach strafrechtlichem Schutz von Vermögenswerten kam es im Rahmen der StGB-Novelle 1987 zur Einführung des Tatbestandes der Datenbeschädigung gemäß § 126a öStGB und des betrügerischen Datenmissbrauchs gemäß § 148a öStGB. Dadurch erfolgte erstmalig der Einzug von Computerdelikten in den Kernbereich des Strafrechts.28 Durch das Strafrechtsänderungsgesetz 200229 erfolgte die bisher umfangreichste Änderung in Bezug auf die Strafbarkeit von Computerkriminalität. 26 Vgl. zu den Jahren 2008 und 2009 die polizeiliche Kriminalstatistik 2009, S. 42, 236, http://www.bka.de/pks/pks2009/download/pks-jb_2009_bka.pdf (Stand: 4. Januar 2011); für die Jahre 2006 und 2007 die polizeiliche Kriminalstatistik 2007, S. 41, 236, http://www.bka.de/pks/pks2007/download/pks-jb_2007_bka.pdf (Stand: 4. Januar 2011); für die Jahre 2004 und 2005 die polizeiliche Kriminalstatistik 2005, S. 42, http://www.bka.de/pks/pks2005/download/pks-jb_2005_bka.pdf (Stand: 4. Januar 2011). 27 Beer, S. 79. 28 Beer, S. 79. 29 ÖBGBl. I 134/2002, S. 1407.

II. Überblick über die Entwicklung des Computerstrafrechts

33

Hierdurch sollten die materiell-rechtlichen Vorgaben der Cybercrime Convention vollumfänglich umgesetzt werden. Neben den Änderungen der §§ 119 und 126a öStGB und der Ergänzung des § 120 öStGB um einen Abs. 2a wurden durch das Strafrechtsänderungsgesetz 2002 der widerrechtliche Zugriff auf ein Computersystem, § 118a öStGB, das missbräuchliche Abfangen von Daten, § 119a öStGB, die Störung der Funktionsfähigkeit eines Computersystems, § 126b öStGB, und der Missbrauch von Computerprogrammen oder Zugangsdaten, § 126c öStGB, eingefügt. Die letzten Änderungen des öStGB beruhen auf dem Strafrechtsänderungsgesetz 2008.30 Es erfolgten Anpassungen und Änderungen in Bezug auf §§ 118a Abs. 1 und 3, 126a Abs. 2 und 126b öStGB, um das öStGB rahmenbeschlusskonform zu gestalten. 3. Schweiz Ebenso wie in Deutschland und Österreich blickt auch die Schweiz auf einen langjährigen Entwicklungsprozess zurück. Dieser begann bereits in den siebziger Jahren, als im Rahmen von parlamentarischen Vorstößen eine Revision hinsichtlich der Bekämpfung von Wirtschaftskriminalität gefordert wurde.31 Der endgültige Entwurf einer Revision wurde am 24. April 1991 vom Bundesrat den eidgenössischen Räten vorgelegt. Im daran anschließenden parlamentarischen Verfahren kam es noch zur Einfügung des unbefugten Eindringens in eine Datenverarbeitungsanlage gemäß Art. 143bis sStGB.32 Dieser Tatbestand sollte ursprünglich in Art. 143 sStGB33 integriert werden, jedoch wurde die Strafbarkeit des Hackings am Ende des gesetzgeberischen Verfahrens in einen eigenen Art. 143bis sStGB ausgegliedert. Der als Zweitrat eingesetzte Ständerat schuf mit Art. 144bis sStGB dann noch einen eigenen Datenbeschädigungstatbestand, der auch die Verbreitung von Computerviren erfassen sollte.34 Die revidierten Bestimmungen traten am 1. Januar 1995 in Kraft35 und sind seitdem unverändert. Im März 2009 hat die Schweiz mit einer Vernehmlassung36 bezüglich einer Re30

ÖBGBl. I 109/2007, S. 1. Pfister, S. 46. 32 N. Schmid, § 1 Rn. 10. 33 Ursprünglicher Wortlaut des Art. 143 sStGB Abs. 1 S. 2 sStGB, der unmittelbar an S. 1 anknüpfte, lautete wie folgt: . . . oder auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in fremde, gesicherte Datenverarbeitungsanlagen eindringt, wird mit Zuchthaus bis zu fünf Jahren oder Gefängnis bestraft. 34 N. Schmid, § 1 Rn. 11. 35 SBBl. III 1994, S. 256. 31

34

B. Computerkriminalität und Internetkriminalität

vision des sStGB begonnen, um dieses an die Vorgaben der Cybercrime Convention anzupassen, die von der Schweiz am 23. November 2001 unterzeichnet wurde.37 Das Vernehmlassungsverfahren endete am 30. Juni 2009.38 Am 10. April 2010 hat das Eidgenössische Justiz- und Polizeidepartement eine Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum erläuternden Bericht und zum Vorentwurf über die Änderung des sStGB und des Rechtshilfegesetzes veröffentlicht.39 In einem nächsten Schritt muss die Cybercrime Convention durch einen Beschluss der Bundesversammlung genehmigt und der Bundesrat zur Ratifikation ermächtigt werden.40

36 Eidgenössisches Justiz- und Polizeidepartement, Die Cyberkriminalität über die Grenzen hinweg bekämpfen, http://www.ejpd.admin.ch/ejpd/de/home/dokumenta tion/mi/2009/2009-03-13.html (Stand: 4. Januar 2011). 37 Council of Europe, Chart of Signatures and Ratifications, http://conventions. coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=08/10/2009&CL= ENG (Stand: 4. Januar 2011). 38 Vgl. Eidgenössisches Justiz- und Polizeidepartement, Die Cyberkriminalität über die Grenzen hinweg bekämpfen, http://www.ejpd.admin.ch/ejpd/de/home/ dokumentation/mi/2009/2009-03-13.html (Stand: 4. Januar 2011). 39 Eidgenössisches Justiz- und Polizeidepartement, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum erläuternden Bericht und zum Vorentwurf über die Änderung des Schweizerischen Strafgesetzbuches und des Rechtshilfegesetzes, http://www.admin.ch/ch/d/gg/pc/documents/1722/Ergebnis.pdf (Stand: 4. Januar 2011). 40 Der Entwurf dieses Beschlusses ist bereits auf der Homepage des Eidgenössischen Justiz- und Polizeidepartements veröfffentlicht, vgl. http://www.admin.ch/ch/ d/ff/2010/4747.pdf (Stand: 20. Januar 2011).

C. Internationale Rechtsinstrumente I. Die Cybercrime Convention Bei der Cybercrime Convention handelt es sich nicht nur um einen ersten Versuch mittels eines internationalen Vertrags gegen die verschiedenen Erscheinungsformen der Computerkriminalität vorzugehen.1 Vielmehr ist es das erste derartige Abkommen, das tatsächlich in Kraft getreten ist. 1. Entstehungsgeschichte Ihren Ursprung hat die Cybercrime Convention in einer Empfehlung des Ministerrats des Europarats vom 13. September 1989.2 Nachdem erkannt worden war, dass internationale Bezüge im Bereich der Datenübertragung von Bedeutung sind, wurden in der Empfehlung den Mitgliedstaaten Leitlinien vorgelegt, die das materielle Strafrecht betrafen und dadurch zu einer Harmonisierung der internationalen Strafvorschriften führen sollten.3 Nach Annahme der Empfehlung einer Untersuchung im Hinblick auf strafprozessuale Probleme im Zusammenhang mit der Informationstechnik ergriff der Europarat4 mehrmals die Initiative, einheitliche strafrechtliche Rahmenbedingungen im Bereich der Informationstechnologie zu schaffen.5

1

Valerius, K&R 2004, 513 (514). Council of Europe, Recommendation No. R (89) 9 on computer-related crime, https:/ /wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlob Get&InstranetImage=610660&SecMode=1&DocId=702280&Usage=2 (Stand: 4. Januar 2011). 3 Sanchez-Hermosilla, CR 2003, 774 (775). 4 Derzeitige Mitgliedsstaaten vgl. Council of Europe, Die Mitgliedstaaten des Europarates, http://www.coe.int/T/D/Com/Europarat_kurz/Mitgliedslaender/default.asp (Stand: 4. Januar 2011). 5 Council of Europe, Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services, http://www.coe.int/t/e/legal_affairs/legal_co-operation/data_protec tion/documents/international %20legal %20instruments/1Rec %2895 %294_EN.pdf (Stand: 4. Januar 2011) und Recommendation No. R (95) 13 concerning problems of criminal procedure law connected with Information Technology, http://www.jus tice.gov/criminal/cybercrime/crycoe.htm (Stand: 4. Januar 2011). 2

36

C. Internationale Rechtsinstrumente

Die Möglichkeit des Europarats, eine derartige Konvention zu erarbeiten, resultiert aus dessen Satzung.6 Hiernach soll der Europarat eine engere Verbindung zwischen den Mitgliedstaaten zum Schutze und zur Förderung der Ideale und Grundsätze, die ihr gemeinsames Erbe bilden, herstellen und ihren wirtschaftlichen und sozialen Fortschritt fördern. Durch die Befugnis zum Abschluss völkerrechtlicher Verträge7 wird gewährleistet, dass der Europarat seine Verpflichtungen auch ordnungsgemäß erfüllen kann. Insbesondere kann der Europarat eine seiner Hauptaufgaben, die Stabilisierung der nach dem Ende des Ostblocks neu entstandenen Staaten, nur durch die Möglichkeit des Abschlusses solcher Abkommen erfüllen. Hierdurch sollen diesen Staaten die demokratischen und rechtsstaatlichen Standards näher gebracht werden.8 Obwohl ausschließlich europäische Staaten dem Europarat angehören, sind die Unterschiede im Hinblick auf Demokratie und Rechtsstaatlichkeit dennoch eklatant. Zur Entwicklung einer Cybercrime Convention wurde vom Ministerkomitee des Europarats das European Committee on Crime Problems („CDPC“)9 eingesetzt. Die Befugnis des Ministerkomitees, Komitees oder Ausschüsse mit beratendem oder technischem Charakter zu bilden, resultiert aus Art. 17 der Satzung des Europarats.10 Durch die Entscheidung CDPC/103/211196 des CDPC wurde im Jahre 1996 das Committee of Experts on Crime in Cyberspace („PC-CY“) eingesetzt, das sich aus Fachleuten auf dem Gebiet der Cyberkriminalität zusammensetzte, die unter der Leitung von Prof. H.W.K. Kaspersen standen. Ihr Auftrag war die Entwicklung eines Entwurfs einer entsprechenden Convention11 bis zum 31. Dezember 2000.12 Bei der Entwicklung der Cybercrime Convention bestand nicht nur für die Mitglieder des Europarats, sondern auch für diverse Nichtmitgliedstaaten wie den USA, Japan, Südafrika und Kanada die Möglichkeit, als Beobachter den Verhandlungen zu folgen.13 Über die Beteiligung der Nichtmit6 Council of Europe, Satzung des Europarates, Art. 1 lit. a, http://conven tions.coe.int/Treaty/ger/Treaties/Html/001.htm (Stand: 4. Januar 2011). 7 Council of Europe, Satzung des Europarates, Art. 1 lit. b, http://conven tions.coe.int/Treaty/ger/Treaties/Html/001.htm (Stand: 4. Januar 2011). 8 Kugelmann, DuD 2001, 215 (216). 9 Council of Europe, European Committee on Crime Problems (CDPC), http://www.coe.int/T/E/Legal_Affairs/Legal_co-operation/SteeringCommittees/Cdpc/ (Stand: 4. Januar 2011). 10 Kugelmann, DuD 2001, 215. 11 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 10, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 12 Kugelmann, DuD 2001, 215. 13 USA, Japan und Kanada haben einen Beobachterstatus im Europarat, vgl. Council of Europe, Europarat – in Kürze, http://www.coe.int/T/D/Com/Europa rat_kurz/ (Stand: 4. Januar 2011).

I. Die Cybercrime Convention

37

gliedstaaten konnte die Einbeziehung der wichtigen Staaten, insbesondere der USA14, gleich zu Beginn erreicht werden, sodass die spätere Anerkennung der Cybercrime Convention sichergestellt werden konnte. Die sich dabei ergebende zeitliche Verzögerung bei der Entwicklung der Cybercrime Convention, die unter anderem aus den Bedenken der USA hinsichtlich ihrer Meinungsfreiheit15 resultierten, nahm man deshalb in Kauf. Am 8. November 2001 wurde die Cybercrime Convention vom Ministerkomitee des Europarats angenommen16 und am 23. November 2001 in Budapest unterzeichnet. Bei dieser feierlichen Zeremonie waren 30 Staaten beteiligt.17 Die Cybercrime Convention trat am 1. Juli 2004 mit der Ratifikation durch Litauen am 18. März 2004, dem für das Inkrafttreten gemäß Art. 36 Abs. 2 der Cybercrime Convention erforderlichen fünften Staat, in Kraft.18 2. Rechtscharakter und Inkrafttreten im nationalen Recht Bei der Cybercrime Convention handelt es sich aufgrund ihrer Natur als internationales Abkommen um einen multilateralen völkerrechtlichen Vertrag.19 Anders als die Europäische Union20 kann der Europarat kein unmittelbar geltendes Recht setzen. Die Entfaltung der innerstaatlichen Wirkung der Cybercrime Convention muss deshalb erst durch eine Transformation, d.h. durch eine Umsetzung in nationales Recht gemäß Art. 59 Abs. 2 des Grundgesetzes, herbeigeführt werden, da die Regelungen in der Cybercrime 14 Unter anderem betrug die Internetnutzung in Nordamerika bereits 2009 80 Prozent, vgl. Initiative D 21, (N)Onliner Atlas 2010, S. 66, http://www.initiatived21.de/ wp-content/uploads/2010/06/NONLINER2010.pdf (Stand: 4. Januar 2011). 15 Hieraus resultiert letztlich auch der Umstand, dass sich keinerlei Regelungen bezüglich der Verbreitung rassistischen und/oder fremdenfeindlichen Materials finden lassen, Gercke, CR 2004, 782 (783). Diese finden sich stattdessen im Zusatzprotokoll zur Cybercrime Convention, vgl. die Ausführungen unter Kapitel C. I. 7. 16 Gercke, CR 2004, 782 (783). 17 Council of Europe, Chart of Signatures and Ratifications, http://conventions. coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=08/10/2009&CL=ENG (Stand: 4. Januar 2011); Gercke, CR 2004, 782 (783). 18 Council of Europe, Chart of Signatures and Ratifications, http://conventions. coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=08/10/2009&CL= ENG (Stand: 4. Januar 2011). Die anderen vier ratifizierenden Länder waren Albanien, Kroatien, Estland und Ungarn. 19 Faßbender, S. 123. 20 Die Möglichkeit für die Europäische Union diesbezüglich basiert auf Art. 288 AEUV (ex-Art. 249 EGV). Hiernach können Verordnungen und Entscheidungen mit unmittelbarer Wirkung erlassen werden. Auch der Erlass von Richtlinien mit einer verbindlichen Umsetzungsfrist ist so möglich.

38

C. Internationale Rechtsinstrumente

Convention nicht zu den allgemeinen Regelungen des Völkerrechts entsprechend Art. 25 des Grundgesetzes zählen.21 3. Grundlagen der Umsetzung Die Cybercrime Convention ist in ihrer ursprünglichen und damit verbindlichen Fassung in englischer und französischer Sprache. Mittlerweile liegt eine zwischen Deutschland, Österreich und der Schweiz abgestimmte und bereinigte Übersetzung vor.22 In den Bereichen, in denen nationale Unterschiede bestanden, hat der Konventionsgeber den einzelnen Staaten Umsetzungsspielräume eingeräumt. Probleme können sich jedoch ergeben, wenn diese Umsetzungsspielräume aufgrund der unterschiedlichen nationalen Besonderheiten bezüglich der Abwägung zwischen den notwendigen strafrechtlichen Schritten zur Ermittlung im Bereich der Computerkriminalität auf der einen Seite und den Freiheitsgrundrechten der Bürger auf der anderen Seite nicht ausreichen. Der nationale Gesetzgeber wäre dann aufgrund der nationalen Vorgaben verpflichtet, hinter den Vorgaben der Cybercrime Convention zurückzubleiben. Allerdings gilt in diesem Zusammenhang, dass sich das jeweilige Land durch die Unterzeichnung der Cybercrime Convention dazu verpflichtet hat, die Cybercrime Convention umzusetzen, sodass das nationale Recht völkerrechtskonform auszulegen ist.23 4. Ziele Durch die Cybercrime Convention soll die Sicherheit der besonders wichtigen Rechtsgüter Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computersystemen, Netzen und Computerdaten gewährleistet, sowie der Missbrauch von Systemen, Netzen und Daten unterbunden werden.24 21

Allgemeine Regeln des Völkerrechts sind solche, die von allen Völkerrechtssubjekten oder der überwiegenden Mehrheit als verpflichtend anerkannt werden, vgl. Sachs/Battis, Art. 25 Rn. 24. 22 Council of Europe, Übereinkommen über Computerkriminalität, deutsche Fassung, http://conventions.coe.int/Treaty/GER/Treaties/Html/185.htm (Stand: 4. Januar 2011). Wie dies bei völkerrechtlichen Verträgen üblich ist, wird eine Arbeitsübersetzung vom federführenden Ressort erstellt. Nachdem dies geschehen ist, wird diese Übersetzung vom Übersetzungsdienst des Auswärtigen Amtes überprüft und dann im Rahmen einer Übersetzungskonferenz mit Österreich und der Schweiz zur Vermeidung einer unterschiedlichen und eventuell sogar widersprüchlichen Version abgestimmt, vgl. Sanchez-Hermosilla, CR 2003, 774 (775). 23 BVerfG NJW 2004, 3407 (3408); BVerfG NVwZ-RR 2007, 266 (267); OLG Koblenz, Beschluss vom 1. September 2010 – 2 Ws 370/10, http://beck-online. beck.de/default.aspx (Stand: 20. Januar 2011); Wank, RdA 2010, 63. 24 Sanchez-Hermosilla, CR 2003, 774 (775).

I. Die Cybercrime Convention

39

a) Harmonisierung der materiell-strafrechtlichen Vorschriften Durch einen Gleichlauf der materiellen Strafnormen25 aufgrund der Umsetzung der Art. 2 bis 10 Cybercrime Convention soll ein sog. „Cybercrime-Heaven“26 unterbunden und somit eine optimale strafrechtliche Verfolgung gewährleistet werden. Bei den Tatbeständen der Cybercrime Convention handelt es sich nicht um einen abschließenden Katalog27 aller Computerdelikte, sondern nur um den gerade wegen vieler Kontroversen erreichten Minimalkonsens.28 b) Schaffung gemeinsamer strafprozessualer Maßnahmen Auch im Hinblick auf das Strafverfahrensrecht hielt man es für erforderlich, die jeweiligen Rechtssysteme aneinander anzupassen, um auf die Herausforderungen durch die Computerkriminalität optimal reagieren zu können. Die diesbezüglichen verfahrensrechtlichen Regelungen finden sich in Kapitel 2 Abschnitt 2 Cybercrime Convention. Ein Schwerpunkt dieser Regelungen wurde auf Ermittlungsmaßnahmen gelegt, die gerade der hohen Geschwindigkeit der Datenübertragung Rechnung tragen sollen.29 Ferner sollten die Vorschriften über die Beschlagnahme und die Durchsuchung an die Anforderungen in der digitalen Welt angepasst werden, um Daten, die unkörperliche Gegenstände sind, zu erfassen.30 Dabei ergibt sich mittels Auslegung des Art. 19 Cybercrime Convention, dass nicht nur die Suche nach, sondern auch in Daten geregelt werden sollte.31 25

Scheffler/Dressel, ZRP 2000, 514 (515). Ein Cybercrime-Heaven ergibt sich dann, wenn einzelne Staaten die Computerdelikte nicht adäquat verfolgen. Cyberkriminelle verlagern dann ihre Aktivitäten in diese Länder. 27 Dies ergibt sich aus Art. 14 Abs. 2 lit. b Cybercrime Convention, der auf alle Computerstraftaten verweist und eben nicht nur auf die Art. 2 bis 10 Cybercrime Convention. 28 Valerius, K&R 2004, 513 (515). 29 In den Anfängen des Internets erfolgte eine Einwahl über Modems. Diese hatten eine Geschwindigkeit von maximal 45 kbps beim Download. Heutzutage gibt es bereits Internetverbindungen mit bis zu 16.128 kbps Down- und 800 kbps Upstream, sog. DSL 16.000. Hierdurch wird ersichtlich, welche Kapazität die bereitgestellten Leitungen mittlerweile aufweisen und welche Datenmengen heutzutage durch das Internet fließen. Anhand eines Vergleichs der verschiedenen Geschwindigkeiten sei im Folgenden der Download einer 1 Gigabyte großen Datei genannt. Dieser Download braucht bei Einsatz eines Modems drei Tage, mit einer ISDN-Leitung eineinhalb Tage, mit einem 1.000 kbps-Breitbandanschluss zwei Stunden und mit einem 16.000 kbps-Breitbandanschluss weniger als neun Minuten, Gercke, MMR 2008, 291 (297). 30 Art. 19 ff. Cybercrime Convention; siehe Valerius, K&R 2004, 513 (516). 26

40

C. Internationale Rechtsinstrumente

c) Verbesserung der länderübergreifenden Kooperation Durch die Verbesserung der internationalen Zusammenarbeit sollte ein schnelleres und folglich effektiveres Rechtshilfesystem geschaffen werden, das der Geschwindigkeit des Internets gerecht wird.32 Die diesbezüglichen Regelungen in der Cybercrime Convention stellen dabei klar, dass an der Souveränität der Unterzeichnerstaaten vollumfänglich festgehalten wird.33 5. Aufbau und Regelungsgehalt Das erste Kapitel der Cybercrime Convention dient der Bestimmung allgemeiner Begriffe. Danach werden die zu treffenden Maßnahmen genau dargestellt, wobei zwischen dem materiellen Recht und dem Verfahrensrecht differenziert wird. Im Bereich der materiellen Vorschriften erfolgte eine weitere Unterteilung in Delikte, die sich primär gegen Datenverarbeitungsanlagen richten und solche, bei denen der Computer lediglich als Tatwerkzeug eingesetzt wird.34 Die letzten beiden Kapitel regeln die internationale Zusammenarbeit und die Schlussbestimmungen. 6. Kritikpunkte a) Datenschutz Der Datenschutz wird durch die umgehende Sicherung gespeicherter Daten gemäß Art. 1635 und 1736 Cybercrime Convention und den damit zu31

Valerius, K&R 2004, 513 (516). In diesem Zusammenhang wurde ein 24/7-Netzwerk eingeführt, vgl. Art. 35 Cybercrime Convention. 33 Valerius, K&R 2004, 513 (516). 34 Vgl. den computerbezogenen Betrug in Art. 8 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlung, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben: die Beschädigung des Vermögens eines anderen durch a) Eingeben, Verändern, Löschen oder Unterdrücken von Computerdaten; b) Eingreifen in den Betrieb eines Computersystems in der betrügerischen oder unredlichen Absicht, sich oder einem anderen unbefugt einen wirtschaftlichen Vorteil zu verschaffen. 35 Wortlaut des Art. 16 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, damit ihre zuständigen Behörden die umgehende Sicherung bestimmter Computerdaten einschließlich Verkehrsdaten, die mittels eines Computersystems gespeichert wurden, anordnen oder in ähnlicher Weise bewirken können, insbesondere wenn Gründe zu der Annahme bestehen, dass bei diesen Computerdaten eine beson32

I. Die Cybercrime Convention

41

sammenhängenden Eingriffsbefugnissen sehr weit eingeschränkt und zwar unter anderem dadurch, dass keine Regelung hinsichtlich der Löschung oder der Anonymisierung der Daten getroffen wurde.37 Kritik wurde diesbezüglich sowohl von der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation als auch der Datenschutzgruppe nach Art. 29 der Europäischen Datenschutzrichtlinie geübt38, die das vollständige Fehlen materieller Regelungen zum Umgang mit personenbezogenen Daten, die im Rahmen von Telekommunikationsüberwachungen oder Zugriffen auf in Computern gespeicherten Daten gesammelt werden, bemängelten.39 dere Gefahr des Verlusts oder der Veränderung besteht. 2. Führt eine Vertragspartei Absatz 1 so durch, dass eine Person im Wege einer Anordnung aufgefordert wird, bestimmte gespeicherte Computerdaten, die sich in ihrem Besitz oder unter ihrer Kontrolle befinden, sicherzustellen, so trifft diese Vertragspartei die erforderlichen gesetzgeberischen und anderen Maßnahmen, um diese Person zu verpflichten, die Unversehrtheit dieser Computerdaten so lange wie notwendig, längstens aber neunzig Tage, zu sichern und zu erhalten, um den zuständigen Behörden zu ermöglichen, deren Weitergabe zu erwirken. Eine Vertragspartei kann vorsehen, dass diese Anordnung anschließend verlängert werden kann. 3. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um den Verwahrer oder eine andere Person, welche die Computerdaten zu sichern hat, zu verpflichten, die Durchführung dieser Verfahren für den nach ihrem innerstaatlichen Recht vorgesehenen Zeitraum vertraulich zu behandeln. 4. Die Befugnisse und Verfahren nach diesem Artikel unterliegen den Artikeln 14 und 15. 36 Wortlaut des Art. 17 Cybercrime Convention: 1. Jede Vertragspartei trifft in Bezug auf Verkehrsdaten, die nach Artikel 16 zu sichern sind, die erforderlichen gesetzgeberischen und anderen Maßnahmen, um sicherzustellen, a dass die umgehende Sicherung von Verkehrsdaten unabhängig davon möglich ist, ob ein oder mehrere Diensteanbieter an der Übermittlung dieser Kommunikation beteiligt waren, und b dass Verkehrsdaten in einem solchen Umfang umgehend an die zuständige Behörde der Vertragspartei oder an eine von dieser Behörde bezeichnete Person weitergegeben werden, dass die Vertragspartei die Diensteanbieter und den Weg feststellen kann, auf dem die Kommunikation übermittelt wurde. 2. Die Befugnisse und Verfahren nach diesem Artikel unterliegen den Artikeln 14 und 15. 37 Kugelmann, TMR 2002, 14 (22). Die Verpflichtung gemäß Art. 16 Abs. 3 Cybercrime Convention, die Daten vertraulich zu behandeln, stellt keinen ausreichenden Datenschutz dar. 38 Dix, DuD 2001, 588 (589). 39 Im Rahmen der verfahrensrechtlichen Voraussetzungen forderte die Internationale Arbeitsgruppe beim Abhören privater Kommunikation immer eine vorherige richterliche Anordnung, die nachträgliche Aufklärung des Betroffenen, die Beschränkung der Nutzung der Daten, die vollständige Protokollierung der Überwachung, die Überwachung und Kontrolle der anordnende Stelle von einer unabhängigen Institution und die öffentliche Rechenschaftspflicht der anordnenden Stelle, vgl. Breyer, DuD 2001, 592 (594), Dix, DuD 2001, 588 (589).

42

C. Internationale Rechtsinstrumente

Die Vernachlässigung des Datenschutzes steht nach einer Ansicht in der Literatur mit der langjährigen Tradition des Europarats, möglichst umfassend den Schutz der Menschen- und Grundrechte zu gewährleisten, nicht im Einklang.40 Diese Intention lässt sich aus der Verabschiedung der Europäischen Menschenrechtskonvention und der Konvention zum Schutze der Menschen bei automatischer Verarbeitung personenbezogener Daten41 herleiten. Nach dieser Auffassung unterblieb der Datenschutz, um Staaten, denen rechtsstaatliche Garantien und Überwachungsbeschränkungen bisher nicht zugänglich waren, für eine Unterzeichnung zu gewinnen.42 Auf den ersten Blick könnte der mangelhafte Datenschutz zu einer besonders effektiven Strafverfolgung führen, weil über die Cybercrime Convention die Möglichkeit eingeräumt wird, im Wege der Rechtshilfe weltweit Daten sammeln zu können.43 Hiergegen könnte jedoch sprechen, dass die ersuchten Staaten aufgrund der nationalen datenschutzrechtlichen Regelungen verpflichtet sein könnten, die Anfragen unter Berufung auf Art. 28 Abs. 2 Cybercrime Convention44 abzulehnen. Dies ist jedoch immer dann ausgeschlossen, wenn dessen Voraussetzungen von dem ersuchenden Staat erfüllt werden. Aufgrund des Fehlens datenschutzrechtlicher Regelungen werden Internetuser folglich losgelöst von etwaigen Anhaltspunkten für Straftaten unter einen Generalverdacht gestellt45, sodass sämtliche Daten gesammelt werden können und dabei nicht gewährleistet ist, dass diese vor unbefugtem Zugriff ausreichend gesichert werden. Aber selbst dieser massive Eingriff in die Persönlichkeitsrechte der Internetuser gewährleistet keine umfassende Strafverfolgung im Internet. Heutzutage sind die Möglichkeiten der Verschlüsselung von Datenübertragungen derart ausgereift, dass eine Entschlüsselung kaum mehr möglich ist. Hochprofessionalisierte Cyberkriminelle werden auf derartige Mechanismen zurückgreifen. Letztlich werden mittels umfang40

Dix, DuD 2001, 588. Council of Europe, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, http://conventions.coe.int/treaty/EN/Treat ies/Html/108.htm (Stand: 4. Januar 2011). 42 Dix, DuD 2001, 588 (589). 43 Breyer, DuD 2007, 592 (593, 597) geht sogar soweit, in diesem Zusammenhang von Big-Brother-Datensammlungen zu sprechen. 44 Wortlaut des Art. 28 Abs. 2 Cybercrime Convention: Die ersuchte Vertragspartei kann die Überlassung von Informationen oder Unterlagen in Erledigung eines Ersuchens von der Bedingung abhängig machen, dass sie a vertraulich behandelt werden, wenn das Rechtshilfeersuchen ohne diese Bedingung nicht erledigt werden könnte, oder b nicht für andere als die in dem Ersuchen genannten Ermittlungen oder Verfahren verwendet werden. 45 Bäumler, DuD 2001, 348 (349). 41

I. Die Cybercrime Convention

43

reicher Datensammlungen allenfalls nicht besonders versierte Kleinkriminelle gefasst.46 b) Intransparente Entstehung Eine Erklärung für das Fehlen von datenschutzrechtlichen Regelungen ist, dass die Cybercrime Convention anfänglich fast ausschließlich von Vertretern der Strafverfolgungs- und Polizeibehörden entwickelt wurde und Datenschutzbeauftragte zunächst überhaupt nicht hinzugezogen wurden.47 Die gesellschaftliche Repräsentanz war daher in jedem Entwicklungsstadium äußerst gering. In diesem Zusammenhang wird teilweise sogar vertreten, dass eine bewusste Benachteiligung der Bürger durch eine Absprache von Strafverfolgungsbehörden und der Lobby der Internetwirtschaft geplant und erreicht wurde.48 Nach dieser Ansicht instrumentalisierte die Lobby der Internetwirtschaft durch ihre Einflussnahme das Strafrecht zur Wahrung ihrer Interessen.49 Die Einbeziehung aller nicht beteiligten Gruppen hätte zwar dazu geführt, dass viele Kritikpunkte bereits im Rahmen der Vorbereitung der Cybercrime Convention Berücksichtigung und eventuell auch Einzug in die Cybercrime Convention gefunden hätten.50 Allerdings ist andererseits fraglich, ob es bei einer früheren Berücksichtigung der Kritik überhaupt zu einer Verabschiedung der Cybercrime Convention gekommen wäre. Unter dem Gesichtspunkt des nur sehr begrenzten Verhandlungsspielraums, der bei der Verfassung der Cybercrime Convention zur Verfügung stand, ist die umfangreiche Beteiligung vieler verschiedener Gruppierungen erst ab der 19. Entwurfsfassung und damit in einem späten Stadium somit als sinnvoller Kompromiss zu betrachten.51 7. Zusatzprotokoll Neben der Cybercrime Convention wurde am 28. März 2003 ein Zusatzprotokoll52 zur Unterzeichnung und Ratifikation bereitgestellt. Das Zusatz46

Vgl. diesbezüglich auch Breyer, DuD 2007, 592 (593). Dix, DuD 2001, 588 f. 48 Vgl. auch Breyer, DuD 2007, 592 (594). 49 Breyer, DuD 2007, 592 (594). 50 Breyer, DuD 2007, 592 (594). 51 Gercke, CR 2004, 782 (787). 52 Council of Europe, Additional Protocol to the Convention on cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems, http://conventions.coe.int/Treaty/en/Treaties/Html/ 189.htm (Stand: 4. Januar 2011). 47

44

C. Internationale Rechtsinstrumente

protokoll wurde entwickelt, um Punkte, über die im Hinblick auf die Cybercrime Convention keine Übereinstimmung zwischen den Staaten gefunden werden konnte, auslagern zu können. Dies galt vor allem bezüglich des ursprünglichen Ziels, der Aufnahme von rassistischen Straftaten in die Cybercrime Convention. Dieser Aufnahme widersetzten sich die USA53, da sie hierin das verfassungsrechtlich garantierte Recht auf freie Meinungsäußerung verletzt sahen. Nur durch die Auslagerung konnte eine Unterzeichnung und Ratifikation der Cybercrime Convention durch die USA gewährleistet werden.54 Das Zusatzprotokoll trat am 1. März 2006 mit der fünften Ratifikation in Kraft.55

II. Der EU-Rahmenbeschluss 1. Entstehungsgeschichte Am 24. Februar 2005 wurde der EU-Rahmenbeschluss56, der auf einem Vorschlag der Kommission vom 19. April 2002 beruht57, vom Rat der Europäischen Union verabschiedet58, nachdem zuvor einige Modifikationen am Entwurf der Kommission vorgenommen worden waren.59 Dieser sollte einen wichtigen Beitrag für die Effektivierung des Schutzes von Kommunikationsinfrastrukturen und -systemen leisten. Es wurde im Rahmen der Entwicklung des EU-Rahmenbeschlusses vereinzelt die Ansicht vertreten, dass die Entwicklung eines solchen EU-Rahmenbeschlusses im Hinblick auf die gerade durchgesetzte Cybercrime Convention nicht erforderlich sei, und die Europäische Union stattdessen die Mitgliedstaaten mittels Fristsetzung auffordern solle, die Cybercrime Convention umzusetzen.60 Allerdings stand 53

Valerius, K&R 2004, 513 (515). Council of Europe, Additional Protocol to the Convention on cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems, http://conventions.coe.int/Treaty/en/Treaties/Html/ 189.htm (Stand: 4. Januar 2011). 55 Council of Europe Additional Protocol to the Convention on cybercrime, concerning the criminalisation of acts of a racist and xenophobic nature committed through computer systems, http://conventions.coe.int/Treaty/en/Treaties/Html/ 189.htm (Stand: 4. Januar 2011). 56 Gercke, CR 2005, 468. 57 Kommission der europäischen Gemeinschaften, Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme, ftp://ftp.ccc.de/docs/ KomVorschlag19-4-02.pdf (Stand: 4. Januar 2011). 58 Abl. EU Nr. L 69, S. 67. 59 Zur Entstehungsgeschichte, der Zielsetzung und dem Vergleich mit der Cybercrime Convention, vgl. Gercke, CR 2005, 468 ff. 60 Sanchez-Hermosilla, CR 2003, 774 (778). 54

II. Der EU-Rahmenbeschluss

45

der Europäischen Union kein Druckmittel zur Verfügung, die Staaten zur Ratifikation der Cybercrime Convention zu zwingen.61 2. Rechtscharakter Ein Rahmenbeschluss war ein Beschluss des Rats der Europäischen Union, der im Rahmen der früher existierenden und mittlerweile abgeschafften dritten Säule der EU – polizeiliche und justizielle Zusammenarbeit in Strafsachen gemäß ex Art. 29 ff. EUV – auf Grundlage des ex Art. 34 EUV erlassen wurde.62 Rahmenbeschlüsse dienten dazu, die Strafvorschriften der EU-Mitgliedstaaten einander anzugleichen.63 Sie verpflichteten die Mitgliedstaaten, den Inhalt in nationales Recht umzusetzen.64 Gemäß ex Art. 34 Abs. 2 S. 2 lit. b EUV war es den Mitgliedstaaten jedoch freigestellt, wie und in welcher Form sie das Ziel eines Rahmenbeschlusses erreichen wollen.65 Der Rahmenbeschluss unterschied sich von anderen Rechtsakten der Europäischen Union insbesondere dadurch, dass er ohne Zustimmung des Europäischen Parlaments erlassen werden konnte. Der Rat musste das Parlament zwar vor der Beschlussfassung anhören, war an dessen Stellungnahme jedoch nicht gebunden.66 Rahmenbeschlüsse gibt es allerdings seit dem Inkrafttreten des AEUV (Vertrag von Lissabon) und der damit verbundenen Aufhebung der dritten Säule bzw. der Überführung des Strafrechts in den AEUV nicht mehr. Nunmehr ist in Art. 83 Abs. 1 AEUV die einheitliche Möglichkeit vorgesehen, durch Richtlinien Mindestvorgaben festzulegen.67 3. Ziele Ziel des EU-Rahmenbeschlusses ist die Verbesserung der europaweiten Bekämpfung von Angriffen auf Informationssysteme.68 Der EU-Rahmenbeschluss soll durch eine Harmonisierung des materiellen Strafrechts dazu beitragen, den Aufbau einer sicheren Informationsgesellschaft und einen 61

Gercke, CR 2004, 782 (783). Schröder, § 22 Rn. 9. 63 Bier, DuD 2005, 473 (474); Calliess/Ruffert, Kommentar zu EU-Vertrag und EG-Vertrag, Art. 34 Rn. 7; Streinz, Art. 34 EUV Rn. 9. 64 Herdegen, § 31 Rn. 5. 65 Vgl. Bier, DuD 2005, 473 (475); Herdegen, § 31 Rn. 4; Sanchez-Hermosilla, CR 2003, 774 (778); Schröder, § 22 Rn. 11. 66 Calliess/Ruffert, EUV EGV, Art. 34 Rn. 9. 67 Herdegen, § 31 Rn. 6. 68 Bier, DuD 2005, 473 (475). 62

46

C. Internationale Rechtsinstrumente

Raum der Freiheit, der Sicherheit und des Rechts zu erreichen. Gerade die bestehenden Unterschiede und Diskrepanzen zwischen den jeweiligen nationalen Strafvorschriften verhinderten bisher eine wirksame polizeiliche und justizielle Zusammenarbeit bei Angriffen mit länderübergreifender Dimension. 4. Aufbau und Regelungsgehalt Der EU-Rahmenbeschluss enthält im Wesentlichen Regelungen, die das materielle Strafrecht69 betreffen. Vergleichbar mit der Cybercrime Convention beginnt der EU-Rahmenbeschluss mit Definitionen der maßgeblichen Begriffe und regelt im Folgenden die materiellen Strafnormen. Der EURahmenbeschluss ist im Rahmen der Harmonisierung des materiellen Strafrechts im Gegensatz zur Cybercrime Convention auf drei Grunddelikte beschränkt. Dies sind der rechtswidrige Zugang zu Informationssystemen (Art. 2), der rechtswidrige Systemeingriff (Art. 3) und der rechtswidrige Eingriff in Daten (Art. 4). Durch diese Einschränkung sollte die nötige Akzeptanz von Seiten der Mitgliedstaaten erreicht werden. 5. Ein Vergleich der Cybercrime Convention mit dem EU-Rahmenbeschluss Unterschiede zwischen beiden Rechtsinstrumenten ergeben sich unter anderem daraus, dass der EU-Rahmenbeschluss keine Regelungen hinsichtlich des rechtswidrigen Abfangens von Daten70 und des Missbrauchs von Vorrichtungen71 enthält. Während der EU-Rahmenbeschluss lediglich Vorschrif69

Art. 2 bis 7 EU-Rahmenbeschluss. Wortlaut des Art. 3 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das mit technischen Hilfsmitteln bewirkte unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, aus einem Computersystem oder innerhalb eines Computersystems einschließlich elektromagnetischer Abstrahlungen aus einem Computersystem, das Träger solcher Computerdaten ist, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat in unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 71 Wortlaut des Art. 6 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben: a) das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen i. einer Vorrichtung einschließlich eines Computerprogramms, die in erster 70

II. Der EU-Rahmenbeschluss

47

ten zur Harmonisierung der materiellen Strafnormen bezüglich des Schutzes von Informationssystemen enthält, zielt die Cybercrime Convention auch auf eine Angleichung der Strafnormen im Bereich der sonstigen computer-72 und inhaltsbezogenen73 und im Zusammenhang mit Verletzungen des Urheberrechts und verwandter Schutzrechte74 stehenden Straftaten und auf eine Anpassung der Strafvorschriften im Bereich des Verfahrensrechts und der internationalen Zusammenarbeit ab.75 Unterschiede ergeben sich ferner beim Anwendungsbereich. Während der EU-Rahmenbeschluss nur für die Mitglieder der EU einschlägig ist, gilt die Cybercrime Convention für alle ratifizierenden Staaten. Eine Ratifikation ist auch durch Staaten möglich, die nicht Mitglieder im Europarat sind. Hierdurch soll eine flächendeckende Linie dafür ausgelegt oder hergerichtet worden ist, eine nach den Artikeln 2 bis 5 umschriebene Straftat zu begehen; ii. eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen, mit dem Vorsatz, sie zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden, und b) den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser Mittel eintritt. 2. Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt. 3. Jede Vertragspartei kann sich das Recht vorbehalten, Absatz 1 nicht anzuwenden, sofern der Vorbehalt nicht das Verkaufen, Verbreiten oder anderweitige Verfügbarmachen der in Absatz 1 Buchstabe a Ziffer ii bezeichneten Mittel betrifft. 72 Computerbezogene Fälschung, Art. 7, und computerbezogener Betrug, Art. 8 Cybercrime Convention. 73 Straftaten mit Bezug zu Kinderpornographie, vgl. Art. 9 Cybercrime Convention. 74 Wortlaut des Art. 10 Abs. 2 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um Verletzungen verwandter Schutzrechte, wie sie im Recht dieser Vertragspartei aufgrund ihrer Verpflichtungen nach dem Internationalen Abkommen über den Schutz der ausübenden Künstler, der Hersteller von Tonträgern und der Sendeunternehmen (Abkommen von Rom), dem Übereinkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums und dem WIPO-Vertrag über Darbietungen und Tonträger festgelegt sind, mit Ausnahme der nach diesen Übereinkünften verliehenen Urheberpersönlichkeitsrechte, wenn diese Handlungen vorsätzlich, in gewerbsmäßigem Umfang und mittels eines Computersystems begangen werden, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben. 75 Gercke, ZUM 2006, 284 (285).

48

C. Internationale Rechtsinstrumente

Bekämpfung von Computerkriminalität erreicht werden. Letztlich ergeben sich auch Differenzen bei der jeweiligen rechtlichen Wirkung. Da die Cybercrime Convention eine Ratifikationsklausel enthält, wird sie erst in dem Zeitpunkt verbindlich, in dem das zur völkerrechtlichen Vertretung des jeweiligen Staates zuständige Organ, das Staatsoberhaupt, erklärt, den Vertrag als verbindlich anzusehen, sog. „Ratifikation“.76 Im Gegensatz dazu enthält der EU-Rahmenbeschluss in Art. 12 eine Frist zur Umsetzung, die bis zum 16. März 2007 lief. Der einzige Mitgliedstaat der Europäischen Union, der fristgerecht umsetzte, war Schweden. Da allerdings auch dessen Umsetzungsvorschriften unvollständig waren, versandte die Kommission Mahnschreiben, in denen sie die Mitgliedstaaten zur Übersendung der innerstaatlichen Bestimmungen zur Umsetzung des EU-Rahmenbeschlusses und der als sachdienlich erachteten Angaben aufforderte.77 Bis zum 1. Juni 2008 haben 23 Mitgliedstaaten ihre Umsetzungsvorschriften gemäß Art. 12 Abs. 278 EU-Rahmenbeschluss mitgeteilt bzw. auf etwaige Mahnschreiben reagiert. Malta, Polen, die Slowakei und Spanien teilten überhaupt keinen Status mit. Zwar liegen Antworten Irlands, Griechenlands und des Vereinigten Königreichs vor; diese erlauben jedoch keine Bewertung der Umsetzung, da sich die Umsetzung in diesen Staaten verzögert hat.79

76

Hobe, S. 219. Bericht der Kommission an den Rat auf der Grundlage von Artikel 12 des Rahmenbeschlusses des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme vom 14. Juli 2008, S. 1 ff., http://eurocrim.jura.uni-tuebingen.de/cms/ de/doc/1021.pdf (Stand: 20. Januar 2011). 78 Wortlaut des Art. 12 Abs. 2 EU-Rahmenbeschluss: Die Mitgliedstaaten übermitteln dem Generalsekretariat des Rates und der Kommission bis zum 16. März 2007 den Wortlaut der Vorschriften, mit denen ihre Verpflichtungen aus diesem Rahmenbeschluss in innerstaatliches Recht umgesetzt werden. Der Rat prüft bis zum 16. September 2007 anhand eines auf der Grundlage der Informationen und eines schriftlichen Berichts der Kommission erstellten Berichts, inwieweit die Mitgliedstaaten den Bestimmungen dieses Rahmenbeschlusses nachgekommen sind. 79 Bericht der Kommission an den Rat auf der Grundlage von Artikel 12 des Rahmenbeschlusses des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme vom 14. Juli 2008, S. 1 (3), http://eurocrim.jura.uni-tuebingen.de/cms/ de/doc/1021.pdf (Stand: 10. Januar 2011). 77

D. Das 41. Strafrechtsänderungsgesetz – Überblick über die Änderungen und Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss Der rechtswidrige Eingriff in Daten gemäß Art. 4 EU-Rahmenbeschluss und Art. 4 Cybercrime Convention war bereits durch § 303a dStGB strafrechtlich erfasst. Änderungsbedarf bestand allerdings im Bereich des Hackings, des Abfangens von Datenübermittlungen und elektromagnetischer Abstrahlungen, des Vorbereitens von Computerdelikten und der Computersabotage im privaten Bereich. Aufgrund der umfangreichen Anpassung der deutschen Regelungen an die Cybercrime Convention durch das 41. Strafrechtsänderungsgesetz konnte die von Deutschland am 23. November 2001 unterzeichnete Cybercrime Convention am 9. März 2009 ratifiziert werden.

I. Das Ausspähen von Daten, § 202a dStGB 1. Synopse § 202a a. F. dStGB

§ 202a n. F. dStGB

(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten1, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

1

Die Unterschiede zur alten Fassung werden hervorgehoben.

50

D. Das 41. Strafrechtsänderungsgesetz

2. Änderungen a) Geschütztes Rechtsgut § 202a dStGB schützt die formelle Verfügungsbefugnis, die auf dem Recht des Datenberechtigten bezüglich des gedanklichen Inhalts der Information beruht.2 Dieses Recht führt vor allem dazu, dass der Datenberechtigte, als sog. „Herr über die Daten“3 über die Weitergabe und Übermittlung der Daten frei entscheiden kann.4 Dieses Rechtsgut wurde bereits von § 202a a. F. dStGB geschützt; hieran hat sich durch die Neufassung nichts geändert.5 Um unter den Schutz des § 202a dStGB zu fallen, genügt bereits, dass der Datenberechtigte seinen Herrschaftswillen über die Daten dadurch manifestiert, dass er diese besonders gegen unberechtigten Zugang sichert.6 b) Zugangverschaffen Durch die Neuregelung reicht bereits das bloße Zugangverschaffen zu Daten aus. Es ist somit kein Verschaffen von Daten mehr erforderlich. Im 2. WiKG wurde aus Gründen der Vermeidung einer Überkriminalisierung noch auf die Strafbarkeit des reinen Hackings verzichtet.7 Damals hatte der Gesetzgeber noch die Vorstellung, dass das ethisch gelenkte sog. „WhiteHat-Hacking“8 klar vom Datendiebstahl abgegrenzt werden könne. Im blo2 Fischer, § 202a Rn. 2; HK-GS-Tag, § 202a Rn. 3; LK-Hilgendorf, § 202a Rn. 6; MüKo-Graf, § 202a Rn. 2; NK-Kargl, § 202a Rn. 3; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 24; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 1; SK-Hoyer, § 202a Rn. 1; SSW-Bosch, § 202a Rn. 1; a. A. Haft, NStZ 1987, 6 (9). 3 Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 1. 4 SSW-Bosch, § 202a Rn. 1. 5 NK-Kargl, § 202a Rn. 3a. 6 BT-Drs. 10/5058, S. 29; NK-Kargl, § 202a Rn. 3; SK-Hoyer, § 202a Rn. 1. 7 Achenbach, NJW 1986, 1835 (1837). 8 White-Hat-Hacker sind solche Hacker, deren Intention darin besteht, Schwachstellen in Computersystemen zu finden. Dabei handeln sie im Gegensatz zu den sog. Grey- oder auch Black-Hat-Hackern aus reiner Neugier und dem Streben nach Anerkennung in der Hackerszene, vgl. Schultz, DuD 2006, 778 (779). Diese Bezeichnungen entstammen den älteren Westernfilmen. Meist weisen die White-HatHacker den Betreiber des Systems auf die gefundene Schwachstelle hin, damit dieser sie beseitigen kann und drohende Schäden bereits im Vorfeld unterbunden werden können. Schädigende oder sogar kriminelle Handlungen nehmen sie nicht vor, vgl. SbgK-Thiele, § 118a Rn. 26. Nichtsdestotrotz kann es zuweilen auch beim White-Hat-Hacking unabsichtlich zu Schäden am System oder zu Datenverlusten kommen. Bei den Black-Hat-Hackern handelt es sich hingegen um solche, deren

I. Das Ausspähen von Daten, § 202a dStGB

51

ßen Eindringen in fremde Computersysteme wurde noch keine strafwürdige Rechtsgutsbeeinträchtigung gesehen.9 Diese Vorstellung war jedoch unzutreffend, weil es bereits damals die sog. „Grey-Hat-Hacker“ gab, die Sicherheitslücken veröffentlichten, um einen Imageschaden für den Betreiber der Datenverarbeitungsanlage zu verursachen. Aufgrund des Tatbestandsmerkmals „unbefugt“ ist die Kritik der Sicherheitsexperten, in ihrer Arbeit unverhältnismäßig eingeschränkt zu sein, unbegründet. Ein Recht auf unbefugtes Penetrieren fremder Systeme besteht nicht, auch wenn dieses beim „White-Hat-Hacking“ letztlich dem Systembetreiber zugutekommt. Das Recht des Systembetreibers, sein System nicht zu überprüfen, darf ihm nicht mittels einer Art Geschäftsführung ohne Auftrag entzogen werden, sondern es muss im Vorfeld immer seine Zustimmung eingeholt werden.10 c) Überwinden einer besonderen Sicherung Das Erfordernis, dass der Täter sich den Zugang zu den Daten unter Überwindung der Zugangssicherung verschaffen muss, wurde im Rahmen des 41. Strafrechtsänderungsgesetzes in den Wortlaut aufgenommen.11 Dieses Tatbestandsmerkmal wurde jedoch bereits im Rahmen des § 202a a. F. dStGB als ungeschriebenes Tatbestandsmerkmal für erforderlich gehalten.12 Durch diese Klarstellung13 sollte die Erweiterung des Tatbestandes aufgrund der Tatsache, dass bereits der Zugang zu Daten ausreicht, und die damit verbundene Vorverlagerung der Strafbarkeit wieder eingeschränkt werden.14 Handeln von krimineller Energie getragen wird, vgl. SbgK-Thiele, § 118a Rn. 26. Ihr primäres Ziel ist es, Computersysteme zu beschädigen bzw. Daten zu stehlen. Grey-Hat-Hacker sind in gewisser Weise neutral. Sie sind nicht darauf aus, Schaden an fremden Systemen anzurichten. Allerdings kommt es zuweilen vor, dass die Grey-Hat-Hacker die Sicherheitslücken nicht dem Systembetreiber melden, sondern die Lücke veröffentlichen. Dadurch wollen sie Druck auf den Systembetreiber ausüben, was grundsätzlich nicht verwerflich ist, jedoch durch die Veröffentlichung meist zu einem Imageschaden führt. Die White-Hat-Hacker arbeiten meist als Sicherheitsexperten, Programmierer und Netzwerkadministratoren; vgl. Brand, Hacker Speak, http://www.pcworld.com/article/44370/hacker_speak.html (Stand: 4. Januar 2011). 9 BT-Drs. 10/5058, S. 28; Schumann, NStZ 2007, 675 (676). 10 Schultz, DuD 2006, 778 (779); Vassilaki, CR 2008, 131 (132). 11 Gröseling/Höfinger, MMR 2007, 549 (551 f.). 12 BT-Drs. 16/3656, S. 10; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 10a; SK-Hoyer, § 202a Rn. 8. 13 Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 24. 14 BT-Drs. 16/3656, S. 10.

52

D. Das 41. Strafrechtsänderungsgesetz

3. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss a) Schutzobjekt Obwohl die Neufassung des § 202a dStGB auf Art. 2 Cybercrime Convention15 und Art. 2 EU-Rahmenbeschluss16 beruht17, ergeben sich Unterschiede beim Schutzobjekt. Während die Cybercrime Convention die Computersysteme und der EU-Rahmenbeschluss die Informationssysteme schützen, schützt § 202a dStGB die Daten vor unberechtigtem Zugang. Computersystem gemäß Art. 1 lit. a Cybercrime Convention ist eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms automatische Datenverarbeitung durchführen. Dabei werden alle Hard- und Softwarekomponenten, die der automatisierten Datenverarbeitung dienen, und auch alleinstehende Computer ohne Netzwerkanschluss erfasst.18 Informationssystem gemäß Art. 1 lit. a EU-Rahmenbeschluss ist hingegen eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen, sowie die von ihr oder ihnen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherter, verarbeiteter oder übertragener Computerdaten. Dieser Begriff beruht auf den Leitlinien der OECD für die Sicherheit von Informationssystemen aus dem Jahre 1992. 15

Wortlaut des Art. 2 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um den unbefugten Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat unter Verletzung von Sicherheitsmaßnahmen, in der Absicht, Computerdaten zu erlangen, in anderer unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 16 Wortlaut des Art. 2 EU-Rahmenbeschluss: 1. Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass der vorsätzliche und unbefugte Zugang zu einem Informationssystem als Ganzes oder zu einem Teil eines Informationssystems zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt. 2. Jeder Mitgliedstaat kann beschließen, dass Handlungen nach Absatz 1 nur geahndet werden, sofern sie durch eine Verletzung von Sicherheitsmaßnahmen erfolgen. 17 BT-Drs. 16/3656, S. 9. 18 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 23, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011).

I. Das Ausspähen von Daten, § 202a dStGB

53

Der Begriff erfasst sämtliche Hard- und Software und nach Ansicht der Kommission auch Einzelplatzcomputer.19 Zwar erfasst der Begriff des Informationssystems in Art. 1 EU-Rahmenbeschluss im Gegensatz zum Computersystem in der Cybercrime Convention grundsätzlich mehr Tatobjekte, weil auch elektronische Organizer, Mobiltelefone und interne und externe Netze erfasst werden.20 De facto reichen jedoch beide Begriffe gleich weit, da elektronische Geräte kaum mehr ohne Daten und deren Speicherung auskommen. Ein Unterschied könnte sich daraus ergeben, dass sowohl die Cybercrime Convention als auch der EU-Rahmenbeschluss über den Datenbegriff des § 202a dStGB hinausgehen, wenn auch der Eingriff in Peripheriegeräte, wie Drucker, erfasst wäre, der keinen Zugriff auf Daten darstellt. Rein manuelle Eingriffe, wie das Öffnen des Papierfachs des Druckers, werden aber nicht von der Cybercrime Convention erfasst, weil ausdrücklich nur der Zugang mittels Netzwerken tatbestandlich sein soll.21 Einen derart offensichtlichen Ausschluss gibt es beim EU-Rahmenbeschluss zwar nicht. Allerdings werden rein mechanische Eingriffe in Peripheriegeräte bereits über die Bagatellklauseln ausgeschlossen, vgl. Art. 2 Abs. 1 EU-Rahmenbeschluss.22 Darüber hinaus dient der Straftatbestand in Art. 2 EU-Rahmenbeschluss vorrangig dem Hacking, bei dem es eines Zugangs zu Daten bedarf.23 Entsprechend einer teleologischen Auslegung werden rein mechanische Eingriffe daher ebenfalls nicht erfasst. Dahingegen geht der Datenbegriff in § 202a dStGB über die Vorgaben der Cybercrime Convention und des EU-Rahmenbeschlusses hinaus, weil ein Zugang zu Daten auch ohne den Zugang zu einem Computersystem bzw. einem Informationssystem vorliegen kann.24 Beispielhaft seien hier 19

Kommission der europäischen Gemeinschaften, Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme, KOM (2002) 173 endg., S. 12. 20 Kommission der europäischen Gemeinschaften, Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme, KOM (2002) 173 endg., S. 2. 21 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 46, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 22 Vgl. ferner den Erwägungsgrund 13 EU-Rahmenbeschluss: Eine Überkriminalisierung insbesondere von Bagatellfällen ist zu vermeiden; ebenso gilt es zu verhindern, dass Rechteinhaber und Zugangsberechtigte als Kriminelle eingestuft werden. 23 Kommission der europäischen Gemeinschaften, Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme, KOM (2002) 173 endg., S. 2. 24 BT-Drs. 16/3656, S. 10.

54

D. Das 41. Strafrechtsänderungsgesetz

Tonbänder, Magnetbänder, Disketten, Festplatten, Memory-Sticks, Chipund Speicherkarten, Kreditkarten, CDs oder DVDs genannt.25 § 202a dStGB könnte aber zugleich teilweise hinter den Vorgaben der Cybercrime Convention und des EU-Rahmenbeschlusses zurückbleiben, weil aufgrund des Schutzgutes – Integrität von Computersystemen – in der Cybercrime Convention und dem EU-Rahmenbeschluss Tatkonstellationen denkbar sind, in denen zwar ein Zugang zu einem Computersystem, nicht aber zu den darin befindlichen Daten besteht, sodass § 202a dStGB nicht einschlägig ist.26 Genannt seien als Beispiel Konstellationen, in denen der Täter von seinem System auf das angegriffene System Daten übermittelt und dadurch in diesem bestimmte Befehle ausgeführt werden. Es ergeben sich jedoch keine Lücken im Strafrechtsschutz, wenn das betroffene System im Vorfeld des Einspielens von Daten eine Eingabeaufforderung übermittelt. Diese Eingabeaufforderung stellt selbst Daten dar, zu denen sich der Täter Zugang verschafft, sodass beim Vorliegen einer besonderen Sicherung die Voraussetzungen des § 202a dStGB erfüllt sind.27 Es bleibt daher dabei, dass § 202a dStGB über die internationalen Vorgaben hinausgeht. Dies ist unproblematisch zulässig, weil sowohl der EU-Rahmenbeschluss als auch die Cybercrime Convention nur Mindestvorgaben statuieren, über die der nationale Gesetzgeber jederzeit hinausgehen kann.28 b) Überwinden der Zugangssicherung Die im Vergleich zu § 202a a. F. dStGB nur deklaratorisch29 eingefügte Einschränkung des Tatbestands in § 202a dStGB durch das erforderliche Überwinden einer Zugangssicherung ist sowohl im Rahmen der Cybercrime Convention, vgl. Art. 2 S. 2, als auch im Rahmen des EU-Rahmenbeschlusses, vgl. Art. 2 Abs. 2, ausdrücklich vorgesehen.

25 BeckOK-Weidemann, § 202a Rn. 4; Fischer, § 202a Rn. 5; LK-Hilgendorf, § 202a Rn. 10; NK-Kargl, § 202a Rn. 5; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 25; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 4; SK-Hoyer, § 202a Rn. 4; SSW-Bosch, § 202a Rn. 2. 26 Gercke, ZUM 2007, 282 (283); Vassilaki, CR 2008, 131. 27 Gröseling/Höfinger, ZUM 2007, 549 (551). 28 Valerius, K&R 2004, 513 (515). 29 Vgl. zur Auslegung des § 202a a. F. dStGB BT-Drs. 16/3656, S. 10; Schönke/ Schröder-Lenckner/Eisele, § 202a Rn. 10a; SK-Hoyer, § 202a Rn. 8.

II. Das Abfangen von Daten, § 202b dStGB

55

II. Das Abfangen von Daten, § 202b dStGB 1. Gesetzestext Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2 dStGB) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

2. Ratio des § 202b dStGB Sinn und Zweck des § 202b dStGB ist der Schutz von Daten im Rahmen von nichtöffentlichen Datenübertragungen und elektromagnetischen Abstrahlungen und somit des formellen Geheimhaltungsinteresses.30 § 202b dStGB soll den strafrechtlichen Schutz des bereits bestehenden § 201 dStGB31, der das unerlaubte Abhören und Aufzeichnen von Telefongesprächen strafrechtlich sanktioniert, erweitern.32 Die §§ 148 i. V.m 89 TKG erfassen nur das Abhören von Nachrichten mit einer Funkanlage, die nicht für den Täter bestimmt sind.33 Der Gesetzgeber reagierte mit § 202b dStGB auf die rasant zunehmende Kommunikation über Datennetze, wie die Voice Over IP-Telefonie34, die des gleichen strafrechtlichen Schutzes bedarf, wie das konventionelle Telefongespräch. 3. Vergleich mit der Cybercrime Convention § 202b dStGB dient der Umsetzung von Art. 3 Cybercrime Convention.35 Ein Pendant im EU-Rahmenbeschluss gibt es hingegen nicht. 30

BT-Drs. 16/3656, S. 7, 11; Fischer, § 202b Rn. 2; HK-GS-Tag, § 202b Rn. 1; LK-Hilgendorf, § 202b Rn. 2; Schönke/Schröder-Eisele, § 202b Rn. 1. 31 SK-Hoyer, § 202b Rn. 1. 32 BT-Drs. 16/3656, S. 11; Schreibauer/Hessel, K&R 2007, 616 (617). 33 BT-Drs. 16/3656, S. 11; Fischer, § 202b Rn. 2. 34 Gercke/Brunst, Rn. 844 ff. 35 Wortlaut des Art. 3 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das mit technischen Hilfsmitteln bewirkte unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, aus einem Computersystem oder innerhalb eines Computersystems einschließlich elektromagnetischer Abstrahlungen aus einem Computersystem, das Träger solcher Computerdaten ist, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat

56

D. Das 41. Strafrechtsänderungsgesetz

a) Daten im Sinne des § 202b dStGB und Computerdaten gemäß Art. 1 lit. b Cybercrime Convention Auch im Rahmen des 41. Strafrechtsänderungsgesetzes wurde keine umfassende Legaldefinition des Datenbegriffs im dStGB eingefügt. Zwar lässt sich dem § 202a Abs. 2 dStGB entnehmen, dass Daten nur solche sind, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Dabei wird der Datenbegriff aber bereits vorausgesetzt, weil durch § 202a Abs. 2 dStGB lediglich der Anwendungsbereich des § 202a Abs. 1 dStGB eingeschränkt wird.36 Der Datenbegriff wurde vom Gesetzgeber jedoch bewusst offengelassen.37 Dies ist sinnvoll, weil so vermieden wird, dass bei jeglichen neuen technischen Entwicklungen der Datenbegriff wieder angepasst werden muss.38 Aus diesen Gründen findet sich auch in den anderen Normen – wie §§ 263a, 269 und 268 Abs. 2 dStGB39 – und den anderen Gesetzen, die den Datenbegriff verwenden, keine Definition.40 Um die Begriffe Daten und Computerdaten unterscheiden zu können, muss folglich der deutsche Datenbegriff vorab geklärt werden. Dabei soll der technische Datenbegriff dargestellt werden, da dieser bei der Bestimmung des juristischen Datenbegriffs herangezogen wird. Bereits frühzeitig wurde zur Klärung des technischen Datenbegriffs im Bereich des § 268 Abs. 2 dStGB auf die Definition in der DIN-Norm 44300 Nr. 19 (1972) verwiesen:41 Daten sind Zeichen oder kontinuierliche Funktionen aufgrund bekannter oder unterstellter Abmachung zum Zweck der Verarbeitung dargestellter Informationen, die einer weiteren Verarbeitung in einer Datenverarbeitungsanlage unterliegen.

Problematisch ist hierbei jedoch, dass die Definition auf die weitere Verarbeitung und somit abschließend auf die Datenverarbeitung abstellt. Bei einer ausschließlichen Definition des Datenbegriffs über die DIN-Norm 44300 Nr. 19 (1972) wären daher die Ergebnisse der Datenverarbeitung oder auch Programme nicht gemäß §§ 202a ff. und 303a ff. dStGB strafrechtlich geschützt. Dies führt jedoch zu Strafbarkeitslücken, weil auch an in unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 36 Fischer, § 202a Rn. 3; LK-Hilgendorf, § 202a Rn. 10; NK-Kargl, § 202a Rn. 4 ff.; Schmitz, JA 1995, 478 (479); Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 4; SK-Hoyer, § 202a Rn. 3. 37 BT-Drs. 10/5058, S. 29. 38 HK-GS-Tag, § 202a Rn. 4; Krutisch, S. 75; NK-Kargl, § 202a Rn. 4. 39 BT-Drs. 10/5058, S. 29. 40 Hierzu zählt beispielsweise das BDSG, die StPO, das HGB und das BZRG, vgl. Krutisch, S. 75. 41 Schmitz, JA 1995, 478 (479).

II. Das Abfangen von Daten, § 202b dStGB

57

den Ergebnissen der Datenverarbeitung und Programme ein zu schützendes Interesse besteht. Aufgrund der zu starken Einschränkung des Datenbegriffs durch die DIN-Norm 44300 Nr. 19 (1972) wird zur Definition des Datenbegriffs auch auf die neuere DIN-Norm 44300 Teil 2 – 2:1.13 (1985) zurückgegriffen: Daten sind Gebilde aus Zeichen oder kontinuierlichen Funktionen, die auf Grund bekannter oder unterstellter Abmachung vorrangig zum Zwecke der Verarbeitung Informationen darstellen.

Der Unterschied zur DIN-Norm 44300 Nr. 19 (1972) besteht hierbei darin, dass aufgrund des Tatbestandsmerkmals vorrangig auch die Ergebnisse von Datenverarbeitungsprozessen erfasst werden. Allerdings fallen unter diese Definition keine Computerprogramme, weil bei diesen nicht die Möglichkeit der Verarbeitung besteht.42 Computerprogramme dienen nur der Datenverarbeitung, werden selbst aber nicht verarbeitet. Obwohl die DINNorm 44300 Nr. 19 (1972) als zu eng anzusehen ist und 44300 Teil 2 – 2:1.13 (1985) Computerprogramme nicht erfasst, können letztlich beide Normen zur Definition des Datenbegriffs herangezogen werden. Beiden Normen kann entnommen werden, dass sich der Datenbegriff in eine semantische und eine syntaktische Ebene aufteilt.43 Auf der semantischen44 Ebene geht es um die jeweiligen Informationen45, d.h. den Bedeutungsgehalt der Daten. Erfasst wird vom Begriff der Informationen jegliche Angabe über einen Gegenstand oder Zustand sowohl der realen als auch der virtuellen Welt.46 Aufgrund der Weite des Begriffs „Informationen“ lässt sich eine Eingrenzung des Datenbegriffs aber letztlich nicht vornehmen. Demgegenüber bezieht sich die syntaktische Ebene47 auf die Darstellung der Informationen in Form von Zeichen.48 Jedes einzelne Zeichen hat einen eigenen Bedeutungsgehalt, in dem es die Informationen nach einer bestimmten Interpretationsregel codiert. Bei diesem Code kann es sich um einen beliebigen Code nach einer beliebigen Interpretationsregel handeln.49 Somit werden die Daten über eine festgelegte Zeichenfolge, die Syntax, definiert.50 Der in der Praxis am meisten verwendete Code zur Darstellung von Schrift- und Steuerzeichen ist der ASCII, kurz für American Standard Code for Information Interchange.51 42 43 44 45 46 47 48 49 50

Vgl. auch Krutisch, S. 76 f. Schmitz, JA 1995, 478 (479). Wermke/Klosa/Kunkel-Razum/Scholze-Stubenrecht, Semantik, S. 902. Der Begriff der Informationen findet sich in beiden DIN-Normen. Schmitz, JA 1995, 478 (479). Wermke/Klosa/Kunkel-Razum/Scholze-Stubenrecht, Syntaktik, S. 971. Krutisch, S. 77. Schmitz, JA 1995, 478 (479). Schultz, DuD 2006, 778 (779).

58

D. Das 41. Strafrechtsänderungsgesetz

Daten im technischen und somit auch im juristischen Sinne liegen somit im Ergebnis vor, wenn eine oder mehrere Informationen in codierter Form dargestellt werden. Hierunter fallen vor allem komplexe Informationszusammenhänge, wie grafische Darstellungen, akustische oder visuelle Signale und Textinformationen jeglichen Umfangs.52 Erfasst werden aber auch Computerprogramme53 und einzelne Bits.54 Bezüglich der Definition eines Computerprogramms wird teilweise auch auf die DIN-Norm 44300 Nr. 40 (1972) verwiesen, wonach ein Programm eine zur Lösung einer Aufgabe vollständige Anweisung zusammen mit allen erforderlichen Vereinbarungen ist.55 Die maßgebliche Anweisung stellt eine Information in codierter Form dar.56 Unter Computerdaten i. S. d. Art. 1 lit. b Cybercrime Convention ist jede Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschließlich eines Programms zu verstehen, die die Ausführung einer Funktion durch ein Computersystem auslösen kann. Dabei stellt der Konventionsgeber auf die ISO-Normen ab.57 Daten sind daher nur solche, die unmittelbar durch Computeranlagen bearbeitbar sind und in digitaler Form vorliegen, da die Verwendung von Digitaltechnik zwingendes Kriterium des Computersystems im Sinne der Cybercrime Convention ist.58 Der deutsche Datenbegriff geht folglich über die internationalen Vorgaben hinaus, weil von der Cybercrime Convention nur solche Daten erfasst werden, die in digitaler Codierung vorliegen und mit einem Computersystem direkt verarbeitet werden.59 Eine solche Begrenzung auf Computerdaten kennt der deutsche Datenbegriff nicht. Vielmehr sind vergleichbar mit § 202 Abs. 3 a. F. dStGB60 auch Daten auf Tonbändern, Schallplatten, Magnetbändern, Mikrofilmen und sonstigen Datenträgern geschützt.61 Der weite Datenbegriff im dStGB ist aber sinnvoll und daher 51

Krutisch, S. 79. Faßbender, S. 52. 53 Vgl. auch BT-Drs. 10/5058, S. 29. 54 Jessen, S. 46; Krutisch, S. 83; LK-Hilgendorf, § 202a Rn. 7; Schmitz, JA 1995, 478 (479); SK-Hoyer, § 202a Rn. 3; a. A. P. Schmid, S. 58. 55 Möhrenschläger, wistra 1986, 128 (132). 56 Krutisch, S. 82. 57 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 25, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 58 Spannbrucker, S. 34. 59 Spannbrucker, S. 34. 60 Fassung bis zum Inkrafttreten des 2. WiKG, vgl. BT-Drs. 10/5058, S. 6. 61 Möhrenschläger, wistra 1986, 128 (140). 52

II. Das Abfangen von Daten, § 202b dStGB

59

zu bevorzugen, weil dadurch eine flexible Regelung erreicht wird, die jederzeit auf technologische Neuerungen anwendbar ist. Eine Ausuferung des Datenbegriffs droht dennoch nicht, weil eine Einschränkung über § 202a Abs. 2 dStGB auf solche Daten vorliegt, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. b) Datenübermittlung gemäß § 202b dStGB und Computerdatenübermittlung im Sinne der Cybercrime Convention Die Cybercrime Convention erfasst in Art. 3 eine Strafbarkeit des Abfangens von Computerdatenübermittlungen einschließlich elektromagnetischer Abstrahlungen aus Computersystemen. § 202b dStGB geht dabei über die Vorgaben der Cybercrime Convention hinaus, indem er allgemein jede nichtöffentliche Datenübermittlung schützt. Von § 202b dStGB werden daher auch alle ungesicherten Datenübermittlungen – etwa mittels Telefon oder Fax – erfasst.62 c) Abstrahlung einer Datenverarbeitungsanlage gemäß § 202b dStGB und Abstrahlung aus einem Computersystem im Sinne der Cybercrime Convention Aufgrund des Tatbestandsmerkmals Datenverarbeitungsanlage und der Anknüpfung an den Datenbegriff geht § 202b dStGB auch über die Cybercrime Convention, die nur Computersysteme erfasst, hinaus. Heutzutage gibt es kaum mehr elektronische Geräte, die ohne Datenverarbeitung bzw. -speicherung auskommen.63 Datenverarbeitungsanlagen sind alle Funktionseinheiten von Gerätschaften, die zur Datenverarbeitung eingesetzt werden, d.h. die maschinentechnische Ausstattung. Hierzu zählen auch alle Peripheriegeräte.64 Daher werden auch elektromagnetische Abstrahlungen von Telefonen und Faxgeräten erfasst. Dabei geht § 202b dStGB sogar über die Vorgaben der §§ 148 i. V.m 89 TKG hinaus, indem das Abfangen nicht auf 62

Fischer, § 202b Rn. 3. BT-Drs. 16/3656, S. 16; Hilgendorf, Kurze Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität für die öffentliche Anhörung im Rechtsausschuss des Deutschen Bundestages am Mittwoch, dem 21. März 2007, S. 9, http://www.bundestag.de/bundestag/ausschuesse/a06/ anhoerungen/Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_ Hilgendorf.pdf (Stand: 10. Februar 2010). 64 LK-Wolff, § 303b Rn. 17. 63

60

D. Das 41. Strafrechtsänderungsgesetz

Nachrichten und die Nutzung von Funkanlagen begrenzt ist, sondern alle Datenabstrahlungen erfasst.65

III. Das Vorbereiten des Ausspähens und Abfangens von Daten, § 202c dStGB 1. Gesetzestext (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er a) Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder b) Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend.

2. Bisherige Rechtslage Bisher war unter anderem der Verkauf oder die Herstellung sog. „Hackertools“ nicht strafbar. Eine Strafbarkeit war nur dann gegeben, wenn eine Beihilfe zum Ausspähen von Daten gemäß § 202a a. F. dStGB vorlag.66 Dies war aber in den seltensten Fällen der Fall, da es den Herstellern oder Vertreibern meist am erforderlichen Vorsatz hinsichtlich des Förderns der Haupttat fehlte bzw. der Nachweis des Vorsatzes im Einzelfall nicht gelang, weil die Hackertools oft zum Testen und Verbessern der eigenen Sicherheit angepriesen wurden.67 Dabei verschwieg der Anbietende bewusst die Möglichkeit eines ebenso möglichen rechtswidrigen Einsatzes, der sich jedoch jedem Erwerber erschloss. Ein Missbrauch war daher vorprogrammiert, sodass sich letztlich Strafbarkeitslücken ergaben. 65 Aufgrund der engeren tatbestandlichen Voraussetzungen werden die §§ 148 i. V. m. 89 TKG von § 202b dStGB im Wege der Gesetzeskonkurrenz verdrängt, vgl. Fischer, § 202b Rn. 11; Schönke/Schröder-Eisele, § 202b Rn. 12 m. w. N.; a. A. Ernst, NJW 2007, 2661 (2662); HK-GS-Tag, § 202b Rn. 7; LK-Hilgendorf, § 202b Rn. 21; NK-Kargl, § 202b Rn. 11; SK-Hoyer, § 202b Rn. 13; Vassilaki, CR 2008, 131 (132). 66 Vgl. insgesamt Jaeger, RDV 1998, 252 ff. 67 Beispielsweise das im Handel frei zu erwerbende Programm „Hacker’s best friend“ und die Datenschutz-CD, die mit dem Hinweis auf die Überprüfung der Sicherheit des eigenen Computers angeboten wurden, vgl. Ernst, NJW 2007, 2661 (2663).

III. Das Vorbereiten des Ausspähens und Abfangens von Daten

61

3. Vergleich mit der Cybercrime Convention Ein Vergleich kommt nur mit Art. 6 Cybercrime Convention in Betracht, weil eine § 202c dStGB entsprechende Vorschrift im EU-Rahmenbeschluss nicht vorhanden ist. a) Unterschiede im Hinblick auf den objektiven Tatbestand § 202c dStGB erfasst anders als Art. 6 Cybercrime Convention68 weder den Besitz der genannten Tatobjekte noch die Vorrichtungen.69 Ferner enthält § 202c dStGB anders als Art. 6 Abs. 2 Cybercrime Convention keine Einschränkung hinsichtlich derjenigen Sachverhalte, bei denen Tathandlungen im Sinne des Art. 6 Cybercrime Convention statt der Begehung von Straftaten gemäß Art. 2 bis 5 Cybercrime Convention dem genehmigten Testen oder dem Schutze eines Computersystems dienen sollen. Eine sol68

Wortlaut des Art. 6 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben: a) das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen i. einer Vorrichtung einschließlich eines Computerprogramms, die in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine nach den Artikeln 2 bis 5 umschriebene Straftat zu begehen; ii. eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen, mit dem Vorsatz, sie zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden, und b. den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser Mittel eintritt. 2. Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt. 3. Jede Vertragspartei kann sich das Recht vorbehalten, Absatz 1 nicht anzuwenden, sofern der Vorbehalt nicht das Verkaufen, Verbreiten oder anderweitige Verfügbarmachen der in Absatz 1 Buchstabe a Ziffer ii bezeichneten Mittel betrifft. 69 An diesen Einschränkungen ist nichts auszusetzen, da in Art. 6 Abs. 3 Cybercrime Convention dem nationalen Gesetzgeber die Möglichkeit solcher Einschränkungen eingeräumt wird.

62

D. Das 41. Strafrechtsänderungsgesetz

che ausdrückliche Einschränkung war entsprechend der Gesetzesbegründung nicht erforderlich, weil bereits auf der Ebene des objektiven Tatbestandes diese Fallkonstellationen über die zwei Filtermechanismen, objektiver Zweck und Vorbereiten einer Computerstraftat, ausgeschlossen sein sollen.70 Bei Art. 6 Cybercrime Convention müssen die Vorrichtungen oder die Programme in erster Linie zur Begehung einer der dort aufgezählten Computerstraftaten ausgelegt oder hergerichtet worden sein. Entsprechend dem Wortlaut der Cybercrime Convention „in erster Linie“ muss die deliktische Verwendung der Primärzweck des Programms oder der Vorrichtung sein.71 Nach Auffassung des Konventionsgebers kann nur mittels dieses Primärzwecks ein optimaler Kompromiss zwischen der ausschließlichen Erfassung von Malware und der Erfassung aller Programme mit Schädigungspotenzial erreicht werden. Eine Bestimmung der Strafbarkeit allein über den Vorsatz erschien dem Konventionsgeber als unbefriedigend. Von der Cybercrime Convention werden folglich alle Programme ausgeschlossen, bei denen der illegale Einsatz für den Computeruser mit durchschnittlichen Computerkenntnissen, d.h. aufgrund einer objektiven Betrachtung, nicht klar erkennbar ist. Der Konventionsgeber wählte diesen Anwendungsbereich, um Dual-Use-Tools72 bereits tatbestandlich auszuschließen.73 Schwieriger gestaltet sich hingegen die Zweckbestimmung im Rahmen des § 202c dStGB.74 Bei der sog. „Malware“75 ist der objektive Zweck noch ziemlich eindeutig zu bestimmen, da eine solche dadurch gekennzeichnet ist, dass ein legaler Einsatzbereich vom Programmierer nicht vorgesehen ist76 und sie meist anonym aus dem Internet geladen wird.77 Sie dient nur dem Eindringen in fremde Computer oder der vorsätzlichen Schädigung fremder Computer oder der Durchführung sonstiger Computerde70

BT-Drs. 16/3656, S. 18 f. Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 73, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 72 Dual-Use-Tools sind solche, die sowohl einen legalen als auch einen illegalen Einsatzbereich haben, BVerfG ZUM 2009, 745 ff. Bei den klassischen Dual-UseTools lässt sich kein vorrangiger Einsatzbereich feststellen, Ernst, NJW 2007, 2661 (2663). 73 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 73, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 74 Vgl. näher LK-Hilgendorf, § 202c Rn. 16 ff. 75 Bei Malware, auch Schadsoftware genannt, handelt es sich um bösartige Codes. Das BVerfG ZUM 2009, 745 (748), definiert Malware als Angriffsprogramme. 76 LK-Hilgendorf, § 202c Rn. 11. 77 Schreibauer/Hessel, K& R 2007, 616 (618). 71

III. Das Vorbereiten des Ausspähens und Abfangens von Daten

63

likte.78 Probleme ergeben sich hingegen bei der Zweckbestimmung im Hinblick auf die sog. „Dual-Use-Tools“. Es handelt sich dabei um Programme, deren funktionaler Zweck nicht eindeutig kriminell ist und die erst durch ihren konkreten Einsatz durch den Kriminellen zu dessen Tatwerkzeug werden.79 Dies betrifft einen großen Teil der im Internet verfügbaren Software. Nach einer Ansicht soll es auf die objektive Möglichkeit der deliktischen Verwendung ankommen.80 Diese Ansicht wird jedoch zum einen dahin gehend kritisiert, dass diese Auslegung weder mit den entsprechenden Formulierungen in § 149 dStGB noch mit dem Wortlaut des § 202c dStGB selbst vereinbar sei.81 Zum anderen ergeben sich Probleme mit dem Bestimmtheitsgebot, weil diese Ansicht den Anwendungsbereich sehr weit ausdehnt und Dual-Use-Tools vollständig erfasst.82 Eine andere Ansicht stellt daher auf subjektive Anhaltspunkte ab83, weil Programme keinen Zweck, sondern nur bestimmte Eigenschaften haben.84 Anders als Waffen oder Betäubungsmittel tragen Computerprogramme die deliktische Zweckbestimmung nicht per se in sich.85 Daher müsse immer auf den Einsatzzweck, der dem Programm von dem jeweiligen Nutzer gegeben wird, abgestellt werden.86 Hier ergeben sich in der Praxis aber erheb78 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 72, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 79 BT-Drs. 16/3656, S. 19; BVerfG ZUM 2009, 745 (746). 80 Böhlke/Yilmaz, CR 2008, 261 (263). Nach der Ansicht SK-Hoyer, § 202c Rn. 6, soll der objektive Zweck möglichst weit sein und die Strafbarkeit erst im Rahmen des subjektiven Tatbestandes wieder eingeschränkt werden. Ansonsten würde der Tatbestand des § 202c dStGB auf ein Minimum reduziert; vgl. auch SSW-Bosch, § 202c Rn. 3. 81 LK-Hilgendorf, § 202c Rn. 16. 82 LK-Hilgendorf, § 202c Rn. 16. 83 Fischer, § 202c Rn. 6; Stuckenberg, Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität – für die Öffentliche Anhörung vor dem Rechtsausschuss des Bundestages am 21. März 2007, S. 4 f., http://www.bundestag.de/bundestag/ ausschuesse/a06/anhoerungen/Archiv/15_Computerkriminalitaet/04_Stellungnahmen/ Stellungnahme_Stuckenberg.pdf (Stand: 10. Februar 2010). 84 Popp, MR-Int 2007, 84 (87). 85 Gröseling/Höfinger, MMR 2007, 626 (629). 86 Cornelius, CR 2007, 682 (685 ff.), stellt auf eine subjektive Zweckbestimmung ab, zieht jedoch bei der Ermittlung der Zweckbestimmung objektive Kriterien heran. Unter Heranziehung der Grundsätze der § 263a dStGB und § 22b Abs. 1 Nr. 3 dStVG ist in einem ersten Schritt zu klären, ob die Software dazu geeignet ist, die geplante Straftat zu ermöglichen. In einem zweiten Schritt muss festgestellt werden, ob der spezielle Verwendungszweck hauptsächlich die Tatbegehung ist. Zur Bestimmung dieser Kriterien kann auf das Vertriebskonzept des Herstellers zurückgegriffen werden. Ist dieses darauf ausgelegt, kriminelle Aktivitäten zu fördern, so liegt ein strafbares Hackertool vor; vgl. auch LK-Hilgendorf, § 202c Rn. 15.

