Was beinhaltet das sogenannte „IT-Strafrecht“?
Das Strafrecht im Bereich des IT-Rechts (Informationstechnologierecht) regelt die Strafbarkeit von Handlungen, die mittels Computer oder im Internet begangen werden. Dazu gehören unter anderem das sogenannte „Hacking“ (Erlangung unautorisierten Zugangs zu Daten in einem Computersystem), „Phishing“ (Beschaffung persönlicher Daten mittels gefälschten E-Mails, Websites o.ä.) und „Skimming“ (illegales Auslesen von in Bank- oder Kreditkarten gespeicherten Daten). Dem IT-Strafrecht zuzuordnende Straftatbestände sind insbesondere der Computerbetrug (§ 263a StGB), das Ausspähen oder Abfangen von Daten (§§ 202a ff. StGB), die Datenveränderung (§ 303a StGB) und die Computersabotage (§ 303 b StGB).
Was ist ein Computerbetrug im Sinne des § 263a StGB?
„Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“
(§ 263a I StGB)
Der Straftatbestand des Computerbetrugs dient dem Schutz des Vermögens. Die Einführung des Straftatbestandes hat zum Ziel, Strafbarkeitslücken zu schließen. Diese waren dadurch entstanden, dass der Tatbestand des Betrugs (§ 263 StGB) einen menschlichen Erklärungsempfänger voraussetzt, der aber beim immer verbreiteteren Einsatz elektronischer Datenverarbeitungsgeräte häufig fehlt. Bedeutung hat die Norm im Bereich der Computerkriminalität insbesondere durch die mögliche Erfassung des Scheck- und Kreditkartenmissbrauchs sowie des Phishings und Skimmings.
Der Begriff „Datenverarbeitung“ meint alle Vorgänge, bei denen durch die Aufnahme von Daten und ihre Verknüpfung nach Programmen Arbeitsergebnisse erzielt werden. Das Ergebnis eines solchen Datenverarbeitungsvorgangs muss durch den Täter beeinflusst worden sein. Dazu muss durch die Einflussnahme des Täters ein Ergebnis hervorgerufen werden, das ohne seine Einwirkung entweder überhaupt nicht oder mit anderem Inhalt entstanden wäre. Dies bezüglich ist umstritten, ob die Einleitung eines Datenverarbeitungsvorgangs allein bereits eine Beeinflussung des Ergebnisses darstellt. Die Rechtsprechung bejaht diese Frage mit dem Argument, dass das Auslösen eines Prozesses diesen gerade besonders intensiv beeinflusst (BGH, Beschluss vom 21. 11. 2001 - 2 StR 260/01). Die Beeinflussung durch den Täter muss zudem einer der vier in § 263a I genannten Varianten entsprechen.
Die unrichtige Gestaltung des Programmablaufs (Programmmanipulation; Var.1) wurde durch den Gesetzgeber als besonders gefährlich angesehen und deshalb besonders hervorgehoben, ist aber eigentlich ein Unterfall der Verwendung unrichtiger Daten (Var.2). Unter einem Programm ist jede aus einer Folge von Einzelbefehlen bestehende Anweisung an den Computer zu verstehen. Zur Unrichtigkeit und Unvollständigkeit der Daten:
„Computerbetrug in Form einer Verwendung unrichtiger oder unvollständiger Daten umfasst Fälle so genannter Inputmanipulationen. Unrichtig sind die Daten, wenn der durch sie vermittelte Informationsgehalt keine Entsprechung in der Wirklichkeit hat, unvollständig sind sie, wenn sie den zu Grunde liegenden Lebenssachverhalt nicht ausreichend erkennen lassen Verwendet sind die Daten, wenn sie (wie ersichtlich hier) in ein Datenverarbeitungsgerät eingebracht werden.“
