Sehr geehrter Herr Schoeke,

vielen Dank für Ihre Anfrage über Abgeordnetenwatch.de. Ich werde Ihnen gerne alsbald meine Stellungnahme zukommen lassen. Sollten Sie darüber hinaus weitere Fragen haben, so können Sie sich auch jederzeit gerne direkt an mich wenden, z.B. über meine E-Mail-Adresse martin.schwanholz@bundestag.de .

Mit freundlichen Grüßen
Dr. Martin Schwanholz, MdB

Sehr geehrter Herr Schoeke,

erlauben Sie mir ein paar grundsätzliche Anmerkungen zu Ihrer Kritik, der Bundestag würde in seinen Entscheidungen nicht die Meinung von Experten hören. Es gibt wahrscheinlich nahezu kein gesetzgeberisches Vorhaben, bei dem nicht auch kritische Stimmen von Interessensgruppen bzw. Bedenken von Experten zu vernehmen sind. Und es gibt eigentlich nahezu keinen Aspekt, der nicht von einem Teil der Experten befürwortet und von einem anderen Teil der Experten abgelehnt wird – Experten sind häufig nicht derselben Meinung. Neben den oft zahlreich eingehenden schriftlichen Stellungnahmen befassen sich die Abgeordneten insbesondere auch in fraktionsinternen Anhörungen, in Expertengesprächen, in Ausschussanhörungen mit Expertenmeinungen. Die zu Gehör gebrachten Expertenmeinungen erlauben es den Abgeordneten, sich letztlich eine eigene Überzeugung in der Sache zu bilden, indem sie eine Auswertung, Bewertung und Abwägung des Für und Wider vornehmen. Und so kommt es natürlich vor, dass im Ergebnis einige der geäußerten Expertenmeinungen nicht geteilt bzw. berücksichtigt werden.

Bezüglich des bereits Mitte 2007 in Kraft getretene Gesetzes zur Änderung des Strafgesetzbuches zur Bekämpfung der Computerkriminalität ist in der Sache folgendes zu sagen:

Der Bundestag hat am 24. Mai 2007 - und zwar mit den Stimmen von SPD, CDU/CSU, FDP und Bü90/Die Grünen - in 2./3. Lesung das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität beschlossen. Hiergegen hatten auch die Länder im Bundesrat keine Einwendungen, so dass es am 11.08.2007 in Kraft treten konnte. Mit dem Gesetz sind Vorgaben des Europarates und der Europäischen Union umgesetzt worden. Hierzu wurden vor allem im Strafgesetzbuch (StGB) Ergänzungen bzw. Änderungen vorgenommen. Die Strafrechtsbestimmungen dienen dem Schutze eines hohen Gutes, nämlich dem Schutz von Informationstechnologiesystemen: Komplexe Attacken auf Computersysteme können erhebliche Schäden verursachen, das Vertrauen der Bürger in die Sicherheit des Internets untergraben und sensible öffentliche Informationsstrukturen gefährden.

Der schon vor der Gesetzesänderung bestehende Tatbestand des Ausspähens von Daten – § 202 a StGB – erfasste nach seinem Wortlaut das "Verschaffen von Daten, die gegen unberechtigten Zugang besonders gesichert sind". Er ist jetzt als "Verschaffen des Zugangs zu Daten, die gegen unberechtigten Zugang besonders gesichert sind", sprachlich erweitert worden. Damit ist jedoch keine Ausweitung der Strafbarkeit verbunden, weil schon bisher von der Rechtsprechung der Zugang zu Daten mit dem Verschaffen von solchen gleichgesetzt wurde.

Neu geschaffen wurde der Tatbestand des Abfangens von Daten in § 202 b StGB. Wer also unbefugt nichtöffentliche – auch elektronische – Kommunikationsdaten abfängt, indem er sich für ihn nicht bestimmte E-Mails aus WLAN-Netzen verschafft, macht sich nun strafbar.

Die zentrale und teilweise kritisierte Neuerung betrifft den neuen § 202 c StGB – das Vorbereiten der Straftaten nach § 202 a oder § 202 b StGB. Aufgrund der Gesetzesänderung macht sich nun strafbar, wer vorsätzlich darauf hinarbeitet, dass unbefugt gesicherte Daten ausgespäht oder abgefangen werden können, indem er Passwörter oder Computerprogramme, deren Zweck in der Begehung einer der oben genannten Taten besteht, herstellt, verkauft, sich verschafft oder verbreitet.