64

D. Das 41. Strafrechtsänderungsgesetz

liche Schwierigkeiten im Rahmen der Beweisführung, weil sich derartige subjektive Aspekte kaum nachweisen lassen. Vereinzelt wird auch vertreten, dass ein Programm im Sinne des § 202c dStGB vorliege, wenn es zur Begehung einer der genannten Straftaten geeignet sei, der Täter bei der Beschaffung mit der Absicht oder dem direkten Vorsatz handele, diese zur Begehung der Delikte zu verwenden und die Zwecksetzung des Programms objektiv manifestiert ist und anhand objektiver Kriterien nachgewiesen werden kann.87 Dem stehen jedoch die Ausführungen in der Gesetzesbegründung entgegen.88 Laut der Gesetzesbegründung sollen nur Hackertools erfasst sein, die jedoch nicht zwingend Malware sein müssen, sondern auch solche Programme sein können, die nicht ausschließlich illegalen Zwecken dienen, aber deren objektive Zweckbestimmung auch die Begehung einer Computerstraftat sei.89 In den Ausführungen im Rahmen der Stellungnahme90 des Bundestages zu den Äußerungen des Bundesrates führte der Bundestag aus, dass der Zweck allein objektiv zu bestimmen sei und somit nur die Programme erfasst sein sollen, denen die deliktische Verwendung immanent ist.91 Nach der Auffassung des BVerfG ist ein Programm Tatobjekt im Sinne des § 202c dStGB, wenn es mit der Absicht entwickelt oder modifiziert wurde, es zur Begehung einer der genannten Straftaten einzusetzen.92 Diese Absicht muss sich objektiv manifestiert haben.93 Dabei sei ausschlaggebend, ob den Programmen die Begehung einer der Computerstraftaten als Kernbestandteil innewohnt oder ob sie anhand ihres Aufbaus erkennbar illegalen Zwecken dienen sollen.94 Das BVerfG stützt seine Argumentation auf den Wortlaut, systematische Aspekte im Vergleich zu §§ 149 und 275 dStGB, die ausdrücklich auf die Eignung bestimmter Gegenstände abstellen und somit eine spezifische Verwendbarkeit erfordern und die Entstehungsgeschichte der Norm.95 Zur Bestimmung des objektiven Zwecks muss folglich der Herstellerwille zugrunde gelegt werden, sodass es maßgeblich da87

LK-Hilgendorf, § 202c Rn. 21. BT-Drs. 16/3656, S. 12. 89 BT-Drs. 16/3656, S. 12. 90 BT-Drs. 16/3656, S. 18 f. 91 BT-Drs. 16/3656, S. 19. 92 Vgl. auch Fischer, § 202c Rn. 5; Schönke/Schröder-Eisele, § 202c Rn. 4; Schultz, DuD 2007, 781 (782); Schumann, NStZ 2007, 675 (678); nach Ansicht HKGS-Tag, § 202c Rn. 5, müssen die Programme sogar ausschließlich der deliktischen Verwendung dienen. 93 BVerfG ZUM 2009, 745 (749); Schönke/Schröder-Eisele, § 202c Rn. 4. 94 BVerfG ZUM 2009, 745 (750). 95 BVerfG ZUM 2009, 745 (749). 88

III. Das Vorbereiten des Ausspähens und Abfangens von Daten

65

rauf ankommt, für welche Zwecke dieser die Software hergestellt hat.96 Die objektive Manifestation kann sich unter anderem aus dem Vertriebskonzept und der Werbung für das Produkt ergeben.97 Nur so wird ausgeschlossen, dass Programme namhafter Hersteller, wie beispielsweise die Suchmaschine Google98, der Googlehelfer Sitedigger99 und der Passwort-Recovery-Toolkit von Access Data, erfasst werden, obwohl sie zu illegalen Zwecken eingesetzt werden können.100 Lücken der Rechtsprechung des BVerfG ergeben sich teilweise dadurch, dass es vielen Programmen im Internet an einem erkennbaren Hersteller bzw. Herstellerwillen fehlt. In diesen Konstellationen muss dann neben dem Herstellerwillen auch eine objektive Maßfigur herangezogen werden.101 Hierbei wird der objektive Zweck losgelöst von individuellen Absichten anhand einer normativ verstandenen Verkehrsauffassung bestimmt.102 Konkret kommt es auf die Eigenschaften an, die nach Auffassung einer sachverständigen Interpretationsgemeinschaft als deren Zweck bezeichnet werden. NoName-Programme, bei denen der Herstellerwille nicht anhand des Vertriebskonzepts etc. objektiv konkretisierbar ist, fallen somit immer dann unter § 202c dStGB, wenn entsprechend einer normativen Wertung das Programm zur deliktischen Verwendung wie geschaffen ist.103 Im Hinblick auf die Gefahren, die aus einer ausufernden Verbreitung von No-Name-Programmen im Internet ausgehen, ist die diesbezüglich drohende Strafbarkeit und Rechtsunsicherheit hinzunehmen. Eine vollständige Einschränkung der Strafbarkeit auf Malware104 würde den drohenden Gefahren nicht gerecht werden, weil dadurch zu viele Programme, die zur Verschleierung ihres Einsatzbereichs mit einer legalen Nebenfunktion versehen werden, nicht strafrechtlich sanktioniert und folglich die Gefahren nicht adäquat bekämpft würden. 96

So auch Schönke/Schröder-Eisele, § 202c Rn. 4. BVerfG ZUM 2009, 745 (750); Cornelius, CR 2007, 682 (687); NK-Kargl, § 202c Rn. 7. 98 Google und andere Internet-Suchmaschinen können Hackern dazu dienen, Lecks auf Web-Servern aufzuspüren und sensible Daten auszuspähen, vgl. Cornelius, CR 2007, 682 ff. 99 Hierbei ist es möglich, durch einen Zugriff auf den Google Cache an sensible Informationen zu gelangen, Cornelius, CR 2007, 682 (683). 100 Cornelius, CR 2007, 682 (683). 101 LK-Hilgendorf, § 202c Rn. 20. 102 Popp, GA 2008, 375 (381). 103 LK-Hilgendorf, § 202c Rn. 20; Popp, GA 2008, 375 (389). 104 Die Strafbarkeit des Einsatzes von Malware kann gegebenenfalls auf der subjektiven Ebene ausgeschlossen werden, vgl. diesbezüglich die Ausführungen unter Kapitel E. VII. 3. d). 97

66

D. Das 41. Strafrechtsänderungsgesetz

Im Ergebnis geht der Anwendungsbereich des § 202c dStGB über Art. 6 Cybercrime Convention hinaus, weil es nicht erforderlich ist, dass das Programm wesentlich und primär zur Begehung von Computerdelikten adaptiert worden sein muss. § 202c dStGB erfasst daher auch Dual-Use-Tools. Da § 202c dStGB über die Vorgaben der Cybercrime Convention hinausgeht, liegt Konventionskonformität vor. Ein Gleichlauf zwischen § 202c dStGB und Art. 6 Cybercrime Convention besteht insoweit, als dass sowohl § 202c dStGB als auch Art. 6 Cybercrime Convention einzelne Programme erfassen. Die Verwendung des Plurals Computerprogramme bei § 202c dStGB erfolgte lediglich aus sprachlichen Gründen und aus Gründen der Anpassung des Wortlauts an andere strafbare Vorbereitungstatbestände, wie §§ 149 Abs. 1 und 263a Abs. 3 dStGB.105 b) Unterschiede im Hinblick auf den subjektiven Tatbestand Bei § 202c dStGB ist bedingter Vorsatz ausreichend106, während Art. 6 Cybercrime Convention einen „Intent“ fordert. Intent i. S. d. Cybercrime Convention bedeutet mindestens direkten Vorsatz.107 Vereinzelt wird in der Literatur vertreten, dass § 202c dStGB vergleichbar mit Art. 6 Cybercrime Convention über eine Steigerung der subjektiven Anforderung dahin gehend auszulegen sei, dass ein direkter Vorsatz erforderlich ist.108 Diese Ansicht wird damit begründet, dass vor allem bei Dual-Use-Tools ein illegaler Einsatz kaum mit Sicherheit auszuschließen sein wird. Folglich droht einem IT-Spezialisten eine Strafbarkeit, wenn er ein entsprechendes Programm an einen Kollegen weitergibt. Allerdings verkennt diese Ansicht, dass sich im Rahmen des Vorsatzes erhebliche Anforderungen an dessen Nachweisbarkeit stellen. Diese Problematik stellt sich insbesondere bei der Verbreitung im Internet durch Bereitstellung zum Download. In diesen Konstellationen ist der Downloadende dem Verbreitenden meist überhaupt nicht bekannt. Eine Wissentlichkeit im Hinblick auf die Verwendung läge in solchen Konstellationen meist nicht vor. Die Strafbarkeit gemäß § 202c dStGB wäre auf ein Minimum reduziert. Daher erfolgt keine Einschränkung des Vorsatzes bei § 202c dStGB dahin gehend, dass direkter Vorsatz erforderlich sei, sondern es reicht bereits bedingter Vorsatz. 105 BT-Drs. 16/3656, S. 12; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 38; Schumann, NStZ 2007, 675 (678). 106 Im Übrigen sei an dieser Stelle auf die Ausführungen unter Kapitel E. VII. 3. d) verwiesen. 107 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 76, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 108 Borges/Stuckenberg/Wegener, DuD 2007, 275 (277).

IV. Die Datenveränderung, § 303a dStGB

67

IV. Die Datenveränderung, § 303a dStGB 1. Synopse § 303a a. F. dStGB

§ 303a n. F. dStGB

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

2. Neuregelung Im Rahmen des 41. Strafrechtsänderungsgesetzes wurde § 303a dStGB lediglich dahin gehend geändert, dass über den Verweis in Abs. 3 auf § 202c dStGB nun auch Vorbereitungshandlungen strafrechtlich sanktioniert werden.109 § 303a dStGB dient der Umsetzung von Art. 4 i. V. m. 6 Abs. 1 Nr. 1 lit. a Cybercrime Convention.110 3. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss Anders als im dStGB findet sich in Art. 1 lit. b EU-Rahmenbeschluss eine Definition der Computerdaten. Diese sind Darstellungen von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Informationssystem geeigneten Form, einschließlich eines Programms, das 109 Art. 4 EU-Rahmenbeschluss, der den rechtswidrigen Eingriff in Daten behandelt, führte zu keinem Anpassungsbedarf, da dessen Voraussetzungen bereits von § 303a a. F. dStGB vollständig erfasst werden. 110 Wortlaut des Art. 4 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das unbefugte Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 2. Eine Vertragspartei kann sich das Recht vorbehalten, als Voraussetzung vorzusehen, dass das in Absatz 1 beschriebene Verhalten zu einem schweren Schaden geführt haben muss.

68

D. Das 41. Strafrechtsänderungsgesetz

die Ausführung einer Funktion durch ein Informationssystem auslösen kann. Der Begriff der Computerdaten wurde im EU-Rahmenbeschluss somit – abgesehen von dem abweichenden Begriff Informationssystem – wortgleich von der Cybercrime Convention übernommen. Somit kann auf die Darstellungen des Begriffs der Computerdaten verwiesen werden.111 Der Begriff der Computerdaten bleibt daher ebenfalls hinter dem deutschen Datenbegriff zurück, weil dieser auch Informationen in codierter Form erfasst, die von anderen Datenverarbeitungsanlagen erstellt, verarbeitet etc. werden.

V. Die Computersabotage, § 303b dStGB 1. Synopse § 303b a. F. dStGB

§ 303b n. F. dStGB

(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, dass er eine Tat nach § 303a Abs. 1 begeht oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar.

111

Vgl. die Ausführungen unter Kapitel D. II. 3. a).

V. Die Computersabotage § 303b a. F. dStGB

69 § 303b n. F. dStGB

(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

2. Änderungen a) Erweiterung auf Privatpersonen Durch die Neufassung von § 303b Abs. 1 dStGB wird nun auch die private Datenverarbeitung geschützt, wenn sie von erheblicher Bedeutung ist. Durch die Beibehaltung des Tatbestandsmerkmals „von erheblicher Bedeutung“ sollen Bagatelldelikte herausgefiltert werden. Um die aufgrund der Tatbestandserweiterung nicht herauszufilternden weniger schwerwiegenden Delikte nicht unverhältnismäßig schwer zu sanktionieren, wurde der Strafrahmen auf maximal bis zu drei Jahre begrenzt.112 Der ursprüngliche Tatbestand des § 303b Abs. 1 a. F. dStGB findet sich nunmehr als Qualifikation in § 303b Abs. 2 dStGB.113

112

BT-Drs. 16/3656, S. 13. BT-Drs. 16/3656, S. 13; Fischer, § 303b Rn. 14; NK-Kargl, § 303b Rn. 15; SK-Hoyer, § 303b Rn. 2. 113

70

D. Das 41. Strafrechtsänderungsgesetz

b) Tathandlungen im Rahmen des § 303b Abs. 1 Nr. 2 dStGB Bei § 303b Abs. 1 Nr. 2 dStGB muss der Täter entweder Daten eingeben oder übermitteln, wobei die Abgrenzung der Begriffe Schwierigkeiten bereitet. Nach einer Ansicht soll unter einer Eingabe jede Umwandlung von Informationen in technische Impulse zu verstehen sein, die in eine Datenverarbeitung eingespeist werden.114 Dagegen wird eingewandt, dass es nur möglich sei, die Tatvariante des Eingebens zu erfüllen, wenn die Daten von einem externen Datenträger ins System eingelesen werden, weil die direkte Eingabe von Informationen – unter anderem mittels Tastatureingaben – noch keine Eingabe gespeicherter oder übermittelter Daten i. S. d. § 202a Abs. 2 dStGB darstelle. Stattdessen entstünden die Daten erst in dem Zeitpunkt, in dem sie in einem Computersystem gespeichert werden.115 Unterschiede beider Meinungen ergeben sich somit insbesondere bei Tastatureingaben. Während es sich nach der ersten Auffassung um ein Eingeben handelt, weil Informationen vorliegen, die durch das Keyboard codiert und über die Kabelverbindung an den Prozessor geschickt werden, kommt nach der Gegenmeinung ein Eingeben nicht in Betracht, weil die Daten im Zeitpunkt der Eingabe noch nicht gespeichert sind. Diesbezüglich ist aber der Ansicht zu folgen, die das Tatbestandsmerkmal „Eingeben“ bei Tastatureingaben ablehnt. § 303b Abs. 1 Nr. 2 dStGB baut systematisch auf § 202a Abs. 2 dStGB auf, der im Rahmen des Datenbegriffes alternativ eine Speicherung oder Übermittlung verlangt. Übermittelte Daten im Sinne des § 202a Abs. 2 dStGB sind somit im Umkehrschluss bisher noch nicht gespeicherte Daten, weil es des Tatbestandsmerkmals „Übermitteln“ sonst nicht bedurft hätte.116 Dabei ist der Begriff des Übermittelns weit auszulegen und erfasst daher jegliche Weiterleitung von technischen Impulsen auf elektronischem Wege von einer Datenverarbeitungsanlage zu einer anderen oder zu einem Datenspeicher.117 Im Ergebnis stellen Tastatureingaben folglich eine Übermittlung von Daten dar. c) Nachteilszufügungsabsicht Durch die Neuregelung in § 303b Abs. 1 Nr. 2 dStGB wird das Eingeben und Übermitteln von Daten mit der Absicht, einem anderen einen Nachteil zuzufügen, erfasst. Grund für die Aufnahme dieser Vorschrift war, dass auch das neutrale Eingeben von Daten in missbräuchlicher Absicht geeignet 114 115 116 117

LK-Wolff, § 303b Rn. 21; SK-Hoyer, § 303b Rn. 16. Gröseling/Höfinger, MMR 2007, 626 (627). SSW-Bosch, § 202a Rn. 3. LK-Wolff, § 303b Rn. 21.

V. Die Computersabotage

71

sein kann, erhebliche Störungen zu verursachen. Hierbei wurde in der Gesetzesbegründung vor allem auf die sog. „DoS-Angriffe“118 verwiesen, bei denen der Täter durch die Vielzahl gleichzeitiger Anfragen den betroffenen Server zumindest vorübergehend lahmlegt.119 Beispielhaft sei hier die Onlineblockade auf der Lufthansa-Website genannt.120 Eine für § 303a dStGB erforderliche Datenveränderung liegt bei derartigen Attacken nicht vor. Im Hinblick auf die Nachteilszufügungsabsicht bedarf es entgegen dem Wortlaut nur der Wissentlichkeit.121 d) Benannte Strafzumessungsregeln in § 303b Abs. 4 dStGB Im neu gefassten § 303b Abs. 4 dStGB werden Regelbeispiele, wie das Herbeiführen eines Vermögensverlustes großen Ausmaßes (Nr. 1), die Gewerbsmäßigkeit oder die Tatausführung als Bande (Nr. 2) und die Gefährdung der Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen und die Gefährdung der Sicherheit der Bundesrepublik Deutschland (Nr. 3) genannt.122 Da die Störung der Datenverarbeitungsanlage nicht zwingend den Grad der Störung öffentlicher Betriebe erreichen muss und oft auch nicht die tatbestandliche Handlung gegeben ist, sah es der Gesetzgeber aus Gründen des Schutzes der Allgemeinheit als erforderlich an, den Anwendungsbereich des § 316b dStGB über § 303b Abs. 4 S. 2 Nr. 3 dStGB123 zu erweitern.124 118

BT-Drs. 16/3656, S. 13. Faßbender, S. 31. 120 Um gegen die Abschiebung politischer Flüchtlinge zu demonstrieren, wurde im Internet dazu aufgerufen, an einem bestimmten Tag zu einer bestimmten Uhrzeit die Internetseite der Lufthansa zu besuchen. Dieser Ansturm führte zu einem Absturz der Server der Lufthansa, vgl. die Ausführungen unter Kapitel G. III. 1. und des OLG Frankfurt MMR 2007, 544 ff. 121 Dabei kann laut der Gesetzesbegründung auf die Auslegung der Nachteilszufügungsabsicht bei § 274 Abs. 1 Nr. 1 dStGB zurückgegriffen werden, vgl. BTDrs. 16/3656, S. 13. Nach h. M. genügt hierbei direkter Vorsatz, vgl. Fischer, § 274 Rn. 6; Lackner/Kühl, § 274 Rn. 7; LK-Zieschang, § 274 Rn. 57; Schönke/SchröderCramer/Heine, § 274 Rn. 15; SSW-Wittig, § 274 Rn. 20; a. A. NK-Puppe, § 274 Rn. 12, wonach bereits dolus eventualis ausreicht. 122 Diese Regelbeispiele sind dem Computerbetrug gemäß §§ 263a Abs. 2 i. V. m. 263 Abs. 3 S. 2 Nr. 1 und 2 dStGB, der Fälschung beweiserheblicher Daten, §§ 269 Abs. 3 i. V. m. 267 Abs. 3 S. 2 Nr. 1 und 2 dStGB und der Störung öffentlicher Betriebe gemäß § 316a dStGB nachgebildet, vgl. BT-Drs. 16/3656, S. 14. 123 Bei der Auslegung des Begriffs „Sicherheit der Bundesrepublik Deutschland“ kann auf die Auslegung zu § 92 Abs. 3 Nr. 2 dStGB zurückgegriffen werden, vgl. BT-Drs. 16/3656, S. 14. 124 BT-Drs. 16/3656, S. 14. 119

72

D. Das 41. Strafrechtsänderungsgesetz

e) Vorbereitungshandlungen Letztlich werden durch den Verweis in § 303b Abs. 5 dStGB auf § 202c dStGB die Vorbereitungshandlungen strafrechtlich erfasst. 3. Vergleich von § 303b dStGB mit der Cybercrime Convention und dem EU-Rahmenbeschluss Mit der Änderung des § 303b dStGB sollten Art. 5 Cybercrime Convention125 und Art. 3 EU-Rahmenbeschluss126 umgesetzt werden. a) Datenverarbeitung von wesentlicher Bedeutung (§ 303b dStGB) – Betrieb eines Computersystems (Art. 5 Cybercrime Convention) bzw. Informationssystems (Art. 3 EU-Rahmenbeschluss) Weder die Cybercrime Convention noch der EU-Rahmenbeschluss differenzieren nach der wesentlichen Bedeutung der Datenverarbeitungsanlage für den Betroffenen, sondern stellen allein auf den Betrieb eines Computerbzw. Informationssystems ab. Der grundsätzlich weiter reichende Begriff der Datenverarbeitungsanlage wird durch das Tatbestandsmerkmal „wesentliche Bedeutung“ eingeschränkt. Dabei ist jedoch im Hinblick auf das Bestimmtheitsgebot und die strafbegründende Wirkung bei § 303b Abs. 1 Nr. 2 und 3 dStGB127 eine restriktive Auslegung vorzunehmen.128 Von wesentlicher Bedeutung ist eine Datenverarbeitungsanlage dann, wenn sie für 125

Wortlaut des Art 5 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um die unbefugte schwere Behinderung des Betriebs eines Computersystems durch Eingeben, Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 126 Wortlaut des Art. 3 EU-Rahmenbeschluss: Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die unbefugte vorsätzliche schwere Behinderung oder Störung des Betriebs eines Informationssystems, durch Eingeben, Übermitteln, Beschädigen, Löschen, Verstümmeln, Verändern, Unterdrücken oder Unzugänglichmachen von Computerdaten, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt. 127 Ernst, NJW 2007, 2661 (2664). 128 HK-GS-Weiler, § 303b Rn. 4; SK-Hoyer, § 303b Rn. 9; SSW-Hilgendorf, § 303b Rn. 6; NK-Zaczyk, § 303b Rn. 5 nimmt hingegen einen Verstoß gegen das Bestimmtheitsgebot an und hält § 303b dStGB daher insgesamt für verfassungswidrig; ebenso Stuckenberg, Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität – für die Öffentliche Anhörung vor dem Rechtsausschuss des Bundestages am 21. März 2007, S. 11, http://www.bundestag.de/bundestag/ausschuesse/

V. Die Computersabotage

73

die Organisation und die Verwaltungs- und Arbeitsabläufe grundlegend ist und der Ausfall zur Folge hat, dass Datenverarbeitungsprozesse zumindest in wichtigen Teilbereichen auf Zeit oder ohne erheblichen Mehraufwand zur Schaffung eines Ausgleichs nicht mehr verfügbar sind.129 Bei Privatpersonen kommt es auf die zentrale Funktion für die Lebensgestaltung an.130 Dies wird in der Regel nur bei Computern zu bejahen sein.131 Hieraus wird ersichtlich, dass die Tatobjekte derart angenähert sind, dass sich kaum Unterschiede ergeben. b) Erhebliche Störung (§ 303b dStGB) – Schwere Behinderung (Cybercrime Convention und EU-Rahmenbeschluss) Bei der Bestimmung des Grades der Schwere der Behinderung hat der Konventionsgeber den Vertragsstaaten die Möglichkeit zur Konkretisierung eingeräumt. Dabei soll eine erkennbar nachteilige Wirkung auf die Verfügbarkeit des Systems für den jeweiligen Nutzer bereits ausreichen.132 Gleiches gilt im Rahmen des EU-Rahmenbeschlusses. Mit der Verwendung des Begriffs der Erheblichkeit ist der deutsche Gesetzgeber über die Vorgaben der Cybercrime Convention und des EU-Rahmenbeschlusses hinausgegangen, da der Bereich der erheblichen Störung früher erreicht wird, als der einer schweren Behinderung. Erstere liegt bereits dann vor, wenn der Bagatellbereich verlassen wird. c) Nachteilszufügungsabsicht im Sinne des § 303b Abs. 1 Nr. 2 dStGB Durch die Erweiterung des § 303b Abs. 1 dStGB um eine Nr. 2 sollen künftig auch an sich neutrale Handlungen erfasst werden, die bei unbefugter Begehensweise erhebliche Störungen verursachen können. Diese Begehensweisen sind von den §§ 303a, 303b Abs. 1 Nr. 1 und 3 dStGB nicht erfasst, weil nicht zwingend eine Datenveränderung oder eine Beschädigung einer Datenverarbeitungsanlage erforderlich ist. Durch die Nachteilszufügungsa06/anhoerungen/Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellung nahme_Stuckenberg.pdf (Stand: 10. Februar 2010). 129 HK-GS-Weiler, § 303b Rn. 4; LK-Wolff, § 303b Rn. 10; SSW-Hilgendorf, § 303b Rn. 6. 130 BT-Drs. 16/3656, S. 13; LK-Wolff, § 303b Rn. 11; SK-Hoyer, § 303b Rn. 9; SSW-Hilgendorf, § 303b Rn. 6. 131 Zumal bei Ausweichmöglichkeiten, bspw. analoger Karte statt Navigationssystem, eine wesentliche Beeinträchtigung in der Regel abzulehnen ist. 132 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 67, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011).

74

D. Das 41. Strafrechtsänderungsgesetz

absicht soll dabei einer Ausuferung der Strafbarkeit entgegengewirkt werden.133 Eine solche Nachteilszufügungsabsicht wird weder in der Cybercrime Convention noch im EU-Rahmenbeschluss genannt. Allerdings lässt Art. 3 EU-Rahmenbeschluss eine Einschränkung der Strafbarkeit bei leichten Fällen zu. Hierunter können die Konstellationen subsumiert werden, in denen der Täter ohne Nachteilszufügungsabsicht handelt. Der Konventionsgeber geht davon aus, dass gewöhnliche Netzwerkaktivitäten nicht unbefugt seien und folglich straflos gestellt sein sollen.134 Die Einschränkung über die Nachteilszufügungsabsicht ist daher sowohl mit der Cybercrime Convention als auch dem EU-Rahmenbeschluss vereinbar.135

133

BT-Drs. 16/3656, S. 13. Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 68, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 135 Zur insgesamt konventions- und rahmenbeschlusskonformen Umsetzung vgl. Gercke, Stellungnahme zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656) zur Vorbereitung der öffentlichen Anhörung im Rechtsausschuss am 21. März 2007, S. 9 f., http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/ 15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Gercke.pdf (Stand: 10. Februar 2010); Popp, MR-Int 2007, 84 (85); Schreibauer/Hessel, K&R 616 (620). 134

E. Die Umsetzung der Cybercrime Convention und des EU-Rahmenbeschlusses in Österreich durch die Strafrechtsänderungsgesetze 2002 und 2008 Österreich hat mit dem Strafrechtsänderungsgesetz 20021 bereits umfassend auf die Vorgaben der Cybercrime Convention reagiert. Eine Anpassung der Vorschriften an den EU-Rahmenbeschluss sollte durch das Strafrechtsänderungsgesetz 20082 erfolgen. Im Folgenden soll ein Überblick über die Umsetzung der Cybercrime Convention und des EU-Rahmenbeschlusses gegeben und ein Vergleich zu den deutschen Normen gezogen werden.

I. Widerrechtlicher Zugriff auf ein Computersystem, § 118a öStGB Vor dem Inkrafttreten des Strafrechtsänderungsgesetzes 2002 war ein Eindringen in Computersysteme nur strafbar, wenn zeitgleich eine nachteilige Datenveränderung gemäß § 126a öStGB vorlag. Durch die Einführung des § 118a öStGB sollte diese Strafbarkeitslücke geschlossen und gleichzeitig Art. 2 Cybercrime Convention umgesetzt werden. 1. Gesetzestext (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem überwindet, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. (3) Wer die Tat als Mitglied einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. 1 2

ÖBGBl. I 134/2002, S. 1407. ÖBGBl. I 109/2007, S. 1.

76

E. Die Umsetzung der Cybercrime Convention in Österreich

2. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss § 118a öStGB beruht auf Art. 2 Cybercrime Convention und Art. 2 EURahmenbeschluss. a) Computersystem Eine Definition des Computersystems findet sich in § 74 Ziff. 8 öStGB.3 Dementsprechend werden sämtliche körperlichen und unkörperlichen Bestandteile und somit die gesamte Soft- und Hardware erfasst.4 Es bestehen daher keine Unterschiede im Hinblick auf die Computersysteme im Sinne der Cybercrime Convention bzw. die Informationssysteme nach dem EURahmenbeschluss, weil es sich bei diesen auch um die Gesamtheit aus Softund Hardware handelt.5 Darüber hinaus werden in beiden Versionen auch die Stand-alone-Computer, d.h. solche ohne Netzwerkanschluss, erfasst.6 b) Überwinden der Zugangssicherung § 118a öStGB entspricht den Vorgaben der Cybercrime Convention und dem EU-Rahmenbeschluss, weil beide Rechtsinstrumente die Möglichkeit zur Einschränkung des Tatbestandes über das Erfordernis eines Verletzens von Sicherungsmaßnahmen eröffnen. Das in § 118a öStGB statuierte Überwinden ist mit den Vorgaben vereinbar, weil es die Strafbarkeit weniger einschränkt als ein Verletzen. Beim Überwinden muss sich das Vorgehen nicht direkt gegen die Sicherungen wenden, sondern es wird auch ein Umgehen erfasst. c) Überschießende Innentendenz Die Anforderungen des § 118a öStGB im Hinblick auf den subjektiven Tatbestand sind mit den Ausführungen der Cybercrime Convention eben3

Wortlaut des § 74 Abs. 1 Ziff. 8 öStGB: Im Sinne dieses Bundesgesetzes ist (. . .) Computersystem: sowohl einzelne als auch verbundene Vorrichtungen, die der automationsunterstützten Datenverarbeitung dienen. 4 Beer, S. 118. 5 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 23, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 6 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 23, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011); WK-Reindl-Krauskopf, § 118a Rn. 7.

I. Widerrechtlicher Zugriff auf ein Computersystem

77

falls vereinbar, weil die Cybercrime Convention Einschränkungen dahin gehend zulässt, dass andere unredliche Absichten für eine Strafbarkeit vorausgesetzt werden dürfen. In subjektiver Hinsicht statuiert § 118a öStGB in Form der Kenntnisnahme-, Verwendungs- und Bereicherungs- oder Schädigungsabsicht einen dreifachen erweiterten Vorsatz. Dabei wird allerdings vereinzelt vertreten, dass § 118a öStGB in seiner jetzigen Form konventionswidrig sei, weil die verschiedenen Absichten in der Cybercrime Convention nicht kumulativ, sondern nur alternativ zueinanderstünden.7 Diese Meinung wird auf eine grammatische Auslegung gestützt, weil Art. 2 Cybercrime Convention sowohl in der englischen Fassung von „or“ als auch in der deutschen Fassung von „oder“ spricht. Dieses Ergebnis ist aber abzulehnen, weil der Konventionsgeber zu dieser Frage ausdrücklich Stellung genommen hat, indem er im Explanatory Report klarstellte, dass die qualifizierenden Elemente sowohl kumulativ als auch alternativ eingesetzt werden können.8 § 118a öStGB ist auch mit den Vorgaben des Art. 2 EU-Rahmenbeschluss vereinbar, weil dieser ebenfalls eine Einschränkung über eine zusätzlich erforderliche überschießende Innentendenz zulässt. Die Zulässigkeit der überschießenden Innentendenz resultiert aus Art. 2 Abs. 1 a. E. EURahmenbeschluss9, weil laut der Gesetzesbegründung10 nur dann kein leich7

Beer, S. 125. Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 50, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011): Parties can take the wide approach and criminalise mere hacking in accordance with the first sentence of Article 2. Alternatively, Parties can attach any or all of the qualifying elements listed in the second sentence: infringing security measures, special intent to obtain computer data, other dishonest intent that justifies criminal culpability, or the requirement that the offence is committed in relation to a computer system that is connected remotely to another computer system. The last option allows Parties to exclude the situation where a person physically accesses a standalone computer without any use of another computer system. They may restrict the offence to illegal access to networked computer systems (including public networks provided by telecommunication services and private networks, such as Intranets or Extranets).“ 9 Wortlaut des Art. 2 EU-Rahmenbeschluss: (1) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass der vorsätzliche und unbefugte Zugang zu einem Informationssystem als Ganzes oder zu einem Teil eines Informationssystems zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt. (2) Jeder Mitgliedstaat kann beschließen, dass Handlungen nach Absatz 1 nur geahndet werden, sofern sie durch eine Verletzung von Sicherheitsmaßnahmen erfolgen. 10 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2008, 285 BlgNr. 23. GP, S. 9 f., http://www.parlament.gv.at/PG/DE/XXIII/ I/I_00285/fname_089876.pdf (Stand: 4. Januar 2011). 8

78

E. Die Umsetzung der Cybercrime Convention in Österreich

ter Fall vorliegt, wenn die subjektiven Tatbestandsmerkmale inklusive der überschießenden Innentendenz erfüllt sind. Für die Zulässigkeit einer solchen Einschränkung spricht zum einen, dass die Verfasser des EU-Rahmenbeschlusses zum Vorliegen eines leichten Falles nicht konkret Stellung genommen haben, sondern nur feststellten, dass Bagatelldelikte ausgenommen werden sollen.11 Hieraus lässt sich ein weiter Beurteilungsspielraum für den nationalen Gesetzgeber ableiten, der durchaus zur Einführung einer überschießenden Innentendenz berechtigt. Zum anderen ergibt sich die Möglichkeit der Statuierung einer überschießenden Innentendenz auch aus einer teleologischen Auslegung. Ziel des EU-Rahmenbeschlusses ist unter anderem die Bekämpfung der organisierten Kriminalität und des Terrorismus.12 Bei diesen Formen der Kriminalität liegt meist die erforderliche Bereicherungsbzw. Schädigungsabsicht vor. 3. Vergleich mit § 202a dStGB a) Geschütztes Rechtsgut § 202a dStGB ist im Bereich der Delikte zum Schutze des persönlichen Lebens- und Geheimbereichs angesiedelt, sodass er das formelle Geheimhaltungsinteresse schützt13, d.h. die informationelle Verfügungsbefugnis desjenigen, der als Inhaber des Rechts am gedanklichen Inhalt der Daten als Herr der Daten darüber bestimmen kann, wem die Daten zugänglich sein sollen.14 Auf den Wert und die Bedeutung der Daten kommt es nicht an.15 Aufgrund der Übertragung des Datenschutzes in den Kernbereich des öStGB16 und der daraus resultierenden Verankerung des § 118a öStGB im fünften Abschnitt des öStGB, der die Verletzungen der Privatsphäre und be11

Abl. EU Nr. L 69, S. 67, Erwägungsgrund 13 1. Hs. Abl. EU Nr. L 69, S. 67, Erwägungsgrund 8. 13 BT-Drs. 16/3656, S. 9; BT-Drs. 10/5058, S. 28 f.; Eisele, Rn. 695; Fischer, § 202a Rn. 2; Schmitz, JA 1995, 478; Schumann, NStZ 2007, 675 (676); SK-Hoyer, § 202a Rn. 1. 14 Ernst, NJW 2007, 2661; Ernst, E. Kap. 2 Rn. 229; Fischer, § 202a Rn. 2; HKGS-Tag, § 202a Rn. 3; LK-Hilgendorf, § 202a Rn. 6; NK-Kargl, § 202a Rn. 3; Schmitz, JA 1995, 478; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 3; Schreibauer/Hessel, K&R 2007, 616; SK-Hoyer, § 202a Rn. 1; SSW-Bosch, § 202a Rn. 1; nach Ansicht Haft, NStZ 1987, 9, wird das Vermögen geschützt. 15 Ernst, E. Kap. 2 Rn. 230; der Wert kann aber in der Strafzumessung berücksichtigt werden. 16 In der Gesetzesbegründung wird ausdrücklich auf § 51 DSG 2000 und § 121 öStGB hingewiesen, vgl. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 24, http://www.parlament.gv.at/PG/DE/XXI/ I/I_01166/fname_000784.pdf (Stand: 4. Januar 2011). 12

I. Widerrechtlicher Zugriff auf ein Computersystem

79

stimmter Berufsgeheimnisse betrifft, wird von § 118a öStGB – vergleichbar mit § 202a dStGB – das formelle Geheimhaltungsinteresse geschützt.17 Da somit beide Straftatbestände dem Schutz der Privatsphäre und des informationellen Verfügungsrechts über die Daten dienen, ergeben sich keine Unterschiede beim geschützten Rechtsgut. b) Objektiver Tatbestand Im Rahmen des objektiven Tatbestandes können sich Unterschiede zwischen den Begriffen Daten (§ 202a dStGB) und Computersystem (§ 74 Ziff. 8 öStGB) und den Anforderungen an die Zugangssicherung ergeben. Wie bereits dargestellt, sind Daten im Sinne des § 202a dStGB alle durch Zeichen oder kontinuierliche Funktionen dargestellten Informationen, die sich als Gegenstand oder Mittel der Datenverarbeitung für eine Datenverarbeitungsanlage codieren lassen oder die das Ergebnis eines Datenverarbeitungsvorgangs sind.18 Diese müssen gespeichert oder übermittelt werden und dürfen nicht unmittelbar wahrnehmbar sein. Im Gegensatz zum dStGB werden im öStGB Computersysteme vor unberechtigtem Zugang geschützt. Computersysteme sind gemäß § 78 Abs. 1 Ziff. 8 öStGB sowohl einzelne als auch verbundene Vorrichtungen, die der automationsunterstützten Datenverarbeitung dienen. Erfasst wird die gesamte Hardware, wie Drucker, Bildschirm, Tastatur etc.19 Auf eine bestimmte Mindestgröße der Einheit und eine Verbindung über ein Netzwerk kommt es nicht an.20 Da es sich bei System- und Programmdateien um solche Vorrichtungen handelt, die der automationsunterstützten Datenverarbeitung dienen, werden auch sie geschützt.21 Teilweise wird vertreten22, dass darüber hinaus auch der Zugriff auf Daten tatbestandlich sei. Dies wird damit begründet, dass Daten – ebenso wie Software – Teil eines Computersystems seien. Diese Ansicht ist jedenfalls bei gespeicherten Daten vertretbar, weil ein Zugriff dann zwingend auch auf das entsprechende Speichermedium als Hardwarekomponente erfolgt. 17 Reindl, Computerstrafrecht im Überblick, S. 10; SbgK-Thiele, § 118a Rn. 15 f.; WK-Reindl-Krauskopf, § 118a Rn. 40. 18 Vgl. die diesbezüglichen Ausführungen unter Kapitel D. II. 3. a); ferner Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 3. 19 Reindl, Computerstrafrecht im Überblick, S. 12. 20 Beer, S. 118; Reindl, Computerstrafrecht im Überblick, S. 12; Reindl, E-Commerce und Strafrecht, S. 149; WK-Reindl-Krauskopf, § 118a Rn. 21. 21 Reindl, Computerstrafrecht im Überblick, S. 12. 22 Reindl, E-Commerce und Strafrecht, S. 149; WK-Reindl-Krauskopf, § 118a Rn. 8.

80

E. Die Umsetzung der Cybercrime Convention in Österreich

Zunächst könnte § 118a öStGB mit dem Tatbestandsmerkmal „Computersystem“ über den Datenbegriff hinausgehen. Zwar ist in Fällen des rein physischen Einwirkens auf Hardwarekomponenten der Zugang zu einem Computersystem zu bejahen. Allerdings werden entsprechend einer grammatischen Auslegung rein mechanische Eingriffe bereits tatbestandlich ausgeschlossen, weil das zusätzliche Überwinden einer Zugangssicherung im Computersystem und damit die Möglichkeit, innerhalb des Systems tätig werden zu können, erforderlich ist.23 In der Konsequenz sind daher bei allen Eingriffen gemäß § 118a öStGB immer auch Daten im Sinne des § 202a dStGB betroffen. Umgekehrt geht aber der deutsche Datenbegriff über den Begriff des Computersystems hinaus, weil er auch Daten außerhalb von Computersystemen, wie beispielsweise Daten auf einer Schallplatte, erfasst. Ferner könnten sich Unterschiede bei den Anforderungen an die Zugangssicherung ergeben. Während bei § 202a dStGB von einer besonderen Zugangssicherung die Rede ist, ist bei § 118a öStGB eine spezifische Sicherheitsvorkehrung im Computersystem erforderlich. Als Sicherungen kommen bei § 202a dStGB hard- und softwaregestützte und rein mechanische Sicherungen – wie Schlösser – in Betracht, weil keine Sicherungen im System notwendig sind. Erforderlich ist lediglich, dass der Berechtigte durch die Sicherung seinen Willen an der Geheimhaltung manifestiert.24 Eine besondere Zugangssicherung gegen unberechtigten Zugriff liegt somit vor, wenn Vorkehrungen getroffen werden, die objektiv und subjektiv dazu bestimmt sind, den unbefugten Zugriff auf die Daten auszuschließen oder zumindest erheblich zu erschweren.25 Dabei kann gegebenenfalls anhand der Sicherung auf diesen Geheimhaltungswillen geschlossen werden.26 Weil aber bereits rein mechanische Sicherungen ausreichen, droht eine Ausuferung der Strafbarkeit. Es gibt heutzutage kaum mehr elektronische Geräte, die ohne Datenverarbeitung bzw. -speicherung auskommen.27 Eine Strafbarkeit käme demnach auch bei einer Ingebrauchnahme von verschlossenen elektronischen Geräten in Betracht.28 Nach den Ausführungen des Bundestages und der Stellungnahme zu den Ausführungen des Bundesrates sind 23 Reindl, Computerstrafrecht im Überblick, S. 14; SbgK-Thiele, § 118a Rn. 40; WK-Reindl-Krauskopf, § 118a Rn. 23. 24 BT-Drs. 16/3656, S. 10; HK-GS-Tag, § 202a Rn. 7; NK-Kargl, § 202a Rn. 9; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 7. 25 BT-Drs. 16/3656, S. 10; Bär, MMR 2005, 434 (436); HK-GS-Tag, § 202a Rn. 7; MK-Graf, § 202a Rn. 31; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 7; SK-Hoyer, § 202a Rn. 6; SSW-Bosch, § 202a Rn. 5. 26 NK-Kargl, § 202a Rn. 9. 27 BT-Drs. 16/3656, S. 16. 28 Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 27.

I. Widerrechtlicher Zugriff auf ein Computersystem

81

solche Konstellationen aufgrund des erforderlichen Geheimhaltungswillens aber nicht von § 202a dStGB erfasst, weil die Sicherung nicht auf die im System enthaltenen Daten abzielt, sondern sich gegen die unbefugte Verwendung richtet.29 Allerdings wurde im Rahmen des 41. Strafrechtsänderungsgesetzes versäumt, eine Klarstellung dahin gehend vorzunehmen, welche konkreten Anforderungen an die Qualität der Zugangssicherung zu stellen sind. Daher müssen erst durch die Rechtsprechung Anhaltspunkte erarbeitet werden, was zu erheblicher Rechtsunsicherheit führt. Bei der Entwicklung dieser Anhaltspunkte sollten aber hinsichtlich der Anforderungen an die besondere Zugangssicherung keine allzu hohen Maßstäbe angesetzt werden, weil laut der Gesetzesbegründung lediglich Bagatellfälle ausgeschlossen werden sollen.30 Würde man die Anforderungen an die Zugangssicherung höher ansetzen, würde derjenige Täter privilegiert, der auf ein Opfer mit geringer Zugangssicherung stößt, weil § 202a dStGB dann nicht anwendbar wäre. Bei diesen Opfern handelt es sich aber meist um Laien in Bezug auf Computer und insbesondere im Hinblick auf die Datensicherheit. Diese Laien sind jedoch die überwiegende Nutzergruppe der Computer und des Internets. Im Ergebnis reichen daher bereits einfache individuelle Passwörter31 – wie der Name der Frau, der Katze etc. – und mechanische Sicherungen – wie Verplombungen oder das Aufbewahren in verschlossenen Schränken32 – aus. Eine Firewall33 oder ein sonstiger besonderer Schutz ist nicht erforderlich, auch wenn er in der heutigen Zeit dringend zu empfehlen ist. Nicht ausreichend ist es allerdings, das Passwortfeld leer zu lassen, das vorinstallierte Standardpasswort nicht zu ändern oder sonstige völlig belanglose Sicherungen zu verwenden.34 In einem solchen Fall ergibt sich für den Täter nicht die oben dargestellte objektive Manifestation des Geheimhaltungswillens. Fraglich ist in diesem Zusammenhang jedoch, ob auch das bloße Verstecken von Dateien als besondere Sicherung in Betracht kommt. Zwar liegt aus 29

BT-Drs. 16/3656, S. 10, 18; HK-GS-Tag, § 202a Rn. 7; NK-Kargl, § 202a Rn. 9; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 7. 30 BT-Drs. 16/3656, S. 10. 31 Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 7. 32 Fischer, § 202a Rn. 9. 33 Dies sind Systeme, die zwischen den Schnittstellen verschiedener Computernetze eine Filterfunktion übernehmen, vgl. Rinker, MMR 2002, 663. 34 Hilgendorf, Kurze Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität für die öffentliche Anhörung im Rechtsausschuss des Deutschen Bundestages am Mittwoch, dem 21. März 2007, S. 3, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_ Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Hilgendorf.pdf (Stand: 10. Februar 2010); a. A. Ernst, Strafbarkeit von Hacking und Computerviren, http://www.rrzn.uni-hannover.de/hacking_viren-strafe.html (Stand: 4. Januar 2011).

82

E. Die Umsetzung der Cybercrime Convention in Österreich

subjektiver Sicht der Geheimhaltungswille des Datenberechtigten vor. Allerdings ist dieser Geheimhaltungswille für den Täter meist aufgrund der anderen Benennung der Datei nicht objektiv erkennbar.35 Ferner liegt auch objektiv keine Sicherung vor, weil der Zugriff auf die Daten – die Kenntnis des Verstecks vorausgesetzt – uneingeschränkt möglich ist.36 Bei § 118a öStGB muss es sich um Sicherheitsvorkehrungen im Computersystem handeln, sodass nur hard- und softwaregestützte Sicherungen in Betracht kommen. Die Sicherungsmaßnahmen sind dann spezifisch, wenn sie den Zweck haben, unbefugten Zugriff zumindest erheblich zu erschweren.37 Maßgeblich ist dabei, dass sie vom User individuell gestaltet werden und nicht allgemein bekannt oder zugänglich sind.38 Eine spezifische Sicherung liegt also nicht vor, wenn der Täter die vorprogrammierten Standardpasswörter verwendet, die im Internet jederzeit verfügbar sind. Die Sicherungsmaßnahmen im dStGB gehen über diejenigen im öStGB hinaus, weil auch rein mechanische Sicherungen erfasst werden, wenn sie sich unmittelbar auf den Zugang zu bestimmten Daten beziehen. Ein solcher Schutz mittels mechanischer Sicherungen ist zu begrüßen, weil viele elektronische Geräte, wie der als externe Festplatte einsetzbare Ipod, über keinerlei Zugangssicherungen verfügen, sodass eine hard- oder softwaregestützte Sicherung nicht möglich ist. Die deutsche Fassung ist deshalb gegenüber der österreichischen zu bevorzugen, weil nur so ein weitgehender Schutz vor unbefugtem Zugang zu Daten gewährleistet und gleichzeitig ein Ausufern der Strafbarkeit vermieden wird. Beim Abschließen des Raumes wird der Wille, das einzelne elektronische Gerät zu sichern, nicht objektiv manifestiert, weil das zu sichernde Gerät nicht ausreichend konkretisierbar ist. Schließt der Besitzer seinen Ipod aber in einer Schublade ein, in der sich keine anderen relevanten Gegenstände befinden, wird für den Täter ersichtlich, dass er keinen Zugang zu den Daten haben soll. Das Geheimhaltungsinteresse wird auf die sich auf dem Gerät befindlichen Daten konkretisiert und mit dem Wegsperren objektiv manifestiert.39

35

P. Schmid, S. 104 f. Fischer, § 202a Rn. 9a; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 8; SSW-Bosch, § 202a Rn. 5; Vassilaki, CR 2008, 131 (132); a. A. Hilgendorf, JuS 1996, 702 (703); LK-Hilgendorf, § 202a Rn. 35; NK-Kargl, § 202a Rn. 10; SKHoyer, § 202a Rn. 5. 37 SbgK-Thiele, § 118a Rn. 39. 38 WK-Reindl-Krauskopf, § 118a Rn. 25. 39 A. A. Ernst, NJW 2007, 2661 f. 36

I. Widerrechtlicher Zugriff auf ein Computersystem

83

c) Subjektiver Tatbestand Im Gegensatz zu § 202a dStGB, bei dem hinsichtlich der objektiven Tatbestandselemente bedingter Vorsatz ausreichend ist40, bedarf es bei § 118a öStGB darüber hinaus einer dreiteiligen überschießenden Innentendenz.41 Die Absicht muss auf die Kenntniserlangung hinsichtlich der Daten (Datenspionage), die Nutzung, Veröffentlichung oder das Zugänglichmachen der Daten (Datenverwendung) und die Bereicherung bzw. Schädigung (Gewinn und Schädigung) gerichtet sein.42 Dadurch wollte der österreichische Gesetzgeber den weiten objektiven Tatbestand wieder einschränken.43 Trotz der Konventionskonformität ist das Erfordernis einer dreifachen überschießenden Innentendenz nicht zu empfehlen, weil dadurch die Strafbarkeit auf ein Minimum reduziert wird. Der Konventionsgeber wollte eine umfängliche Strafbarkeit des Hackings erreichen44, um dem besonderen Schutzbedürfnis von Daten gerecht zu werden. Stattdessen hat der österreichische Gesetzgeber bei der Gestaltung von § 118a öStGB den Charakter der Cybercrime Convention als Minimalkonsens, der daraus resultiert, dass der Konventionsgeber erhebliche Einschränkungsmöglichkeiten einräumen musste, um möglichst viele Unterzeichnungen und Ratifikationen zu erreichen, voll genutzt. Die Begrenzung der Strafbarkeit, insbesondere bei fehlender Bereicherungsabsicht, wird dem Schutzbedürfnis der sensiblen Daten keinesfalls gerecht. Ferner wird auch das bloße Hacking nicht strafrechtlich sanktioniert, weil derjenige, der nur testen möchte, ob er die Schranken des Systems überwinden kann, meist keine Bereicherungs- bzw. Schädigungsabsicht hat. Daneben ergeben sich auch Probleme bei der Beweisführung, weil dem Täter die jeweiligen Absichten im Einzelfall nur schwer nachzuweisen sein werden.45

40

Fischer, § 202a Rn. 13. Beer, S. 117. 42 Vgl. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 24, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname _000784.pdf (Stand: 4. Januar 2011); SbgK-Thiele, § 118a Rn. 57. 43 Vgl. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 24, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname _000784.pdf (Stand: 4. Januar 2011); SbgK-Thiele, § 118a Rn. 57. 44 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 44, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 45 So auch Krutisch, S. 218. 41

84

E. Die Umsetzung der Cybercrime Convention in Österreich

d) Mitgliedschaft in einer kriminellen Vereinigung, § 118a Abs. 3 öStGB Durch das Strafrechtsänderungsgesetz 2008 wurde in § 118a öStGB ein Absatz 3 in Form einer Qualifikation eingefügt. Hiernach wirkt die Mitgliedschaft in einer kriminellen Vereinigung mittlerweile strafschärfend. Hierdurch sollten die Vorgaben des EU-Rahmenbeschlusses umgesetzt werden. Nach Ansicht der Verfasser des EU-Rahmenbeschlusses besteht ein besonderes Strafinteresse bei kriminellen Vereinigungen.46 Zur Definition wird auf die gemeinsame Maßnahme 98/733/JI vom 21. Dezember 1998 verwiesen, nach der eine kriminelle Vereinigung ein auf längere Dauer angelegter organisierter Zusammenschluss von mehr als zwei Personen ist, die in Verabredung handeln, um Straftaten zu begehen, die mit Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Besserung und Sicherung im Höchstmaß von mindestens vier Jahren oder einer schwereren Strafe bedroht sind, gleichviel, ob diese Straftaten Hauptzweck oder ein Mittel sind, um geldwerte Vorteile zu erlangen und gegebenenfalls die Tätigkeit öffentlicher Stellen in unzulässiger Weise zu beeinflussen.

Auf dieser Grundlage wurden die Begriffe der kriminellen Vereinigung und der Mitgliedschaft in § 278 Abs. 2 und 3 öStGB durch das Strafrechtsänderungsgesetz 2002 in der aktuell noch gültigen Fassung eingefügt und definiert47: (2) Eine kriminelle Vereinigung ist ein auf längere Zeit angelegter Zusammenschluss von mehr als zwei Personen, der darauf ausgerichtet ist, dass von einem oder mehreren Mitgliedern der Vereinigung ein oder mehrere Verbrechen, andere erhebliche Gewalttaten gegen Leib und Leben, nicht nur geringfügige Sachbeschädigungen, Diebstähle oder Betrügereien, oder Vergehen nach den §§ 104a, 165, 177b, 233 bis 239, 241a bis 241c, 241e, 241f, 304 oder 307 oder nach den §§ 114 Abs. 2 oder 116 des Fremdenpolizeigesetzes ausgeführt werden. (3) Als Mitglied beteiligt sich an einer kriminellen Vereinigung, wer im Rahmen ihrer kriminellen Ausrichtung eine strafbare Handlung begeht oder sich an ihren Aktivitäten durch die Bereitstellung von Informationen oder Vermögenswerten oder auf andere Weise in dem Wissen beteiligt, dass er dadurch die Vereinigung oder deren strafbare Handlungen fördert.

Es reicht bei § 278 öStGB jedoch nicht aus, dass der Zusammenschluss der Begehung von Delikten gemäß § 118a öStGB dient, weil § 118a öStGB nicht von den sonstigen aufgezählten Vergehen erfasst wird. Erst wenn ein Mitglied einer bereits vorher bestehenden kriminellen Vereinigung den Tat46 47

Abl. EU Nr. L 69, S. 68. ÖBGBl. I 134/2002.

II. Verletzung des Telekommunikationsgeheimnisses

85

bestand des § 118a Abs. 1 öStGB erfüllt, liegt eine Strafbarkeit gemäß § 118a Abs. 3 öStGB vor.48 Eine solche Qualifikation sollte auch im dStGB eingefügt werden, weil die größten Gefahren heutzutage nicht mehr von neugierigen Skriptkiddies, sondern von professionellen Banden, insbesondere aus dem osteuropäischen Raum, ausgehen.49 Durch einen höheren Strafrahmen kann und muss der Druck auf diese erhöht werden. Dabei sollte aber keine dem öStGB entsprechende Regelung geschaffen, sondern stattdessen der deutsche Bandenbegriff verwendet werden. Die Bandeneigenschaft ist dann zu bejahen, wenn sich mindestens drei Personen mit dem Willen zusammenschließen, um in Zukunft und auf gewisse Dauer mehrere selbstständige noch nicht zwingend konkretisierte Delikte zu begehen.50 Dadurch können Computerbanden schärfer bestraft werden, da zum einen bereits bei der ersten Tatbegehung die Bandeneigenschaft bejaht werden könnte und zum anderen im Gegensatz zum öStGB der deutsche Bandenbegriff auch Computerbanden erfassen würde.

II. Verletzung des Telekommunikationsgeheimnisses, § 119 öStGB § 119 öStGB wurde 1975 im Kernstrafrecht aufgenommen, um den verfassungsrechtlich verankerten Schutz des Fernmeldegeheimnisses zu garantieren.51 Strafrechtlich waren anfangs der Missbrauch von öffentlichen Telefonen und auch das Abhören privater Fernmeldeanlagen erfasst. Neu gefasst wurde § 119 öStGB im Rahmen des Strafrechtsänderungsgesetzes 2002, wodurch in Verbindung mit § 119a öStGB Art. 3 Cybercrime Convention umgesetzt werden sollte.52 Letztmals geändert wurde § 119 öStGB im Rahmen des Strafrechtsänderungsgesetzes 200653, wodurch die rechtsstaatlich bedenkliche Verweisung zur Definition der Telekommunikation auf das öTKG gestrichen wurde.54

48

WK-Reindl-Krauskopf, § 118a Rn. 39. Schultz, DuD 2006, 778 (784); Stuckenberg, wistra 2010, 41 (42). 50 Zum deutschen Bandenbegriff, vgl. Fischer, § 244 Rn. 34 ff.; LK-Wolf, § 303b Rn. 37; NK-Kindhäuser, § 244 Rn. 34 ff. 51 SbgK-Thiele, § 119 Rn. 1. 52 SbgK-Thiele, § 119 Rn. 4; WK-Reindl-Krauskopf, § 119 Rn. 1. 53 ÖBGBl. I 56/2006. 54 SbgK-Thiele, § 119 Rn. 26. 49

86

E. Die Umsetzung der Cybercrime Convention in Österreich

1. Synopse Verletzung des Fernmeldegeheimnisses, § 119 a. F. öStGB

Verletzung des Telekommunikationsgeheimnisses, § 119 n. F. öStGB

(1) Wer in der Absicht, sich oder einem anderen Unbefugten von einer durch eine Fernmeldeanlage übermittelten und nicht für ihn bestimmten Mitteilung Kenntnis zu verschaffen, eine Vorrichtung, an einer Fernmeldeanlage anbringt oder sonst empfangsbereit macht, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Ebenso ist zu bestrafen, wer eine Vorrichtung, die an einer Fernmeldeanlage angebracht oder sonst empfangsbereit gemacht worden ist, in der im Abs. 1 bezeichneten Absicht benützt.

(2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

(3) Der Täter ist nur auf Verlangen des Verletzten zu verfolgen. Wird die Tat jedoch von einem Beamten in Ausübung seines Amtes oder untere Ausnützung der ihm durch seine Amtstätigkeit gebotenen Gelegenheit begangen, so hat der öffentliche Ankläger den Täter mit Ermächtigung des Verletzten zu verfolgen.

2. Änderungen Durch die Neuregelung ist statt des bloßen Anbringens oder Empfangsbereitmachens einer Vorrichtung zum Empfang, das nicht durch den Täter erfolgen musste, das tatsächliche Benutzen der Vorrichtung erforderlich. Die Aufhebung der Strafbarkeit des bloßen Anbringens oder Empfangsbereitmachens ist sachgerecht, da sich zum einen im bloßen Anbringen noch keine derartige kriminelle Energie manifestiert, die einer strafrechtlichen Sanktion bedarf, und zum anderen der Geheimnisschutz noch nicht verletzt ist. Im Gegenzug dazu wurde die geschützte Übertragung auf sämt-

II. Verletzung des Telekommunikationsgeheimnisses

87

liche Übermittlungen via Telekommunikation oder Computersystemen erweitert. Letztlich wurde das Tatobjekt noch dadurch eingegrenzt, dass die Kenntnis von Nachrichten verschafft werden muss. Der frühere Begriff „Mitteilungen“ erfasste hingegen sämtliche Daten.55 3. Vergleich des § 119 öStGB mit Art. 3 Cybercrime Convention Auch bei § 119 öStGB hat der Gesetzgeber von der von Art. 3 Cybercrime Convention eingeräumten Einschränkungsmöglichkeit aufgrund der unredlichen Absicht Gebrauch gemacht. Die unredliche Absicht ist im Gegensatz zu § 118a öStGB auf die Kenntnisnahmeabsicht beschränkt. Allerdings ist § 119 öStGB hinter den Vorgaben des Art. 3 Cybercrime Convention zurückgeblieben, da sich diese Vorschrift zum einen nur auf Nachrichten und nicht auf Computerdaten allgemein bezieht und elektromagnetische Abstrahlungen nicht erfasst werden. Dies steht aber der ordnungsgemäßen Umsetzung der Cybercrime Convention nicht entgegen, da der österreichische Gesetzgeber Art. 3 Cybercrime Convention lediglich aufgespalten und auf drei Paragrafen, nämlich §§ 119, 119a und 120 Abs. 2a öStGB, verteilt hat. 4. Vergleich des § 119 öStGB mit § 202b dStGB a) Geschütztes Rechtsgut § 202b dStGB56 schützt wie § 202a dStGB das formelle Geheimhaltungsinteresse. Anders als bei § 202a dStGB ergibt sich dies aber nicht aus einer Manifestierung dieses Interesses durch eine besondere Sicherung, sondern resultiert stattdessen aus dem Recht auf Nichtöffentlichkeit der Kommunikation, sog. „formelles Geheimhaltungsinteresse“.57 Durch § 202b dStGB sollen Lücken im strafrechtlichen Schutz geschlossen werden. Diese Lücken entstanden durch die technische Entwicklung. § 201 dStGB schützt nur das 55

Plöckinger, S. 113 (116). Nach der Ansicht Schönke/Schröder-Eisele, § 202b Rn. 12, verdrängt § 202b dStGB die §§ 89 und 148 TKG im Wege der Gesetzeskonkurrenz, weil § 202b dStGB die engeren tatbestandlichen Voraussetzungen aufweist; ebenso Ernst, NJW 2007, 2661 (2662); Fischer, § 202b Rn. 11; a. A. HK-GS-Tag, § 202b Rn. 7 und NK-Kargl, § 202b Rn. 11, weil die Vorschriften der §§ 89, 148 TKG eine Funkanlage voraussetzen; nach SK-Hoyer, § 202b Rn. 13, sind die §§ 89 und 148 TKG leges speciales. 57 BT-Drs. 16/3656, S. 11; Fischer, § 202b Rn. 2; HK-GS-Tag, § 202b Rn. 1; LK-Hilgendorf, § 202b Rn. 2; NK-Kargl, § 202b Rn. 3; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 34; Schönke/Schröder-Eisele, § 202b Rn. 1; Schumann, NStZ 2007, 675 (677); SK-Hoyer, § 202b Rn. 2. 56

88

E. Die Umsetzung der Cybercrime Convention in Österreich

gesprochene Wort und somit nur Telefonate und die §§ 148 i. V. m. 89 TKG setzen den Einsatz von Funkanlagen voraus.58 § 119 öStGB59 schützt die Vertraulichkeit der Telekommunikation und der Nachrichtenübermittlung mittels Computeranlagen.60 Insgesamt geht es somit ebenfalls um den Schutz der übermittelten Nachrichten vor der Kenntnisnahme durch Unbefugte und somit um das Geheimhaltungsinteresse. Die Terminologie der Vertraulichkeit hängt mit dem Tatobjekt Nachrichten zusammen, da die übertragene Nachricht vergleichbar mit einem Telefonat eben nicht für die Kenntnis Dritter bestimmt ist. Beide Vorschriften dienen daher dem Geheimnisschutz. b) Objektiver Tatbestand Tatobjekt des § 119 öStGB sind nur Nachrichten. Anders als bei Daten wird bei Nachrichten nur die Übertragung von Gedankeninhalten erfasst, sodass im Ergebnis der Schutz ausschließlich auf Inhaltsdaten begrenzt ist.61 Das Tatobjekt bleibt daher hinter § 202b dStGB zurück, der vollumfänglich alle Daten erfasst.62 Unabhängig davon, ob es sich um Daten oder Nachrichten handelt, könnten sich des Weiteren Unterschiede bei der Übermittlung ergeben. Die Datenübermittlung im Sinne des § 202b dStGB erfasst jegliche Datenübertragung, wie etwa mittels Fax, Telefon, WLAN und Internet.63 Telekommunikation im öStGB ist der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in Form von Zeichen, Sprache, Bildern oder Tönen mittels dazu dienender technischer Einrichtungen.64 Erfasst wird daher jegliche Übertragungsform mittels bestimmter Netze, sei es über das Mobilfunknetz, das Telefonnetz, das Breitbandnetz etc.65 Vor Inkrafttreten des Strafrechtsänderungsgesetzes 2002 diente § 119 öStGB nur 58 BT-Drs. 16/3656, S. 11; Fischer, § 202b Rn. 2; LK-Hilgendorf, § 202b Rn. 8; NK-Kargl, § 202b Rn. 4; Schönke/Schröder-Eisele, § 202b Rn. 1; SK-Hoyer, § 202b Rn. 7; SSW-Bosch, § 202b Rn. 2. 59 § 119 öStGB verdrängt die Normen §§ 93 und 108 TKG 2003, vgl. WKReindl-Krauskopf, § 119 Rn. 14 ff. 60 WK-Lewisch, § 119 Rn. 1. 61 Fabrizy, § 119 Rn. 3. 62 Jedoch sind die Daten im öStGB nicht schutzlos gestellt, sondern der Schutz ist lediglich auf mehrere Paragraphen aufgeteilt, siehe hierzu die Ausführungen unter Kapitel E. III. 2. 63 HK-GS-Tag, § 202b Rn. 2; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 35; Schönke/Schröder-Eisele, § 202b Rn. 3. 64 WK-Lewisch, § 119 Rn. 5b.

II. Verletzung des Telekommunikationsgeheimnisses

89

dem Schutz des Fernmeldegeheimnisses im klassischen Sinne.66 Geschützt war daher nur die Übertragung mittels Fernmeldeanlagen. Der Begriff der Fernmeldeanlage erfasste allerdings nicht nur Telefon und Telegraf, sondern darüber hinaus auch Anlagen für Daten- und Meßwertübertragungen, Faxgeräte, Fernschreiber und ähnliche Anlagen.67 Aus dieser Aufzählung wird jedoch ersichtlich, dass nur solche Anlagen erfasst wurden, die primär der Datenübermittlung dienten. Computer zählten daher bisher nicht zu den Tatobjekten, weil diese nur im Nebenzweck der Übertragung von Nachrichten dienen. Der strafrechtliche Schutz wurde nun durch die Erweiterung des Tatbestandes über die Telekommunikationsanlage hinaus auch auf Computersysteme erstreckt.68 Durch die Erweiterung des Tatbestandes auf die Übermittlung durch Computersysteme bestehen keine Unterschiede zu § 202b dStGB. Unterschiede könnten sich jedoch aufgrund der Tatbestandsmerkmale „Anwendung von technischen Mitteln“ gemäß § 202b dStGB und „Benutzen von Vorrichtungen“ gemäß § 119 öStGB ergeben, wenn das öStGB nur tatsächliche Vorrichtungen im Sinne von Hardware erfasst. § 202b dStGB erfasst laut den Ausführungen der Gesetzesbegründung neben Hard- und Software auch Passwörter und Codes, die zum Abfangen drahtloser Kommunikation eingesetzt werden können.69 Im öStGB ist eine Vorrichtung hingegen jedes technische Hilfsmittel, das die Kenntnisnahme von Nachrichten im Übermittlungsstadium ermöglicht, wobei neben Hardwareeinrichtungen auch Software infrage kommt.70 Der Einsatz von Codes wird hingegen nicht erfasst, weil aufgrund einer grammatischen Auslegung eine Vorrichtung nur entweder eine Hard- oder eine Softwarekomponente sein kann. Allerdings ergeben sich hier keine praktischen Unterschiede, weil der Einsatz von Codes allein noch nicht dem Verschaffen von Daten dient. Es bedarf immer auch einer Software oder Hardware, um übermittelte Daten sichtbar zu machen, aufzuzeichnen etc. Umstritten ist im Rahmen des § 119 öStGB, ob die Vorrichtung zusätzlich einem besonderen Abhör- oder sonstigen verwerflichen Zweck dienen muss. Hierdurch könnten sich Unterschiede zum deutschen Pendant ergeben, da im Rahmen des technischen Mittels eine solche Differenzierung nicht stattfin65 Die Aussage des früheren § 3 Ziff. 13 öTKG, wonach das Aussenden, Übermitteln und Empfangen von Nachrichten jeglicher Art in Form von Zeichen, Sprache, Bildern und Tönen durch einen technischen Vorgang und mittels dazu dienender technischer Einrichtungen Telekommunikation darstellte, kann noch sinngemäß herangezogen werden. 66 Vgl. Reindl, Computerstrafrecht im Überblick, S. 28. 67 Vgl. WK-Lewisch, § 119 Rn. 5b. 68 Vgl. Reindl, Computerstrafrecht im Überblick, S. 28. 69 BT-Drs. 16/3656, S. 11. 70 Reindl, Computerstrafrecht im Überblick, S. 29; WK-Lewisch, § 119 Rn. 4.

90

E. Die Umsetzung der Cybercrime Convention in Österreich

det. Das technische Mittel ist aufgrund einer grammatischen Auslegung wertneutral. Dem Begriff „Vorrichtung“ könnte aber ein besonderer Abhörzweck entnommen werden. Entscheidend wird diese Frage insbesondere beim Abhören von WLAN-Übertragungen durch den Einsatz von WLAN-Karten. Teilweise wird vertreten, dass die Vorrichtungen maßgeblich einem Abhörzweck dienen müssen.71 Dies sei bei WLAN-Karten nicht der Fall, da diese nur allgemeiner Schlüssel für die Übertragungstechnik seien. Die Gegenmeinung verzichtet hingegen auf das Erfordernis einer speziellen Abhörvorrichtung.72 Dies ergebe sich zum einen aus dem Wortlaut, der nur von Vorrichtung spricht und zum anderen aus den drohenden Strafbarkeitslücken bei der Verletzung der Privatsphäre. Daher kommt eine WLAN-Karte als Vorrichtung in Betracht, weil Vorrichtung in diesem Sinne jedes technische Hilfsmittel sei, das Außenstehenden die Kenntnisnahme der übertragenen Sprachoder Datenmitteilung ermöglicht.73 Die Gegenmeinung ist überzeugend, weil für die Einbeziehung der WLAN-Karte in das Tatbestandsmerkmal „Vorrichtung“ bereits die Ratio des § 119 öStGB spricht. Geschützt werden soll die Vertraulichkeit der Nachrichtenübermittlung mittels Telekommunikation und Computersystemen insgesamt. Diese kann aber nicht nur durch die Verwendung spezieller Abhörvorrichtungen, sondern auch durch den Missbrauch an sich neutraler Vorrichtungen verletzt werden. Eine Privilegierung eines Täters, der mittels WLAN-Karte abhört, im Gegensatz zu demjenigen, der eine spezielle Abhörvorrichtung benützt, ist nicht gerechtfertigt. In beiden Fällen wird das Telekommunikationsgeheimnis vergleichbar verletzt. Auf die Art und Weise des Abfangens kann es nicht ankommen. Dieses Ergebnis kann auch auf eine konventionskonforme Auslegung unter Heranziehung des Art. 3 Cybercrime Convention gestützt werden. Bei Art. 3 Cybercrime Convention geht es ebenfalls um das Abfangen mit technischen Hilfsmitteln. Eine Begrenzung auf Abhörvorrichtungen ist auch hier nicht erkennbar und vom Konventionsgeber nicht gewollt.74 Zusammenfassend bleibt festzuhal71 Reindl, Computerstrafrecht im Überblick, S. 28 f.; WK-Lewisch, § 119 Rn. 4a f. 72 Beer, S. 132 f.; Lichtenstrasser/Mosing/Otto, ÖJZ 2003, 253 (259). 73 Plöckinger, S. 113 (117). 74 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 53, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011): Interception by ‚technical means‘ relates to listening to, monitoring or surveillance of the content of communications, to the procuring of the content of data either directly, through access and use of the computer system, or indirectly, through the use of electronic eavesdropping or tapping devices. Interception may also involve recording. Technical means includes technical devices fixed to transmission lines as well as devices to collect and record wireless communications. They may include the use of software, passwords and codes. The requirement of using technical means is a restrictive qualification to avoid over-criminalisation.“

II. Verletzung des Telekommunikationsgeheimnisses

91

ten, dass alle technischen Mittel von § 119 öStGB erfasst werden und somit diesbezüglich keine Unterschiede zu § 202b dStGB bestehen. Unterschiede könnten sich jedoch im Hinblick auf die Tathandlungen ergeben. Während § 202b dStGB ein Datenverschaffen zwingend voraussetzt, ist bei § 119 öStGB nur das Benutzen der Vorrichtung erforderlich. Bei § 119 öStGB kommt es folglich nicht darauf an, dass sich der Täter tatsächlich Daten verschafft. Nach den Ausführungen der deutschen Gesetzesbegründung75 kommt es beim Datenverschaffen in § 202b dStGB auf den Erwerb der Herrschaft über die Daten an. Eine solche liegt bereits dann vor, wenn sich der Täter die Daten durch das Abhören von Telefonaten oder durch die Kenntnisnahme von Emails verschafft.76 Im öStGB ist die Tathandlung hingegen weiter gefasst, weil es für die Bestimmung der Vollendung nur auf die Benutzung der Einrichtung und nicht auf die Kenntnisnahme von den Daten oder alternativ deren Speicherung, sondern nur in subjektiver Hinsicht auf die Kenntnisnahmeabsicht ankommt.77 Daher ergeben sich Unterschiede bei der Strafbarkeit immer dann, wenn der Täter die Nachricht nicht speichert und die internet- oder telefonbasierte Liveübertragung zwar mitlaufen lässt, aber nicht abhört.78 In diesen Fällen ist nur der objektive Tatbestand des § 119 öStGB erfüllt, nicht hingegen derjenige des § 202b dStGB. Die österreichische Fassung ist jedoch zu weit geraten, weil eine Strafbarkeit auch dann droht, wenn der Geheimnisschutz nicht verletzt ist. Dies gilt insbesondere in den Fällen, in denen der Täter die Nachrichtenübermittlung nur mitlaufen lässt, ohne sie gleichzeitig aufzuzeichnen und er sie deshalb nicht nachträglich abhören kann. Die übermittelte Nachricht bleibt in solchen Konstellationen weiterhin geheim. c) Subjektiver Tatbestand § 119 öStGB verlangt über den Vorsatz in Form des bedingten Vorsatzes hinsichtlich der objektiven Tatbestandsmerkmale hinaus auch die Absicht, sich von den Nachrichten Kenntnis zu verschaffen.79 Ob der Täter die 75

BT-Drs. 16/3656, S. 11. HK-GS-Tag, § 202b Rn. 3; LK-Hilgendorf, § 202b Rn. 13; NK-Kargl, § 202b Rn. 6; Schönke/Schröder-Eisele, § 202b Rn. 7; Schumann, NStZ 2007, 675 (677); a. A. SSW-Bosch, § 202b Rn. 3; nach der Ansicht von SK-Hoyer, § 202b Rn. 6, ist zusätzlich erforderlich, dass sich der Täter die Daten gerade in der Absicht verschafft hat, die mit deren Hilfe ausgedrückten Informationen in Erfahrung zu bringen. 77 Reindl, Computerstrafrecht im Überblick, S. 29. 78 WK-Lewisch, § 119 Rn. 7. 79 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 26, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 76

92

E. Die Umsetzung der Cybercrime Convention in Österreich

Nachricht tatsächlich zur Kenntnis nimmt, ist unbeachtlich, weil es sich um eine überschießende Innentendenz handelt.80 Die deutsche Regelung ist vorzugswürdig, weil bei § 119 öStGB das ausufernde objektive Tatbestandsmerkmal „Benutzen einer Vorrichtung“ mit der überschießenden Innentendenz auf subjektiver Ebene wieder eingeschränkt werden soll. Hieraus drohen aber in der Praxis vergleichbar mit § 118a öStGB Beweisprobleme im Hinblick auf den Vorsatz. Daher ist der Tatbestand des § 202b dStGB besser gelungen, weil sich die Tatbestandsmerkmale leichter nachweisen lassen. Aufgrund des engen objektiven Tatbestandes ist es dabei ausreichend, dass im subjektiven Tatbestand lediglich bedingter Vorsatz erforderlich ist81, weil eine Ausuferung der Strafbarkeit nicht droht.

III. Missbräuchliches Abfangen von Daten, § 119a öStGB § 119a öStGB wurde im Rahmen des Strafrechtsänderungsgesetzes 2002 in das österreichische Strafrecht eingefügt. Hierdurch sollte der Schutz des Telekommunikationsgeheimnisses über § 119 öStGB hinaus erweitert werden.82 § 119a öStGB hat zwei Alternativen, wovon die erste als Auffangtatbestand zu § 119 öStGB und die zweite zur Umsetzung der Cybercrime Convention konzipiert wurde.83 1. Gesetzestext (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

80

Kienapfel/Schroll, § 119. Fischer, § 202b Rn. 8. 82 WK-Reindl-Krauskopf, § 119a Rn. 1. 83 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 27, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 81

III. Missbräuchliches Abfangen von Daten

93

2. Vergleich mit der Cybercrime Convention Unterschiede könnten sich beim Tatobjekt ergeben. Gemäß § 119a öStGB werden allgemein Daten geschützt. Art. 3 i. V. m. 1 lit. b Cybercrime Convention hingegen nennt ausdrücklich nur Computerdaten. Der Schutzbereich des § 119a öStGB könnte daher weiter sein als derjenige der Cybercrime Convention. Computerdaten im Sinne der Cybercrime Convention sind Darstellungen von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschließlich eines Programms, das die Ausführung einer Funktion durch ein Computersystem auslösen kann. Hinsichtlich des Begriffs der Daten nimmt § 119a öStGB auf § 74 Abs. 2 öStGB Bezug. Hiernach sind Daten personen- und nicht personenbezogene Daten und Programme. Allerdings ist § 74 öStGB nur vermeintlich eine Legaldefinition, weil lediglich klargestellt wird, dass Daten sowohl personen- als auch nicht personenbezogen sein können.84 Aufgrund der Einführung der §§ 118a, 119a, 126b, 126c, 148a und 225a öStGB wollte der österreichische Gesetzgeber85 den Datenbegriff im Allgemeinen Teil des öStGB aufnehmen und somit allen Tatbeständen einen einheitlichen Datenbegriff zugrunde legen. Dieser Datenbegriff wird im Rahmen der Computerdelikte eingeschränkt, indem die Daten entweder elektronisch oder computertechnisch bearbeitet sein müssen. Als Computerdaten kommen sämtliche Informationen in Betracht;86 dies gilt auch für solche, die der Täter selbst erst eingibt und dadurch schafft. Dies ergibt sich insbesondere aus dem Wortlaut des § 126b öStGB, weil in diesem Tatbestand die Eingabe von Daten als Tathandlung statuiert wird. Anders als beim Übermitteln von Daten liegen beim Eingeben von Informationen noch keine Daten vor, da diese Informationen erst durch das Keyboard codiert werden. Somit sind Daten alle mit EDV-Anlagen bearbeitbaren Angaben, Zahlenwerte oder Informationen, die zur automationsunterstützten Datenverarbeitung aufgearbeitet wurden.87 Dieser Begriff hat sich durch den allgemeinen Sprachgebrauch im computerspezifischen Kontext entwickelt, sodass Daten im Sinne des § 74 Abs. 2 öStGB im Gleichlauf mit der Cybercrime Convention ebenfalls Computerdaten sind. 84 Nach der Ansicht SbgK-Thiele, § 118a Rn. 60, wirkt die Definition tautologisch. 85 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 23, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 86 Köck, S. 91 f.; WK-Reindl-Krauskopf, § 74 Rn. 65. 87 Beer, S. 106; Köck, S. 91 f.

94

E. Die Umsetzung der Cybercrime Convention in Österreich

Des Weiteren könnten sich Abweichungen im Rahmen des subjektiven Tatbestandes ergeben. Bei § 119a öStGB wurde von den Einschränkungsmöglichkeiten durch das Erfordernis einer überschießenden Innentendenz Gebrauch gemacht. Da als Tatobjekte anders als bei § 119 öStGB nicht nur Nachrichten, sondern alle Daten erfasst werden, sollte der weite objektive Tatbestand durch die Vorgaben auf subjektiver Ebene wieder eingeschränkt werden, um einer Ausuferung der Strafbarkeit entgegenzuwirken. Vergleichbar mit § 118a öStGB wurde daher neben dem Vorsatz bezüglich der objektiven Tatbestandsmerkmale auch die dreifache überschießende Innentendenz statuiert. Hieraus wird klar, dass der Gesetzgeber bewusst Nachrichten, § 119 öStGB, und sonstige Daten, § 119a öStGB, auf zwei verschiedene Normen verteilt hat, um die strafrechtlichen Anforderungen auf der Ebene des subjektiven Tatbestandes unterschiedlich gestalten zu können.88 Aufgrund der hohen Anforderungen an den subjektiven Tatbestand wird vereinzelt vertreten89, dass § 119a öStGB konventionswidrig sei, weil ein Großteil der Datenspionagesachverhalte ausgenommen wird und aufgrund des Rechtsgutes der Vertraulichkeit der Datenübertragungen eine Absicht im Sinne des Art. 3 Cybercrime Convention nur eine Kenntnisnahmeabsicht sein könne. Diese Auffassung plädiert daher für eine Beschränkung der überschießenden Innentendenz auf die Kenntnisnahmeabsicht vergleichbar mit § 119 öStGB. Eine solche Konventionswidrigkeit ist aber zu verneinen, weil zum einen Art. 3 Cybercrime Convention nicht zu entnehmen ist, dass nur die Kenntnisnahmeabsicht eine unredliche Absicht in diesem Sinne darstellen soll. Insbesondere aus dem Explanatory Report lässt sich ableiten, dass die unredlichen Absichten genauso wie in Art. 2 Cybercrime Convention zu interpretieren sind90, sodass auch eine Bereicherungs-, Schädigungsund Verwendungsabsicht statuiert werden kann. Zum anderen lässt sich aus dem Wortlaut des Art. 3 Cybercrime Convention auch nicht ableiten, dass Daten nicht schwächer geschützt werden dürfen als Nachrichten. Die Einschränkung über die Kenntnisnahme-, Verwendungs- und Bereicherungsbzw. Schädigungsabsicht ist somit mit den Vorgaben der Cybercrime Convention vereinbar, auch wenn eine solche Einschränkung dem Willen des Konventionsgebers, möglichst umfassenden Datenschutz zu erreichen, nicht gerecht wird. Daher ist der Forderung nach einer Änderung der überschießenden Innentendenzen zuzustimmen, weil § 119a öStGB in seiner aktuel-

88 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 27, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 89 Beer, S. 139. 90 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 59, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011).

III. Missbräuchliches Abfangen von Daten

95

len Form erhebliche Strafbarkeitslücken sowohl aus tatbestandlicher als auch beweisrechtlicher Sicht offenbart. 3. Vergleich mit § 202b dStGB § 119a öStGB ist sowohl Auffangtatbestand zu § 119 öStGB als auch eigenständiger Tatbestand bezüglich des Abfangens von elektromagnetischen Abstrahlungen. § 202b dStGB differenziert ebenfalls zwischen dem Abfangen von Daten und von elektromagnetischen Abstrahlungen. Dabei stellt auch § 202b dStGB einen Tatbestand dar, der Lücken des § 202a dStGB schließen soll.91 a) Geschütztes Rechtsgut Da Tatobjekt bei § 119a öStGB nicht Nachrichten, sondern Daten sind, wird das Kommunikationsgeheimnis insgesamt geschützt92, indem jeglicher Dateninhalt vor unbefugtem Zugriff geschützt werden soll. Es ergeben sich diesbezüglich keine Unterschiede zum formellen Geheimhaltungsinteresse des § 202b dStGB. b) Objektiver Tatbestand § 119a öStGB und § 202b dStGB könnten sich im Rahmen der Tathandlung des Abfangens von Datenübermittlungen unterscheiden, wenn § 119a öStGB nicht auf die Übermittlungsphase beschränkt wäre. § 202b dStGB setzt aufgrund seines Wortlauts „aus einer nichtöffentlichen Datenübermittlung“ zwingend ein Abfangen im Übermittlungsstadium voraus. Eine grammatische Auslegung des Tatbestandsmerkmals „übermittelte Daten“ in § 119a öStGB könnte auch bereits übertragene Daten erfassen, weil nicht ausdrücklich auf das Abfangen aus einer Datenübermittlung abgestellt wird.93 Das Erfordernis des Abfangens während der Übermittlungsphase kann aber zum einen auf die Überschrift des § 119a öStGB, der vom Abfangen von Daten spricht, und zum anderen auf den Schutzzweck94 gestützt werden. Ferner ist nach dem Wortlaut nur ein Abfangen in der Übermittlungsphase denkbar, weil die Nutzung einer Abhöreinrichtung verlangt wird. Eine solche kann aber frühestens mit Beginn einer Übermittlungs91 BT-Drs. 16/3656, 11; HK-GS-Tag, § 202b Rn. 7; NK-Kargl, § 202b Rn. 11; Schönke/Schröder-Eisele, § 202b Rn. 12; SSW-Bosch, § 202b Rn. 6. 92 WK-Reindl-Krauskopf, § 119a Rn. 1. 93 Dies ablehnend Beer, S. 128, und WK-Reindl-Krauskopf, § 119a Rn. 7. 94 Reindl, Computerstrafrecht im Überblick, S. 30.

96

E. Die Umsetzung der Cybercrime Convention in Österreich

phase eingreifen und ihr Einsatz endet mit Abschluss der Übertragung. Letztlich kann dieses Ergebnis auch auf eine konventionskonforme Auslegung gestützt werden. In Art. 3 Cybercrime Convention ist die Tathandlung als das unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, aus einem Computersystem oder innerhalb eines Computersystems definiert. Somit kommt es auch in der Cybercrime Convention auf ein Abfangen von Datenübermittlungen an. Unterschiede könnten sich aber bei den elektromagnetischen Abstrahlungen von Computersystemen gemäß § 119a öStGB bzw. Datenverarbeitungsanlagen gemäß § 202b dStGB ergeben, weil Telefone und Faxgeräte Datenverarbeitungsanlagen, aber keine Computersysteme sind.95 Ein Gleichlauf zwischen § 119a öStGB und § 202b dStGB bestünde dann, wenn Telefone und Faxgeräte keine elektromagnetischen Abstrahlungen – vergleichbar mit einem Computerbildschirm96 – emittieren könnten und daher Tatobjekte ebenfalls nur Computersysteme sein können. Jedes Gerät strahlt bei seinem Betrieb stärkere oder schwächere elektromagnetische Wellen ab.97 Werden von dem Gerät Informationen verarbeitet, können sich diese in der Abstrahlung befinden und dann über weite Entfernungen rekonstruierbar sein. Dabei ist zu beachten, dass Geräte vorab unter anderem durch die Bestrahlung mit Hochfrequenzenergie derart manipuliert werden können, dass die Abstrahlung die verarbeiteten Informationen in sich tragen.98 Die Art und Weise der Abstrahlung kann dabei unterschiedliche Ursachen haben. Zum einen kann diese in Form von elektromagnetischen Wellen, als akustische oder auch als leitungsgebundene Abstrahlung bei metallischen Leitern vorliegen. Zum anderen besteht die Gefahr einer Überkoppelung bei parallel verlegten Kabeln oder durch akustische Überkoppelung. Bei der akustischen Überkoppelung wird durch schallempfindliche Geräteteile das akustische Signal in ein elektrisches umgewandelt und dann entweder über metallische Leiter oder die Raumstrahlung verbreitet.99 Aufgrund der leitungsgebundenen Abstrahlung und der dabei möglichen Überkoppelung kommen somit auch Telefone und Faxgeräte in Betracht. Elektronische Anlagen, die keine 95

Vgl. auch SbgK-Thiele, § 118a Rn. 28. Beer, S. 134. 97 Bei den elektromagnetischen Wellen handelt es sich nicht um Daten im Sinne des § 202a dStGB, sondern die Daten sind lediglich rekonstruierbar, vgl. Vassilaki, CR 2008, 131 (133). 98 Bundesamt für Sicherheit in der Informationstechnik, Abstrahlsicherheit, https://www.bsi.bund.de/cln_164/ContentBSI/grundschutz/kataloge/m/m04/m04089. html (Stand: 4. Januar 2011). 99 Bundesamt für Sicherheit in der Informationstechnik, Abstrahlsicherheit, https://www.bsi.bund.de/cln_164/ContentBSI/grundschutz/kataloge/m/m04/m04089. html (Stand: 4. Januar 2011). 96

III. Missbräuchliches Abfangen von Daten

97

Computersysteme sind, werden von § 119a öStGB nicht erfasst. Zwar ist der Begriff „Computersysteme“ im öStGB weit auszulegen.100 Allerdings hat der Gesetzgeber bewusst in § 119 öStGB zwischen Telekommunikationsanlagen und Computersystemen differenziert. Im Umkehrschluss wird daraus der Wille des Gesetzgebers dahin gehend erkennbar, dass nur Computer und die daran angeschlossenen Peripheriegeräte, wie Drucker, Tastatur, Internetfaxgeräte101 etc., erfasst sind. Somit geht § 202b dStGB hinsichtlich der elektromagnetischen Abstrahlungen über § 119a öStGB hinaus. Dies führt allerdings im Ergebnis nicht zu signifikanten Unterschieden bei der Strafbarkeit, weil die Übertragung eines Faxgeräts, Telefons102 etc. in der Regel eine Übertragung von Nachrichten darstellt, die dem Schutzbereich des § 119 öStGB unterfällt.103 In solchen Fällen liegt ein sonstiges Empfangsbereitmachen vor, weil der Täter ein Gerät so einrichtet, dass er sich in die Verbindung einschalten kann.104 c) Subjektiver Tatbestand Anders als bei § 202b dStGB ist über den bedingten Vorsatz bei den objektiven Tatbestandsmerkmalen hinaus bei § 119a öStGB wiederum die dreifache überschießende Innentendenz erforderlich.105 Problematisch ist jedoch, dass der Tatbestand von mittels Computersystemen übertragenen Daten spricht und bei elektromagnetischen Abstrahlungen eines Bildschirms die Datenübermittlung vom Prozessor zum Bildschirm bereits abgeschlossen ist. Daher ist die Spionageabsicht bei § 119a öStGB beim Auffangen der elektromagnetischen Abstrahlung dahin gehend zu verstehen, dass der Täter Daten ausspionieren will, die bereits übertragen wurden oder zur Übertragung bestimmt sind.106

100 Hinsichtlich der weiten Auslegung des Begriffs „Computersystem“, vgl. SbgK-Thiele, § 118a Rn. 28. 101 WK-Reindl-Krauskopf, § 74 Rn. 58. 102 Die Internettelefonie wird von beiden Rechtsordnungen erfasst, weil es sich um Datenübermittlungen mittels Computersystemen handelt. Unterschiede ergeben sich folglich nur im Hinblick auf die Nutzung von Telefonanlagen. 103 In diesem Zusammenhang wird der Charakter des § 119a öStGB als Auffangtatbestand ersichtlich. 104 WK-Lewisch, § 119 Rn. 6. 105 Hinsichtlich der Einschränkungen der Strafbarkeit aufgrund der überschießenden Innentendenz kann auf die Ausführungen zu § 118a öStGB unter Kapitel E. I. 2. c) verwiesen werden. 106 SbgK-Thiele, § 119a Rn. 34; WK-Reindl-Krauskopf, § 119a Rn. 12.

