Skip to content

Bundesverfassungsgericht: Zur Auslegung des Hackerparagraphen § 202c StGB - Dual Use Tools

Bundesverfassungsgericht
2 BvR 2233/07
Beschluss vom 18.5.2009,


Das Bundesverfassungsgericht hat sich in diesem Beschluss mit dem umstrittenen "Hackerparagraphen" § 202c StGB auseinandergesetzt und diverse Verfassungsbeschwerden gegen diese Vorschrift nicht zur Entscheidung angenommen. Allerdings hat das Bundesverfassungsgericht einige deutliche Hinweise zur (engen) Auslegung der Vorschrift gegeben. Einsatz und Entwicklung von Sicherheitssoftware ist, sofern dies nicht mit rechtswidriger Intention geschieht, regelmäßig nicht strafbar.

In der Pressemitteilung des Bundesverfassungsgerichts heißt es dazu:

"Die von den Beschwerdeführern eingesetzten Programme sind überwiegend keine tauglichen Tatobjekte der Strafvorschrift.Tatobjekt in diesem Sinn kann nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) gerichtet ist. Das Programm muss mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass ein Programm - wie das für das so genannte dual use tools gilt - für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist.

Soweit der Beschwerdeführer zu 1) auch Schadsoftware einsetzt, die ein taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen kann, fehlt dem Beschwerdeführer jedenfalls der zusätzlich erforderliche Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und somit im Einverständnis mit den über die überprüften Computersysteme Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des „unbefugten“ Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem insofern eindeutigen und durch die Entstehungsgeschichte wie die einschlägige Bestimmung des Übereinkommens des Europarats über Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB grundsätzlich auch Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt, beschafft oder weitergegeben werden. Ein Strafbarkeitsrisiko entsteht hier erst, sobald die betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder anderweitig auch Personen zugänglich gemacht werden, von deren Vertrauenswürdigkeit nicht ausgegangen werden kann."




Den Volltext der Entscheidung finden Sie hier:


Gesetzestext: § 202c StGB - Hackerparagraph

Gesetzestext
§ 202c StGB wurde durch das Einundvierzigste Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG) vom 7.8.2007 - BGBl. I S. 1786 - m.W.v. 11.8.2007 eingefügt.

§ 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.



§ 202c verweist insb. auf folgende Vorschriften:


§ 202a StGB Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202b StGB Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.