(BGH, Beschluss vom 22. 1. 2013 – 1 StR 416/12)
Was die unbefugte Verwendung von Daten (Var.3) erfasst, ist umstritten. Die herrschende und vom BGH vertretene Auffassung (BGH, 21.11.2001 – 2 StR 260/01) sind solche Verhaltensweisen unbefugt, die täuschungsähnlich oder täuschungsäquivalent sind. Dies beurteilt sich danach, ob die fragliche Handlung eine Täuschung (Hervorrufen oder Aufrechterhaltung eines Irrtums) darstellte, wenn sie gegenüber einem Menschen verübt würde. Daher begeht derjenige, der als berechtigter Inhaber einer Scheckkarte mit dieser an einem Automaten Geld abhebt, obwohl er weiß, dass die Auszahlung nicht „gedeckt“ ist, keinen Computerbetrug:
„Der Einsatz der ec-card an den Geldautomaten zur Bargeldbeschaffung durch die Angekl. erfüllt bei der gegebenen Sachlage die Voraussetzungen des § 263a StGB nicht. Der hier allein in Betracht kommende Fall der unbefugten Verwendung von Daten liegt nicht vor. Von § 263a I Alt. 3 StGB erfasst werden nach allgemeiner Ansicht Abhebungen an einem Geldautomaten durch einen Nichtberechtigten, der eine gefälschte, manipulierte oder mittels verbotener Eigenmacht erlangte Karte verwendet. Nichtberechtigt in diesem Sinne war die Angekl. jedoch nicht. Sie hat die ec-card von der Postbank zur Verwendung erhalten. Berechtigter Karteninhaber ist aber auch derjenige, der die Überlassung der Karte unter Täuschung über seine Identität vom Kartenaussteller erlangt hat.“
(BGH, Beschluss vom 21. 11. 2001 - 2 StR 260/01)
Anders verhält es sich dementsprechend, wenn Karten verwendet werden, deren Verwendungsmöglichkeit und Kenntnis hinsichtlich der PIN sich der Täter in krimineller Weise (etwa durch Diebstahl oder Nötigung) verschafft. Im Rahmen des sogenannten „Skimmings“ werden Daten auf dem Magnetstreifen durch manipulierte oder separat vorgeschaltete Lesegeräte ausgespäht, während die PIN durch Kameraüberwachung der Tastatur ermittelt wird. Mittels der erfassten Daten werden dann gegebenenfalls „Dubletten“ der fraglichen Karten erstellt und zur Geldabhebung gebraucht. Eine Strafbarkeit gemäß § 263a StGB liegt vor (vgl. BGH, Urteil vom 27. 1. 2011 - 4 StR 338/10).
Ein Computerbetrug liegt ebenfalls vor, wenn eine Kredit- oder EC-Karte missbräuchlich zur direkten Zahlung mittels Eingabe der PIN verwendet wird. Die Eingabe der PIN führt zu einer elektronischen Autorisierung des Nutzers, wodurch eine Garantieerklärung des Kreditinstituts ausgelöst wird, welches dann einen Vermögensschaden erleidet (BGH, Beschluss vom 21.11.2001 – 2 StR 260/01). Entscheidend ist diesbezüglich die Garantieerklärung des Geldinstituts. Daher verhält es sich anders, wenn nicht mittels PIN, sondern per Unterschrift bezahlt wird. Durch die Unterschrift wird eine Einzugsermächtigung erteilt, die aber nicht unabhängig von ihrer Wirksamkeit gesichert ist. Es liegt somit kein Computerbetrug (wohl aber gegebenenfalls eine Strafbarkeit gemäß § 263 StGB) vor (vgl. BGH, Beschluss vom 19.10.2011 – 4 StR 409/11).