98

E. Die Umsetzung der Cybercrime Convention in Österreich

IV. Missbrauch von Tonband- oder Abhörgeräten, § 120 Abs. 2a öStGB § 120 Abs. 2a öStGB wurde im Rahmen des Strafrechtsänderungsgesetzes 2002 eingefügt. Hierdurch wurde die bisherige Regelung in § 102 öTKG in das Kernstrafrecht aufgenommen und der Schutz der Vertraulichkeit von Nachrichten erweitert. 1. Gesetzestext (1)a . . . (2) a. . . (2a) Wer eine im Wege einer Telekommunikation übermittelte und nicht für ihn bestimmte Nachricht in der Absicht, sich oder einem anderen Unbefugten vom Inhalt dieser Nachricht Kenntnis zu verschaffen, aufzeichnet, einem anderen Unbefugten zugänglich macht oder veröffentlicht, ist, wenn die Tat nicht nach den vorstehenden Bestimmungen oder nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (3)a Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

2. Anwendungsbereich Zu klären ist, welcher Anwendungsbereich für den neben §§ 119 und 119a öStGB aufgrund gesetzlicher Anordnung subsidiären § 120 Abs. 2a öStGB verbleibt107, weil das Aufzeichnen bei § 120 Abs. 2a öStGB ebenfalls ein Abfangen von Nachrichten im Wege der Telekommunikation darstellt.108 Zunächst käme § 120 Abs. 2a öStGB zur Anwendung, wenn im Rahmen des § 119 öStGB der Abhörvorrichtung eine Abhörbestimmung immanent sein müsste, weil bei § 120 Abs. 2a öStGB eine Abhörvorrichtung tatbestandlich nicht erforderlich ist.109 Da es aber – wie bereits dargestellt110 – bei § 119 öStGB nicht auf die besondere Bestimmung der Ab107 Reindl, Computerstrafrecht im Überblick, S. 31; WK-Reindl-Krauskopf, § 120 Rn. 31h. Aufgrund der Subsidiarität beträgt das Strafmaß nur 180 Tagessätze im Höchstmaß. 108 Fabrizy, § 120 Rn. 4a. 109 Nach Ansicht Lichtenstrasser/Mosing/Otto, ÖJZ 253 (259) fallen WLAN-Karten unter § 120 Abs. 2a öStGB, weil das Tatbestandsmerkmal „Telekommunikation“ weit auszulegen sei, und daher WLAN-Übermittlungen sowohl unter den Begriff der Computerdatenübermittlung als auch der Telekommunikation subsumiert werden können. 110 Vgl. die Ausführungen unter Kapitel E. II. 4. b).

IV. Missbrauch von Tonband- oder Abhörgeräten

99

hörvorrichtung ankommt, werden von § 120 Abs. 2a öStGB nur die Fälle erfasst, in denen der Täter beispielsweise Emails aufgrund einer Fehlleitung erhält und diese im Anschluss anderen zugänglich macht oder veröffentlicht. Noch geringer ist der Anwendungsbereich des Aufzeichnens. Da bei § 119 öStGB immer das Anbringen einer Abhörvorrichtung an der Telekommunikationsanlage erforderlich ist, kommt ein Aufzeichnen und somit eine Strafbarkeit nach § 120 Abs. 2a öStGB allenfalls dann in Betracht, wenn die Aufnahme erst nach der Wiedergabe des Telefonats ansetzt. Als Beispiel kann hier das Abhören eines Raumes mit Wanzen genannt werden, wenn das Opfer mittels Freisprechanlage telefoniert. Nur dann fehlt es am unmittelbaren Anbringen einer Vorrichtung an der Telekommunikationsanlage im Sinne des § 119 öStGB. Der Anwendungsbereich des § 120 Abs. 2a öStGB hinsichtlich des Aufzeichnens ist daher marginal.111 Der Anwendungsbereich des § 120 Abs. 2a öStGB wird durch § 119a öStGB noch weiter eingeschränkt, da dieser aufgrund des höheren Strafmaßes § 120 Abs. 2a öStGB verdrängt. Das Abfangen von Nachrichten erfüllt immer das in § 119a öStGB statuierte Abfangen von Daten, da sich Nachrichten immer aus Daten zusammensetzen. 3. Vergleich mit Art. 3 Cybercrime Convention Ein Unterschied besteht darin, dass § 120 Abs. 2a öStGB anders als Art. 3 Cybercrime Convention keine technischen Hilfsmittel zum Abfangen von Daten verlangt. Im Gegensatz zu Art. 3 Cybercrime Convention greift § 120 Abs. 2a öStGB nur bei der Übermittlung von Nachrichten ein. 4. Vergleich mit § 202b dStGB a) Geschütztes Rechtsgut § 120 Abs. 2a öStGB ist die Nachfolgeregelung von § 102 öTKG 1997.112 Daher kann auf diese Norm zur Bestimmung des geschützten Rechtsguts zurückgegriffen werden. Geschützt wird folglich die Vertraulich111 So Lichtenstrasser/Mosing/Otto, ÖJZ 253 (259), wonach zufällig erhaltene Gedankeninhalte erfasst werden sollen. 112 Wortlaut des § 102 TKG 1997: (1) Wer entgegen § 88 Abs. 4 Nachrichten in der Absicht, sich oder einem anderen Unberufenen Kenntnis vom Inhalt dieser Nachrichten zu verschaffen, aufzeichnet oder einem Unberufenen mitteilt, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (2) Der Täter ist nur auf Antrag des Verletzten zu verfolgen.

100

E. Die Umsetzung der Cybercrime Convention in Österreich

keit von Nachrichten.113 Es ergeben sich somit keine Unterschiede zum Vergleich des § 119 öStGB mit § 202b dStGB.114 Die Normen dienen dem Geheimnisschutz. b) Objektiver Tatbestand Im Gegensatz zu den §§ 119 und 119a öStGB ist es bei § 120 Abs. 2a öStGB erforderlich, dass der Täter tatsächlich eine Nachricht aufzeichnet, die Nachricht einem anderen zugänglich macht oder veröffentlicht.115 Die bei den §§ 118a und 119a öStGB noch subjektiven Tatbestandsmerkmale sind hier folglich objektiviert. Unterschiede können sich zwischen den Tathandlungen des Aufzeichnens gemäß § 120 Abs. 2a öStGB und des Datenverschaffens gemäß § 202b dStGB ergeben. Aufzeichnen ist die dauerhafte physikalische Fixierung der Nachricht auf einem Ton- oder Datenträger.116 Eine Mitschrift und somit die bloße inhaltliche Wiedergabe reicht zur Erfüllung des Tatbestandsmerkmals „Aufzeichnen“ nicht aus. Nach den Ausführungen der deutschen Gesetzesbegründung117 kommt es beim Datenverschaffen in § 202b dStGB auf den Erwerb der Herrschaft über die Daten an. Aufgrund der mannigfaltigen Übertragungswege kann dies auf unterschiedliche Art und Weise geschehen. Ein Abspeichern oder Aufzeichnen ist nicht erforderlich, wenn der Täter die Daten beim Abhören zeitgleich zur Kenntnis nimmt, weil bereits dann die erforderliche Herrschaft über die Daten vorliegt.118 Somit setzt das Datenverschaffen entweder das Abspeichern oder alternativ die Kenntnisnahme voraus. Im Ergebnis geht § 202b dStGB über § 120 Abs. 2a öStGB hinaus, weil dieser bereits das bloße Mitlesen am Bildschirm genügen lässt. Die bei § 202b dStGB ausreichende Kenntnisnahme ist dem tatsächlichen Aufzeichnen vorgelagert. Die Statuierung einer Strafbarkeit des Mitlesens ist gegenüber der österreichischen Norm aber vorzuziehen, weil bereits beim Mitlesen das Geheimhaltungsinteresse verletzt wird. 113

WK-Reindl-Krauskopf, § 120 Rn. 31a. Zur Subsidiarität der §§ 89, 148 TKG vgl. Schönke/Schröder-Eisele, § 202b Rn. 12. 115 Bezüglich der Tatobjekte kann auf den Vergleich des § 119 öStGB mit § 202b dStGB unter Kapitel E. II. 4. b) verwiesen werden. 116 Beer, S. 137; WK-Reindl-Krauskopf, § 120 Rn. 31b. 117 BT-Drs. 16/3656, S. 11. 118 HK-GS-Tag, § 202b Rn. 3; LK-Hilgendorf, § 202b Rn. 13; NK-Kargl, § 202b Rn. 6; Schönke/Schröder-Eisele, § 202b Rn. 7; Schumann, NStZ 2007, 675 (677); SSW-Bosch, § 202b Rn. 3; nach der Ansicht SK-Hoyer, § 202b Rn. 6, ist zusätzlich erforderlich, dass sich der Täter die Daten gerade in der Absicht verschafft hat, die mit deren Hilfe ausgedrückten Informationen in Erfahrung zu bringen. 114

IV. Missbrauch von Tonband- oder Abhörgeräten

101

Weitere Unterschiede ergeben sich daraus, dass § 202b dStGB neben dem Datenverschaffen die Tathandlungen des Zugänglichmachens und Veröffentlichens nicht kennt. Ein Zugänglichmachen liegt vor, wenn der Täter einem konkreten Dritten die Möglichkeit der Kenntnisnahme eröffnet und zwar unabhängig davon, ob er beispielsweise die Email selbst öffnet und dem Dritten zeigt oder sie nur weiterleitet.119 Dabei kommt es auf eine tatsächliche Kenntnisnahme durch den Dritten nicht an, sodass der Tatbestand bereits verwirklicht wird, wenn der Dritte die weitergeleitete Email ungelesen löscht. Das Veröffentlichen ist ein Zugänglichmachen für einen unbestimmten Personenkreis.120 Als Beispiel kommt das Veröffentlichen in einem Blog in Betracht.121 Problematisch ist jedoch, ob im Rahmen des Zugänglichmachens und Verbreitens nur die Nachricht in ihrer ursprünglichen Form, d.h. die empfangene Email, oder auch der Inhalt der Nachricht selbst geschützt ist. Relevant wird dies vor allem beim Mitschreiben oder bloßen Mitlesen von Nachrichten. Teilweise wird vertreten, dass nur die Nachricht in ihrer ursprünglichen Form geschützt sei, sodass eine rein inhaltliche Wiedergabe nicht tatbestandsmäßig sei.122 Begründet wird diese Ansicht damit, dass auch das Weitererzählen des Inhaltes eines Briefes nicht strafbar sei, sodass es nicht sachgerecht wäre, bei einer Email anders zu entscheiden. Zum anderen würde ansonsten eine Geheimhaltungspflicht für diejenigen statuiert, die zufällig eine Email erhalten. Für diese Auffassung kann zwar vorgebracht werden, dass die Weitergabe der Originalnachricht weiter in die Privatsphäre des Belauschten eingreift. Beispielhaft sei hier die Weiterleitung der Email genannt, die aufgrund ihrer Fixierung immer wieder gelesen werden kann. Diese gibt eindeutig und fehlerfrei die Aussage des Opfers wieder. Bei einer Mitschrift, die nur den Inhalt wiedergibt, können hingegen Fehler unterlaufen sein. Daher hat eine Mitschrift einen wesentlich geringeren Wahrheits- und Beweiswert. Allerdings überzeugt der Vergleich mit einem normalen Brief nicht, weil die Möglichkeit, vom Inhalt eines Briefes Kenntnis zu erlangen, ohne sich nach § 118 öStGB strafbar zu machen, nicht besteht. Der Empfänger muss den Brief immer öffnen bzw. solche Mittel einsetzen, durch die er ohne ein Öffnen Kenntnis vom Inhalt erlangt.123 Anders ist die Situation jedoch bei Emails; verwechselt der Absen119

WK-Lewisch, § 120 Rn. 10, 12; WK-Reindl-Krauskopf, § 120 Rn. 31c. WK-Lewisch, § 120 Rn. 12. 121 Das Wort „Blog“ ist aus der Kombination von Web und Logbuch entstanden. Es handelt sich bei Blogs um Onlinetagebücher, die auf einer bestimmten Website veröffentlicht werden und daher für jedermann zugänglich sind, vgl. Gercke/Brunst, Rn. 781. 122 WK-Reindl-Krauskopf, § 120 Rn. 31d. 123 Bei Briefen, die offen herumliegen, ist § 118 öStGB nicht einschlägig. Dies führt aber nicht zu Strafbarkeitslücken, weil derjenige, der einen Brief allgemein zugänglich offen liegen lässt, konkludent auf sein Geheimhaltungsinteresse verzichtet. 120

102

E. Die Umsetzung der Cybercrime Convention in Österreich

der nur einen Buchstaben kann es sein, dass die Email bei einem falschen Empfänger ankommt, der die Email meist ohne böse Absichten öffnet, liest und erst dann die Fehlleitung erkennt. Die Gefahr, dass Geheimnisse oder sonstige vertrauliche Informationen fehlgeleitet werden, ist daher bei Emails um ein Vielfaches höher. Vor einer Weiterverbreitung, welche insbesondere durch das Medium Internet kaum begrenzt ist, muss der Absender geschützt werden. Darüber hinaus spricht auch die systematische Auslegung gegen die Ansicht, die nur die Nachricht in ihrer ursprünglichen Form schützt. Bei § 120 Abs. 2 öStGB wird explizit auf die Tonaufnahme abgestellt. Ebenso wäre es möglich gewesen, bei § 120 Abs. 2a öStGB auf die Aufzeichnung Bezug zu nehmen. Aufgrund der systematischen Stellung der § 120 Abs. 2 und 2a öStGB kann dem Gesetzgeber ein Übersehen der Problematik und ein hieraus resultierendes Gesetzgeberversehen aber nicht unterstellt werden. Stattdessen wollte er bewusst auch den Inhalt der Nachrichten schützen.124 Letztlich muss ein geringerer Eingriff in die Privatsphäre (inhaltliche Wiedergabe statt Aufzeichnung) nicht zwingend eine Straflosigkeit begründen, da hierdurch Opferschutzaspekte vernachlässigt werden würden. Das Recht auf Privatsphäre, das auch den Schutz vor unbefugter inhaltlicher Weitergabe der versandten Nachrichten erfasst, muss daher durch Anordnung einer strafrechtlichen Sanktionierung geschützt werden. Das Zugänglichmachen und das Veröffentlichen haben neben dem Aufzeichnen eine eigenständige Bedeutung, sodass eine Strafbarkeit auch dann in Betracht kommt, wenn im Zeitpunkt des Aufzeichnens der erforderliche Tatvorsatz nicht vorlag. Für die Selbstständigkeit der Tathandlungen spricht bereits die Gesetzessystematik, die die Tatvarianten Zugänglichmachen und Veröffentlichen neben dem Aufzeichnen nennt. Dieser beiden Tatvarianten hätte es nicht bedurft, wenn das Aufzeichnen auch bei diesen für die Strafbarkeit erforderlich wäre. Das Zugänglichmachen oder Veröffentlichen könnte im Rahmen der Strafzumessung Berücksichtigung finden. Stattdessen hat der österreichische Gesetzgeber die drohenden Strafbarkeitslücken bei unvorsätzlich aufgezeichneten Nachrichten erkannt und deshalb das eigenständige Zugänglichmachen und Verbreiten unter Strafe gestellt. Anders als bei § 202b dStGB, sofern nicht die §§ 201 oder 202 dStGB einschlägig sind, wird der Inhalt der Nachrichten umfänglich vor einem nachträglichen Zugänglichmachen und einer Verbreitung geschützt. Dies wird dem Schutz der Vertraulichkeit von Nachrichten überaus gerecht. Diesbezüglich ist die österreichische Norm vorzugswürdig, da das Geheimnisschutzinteresse bei Emails über den Zeitraum des Versands hinausgeht. 124 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 27, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011).

V. Datenbeschädigung

103

c) Subjektiver Tatbestand Auch bei § 120 Abs. 2a öStGB ergeben sich Unterschiede im subjektiven Bereich, da wiederum eine überschießende Innentendenz erforderlich ist. Anders als bei §§ 118a und 119a öStGB bedarf es bei § 120 Abs. 2a öStGB aber nur der Kenntnisnahmeabsicht, weil das Zugänglichmachen und Veröffentlichen bereits im objektiven Tatbestand normiert ist.

V. Datenbeschädigung, § 126a öStGB 1. Gesetzestext (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat an den Daten einen 3.000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 50.000 Euro übersteigenden Schaden herbeiführt oder die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.

2. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss § 126a öStGB dient der Umsetzung von Art. 4 Cybercrime Convention125 und Art. 4 EU-Rahmenbeschluss.126 § 126a öStGB sanktioniert das Verändern, Löschen, sonstige Unbrauchbarmachen oder Unterdrücken von Daten. Im Gegensatz zur Cybercrime Convention sieht § 126a öStGB das Erfordernis eines Schadens vor. Dadurch erfolgt eine Einschränkung in den 125

Wortlaut des Art. 4 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das unbefugte Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 2. Eine Vertragspartei kann sich das Recht vorbehalten, als Voraussetzung vorzusehen, dass das in Absatz 1 beschriebene Verhalten zu einem schweren Schaden geführt haben muss. 126 Wortlaut des Art. 4 EU-Rahmenbeschluss: Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass das unbefugte vorsätzliche Löschen, Beschädigen, Verstümmeln, Verändern, Unterdrücken oder Unzugänglichmachen von Computerdaten eines Informationssystems zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

104

E. Die Umsetzung der Cybercrime Convention in Österreich

Fällen, in denen das Opfer ein Back-up der betroffenen Daten besitzt. Allerdings wird in Art. 4 Abs. 2 Cybercrime Convention die Möglichkeit eingeräumt, eine Strafbarkeit auf die Fälle zu begrenzen, in denen ein schwerer Schaden eingetreten ist. Hieraus ergibt sich anhand der Auslegung des Willens des Konventionsgebers, dass ein Schaden im Rahmen des Grunddelikts vorausgesetzt werden kann. Daher bedarf es im Falle einer Ratifikation keiner Erklärung gemäß Art. 40 Cybercrime Convention. § 126a öStGB ist somit konventionskonform.127 Der EU-Rahmenbeschluss statuiert ebenfalls nicht das Erfordernis eines Schadens. Allerdings ermöglicht Art. 4 EU-Rahmenbeschluss eine Einschränkung, indem Straflosigkeit für leichte Fälle vorgesehen werden kann. Unter das Tatbestandsmerkmal „leichter Fall“ können die Fälle subsumiert werden, bei denen kein Schaden entstanden ist. § 126a öStGB ist daher auch rahmenbeschlusskonform. Im Gegensatz zum EU-Rahmenbeschluss sieht der Wortlaut des § 126a öStGB nicht das Verstümmeln und Unzugänglichmachen vor. Dies ist jedoch unschädlich, weil es sich beim Verstümmeln lediglich um einen Spezialfall des Veränderns und Unbrauchbarmachens und beim Unzugänglichmachen um einen Sonderfall des Unterdrückens handelt, sodass dem österreichischen Gesetzgeber in diesem Zusammenhang keine mangelhafte Umsetzung vorgeworfen werden kann. 3. Vergleich des § 126a Abs. 1 öStGB mit § 303a dStGB a) Geschütztes Rechtsgut Bei § 126a öStGB handelt es sich aufgrund des erforderlichen unmittelbaren Schadens um ein Vermögensdelikt128, was sich aus der systematischen Einordnung im Bereich der Straftaten gegen fremdes Vermögen ergibt. Darüber hinaus wird auch das Interesse an der Verfügbarkeit der Daten und deren Fortbestand geschützt.129 § 303a dStGB schützt die Datenintegrität und die Verfügungsmacht des Berechtigten über die Daten.130 Allerdings wird auch bei § 303a dStGB vertreten, dass das Vermögen als solches geschützt werde.131

127

Beer, S. 148. Reindl, Computerstrafrecht im Überblick, S. 19. 129 SbgK-Triffterer, § 126a Rn. 21. 130 BT-Drs. 10/5058, S. 32; Fischer, § 303a Rn. 2; HK-GS-Weiler, § 303a Rn. 1; LK-Wolf, § 303a Rn. 4; MüKo-Wieck-Noodt, § 303a Rn. 2; NK-Zaczyk, § 303a Rn. 2; SK-Hoyer, § 303a Rn. 2; SSW-Hilgendorf, § 303a Rn. 3. 131 Haft, NStZ 1987, 6 (10). 128

V. Datenbeschädigung

105

b) Objektiver Tatbestand Daten im Sinne des § 126a öStGB sind solche, die automationsunterstützt verarbeitet, übermittelt oder überlassen werden. Gemeint sind damit alle mit EDV-Anlagen bearbeitbaren Angaben, Zahlenwerte oder Informationen, die zur automationsunterstützten Datenverarbeitung erstellt wurden. Zusammengefasst handelt es sich folglich ausschließlich um Computerdaten.132 Daten werden automationsgestützt verarbeitet, wenn sie elektronisch erfasst, geordnet, kopiert, gespeichert etc. werden.133 Daten sind übermittelt und überlassen, wenn sie an einen anderen übertragen wurden und dieser sie auf einem Datenträger gespeichert hat.134 Dabei kommen aufgrund der Formulierung nur Daten, die sich auf einer Festplatte oder einem sonstigen Datenträger befinden als verarbeitete oder übermittelte Daten in Betracht, da sie ansonsten nicht existieren würden.135 Insofern ist der Datenbegriff enger als bei § 303a dStGB, bei dem der allgemeine Datenbegriff einschlägig ist.136 Bei § 303a dStGB müssen nicht zwingend Computerdaten betroffen sein und es werden auch Daten im Zwischenspeicher erfasst, die noch nicht auf einem Datenträger abgespeichert sind.137 Weitere Unterschiede ergeben sich deshalb, weil nur bei § 126a öStGB ein durch die Tathandlung verursachter Schaden erforderlich ist.138 Bei § 303a dStGB hingegen liegt Vollendung bereits dann vor, wenn eine der Tathandlungen dazu geführt hat, dass die Verfügbarkeit, Existenz oder sonstige Brauchbarkeit der Daten zumindest eingeschränkt wurde. Der Schaden bei § 126a öStGB muss unmittelbar durch die Tathandlung eingetreten sein. Bei diesem Unmittelbarkeitszusammenhang kommt es auf eine Zweistufigkeit an, da als eine Art Zwischenstadium der Lösch-, Veränderungs-, Unter132

Beer, S. 106. Köck, S. 91 f.; SbgK-Triffterer, § 126a Rn. 59. 134 WK-Bertel, § 126a Rn. 1; bezüglich der Begriffe „übermittelt“ und „überlassen“ können die Definitionen in § 4 öDSG herangezogen werden: 11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen des Auftragsverhältnisses; 12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers. 135 WK-Bertel, § 126a Rn. 1. 136 Vgl. diesbezüglich die Ausführungen unter Kapitel D. II. 3. a). 137 A. A. Hilgendorf, JuS 1996, 509 (511), der eine Fixierung auf einem Datenträger zur Bejahung des Datenbegriffs fordert. 138 Reindl, Computerstrafrecht im Überblick, S. 22. Eine derartige Einschränkung der Strafbarkeit aufgrund der Erforderlichkeit eines Vermögensschadens wird in Art. 4 Abs. 2 Cybercrime Convention aber ausdrücklich eingeräumt. 133

106

E. Die Umsetzung der Cybercrime Convention in Österreich

drückungs- oder Unbrauchbarkeitserfolg und dadurch der Vermögensschaden eintreten muss.139 Nach einhelliger Meinung ist beim Vorliegen eines Back-ups das Tatbestandsmerkmal „Schaden“ und somit der Tatbestand des § 126a öStGB nicht erfüllt.140 Auf die Form der Back-ups kommt es nicht an, sodass bereits die Speicherung auf einer Sicherungsdiskette ausreicht.141 Dass bei § 303a dStGB ein Schaden nicht erforderlich ist, ist vorzugswürdig, weil ein solcher mit dem Opferschutz nicht vereinbar ist. Hat das Opfer nämlich ein Back-up erstellt, würden solche Sicherungsmaßnahmen zu einer Privilegierung des Täters führen. Da eine solche Besserstellung aber ausschließlich vom Verhalten des Opfers abhängt, ist für eine derartige Privilegierung des Täters kein Raum. Ferner wird das Rechtsgut Datenintegrität durch die Datenveränderung bereits verletzt und zwar unabhängig davon, ob die Datenintegrität wiederhergestellt werden kann.142 Dieses Ergebnis entspricht auch dem Willen des Konventionsgebers.143 Die Kategorisierung des § 126a öStGB als Vermögensdelikt verkennt hingegen den hohen immateriellen Stellenwert der Datenintegrität. Die Datenveränderung als Taterfolg im Sinne des § 303a dStGB ist daher vorzuziehen. Bei der aktuellen deutschen Rechtslage findet der Schaden im Rahmen der Strafzumessung Berücksichtigung, sodass ein solcher auch nach § 303a dStGB nicht unberücksichtigt bleibt. c) Subjektiver Tatbestand In subjektiver Hinsicht bestehen keine Unterschiede; insbesondere bedarf es bei § 126a öStGB keiner Schädigungsabsicht. Es reicht bereits aus, wenn der Täter mit bedingtem Vorsatz im Hinblick auf den Schaden agiert. d) Deliktscharakter Ein weiterer Unterschied besteht darin, dass es sich bei § 126a öStGB um ein Offizialdelikt handelt, wohingegen § 303a Abs. 1 und 2 dStGB gemäß § 303c dStGB relative Antragsdelikte sind. Dadurch ist nur beim Vorliegen eines besonderen öffentlichen Interesses ein Einschreiten von Amts wegen möglich. 139

Beer, S. 146. Beer, S. 147; Reindl, Computerstrafrecht im Überblick, S. 21; WK-Bertel, § 126a Rn. 6. 141 WK-Bertel, § 126a Rn. 6. 142 Ernst, NJW 2007, 2661 (2665). 143 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 60, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 140

V. Datenbeschädigung

107

4. Vergleich des § 126a Abs. 2 mit §§ 303a, 303b Abs. 1 Nr. 1, 2 i. V. m. Abs. 4 S. 2 Nr. 1 und 2 dStGB § 126a Abs. 2 öStGB statuiert zweistufig für EUR 3.000 und EUR 50.000 übersteigende Schäden einen erhöhten Strafrahmen. Aufgrund des im Rahmen des § 303a dStGB nicht erforderlichen Schadens ist ein Vergleich mit § 303a dStGB direkt nicht möglich, sondern nur über §§ 303b Abs. 1 Nr. 1, Abs. 2 und 4 i. V. m. 303a dStGB. Gleiches gilt für die in § 126a Abs. 2 öStGB aufgeführte Mitgliedschaft in einer kriminellen Vereinigung. § 303b Abs. 4 dStGB enthält Regelbeispiele bezüglich der Qualifikation des Abs. 2, der einen erhöhten Strafrahmen vorsieht, wenn die beeinträchtigte Datenverarbeitung für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist. a) Objektiver Tatbestand Unterschiede könnten sich daraus ergeben, dass § 126a öStGB die Mitgliedschaft in einer kriminellen Vereinigung sanktioniert, während §§ 303a, 303b Abs. 4 S. 2 Nr. 2 dStGB auf die Bandeneigenschaft hinsichtlich der Computersabotage abstellt.144 Gemäß § 278 Abs. 2 öStGB ist eine kriminelle Vereinigung ein auf längere Zeit angelegter Zusammenschluss von mehr als zwei Personen, der darauf ausgerichtet ist, dass von einem oder mehreren Mitgliedern der Vereinigung ein oder mehrere Verbrechen, andere erhebliche Gewalttaten gegen Leib und Leben, nicht nur geringfügige Sachbeschädigungen, Diebstähle, Betrügereien oder die sonstigen aufgezählten Vergehen begangen werden.145 Eine Bande ist eine Gruppe von Personen, die sich entweder stillschweigend oder ausdrücklich zur Begehung weiterer Taten zusammengeschlossen hat. Dabei liegt eine Bande nach Ansicht des BGH vor, wenn sich mindestens drei Personen zur Begehung von künftigen Taten zusammengeschlossen haben.146 Die Taten müssen dabei noch nicht konkretisiert sein.147 Der deutsche Bandenbegriff geht über den Begriff der Mitgliedschaft in einer kriminellen Vereinigung hinaus. Zur Bejahung der Mitgliedschaft in einer kriminellen Vereinigung reicht es nicht aus, dass der Zusammenschluss der Begehung von Delikten gemäß § 126a Abs. 1 öStGB dient, weil diese Norm nicht in § 278 öStGB auf144 Zwar handelt es sich bei Regelbeispielen gerade nicht um objektive Tatbestandsmerkmale. Zum besseren Vergleich werden sie aber in dem Bereich des objektiven Tatbestandes dargestellt. 145 §§ 104a, 165, 177b, 233 bis 239, 241a bis 241c, 241e, 241f, 304 oder 307 öStGB oder §§ 114 Abs. 2 oder 116 des Fremdenpolizeigesetzes. 146 BGH NJW 2005, 2629. 147 Fischer, § 244 Rn. 34; LK-Wolf, § 303b Rn. 37; SK-Hoyer, § 303b Rn. 23.

108

E. Die Umsetzung der Cybercrime Convention in Österreich

gezählt wird.148 Erst wenn ein Mitglied einer bereits zuvor bestehenden kriminellen Vereinigung den Tatbestand des § 126a Abs. 1 öStGB erfüllt, liegt eine Strafbarkeit gemäß § 126a Abs. 2 öStGB vor. Im Gegensatz dazu bleibt die Strafbarkeit aufgrund der Bandeneigenschaft gemäß §§ 303a, 303b Abs. 2 i. V. m. Abs. 4 S. 2 Nr. 2 dStGB hinter § 126a Abs. 2 öStGB insofern zurück, als dass sie nur eingreift, wenn Tatobjekt eine Datenverarbeitungsanlage eines fremden Betriebes, fremden Unternehmens oder einer Behörde ist. Bei Privatpersonen kommt das Regelbeispiel anders als im öStGB folglich nicht in Betracht. Dass der deutsche Bandenbegriff über die österreichischen Vorgaben hinausgeht, ist zu begrüßen, weil nur so eine effektive Abschreckung krimineller Hackerbanden, insbesondere aus dem osteuropäischen Raum, gewährleistet werden kann.149 Die deutsche Fassung ist deshalb vorzuziehen, sollte jedoch auf Privatpersonen erweitert werden. Der maximale Strafrahmen des §§ 303a i. V. m. 303b Abs. 1 dStGB von bis zu drei Jahren wird der kriminellen Energie nicht gerecht und hat keine ausreichend abschreckende Wirkung. Weitere Unterschiede könnten sich bei den Tatbestandsmerkmalen des EUR 3.000 oder EUR 50.000 übersteigenden Schadens im Sinne des § 126a öStGB und dem Vermögensverlust großen Ausmaßes gemäß § 303b Abs. 4 S. 2 Nr. 1 dStGB ergeben, wenn unterschiedliche Schwellenwerte einschlägig wären. Teilweise wird vertreten, dass § 126a Abs. 2 öStGB eine sog. „Erfolgsqualifikation“ darstelle.150 Bei den auch als erfolgsqualifizierte Delikte bezeichneten Taten handelt es sich wie im dStGB um Vorsatz-Fahrlässigkeits-Kombinationen, bei denen Vorsatz im Hinblick auf den Verletzungserfolg des Grunddeliktes und zumindest Fahrlässigkeit bezüglich der schweren Folge, hier einem Schaden von mehr als EUR 3.000 bzw. EUR 50.000, erforderlich ist, vgl. § 7 Abs. 2 öStGB.151 Dabei kommt es auf eine über den Grundtatbestand hinausgehende zusätzliche besondere Schadensfolge an.152 Aufgrund des Merkmals der zusätzlichen besonderen Schadensfolge liegt keine Erfolgsqualifikation vor, weil bei § 126a öStGB der Schaden bereits zwingende Folge des Grunddeliktes sein muss. Daher stellen solche erhöhten Schadens- und Wertgrenzen Qualifikationen dar. Es handelt sich folglich bei § 126a Abs. 2 öStGB nicht um eine Erfolgs-, sondern um eine 148 Eine Subsumtion des § 126a öStGB unter den Begriff der nicht nur geringfügigen Sachbeschädigung in § 278 Abs. 2 öStGB verstieße gegen das Analogieverbot, weil es den Daten an der Sacheigenschaft fehlt. 149 Schultz, DuD 2006, 778 (784). 150 Beer, S. 147. 151 Seiler, Rn. 107. 152 Kienapfel/Höpfel, S. 38; bspw. die Todesfolge bei der Körperverletzung.

V. Datenbeschädigung

109

sog. „Deliktsqualifikation“.153 Eine Deliktsqualifikation zeichnet sich dadurch aus, dass eine bereits im Grunddelikt erforderliche Auswirkung der Tat von einer besonderen Schwere geprägt und deshalb ein höherer Strafrahmen angebracht ist. Fraglich ist aber, welche Werte bei der Bestimmung des Vermögensverlustes großen Ausmaßes gemäß § 303b Abs. 4 S. 2 Nr. 1 dStGB anzusetzen sind. Vertreten wird hierbei, dass ein solcher vorliegt, wenn der Schaden, der tatsächlich eingetreten sein muss, überdurchschnittlich hoch ist.154 Dabei hat eine objektive Betrachtung zu erfolgen.155 Auf die Opferperspektive kommt es folglich nicht an. Dies ist sinnvoll, weil ansonsten die Bejahung des Regelbeispiels von den Vermögensverhältnissen des Opfers abhinge und dadurch willkürlich werden würde. Beim Betrug gemäß §§ 263 Abs. 1, 3 S. 2 Nr. 2 dStGB wird in der Literatur die Grenze bei EUR 50.000 gezogen.156 Diese Grenze kann auf die Computersabotage übertragen werden.157 Dafür spricht bereits die Gesetzesbegründung, wonach bei der Auslegung des § 303b Abs. 4 S. 2 Nr. 1 dStGB auf die bereits in § 263 Abs. 3 S. 2 Nr. 2 dStGB bestehende Formulierung zurückgegriffen werden soll. Dadurch wird gewährleistet, dass die bisherige Rechtsprechung zu § 263 dStGB übertragen werden kann. Bei der Berechnung des Schadens ist allerdings zu klären, ob alle Schäden addiert werden können oder ob bei jedem einzelnen Opfer diese Schwelle überschritten sein muss. Dies ist entscheidend, weil durch die Tatbegehung mittels Internet ohne Weiteres ein großer Kreis von Geschädigten entstehen kann, sodass die maßgebliche Grenze schnell überschritten ist. Gegen eine Addition könnte zum einen die grammatische Auslegung des § 303b Abs. 2 dStGB sprechen, weil dieser nur von einem fremden Betrieb etc. spricht. Laut der Gesetzesbegründung sollen höhere Strafrahmen dann greifen, wenn solche Handlungen zu hohen Vermögensverlusten bei den betroffenen Behörden oder Unternehmen führen158, weil die in § 303b Abs. 4 dStGB dargestellten Tatmodalitäten im Rahmen des Abs. 2 noch nicht ausreichend erfasst seien.159 Allerdings spricht eine teleologische Auslegung für die Addition der Schäden. Sinn und Zweck des § 303b Abs. 2 dStGB ist der Schutz des Interesses der Wirtschaft und der Verwaltung am störungsfreien Ablauf ihrer Datenverarbeitung.160 153

Kienapfel/Höpfel, S. 38. Schönke/Schröder-Cramer/Perron, § 263 Rn. 188c. 155 Fischer, § 263 Rn. 215. 156 BGH NJW 2004, 169 (171); Fischer, § 263 Rn. 215; MüKo-Hefendehl, § 263 Rn. 777; Schönke/Schröder-Cramer/Perron, § 263 Rn. 188c; gegen die Übertragung dieser Schadensgrenze auf § 303b dStGB vgl. NK-Zaczyk, § 303b Rn. 24. 157 BT-Drs. 16/3656, S. 14. 158 BT-Drs. 16/3656, S. 14. 159 BT-Drs. 16/3656, S. 13. 160 SSW-Hilgendorf, § 303b Rn. 3. 154

110

E. Die Umsetzung der Cybercrime Convention in Österreich

Dieses kann auch durch den Versand von Computerwürmern wie Sasser über das Internet, bei denen eine Vielzahl einzelner Geschädigter vorliegt, beeinträchtigt sein. Hier wird allerdings bei den meisten Computerusern die maßgebliche Schwelle nicht überschritten. Bei Verneinung der Addition würde daher § 303b Abs. 4 S. 2 Nr. 1 dStGB in sehr vielen Konstellationen keine Anwendung finden. Eine derartige Reduzierung der Anwendung auf ein Minimum widerspräche der Ratio des § 303b dStGB, sodass viele kleine Schäden addiert werden müssen.161 Eine derartige Addition findet auch im öStGB statt. Zwar könnte auch hier die wortlautgetreue Auslegung gegen eine Addition der Schäden sprechen, weil in § 126a Abs. 1 öStGB vergleichbar mit § 263 Abs. 1 dStGB von einem anderen die Rede ist und in § 126a Abs. 2 öStGB auf die Tat, d.h. die konkrete Tat im Sinne des § 126a Abs. 1 öStGB, Bezug genommen wird. Allerdings lässt sich hieraus nicht ableiten, dass die Straftat162 nicht mehrere Geschädigte haben kann. Stattdessen kann auf die mit § 303b dStGB vergleichbare Ratio der Norm abgestellt werden, sodass einzelne Geschädigte ebenfalls addiert werden. Es ergeben sich daher keine Unterschiede bei der Berechnung des Schadens bzw. des Vermögensverlustes großen Ausmaßes. Eine Divergenz besteht lediglich darin, dass bei § 126a öStGB bereits bei einem Schaden von EUR 3.000 der erhöhte Strafrahmen des § 126a Abs. 2 1. Var. öStGB eingreift. Ein Nachteil der deutschen Regelung ist hierin aber nicht zu sehen, weil der Strafrahmen des § 303a dStGB bereits im Grundfall mit einem Höchstmaß von drei Jahren über den Strafrahmen des § 126a Abs. 2 1. Var. öStGB, der lediglich zwei Jahre beträgt, hinausgeht. Da die Höhe des Schadens in der Strafzumessung berücksichtigt werden kann, sind in der Praxis keine Unterschiede beim Ausmaß der zu verhängenden Strafen zu erwarten. b) Subjektiver Tatbestand Im Rahmen der Deliktsqualifikation des § 126a Abs. 2 öStGB muss sich der Vorsatz auch auf den erhöhten Schaden beziehen, da es sich um ein objektives Tatbestandsmerkmal handelt.163 Dies könnte bei § 303b Abs. 4 S. 2 Nr. 1 dStGB aufgrund des Charakters als Regelbeispiel nicht erforderlich sein. Zwar handelt es sich bei den Regelbeispielen nicht um objektive Tatbestandsmerkmale; trotzdem müssen die Merkmale, die zu einem gesetz161 Vgl. diesbezüglich auch Ernst, NJW 2007, 2661 (2665); LK-Tiedemann, § 263 Rn. 298; MüKo-Hefendehl, § 263 Rn. 777; NK-Kindhäuser, § 263 Rn. 394. 162 Straftat ist die tatbestandsmäßige, rechtswidrige und schuldhafte Tat, vgl. Kienapfel/Höpfel, S. 25. 163 Seiler, Rn. 277.

VI. Störung der Funktionsfähigkeit eines Computersystems

111

lich fixierten Regelbeispiel führen, aufgrund ihrer Tatbestandsähnlichkeit, vom Vorsatz erfasst sein.164 Dies ist unbestritten165 und resultiert aus der Annäherung der Regelbeispiele an die Tatbestandsmerkmale aufgrund ihrer Indizfunktion.166 Der BGH sieht bei allgemeinen Strafzumessungsgründen und selbstständigen Qualifikationen keinen tiefgreifenden Wesensunterschied und behandelt die Regelbeispiele aufgrund des erhöhten Unrechtsund Schuldgehalts im Ergebnis weitgehend wie Tatbestandsmerkmale.167 Somit ergeben sich in subjektiver Hinsicht keine Unterschiede, weil in beiden Fällen bedingter Vorsatz hinsichtlich des Schadens bzw. des Vermögensverlustes großen Ausmaßes erforderlich ist.

VI. Störung der Funktionsfähigkeit eines Computersystems, § 126b öStGB § 126b öStGB wurde im Rahmen des Strafrechtsänderungsgesetzes 2002 in das öStGB integriert. Inhaltlich beruht § 126b öStGB auf den Vorgaben in Art. 5 Cybercrime Convention, wonach rechtswidrige Systemeingriffe strafrechtlich sanktioniert werden sollen.168 Erforderlich ist § 126b öStGB deshalb, weil unter anderem DoS-Attacken nicht zwingend eine Datenveränderung nach sich ziehen müssen.169 1. Gesetzestext (1) Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat eine längere Zeit andauernde Störung der Funktionsfähigkeit eines Computersystems herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. 164

Schönke/Schröder-Sternberg-Lieben, § 15 Rn. 27. Schönke/Schröder-Sternberg-Lieben, § 15 Rn. 27. 166 Schönke/Schröder-Stree/Kinzig, Vorbem. §§ 38 ff. Rn. 44. 167 BGHSt 33, 370 ff.; vgl. auch Fischer, § 46 Rn. 98. 168 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011); WK-Reindl, § 126b Rn. 1. 169 WK-Reindl, § 126b Rn. 1. 165

112

E. Die Umsetzung der Cybercrime Convention in Österreich

2. Vergleich mit der Cybercrime Convention und dem EU-Rahmenbeschluss Als Tathandlungen erfasst § 126b öStGB das Eingeben und Übermitteln von Daten. Im Gegensatz dazu sind Tathandlungen im Sinne des Art. 5 Cybercrime Convention170 das Eingeben, Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten. § 126b öStGB bleibt daher diesbezüglich hinter den Vorgaben der Cybercrime Convention zurück. Dies resultiert daraus, dass laut der Gesetzesbegründung171 die übrigen Begehungsweisen bereits durch § 126a öStGB abgedeckt sind172, weil auch bei Art. 5 Cybercrime Convention das Erfordernis eines „minimum of damage“ statuiert werden könne.173 Entsprechend der Gesetzesbegründung sollten diejenigen Konstellationen von der Strafbarkeit ausgenommen werden, in denen ein Computersystem durch Verändern, Löschen, Unbrauchbarmachen oder Unterdrücken von Daten ohne eine Datenbeschädigung schwer gestört wird.174 Kein Unterschied besteht hingegen im Hinblick auf die Begrifflichkeiten „schwere Störung der Funktionsfähigkeit“ im Sinne des § 126b öStGB und der „schweren Behinderung des Betriebes“ gemäß Art. 5 Cybercrime Convention. Laut dem Explanatory Report liegt eine Behinderung immer dann vor, wenn in das ordnungsgemäße Funktionieren des Computersystems störend eingegriffen wird.175 Eine Störung i. S. d. § 126b öStGB ist jede negative Abweichung vom ordentlichen und bestimmungsgemäßen Verarbei170

Wortlaut des Art. 5 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um die unbefugte schwere Behinderung des Betriebs eines Computersystems durch Eingeben, Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 171 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 172 A. A. Plöckinger, S. 113 (118). 173 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 67, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 174 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). Hierbei wird in den Ausführungen festgestellt, dass solche Konstellationen kaum denkbar sind. M.E. sind solche Konstellationen durchaus denkbar. So kommt die Störung des Computersystems durch Veränderungen etc. an den Daten oder dem Datenbestand in Betracht, wenn das Opfer über ein Backup verfügt. Dann fehlt es an dem im Rahmen des § 126a öStGB erforderlichen Schaden. Dies gilt auch dann, wenn eigene Daten im System beschädigt werden und dieses dadurch gestört wird. Die Beschädigung eigener Daten ist nicht von § 126a öStGB erfasst.

VI. Störung der Funktionsfähigkeit eines Computersystems

113

tungsablauf.176 Aufgrund dieser Definition wird erkennbar, dass der Unterschied zwischen Störung und Behinderung nur rein sprachlicher Natur ist. Art. 3 EU-Rahmenbeschluss177 geht aufgrund der mit der Cybercrime Convention vergleichbaren Tatmodalitäten ebenfalls über das bloße Eingeben und Übermitteln hinaus. Die vom österreichischen Gesetzgeber vorgenommene Einschränkung auf Datenveränderungen, die Schäden verursachen müssen, ist zulässig, weil der EU-Rahmenbeschluss in Art. 3 ausdrücklich die Möglichkeit einräumt, leichte Fälle auszuschließen. Hierunter können Störungen ohne Schäden subsumiert werden. Durch das Strafrechtsänderungsgesetz 2008 wurde § 126b Abs. 2 1. Var. öStGB eingefügt, der ein Strafmaß von bis zu zwei Jahren vorsieht. Dies war erforderlich, um der Forderung des EU-Rahmenbeschlusses nach einer Höchststrafe von mindestens einem Jahr gemäß Art. 6 Abs. 2 EU-Rahmenbeschluss178 gerecht zu werden. Die zusätzlich statuierten Tatbestandsmerkmale „längere Dauer“ und „Mitgliedschaft in einer kriminellen Vereinigung“ sind zulässig und führen nicht zu einer Rahmenbeschlusswidrigkeit, weil Art. 3 EU-Rahmenbeschluss eine Einschränkung bei Bagatelldelikten zulässt. Im Umkehrschluss ist es daher möglich, das erhöhte Strafmaß an zusätzliche Voraussetzungen zu knüpfen. 3. Vergleich von § 126b öStGB mit § 303b Abs. 1 Nr. 2 dStGB a) Geschütztes Rechtsgut Durch § 126b öStGB werden die uneingeschränkte Verwendung der Computersysteme als Ganzes und nicht die einzelnen Daten geschützt.179 Geschütztes Rechtsgut ist daher der Computer als Vermögenswert.180 Bereits 175

Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 66, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 176 So Beer, S. 153. 177 Wortlaut des Art. 3 EU-Rahmenbeschluss: Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die unbefugte vorsätzliche schwere Behinderung oder Störung des Betriebs eines Informationssystems, durch Eingeben, Übermitteln, Beschädigen, Löschen, Verstümmeln, Verändern, Unterdrücken oder Unzugänglichmachen von Computerdaten, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt. 178 Wortlaut des Art. 6 Abs. 2 EU-Rahmenbeschluss: Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die Straftaten nach Artikel 3 und 4 mit einer Freiheitsstrafe im Höchstmaß von mindestens einem bis drei Jahren geahndet werden. 179 Beer, S. 152; Köck, S. 93; Reindl, Computerstrafrecht im Überblick, S. 32 f. 180 Köck, S. 91; WK-Reindl-Krauskopf, § 126b Rn. 5. Der Schutz des Computers als Vermögenswert ergibt sich auch aus einer systematischen Auslegung, weil

114

E. Die Umsetzung der Cybercrime Convention in Österreich

bei § 303b a. F. dStGB herrschte Streit über das geschützte Rechtsgut. Während teilweise vertreten wurde181, dass als geschütztes Rechtsgut ausschließlich das Interesse am ordnungsgemäßen Funktionieren der Datenverarbeitungsanlage in Betracht komme, ist nach anderer Ansicht182 über das Funktionieren hinaus auch das Vermögen der Unternehmen, Betriebe und Behörden vor Schädigung geschützt. Die Bestimmung der Rechtsgüter der jeweiligen Absätze und Nummern wurde durch die Ausweitung des § 303b dStGB weiter erschwert.183 Anhand der Ausführungen in der Gesetzesbegründung lässt sich das geschützte Rechtsgut aber dahin gehend bestimmen, dass auf das Interesse des Betreibers und Nutzers von Datenverarbeitungen an deren ordnungsgemäßem Funktionieren abzustellen ist. Geschützt wird daher in § 303b dStGB nicht die Datenverarbeitungsanlage als Vermögenswert, sondern das Interesse am störungsfreien Funktionieren.184 b) Objektiver Tatbestand Unterschiede zwischen beiden Normen könnten sich aufgrund des Tatobjekts ergeben. Während § 126b öStGB an den Begriff des Computersystems anknüpft, ist das Tatobjekt in § 303b dStGB die Datenverarbeitung. Entsprechend § 74 Ziff. 8 öStGB sind Computersysteme sowohl einzelne als auch verbundene Vorrichtungen, die der automationsunterstützten Datenverarbeitung dienen. Der Begriff orientiert sich ausdrücklich am Begriff des Computersystems in Art. 1 lit. a Cybercrime Convention.185 Durch die Verankerung im Allgemeinen Teil des öStGB sollte der Begriff aufgrund der Häufigkeit der Verwendung einheitlich geregelt werden.186 Der österreichische Begriff ist derart verallgemeinert, dass er sämtliche dem Begriff § 126b öStGB im Bereich der strafbaren Handlungen gegen fremdes Vermögen angesiedelt ist. 181 BT-Drs. 10/5058, S. 35; Hilgendorf/Frank/Valerius, Rn. 204; LK-Wolf, § 303b Rn. 2; Möhrenschläger, wistra 1986, 128 (142); MüKo-Wieck-Noodt, § 303b Rn. 1; Schreibauer/Hessel, K&R 2007, 616 (619); Schumann, NStZ 2007, 675 (679); SSW-Hilgendorf, § 303b Rn. 3. 182 Dies vertritt nur Fischer, § 303b Rn. 2. 183 Fischer, § 303b Rn. 2a; SK-Hoyer, § 303b Rn. 1 ff. 184 BT-Drs. 16/3656, S. 13; LK-Wolff, § 303b Rn. 2; Schreibauer/Hessel, K&R 2007, 616 (619); Schultz, DuD 2006, 778 (783); Schumann, NStZ 2007, 675 (679); SK-Hoyer, § 303b Rn. 1. 185 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 23, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 186 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 23, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011).

VI. Störung der Funktionsfähigkeit eines Computersystems

115

des Computersystems in der Cybercrime Convention zugrunde gelegten Technologien erfasst.187 Dagegen ist dem dStGB eine solche Legaldefinition hinsichtlich der Datenverarbeitung nicht zu entnehmen. Im Rahmen des Datenverarbeitungsbegriffs ergeben sich deshalb Auslegungsschwierigkeiten dahin gehend, welche Vorgänge im Einzelnen erfasst sind. Grundsätzlich ist der Wortlaut weit auszulegen188 und erfasst daher den gesamten Bereich von der Erhebung der Daten bis zu deren Verwendung.189 Dabei reicht bereits die Störung einer geplanten Datenverarbeitung aus.190 Dies ergibt sich aus dem Wortlaut der Norm, bei dem es anders als beispielsweise bei § 263a Abs. 1 dStGB auf die Datenverarbeitung und gerade nicht auf den konkreten Datenverarbeitungsvorgang ankommt.191 Hieraus wird ersichtlich, dass es sich bei der Datenverarbeitung nicht um körperliche Gegenstände, sondern um Vorgänge handelt.192 Dieses Ergebnis ist auch unter strafrechtlichen Aspekten sinnvoll, weil somit auch derjenige geschützt wird, der eine Datenverarbeitung in Gang setzen möchte, dies jedoch beispielsweise aufgrund einer DoS-Attacke nicht kann. Aufgrund der drohenden Ausuferung der Strafbarkeit bedarf es aber einer Einschränkung, sodass sich die Ratio nur auf den Schutz des elektronischen Umgangs mit Daten beziehen kann.193 Eine sinnvolle Einschränkung ist gegeben, wenn die Gesamtheit aller elektronischen Rechenvorgänge einschließlich der Eingabe, der Verarbeitung im engeren Sinn und der Übertragung intern oder extern erfasst werden.194 Nicht erfasst wird hingegen der weitere Umgang mit Daten, der keinen Datenverarbeitungsvorgang darstellt. Beispielhaft sei der Versand von Datenträgern per Post oder die Verwertung von Ausdrucken genannt.195 Datenverarbeitung im Sinne des § 303b dStGB ist daher der technische Umgang mit Daten, bei dem durch die Aufnahme und Verknüpfung von Daten Arbeitsergebnisse erzielt werden.196 Dabei ist auch jeder einzelne Datenverarbeitungsvorgang erfasst197, weil die Erforder187

Beer, S. 105. LK-Wolff, § 303b Rn. 4; Schönke/Schröder-Stree/Hecker, § 303b Rn. 3. 189 Fischer, § 303b Rn. 5. 190 Fischer, § 303b Rn. 5, 9; Schultz, DuD 2006, 778 (783); für die Erforderlichkeit einer konkreten Störung vgl. LK-Wolf, § 303b Rn. 23; NK-Zaczyk, § 303b Rn. 6; SSW-Hilgendorf, § 303b Rn. 8; nach Ansicht SK-Hoyer, § 303b Rn. 6, kommt es hingegen nicht einmal auf die Planung an, sondern es reicht bereits der objektive Nutzungsausfall, wenn der Berechtigte jederzeit auf die Datenverarbeitungsmöglichkeit zugreifen könnte. 191 Schultz, DuD 2006, 778 (783). 192 Fischer, § 303b Rn. 5. 193 Schultz, DuD 2006, 778 (783). 194 Fischer, § 303b Rn. 5. 195 Fischer, § 303b Rn. 4. 196 HK-GS-Weiler, § 303b Rn. 3. 188

116

E. Die Umsetzung der Cybercrime Convention in Österreich

lichkeit einer Vielzahl von Vorgängen den Schutz der einzelnen Daten zu weit einschränken würde. Trotz der Einschränkung auf den Bereich der Datenverarbeitungsvorgänge erfolgte Kritik hinsichtlich des Begriffs der Datenverarbeitung vonseiten des Bundesrates. Aufgrund der fortschreitenden Digitalisierung gibt es nach seiner Ansicht heutzutage kaum mehr elektronische Geräte, die ohne eine Datenverarbeitung bzw. -speicherung auskommen, sodass der Tatbestand zu weit geraten sei.198 Als Beispiele nennt der Bundesrat Waschmaschinen, Fernseh-, Navigationsgeräte etc. Diese Kritik ist aber unberechtigt, weil über die Tatbestandsmerkmale „wesentlichen Bedeutung“ und „erhebliche Störung“ ausreichende Bagatellfilter eingebaut sind. Im Ergebnis ist festzuhalten, dass § 303b dStGB durch das Abstellen auf die Datenverarbeitung über § 126b öStGB hinausgeht. Trotz der weiten Auslegung des Begriffs „Computersystem“ sind nicht sämtliche Formen der Datenverarbeitung erfasst. Der Subsumtion unter anderem einer Waschmaschine unter den Begriff des Computersystems steht aber die Wortlautgrenze entgegen. Als Computersysteme sind daher nur solche im klassischen Sinne zu verstehen, die sich aus Prozessor, Drucker, Bildschirm und Tastatur zusammensetzen.199 Der Begriff „Datenverarbeitung“ in § 303b dStGB ist im Ergebnis vorzugswürdig, da er besser an die fortschreitende Digitalisierung angepasst ist. Allerdings wird der über § 126b öStGB hinausgehende Begriff „Datenverarbeitung“ in § 303b dStGB wieder eingeschränkt. Bei § 303b dStGB muss die Datenverarbeitung von wesentlicher Bedeutung sein. Teilweise wird vertreten, dass der Begriff aufgrund der damit einhergehenden Auslegungs- und Anwendungsschwierigkeiten zu unbestimmt sei200 und einen Zuwachs an ungenauem Strafrecht darstelle.201 Allerdings ist § 303b dStGB mit dem Bestimmtheitsgebot gemäß Art. 103 Abs. 2 GG vereinbar, weil nur so, zusammen mit dem Tatbestandsmerkmal „erhebliche Störung“, Bagatelldelikte ausgeschlossen werden.202 Es wurde bereits früher vertreten, dass eine wesentliche Bedeutung vorliege, wenn die Datenverarbeitung die für die Funktionsfähigkeit des Betriebes erforderlichen zentralen Informationen enthält.203 Daher ist eine Abhängigkeit der Arbeitsweise, der Ausstattung und der Organisation von dem ordnungsgemäßen Funktionieren der Datenverarbeitung erforderlich.204 Diese Grundsätze können so allerdings 197 198 199 200 201 202 203 204

So auch Schönke/Schröder-Stree/Hecker, § 303b Rn. 3. BT-Drs. 16/3656, S. 17. WK-Reindl-Krauskopf, § 118a Rn. 6. HK-GS-Weiler, § 303b Rn. 4; NK-Zaczyk, § 303b Rn. 1. Achenbach, NJW 1986, 1836 (1838). A. A. Fischer, § 303b Rn. 2a; HK-GS-Weiler, § 303b Rn. 4. Schönke/Schröder-Stree/Hecker, § 303b Rn. 13. MüKo-Wieck-Noodt, § 303b Rn. 8.

VI. Störung der Funktionsfähigkeit eines Computersystems

117

nicht auf Privatpersonen übertragen werden. Entsprechend der Gesetzesbegründung ist die Beeinträchtigung bei Privatpersonen wesentlich, wenn die Datenverarbeitung im Rahmen einer Erwerbstätigkeit, einer schriftstellerischen, wissenschaftlichen oder künstlerischen Tätigkeit eine zentrale Rolle einnimmt.205 Maßgeblich ist der Stellenwert der Datenverarbeitung für die Lebensgestaltung des Betroffenen.206 Bei der Beurteilung der wesentlichen Bedeutung kommt es auf eine objektive Betrachtungsweise an.207 Dies ist erforderlich, um die strafbegründende Wirkung des Begriffs der wesentlichen Bedeutung nicht willkürlich werden zu lassen. Es gibt zwar Sachverhalte, die eindeutig unter das Tatbestandsmerkmal „wesentliche Bedeutung“ subsumiert werden können, so etwa die gespeicherte Doktorarbeit. Allerdings lässt sich keine klare Grenze zur unwesentlichen Bedeutung ziehen.208 Entsprechend der Gesetzesbegründung dient das Tatbestandsmerkmal als Filter für Bagatelldelikte.209 Somit ist eine Bestimmung nur durch eine Konkretisierung der Bagatelldelikte, d.h. der Unwesentlichkeit210, und einem hieraus zu ziehenden Umkehrschluss möglich. Die Beeinträchtigung des privaten Computers ist aber fast nie unwesentlich, weil dieser mittlerweile einen sehr hohen Stellenwert für unser privates Leben erlangt hat. Mittels Computer werden Kontakte gepflegt, Freizeit gestaltet, Urlaube gebucht, private Buchhaltung durchgeführt, Banküberweisungen getätigt211 etc. Oft müssen private Angelegenheiten – wie die Steuererklärung – zu einer gewissen Zeit erledigt werden. Steht der Computer dann nicht zur Verfügung, liegt eine wesentliche Beeinträchtigung vor. Unwesentlichkeit kommt bei Computern allenfalls dann in Betracht, wenn der Computer ausschließlich zur Freizeitgestaltung eingesetzt wird. Beispielhaft seien hier Computerspiele genannt.212 Bei den sonstigen elektronischen Geräten kommt eine unwesentliche Bedeutung in Betracht, wenn sie unregelmäßig verwendet werden und wenn Ausweichmöglichkeiten bestehen. Kann das Opfer statt über die Telefonanlage über das Internet oder mittels Handy telefonieren, liegt keine wesentliche Bedeutung vor. Im 205

BT-Drs. 16/3656, S. 13. LK-Wolff, § 303b Rn. 11. 207 LK-Wolff, § 303b Rn. 11; a. A. Fischer, § 303b Rn. 6. 208 Zu weiteren Beispielen privater Datenverarbeitung und den sich ergebenden Abgrenzungsproblemen siehe Ernst, NJW 2007, 2661 (2665). 209 BT-Drs. 16/3656, S. 13. 210 Eine solche liegt u. a. immer dann vor, wenn das Opfer Ausweichmöglichkeiten hat. Es fehlt dann an der Abhängigkeit, die den Computer für das Opfer unentbehrlich macht. 211 A. A. Schumann, NStZ 2007, 675 (679), der im Onlinebanking lediglich eine bequeme Ergänzung zu den alltäglichen Bankgeschäften sieht und deshalb die Unwesentlichkeit bejaht. 212 BT-Drs. 16/3656, S. 13. 206

118

E. Die Umsetzung der Cybercrime Convention in Österreich

Ergebnis bleibt somit festzuhalten, dass der deutsche Gesetzgeber die Tatobjekte im Gegensatz zu § 126b öStGB über die Computersysteme hinaus erweitert hat, weil er sämtliche Datenverarbeitungen erfasst. Diese werden über den Bagatellfilter der wesentlichen Bedeutung wieder sinnvoll eingegrenzt. Aufgrund dieser Eingrenzung gibt es Konstellationen, in denen vom öStGB wiederum mehr Tatobjekte erfasst werden. Dies ist immer dann der Fall, wenn es sich um ein Computersystem von unwesentlicher Bedeutung handelt, weil dann nur eine Strafbarkeit gemäß § 126b öStGB in Betracht kommt. Als solches Computersystem von unwesentlicher Bedeutung kommt beispielsweise eine Playstation in Betracht, die ausschließlich für Computerspiele verwendet wird. Dadurch wird aber erkennbar, dass das Erfassen aller Computersysteme unabhängig von ihrer Bedeutung nicht gelungen ist, weil hierdurch die Strafbarkeit zu sehr in den Bagatellbereich verlagert wird. Weitere Unterschiede könnten sich im Hinblick auf den Grad der Störung ergeben. Während nach § 126b öStGB eine schwere Störung erforderlich ist, genügt im Rahmen des § 303b dStGB bereits eine erhebliche Störung. Den österreichischen Gesetzesmaterialien213 lässt sich entnehmen, dass die ursprüngliche Fassung eine Störung in erheblichem Ausmaße vorsah. Die Formulierung „schwer stört“ beruht auf der befürchteten zu großen Unbestimmtheit des Tatbestandsmerkmals „in erheblichem Ausmaße“.214 Schwer störend ist ein Angriff nach den Ausführungen des österreichischen Gesetzgebers vor allem dann, wenn ein völliges Lahmlegen des betroffenen Computersystems vorliegt oder die Leistung zumindest derart verlangsamt ist, dass es einem Stillstand gleichkommt.215 Laut der Gesetzesbegründung muss bei der Beurteilung der Schwere auch die zeitliche Dauer berücksichtigt werden.216 Dabei ist die zeitliche Dauer dynamisch zu konkretisieren, sodass diese desto kürzer sein kann, je schwerer die Störung ist.217 Teil213 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 214 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28 f., http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 215 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 216 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 217 Vgl. Beer, S. 154. Beim zeitlichen Moment ergeben sich jedoch weitere Probleme, weil durch das Strafrechtsänderungsgesetz 2008 eine Qualifikation in § 126b Abs. 2 öStGB neu eingefügt wurde, durch die es bei einer länger dauernden Störung

VI. Störung der Funktionsfähigkeit eines Computersystems

119

weise wird vertreten218, dass es für die Beurteilung der Schwere der Störung aufgrund der systematischen Einordnung von § 126b öStGB im Bereich des Vermögensstrafrechts auf die Höhe des Vermögensschadens ankäme. Dieser Ansicht ist aber nicht zu folgen, da sie dem Willen des Gesetzgebers nicht gerecht wird, der maßgeblich die Funktionstüchtigkeit von Computersystemen vor Augen hatte. In der Gesetzesbegründung hat der Gesetzgeber klar zum Ausdruck gebracht, dass es zur Tatbestandserfüllung auf einen Schaden nicht ankomme und ein solcher allenfalls im Rahmen der Strafzumessung Berücksichtigung finde.219 Bei der Erforderlichkeit eines Schadens wären vor allem die DoS-Attacken nicht erfasst, weil bei diesen ein Vermögensschaden in Form von Wiederherstellungskosten meist nicht vorliegt. Die strafrechtliche Sanktionierung von DoS-Attacken war aber erklärtes Ziel des österreichischen Gesetzgebers bei der Schaffung des § 126b öStGB.220 Ferner lässt sich der Gesetzgeberwille auch aus der grammatischen Auslegung des § 126b öStGB herleiten, da der Gesetzgeber wie bei § 126a öStGB ebenfalls die Formulierung „einen anderen dadurch schädigt“ hätte aufnehmen können. Aufgrund der gleichzeitigen Schaffung von § 126a öStGB und § 126b öStGB kann dem österreichischen Gesetzgeber diesbezüglich kein gesetzgeberisches Versehen unterstellt werden. § 303b Abs. 1 dStGB verlangt eine erhebliche Störung. Bei diesem Tatbestandsmerkmal handelt es sich ebenso wie bei der wesentlichen Bedeutung um einen unbestimmten Rechtsbegriff, der einer Konkretisierung bedarf. Es muss daher geklärt werden, wann die Schwelle der Erheblichkeit im Einzelfall überschritten ist. Das Tatbestandsmerkmal „erhebliche Störung“ ist als zweiter Filter für Bagatelldelikte vom Gesetzgeber eingefügt worden.221 Bei der Bestimmung der Erheblichkeit bietet die Gesetzesbegründung keine Hilfestellung, weil in der Definition selbst wiederum der Begriff „unerheblich“ verwendet wird.222 Unerheblichkeit liegt somit dann zu einer Strafschärfung kommt. Dabei ist aber zu beachten, dass eine zeitliche Komponente schon beim Grunddelikt erforderlich ist, vgl. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2008, S. 8, http://www.par lament.gv.at/PG/DE/XXIII/I/I_00285/fname_089876.pdf (Stand: 4. Januar 2011). 218 WK-Reindl-Krauskopf, § 126b Rn. 12. 219 Vgl. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/ fname_000784.pdf (Stand: 4. Januar 2011). 220 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 221 LK-Wolff, § 303b Rn. 26. 222 BT-Drs. 16/3656, S. 13: Eine erhebliche Störung im Sinne des § 303b dStGB liegt im Ergebnis daher immer dann vor, wenn der reibungslose Ablauf der Datenverarbeitung nicht nur unerheblich beeinträchtigt wird.

120

E. Die Umsetzung der Cybercrime Convention in Österreich

vor, wenn sich die Datenstörung ohne große Mühe, Zeit und/oder Kosten beseitigen lässt.223 In Betracht kommen Back-ups und billige Reparaturen.224 Dabei ist neben dem Umstandsmoment, d.h. der Einschränkung der Datenverarbeitung, auch das Zeitmoment von Relevanz225, weil ein äußerst kurzer Systemausfall, vergleichbar mit einem Stromausfall, noch keine erhebliche Störung darstellen kann, wenn unmittelbar danach unvermindert mit dem System weitergearbeitet werden kann.226 Bei der Bestimmung der Zeitspanne ist eine flexible Handhabung möglich, d.h. je schwerer die Störung, desto kürzer muss die Zeitspanne sein. Dabei ist die Zeitspanne aufgrund des Opferschutzes und des Grundsatzes des heutigen Wirtschaftsund Privatlebens „time is money“ kurz zu bemessen. Die Vorgaben des § 126b öStGB sind schwerer zu erfüllen als diejenigen des § 303b dStGB, da die Einschränkung der Nutzung des Computersystems zumindest einem Stillstand vergleichbar sein muss. Eine erhebliche Störung im Sinne des § 303b dStGB liegt bereits viel früher vor, weil das Lahmlegen der Datenverarbeitung oder Teilen hiervon immer eine erhebliche Beeinträchtigung ist227 und darüber hinaus alle Eingriffe erfasst werden, die über einen Bagatellcharakter hinausgehen. Das Erfordernis der schweren Störung beruht im öStGB vor allem darauf, dass von § 126b öStGB alle Computersysteme unabhängig von ihrer Bedeutung erfasst werden, während im dStGB auch die Computersysteme als Datenverarbeitungsanlagen bereits von wesentlicher Bedeutung sein müssen. Daher musste der drohenden Ausuferung der Strafbarkeit im öStGB stärker entgegengewirkt werden. Im Ergebnis lässt sich daher feststellen, dass § 303b dStGB über zwei Bagatellfilter und zwar in Form der wesentlichen Bedeutung und der Erheblichkeit der Störung verfügt, während das öStGB nur einen Bagatellfilter in Form der Schwere der Störung hat. Die deutsche Version ist in diesem Zusammenhang die bessere Lösung, weil grundsätzlich ein größeres Feld an Tatobjekten erfasst wird, das sinnvoll über den doppelten Filter wieder eingeschränkt wird, wohingegen die österreichische Version im Hinblick auf 223 HK-GS-Tag, § 303b Rn. 11; LK-Wolff, § 303b Rn. 26; NK-Zaczyk, § 303b Rn. 7; Schönke/Schröder-Stree/Hecker, § 303b Rn. 13; Schumann, NStZ, 675 (679); SK-Hoyer, § 303b Rn. 7; SSW-Hilgendorf, § 303b Rn. 8. 224 Schultz, DuD 2006, 778 (783), ist hingegen der Meinung, dass es bei der Bestimmung der Unerheblichkeit nicht darauf ankomme, ob die Störung einfach oder schwer zu beseitigen ist. Maßgeblich sei eine Bestimmung entsprechend dem jeweiligen Einzelfall. 225 So wohl auch LK-Wolff, § 303b Rn. 26, der ebenfalls den Faktor Zeit nennt. 226 Abu-Zeitoun, S. 178; Marberth-Kubicki, S. 63; Schumann, NStZ 2007, 675 (679). 227 LK-Wolff, § 303b Rn. 26.

VI. Störung der Funktionsfähigkeit eines Computersystems

121

Computersysteme ein Alles-oder-Nichts-Prinzip verkörpert. Die Vorteile des dStGB zeigen sich unter anderem am oben aufgeführten Tatobjekt Telefonanlage. In solchen Konstellationen offenbart das öStGB Strafbarkeitslücken und damit Schwächen. Eine Strafbarkeit ist in diesen Fällen angebracht, weil im heutigen Informationszeitalter eine Abhängigkeit nicht nur von Computern, sondern auch von anderen technische Daten verarbeitenden Geräten besteht. Als Beispiel kann hier auch ein Handy genannt werden, auf dem unter anderem Boarding-Tickets für Flugzeuge gespeichert werden. Funktioniert dieses Handy bzw. Smartphone zum Zeitpunkt des Boardings nicht, verpasst der Betroffene seinen Flug. Hiervor muss mittels strafrechtlicher Sanktionen Schutz gewährt werden. Des Weiteren bestehen Unterschiede bei den Tathandlungen. Während in § 303b Abs. 1 Nr. 1 dStGB auf alle Tathandlungen des § 303a dStGB verwiesen wird, in der Nr. 2 auch das Eingeben und Übermitteln aufgenommen wurde und in Nr. 3 das physische Zerstören von Datenverarbeitungsanlagen und Datenträgern erfasst wird, sanktioniert § 126b öStGB nur das Eingeben und Übermitteln. Nach der Entwurfsbegründung zu § 126b öStGB228 bedarf es der Aufzählung der weiteren in Art. 5 Cybercrime Convention vorgesehenen Tathandlungen – Verändern, Löschen, Unbrauchbarmachen oder Unterdrücken – nicht, da diese bereits durch § 126a öStGB abgedeckt seien.229 In den Erläuterungen zum Strafrechtsänderungsgesetz 2002 wird ausdrücklich auf Nr. 67 des Explanatory Reports Bezug genommen. Hiernach kann Art. 5 Cybercrime Convention ebenso wie Art. 4 Cybercrime Convention so ausgelegt werden, dass ein „minimum of damage“ erforderlich sei.230 Unter Berufung auf diese Auslegungshilfe war es entsprechend der Gesetzesbegründung nicht zwingend erforderlich, die Tatmodalitäten des § 126a in § 126b öStGB aufzunehmen. Konstellationen, in denen eine schwere Störung ohne Schaden aufgrund einer Tathandlung nach § 126a öStGB vorliegt, sollten unberücksichtigt bleiben.231 Durch die Begrenzung der Tathandlungen ergeben sich aber Strafbarkeitslücken, wenn der Täter die Datenverarbeitung dadurch stört, dass er eigene Daten löscht 228 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 229 Anders der Vorschlag von Plöckinger, S. 113 (118), im Vorfeld des Strafrechtsänderungsgesetzes, in dem alle Tathandlungen des Art. 5 Cybercrime Convention aufgenommen wurden. 230 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 231 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011).

122

E. Die Umsetzung der Cybercrime Convention in Österreich

oder sonst ändert.232 Bei einem strengen Verständnis des § 126b öStGB scheidet eine Strafbarkeit aus, da keine unmittelbare Dateneingabe oder -übermittlung vorläge, sondern erst die veränderten Daten zu einer Funktionsstörung des Computersystems führen. Aufgrund dessen wird vereinzelt vertreten233, dass die Tathandlungen in § 126b öStGB weit zu verstehen seien, sodass jede Eingabe, Löschung und Übertragung von Daten den Tatbestand erfüllt, wenn sie zumindest mittelbar zu einer schweren Systemstörung führt. Obwohl das Ziel dieser Auffassung durchaus erstrebenswert ist, kann ihr dennoch nicht gefolgt werden. Zum einen lässt sich das Unmittelbarkeitserfordernis aus einer grammatischen Auslegung des Wortlauts „dadurch schwer stört“ gewinnen, sodass die Ausdehnung gegen das Analogieverbot verstößt. Zum anderen sprechen auch die Ausführungen in der Gesetzesbegründung gegen diese Ansicht, weil laut der Gesetzesbegründung die Datenveränderung ausschließlich von § 126a öStGB erfasst werden soll und die Straflosigkeit einer Datenveränderung ohne Schaden bewusst in Kauf genommen wurde.234 c) Subjektiver Tatbestand Während § 126b öStGB bedingten Vorsatz ausreichen lässt235, verlangt § 303b Abs. 1 Nr. 2 dStGB vergleichbar mit § 274 Abs. 1 Nr. 1 dStGB eine Nachteilszufügungsabsicht. Bei § 126b öStGB könnte eine Ausuferung der Strafbarkeit drohen. Bei § 303b Abs. 1 Nr. 2 dStGB hingegen muss der Täter die Kenntnis im Sinne einer Wissentlichkeit haben, dass der Nachteil notwendige Folge der Tat ist.236 Es handelt sich um eine überschießende Innentendenz, sodass der Schaden nicht tatsächlich eintreten muss. Die Nachteilszufügungsabsicht muss sich nicht zwingenderweise gegen den Betreiber der Datenverarbeitungsanlage richten.237 Laut der Gesetzesbegründung238 232 § 126a öStGB ist aufgrund der Verfügungsbefugnis des Täters über seine Daten nicht einschlägig, vgl. WK-Reindl-Krauskopf, § 126b Rn. 16. 233 WK-Reindl-Krauskopf, § 126b Rn. 16. 234 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 235 Reindl, Computerstrafrecht im Überblick, S. 33. 236 Fischer, § 303b Rn. 12a; zum diesbezüglich bestehenden Streit, welcher Grad des Vorsatzes erforderlich ist, vgl. Schönke/Schröder-Cramer/Heine, § 274 Rn. 15. Nach h. M. genügt hierbei direkter Vorsatz, vgl. Fischer, § 274 Rn. 6; Lackner/Kühl, § 274 Rn. 7; LK-Zieschang, § 274 Rn. 57; Schönke/Schröder-Cramer/Heine, § 274 Rn. 15; SSW-Wittig, § 274 Rn. 20; a. A. NK-Puppe, § 274 Rn. 12, wonach bereits dolus eventualis ausreicht. 237 LK-Wolff, § 303b Rn. 28. 238 BT-Drs. 16/3656, S. 13.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

123

soll durch die Nachteilszufügungsabsicht sichergestellt werden, dass gängige Aktivitäten oder Maßnahmen im Rahmen der Netzwerkgestaltung nur bei Missbrauch unter Strafe gestellt werden. Ratio der Nachteilszufügungsabsicht ist die Einschränkung des weiten objektiven Tatbestandes. Der weite subjektive Tatbestand des § 126b öStGB wird im Gegensatz zu § 303b Abs. 1 Nr. 2 dStGB jedoch dadurch relativiert, dass auf objektiver Ebene eine schwere Störung erforderlich ist. Nichtsdestotrotz zeigt sich beim Vergleich beider Regelungen, dass die deutsche Version vorzugswürdig ist, weil § 303b Abs. 1 Nr. 2 dStGB über den doppelten Bagatellfilter in Form der Wesentlichkeit und der Erheblichkeit im objektiven Tatbestand hinaus einen dritten Bagatellfilter in Form der Nachteilszufügungsabsicht im subjektiven Tatbestand zur Verfügung stellt. § 126b öStGB hingegen erfasst einen großen Bereich nicht strafwürdiger Vorgehensweisen, bei denen kein Missbrauch grundsätzlich neutraler Handlungen vorliegt, weil es bereits ausreicht, dass der Täter mit der schweren Behinderung rechnet. Als Beispiel können hier Onlineversteigerungen im Internet genannt werden. Bei besonders begehrten Objekten ist für den Mitbieter erkennbar, dass die vielen Anfragen zu einem Zusammenbruch des Servers führen können. Wenn der Täter dies erkennt und sich mit dem möglichen Erfolg abfindet, handelt er bedingt vorsätzlich. Soweit eine Strafbarkeit nicht mangels objektiver Zurechenbarkeit ausscheidet, verwirklicht der Täter den Tatbestand des § 126b öStGB und ein Ausschluss der Strafbarkeit ist allenfalls noch auf der Rechtswidrigkeitsebene aufgrund Einwilligung des Opfers möglich.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten, § 126c öStGB Ebenso wie § 126b öStGB geht die Regelung des § 126c öStGB auf die Vorgaben der Cybercrime Convention zurück und wurde deshalb im Rahmen des Strafrechtsänderungsgesetzes 2002 in das österreichische Strafrecht integriert. § 126c öStGB sanktioniert die Vorbereitungshandlungen zu den taxativ aufgezählten Delikten, d.h. im weitesten Sinne das Herstellen und Verbreiten von Computerprogrammen, Passwörtern und Zugangscodes.239 1. Gesetzestext (1) Wer 1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses 239

WK-Reindl, § 126c Rn. 6.

124

E. Die Umsetzung der Cybercrime Convention in Österreich (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht oder sich verschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen.

2. Vergleich von § 126c öStGB mit Art. 6 Cybercrime Convention Während entsprechend § 126c öStGB das Computerprogramm nach seiner besonderen Beschaffenheit ersichtlich zur Begehung der aufgezählten Straftaten geschaffen oder adaptiert worden sein muss, müssen bei Art. 6 Cybercrime Convention240 die Vorrichtungen oder Programme „in erster Li240

Wortlaut des Art. 6 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben: a) das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen i. einer Vorrichtung einschließlich eines Computerprogramms, die in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine nach den Artikeln 2 bis 5 umschriebene Straftat zu begehen; ii. eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen, mit dem Vorsatz, sie zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden, und b) den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser Mittel eintritt.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

125

nie“ zur Begehung einer der dort aufgezählten Computerstraftaten ausgelegt oder hergerichtet worden sein. Entsprechend dem Wortlaut der Cybercrime Convention „in erster Linie“ muss die deliktische Verwendung der Primärzweck des Programms oder der Vorrichtung sein.241 Im Gegensatz dazu orientiert sich der Begriff „nach seiner besonderen Beschaffenheit ersichtlich“ gemäß § 126c öStGB laut der Gesetzesbegründung ausdrücklich am Tatbestand der Vorbereitung einer Geld-, Wertpapier- oder Wertzeichenfälschung gemäß § 239 öStGB.242 Im ursprünglichen Begutachtungsentwurf fand sich noch die Formulierung „hauptsächlich“.243 Die Anpassung an den Wortlaut des § 239 öStGB ist sinnvoll, weil dadurch auf die zu § 239 öStGB entwickelte Rechtsprechung im Hinblick auf die Auslegung des Tatbestandsmerkmals zurückgegriffen werden kann. Aufgrund der Formulierung „nach seiner besonderen Beschaffenheit ersichtlich“ geht der Anwendungsbereich des § 126c öStGB über die Vorgaben des Art. 6 Cybercrime Convention hinaus. Dies ergibt sich zum einen aus einer grammatischen Auslegung und zum anderen aus der Bezugnahme des Gesetzgebers auf § 239 öStGB. Beim Wortlaut der Cybercrime Convention „primarily“, das in der deutschen Fassung mit „in erster Linie“ übersetzt wurde, aber auch gleichbedeutend mit dem Begriff „hauptsächlich“ ist, wird klar, dass ein legaler Einsatzbereich derart minimal sein muss, dass er kaum ins Gewicht fällt. Anders ist der Wortlaut bei § 126c öStGB, bei dem es nur auf die Ersichtlichkeit der deliktischen Verwendung ankommt. Unter Heranziehung der Wertungen des § 239 öStGB244 muss die spezielle Zweckbestimmung 2. Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt. 3. Jede Vertragspartei kann sich das Recht vorbehalten, Absatz 1 nicht anzuwenden, sofern der Vorbehalt nicht das Verkaufen, Verbreiten oder anderweitige Verfügbarmachen der in Absatz 1 Buchstabe a Ziffer ii bezeichneten Mittel betrifft. 241 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 73, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 242 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 243 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 244 Wortlaut des § 239 öStGB: Wer mit dem Vorsatz, sich oder einem anderen die Begehung einer der nach den §§ 232, 234, 237 oder 238 mit Strafe bedrohten Handlungen zu ermöglichen, ein Mittel oder Werkzeug, das nach seiner besonderen Beschaffenheit ersichtlich zu einem solchen Zweck bestimmt ist, ein Hologramm oder einen anderen der Sicherung

126

E. Die Umsetzung der Cybercrime Convention in Österreich

bereits anhand der besonderen Beschaffenheit objektiv ersichtlich und zumindest für eine fachkundige Person erkennbar sein.245 Aufgrund des Verweises des Gesetzgebers können diese Ausführungen auch § 126c öStGB zugrunde gelegt werden, sodass auch bei § 126c öStGB der illegale Zweck dem Computerprogramm gewissermaßen aufgeprägt und für den Kundigen erkennbar sein muss.246 Hierzu gehören deshalb nicht die Programme etc., die einen vorrangigen legalen Einsatzbereich haben, aber generell zu Begehung von Straftaten geeignet sind und durch den Täter zweckentfremdet werden.247 Im Rahmen des § 239 öStGB sind dies beispielsweise Farbkopierer, Büromaschinen etc. Stattdessen sollen nur solche Gerätschaften, die in Händen des Täters ausschließlich kriminell eingesetzt werden können, beispielsweise Druck- und Prägestöcke, spezielles Papier und Münzrohlinge, erfasst werden.248 Durch diese Beispiele wird der weitere Anwendungsbereich des § 126c öStGB gegenüber der Cybercrime Convention erkennbar, weil diese Gegenstände nicht in erster Linie zur Begehung von Wertzeichenfälschungen hergestellt wurden, sondern auch von den legitimierten Druckereien verwendet werden. Somit werden im Ergebnis nur von der Cybercrime Convention die Dual-Use-Tools vollständig ausgeschlossen.249 Der österreichische Gesetzeswortlaut erfasst hingegen aufgrund des Tatbestandsmerkmals „nach seiner besonderen Beschaffenheit ersichtlich“ auch Dual-Use-Tools250 und folglich deutlich mehr Programme. Ein weiterer Unterschied ergibt sich aufgrund des Tatbestandsmerkmals „unbefugt“ in Art. 6 Abs. 1 Cybercrime Convention251, das sich im öStGB gegen Fälschung dienenden Bestandteil von Geld, eines besonders geschützten Wertpapieres oder eines amtlichen Wertzeichens anfertigt, von einem anderen übernimmt, sich oder einem anderen verschafft, einem anderen überlässt oder sonst besitzt, ist mit Freiheitsstrafe bis zu zwei Jahren zu bestrafen. 245 WK-Schroll, § 239 Rn. 3. 246 WK-Kienapfel, § 227 Rn. 7. 247 Bertel/Schwaighofer, § 227 Rn. 2. 248 WK-Schroll, § 239 Rn. 2. 249 So auch WK-Reindl-Krauskopf, § 126c Rn. 8; Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 73, http://conventions.coe.int/Treaty/en/ Reports/Html/185.htm (Stand: 4. Januar 2011). 250 Vgl. die Ausführungen zu den Dual-Use-Tools unter Kapitel E. VII. 3. c) bb). 251 Vgl. Explanatory Report, Nr. 76, http://conventions.coe.int/Treaty/en/ Reports/Html/185.htm (Stand: 4. Januar 2011): The offence requires that it be committed intentionally and without right. In order to avoid the danger of overcriminalisation where devices are produced and put on the market for legitimate purposes, e. g. to counter-attacks against computer systems, further elements are added to restrict the offence. Apart from the general intent requirement, there must be the specific (i. e. direct) intent that the device is used for the purpose of committing any of the offences established in Articles 2–5 of the Convention.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

127

so nicht finden lässt. Einer ausdrücklichen Aufnahme eines tatbestandsausschließenden Merkmals der Unbefugtheit hat es aber nicht bedurft, da bereits aufgrund des erweiterten Vorsatzes bezüglich des Gebrauchens des Programms etc. bei einer der aufgezählten Computerstraftaten eine Rechtmäßigkeit nicht denkbar ist.252 Laut § 126c öStGB muss der Täter hinsichtlich der Vorbereitungshandlung und darüber hinaus auch vorsätzlich im Hinblick auf die vom Haupttäter durchgeführte und in § 126c öStGB aufgeführte Computerstraftat handeln. In subjektiver Hinsicht geht § 126c öStGB über Art. 6 der Cybercrime Convention hinaus, weil bei § 126c öStGB ein Vorsatz im Sinne eines bedingten Vorsatzes ausreichend ist. Nach § 5 Abs. 1 2. Hs. öStGB genügt somit im Rahmen des Vorsatzes bereits, dass der Täter die Verwirklichung ernstlich für möglich hält und sich mit ihr abfindet.253 Die Cybercrime Convention fordert hingegen einen Intent, der sowohl Absicht als auch Vorsatz bedeutet. Entsprechend Nr. 73 des Explanatory Reports muss mindestens Wissentlichkeit vorliegen, indem klargestellt wird, dass direkter Vorsatz gemeint ist.254 3. Vergleich von § 126c öStGB mit § 202c dStGB a) Geschütztes Rechtsgut und Gesetzessystematik Da es sich bei § 202c dStGB um ein Vorbereitungsdelikt handelt, orientiert sich das geschützte Rechtsgut an den §§ 202a, 202b, 303a und b dStGB.255 Gleiches gilt bei § 126c öStGB, bei dem abschließend die maßgeblichen Hauptdelikte aufgezählt werden. § 202c dStGB ist systematisch bei den Geheimnisschutzdelikten eingeordnet, während § 126c öStGB nach der Datenbeschädigung und der Computersabotage zu finden ist. Im Ergebnis resultiert aus der systematischen Stellung aber kein Unterschied, weil die §§ 303a ff. dStGB den § 202c dStGB für entsprechend anwendbar erklären und § 126c öStGB die §§ 118a ff. öStGB schon tatbestandlich erfasst. b) Deliktscharakter Ferner könnten sich Unterschiede beim Deliktscharakter ergeben. Bei § 126c öStGB handelt es sich um ein abstraktes Gefährdungsdelikt im Hin252

Beer, S. 189. WK-Reindl-Krauskopf, § 126c Rn. 13. 254 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 76, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 255 HK-GS-Tag, § 202c Rn. 2. 253

128

E. Die Umsetzung der Cybercrime Convention in Österreich

blick auf die dort aufgezählten Straftaten256, weil es auf die Ausführung der aufgezählten Haupttaten nicht ankommt.257 Der Charakter kann darauf gestützt werden, dass es am Strafantragserfordernis fehlt und die abstrakte Gefahr, die von derartigen Programmen etc. ausgeht, unterbunden werden soll.258 Zwar ist der Charakter des § 202c dStGB nicht eindeutig.259 Allerdings sprechen die überwiegenden Argumente dafür, dass auch § 202c dStGB ein abstraktes Gefährdungsdelikt260 ist, weil es auf die Durchführung der Haupttat nicht ankommt. Die generelle Gefährlichkeit des Handelns wird durch die Erfüllung des Tatbestandes unwiderleglich vermutet. Für die Charakterisierung als abstraktes Gefährdungsdelikt spricht zum einen das fehlende Strafantragserfordernis, weil es aufgrund der abstrakten Gefahr keinen möglichen Antragsteller gibt. Darüber hinaus spricht für die Einordnung als abstraktes Gefährdungsdelikt auch die Gesetzesbegründung261, wonach Hackertools generell kriminalisiert werden sollten, was auf deren abstrakte Gefährlichkeit zurückzuführen ist.262 Ferner kann auch 256

WK-Reindl-Krauskopf, § 126c Rn. 7. Rengier, Strafrecht Allgemeiner Teil, Kap. 1, § 10 Rn. 11. 258 Vgl. den Wortlaut des Explanatory Reports, Nr. 71: This provision (Art. 6 Cybercrime Convention) establishes as a separate and independent criminal offence the intentional commission of specific illegal acts regarding certain devices or access data to be misused for the purpose of committing the above-described offences against the confidentiality, the integrity and availability of computer systems or data. As the commission of these offences often requires the possession of means of access (hacker tools) or other tools, there is a strong incentive to acquire them for criminal purposes which may then lead to the creation of a kind of black market in their production and distribution. To combat such dangers more effectively, the criminal law should prohibit specific potentially dangerous acts at the source, preceding the commission of offences under Articles 2–5. In this respect the provision builds upon recent developments inside the Council of Europe (European Convention on the legal protection of services based on, or consisting of, conditional access – ETS Nº 178) and the European Union (Directive 98/84/EC of the European Parliament and of the Council of 20 November 1998 on the legal protection of services based on, or consisting of, conditional access) and relevant provisions in some countries. A similar approach has already been taken in the 1929 Geneva Convention on currency counterfeiting. 259 Borges/Stuckenberg/Wegener, DuD 2007, 275 (276). 260 Böhlke/Yilmaz, CR 2008, 261; Ernst, NJW 2007, 2661 (2663); Fischer, § 202c Rn. 2; HK-GS-Tag, § 202c Rn. 2; NK-Kargl, § 202c Rn. 3; Schönke/Schröder-Eisele, § 202c Rn. 1; SK-Hoyer, § 202c Rn. 2; SSW-Bosch, § 202c Rn. 1; a. A. Schumann, NStZ 2007, 675 (678 f.), der § 202c dStGB als echtes Vorbereitungsdelikt ansieht. 261 BT-Drs. 16/3656, S. 12. 262 Borges/Stuckenberg/Wegener, DuD 2007, 275 (276); Stuckenberg, Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität – für die Öffentliche Anhörung vor dem Rechtsausschuss des Bundestages am 21. März 2007, S. 8 f., 257

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

129

auf die Ausführungen im Explanatory Report263 zurückgegriffen werden, wonach das Wachstum eines Schwarzmarktes im Internet bezüglich Hackertools unterbunden werden soll. Grund hierfür ist die abstrakte Gefahr, die mit einer derart massenhaften Verbreitung einhergeht. Letztlich kann auch § 202c Abs. 2 dStGB herangezogen werden, der von der Rechtsfolge § 126c Abs. 2 öStGB entspricht. Bei einem abstrakten Gefährdungsdelikt tritt die Vollendung mit der Gefährdung ein, sodass ein Rücktritt nicht mehr möglich ist. Um dem Täter aber einen Anreiz zu geben, die abstrakte Gefahr zu beseitigen, wurde die tätige Reue statuiert. Somit ergeben sich keine Unterschiede im Hinblick auf den Deliktscharakter, weil es sich bei beiden Straftatbeständen um abstrakte Gefährdungsdelikte handelt. c) Objektiver Tatbestand aa) Computerprogramme und vergleichbare Vorrichtungen gemäß § 126c öStGB – Computerprogramme gemäß § 202c dStGB Während § 126c öStGB neben den Computerprogrammen auch vergleichbare Vorrichtungen erfasst, werden von § 202c dStGB nur Erstere erfasst. Bei den sonstigen Vorrichtungen handelt es sich im Umkehrschluss zu den Computerprogrammen um jede Form von Hardware. Erfasst wird daher auch das Verschaffen von Gerätschaften zum Abfangen elektromagnetischer Abstrahlungen264 oder sonstiger Abhörvorrichtungen.265 Durch das Verschaffen sämtlicher Gerätschaften geht § 126c öStGB weit über § 202c dStGB hinaus. Vorteile im Vergleich zu § 202c dStGB ergeben sich aber dadurch in der Praxis nicht. Zwar entspricht die strafrechtliche Erfassung der sonstigen Vorrichtungen der Cybercrime Convention, weil diese eine solche Strafbarkeit fordert. Nach Art. 6 Abs. 3 Cybercrime Convention steht es den Mitgliedstaaten aber frei, Vorrichtungen im Allgemeinen von der Strafbarkeit auszunehmen, sodass § 202c StGB nicht konventionswidrig ist. Laut der Gesetzesbegründung sollte von dieser Vorbehaltsmöglichkeit Gebrauch gemacht werden.266 Allerdings besteht die besondere Gefährlichhttp://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Com puterkriminalitaet/04_Stellungnahmen/Stellungnahme_Stuckenberg.pdf (Stand: 10. Februar 2010). 263 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 71, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 264 WK-Reindl-Krauskopf, § 126c Rn. 9. 265 Bspw. Keylogger; dies sind kleine Geräte, die zwischen die Tastatur und den PC gesteckt werden und sämtliche Eingaben in die Tastatur protokollieren, Ernst, NJW 2003, 3233 (3234); Gercke/Brunst, Rn. 50. 266 BT-Drs. 16/3656, S. 11 f.

