BMJ: Modernisierung des Computerstrafrechts - Entwurf eines Gesetzes zur Änderung des Strafgesetzbuches
Das BMJ hat den Entwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts vorgelegt.
Aus dem Entwurf:
A. Problem und Ziel
Infolge der fortschreitenden Digitalisierung von Wirtschaft, Staat und Gesellschaft muss der Gesetzgeber darauf achten, dass das Computerstrafrecht an die geänderten technischen Verhältnisse angepasst wird, wenn dies notwendig ist, um den angestrebten Rechtsgüterschutz aufrechtzuerhalten oder auch zu verbessern. Es muss verhindert werden, dass das Strafrecht von Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind. Genau dies droht im Falle des Computerstrafrechts.
Die IT-Sicherheit ist die Achillesferse der Informationsgesellschaft. Die Schließung von Sicherheitslücken hat daher allergrößte Bedeutung für die Abwehr von Cyberangriffen durch Kriminelle und durch fremde Mächte. Daher sind hinsichtlich der Informationstechnologie (IT) die vorhandenen Schwächen in der IT-Infrastruktur in den Blick zu nehmen, die durch die zunehmende Komplexität von IT-Systemen und die teilweise schwachen (Sicherheits- )Standardeinstellungen von IT-Produkten entstehen. Das Aufspüren von Sicherheitslücken in IT-Systemen gehört zu den typischen Tätigkeiten der IT-Sicherheitsforschung. Für ihre Tätigkeit ist nämlich regelmäßig ein Zugriff auf fremde Informationssysteme und Daten notwendig, die sich bereits im praktischen Einsatz befinden. Diese Ausgangslage birgt Strafbarkeitsrisiken, die sich kontraproduktiv auswirken können, weil sie nicht nur von verbotenem, sondern auch von gesellschaftlich erwünschtem Verhalten abschrecken: Die erforderlichen Zugriffshandlungen können jene Straftatbestände erfüllen, die dem Schutz des formellen Datengeheimnisses bzw. der Unversehrtheit von Daten und IT-Systemen dienen (§§ 202a ff., 303a f. des Strafgesetzbuches – StGB). Vor allem ist hier § 202a Absatz 1 StGB in den Blick zu nehmen, der das unbefugte (Sich-)Verschaffen des Zugangs zu Daten unter Strafe stellt, die nicht für den Täter bestimmt und gegen unberechtigten Zugang gesichert sind. Für den Zugang reicht die Möglichkeit der Kenntnisnahme aus, so dass schon ein bloßer Systemzugriff den Tatbestand erfüllen kann.
Eine weitere Kritik am geltenden Recht zielt darauf ab, dass die Strafrahmen die Gefährlichkeit und das hohe Schadenspotential von Computerdelikten teilweise nicht mehr adäquat abbildeten, dies gelte insbesondere bei Angriffen auf kritische Infrastrukturen. Jüngst hat sich die 221. Sitzung der Ständigen Konferenz der Innenminister und -senatoren der Länder vom 19. bis 21. Juni 2024 in Potsdam aus polizeilicher Sicht mit diesem Problem befasst und Reformbedarf auch im Bereich des Strafrechts konstatiert.
Ziel dieses Entwurfs ist die klare gesetzliche Abgrenzung von nicht zu missbilligendem Handeln der IT-Sicherheitsforschung von strafwürdigem Verhalten. Der Gesetzentwurf soll die bestehende Rechtsunsicherheit beseitigen und zudem bei schweren Begehungsformen, bei denen zum Beispiel kritische Infrastrukturen gefährdet oder beeinträchtigt werden, den Strafrahmen erhöhen.
Um bei § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten) alle strafwürdigen Angriffe angemessen ahnden zu können, sollen Regelbeispiele für besonders schwere Fälle eingeführt werden, um eine angemessene Sanktionierung zu ermöglichen.
B. Lösung
Die negative Legaldefinition des Merkmals „unbefugt“ in Artikel 1 StGB-E bewirkt, dass das Aufspüren von Sicherheitslücken in IT-Systemen dann nicht mehr strafbar ist, wenn es im Rahmen der IT-Sicherheitsforschung geschieht. Die Handlung muss dazu in der Absicht erfolgen, eine Sicherheitslücke festzustellen und den Betreiber der Datenverarbeitungsanlage, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik davon zu unterrichten. Die Handlung muss zudem erforderlich sein, um eine Lücke festzustellen. Die gleichen Kriterien gelten für die Tathandlungen nach § 202b und § 303a StGB, in denen zukünftig auf § 202a Absatz 3 StGB-E verwiesen werden soll. Die gewachsene Bedeutung der kritischen Infrastruktur und die Verletzlichkeit, die sich bei schädigenden Zugriffen in der Vergangenheit gezeigt hat, lassen es erforderlich erscheinen, die §§ 202a und 202b StGB so auszugestalten, dass bei Vorliegen eines besonders schweren Falls eine Freiheitsstrafe von drei Monaten bis zu fünf Jahren verwirkt wird.