Ebenso ist ein Computerbetrug gegeben, wenn eine fremde und unerlaubt erlangte Tankkarte an einer automatisierten Tankstation unbefugt eingesetzt wird:
„Der Angekl. hat Daten verwendet, nämlich die auf den Tankkarten gespeicherten Informationen zum dazugehörigen Lkw, indem er die Tankkarten durch die Tankautomaten zog. Damit hat er diese Daten dort eingegeben. Damit hat er auch jeweils das Ergebnis von Datenverarbeitungsvorgängen beeinflusst, nämlich in den Zentralgeräten der Tankstationen. Der Angekl. hatte die Tankkarten jeweils heimlich verschiedenen Lkw des Zeugen S entnommen, sie also durch verbotene Eigenmacht und damit unbefugt erlangt. Das Tatbestandsmerkmal der unbefugten Verwendung von Daten ist nach h. M. ferner betrugsspezifisch auszulegen, erforderlich ist, dass die Verwendung der Daten gegenüber einer natürlichen Person Täuschungscharakter hätte. Dies ist hier der Fall. Als Ergebnis der unbefugten Verwendung der Daten der Tankkarten der betroffenen Lkw erfolgte nämlich die Freigabe von Kraftstoff zur Betankung eines bestimmten Lkw des Zeugen S, der sich jedoch tatsächlich gar nicht bei der Tankstation befand. Dies war daher ein täuschungsäquivalenter Einsatz von Daten durch den Angekl.“
(OLG Celle, Beschluss vom 7.10.2016 – 2 Ss 113/6)
Im Rahmen des sogenannten „Phishings“ wird das Kreditinstitut durch die Verwendung der „ergaunerten“ Daten über die Identität des Verfügenden – beziehungsweise über den Umstand, dass gerade keine Nutzung der Zugangsdaten durch den Kontoinhaber selbst oder zumindest mit dessen Einverständnis vorliegt – getäuscht. Der Täter macht sich somit gemäß § 263a StGB strafbar (vgl. BGH, Beschluss vom 11.01.2012 – 4 StR 559/11; auch zur zivilrechtlichen Haftung: OLG Zweibrücken, Urteil vom 20.01.2010 – 4 U 133/08).
Die sonstige unbefugte Einwirkung auf den Ablauf (Var.4) stellt einen Auffangtatbestand dar, welcher insbesondere noch nicht bekannte Formen der Hardware-, Konsol- und Output-Manipulation abdecken soll (BT-Drs. 10/318, 20; BT-Drs. 10/5058.).
Diese Handlungen müssen schließlich zu einem Vermögensschaden führen: Erforderlich ist, dass eine Beeinflussung des Datenverarbeitungsvorgangs einen verfügungsähnlichen Vorgang auslöst, der wiederum seinerseits unmittelbar zu einer Vermögensminderung führt. Dieser Unmittelbarkeitszusammenhang ist etwa nicht gegeben, wenn der Täter falsche Geldstücke in einen mit einem elektronischen Münzprüfer ausgestatteten Spielautomaten einwirft:
„Ebenso wie beim Betrug ist es, um den Tatbestand des § STGB § 263a StGB nicht ausufern zu lassen, erforderlich, daß die mit den technischen Hilfsmitteln einer Datenverarbeitungsanlage getroffene Vermögensverfügung unmittelbar, d.h. ohne zusätzliche deliktische Zwischenhandlungen des Täters, zu einer Vermögensminderung führt, die, wenn sie nicht durch ein Äquivalent kompensiert wird, auch den Vermögensschaden darstellt). Diebstahl liegt demgegenüber vor, wenn der Täter selbst noch eine Handlung vornehmen muß, um einen Gewahrsamsübergang herbeizuführen, auch wenn bis zur Vornahme dieser Handlung bereits eine Gewahrsamslockerung eingetreten sein sollte. So liegt es bei einem mit einem elektronisch gesteuerten Münzprüfer ausgestatteten Glückspielautomaten, soweit er vom Täter als Warenautomat mißbraucht wird. Auch wenn der Täter den im Automaten eingebauten elektronisch gesteuerten Münzprüfer durch ein unbefugtes Einwirken auf den Datenverarbeitungsvorgang überlistet, bedarf es dennoch weiterer Handlungen des Täters, nämlich einer weiteren Bedienung des Automaten, um das im Geldausgabe- oder das im Geldrückgabebehälter enthaltene Bargeld erlangen und sich zueignen zu können. Mit der Überlistung eines elektronisch gesteuerten Münzprüfers erschleicht sich der Täter allenfalls einen Zugang zum Spiel am Automaten, nicht aber unmittelbar einen Gewahrsamsübergang betreffend die Geldmünzen im Automaten.“