130

E. Die Umsetzung der Cybercrime Convention in Österreich

keit bei Computerprogrammen gerade darin, dass diese ohne Probleme im Internet bezogen werden können. Da die Programme oft derart programmiert sind, dass sie mit minimalen Computerkenntnissen auch eingesetzt werden können, ist die Versuchung für denjenigen, der sich die Programme verschafft, sehr groß, sie auch einzusetzen. Diese Gefahr besteht hingegen bei physischen Gerätschaften nicht. Diese muss sich der Täter zum einen erst verschaffen, was unter anderem beim Versand per Post nicht anonym geschehen kann. Zum anderen muss er diese auch tatsächlich durch eine Anwesenheit vor Ort installieren. Daher ist die Strafbarkeit wegen solcher Vorrichtungen gemäß § 126c öStGB in der Praxis auf ein Minimum beschränkt. Zum einen wird der Täter, der sich die Vorrichtungen in delinquenter Absicht besorgt, in der Regel die genannten Taten auch meist begehen. Zum anderen wird der Nachweis des Beschaffens in der Praxis nur über Zufallsfunde möglich sein, wenn beispielsweise die Post des Täters oder dessen Auto kontrolliert wird. Eine Verfolgung, wie sie im Internet bei Downloads über die IP-Adresse möglich ist, ist in der realen Welt nicht zu erreichen, auch wenn es nie möglich sein wird, alle Downloads zu kontrollieren. bb) Besondere Beschaffenheit gemäß § 126c öStGB – Zweck gemäß § 202c dStGB Weitere Unterschiede ergeben sich bei den Tatobjekten. Während diese bei § 126c öStGB aufgrund der besonderen Beschaffenheit ersichtlich zur Begehung der abschließend aufgezählten Delikte geschaffen oder adaptiert worden sein müssen267, ist es bei § 202c dStGB erforderlich, dass der Zweck des Computerprogramms die Begehung einer Tat nach §§ 202a oder 202b dStGB ist und der Zweck daher eindeutig ein krimineller ist. Die österreichische Version erfasst im Ergebnis folglich deutlich mehr Programme, weil die deliktische Verwendung nur überwiegen muss, sodass der legale und illegale Einsatzbereich fast gleich schwer wiegen können und dadurch ein größeres Spektrum an Dual-Use-Tools erfasst wird. Bei § 202c dStGB hingegen muss die illegale Verwendung dem Programm immanent sein und der kriminelle Zweck im Vordergrund stehen.268 § 202c dStGB erfasst daher in erster Linie Malware, wobei ein marginaler legaler Einsatzbereich an der Strafbarkeit nichts ändert. Dadurch werden effektiv Gestaltungsmöglichkeiten unterbunden, die darin bestehen, zusätzlich legale Anwendungsbereiche zu programmieren. Trotz der sinnvollen Einschränkung der Vorbereitungshandlung in § 202c dStGB entspricht § 126c öStGB besser den Vorgaben der Cybercrime Convention. Der Sinn und Zweck der Cybercrime 267 268

WK-Reindl-Krauskopf, § 126c Rn. 8. BT-Drs. 16/3656, S. 19.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

131

Convention, möglichst umfassenden Schutz vor Computerkriminalität zu erreichen, wird durch das insofern schärfere öStGB besser erreicht. cc) Computerpasswort, Zugangscode und vergleichbare Daten gemäß § 126c Abs. 1 Nr. 2 öStGB – Passwörter und sonstige Sicherungscodes gemäß § 202c Abs. 1 Nr. 1 dStGB Weitere Unterschiede können sich im Hinblick auf die Tatobjekte Computerpasswort, Zugangscode und vergleichbare Daten gemäß § 126c Abs. 1 Nr. 2 öStGB und Passwörter und sonstige Sicherungscodes entsprechend § 202c Abs. 1 Nr. 1 dStGB ergeben. Im Hinblick auf das österreichische Strafrecht wird vereinzelt die Auffassung vertreten, dass Computerpasswörter Zugangsdatenpakete sind, die in einer linguistisch-logischen Abfolge von Buchstaben bestehen und in Abgrenzung dazu Zugangscodes alle nummerischen Kombinationen.269 Dieser Auffassung ist aber nicht zu folgen, weil es auf die individuelle Gestaltung des Passwortes bzw. des Zugangscodes nicht ankommt. Computerpasswörter können nach dem allgemeinen Sprachgebrauch auch aus Buchstaben, Zahlen, Sonderzeichen oder deren Kombination bestehen. Eine derartige Kombination ist heutzutage bei Passwörtern zwingend erforderlich, da nur so ein ausreichender Grad an Sicherheit des Computerpassworts erreicht werden kann.270 Ein Code ist hingegen ein System von Regeln und Zeichen, das die Zuordnung von Zeichen oder Zeichenfolgen zweier verschiedener Zeichenvorräte erlaubt und somit einen Schlüssel beispielsweise zur Übertragung verschlüsselter Texte darstellt.271 In Betracht kommen dabei unter anderem die WEP- oder WPA-Verschlüsselung272 von WLAN-Netzwerken. Zwischen den Begriffen Computerpasswort und Zugangscode im öStGB bestehen somit Unterschiede dahin gehend, dass ein Computerpasswort vorliegt, wenn eine Sicherheitsschranke durch Eingabe der Kombination überwunden wird, beispielsweise das Benutzerpasswort eines Computers oder das Zugangspasswort zum Onlinebanking. Ein Zugangscode kommt im Gegensatz dazu immer dann in Betracht, wenn es um die Entschlüsselung von verschlüsselten Dateien auf dem Computer geht, weil dann das Erfordernis des teilweisen Zugangs zum Computersystem erfüllt ist.273 269

Beer, S. 184. Auf das Verwenden von Kombinationen wird insbesondere auf den Internetseiten von Banken hingewiesen, die eine Authentifizierung mittels Passwort vorsehen. 271 Wermke/Klosa/Kunkel-Razum/Scholze-Stubenrecht, Kode, S. 510. 272 Armbrüster, WPA/WEP, http://www.macwelt.de/artikel/Glossar/364931/wpa_ wep/1 (Stand: 4. Januar 2011); Bär, MMR 2005, 434 (435); vgl. auch die Ausführungen unter Kapitel G. VI. 2. a). 273 WK-Reindl-Krauskopf, § 126c Rn. 10. 270

132

E. Die Umsetzung der Cybercrime Convention in Österreich

Im Rahmen des § 126c öStGB müssen die Passwörter oder Codes dem Täter den direkten, zumindest teilweisen Zugriff auf ein Computersystem ermöglichen. Bei § 202c dStGB müssen die Tatmittel hingegen nur den Zugang zu Daten, nicht hingegen zu einem Computersystem oder Teilen hiervon ermöglichen. Die österreichische Fassung ist aufgrund des erforderlichen zumindest teilweisen Zugangs zu einem Computersystem enger als die deutsche. In § 126c öStGB könnte das Erfordernis des zumindest teilweisen Zugangs zu einem Computersystem gestrichen werden. Durch die Bezugnahme in § 126c Abs. 1 a. E. öStGB auf die in Ziff. 1 genannten Straftaten wird bereits klargestellt, dass bei einer Vorbereitung des § 118a öStGB das Passwort etc. ohnehin dem zumindest teilweisen Zugang dienen muss. Aufgrund der Tatsache, dass § 126c öStGB auch im Rahmen der Vorbereitung der §§ 119, 119a öStGB den zumindest teilweisen Zugang zu einem Computersystem fordert, ergeben sich Strafbarkeitslücken, wenn sich der Täter Codes zum Abfangen von Daten außerhalb von Computersystemen verschafft. Dies gilt beispielsweise dann, wenn sich der Täter Codes für die mittels WEP oder WPA verschlüsselten Datenübertragungen verschafft. § 126c öStGB geht über § 202c dStGB hinaus, indem § 126c öStGB auch den bloßen Besitz erfasst.274 Vorteile hieraus sind aber nicht ersichtlich, sodass § 202c dStGB nicht auf den bloßen Besitz der Programme etc. erweitert werden muss. Strafbarkeitslücken können sich im Gegensatz zu § 126c öStGB nur dann ergeben, wenn der Täter sich die Programme etc. vor dem Inkrafttreten des 41. Strafrechtsänderungsgesetzes verschafft hat. Ansonsten kann bezüglich der Strafbarkeit in den meisten Fällen auf das Tatbestandsmerkmal Sich-Verschaffen abgestellt werden, weil derjenige, der ein Hackertool besitzt, sich dieses auch verschafft oder alternativ hergestellt haben muss.275 Unterschiede ergeben sich nur dann, wenn der Täter sich die Tatmittel ohne Vorsatz verschafft hat und er den Besitz aufrechterhält. Der Vorsatz ist im Rahmen des Besitzens nicht zwingend bereits im Zeitpunkt der Besitzerlangung erforderlich, sodass auch das vom Willen des Täters getragene Aufrechterhalten des Besitzes strafbar ist, wenn der Täter den Besitz vorsatzlos erlangt hat.276 Aber selbst wenn der Täter sich die Tatobjekte vor dem Inkrafttreten des 41. Strafrechtsänderungsgesetzes verschafft hat, ist eine Strafbarkeit dennoch nicht zwingend erforderlich, weil die abstrakte Gefahr, die von den auf dem Computer noch gespeicherten Programmen ausgeht, nicht derart 274 Die Straflosigkeit des Besitzes ist nach Art. 6 Abs. 3 Cybercrime Convention zulässig. 275 Stuckenberg, wistra 2010, 41 (42). 276 Schönke/Schröder-Lenckner/Eisele, vor §§ 13 ff. Rn. 4.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

133

gravierend ist, dass durch die Androhung einer Strafbarkeit eine Pflicht zur Löschung statuiert werden muss.277 Verbreitet der Täter die Programme weiter oder setzt er sie sogar ein, wird er von den aktuellen strafrechtlichen Regelungen erfasst. Unterschiede könnten sich im Hinblick auf das Einführen gemäß § 126c öStGB und das Sich- oder einem Anderen Verschaffen im Sinne des § 202c dStGB ergeben. Das Einführen sanktioniert den Import nach Österreich.278 Es ist ein Spezialfall sowohl des Sich- als auch des einem Anderen Verschaffens, bei dem es auf einen Grenzübertritt ankommt. Teilweise wird vertreten, dass ein Download aus dem Internet oder ein Versand von Emails nicht tatbestandsmäßig sei, weil es dem Täter meist aufgrund bestehender Unkenntnis vom Ort der jeweiligen Server279 am Vorsatz hinsichtlich des Importierens fehlen wird.280 Nach dieser Ansicht ist nur der reale Import von Datenträgern tatbestandsmäßig. Dieser Ansicht ist aber nicht zu folgen, da ein solches Ergebnis den Anwendungsbereich des Einführens auf Datenträger und dadurch auf ein Minimum reduzieren würde. Stattdessen muss ein Täter aufgrund der Globalität des Internets bei den meisten Downloads – vor allem bei illegaler Software oder geschützten Zugangscodes – davon ausgehen, dass jene nicht nur über österreichische Server laufen. Er darf sich dann nicht vor der Erkenntnis des Grenzübertritts bewusst verschließen, sondern muss bei Zweifeln mittels Kontrolle der maßgeblichen IPAdresse deren geografische Einordnung und den Weg der Datenübertragung überprüfen.281 Tut er dies nicht, hält er die Tatbestandsverwirklichung ernstlich für möglich und findet sich mit ihr ab; der Täter handelt dann bedingt vorsätzlich im Sinne des § 5 Abs. 1 2. Hs. öStGB. Dies gilt vor allem deshalb, weil die Internetverbindung zum Server nie direkt ist, sondern global entsteht, d.h. die Verbindung erfolgt über verschiedene Server. Daher liegt ein Einführen bei fast jedem Download vor, und zwar selbst dann, wenn der Ursprungsserver in Österreich steht, weil die Daten oft über ausländische Server laufen, sodass die Daten exportiert und wieder importiert werden. Ein Einführen ist im Ergebnis gleichlaufend mit dem Sich- oder einem Anderen Verschaffen im Sinne des § 202c dStGB, weil aufgrund des 277 So auch noch der österreichische Gesetzgeber bei Schaffung des § 126c öStGB, vgl. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/ fname_000784.pdf (Stand: 4. Januar 2011); im Hinblick auf das Sichverschaffen und Besitzen von Codes, die nur völlig neutrale Zugangsinformationen darstellen, vgl. WK-Reindl-Krauskopf, § 126c Rn. 12. 278 WK-Reindl-Krauskopf, § 126c Rn. 11. 279 Collin/Janssen/Kornmüller/Livesey, S. 1111, to serve bedeutet dienen. 280 Beer, S. 185. 281 Hierfür gibt es spezielle Programme wie NeoTrace Pro.

134

E. Die Umsetzung der Cybercrime Convention in Österreich

meist grenzüberschreitenden Datentransports auch der Versand an einen anderen User ein Einführen und somit ein Verschaffen gemäß § 202c dStGB darstellt. Lediglich bei Downloads, bei denen ausschließlich österreichische Server involviert sind, ergeben sich Unterschiede, was in praxi nur selten der Fall sein wird. Da ein Unterschied im Rahmen der kriminellen Energie bei einem ausschließlichen Download über österreichische Server nicht erkennbar ist, ist das Tatbestandsmerkmal Sich- oder einem Anderen Verschaffen vorzugswürdig, weil dadurch sämtliche Beschaffungshandlungen erfasst werden. d) Subjektiver Tatbestand Es ergeben sich in beiden Rechtsordnungen keine Unterschiede im Hinblick auf den Grad des Vorsatzes, weil sowohl bei § 202c dStGB als auch § 126c öStGB bedingter Vorsatz ausreicht. Bei § 126c öStGB muss der Täter mit dem Vorsatz handeln, dass die Tatmittel zur Begehung einer der aufgezählten Straftaten durch den Täter selbst oder einen Dritten eingesetzt werden.282 Im Rahmen des Vorsatzes genügt bedingter Vorsatz gemäß § 5 Abs. 1 2. Hs. öStGB, d.h. der Täter muss die Verwendung ernsthaft für möglich halten und sich damit abfinden.283 Es handelt sich bei § 126c öStGB um einen sog. „erweiterten Gebrauchsvorsatz“ bezüglich dessen ein bedingter Vorsatz vorliegen muss.284 Hieraus folgt, dass der Täter über den Vorsatz im Hinblick auf die Tathandlungen des § 126c öStGB hinaus auch mit einem Vorsatz hinsichtlich der strafbaren Handlung agieren muss.285 In diesem Zusammenhang ist somit zusätzlich erforderlich, dass der Täter mit einem Vorsatz bezüglich eines erweiterten Vorsatzes des Haupttäters handelt. Der Hersteller eines Programms im Sinne des § 126c öStGB muss es daher ernstlich für möglich halten, dass sein Programm für einen vorsätzlichen Zugriff auf ein Computersystem gemäß § 118a öStGB von einem anderen eingesetzt wird. Der Vorsatz muss sich dabei nicht nur auf die objektiven Tatbestandsmerkmale der Haupttat, sondern darüber hinaus auf alle subjektiven Komponenten beziehen. Dem Hersteller des Programms muss daher bewusst sein, dass der Haupttäter mit der erforderlichen Spionage-, Verwendungs- und Bereicherungs- bzw. Schädigungsabsicht handeln wird.286 Eine genaue Kenntnis vom Tatplan ist hingegen nicht erforderlich. Daraus wird klar, dass es sich um eine konkrete Tat 282 283 284 285 286

WK-Reindl-Krauskopf, § 126c Rn. 15. Beer, S. 186; WK-Reindl-Krauskopf, § 126c Rn. 13. WK-Reindl-Krauskopf, § 126c Rn. 14. WK-Reindl-Krauskopf, § 126c Rn. 15. Vgl. WK-Reindl-Krauskopf, § 126c Rn. 15.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

135

handeln muss, weil ansonsten kein Vorsatz hinsichtlich des Vorsatzes des Haupttäters möglich ist. Im Gegensatz dazu handelt es sich bei dem subjektiven Tatbestandsmerkmal des Vorbereitens in § 202c dStGB um eine überschießende Innentendenz, die bedingten Vorsatz erfordert.287 Die überschießende Innentendenz soll neben der Zweckbestimmung als zweiter Filter dienen, mittels dessen die Straffreiheit eines legalen Einsatzes illegaler Programme gewährleistet werden soll.288 Allerdings hat der Gesetzgeber durch die seinem Willen entgegenstehende Formulierung „. . . vorbereitet, indem er . . .“ erhebliche Rechtsunsicherheit in der IT-Branche geschaffen. Beim schlichten Lesen der Norm ist nicht ersichtlich, ob eine Strafbarkeit bereits aufgrund der Vornahme der Tathandlungen und zwar ohne einen weitergehenden Vorsatz in Bezug auf die Vorbereitung gegeben ist. Einer derartigen grammatischen Auslegung wurde allerdings ausdrücklich in der Gesetzesbegründung289 entgegengetreten, indem klargestellt wurde, dass das alleinige Erfüllen der Tathandlungen noch kein Vorbereiten im Sinne des § 202c dStGB sei.290 Im Hinblick auf die Vorbereitung einer Computerstraftat muss der Täter daher mit einer Verwendung des Programms etc. im Rahmen einer Computerstraftat rechnen (kognitives Element) und dies billigend in Kauf nehmen (voluntatives Element)291, wobei es irrelevant ist, ob die Taten später tatsächlich ausgeführt werden oder ob die Vorbereitungshandlung tatsächlich einen Förderbeitrag geleistet hat.292 Problematisch ist hierbei jedoch, dass die Strafbarkeit dennoch sehr weit reicht. § 202c dStGB ist nicht auf das Vorbereiten eigener Computerstraftaten begrenzt, sodass im Ergebnis unter anderem auch IT-Sicherheitsexperten vom Straftatbestand des § 202c dStGB erfasst werden, wenn sie Tatmittel im Sinne des § 202c dStGB an Kollegen weitergeben. Dabei ist zu berücksichtigen, dass diese auf die Verbreitung und insbesondere den Bezug von Malware von anderen IT-Sicherheitsexperten angewiesen sind, um die Sicherheit der von ihnen betreuten Systeme zu optimieren. Zu klären ist daher, ob § 202c dStGB teleologisch dahin gehend reduziert werden kann, 287

Borges/Stuckenberg/Wegener, DuD 2007, 275 (277); Fischer, § 202c Rn. 8. BT-Drs. 16/3656, S. 18. 289 BT-Drs. 16/3656, S. 19. 290 Nach der Ansicht von Böhlke/Yilmaz, CR 2008, 261 (264), hätte statt des aktuellen Wortlauts die Formulierung „. . . vorbereitet und er hierzu . . .“ verwendet werden können. Hieraus hätte sich nach deren Ansicht der Wille des Gesetzgebers und die daraus folgende Zielrichtung der Tathandlung auch für Nichtjuristen ableiten lassen können. 291 BVerfG ZUM 2009, 745 (750). 292 NK-Kargl, § 202c Rn. 12 ff.; Popp, GA 2008, 375 (377); Schönke/SchröderEisele, § 202c Rn. 8; SK-Hoyer, § 202c Rn. 8. 288

136

E. Die Umsetzung der Cybercrime Convention in Österreich

dass der Täter zumindest eine Tat in seinen Grundzügen vor Augen haben muss, sodass es zur Bejahung des Vorsatzes auf seine Vorstellungen hinsichtlich der vorzubereitenden Tat ankommt. Nach einer Ansicht293 reicht bei § 202c dStGB im Rahmen des bedingten Vorsatzes bereits das Bewusstsein des Täters aus, dass die Tatobjekte im Rahmen irgendeines Computerdeliktes verwendet werden könnten. Zwar ist das Sich-Verschaffen zur Durchführung eigener Sicherheitschecks nie strafrechtlich erfasst, da der Verwender keine Straftat nach §§ 202a oder b dStGB vor Augen hat, weil sein Testen meist genehmigt ist und er somit befugt handelt.294 Problematisch ist jedoch, dass es aufgrund der drohenden Strafbarkeit kaum Quellen gibt, aus denen sich ein IT-Spezialist die Programme besorgen kann. Dies führt dazu, dass neben der Unterbindung der Verbreitung von Hackertools auch eine Verbesserung der ITSicherheit signifikant eingeschränkt wird, weil die jeweiligen Systemadministratoren nur dann ihre Systeme sinnvoll sichern können, wenn sie die Gefahren analysieren und Gegenmaßnahmen entwickeln können. Die Überprüfung auf Sicherheitslücken wird deshalb sehr oft mit den auch von den Angreifern eingesetzten Hackertools durchgeführt. Ihr Einsatz ist daher unter anderem zur Abwehr von Industriespionage und Systemmanipulationen unverzichtbar.295 Daher ist nach anderer Ansicht296 erforderlich, dass der Täter die Tat zumindest in wesentlichen Grundzügen vor Augen hat.297 Maßgeblich sei deshalb, dass der Täter zumindest rudimentär den Tatort, die Tatzeit und das 293 Fischer, § 202c Rn. 8 lehnt eine Konkretisierung im Sinne der §§ 26, 27 dStGB ab, weil dies dem Charakter des § 202c dStGB als Gefährdungsdelikt nicht gerecht werden würde; vgl. auch SK-Hoyer, § 202c Rn. 8; SSW-Bosch, § 202c Rn. 6. 294 Schönke/Schröder-Eisele, § 202c Rn. 7. 295 Weingarten, Der Hackerparagraph ist der größte Unsinn, http://www.netz zeitung.de/internet/693170.html (Stand: 21. Februar 2008). 296 Jlussi, IT-Sicherheit und § 202c StGB. Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, S. 10, http://www.eicar.org/press/infomaterial/JLUSSI_LEITFA DEN_web.pdf (Stand: 4. Januar 2011); So auch die Staatsanwaltschaft Bonn: Im vorliegenden Fall ging es um eine Anzeige des Magazins Tecchannel. Dieses hat das Bundesamt für Sicherheit in der Informationstechnik BSI angezeigt, weil es auf seiner Homepage die Software BSI OSS Security Suite (BOSS) zum Download anbot. Dessen Bestandteil ist die Software John the Ripper, die dem Knacken von Passwörtern dient, vgl. Mersmann, Auch die Aufpasser müssen aufpassen, http:// www.stern.de/digital/computer/hackerparagraf-auch-die-aufpasser-muessen-aufpassen -598457. html (Stand: 4. Januar 2011); entsprechend der Begründung der StA Bonn sei die Verbreitung aufgrund des Aufgabenbereichs des BSI nicht auf die Vorbereitung von Straftaten ausgerichtet, vgl. Gercke, ZUM 2008, 545 (553 f.); LK-Hilgendorf, § 202c Rn. 28; NK-Kargl, § 202c Rn. 12.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

137

Tatobjekt kennt.298 Diese Ansicht wird vor allem auf den Wortlaut des § 149 Abs. 2 Nr. 1 dStGB gestützt, der insoweit herangezogen werden kann, weil § 202c dStGB auf ihn verweist. Bei § 149 Abs. 2 Nr. 1 dStGB geht es um die Aufgabe der Ausführung einer vorbereiteten Tat. Eine solche Tat kann aber nur dann bewusst aufgegeben werden, wenn sie konkret geplant ist. Nach der Beschlussbegründung des BVerfG299 ergibt sich das Erfordernis der konkreten Anhaltspunkte bereits aus dem beim bedingten Vorsatz erforderlichen voluntativen Element. Auch wird durch eine solche teleologische Auslegung dem Bestimmtheitsgebot besser Rechnung getragen und die bestehende Rechtsunsicherheit in der IT-Branche vermieden. Letztere Ansicht ist zwar im Sinne der IT-Industrie. Problematisch ist hierbei jedoch, dass der Deliktscharakter des § 202c dStGB als abstraktes Gefährdungsdelikt konterkariert wird, weil bei einer Verbreitung der Hackertools über das Internet nur in den seltensten Fällen eine Strafbarkeit drohen würde.300 Aufgrund des Erfordernisses einer Vorstellung von der konkreten Tat ergeben sich Strafbarkeitslücken beispielsweise dann, wenn der Täter Malware auf seinem Server und folglich jedermann zum Download zur Verfügung stellt. In solchen Fällen, in denen sich der Täter oft keine Gedanken über die Grundzüge einer möglichen Computerstraftat macht, bedarf die Einschränkung des Vorsatzes einer Korrektur. Daher ist zu fordern, dass derjenige, der Programme etc. weiter verbreiten möchte, dafür sorgen muss, dass er den Empfänger des Programms etc. individualisieren kann. In Betracht kommt dabei eine Anmeldekennung für den Downloadbereich oder den persönlichen Kontakt im Rahmen eines IT-Sicherheitsexperten-Internetforums. Nur dann ist es für den Täter möglich, sich überhaupt Gedanken über die konkrete Verwendung des Programmes zu machen. Als Ergebnis ist daher festzuhalten, dass eine teleologische Reduktion nur in Betracht kommt, wenn der Täter den Empfänger individualisieren und bei einer ernsthaften Beurteilung davon ausgehen kann, dass dieser die 297 Lackner/Kühl, § 149 Rn. 5; LK-Hilgendorf, § 202c Rn. 28; NK-Kargl, § 202c Rn. 12; Schönke/Schröder-Eisele, § 202c Rn. 7; a. A. Fischer, § 202c Rn. 8; Popp, GA 2008, 375 (392); SK-Hoyer, § 202c Rn. 8. 298 Bruns, Stellungnahme für die öffentliche Anhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 zu dem Gesetzentwurf der Bundesregierung, S. 5, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/ 15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Bruns.pdf (Stand: 10. Februar 2010); vgl. Schönke/Schröder-Eisele, § 202c Rn. 7, wonach der Täter mit dem Bewusstsein handeln muss, das potenzielle Nutzer das Programm im Rahmen von Straftaten einsetzen werden. 299 BVerfG ZUM 2009, 745 (750). 300 LK-Wolff, § 303a Rn. 41.

138

E. Die Umsetzung der Cybercrime Convention in Österreich

Programme nicht zu rechtswidrigen Zwecken einsetzen wird. Dies ist beispielsweise dann der Fall, wenn Programme in einem IT-Forum verbreitet werden. Erfüllt der Täter nicht diese zusätzlichen Voraussetzungen, kann er sich nicht auf die Unkenntnis von den Grundzügen etwaiger Computerstraftaten berufen. Nur so kann eine ausufernde Verbreitung gefährlicher Programme sinnvoll unterbunden und gleichzeitig der Tausch unter IT-Sicherheitsexperten ermöglicht werden. Somit machen sich nach beiden Rechtsordnungen IT-Administratoren weder strafbar, wenn sie sich Malware oder strafrechtlich erfasste DualUse-Tools zum Testen der eigenen Anlagen und deren Schutzmechanismen besorgen, noch wenn sie die entsprechenden Programme etc. an andere Computerspezialisten weitergeben. Es ist jedoch erforderlich, dass der Empfänger individualisierbar ist und der Täter davon ausgehen durfte, dass das Programm nicht im Rahmen einer Computerstraftat verwendet wird. Im Ergebnis ist daher festzuhalten, dass die Voraussetzungen für eine Strafbarkeit gemäß § 202c dStGB früher als bei § 126c öStGB vorliegen, weil eine Strafbarkeit bereits dann gegeben ist, wenn sich der Täter keine Gedanken über die konkrete Verwendung der Programme etc. macht. Aufgrund des zwingend erforderlichen Vorsatzes im Hinblick auf eine konkrete Tat ergeben sich dagegen bei § 126c öStGB Strafbarkeitslücken, wenn der Täter im Internet Programme verbreitet, ohne zu wissen, wer diese empfängt. Mangels Individualisierbarkeit kann er sich in diesen Konstellationen keine Gedanken über die konkret vorzubereitende Tat machen. Darüber hinaus ergeben sich bei § 126c öStGB auch erhebliche Beweisschwierigkeiten. Die Beweisproblematik bezüglich der Innentendenzen bei den Haupttaten wird durch § 126c öStGB nochmals potenziert, weil dem Täter ein Vorsatz hinsichtlich der überschießenden Innentendenzen des Haupttäters nachgewiesen werden muss. Wie dieses Problem in der Praxis gelöst werden soll, bleibt fraglich. e) Tätige Reue Während § 202c Abs. 2 dStGB die Vorschriften des § 149 Abs. 2 und 3 dStGB für entsprechend anwendbar erklärt, enthält § 126c Abs. 2 öStGB eine eigenständige Regelung. Vorab sei festgestellt, dass bei den hier maßgeblichen Tatbeständen tätige Reue301 nur bei denjenigen Tatvarianten in Betracht kommt, bei denen der Täter die Programme, Passwörter etc. verschafft oder hergestellt hat. Wenn er sie Anderen bereits derart zugänglich gemacht hat, dass diese die Programme etc. verwenden können, ist auf301 Anders als beim Versuch liegt eine Erfüllung des objektiven und subjektiven Tatbestands vor.

VII. Missbrauch von Computerprogrammen oder Zugangsdaten

139

grund der Verbreitungsmöglichkeiten im Internet die Beseitigung der Gefahr nicht mehr möglich. Wegen der weiter bestehenden Verwendungsmöglichkeiten bleibt es dann bei einer Strafbarkeit gemäß § 202c dStGB302 bzw. § 126c öStGB. § 149 dStGB differenziert zwischen dem aktiven Verhindern der Vollendung durch den Täter selbst bzw. der Beseitigung der Gefahr und dem freiwilligen und ernsthaften Bemühen. § 126c öStGB unterscheidet hingegen nicht zwischen dem Aufgeben der eigenen Ausführung und der geschaffenen Gefahr, erfasst aber ebenfalls das ernsthafte und freiwillige Bemühen.303 Unterschiede könnten sich aufgrund § 149 Abs. 2 Nr. 2 dStGB ergeben. Hiernach muss der Täter zusätzlich die Mittel unbrauchbar machen oder vernichten304, da die Voraussetzungen des § 149 Abs. 2 Nr. 1 und 2 dStGB kumulativ und nicht nur alternativ vorliegen müssen. Der Täter, der Programme etc. hergestellt oder sich verschafft hat, muss diese löschen oder gegebenenfalls den Verfügungsberechtigten des Systems, über dessen Passwörter der Täter verfügt, auf die Sicherheitslücke hinweisen, um die Passwörter unbrauchbar zu machen. Dies gilt ebenso beim freiwilligen und ernsthaften Bemühen um Tatverhinderung nach § 149 Abs. 3 dStGB, weil dieser nur anstelle des § 149 Abs. 2 Nr. 1 dStGB einschlägig ist, jedoch § 149 Abs. 2 Nr. 2 dStGB unberührt lässt. Ein solches zwingendes Vorgehen ist dem Wortlaut des § 126c öStGB hingegen nicht zu entnehmen, sodass auch ein bloßes inneres Abstandnehmen des Täters möglich erscheint, wenn der Täter die Programme etc. noch besitzt. Hierdurch ergäben sich aber in der Praxis, insbesondere bei der Strafbarkeit des Besitzes, kaum zu überbrückende Beweisschwierigkeiten, weil der Täter immer einwenden könnte, bereits von der Tat Abstand genommen zu haben. Zur Vermeidung dieser Beweisschwierigkeiten ist es erforderlich, dass der Täter seine innere Abstandnahme durch objektive Anhaltspunkte manifestiert. Dies ist nur durch aktives Tätigwerden in Form eines Vernichtens oder Unbrauchbarmachens möglich.305 Für dieses Ergebnis spricht, dass § 126c öStGB die abstrakte Gefahr sanktionieren soll, die vom Besitz solcher Tatmittel ausgeht, welche nur durch ein Vernichten beseitigt werden kann. Folglich wird die Verwendung nur dann im Sinne des § 126c öStGB verhindert, wenn das Programm etc. vernichtet wird, weil es auf eine endgültige Verhinderung ankommt.306 Somit ist jeweils das Löschen oder sonstige 302

MüKo-Erb, § 149 Rn. 8. § 126c Abs. 2 S. 2 öStGB ist vergleichbar mit dem Putativrücktritt in § 16 Abs. 2 öStGB, vgl. Beer, S. 188; WK-Reindl-Krauskopf, § 126c Rn. 19. 304 Die Tatvarianten des Anzeigens des Vorhandenseins bei einer Behörde oder des Ablieferns kommt bei Computerprogrammen, Passwörter etc. nicht in Betracht. 305 Beer, S. 187, verlangt ebenfalls aktives Gegensteuern, begründet dies jedoch mit kriminalpolitischen Erwägungen. 306 So auch WK-Reindl-Krauskopf, § 126c Rn. 18. 303

140

E. Die Umsetzung der Cybercrime Convention in Österreich

Unbrauchbarmachen zur Bejahung der tätigen Reue unumgänglich, sodass sich keine entscheidenden Unterschiede ergeben. f) Strafbarkeit des Versuchs und Rücktritt Im Gegensatz zu §§ 202c i. V. m. 23 Abs. 1, 12 Abs. 2 dStGB ist im österreichischen Strafrecht gemäß § 15 Abs. 1 öStGB der Versuch eines jeden Vorsatzdelikts strafbar, sodass ein Rücktritt vom Versuch gemäß § 16 öStGB in Betracht zu ziehen ist. Da es sich bei § 126c öStGB um ein Vorbereitungsdelikt handelt, könnte ein Versuch und somit ein Rücktritt aus strafrechtsdogmatischen Gründen allerdings ausgeschlossen sein, weil der Tatbestand vergleichbar mit einem Tätigkeitsdelikt bereits mit der Tathandlung erfüllt wird.307 Möglich sei ein strafbarer Versuch somit nur dann, wenn die Vorbereitungshandlungen als Sondertatbestand ein selbstständiges Delikt unter Strafe stellen.308 Unanwendbar sollen die Versuchsregelungen dahingegen bei den strafbaren Vorbereitungsdelikten sein, die die Strafbarkeit eines anderen Straftatbestandes lediglich unselbstständig vorverlagern309, weil für eine nochmalige Vorverlagerung der Strafbarkeit kein berechtigtes Bedürfnis bestehe.310 Nach dieser Ansicht ist ein Versuch des § 126c öStGB möglich, weil es sich um ein selbstständiges Vorbereitungsdelikt handelt. Dem wird entgegengehalten, dass aufgrund der restriktiven Auslegung der Versuchsregelungen bei einem Vorbereitungsdelikt eine Versuchsstrafbarkeit immer abzulehnen sei, weil es sich bei Zugrundelegung einer materiellen Betrachtungsweise bei Vorbereitungsdelikten bereits um eine ausnahmsweise Erweiterung der Strafbarkeit über das Versuchsstadium hinaus auf das Vorbereitungsstadium handele.311 Durch die Bejahung der Versuchsstrafbarkeit werde die ohnehin schon vorverlagerte Strafbarkeit noch weiter vorverlagert. Bei § 126c öStGB ist zweiter Ansicht zu folgen, weil § 126c öStGB die abstrakte Gefahr strafrechtlich sanktionieren will, die von den genannten Tatobjekten ausgeht. Diese Gefahr besteht aber im Zeitpunkt des Versuchsstadiums noch nicht, sodass es einer Erweiterung der Strafbarkeit nicht bedarf.

307 308 309 310 311

Vgl. auch Rengier, Strafrecht Allgemeiner Teil, Kap. 1, § 10 Rn. 7. WK-Hager/Massauer, § 15 Rn. 12. WK-Hager/Massauer, § 15 Rn. 12. Schönke/Schröder-Eser, Vorbem. § 22 Rn. 29. Fabrizy, § 15 Rn. 2.

F. Die Strafbarkeit der Computerkriminalität in der Schweiz Die Schweiz hat ihr Strafrecht mit Wirkung zum 1. Januar 1995 im Hinblick auf die Computerkriminalität revidiert. Seitdem erfolgten keine Änderungen mehr. Im Folgenden soll ein Überblick über die schweizerischen Normen gegeben werden. Insbesondere soll dargestellt werden, ob die Normen den aktuellen Gefahren für Computersysteme noch gerecht werden. In diesem Zusammenhang werden im Rahmen eines Vergleichs mit den Vorgaben der Cybercrime Convention und der deutschen Normen etwaige Unterschiede dargestellt. Letztlich werden Vorschläge unterbreitet, wie das sStGB an die bereits unterzeichnete Cybercrime Convention angepasst werden könnte.

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB Art. 143 sStGB wurde mit Wirkung zum 1. Januar 1995 im sStGB eingefügt, nachdem der Gesetzgeber erkannt hatte, dass Daten über einen erheblichen wirtschaftlichen Wert verfügen. Im weiteren Verlauf des Gesetzgebungsverfahrens zeigte sich auch, dass die Datenverarbeitung und die Datenverarbeitungsanlagen umfassend vor Eingriffen Dritter geschützt werden müssen.1 1. Gesetzestext (1) Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. (2) Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.

1

SBBL II 1991, 969 (984); N. Schmid, § 4 Rn. 1.

142

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

2. Geschütztes Rechtsgut Das von Art. 143 sStGB geschützte Rechtsgut ist äußerst umstritten. Teilweise wird vertreten, dass dieses das Recht des Berechtigten auf ungestörte Nutzung der Daten sei.2 Dieses wird vereinzelt auch als Verfügungsrecht über die Daten als Immaterialgüterrecht eigener Art bezeichnet.3 Nach anderer Auffassung wird durch Art. 143 sStGB hingegen vorrangig der dem Datenbestand immanente Vermögenswert geschützt.4 Hierfür spricht bereits die gesetzessystematische Stellung. Art. 143 sStGB befindet sich im zweiten Titel des sStGB, den strafbaren Handlungen gegen das Vermögen. Art. 143 sStGB wurde eingeführt, nachdem der schweizerische Gesetzgeber erkannt hatte, dass Daten, die einen enormen wirtschaftlichen Wert haben können, mangels Sacheigenschaft nicht unter den Diebstahlstatbestand fielen.5 Durch die Neuregelung sollte diese Strafbarkeitslücke geschlossen werden, weshalb der Tatbestand auch untechnisch als Datendiebstahl bezeichnet wird.6 Die Gegenansicht lehnt das Vermögen als geschütztes Rechtsgut ab, weil ein Vermögensschaden beim Berechtigten nicht vorausgesetzt wird, da meist ein Kopieren der Daten gegeben ist, welches die Verfügungsbefugnis des Berechtigten nicht beeinträchtigt.7 Dieses Argument greift jedoch nicht, da der Vermögenswert durch die Vervielfältigung der Daten – wie Forschungs- und Entwicklungsdaten – bereits vermindert sein kann. Ein weiteres Argument der Gegenansicht ist, dass sich dem Wortlaut des Art. 143 sStGB nicht das Erfordernis eines wirtschaftlichen, wissenschaftlichen oder beweiserheblichen Werts der Daten entnehmen lasse8, sodass die Lage des Datenberechtigten eher der eines Urheberrechtsberechtigten oder Geheimnisherren9 gleicht. Das Erfordernis eines zumindest wirtschaftlichen Werts ergibt sich aber aus einer teleologischen Auslegung des Art. 143 sStGB. Wäre der Wille des Gesetzgebers dahin gegangen, die Verfügungsbefugnis schlechthin zu schützen, ist nicht zu erklären, weshalb er den Schutz durch die zusätzlich erforderliche Bereicherungsabsicht hätte einschränken sollen. Geschütztes Rechtsgut ist folglich bei Art. 143 sStGB anders als in der Cybercrime Convention vorrangig das Vermögen und nur sekundär der formelle Geheimnisschutz.10 2

BK-Weissenberger, Art. 143 Rn. 4. Stratenwerth/Jenny, § 14 Rn. 22. 4 N. Schmid, § 4 Rn. 14 ff. 5 SBBL II 1991, 969 (983). 6 Trechsel-Crameri, Art. 143 Rn. 1. 7 BK-Weissenberger, Art. 143 Rn. 2. 8 BK-Weissenberger, Art. 143 Rn. 2. 9 Trechsel-Crameri, Art. 143 Rn. 1. 10 N. Schmid, § 4 Rn. 16. 3

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

143

3. Vergleich von Art. 143 sStGB mit Art. 3 Cybercrime Convention und daraus resultierender Umsetzungsbedarf Ein Vergleich11 mit der Cybercrime Convention gestaltet sich insofern schwierig, als ein konkretes Pendant nicht existiert. Art. 2 Cybercrime Convention12 behandelt den rechtswidrigen Zugang zu Daten und nicht die Datenbeschaffung, sodass im Hinblick auf Art. 2 Cybercrime Convention vorrangig Art. 143bis sStGB in Betracht kommt. Art. 3 Cybercrime Convention13 erfasst hingegen das Verschaffen von Daten durch rechtswidriges Abfangen. Hier ist noch am ehesten ein Vergleich möglich, da ein Datenabfangen ein Datenbeschaffen im Sinne des Art. 143 sStGB darstellt. a) Objektiver Tatbestand Unterschiede könnten sich im Hinblick auf den Datenbegriff ergeben. Gemäß Art. 1 lit. b Cybercrime Convention sind Computerdaten jede Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschließlich eines Programms, das die Ausführung einer Funktion durch ein Computersystem auslösen kann.14 Im sStGB gibt es keine solche Legaldefinition. 11 Diese Fragestellung resultiert aus der Tatsache, dass auch die Schweiz die Cybercrime Convention unterzeichnet hat und daher eine Ratifikation in Betracht kommt. 12 Wortlaut des Art. 2 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um den unbefugten Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat unter Verletzung von Sicherheitsmaßnahmen, in der Absicht, Computerdaten zu erlangen, in anderer unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 13 Wortlaut des Art. 3 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das mit technischen Hilfsmitteln bewirkte unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, aus einem Computersystem oder innerhalb eines Computersystems einschließlich elektromagnetischer Abstrahlungen aus einem Computersystem, das Träger solcher Computerdaten ist, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat in unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 14 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 25, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011).

144

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Nach einem weiten Verständnis sind Daten alle mündlichen, schriftlichen oder sonst akustisch oder optisch wahrnehmbaren, direkt oder indirekt von einem Menschen oder aber auch selbsttätig von einer Maschine produzierten Äußerungen bezüglich der Mitteilung, Verarbeitung oder Registrierung der damit verbundenen Informationen.15 Ganz allgemein sind Daten daher Informationen hinsichtlich eines bestimmten Sachverhalts die auf verschiedenste Weise festgehalten werden können, beispielsweise in Form von Text, Zahlen, Zeichen, als Magnetzustand auf einem Speichermedium oder auch als bloße Vorstellung im Gehirn.16 Aufgrund des im Rahmen der Computerkriminalität gegebenen unmittelbaren und sachlichen Zusammenhangs der Daten mit den Datenverarbeitungsanlagen muss dieser weite Datenbegriff jedoch wieder eingeschränkt werden.17 Nach den Ausführungen in der Gesetzesbegründung zu Art. 143 sStGB18 sind Daten daher alle Informationen über einen Sachverhalt, die zur weiteren Verwendung vermittelt, verarbeitet oder aufbewahrt werden und darüber hinaus maschinell ohne Weiteres in eine visuell erkennbare und insbesondere lesbare Form gebracht werden können. Geschützt sind diese Informationen ab dem Zeitpunkt ihrer Eingabe in eine Datenverarbeitungsanlage, der Codierung, bis zu ihrer Ausgabe, d.h. der Rückumwandlung in eine visuell wahrnehmbare Form mittels Decodierung.19 Dieser vom Gesetzgeber in den Blick genommene Datenbegriff ist im Rahmen von Art. 143 sStGB aber unbrauchbar, da nur lesbare menschliche Gedankenerklärungen erfasst und aufgrund der erforderlichen Lesbarkeit computerisierte Aufzeichnungen, die der Bildund Tonwiedergabe dienen, beispielsweise Diktate, ausgeschlossen wären.20 Der allgemeine Datenbegriff wird von Art. 143 sStGB und Art. 144bis Ziff. 1 sStGB bereits eingeschränkt und zwar auf elektronisch oder in sonst vergleichbarer Weise gespeicherte oder übermittelte Daten. Somit sind Daten im Sinne des Art. 143 sStGB nur solche Informationen, die in codierter Form21 von einer Datenverarbeitungsanlage verarbeitet, gespeichert oder übermittelt werden können.22 Nach herrschender Mei15 BK-Weissenberger, Art. 143 Rn. 6; N. Schmid, § 2 Rn. 7; ders., ZStR 110 (1992), S. 315 (317); Trechsel-Crameri, Art. 143 Rn. 3; entsprechend der Gesetzesbegründung werden vom weiten Datenbegriff deshalb auch Briefe, Telegramme oder auch mündliche Mitteilungen erfasst, SBBL II 1991, 969 (986). 16 Schwarzenegger, Trechsel-Festschrift, S. 305 (313). 17 N. Schmid, ZStR 110 (1992), S. 315 (317). 18 SBBL II 1991, 969 (988). 19 SBBL II 1991, 969 (986 f.). 20 BK-Weissenberger, Art. 144bis Rn. 5, Art. 143 Rn. 6; Stratenwerth/Jenny, § 14 Rn. 23. 21 D. h. die Information ist ohne den Einsatz einer Datenverarbeitungsanlage nicht erkenn- und verwertbar. 22 Schwarzenegger, Trechsel-Festschrift, S. 305 (313).

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

145

nung23 und der Gesetzesbegründung zu Art. 143 sStGB24 gehören zu den Daten auch Programme, obwohl sie keine Informationen sind.25 Dabei sind aber nicht nur die Systemprogramme, die den Computer erst zum Leben erwecken, sondern darüber hinaus auch alle Anwenderprogramme erfasst.26 Aufgrund des Erfordernisses der Verarbeitung in einer Datenverarbeitungsanlage muss zur Bestimmung der Reichweite des Datenbegriffs noch der Begriff der Datenverarbeitungsanlage geklärt werden. Allerdings findet sich im sStGB auch diesbezüglich keine Legaldefinition. Nach der Gesetzesbegründung27 sind Datenverarbeitungsanlagen solche Anlagen, die Informationen in codierter Form entgegennehmen, verarbeiten und weiterleiten. Hieraus könnte man ableiten, dass ausschließlich Geräte höherer Funktionsstufen, d.h. nur Computer28, erfasst und beispielsweise Telefone, Faxgeräte etc. ausgeschlossen sein sollen.29 Eine solch weite Einschränkung des Begriffs der Datenverarbeitungsanlage ist aber aufgrund der heutigen technischen Möglichkeiten viel zu eng und deshalb nicht mehr vertretbar.30 Beispielsweise gibt es heutzutage kaum noch Mobiltelefone ohne eigenen Speicherchip, diverse Programme zur Datenverarbeitung und eigenen Internetzugang. Somit ist das Tatbestandsmerkmal Datenverarbeitungsanlage immer erfüllt, sobald codierte Informationen durch selbstständige Programmabläufe verarbeitet werden. In Betracht kommen daher Geräte, Anlagen, Computersysteme oder Übertragungseinrichtungen sowie deren Bestandteile, welche einzeln oder gemeinsam zur programmunterstützten Erfassung, Speicherung, Verarbeitung, Übermittlung oder Wiedergabe von Daten bestimmt und geeignet sind. Ausgeschlossen sind somit solche Automaten, die nur rudimentäre Arbeitsabläufe erbringen, wie beispielsweise Parkautomaten, deren Leistung in der Erkennung der eingeworfenen Münzen, der Ausgabe des Wechselgeldes und des Tickets liegt.31 23

BK-Weissenberger, 143 Rn. 7; N. Schmid, § 2 Rn. 33; Schwarzenegger, Trechsel-Festschrift, S. 305 (313). 24 SBBL II 1991, 969 (988). 25 Stratenwerth/Jenny, § 14 Rn. 24. 26 N. Schmid, ZStR 110 (1992), S. 315 (322). 27 SBBL II 1991, 969 (987). 28 N. Schmid, ZStR 110 (1992), S. 315 (318) umschreibt die Datenverarbeitungsanlagen mit dem Begriff EDV und subsumiert somit nur Computer unter den Begriff der Datenverarbeitungsanlage. Dabei ist aber zu berücksichtigen, dass seine Aussage aus dem Jahre 1992 stammt. Ob Schmid seine Ansicht heute noch genauso vertreten würde, ist daher zweifelhaft. 29 Schwarzenegger, Trechsel-Festschrift, S. 305 (314). 30 Schwarzenegger, Trechsel-Festschrift, S. 305 (314). 31 N. Schmid, § 2 Rn. 19.

146

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Zusammengefasst sind Daten im sStGB somit alle Notate32, die Gegenstand menschlicher Kommunikation sein können, soweit sie in einer Datenverarbeitungsanlage codiert gespeichert oder übermittelt werden können.33 Dazu gehören auch Programme34 und jedes einzelne Datum.35 Weitere Unterschiede könnten sich im Hinblick auf das Tatbestandsmerkmal der besonderen Sicherung ergeben. Bei Art. 143 sStGB ist anders als beim rechtswidrigen Abfangen von Daten gemäß Art. 3 Cybercrime Convention die besondere Sicherung der Daten erforderlich. Bei dem Begriff der besonderen Sicherung im Sinne des Art. 143 sStGB handelt es sich um einen unbestimmten Rechtsbegriff, sodass geklärt werden muss, wann dieses Tatbestandsmerkmal erfüllt ist. Eine besondere Sicherung im Sinne des Art. 143 sStGB liegt vor, wenn diese üblicherweise ausreicht, um Unbefugte von den Daten fernzuhalten.36 Ein Spitzenaufwand oder eine übermäßige Sorgfalt dürfe nicht zur Gewährung strafrechtlichen Schutzes zwingend erforderlich sein. Die Sicherungsmaßnahmen müssten somit nur generell abwehrtauglich sein, sodass bereits ein Passwort diese Voraussetzungen erfüllt. In Betracht kommt beispielsweise ferner das Verschließen von Räumen37 und Behältnissen, die Verwendung von Passwörtern, Fingerabdruckscannern etc.38 Maßgeblich ist ausschließlich die objektive Manifestation des subjektiven Sicherungswillens.39 Dabei werden die Anforderungen derart konkretisiert, dass die Maßnahmen dem technischen Standard entsprechen müssen. Es soll nicht auf die Wahl der besten Sicherungsmaßnahme ankommen, sondern darauf, dass der Datenberechtigte die sicherste ihm zumutbare Sicherung wählt.40 Daher werde beispielsweise das Weiterverwenden vorinstallierter Standardpasswörter nicht erfasst. 32

Wermke/Klosa/Kunkel-Razum/Scholze-Stubenrecht, Notat, S. 682. Dies ist eine niedergeschriebene Bemerkung, eine Aufzeichnung oder eine Notiz. 33 BK-Weissenberger, Art. 143 Rn. 8. 34 Schwarzenegger, Trechsel-Festschrift, S. 305 (313). 35 N. Schmid, § 2 Rn. 22. 36 BK-Weissenberger, Art. 143 Rn. 18; N. Schmid, § 4 Rn. 30; Trechsel-Crameri, Art. 143 Rn. 6. 37 SBBL II 1991, 969 (1011); Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 9 http://www.ejpd.admin. ch/content/dam/data/kriminalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011); N. Schmid, § 4 Rn. 33; a. A. BK-Weissenberger, Art. 143 Rn. 19; Stratenwerth/Jenny, § 14 Rn. 28. 38 Trechsel-Crameri, Art. 143 Rn. 6. 39 BK-Weissenberger, Art. 143 Rn. 16. 40 Ähnlich Rehberg/Schmid/Donatsch, S. 161.

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

147

An diesem Ergebnis ändert auch der Gesetzeswortlaut, wonach die Daten gegen seinen Zugriff besonders gesichert sein müssen, nichts, weil trotz des Wortlauts nicht auf die subjektiven Fähigkeiten des Täters abzustellen ist. Dieses Tatbestandsmerkmal ist teleologisch dahin gehend auszulegen, dass eine besondere Sicherung derart gestaltet sein muss, dass sie generell den unbefugten Zugriff ausschließt. Ansonsten wäre gegen einen besonders versierten Hacker, der nahezu jede Sicherung überwinden kann, eine Sicherung nicht möglich, sodass er straflos wäre. Dies wäre ein sinnwidriges Ergebnis und würde professionelle Hacker privilegieren.41 b) Subjektiver Tatbestand Im Hinblick auf den subjektiven Tatbestand erfordert Art. 143 sStGB über den allgemeinen Vorsatz hinaus eine Bereicherungsabsicht. Der Wortlaut von Art. 3 Cybercrime Convention lässt das zusätzliche Erfordernis der Bereicherungsabsicht aber zu, da eine Einschränkung bei unredlicher Absicht möglich ist.42 Jedoch bedürfte es im Falle einer Ratifikation einer schriftlichen Notifikation gemäß Art. 40 Cybercrime Convention. 4. Vergleich von Art. 143 sStGB und § 202a dStGB a) Objektiver Tatbestand Im Hinblick auf den Datenbegriff ergeben sich keine Unterschiede zum deutschen Datenbegriff, da es in beiden Rechtsordnungen Informationen auf der semantischen Ebene und einer Codierung auf der syntaktischen Ebene bedarf. Aufgrund des in § 202a Abs. 2 dStGB statuierten Erfordernisses, dass die Daten elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden müssen, müssen die Daten ebenfalls durch eine Datenverarbeitungsanlage verarbeitet werden. Unterschiede könnten sich jedoch dahin gehend ergeben, dass in Art. 143 sStGB die Daten in vergleichbarer Weise gespeicherte oder übermittelte Daten und in § 202a Abs. 2 dStGB sonst nicht unmittelbar wahrnehmbar gespeicherte oder übermittelte Daten sein müssen. Durch das Tatbestandsmerkmal „in vergleichbarer Weise“ wollte der schweizerische Ge41 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 10, http://www.ejpd.admin.ch/content/dam/data/kriminali taet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 42 Offengelassen von Schwarzenegger, Trechsel-Festschrift, S. 305 (321).

148

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

setzgeber den Tatbestand bewusst weit fassen, um künftige Entwicklungen ohne ständige Anpassung des Gesetzeswortlauts ausreichend berücksichtigen zu können; beispielhaft nennt er Medien auf biologischer Basis.43 Darüber hinaus sollen alle akustischen und optischen Medien, beispielsweise DVDs, erfasst werden.44 Durch die Verwendung des Tatbestandsmerkmals „oder sonst nicht unmittelbar wahrnehmbar“ hat der deutsche Gesetzgeber aber ebenfalls ein Tor für die Berücksichtigung künftiger technischer Entwicklungen geschaffen.45 Da auch im sStGB die Daten nicht unmittelbar wahrnehmbar sein dürfen, weil sie mittels Datenverarbeitungsanlage verarbeitet werden müssen, ergeben sich keine Unterschiede zwischen den Rechtsordnungen. Während § 202a dStGB bereits den Zugang zu Daten ausreichen lässt46, muss sich der Täter bei Art. 143 sStGB Daten tatsächlich beschaffen. Im Rahmen des Datenverschaffens bei Art. 143 sStGB ist nach einer Ansicht in der Literatur47 eine dauerhafte freie Verfügungsmacht über die Daten nicht erforderlich, sondern es genügt bereits die Kenntnisnahme von den Daten, die eine spätere Nutzung ermöglicht, wie beispielsweise das Betrachten am Bildschirm.48 Nach anderer Ansicht49 sind nur die Daten unmittelbar und deren Inhalt allenfalls mittelbar geschützt, sodass beim bloßen Verschaffen des Inhalts, beispielsweise durch Ablesen vom Bildschirm, die Tathandlung des Datenverschaffens nicht erfüllt ist. Eine umfassende und dauerhafte Verfügungsmacht ist hiernach nicht erforderlich. Teilweise wird auch vertreten, dass schon das Überwinden der Zugangssicherung genügt, sodass der Täter in die Lage versetzt wird, mit den Daten arbeiten zu können.50 Da alle Ansichten zum Datenbeschaffen im Rahmen des Art. 143 sStGB darauf abstellen, dass der Täter zumindest Kenntnis vom Inhalt der Daten erlangen muss, wird das Kopieren von verschlüsselten Daten, zu deren Entschlüsselung der Täter nicht in der Lage ist, nicht erfasst. Dieses Ergebnis ist im Hinblick auf das geschützte Rechtsgut Vermögen auch konsequent, weil die Daten für den Täter nur dann einen Wert haben, wenn er 43

SBBL II 1991, 969 (987). N. Schmid, § 2 Rn. 12. 45 Fischer, § 202a Rn. 4; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 4. 46 Der bei § 202a a. F. dStGB bestehende Streit hat sich durch die Einführung des Tatbestandsmerkmals Zugang zu Daten erledigt, vgl. BT-Drs. 16/3656, S. 9; Ernst, E. Kap. 2 Rn. 234; Fischer, § 202a Rn. 10a; HK-GS-Tag, § 202a Rn. 8; Schmitz, JA 1995, 478 (483); Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 10. 47 BK-Weissenberger, Art. 143 Rn. 25. 48 Vgl. zu § 202a dStGB Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 28. 49 N. Schmid, CR 1996, 163 (166 f.); ders., § 4 Rn. 53. 50 Trechsel-Crameri, Art. 143 Rn. 7. 44

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

149

sie auch tatsächlich entschlüsseln kann.51 Dabei ist zu berücksichtigen, dass bereits die bloße Möglichkeit des Entschlüsselns ausreicht, weil der Täter dann über die Daten frei verfügen kann.52 Bei § 202a dStGB könnte hingegen das Tatbestandsmerkmal Zugang zu Daten auch beim Verschaffen von verschlüsselten und für den Täter nicht entschlüsselbaren Daten erfüllt sein, weil ein Zugang zu den kryptischen Daten grundsätzlich vorliegt.53 Hiergegen kann nicht bereits das Tatbestandsmerkmal Überwinden der besonderen Sicherung vorgebracht werden, da sich dieses nur auf den Zugang zu Daten bezieht. Dringt der Täter beispielsweise in ein Computersystem unter Umgehung des Zugangspasswortes ein, kommt es nicht mehr darauf an, ob die Daten nochmals zusätzlich gesichert sind. Teilweise wird eine Strafbarkeit bei für den Täter nicht entschlüsselbaren Daten bejaht, weil der Täter ansonsten bei einer wirksamen Verschlüsselung Seitens des Opfers besser stünde, als ohne eine solche Verschlüsselung.54 Es wäre demnach paradox, den Täter, der an dem hohen Grad der Sicherungsmaßnahmen des Opfers scheitert, straflos zu stellen. Diese Ansicht verkennt jedoch, dass beim Vorliegen einer besonderen Sicherung der Täter immer straflos gestellt wird, wenn er die Sicherung nicht überwinden kann. Nach h. M.55 zu § 202a a. F. dStGB lag ein Datenverschaffen vor, wenn der Täter die Daten entschlüsselt oder zumindest die Möglichkeit der Entschlüsselung erlangt hat, weil dann ein Zugang zum Bedeutungsgehalt der Daten bestand.56 Für eine Übertragung der h. M. auf § 202a n. F. dStGB spricht, dass dieser weiterhin die formelle Verfügungsbefugnis57 schützt. Wenn der Täter aber nicht zur Entschlüsselung der Daten in der Lage ist, ist die formelle Verfügungsbefugnis aber nicht verletzt. Ein Unterschied könnte sich jedoch bei dem Tatbestandsmerkmal besondere Sicherung ergeben. Bei § 202a dStGB kommen alle Formen von Sicherungen in Betracht, sei es, dass diese software- oder hardwaregestützt sind oder auch das Verschlüsseln einzelner Dateien.58 Der Anwendungs51 Zum Verhältnis von § 202a dStGB zu Art. 143bis sStGB vgl. die Ausführungen unter Kapitel F. II. 4. c). 52 So auch N. Schmid, § 4 Rn. 43. 53 MüKo-Graf, § 202a Rn. 40. 54 Ernst, NJW 2007, 2661; Jessen, S. 144 f. 55 BT-Drs. 16/3656, S. 9; Schmitz, JA 1995, 478 (483); Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 10. 56 Lenckner/Winkelbauer, CR 1986, 483 (488); MüKo-Graf, § 202a Rn. 46; Schmitz, JA 1995, 478 (483). 57 Vgl. die Ausführungen unter Kapitel D. I. 2. a). 58 Fischer, § 202a Rn. 9a; HK-GS-Tag, § 202a Rn. 7.

150

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

bereich des Art. 143 sStGB geht jedoch über § 202a dStGB hinaus, weil auch das Absperren von Räumen erfasst ist. Dies ist im Rahmen des § 202a dStGB nicht ausreichend, weil der Sicherungswille nicht ausreichend auf die im Raum befindlichen Daten konkretisiert wird.59 b) Subjektiver Tatbestand Während bei beiden Delikten bedingter Vorsatz in Bezug auf die objektiven Tatbestandsmerkmale genügt, erfordert Art. 143 sStGB darüber hinaus im Rahmen einer überschießenden Innentendenz auch eine Bereicherungsabsicht. Dabei ist nicht das Anstreben einer direkten Bereicherung erforderlich, sondern es genügt bereits jede mittelbare. Als Formen der Bereicherung kommen unter anderem die Zahlung eines Dritten für die Daten, der Nutzen des Gebrauchs, das Einsparen von Entwicklungskosten, der Einsatz im Wettbewerb oder das Erpressen des Verfügungsbefugten in Betracht.60 5. Vergleich von Art. 143 sStGB mit § 202b dStGB a) Objektiver Tatbestand Von Art. 143 sStGB werden – vergleichbar mit § 202b dStGB – Daten in der Übermittlungsphase erfasst, weil entgegen dem Wortlaut „übermittelte Daten“ ein abgeschlossener Übermittlungsvorgang nicht erforderlich ist. Das Tatbestandsmerkmal „übermittelte Daten“ könnte sonst neben dem Tatbestandsmerkmal „gespeicherte Daten“ obsolet sein, weil mit Abschluss der Übermittlung die Daten beim Empfänger gespeichert werden.61 Allerdings könnte Art. 143 sStGB beim Abfangen von Daten ausschließlich auf Computerdatenübermittlungen beschränkt sein, sodass Datenübermittlungen beispielsweise mittels Telefon, Fax etc. ausgenommen wären.62 Ansonsten würde das Abhören eines Telefonats, das bisher gemäß Art. 179bis sStGB63 59

Vgl. die Ausführungen unter Kapitel E. I. 3. b). N. Schmid, § 4 Rn. 70. 61 So im Ergebnis auch N. Schmid, § 4 Rn. 50; a. A. BK-Weissenberger, Art. 143 Rn. 11, wonach die Daten vor der Übermittlung zumindest kurzfristig gespeichert worden sein müssen. 62 BK-Weissenberger, Art. 143 Rn. 11. 63 Wortlaut des Art. 179bis sStGB: Wer ein fremdes nichtöffentliches Gespräch, ohne die Einwilligung aller daran Beteiligten, mit einem Abhörgerät abhört oder auf einen Tonträger aufnimmt, wer eine Tatsache, von der er weiss oder annehmen muss, dass sie auf Grund einer nach Absatz 1 strafbaren Handlung zu seiner Kenntnis gelangte, auswertet oder einem Dritten bekannt gibt, 60

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

151

nur als Vergehen qualifiziert wird, künftig über Art. 143 sStGB ein Verbrechen darstellen.64 Um Art. 179bis sStGB daher nicht auszuhebeln und jedes Abhören als Verbrechen zu sanktionieren, muss zwischen den Datenübermittlungsprozessen und den konventionellen Datenübermittlungen differenziert werden.65 Dabei ergeben sich durch die fortschreitende technische Entwicklung unter anderem zwischen der normalen Telefonie und der Internettelefonie erhebliche Abgrenzungsprobleme. Maßgeblich für die Abgrenzung ist, ob die Daten beim Empfänger automatisch entgegengenommen und verarbeitet werden.66 Allerdings gibt es heutzutage kaum mehr Geräte, die ohne automatische Datenverarbeitung funktionieren, seien es PDAs, Handys oder auch moderne Telefonanlagen, die mittlerweile größtenteils sogar über eine eigene Netzwerkanbindung verfügen. Daher wird im Ergebnis die Internettelefonie ebenso erfasst wie die Telekommunikation über die digitale Telefonanlage. Die in der Literatur teilweise vorgetragenen Einwände stehen diesem Ergebnis nicht entgegen, weil bei Art. 143 sStGB die kriminelle Energie eine höhere ist, die eine Strafbarkeit aufgrund eines Verbrechenstatbestandes rechtfertigt. Bei Art. 143 sStGB reicht das Abhören alleine noch nicht aus, sondern der Täter muss auch bestehende Sicherungsmaßnahmen aushebeln. Ein Unterschied ergibt sich bei den Datenübermittlungen im Computersystem. Diese werden von § 202b dStGB erfasst, weil bereits bei Eingaben in das Keyboard Informationen in codierte Form umgewandelt und an den Prozessor übermittelt werden. Zwar liegt auch bei Art. 143 sStGB eine Datenübermittlung vor; es fehlt jedoch an der besonderen Sicherung. Das Eidgenössische Justiz- und Polizeidepartement67 bejaht fälschlicherweise die Anwendbarkeit des Art. 143 sStGB beim Abfangen des Informationsflusses innerhalb eines Computersystems. Dies begründet das Eidgenössische Justiz- und Polizeidepartement damit, dass der Täter erheblichen Aufwand betreiben müsse, um die Datenübermittlung abfangen zu können, woraus auf eine besondere Sicherung geschlossen werden könne.68 Ein solcher Rückwer eine Aufnahme, von der er weiss oder annehmen muss, dass sie durch eine nach Absatz 1 strafbare Handlung hergestellt wurde, aufbewahrt oder einem Dritten zugänglich macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 64 Stratenwerth/Jenny, § 14 Rn. 25. 65 BK-Weissenberger, Art. 143 Rn. 12. 66 BK-Weissenberger, Art. 143 Rn. 12. 67 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 10, http://www.ejpd.admin.ch/content/dam/data/kriminali taet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 68 Vgl. die Beispiele der besonderen Sicherungen bei N. Schmid, § 4 Rn. 32 ff.

152

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

schluss ist aber zum einen nicht zulässig, weil aus dem zu tätigenden Aufwand keinesfalls der Rückschluss auf eine Sicherung gezogen werden kann. Zum anderen stellen technische Probleme auch deshalb keine Sicherungen im Sinne des Art. 143 sStGB dar, weil bei solchen der Sicherungswille des Datenberechtigten nicht ausreichend objektiviert ist.69 Ein weiterer Unterschied besteht darin, dass elektromagnetische Abstrahlungen von Art. 143 sStGB nicht erfasst werden.70 Bei den elektromagnetischen Abstrahlungen handelt es sich um ungewollte Nebeneffekte der Computernutzung, beispielsweise Abstrahlungen des Bildschirms.71 Nach Auffassung des Eidgenössischen Justiz- und Polizeidepartements72 erfasst Art. 143 sStGB alle elektromagnetischen Abstrahlungen, weil es sich dabei um ein Beschaffen von Daten handelt.73 Zwar ist der Ansicht des Eidgenössischen Justiz- und Polizeidepartements dahin gehend zu folgen, dass ein Datenbeschaffen vorliegt. Allerdings scheitert die Anwendbarkeit des Art. 143 sStGB daran, dass die Daten nicht besonders gesichert sind. Im Hinblick auf die Tatmittel ergeben sich hingegen keine Unterschiede. Zwar muss bei § 202b dStGB das Abfangen mittels Verwendung von technischen Mitteln erfolgen, was bei Art. 143 sStGB nicht der Fall ist. Allerdings handelt es sich in beiden Normen um elektronisch gespeicherte oder übermittelte Daten. Ein Abfangen ist ohne den Einsatz technischer Mittel nicht möglich, sodass die Nennung in § 202b dStGB tautologisch anmaßt.74

69

Pfister, S. 106 f. A. A. N. Schmid, § 4 Rn. 30, 51. 71 Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 57, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 72 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 9, http://www.ejpd.admin.ch/content/dam/data/kriminali taet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 73 So auch N. Schmid, § 4 Rn. 30 und 51; Schwarzenegger, Trechsel-Festschrift, S. 305 (321), vertritt die Auffassung, dass die elektromagnetische Abstrahlung der Datenübermittlung in Art. 143 sStGB erst gleichgestellt werden müsse, um einen Gleichlauf mit Art. 3 Cybercrime Convention zu erreichen. 74 Ernst, NJW 2007, 2661 (2662); Fischer, § 202b Rn. 6; HK-GS-Tag, § 202b Rn. 3; LK-Hilgendorf, § 202b Rn. 15; NK-Kargl, § 202b Rn. 7; Schönke/SchröderEisele, § 202b Rn. 8; SSW-Bosch, § 202b Rn. 4. 70

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

153

b) Subjektiver Tatbestand Die Bereicherungsabsicht in Form der überschießenden Innentendenz bei Art. 143 sStGB führt im Vergleich zu § 202b dStGB zu erheblichen Problemen im Rahmen der Beweisführung und zu Strafbarkeitslücken. Oft wird der Täter entweder ohne Bereicherungsabsicht handeln oder ihm ist eine Bereicherungsabsicht nicht nachzuweisen. Allerdings ist dabei zu berücksichtigen, dass die Bereicherungsabsicht Folge des geschützten Rechtsguts Vermögen ist. Somit sollte vergleichbar mit § 202b dStGB bei einer Änderung des Art. 143 sStGB auch das geschützte Rechtsgut dahin gehend geändert werden, dass dieses der Geheimnisschutz ist. 6. Vorschlag der Information Security Society Switzerland zur Änderung des Art. 143 sStGB Auf ihrer Homepage hat die Information Security Society Switzerland75 einen Gesetzesvorschlag76 mit folgendem Wortlaut des Art. 143 sStGB unterbreitet: (1) Wer für sich oder einen andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten, die nicht für ihn bestimmt und gegen den Zugang durch Unberechtigte gesichert sind, durch unerlaubten Zugriff oder das Abfangen elektromagnetischer oder vergleichbarer Abstrahlungen einer Datenverarbeitungseinrichtung beschafft, wird auf Antrag mit Freiheitsstrafe bis zu . . . (2) Handelt der Täter in Bereicherungsabsicht, so wird er mit Freiheitsstrafe bis zu . . . Jahren, bei gewerbsmässigem Handeln oder als Mitglied einer kriminellen Organisation wird er mit Freiheitsstrafe bis zu . . . Jahren bestraft.

75 Die Information Security Society Switzerland ist eine Mitgliedorganisation von ICTswitzerland, Fachpartnerin von SwissICT und über ihre Mitglieder mit der Schweizerischen Informatikgesellschaft verbunden. Im ECC Arbeitskreis haben mehr als 40 Vertreter von Anbietern von Produkten und Verfahren zur Informationssicherheit, Sicherheitsverantwortliche bedeutender Anwender aus Wirtschaft und Verwaltung, Spezialisten der Ermittlungsbehörden sowie Rechtsberater auf dem Gebiet des Informatikrechts mitgewirkt, vgl. Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), http://www.isss.ch/fileadmin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 76 Vgl. Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 16 f., http://www.isss. ch/fileadmin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011).

154

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Gegen den ISSS-Vorschlag spricht aber bereits, dass in Ziffer 1 das Tatbestandsmerkmal „gegen den Zugang durch Unberechtigte gesichert“ beibehalten wird, sodass weiterhin elektromagnetische Abstrahlungen nicht erfasst werden, weil diese nicht gesichert werden können. Hieran ändert auch die Tatsache nichts, dass die elektromagnetischen Abstrahlungen ausdrücklich im Gesetzesvorschlag aufgenommen wurden, weil diese nicht gesichert werden können, sondern allenfalls die Abstrahlung mittels technischer Mittel unterbunden werden kann. Zu klären ist somit, wie die Ziffer 1 gestaltet werden müsste. Probleme ergeben sich bei einer Neuregelung vor allem dahin gehend, dass nicht einfach das Erfordernis der Sicherung insgesamt gestrichen werden kann. Hierdurch würde die Strafbarkeit ausufern, da jede Datenbeschaffung eine strafrechtliche Sanktion nach sich ziehen würde. Daher sollte der Tatbestand des Art. 143 sStGB im Rahmen einer Revision dahin gehend geändert werden, dass die Tathandlungen konventionskonform auf das Abfangen von Daten in der Übermittlungsphase oder von elektromagnetischen Abstrahlungen – vergleichbar mit § 202b dStGB – begrenzt werden. Zusammen mit einer entsprechenden Änderung des Art. 143bis sStGB77 könnte eine Aufteilung der verschiedenen Tatmodalitäten entsprechend Art. 2 und 3 Cybercrime Convention erreicht werden. Durch ein Beibehalten der Sicherung in Art. 143bis sStGB könnte der drohenden Ausuferung der Strafbarkeit konsequent begegnet werden. Ferner sieht der Vorschlag der Information Security Society Switzerland vor, dass neben den elektromagnetischen Abstrahlungen auch das Abfangen von vergleichbaren Abstrahlungen erfasst sein soll. Diese Erweiterung ist sinnvoll, da hierdurch alle Abstrahlungen, auch über die elektromagnetischen hinaus, erfasst werden.78 Dies gilt insbesondere für künftige Entwicklungen, beispielsweise bei der Optronik.79 Im Grundtatbestand wurde die Bereicherungsabsicht gestrichen. Zwar wäre ein Beibehalten der Bereicherungsabsicht entsprechend Art. 3 Cybercrime Convention zulässig; jedoch ist ein Streichen zur Vermeidung von Strafbarkeitslücken dringend zu empfehlen. Dadurch wird auch klargestellt, dass das geschützte Rechtsgut nicht mehr das Vermögen, sondern der Schutz der Vertraulichkeit von Daten sein soll.80 Die von der Information 77

Vgl dazu näher den Vorschlag unter Kapitel F. II. 7. Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 17, http://www.isss.ch/file admin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 79 Wermke/Klosa/Kunkel-Razum/Scholze-Stubenrecht, Optronik, S. 702; dies ist die Kurzform für Optoelektronik, was wiederum ein Teilgebiet der Elektronik, das die auf der Wechselwirkung von Optik und Elektronik beruhenden physikalischen Effekte zur Herstellung besonderer elektronischer Schaltungen ausnutzt, darstellt. 78

I. Unbefugte Datenbeschaffung gemäß Art. 143 sStGB

155

Security Society Switzerland vorgeschlagene Änderung, beim Vorliegen der Bereicherungsabsicht eine Qualifikation mit einem erhöhten Strafrahmen zu statuieren, ist gelungen, da hierdurch eine abschreckendere Wirkung vor allem auf die organisierte Kriminalität erzielt werden kann. Gleiches gilt für die Strafschärfungen bei der Gewerbsmäßigkeit und der Mitgliedschaft in einer kriminellen Vereinigung. Da es sich nicht um Vorbehalte handelt, kann eine Mitteilung gemäß Art. 40 Cybercrime Convention unterbleiben. Zwar wird durch das Antragserfordernis in Art. 143 sStGB gewährleistet, dass die Interessen des Geschädigten, die darin bestehen können, die Straftat nicht publik machen zu müssen, geschützt werden. Allerdings besteht dabei die Gefahr, dass der Betroffene aufgrund drohenden Imageverlusts auf eine Strafanzeige verzichtet und dadurch die Strafbarkeit beziehungsweise die Strafverfolgung in der Praxis zu weit eingeschränkt wird.81 Die drohende Einschränkung der Strafbarkeit ist nicht mit den Vorgaben der Cybercrime Convention vereinbar, weil die von der Cybercrime Convention geforderte umfassende Verfolgung von Cyberkriminellen nicht erreicht wird. Daher ist es – vergleichbar mit § 205 dStGB – zu empfehlen, zusätzlich die Möglichkeit eines Einschreitens von Amts wegen zu statuieren. Dadurch bliebe aufgrund des Öffentlichkeitsbezugs die Tat gegenüber Angehörigen ein Antragsdelikt, was zur Wahrung des Familienfriedens zu begrüßen ist. Insbesondere bei professionellen Tätern, die sich in erheblichem Umfang Daten beschaffen, muss hingegen eine Strafverfolgung von Amts wegen möglich sein, weil nur so die Interessen der Allgemeinheit geschützt werden. Dies stellt keinen unzulässigen Eingriff in die jeweiligen Individualinteressen dar, weil diese in solchen Konstellationen hinter die Allgemeininteressen zurücktreten. Ein derartiger Passus ist dem schweizerischen Strafrecht jedoch bisher fremd. Er müsste daher neu eingeführt werden. 7. Eigener Vorschlag zur Umsetzung der Cybercrime Convention Aufgrund der Ergebnisse des Vergleichs des Art. 143 sStGB mit den Vorgaben der Cybercrime Convention und dem dStGB soll folgender Gesetzesvorschlag unterbreitet werden: Abfangen von Daten (1) Wer sich oder einem andern unbefugt nicht für ihn bestimmte elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten, die im 80

Vgl. die Ausführungen unter Kapitel F. I. 2.; Schwarzenegger, Trechsel-Festschrift, S. 305 (321), der bereits bei der aktuellen Fassung das Verfügungsrecht über Daten als Immaterialgüterrecht eigener Art als geschütztes Rechtsgut ansieht. 81 Timm, Kriminalistik 2003, 643 (647 f.).

156

F. Die Strafbarkeit der Computerkriminalität in der Schweiz Wege eines Computersystems nichtöffentlich übermittelt oder von einer Datenverarbeitungseinrichtung elektromagnetisch oder in vergleichbarer Weise abgestrahlt werden, beschafft, wird mit Freiheitsstrafe bis zu . . . bestraft. Die Tat wird nur auf Antrag verfolgt, es sei denn, es werden öffentliche Interessen berührt.

(2) Handelt der Täter in Bereicherungsabsicht, so wird er mit Freiheitsstrafe bis zu . . . Jahren, bei gewerbsmässigem Handeln oder als Mitglied einer kriminellen Organisation mit Freiheitsstrafe bis zu . . . Jahren bestraft.

Der Vorschlag verzichtet auf das Erfordernis der Sicherung. Dadurch werden auch die elektromagnetischen und vergleichbaren Abstrahlungen erfasst. Um einer Ausuferung der Strafbarkeit entgegenzusteuern, wurde das Abfangen auf Daten in der Übermittlungsphase beschränkt. Darüber hinaus wurde eine Möglichkeit für die Strafverfolgungsbehörden statuiert, um in Fällen mit Öffentlichkeitsbezug auch ohne Strafantrag einschreiten zu können.

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem gemäß Art. 143bis sStGB 1. Gesetzestext Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

2. Geschütztes Rechtsgut, gesetzessystematische Stellung und Deliktscharakter a) Geschütztes Rechtsgut Aufgrund der Einordnung in den Bereich der Vermögensdelikte kommt als geschütztes Rechtsgut des Art. 143bis sStGB das Vermögen in Betracht. Hiergegen könnte jedoch sprechen, dass Art. 143bis sStGB ursprünglich in einem Abs. 2 zu Art. 143 aufgenommen werden sollte, der nach h. M. einen Vermögensschutz statuiert.82 Erst im Laufe des Gesetzgebungsverfahrens wurde der Entschluss gefasst, das unbefugte Eindringen in ein Datenverarbeitungssystem in einen eigenen Tatbestand auszulagern und damit vom Vermögensschutz zu lösen. Ferner spricht gegen den Vermögensschutz, dass in der Gesetzesbegründung83 klargestellt wurde, dass analog zum Hausfrie82

Pfister, S. 99; vgl. die Ausführungen unter Kapitel F. I. 2.