Die Pressemitteilung des BMJ:
Rechtssicherheit für die Erforschung von IT-Sicherheitslücken: Bundesjustizministerium veröffentlicht Gesetzentwurf zum Computerstrafrecht
Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz eine Anpassung des Computerstrafrechts vor.
Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computerstrafrecht strafbar sind. Einen entsprechenden Gesetzentwurf hat das Ministerium heute veröffentlicht. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang.
Bundesjustizminister Dr. Marco Buschmann erklärt dazu:
„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“
Der Gesetzentwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sieht mehrere Anpassungen im Computerstrafrecht vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen. Konkret sind folgende Änderungen vorgesehen:
Tatbestandsausschluss für das Aufspüren von Sicherheitslücken:
Es soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von sog. „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. Dabei geht es um Handlungen, die in der Absicht vorgenommen werden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll § 202a Strafgesetzbuch (StGB) ergänzt werden. Nach dieser Strafnorm macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschafft. Ein neuer Absatz 3 soll klarstellen, unter welchen Umständen eine solche Handlung nicht „unbefugt“ und damit nicht strafbar ist. Der dadurch neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).
Normierung weiterer besonders schwere Fälle des Ausspähens und Abfangens von Daten:
Das Strafrecht soll für bestimmte Fälle des Ausspähens und Abfangens von Daten verschärft werden. Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen dazu um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll in der Regel vorliegen, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt. Außerdem sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird. Der Strafrahmen für diese Fälle soll auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren lauten.
Der Entwurf wurde heute an Länder und Verbände verschickt und auf der Homepage des Bundesministeriums der Justiz veröffentlicht. Die interessierten Kreise haben nun Gelegenheit, bis zum 13. Dezember 2024 Stellung zu nehmen. Die Stellungnahmen der Verbände werden auf der Internetseite des Bundesjustizministeriums veröffentlicht werden.
Aus dem Entwurf:
A. Problem und Ziel
Infolge der fortschreitenden Digitalisierung von Wirtschaft, Staat und Gesellschaft muss der Gesetzgeber darauf achten, dass das Computerstrafrecht an die geänderten technischen Verhältnisse angepasst wird, wenn dies notwendig ist, um den angestrebten Rechtsgüterschutz aufrechtzuerhalten oder auch zu verbessern. Es muss verhindert werden, dass das Strafrecht von Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind. Genau dies droht im Falle des Computerstrafrechts.
Die IT-Sicherheit ist die Achillesferse der Informationsgesellschaft. Die Schließung von Sicherheitslücken hat daher allergrößte Bedeutung für die Abwehr von Cyberangriffen durch Kriminelle und durch fremde Mächte. Daher sind hinsichtlich der Informationstechnologie (IT) die vorhandenen Schwächen in der IT-Infrastruktur in den Blick zu nehmen, die durch die zunehmende Komplexität von IT-Systemen und die teilweise schwachen (Sicherheits- )Standardeinstellungen von IT-Produkten entstehen. Das Aufspüren von Sicherheitslücken in IT-Systemen gehört zu den typischen Tätigkeiten der IT-Sicherheitsforschung. Für ihre Tätigkeit ist nämlich regelmäßig ein Zugriff auf fremde Informationssysteme und Daten notwendig, die sich bereits im praktischen Einsatz befinden. Diese Ausgangslage birgt Strafbarkeitsrisiken, die sich kontraproduktiv auswirken können, weil sie nicht nur von verbotenem, sondern auch von gesellschaftlich erwünschtem Verhalten abschrecken: Die erforderlichen Zugriffshandlungen können jene Straftatbestände erfüllen, die dem Schutz des formellen Datengeheimnisses bzw. der Unversehrtheit von Daten und IT-Systemen dienen (§§ 202a ff., 303a f. des Strafgesetzbuches – StGB). Vor allem ist hier § 202a Absatz 1 StGB in den Blick zu nehmen, der das unbefugte (Sich-)Verschaffen des Zugangs zu Daten unter Strafe stellt, die nicht für den Täter bestimmt und gegen unberechtigten Zugang gesichert sind. Für den Zugang reicht die Möglichkeit der Kenntnisnahme aus, so dass schon ein bloßer Systemzugriff den Tatbestand erfüllen kann.