(OLG Celle Beschluss vom. 6.5.1996 – 3 Ss 21/96)
Anderes gilt dagegen, wenn der Täter die Software eines Geldgewinnspielgeräts so manipuliert, dass ihm auszahlungsfähige Punkte zugeschrieben werden, weil die Vermögensschädigung bereits in der Gutschrift er Punkte besteht:
„Der Vermögensschaden muss grundsätzlich zwar unmittelbar durch das Ergebnis des Datenverarbeitungsvorgangs herbeigeführt worden sein also ohne weitere Handlung des Täters, Opfers oder eines Dritten durch den Datenverarbeitungsvorgang selbst eintreten. Dabei kann allerdings in Fällen, in denen noch weitere Verfügungen vorgenommen werden, das Merkmal der Unmittelbarkeit der Vermögensminderung gleichwohl zu bejahen sein, wenn das Ergebnis des von dem Täter manipulierten Datenverarbeitungsvorgangs ohne eigene Entscheidungsbefugnis und ohne inhaltliche Kontrolle von einer Person lediglich umgesetzt wird. So verhält es sich hier. Denn zum einen war bereits mit der Gutschrift der Punkte eine zumindest schadensgleiche Vermögensgefährdung des Spielautomatenbetreibers eingetreten. Zum anderen war deren Einlösung lediglich die im obigen Sinn erfolgte Umsetzung des Ergebnisses des vorangegangenen - manipulierten - Datenverarbeitungsvorgangs.“
(BGH, Beschluss vom 30.08.2016 – 4 StR 194/16).
An der Unmittelbarkeit fehlt es aber, wenn der Täter an der Supermarktkasse eine Zeitschrift „kauft“, aber zur Bezahlung den zuvor abgerissenen Strichcode einer deutlich günstigeren Zeitung einscannt:
„Die Vermögensminderung muss unmittelbar, d. h. ohne weitere Zwischenhandlung des Täters, des Opfers oder eines Dritten durch den Datenverarbeitungsvorgang selbst eintreten. Daran fehlt es, wenn durch die Manipulation der Datenverarbeitung nur die Voraussetzungen für eine vermögensmindernde Straftat geschaffen werden, z. B. beim Ausschalten oder Überwinden elektronischer Schlösser. Hier führt das Einscannen des Strichcodes der „WAZ“ allein zu der Anzeige eines im Verhältnis zu den tatsächlich ausgewählten Zeitschriften geringeren Kaufpreises. Diese Anzeige bewirkt noch keinen verfügungsähnlichen Vorgang, der sich als unmittelbare Vermögensbeeinträchtigung darstellte. Die nachfolgende Mitnahme der Zeitschriften wird durch den Datenverarbeitungsvorgang als solchen weder ermöglicht noch erleichtert. Hierzu bedurfte es vielmehr einer selbstständigen, den Übergang der Sachherrschaft bewirkenden Handlung des Angekl.“
(OLG Hamm, Beschluss vom 8. 8. 2013 − III-5 RVs 56/13)
Was erfassen die §§ 202a ff. StGB?
Die §§ 202a ff. StGB regeln das Ausspähen und Abfangen von Daten sowie entsprechende Vorbereitungshandlungen. Dies dient dem Schutz des formellen Geheimhaltungsinteresses des Verfügungsberechtigten sowie dessen Verfügungsbefugnis hinsichtlich der den Daten enthaltenen Informationen (BT-Drs. 10/5058, 29).
§ 202a StGB: Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
(§202a StGB)
Daten sind Informationen, die in einer für eine Datenverarbeitungsanlage (unabhängig von der Form einer möglichen Verarbeitung) erkennbaren Form codiert sind. Diese dürfen nicht für den Täter bestimmt sein. Das ist der Fall, wenn die Daten nach dem Willen des zum Tatzeitpunkt Verfügungsberechtigten nicht dem Täter zur Verfügung stehen sollen. Gegen einen unberechtigten Zugang (Zugriffs- bzw. Einwirkungsmöglichkeit) besonders gesichert sind Daten, wenn Vorkehrungen getroffen wurden, um den Zugriff auf sie auszuschließen oder zumindest nicht unerheblich zu erschweren (BGH, Beschluss vom 13.05.2020 – 5 StR 614/19).