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem

157

densbruch bereits das Eindringen in fremde Datenverarbeitungssysteme strafrechtlich sanktioniert werden sollte. Letztlich spricht auch das Tatbestandsmerkmal „ohne Bereicherungsabsicht“ gegen den Vermögensschutz. Geschütztes Rechtsgut ist daher die Unverletzlichkeit des eigenen Computers, d.h. der ungestörte Betrieb einer Datenverarbeitungsanlage und die Möglichkeit, Andere von der Nutzung auszuschließen als Ausfluss des Rechts auf Schutz der Privatsphäre.84 Übereinstimmend wird hier auch der Begriff des Computerfriedens benutzt.85 b) Gesetzessystematische Stellung Art. 143bis sStGB wurde im Bereich der Vermögensdelikte hinter Art. 143 sStGB eingefügt, da das Hacking laut der Gesetzesbegründung eine Vorbereitungshandlung im Vorfeld der unbefugten Datenbeschaffung darstelle.86 Teilweise wird in der Literatur vorgebracht, dass Art. 143bis sStGB systematisch falsch eingeordnet sei und aufgrund des geschützten Rechtsguts Geheimnisschutz daher systematisch besser in den dritten Titel „Strafbare Handlungen gegen die Ehre und den Geheim- oder Privatbereich“ gepasst hätte.87 c) Deliktscharakter Laut Gesetzesbegründung88 ist Art. 143bis sStGB ein Vorfeldtatbestand zur Datenbeschaffung in Form eines Gefährdungsdelikts.89 Dabei kommt sowohl ein abstraktes90 als auch ein konkretes Gefährdungsdelikt in Betracht. Einer Einordnung als abstraktes Gefährdungsdelikt steht aber bereits die Gesetzessystematik entgegen. Es ist nicht plausibel, wieso bei einem abstrakten Gefährdungsdelikt ein Strafantragserfordernis statuiert werden sollte, da es keinen Verletzten gibt, der Strafantrag stellen könnte.91 Daher wird die Auffassung vertreten, dass es sich um ein konkretes Gefährdungs83

SBBL II 1991, 969 (1001). SBBL II 1991, 969 (1011); BK-Weissenberger, Art. 143bis Rn. 3; Pfister, S. 100; N. Schmid, § 5 Rn. 11; Trechsel-Crameri, Art. 143bis Rn. 2. 85 BK-Weissenberger, Art. 143bis Rn. 3; Rehberg/Schmid/Donatsch, S. 164; N. Schmid, § 5 Rn. 11. 86 SBBL II 1991, 969 (1011). 87 Trechsel-Crameri, Art. 143bis Rn. 2. 88 SBBL II 1991, 969 (1011). 89 A. A. Rehberg/Schmid/Donatsch, S. 164. 90 So N. Schmid, CR 1996, 163 (167). 91 Pfister, S. 101; Rehberg/Schmid/Donatsch, S. 164. 84

158

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

delikt handele.92 Diese Ansicht wird damit begründet, dass die Betreiber vor möglichen Schädigungen, die mit dem Zugriff einhergehen, beispielsweise einem Datenverlust, geschützt werden sollen. Diese Ansicht verkennt jedoch, dass das von Art. 143bis sStGB geschützte Rechtsgut der Geheimnisschutz ist und es auf eine konkrete Gefahr eines Datenverlustes oder sonstiger möglicher Schäden nicht ankommt. Nach wiederum anderer Ansicht handelt es sich um ein Verletzungsdelikt, da Art. 143bis sStGB den Computerfrieden als Ausfluss des Schutzes der Privatsphäre schützt.93 Schutzzweck ist dabei das Recht auf ungestörten Betrieb des Datenverarbeitungssystems.94 Dieses Recht wird bei Erfüllung des Tatbestandsmerkmals Eindringen konkret verletzt.95 Aufgrund der Verletzung seiner Rechtsposition ist es demnach plausibel, dass der Betroffene Strafantrag gemäß Art. 30 Abs. 1 sStGB stellen kann. 3. Vergleich des Art. 143bis sStGB mit Art. 2 Cybercrime Convention und daraus resultierender Umsetzungsbedarf a) Objektiver Tatbestand Während Art. 143bis sStGB als Tatobjekt Datenverarbeitungssysteme schützen will, stellt Art. 2 Cybercrime Convention96 auf Computersysteme ab. Ein Computersystem im Sinne des Art. 1 lit. a Cybercrime Convention ist eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms automatische Datenverarbeitung durchführen. Der Begriff des Datenverarbeitungssystems findet sich ausschließlich in Art. 143bis sStGB, ohne dass der Gesetzgeber eine Legaldefinition schuf. Allerdings beBK-Weissenberger, Art. 143bis Rn. 4; anders wohl die Gesetzesbegründung, vgl. SBBL II 1991, 969 (1011), wonach die Strafbarkeit an die Gefährlichkeit der Vorbereitungshandlung anknüpft, was für ein abstraktes Gefährdungsdelikt spricht. 93 Trechsel-Crameri, Art. 143bis Rn. 2. 94 Pfister, S. 101. 95 Zur Bejahung des Charakters als Verletzungsdelikt vgl. Rehberg/Schmid/ Donatsch, S. 164. 96 Wortlaut des Art. 2 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um den unbefugten Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat unter Verletzung von Sicherheitsmaßnahmen, in der Absicht, Computerdaten zu erlangen, in anderer unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 92

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem

159

steht hier Einigkeit, dass der Begriff synonym mit dem in Art. 147 sStGB verwendeten Begriff der Datenverarbeitungsanlage ist.97 Datenverarbeitungssysteme sind daher alle technischen Einrichtungen, die Informationen in nicht direkt lesbarer und codierter Form empfangen, automatisiert verarbeiten und weiterleiten.98 Tatobjekte sind daher Computer99 und alle sonstigen elektronischen Anlagen, die nicht nur rudimentäre Arbeitsabläufe erbringen.100 Der Begriff der Datenverarbeitungsanlage geht daher über die Vorgaben der Cybercrime Convention hinaus und ist somit konventionskonform, weil über die Computersysteme hinaus weitere elektronische Anlagen erfasst werden. Ferner setzt das schweizerische Recht in Art. 143bis sStGB voraus, dass das Datenverarbeitungssystem fremd sein muss. Dies lässt sich der Cybercrime Convention hingegen nicht entnehmen. Im Rahmen des Art. 143bis sStGB können sich Unterschiede zur Cybercrime Convention ergeben, wenn die Fremdheit im sachenrechtlichen Sinne auszulegen wäre. Fremdheit läge dann vor, wenn der Täter nicht Eigentümer oder Besitzer ist.101 In der Konsequenz ergäbe sich aber das paradoxe Ergebnis, dass der Eigentümer eines verliehenen Computers weiter auf diesen zugreifen könnte, ohne sich strafbar zu machen. Daher kann bei Art. 143bis sStGB nach h. M.102 keine Auslegung im Sinne des Sachenrechts maßgeblich sein. Stattdessen ist die Fremdheit als fehlende Zugangsberechtigung zu interpretieren.103 Darf der Computer folglich – beispielsweise aufgrund einer Leihe – vom Eigentümer nicht mehr benutzt werden, ist der Eigentümer tauglicher Täter. Es wird jedoch vertreten, dass bei der Auslegung des Tatbestandsmerkmals Fremdheit als fehlende Zugangsberechtigung das Tatbestandsmerkmal unbefugterweise jegliche Bedeutung verlieren könnte.104 Daher sollte im Rahmen einer Revision das Tatbestandsmerkmal „Fremdheit“ gestrichen werden, weil das Tatbestandsmerkmal „unbefugterweise“ einen direkten Bezug zur Verfügungsbefugnis hat und folglich keine Auslegungsprobleme nach sich zieht.105 Da beide Rechtsnormen somit auf die fehlende Verfügungsbefugnis abstellen, ergeben sich keine Unterschiede. 97 BK-Weissenberger, Art. 143bis Rn. 5; Pfister, S. 104; N. Schmid, § 5 Rn. 16; Trechsel-Crameri, Art. 143bis Rn. 3. 98 BK-Weissenberger, Art. 143bis Rn. 6. 99 Rehberg/Schmid/Donatsch, S. 164. 100 BK-Weissenberger, Art. 143 Rn. 10. 101 N. Schmid, § 5 Rn. 17. 102 BK-Weissenberger, Art. 143bis Rn. 9; Pfister, S. 106; Stratenwerth/Jenny, § 14 Rn. 38; Trechsel-Crameri, Art. 143bis Rn. 4; a. A. Rehberg/Schmid/Donatsch, S. 164. 103 Stratenwerth/Jenny, § 14 Rn. 38. 104 Pfister, S. 106. 105 Pfister, S. 106.

160

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Keine Unterschiede ergeben sich auch im Rahmen der Tathandlung. Das Tatbestandsmerkmal Eindringen in Art. 143bis sStGB erfasst jegliche Art und Weise des unberechtigten Zugangs, sodass die Vorgaben der Cybercrime Convention, den unbefugten Zugang zu sanktionieren, erfüllt werden. Im Übrigen ist auch die in Art. 143bis sStGB vorgesehene besondere Sicherung konventionskonform, weil die Cybercrime Convention in Art. 2 S. 2 eine derartige Einschränkung zulässt. Es bedarf jedoch einer Erklärung im Rahmen der Ratifikation gemäß Art. 40 Cybercrime Convention.106 b) Subjektiver Tatbestand Der Formulierung des Art. 2 Cybercrime Convention lässt sich entnehmen, dass ein Täter, der mit Bereicherungsabsicht handelt, erst recht strafbar sein muss, da es sich bei der unredlichen Absicht um eine Einschränkungsmöglichkeit handelt. Eine Einschränkung aufgrund des positiven Tatbestandsmerkmals „ohne Bereicherungsabsicht“ lässt die Cybercrime Convention hingegen nicht zu.107 Insbesondere die aufgrund der Formulierung entstehenden Strafbarkeitslücken sind von der Cybercrime Convention nicht gewollt. Um Art. 143bis sStGB konventionskonform zu gestalten, muss dieses Tatbestandsmerkmal gestrichen werden.108 4. Vergleich von Art. 143bis sStGB mit § 202a dStGB109 a) Gesetzessystematische Stellung Anders als Art. 143bis sStGB110 wurde § 202a dStGB in den 15. Abschnitt, Verletzung des persönlichen Lebens- und Geheimbereichs, gemäß §§ 201 bis 210 dStGB eingeordnet. Teilweise wird vertreten, dass sich hie106

Wortlaut des Art. 40 Cybercrime Convention: Jeder Staat kann durch eine an den Generalsekretär des Europarats gerichtete schriftliche Notifikation bei der Unterzeichnung oder bei der Hinterlegung seiner Ratifikations-, Annahme-, Genehmigungs- oder Beitrittsurkunde erklären, dass er von der Möglichkeit Gebrauch macht, nach Artikel 2, Artikel 3, Artikel 6 Absatz 1 Buchstabe b, Artikel 7, Artikel 9 Absatz 3 und Artikel 27 Absatz 9 Buchstabe e zusätzliche Merkmale als Voraussetzung vorzusehen. 107 So im Ergebnis auch Pfister, S. 164. 108 Schwarzenegger, Trechsel-Festschrift, S. 305 (321). 109 Ein Vergleich mit § 202b StGB scheidet aus, da es nicht um das Abfangen von Daten in der Übermittlungsphase, sondern das Eindringen in fremde Datenverarbeitungsanlagen geht. Das Abfangen von Abstrahlungen findet außerhalb des Datenübertragungssystems statt und stellt folglich kein Eindringen dar. 110 Vgl. die Ausführungen unter Kapitel F. II. 2. b).

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem

161

raus keine Vorteile ergaben, da dennoch Streit bezüglich des von § 202a a. F. dStGB geschützten Rechtsguts bestand.111 Dieser Meinung kann aber nicht gefolgt werden, weil bei § 202a a. F. dStGB die systematische Auslegung dazu führte, dass auch das Geheimhaltungsinteresse geschützt war.112 Nur bei der Befolgung einer Mindermeinung, die § 202a a. F. dStGB als Vermögensdelikt kategorisierte, bestanden solche Unklarheiten, weil nur dann das geschützte Rechtsgut und die systematische Stellung auseinanderfielen.113 b) Deliktscharakter Wie bereits dargestellt ist Art. 143bis sStGB ein Verletzungsdelikt.114 Bei § 202a a. F. dStGB handelte es sich ebenfalls um ein Verletzungsdelikt, weil sich der Täter die Daten tatsächlich verschaffen musste.115 Die Gefährdung durch das bloße Eindringen sollte entsprechend der Gesetzesbegründung straflos bleiben.116 Durch die Neuregelung könnte § 202a dStGB mittlerweile ein konkretes Gefährdungsdelikt sein, weil der Gesetzgeber die Strafwürdigkeit des Hackings mit der Gefahr des Eintritts eines gegebenenfalls nur mit erheblichem Aufwand zu beseitigenden Schadens, der Gefahr der Begehung weiterer Straftaten innerhalb des gehackten Systems und der Gefahr für die Integrität von Daten und Programmen begründete.117 Durch das Tatbestandsmerkmal „Zugang zu Daten“ ist die Gefährdung auf die bestimmten Daten konkretisiert. Hiergegen spricht jedoch, dass § 202a dStGB den unbefugten Zugang zu Daten strafrechtlich sanktionieren will, um dem Rechtsgut Geheimnisschutz gerecht zu werden. Dieser Geheimnisschutz ist durch den bloßen Zugang zu Daten aber bereits verletzt, sodass der Datenzugang selbst der tatbestandsmäßige Erfolg ist.118 Würde man an die konkrete Gefährdung der Daten anknüpfen, käme es zu straflosen Konstellatio111

Pfister, S. 53. Arzt/Weber/Heinrich/Hilgendorf, § 8 Rn. 50; Lackner/Kühl, § 202a Rn. 1; MüKo-Graf, § 202a Rn. 2; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 24; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 1. 113 Haft, NStZ 1987, 6 (9); zwar empfand der Gesetzgeber damals eine Strafbarkeit aufgrund des steigenden Werts von Daten angebracht; hieraus kann aber nicht der Rückschluss gezogen werden, dass nur das Vermögen geschützt sei, vgl. Frommel, JuS 1987, 667 (668); MüKo-Graf, § 202a Rn. 2; SK-Hoyer, § 202a Rn. 1. 114 Vgl. die Ausführungen unter Kapitel F. II. 2. c). 115 MüKo-Graf, § 202a Rn. 2. 116 BT-Drs. 10/5058, S. 28 f. 117 BT-Drs. 16/3656, S. 9; vgl. diesbezüglich auch Gröseling/Höfinger, MMR 2007, 549 (551). 118 Fischer, § 202a Rn. 10a; Goeckenjan, wistra 2009, 47 (49); Schumann, NStZ 2007, 675, (676); SK-Hoyer, § 202a Rn. 11. 112

162

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

nen des Hackings, wenn der Täter keinen Vorsatz hinsichtlich der Kenntnisnahme der Daten hat, sondern lediglich versucht, die Sicherungen des Systems zu überwinden. Dies würde den Ausführungen in der Gesetzesbegründung – Hacking ausnahmslos zu erfassen119 – nicht gerecht werden. Somit ergeben sich im Hinblick auf den Deliktscharakter keine Unterschiede. c) Objektiver Tatbestand Im Hinblick auf den objektiven Tatbestand könnten sich Unterschiede daraus ergeben, dass Art. 143bis sStGB ein Eindringen in ein Datenverarbeitungssystem120 verlangt, wohingegen nach § 202a dStGB der Zugang zu Daten erforderlich ist. Anders als bei § 202a dStGB werden von Art. 143bis sStGB externe Datenträger121 und gesicherte Daten in einem ungesicherten Datenverarbeitungssystem nicht erfasst. Das Tatobjekt bei § 202a dStGB ist daher weiter. Ein Eindringen im Sinne des Art. 143bis sStGB ist das Verschaffen eines unbefugten Zugriffs auf unkonventionellem Wege. Das Tatbestandsmerkmal setzt daher den erfolgreichen Abschluss des Angriffs inklusive des Überwindens der Zugangssicherung voraus.122 Ein Zugangverschaffen gemäß § 202a dStGB liegt hingegen vor, wenn der Täter von den Daten tatsächlich Kenntnis erlangt oder über die Daten derart die Verfügungsmacht erlangt, dass er sich die Kenntnis jederzeit verschaffen kann, sei es durch Kopieren oder den Einsatz von Spyware.123 Wie bereits dargestellt124 muss der Täter beim Vorliegen einer Verschlüsselung zur Entschlüsselung in der Lage sein.125 Aufgrund des Tatbestandsmerkmals „Eindringen“ muss der Täter bei Art. 143bis sStGB etwaige Passwörter oder sonstige Zugangscodes eingeben, da es sonst am Zugang fehlt. Allerdings könnte Art. 143bis sStGB im Ergebnis deshalb weiter als § 202a dStGB sein, weil es beim Eindringen ausschließlich auf das Datenverarbeitungssystem und nicht auf die darin gespeicherten Daten ankommt. Es genügt im Rahmen des Art. 143bis sStGB daher bereits das Überwinden 119

BT-Drs. 16/3656, S. 9. Zur Definition vgl. die Ausführungen unter Kapitel F. II. 3. a). 121 Trechsel-Crameri, Art. 143bis Rn. 3. 122 Pfister, S. 102. 123 Fischer, § 202a Rn. 11; LK-Hilgendorf, § 202a Rn. 14; Schönke/SchröderLenckner/Eisele, § 202a Rn. 10; SSW-Bosch, § 202a Rn. 7. 124 Vgl. die Ausführungen unter Kapitel F. I. 5. a). 125 Fischer, § 202a Rn. 11a; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 28; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 10; SK-Hoyer, § 202a Rn. 5; a. A. Ernst, NJW 2007, 2661; LK-Hilgendorf, § 202a Rn. 16. 120

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem

163

der ersten von mehreren Sicherungen, weil der Täter dann bereits in einen „gesicherten Vorhof“ eingedrungen ist.126 Dabei ist es unerheblich, ob der Täter die Daten im System bereits einsehen, verändern oder löschen kann.127 In diesen Konstellationen liegt jedoch auch eine Strafbarkeit nach § 202a dStGB vor. Weitere Zugangsschranken im System sind Daten im Sinne des § 202a Abs. 2 dStGB, da es sich um Informationen in codierter Form handelt. Erst durch Überwinden der ersten Sicherheitsschranke erlangt der Täter Zugang zu diesen Daten. Dabei ist zu berücksichtigen, dass die Zugriffsmöglichkeit auf irgendwelche Daten bereits ausreicht, sodass es unbeachtlich ist, wenn der Täter gewisse Daten im fremden System sucht, diese jedoch nochmals besonders gesichert sind. Anders als § 202a dStGB, der keine Vorgaben dahin gehend enthält, auf welchem Wege der Täter Zugang zu den Daten erlangt, erfordert Art. 143bis sStGB ein Eindringen auf dem Wege von Datenübertragungseinrichtungen. Während bei § 202a dStGB ein Zugang zu Daten auch mittels Keyboard, d.h. physisch vor Ort, verschafft werden kann, könnte dies nach Art. 143bis sStGB aufgrund des Tatbestandsmerkmals „auf dem Wege von Datenübertragungseinrichtungen“ straflos sein, wenn es auf ein Eindringen über externe Datenleitungen ankäme.128 Teilweise wird in der Literatur vertreten, dass die Verbindung Tastatur und Zentraleinheit eine Datenübertragungseinrichtung129 sei, weil die Norm vor den Gefahren des unberechtigten Zugriffs insgesamt schützen soll.130 Diese Ansicht ist vorzugswürdig, weil auch laut der Gesetzesbegründung generell das Eindringen in fremde Datenverarbeitungsanlagen in Form des Hackings strafrechtlich sanktioniert werden sollte.131 Besonders deutlich wird der Unterschied beispielsweise bei einer Bürogemeinschaft. Eine Strafbarkeit läge immer dann vor, wenn der BK-Weissenberger, Art. 143bis Rn. 19; Rehberg/Schmid/Donatsch, S. 165; N. Schmid, § 5 Rn. 21; a. A. Trechsel-Crameri, Art. 143bis Rn. 6. 127 Pfister, S. 115. 128 Vgl. Pfister, S. 104; Trechsel-Crameri, Art. 143bis Rn. 7. 129 Auch das Eidgenössische Justiz- und Polizeidepartement geht davon aus, dass sämtliche Formen des Eindringens auch ohne die Verbindung zweier Computer erfasst sind, vgl. Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 7, http://www.ejpd.admin.ch/content/dam/ data/kriminalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). Diese Auffassung des Eidgenössischen Justiz- und Polizeidepartements ergibt sich m. E. daraus, dass nach dessen Ansicht eine Erklärung gemäß Art. 40 Cybercrime Convention nur im Hinblick auf die besondere Sicherung abgegeben werden müsse. Wäre das Eindringen auf ein Eindringen mittels eines anderen Computers beschränkt, müsste auch diesbezüglich eine Erklärung abgegeben werden, weil dann eine Einschränkung gemäß Art. 2 S. 2 Cybercrime Convention vorläge. 130 BK-Weissenberger, Art. 143bis Rn. 13. 131 SBBL II 1991, 969 (1011). 126

164

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Kollege über das Intranet unbefugt in den Computer seines Kollegen eindringt, während er straflos bleibt, wenn er wartet, bis der Kollege nach Hause geht und sich dann an dessen PC setzt. Des Weiteren stellt die Tastatur eine Datenübertragungseinrichtung dar, weil im Zeitpunkt der Eingabe die Informationen codiert und mittels Datenkabel an den Prozessor zur Weiterverarbeitung übertragen werden. Somit ergeben sich im Ergebnis keine Unterschiede, weil sowohl das Eindringen in Stand-alone-PCs als auch mittels Tastatur nach Art. 143bis sStGB strafbar ist. Unterschiede ergeben sich letztlich auch nicht daraus, dass bei Art. 143bis sStGB die Überwindung der besonderen Sicherung nicht erforderlich ist, sondern nur das Datenverarbeitungssystem per se besonders gesichert sein muss. Das Erfordernis des Überwindens ergibt sich inzident aus dem Tatbestandsmerkmal „Eindringen“132, weil der Täter bereits per definitionem Maßnahmen, die ihn fernhalten sollen, durchbrechen oder umgehen muss.133 d) Subjektiver Tatbestand Weder § 202a dStGB noch Art. 143bis sStGB verlangen eine Bereicherungsabsicht. Anders als in der deutschen Version ist im schweizerischen Pendant das Fehlen der Bereicherungsabsicht aber positiv geregelt. Nach h. L.134 ist die schweizerische Norm aufgrund der Formulierung „ohne Bereicherungsabsicht“ sachlich und systematisch verfehlt, weil sie auf zwei falschen Grundannahmen beruht. Zum einen ging der Gesetzgeber davon aus, dass jedes Eindringen mit Bereicherungsabsicht unter das unbefugte Datenbeschaffen gemäß Art. 143 sStGB fiele, weil sich der Täter immer ein Mindestmaß an Daten beschaffen müsste.135 Zum anderen könne man sich fremde Daten nur nach vorherigem Hacking beschaffen.136 Hierdurch ergeben sich aber Strafbarkeitslücken, wenn der Täter mit Bereicherungsabsicht handelt, sich aber keine Daten verschaffen will. Dies kommt in Betracht, wenn der Täter eine bestehende Sicherheitslücke entdeckt und für die diesbezüglichen Informationen vom Systembetreiber Geld verlangt. Art. 143 sStGB scheidet aus, weil sich der Täter keine gesicherten Daten verschafft und Art. 143bis sStGB aufgrund der gegebenen Bereicherungsabsicht. Gleiches gilt für die Konstellation, in der sich der Täter Daten 132

Pfister, S. 102. Trechsel-Crameri, Art. 143bis Rn. 6. 134 BK-Weissenberger, Art. 143bis Rn. 25; Trechsel-Crameri, Art. 143bis Rn. 10. 135 Zum Streit bei § 202a a. F. dStGB zur Strafbarkeit des bloßen Hackings, vgl. BT-Drs. 16/3656, S. 9; Fischer, § 202a Rn. 10a; Jessen, S. 179 ff.; MüKo-Graf, § 202a Rn. 43; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 10. 136 Rehberg/Schmid/Donatsch, S. 165 f. 133

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem

165

ohne Bereicherungsabsicht auf anderem Wege als durch Hacking – wie etwa beim Abfangen von Daten in der Übertragungsphase – verschafft.137 Bezüglich der ersten Variante trägt das Eidgenössische Justiz- und Polizeidepartement im Hinblick auf die geäußerte Kritik jedoch vor, dass der Täter, der mit den erlangten Zugangsinformationen den Betroffenen zu einer Geldzahlung zwingen will, bereits wegen Erpressung oder Nötigung strafrechtlich belangt werden könne und es eines weiteren Straftatbestandes, der diese Konstellationen erfasst, nicht bedürfe.138 Zwar spricht für eine Straflosigkeit in Fällen, in denen der Täter die Aufdeckung der Lücke, ohne die Voraussetzungen der Nötigung und Erpressung zu erfüllen, gegen eine Zahlung anbietet, dass der Betreiber der Datenverarbeitungsanlage die Möglichkeit erhält, die Sicherheit seines Systems zu verbessern. Allerdings besteht in solchen Fällen immer die Gefahr, dass derjenige, der straffrei nach Lücken suchen kann, diese dann doch nicht offenlegt, sondern sein Wissen missbraucht. Daher sollte strafrechtlicher Schutz auch dann eingreifen, wenn der Täter die Voraussetzungen der Nötigung und Erpressung nicht erfüllt. 5. Vorschlag des Eidgenössischen Justiz- und Polizeidepartements (1) Wer ohne Bereicherungsabsicht139 auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. (2) Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zu dem in Absatz 1 genannten Zweck verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Der Vorschlag des enthält die Streichung unabhängig von einer vom Zugriff auf sein 137

Eidgenössischen Justiz- und Polizeidepartements140 der Bereicherungsabsicht. Dies ist zu begrüßen, weil Bereicherungsabsicht das Recht des Opfers, andere Datenverarbeitungssystem auszuschließen, geschützt

Pfister, S. 125. Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 8, http://www.ejpd.admin.ch/content/dam/data/krimi nalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 139 Die Streichungen stellen die nach Ansicht des Eidgenössischen Justiz- und Polizeidepartements erforderlichen Änderungen dar. 140 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 13, http://www.ejpd.admin.ch/content/dam/data/krimi nalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 138

166

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

werden muss. Ferner empfiehlt das Eidgenössische Justiz- und Polizeidepartement bei der Umsetzung des Art. 6 Cybercrime Convention die Aufnahme einer Strafbarkeit von Vorbereitungshandlungen gemäß Art. 143bis Abs. 2 sStGB. Allerdings plädiert das Eidgenössische Justiz- und Polizeidepartement dafür, vom zulässigen Verzicht auf die Tathandlungen des Besitzens, Einführens und Herstellens Gebrauch zu machen.141 Dadurch wird im Ergebnis nur das Vorbereiten einer Computerstraftat eines Anderen strafrechtlich sanktioniert. Dies ist sinnvoll, da Anknüpfungspunkt für die Strafbarkeit die abstrakte Gefahr ist, welche durch das Sich-Verschaffen mangels einer unkontrollierten Verbreitung noch nicht gegeben ist. Der Vorschlag sieht ferner vor, dass Art. 143bis Abs. 1 sStGB ein Antragsdelikt bleibt. Hierdurch wird jedoch die strafrechtliche Verfolgung in der Praxis zu sehr eingeschränkt. Geschädigte verzichten aufgrund drohenden Imageverlusts und daraus folgendem Kundenverlust oftmals auf eine Anzeige. Dies ist zwar akzeptabel, wenn der Rechtsfrieden nur in Bezug auf den konkret Geschädigten beeinträchtigt ist. Inakzeptabel wird dieses Ergebnis aber dann, wenn Allgemeininteressen tangiert werden. Zwar wird durch den Vorschlag des Eidgenössischen Justiz- und Polizeidepartements die Norm des Art. 143bis sStGB ausreichend an die Vorgaben des Art. 2 Cybercrime Convention angepasst. Allerdings ergeben sich Auslegungsschwierigkeiten beim Tatbestandsmerkmal „auf dem Wege von Datenübertragungseinrichtungen“, weil nicht klar ist, ob auch ein Hacking am PC selbst, also bei der Eingabe von Daten über die Tastatur erfasst ist, oder ob ein Hacking nur von einer Datenübertragungseinrichtung zu einer anderen strafrechtlich sanktioniert wird. Daher sollte zur besseren Verständlichkeit der Norm und somit zur Vermeidung von Auslegungsschwierigkeiten das Tatbestandsmerkmal „auf dem Wege von Datenübertragungseinrichtungen“ gestrichen werden. Dadurch würde klargestellt werden, dass auch das Hacking vor Ort strafrechtlich erfasst wird. Gleiches gilt für das Tatbestandsmerkmal „fremd“, weil durch das Abstellen auf das Tatbestandsmerkmal „unbefugterweise“ bereits ein ausreichender Filter gegeben ist142, wodurch vor allem das berechtigte Testen der Systemsicherheit von der Strafbarkeit ausgenommen wird. Letztlich sollte in Art. 143bis Abs. 1 sStGB die Möglichkeit einer Strafverfolgung von Amts wegen eingeräumt werden, um den Schutz der Allgemeinheit, insbesondere vor professionellen Hackern, zu garantieren. 141 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 13, http://www.ejpd.admin.ch/content/dam/data/krimi nalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 142 Vgl. die Ausführungen diesbezüglich unter Kapitel F. II. 3. a).

II. Unbefugtes Eindringen in ein Datenverarbeitungssystem

167

6. Vorschlag der Information Security Society Switzerland Im Vernehmlassungsverfahren hat die Information Security Society Switzerland auch zu Art. 143bis sStGB einen Gesetzesvorschlag unterbreitet. Dieser lautet wie folgt: Wer unbefugt, insbesondere auf dem Wege über Einrichtungen zur Datenübertragung, in eine fremde, gegen seinen Zugang gesicherte Datenverarbeitungseinrichtung eindringt, wird, auf Antrag, mit Freiheitsstrafe . . .

Im Rahmen der Neufassung143 schlägt die Information Security Society Switzerland auch eine Legaldefinition des Begriffs der Datenverarbeitungseinrichtung und der Daten vor, die beispielsweise in Art. 110 Ziff. 8 sStGB eingefügt werden könnte:144 Datenverarbeitungseinrichtung ist ein Gerät, eine Anlage, Computersystem oder eine Übertragungseinrichtung sowie deren Bestandteile, welche einzeln oder gemeinsam zur programmunterstützten Erfassung, Speicherung, Verarbeitung, Übermittlung oder Wiedergabe von maschinell lesbaren Informationen aller Art (Daten) bestimmt und geeignet sind.

Nach diesem Vorschlag145 soll jede Sicherung genügen, sodass es nicht mehr erforderlich sei, dass diese eine besondere sein müsse. Hierdurch sollen Auslegungsschwierigkeiten verhindert werden, die sich daraus ergeben, dass bei der aktuellen Fassung des Art. 143bis sStGB der Rückschluss gezogen werden könnte, dass unter anderem besondere kryptografische Verfahren oder digitale Verschlüsslungen erforderlich seien. Diese Gefahren bestehen aber nicht, weil die Anforderungen an die Sicherung ohnehin nicht allzu hoch anzusetzen sind. Nach h. M. liegt eine besondere Sicherung bereits dann vor, wenn die Maßnahmen im konkreten Einzelfall ausreichen, Unbefugte von einem Eindringen abzuhalten.146 Stattdessen verkennt die Ansicht der Information Security Society Switzerland, dass nur durch die besondere Sicherung klargestellt wird, dass es sich um spezifische Siche143 Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 13, http://www.isss.ch/file admin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 144 Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 12, http://www.isss.ch/file admin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 145 Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 14, http://www.isss.ch/file admin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 146 BK-Weissenberger, Art. 143bis Rn. 14; N. Schmid, § 4 Rn. 30; Trechsel-Crameri, Art. 143bis Rn. 5, Art. 143 Rn. 6.

168

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

rungen handeln muss, die gerade darauf ausgerichtet sind, das konkrete Computersystem zu schützen. Bei der Streichung des Erfordernisses der Besonderheit droht eine Ausuferung der Strafbarkeit, weil beispielsweise auch derjenige erfasst wäre, der ein Auto aufbricht und den ungesicherten Computer mitnimmt und benutzt. 7. Eigener Vorschlag zur Umsetzung der Cybercrime Convention Aufgrund der Ergebnisse des Vergleichs des Art. 143bis sStGB mit den Vorgaben der Cybercrime Convention und dem dStGB soll folgender Gesetzesvorschlag unterbreitet werden: Unbefugtes Eindringen in ein Datenverarbeitungssystem (1) Wer unbefugt in eine gegen seinen Zugang besonders gesicherte Datenverarbeitungseinrichtung eindringt, wird mit Freiheitsstrafe . . . bestraft. (2) Die Tat wird nur auf Antrag verfolgt, es sei denn, es werden öffentliche Interessen berührt.

Das Tatbestandsmerkmal „auf dem Wege über Einrichtungen zur Datenübertragung“ wurde gestrichen, um Auslegungsschwierigkeiten zu vermeiden. Hierdurch wird klargestellt, dass sämtliche Formen des Eindringens erfasst werden. Dieses kann über die Tastatur, das Internet oder auch ein Intranet erfolgen. Ferner wurde das Erfordernis einer besonderen Sicherung statuiert. Das Tatbestandsmerkmal „Fremdheit“ wurde gestrichen, da dieses für Unklarheit sorgt und aufgrund des Tatbestandsmerkmals „unbefugt“ auch nicht erforderlich ist.147 Hinsichtlich der Strafverfolgung aufgrund besonderen öffentlichen Interesses kann auf die Ausführungen zu Art. 143 sStGB verwiesen werden.148

III. Datenbeschädigung gemäß Art. 144bis sStGB Der ursprüngliche Sachbeschädigungstatbestand in Art. 145 sStGB a. F. erfasste nur körperliche Gegenstände, nicht jedoch elektronisch gespeicherte Daten. Dies galt insbesondere dann, wenn sich die Daten außerhalb der Datenverarbeitungsanlage – wie etwa im Zeitpunkt der Datenübermittlung – befanden.149 Daher wurde im Rahmen der Revision Art. 144bis sStGB mit Wirkung zum 1. Januar 1995 neu ins sStGB eingefügt. Dieser sollten die Lücken im strafrechtlichen Schutz von Daten schließen. Ratio des 147 148 149

Vgl. die Ausführungen unter Kapitel F. II. 3. a). Vgl. die Ausführungen unter Kapitel F. I. 6. N. Schmid, § 6 Rn. 1.

III. Datenbeschädigung gemäß Art. 144bis sStGB

169

Art. 144bis sStGB ist somit die Erweiterung der Sachbeschädigung über die Beschädigung von Datenträgern etc. hinaus auf die unsichtbaren Daten.150 Daher erfolgte die systematische Einordnung direkt hinter dem Sachbeschädigungsdelikt des Art. 144 sStGB. Dies ist mit den §§ 303a und b dStGB vergleichbar. 1. Gesetzestext (1) Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amts wegen verfolgt. (2) Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden.

2. Geschütztes Rechtsgut Geschützt wird von Art. 144bis Ziff. 1 sStGB das Interesse an der Integrität und an der ungestörten Verwendbarkeit der Daten.151 Zusammengefasst ist dies die generelle und legitime Verfügungsmacht über intakte Daten.152 Teilweise wird in der Literatur vertreten, dass es zusätzlich auch um einen Vermögensschutz gehe;153 ein wirtschaftlicher Wert der Daten sei aber nicht erforderlich.154 Bei dem zu schützenden Interesse geht es immer um dasjenige des Datenberechtigten, der nicht zwingenderweise Eigentümer des Datenträgers sein muss.155

150 151 152 153 154 155

SBBL II 1991, 969 (1014). N. Schmid, § 6 Rn. 14. BK-Weissenberger, Art. 144bis Rn. 3. Trechsel-Crameri, Art. 144bis Rn. 2. N. Schmid, § 6 Rn. 14. BK-Weissenberger, Art. 144bis Rn. 2.

170

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

3. Deliktscharakter Bei Art. 144bis Ziff. 1 sStGB handelt es sich vergleichbar mit §§ 303a und 303b dStGB um ein als Erfolgsdelikt156 ausgestaltetes Begehungsdelikt.157 Art. 144bis Ziff. 1 S. 2 sStGB ist eine Qualifikation.158 Dabei ist zu beachten, dass bei Erfüllung der Voraussetzungen des Art. 144bis Ziff. 1 S. 2 sStGB gemäß Art. 10 Abs. 2 sStGB159 eine Umqualifizierung zu einem Verbrechen erfolgt, weil die Tat mit Freiheitsstrafe im Höchstmaß von fünf Jahren bedroht ist. 4. Vergleich mit der Cybercrime Convention und daraus resultierender Umsetzungsbedarf Unterschiede könnten sich bereits bei den Tathandlungen ergeben, da Art. 144bis Ziff. 1 sStGB nur das Verändern, Löschen und Unbrauchbarmachen statuiert, wohingegen Art. 4 Cybercrime Convention160 darüber hinaus auch ein Beschädigen, Beeinträchtigen und Unterdrücken von Computerdaten nennt. Die Tatmodalitäten des Beschädigens und Beeinträchtigens im Sinne der Cybercrime Convention könnten im sStGB aufgrund des nach allgemeiner Meinung161 abschließenden Charakters der Aufzählung nicht erfasst sein. Ein Gleichlauf wäre nur dann gegeben, wenn das Beschädigen und Beeinträchtigen unter das Tatbestandsmerkmal „Verändern“ subsumiert werden könnte. Ein Verändern liegt vor, wenn Teile gelöscht oder Inhalte von Aufzeichnungen, beispielsweise durch das Hinzufügen neuer Daten, umgestaltet werden.162 Dabei ist bereits ausreichend, wenn Daten in Unordnung gebracht werden, die Darstellung abgeändert wird oder ZugangssperBK-Weissenberger, Art. 144bis Rn. 2. N. Schmid, § 6 Rn. 16. 158 Trechsel-Crameri, Art. 144bis Rn. 11. 159 Wortlaut des Art. 10 Abs. 2 sStGB: Verbrechen sind Taten, die mit Freiheitsstrafe von mehr als drei Jahren bedroht sind. 160 Wortlaut des Art. 4 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das unbefugte Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 2. Eine Vertragspartei kann sich das Recht vorbehalten, als Voraussetzung vorzusehen, dass das in Absatz 1 beschriebene Verhalten zu einem schweren Schaden geführt haben muss. 161 BK-Weissenberger, Art. 144bis Rn. 16; N. Schmid, § 6 Rn. 24; Trechsel-Crameri, Art. 144bis Rn. 4. 162 Stratenwerth/Jenny, § 14 Rn. 59. 156 157

III. Datenbeschädigung gemäß Art. 144bis sStGB

171

ren ausgetauscht werden. Somit kann das Beschädigen und Beeinträchtigen von Computerdaten unter den Begriff der Datenveränderung subsumiert werden, da es sich lediglich um Unterarten des Veränderns handelt. Dieses Ergebnis lässt sich auch mittels des Explanatory Reports163 begründen, der als Verändern jedes Beschädigen oder Verschlechtern ansieht, das zu einer negativen Abänderung der Integrität oder des Inhalts der Daten oder Programme führt. Daraus ergibt sich, dass es sich beim Verändern um einen Oberbegriff handelt. Die Tatvarianten des Beschädigens und Beeinträchtigens fallen daher unter Art. 144bis Ziff. 1 sStGB.164 Art. 144bis sStGB erfasst nicht das Unterdrücken von Daten, weil nach h. M.165 die aufgezählten Tathandlungen abschließend sind. Ein Datenunterdrücken wäre allenfalls dann tatbestandlich, wenn es unter den Begriff des Unbrauchbarmachens subsumiert werden könnte.166 Dem stehen jedoch die grammatische und die systematische Auslegung und der Wille des Gesetzgebers entgegen. Entsprechend einer Auslegung des Wortlauts liegt ein Unbrauchbarmachen vor, wenn die Daten derart in ihrer Gebrauchstauglichkeit beeinträchtigt sind, beispielsweise durch Änderung der Verschlüsselung167, dass sie ihren Zweck nicht mehr erfüllen können.168 Das Unbrauchbarmachen zeichnet sich dadurch aus, dass die Daten weiter bestehen, der Täter aber nicht mehr darauf zugreifen kann.169 Erforderlich ist dabei, dass das Opfer die Daten nicht ohne besonderen zeitlichen170 und technischen Aufwand 163

Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 61, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 164 BK-Weissenberger, Art. 144bis Rn. 16; N. Schmid, § 6 Rn. 25, 29; TrechselCrameri, Art. 144bis Rn. 8. 165 BK-Weissenberger, Art. 144bis Rn. 16; N. Schmid, § 6 Rn. 24; Trechsel-Crameri, Art. 144bis Rn. 4. 166 Das Eidgenössische Justiz- und Polizeidepartement hält das Unterdrücken bereits nach der aktuellen Rechtslage für vollumfänglich erfasst, weil jedes nur vorübergehende Unbrauchbarmachen ausreicht, vgl. Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 10, http://www. ejpd.admin.ch/content/dam/data/kriminalitaet/gesetzgebung/cybercrime__europarat/ vn-ber-d.pdf (Stand: 4. Januar 2011). 167 SBBL II 1991, 969 (1014); Stratenwerth/Jenny, § 14 Rn. 59. 168 BK-Weissenberger, Art. 144bis Rn. 32. 169 Dabei ist aber zu berücksichtigen, dass der Eingriff nicht einmal beim Löschen irreversibel sein muss, da mit hohem Aufwand von Spezialisten viele Daten wiederhergestellt werden können und so die Strafbarkeit zu weit eingeschränkt würde, vgl. BK-Weissenberger, Art. 144bis Rn. 28. 170 Trechsel-Crameri, Art. 144bis Rn. 7; a. A. BK-Weissenberger, Art. 144bis Rn. 35, wonach jeder zumindest vorübergehende vollständige oder teilweise Entzug der Verfügungsbefugnis ausreicht, weil bereits eine kurze Unzugänglichkeit erhebliche Nachteile und Schäden nach sich ziehen kann. Allenfalls ein bloß kurzfristiges

172

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

reaktivieren kann.171 Aus dem Erfordernis der Reaktivierung wird klar, dass beim Unbrauchbarmachen aktive Wiederherstellungsmaßnahmen erforderlich sind. Dadurch unterscheidet sich das Unbrauchbarmachen vom Unterdrücken, bei dem solche Maßnahmen oft nicht erforderlich sind. Das Erfordernis von Gegenmaßnahmen kann auch auf die Gesetzessystematik gestützt werden, weil beim bloßen Unterdrücken der Bereich der Sachbeschädigung verlassen und der Bereich der bloßen Sachentziehung eröffnet ist.172 Letztlich kann im Rahmen der Auslegung auch auf den Gesetzgeberwillen zurückgegriffen werden. Nach dessen Ausführungen wurde im Zeitpunkt der Schaffung des Art. 144bis sStGB auf das Unterdrücken verzichtet, da das Unterdrücken von Daten mit Urkundscharakter bereits als Unterdrücken von Urkunden strafbar war.173 Daher muss das Tatbestandsmerkmal „Unbrauchbarmachen“ restriktiv ausgelegt werden, um keine dem Gesetzgeberwillen diametral entgegenstehenden Ergebnisse zu erzielen. Daher bleibt Art. 144bis Ziff. 1 S. 1 sStGB mangels Strafbarkeit des Unterdrückens hinter den Vorgaben der Cybercrime Convention zurück. Es besteht somit im Falle der Ratifikation Anpassungsbedarf, weil die Möglichkeit einer Straflosigkeit des Unterdrückens von der Cybercrime Convention nicht eingeräumt wird. Ferner wurde auch eine Strafbarkeit wegen Eingriffs in ein System gemäß Art. 5 Cybercrime Convention174 bisher nicht ins sStGB aufgenommen. Bei der Schaffung des Art. 144bis sStGB ging der Gesetzgeber davon aus, dass aufgrund der Qualifikation bei Art. 144 Abs. 4 a. F. sStGB (Art. 144bis Ziff. 1 S. 2 n. F. sStGB) im Falle eines großen Schadens der zur Verfügung stehende Strafrahmen bei massiven Angriffen auf Datenverarbeitungsanlagen ausreicht.175 Entsprechend dem Vernehmlassungsentwurf des Eidgenössischen Justiz- und Polizeidepartements176 besteht kein weiUnterdrücken, das von vornherein nicht zu einer Beeinträchtigung führt, sei nicht tatbestandlich. Die Auffassung Weissenbergers legt aber den Begriff des Unbrauchbarmachens zu weit aus und überschreitet daher die Grenze des Analogieverbots. 171 Vgl. die Beispiele bei BK-Weissenberger, Art. 144bis Rn. 33. 172 N. Schmid, § 6 Rn. 31. 173 N. Schmid, CR 1991, 418 (422). 174 Wortlaut des Art. 5 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um die unbefugte schwere Behinderung des Betriebs eines Computersystems durch Eingeben, Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. 175 N. Schmid, CR 1991, 418 (422). 176 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 11, http://www.ejpd.admin.ch/content/dam/data/krimi nalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011).

III. Datenbeschädigung gemäß Art. 144bis sStGB

173

terer Umsetzungsbedarf, weil durch den geltenden Art. 144bis sStGB alle Eingriffe in den Datenbestand und somit in den Betrieb der Datenverarbeitungsanlagen ausreichend erfasst werden. Dies gelte vor allem für das vorübergehende Unbrauchbarmachen und das Verhindern des Zugangs für einen erheblichen Zeitraum. Der Ansicht des Eidgenössischen Justiz- und Polizeidepartements kann aber nicht gefolgt werden, weil das Unbrauchbarmachen nicht dem Unterdrücken gleichgestellt werden kann. Der Begriff des Unterdrückens geht mangels zwingend erforderlicher aktiver Wiederherstellungsmaßnahmen im Hinblick auf den Zugriff auf Daten über das Unbrauchbarmachen hinaus und wird wegen des abschließenden Charakters der Tathandlungen tatbestandlich nicht erfasst. Des Weiteren ist in Art. 144bis Ziff. 1 sStGB auch nicht die Behinderung der Datenverarbeitung oder des Betriebs eines Computersystems durch das Eingeben oder Übermitteln von Daten – etwa durch DoS-Attacken – erfasst, das nur zu einer Verhinderung des berechtigten Zugriffs von dritter Seite führt. Ein wesentlicher Unterschied besteht ferner darin, dass Art. 144bis Ziff. 2 sStGB sich nur auf solche Programme bezieht, die der Datenbeschädigung dienen, wohingegen Art. 6 Cybercrime Convention177 sämtliche Programme zur Begehung der 177 Wortlaut des Art. 6 Cybercrime Convention: 1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben: a) das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen i. einer Vorrichtung einschließlich eines Computerprogramms, die in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine nach den Artikeln 2 bis 5 umschriebene Straftat zu begehen; ii. eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen, mit dem Vorsatz, sie zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden, und b) den Besitz eines unter Buchstabe a Ziffer i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat zu verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser Mittel eintritt. 2. Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt. 3. Jede Vertragspartei kann sich das Recht vorbehalten, Absatz 1 nicht anzuwenden, sofern der Vorbehalt nicht das Verkaufen, Verbreiten oder anderweitige Verfügbarmachen der in Absatz 1 Buchstabe a Ziffer ii bezeichneten Mittel betrifft.

174

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

in den Art. 2 bis 5 Cybercrime Convention genannten Delikte und darüber hinaus auch Vorrichtungen, Computerpasswörter, Zugangscodes und ähnliche Daten erfasst. Ferner könnten sich weitere Unterschiede hinsichtlich der Tathandlungen ergeben, da Art. 144bis Ziff. 2 sStGB auch das Anpreisen, Anbieten und Anleitunggeben zur Herstellung erfasst. Eine wortlautgetreue Auslegung der Cybercrime Convention ergibt aber, dass nur der Verkauf im zivilrechtlichen Sinne gemeint ist.178 Das Anbieten und Anpreisen ist dem zeitlich vorgelagert und geht folglich in zulässiger Art und Weise über die Vorgaben der Cybercrime Convention hinaus. Das Anleitunggeben kennt die Cybercrime Convention ebenfalls nicht, sodass der schweizerische Gesetzgeber auch diesbezüglich über die Vorgaben hinausgeht. Dass der Besitz nicht von Art. 144bis Ziff. 2 sStGB erfasst wird, ist unschädlich, da sich ein diesbezüglicher Vorbehalt im Art. 6 Abs. 3 Cybercrime Convention findet. Allerdings müsste dazu in der Ratifikationsurkunde Stellung genommen werden. Aufgrund obiger Erkenntnisse ergibt sich im Falle einer Ratifikation Änderungsbedarf. Zum einen muss ein Pendant zu Art. 5 Cybercrime Convention dahin gehend geschaffen werden, dass der Betrieb der Datenverarbeitungsanlagen vor unbefugten Störungen und sonstigen Beeinträchtigungen geschützt wird. Zum anderen muss der Anwendungsbereich des Art. 144bis Ziff. 2 sStGB auch auf Art. 143 und 143bis sStGB erweitert und in Art. 144bis Ziff. 1 S. 1 sStGB das Tatbestandsmerkmal „Unterdrücken“ eingefügt werden. 5. Vergleich des Art. 144bis Ziff. 1 sStGB mit §§ 303a Abs. 1, 303b Abs. 1, 2 i. V. m. 4 S. 2 Nr. 1 dStGB a) Geschütztes Rechtsgut Wie bereits dargestellt wird von Art. 144bis Ziff. 1 sStGB das Interesse an der Integrität und an der ungestörten Verwendbarkeit der Daten geschützt.179 §§ 303a und 303b Abs. 1 und 2 dStGB schützen das Interesse desjenigen, der an einem bestimmten Datenbestand das Nutzungsrecht und somit ein Interesse an der unversehrten Verwendbarkeit der im Datenbestand enthaltenen gespeicherten und übermittelten Daten hat.180 Es ergeben sich daher keine Unterschiede beim geschützten Rechtsgut. 178

Vgl. auch den Wortlaut des Explanatory Reports „sale“, Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 74, http://conventions.coe.int/ Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 179 Vgl. die Ausführungen unter Kapitel F. III. 2.

III. Datenbeschädigung gemäß Art. 144bis sStGB

175

b) Tatbestand aa) Objektiver Tatbestand In Art. 144bis sStGB oder §§ 303b i. V. m. 303a dStGB könnte eine Fremdheit der Daten erforderlich sein. In beiden Vorschriften wird die Fremdheit nicht explizit genannt. Bei §§ 303b i. V. m. 303a dStGB muss das Tatbestandsmerkmal „Fremdheit der Daten“ aber als ungeschriebenes Merkmal ergänzt werden. §§ 303b i. V. m. 303a dStGB würden ansonsten zu einer Verfolgung der inhaltlichen Unrichtigkeit von Daten und der Verletzung des informationellen Selbstbestimmungsrechts führen.181 Dies war weder vom Gesetzgeber gewollt, noch ist ein solches Ergebnis sinnvoll, weil die fortlaufende Veränderung der Daten dem Wesen der Datenverarbeitung entspricht.182 Letztlich entspräche eine derart weite Auslegung auch nicht dem Bestimmtheitsgebot des Art. 103 Abs. 2 GG.183 Folglich werden von §§ 303b i. V. m. 303a dStGB nur fremde Daten erfasst.184 Art. 144bis sStGB ist ebenfalls teleologisch so auszulegen, dass nur fremde Rechtspositionen erfasst sind.185 Dies resultiert zum einen daraus, dass die Regelung des Art. 144bis sStGB ursprünglich als Erweiterung des Sachbeschädigungstatbestandes in Form eines neuen Art. 144 Abs. 2 sStGB186 ins sStGB Einzug finden sollte und zum anderen aus dem subsidiären Charakter des Art. 144bis sStGB.187 Die Aufnahme der Fremdheit im Tatbestand unterblieb deshalb, weil es den Daten an der zivilrechtlichen Sacheigenschaft fehlt und es stattdessen auf das hineinzulesende negative Tatbestandsmerk-

180

Vgl. die Ausführungen unter Kapitel E. V. 3. a). Fischer, § 303a Rn. 4. 182 LK-Wolff, § 303a Rn. 8. 183 Fischer, § 303a Rn. 4; Lackner/Kühl, § 303a Rn. 4. 184 Fischer, § 303a Rn. 4; HK-GS-Weiler, § 303a Rn. 3; NK-Zaczyk, § 303a Rn. 4; SSW-Bosch, § 303a Rn. 5; a. A. LK-Wolff, § 303a Rn. 8 f., wonach bereits die Rechtswidrigkeit als Tatbestandsmerkmal ausreichendes Korrektiv sei und es daher einer Ergänzung des Tatbestandes um ein ungeschriebenes Tatbestandsmerkmal „Fremdheit“ nicht bedürfe; Schönke/Schröder-Stree/Hecker, 303a Rn. 3, stellen hingegen auf eine eigentümerähnliche Datenverfügungsbefugnis ab und ziehen bei deren Bestimmung unter anderem die sachenrechtliche Zuordnung des Datenträgers und gegebenenfalls schuldrechtliche Abreden mit dessen Eigentümer heran. 185 BK-Weissenberger, Art. 144bis Rn. 10; N. Schmid, § 6 Rn. 21; Stratenwerth/ Jenny, § 14 Rn. 58; Trechsel-Crameri, Art. 144bis Rn. 2. 186 Durch die Einfügung eines Art. 144 Abs. 2 sStGB sollte der mangelnden Sacheigenschaft der Daten und der daraus resultierenden Nichtanwendbarkeit des Sachbeschädigungstatbestandes des Art. 144 sStGB entgegengewirkt werden, vgl. SBBL II 1991, 969 (1014). 187 SBBL II 1991, 969 (1014). 181

176

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

mal „Datenberechtigung“ ankommen sollte.188 Somit ergeben sich diesbezüglich keine Unterschiede beim Tatobjekt. Unterschiede könnten sich jedoch dahin gehend ergeben, dass im Gegensatz zu Art. 144bis sStGB bei §§ 303b i. V. m. 303a dStGB das Unterdrücken strafbar ist. Nach den Ausführungen der Gesetzesbegründung zu § 303a dStGB liegt ein Unterdrücken vor, wenn die Daten dem Zugriff des Berechtigten entzogen werden und deshalb nicht mehr verwendet werden können.189 Dies muss nach h. M.190 nicht dauerhaft sein, sodass auch kurzfristige Zeiträume erfasst werden. Gegen das Erfordernis der Dauerhaftigkeit spricht insbesondere, dass mit den heutigen Möglichkeiten in der Computerforensik nahezu alle Daten bzw. der Zugang zu ihnen wiederhergestellt werden kann. Bei der Bestimmung der Beeinträchtigung kommt es aus Opferschutzaspekten nicht auf einen tatsächlichen Verwendungswillen an, sondern es genügt bereits die Beeinträchtigung eines potenziellen Verwendungswillens.191 Mangels Strafbarkeit des Unterdrückens von Daten bleibt Art. 144bis sStGB folglich hinter §§ 303b i. V. m. 303a dStGB zurück. bb) Subjektiver Tatbestand Im Hinblick auf den Vorsatz ergeben sich keine Unterschiede, weil auch das Regelbeispiel des § 303b Abs. 4 S. 2 Nr. 1 dStGB vom Täter in seinen Vorsatz aufgenommen werden muss. Dies ist unbestritten192 und resultiert aus der Annäherung der Regelbeispiele an die Tatbestandsmerkmale aufgrund ihrer Indizfunktion.193 c) Fakultative Qualifikation Ein weiterer Unterschied könnte daraus resultieren, dass Art. 144bis sStGB einen großen Schaden und § 303b dStGB einen Vermögensverlust großen Ausmaßes voraussetzt. Das schweizerische Bundesgericht hat einen großen Schaden im Rahmen der Sachbeschädigung gemäß Art. 144 sStGB 188

N. Schmid, CR 1996, 163 (166, 168). BT-Drs. 10/5058, S. 37 f. 190 Abu-Zeitoun, S. 51 f.; LK-Wolff, § 303a Rn. 24; SK-Hoyer, § 303a Rn. 9; Nach der Ansicht von Fischer, § 303b Rn. 10, ist nur bei einem unerheblicher Zeitraum der Beeinträchtigung der Nutzung die Wesentlichkeit ausgeschlossen. 191 MüKo-Wieck-Noodt, § 303a Rn. 13; Schönke/Schröder-Stree/Hecker, § 303a Rn. 6; SK-Hoyer, § 303a Rn. 9. 192 Schönke/Schröder-Sternberg-Lieben, § 15 Rn. 27. 193 Schönke/Schröder-Stree/Kinzig, vor §§ 38 ff. Rn. 44; vgl. auch die Ausführungen unter Kapitel E. V. 4. a). 189

III. Datenbeschädigung gemäß Art. 144bis sStGB

177

bereits bei CHF 40.000194 und CHF 82.000195 bejaht. Da das Bundesgericht aber nicht auf das Herleiten dieses Werts einging, haben sich in der Lehre unterschiedliche Bewertungsmaßstäbe herausgebildet.196 Teilweise wird vertreten, dass es ausschließlich auf einen objektiven Schadensmaßstab ankomme.197 Dabei sei die objektive Schadenshöhe bei CHF 100.000198 anzusetzen199, wobei nicht nur die reinen Materialschäden und -kosten zu berücksichtigen seien, sondern auch die Kosten der Wiederherstellung und ein entstandener Betriebsausfall. Diese Auffassung ist zwar in tatsächlicher Hinsicht sinnvoll, weil sich dadurch der konkrete Schaden einfach berechnen lässt und dies auch zu Rechtssicherheit führt. Allerdings vernachlässigt sie die Tatsache, dass Art. 144 sStGB und somit auch Art. 144bis sStGB nicht nur abstrakte Rechtspositionen schützen, sondern sich an der konkreten Interessenlage des Rechtsgutsträgers orientieren.200 Die Gegenansicht201 stellt daher ausschließlich auf die persönlichen Verhältnisse des Geschädigten ab. Aber auch diese Ansicht überzeugt nicht, weil die Bejahung der Qualifikation willkürlich wird. Eine dritte Ansicht setzt hingegen eine objektive Schadensgrenze im Bereich von CHF 10.000 an, die abhängig von den persönlichen Verhältnissen des Geschädigten nach oben oder unten korrigiert werden kann.202 Dies ist überzeugend, weil so Opferinteressen, das Vermögen und entstandene immaterielle Schäden trotz der eventuell drohenden Rechtsunsicherheit optimal berücksichtigt werden können. Bei § 303b Abs. 4 S. 2 Nr. 1 dStGB liegt ein Vermögensverlust großen Ausmaßes vor, wenn der Schaden, der tatsächlich eingetreten ist, überdurchschnittlich hoch ist, was in der Regel bei einem Betrag von mehr als EUR 50.000 zu bejahen ist.203 Somit ergeben sich im Hinblick auf die Einschlägigkeit des Tatbestandsmerkmals „großer Schaden“ und des Regelbeispiels „Vermögensverlust großen Ausmaßes“ Unterschiede, wenn kein Schaden in Höhe von mindestens EUR 50.000 erreicht wird, es sei denn, die Höhe kann aufgrund einer Einzelfallabwägung nach unten korrigiert werden. 194

BGE 106 IV 24. BGE 117 IV 437 (440). 196 BK-Weissenberger, Art. 144 Rn. 58 f. m. w. N. 197 BK-Weissenberger, Art. 144 Rn. 60. 198 Entspricht ca. EUR 65.000. 199 N. Schmid, § 6 Rn. 46. 200 BK-Weissenberger, Art. 144 Rn. 61. 201 Vgl. BK-Weissenberger, Art. 144 Rn. 60. 202 BK-Weissenberger, Art. 144 Rn. 61. 203 BGHSt 48, 354 (360); BGH NStZ 2009, 271 (272); Fischer, § 263 Rn. 215; LK-Wolff, § 303b Rn. 35; Schönke/Schröder-Cramer/Perron, § 263 Rn. 188c. 195

178

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Weitere Unterschiede könnten sich ergeben, wenn – im Gegensatz zu § 303b Abs. 4 S. 2 Nr. 1 dStGB204 – die Schadenssummen bei den einzelnen Geschädigten bei Art. 144bis Ziff. 1 S. 2 sStGB nicht addiert würden. Nach überwiegender Ansicht in der Literatur205 sind bei Tateinheit aber alle geschädigten Vermögenswerte zu einem Gesamtwert und daher einem Gesamtschaden zusammenzuzählen und zwar unabhängig davon, ob es sich um Schäden eines Einzelnen oder einer Personenmehrheit handelt. Dieses Ergebnis lässt sich mit einer grammatischen Auslegung begründen, weil Bezugspunkt die Daten in ihrer abstrakten Gesamtheit selbst sind. Daher kommt es nur darauf an, dass Daten im oben dargestellten Wert verändert, gelöscht etc. werden und zwar unabhängig davon, ob es sich um Daten verschiedener Personen oder einer einzigen handelt. Somit ergeben sich keine Unterschiede zu § 303b Abs. 4 S. 2 Nr. 1 dStGB, bei dem ebenfalls mehrere Geschädigte im Rahmen einer Tat addiert werden. Es ergeben sich allerdings Unterschiede bei der Gruppe der Geschädigten. Anders als bei § 303b Abs. 4 S. 2 Nr. 1 dStGB – dort aufgrund des Verweises auf Abs. 2 i. V. m. Abs. 1 – ist es bei Art. 144bis Ziff. 1 S. 2 sStGB nicht erforderlich, dass der große Schaden durch eine erhebliche Störung einer Datenverarbeitung von wesentlicher Bedeutung bei einem fremden Betrieb, fremden Unternehmen oder einer Behörde, entstanden ist. Bezüglich der Gruppe der Tatopfer überzeugt die schweizerische Norm, weil Opfer von Internetkriminellen oft private Internetuser sind und nicht ersichtlich ist, weshalb diese weniger geschützt sein sollen als Betriebe. Bei Privatpersonen kann ein Vermögensverlust großen Ausmaßes gemäß § 303b Abs. 4 S. 2 Nr. 1 dStGB nach der aktuellen Rechtslage allenfalls im Rahmen der Strafzumessung berücksichtigt werden, wobei der maximale Strafrahmen von drei Jahren gemäß § 303b Abs. 1 dStGB nicht überschritten werden kann. Zwar wird die Tat bei der Schädigung privater User oft weniger schwer wiegen. Dennoch ist eine Differenz im Höchstmaß des Strafrahmens von sieben Jahren damit nicht zu rechtfertigen. Im Ergebnis sollte daher zur stärkeren Abschreckung der organisierten Kriminalität die Anwendbarkeit des Regelbeispiels auch auf Privatpersonen als Opfer ausgedehnt werden. Keine Unterschiede könnten sich hingegen im Rahmen der fakultativen Qualifikation206 gemäß Art. 144bis Ziff. 1 S. 2 sStGB ergeben. Hiernach hat der Richter aufgrund des Wortlauts „kann“ eine Ermessensentscheidung, ob er entsprechend dem Strafrahmen der Qualifikation oder des Grunddelikts verurteilen will. Zwar kann auch der Richter das Regelbeispiel im Rahmen 204

Vgl. die Ausführungen unter Kapitel E. V. 4. a). BK-Weissenberger, Art. 144bis Rn. 16, Art. 144 Rn. 63 f.; Trechsel-Crameri, Art. 144 Rn. 10. 206 BK-Weissenberger, Art. 144bis Rn. 74. 205

III. Datenbeschädigung gemäß Art. 144bis sStGB

179

des § 303b dStGB trotz des Vorliegens der Voraussetzungen aufgrund einer Gesamtwürdigung ablehnen.207 Allerdings haben die Regelbeispiele eine Indizwirkung, sodass grundsätzlich nur atypische Konstellationen entsprechend dem Strafrahmen des Grunddeliktes bemessen werden können. Sollte eine solche atypische Fallkonstellation nicht gegeben sein, so hat das Regelbeispiel immer strafrahmenbildenden Charakter.208 Es ergeben sich daher Unterschiede zwischen den beiden Rechtsordnungen, weil dem deutschen Richter hinsichtlich der Anwendung des Strafrahmens des Regelbeispiels ein enger Spielraum zusteht. 6. Vergleich des Art. 144bis Ziff. 2 sStGB mit §§ 303a Abs. 3 i. V. m. 202c Abs. 1 Nr. 2 dStGB a) Deliktscharakter Bei Art. 144bis Ziff. 2 sStGB handelt es sich um ein auch als „Computervirentatbestand“209 bezeichnetes abstraktes Gefährdungsdelikt.210 Daher ergeben sich keine Unterschiede zu §§ 303a Abs. 3 i. V. m. 202c dStGB, da es sich bei § 202c dStGB ebenfalls um ein abstraktes Gefährdungsdelikt handelt.211 b) Tatbestand aa) Objektiver Tatbestand Tatobjekte bei Art. 144bis Ziff. 2 S. 1 sStGB sind nur Computerprogramme, die zu den in Ziff. 1 genannten Zwecken, d.h. zur Datenbeschädigung, verwendet werden sollen. Daher entspricht Art. 144bis Ziff. 2 S. 1 sStGB den §§ 303a Abs. 3 i. V. m. 202c Abs. 1 Nr. 2 dStGB. Ein Pendant zu § 202c Abs. 1 Nr. 1 dStGB gibt es im schweizerischen Recht hingegen nicht. Sowohl bei Art. 144bis Ziff. 2 sStGB als auch bei § 202c dStGB ist es erforderlich, dass dem Programm der Zweck der Begehung einer Computer207

Schönke/Schröder-Stree/Kinzig, vor §§ 38 ff. Rn. 47. Eisele, S. 175 ff. 209 BK-Weissenberger, Art. 144bis Rn. 2; allerdings ist nach der Ansicht N. Schmid, § 6 Rn. 53, diese Formulierung ungenau und verwirrend, weil die Programme nicht auf Computerviren begrenzt sind, sondern alle Programme erfasst werden, die auf eine Datenbeschädigung angelegt sind. 210 BK-Weissenberger, Art. 144bis Rn. 46; Rehberg/Schmid/Donatsch, S. 176; Trechsel-Crameri, Art. 144bis Rn. 12. 211 Vgl. diesbezüglich die Ausführungen unter Kapitel E. VII. 3. b). 208

180

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

straftat immanent ist. Zu klären ist dabei, ob sich bei Art. 144bis Ziff. 2 sStGB dieselben Auslegungsschwierigkeiten wie bei § 202c dStGB bei der Bestimmung des Zwecks ergeben.212 Teilweise wird vertreten, dass aufgrund des direkten Bezuges auf die Ziff. 1 nur Programme erfasst werden, die dazu bestimmt sind, Schäden im Sinne der Ziff. 1 zu verursachen. Erfasst sind folglich nur Computerviren.213 Dabei wird vereinzelt gefordert, dass sich diese selbstständig vervielfältigen können und dadurch eine Infektions- und Seuchengefahr geschaffen wird.214 Wenn ausschließlich auf bestimmte Daten eingewirkt wird, bestünde kein Bedürfnis einer strafrechtlichen Sanktion der Vorbereitungshandlung, weil eine ausreichende Strafbarkeit über Art. 144bis Ziff. 1 sStGB gegeben sei.215 Allerdings lässt sich ein Erfordernis der selbstständigen Vervielfältigung aus einer grammatischen Auslegung nicht gewinnen, weil diesbezügliche Anhaltspunkte dem Wortlaut nicht zu entnehmen sind; vielmehr handelt es sich um eine von Billigkeitserwägungen getragene Argumentation, um einer ausufernden Strafbarkeit entgegenzuwirken. Daher wird von anderer Seite zu Recht vertreten, dass eine Bestimmung der Programme lediglich dahin gehend erforderlich sei, fremde Daten zu beschädigen.216 Diese Ansicht erfasst auch Programme, die neben der Datenbeschädigung zusätzlich andere Aufgaben haben. Es reicht daher bereits aus, dass die wesentliche Eigenschaft und Zweckausrichtung die Datenbeschädigung ist. Folglich sind in der schweizerischen Vorschrift über die Computerviren hinaus alle Programme, die dazu geeignet sind, Daten zu beschädigen, und somit auch Dual-Use-Tools, erfasst.217 Weitere Unterschiede könnten sich hinsichtlich der Tathandlungen ergeben, da Art. 144bis Ziff. 2 sStGB auch das Einführen, Inverkehrbringen, Anpreisen, Anbieten und Anleitunggeben zur Herstellung erfasst218, wäh212

Vgl. diesbezüglich die Ausführungen unter Kapitel D. III. 3. a). Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 12, http://www.ejpd.admin.ch/content/dam/data/krimi nalitaet/gesetzgebung/cybercrime__europarat/vn-ber-.pdf (Stand: 4. Januar 2011); Stratenwerth/Wohlers, Art. 144bis Rn. 4. 214 Rehberg/Schmid/Donatsch, S. 176; a. A. BK-Weissenberger, Art. 144bis Rn. 50. 215 Stratenwerth/Jenny, § 14 Rn. 64. 216 Nach BK-Weissenberger, Art. 144bis Rn. 49, ist eine generelle Schädigungseignung nicht ausreichend. 217 So auch N. Schmid, § 6 Rn. 53. Zu den Einschränkungen im sStGB auf der subjektiven Ebene vgl. auch die Ausführungen unter Kapitel F. III. 6. b) bb). 218 Nach der Ansicht Rehberg/Schmid/Donatsch, S. 176, handelt es sich bei den Tatmodalitäten um eine abschließende Aufzählung. Der Erwerb bzw. das Beschaffen im Allgemeinen wird daher ebenso wie der Besitz nicht erfasst, weil der 213

III. Datenbeschädigung gemäß Art. 144bis sStGB

181

rend §§ 303a dStGB i. V. m. 202c Abs. 1 Nr. 2 dStGB nur das Herstellen, Sich- oder einem Anderen Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonstige Zugänglichmachen als Tathandlungen vorsieht. Ein Einführen gemäß Art. 144bis sStGB liegt vor, wenn der Täter das Programm aus dem Ausland in die Schweiz sendet oder in der Schweiz aus dem Ausland empfängt und zwar unabhängig davon, ob dies in physischer Form oder via Datenleitungen erfolgt.219 Als Täter kommt sowohl der Versender als auch der Empfänger in Betracht.220 Zwar statuiert § 202c dStGB keine gleichlautende Tathandlung. Jedoch kann dieser Sachverhalt unter das Sich- oder einem Anderen Verschaffen subsumiert werden, weil auch das Einführen voraussetzt, dass beim Empfänger eine Verfügungsmacht statuiert wird.221 Die schweizerische Norm ist jedoch insgesamt enger als § 202c dStGB, weil es sich bei den Tathandlungen um eine abschließende Aufzählung handelt, sodass das Sich-Verschaffen nicht generell erfasst ist.222 Das Importieren ist somit ein ausnahmsweise strafbarer Sonderfall des Sich-Verschaffens. Jedoch ergeben sich in der Praxis keine Unterschiede, da aufgrund der Globalität des Internets ein Sich-Verschaffen – u. a. mittels Download – fast immer ein Importieren darstellen wird. Der Download wird in den meisten Fällen zumindest über einen ausländischen Server laufen, sodass die Software dann importiert wird. Unterschiede in der Strafbarkeit könnten sich somit nur dann ergeben, wenn bei der Datenübertragung nur schweizerische Server involviert sind. Solche Konstellationen könnten jedoch möglicherweise mittels des Tatbestandsmerkmals „Herstellen“ erfasst werden. Teilweise wird vertreten, dass ein Herstellen vorliegt, wenn ein Programm im Rahmen des Downloads kopiert wird.223 Diese Auffassung könnte jedoch gegen das Analogieverbot verstoßen.224 Früher wurde vertreten, dass ein Verstoß gegen das Analogieverbot bereits dann vorliegt, wenn die Interpretation die Wortlautgrenze überschreitet.225 Nach anderer Ansicht kommt es aber nicht auf den Wortlaut, sondern den Sinn der Norm an, der anhand des Zwecks und der Wertungen herzuleiten ist.226 Dies führt zu einer erheblichen Einschränkung schweizerische Gesetzgeber nur die Verbreitung an andere Personen sanktionieren wollte, vgl. N. Schmid, CR 1996, 163 (168 f.). 219 N. Schmid, § 6 Rn. 57. 220 BK-Weissenberger, Art. 144bis Rn. 58. 221 LK-Hilgendorf, § 202c Rn. 22; NK-Kargl, § 202c Rn. 10; SK-Hoyer, § 202c Rn. 7. 222 BK-Weissenberger, Art. 144bis Rn. 55. 223 BK-Weissenberger, Art. 144bis Rn. 57. 224 Zum strikten Analogieverbot im deutschen Strafrecht, vgl. Jäger, Rn. 11; Wessels/Beulke, Rn. 52 ff. 225 Stratenwerth, Rn. 32 f.

182

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

des Analogieverbots. Grund für letztere Ansicht ist, dass die Vorstellungen des Gesetzgebers teilweise unvollkommen im Wortlaut zum Ausdruck kommen und der Wortlaut aufgrund der Dreisprachigkeit in der Schweiz vereinzelt zu Divergenzen führt. Jedoch ist dabei zur Vermeidung eines Verstoßes gegen das Prinzip „nullum crimen sine lege scriptum“ zwingend erforderlich, dass bei der Auslegung alle zur Verfügung stehenden sprachlichen, historischen und systematischen Anhaltspunkte berücksichtigt werden.227 Insbesondere anhand der sprachlichen Auslegung wird ersichtlich, dass eine Subsumtion des Kopierens unter das Tatbestandsmerkmal „Herstellen“ gegen das Analogieverbot verstößt228, weil Hersteller einer Software nur derjenige sein kann, der ein neues Programm herstellt, was frühestens bei kleinen Umprogrammierungen229, nicht jedoch beim bloßen Kopieren der Fall ist.230 Somit ergeben sich Unterschiede im schweizerischen Recht, wenn die Daten ausschließlich unter Nutzung nationaler Server verbreitet werden. Diese Konstellation kann nicht unter das Tatbestandsmerkmal „Herstellen“ subsumiert werden. Weitere, dem deutschen Strafrecht insofern unbekannte Tathandlungen sind das Anpreisen und Anbieten. Unter einem Anbieten ist eine einseitige Erklärung dahin gehend zu verstehen, zur Überlassung an einen oder mehrere andere Personen bereit zu sein.231 Ein Anpreisen ist eine allgemeinere Formulierung des Anbietens, da ein allgemeiner Aufruf zum Erwerb vorliegt.232 Insgesamt handelt es sich um Vorbereitungshandlungen zur Vorbereitungshandlung, weil das Anpreisen und Anbieten dem späteren Inverkehrbringen dienen soll.233 Das Anpreisen und Anbieten geht daher über das Tatbestandsmerkmal „Verbreiten“ im Sinne des § 202c dStGB hinaus, weil ein solches Verbreiten234 nur dann zu bejahen ist, wenn das Programm tatsächlich in einen weiteren Umkreis gelangt.235 Durch das Anpreisen und Anbieten ist der schweizerische Gesetzgeber jedoch über das Ziel hinausgeschossen, weil er die Strafbarkeit zu weit vorverlagert. Im Zeitpunkt des Anpreisens und Anbietens besteht noch nicht die von Art. 144bis Ziff. 2 226

BK-Popp/Levante, Art. 1 Rn. 25; Stratenwerth, Rn. 32. BK-Popp/Levante, Art. 1 Rn. 26 ff.; Stratenwerth Rn. 33. 228 A. A. Trechsel-Jean-Richard, Art. 1 Rn. 24; hiernach verbietet das Analogieverbot nur das Schaffen neuer Straftatbestände durch den Richter. 229 Heckmann/Höhne, K&R 2009, 636. 230 Vgl. Creifelds/Weber, Hersteller, S. 578; Verarbeitung, S. 1223. 231 BK-Weissenberger, Art. 144bis Rn. 60. 232 BK-Weissenberger, Art. 144bis Rn. 60; N. Schmid, § 6 Rn. 59. 233 N. Schmid, § 6 Rn. 59. 234 Das Verbreiten bei § 202c dStGB entspricht hingegen dem Inverkehrbringen in Art. 144bis Ziff. 2 S. 1 sStGB. 235 Drosdowski, Verbreiten. 227

III. Datenbeschädigung gemäß Art. 144bis sStGB

183

S. 1 sStGB zu verhindernde abstrakte Gefahr. Diese ist erst dann gegeben, wenn der Anbietende die alleinige Herrschaft über das Programm, beispielsweise durch einen Download eines Anderen, aus der Hand gibt. Auch das Anleitunggeben zur Herstellung ist dem deutschen Strafrecht fremd. Durch dieses Tatbestandsmerkmal wird im schweizerischen Strafgesetzbuch eine verselbstständigte Anstiftungs- bzw. Gehilfenstrafbarkeit statuiert.236 Dabei ist nur die Anleitung zur Herstellung der Schadprogramme tatbestandlich, sodass Anleitungen zur Datenzerstörung beispielsweise mittels Magneten nicht erfasst werden.237 Die Tathandlung ist erfüllt, wenn die Anweisung an Dritte weitergegeben wird, wobei dies mündlich, schriftlich, elektronisch oder auf sonstige Weise geschehen kann.238 Auch durch das Anleitunggeben zur Herstellung geht der schweizerische Gesetzgeber über die deutschen Vorgaben hinaus. In den Fällen des Anleitunggebens239 kann der Täter zwar aufgrund unselbstständiger Gehilfenstrafbarkeit bestraft werden, wenn der Andere das Programm tatsächlich herstellt, sodass es einer eigenständigen Strafbarkeit eigentlich nicht bedarf. Allerdings ergeben sich dabei in der Praxis kaum zu überwindende Beweisschwierigkeiten, weil der Gehilfe Vorsatz bezüglich der Beihilfehandlung und der Haupttat haben muss. Die Aufnahme des Anleitunggebens kann daher als gelungen bezeichnet werden. bb) Subjektiver Tatbestand Der als Absichtsdelikt240 ausgestaltete Art. 144bis Ziff. 2 sStGB erfordert Vorsatz dahin gehend, dass der Täter weiß oder annehmen muss, dass die Programme im Rahmen einer Datenbeschädigung verwendet werden sollen. Dabei genügt nach h. M.241 bereits bedingter Vorsatz gemäß Art. 12 Abs. 2 sStGB. Dabei wird vertreten, dass der Bezugspunkt des Vorsatzes die Verwendungseignung und der Verwendungszweck ist.242 Der Eventualvorsatz 236

N. Schmid, § 6 Rn. 62. N. Schmid, CR 1996, 163 (168). 238 BK-Weissenberger, Art. 144bis Rn. 64. 239 Dies ist das digitale Pendant zur Bombenbauanleitung, vgl. Stuckenberg, Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität – für die Öffentliche Anhörung vor dem Rechtsausschuss des Bundestages am 21. März 2007, S. 3, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Compu terkriminalitaet/04_Stellungnahmen/Stellungnahme_Stuckenberg.pdf (Stand: 10. Februar 2010). 240 N. Schmid, § 6 Rn. 65. 241 Rehberg/Schmid/Donatsch, S. 176; N. Schmid, § 6 Rn. 64; Stratenwerth/Wohlers, Art. 144bis Rn. 5; Trechsel-Crameri, Art. 144bis Rn. 16. 242 BK-Weissenberger, Art. 144bis Rn. 65. 237

184

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

ist zu bejahen, wenn es der Täter für möglich hält und billigend in Kauf nimmt, dass die Programme bestimmungsgemäß zur Schädigung fremder Daten verwendet werden. Aufgrund des weiten subjektiven Tatbestandes ergeben sich die gleichen Probleme wie bei § 202c dStGB.243 Fraglich ist daher, ob vergleichbar mit § 202c dStGB eine Einschränkung des subjektiven Tatbestandes möglich ist, sodass der Täter auch bei Art. 144bis Abs. 2 sStGB eine konkrete Tat vor Augen haben muss. Nach einer Meinung bedarf es keines Vorsatzes in Bezug auf eine konkrete Tat, weil allein die Kenntnis der schädlichen Wirkung des Programms und deren Inkaufnahme genügen.244 Dabei ist aber zu berücksichtigen, dass diese Ansicht bereits im objektiven Tatbestand nur Computerviren und somit ausschließlich Malware für tatbestandsmäßig hält.245 Daher bedarf es im Rahmen dieser Ansicht keiner Korrektur im subjektiven Tatbestand, weil Dual-Use-Tools bereits auf objektiver Tatbestandsebene ausgeschlossen werden. Nach anderer Ansicht246 muss der Einsatz des Programms vom Täter oder einem Nachfolgenden geplant sein und der Täter muss diesbezüglich zumindest mit Eventualvorsatz handeln. Dass sich der Eventualvorsatz auf eine konkrete Tat beziehen muss, ergibt sich aber bereits aus einer grammatischen Auslegung. Der Wortlaut des Art. 144bis Ziff. 2 S. 1 sStGB „verwendet werden soll“ lässt darauf schließen, dass der Haupttäter nach Ziff. 1 sein Vorgehen bereits konkretisiert haben muss. Hätte der Gesetzgeber lediglich auf den Einsatzbereich des Programms abstellen wollen, hätte er die Formulierung „verwendet werden kann“, wählen können. Im Übrigen kann auch eine teleologische Auslegung vergleichbar mit derjenigen bei § 202c dStGB herangezogen werden.247 Es ergeben sich daher im Ergebnis die gleichen Unterschiede im Hinblick auf den subjektiven Tatbestand zwischen Art. 144bis Ziff. 2 sStGB und § 202c dStGB wie im Rahmen des Vergleichs des § 202c dStGB mit § 126c öStGB. Im sStGB ist wegen des Wortlauts der Vorsatz bezüglich der konkreten Tat unumgänglich. Daher werden diejenigen Konstellationen von der Strafbarkeit ausgenommen, in denen sich der Täter keine Gedanken über die konkrete Verwendung mangels Individualisierbarkeit des Empfängers machen kann.248 Die massenhafte Verbreitung von Dual-Use-Tools, unter anderem durch Bereitstellung auf der Homepage zum Download an 243

Vgl. die Ausführungen unter Kapitel E. VII. 3. d). Trechsel-Crameri, Art. 144bis Rn. 16. 245 Trechsel-Crameri, Art. 144bis Rn. 13. 246 Rehberg/Schmid/Donatsch, S. 176; N. Schmid, § 6 Rn. 65. 247 Vgl. diesbezüglich die Ausführungen unter Kapitel D. III. 3. a). 248 A. A. N. Schmid, § 6 Rn. 65, wonach der bedingte Vorsatz bereits dann zu bejahen ist, wenn Programme ohne Kontrolle aus den Händen gegeben werden. 244

III. Datenbeschädigung gemäß Art. 144bis sStGB

185

einen unbekannten Adressatenkreis, ist nach schweizerischem Strafrecht straflos. Dies führt zu nicht hinnehmbaren Strafbarkeitslücken und wird daher dem drohenden Gefährdungspotenzial keinesfalls gerecht. c) Qualifikation Ferner enthält Art. 144bis Ziff. 2 S. 2 sStGB eine Qualifikation in Fällen der Gewerbsmäßigkeit. Diese liegt im schweizerischen Recht vor, wenn der Täter durch strafbares Handeln versucht, Einkünfte zu erzielen, um seine Lebensgestaltung finanzieren zu können. Dabei muss der Täter bereits mehrmals deliktisch aktiv geworden sein und anhand der bisherigen Taten muss darauf geschlossen werden können, dass er eine Vielzahl vergleichbarer Taten auch in Zukunft begehen will.249 Eine derartige Qualifikation gibt es im Rahmen der §§ 303a i. V. m. 202c Abs. 1 Nr. 2 dStGB nicht. Eine Vergleichbarkeit ist allenfalls in Bezug auf § 303b Abs. 1, 2, 4 S. 2 Nr. 2 1. Var. und Abs. 5 dStGB gegeben, sofern die erforderlichen sonstigen Voraussetzungen vorliegen. Nach deutschem Recht liegt Gewerbsmäßigkeit vor, wenn der Täter sich aus wiederholter Tatbegehung eine nicht nur vorübergehende Einnahmequelle von einigem Umfang verschaffen möchte.250 Dabei ist bereits die erstmalige Gesetzesverletzung ausreichend, wenn der subjektive Wille des Täters vorlag, das maßgebliche Delikt zu wiederholen.251 Der deutsche Begriff der Gewerbsmäßigkeit geht folglich über denjenigen des sStGB hinaus, da er nicht mehrere Tatvollendungen erfordert, sondern bereits eine einmalige Tatbegehung zur Bejahung der Gewerbsmäßigkeit führen kann. Die deutsche Version ist zu bevorzugen, weil der Täter, der eine besondere kriminelle Energie an den Tag legt, schon bei der ersten Tatbegehung dieser Energie entsprechend bestraft werden kann. d) Tätige Reue Im Gegensatz zu § 202c dStGB kennt Art. 144bis Ziff. 2 sStGB keine tätige Reue. Allerdings ist bei Art. 144bis Ziff. 2 sStGB der Versuch gemäß Art. 22 sStGB strafbar, weil der Gesetzgeber Art. 144bis Ziff. 2 sStGB zu einem eigenständigen Delikt erklärt hat.252 Aufgrund des Charakters als schlichtes Tätigkeitsdelikt kommt nur der unvollendete Versuch253 und soBK-Weissenberger, Art. 144bis Rn. 75. Fischer, vor § 52 Rn. 62; Lackner/Kühl, vor § 52 Rn. 20; Schönke/SchröderStree/Sternberg-Lieben, vor § 52 Rn. 95; SSW-Jahn, § 260 Rn. 3. 251 Fischer, vor § 52 Rn. 62. 252 BK-Weissenberger, Art. 144bis Rn. 71. 253 N. Schmid, § 6 Rn. 71. 249 250

186

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

mit Reue gemäß Art. 23 Ziff. 1 sStGB, die vergleichbar mit dem Rücktritt vom Versuch gemäß § 24 dStGB ist, in Betracht. Unterschiede ergeben sich somit bei denjenigen Tathandlungen, bei denen sich der Täter das jeweilige Programm beschafft hat, sei es durch das Herstellen oder Einführen.254 In diesen Konstellationen kommt aufgrund Deliktsvollendung nur eine tätige Reue nach §§ 202c Abs. 2 i. V. m. 149 Abs. 2 und 3 dStGB in Betracht. Nach der Deliktsvollendung hat der Täter nach dem sStGB keine Möglichkeit, wieder zu einer Straflosigkeit zu gelangen. Dieses Ergebnis wird aber dem Charakter als abstraktem Gefährdungsdelikt nicht gerecht. Vergleichbar mit § 202c dStGB ist es empfehlenswert, dem Täter durch die „Goldene Brücke zurück in die Legalität“ einen Anreiz zu geben, die von ihm geschaffene abstrakte Gefahr durch Vernichtung der entsprechenden Programme wieder zu beseitigen. 7. Vorschlag der Information Security Society Switzerland a) Datenbeschädigung, Art. 144bis sStGB255 (1) Wer unbefugt den Betrieb einer Datenverarbeitungseinrichtung verändert, stört, behindert oder unterbindet und dadurch den bestimmungsgemässen Gebrauch durch den Berechtigten verhindert oder einschränkt wer elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht, unterdrückt oder unbrauchbar macht wird, auf Antrag, mit Freiheitsstrafe bis zu . . . Jahren . . . Handelt der Täter gewerbsmässig oder als Mitglied einer kriminellen Organisation und wird durch seine Tat ein grosser Schaden verursacht, die Versorgung der Bevölkerung mit lebenswichtigen Gütern und Dienstleistungen beeinträchtigt, oder die Sicherheit der Schweiz bedroht, wird er mit Freiheitsstrafe . . . (2) Wer Programme, Codes oder Vorrichtungen, von denen er weiss oder nach den Umständen annehmen muss, dass sie zu den in Ziff. 1 genannten Zwecken verwendet werden sollen, entwickelt, herstellt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe. . . . Handelt der Täter gewerbsmässig oder als Mitglied einer kriminellen Organisation, so kann auf Freiheitsstrafe . . . 254 Bei allen Formen der Weiterverbreitung ist die erforderliche Beseitigung des Erfolgs nicht mehr möglich, weil das Programm weiterhin im Internet verfügbar bleibt. 255 Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 18, http://www.isss.ch/file admin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011).

III. Datenbeschädigung gemäß Art. 144bis sStGB

187

b) Unbefugtes Eindringen in eine Datenverarbeitungseinrichtung, Art. 143bis sStGB (1) . . . (2) Wer mit der Absicht, sich unbefugten Zugang zu einer Datenverarbeitungseinrichtung zu verschaffen, dazu geeignete Vorrichtungen, Programme, Passwörter oder Codes entwickelt, herstellt, einführt, oder sich aneignet, durch täusche Massnahmen ermittelt oder erschleicht, wird mit Freiheitsstrafe . . . Wer solche Vorrichtungen, Programme, Passwörter oder Codes in Verkehr bringt, anbietet oder Dritten zugänglich macht, wird, wenn er weiss oder nach den Umständen annehmen muss, dass sie zu dem in Ziff. 1 genannten Zweck verwendet werden sollen, mit Freiheitsstrafe . . . (3) Handelt der Täter gewerbsmässig oder als Mitglied einer kriminellen Organisation so wird er mit Freiheitsstrafe . . .