Eine weitere Kritik am geltenden Recht zielt darauf ab, dass die Strafrahmen die Gefährlichkeit und das hohe Schadenspotential von Computerdelikten teilweise nicht mehr adäquat abbildeten, dies gelte insbesondere bei Angriffen auf kritische Infrastrukturen. Jüngst hat sich die 221. Sitzung der Ständigen Konferenz der Innenminister und -senatoren der Länder vom 19. bis 21. Juni 2024 in Potsdam aus polizeilicher Sicht mit diesem Problem befasst und Reformbedarf auch im Bereich des Strafrechts konstatiert.
Ziel dieses Entwurfs ist die klare gesetzliche Abgrenzung von nicht zu missbilligendem Handeln der IT-Sicherheitsforschung von strafwürdigem Verhalten. Der Gesetzentwurf soll die bestehende Rechtsunsicherheit beseitigen und zudem bei schweren Begehungsformen, bei denen zum Beispiel kritische Infrastrukturen gefährdet oder beeinträchtigt werden, den Strafrahmen erhöhen.
Um bei § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten) alle strafwürdigen Angriffe angemessen ahnden zu können, sollen Regelbeispiele für besonders schwere Fälle eingeführt werden, um eine angemessene Sanktionierung zu ermöglichen.
B. Lösung
Die negative Legaldefinition des Merkmals „unbefugt“ in Artikel 1 StGB-E bewirkt, dass das Aufspüren von Sicherheitslücken in IT-Systemen dann nicht mehr strafbar ist, wenn es im Rahmen der IT-Sicherheitsforschung geschieht. Die Handlung muss dazu in der Absicht erfolgen, eine Sicherheitslücke festzustellen und den Betreiber der Datenverarbeitungsanlage, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik davon zu unterrichten. Die Handlung muss zudem erforderlich sein, um eine Lücke festzustellen. Die gleichen Kriterien gelten für die Tathandlungen nach § 202b und § 303a StGB, in denen zukünftig auf § 202a Absatz 3 StGB-E verwiesen werden soll. Die gewachsene Bedeutung der kritischen Infrastruktur und die Verletzlichkeit, die sich bei schädigenden Zugriffen in der Vergangenheit gezeigt hat, lassen es erforderlich erscheinen, die §§ 202a und 202b StGB so auszugestalten, dass bei Vorliegen eines besonders schweren Falls eine Freiheitsstrafe von drei Monaten bis zu fünf Jahren verwirkt wird.
Die Pressemitteilung des BMJ:
Rechtssicherheit für die Erforschung von IT-Sicherheitslücken: Bundesjustizministerium veröffentlicht Gesetzentwurf zum Computerstrafrecht
Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz eine Anpassung des Computerstrafrechts vor.
Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computerstrafrecht strafbar sind. Einen entsprechenden Gesetzentwurf hat das Ministerium heute veröffentlicht. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang.
Bundesjustizminister Dr. Marco Buschmann erklärt dazu:
„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“
Der Gesetzentwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sieht mehrere Anpassungen im Computerstrafrecht vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen. Konkret sind folgende Änderungen vorgesehen:
Tatbestandsausschluss für das Aufspüren von Sicherheitslücken:
Es soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von sog. „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. Dabei geht es um Handlungen, die in der Absicht vorgenommen werden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll § 202a Strafgesetzbuch (StGB) ergänzt werden. Nach dieser Strafnorm macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschafft. Ein neuer Absatz 3 soll klarstellen, unter welchen Umständen eine solche Handlung nicht „unbefugt“ und damit nicht strafbar ist. Der dadurch neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).
Normierung weiterer besonders schwere Fälle des Ausspähens und Abfangens von Daten:
Das Strafrecht soll für bestimmte Fälle des Ausspähens und Abfangens von Daten verschärft werden. Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen dazu um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll in der Regel vorliegen, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt. Außerdem sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird. Der Strafrahmen für diese Fälle soll auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren lauten.
Der Entwurf wurde heute an Länder und Verbände verschickt und auf der Homepage des Bundesministeriums der Justiz veröffentlicht. Die interessierten Kreise haben nun Gelegenheit, bis zum 13. Dezember 2024 Stellung zu nehmen. Die Stellungnahmen der Verbände werden auf der Internetseite des Bundesjustizministeriums veröffentlicht werden.