Die Tathandlung des § 202a StGB besteht in der Verschaffung des Zugangs zu solchen Daten. Hiervon ist dem Willen des Gesetzgebers entsprechend das sogenannte „Hacking“ ausdrücklich miterfasst:
„Die neue Vorschrift („sich Zugang verschaffen“) mit ihrer vorverlagerten Strafbarkeit trifft das eigentliche Unrecht besser als das geltende Recht („sich Daten ver- schaffen“). Im Wesentlichen hat sie bezüglich der bereits herrschenden Auslegung des bisherigen § 202a StGB nur eine Klarstellungsfunktion. Die generelle Gefährlichkeit und Schädlichkeit von Hacking-Angriffen zeigen sich vor allem in jüngster Zeit auch in Deutschland (z. B. durch den Einsatz von Key-Logging-Trojanern, Sniffern oder Backdoorprogrammen), weshalb an ihrer Strafwürdigkeit und -bedürftigkeit keine Zweifel bestehen.“
(BT-Drs. 16/3656, 9; vgl.: BGH, Beschluss vom 27.07.2017 – 1 StR 412/16)
Zu beachten ist diesbezüglich, dass eine Strafbarkeit nur dann vorliegen soll, wenn die Zugangsverschaffung unbefugt erfolgt. Ist ein „Hacker“ beispielsweise vom Inhaber eines Unternehmens beauftragt worden, sich nach Möglichkeit Zugang zu verschaffen, um etwaige Sicherheitslücken aufzuspüren, macht er sich nicht strafbar (BT-Drs. 16/3656, S.10). Erforderlich ist zudem, dass die Verschaffung der Daten unter Überwindung der Zugangssicherung durchgeführt wird. „Überwinden“ ist eine Vorgehensweise, welche die jeweilige Zugangssicherung außer Kraft setzt oder umgeht:
„Durch dieses Erfordernis sollen nach der Vorstellung des Gesetzgebers Handlungen aus dem Tatbestand ausgegrenzt werden, bei denen besonders gesicherte Daten auf andere Weise erlangt werden. Zum einen sollen damit Bagatellfälle aus dem Anwendungsbereich der Strafnorm ausgeschieden werden, zum anderen soll das Merkmal der Zugangssicherung dem Täter eine deutliche Schranke setzen, deren Überwindung die strafwürdige kriminelle Energie manifestiert. Es sollen Fälle erfasst sein, bei denen der Täter zu einer Zugangsart gezwungen ist, die der Verfügungsberechtigte erkennbar verhindern wollte; dies betrifft allerdings nicht die bloße Verletzung oder Umgehung von organisatorischen Maßnahmen oder Registrierungspflichten (BT-Drucks. 16/3656, S. 10). Soweit es in den Gesetzesmaterialien heißt, die Überwindung der Zugangssicherung müsse einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordern, weshalb vom Tatbestand solche Fälle nicht erfasst würden, in denen die Durchbrechung des Schutzes ohne weiteres möglich sei (a.a.O.), versteht der Senat dies dahingehend, dass die Überwindung der Zugangssicherung typischerweise - also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters - einen nicht unerheblichen Aufwand erfordern muss. Unter Überwinden ist diejenige Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten oder zu umgehen. Auch wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden wird, ist der Tatbestand erfüllt.“
(BGH, Beschluss vom 13.05.2020 – 5 StR 614/19)
Beim Skimming liegt dagegen kein Fall des § 202a StGB vor:
„Diese Strafbarkeitsvoraussetzungen werden beim Auslesen der auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten mittels eines am Einzugslesegerät eines Geldautomaten angebrachten weiteren Lesegeräts (sog. Skimming), um mit den erlangten Daten in der ursprünglichen Form den Magnetstreifen einer Kartendublette zu beschreiben, nicht erfüllt. Bei den unverschlüsselt auf dem Magnetstreifen gespeicherten Daten fehlt es bereits an einer besonderen Sicherung gegen unberechtigten Zugang, sodass diese Taten als taugliches Tatobjekt im Sinne des § 202 a Abs I StGB ausscheiden. Soweit beim Auslesen die zur Berechnung der PIN verschlüsselt gespeicherten Daten in verschlüsselter Form erlangt werden, wird die in der Verschlüsselung liegende Zugangssicherung nicht überwunden.“
(BGH, Beschluss vom 06.07.2010 – 4 StR 555/09)
§ 202b StGB: Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a II StGB) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