Obwohl diese Vorschläge in die richtige Richtung gehen, bleiben dennoch auch hier erhebliche Kritikpunkte bestehen. Durch Art. 144bis Ziff. 1 S. 1 sStGB soll eine Umsetzung des Art. 5 Cybercrime Convention vorgenommen werden. Dies ist aber nicht überzeugend gelungen, weil die Strafbarkeit im Grundtatbestand kaum und in der Qualifikation des Art. 144bis Ziff. 1 S. 2 sStGB zu weit eingeschränkt wird und die Vorbereitungshandlungen unnötig aufgespalten werden. Die Strafbarkeit in Art. 144bis Ziff. 1 S. 1 sStGB wird nicht adäquat eingeschränkt, weil keinerlei Bagatellfilter – wie etwa bei § 303b dStGB durch die wesentliche Bedeutung und die erhebliche Störung – eingebaut sind. Strafbar macht sich schon derjenige, der in den ordnungsgemäßen Betrieb nur marginal eingreift. Hierunter kann jeder Netzwerkverkehr subsumiert werden, sei es bei Computerspielen über ein Netzwerk oder auch das bloße Absperren des Computerraumes durch die Eltern. In derartigen Bagatellfällen liegt aber kein strafwürdiges Verhalten vor. Im Gegensatz dazu wird in Art. 144bis Ziff. 1 S. 2 sStGB die Strafbarkeit bei Gewerbsmäßigkeit und Mitgliedschaft in einer kriminellen Organisation auf ein Minimum reduziert, indem zusätzlich ein großer Schaden, die Beeinträchtigung der Bevölkerung mit lebenswichtigen Gütern und Dienstleistungen oder die Bedrohung der Sicherheit der Schweiz erforderlich ist. Bei der Herstellung, Verbreitung etc. der Programme im Sinne des Art. 144bis Ziff. 2 S. 2 sStGB hingegen genügt bereits die Gewerbsmäßigkeit oder alternativ die Bandenmitgliedschaft, um unter den Tatbestand der Qualifikation zu fallen, ohne dass zusätzlich ein Schaden etc. erforderlich ist. Es ist zu empfehlen, auch in Art. 144bis Ziff. 1 S. 2 sStGB nur auf die Gewerbsmäßigkeit oder die

188

F. Die Strafbarkeit der Computerkriminalität in der Schweiz

Bandenmitgliedschaft abzustellen. Die weiterreichende Strafbarkeit könnte bei Festlegung des Strafhöchstmaßes berücksichtigt werden. Letztlich sind keine Gründe ersichtlich, weshalb die Strafbarkeit der Vorbereitungshandlungen auf die Art. 143bis Ziff. 2 und Art. 144bis Ziff. 2 sStGB aufgeteilt werden soll. Stattdessen sollte zur Vereinfachung der Rechtsanwendung eine Fassung geschaffen und mit einer Verweisung – vergleichbar mit den deutschen Normen §§ 303a Abs. 3 und 303b Abs. 5 dStGB – gearbeitet werden. Hierdurch könnten Rechtsprechung und Literatur einheitlich entstehen und übertragen werden. Auslegungsschwierigkeiten ergeben sich bei dem Vorschlag bezüglich Art. 143bis sStGB aufgrund der Formulierung „geeignete Programme“. Hierdurch droht auf der Ebene des objektiven Tatbestandes ein Ausufern der Strafbarkeit bei den Dual-Use-Tools, weil zur Datenveränderung jeder Dateimanager verwendet werden kann.256 Des Weiteren sollte dem Täter ein Anreiz zur Vernichtung der von ihm geschaffenen oder beschafften Programme durch die sog. „Goldene Brücke zurück in die Legalität“ gegeben werden. Art. 143bis sStGB und Art. 144bis sStGB müssten daher in der Fassung der Information Security Society Switzerland um einen Strafausschluss bei tätiger Reue ergänzt werden.257 8. Eigener Vorschlag zur Umsetzung der Cybercrime Convention Aufgrund der Ergebnisse des Vergleichs des Art. 144bis sStGB mit den Vorgaben der Cybercrime Convention und dem dStGB sollen folgende Gesetzesvorschläge unterbreitet werden.258 a) Vorbereiten einer Computerstraftat, Art. 143ter sStGB 1. Wer Programme, Zugangscodes, Computerpasswörter oder ähnliche Daten, deren Zweck die Begehung einer Straftat gemäß Art. 143 oder 143bis ist, in Verkehr bringt, zur Herstellung Anleitung gibt, sonst wie zugänglich macht oder sich oder einem Anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren bestraft. 256

Schultz, DuD 2006, 778 (782 f.). Eine solche gibt es allerdings derzeit im sStGB noch nicht. Bisher findet sich nur eine Reue in Art. 23 Ziff. 1 sStGB, die vergleichbar mit dem Rücktritt vom Versuch gemäß § 24 dStGB ist. 258 Aus Gründen der Übersichtlichkeit sollte eine Aufteilung des Tatbestands entsprechend Art. 4, 5 und 6 Cybercrime Convention erfolgen. 257

III. Datenbeschädigung gemäß Art. 144bis sStGB

189

2. Handelt der Täter gewerbsmässig oder als Mitglied einer kriminellen Organisation, so kann auf Freiheitsstrafe bis zu fünf Jahren erkannt werden. 3. Nach Ziff. 1 wird nicht bestraft, wer die Tatobjekte im Sinne der Ziff. 1 vernichtet oder unbrauchbar macht und dadurch die von ihm geschaffene Gefahr beseitigt. Wird ohne Zutun des Täters die Gefahr, dass andere die Tat weiter vorbereiten oder sie ausführen, abgewendet oder die Vollendung der Tat verhindert, so genügt sein freiwilliges und ernsthaftes Bemühen.

Es ist somit zu empfehlen, einen eigenen Vorbereitungstatbestand vergleichbar mit § 202c dStGB zu schaffen. Ein solcher könnte als Art. 143ter sStGB eingefügt werden. Im Vorschlag werden die Tatobjekte auf Zugangscodes, Computerpasswörter und ähnliche Daten erweitert, da die abstrakte Gefahr nicht nur bei Programmen besteht. Bezüglich der Tathandlungen wird das Einführen durch ein Sich- oder einem Anderen Verschaffen ersetzt. Im Übrigen wird die Qualifikation der Ziff. 2 um die Mitgliedschaft in einer kriminellen Vereinigung erweitert und eine strafbefreiende tätige Reue eingeführt. b) Datenbeschädigung, Art. 144bis sStGB 1. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht, unterdrückt oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Besteht an der Verfolgung ein besonderes öffentliches Interesse, erfolgt eine Verfolgung von Amts wegen. 2. Hat der Täter einen grossen Schaden verursacht, handelt er gewerbsmäßig oder als Mitglied einer Bande, so wird auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt. 3. Für die Vorbereitung einer Straftat nach Ziff. 1 gilt Art. 143ter entsprechend.

Der Vorschlag beinhaltet die Aufnahme des Tatbestandsmerkmals „Unterdrücken“, um bestehende Strafbarkeitslücken zu schließen und den Vorgaben der Cybercrime Convention gerecht zu werden. Die Qualifikation der Ziff. 2 wird um die Mitgliedschaft in einer kriminellen Vereinigung ergänzt. Im Übrigen wird die Möglichkeit einer Strafverfolgung von Amts wegen beim Vorliegen eines besonderen öffentlichen Interesses auch im Grundtatbestand und ein Verweis auf die Vorbereitungshandlung des Art. 143ter sStGB eingefügt. c) Computersabotage, Art. 144ter sStGB 1. Wer unbefugt den Betrieb einer Datenverarbeitungseinrichtung schwer stört, indem er Daten in der Absicht, einem anderen einen Nachteil zuzufügen, eingibt oder übermittelt, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder

190

F. Die Strafbarkeit der Computerkriminalität in der Schweiz Geldstrafe bestraft. Besteht an der Verfolgung ein besonderes öffentliches Interesse, erfolgt eine Verfolgung von Amts wegen.

2. Hat der Täter einen grossen Schaden verursacht, handelt er gewerbsmäßig, als Mitglied einer Bande, beeinträchtigt er die Versorgung der Bevölkerung mit lebenswichtigen Gütern und Dienstleistungen oder bedroht er die Sicherheit der Schweiz, so wird auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. 3. Für die Vorbereitung einer Straftat nach Ziff. 1 gilt Art. 143ter entsprechend.

Aufgrund der unterschiedlichen Rechtsgüter bei der Datenveränderung gemäß Art. 144bis sStGB sollte die Computersabotage – wie bei § 303b dStGB – in einen eigenen Straftatbestand ausgegliedert werden. Anders als bei § 303b dStGB bedarf es bei Art. 144ter sStGB nur einer Regelung bezüglich des Eingebens oder Übermittelns von Daten mit Nachteilszufügungsabsicht und der Einfügung der Qualifikation, weil die übrigen Konstellationen des § 303b dStGB bereits umfangreich in Art. 144bis sStGB erfasst werden. Vergleichbar mit Art. 144bis sStGB wird auch hier die Strafverfolgung von Amts wegen bei Vorliegen eines besonderen öffentlichen Interesses und der Verweis auf die Vorbereitungshandlungen aufgenommen.

G. Unterschiede zwischen den jeweiligen Regelungen – Ein Vergleich anhand ausgewählter Beispiele Unter Berücksichtigung der bisherigen Erkenntnisse sollen im Folgenden anhand ausgewählter Beispiele die Unterschiede bei der Strafverfolgung in der Praxis dargestellt werden. Dabei wird herausgearbeitet, ob die bereits erläuterten Unterschiede auch tatsächlich Auswirkungen auf die Strafverfolgung in den einzelnen Ländern haben. Sinn und Zweck dieses Kapitels sind darüber hinaus, etwaige Strafbarkeitslücken im deutschen Strafrecht herauszuarbeiten, die in den im Anschluss dargestellten Änderungsvorschlägen Einzug finden sollen.

I. Computerspionage durch Auswertung von Hardware Computerspionage liegt vor, wenn sich der Täter unberechtigt Daten verschafft. Dies kann unter anderem durch das Auswerten von Hardware erfolgen, die das Opfer nicht mehr benötigt und beispielsweise weggeworfen hat.1 Kaum möglich ist die Aufdeckung in der Praxis, da der Täter die Daten meist kopiert und sich der Hardware wieder entledigt. Die Computerspionage zählt zu den gefährlichsten Arten der Computerkriminalität, da aufgrund des Umfangs der heutzutage gespeicherten Daten die Höhe der Schäden scheinbar unbegrenzt ist. Aufgrund des erforderlichen Verschaffens von Daten kommt eine Strafbarkeit gemäß § 202a dStGB, § 118a öStGB und Art. 143 sStGB in Betracht. Wenn der Datenberechtigte seine Hardware weggeworfen hat, könnte das Tatbestandsmerkmal „nicht für ihn bestimmt“ gemäß § 202a dStGB entfallen, weil er seine Verfügungsbefugnis über die Daten aufgegeben haben könnte. Die Daten sind für den Täter bestimmt, wenn er ein Verfügungsrecht hat oder haben soll.2 Ein Abstellen auf die Eigentumsverhältnisse 1 Eine solche Auswertung kann nur durch ein vollständiges Löschen aller Daten vor dem Ausrangieren mittels spezieller Shredderprogramme verhindert werden, vgl. Keudell, Auch das letzte Byte vernichten, http://www.chip.de/artikel/O-O-Safe Erase-3-Daten-Shredder_2837415 3.html (Stand: 4. Januar 2011). 2 HK-GS-Tag, § 202a Rn. 6; LK-Hilgendorf, § 202a Rn. 21; NK-Kargl, § 202a Rn. 7; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 6; Schmitz, JA 1995, 478 (481); SK-Hoyer, § 202a Rn. 14; SSW-Bosch, § 202a Rn. 4.

192

G. Unterschiede zwischen den jeweiligen Regelungen

scheidet aus, weil diese auf die Verfügungsbefugnis keinen Einfluss haben. Ansonsten könnte derjenige, der einen Computer least, keine Verfügungsbefugnis an seinen erstellten Daten erlangen. Auch ein Arbeitnehmer könnte firmeninterne Datenbestände nicht bearbeiten.3 Eine Verfügungsbefugnis über die Daten entsteht somit nicht in dem Zeitpunkt, in dem der Täter die tatsächliche Sachherrschaft über die Hardware erlangt. Dieses Ergebnis entspricht auch dem Schutzzweck des § 202a dStGB, da dieser dem Geheimnisschutz des Datenberechtigten dient.4 Der Täter könnte jedoch ein vom Datenberechtigten abgeleitetes Verfügungsrecht konkludent erlangt haben, wenn das Opfer durch das Aufgeben der Sachherrschaft über die Hardware auf das der Ratio des § 202a dStGB entsprechende formelle Verfügungsrecht konkludent verzichtet hat und der Täter sich deshalb dieses Verfügungsrecht verschaffen kann. Für einen derartigen konkludenten Verzicht auf die Verfügungsbefugnis müssten aber objektive Anhaltspunkte vorliegen, was etwa bei einem bloßen Aufgeben des Eigentums nicht der Fall ist. Dies liegt unter anderem daran, dass den meisten Opfern schon nicht bewusst ist, dass ihre Daten nach einem vermeintlichen Löschen noch ausgewertet werden können, sodass sie sich keine Gedanken über eine Aufgabe ihrer Verfügungsbefugnis machen. Der ursprüngliche Datenberechtigte bleibt daher Inhaber der Verfügungsbefugnis. In der Praxis wird die Strafbarkeit nach § 202a dStGB allerdings häufig an dem Erfordernis des Überwindens der besonderen Sicherung scheitern, weil ausrangierte Festplatten häufig nicht separat verschlüsselt sind, sondern lediglich an einen Computer angeschlossen werden müssen, um auslesbar zu sein. Bei § 118a öStGB scheidet eine Strafbarkeit bei Auswertung von externen Datenträgern, wie Festplatten, USB-Sticks, CDs und DVDs, wegen widerrechtlichen Zugriffs auf ein Computersystem gemäß § 118a öStGB dagegen immer aus. § 118a öStGB schützt nur den Zugang zu einem Computersystem. Ein solches liegt im Sinne des § 74 Ziff. 8 öStGB nur bei einzelnen oder verbundenen Vorrichtungen, die der automationsunterstützten Datenverarbeitung dienen, vor. Die ausrangierte Festplatte dient aber nicht der Datenverarbeitung, da sie eine solche aufgrund ihres Charakters als reines Speichermedium nicht selbstständig durchführen kann.5 Anders ist dies nur dann, wenn das gesamte Computersystem ausrangiert wird. Darüber hi3

Beer, S. 145. Vgl. die Ausführungen unter Kapitel E. I. 3. a). 5 § 126a öStGB liegt ebenfalls nicht vor, da es aufgrund des bloßen Kopierens an der erforderlichen Tathandlung und am wirtschaftlichen Schaden fehlt. Geschützt ist nur der unmittelbare Schaden an den Daten und nicht der mittelbare aufgrund der Verwertung, vgl. Reindl, Computerstrafrecht im Überblick, S. 22. An den Daten selbst kann kein Schaden entstehen, da diese mangels Interesses des Berechtigten bereits wertlos sind, vgl. Reindl, Computerstrafrecht im Überblick, S. 21. 4

I. Computerspionage durch Auswertung von Hardware

193

naus fehlt es auch am Tatbestandsmerkmal „Überwindung spezifischer Sicherungen im Computersystem“. Aufgrund des Wortlauts „im Computersystem“ wird klargestellt, dass die Festplatte selbst bei eigener Verschlüsselung nicht im Sinne des § 118a öStGB gesichert ist, weil sie kein Computersystem ist und daher auch keine tatbestandliche Sicherung überwunden werden kann. Hieraus ergeben sich Unterschiede im Vergleich zu § 202a dStGB, da dieser Sicherungsmaßnahmen betreffend die Festplatte oder sonstige Hardware bereits ausreichen lässt.6 In der Schweiz kommt eine Strafbarkeit gemäß Art. 143 sStGB7 in Betracht, wenn die Daten nicht für den Täter bestimmt sind. Problematisch ist jedoch, dass Art. 143 sStGB untechnisch den Datendiebstahl erfassen soll. Durch das Tatbestandsmerkmal „nicht für ihn bestimmt“ könnte eine Parallele zur Fremdheit beim Diebstahl gezogen werden8, sodass in den Fällen, in denen sich der Täter die Hardware aneignen kann, Art. 143 sStGB ausgeschlossen sein könnte. Allerdings kommt es unabhängig von den Eigentumsverhältnissen nach h. M.9 im Rahmen des Art. 143 sStGB – wie bei § 202a dStGB – nur auf die Verfügungsbefugnis über die Daten an. Dies ist auch mit dem von Art. 143 sStGB geschützten Rechtsgut Vermögen vereinbar, weil der in den Daten verkörperte Wert trotz Wegwerfens des Datenträgers fortbesteht und schutzwürdig und -bedürftig ist. Zwar kann die Verfügungsbefugnis grundsätzlich mit der Übertragung des Eigentums verbunden werden.10 Jedoch liegt weder eine ausdrückliche noch eine konkludente Übertragung der Verfügungsbefugnis vor, wenn das Opfer die Hardware ausrangiert. Es fehlt am bewussten und gewollten Einräumen der Verfügungsbefugnis über die Daten an denjenigen, der den Datenträger findet.11 Somit besteht die Verfügungsbefugnis des Opfers – vergleichbar mit § 202a dStGB – fort. Allerdings wird auch im sStGB eine Strafbarkeit häufig an der besonderen Sicherung der Daten scheitern. Im Gegensatz zum öStGB reicht jedoch eine Sicherung der Daten aus. Auf eine Sicherung des Systems kommt es hingegen nicht an. Somit ist eine besondere Sicherung auch bei ausrangierten Festplatten möglich. Ferner muss in subjektiver Hinsicht Bereicherungsabsicht vorliegen. Bei der Bereicherungsabsicht reicht bereits eine mittelbare Bereicherung aus. Beispielhaft sei hier der Gebrauch 6 So auch LK-Hilgendorf, § 202a Rn. 34, und NK-Kargl, § 202a Rn. 10, wonach bereits das rein mechanische Wegsperren bzw. Verschließen als besondere Sicherung tatbestandlich ist. 7 Art. 143bis sStGB scheidet hingegen aus, da die Festplatte als reiner Datenspeicher mangels selbstständiger Arbeitsprozesse kein Datenverarbeitungssystem ist. 8 Trechsel-Crameri, Art. 143 Rn. 5. 9 Stratenwerth/Jenny, § 14 Rn. 27. 10 Stratenwerth/Jenny, § 14 Rn. 27. 11 Trechsel-Crameri, Art. 143 Rn. 5.

194

G. Unterschiede zwischen den jeweiligen Regelungen

im wirtschaftlichen Wettbewerb oder das Einsparen von Entwicklungskosten genannt.12 Insbesondere im Hinblick auf die Wirtschaftsspionage ist festzuhalten, dass auch der mögliche Einsatz der Daten zur Verschaffung eines Wettbewerbsvorteils ausreicht.13 Als Ergebnis des Rechtsvergleichs lässt sich festhalten, dass im Gegensatz zu § 202a dStGB, bei dem bereits der Zugang zu den Daten genügt, Art. 143 sStGB ein Verschaffen von Daten erfordert. Unabhängig davon können sich in beiden Normen Strafbarkeitslücken aufgrund der erforderlichen besonderen Sicherung ergeben. Aufgrund des Erfordernisses der Bereicherungsabsicht bei Art. 143 sStGB drohen weitere Strafbarkeitslücken. Diese sind jedoch gering, da der Hauptanwendungsbereich der Computerspionage im Bereich der Wirtschaftsspionage liegt und dabei die Bereicherungsabsicht regelmäßig bejaht werden kann. Nicht überzeugend ist hingegen § 118a öStGB, der aufgrund der objektiven Tatbestandsmerkmale „Zugriff auf ein Computersystem“ und „Überwindung einer spezifischen Sicherheitsvorkehrung im Computersystem“, die Computerspionage durch Auswertung von Hardware und somit Handlungen mit einem immensen Schädigungspotenzial nicht erfasst.14

II. Hacking Das Hacking15 blickt auf eine lange Entwicklungsgeschichte zurück. Ursprünglich versuchten Hacker16 ausschließlich, die technischen Schutzmechanismen von Computersystemen zu überwinden, um danach die gefundene Schwachstelle dem Betreiber der Datenverarbeitungsanlage zu melden. In den Anfangszeiten des Internets handelte es sich bei den Hackern um Elektronikbastler und Computerfreaks.17 Besonders beliebt war unter Hackern das Phreaking.18 Dabei wurde versucht, mittels Manipulationen kostenfrei zu telefonieren.19 Früher galt unter den Hackern das Prinzip, dass 12

N. Schmid, § 4 Rn. 70. N. Schmid, § 4 Rn. 70. 14 Vgl. die Ausführungen zu § 118a öStGB unter Kapitel E. I. 3. b). 15 Zum Begriff des Hackings vgl. Schnabl, wistra 2004, 211 (212). 16 Während Cracker, bei denen ein Einbruch in fremde Computersysteme mit Schädigungsabsicht im Vordergrund steht, als destruktive Täter gelten, die nur auf ihren eigenen Vorteil bedacht sind, galten Hacker bisher als konstruktiv, vgl. Hoppe/ Prieß, S. 32; a. A. Krutisch, S. 59, wonanach es sich in vorliegender Fallkonstellation um sog. „Crasher“ handelt. Cracker sind nach ihrer Ansicht jene, die sich ausschließlich damit beschäftigen, bestehende Kopierschutzmechanismen oder sonstige Zugriffsmechanismen zu umgehen. 17 Ernst, NJW 2003, 3233; Schnabl, wistra 2004, 211 (212). 18 Der Begriff setzt sich aus phone und freaking zusammen. 13

II. Hacking

195

bei einem erfolgreichen Hack keinerlei Schaden angerichtet werden dürfe. Diesen Ehrenkodex gibt es heutzutage nicht mehr. Vielmehr handelt es sich mittlerweile bei Hackern meist um sog. „Cyberpunks“ die aus verschiedensten Motiven, sei es aus Rach- oder Ruhmsucht, agieren20 oder professionelle Banden, deren persönliche Bereicherung ausschlaggebendes Motiv ist. 1. Formen des Hackings Um Angriffsmöglichkeiten zu finden, kann sich der Hacker verschiedener Möglichkeiten – wie etwa der Ping- und Port-Scans21 – bedienen. Die PingScans22 werden eingesetzt, um herauszufinden, ob eine bestimmte IPAdresse gerade online und somit angreifbar ist. Hier sind die Erfolgsaussichten sehr hoch, da insbesondere durch den vermehrten Einsatz von Routern23 und Internetflatrates die meisten IP-Adressen rund um die Uhr online sind. Zwar lässt sich das Auffinden durch den Ping-Scan vermeiden, indem man den Router so programmiert, dass er auf Ping-Anfragen nicht reagiert. Allerdings sind die Router werksseitig nicht in dieser Art und Weise programmiert. Es bedarf also eines computerspezifischen Wissens zur Veränderung der Routereinstellungen. Nach Festlegung einer bestimmten IP-Adresse erfolgt ein Port-Scan.24 Dabei wird mittels Port-Scannern25 getestet, welche Ports geöffnet sind, welche Dienste und Anwendungen gerade laufen und welche Möglichkeiten zum Eindringen sich hieraus ergeben.26 Im Rahmen des Port-Scannings ist es möglich, ganze Netzwerk- und Infrastruktur-Straßenkarten zu erstellen, sog. „Portmapping“.27 19 Im Rahmen des kostenfreien Telefonierens sei auf den wohl berühmtesten Hacker Captain Crunch hinzuweisen. Dieser fand heraus, dass eine kleine Pfeife, die der Verpackung von Frühstückscerealien namens Cap’n Crunch beigelegt war, exakt den 2600 Hertz-Ton der Telefongesellschaft AT&T nachmachte, den diese bei Ferngesprächen anwandte. Hierdurch war es Captain Crunch durch Manipulation der Steuerdaten, sog. Inband-Signalisierung, möglich, durch Auslösung der Verbindung völlig kostenfrei Ferngespräche zu führen, Ernst, NJW 2003, 3233. 20 Ernst, NJW 2003, 3233. 21 P. Schmid, S. 176. 22 Ernst, NJW 2003, 3233 (3234). 23 Rinker, MMR 2002, 663. 24 Hilgendorf, S. 62. 25 Diese Programme stehen überall im Internet zum freien und meist kostenlosen Download zur Verfügung. 26 Borges, Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (. . . StrÄndG) für die öffentliche Anhörung am 21. März 2007, S. 7, http://www. bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Computerkriminali taet/04_Stellungnahmen/Stellungnahme_Borges.pdf (Stand: 10. Februar 2010); Marberth-Kubicki, DRiZ 2007, 212 (213).

196

G. Unterschiede zwischen den jeweiligen Regelungen

Eine weitere Möglichkeit, potenziell angreifbare Computersysteme zu finden, ist das Tool „Traceroute“. Dieses ist als Diagnosewerkzeug konzipiert, um zu ermitteln, über welche IP-Router die geschickten Datenpakete zur Zieladresse, dem Zielhost, geschickt werden. Es handelt sich um eine Art virtuellen Postnachforschungsauftrag.28 Hauptziel von Traceroute ist es, herauszufinden, an welchen Punkten die Onlineverbindung verlangsamt wird, um etwaige Flaschenhälse beseitigen zu können. Allerdings können hierdurch Angriffsmöglichkeiten aufgezeigt werden, weil die weiterleitenden Adressen gezwungenermaßen online sein müssen. 2. Beispiele a) NASA – Hack Durch die Verwendung eines Sicherheitsloches gelang es deutschen Hackern bereits im Jahre 1986, in die Eingangsprozedur des DEC/VAX-Betriebssystem VMS ein trojanisches Pferd zu installieren. Dabei nutzten die Hacker eine Schwachstelle bei VMS aus, über die sie auf Systemprivilegien zugreifen konnten.29 Durch den Systemaufruf SETUAI erlangten unberechtigte Nutzer vollen Zugriff auf die geschützte Datei SYSUAF.DAT, welche für die Verwaltung von Nutzerkennungen und Passwörtern zuständig war.30 Hierdurch erhielten die Hacker Zugang zu ca. 135 Computern des weltweiten Weltraumphysik-Forschungsnetzes SPANET31 und zu den hieran angeschlossenen Rechnern.32 b) KGB – Hack Der KGB-Hack erfolgte Anfang des Jahres 1987 und lag somit zeitlich unwesentlich hinter dem NASA-Hack.33 Hierbei nutzte der Täter neben dem Einsatz von Trojanern verschiedene Passwortratetechniken und diverse Systemlücken, um in militärische Einrichtungen einzudringen.34 Betroffen 27

Ernst, NJW 2003, 3233 (3234). Ernst, NJW 2003, 3233 (3234). 29 Wabnitz/Janovsky, Kap. 12 Rn. 45. 30 Gravenreuth, NStZ 1989, 201 (202). 31 Abkürzung für Space Physics Analysis Network, vgl. Brunnstein, CR 1993, 456 (459). 32 Brunnstein, CR 1993, 456 (459). 33 Diese Geschichte wurde unter dem Namen „23 – Nichts ist so wie es scheint“ sogar verfilmt, vgl. Lossie, Die Hacker aus Hannover, http://www.sueddeutsche.de/ computer/309/323176/text/ (Stand: 4. Januar 2011). 34 Brunnstein, CR 1993, 456 (459). 28

II. Hacking

197

war wiederum das DEC/VAX-Betriebssystem VMS. Die so erlangten streng geheimen Daten verkaufte der Täter an den KGB. Interessant ist die diesbezügliche Entscheidung des OLG Celle vom 15. Februar 1990, die den jugendlichen Täter nicht etwa wegen Ausspähens von Daten, sondern wegen geheimdienstlicher Tätigkeiten verurteilte.35 3. Strafbarkeit des Hackings a) Ping-, Port-Scans und Traceroute Weder die Ping36- und Port-Scans37 noch der Einsatz von Traceroute38 begründen eine Strafbarkeit, da das Suchen von Schwachstellen noch keinen Zugang zu Daten darstellt. Es fehlen noch weitere Zwischenschritte, weil sich der Täter in diesem Zeitpunkt noch außerhalb des Systems befindet.39 Daher ist auch das Beschaffen von solcher Software, wie Port-Scannern, nicht strafbar, weil der spätere Einsatz nicht unter § 202a dStGB subsumiert werden kann und daher keine Straftat vorbereitet wird.40 b) Trojanische Pferde aa) Funktionsweise Bei den trojanischen Pferden, deren Bezeichnung der griechischen Mythologie entstammt, handelt es sich vorrangig um Programme, die derart gestaltet sind, dass alle Eingaben, wie Passwörter, Kreditkartennummern etc., gespeichert und an den Manipulierenden versandt werden, sog. „SoftwareKeylogger“.41 Um Speicherplatz zu sparen, können Trojaner auf bestimmte Schlüsselwörter reagieren, sodass sie nicht alle Eingaben protokollieren und versenden.42 Besonders beliebt bei Computerkriminellen ist der Einsatz der trojanischen Pferde im Bereich des Onlinebanking.43 Trojanische Pferde 35

Wabnitz/Janovsky, Kap. 12 Rn. 45. Hoppe/Prieß, S. 39. 37 Vgl. ausführlich, Rinker, MMR 2002, 663 (664 f.). 38 Ernst, E. Kap. 2 Rn. 250; Reindl, Computerstrafrecht im Überblick, S. 15. 39 Wabnitz/Janovsky, Kap. 12 Rn. 51; a. A. zur Strafbarkeit des Port-Scannings, vgl. Marberth-Kubicki, DRiZ 2007, 212 (214 f.). 40 Beim Auskundschaften zur Begehung von Datenveränderung und -sabotage kommt auch keine Versuchsstrafbarkeit in Betracht, weil es am unmittelbaren Ansetzen fehlt, vgl. Ernst, Strafbarkeit von Hacking und Computerviren, http://www.rrzn. uni-hannover.de/hacking_viren-strafe.html (Stand: 4. Januar 2011). 41 Gercke/Brunst, Rn. 50; Jessen, S. 196 ff. 42 Goeckenjan, wistra 2009, 47 (48). 36

198

G. Unterschiede zwischen den jeweiligen Regelungen

werden sowohl mittels Email, oft durch Spammails, versandt als auch über das bloße Surfen im World Wide Web, sog. „Drive-by-Download“44, als auch mittels Downloads beispielsweise im Rahmen von illegalen Tauschbörsen auf dem Computer installiert. bb) Strafbarkeit (1) Deutschland Im dStGB kommt sowohl eine Strafbarkeit gemäß § 202a dStGB als auch § 202b dStGB in Betracht.45 Teilweise wird vertreten, dass das Tatbestandsmerkmal „Zugang zu Daten“ bereits im Zeitpunkt der Infizierung des Systems mit einem Trojaner erfüllt ist.46 Für diese Ansicht spricht zwar, dass § 202a dStGB den Berechtigten generell vor unbefugtem Zugang zu seinen Daten schützen soll. Dagegen könnte aber vorgebracht werden, dass der Täter keinen unmittelbaren Zugang hat, weil er nicht auf die auf dem Computer gespeicherten Daten nach Belieben zugreifen kann, sondern der Trojaner die Daten nur entsprechend der vorgegebenen Programmroutine verschickt. Allerdings ist im Rahmen des Zugangs bereits der mittelbare Zugang aufgrund des Versands über den Trojaner ausreichend. Dies kann auf die Ausführungen in der Gesetzesbegründung gestützt werden, da der Zugang zu Daten insgesamt unter die Neufassung des § 202a dStGB subsumiert werden sollte.47 Grund für die Neufassung und das damit zusammenhängende Erfassen des Hackings war die generelle Schädlichkeit und Gefährlichkeit solcher Hacking-Angriffe. Würde man den Anwendungsbereich des § 202a dStGB hingegen auf den unmittelbaren Zugang begrenzen, würde die generelle Gefährlichkeit und Schädlichkeit durch den Einsatz von Trojanern strafrechtlich nicht erfasst. Daher liegt beim Installieren von Trojanern bereits ein Zugang zu Daten vor. Eine Strafbarkeit gemäß § 202a dStGB scheidet aufgrund des Tatbestandsmerkmals „besondere 43 Zu den Gefahren und Sicherungsmöglichkeiten des Online-Bankings, vgl. Borchert, Trojanersichere Online Accounts, http://www2-fs.informatik.uni-tuebin gen.de/~borchert/Troja/ (Stand: 4. Januar 2011). 44 Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 3, http://www.isss.ch/file admin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 45 Das Installieren neuer Programme, bspw. in Form eines Keyloggers, auf freiem Speicherplatz stellt keine Datenveränderung gemäß § 303a Abs. 1 dStGB dar, da nicht auf bereits vorhandene Daten eingewirkt wird. 46 Fischer, § 202a Rn. 11; LK-Hilgendorf, § 202a Rn. 14; Schönke/SchröderLenckner/Eisele, § 202a Rn. 10; SSW-Bosch, § 202a Rn. 7. 47 BT-Drs. 16/3656, S. 9.

II. Hacking

199

Sicherung“ jedoch dann aus, wenn die vom Trojaner übermittelten Daten nicht besonders gesichert sind. Dies ist oft der Fall, wenn sich die Daten hinter einem Zugangsschutz des Systems befinden und nicht nochmals separat gesichert sind. Sollte es an der besonderen Sicherung fehlen, kommt lediglich eine Strafbarkeit gemäß § 202b dStGB in Betracht. Auch beim Abfangen der eingegebenen Daten während der Übertragung an die Zentraleinheit, bei der noch keine Sicherung der Daten vorliegt, ist eine Strafbarkeit gemäß § 202b dStGB48 gegeben, weil die Eingabe der Daten eine Datenübertragung zwischen Tastatur und PC darstellt. Teilweise wird die Erfüllung des Tatbestandsmerkmals „Datenübertragung“ bei einer Übertragung vom Keyboard an den PC jedoch verneint49, weil noch keine Daten vorlägen. Zum einen seien zwischengespeicherte Daten keine gespeicherten Daten im Sinne des § 202a Abs. 2 dStGB und zum anderen keine Daten im Übermittlungsstadium, weil nur die Übermittlung von einer Datensammelstelle zur nächsten erfasst sei. Diese Ansicht ist aber abzulehnen, weil sie den Begriff der Datenübermittlung ohne erkennbare Anhaltspunkte zu restriktiv auslegt. Vielmehr muss eine solche Übertragung erfasst sein, weil schließlich auch die elektromagnetische Abstrahlung des Datenkabels geschützt ist. Wenn aber bereits die ungewollte Abstrahlung des Datenkabels erfasst wird, muss erst recht die gewollte Übertragung an den PC geschützt sein. Daher liegen im Zeitpunkt der Eingabe Informationen in codierter Form vor, die mittels Datenkabel übermittelt werden. Somit ist der Anwendungsbereich des § 202b dStGB eröffnet. (2) Österreich Anders als § 202a dStGB verlangt § 118a öStGB50 das Verschaffen des Zugangs zu einem Computersystem. Gemäß § 74 Ziff. 8 öStGB sind Computersysteme sowohl einzelne als auch verbundene Vorrichtungen, die der automationsunterstützten Datenverarbeitung dienen. Hierzu zählen auch sehr kleine Einheiten, wie die Verbindung von Prozessor, Tastatur und Bildschirm.51 Teilweise wird vertreten, dass beim Installieren von Trojanern kein Zugangverschaffen zum System des Opfers vorliege, weil eine Tathandlung erforderlich sei, die einen unmittelbaren Zugang verschaffe, d.h. 48 Im Rahmen des § 202a dStGB ist das Verschaffen des Zugangs zu Daten unter Überwindung der Zugangssicherung erforderlich. Daten entstehen in dem Zeitpunkt der Eingabe mittels Tastatur, da in diesem Zeitpunkt die Codierung in binärer Form erfolgt. 49 Goeckenjan, wistra 2009, 47 (50). 50 Mangels Datenveränderung scheidet eine Strafbarkeit gemäß § 126a öStGB aus. 51 WK-Reindl-Krauskopf, § 118a Rn. 6.

200

G. Unterschiede zwischen den jeweiligen Regelungen

eine aktuelle und direkte Verbindung herstelle.52 Die hierdurch entstehenden Strafbarkeitslücken seien hinzunehmen, da beim Installieren ohnehin eine Strafbarkeit gemäß §§ 126a und b öStGB in Betracht komme. Nach der Gegenansicht53 erfüllen zugesendete Programme, die nach ihrer Installation Daten kopieren und an den Täter senden, den Tatbestand des Zugangverschaffens, weil das jeweilige Programm nur den verlängerten Arm des Täters darstelle. Letztere Auffassung ist vorzugswürdig, da es im Rahmen des Zugangs zu einem Computersystem keinen Unterschied machen kann, ob der Täter selbst in den Daten stöbert oder von seiner Malware Daten aufzeichnen und sich senden lässt. In beiden Fällen liegt eine vergleichbare kriminelle Energie vor. Des Weiteren schützt § 118a öStGB das alleinige Verfügungsrecht über das System54, das bei beiden Begehungsweisen in vergleichbarer Art und Weise verletzt wird. Letztlich sind für das Erfordernis eines unmittelbaren Zugangs auch keinerlei Anhaltspunkte im Gesetzestext oder der Gesetzesbegründung ersichtlich. Die erste Ansicht führt dazu, dass eine gefährlichere Vorgehensweise gegenüber einer ungefährlicheren privilegiert würde. Das Ausspionieren mittels direkten Zugangs zu einem fremden System hat grundsätzlich weniger gravierende Nebenwirkungen. Das Installieren von Malware kann hingegen über das reine Ausspionieren hinaus viele ungewollte Nebeneffekte haben, die bereits der Programmierer eingebaut hat. Ferner spricht hiergegen auch, dass eine Installation von Trojanern nicht zwingend eine Strafbarkeit gemäß §§ 126a oder b öStGB begründen muss. § 126a öStGB scheidet aus, wenn die Malware auf freiem Speicherplatz installiert wird, weil es dann an einer Datenveränderung fehlt. § 126b öStGB wird meist an der schweren Störung scheitern, weil dem Täter beim Ausspionieren immer daran gelegen ist, möglichst lange unerkannt zu bleiben, weshalb er versuchen wird, nicht durch eine Störung des Computersystems aufzufallen. Sollte es an der erforderlichen Sicherung im Computersystem gemäß § 118a öStGB – unter anderem beim Abfangen von Tastatureingaben – fehlen, kommt bei der Aufzeichnung der Eingabe von Daten – wie etwa Passwörtern – der Tatbestand des missbräuchlichen Abfangens von Daten in Betracht, weil ein Programm eine Vorrichtung im Sinne des § 119a öStGB ist.55 Beim Abfangen der Kommunikation zwischen Tastatur und Computersystem ist das Tatbestandsmerkmal „im Wege eines Computersystems übermittelte Daten“ erfüllt, da die Übertragung eines Computersystems an ein anderes nicht vorausgesetzt wird. Dies resultiert aus einer teleologischen 52 53 54 55

Beer, S. 120. Reindl, Computerstrafrecht im Überblick, S. 14. WK-Reindl-Krauskopf, § 118a Rn. 14. Beer, S. 133.

II. Hacking

201

Auslegung weil § 119a öStGB der Umsetzung des Art. 3 Cybercrime Convention56 dient57, bei dem es ebenfalls nur um die Übermittlung von Computerdaten im Allgemeinen geht.58 Die Strafbarkeit kann gemäß Art. 3 S. 2 Cybercrime Convention zwar auf das Abfangen von Datenübermittlungen zwischen verschiedenen Computern begrenzt werden. Wäre dies aber im Sinne des österreichischen Gesetzgebers gewesen, hätte er hierzu in den Gesetzesmaterialien Stellung genommen bzw. nehmen müssen. Dieses Ergebnis kann auch auf eine grammatische Auslegung gestützt werden, weil Computersysteme gemäß § 74 Ziff. 8 öStGB sowohl einzelne als auch verbundene Vorrichtungen sind. Daher erfolgt eine Übertragung eines Teils des Computersystems an einen anderen im Wege eines Computersystems. Allerdings ergeben sich sowohl bei § 118a öStGB als auch bei § 119a öStGB Defizite in der Strafbarkeit, weil bei beiden Normen die dreifache überschießende Innentendenz59 statuiert wurde. Der Täter, der Trojaner in fremden Systemen installiert und benutzt ist immer dann straflos, wenn er ohne Bereicherungsabsicht handelt. (3) Schweiz Im schweizerischen Strafrecht könnte die Installation des Trojaners auf dem fremden Datenverarbeitungssystem ein Eindringen gemäß Art. 143bis sStGB60 darstellen. Es wird zwar vertreten, dass bei der Installation eines Trojaners noch nicht von einem Eindringen ausgegangen werden könne, weil ansonsten der Anwendungsbereich des Art. 143bis sStGB überdehnt 56

Wortlaut des Art. 3 Cybercrime Convention: Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um das mit technischen Hilfsmitteln bewirkte unbefugte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, aus einem Computersystem oder innerhalb eines Computersystems einschließlich elektromagnetischer Abstrahlungen aus einem Computersystem, das Träger solcher Computerdaten ist, wenn vorsätzlich begangen, nach ihrem innerstaatlichen Recht als Straftat zu umschreiben. Eine Vertragspartei kann als Voraussetzung vorsehen, dass die Straftat in unredlicher Absicht oder in Zusammenhang mit einem Computersystem, das mit einem anderen Computersystem verbunden ist, begangen worden sein muss. 57 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 27, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 58 Vgl. Council of Europe, Explanatory Report zur Cybercrime Convention, Nr. 53, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm (Stand: 4. Januar 2011). 59 Vgl. die Ausführungen zur Spionage-, Verwendungs- und Bereicherungs- bzw. Schädigungsabsicht unter Kapitel E. I. 3. c). 60 Mangels Datenveränderung liegt hier ebenfalls keine Strafbarkeit gemäß Art. 144bis sStGB vor.

202

G. Unterschiede zwischen den jeweiligen Regelungen

und folglich gegen das Analogieverbot verstoßen würde.61 Dem wird jedoch entgegengehalten, dass ein Eindringen bei der Installation derartiger Spionagesoftware immer vorliege, wenn dadurch die Sicherungen eines fremden Computers erforscht, ausgehebelt oder umgangen werden und sich der Täter dadurch einen Zugang zum System verschafft.62 Letztere Auffassung ist vorzugswürdig, weil sich der Täter nach der Installation de facto im System befindet. Das Eindringen meint nicht eine Art physisches Hineingehen vergleichbar mit dem Eindringen in reale Räume, sondern hat abstrakte Bedeutung und meint den Zugriff auf Computersysteme.63 Aufgrund der Programmroutine ist im Zeitpunkt der Installation des Trojaners bereits festgelegt, welche Daten der Täter künftig erhalten wird. Der Trojaner stellt nur den verlängerten Arm des Täters dar. Zu beachten ist jedoch, dass der Täter ohne Bereicherungsabsicht handeln muss. Wenn die Strafbarkeit nach Art. 143bis sStGB mangels Bereicherungsabsicht scheitert, kommt eine Strafbarkeit des Abfangens von Daten wegen unbefugten Datenverschaffens gemäß Art. 143 sStGB in Betracht. Im sStGB ergeben sich aber erhebliche Strafbarkeitslücken daraus, dass das Ausspähen ungesicherter Daten und Datenübermittlungen weder von Art. 143 sStGB noch von Art. 143bis sStGB erfasst wird, weil beide Normen eine besondere Sicherung erfordern. (4) Zusammenfassendes Ergebnis Anhand des Vergleichs der unterschiedlichen Normen ergibt sich, dass § 202a dStGB und alternativ § 202b dStGB vorzugswürdig sind. Fälle, die mangels besonderer Sicherung nicht von § 202a dStGB erfasst werden, werden konsequent von § 202b dStGB aufgefangen. Das schweizerische Strafrecht offenbart hingegen erhebliche Lücken, weil ungesicherte Daten überhaupt nicht geschützt werden. Nachteile des öStGB und des sStGB ergeben sich auch aus dem Anknüpfungspunkt Bereicherungsabsicht. Eine derartige Abhängigkeit der Strafbarkeit von Motivationen wird der Gefährdung durch den Einsatz von trojanischen Pferden nicht gerecht.

61 62 63

Pfister, S. 119. BK-Weissenberger, Art. 143bis Rn. 15. Pfister, S. 118.

II. Hacking

203

c) Backdoors aa) Funktionsweise Besonders beliebt bei Hackern ist der Zugang über Systemlöcher. Hierbei werden absichtlich oder unabsichtlich, legal oder illegal programmierte Hintertüren in einer Software verwendet.64 Oft werden solche Lücken bereits vom Hersteller eingebaut, um im Rahmen eines Updates Zugriff auf das Programm zu haben. Durch einen Einstieg in ein fremdes System über Backdoors wird es dem Täter ermöglicht, den fremden Computer nach seinem Belieben zu steuern. Er kann sowohl sämtliche Daten als auch diverse Funktionen des Zielcomputers ausspähen.65 Daten können unbeschränkt verändert, neu erstellt oder gelöscht werden. Der betroffene Computer kann vom Täter sogar hoch- und heruntergefahren werden. Der Vorteil für Hacker bei einem Angriff über Systemlöcher besteht darin, dass keinerlei Fremdprogramme installiert werden müssen, die möglicherweise von einer Antivirensoftware erkannt und unschädlich gemacht werden. Neben dem Nutzen solcher Backdoors kann der Täter auch mittels von ihm installierter Malware, wie Trojanern, Backdoors erst öffnen. Vorteile ergeben sich daraus, dass selbst nach einer Entdeckung der Malware die Backdoors unerkannt geöffnet bleiben. Von heutiger Antivirensoftware wird zwar eine Vielzahl von Backdoors erkannt und geschlossen;66 es herrscht jedoch auf diesem Gebiet ein reger Wettlauf zwischen den Herstellern der Antivirensoftware und den Cyberkriminellen. bb) Strafbarkeit des Nutzens von Backdoors (1) Deutschland In Deutschland kommt eine Strafbarkeit gemäß § 202a dStGB in Betracht. Das Nutzen der Backdoors könnte ein Überwinden der Zugangssicherung gemäß § 202a dStGB darstellen. Erforderlich ist jedoch, dass auch das Umgehen von Zugangssicherungen erfasst wird. Bei § 202a dStGB soll durch das Tatbestandsmerkmal „Überwinden“ das weite Tatbestandsmerkmal „Zugang zu Daten“ wieder eingeschränkt werden, sodass Bagatelldelikte ausgeschlossen werden. Erst durch das Überwinden der Zugangssicherung manifestiert sich die kriminelle Energie des Täters.67 Es 64

Malek, Kap. III Rn. 160. Ernst, NJW 2003, 3233 (3234). 66 Ziemann, Trojanische Pferde, http://hoax-info.tubit.tu-berlin.de/virus/avtrojan. shtml (Stand: 4. Januar 2011). 67 BT-Drs. 16/3656, S. 10. 65

204

G. Unterschiede zwischen den jeweiligen Regelungen

wird vertreten, dass ein Überwinden vorliege, wenn der Täter mittels geeigneter Maßnahmen die Sicherungen ausschaltet.68 Dies könnte gegen die Strafbarkeit des Umgehens sprechen, wenn sich die Tathandlung direkt gegen die Sicherung richten müsste. Bei einem Umgehen bleibt die Sicherung unberührt, weil der Täter lediglich einen unkonventionellen Weg wählt, der es ihm erlaubt, ohne Beachtung der Sicherung die Daten einzusehen. Dieses Umgehen wird von § 202a dStGB erfasst, weil das Tatbestandsmerkmal „Überwinden“ entsprechend einer grammatischen und teleologischen Auslegung bei den in der Praxis sehr häufigen Fällen – wie der künstlichen Systemüberlastung, dem Session Hijacking, oder eben dem Nutzen von Backdoors – dahin gehend auszulegen ist, dass auch das Umgehen erfasst ist.69 Aus der Gesetzesbegründung70 wird ersichtlich, dass der Gesetzgeber gesicherte Computersysteme umfassend vor unbefugtem Zugang schützen wollte. (2) Österreich Bei der Schaffung des § 118a öStGB herrschte Streit darüber, ob als Tathandlung das Verletzen oder Überwinden von Sicherungsmaßnahmen statuiert werden sollte.71 Letztlich wurde im Rahmen des Strafrechtsänderungsgesetzes 2002 das Tatbestandsmerkmal „Verletzen“ eingefügt. Gründe hierfür waren unter anderem die größere Übereinstimmung mit dem Wortlaut der Cybercrime Convention („infringing“72) und der gewollte Ausschluss der Strafbarkeit des unbefugten Verwendens eines fremden Passwortes.73 Im Rahmen des Strafrechtsänderungsgesetzes 2008 wurde das Tatbestandsmerkmal „Verletzen“ jedoch durch das Tatbestandsmerkmal „Überwinden“ ersetzt. Hierdurch wurde die Tathandlung erweitert, weil ein Überwinden nicht zwingend ein Verletzen voraussetzt, sondern auch ein Umgehen erfasst, bei dem die Sicherung unberührt bleibt. 68

Fischer, § 202a Rn. 11b. Ernst, NJW 2007, 2661; Fischer, § 202a Rn. 11; NK-Kargl, § 202a Rn. 14a; SSW-Bosch, § 202a Rn. 7; a. A. LK-Hilgendorf, § 202a Rn. 18. 70 Eine Schutzvorkehrung ist nur dann eine Zugangssicherung im Sinne des § 202a dStGB, wenn sie jeden Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte, vgl. BT-Drs. 16/3656, S. 10. 71 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 24, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 72 Collin/Janssen/Kornmüller/Livesey, infringe bedeutet verletzen, S. 621. 73 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 24, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 69

II. Hacking

205

Nach einer teilweise vertretenen Auffassung74 ist das Ausnutzen von Backdoors aber nicht tatbestandlich, weil der Täter – bildlich gesehen – durch eine offene Türe spaziert. Eine Strafbarkeit sei daher erst dann gegeben, wenn die Backdoor genutzt wird, um Sicherungsmaßnahmen umzukonfigurieren.75 Diese Ansicht ist jedoch abzulehnen, weil für den Computerlaien oft nicht erkennbar ist, dass eine geöffnete Backdoor die Sicherheit seines Systems bedroht. Folgt man dieser Ansicht, so würden fremd programmierte Backdoors zu einer Verkürzung des Opferschutzes führen. Das Nutzen von Backdoors fällt daher unter den objektiven Tatbestand. Problematisch ist beim Nutzen der Backdoors aber die in § 118a öStGB statuierte überschießende Innentendenz. Zwar kann beim Nutzen von Backdoors die Absicht, Kenntnis von den Daten zu erlangen, noch bejaht werden. Allerdings findet § 118a öStGB keine Anwendung, wenn der Täter nicht die Absicht hat, die Daten zu nutzen oder mit Bereicherungs- und/ oder Schädigungsabsicht handelt. Somit ist derjenige nicht strafbar, der aus reiner Neugierde in fremde Computersysteme eindringt. (3) Schweiz In der Schweiz kommt eine Strafbarkeit gemäß Art. 143bis sStGB in Betracht. Bei der Ausnutzung von Backdoors handelt es sich um den klassischen Fall des unbefugten Eindringens, da ein solches ausschließlich auf dem Wege von Datenübertragungseinrichtungen möglich ist. Das Tatbestandsmerkmal „Eindringen“ ist erfüllt, wenn der Täter Zugangsschranken ausschaltet oder überwindet, Sicherheitslücken ausnutzt oder Computerprogramme etc. versendet, die etwaige Sicherungsmechanismen des fremden PCs ausspionieren oder umgehen sollen.76 Es kommt daher ausschließlich auf ein Eindringen im unkonventionellen Sinne an. Da bei Art. 143bis sStGB das unbefugte Eindringen in ein besonders gesichertes Datenverarbeitungssystem und nicht die Überwindung oder Umgehung der Sicherung Tatbestandsmerkmal ist, stellt sich die Frage der Abgrenzung nicht. Eine Strafbarkeit kommt beim Nutzen von Backdoors gemäß Art. 143bis sStGB aber nur dann in Betracht, soweit der Täter ohne Bereicherungsabsicht77 handelt. Bei Vorliegen der Bereicherungsabsicht kommt hingegen 74

WK-Reindl-Krauskopf, § 118a Rn. 29. WK-Reindl-Krauskopf, § 118a Rn. 29. 76 BK-Weissenberger, Art. 143bis Rn. 15. 77 Beim Vorliegen von Bereicherungsabsicht kommt Art. 143 sStGB in Betracht, weil bereits die Möglichkeit der Einflussnahme auf die Daten zur Tatbestandserfüllung ausreicht. Dabei kann ein Datenverschaffen sowohl beim Überwinden als auch beim Umgehen der Sicherung vorliegen, vgl. BK-Weissenberger, Art. 143 Rn. 22. 75

206

G. Unterschiede zwischen den jeweiligen Regelungen

Art. 143 sStGB in Betracht, weil bereits die Möglichkeit der Einflussnahme auf die Daten zur Tatbestandserfüllung ausreicht. Dabei kann ein Datenverschaffen sowohl beim Überwinden als auch beim Umgehen der Sicherung vorliegen.78 Dafür spricht, dass der Tatbestand nur das Beschaffen besonders gesicherter Daten, nicht aber das Überwinden nennt. In Art. 143 sStGB wird durch die Einschränkung der besonderen Sicherung klargestellt, dass nur die Daten geschützt werden sollen, die vor dem Zugriff Unbefugter geschützt werden sollen.79 (4) Zusammenfassendes Ergebnis Im Ergebnis liegt ein Überwinden im öStGB und dStGB vor, wenn der Täter in irgendeiner Art und Weise vom vorgeschriebenen Zulassungsverfahren abweicht, indem er die Sicherungsmaßnahmen umgeht. Dennoch wäre es ein Leichtes gewesen, im dStGB und öStGB den Wortlaut eindeutiger zu formulieren, weil lediglich neben dem Überwinden auch das Umgehen genannt werden hätte müssen. Hierdurch wäre klargestellt worden, dass sich die Tathandlung nicht zwingend direkt gegen die Sicherung richten müsse. Strafbarkeitslücken ergeben sich im öStGB und sStGB aufgrund der Bereicherungsabsicht. Derartige subjektive Merkmale sollten aber nicht den Ausschlag für die Strafbarkeit geben. Bei diesen subjektiven Tatbestandsmerkmalen stellen sich vor allem in der Praxis erhebliche Probleme im Rahmen der Beweisführung. cc) Strafbarkeit des Öffnens von Backdoors Neben dem bloßen Nutzen von Backdoors kommt auch eine Strafbarkeit in Betracht, wenn der Täter die Backdoors erst selbst öffnet. Das Öffnen von Backdoors erfüllt sowohl den Tatbestand des § 303a dStGB als auch denjenigen des Art. 144bis sStGB, weil bereits vorhandene Daten abgeändert werden. Eine Strafbarkeit gemäß § 126a öStGB scheidet hingegen zumeist mangels Vermögensschadens aus. Der Vermögensschaden wird aus der Differenz des Vermögens vor und nach der Tat berechnet, sog. „Differenzschaden“.80 Dieser besteht in der Summe, die zur Wiederherstellung der Daten aufgewendet werden muss.81 Obwohl das Opfer das System und Für Weissenberger spricht vor allem, dass der Tatbestand nur vom Beschaffen besonders gesicherter Daten spricht. 78 Vgl. BK-Weissenberger, Art. 143 Rn. 22. 79 Vgl. N. Schmid, § 4 Rn. 29. 80 SbgK-Triffterer, § 126a Rn. 82. 81 WK-Bertel, § 126a Rn. 5.

II. Hacking

207

die darauf befindlichen Nutzerdaten weiter uneingeschränkt verwenden kann, muss es die geöffnete Backdoor aus Sicherheitsgründen wieder schließen. Somit kommen die Aufwendungen zur Schließung von Backdoors zwar grundsätzlich als Schadenspositionen in Betracht. Allerdings muss der Vermögensschaden in den allermeisten Fällen verneint werden. Werden Backdoors von der Antivirensoftware erkannt, werden sie bereits von dieser geschlossen. In allen anderen Fällen kann meist ohne besonderen Aufwand der maßgebliche Port manuell über die Firewall geschlossen werden. Hierfür gibt es im Internet die entsprechenden Anleitungen, sodass dies auch für Computerlaien möglich ist. Somit liegen keine, einen Vermögensschaden begründenden Wiederherstellungskosten vor. Während in Deutschland und der Schweiz das Öffnen von Backdoors als Datenveränderung strafbar ist, ist im öStGB eine Strafbarkeit wegen Datenveränderung meist ausgeschlossen. Die österreichische Version überzeugt nicht, weil eine Strafbarkeit nur dann in Betracht kommt, wenn dem Opfer tatsächlich Wiederherstellungsaufwand entstanden ist. d) Masquerading und IP-Spoofing Bei dieser Vorgehensweise wird im Rahmen des Datenverkehrs eine fremde („Masquerading“) oder alternativ eine verfälschte („IP-Spoofing“82) IP-Adresse verwendet. Dadurch ist es dem Täter möglich, seine Spuren zu verwischen, da eine Identifizierung im Internet nur mittels IP-Adresse möglich ist. Die IP-Adresse ist sozusagen der Personalausweis des Computers.83 Bei beiden Alternativen kommt in Deutschland eine Strafbarkeit gemäß § 303a dStGB84 durch Verändern der tatsächlichen IP-Adresse in Betracht, wenn das Verändern der IP-Adresse unter die Datenveränderung subsumiert werden könnte. Bei der IP-Adresse handelt es sich um Daten im strafrechtlichen Sinne. Der Datenbegriff setzt nur voraus, dass eine durch Zeichen verkörperte Information gegeben ist, die mittels Interpretationsregel wahrnehmbar gemacht werden kann.85 Dies ist bei der IP-Adresse der Fall, da die Zahlenkombination dem jeweiligen Internetuser individuell zugeordnet werden kann und er damit identifizierbar ist. Der Computeruser, der mit seiner IP-Adresse im Internet auftritt, ist diesbezüglich alleiniger Datenberechtigter, weil der Internetprovider hierüber kein Verfügungsrecht be82

Rinker, MMR 2002, 663. Rinker, MMR 2002, 663. 84 Eine Strafbarkeit gemäß § 269 dStGB scheidet aus, vgl. Rinker, MMR 2002, 663 f. 85 Vgl. die Ausführungen unter Kapitel D. II. 3. a). 83

208

G. Unterschiede zwischen den jeweiligen Regelungen

sitzt. Der Internetprovider bezieht die IP-Adresse ursprünglich von einer der regionalen Vergabestellen und gibt sie dann an den jeweiligen User weiter, um diesen im Internetverkehr identifizieren zu können. In diesem Zeitpunkt wird der User alleiniger Verfügungsbefugter über die IP-Adresse.86 Aufgrund der Datenberechtigung des Verändernden scheidet eine Strafbarkeit gemäß § 303a dStGB aus, weil der Computeruser seine eigene IPAdresse verändert und § 303a dStGB das Verändern eigener Daten nicht erfasst.87 Im öStGB scheidet eine Strafbarkeit wegen Datenbeschädigung gemäß § 126a öStGB aus, da es sich aufgrund der erforderlichen Schädigung eines Anderen ebenfalls um fremde Daten handeln muss und sich die Datenveränderung unmittelbar in dem Schaden niederschlagen muss.88 Die Veränderung eigener Daten und die hierdurch verursachte Schädigung Dritter wird daher nicht erfasst. Auch in der Schweiz ist im Rahmen des Art. 144bis sStGB aufgrund teleologischer Auslegung die Fremdheit der Daten nach h. M.89 im Sinne einer mangelnden Alleinverfügungsbefugnis anzusehen. Die Aufnahme der Fremdheit im Tatbestand unterblieb deshalb, weil es den Daten an der zivilrechtlichen Sacheigenschaft fehlt und es stattdessen auf das hineinzulesende negative Tatbestandsmerkmal „Datenberechtigung“ ankommt.90 Das Masquerading bzw. IP-Spoofing ist nach keiner Rechtsordnung strafbar. Dieses Ergebnis bedarf keiner Korrektur. Einer solchen Korrektur stünde das Recht auf Schutz der Privatsphäre im Internet entgegen. Das Recht auf Anonymität91, das auch das unerkannte Surfen im Internet erfasst, resultiert aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 1 und 2 Grundgesetz. Die Anonymität kann unter anderem durch den Einsatz sog. „Anonymisierungsdienste“92 erreicht werden, bei denen eine Verbindung über einen zentralen Server hergestellt wird, über den dann die weitere Verbindung zum Internet erfolgt. Dabei tritt gegenüber dem Anbietenden nur der Anonymisierungsdienst auf.93 Für den Anbietenden ist nicht erkennbar, 86

Rinker, MMR 2002, 663 (664). HK-GS-Weiler, § 303a Rn. 3; vgl. zum Erfordernis der Fremdheit die Darstellungen unter Kapitel F. III. 5. b) aa). 88 Vgl. die Ausführungen unter Kapitel E. V. 3. b). 89 Rehberg/Schmid/Donatsch, S. 173 f.; N. Schmid, § 6 Rn. 21; Stratenwerth/ Jenny, § 14 Rn. 58; Stratenwerth/Wohlers, Art. 144bis Rn. 1; Trechsel-Crameri, Art. 144bis Rn. 2. 90 N. Schmid, CR 1996, 163 (166, 168). 91 Zur Reichweite des Schutzbereiches des Art. 2 Abs. 1 GG, vgl. Böckenförde, S. 173 ff. 92 Bspw. die Software AN.ON, vgl. Bäumler, DuD 2001, 348 (349); Hilgendorf, S. 3 f. 93 Gercke, S. 177. 87

III. Computersabotage

209

welche IP-Adresse der Anfragende hat. Zwar kann hierdurch delinquentes Verhalten gefördert werden. Allerdings wird bei offiziellen Servern, wie beispielsweise im Rahmen des AN.ON-Projektes, in Fällen des Verdachts deliktischer Aktivitäten, die Tätigkeit der Ermittlungsbehörden unter anderem durch Herausgabe der IP-Adresse und des Netzwerkverkehrs vollumfänglich unterstützt.94 Das Recht auf Schutz der Privatsphäre würde verletzt werden, wenn jeder, der von dieser Möglichkeit Gebrauch macht, mit einer Strafbarkeit wegen Datenveränderung rechnen müsste. Dabei würde verkannt werden, dass Anonymisierungsdienste von Computerusern eingesetzt werden können, um im Internet keine Spuren zu hinterlassen, die von Kriminellen gefunden und verwertet werden können.95

III. Computersabotage 1. DoS-Attacken Zu den Hauptfällen der Computersabotage96 zählen die DoS-Attacken, deren strafrechtliche Beurteilung im Folgenden näher dargestellt werden soll. a) Funktionsweise Bei den DoS-Attacken gibt es neben den einfachen DoS-Attacken auch die sog. „DDoS- und DRDoS-Attacken“.97 Eine einfache DoS-Attacke98 liegt vor, wenn ein Computersystem dadurch erheblich gestört und beeinträchtigt wird, dass die Dienste eines Servers durch eine Vielzahl von Anfragen derart belastet werden, dass die Aufnahme- und Verarbeitungskapazität des Systems nicht mehr ausreicht und somit der Zugang für eine berechtigte Kontaktaufnahme mit dem Server erschwert oder sogar gänzlich 94

Bäumler, DuD 2001, 348 (349). Weichert, DuD 2007, 590 (592). 96 Die Computersabotage erfasst verschiedene Formen, bei denen ein finanzieller Vorteil für den Täter meist nicht vorliegt. Zum einen werden hiervon die physische Zerstörung von Hardware und Daten und zum anderen die Einschränkung der Funktionsweise eines Systems bspw. durch DoS-Attacken oder den Einsatz von Computerviren erfasst. Bei dem neu geschaffenen § 303b Abs. 1 Nr. 3 dStGB handelt es sich nicht um eine Qualifikation zu § 303 dStGB, da die Fremdheit der zerstörten Hardware nicht relevant ist. Auch die Zerstörung eigener Hardware kann deshalb dazu führen, dass eine Datenverarbeitungsanlage, die für einen anderen von wesentlicher Bedeutung ist, gestört wird. 97 Vgl. Faßbender, S. 30 ff. in Bezug auf die verschiedenen Gestaltungsmöglichkeiten von DoS- und DDoS-Attacken. 98 Abkürzung für Denial of Service, vgl. Faßbender, S. 30. 95

210

G. Unterschiede zwischen den jeweiligen Regelungen

blockiert wird.99 Eine solche DoS-Attacke lag beispielsweise im Falle der Onlinedemonstration gegen die Lufthansa vor.100 In diesem Fall wurde im Internet dazu aufgerufen, an einem bestimmten Tag zu einer bestimmten Uhrzeit die Internetseite der Lufthansa zu besuchen. Diese massenhaften Anfragen führten letztlich dazu, dass die Lufthansa-Website vorübergehend gar nicht mehr aufgerufen werden konnte. Hieran änderten auch die von der Lufthansa AG im Vorfeld getroffenen Maßnahmen zur Unterbindung der Onlinedemonstration nichts. Die DDoS-Attacken unterscheiden sich von den DoS-Attacken dadurch, dass ein automatisierter und vor allem koordinierter Angriff von einer Vielzahl von Rechnern ausgeführt wird.101 Eine solche Vielzahl von Rechnern, über die der Täter verfügen kann, generiert er meist über die Bildung sog. „Botnets“.102 Hierbei werden durch den Einsatz von Trojanern länderübergreifend Computer zu sog. „Zombies“ umfunktioniert. Ein Zombie ist ein Computer, dessen Beherrschung vollständig bei einem Unberechtigten liegt, ohne dass der Computeruser seinen Kontrollverlust bemerkt. Folge der Verwendung von Zombies ist unter anderem, dass deren IP-Adresse für schädliche Attacken verwendet wird. Dadurch wird die Ermittlung der Täter erheblich erschwert, wenn nicht sogar unmöglich gemacht.103 Im Rahmen von DDoS-Attacken wird besonders gut erkennbar, dass Computeruser bei der Vernachlässigung von Sicherheitsmaßnahmen, wodurch die Umfunktionierung des Computers zu einem Zombie erst ermöglicht wird, nicht nur sich selbst, sondern in erheblicher Art und Weise auch Andere gefährden.104 99

BT-Drs. 16/3656, S. 13. OLG Frankfurt a. M. MMR 2006, 547 ff., das jedoch eine Strafbarkeit gemäß § 303a dStGB verneinte; AG Frankfurt a. M. MMR 2005, 863 ff. mit Anmerkungen Gerckes zur Problematik der §§ 303a und b dStGB. 101 Fischer, § 303b Rn. 12. Dieses Vorgehen, bei dem verschiedene Computer eingesetzt werden, wird als Hopping bezeichnet, weil der Täter sozusagen von Computer zu Computer hüpft, um an sein Ziel zu gelangen, vgl. Debie, IuK-Kriminalität, mehr als nur Cybercrime. Entwicklung – Stand – Perspektiven, Rn. 57, http://www. jurpc.de/aufsatz/20040214.html#fn0 (Stand: 4. Januar 2011). 102 Mittlerweile gibt es im Internet bereits Plattformen für den Handel mit Botnets, vgl. Bachfeld, Ein Botnetz? Geschnitten oder im Stück? http://www.heise.de/ newsticker/meldung/Ein-Botnetz-Geschnitten-oder-im-Stueck-183134.html (Stand: 4. Januar 2011); Information Security Society Switzerland, Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (ECC), S. 4, http:// www.isss.ch/fileadmin/publ/sigccc/ECC-Vernehmlassung-ISSS.pdf (Stand: 4. Januar 2011). 103 Bereits im Jahre 2007 waren bis zu einem Viertel aller Computer mit Internetanschluss Teil eines Botnets, vgl. Gercke, JA 2007, 839 (840). 100

III. Computersabotage

211

Bei den DRDoS-Attacken105 erfolgt der Angriff durch Massenantworten nach vermeintlichen Anfragen von der Adresse des Opfers.106 Im Rahmen einer Spamflut erstellt der Täter mehrere Millionen Emails mittels bestimmter Programme. Dabei gibt er einen nicht vorhandenen Adressaten und die Absenderadresse des Opfers an. Durch die zurückkommenden Fehlermeldungen des E-Mail-Servers, dass die Nachrichten nicht zugestellt werden konnten, kommt es zu einem Absturz des Systems des vermeintlichen Absenders.107 b) Strafbarkeit aa) Deutschland Im deutschen Strafrecht kommt sowohl eine Strafbarkeit gemäß § 303b Abs. 1 Nr. 2 dStGB108 als auch §§ 303b Abs. 1 Nr. 1 i. V. m. 303a dStGB in Betracht. Entsprechend § 303b Abs. 1 Nr. 2 dStGB liegt eine Strafbarkeit vor, wenn Daten mit Nachteilszufügungsabsicht eingegeben oder übermittelt werden. Erfasst werden solche Störungen, die durch den missbräuchlichen Einsatz an sich neutraler Handlungen, wie beispielsweise berechtigten Anfragen an Server, entstehen.109 Dies sind Handlungen, die nicht schon als solche sozial auffällig und gleichsam von vornherein mit der Vermutung deliktischen Verhaltens belastet sind, sondern erst durch die konkreten Umstände ihrer Vornahme und die Schädigungsabsicht ihren Sinn erhalten.110 Zwischen den Servern, an die die Anfragen oder die Datenübermittlungen gerichtet werden und denjenigen, die zum Erliegen gebracht werden sollen, muss keine Identität vorliegen. Würde man eine Unmittelbarkeit verlangen, würden nicht nur DRDoS-Attacken, sondern auch die weitverbreiteten DDoS-Attacken von der Strafbarkeit ausgenommen. In der Konsequenz würde der Täter mit der höheren kriminellen Energie, die sich im Umfang seines Angriffs manifestiert, privilegiert, was weder mit dem Willen des Konventionsgebers noch dem des nationalen Gesetzgebers zu vereinbaren 104 Dies ist den meisten Computerusern oft nicht bewusst. Daher muss dringend weitere Aufklärungsarbeit geleistet und der einzelne Computeruser mehr in die Pflicht genommen werden. 105 Abkürzung für Distributed Reflected Denial of Service, vgl. Fischer, § 303b Rn. 12. 106 Fischer, § 303b Rn. 12. 107 Wabnitz/Janovsky, Kap. 12 Rn. 60. 108 Ablehnend Vassilaki, CR 2008, 131 (134), weil ein Eingeben nur mittels Einlesen von Daten von externen Datenträgern möglich sei und die manuelle Eingabe im Rahmen von DoS-Attacken somit nicht erfasst sei. 109 BT-Drs. 16/3656, S. 13. 110 Popp, MR-Int 2007, 84 (85).

212

G. Unterschiede zwischen den jeweiligen Regelungen

ist. Dabei ist vor allem zu berücksichtigen, dass die DDoS-Attacken derzeit den Großteil aller DoS-Attacken darstellen, weil die reizvollen Angriffsziele heutzutage über eine derartige Rechnerleistung verfügen, dass eine DoS-Attacke mittels eines einzigen Computers jenen kaum noch etwas anhaben kann. Über den bedingten Vorsatz hinsichtlich der objektiven Tatbestandsmerkmale ist bei § 303b Abs. 1 Nr. 2 dStGB zusätzlich eine Nachteilszufügungsabsicht in Form einer überschießenden Innentendenz erforderlich. Dabei ist zu beachten, dass die Nachteilszufügungsabsicht nicht zwingend auf den Betreiber der Datenverarbeitungsanlage begrenzt ist.111 Daher liegt diese Absicht auch dann vor, wenn die auf den betroffenen Server Zugreifenden geschädigt werden sollen. Eine Strafbarkeit gemäß § 303a Abs. 1 dStGB scheidet hingegen bei den angegriffenen Servern112 meist bereits tatbestandlich aus, weil mangels Eingriffs in eine fremde Verfügungsbefugnis113 kein Unterdrücken von Daten vorliegt.114 In den meisten Fällen ist die Verfügungsbefugnis des Berechtigten nicht eingeschränkt, weil nur Anfragen Dritter nicht mehr beantwortet werden und der Betreiber eines Servers, d.h. der Datenberechtigte, jederzeit von innen auf seinen Server und folglich auf seine Daten zugreifen kann. Der Zugriff Dritter ist hingegen nicht geschützt, weil jene nicht Verfügungsbefugte sind. Ein Eingriff in die Verfügungsbefugnis liegt im Ergebnis allenfalls dann vor, wenn der Server derart erliegt, dass auch der Betreiber keinen Zugriff mehr auf seine Daten hat.115 Die Strafbarkeit gemäß §§ 303b Abs. 1 Nr. 1 i. V. m. 303a dStGB könnte darüber hinaus ausscheiden, wenn zur Bejahung des Tatbestandsmerkmals „Unterdrücken“ eine Dauerhaftigkeit erforderlich ist, weil bei den DoS-Attacken meist nach einer kurzen Zeit der Server wieder verfügbar ist. Das OLG Frankfurt a. M.116 vertritt den Standpunkt, dass eine Dauerhaftigkeit 111

LK-Wolff, § 303b Rn. 28. Bei den DDoS-Attacken liegt eine Strafbarkeit gemäß § 303a dStGB vor, weil die Umfunktionierung anderer Computer zu Zombies eine Datenveränderung darstellt. 113 So die h. M., vgl. Hilgendorf/Frank/Valerius, Rn. 197; LK-Wolff, § 303a Rn. 33; Schönke/Schröder-Stree/Hecker, § 303a Rn. 3. 114 Gercke, ZUM 2007, 282 (286), vertritt den Standpunkt, dass nicht nur die Betreiber Verfügungsbefugte sind, sondern auch diejenigen, denen ein Zugriff auf die Daten eingeräumt wurde. Dies ist aber abzulehnen, weil die Zugreifenden außer der Kenntnisnahme von den Daten keine weiteren Handlungsmöglichkeiten eingeräumt bekommen, insbesondere dürfen sie keine Daten verändern. Eine Verfügungsbefugnis steht daher nur dem Betreiber des Servers zu. 115 OLG Frankfurt a. M. MMR 2006, 547 ff.; Hilgendorf/Frank/Valerius, Rn. 197. 116 Vgl. OLG Frankfurt a. M. MMR 2006, 547 (551); a. A. Gercke, MMR 2006, 547 (552). 112

III. Computersabotage

213

des Eingriffs erforderlich sei. Es leitet dies aus einer restriktiven Auslegung ab, weil anders als bei § 274 Abs. 1 Nr. 1 dStGB in Form der Nachteilszufügungsabsicht kein subjektives Korrektiv zur Vermeidung der Bestrafung von Bagatelldelikten gegeben ist und somit ein Verstoß gegen das Bestimmtheitsgebot drohen würde. Ferner weist das OLG Frankfurt a. M. darauf hin, dass sich für das nur zeitliche Unterdrücken keine Anhaltspunkte in dem Wortlaut der Norm oder der Gesetzesbegründung117 finden lassen. Dieser Meinung ist aber nicht zu folgen. Zum einen handelt es sich beim dauerhaften Unterdrücken um einen Fall des Unbrauchbarmachens, sodass die Ansicht des OLG Frankfurt a. M. die Abgrenzung zwischen den beiden Tatmodalitäten verwischt. Zur Vermeidung einer Strafbarkeit bei reinen Bagatelldelikten ist allerdings eine bestimmte Mindestdauer erforderlich.118 Allerdings sind bei der Bestimmung der zeitlichen Dauer weitere qualitative Aspekte im Rahmen der Auslegung einzubeziehen.119 Insbesondere im Hinblick auf den Umfang und die Intensität der Beeinträchtigungen, die bei dem Lufthansaserver eingetreten sind, kann ein nur vorübergehendes Unterdrücken nicht zu einer Unanwendbarkeit des § 303a dStGB führen.120 Somit ist die vom OLG Frankfurt a. M. angesprochene restriktive Auslegung mangels subjektiven Korrektivs der Nachteilszufügungsabsicht nicht völlig unbeachtlich, sondern bei der Bestimmung der erforderlichen Dauer zu berücksichtigen. Jedoch ist die vom OLG Frankfurt a. M. zugrunde gelegte Dauer von mindestens zwei Stunden im heutigen Wirtschaftsleben eindeutig zu lang und auch zu unflexibel. Zur Bestimmung des Unterdrückens muss die zeitliche Dauer anhand der Erheblichkeit der Störung beurteilt werden, sodass besonders gravierende Störungen im konkreten Einzelfall auch einen sehr kurzen Zeitraum ausreichen lassen. Ein fester Zeitrahmen kann folglich nicht festgelegt werden, sondern muss in jedem konkreten Einzelfall individuell bestimmt werden. bb) Österreich In Österreich kommt eine Strafbarkeit gemäß § 126b öStGB in Betracht. § 126b öStGB ist erfüllt, wenn die Funktionsfähigkeit eines Computersystems schwer gestört wird, indem der Täter Daten eingibt oder übermittelt. Dabei reicht bereits bedingter Vorsatz hinsichtlich der schweren Störung aus. Die Einschlägigkeit von § 126b öStGB bei DoS-Attacken ergibt sich 117

BT-Drs. 10/5058, S. 35 f. Ernst, NJW 2003, 3233 (3238); Fischer, § 303a Rn. 10; MüKo-Wieck-Noodt, § 303a Rn. 13; NK-Zaczyk, § 303a Rn. 8. 119 Gercke, MMR 2006, 547 (552). 120 So auch Gercke, MMR 2006, 547 (552). 118

214

G. Unterschiede zwischen den jeweiligen Regelungen

bereits aus den Gesetzesmaterialien, da § 126b öStGB für diese Art von Computerkriminalität geschaffen wurde.121 Die erforderliche Schwere der Störung bestimmt sich nach dem verbleibenden Gebrauchswert in Verbindung mit der Dauer der Störung.122 Daraus folgt, dass die zeitliche Dauer desto kürzer sein kann, je gravierender der Gebrauchswert eingeschränkt ist. Allerdings ist aufgrund der tatbestandlichen Schwere der Störung ein längerer Zeitrahmen anzusetzen als bei § 303b Abs. 1 Nr. 2 dStGB. Ferner kommt auch eine Strafbarkeit gemäß § 126a öStGB in Betracht, der § 126b öStGB aufgrund dessen Subsidiarität verdrängt. Die Voraussetzungen des § 126a öStGB liegen unter anderem vor, wenn der Täter das Opfer dadurch schädigt, dass er Daten unterdrückt. Vergleichbar mit §§ 303b Abs. 1 i. V. m. 303a dStGB ist dabei jedoch ein Unterdrücken erforderlich, das zum einen von gewisser Dauer sein und im Ergebnis dazu führen muss, dass der Berechtigte nicht mehr auf seine Daten zugreifen kann.123 Dies ist aber bei einer DoS-Attacke meist nicht der Fall, da der Berechtigte nur in Ausnahmefällen nicht auf seine Daten zugreifen kann, sondern nur Anfragen außenstehender Dritter blockiert werden. Ferner ergeben sich Probleme mit dem Vermögensschaden. Dieser bestimmt sich anhand des ökonomischen Vermögensbegriffs und ist somit der Differenzschaden zwischen dem Vermögen vor und nach der Tat.124 Ein solcher Schaden liegt in den meisten Fällen nicht vor, weil der Vermögensschaden bei den DoS-Attacken in dem Zeitpunkt entfällt, in dem das Unterdrücken endet. Sonstige mittelbare Schäden, die daraus resultieren, dass die Daten nicht verwendet werden können und bei der Wiederherstellung der Daten nicht entfallen, beispielsweise ein Verdienstausfall oder ein Imageschaden, stellen keinen Vermögensschaden im Sinne des § 126a öStGB dar.125 cc) Schweiz In der Schweiz scheidet eine Strafbarkeit nach Art. 144bis sStGB bei DoSund DRDoS-Attacken wegen Datenveränderung aus, da das bloße Unterdrücken von Daten nach Art. 144bis sStGB nicht strafbar ist.126 Bei den DDoS121 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 122 Beer, S. 154. 123 WK-Bertel, § 126a Rn. 3. 124 Beer, S. 146 f. 125 SbgK-Triffterer, § 126a Rn. 86. Auch bei § 303a dStGB bedarf es keines Vermögensschadens, vgl. LK-Wolff, § 303a Rn. 6. 126 A. A. Weber/Unternährer, S. 365 (378), die das Tatbestandsmerkmal des Unbrauchbarmachens bejahen.

III. Computersabotage

215

Attacken liegt hingegen eine Strafbarkeit gemäß Art. 144bis sStGB bezüglich der zu Zombies umgewandelten Computer vor, weil in diesen Daten verändert werden müssen, um die Kontrolle zu gewinnen. Bei den DDoS-Attacken kommt darüber hinaus auch eine Strafbarkeit gemäß Art. 143bis sStGB in Betracht, weil der Täter zumindest bei den zu Zombies umfunktionierten Computern das Tatbestandsmerkmal „Eindringen“ erfüllt. Zwar hat der Täter keinen Einblick in die fremden Daten. Es genügt jedoch bereits das Installieren eines Trojaners, der die Angriffe steuert, weil der Täter Zugriffsschranken überwindet und sich damit die Herrschaft über das fremde System verschafft.127 Da es dem Täter meist ausschließlich um die Schädigung Dritter geht, ist das Tatbestandsmerkmal „ohne Bereicherungsabsicht“ beim Eindringen meist erfüllt. Im sStGB werden folglich nur die DDoS-Attacken erfasst. Allerdings wird dabei derjenige, dessen Datenverarbeitungsanlage vom Täter im Rahmen seines Angriffs genutzt wurde, geschützt, weil bezüglich des umfunktionierten Zombies Art. 143bis sStGB und Art. 144bis sStGB einschlägig sind. Der über die Zombies angegriffene Server, der die DDoS-Attacken erleidet, wird hingegen nicht geschützt, weil diesbezüglich kein Eindringen vorliegt und ein Unterdrücken im Rahmen des Art. 144bis sStGB nicht strafbar ist. Dieses Ergebnis erscheint paradox, weil die vom Täter benutzten Datenverarbeitungsanlagen oftmals nicht ordnungsgemäß gegen Angriffe von Cyberkriminellen gesichert sind und die Umfunktionierung zu Zombies somit keine Probleme bereitet. Im Ergebnis zielen die Straftatbestände der Art. 143bis und 144bis sStGB auf den Schutz desjenigen ab, der aufgrund seiner Fahrlässigkeit den Angriff erst ermöglicht. Dahingegen wird derjenige nicht geschützt, dem meist kein Verschulden bei der Sicherung seiner Datenverarbeitungsanlage zur Last gelegt werden kann. Gegen eine DDoS-Attacke können die betroffenen Systeme nicht geschützt werden.128 Der Erfolg des DDoS-Angriffs hängt ausschließlich davon ab, wie viele Zombies der Täter generiert, weil ab einer bestimmten Anzahl von Anfragen jeder Server kollabiert. dd) Zusammenfassendes Ergebnis Insgesamt bleibt festzuhalten, dass aufgrund der Vielzahl der täglichen DoS-Angriffe im sStGB eine nicht hinnehmbare Strafbarkeitslücke mangels einer Tathandlung „Unterdrücken“ vorliegt. Bei § 126b öStGB droht hingegen trotz des objektiven Korrektivs der schweren Störung eine Ausuferung der Strafbarkeit mangels subjektiven Korrektivs, weil der Täter nur mit der schweren Störung rechnen muss, ohne dass er dabei mit Nachteilszufügungsabsicht handeln muss. 127 128

Weber/Unternährer, S. 365 (378 f.). OLG Frankfurt a. M. MMR 2006, 547 ff.