(§ 202b StGB)
Hinsichtlich der Schutzgüter und der Definition „nicht für ihn bestimmter Daten“ gilt das zu § 202a StGB Gesagte. Unter „Datenübermittlung“ ist jede denkbare Form der Datenübertragung zu verstehen. Erfasst sind somit beispielsweise Übertragungen über drahtlose Verbindungen (WLAN), E-Mail, Telefon, Voice over IP, Telefax und Übertragungen über einen Zwischenspeicher (BT-Drs. 16/3565, 11). Eine „elektromagnetische Abstrahlung“ kann in Ausrucken oder Kopien bestehen (a.a.O.) Das Sich-Verschaffen erfordert nicht, dass Daten abgespeichert oder aufgezeichnet werden; es reicht aus, wenn der Telefongespräche mitgehört oder E-Mails zur Kenntnis genommen werden sowie wenn der Täter etwa durch Kopieren, Umleiten oder Herunterladen Herrschaft über die Daten erlangt (a.a.O.). Nicht erfasst ist hingegen Phishing, da hierbei Zugangsdaten erschlichen anstatt unter Technikeinsatz abgefangen werden.
§ 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1.Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (§ 202c I StGB)
§ 202c StGB bedroht Vorbereitungshandlungen für die Begehung von Taten gemäß §§ 202a f. oder § 303a f. eigenständig mit Strafe. Die in § 202c StGB unter Strafe gestellten Verhaltensweisen können auch bereits als Beihilfehandlungen zu der entsprechenden Haupttat strafbar sein. Bleibt diese jedoch aus, wäre die Tat nach § 202c StGB bei dessen Fehlen nur eine straflose versuchte Beihilfe. Dies soll aufgrund der als besonderen Gefährlichkeit dieser Handlungen für die Schutzgüter der § 202a f. StGB durch die Einführung des § 202c StGB verhindert werden. Liegt eine Strafbarkeit nach § 202a f. StGB oder eine strafbare Beihilfe vor, tritt der verwirklichte § 202c StGB auf der sogenannten „Konkurrenzebene“ hinter dieser Strafbarkeit zurück.
Computerprogramme im Sinne des §202c I Nr.2 StGB sind in erster Linie sogenannte Hacker-Tools, die im Internet sowohl leicht anonym zu beschaffen als auch einfach anzuwenden sind (BT-Drs. 16/3656, S.12). Das Erfordernis, dass die Tatbegehung Zweck des Programms sein muss, ist in verfassungskonformer Auslegung restriktiv zu verstehen:
„Schon nach dem Wortlaut nicht ausreichend wäre, dass ein Programm – wie das für sogenannte Dual-Use-Tools gilt – für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist. Der allgemeine Sprachgebrauch versteht unter „Zweck“ „etwas, was jemand mit einer Handlung beabsichtigt, zu bewirken, zu erreichen sucht; Beweggrund und Ziel einer Handlung“ (Duden, Das Große Wörterbuch der deutschen Sprache, 3. Aufl. 1999, S. 4706), also das Ziel, das willentlich durch den Einsatz bestimmter Mittel in Handlungen geplant und verfolgt wird (Brockhaus, Enzyklopädie, Bd. 30, 21. Aufl. 2006, S. 747) (…). Mit dieser finalen Dimension unterscheidet sich der Begriff des Zwecks deutlich von dem der Eignung; systematische und entstehungsgeschichtliche Erwägungen bestätigen diesen Befund. In systematischer Hinsicht ist darauf zu verweisen, dass das Gesetz an anderer Stelle ausdrücklich auf die Eignung von Gegenständen für die Begehung bestimmter Straftaten abstellt (…). All dies spricht dafür, den Begriff des Zwecks in § 202c Nr. 2 StGB in einem engeren Sinne als dem der Eignung oder auch der spezifischen Eignung zu verstehen. Die Entstehungsgeschichte des § 202c Nr. 2 StGB schließlich belegt eindeutig, dass an die Eignung oder auch nur an die besondere Eignung von Programmen nicht angeknüpft werden sollte; durch den Rekurs auf den „Zweck“ der Software sollten engere Voraussetzungen im Vergleich zur bloßen „Geeignetheit“ aufgestellt werden.“
(BVerfG, Beschluss vom 18.05.2009) – 2 BvR 2233/07)
Demjenigen, der in (Dritt-)Bereicherungs- oder Schädigungsabsicht von einem anderen durch rechtswidrige Tat erlangte und nicht allgemein zugängliche Daten sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, droht schließlich eine Strafbarkeit wegen Datenhehlerei gemäß § 202d StGB.