216

G. Unterschiede zwischen den jeweiligen Regelungen

2. Computerviren a) Funktionsweise Bei einem Computervirus129 handelt es sich um eine fest vorgegebene Befehlsfolge durch deren Ausführung bewirkt wird, dass eine Kopie oder eine Mutation in einem Speicherbereich, der diese Sequenz nicht enthält, reproduziert wird.130 In der Folge werden durch das Computervirus nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung verursacht.131 Ein Computervirus ist kein selbstständiges Programm, sondern bedarf vergleichbar dem biologischen Virus beim Menschen immer eines Wirtes.132 Dabei unterscheidet man, je nachdem, an welches Programm sich das Virus anhängt, zwischen System- und Programmviren.133 Die Funktionsweise der Computerviren lässt sich in drei verschiedene Funktionsteile einteilen. Diese sind der Erkennungs-, der Infektions- und der Funktionsteil. Im Erkennungsteil wird festgestellt, ob die Datei bereits befallen ist134, wodurch die Verbreitung beschleunigt und ein Entdecken vermieden bzw. zumindest verzögert werden soll. Dahingegen dient der Infektionsteil der Auswahl eines Programms und der Einfügung des Programmcodes des Virus. Das ausgewählte Programm ist jetzt infiziert und kann selbst bei einem Aufruf weitere Programme infizieren. Letztlich wird im Funktionsteil festgelegt, was zu manipulieren ist. Dabei gibt es zwei verschiedene Unterarten von Viren, und zwar solche mit destruktiver und solche mit nur belästigender Funktion.135 Zur Vermeidung einer schnellen Entdeckung ist dem Virus oft ein sog. „Trigger“136 immanent. Die Steuerung einer solchen Triggerfunktion erfolgt über die Subroutine, wobei das Virus erst die Erfüllung abfragt, beispielsweise ein Datum, und bei Vor129

Vgl. insgesamt auch Brunnstein, CR 1993, 456 (460). Lindner, Stellungnahme zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656), S. 3, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/ Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Lindner.pdf (Stand: 10. Februar 2010). 131 Ernst, NJW 2003, 3233 (3234). 132 Eichelberger, MMR 2004, 594 (595). 133 Wabnitz/Janovsky, Kap. 12 Rn. 59. 134 Gravenreuth, NStZ 1989, 201. 135 A. A. Abu-Zeitoun, S. 58 f. der auch Programme mit positiver Wirkungsweise unter den Begriff Computerviren subsumiert. Als solche kommen bspw. Programme mit komprimierender Funktion in Betracht, wodurch Speicherplatz gespart werden kann. Dem ist aber nicht zu folgen, weil Computerviren gerade durch ihre Schadfunktion gekennzeichnet sind, vgl. Wabnitz/Janovsky, Kap. 12 Rn. 59. 136 Daiss/Drever/Frank/Janka/Urbom, Auslöser, S. 1234. 130

III. Computersabotage

217

liegen der Bedingung dann die programmierte Funktion ausführt.137 Wenn das Virus aktiv wird, ist das Schadensspektrum kaum begrenzt. Es reicht vom einfachen Nichtstun bis zum Löschen der gesamten Festplatte. Darüber hinaus können auch Hardwareschäden verursacht werden, indem etwa die Umdrehungsgeschwindigkeit der Festplatte geändert und dadurch diese überhitzt und zerstört wird. Die besondere Gefahr, die von Viren in Zeiten des Internets ausgeht, ist die schnelle und großflächige Verbreitungsmöglichkeit. Früher musste ein Virus erst über einen externen Datenträger, beispielsweise eine Diskette, eingeschleust werden. Die Gestaltungsmöglichkeiten von Computerviren sind scheinbar unbegrenzt. Zu den wohl gefährlichsten Varianten für unvorsichtige User zählen die sog. „logischen Bomben“.138 Diese zerstören auf einen Schlag alle auf dem PC vorhandenen Daten.139 Für vorsichtige User, die ihre Systeme ständig mittels Backups absichern, entfalten diese logischen Bomben allerdings nur ein geringes Schädigungspotenzial, weil immer nur die Daten zwischen dem letzten Back-up und dem Detonieren der logischen Bombe verloren sind. Ein höheres Gefährdungspotenzial weisen hingegen sog. „destruktive Viren“ auf. Diese wirken über einen längeren Zeitraum hinweg auf das Computersystem ein, indem sie vereinzelt Daten verändern, löschen oder unbrauchbar machen, bis einzelne Programme oder auch das ganze Betriebssystem nicht mehr funktionieren. Aufgrund des langen Wirkungszeitraums sind meist auch die Back-ups betroffen, wodurch das hohe Schädigungspotenzial entsteht. Ebenfalls ein sehr hohes Gefährdungspotenzial haben aufgrund ihrer selbstständigen Funktions- und Arbeitsweise die sog. „hybriden Viren“, weil sie wie ein klassischer Hacker vorgehen, indem sie Sicherheitslücken ausnutzen und sich über E-Mail-Anhänge und Netzzugriffe verbreiten.140 b) Beispiele Die ersten bekannten Viren waren das Michelangelo- und das HerbstlaubVirus. Beim Michelangelo-Virus handelte es sich um ein Virus, das ab dem Sommer 1991 unbeabsichtigt von großen Softwareherstellern verbreitet wurde.141 Dieses war so programmiert, dass es an einem festen Schadenstag, hier dem 6. März 1992, aktiv werden sollte. In der Folge wurden die 137

Gravenreuth, NStZ 1989, 201 (202). A. A. Abu-Zeitoun, S. 61 f.; wonach es sich bei logischen Bomben nicht um Computerviren handele, da sich diese nicht selbstständig verbreiten. 139 Ernst, NJW 2003, 3233 (3235); Kommission der europäischen Gemeinschaften, Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme, KOM (2002) 173 endg., S. 3. 140 Ernst, NJW 2003, 3233 (3235). 141 Brunnstein, CR 1993, 456 (461). 138

218

G. Unterschiede zwischen den jeweiligen Regelungen

ersten 21 Megabyte der angeschlossenen Festplatten gelöscht.142 Allerdings waren die Auswirkungen nicht den Ankündigungen der Medien entsprechend. In den meisten Fällen wurde das Virus durch die Antivirensoftware entfernt und unschädlich gemacht. Tatsächlich geschädigt wurden nur einige Hundert Computer.143 Nichtsdestotrotz wurde das bestehende Bedrohungsszenario erstmals offenbart. Das Herbstlaubvirus hingegen ließ die Buchstaben auf dem Bildschirm nacheinander wie Laub nach unten fallen.144 Dabei ertönte bei jedem Buchstaben, der den unteren Bildrand erreichte ein Klicken. Die Bildschirmanzeige wurde unlesbar und ein weiteres Arbeiten war nur noch schwer möglich. Bei einem Neustart waren alle bisher nicht gespeicherten Daten verloren. Schlimmstenfalls konnten gerade benutzte Datenbanken zerstört werden, da die Datenbankdateien nicht ordnungsgemäß geschlossen wurden. c) Strafbarkeit aa) Deutschland Der Einsatz von Viren kann zu einer Strafbarkeit gemäß § 303a dStGB führen. Es muss allerdings zwischen der Installation des Computervirus, d.h. der Infektion, und dem Ausführen der Funktion differenziert werden.145 Bei der Infektion muss wiederum nach Art und Weise der Infektion unterschieden werden, da es überschreibende und nicht überschreibende Viren gibt.146 Überschreibende Viren sind dadurch gekennzeichnet, dass Programmteile überschrieben oder inhaltlich modifiziert werden, was dazu führt, dass eine bestimmte Funktion nicht mehr ausgeführt werden kann. Bei diesem Vorgehen werden aktiv Daten verändert. Nicht überschreibende Viren begründen allein aufgrund der Infektion noch keine Strafbarkeit gemäß § 303a dStGB, da sie auf nicht belegten Speicherplatz zugreifen und somit keine bereits bestehenden Daten verändern, sondern lediglich neue Daten auf freiem Speicherplatz erstellen. Hinsichtlich der Ausführung der Funktion muss zwischen den verschiedenen Funktionsweisen unterschieden werden, da es Viren mit belästigender und destruktiver Funktion gibt. Ein Verändern von Daten gemäß § 303a Abs. 1 4. Var. dStGB kommt nur bei Viren mit destruktiver Funktion in Betracht. Bei Viren mit bloß belästigender Funktion ist hingegen eine Strafbarkeit wegen Datenunterdrückens ge142

Brunnstein, CR 1993, 456 Brunnstein, CR 1993, 456 144 Brunnstein, CR 1993, 456 145 Der reine Erkennungsteil vorliegen. 146 Abu-Zeitoun, S. 57. 143

(460). (461). (460). ist nicht strafbar, weil keine Datenveränderungen

III. Computersabotage

219

mäß § 303a Abs. 1 2. Var. dStGB möglich, so etwa wenn ständig Bilder oder Texte auf dem Bildschirm erscheinen und hierdurch die Verarbeitung der Daten erheblich erschwert oder zeitlich verzögert wird. Ein Unterdrücken liegt vor, wenn die Daten dem Zugriff des Berechtigten auf Dauer oder zumindest für einen nicht unbedeutenden Zeitraum vorübergehend entzogen werden.147 Dabei ist jedoch eine restriktive Auslegung vorzunehmen, da ansonsten die Strafbarkeit unverhältnismäßig ausufern würde. Daher kann bei belästigenden Viren eine Strafbarkeit nur dann angenommen werden, wenn es dem Betroffenen nicht innerhalb eines zumutbaren Zeitrahmens gelingt, die Bilder oder Texte zu entfernen und wieder Zugriff zu den Daten zu erhalten.148 Der zeitliche Aufwand bemisst sich dabei immer an der Schwere der Beeinträchtigung. Des Weiteren kommt bei der Verbreitung von Viren auch eine Strafbarkeit gemäß § 303b Abs. 1 Nr. 2 dStGB in Betracht, sofern die weiteren Voraussetzungen erfüllt sind. Viren sind Daten, deren Übermittlung meist mit Nachteilszufügungsabsicht erfolgt. Eine Strafbarkeit könnte aufgrund teleologischer Reduktion allerdings ausgeschlossen sein, wenn von § 303b Abs. 1 Nr. 2 dStGB nur neutrale Handlungen mit Nachteilszufügungsabsicht erfasst wären.149 Solche Handlungen, die nicht neutral, sondern schädigend sind – wie etwa der Versand von Computerviren – wären dann von der Strafbarkeit ausgenommen. Die Schaffung des § 303b Abs. 1 Nr. 2 dStGB beruht laut der Gesetzesbegründung vor allem darauf, dass auch an sich neutrale Handlungen geeignet sein können, erhebliche Störungen zu verursachen.150 Ein Umkehrschluss dahin gehend, dass alle nicht neutralen Handlungen ausgeschlossen und stattdessen nur von § 303a dStGB erfasst sein sollen, lässt sich der Gesetzesbegründung aber nicht entnehmen. bb) Österreich In Österreich kommt hingegen eine Strafbarkeit nach § 126a öStGB in Betracht, wenn die Datenveränderung zur Schädigung des Betroffenen führt. Nicht überschreibende Viren scheiden bei der Infektion bereits aufgrund des Tatbestandsmerkmals „Datenveränderung“ aus. Eine Strafbarkeit kommt bei nicht überschreibenden Viren daher erst dann in Betracht, wenn 147 Fischer, § 303a Rn. 10; LK-Wolf, § 303a Rn. 24; SSW-Bosch, § 303a Rn. 9; a. A. NK-Zaczyk, § 303a Rn. 8, wonach eine nach dem Einzelfall zu bestimmende erhebliche Dauer vorliegen muss. 148 Abu-Zeitoun, S. 59 f. 149 Durch die Schaffung des § 303b Abs. 1 Nr. 2 dStGB sollten bisher nicht strafbare neutrale Handlungen strafrechtlich sanktioniert werden, wenn sie in missbräuchlicher Absicht ausgeführt werden, vgl. BT-Drs. 16/3656, S. 13. 150 BT-Drs. 16/3656, S. 13.

220

G. Unterschiede zwischen den jeweiligen Regelungen

sie destruktive Funktionen ausführen. Bei Viren mit bloß belästigender Funktion fehlt es meist am erforderlichen Schaden, weil keine Wiederherstellungskosten entstehen. Strafbar sind gemäß § 126a öStGB somit überschreibende und nicht überschreibende destruktive Viren. Mangels einer Strafbarkeit gemäß § 126a öStGB könnte bei nicht überschreibenden Viren mit belästigender Funktion § 126b Abs. 1 öStGB aufgrund der gesetzlich angeordneten Subsidiarität einschlägig sein. Erforderlich ist, dass eine bloße Belästigung zu einer schweren Störung führen kann. Entsprechend den Gesetzesmaterialien151 liegt eine schwere Störung vor, wenn der Angriff ein Computersystem völlig lahmlegt oder etwa so verlangsamt, dass der verbleibende Gebrauchswert für den Betroffenen nicht mehr wesentlich höher ist als bei einem regelrechten Stillstand. Dies kann bei Viren mit belästigender Funktion aber allenfalls dann bejaht werden, wenn der Computeruser sich nur noch mit der Beseitigung der Belästigung – etwa durch das Schließen ständig neuer sich öffnender Fenster – beschäftigen muss. Aufgrund der erforderlichen Schwere ist ein strengerer Maßstab als bei § 303b dStGB anzusetzen, der nur eine erhebliche Störung voraussetzt.152 cc) Schweiz In der Schweiz könnte beim Einsatz von Computerviren Art. 144bis Ziff. 1 sStGB aufgrund der erforderlichen Datenveränderung nur bei überschreibenden und nicht überschreibenden destruktiven Viren anwendbar sein, weil ein Unterdrücken von Daten beispielsweise durch Viren mit belästigender Funktion, nicht erfasst ist. Vereinzelt wird vertreten, dass von Art. 144bis sStGB solche Viren erfasst werden, die Daten unkontrolliert vermehren und damit eine Erschöpfung der Rechnerkapazität bewirken, sog. „Flooding“.153 Dies ist aber abzulehnen, da das Flooding eine Unterart der DoS-Attacken darstellt und diese mangels Strafbarkeit des Unterdrückens straflos sind. Diese Ansicht führt zu einer unzulässigen Analogie zulasten des Täters. dd) Zusammenfassendes Ergebnis In allen drei Rechtsordnungen sind Viren strafrechtlich erfasst, wenn sie eine überschreibende und/oder destruktive Funktion haben. Anders als bei § 303a dStGB kommt § 126a öStGB beim Einsatz von Viren mit bloß beläs151 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 152 Vgl. die Ausführungen unter Kapitel E. VI. 3. b). 153 BK-Weissenberger, Art. 144bis Rn. 23.

III. Computersabotage

221

tigender Funktion nicht in Betracht, weil es an der erforderlichen Schädigung fehlt. Bei § 126b öStGB ergeben sich bei den Viren mit belästigender Funktion erhebliche Einschränkungen der Strafbarkeit aufgrund des Erfordernisses der schweren Störung. Die Straflosigkeit im sStGB ist bei Viren mit belästigender Funktion inakzeptabel, weil diese im Extremfall dazu führen können, dass der Computeruser seine Anlage nicht mehr benutzen kann. 3. Computerwürmer a) Funktionsweise Von den Computerviren abzugrenzen sind Computerwürmer. Im Gegensatz zu Viren infizieren Würmer keinen fremden Code. Während sich das Computervirus autark über die Weitergabe der infizierten Dateien vervielfältigt, verbreiten sich Würmer selbstständig über höhere Ressourcen, wie beispielsweise Wirtsapplikationen, Netzwerkdiensten oder Benutzerinteraktionen. Zwar müssen Computerwürmer keine Schadensroutine besitzen. Aufgrund der eigenständigen Verbreitungsroutine kann der drohende wirtschaftliche Schaden aber viel höher sein als bei Computerviren, weil es als Nebenfolge der Verbreitung zu einem Ausfall von Servern kommen kann, wodurch schlimmstenfalls Unternehmen vollständig lahmgelegt werden. In ihrer neuesten Generation beinhaltet ein Großteil der Computerwürmer zusätzliche Trojanerfunktionen. Hierdurch ist es möglich, sensible Daten, wie Passwörter oder Zugangsdaten zum Onlinebanking, auszuspähen.154 b) Beispiele Sasser155 gilt als einer der effektivsten je geschriebenen Computerwürmer. Binnen weniger Tage führte Sasser im Mai 2004 zur Selbstabschaltung vieler Windowsrechner weltweit.156 Betroffen waren Computer bei Banken, Versicherungen, öffentlichen Einrichtungen und auch in privaten Haushalten.157 Dabei nutzte er eine schon seit längerer Zeit bekannte Lsass-Sicherheitslücke158 aus. Der Schaden ist bis heute noch nicht beziffert; er dürfte 154 Debie, IuK-Kriminalität, mehr als nur Cybercrime. Entwicklung – Stand – Perspektiven, Rn. 32, http://www.jurpc.de/aufsatz/20040214.html#fn0 (Stand: 4. Januar 2011). 155 Gercke/Brunst, Rn. 3. 156 Eichelberger, MMR 2004, 594. 157 Gercke, MMR 2008, 291 (292). 158 Abkürzung für Local Security Authority Subsystem; hierbei handelt es sich um den lokalen Sicherheitsdienst, der die User-Richtlinien steuert.

222

G. Unterschiede zwischen den jeweiligen Regelungen

aber nach aktuellen Schätzungen bis zu EUR 33 Mrd. betragen.159 Neu war bei Sasser, dass er sich nicht via Email selbst verschickte, sondern das Internet nach offenen Ports der Betriebssysteme Windows 2000 und XP160 abscannte, sodass bereits das Verbinden mit dem Internet zu einer Infektion führen konnte.161 Beim Computerwurm Christmas162 erschien auf dem Bildschirm ein Weihnachtsbaum mit der Beschriftung „Merry Christmas“. Während bei den jeweiligen Usern keinerlei Verdacht aufkam, suchte das Programm nach Adresslisten, um sich weiter verbreiten zu können. Durch dieses selbstständige Verbreiten wurden Rechner teilweise derart überlastet, dass sie vom Netz genommen werden mussten, um von sämtlichen Christma.exec-Dateien befreit zu werden.163 Der zu weltweiter Berühmtheit gekommene Internet-Worm stammt aus dem Jahre 1988. Er breitete sich mit rasender Geschwindigkeit auf 50.000 Arbeitsplatzrechnern mit dem Betriebssystem Unix aus und führte dazu, dass ca. 10.000 Unixsysteme derart überlastet wurden, dass sie teilweise über Wochen vom Netz genommen werden mussten.164 Der Befall stellte zur damaligen Zeit fast das gesamte Internet dar.165 Ebenfalls zu großer Berühmtheit gekommen ist das I-loveyou-Virus aus dem Jahre 2000. Die Bezeichnung Virus ist allerdings nicht richtig. Es handelte sich nicht um ein Computervirus166, sondern um eine Kombination aus Trojaner und Computerwurm, weil es sich selbstständig über die Microsoft-Anwendung Outlook verbreitete. Der Wurm löschte auf den infizierten Rechnern alle Dateien mit bestimmten Dateiendungen, beispielsweise jpg und jpeg, und markierte alle Dateien mit den Endungen mp2 und mp3 als versteckt und führte so zu Schäden in Milliardenhöhe.167

159

Eichelberger, MMR 2004, 594. Gercke, CR 2004, 782 (784). 161 Eichelberger, MMR 2004, 594. 162 Der offizielle Programmname war CHRISTMA.EXEC, vgl. Brunnstein, CR 1993, 456 (459). Der Ursprung datiert auf den Dezember 1987 und das Fehlen des S bei Christmas lag daran, dass die IBM-Systeme damals nur 8 Buchstaben oder Zeichen zuließen. 163 Brunnstein, CR 1993, 456 (459). 164 Brunnstein, CR 1993, 456 (460). 165 Ernst, NJW 2003, 3233 (3234). 166 A. A. Hilgendorf, ZStW 113 (2001), S. 650 (651). 167 Hilgendorf, ZStW 113 (2001), S. 650 (651). 160

III. Computersabotage

223

c) Strafbarkeit aa) Deutschland In Deutschland kommt beim Einsatz von Computerwürmern eine Strafbarkeit nach § 303a dStGB in Betracht. Beim Einsatz von Computerwürmern liegt kein Zugangverschaffen gemäß § 202a dStGB vor, weil der Täter nicht von den im System gespeicherten Daten Kenntnis erlangen kann. Computerwürmer sind meist so programmiert, dass sie sich in vorgegebenen zeitlichen Abständen Updates von bestimmten Websites herunterladen und so vom Programmierer gesteuert werden können. Einen jederzeitigen direkten Zugriff auf den Wurm und somit auch auf das fremde System hat der Täter jedoch nicht. Eine Datenveränderung im Sinne des § 303a dStGB liegt vor, weil die Computerwürmer bei der Verbreitung nicht ausschließlich auf freien Festplattenspeicherplatz zugreifen. Um wirklich effektiv zu sein, muss ein Computerwurm immer die Systemsteuerdateien, die sog. „Registry“, ändern. Nur so wird gewährleistet, dass er nach einem Neustart des Systems ebenfalls wieder aktiv wird. Ein Unterdrücken von Daten ist bei einem durch den Wurm bedingten Ausfall von Computern gegeben, wenn der User nicht mehr auf seine Daten zugreifen kann. Ein Unterdrücken liegt nur dann nicht vor, wenn das System durch einen schlichten Neustart wieder verfügbar wird. Dies ist aber aufgrund der Änderungen der Registry und dem damit verbundenen Neustart des Computerwurms meist nicht der Fall. Allerdings muss dabei die zeitliche Komponente berücksichtigt werden. Aufgrund des enormen Stellenwertes der Daten im heutigen Computerzeitalter muss folglich bei einer schwerwiegenden Einschränkung des Zugriffs bereits bei einem sehr kurzen Zeitraum ein Datenunterdrücken bejaht werden. Ferner kommt auch §§ 303a i. V. m. 303b Abs. 1 Nr. 1 und 2 dStGB in Betracht, wenn durch den Wurmangriff eine Datenverarbeitungsanlage von wesentlicher Bedeutung erheblich gestört wird. Probleme könnten sich bei § 303b Abs. 1 Nr. 2 dStGB allerdings bei der Bestimmung des Vorsatzes ergeben. Der Täter, der Computerwürmer verschickt, handelt zwar meist mit bedingtem Vorsatz im Hinblick auf die Tatbestandsmerkmale „Datenverarbeitung von wesentlicher Bedeutung“ und „erhebliche Störung“. Allerdings könnten sich bei der überschießenden Innentendenz in Form der Schädigungsabsicht Probleme ergeben, weil direkter Vorsatz vorliegen muss.168 Als Nachteil 168 SSW-Hilgendorf, § 303b Rn. 11. Dabei kann laut der Gesetzesbegründung auf die Auslegung der Nachteilszufügungsabsicht bei § 274 Abs. 1 Nr. 1 dStGB zurückgegriffen werden, vgl. BT-Drs. 16/3656, S. 13. Zum diesbezüglich bestehenden Streit, welcher Grad des Vorsatzes erforderlich ist, vgl. Schönke/Schröder-Cramer/ Heine, § 274 Rn. 15. Nach h. M. genügt hierbei direkter Vorsatz, vgl. Fischer, § 274 Rn. 6; Lackner/Kühl, § 274 Rn. 7; LK-Zieschang, § 274 Rn. 57; Schönke/

224

G. Unterschiede zwischen den jeweiligen Regelungen

kommt jede Beeinträchtigung rechtmäßiger Interessen in Betracht, wobei ein tatsächlich eingetretener Vermögensschaden nicht erforderlich ist.169 Der Täter muss sich nur der Tatsache bewusst sein, dass der Nachteil notwendige Folge der Tat ist.170 Die Schädigungsabsicht kann aber nicht generell beim Versand von Computerwürmern bejaht werden, weil es erforderlich ist, dass sich diese darauf beziehen muss, dass die Rechnerleistung der betroffenen Computersysteme zur Verarbeitung und Weiterverbreitung des Wurms nicht ausreicht. Hieran wird es beim Versand von Computerwürmern oft fehlen, weil es dem Täter in erster Linie meist nur um eine möglichst schnelle Verbreitung seines Computerwurms, beispielsweise zur Schaffung eines Botnets, geht. Die Betreiber sollen dabei nach Möglichkeit nicht bemerken, dass ihre Computer befallen sind. Es kommt daher im Ergebnis auf die konkrete Programmroutine des Computerwurms an. Ist diese darauf ausgelegt, durch den Ressourcenverbrauch andere Datenverarbeitungsanlagen zum Erliegen zu bringen, handelt der Täter in der Regel mit der erforderlichen Schädigungsabsicht. Nutzt er hingegen einen Computerwurm, um einen Trojaner möglichst schnell und weit zu verbreiten und kommt es dabei zum Abstürzen einzelner Datenverarbeitungsanlagen, liegt die Schädigungsabsicht häufig nicht vor. Hierdurch können sich zwar in Einzelfällen Strafbarkeitslücken im Hinblick auf § 303b Abs. 1 Nr. 2 dStGB ergeben. Diese werden jedoch durch eine Strafbarkeit gemäß § 303a dStGB, eventuell in Verbindung mit § 303b Abs. 1 Nr. 1 dStGB, geschlossen. bb) Österreich In Österreich kann bei dem mit dem Wurmangriff verbundenen Ausfall von Computersystemen ein Datenunterdrücken gemäß § 126a öStGB vorliegen. Dabei ist jedoch zu berücksichtigen, dass das Unterdrücken von gewisser Dauer sein muss.171 Anders als bei § 303a dStGB müssen Schäden in Form von Wiederherstellungskosten eintreten. Dies kommt zwar bei Computerwürmern in Betracht, die die Registry verändern. Allerdings scheitert eine Strafbarkeit dann, wenn die Computerwürmer vom Antivirenprogramm erkannt und unschädlich gemacht werden.172 Sollte § 126a öStGB nicht einschlägig sein, kommt gegebenenfalls eine Strafbarkeit des subsidiären § 126b öStGB in Betracht. Computerwürmer werden immer von einem Schröder-Cramer/Heine, § 274 Rn. 15; SSW-Wittig, § 274 Rn. 20; a. A. NK-Puppe, § 274 Rn. 12, wonach bereits dolus eventualis ausreicht. 169 Fischer, § 303b Rn. 12a. 170 LK-Wolff, § 303b Rn. 28. 171 Bertel/Schwaighofer, § 126a Rn. 2. 172 Dann kommt aber ein Versuch nach § 15 Abs. 1 öStGB in Betracht, wenn sich der Tatentschluss auch auf den Vermögensschaden bezogen hat.

III. Computersabotage

225

Computer via Inter- oder Intranet zu einem anderen übermittelt, sodass die erforderliche Tathandlung gegeben ist. Beim Tatbestandsmerkmal „Störung“ ergeben sich keine Schwierigkeiten, da es bereits ausreicht, wenn die auf dem PC ablaufenden Dienste erheblich verlangsamt werden.173 Durch den Ressourcenverbrauch von Computerwürmern ist eine Störung immer zu bejahen. Die Störung müsste allerdings noch die Schwelle der Schwere überschreiten. Diese Schwelle wird überschritten, wenn der PC stillsteht oder die Verlangsamung so gravierend ist, dass ein faktischer Stillstand besteht, wobei auch zeitliche Aspekte berücksichtigt werden müssen.174 Teilweise wird vertreten, dass die Schwere der Störung an den Kosten für die Beseitigung festzumachen sei.175 Dieser Auffassung kann aber nicht gefolgt werden, weil sie mit einer teleologischen Auslegung der Norm nicht vereinbar ist. Gegen diese Ansicht hinsichtlich des direkten Zusammenhangs zwischen Schaden und schwerer Störung sprechen ferner auch die Gesetzesmaterialien.176 Hiernach kommt es gerade nicht auf einen schweren Schaden an. Ein solcher soll allenfalls im Rahmen der Strafzumessung Berücksichtigung finden. Letztlich führen auch systematische Erwägungen zu dem Schluss, dass es bei § 126b öStGB nicht auf die Beseitigungskosten ankommen kann, weil ansonsten diese Sachverhalte bereits aufgrund des Vorliegens des erforderlichen Schadens und der Tathandlung des Datenunterdrückens unter § 126a öStGB fallen würden und für den subsidiären § 126b öStGB kein Anwendungsbereich mehr bliebe. cc) Schweiz In der Schweiz kommt eine Strafbarkeit gemäß Art. 144bis sStGB in Betracht. Allerdings ist Art. 144bis sStGB nur dann einschlägig, wenn die Computerwürmer Daten verändern, weil das Unterdrücken nicht erfasst wird. Art. 144bis sStGB liegt daher immer dann vor, wenn es sich um Computerwürmer handelt, die die Registry verändern. Da dies meist zu bejahen ist, werden Computerwürmer in der Vielzahl der Fälle strafrechtlich erfasst. Ferner könnte auch Art. 143bis sStGB anwendbar sein. Erforderlich wäre hierfür jedoch ein Eindringen in eine fremde Datenverarbeitungsanlage. Beim Versand von Computerwürmern müsste somit ein Eindringen in die 173

WK-Reindl-Krauskopf, § 126b Rn. 9. Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 175 WK-Reindl-Krauskopf, § 126b Rn. 11 ff. 176 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 29, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 174

226

G. Unterschiede zwischen den jeweiligen Regelungen

Computer vorliegen, über die der Computerwurm verbreitet wird. Bei Computerwürmern ohne zusätzliche Trojanerfunktionen liegt das Tatbestandsmerkmal „Eindringen“ aber selbst dann nicht vor, wenn man der weiten Auslegung folgt, die bereits das Erreichen eines gesicherten Vorhofs für tatbildlich hält.177 Der Täter muss gewisse Handlungsspielräume innerhalb der geschützten Sphäre haben. Dies ist aber nicht der Fall, da sich ein Computerwurm nur auf die Leistung des befallenen Computers auswirkt, jedoch keine Daten kopieren und versenden kann. Etwas Anderes gilt allerdings dann, wenn der Computerwurm über eine Trojanerfunktion verfügt.178 In diesen Konstellationen ist es dem Täter möglich, die Sicherungen fremder Systeme auszukundschaften, zu umgehen oder zu sabotieren und dadurch Zugriff auf diese zu erlangen.179 dd) Zusammenfassendes Ergebnis § 303a gegebenenfalls i. V. m. 303b Abs. 1 Nr. 1 dStGB ist § 126a öStGB vorzuziehen, weil aufgrund des erforderlichen Schadens die Strafbarkeit im Rahmen des § 126a öStGB, unter anderem bei der Beseitigung des Computerwurms durch die Antivirensoftware, ausscheidet. Im Gegensatz dazu könnte § 126b öStGB dem § 303b Abs. 1 Nr. 2 dStGB vorzuziehen sein, weil der Versand von Computerwürmern öfter erfasst wird, weil der Täter bei § 126b öStGB nur mit bedingtem Vorsatz hinsichtlich der schweren Störung handeln muss. Vor allem in den Fällen, in denen der Täter mit einer schweren Störung rechnet, kommt daher eine Strafbarkeit in Betracht. Jedoch droht trotz des objektiven Korrektivs der schweren Störung bei § 126b öStGB eine Ausuferung der Strafbarkeit. Der weite Anwendungsbereich ist zwar im Hinblick auf die Verbreitung von Computerwürmern grundsätzlich zu begrüßen. Allerdings schießt der Tatbestand des § 126b öStGB in vielen anderen Konstellationen aufgrund der geringen subjektiven Anforderungen über das Ziel hinaus.180 Die Einschränkung über das Erfordernis der Nachteilszufügungsabsicht gemäß § 303b Abs. 1 Nr. 2 dStGB ist daher vorzugs177

Vgl. die Ausführungen unter Kapitel F. II. 4. c). Debie, IuK-Kriminalität, mehr als nur Cybercrime. Entwicklung – Stand – Perspektiven, Rn. 32, http://www.jurpc.de/aufsatz/20040214.html#fn0 (Stand: 4. Januar 2011). 179 BK-Weissenberger, Art. 143bis Rn. 15. 180 Als Beispiel kann hier die Versteigerung des Papstgolfs auf ebay genannt werden. Bei dieser wurde das Angebot ca. 8,4 Mio. mal angeklickt, wodurch es in der letzten halben Stunde vor Schluss der Auktion zu erheblichen Einschränkungen des ebay-Servers kam, sodass viele Interessenten ihre Gebote nicht mehr abgeben konnten. Viele Bieter nahmen einen derartigen Break Down billigend in Kauf. Der Tatbestand des § 126b öStGB war daher erfüllt. Es bleibt in solchen Fällen dann nur 178

IV. Spammails

227

würdig. Dabei ist vor allem zu berücksichtigen, dass die meisten Computerwürmer die Registry verändern und daher ohnehin zu einer strafbaren Datenveränderung führen. Die Computerwürmer, die nicht die Registry verändern, verlieren bei einem Systemneustart ihre Wirkung, sodass bei solchen weder im öStGB noch im dStGB die schwere bzw. die erhebliche Störung vorliegt. Es ergeben sich im dStGB daher keine Strafbarkeitslücken. Im sStGB werden ebenfalls die Computerwürmer erfasst, die die Registry entsprechend anpassen. Strafbarkeitslücken können sich dann ergeben, wenn der Computerwurm ohne die dargestellten Einträge unbemerkt Trojaner installiert. Allerdings ist dann Art. 143bis sStGB aufgrund des Eindringens erfüllt. Strafbarkeitslücken, die daraus resultieren, dass der Täter mit Bereicherungsabsicht handelt, werden über Art. 143 sStGB geschlossen, wenn sich der Täter tatsächlich Daten aus dem betroffenen System beschafft.

IV. Spammails 1. Vorgehensweise Konkrete Gefahren für die Computersysteme gehen von Spammails nicht aus.181 Bei Spammails182 erfolgt nur eine massenhafte Versendung von Werbung via Email. Hierdurch werden Postfächer unnötig überfüllt und es kann aufgrund des Einsatzes von Spamfiltern dazu kommen, dass reguläre Emails nicht mehr beim Empfänger ankommen. Trotz der grundsätzlichen Ungefährlichkeit von Spammails gehen die Kosten für deren Unterbindung in die Milliarden.183 Nach aktuellen Studien sind heutzutage 90 Prozent des E-Mail-Verkehrs in Unternehmen Spammails.184 Andere schätzen die täglich versandten Spammails auf über eine Milliarde.185 der Ausschluss der Rechtswidrigkeit aufgrund mutmaßlicher Einwilligung des Betreibers. 181 Hinsichtlich der Gegenmaßnahmen zur Bekämpfung von Spam, vgl. Hoeren, NJW 2004, 3513 ff. 182 Spam ist die Kurzform für Spiced pork and ham; in dem Film Monty Pythons Flying Circus wurde dieser Begriff innerhalb weniger Minuten mehr als 120-mal wiederholt, vgl. Ernst, NJW 2003, 3233 (3235). Nach einer anderen Theorie steht Spam für Send Phenomenal Amounts of Mail, vgl. Helm, S. 165 (167). 183 Hoeren, NJW 2004, 3513. 184 Greif, Panda meldet 90 Prozent Spam-Anteil in Unternehmen, http://www. zdnet.de/news/wirtschaft_sicherheit_security_panda_meldet_90_prozent_spam_anteil _in_unternehmen_story-39001024-3920184 8-1.htm (Stand: 4. Januar 2011). 185 Curtis, Spam-Flut außer Kontrolle: Wie Sie den Kampf gewinnen, http:// www.zdnet.de/it_business_technik_spam_flut_ausser_kontrolle_wie_sie_den_kampf_ge winnen_story-11000009-2131934-1.htm (Stand: 4. Januar 2011).

228

G. Unterschiede zwischen den jeweiligen Regelungen

2. Strafbarkeit § 303a dStGB scheidet aus, weil Spammails keine Daten verändern, sondern nur neue Daten schaffen. § 303b Abs. 1 Nr. 2 dStGB ist allenfalls dann erfüllt, wenn der Täter eine Spamflut vergleichbar mit einer DoS-Attacke vornimmt.186 Ansonsten kommt nur eine Ordnungswidrigkeit entsprechend dem Telemediengesetz in Betracht, die mit einer Geldbuße von bis zu EUR 50.000 geahndet werden kann.187 Alternativ bestehen Ansprüche auf Unterlassung und Schadensersatz nach den Vorschriften des Gesetzes gegen den unlauteren Wettbewerb.188 Die Ausführungen zu § 303b Abs. 1 Nr. 2 dStGB sind auf § 126b öStGB übertragbar. Die Straflosigkeit des Spamming in Österreich ist auch dem Willen des Gesetzgebers189 zu entnehmen, weil er Spamming nur als Verwaltungsübertretung mit einer Geldstrafe von bis zu EUR 37.000 ahnden wollte.190 Allerdings lässt sich den Gesetzesmaterialien auch entnehmen, dass dies nicht für Spamming gelten solle, bei dem durch einen Versand einer Vielzahl von Emails an nur einen Empfänger dessen System lahmgelegt wird.191 In solchen Konstellationen ist nach den Ausführungen in der Gesetzesbegründung § 126b öStGB anwendbar. Anders als im deutschen und österreichischen Strafrecht führt nicht einmal eine Spamflut zu einer Erfüllung des Tatbestandes des Art. 144bis sStGB, weil das Unterdrücken von Daten nicht strafbar ist. Allerdings wird in der Schweiz Spamming im Rahmen des Gesetzes gegen den unlauteren Wettbewerb mit Freiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bestraft, vgl. Art. 23 S. 1192 i. V. m. Art. 3 lit. o193 des Bundesgesetzes gegen den unlauteren Wettbewerb.194 186 Auch Mail-Bombing genannt, vgl. Ernst, NJW 2003, 3233 (3235). Dabei erhält das Opfer derart viele Mails, dass seine Datenverarbeitungsanlage zum Erliegen kommt und er nicht mehr auf seine Daten zugreifen kann. 187 Vgl. § 16 Abs. 1, 3 und § 6 Abs. 2 TMG. 188 Vgl. § 7 Abs. 2 Nr. 3 i. V. m. §§ 8 und 9 UWG. 189 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 190 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 191 Erläuternde Bemerkungen zur Regierungsvorlage zum Strafrechtsänderungsgesetz 2002, S. 28, http://www.parlament.gv.at/PG/DE/XXI/I/I_01166/fname_ 000784.pdf (Stand: 4. Januar 2011). 192 Wortlaut des Art. 23 S. 1 des Bundesgesetzes gegen den unlauteren Wettbewerb:

IV. Spammails

229

Somit bleibt festzuhalten, dass abgesehen von DoS-Attacken durch Spammails in Deutschland und Österreich eine Strafbarkeit ausscheidet. Bei der Frage, ob der Versand von Spammails strafrechtlich sanktioniert werden sollte, ist zu berücksichtigen, dass konkrete Gefahren für die Computersysteme von Spammails nicht ausgehen, sondern dass sie nur erheblichen technischen, zeitlichen und personellen Aufwand verursachen.195 Über den bloßen Versand hinausgehende Aktivitäten, wie das Installieren von Schadsoftware, sind bereits strafrechtlich erfasst. Der schweizerische Gesetzgeber schießt mit einer Freiheitsstrafe von bis zu drei Jahren hingegen weit über das Ziel hinaus. Beim bloßen Versand von Spammails liegt noch keine ausreichende kriminelle Energie vor, die strafrechtliche Sanktionen erforderlich macht. Es handelt sich schließlich nur um eine aufdringliche Form von Werbung, sodass der dem deutschen Recht zu entnehmende Anspruch auf Unterlassung und Schadensersatz ausreicht. Auch das Einwerfen von Werbematerial in den Briefkasten muss nicht strafrechtlich verfolgt werden, auch wenn der Täter trotz eines Aufklebers „Keine Werbung“ Werbematerial in den Briefkasten wirft. Des Weiteren wird über die heutzutage verfügbaren Spamfilter ein Großteil der Spammails bereits auf Serverebene herausgefiltert und bei nicht eindeutig einzuordnenden Emails der Inhaber des Accounts auf den Spamverdacht hingewiesen.

Wer vorsätzlich unlauteren Wettbewerb nach Artikel 3, 4, 4a, 5 oder 6 begeht, wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 193 Wortlaut des Art. 3 lit. o des Bundesgesetzes gegen den unlauteren Wettbewerb: Unlauter handelt insbesondere, wer: Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet oder solche Sendungen veranlasst und es dabei unterlässt, vorher die Einwilligung der Kunden einzuholen, den korrekten Absender anzugeben oder auf eine problemlose und kostenlose Ablehnungsmöglichkeit hinzuweisen; wer beim Verkauf von Waren, Werken oder Leistungen Kontaktinformationen von Kunden erhält und dabei auf die Ablehnungsmöglichkeit hinweist, handelt nicht unlauter, wenn er diesen Kunden ohne deren Einwilligung Massenwerbung für eigene ähnliche Waren, Werke oder Leistungen sendet. 194 Eidgenössisches Justiz- und Polizeidepartement, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, S. 10, http://www.ejpd.admin.ch/content/dam/data/krimi nalitaet/gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). 195 Hoeren, NJW 2004, 3513.

230

G. Unterschiede zwischen den jeweiligen Regelungen

V. Phishing Beim Phishing196 handelt es sich um eine der momentan besorgniserregendsten und gefährlichsten Vorgehensweisen im Bereich der Computerkriminalität. Bereits im Jahre 2004 wurde allein im US-amerikanischen Raum der jährliche Schaden auf bis zu US-$ 2,4 Mrd. geschätzt.197 1. Entwicklungsgeschichte des Phishings Erstmals dokumentiert wurde das Phishing in der Newsgroup198 „alt.2600“; es findet sich dort ein Posting199 vom 28. Januar 1996.200 Ursprünglich wurde das Phishing eingesetzt, um Zugang zu Internetaccounts zu erhalten und dadurch kostenlos bzw. auf fremde Kosten zu surfen. Solche Accounts mit bekannten Zugangsdaten wurden in der Hackerszene Phishes genannt und untereinander gehandelt.201 Mit dem Preisverfall bei den Internetgebühren wurde das Phishing aber uninteressant. Interessant wurde das Phishing wieder mit der Einführung des Onlinebankings und der Internetauktionen wie ebay.202 Während ursprünglich nur amerikanische Banken betroffen waren, datieren die ersten Angriffe auf deutsche Onlineaccounts auf das Jahr 2004.203 In den Anfängen waren die Phishingver196

Hinsichtlich der Herkunft der Bezeichnung Phishing gibt es verschiedene Möglichkeiten. Teilweise wird vertreten, Phishing sei eine Kombination der Worte password und fishing, vgl. Borges, NJW 2005, 3313; Marberth-Kubicki, DRiZ 2007, 212. Nach anderer Ansicht handelt es sich um das in Hackerkreisen übliche Phänomen ein f durch ein ph zu ersetzen, sog. „leetspeak“ der amerikanischen Hackerszene, sodass es sich letztlich nur um eine veränderte Schreibweise handelt, vgl. Gercke, CR 2005, 606; Stuckenberg, ZStW 118 (2006), S. 878 (879). Dies lässt sich aber nicht durch den Verweis auf das bereits oben angesprochene Phreaking belegen, da dieses sich aus den Begriffen phone und freaking zusammensetzt und im Begriff phone das ph vorkommt, vgl. Fox, DuD 2005, 365. Daher hat sich eine dritte Auffassung dahin gehend entwickelt, dass sich der Begriff aus den Wörtern password harvesting (and) fishing zusammengesetzt. Diese Ansicht ist die einzige, die die Herkunft des h im Begriff Phishing sinnvoll erklären kann. 197 Popp, NJW 2004, 3517; Rentrop, Phishing verursacht Milliarden-Schäden, http://www.netzwelt.de/news/66417-phishing-verursacht-milliarden-schae.html (Stand: 4. Januar 2011). 198 Hierbei handelt es sich um eine Art globale schwarze Bretter zum Austausch von Informationen, Kommentaren, Kritiken oder Meinungen, vgl. Malek, Kap. II Rn. 37 ff.; Vetter, S. 20. 199 Als Posting bezeichnet man jede Mitteilung im Rahmen einer Newsgroup oder eines Forums. 200 Fox, DuD 2005, 365. 201 Fox, DuD 2005, 365. 202 Ammann, AJP 2006, 195 (197); Borges, NJW 2005, 3313. 203 Fox, DuD 2005, 365.

V. Phishing

231

suche aufgrund der schlechten Rechtschreibung und Aufmachung204 eindeutig von den offiziellen Schreiben der Banken zu unterscheiden.205 Nachdem aber von den Cyberkriminellen die Lukrativität dieser Vorgehensweise erkannt worden war, weil bereits im Jahre 2005 ca. 30 Millionen Bankkonten in Deutschland online geführt wurden206, wurde die äußerliche Aufmachung erheblich verbessert. 2. Vorgehensweise Beim Phishing versucht der Täter, mittels Social Engineerings an die persönlichen Daten des Opfers zu gelangen.207 Social Engineering208 ist eine Form des Identity Theft, beim dem mittels gezielten Manipulierens das potenzielle Opfer dazu veranlasst werden soll, sensible Daten zu offenbaren.209 Dies kann auf verschiedenste Art und Weise geschehen, beispielsweise via Telefon, Email, Post etc. Dabei gestaltet der Täter die Kommunikation derart, dass das Opfer entweder vollstes Vertrauen gewinnt, unter Handlungsdruck gerät oder verwirrt wird210, wodurch das Erlangen von Informationen erheblich vereinfacht wird. Beim Phishing erfolgt das Social Engineering meist durch Nutzung von Spammailserver, über die unzählige Emails verschickt werden. Um den Eindruck zu erwecken, von der jeweiligen Bank, ebay etc. zu stammen, erfolgt eine Angleichung der Aufmachung der Email durch das Kopieren des Corporate Designs.211 In dieser Email wird der jeweilige Adressat unter diversen Vorwänden aufgefordert, unter Verwendung des in der Email angegebenen Links die Homepage des vermeintlichen Absenders aufzurufen.212 Der Link ist dabei derart manipuliert, dass sich entweder hinter dem tatsächlich korrekten Link ein falscher Link befindet oder der Link einen kaum wahrnehmbaren Schreibfehler aufweist.213 Der tatsächliche Link führt auf eine vom Phisher gefälschte Website, sog. „URL-Spoofing“.214 Diese Website, sog. „Spoof-Site“215, ist so 204

Graf, NStZ 2007, 129 (131). Gercke, CR 2005, 606. 206 Borges, NJW 2005, 3313. 207 Maßnahmen zur Vermeidung des Social Engineering, vgl. Weßelmann, DuD 2008, 601 ff. 208 Englisch für Soziale Technik; alternativ werden auch die Begriffe Social Hacking oder Human Engineering gebraucht, vgl. Pfister, S. 34. 209 Lardschneider, DuD 2008, 574 (576); Weßelmann, DuD 2008, 601. 210 Lardschneider, DuD 2008, 574 (576). 211 Gercke, CR 2005, 606; teilweise werden die Websites von Banken vollständig kopiert. 212 Popp, NJW 2004, 3517 (3518). 213 Fox, DuD 2005, 365. 214 Popp, NJW 2004, 3517 (3518). 205

232

G. Unterschiede zwischen den jeweiligen Regelungen

gestaltet, dass für den Laien nicht erkennbar ist, dass er sich nicht auf der vermeintlichen Website befindet. Gegebenenfalls wird im Rahmen des Besuchs der Website auch gleichzeitig eine Schadsoftware installiert, sog. „drive-by-virus“.216 Dies geschieht meist durch das Ausnutzen von Exploits. Hierbei werden automatisiert Sicherheitslücken zur Erlangung von Administratorrechten auf dem betroffenen System genutzt.217 3. Vermeidbarkeit Allerdings ist es ein Leichtes, Phishing zu vermeiden, indem man entweder den Link genau kontrolliert, die Internetadresse manuell eingibt oder Websites, wie Onlinebanking und ebay, in den Lesezeichen speichert und diese hierüber anwählt.218 Darüber hinaus wird das Phishing durch die Banken erheblich eingeschränkt, indem nicht mehr jede Tan eingegeben werden kann, sondern nur noch eine bestimmte, die in Kombination mit der dazugehörenden Listennummer gesetzt werden muss, sog. „iTan“.219 Allerdings können auch solche iTan-Verfahren durch den Einsatz von Trojanern im Rahmen von Man-in-the-Middle-Angriffen220 wieder ausgehebelt werden.221 Letztlich lassen sich Phishingversuche auch dadurch erkennen, 215

Goeckenjan, wistra 2009, 47 (48); Stuckenberg, ZStW 118 (2006), S. 878

(879). 216

Fox, DuD 2005, 365. Lindner, Stellungnahme zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656), S. 3, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/ Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Lindner.pdf (Stand: 10. Februar 2010); Ziemann, Neuer IE-Exploit schon im Einsatz, http://www. pcwelt.de/start/sicherheit/sicherheitsluecken/news/75801/neuer_ie_exploit_schon_ im_einsatz/index.html (Stand: 4. Januar 2011). 218 Eine Weiterentwicklung ist das Pharming. Der Unterschied zum obigen Phishing besteht darin, dass der User nicht über einen Link in einer Email, sondern mittels Manipulation seines Browsers, auf die falsche Seite gelotst wird, was das Pharming so gefährlich macht, da es insbesondere für Laien kaum erkennbar ist, vgl. zum Pharming Popp, MMR 2006, 84. 219 Goeckenjan, wistra 2009, 47 (48). 220 Bei den Man-in-the-Middle-Angriffen schaltet sich der Angreifer bei der Kommunikation zwischen Sender und Empfänger und gibt beiden Seiten vor, der jeweils andere Teilnehmer zu sein. Er hört somit die Kommunikation ab, vgl. Hoppe/Prieß, S. 34. Bei Datenmanipulationen im Rahmen von Man-in-the-MiddleAngriffen ist stets zwischen aktiven und passiven Angriffen zu unterscheiden. Bei den aktiven Angriffen wird die aktuelle Kommunikation manipuliert, wohingegen bei den passiven Angriffen die Information zunächst ausgespäht, gesammelt und zeitlich versetzt eingesetzt wird. 221 Borchert, Trojanersichere Online Accounts, http://www2-fs.informatik.unituebingen.de/~borchert/Troja/ (Stand: 4. Januar 2011). 217

V. Phishing

233

dass Banken, ebay etc. nie in Emails nach Pins, Tans oder sonstigen Passwörtern fragen. 4. Strafbarkeit a) Deutschland In Deutschland kommt eine Strafbarkeit gemäß § 202a dStGB222 sowohl beim Verschaffen der Zugangsdaten als auch beim Zugangverschaffen zum Onlineaccount in Betracht.223 aa) Verschaffen der Zugangsdaten Bei den Zugangsdaten handelt es sich um Daten, da sie durch nicht unmittelbar wahrnehmbare Zeichen und kontinuierliche Funktionen dargestellte Informationen sind, die sich als Gegenstand oder Mittel der Datenverarbeitung für eine Datenverarbeitungsanlage codieren lassen.224 Bei Onlinebankingdaten handelt es sich zwar ursprünglich nicht um Daten, da diese in Papierform visuell wahrnehmbar sind.225 Jedoch entstehen die Daten im Zeitpunkt der Eingabe durch das Opfer mittels Tastatur, weil sie hierdurch binär codiert und übermittelt werden.226 Eine Strafbarkeit des Da222 Fischer, § 202a Rn. 9a; Gercke, CR 2005, 608; Knupfer, MMR 2004, 641; NK-Kargl, § 202a Rn. 10; SSW-Bosch, § 202a Rn. 9. § 202b dStGB scheidet aus, weil der Täter keine Datenübertragung abfängt, sondern das Opfer durch den Versand erst eine Datenübertragung an den Täter herstellt, vgl. BeckOK-Weidemann, § 202b Rn. 9; Ernst, NJW 2007, 2661 (2662); Goeckenjan, wistra 2009, 47 (50 f.); Marberth-Kubicki, ITRB 2008, 17; Schönke/Schröder-Eisele, § 202b Rn. 3; Schultz, DuD 2006, 778 (781); a. A. Borges/Stuckenberg/Wegener, DuD 2007, 275 (277). 223 Bei der Bestimmung der Strafbarkeit muss grundsätzlich zwischen dem Versand der Phishing-Mails, der Erlangung der Pins und Tans und dem Eingeben der Pins, um einen Einblick in die Kontodaten zu erhalten, unterschieden werden. Zur Frage der Strafbarkeit des Versands der Emails als Fälschung beweiserheblicher Daten gemäß § 269 dStGB, vgl. Gercke, CR 2005, 606 (608 ff.); Graf, NStZ 2007, 129 (131); einen eigenständigen Phishing-Tatbestand als § 202d dStGB fordern Graf, Stellungnahme zur öffentlichen Anhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 in Berlin zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656), S. 8, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Com puterkriminalitaet/04_Stellungnahmen/Stellungnahme_Graf.pdf (Stand: 10. Februar 2010); Gercke, ZUM 2005, 612 (618); Stuckenberg, ZStW 118 (2006), S. 878 (886 ff.). 224 Goeckenjan, wistra 2009, 47 (49); Stuckenberg, ZStW 118 (2006), S. 878 (883 f.). 225 Graf, NStZ 2007, 129 (131); Popp, MMR 2006, 84 (85); Schönke/SchröderLenckner/Eisele, § 202a Rn. 4, 5.

234

G. Unterschiede zwischen den jeweiligen Regelungen

tenverschaffens gemäß § 202a dStGB scheidet aber aufgrund des Tatbestandsmerkmals „besondere Sicherung“ aus, weil die Daten vom Opfer an den Täter mittels Email versandt oder auf der fingierten Homepage eingegeben werden und der Täter daher keine Sicherungsmaßnahmen überwinden bzw. umgehen muss.227 Mangels Einschlägigkeit des § 202a dStGB kommt somit allenfalls eine Strafbarkeit des § 202c Abs. 1 Nr. 1 dStGB in Betracht, weil das Verschaffen der Passwörter dem späteren unberechtigten Zugang zum jeweiligen Onlineaccount dient. Ein Sich-Verschaffen liegt vor, wenn der Täter die Passwörter in seine Verfügungsgewalt bringt.228 Maßgeblich ist folglich der Zeitpunkt, in dem das Opfer aufgrund des Social Engineerings die Passwörter übermittelt und der Täter diese empfangen hat. Ob es tatsächlich zu einer Verwendung der Daten kommt, ist unerheblich, da es nur auf die Vorbereitung des Ausspähens von Daten ankommt. § 202c Abs. 1 Nr. 1 dStGB ist daher im Zeitpunkt des Erhalts der Pins und der Tans erfüllt.229 Allerdings ist § 202c dStGB nur dann zu bejahen, wenn auch der Zugang zum Onlineaccount von § 202a dStGB erfasst wird, weil es einer strafbaren vorzubereitenden Haupttat bedarf. bb) Verschaffen des Zugangs zum Onlineaccount Aufgrund der erforderlichen Pins und Tans ist unstrittig eine besondere Sicherung im Sinne des § 202a dStGB gegeben, weil dadurch der unbefugte Zugriff auf die Kontodaten, sog. „Impersonating“230, zumindest erheblich erschwert werden soll.231 Allerdings könnte das Opfer durch die Weitergabe 226 A. A. Fischer, § 202a Rn. 11; NK-Kargl, § 202a Rn. 12; Stuckenberg, ZStW 118 (2006), S. 878 (884). 227 Graf, NStZ 2007, 129 (131); Hilgendorf, Kurze Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität für die öffentliche Anhörung im Rechtsausschuss des Deutschen Bundestages am Mittwoch, dem 21. März 2007, S. 10, http://www.bundestag.de/bundestag/ausschuesse/ a06/anhoerungen/Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellungnah me_Hilgendorf.pdf (Stand: 10. Februar 2010). 228 BT-Drs. 16/3656, S. 11. 229 So auch Borges/Stuckenberg/Wegener, DuD 2007, 275 (277 ff.); Goeckenjan, wistra 2009, 47 (54); LK-Hilgendorf, § 202c Rn. 10; Schulz, DuD 2006, 778 (781); offengelassen von Fischer, § 202c Rn. 4. 230 Als Impersonating bezeichnet man das Vorspiegeln der Berechtigung durch Eingabe der richtigen Passwörter. Dabei ist die Art und Weise wie das Passwort erlangt wurde unbeachtlich. Deshalb kann das Passwort bspw. durch Ablesen von Zetteln, durch Social Engineering, Keylogger oder das Guessing erlangt werden. Als Guessing bezeichnet man schlichtweg das Passwortraten. Bei dieser Vorgehensweise, auch Brute-Force-Attacks genannt, sollen die Sicherungsmaßnahmen durch das Erraten des Passwortes umgangen werden, vgl. Malek, Kap. III Rn. 159.

V. Phishing

235

der Zugangsinformation die Zugangsbeschränkung zum Onlineaccount faktisch aufgehoben haben, sodass kein Überwinden einer besonderen Sicherung mehr vorliegt.232 Dies würde jedoch dazu führen, dass entgegen dem vermeintlichen Willen des Gesetzgebers die Regelung des § 202c dStGB bezüglich des Tatbestandsmerkmal „Passwörter“ in diesem Zusammenhang weitestgehend leerlaufen würde, weil es folglich an der rechtswidrigen Haupttat fehlen würde.233 Konsequenterweise darf daher nicht ausschließlich auf den Zeitpunkt der Eingabe des Passwortes abgestellt werden, sondern es muss das vorausgehende Verhalten des Täters bei der Bestimmung der Sicherung des Onlineaccounts berücksichtigt werden.234 Eine Strafbarkeit könnte jedoch aufgrund eines tatbestandsausschließenden Einverständnisses ausscheiden, weil das Opfer die Daten an den Täter verschickt und dabei aus objektiver Sicht im Zeitpunkt der Tathandlung grundsätzlich erkennbar ist, dass der Täter ein Verfügungsrecht über die Daten erlangen sollte.235 Daher könnten die Daten für den Täter bestimmt sein.236 Grundsätzlich wird ein solches Einverständnis von Täuschungen nicht beeinflusst.237 Teilweise wird jedoch im Rahmen des tatbestandsausschließenden Einverständnisses anhand der Vorstellungen des Opfers differenziert.238 Dabei soll es darauf ankommen, ob das Opfer davon ausging, dass dem Täter als vermeintlichem Bankmitarbeiter die Daten bereits bekannt waren oder nicht. Im ersten Fall fehle es dann am Willen des Opfers, sein Geheimhaltungsinteresse aufzugeben. Im zweiten Falle hingegen gebe das Opfer sein Geheimhaltungsinteresse bewusst auf, sodass ein tatbestandsausschließendes Einverständnis vorliege. Eine solche Differenzierung anhand der Vorstellungen des Opfers ist allerdings in der Praxis kaum durchführbar. Daher sollte stattdessen hinsichtlich des Vorliegens der Voraussetzungen des tatbestandsausschließenden Einverständnisses nach dem Grund der Kontaktaufnahme differenziert werden, sodass dieses nur begrenzt in 231

Goeckenjan, wistra 2009, 47 (52). Graf, NStZ 2007, 129 (131); Popp, MMR 2006, 86; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 10a. 233 BT-Drs. 16/3656, 16; Rengier, Strafrecht Besonderer Teil II, Kap. 6, § 31 Rn. 39. 234 Vgl. Gercke, CR 2005, 606 (611). 235 SSW-Bosch, § 202a Rn. 4. 236 HK-GS-Tag, § 202a Rn. 6; LK-Hilgendorf, § 202a Rn. 25; NK-Kargl, § 202a Rn. 8; Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 6; SK-Hoyer, § 202a Rn. 13; SSW-Bosch, § 202a Rn. 9; a. A. Fischer, § 202a Rn. 12, wonach es sich um eine Einwilligung handelt. Eine solche scheidet beim Phishing aber immer aus, da die aufgrund der Täuschung erlangte Einwilligung stets unbeachtlich sind. 237 LK-Hilgendorf, § 202a Rn. 25; a. A. SSW-Bosch, § 202a Rn. 9, der bei einer Täuschung ein Einverständnis als wirkungslos betrachtet. 238 Popp, NJW 2004, 3517 (3518). 232

236

G. Unterschiede zwischen den jeweiligen Regelungen

Bezug auf bestimmte Punkte erteilt wird. In den Telefonaten oder Emails wird meist der Grund für die Kontaktaufnahme mitgeteilt, der oft darin besteht, dass die Übermittlung von Pins und Tans zur Verbesserung bestimmter Sicherheitsmaßnahmen erforderlich sei. Übersendet das Opfer nun diese Daten, erklärt es sich mit der Verbesserung der Sicherheitsmaßnahmen einverstanden, sodass sich das Einverständnis hierauf beschränkt. Nicht erfasst wird aber das vollumfängliche Zugangverschaffen zu dem jeweiligen Account.239 Somit scheitert beim Phishing eine Strafbarkeit auch nicht an einem tatbestandsausschließenden Einverständnis. Keine Probleme ergeben sich im Hinblick auf das subjektive Element. Der erforderliche Vorsatz liegt vor, weil für den Täter aufgrund seiner selbst verfassten Email klar erkennbar ist, dass er keinen Zugang zum Onlineaccount zur Vornahme von Überweisungen etc. haben soll. § 202a dStGB wird beim Zugang zum Onlineaccount beim Phishing somit erfüllt.240 b) Österreich Im österreichischen Strafrecht kommt beim Verschaffen der Zugangsdaten eine Strafbarkeit gemäß § 126c Abs. 1 Nr. 2 öStGB und beim Zugangverschaffen zum Onlineaccount eine Strafbarkeit gemäß § 118a öStGB in Betracht. aa) Verschaffen der Zugangsdaten Im öStGB ist der Tatbestand des § 126c Abs. 1 Nr. 2 öStGB erfüllt, da es sich bei den Pins und Tans um Zugangspasswörter handelt, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen.241 Ein solcher Teil eines Systems ist das Onlinekonto auf dem Bankserver, weil der Täter durch die Pins und Tans vollen Zugriff hat und daher die zur Verfügung gestellten Funktionen nutzen kann. Allerdings ist auch im öStGB erforderlich, dass eine Tat nach § 118a öStGB vorbereitet wird. bb) Verschaffen des Zugangs zum Onlineaccount Eine Strafbarkeit gemäß § 118a öStGB kommt in Betracht, sobald sich der Täter Zugang zum Onlineaccount verschafft, da ein solcher Teil eines Computersystems ist. Anders als im deutschen Strafrecht stellt sich nicht 239

So auch Gercke, CR 2005, 606 (611) und Goeckenjan, wistra 2009, 47 (52). Unter anderem das sich hieran anschließende Ausführen von Überweisungen stellt ein strafbares Datenverändern gemäß § 303a dStGB dar. 241 WK-Reindl-Krauskopf, § 126c Rn. 10. 240

V. Phishing

237

die Problematik eines Einverständnisses, weil es auf die Verfügungsbefugnis über das Computersystem ankommt. Die Verfügungsbefugnis liegt aber bei der, den Online-Banking-Server betreibenden Bank, sodass eine Einwilligung eines einzelnen Kunden auf die Erfüllung des Tatbestandes keinen Einfluss haben kann, weil die Verfügungsbefugnis überhaupt nicht zur Disposition des einzelnen Kunden steht. Beim Phishing ergeben sich ferner auch keine Probleme mit den strengen Anforderungen im subjektiven Tatbestand, weil der Täter die Daten zur Kenntnis nehmen, verwenden, sich bereichern und einen Anderen schädigen will. c) Schweiz In der Schweiz könnte sich der Täter sowohl beim Verschaffen der Zugangsdaten als auch beim Zugangverschaffen zum Onlineaccount gemäß Art. 143 sStGB strafbar machen. Art. 143bis sStGB scheidet hingegen immer aus, weil der Täter immer mit Bereicherungsabsicht handeln wird.242 Beim Verschaffen der Daten ist Art. 143 sStGB jedoch nicht anwendbar, weil es an der erforderlichen Sicherung fehlt.243 Eine Vorbereitungshandlung wie im dStGB und öStGB gibt es im sStGB nicht. Beim Zugangverschaffen zum Onlineaccount ist Art. 143 sStGB einschlägig, weil der Täter durch das Eingeben der Zugangsdaten die Möglichkeit bekommt, mit den Kontodaten frei zu arbeiten, sodass ein Datenbeschaffen bezüglich der Daten des Onlineaccounts gegeben ist.244 d) Zusammenfassendes Ergebnis Im Ergebnis ist festzuhalten, dass zwischen der deutschen und der österreichischen Fassung keine Unterschiede bei der Bestrafung des Phishing zu erkennen sind, weil das Zugangverschaffen zum Onlineaccount sowohl unter § 202a dStGB als auch unter § 118a öStGB und das Verschaffen der Pins und Tans unter § 202c dStGB und § 126c öStGB subsumiert werden kann. Im sStGB ist das Phishing hingegen nur unzureichend erfasst, weil nur der tatsächliche Zugang zum Onlineaccount strafrechtlich sanktioniert wird. Der schweizerische Gesetzgeber sollte das Strafrecht an die aktuellen Bedrohungen anpassen und das Phishing insgesamt unter Strafe stellen. 242

Ammann, AJP 2006, 195 (198). Ammann, AJP 2006, 195 (197, 202). 244 A. A. Ammann, AJP 2006, 195 (202 f.), der nur von einer Strafbarkeit gemäß Art. 147 sStGB ausgeht. Er begründet seine Ansicht damit, dass Art. 143 sStGB an der erforderlichen besonderen Sicherung scheitere und Art. 143bis sStGB nicht einschlägig sei, weil der Täter weder Zugangsschranken überwindet noch aktiv ausschaltet. 243

238

G. Unterschiede zwischen den jeweiligen Regelungen

VI. Schwarzsurfen Als weitere Tatmodalität im Rahmen der Computerkriminalität kommt das Schwarzsurfen über einen fremden Internetaccount in Betracht. Dabei loggt sich der Computeruser in ein fremdes Funknetzwerk ein. 1. Funktionsweise des WLAN und Vorgehensweise der Schwarzsurfer Heutzutage sind Internetverbindungen über sog. „Wireless Local Area Networks“, kurz WLANs245, weit verbreitet, bei denen man kabelunabhängigen Zugang zum Internet hat. Bei WLANs gibt es zwei verschiedene Möglichkeiten, diese zu betreiben.246 Die eine ist das Ad-hoc-Verfahren, bei dem zwei Geräte direkt miteinander verbunden werden. Üblich ist jedoch der Infrastrukturmodus, bei dem das Netzwerk für eine unbestimmte Anzahl von Clients geöffnet wird. Mittels eines Routers können sich die Clients dann ins Netzwerk eingliedern und miteinander kommunizieren oder sich mit dem Internet verbinden. Dabei bekommt jeder Client eine eigene interne IP-Adresse zugewiesen, indem der Router derart vorkonfiguriert wird, dass er mittels Dynamic-Host-Configuration-Protocol (DHCP) automatisch an jeden Teilnehmer, der sich anmeldet, eine IP-Adresse vergibt.247 Die Funkübertragung erfolgt über einen Access Point, der an den Router angeschlossen wird und die Signale aussendet. Der Access Point fungiert als eine zentrale Funkbrücke, über die die Kommunikation mehrerer Clients abläuft.248 Für die Teilnahme am WLAN-Verkehr bedarf es nur geringen technischen Equipments, das an jedem Computer angebracht werden kann. Dazu zählt eine entsprechende Empfangskarte, wie eine PCM/ CIA-Karte oder ein USB-Stecksatz.249 Bei WLAN-Verbindungen ist unter guten Umständen in Räumen eine Reichweite von 100 Metern möglich.250 Auf einer freien Fläche kann sie hingegen bis zu 300 Meter betragen.251 Das WLAN ist daher nicht auf die eigenen vier Wände begrenzt und hat deshalb den Nachteil, dass Dritte auf das Funknetzwerk zugreifen können.

245 246 247 248 249 250 251

Malpricht, ITRB 2008, 42. Ernst/Spoenle, CR 2008, 439 (440). Ernst/Spoenle, CR 2008, 439 (440). Bär, MMR 2005, 434 (435). Ernst, CR 2003, 898. Ernst, CR 2003, 898. Gietl, DuD 2006, 37.

VI. Schwarzsurfen

239

2. Unterbindungsmöglichkeiten a) WEP- und WPA-Verschlüsselung In Betracht kommt eine Verschlüsselung der Verbindung über das WiredEquivalent-Privacy-Protocol (WEP) oder über den Wi-Fi Protected Access (WPA).252 Im Rahmen von WEP wird für den Funkverkehr zwischen Router und Client ein gemeinsamer Schlüssel verwendet. Dieser Schlüssel ist entweder 64 oder 128 bit lang. Bei Aufnahme der Funkverbindung sendet der Router zufällig zusammengestellte Bytes an den Client. Dieser muss dann das vorliegende Datenpaket mittels des vorher festgelegten Schlüssels verschlüsseln und zurücksenden. Nach der Entschlüsselung gleicht der Router das Ergebnis mit seinem losgeschickten Datensatz ab. Stimmt es überein, hat sich der Client ausreichend authentifiziert.253 Jedoch hat sich WEP als äußerst unsicher erwiesen, sodass mittlerweile empfohlen wird, ausschließlich auf WPA oder WPA 2 zurückzugreifen. Bisherige Angriffe auf WEP-verschlüsselte Netzwerke brauchten noch zehn Minuten sowie 500.000 bis zwei Millionen abgefangene Datenpakete. Eine Arbeitsgruppe der TU Darmstadt hat aber bereits im Jahr 2007 ein Verfahren entwickelt, wodurch diese Werte auf unter 100.000 Datenpakete reduziert werden, womit sich auch die benötigte Zeit auf unter eine Minute verringert.254 b) Mac-Filtertabelle Eine weitere Möglichkeit, eine Fremdnutzung zu unterbinden, ist die Einrichtung einer sog. „Mac-Filtertabelle“. Jeder Netzwerkkarte ist eine Hardwareadresse zugeteilt. Dies ist die Media-Access-Control-Adresse, kurz Mac-Adresse.255 Trägt man diese Adresse in die Mac-Filtertabelle des Routers ein, so darf nur diese Netzwerkkarte mit dem Router kommunizieren und am Netzverkehr teilnehmen. Allerdings garantiert auch diese Vorgehensweise keine vollständige Sicherheit, da der Netzwerkverkehr abgehört und dadurch die Mac-Adresse herausgefunden werden kann. Der Fremdnutzer kann dem Router dann suggerieren, dass er die maßgebliche Mac-Adresse sei.256 252 Armbrüster, WPA/WEP, http://www.macwelt.de/artikel/Glossar/364931/wpa_ wep/1 (Stand: 4. Januar 2011). 253 Bär, MMR 2004, 434 (435). 254 Ziemann, WLAN: WEP in kaum einer Minute entschlüsselt, http://www. pcwelt.de/start/sicherheit/sonstiges/news/76435/wlan_wep_in_kaum_einer_minute_ entschluesselt/index.html (Stand: 4. Januar 2011). 255 Diese erhält man bei Eingabe von „ipconfig“ in der Eingabeaufforderung; alternativ ist sie auf der Netzwerkkarte vermerkt.

240

G. Unterschiede zwischen den jeweiligen Regelungen

c) Unterbindung der SSID-Ausstrahlung Eine weitere Möglichkeit besteht in der Unterbindung der Ausstrahlung der Service-Set-Identity, kurz SSID. Normalerweise strahlt jeder Router seine SSID aus. Dadurch ist er für jeden WLAN-fähigen Computer sichtbar und somit auch mögliches Angriffsziel. Stellt man den Router jedoch so ein, dass er unsichtbar ist, bedarf es eines besonderen technischen Knowhows, um diesen zu finden. Allerdings genügt in den Händen eines versierten Hackers bereits ein WLAN-fähiger PC i. V. m. einem Tool wie dem Linux-WLAN-Sniffer „Kismet“, um das versteckte WLAN zu finden.257 Daher darf das Unterbinden der SSID keinesfalls als Alternative zu einer Verschlüsselung eingesetzt werden. d) Deaktivierung der DHCP-Funktion Durch die Deaktivierung von DHCP erfolgt keine automatische Zuteilung der internen IP-Adresse mehr. Der neue Teilnehmer kann deshalb am Netzverkehr nicht teilnehmen. Insbesondere bei großen Netzwerken ist diese Methode aber sehr zeitaufwendig, da für jeden Client die IP-Adresse manuell eingegeben werden muss. 3. Strafbarkeit a) Deutschland In Deutschland kommt eine Strafbarkeit gemäß §§ 202a oder b dStGB in Betracht. Dabei muss aber zwischen verschlüsselten und unverschlüsselten Netzwerken differenziert werden. § 202a dStGB ist einschlägig, wenn der Täter eine bestehende Verschlüsselung entschlüsselt und sich dadurch den Zugang zum Netzwerk verschafft.258 Beim Mitsurfen auf dem fremden Internetaccount liegt immer ein Verschaffen eines Zugangs zu Daten vor. Die externe IP-Adresse259 stellt Daten im Sinne des § 202a dStGB dar, weil es 256

Bär, MMR 2004, 434 (435). Rentrop, Hacking-Paradies CeBIT: Offene WLANs, so weit das Auge reicht, http://www.netzwelt.de/news/73784-hacking-paradies-cebit-offene-wlans-so-weit-auge -reicht.html (Stand: 4. Januar 2011). 258 Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 8. Nach der Ansicht Gietls ist § 202a dStGB bereits erfüllt, wenn sich der Angreifer das Passwort verschafft, vgl. Gietl, DuD 2006, 37 (38). 259 Zu unterscheiden ist dabei zwischen der externen IP-Adresse, das ist diejenige, die vom Internetprovider zugeteilt wird und mittels der ein Zugang zum Internet erfolgt und der internen, die der Router jedem Teilnehmer des Netzwerkes zu257

VI. Schwarzsurfen

241

sich um in Zeichen verkörperte Informationen in codierter Form handelt, die sich auf den berechtigten Nutzer des Internetanschlusses beziehen.260 Ob der Täter die IP-Adresse tatsächlich wahrnimmt, ist aufgrund der Neufassung des § 202a dStGB irrelevant, weil der Zugang zu Daten bereits ausreicht.261 Mangels besonderer Sicherung262 kann beim Surfen über unverschlüsselte WLAN-Netzwerke263 allenfalls § 202b dStGB aufgrund unbefugter Kommunikation mit dem Router anwendbar sein. Zwar werden beim Einwählen Daten – wie etwa die interne IP-Adresse – vom Router an den Computer versandt. Allerdings wird beim Surfen über unverschlüsselte WLAN-Netzwerke keine bestehende Datenübermittlung abgehört264, sondern lediglich eine neue Verbindung zum Router hergestellt.265 Mangels Anwendbarkeit des § 202b dStGB werden die §§ 148 i. V. m. 89 TKG nicht im Wege der Gesetzeskonkurrenz verdrängt266 und können daher beim Schwarzsurfen über fremde WLAN-Netzwerke grundsätzlich anwendbar sein.267 Allerdings werden keine Nachrichten im Sinne des § 89 TKG abgehört, sondern nur eine fremde Infrastruktur benutzt. § 89 TKG scheidet deshalb aus.268

teilt. Hinsichtlich der internen IP-Adresse liegt kein Zugangverschaffen vor. Diese wird erst im Rahmen der DHCP-Konfiguration dem neuen Teilnehmer zugeteilt und entsteht somit erst in diesem Zeitpunkt. 260 Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 3. 261 Zu § 202a a. F. dStGB und dem Nichtvorliegen des Datenverschaffens vgl. Bär, MMR 2005, 434 (436). 262 Bär, MMR 2005, 434 (436); Schönke/Schröder-Lenckner/Eisele, § 202a Rn. 8; der Einsatz der WLAN-Technologie alleine führt noch nicht zur Bejahung einer besonderen Sicherung, da mittels Erwerb der erforderlichen Hardware der Zugriff auf das Netzwerk ohne weitere Zwischenschritte möglich ist, vgl. Buermeyer, Der strafrechtliche Schutz drahtloser Computernetzwerke (WLANs), 285 (287), http://www.hrr-strafrecht.de/hrr/archiv/04-08/index.php3?seite=7 (Stand: 4. Januar 2011). 263 Zur straf- und zivilrechtlichen Verantwortlichkeit von Betreibern unverschlüsselter Netzwerke, vgl. Gietl, DuD 2006, 37 ff.; Malpricht, ITRB 2008, 42 ff. 264 Zur Strafbarkeit des Abfangens von über WLAN-Netzwerken übertragenen Daten vgl. NK-Kargl, § 202b Rn. 7; SSW-Bosch, § 202b Rn. 2. 265 Schönke/Schröder-Eisele, § 202b Rn. 5. 266 Schönke/Schröder-Eisele, § 202b Rn. 12. 267 So das AG Wuppertal NStZ 2008, 161 ff.; zur Anwendung der §§ 148, 89 TKG beim Abfangen von Nachrichten im Rahmen der Übertragung in unverschlüsselten WLAN-Netzwerken vgl. auch Fischer, § 202b Rn. 2; NK-Kargl, § 202b Rn. 2; SSW-Bosch, § 202b Rn. 2. 268 Gietl, DuD 2006, 37 (38).

242

G. Unterschiede zwischen den jeweiligen Regelungen

b) Österreich Im öStGB ist eine Strafbarkeit gemäß § 118a öStGB möglich, da bei verschlüsselten Netzwerken ein Überwinden spezifischer Sicherheitsvorkehrungen erforderlich ist. Der Zugang zu einem Computersystem bzw. Teilen eines solchen ist entsprechend der Cybercrime Convention weit auszulegen und erfasst daher auch Netzwerkkomponenten – wie einen Router – weil es sich nur um einzelne Teile handeln muss, die Daten verarbeiten oder auch nur transportieren.269 Probleme ergeben sich beim Schwarzsurfen aber wiederum aufgrund der hohen subjektiven Schwelle, weil es meist an der Kenntnisnahmeabsicht, der sog. „Datenspionageabsicht“270, bezüglich der Daten fehlen wird. Eine diesbezügliche Kenntnis ist zum Schwarzsurfen nicht erforderlich, weil der Täter auch ohne Kenntnis von der IP-Adresse am Netzwerkverkehr teilnehmen kann. Mangels Verschlüsselung scheidet § 118a öStGB bei unverschlüsselten Netzwerken aus. Bei den §§ 119 und 120 Abs. 2a öStGB fehlt es bereits am Tatbestandsmerkmal „Nachrichten“. Bei § 119a öStGB mangelt es vergleichbar mit § 202b dStGB am Abfangen von Datenübermittlungen und des Weiteren an der erforderlichen Datenspionageabsicht. c) Schweiz In der Schweiz könnte das Schwarzsurfen über verschlüsselte Netzwerke unter Art. 143 sStGB subsumiert werden. Daten im Sinne des Art. 143 sStGB sind solche Informationen, die in codierter Form271 von einer Datenverarbeitungsanlage verarbeitet, gespeichert oder übermittelt werden können.272 Das Tatbestandsmerkmal „Verschaffen gesicherter Daten“ ist grundsätzlich erfüllt, wenn der Täter die Zugriffsschranken überwunden oder umgangen hat und die Daten für seine Zwecke gebrauchen kann.273 Ein solches Beschaffen liegt aber vor, wenn der Täter über den fremden Router mittels der fremden externen IP-Adresse im Internet surfen kann, weil er über die Daten derart die Herrschaft erlangt hat, dass er diese jederzeit zur Kenntnis nehmen kann. Probleme ergeben sich jedoch im Hinblick auf den subjektiven Tatbestand. Strafbar ist nämlich nur derjenige, der mit Bereicherungsabsicht handelt. Daher scheiden all diejenigen aus, die nicht zur 269

SbgK-Thiele, § 118a Rn. 28. SbgK-Thiele, § 118a Rn. 60; WK-Reindl-Krauskopf, § 118a Rn. 35. 271 D. h. die Information ist ohne den Einsatz einer Datenverarbeitungsanlage nicht erkenn- und verwertbar. 272 Schwarzenegger, Trechsel-Festschrift, S. 305 (313). 273 BK-Weissenberger, Art. 143 Rn. 22. 270

VI. Schwarzsurfen

243

Kostenersparnis, sondern beispielsweise zur Wahrung ihrer Anonymität über den fremden Internetzugang surfen. Diejenigen, die ohne Bereicherungsabsicht in verschlüsselten WLAN-Netzwerken surfen, werden nicht von Art. 143bis sStGB erfasst, weil das Schwarzsurfen über einen fremden Router kein Eindringen in ein fremdes Datenverarbeitungssystem darstellt. Ein Datenverarbeitungssystem ist eine technische Einrichtung, die Daten entgegennimmt, verarbeitet und wieder abgibt274, sodass reine Übertragungseinrichtungen nicht erfasst werden.275 Eine Strafbarkeit setzt folglich voraus, dass der Router Daten verarbeitet. Dies ist aber abzulehnen, weil ein Router im Wesentlichen nur zwei Aufgaben übernimmt. Er ermittelt eine geeignete Verbindung zwischen dem Quell- und dem Zielsystem und transportiert die Datenpakete entlang dieser Verbindung.276 Er bestimmt folglich nur die Verbindungswege, verändert die durchgeleiteten Daten jedoch nicht. Das Schwarzsurfen in unverschlüsselten WLAN-Netzwerken ist folglich weder nach Art. 143 sStGB noch nach Art. 143bis sStGB strafbar, weil es an der erforderlichen Sicherung fehlt und der Router kein Datenverarbeitungssystem i. S. d. Art. 143bis sStGB ist. d) Zusammenfassendes Ergebnis Eine uneingeschränkte Strafbarkeit beim Schwarzsurfen über verschlüsselte WLAN-Netzwerke kommt nur nach § 202a dStGB in Betracht. Während es im sStGB immer einer Bereicherungsabsicht bedarf, scheidet eine Strafbarkeit im öStGB bei verschlüsselten Netzwerken mangels Spionageabsicht aus. Gemein ist allen drei Rechtsordnungen, dass das Schwarzsurfen in unverschlüsselten Netzwerken straflos ist. Anpassungsbedarf resultiert hieraus aber nicht, weil zum einen bei unverschlüsselten Netzwerken der Wille des Betreibers dahin gehend, dass andere Teilnehmer nicht zugelassen werden sollen, nicht bereits objektiv manifestiert wird. Zum anderen bedarf derjenige, der sein Netzwerk nicht ausreichend sichert auch keines strafrechtlichen Schutzes, weil der ungesicherte Betrieb nicht schutzwürdig ist. Will der Betreiber strafrechtlichen Schutz, so muss er sein Netzwerk einer Sicherung unterwerfen. Aufgrund des heutzutage einfachen Umprogrammierens der Router werden keine unverhältnismäßigen Anforderungen an die Betreiber gestellt.

274 275 276

BK-Weissenberger, Art. 143bis Rn. 6. N. Schmid, § 5 Rn. 16. Gercke, S. 8.

H. Änderungsvorschläge Der Rechtsvergleich sowie die rechtliche Bewertung haben an verschiedenen Stellen Schwächen der deutschen Strafvorschriften gezeigt. Im Folgenden sollen unter Rückgriff auf das ausländische Recht Änderungsvorschläge für das dStGB gemacht werden.

I. Änderung des § 202a dStGB Der Vergleich des § 202a dStGB mit den entsprechenden Normen des österreichischen und des schweizerischen Strafgesetzbuches legte insbesondere zwei Schwächen der deutschen Vorschrift offen. Es fehlt in Deutschland an einer Strafschärfung für das gewerbs- und bandenmäßige Ausspähen von Daten.1 Darüber hinaus empfiehlt es sich, auch die Umgehung der Zugangssicherung in den Tatbestand des § 202a dStGB aufzunehmen, um die bestehende Rechtsunsicherheit zu beseitigen.2 Die Qualifikation bei der Mitgliedschaft in einer kriminellen Vereinigung in § 118a öStGB ist gut gelungen, da diese den Vorgaben des EU-Rahmenbeschlusses besser gerecht wird3, weil hierdurch ein größerer Druck auf die organisierte Kriminalität ausübt wird. Allerdings sollte dabei nicht auf den schwachen österreichischen Begriff der Mitgliedschaft in einer kriminellen Vereinigung abgestellt werden, da bei diesem ein Zusammenschluss zur Begehung von Computerdelikten nicht ausreicht. Stattdessen sollte bei einer Übernahme dieses Tatbestandsmerkmals in § 202a dStGB auf den deutschen Bandenbegriff zurückgegriffen werden, weil dann auch bei Computerbanden eine Strafbarkeit entsprechend der Qualifikation möglich wäre. Nur durch einen derartigen Bandenbegriff kann eine effektive Abschreckung krimineller Hackerbanden insbesondere aus dem osteuropäischen Raum gewährleistet werden.4 Eine Strafschärfung beim Vorliegen einer Be1

Vgl. die Ausführungen unter Kapitel E. I. 3. d). Vgl. die Ausführungen unter Kapitel G. II. 3. c) aa). 3 Schwerere Strafen sollten für Fälle vorgesehen werden, in denen ein Angriff auf ein Informationssystem im Rahmen einer kriminellen Vereinigung im Sinne der Gemeinsamen Maßnahme 98/733/JI vom 21. Dezember 1998 betreffend die Strafbarkeit der Beteiligung an einer kriminellen Vereinigung in den Mitgliedstaaten der Europäischen Union begangen wurde, vgl. Abl. EU Nr. L 69, S. 67, Erwägungsgrund 15. 2

II. Änderung des § 202b dStGB

245

reicherungsabsicht in Form einer Qualifikation ist ebenfalls sinnvoll. Dabei sollte jedoch statt auf die Bereicherungsabsicht, wie sie in Art. 143 sStGB vorgesehen ist, auf die Gewerbsmäßigkeit abgestellt werden, weil dieser die Bereicherungsabsicht immanent ist. Diejenigen Täter werden dann schwerer bestraft, die sich aus wiederholter Tatbegehung eine nicht nur vorübergehende Einnahmequelle von einigem Umfang verschaffen möchten. Die Qualifikation greift bereits bei der erstmaligen Gesetzesverletzung ein, wenn der subjektive Wille des Täters vorlag, das maßgebliche Delikt zu wiederholen.5 Hierdurch können professionelle Täter, von denen erhebliche Gefahren für die Computersysteme ausgehen, mittels des Strafrechts noch stärker unter Druck gesetzt werden. Letztlich sollte das Umgehen der Sicherungen6 ausdrücklich in den Gesetzestext aufgenommen werden. Zwar kann das Tatbestandsmerkmal „Überwinden“ entsprechend dahin gehend ausgelegt werden, dass auch das Umgehen von Sicherungsmaßnahmen erfasst wird. Jedoch werden durch eine Klarstellung Auslegungsschwierigkeiten vermieden und Rechtssicherheit geschaffen. Entsprechend den dargestellten Unterschieden zwischen den Rechtsordnungen könnte § 202a dStGB wie folgt geändert werden: Zugang zu Daten, § 202a dStGB (1) Wer unbefugt bestimmt und Überwindung Freiheitsstrafe

sich oder einem anderen Zugang zu Daten, die nicht für ihn gegen unberechtigten Zugang besonders gesichert sind, unter oder Umgehung der Zugangssicherung verschafft, wird mit von bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. (3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung einer Tat nach Abs. 1 verbunden hat, so ist die Strafe Freiheitsstrafe bis zu fünf Jahren.

II. Änderung des § 202b dStGB Der Rechtsvergleich hat hinsichtlich des § 202b dStGB deutlich gemacht, dass der Schutz übermittelter Nachrichten nicht lückenlos gewährleistet ist, wenn der Täter im Zeitpunkt des Verschaffens ohne Vorsatz handelt und er die Daten später weiterverbreitet. Im Gegensatz zu § 202b dStGB greift § 120 Abs. 2a öStGB bereits dann ein, wenn der Täter im Zeitpunkt des 4 5 6

Schultz, DuD 2006, 778 (784). Fischer, vor § 52 Rn. 62. Vgl. die Ausführungen unter Kapitel G. II. 3. c) bb) (1).

246

H. Änderungsvorschläge

Aufzeichnens einer Nachricht nicht vorsätzlich gehandelt hat und er die Nachricht später Anderen zugänglich macht oder sonst verbreitet.7 Ein Zugänglichmachen liegt vor, wenn der Täter einem konkreten Dritten die Möglichkeit der Kenntnisnahme eröffnet, wohingegen das Veröffentlichen ein Zugänglichmachen an einen unbestimmten Personenkreis betrifft.8 In diesem Zusammenhang muss nicht die Nachricht in ihrer ursprünglichen Form zugänglich gemacht oder verbreitet werden, sondern es genügt bereits das Zugänglichmachen und Verbreiten ihres Inhalts. § 120 Abs. 2a öStGB wird dem Schutz der Nachrichten besser gerecht, weil der Inhalt der Nachrichten vollumfänglich vor unbefugter Kenntnisnahme geschützt wird. Dies wird dem hohen Stellenwert des Vertrauensschutzes bei Nachrichten und der großen Wahrscheinlichkeit fehlgeleiteter Emails im Internet überaus gerecht. Das Tatbestandsmerkmal „unter Anwendung technischer Mittel“ kann und sollte gestrichen werden, da ein Abfangen von Datenübermittlungen oder elektromagnetischen Abstrahlungen ohne technische Mittel nicht möglich ist.9 Unter Berücksichtigung der Ergebnisse des Rechtsvergleichs könnte § 202b dStGB wie folgt geändert werden: Abfangen von Daten, § 202b dStGB Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, zugänglich macht oder sonst verbreitet, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

III. Änderung des § 202c dStGB Der Vergleich mit Art. 144bis sStGB hat gezeigt, dass § 202c dStGB sowohl um die Tathandlung „Anleitung zur Herstellung von Programmen“ erweitert als auch für die gewerbsmäßige Begehung eine Strafschärfung geschaffen werden sollte. Das Tatbestandsmerkmal „Anleitunggeben zur Herstellung von Programmen“10 statuiert eine verselbstständigte Anstiftungsund Gehilfenstrafbarkeit.11 Dadurch wird vor allem die Verbreitung sog. „Virenbausätze“12 strafrechtlich erfasst. In den Fällen des Anleitunggebens 7

Vgl. die Ausführungen unter Kapitel E. IV. 4. b). WK-Lewisch, § 120 Rn. 10 und 12. 9 Vgl. die Ausführungen unter Kapitel F. I. 5. a). 10 Vgl. die Ausführungen unter Kapitel F. III. 6. b) aa). 11 N. Schmid, § 6 Rn. 62. 12 Dambeck, Gescheiterter Wohltäter? http://www.spiegel.de/netzwelt/web/0,1518, 299334,00.html (Stand: 4. Januar 2011). 8

III. Änderung des § 202c dStGB

247

kann der Täter zwar auch aufgrund unselbstständiger Gehilfenstrafbarkeit bestraft werden. Allerdings ergeben sich dabei in der Praxis kaum zu überwindende Beweisschwierigkeiten, welche durch eine selbstständige Strafbarkeit verhindert werden. Für die Sanktionierung des Anleitunggebens besteht auch ein strafrechtliches Interesse, weil der Täter bereits durch das Anleitunggeben eine abstrakte Gefahr schafft. Diese resultiert unter anderem aus der Tatsache, dass das Internet nie vergisst, d.h. die Anleitung wird immer im globalen Umlauf bleiben. Das Tatbestandsmerkmal „Verkaufen“ kann gestrichen werden, weil das Tatbestandsmerkmal „einem Anderen Verschaffen“ besser auf das Verschaffen der Verfügungsmacht abzielt. Die fakultative Qualifikation bei der Gewerbsmäßigkeit13 im sStGB ist sinnvoll, um eine abschreckendere Wirkung auf professionelle Vertreiber von entsprechender Software zu entfalten. Die Qualifikation greift ein, wenn der Täter durch strafbares Handeln versucht, Einkünfte zu erzielen, um seine Lebensgestaltung finanzieren zu können. Dabei muss der Täter bereits mehrmals deliktisch aktiv geworden sein und anhand der bisherigen Taten muss darauf geschlossen werden können, dass er eine Vielzahl vergleichbarer Taten auch in Zukunft begehen wird.14 Allerdings sollte bei einer Aufnahme der Gewerbsmäßigkeit in § 202c dStGB wiederum der deutsche Begriff zugrunde gelegt werden. Vergleichbar mit der Neufassung des § 202a dStGB sollte auch hier neben der Gewerbsmäßigkeit die Bandeneigenschaft in den Tatbestand eingefügt werden, um größeren Druck auf die organisierte Kriminalität auszuüben und der hohen Gefährlichkeit der Begehung als Bande gerecht zu werden. Es ergibt sich aufgrund der in dieser Arbeit dargelegten Unterschiede folgender Vorschlag für eine Änderung des § 202c dStGB: Missbrauch von Computerprogrammen oder Zugangsdaten, § 202c dStGB (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a dStGB Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer Tat nach §§ 202a oder b dStGB ist, herstellt, zur Herstellung Anleitung gibt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe zu bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend. (3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung einer Tat nach Abs. 1 verbunden hat, so ist die Strafe Freiheitsstrafe bis zu fünf Jahren. 13 14

Vgl. die Ausführungen unter Kapitel F. III. 6. c). BK-Weissenberger, Art. 144bis Rn. 75.