Wann kommt eine Strafbarkeit gemäß § 303a StGB (Datenveränderung) und § 303b StGB (Computersabotage) in Betracht?
Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(§ 303a I StGB)
Die Norm dient dem Schutz des Interesses des Berechtigten an der unversehrten Verwendbarkeit von Daten.
Durch die Strafvorschrift des § StGB § 303a StGB sollen als Daten dargestellte Informationen dagegen geschützt werden, daß ihre Verwendbarkeit rechtswidrig beeinträchtigt oder beseitigt wird; dabei kann sich die Rechtswidrigkeit jedenfalls aus der Verletzung des Verfügungsrechts des Speichernden ergeben (BT-Drs. 10/5058, S. 34). Das Ersetzen der Kontonummer auf dem Magnetstreifen einer EC-Karte durch eine fremde Kontonummer durch den Inhaber einer EC-Karte und das erfolglose Einführen in den Geldautomaten zwecks Abhebung von Bargeld ist eine Datenveränderung (in Tateinheit mit einem versuchten Computerbetrug):
„Der Angeklagte hat durch das Entfernen seiner Kontonummer und das Einsetzen der Kontonummer der Zeugin S. auf den Magnetstreifen seiner beiden ec-Karten 1992 und 1989 rechtswidrig Daten verändert. Unter „Verändern” ist das inhaltliche Umgestalten gespeicherter Daten im Sinne von § zu verstehen (Bundestags-Drucksache 10/5058 S. 34). Hierzu können – wie hier – das „Löschen”, also Unkenntlichmachen gespeicherter Daten und das Hinzufügen neuer Daten oder die Verknüpfung mit anderen Daten gehören. (…). Das gilt gerade auch für den Magnetstreifen auf einer ec-Karte Die Veränderung der auf dem Magnetstreifen einer ec-Karte gespeicherten Daten durch den „Karteninhaber” erfüllt daher den Tatbestand der Datenveränderung gemäß § StGB § 303a StGB.“
(BayObLG, Urteil vom 24.06.1993 – 5 St RR 5/93)
Wird eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, durch eine Tat nach § 303a I StGB erheblich gestört, macht sich der Täter wegen Computersabotage gemäß § 303b I Nr.1 StGB strafbar. Es handelt sich insoweit um eine Qualifikation zu § 303a StGB. Eine Strafbarkeit gemäß § 303b StGB kann sich darüber hinaus ergeben, wenn die erhebliche Störung dadurch erfolgt, dass der Täter in Schädigungsabsicht Daten eingibt oder übermittelt (§ 303b I Nr.2) oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert (§ 303b I Nr.3 StGB).
Fazit
Diese Darstellung der besonders relevanten Straftatbestände des IT-Strafrechts zeigt auf, dass eine erfolgreiche Vertretung oder Beratung neben vertieften strafrechtlichen Kenntnissen auch ein hohes Maß an Verständnis für die technischen Zusammenhänge erfordert. Es empfiehlt sich daher, bei Bedarf einen Anwalt zu kontaktieren, der insbesondere (auch) auf IT-(Straf-)Recht spezialisiert ist.