248

H. Änderungsvorschläge

IV. Änderung des § 303a dStGB Aus dem Vergleich mit dem öStGB und dem sStGB ergibt sich kein Änderungsbedarf. Insbesondere ist die Einführung eines Regelbeispiels oder einer Qualifikation bei einem großen Schaden vergleichbar mit § 126a Abs. 2 öStGB15 oder Art. 144bis Ziff. 1 S. 2 sStGB16 nicht erforderlich, weil diese Konstellationen bereits im Rahmen des Regelbeispiels des neu gefassten § 303b Abs. 1, 2 und 4 S. 2 Nr. 1 dStGB erfasst werden, sofern fremde Betriebe, Unternehmen oder Behörden betroffen sind. Die Erweiterung des Kreises der Betroffenen auch auf Privatpersonen wird unter den Änderungsvorschlägen für § 303b dStGB dargestellt. Lediglich aus Gründen der Klarstellung sollte der Tatbestand jedoch dahin gehend ergänzt werden, dass es sich beim Tatobjekt Daten um solche handelt, hinsichtlich derer der Täter nicht oder nicht ausschließlich verfügungsbefugt ist. Es ergibt sich daher für § 303a dStGB folgender Änderungsvorschlag: Datenveränderung, § 303a (1) Wer rechtswidrig Daten (§ 202a Abs. 2) hinsichtlich derer er nicht oder nicht allein verfügungsbefugt ist, löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

V. Änderung des § 303b dStGB Änderungsbedarf besteht insoweit, als dass die Regelbeispiele auch auf Privatpersonen anwendbar sein sollten.17 Dadurch wird erreicht, dass die organisierte Kriminalität besser strafrechtlich belangt werden kann, weil die meisten Opfer private Internetuser sind. Es sind keine Anhaltspunkte ersichtlich, das Schutzbedürfnis privater Internetuser niedriger anzusetzen als jenes fremder Betriebe, fremder Unternehmen oder der Behörden. Die Gesetzesbegründung18 stellt im Rahmen der Schaffung der Regelbeispiele in § 303b Abs. 4 S. 2 Nr. 1 dStGB auf die drohenden beträchtlichen wirtschaftlichen Schäden und die daraus resultierenden hohen Vermögensverluste ab. Solche Schäden und Verluste drohen aber auch Privatpersonen. Im Ergebnis kann daher folgender Änderungsvorschlag unterbreitet werden: 15 16 17 18

Vgl. die Vgl. die Vgl. die BT-Drs.

Ausführungen unter Kapitel E. V. 4. a). Ausführungen unter Kapitel F. III. 5. c). Ausführungen unter Kapitel E. V. 4. a). 16/3656, S. 13 f.

V. Änderung des § 303b dStGB

249

Computersabotage, § 303b dStGB (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

I. Zusammenfassung der Thesen 1. Computerkriminalität im Sinne der §§ 202a ff. und 303a ff. dStGB erfasst nicht alle Delikte, die mittels Computer begangen werden, sondern nur diejenigen, bei denen der Computer bei der Begehung der Straftat entweder zwingend erforderliches Tatmittel oder Tatobjekt der deliktischen Handlung ist. 2. Daten sind alle Informationen, die in codierter Form und somit nicht unmittelbar wahrnehmbar gespeichert sind oder übertragen werden. Der Datenbegriff setzt sich aus einem semantischen und einem syntaktischen Element zusammen. Daten sind nicht nur komplexe Informationszusammenhänge, wie Programme, sondern auch einzelne Bits. 3. Als erstes internationales Rechtsinstrument macht die Cybercrime Convention einen großen Schritt in Richtung effektiver Bekämpfung der Computerkriminalität, weil sie sowohl in materieller als auch in formeller Hinsicht die nötigen Mindestvorgaben statuiert, um eine Anpassung der jeweilige Strafgesetze zu ermöglichen. 4. Gegenüber der Cybercrime Convention bringt der EU-Rahmenbeschluss keinen signifikanten Mehrwert im Hinblick auf deren materiell-rechtliche Vorgaben. Er war dennoch erforderlich, weil in diesem im Gegensatz zur Cybercrime Convention eine Frist zur Umsetzung statuiert werden konnte. Allerdings kann die Umsetzung nicht mittels europarechtlicher Rechtsinstrumente erzwungen werden. 5. Die deutschen Normen setzen die Vorgaben der Cybercrime Convention und des EU-Rahmenbeschlusses konsequent und vollständig um. 6. Durch das Tatbestandsmerkmal „Zugangverschaffen“ wurde der objektive Tatbestand des § 202a dStGB weiter ausgedehnt. Eine Einschränkung über das Erfordernis der besonderen Sicherung liegt nur augenscheinlich vor, weil bereits § 202a a. F. dStGB dahin gehend ausgelegt wurde, dass ein Überwinden einer besonderen Sicherung erforderlich war. 7. Durch die Neufassung des § 202b dStGB werden viele strafwürdige Handlungsweisen erfasst. Dies gilt insbesondere für das Abfangen von Datenübertragungen. Der strafrechtliche Schutz über §§ 148 i. V. m. 89 TKG ist diesbezüglich lückenhaft, weil dabei Nachrichten mit einer Funkanlage abgehört werden müssen.

I. Zusammenfassung der Thesen

251

8. § 202c dStGB erfasst Dual-Use-Tools, wenn der Herstellerwille auf eine illegale Verwendung ausgerichtet ist. IT-Systemadministratoren werden aber konsequent von der Strafbarkeit sowohl bei der Beschaffung als auch der Verbreitung von Dual-Use-Tools und Malware ausgenommen, sofern sie im Rahmen der Verbesserung der IT-Sicherheit handeln. 9. Der neu geschaffene § 303b Abs. 1 Nr. 2 dStGB erfasst konsequent alle Formen der DoS-Attacken. Über die Tatbestandsmerkmale „wesentliche Bedeutung“, „erhebliche Störung“ und „Nachteilszufügungsabsicht“ wurden sinnvolle Korrektive zur Ausfilterung von Bagatelldelikten eingefügt. 10. Die Strafzumessungsregeln in § 303b Abs. 4 dStGB sollten auf private Verwender von Datenverarbeitungsanlagen ausgedehnt werden, weil diese des gleichen strafrechtlichen Schutzes bedürfen. 11. Die Regelungen im öStGB setzen die Vorgaben der Cybercrime Convention und des EU-Rahmenbeschlusses vollständig um. Dennoch bestehen im öStGB erhebliche Strafbarkeitslücken. Diese resultieren insbesondere aus den verschiedenen überschießenden Innentendenzen, dem Erfordernis des Überwindens der Zugangssicherung im Computersystem in § 118a öStGB und dem Erfordernis eines Schadens bei § 126a öStGB. 12. Die Aufteilung des unbefugten Abfangens von Nachrichten in §§ 119 öStGB, 120 Abs. 2a öStGB und von Daten in § 119a öStGB und die daraus resultierenden unterschiedlichen Anforderungen im subjektiven Tatbestand sind gelungen, weil hierdurch zum Ausdruck gebracht wird, dass die Nachrichten und somit ein wichtiger Bereich der Privatsphäre der einzelnen Computeruser stärker geschützt werden. 13. Die Qualifikation in § 118a öStGB bezüglich der Mitgliedschaft in einer kriminellen Vereinigung ist nicht gelungen. Die größten Gefahren im Internet gehen von professionellen Computerbanden aus. Auf diese muss mittels einer strafschärfenden Qualifikation eine stärker abschreckende Wirkung ausgeübt werden. Aufgrund der in § 278 öStGB aufgezählten Straftaten, der die §§ 118a ff. öStGB nicht enthält, können Computerbanden nicht nach der Qualifikation bestraft werden. 14. Das Zugänglichmachen oder sonstige Verbreiten in § 120 Abs. 2a öStGB sollte im dStGB integriert werden, weil hierdurch der Schutz der Daten noch umfassender gewährleistet werden würde. Ein schutzwürdiges Interesse des Empfängers an der Weiterverbreitung von Daten steht dem nicht entgegen.

252

I. Zusammenfassung der Thesen

15. Bei der Schweiz wird im Rahmen des Vergleichs deutlich, dass das schweizerische Strafrecht der aktuellen Bedrohungslage nicht mehr gerecht wird. Der schweizerische Gesetzgeber sollte die anstehende Revision nutzen, die Vorbereitungshandlungen strafrechtlich zu sanktionieren, die Sicherung beim Datenbeschaffen zu streichen und die Tatbestandsverwirklichung von inneren Motivationen unabhängig zu machen. Der Weg dorthin wurde in dieser Arbeit aufgezeigt. Durch die bereits erfolgte Durchführung des Vernehmlassungsverfahrens in der Schweiz ist zumindest der Startschuss gefallen. Es bleibt abzuwarten, wie die Schweiz ihr Strafrecht ändern und ob dadurch eine Ratifikation der bereits unterzeichneten Cybercrime Convention möglich wird. 16. Das Anleitunggeben zur Herstellung von Programmen im Sinne des Art. 144bis Ziff. 2 sStGB sollte in das dStGB eingefügt werden.

Anhang – Gesetzestexte I. Deutschland 1. Ausspähen von Daten, § 202a dStGB (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

2. Abfangen von Daten, § 202b dStGB Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

3. Vorbereiten des Ausspähens und Abfangens von Daten, § 202c dStGB (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend.

254

Anhang – Gesetzestexte

4. Datenveränderung, § 303a dStGB (1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

5. Computersabotage, § 303b dStGB (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

II. Österreich 1. Widerrechtlicher Zugriff auf ein Computersystem, § 118a öStGB (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie

II. Österreich

255

nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem überwindet, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. (3) Wer die Tat als Mitglied einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen.

2. Verletzung des Telekommunikationsgeheimnisses, § 119 öStGB (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

3. Missbräuchliches Abfangen von Daten, § 119a öStGB (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

4. Missbrauch von Tonaufnahme- oder Abhörgeräten, § 120 öStGB (1) Wer ein Tonaufnahmegerät oder ein Abhörgerät benützt, um sich oder einem anderen Unbefugten von einer nicht öffentlichen und nicht zu seiner Kenntnisnahme bestimmten Äußerung eines anderen Kenntnis zu verschaffen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

256

Anhang – Gesetzestexte

(2) Ebenso ist zu bestrafen, wer ohne Einverständnis des Sprechenden die Tonaufnahme einer nicht öffentlichen Äußerung eines anderen einem Dritten, für den sie nicht bestimmt ist, zugänglich macht oder eine solche Aufnahme veröffentlicht. (2a) Wer eine im Wege einer Telekommunikation übermittelte und nicht für ihn bestimmte Nachricht in der Absicht, sich oder einem anderen Unbefugten vom Inhalt dieser Nachricht Kenntnis zu verschaffen, aufzeichnet, einem anderen Unbefugten zugänglich macht oder veröffentlicht, ist, wenn die Tat nicht nach den vorstehenden Bestimmungen oder nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (3) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.

5. Datenbeschädigung, § 126a öStGB (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat an den Daten einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 50 000 Euro übersteigenden Schaden herbeiführt oder die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.

6. Störung der Funktionsfähigkeit eines Computersystems, § 126b öStGB (1) Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat eine längere Zeit andauernde Störung der Funktionsfähigkeit eines Computersystems herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.

III. Schweiz

257

7. Missbrauch von Computerprogrammen oder Zugangsdaten, § 126c öStGB (1) Wer 1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht, sich verschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen.

III. Schweiz 1. Unbefugte Datenbeschaffung, Art. 143 sStGB (1) Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. (2) Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.

2. Unbefugtes Eindringen in ein Datenverarbeitungssystem, Art. 143bis sStGB Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesi-

258

Anhang – Gesetzestexte chertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

3. Datenbeschädigung, Art. 144bis sStGB (1) Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt. (2) Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden.

IV. Auszug aus der Cybercrime Convention Preamble The member States of the Council of Europe and the other States signatory hereto, Considering that the aim of the Council of Europe is to achieve a greater unity between its members; Recognising the value of fostering co-operation with the other States parties to this Convention; Convinced of the need to pursue, as a matter of priority, a common criminal policy aimed at the protection of society against cybercrime, inter alia, by adopting appropriate legislation and fostering international co-operation; Conscious of the profound changes brought about by the digitalisation, convergence and continuing globalisation of computer networks; Concerned by the risk that computer networks and electronic information may also be used for committing criminal offences and that evidence relating to such offences may be stored and transferred by these networks; Recognising the need for co-operation between States and private industry in combating cybercrime and the need to protect legitimate interests in the use and development of information technologies; Believing that an effective fight against cybercrime requires increased, rapid and well-functioning international co-operation in criminal matters; Convinced that the present Convention is necessary to deter action directed against the confidentiality, integrity and availability of computer systems, networks

IV. Auszug aus der Cybercrime Convention

259

and computer data as well as the misuse of such systems, networks and data by providing for the criminalisation of such conduct, as described in this Convention, and the adoption of powers sufficient for effectively combating such criminal offences, by facilitating their detection, investigation and prosecution at both the domestic and international levels and by providing arrangements for fast and reliable international co-operation; Mindful of the need to ensure a proper balance between the interests of law enforcement and respect for fundamental human rights as enshrined in the 1950 Council of Europe Convention for the Protection of Human Rights and Fundamental Freedoms, the 1966 United Nations International Covenant on Civil and Political Rights and other applicable international human rights treaties, which reaffirm the right of everyone to hold opinions without interference, as well as the right to freedom of expression, including the freedom to seek, receive, and impart information and ideas of all kinds, regardless of frontiers, and the rights concerning the respect for privacy; Mindful also of the right to the protection of personal data, as conferred, for example, by the 1981 Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data; Considering the 1989 United Nations Convention on the Rights of the Child and the 1999 International Labour Organization Worst Forms of Child Labour Convention; Taking into account the existing Council of Europe conventions on co-operation in the penal field, as well as similar treaties which exist between Council of Europe member States and other States, and stressing that the present Convention is intended to supplement those conventions in order to make criminal investigations and proceedings concerning criminal offences related to computer systems and data more effective and to enable the collection of evidence in electronic form of a criminal offence; Welcoming recent developments which further advance international understanding and co-operation in combating cybercrime, including action taken by the United Nations, the OECD, the European Union and the G8; Recalling Committee of Ministers Recommendations No. R (85) 10 concerning the practical application of the European Convention on Mutual Assistance in Criminal Matters in respect of letters rogatory for the interception of telecommunications, No. R (88) 2 on piracy in the field of copyright and neighbouring rights, No. R (87) 15 regulating the use of personal data in the police sector, No. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services, as well as No. R (89) 9 on computer-related crime providing guidelines for national legislatures concerning the definition of certain computer crimes and No. R (95) 13 concerning problems of criminal procedural law connected with information technology; Having regard to Resolution No. 1 adopted by the European Ministers of Justice at their 21st Conference (Prague, 10 and 11 June 1997), which recommended that the Committee of Ministers support the work on cybercrime carried out by the European Committee on Crime Problems (CDPC) in order to bring domestic criminal law provisions closer to each other and enable the use of effective means of investi-

260

Anhang – Gesetzestexte

gation into such offences, as well as to Resolution No. 3 adopted at the 23rd Conference of the European Ministers of Justice (London, 8 and 9 June 2000), which encouraged the negotiating parties to pursue their efforts with a view to finding appropriate solutions to enable the largest possible number of States to become parties to the Convention and acknowledged the need for a swift and efficient system of international co-operation, which duly takes into account the specific requirements of the fight against cybercrime; Having also regard to the Action Plan adopted by the Heads of State and Government of the Council of Europe on the occasion of their Second Summit (Strasbourg, 10 and 11 October 1997), to seek common responses to the development of the new information technologies based on the standards and values of the Council of Europe; Have agreed as follows: Chapter I – Use of terms Article 1 – Definitions For the purposes of this Convention: a computer system means any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data; b computer data means any representation of facts, information or concepts in a form suitable for processing in a computer system, including a program suitable to cause a computer system to perform a function; c service provider means: i any public or private entity that provides to users of its service the ability to communicate by means of a computer system, and ii any other entity that processes or stores computer data on behalf of such communication service or users of such service. d traffic data means any computer data relating to a communication by means of a computer system, generated by a computer system that formed a part in the chain of communication, indicating the communication’s origin, destination, route, time, date, size, duration, or type of underlying service. Chapter II – Measures to be taken at the national level Section 1 – Substantive criminal law Title 1 – Offences against the confidentiality, integrity and availability of computer data and systems Article 2 – Illegal access Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intention-

IV. Auszug aus der Cybercrime Convention

261

ally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system. Article 3 – Illegal interception Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the interception without right, made by technical means, of non-public transmissions of computer data to, from or within a computer system, including electromagnetic emissions from a computer system carrying such computer data. A Party may require that the offence be committed with dishonest intent, or in relation to a computer system that is connected to another computer system. Article 4 – Data interference 1 Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the damaging, deletion, deterioration, alteration or suppression of computer data without right. 2 A Party may reserve the right to require that the conduct described in paragraph 1 result in serious harm. Article 5 – System interference Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the serious hindering without right of the functioning of a computer system by inputting, transmitting, damaging, deleting, deteriorating, altering or suppressing computer data. Article 6 – Misuse of devices 1 Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right: a the production, sale, procurement for use, import, distribution or otherwise making available of: i a device, including a computer program, designed or adapted primarily for the purpose of committing any of the offences established in accordance with Articles 2 through 5; ii a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed, with intent that it be used for the purpose of committing any of the offences established in Articles 2 through 5; and b the possession of an item referred to in paragraphs a.i or ii above, with intent that it be used for the purpose of committing any of the offences established in

262

Anhang – Gesetzestexte

Articles 2 through 5. A Party may require by law that a number of such items be possessed before criminal liability attaches. 2 This article shall not be interpreted as imposing criminal liability where the production, sale, procurement for use, import, distribution or otherwise making available or possession referred to in paragraph 1 of this article is not for the purpose of committing an offence established in accordance with Articles 2 through 5 of this Convention, such as for the authorised testing or protection of a computer system. 3 Each Party may reserve the right not to apply paragraph 1 of this article, provided that the reservation does not concern the sale, distribution or otherwise making available of the items referred to in paragraph 1 a.ii of this article.

V. EU-Rahmenbeschluss 2005/222/JI DER RAT DER EUROPÄISCHEN UNION – gestützt auf den Vertrag über die Europäische Union, insbesondere auf Artikel 29, Artikel 30 Absatz 1 Buchstabe a), Artikel 31 Absatz 1 Buchstabe e) und Artikel 34 Absatz 2 Buchstabe b), auf Vorschlag der Kommission, nach Stellungnahme des Europäischen Parlaments, in Erwägung nachstehender Gründe: (1) Dieser Rahmenbeschluss stellt darauf ab, durch Angleichung der einzelstaatlichen Strafrechtsvorschriften für Angriffe auf Informationssysteme die Zusammenarbeit zwischen den Justiz- und sonstigen zuständigen Behörden, einschließlich der Polizei und anderer spezialisierter Strafverfolgungsbehörden der Mitgliedstaaten, zu verbessern. (2) Es finden nachweislich – und insbesondere im Rahmen der organisierten Kriminalität – Angriffe auf Informationssysteme statt, und es wächst die Besorgnis über das Potenzial an Terroranschlägen auf Informationssysteme, die Teil der kritischen Infrastruktur der Mitgliedstaaten sind. Das Ziel des Aufbaus einer sichereren Informationsgesellschaft und eines Raumes der Freiheit, der Sicherheit und des Rechts wird hierdurch gefährdet; daher bedarf es Gegenmaßnahmen auf Ebene der Europäischen Union. (3) Um diesen Gefahren wirksam begegnen zu können, ist ein umfassender Ansatz zur Gewährleistung der Sicherheit der Netze und Informationen erforderlich, wie dies im Aktionsplan eEurope, in der Mitteilung der Kommission Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz und in der Entschließung des Rates vom 28. Januar 2002 zu einem gemeinsamen Ansatz und spezifischen Maßnahmen im Bereich der Netz- und Informationssicherheit hervorgehoben wurde. (4) Das Europäische Parlament hat in seiner Entschließung vom 5. September 2001 auf die Notwendigkeit einer stärkeren Sensibilisierung für die Probleme der Informationsgesellschaft und der Gewährung von praktischer Hilfe hingewiesen.

V. EU-Rahmenbeschluss 2005/222/JI

263

(5)

Die Bekämpfung der organisierten Kriminalität und des Terrorismus könnte durch beträchtliche Unterschiede und Diskrepanzen zwischen den einschlägigen Rechtsvorschriften der Mitgliedstaaten behindert werden, die eine wirksame polizeiliche und justizielle Zusammenarbeit beim Abwehren von Angriffen auf Informationssysteme erschweren könnten. Der länder- und grenzübergreifende Charakter moderner Informationssysteme führt dazu, dass Angriffe auf solche Systeme häufig eine grenzüberschreitende Dimension annehmen, was den dringenden Bedarf an weiteren Maßnahmen zur Angleichung der einschlägigen Strafrechtsvorschriften unterstreicht.

(6)

Der Aktionsplan des Rates und der Kommission zur bestmöglichen Umsetzung der Bestimmungen des Amsterdamer Vertrags über den Aufbau eines Raumes der Freiheit, der Sicherheit und des Rechts, der Europäische Rat (Tampere, 15./16. Oktober 1999 und Santa Maria da Feira, 19./20. Juni 2000), die Kommission im Anzeiger der Fortschritte und das Europäische Parlament in seiner Entschließung vom 19. Mai 2000 haben legislative Maßnahmen (einschließlich gemeinsamer Definitionen, Tatbestandsmerkmale und Sanktionen) gegen die Hightech-Kriminalität genannt oder gefordert.

(7)

Die von internationalen Organisationen und insbesondere vom Europarat geleisteten Arbeiten zur Angleichung des Strafrechts sowie die Arbeiten der G8 zum Thema grenzüberschreitende Zusammenarbeit im Bereich der HightechKriminalität müssen durch einen gemeinsamen Ansatz der Europäischen Union für diesen Bereich ergänzt werden. Diese Anforderung wurde in der Mitteilung der Kommission an den Rat, das Europäische Parlament, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen zur Schaffung einer sichereren Informationsgesellschaft durch Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der Computerkriminalität näher ausgeführt.

(8)

Das Strafrecht im Bereich der Angriffe auf Informationssysteme sollte angeglichen werden, um eine möglichst effiziente polizeiliche und justizielle Zusammenarbeit bei Straftaten in Verbindung mit Angriffen auf Informationssysteme sicherzustellen und einen Beitrag zur Bekämpfung der organisierten Kriminalität und des Terrorismus zu leisten.

(9)

Alle Mitgliedstaaten haben das Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ratifiziert. Die im Zusammenhang mit der Umsetzung dieses Rahmenbeschlusses verarbeiteten Daten sollten gemäß den Grundsätzen des Übereinkommens geschützt werden.

(10) Gemeinsame Definitionen in diesem Bereich und insbesondere Definitionen von Informationssystemen und Computerdaten sind im Hinblick auf einen einheitlichen Ansatz in den Mitgliedstaaten für die Umsetzung dieses Rahmenbeschlusses von großer Bedeutung. (11) Es gilt, gemeinsame Strafbestände des rechtswidrigen Zugangs zu Informationssystemen, des rechtswidrigen Systemeingriffs und der rechtswidrigen Bearbeitung von Daten vorzusehen, um so zu einem gemeinsamen Ansatz im Hinblick auf die Tatbestandsmerkmale von Straftaten zu gelangen.

264

Anhang – Gesetzestexte

(12) Zum Zwecke der besseren Bekämpfung der Cyber-Kriminalität sollte jeder Mitgliedstaat eine wirksame justizielle Zusammenarbeit bei Straftaten, die auf den in den Artikeln 2, 3, 4 und 5 beschriebenen Vorgehensweisen beruhen, gewährleisten. (13) Eine Überkriminalisierung insbesondere von Bagatellfällen ist zu vermeiden; ebenso gilt es zu verhindern, dass Rechteinhaber und Zugangsberechtigte als Kriminelle eingestuft werden. (14) Die Mitgliedstaaten müssen Angriffe auf Informationssysteme mit Sanktionen bedrohen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. (15) Schwerere Strafen sollten für Fälle vorgesehen werden, in enen ein Angriff auf ein Informationssystem im Rahmen einer kriminellen Vereinigung im Sinne der Gemeinsamen Maßnahme 98/733/JI vom 21. Dezember 1998 betreffend die Strafbarkeit der Beteiligung an einer kriminellen Vereinigung in den Mitgliedstaaten der Europäischen Union begangen wurde. Es ist ferner angemessen, schwerere Strafen vorzusehen, wenn ein solcher Angriff schwere Schäden verursacht oder wesentliche Interessen beeinträchtigt hat. (16) Ferner sind Maßnahmen zur Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf eine wirksame Vorgehensweise gegen Angriffe auf Informationssysteme vorzusehen. Die Mitgliedstaaten sollten daher das bestehende Netz der operativen Kontaktstellen für den Informationsaustausch, auf das in der Empfehlung des Rates vom 25. Juni 2001 über Kontaktstellen mit einem rund um die Uhr erreichbaren Dauerdienst zur Bekämpfung der Hightech-Kriminalität verwiesen wird, nutzen. (17) Da die Ziele dieses Rahmenbeschlusses, nämlich Angriffe auf Informationssysteme in allen Mitgliedstaaten mit wirksamen, verhältnismäßigen und abschreckenden strafrechtlichen Sanktionen zu ahnden und die justizielle Zusammenarbeit durch Beseitigung möglicher Hemmnisse in ausreichendem Maße zu verbessern und zu fördern, auf Ebene der Mitgliedstaaten nicht ausreichend erreicht werden können, und – da es dazu gemeinsamer, miteinander zu vereinbarender Regeln bedarf – besser auf Unionsebene zu erreichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags niedergelegten Subsidiaritätsprinzip Tätigwerden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht dieser Rahmenbeschluss nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus. (18) Dieser Rahmenbeschluss wahrt die Grundrechte und achtet die Grundsätze, die in Artikel 6 des Vertrags über die Europäische Union und in der Charta der Grundrechte der Europäischen Union, vor allem in den Kapiteln II und VI, anerkannt werden –

V. EU-Rahmenbeschluss 2005/222/JI

265

HAT FOLGENDEN RAHMENBESCHLUSS ANGENOMMEN: Artikel 1 Begriffsbestimmungen Im Sinne dieses Rahmenbeschlusses bezeichnet der Ausdruck a) Informationssystem eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen sowie die von ihr oder ihnen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherten, verarbeiteten oder übertragenen Computerdaten; b) Computerdaten die Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Informationssystem geeigneten Form, einschließlich eines Programms, das die Ausführung einer Funktion durch ein Informationssystem auslösen kann; c) juristische Person jedes Rechtssubjekt, das diesen Status nach geltendem Recht besitzt, mit Ausnahme von Staaten oder anderen Körperschaften des öffentlichen Rechts in der Ausübung ihrer hoheitlichen Rechte, und von öffentlichrechtlichen internationalen Organisationen; d) unbefugt einen Zugang oder Eingriff, der vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder eines Teils des Systems nicht gestattet wurde, oder der nach den einzelstaatlichen Rechtsvorschriften nicht zulässig ist. Artikel 2 Rechtswidriger Zugang zu Informationssystemen (1) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass der vorsätzliche und unbefugte Zugang zu einem Informationssystem als Ganzes oder zu einem Teil eines Informationssystems zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt. (2) Jeder Mitgliedstaat kann beschließen, dass Handlungen nach Absatz 1 nur geahndet werden, sofern sie durch eine Verletzung von Sicherheitsmaßnahmen erfolgen. Artikel 3 Rechtswidriger Systemeingriff Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die unbefugte vorsätzliche schwere Behinderung oder Störung des Betriebs eines Informationssystems, durch Eingeben, Übermitteln, Beschädigen, Löschen, Verstümmeln, Verändern, Unterdrücken oder Unzugänglichmachen von Computerdaten, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

266

Anhang – Gesetzestexte Artikel 4 Rechtswidriger Eingriff in Daten

Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass das unbefugte vorsätzliche Löschen, Beschädigen, Verstümmeln, Verändern, Unterdrücken oder Unzugänglichmachen von Computerdaten eines Informationssystems zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

Artikel 5 Anstiftung, Beihilfe und Versuch (1) Jeder Mitgliedstaat stellt sicher, dass die Anstiftung oder Beihilfe zur Begehung einer der in den Artikeln 2, 3 und 4 beschriebenen Straftaten unter Strafe gestellt wird. (2) Jeder Mitgliedstaat stellt sicher, dass der Versuch der Begehung einer der in den Artikeln 2, 3 und 4 beschriebenen Straftaten unter Strafe gestellt wird. (3) Jeder Mitgliedstaat kann beschließen, Absatz 2 auf die in Artikel 2 genannten Straftaten nicht anzuwenden. Artikel 6 Sanktionen (1) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die Straftaten nach den Artikeln 2, 3, 4 und 5 mit wirksamen, verhältnismäßigen und abschreckenden strafrechtlichen Sanktionen bedroht werden. (2) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die Straftaten nach Artikel 3 und 4 mit einer Freiheitsstrafe im Höchstmaß von mindestens einem bis drei Jahren geahndet werden.

Artikel 7 Erschwerende Umstände (1) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass die Straftaten nach Artikel 2 Absatz 2 sowie die Straftaten nach den Artikeln 3 und 4 mit einer Freiheitsstrafe im Höchstmaß von mindestens zwei bis fünf Jahren geahndet werden, wenn sie im Rahmen einer kriminellen Vereinigung im Sinne der Gemeinsamen Maßnahme 98/733/JI begangen wurden, unabhängig von dem dort vorgesehenen Strafmaß. (2) Ein Mitgliedstaat kann die in Absatz 1 genannten Maßnahmen auch treffen, wenn durch die Straftaten schwere Schäden verursacht oder wesentliche Interessen beeinträchtigt wurden.

V. EU-Rahmenbeschluss 2005/222/JI

267

Artikel 8 Verantwortlichkeit juristischer Personen (1) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass eine juristische Person für die in den Artikeln 2, 3, 4 und 5 aufgeführten Straftaten verantwortlich gemacht werden kann, die zu ihren Gunsten von einer Person begangen werden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt hat und die eine Führungsposition innerhalb der juristischen Person innehat aufgrund a) einer Befugnis zur Vertretung der juristischen Person oder b) einer Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder c) einer Kontrollbefugnis innerhalb der juristischen Person. (2) Neben den in Absatz 1 vorgesehenen Fällen trifft jeder Mitgliedstaat die erforderlichen Maßnahmen, um sicherzustellen, dass eine juristische Person verantwortlich gemacht werden kann, wenn mangelnde Überwachung oder Kontrolle durch die in Absatz 1 genannte Person die Begehung der in den Artikeln 2, 3, 4 und 5 genannten Straftaten zugunsten der juristischen Person durch eine ihr unterstellte Person ermöglicht hat. (3) Die Verantwortlichkeit der juristischen Personen nach den Absätzen 1 und 2 schließt die strafrechtliche Verfolgung natürlicher Personen nicht aus, die als Täter, Anstifter oder Gehilfe an der Begehung der in den Artikeln 2, 3, 4 und 5 genannten Straftaten beteiligt sind. Artikel 9 Sanktionen gegen juristische Personen (1) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass gegen eine im Sinne von Artikel 8 Absatz 1 verantwortliche juristische Person wirksame, verhältnismäßige und abschreckende Sanktionen verhängt werden können, zu denen Geldbußen oder Geldstrafen gehören und zu denen andere Sanktionen gehören können, beispielsweise: a) Ausschluss von öffentlichen Zuwendungen oder Hilfen, b) vorübergehendes oder ständiges Verbot der Ausübung einer Handelstätigkeit, c) richterliche Aufsicht oder d) richterlich angeordnete Eröffnung des Liquidationsverfahrens. (2) Jeder Mitgliedstaat trifft die erforderlichen Maßnahmen, um sicherzustellen, dass gegen eine im Sinne von Artikel 8 Absatz 2 verantwortliche juristische Person wirksame, verhältnismäßige und abschreckende Sanktionen oder Maßnahmen verhängt werden können.

268

Anhang – Gesetzestexte Artikel 10 Gerichtliche Zuständigkeit

(1) Jeder Mitgliedstaat begründet seine gerichtliche Zuständigkeit in Bezug auf die Straftaten nach den Artikeln 2, 3, 4 und 5, wenn diese a) ganz oder teilweise in seinem Hoheitsgebiet oder b) von einem seiner eigenen Staatsangehörigen oder c) zugunsten einer juristischen Personen, deren Hauptsitz sich im Hoheitsgebiet dieses Mitgliedstaats befindet, begangen wurden. (2) Bei der Begründung seiner Zuständigkeit gemäß Absatz 1 Buchstabe a) stellt jeder Mitgliedstaat sicher, dass sich die Zuständigkeit auch auf Fälle erstreckt, in denen a) der Täter die Straftat begeht, während er sich physisch im Hoheitsgebiet dieses Staates aufhält, unabhängig davon, ob sich die Straftat gegen ein Informationssystem in seinem Hoheitsgebiet richtet, oder b) sich die Straftat gegen ein Informationssystem in seinem Hoheitsgebiet richtet, unabhängig davon, ob der Täter die Straftat begeht, während er sich physisch im Hoheitsgebiet dieses Staates aufhält. (3) Ein Mitgliedstaat, der aufgrund seiner Rechtsvorschriften eigene Staatsangehörige noch nicht ausliefert oder überstellt, trifft die erforderlichen Maßnahmen, um seine gerichtliche Zuständigkeit in Bezug auf die in den Artikeln 2, 3, 4 und 5 genannten Straftaten zu begründen und gegebenenfalls die Strafverfolgung einzuleiten, sofern sie von einem seiner Staatsangehörigen außerhalb seines Hoheitsgebiets begangen wurden. (4) Fällt eine Straftat in die gerichtliche Zuständigkeit von mehreren Mitgliedstaaten und kann jeder dieser Staaten auf der Grundlage desselben Sachverhalts die Strafverfolgung übernehmen, so entscheiden diese Mitgliedstaaten gemeinsam, welcher von ihnen die Strafverfolgung gegen den Täter vornimmt, um das Verfahren nach Möglichkeit auf einen Mitgliedstaat zu konzentrieren. Zu diesem Zweck können die Mitgliedstaaten auf jedes Gremium oder jeden Mechanismus auf Ebene der Europäischen Union zurückgreifen, um die Zusammenarbeit zwischen ihren Justizbehörden und die Koordinierung ihrer Maßnahmen zu erleichtern. Nacheinander kann nachstehenden Anknüpfungspunkten Rechnung getragen werden: – es handelt sich um den Mitgliedstaat, in dessen Hoheitsgebiet die Straftat begangen wurde, nach Maßgabe von Absatz 1 Buchstabe a) und Absatz 2; – es handelt sich um den Mitgliedstaat, dessen Staatsangehöriger der Täter ist; – es handelt sich um den Mitgliedstaat, in dem der Täter ergriffen wurde. (5) Ein Mitgliedstaat kann beschließen, die Zuständigkeitsregelung gemäß Absatz 1 Buchstaben b) und c) nicht oder nur in bestimmten Fällen oder unter bestimmten Umständen anzuwenden.

V. EU-Rahmenbeschluss 2005/222/JI

269

(6) Beschließen die Mitgliedstaaten die Anwendung des Absatzes 5, so unterrichten sie das Generalsekretariat des Rates und die Kommission und teilen gegebenenfalls mit, in welchen speziellen Fällen oder unter welchen speziellen Umständen der Beschluss gilt. Artikel 11 Informationsaustausch (1) Zum Zwecke des Informationsaustauschs über die in den Artikeln 2, 3, 4 und 5 genannten Straftaten und im Einklang mit den Datenschutzbestimmungen nutzen die Mitgliedstaaten das bestehende Netz der operativen Kontaktstellen, die rund um die Uhr und sieben Tage pro Woche erreichbar sind. (2) Jeder Mitgliedstaat setzt das Generalsekretariat des Rates und die Kommission darüber in Kenntnis, welche Kontaktstelle für den Informationsaustausch über Straftaten im Zusammenhang mit Angriffen auf Informationssysteme benannt wurde. Das Generalsekretariat leitet diese Informationen an die übrigen Mitgliedstaaten weiter. Artikel 12 Umsetzung (1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um den Bestimmungen dieses Rahmenbeschlusses bis zum 16. März 2007 nachzukommen. (2) Die Mitgliedstaaten übermitteln dem Generalsekretariat des Rates und der Kommission bis zum 16. März 2007 den Wortlaut der Vorschriften, mit denen ihre Verpflichtungen aus diesem Rahmenbeschluss in innerstaatliches Recht umgesetzt werden. Der Rat prüft bis zum 16. September 2007 anhand eines auf der Grundlage der Informationen und eines schriftlichen Berichts der Kommission erstellten Berichts, inwieweit die Mitgliedstaaten den Bestimmungen dieses Rahmenbeschlusses nachgekommen sind.

Artikel 13 Inkrafttreten Dieser Rahmenbeschluss tritt am Tag seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Geschehen zu Brüssel am 24. Februar 2005. Im Namen des Rates Der Präsident N. SCHMITT

Literaturverzeichnis Abu-Zeitoun, Mamoun: Die Computerdelikte im deutschen Recht, Aachen 2005. Achenbach, Hans: Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminaliät, in: NJW 1986, S. 1835 ff. Ammann, Matthias: Sind Phishing-Mails strafbar?, in: AJP 2006, S. 195 ff. Armbrüster, Thomas: WPA/WEP, http://www.macwelt.de/artikel/Glossar/364931/ wpa_wep/1 (Stand: 4. Januar 2011). Arzt, Gunther/Weber, Ulrich/Heinrich, Bernd/Hilgendorf, Eric: Strafrecht, Besonderer Teil, 2. Aufl., Bielefeld 2009. Bachfeld, Daniel: Ein Botnetz? Geschnitten oder im Stück?, http://www.heise.de/ newsticker/meldung/Ein-Botnetz-Geschnitten-oder-im-Stueck-183134.html (Stand: 4. Januar 2011). – Stuxnet-Wurm: weitere Tricks im Cyberwar, http://www.heise.de/security/mel dung/Stuxnet-Wurm-weitere-Tricks-im-Cyberwar-1098197.html (Stand: 4. Januar 2011). Bär, Wolfgang: Wardriver und andere Lauscher – Strafrechtliche Fragen im Zusammenhang mit WLAN, in: MMR 2005, S. 434 ff. Basler Kommentar zum Strafgesetzbuch: Kommentar, herausgegeben von Niggli, Marcel Alexander/Wiprächtiger, Hans, Band 1 und 2, 2. Aufl., Basel u. a. 2007 (zit.: BK-Bearbeiter). Bäumler, Helmut: Eine sichere Informationsgesellschaft? Zur europäischen Bekämpfung der Computerkriminalität, in: DuD 2001, S. 348 ff. Beer, Johannes: Die Convention on Cybercrime und österreichisches Strafrecht, Linz 2005. Bertel, Christian/Schwaighofer, Klaus: Österreichisches Strafrecht, Besonderer Teil/1, §§ 75 bis 168b StGB, 8. Aufl., Wien 2004. – Österreichisches Strafrecht Besonderer Teil/2, §§ 169 bis 321 StGB, 7. Aufl., Wien 2006. Beukelmann, Stephan: Computer- und Internetkriminalität, in: NJW-Spezial 2003, S. 135 ff. – Prävention von Computerkriminalität, Bd. 30, Frankfurt am Main 2001. Bier, Sascha: Kampf gegen die Cyberkriminalität, Der Rahmenbeschluss 2005/222/ JI des Rates der Europäischen Union über Angriffe auf Informationssysteme, in: DuD 2005, S. 473 ff. Böckenförde, Thomas: Die Ermittlung im Netz, Tübingen 2003.

Literaturverzeichnis

271

Böhlke, Dietmar/Yilmaz, Öznur: Auswirkungen des § 202c StGB auf die Praxis der IT-Sicherheit. Der praktische Umgang mit dem Widerspruch zwischen Wortlaut und gesetzgeberischer Intention, in: CR 2008, S. 261 ff. Bolesch, Cornelia: World Wide Nepp, Süddeutsche Zeitung vom 1. April 2008, S. 12. Borchert, Bernd: Trojanersichere Online Accounts, http://www2-fs.informatik.unituebingen.de/~borchert/Troja/(Stand: 4. Januar 2011). Borges, Georg: Rechtsfragen des Phishing – Ein Überblick, in: NJW 2005, S. 3313 ff. – Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (. . . StrÄndG) für die öffentliche Anhörung am 21. März 2007, http://www.bundestag.de/bun destag/ausschuesse/a06/anhoerungen/Archiv/15_Computerkriminalitaet/04_Stel lungnahmen/Stellungnahme_Borges.pdf (Stand: 10. Februar 2010). Borges, Georg/Stuckenberg, Carl-Friedrich/Wegener, Christoph: Bekämpfung der Internetkriminalität. Zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität, in: DuD 2007, S. 275 ff. Brand, Andrew: Hacker Speak, http://www.pcworld.com/article/44370/hacker_ speak.html (Stand: 4. Januar 2011). Breyer, Patrick: Die Cyber-Crime-Konvention des Europarats, in: DuD 2001, S. 592 ff. Brunnstein, Klaus: Computerviren und andere bösartige Software. Tschernobyl der Informationstechnik, in: CR 1993, S. 456 ff. Bruns, Michael: Stellungnahme für die öffentliche Anhörung des Rechtsausschusses des Deutschen Bundestages, http://www.bundestag.de/bundestag/ausschuesse/ a06/anhoerungen/Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellung nahme_Bruns.pdf (Stand: 10. Februar 2010). Buermeyer, Ulf: Der strafrechtliche Schutz drahtloser Computernetzwerke (WLANs), http://www.hrr-strafrecht.de/hrr/archiv/04-08/index.php3?seite=7 (Stand: 4. Januar 2011). Calliess Christian/Ruffert Matthias: EUV EGV, Kommentar, 3. Aufl., München 2007. – Kommentar zu EU-Vertrag und EG-Vertrag, 2. Aufl., München 2002. Collardin, Marcus: Straftaten im Internet, in: CR 1995, S. 618 ff. Collin, P. H./Janssen, Sigrid/Kornmüller, Anke/Livesey, Rupert: PONS, Fachwörterbuch Recht, Englisch-Deutsch/Deutsch-Englisch, Stuttgart 1990. Cornelius, Kai: Zur Strafbarkeit des Anbietens von Hackertools. Was nach dem 41. Strafrechtsänderungsgesetz noch für die IT-Sicherheit getan werden darf, in: CR 2007, S. 682 ff. Cornils, Karin: Der Begehungsort von Äußerungsdelikten im Internet, in: JZ 1999, S. 394 ff. Creifelds, Carl/Weber, Klaus: Rechtswörterbuch, 19. Aufl., München 2007.

272

Literaturverzeichnis

Curtis, Jason: Spam-Flut außer Kontrolle: Wie Sie den Kampf gewinnen, http://www. zdnet.de/it_business_technik_spam_flut_ausser_kontrolle_wie_sie_den_kampf_ gewinnen_story-11000009-2131934-1.htm (Stand: 4. Januar 2011). Daiss, Katja/Derver, Torsten/Frank, Peter/Janka, Birgit/Urbom, Ruth: Pons, Wörterbuch für Schule und Studium, Englisch, Stuttgart 2005. Dambeck, Holger: Gescheiterter Wohltäter?, http://www.spiegel.de/netzwelt/web/ 0,1518,299334,00.html (Stand: 4. Januar 2011). Debie, Robin O.: IuK-Kriminalität, mehr als nur Cybercrime. Entwicklung – Stand – Perspektiven, http://www.jurpc.de/aufsatz/20040214.html#fn0 (Stand: 4. Januar 2011). Dix, Alexander: Regelungsdefizite der Cyber-Crime-Convention und der ETKÜV, in: DuD 2001, S. 588 ff. Dölling, Dieter/Duttge, Gunnar/Rössner, Dieter: Gesamtes Strafrecht, StGB, StPO, Nebengesetze, Handkommentar, 2. Aufl., Baden-Baden 2011 (zit.: HK-GS-Bearbeiter). Dornseif, Maximilian/Schumann, Kay H./Klein, Christian: Tatsächliche und rechtliche Risiken drahtloser Computernetzwerke, in: DuD 2002, S. 226 ff. Drosdowski, Günther: Duden, Deutsches Universalwörterbuch, 2. Aufl., Mannheim 1989. Eichelberger, Jan: Sasser, Blaster, Phatbot & Co. – alles halb so schlimm? – Ein Überblick über die strafrechtliche Bewertung von Computerschädlingen, in: MMR 2004, S. 594 ff. Eidgenössisches Justiz- und Polizeidepartement: Genehmigung und Umsetzung des Übereinkommens des Europarats über die Cyberkriminalität, Vorentwurf und Erläuternder Bericht, http://www.ejpd.admin.ch/content/dam/data/kriminalitaet/ gesetzgebung/cybercrime__europarat/vn-ber-d.pdf (Stand: 4. Januar 2011). – Die Cyberkriminalität über die Grenzen hinweg bekämpfen, http://www.ejpd. admin.ch/ejpd/de/home/dokumentation/mi/2009/2009-03-13.html (Stand: 4. Januar 2011). Eisele, Jörg: Die Regelbeispielsmethode im Strafrecht, Tübingen 2004. Ernst, Stefan: Wireless LAN und das Strafrecht. Zur Strafbarkeit des Abhörens ungesicherter Kommunikation, in: CR 2003, S. 898 ff. – Hacker, Cracker & Computerviren. Recht und Praxis der Informationssicherheit, Köln 2004. – Das neue Computerstrafrecht, in: NJW 2007, S. 2661 ff. – Hacker und Computerviren im Strafrecht, in: NJW 2003, S. 3233 ff. – Strafbarkeit von Hacking und Computerviren, http://www.rrzn.uni-hannover.de/ hacking_viren-strafe.html (Stand: 4. Januar 2011). Ernst, Stefan/Spoenle, Jan: Zur Strafbarkeit des Schwarz-Surfens. Ist die Benutzung eines offenen, unverschlüsselten WLAN-Netzwerks zwecks Zugang zum Internet strafbar?, in: CR 2008, S. 439 ff.

Literaturverzeichnis

273

Fabrizy, Ernst Eugen: StGB und ausgewählte Nebengesetze, Kurzkommentar, 8. Aufl., Wien 2002. Faßbender, Marcel: Angriffe auf Datenangebote im Internet und deren strafrechtliche Relevanz. Distributed Denial of Service Angriffe, Bd. 6, Hamburg 2003. Fischer, Thomas: Strafgesetzbuch und Nebengesetze, 58. Aufl., München 2011. Fox, Dirk: Phishing, in: DuD 2005, S. 365 ff. Frommel, Monika: Das zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität, in: JuS 1987, S. 667 ff. Fuchs, Helmut: Österreichisches Strafrecht, Allgemeiner Teil I, 6. Aufl., Wien 2004. Gercke, Marco: Cyberterrorismus – Aktivitäten terroristischer Organisationen im Internet, in: CR 2007, S. 62 ff. – Der Rahmenbeschluss über Angriffe auf Informationssysteme, in: CR 2005, S. 468 ff. – Die Bekämpfung der Internetkriminalität als Herausforderung für die Strafverfolgungsbehörden, in: MMR 2008, S. 291 ff. – Die Cybercrime Convention des Europarats. Bedeutung und Tragweite ihres völkerrechtlichen Einflusses auf das Straf- und Strafverfahrensrecht in Deutschland, in: CR 2004, S. 782 ff. – Die Entwicklung des Internetstrafrechts im Jahr 2004, in: ZUM 2005, S. 612 ff. – Die Entwicklung des Internetstrafrechts im Jahr 2005, in: ZUM 2006, S. 284 ff. – Die Entwicklung des Internetstrafrechts im Jahr 2006, in: ZUM 2007, S. 282 ff. – Die Entwicklung des Internetstrafrechts im Jahr 2007, in: ZUM 2008, S. 545 ff. – Die Strafbarkeit von Phishing und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, in: CR 2005, S. 606 ff. – Einführung in das Internetstrafrecht, in: JA 2007, S. 839 ff. – Rechtswidrige Inhalte im Internet. Eine Diskussion ausgewählter Problemfelder des Internet-Strafrechts unter Berücksichtigung strafprozessualer Aspekte, Köln 2000. – Stellungnahme zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656) zur Vorbereitung der öffentlichen Anhörung im Rechtsausschuss am 21. März 2007, http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/ 15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Gercke.pdf (Stand: 10. Februar 2010). Gercke, Marco/Brunst, Phillip: Praxishandbuch Internetstrafrecht, Stuttgart 2009. Gietl, Andreas: Zivilrechtliche Ansprüche gegen unerwünschte Mitbenutzer privater Funknetze, in: DuD 2006, S. 37 ff. Goeckenjan, Ingke: Auswirkungen des 41. Strafrechtsänderungsgesetzes auf die Strafbarkeit des Phishing, in: wistra 2009, S. 47 ff.

274

Literaturverzeichnis

Graf, Jürgen-Peter: Phishing derzeit nicht generell strafbar, in: NStZ 2007, S. 129 ff. – Stellungnahme zur öffentlichen Anhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 in Berlin zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656), http:// www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Compu terkriminalitaet/04_Stellungnahmen/Stellungnahme_Graf.pdf (Stand: 10. Februar 2010). Gravenreuth, Günther: Computerviren, Hacker, Datenspione, Crasher und Cracker – Überblick und rechtliche Einordnung, in: NStZ 1989, S. 201 ff. Greif, Björn: Panda meldet 90 Prozent Spam-Anteil in Unternehmen, http://www. zdnet.de/news/wirtschaft_sicherheit_security_panda_meldet_90_prozent_spam_an teil_in_unternehmen_story-39001024-3920184 8-1.htm (Stand: 4. Januar 2011). Gröseling, Nadine/Höfinger, Frank Michael: Computersabotage und Vorfeldkriminalisierung. Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, in: MMR 2007, S. 626 ff. – Hacking und Computerspionage. Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, in: MMR 2007, S. 549 ff. Haft, Fritjof: Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität (2. WiKG) – Teil 2, Computerdelikte, in: NStZ 1987, S. 6 ff. Haft, Fritjof/Eisele, Jörg: Zur Einführung, Rechtsfragen des Datenverkehrs im Internet, in: JuS 2001, S. 112 ff. Heckmann Dirk/Höhne Focke: Kommentar zum Beschluss des BVerfG vom 18.05.2009, in: K&R 2009, S. 636 ff. Heinrich, Bernd: Strafrecht – Allgemeiner Teil I, 2. Aufl., Stuttgart 2010. von Heintschel-Heinegg, Bernd: Beck’scher Online-Kommentar, Stand: 01. März 2010, Edition: 11 (zit.: BeckOK-Bearbeiter). Helm, Günther: E-Mail-Massensendungen – SPAMMING, in: Aktuelle Entwicklungen im Internet-Recht, Beiträge zur zivil-, straf- und verwaltungsrechtlichen Diskussion, herausgegeben von Plöckinger, Oliver/Duursma, Dieter/Helm, Günther, Wien 2002, S. 165 ff. Herdegen, Matthias: Europarecht, 11. Aufl., München 2009. Herzog, Felix: Straftaten im Internet, Computerkriminalität und die Cybercrime Convention, http://www.politicacriminal.cl/n_08/d_1_8.pdf (Stand: 4. Januar 2011). Hilgendorf, Eric: Informationsstrafrecht und Rechtsinformatik, Berlin 2004. – Grundfälle zum Computerstrafrecht, in: JuS 1996, S. 509 ff. – Kurze Stellungnahme zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität für die öffentliche Anhörung im Rechtsausschuss des Deutschen Bundestages am Mittwoch, den 21. März 2007, http:// www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Compu

Literaturverzeichnis

275

terkriminalitaet/04_Stellungnahmen/Stellungnahme_Hilgendorf.pdf (Stand: 10. Februar 2010). – Die Neuen Medien und das Strafrecht, in: ZStW 113 (2001), S. 650 ff. Hilgendorf, Eric/Frank, Thomas/Valerius, Brian: Computer- und Internetstrafrecht, ein Grundriss, Berlin 2005. Hobe, Stephan: Einführung in das Völkerrecht, 9. Aufl. Tübingen 2008. Hoeren, Thomas: Virenscanning und Spamfilter – Rechtliche Möglichkeiten im Kampf gegen Viren, Spammails & Co, in: NJW 2004, S. 3513 ff. Hoppe, Gabriela,/Prieß, Andreas: Sicherheit von Informationssystemen, Gefahren, Maßnahmen und Management im IT-Bereich, Berlin 2003. Information Security Society Switzerland: Vernehmlassung zum Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarats über die Cyberkriminalität (ECC), http://www.isss.ch/fileadmin/ publ/sigccc/ECC-Vernehmlassung-ISSS. pdf (Stand: 4. Januar 2011). Jäger, Christian: Examens-Repetitorium Strafrecht, Allgemeiner Teil, 5. Aufl., Heidelberg 2011. Jaeger, Stefan: Anbieten von Hackertools – Zur Strafbarkeit neutraler Handlungen als Beihilfe, in: RDV 1998, S. 252 ff. Jessen, Ernst: Zugangsberechtigung und besondere Sicherung im Sinne von 202a StGB, Frankfurt am Main 1994. Jlussi, Dennis: IT-Sicherheit und § 202c StGB. Strafbarkeit beim Umgang mit ITSicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, http://www.eicar.org/press/infomaterial/JLUSSI_LEITFA DEN_web.pdf (Stand: 4. Januar 2011). Joecks, Wolfgang: Strafgesetzbuch, Studienkommentar, 8. Aufl., München 2009. Keudell von, Fabian: Auch das letzte Byte vernichten, http://www.chip.de/artikel/ O-O-SafeErase-3-Daten-Shredder_28374153.html (Stand: 4. Januar 2011). Kienapfel, Diethelm/Höpfel, Frank: Grundriss des Strafrechts, Allgemeiner Teil, 12. Aufl., Wien 2005. Kienapfel, Diethelm/Schroll, Hans Valentin: Studienbuch Strafrecht, Besonderer Teil/1, Delikte gegen Personenwerte, Wien 2003. Kindhäuser, Urs/Neumann, Ulfrid/Paeffgen, Hans-Ullricht: Strafgesetzbuch, Kommentar, Band 2, 3. Aufl., München 2010. Knupfer, Jörg: Phishing for Money, in: MMR 2004, S. 641 ff. Köck, Elisabeth: Wirtschaftsstrafrecht, Wien 2007. Krutisch, Dorothee: Strafbarkeit des unberechtigten Zugangs zu Computerdaten und -systemen, Frankfurt am Main 2004. Kugelmann, Dieter: Die Cyber-Crime Konvention des Europarats, in: DuD 2001, S. 215 ff. – Völkerrechtliche Mindeststandards für die Strafverfolgung im Cyberspace. Die Cybercrime Convention des Europarats, in: TMR 2002, S. 14 ff.

276

Literaturverzeichnis

Lackner, Karl/Kühl, Kristian: Strafgesetzbuch, Kommentar, 27. Aufl., München 2011. Lardschneider, Michael: Social Engineering. Eine ungewöhnliche, aber höchst effiziente Security Awareness Maßnahme, in: DuD 2008, S. 574 ff. Leipziger Kommentar zum Strafgesetzbuch: Kommentar, herausgegeben von Laufhütte, Heinrich, Wilhelm/Rissing-van Saan, Ruth/Tiedemann, Klaus, 12. Aufl., Berlin 2009 ff. (zit.: LK-Bearbeiter). Lichtenstrasser, Isabell/Mosing, Max W./Otto, Gerald: Wireless LAN – Drahtlose Schnittstelle für Datenmissbrauch, in: ÖJZ 2003, S. 253 ff. Lindner, Felix: Stellungnahme zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BT-Drs. 16/3656), http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Ar chiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Lindner.pdf (Stand: 10. Februar 2010). Lossie, Heiko: Die Hacker aus Hannover, http://www.sueddeutsche.de/digital/-junidie-hacker-aus-hannover-1.834013 (Stand: 4. Januar 2011). Malek, Klaus: Strafsachen im Internet, Heidelberg 2005. Malpricht, Max Marc: Haftung im Internet – WLAN und die möglichen Auswirkungen. Straf- und zivilrechtliche Konsequenzen der rechtswidrigen Internetnutzung, in: ITRB 2008, S. 42 ff. Marberth-Kubicki, Annette: Computer- und Internetstrafrecht, München 2005. – Internet und Strafrecht, in: DRiZ 2007, S. 212 ff. Martin-Jung, Helmut: Schlag gegen Online-Betrüger, Süddeutsche Zeitung vom 26. November 2009, S. 6. Mersmann, Rainer: Auch die Aufpasser müssen aufpassen, http://www.stern.de/digi tal/computer/hackerparagraf-auch-die-aufpasser-muessen-aufpassen-598457.html (Stand: 4. Januar 2011). Möhrenschläger, Manfred: Computerstraftaten und ihre Bekämpfung in der Bundesrepublik Deutschland, in: wistra 1991, S. 321 ff. – Das neue Computerstrafrecht, in: wistra 1986, S. 128 ff. Münchner Kommentar zum Strafgesetzbuch: Kommentar, herausgegeben von Joecks, Wolfgang/Miebach, Klaus, München 2003 ff. (zit.: MüKo-Bearbeiter). Pfister, Christa: Hacking, Zürich 2008. Plöckinger, Oliver: Internet und materielles Strafrecht – Die Convention on Cybercrime, in: Aktuelle Entwicklungen im Internet-Recht, Beiträge zur zivil-, strafund verwaltungsrechtlichen Diskussion, herausgegeben von Plöckinger, Oliver/ Duursma, Dieter/Helm, Günther, Wien 2002, S. 113 ff. Popp, Andreas: Computerstrafrecht in Europa. Zur Umsetzung der Convention on Cybercrime in Deutschland und Österreich, in: MR-Int 2007, S. 84 ff.

Literaturverzeichnis

277

– § 202c StGB und der neue Typus des europäischen Software-Delikts, in: GA 2008, S. 375 ff. – Phishing, Pharming und das Strafrecht, in: MMR 2006, S. 84 ff. – Von Datendieben und Betrügern – Zur Strafbarkeit des so genannten phishing, in: NJW 2004, S. 3517 ff. Rehberg, Jörg/Schmid, Niklaus/Donatsch, Andreas: Delikte gegen den Einzelnen, Bd. 3, 8. Aufl., Zürich 2003 u. a. Reindl, Susanne: Computerstrafrecht im Überblick, Wien 2007. – E-Commerce und Strafrecht: Zur Strafbarkeit des Missbrauchs elektronischer Dienste, Wien 2003. Rengier, Rudolf: Strafrecht, Allgemeiner Teil, 2. Aufl., München 2010. – Strafrecht, Besonderer Teil II, 11. Aufl., München 2010. Rentrop, Christian: Hacking-Paradies CeBIT: Offene WLANs, so weit das Auge reicht, http://www.netzwelt.de/news/73784-hacking-paradies-cebit-offene-wlansso-weit-auge-reicht.html (Stand: 4. Januar 2011). – Phishing verursacht Milliarden-Schäden, http://www.netzwelt.de/news/66417phishing-verursacht-milliarden-schae.html (Stand: 4. Januar 2011). Rinker, Mike: Strafbarkeit und Strafverfolgung von IP-Spoofing und Port-Scanning, in: MMR 2002, S. 663 ff. Sachs, Michael/Battis, Ulrich: Grundgesetz, Kommentar, 5. Aufl., München 2009. Salzburger Kommentar zum Strafgesetzbuch: Kommentar, herausgegeben von Triffterer, Otto/Rosbaud, Christian/Hinterhofer, Hubert, Wien 2007 (zit.: SbgK-Bearbeiter). Sanchez-Hermosilla, Fernando: Neues Strafrecht für den Kampf gegen Computerkriminalität. Konvention des Europarats und neuer Rahmenbeschluss der Europäischen Union im Vergleich mit dem deutschen Strafrecht, in: CR 2003, S. 774 ff. Satzger, Helmut/Schmitt, Bertram/Widmaier, Gunter: StGB, Strafgesetzbuch Kommentar, Köln 2009 (zit.: SSW-Bearbeiter). Scheffler, Hauke/Dressel, Christian: Die Insuffizienz des Computerstrafrechts, Schleppende Gesetzgebungsverfahren als Störfaktor für die E-Commerce-Wirtschaft, in: ZRP 2000, S. 514 ff. Schmid, Niklaus: Computer- sowie Check- und Kreditkarten-Kriminalität, Zürich 1994. – Das neue schweizerische Computer-Strafrecht vom 17. Juni 1994, in: CR 1996, S. 163 ff. – Schweizerisches Computerstrafrecht. Anmerkung zum Regierungsentwurf, in: CR 1991, S. 418 ff. – Zu den Begriffen der Daten, der Datenverarbeitung und der Datenverarbeitungsanlage im neuen Vermögens- und Urkundenstrafrecht, in: ZStR 110 (1992), S. 315 ff.

278

Literaturverzeichnis

Schmid, Pirmin: Computerhacken und materielles Strafrecht unter besonderer Berücksichtigung von § 202a StGB, http://deposit.ddb.de/cgi-bin/dokserv?idn= 96239971x&dok_var=d1&dok_ext=pdf&filename=96239971x.pdf (Stand: 4. Januar 2011). Schmitz, Roland: Ausspähen von Daten, § 202a StGB, in: JA 1995, S. 478 ff. Schnabl, Andrea: Strafbarkeit des Hacking – Begriff und Meinungsstand, in: wistra 2004, S. 211 ff. Schönke, Adolf/Schröder, Horst: Strafgesetzbuch, Kommentar, 28. Aufl., München 2010 (zit.: Schönke/Schröder-Bearbeiter). Schreibauer, Marcus/Hessel, Tobias J.: Das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, in: K&R 2007, S. 616 ff. Schröder, Werner: Grundkurs Europarecht, München 2009. Schultz, Alexander: Neue Strafbarkeiten und Probleme. Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20.09.2006, in: DuD 2006, S. 778 ff. Schumann, Kai: Das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, in: NStZ 2007, S. 675 ff. Schwarzenegger, Christian: Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime vom 23.11.2001. Am Beispiel des Hackings, der unrechtmässigen Datenbeschaffung und der Verletzung des Fernmeldegeheimnisses, in: Festschrift für Stefan Trechsel zum 65. Geburtstag, herausgegeben von Donatsch, Andreas, Zürich 2002, S. 305 ff. Seiler, Stefan: Strafrecht, Allgemeiner Teil, 2. Aufl., Wien 2007. Sieber, Ulrich: Computerkriminalität und Informationsstrafrecht. Entwicklungen in der internationalen Informations- und Risikogesellschaft, in: CR 1995, S. 100 ff. – Internationales Strafrecht im Internet. Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, in: NJW 1999, S. 2065 ff. – Informationsrecht und Recht der Informationstechnik, in: NJW 1989, S. 2569 ff. Spannbrucker, Christian: Convention on Cybercrime. Ein Vergleich mit dem deutschen Computerstrafrecht in materiell- und verfahrensrechtlicher Hinsicht, http://deposit.ddb.de/cgi-bin/dokserv?idn=973688068&dok_var=d1&dok_ext=pdf &filename=973688068.pdf (Stand: 4. Januar 2011). Stratenwerth, Günter: Schweizerisches Strafrecht, Allgemeiner Teil I, Bern 1982. Stratenwerth, Günter/Jenny, Guido: Schweizerisches Strafrecht, Besonderer Teil I, Straftaten gegen Individualinteressen, 6. Aufl., Bern 2003. Stratenwerth, Günter/Wohlers, Wolfgang: Schweizerisches Strafgesetzbuch, Handkommentar, Bern 2007. Streinz, Rudolf: EUV/EGV, München 2003. Stuckenberg, Carl-Friedrich: Stellungnahme zum Gesetzentwurf der Bundesregierung – Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computer-

Literaturverzeichnis

279

kriminalität – für die Öffentliche Anhörung vor dem Rechtsausschus des Bundestages am 21. März 2007, http://www.bundestag.de/bundestag/ausschuesse/ a06/anhoerungen/Archiv/15_Computerkriminalitaet/04_Stellungnahmen/Stellung nahme_Stuckenberg.pdf (Stand: 10. Februar 2010). – Viel Lärm um nichts – Keine Kriminalisierung der IT-Sicherheit durch § 202c dStGB, in: wistra 2010, S. 41 ff. – Zur Strafbarkeit von Phishing, in: ZStW 118 (2006), S. 878 ff. Systematischer Kommentar zum Strafgesetzbuch: Strafgesetzbuch, Großkommentar, herausgegeben von Rudolphi, Hans-Joachim/Horn, Eckhard/Samson, Erich/Günther, Hans-Ludwig, Wien 2009 (zit.: SK-Bearbeiter). Timm, Klaus J.: IuK-Kriminalität – Intelligente Prävention sollte Priorität haben, in: Kriminalistik 2003, S. 643 ff. Trechsel, Stefan et al.: StGB Praxiskommentar, Schweizerisches Strafgesetzbuch, Zürich/St. Gallen 2008 (zit.: Trechsel-Bearbeiter). Valerius, Brian: Der Weg zu einem sicheren Internet? Zum In-Kraft-Treten der Convention on Cybercrime, in: K&R 2004, S. 513 ff. Vassilaki, Irene: Das 41. StrÄndG – Die neuen strafrechtlichen Regelungen und ihre Wirkung auf die Praxis, in: CR 2008, S. 131 ff. Vetter, Jan: Gesetzeslücken bei der Internetkriminalität, Hamburg 2003. Wabnitz, Heinz-Bernd/Janovsky, Thomas: Handbuch des Wirtschafts- und Steuerstrafrechts, 3. Aufl., München 2007. Wank, Rolf: Die systemkonforme Auslegung, Zur Auflösung einfachgesetzlicher, verfassungsrechtlicher und europarechtlicher Widersprüche im Recht, in: RdA 2010, S. 63 ff. Weber, Rolf H./Unternährer, Roland: Wirtschaftsterrorismus im Internet. In Wirtschaft und Strafrecht, in: Festschrift für Niklaus Schmid zum 65. Geburtstag, herausgegeben von Ackermann, Jürg-Beat/Donatsch, Andreas/Rehberg, Jörg, Zürich 2001, S. 365 ff. Weichert, Thilo: Bürgerrechtskonforme Bekämpfung der Computerkriminalität, in: DuD 2007, S. 590 ff. Weingarten, Bert: Der Hackerparagraph ist der größte Unsinn, http://www.netzzei tung.de/internet/693170.html (Stand: 21. Februar 2008). Wermke, Matthias/Klosa, Annette/Kunkel-Razum, Kathrin/Scholze-Stubenrecht, Werner: Duden, Das Fremdwörterbuch, Band 7, 7. Aufl., Mannheim 2001. Weßelmann, Bettina: Maßnahmen gegen Social Engineering. Training muss Awareness-Maßnahmen ergänzen, in: DuD 2008, S. 601 ff. Wessels, Johannes/Beulke, Werner: Strafrecht – Allgemeiner Teil, 40. Aufl., Heidelberg 2010.

280

Literaturverzeichnis

Wiener Kommentar zum Strafgesetzbuch: Kommentar, herausgegeben von Höpfel, Frank/Ratz, Eckart, 2. Aufl. ff., Wien 1999 ff. (zit.: WK-Bearbeiter). Ziemann, Frank: Neuer IE-Exploit schon im Einsatz, http://www.pcwelt.de/start/ sicherheit/sicherheitsluecken/news/75801/neuer_ie_exploit_schon_im_einsatz/ index.html (Stand: 4. Januar 2011). – Trojanische Pferde, http://hoax-info.tubit.tu-berlin.de/virus/avtrojan.shtml (Stand: 4. Januar 2011). – WLAN: WEP in kaum einer Minute entschlüsselt, http://www.pcwelt.de/start/ sicherheit/sonstiges/news/76435/wlan_wep_in_kaum_einer_minute_entschluesselt/ index.html (Stand: 4. Januar 2011).

Sachregister Abhörbestimmung 98 Abhörvorrichtung 90, 95, 98, 129 Absichtsdelikt 183 Abstrahlungen 152 Abstrahlungen, elektromagnetische 46, 49, 55–56, 59–60, 87, 95–97, 129, 143, 152, 154, 201, 246, 253 Access Point 238 Ad-hoc-Verfahren 238 AN.ON 208–209 Analogieverbot 108, 122, 181–182, 202 Anbieten 174, 180, 182, 275 Anleitunggeben 174, 180, 183, 246–247, 252 Anmeldekennung 137 Anonymisierungsdienste 208 Anonymität 208, 243 Anpreisen 174, 180, 182 Antivirensoftware 203, 207, 218, 224, 226 Antragsdelikt 106 ASCII 58 Aufzeichnen 55, 98, 100, 102 Auslegung, konventionskonforme 90, 96 Ausspionieren 200 Auswerten von Hardware 191 Backdoors 203, 205–207 Back-up 104, 106, 120, 217 Bagatelldelikte 69, 78, 81, 113, 116, 119, 203, 213, 251 Bagatellfilter 116, 118, 120, 123, 187 Bandeneigenschaft 85, 107, 247 Bandenmitgliedschaft 187–188 Bedeutung, wesentliche 72, 116

Begehungsdelikt 170 Benutzerinteraktion 221 Bestimmtheitsgebot 63, 72–73, 116, 137, 175, 213 Beweisschwierigkeiten 92, 138–139, 183, 247 Blog 101 Botnets 23, 210, 224 Christmas 222 Clients 238 Code 58, 131, 221 Commitee of Experts on Crime in Cyberspace 36 Computerbanden 85, 244, 251 Computerforensik 176 Computerfrieden 157–158 Computerkriminalität – Begriff 28 – Statistische Entwicklung 31 Computerpasswörter 131 Computersabotage 32, 49, 68–69, 109, 127, 189–190, 209, 249, 254, 274 Computerspionage 191, 194, 274 Computersystem – Cybercrime Convention 158 – dStGB 116 – öStGB 76, 79, 114, 199 Computerviren 33, 81, 179–180, 184, 197, 209, 216–222, 271–272, 274 – Ausführung der Funktion 218 – belästigende 218 – destruktive 217–218, 220 – hybride 217 – Infektion 218 – nicht überschreibende 218–220

282

Sachregister

– Schadensspektrum 217 – überschreibende 218 Computervirentatbestand 179 Computerwürmer 29, 109, 221, 223–227 Corporate Design 231 Cybercrime Convention 23 – Computerdaten 58, 93 – Computersystem 52 – Datenschutz 40 – in erster Linie 47, 61–62, 124–126, 130, 173, 224 – Inkrafttreten 37, 49 – Intent 66 – Minimalkonsens 39, 83 Cybercrime-Heaven 39 Cyberkriminelle 23, 155, 203, 215, 231 Cyberpunks 195 Dateimanager 188 Daten – Anonymisierung 41 – Begriff 58, 79, 250 – intakte 169 – öStGB 93, 105 – sStGB 145–146 Datenberechtigung 176, 208 Datenbestände, firmeninterne 192 Datendiebstahl 50, 142, 193 Dateneingabe 70 Datenintegrität 104, 106 Datenschutz 30, 40–42, 61, 94 Datenträger, externe 162, 192, 211 Datenübermittlung 55, 59, 70, 88, 95, 97, 151–152, 168, 199, 241, 246, 253 Datenübermittlungen 142, 151 Datenübermittlungsprozess 151 Datenübertragung, Geschwindigkeit 39 Datenverarbeitung – dStGB 115 – geplante 115 – Stellenwert 117

Datenverarbeitungsanlage 60, 145, 159 Datenverarbeitungsprozesse 73 Datenverarbeitungssystem 158 Datenverschaffen 91, 100–101, 149, 205–206 Datenzerstörung 183 DDoS-Attacken 209–212, 215 DEC/VAX-Betriebssystem VMS 196–197 Delikt, erfolgsqualifiziertes 108 Deliktscharakter 106, 127, 137, 156–157, 161–162, 170, 179 Deliktsqualifikation 108, 110 Diagnosewerkzeug 196 Differenzschaden 206, 214 Digitalisierung, fortschreitende 116 Digitaltechnik 58 Diskontinuitätsgrundsatz 30–31 DoS-Attacke 71, 111, 115, 119, 173, 209–215, 220, 228–229, 251 DRDoS-Attacken 209, 211, 214 Drive-by-Download 198, 232 Dual-Use-Tools 62–63, 66, 126, 130, 138, 180, 184, 188, 251 Dynamic-Host-Configuration-Protocol 238 Ebene – semantische 57 – syntaktische 57–58 Eindringen 51, 63, 75, 156, 158, 160–164, 167–168, 187, 195, 201, 205, 215, 225, 243, 257 Einführen 133, 181 Eingabeaufforderung 54, 239 Eingriffe, mechanische 53–54, 80 Einsatzbereich, legaler 63, 125, 130 Einsatzzweck 64 Einverständnis, tatbestandsausschließendes 235 Element – kognitives 135 – voluntatives 135

Sachregister Emails 22, 91, 99, 101–102, 133, 211, 227–229, 231, 233, 236, 246 Erfolgsqualifikation 108 Erheblichkeit 73, 119–120, 123, 213 Erpressung 165 EU-Rahmenbeschluss – Computerdaten 68 – Informationssystem 53 – Umsetzungsfrist 48 European Commitee on Crime Problems 36 Exploits 232 Fehlleitung 99, 102 Fernmeldeanlage 89 Firewall 81, 207 Fixierung 100–101, 105 Flooding 220 Fremdheit 159, 168, 175, 193, 208–209 Fremdprogramme 203 Funkanlagen 60, 87 Funknetzwerk 238 Gebrauchsvorsatz, erweiterter 134 Gefahr, abstrakte 128–129, 132, 139–140, 166, 183, 186, 189, 247 Gefährdungsdelikt 157 – abstraktes 127–128, 137, 157–158, 179, 186 – konkretes 157–158, 161 Gefährdungspotenzial, drohendes 185 Geheimhaltungsinteresse 55, 78–79, 82, 87–88, 95, 100–101, 161, 235 Geheimhaltungspflicht 101 Geheimhaltungswille 80–81 Geheimnisschutz 86, 88, 91, 100, 143, 153, 157–158, 161, 192 Geheimnisschutzdelikt 127 Geheimnisschutzinteresse 102 Generalverdacht 42 Geräte, elektronische 53, 59, 80, 82, 116

283

Geschäftsführung ohne Auftrag 51 Gesetzgeberversehen 102 Gewerbsmäßigkeit 71, 155, 185, 187, 245, 247 Globalität des Internets 133, 181 Grey-Hat-Hacker 51 Hacker 50, 61, 147, 194–196, 203, 217, 271–272, 274, 276 Hackerbande 108, 244 Hackertool 60, 64, 128–129, 132, 136–137, 271, 275 Hacking 22, 32–33, 49–51, 53, 81, 83, 157, 161–164, 166, 194–195, 197–198, 231, 240, 272, 274, 276–278 Hardwareadresse 239 Hardwareschaden 217 Hausfriedensbruch 157 Herbstlaubvirus 218 Herrschaft über die Daten 91, 100 Herstellen 181–182 Hersteller 47, 65, 134, 182, 203 Herstellerwille 65, 251 Hilfsmittel, technische 46, 56, 90, 99, 143, 201 Hochfrequenzenergie 96 Identity Theft 231 I-love-you-Virus 222 Imageschaden 51, 214 Immaterialgüterrecht eigener Art 142, 155 Impersonating 234 Indizfunktion 111, 176 Industrielle Revolution – erste 21 – zweite 21 Industriespionage 136 Infektion 218–219, 222 Information Security Society Switzerland 26, 153 Informationstechnik 35

284

Sachregister

Infrastrukturmodus 238 Infringing 77, 204, 261 Innentendenz, überschießende 77–78, 83, 92, 94, 97, 103, 122, 135, 150, 153, 201, 205, 212, 223 Integrität 54, 161, 169, 171, 174 Intent 66, 127 Internetaccount 238, 240 Internetauktion 230 Internetflatrates 195 Internetkriminalität 29 Internetnutzung – Deutschland 21 – Österreich 21 – Schweiz 22 Internetprovider 208, 240 Internettelefonie 97, 151 Internet-Worm 222 Interpretationsgemeinschaft, sachverständige 65 Interpretationsregel 58, 207 IP-Adresse 130, 133, 195, 207, 209–210, 238, 240–242 IP-Spoofing 207–208, 277 iTan 232 IT-Industrie 137 IT-Spezialist 136 Kenntnisnahme 77, 88–91, 94, 100–101, 148, 162, 212, 246, 255 Kenntnisnahmeabsicht 87, 91, 94, 103, 134, 242 Keyboard 70, 93, 151, 163, 199 KGB-Hack 196 Kismet 240 Kommunikationsgeheimnis 95 Konventionskonformität 66, 83 Kriminalität, organisierte 78, 155, 178, 244, 247–248, 262–263 Legaldefinition 56, 93, 115, 144–145, 158, 167 Liveübertragung 91

Logische Bomben 217 Lufthansa-Website 71, 210 Mac-Filtertabelle 239 Malware 62–64, 66, 130, 135, 137–138, 184, 200, 203, 251 Man-in-the-Middle-Angriff 232 Man-in-the-Middle-Angriffe 232 Masquerading 207–208 Maßfigur, objektive 65 Media-Access-Control-Adresse 239 Menschenrechtskonvention, europäische 42 Michelangelo-Virus 217 Mindestdauer 213 Mindestvorgaben 45, 54, 250 Mitgliedschaft in einer kriminellen Vereinigung 24, 84, 107, 113, 155, 187, 189, 244, 251 Mittel, technisches 89, 246 Nachteilszufügungsabsicht 71, 74, 122, 190, 211, 213, 215, 219, 223, 227, 251 NASA-Hack 196 Nebeneffekte, ungewollte 152, 200 Netzwerkdienste 221 Netzwerkkarte 239 Newsgroup 230 No-Name-Programme 65–66 Notifikation 147, 160 Nötigung 165 Offizialdelikt 106 Onlineaccount 233–237 Onlinebanking 117, 131, 197, 221, 230, 232 Onlinebankingdaten 233 Online-Banking-Server 237 Onlineblockade 71 Onlinedemonstration 210 Onlineversteigerung 123 Opferschutz 106

Sachregister Optronik 154 Organisation, kriminelle 153, 156, 186–187, 189 PCM/CIA-Karte 238 Peripheriegeräte 53, 60, 97 Pferde, trojanische 196–197, 202 Pharming 22, 232, 277 Phishes 230 Phishing 22, 230–233, 235–237, 270–271, 273–275, 277, 279 Phreaking 194, 230 Ping-Scan 195 Port 195, 197, 207, 277 Portmapping 195 Port-Scan 195 Port-Scanner 195, 197 Port-Scanning 195, 197 Posting 230 Primärzweck 62, 125 Privatsphäre 78, 90, 101, 157–158, 208, 251 Programmroutine 198, 202, 224 Qualifikation 70, 84–85, 107, 118, 155, 170, 172, 176–177, 185, 187, 189–190, 209, 244, 248, 251 – fakultative 178, 247 – selbstständige 111 Rahmenbeschluss 45 Ratifikation 23, 34, 37, 43, 45, 48, 83, 104, 143, 147, 160, 172, 174, 252 Ratifikationsklausel 48 Ratifikationsurkunde 174 Rechtsfrieden 166 Rechtsunsicherheit 66, 81, 135, 137, 177, 244 Regelbeispiel 111 Registry 223–225, 227 Ressourcenverbrauch 224–225 Reue, tätige 129, 138, 185–186, 189 Router 195–196, 238–243

285

Sacheigenschaft, zivilrechtliche 175, 208 Sachentziehung 172 Sasser 109, 221, 272 Schädigungsabsicht 77–78, 83, 94, 106, 134, 194, 201, 205, 211, 223 Schädigungspotenzial 62, 194, 217 Schutzmechanismen 138, 194 Schwarzmarkt 129 Schwarzsurfen 238, 241–243 Selbstbestimmungsrecht, informationelles 175 Service-Set-Identity 240 Session Hijacking 204 Sicherheitslücke 139, 164, 221 Sicherungen, mechanische 80–82 Sicherungsdiskette 106 Sicherungswille 150, 152 Skriptkiddies 85 Social Engineering 231, 234, 276, 279 Software-Keylogger 197 Spamfilter 227, 229, 275 Spamflut 211, 228 Spammails 22, 198, 227–229, 275 Spammailserver 231 Spamming 228 Spamverdacht 229 SPANET 196 Spionageabsicht 97, 243 Spionagesoftware 202 Spoof-Site 231 Spyware 162 Stand-alone-PC 76, 164 Standardpasswörter, vorinstallierte 81, 147 Stillstand 118, 120, 220 – faktischer 225 Strafbarkeit, Ausuferung 74, 80, 92, 94, 115, 120, 122, 154, 156, 168, 215, 226 Strafrechtsänderungsgesetz 2002 24 Strafrechtsänderungsgesetz 2008 24 Stuxnet 29, 270

286

Sachregister

Subroutine 216 Surfen 198, 208, 241 Systemadministrator 136, 251 Systemlöcher 203 Systemmanipulationen 136 Systemüberlastung, künstliche 204 Tastatureingaben 70 Tätigkeitsdelikt 140, 185 Tatwerkzeug 40, 63 Tauschbörsen, illegale 198 Telefonanlage 97, 151 Telekommunikationsanlage 97 Telekommunikationsgeheimnis 85–86, 90, 92, 123, 255, 257 Terrorismus 78, 263 Testen, genehmigtes 47, 62, 125, 173 Traceroute 196–197 Transformation 37 Trigger 216 Triggerfunktion 216 Trojaner 196–203, 210, 222, 224, 227, 232 Trojanerfunktionen 221, 226 Überkoppelung 96 Überkriminalisierung 50, 53, 264 Übermittlungsphase 95, 150, 154, 156, 160 Übermittlungsstadium 89, 95, 199 Übertragungseinrichtungen 145, 243 Übertragungsform 88 Übertragungsphase 165 Überwinden 76 Umgehen 76, 203–206, 245 Umqualifizierung 170 Umstandsmoment 120 Unbefugtheit 126 Unbrauchbarmachen 171 Unerheblichkeit 119 Unix 222 Unterdrücken 176

Unwesentlichkeit 117 Urheberrechtsberechtigter 142 URL-Spoofing 231 Verändern 170 Verbreitungsroutine, eigenständige 221 Verdienstausfall 214 Vereinigung, kriminelle 75, 84–85, 103, 107–108, 111, 113, 155, 189, 244, 251, 255–256, 264, 266 Verfahren, kryptografische 167 Verfügungsbefugnis 78, 122, 142, 159, 171, 191, 193, 212, 237 – formelle 50, 149 Verfügungsmacht, dauerhafte 148 Verfügungsrecht 142, 155, 191, 200, 208, 235 – formelles 192 – informationelle 79 Verhinderung, endgültige 139 Verkehrsauffassung, normativ verstandene 65 Verletzungsdelikt 158, 161 Vermögensschutz 156, 169 Vermögenswert 113, 142 Veröffentlichen 101, 103, 105, 246 Verschlüsselungen, digitale 167 Verstümmeln von Daten 104 Versuch, unvollendeter 185 Vertrag, völkerrechtlicher 37 Vertrag von Lissabon 45 Vertraulichkeit 38, 88, 90, 94, 98, 100, 102, 142, 154 Vertriebskonzept 64–65 Verwendbarkeit der Daten, ungestörte 169, 174 Verwendung – deliktische 62–65, 125, 130 – unbefugte 81 Verwendungsabsicht 94 Verwendungswillen, potenzieller 176 Virenbausätze 246 Voice Over IP-Telefonie 55

Sachregister Vorbehaltsmöglichkeit 129 Vorbereiten 135 Vorbereitungsdelikt 127–128, 140 Vorbereitungsstadium 140 Vorfeldtatbestand 157 Vorhof, gesicherter 163, 226 Vorrichtung 89 Vorsatz-Fahrlässigkeits-Kombination 108 Wanzen 99 Wellen, elektromagnetische 96 WEP 131–132, 239, 270, 280 Wesentlichkeit 123 White-Hat-Hacker 50 White-Hat-Hacking 50–51 Wiederherstellungskosten 119, 207, 220, 224 Wi-Fi Protected Access 239 WiKG, zweites 30–31, 50 Wired-Equivalent-Privacy-Protocol 239 Wireless Local Area Networks 238 Wirtsapplikation 221 Wirtschaftsspionage 194 Wissentlichkeit 67, 71, 122, 127 WLAN 88, 90, 98, 131, 238–241, 243, 270, 272, 276, 280

287

WLAN-Karte 90 WPA 131–132, 239, 270 Zeitmoment 120 Zerstören, physisches 121 Zielhost 196 Zombie 23, 210, 212, 215 Zufallsfund 130 Zugang zu Daten 49, 52, 54, 60, 82, 132, 143, 148–149, 161–163, 197–198, 203, 241, 245, 247, 253 Zugänglichmachen 83, 101–103, 181, 246, 251 Zugangsberechtigung, fehlende 159 Zugangscode 131 Zugangsinformationen 133, 165 Zugangspasswörter 236 Zugangssicherung, Umgehung 244–245 Zulassungsverfahren 206 Zusatzprotokoll 37, 43 Zweck – illegaler 126 – krimineller 130 Zweckbestimmung – deliktische 64 – spezielle 125 Zwischenspeicher 105