Kritisiert wurde während des Gesetzgebungsverfahrens, die Strafnorm gehe zu weit: Sie erfasse angeblich auch sogenannte dual use tools, also Computerprogramme, die gleichermaßen für legale wie für illegale Aktivitäten genutzt werden können. Insbesondere aus dem Bereich der IT-Sicherheitsbranche wurde die Befürchtung geäußert, der neue § 202 c StGB könnte Sicherheitschecks unmöglich machen.

Diese Befürchtung sind von der SPD-Bundestagsfraktion sehr ernst genommen worden. Denn es liegt in unser aller Interesse, dass die IT-Sicherheitsbranche ihre Arbeit zu unser aller Schutz fortführen kann. Deshalb wurde den in der Anhörung des Rechtsausschusses geäußerten Bedenken von Vertretern der IT-Branche mit großer Sorgfalt nachgegangen.

Nach eingehenden Beratungen darüber und sorgfältiger Prüfung der vorgeschlagenen Gesetzesregelungen ist der Rechtsausschuss zu der Auffassung gelangt, dass die Gesetzesänderung nicht zu einer "Überkriminalisierung" führt. Nicht kriminalisiert wird vor allem der branchenübliche Einsatz von Hacker-Tools durch Netzwerkadministratoren, insbesondere wenn diese nur die Sicherheit des eigenen Datennetzes prüfen wollen. Um aber mögliche Missverständnisse darüber zu vermeiden, stellte der Rechtsausschuss klar, dass § 202c StGB hinsichtlich der Zweckbestimmung im Sinne der Vorgaben des Europarats auszulegen ist. Danach sind nur Computerprogramme betroffen, die in erster Linie dafür ausgelegt oder hergestellt werden, um damit Straftaten nach §§ 202a, 202b StGB zu begehen. Die bloße Geeignetheit zur Begehung solcher Straftaten begründet keine Strafbarkeit. Die geforderte Zweckbestimmung muss eine Eigenschaft des Computerprogramms in dem Sinne darstellen, dass es sich um sog. „Schadsoftware“ handelt.

Aufgrund dieser eingehenden Beratungen ist die SPD-Bundestagsfraktion gemeinsam mit dem Koalitionspartner sowie den Fraktionen FDP und Bündnis90/Die Grünen zum Ergebnis gelangt, dass eine Abänderung des vorgeschlagenen Gesetzeswortlautes an dieser Stelle nicht erforderlich war. Denn klargestellt war nun, dass der branchenübliche befugte und gewollte Einsatz von Computerprogrammen durch Netzwerkadministratoren, mit denen diese z. B. die Sicherheit von eigenen oder Kundendatennetzen prüfen wollen, von der Strafnorm nicht erfasst wird, denn mit dieser Form des Einsatzes wird keine Begehung von Straftaten nach §§ 202a, 202b StGB beabsichtigt.

Die IT-Sicherheitsbranche kann sich also weiterhin zu Zwecken des genehmigten Testens Hacker-Tools verschaffen. Auch Computerprogramme, die der Sicherheitsüberprüfung, der Entwicklung von Sicherheitssoftware oder der Ausbildung in der IT-Sicherheitsbranche dienen, werden nicht erfasst. Mit dem Straftatbestandes erfasst werden nur Schadprogramme. Schadprogrammen ist die illegale Verwendung immanent: sie sind nämlich nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt. Dass solche Programme – hierzu gehören Viren, Würmer, Trojaner und entsprechende Bausätze sowie auch sogenannte Hacker-Tools – im Netz nichts verloren haben, ist ja wohl eine Selbstverständlichkeit.

Zu Ihrer Anfrage in Sachen Wahlgeräte verweise ich darauf, dass das Bundesverfassungsgericht angekündigt hat, voraussichtlich noch in diesem Jahr über zwei Wahlprüfungsbeschwerden zu entscheiden, mit denen der Einsatz rechnergesteuerter Wahlgeräte bei der vergangenen Bundestagswahl beanstandet wird (Aktenzeichen 2 BvC 3/07 und 2 BvC 4/07). Es ist also zu erwarten, dass alle Zweifelsfragen im Zusammenhang mit dem Einsatz dieser Geräte jetzt höchstrichterlich geklärt werden. Weitere Aspekte können Sie der beigefügten Antwort der Bundesregierung auf die Kleine Anfrage von Abgeordneten der Fraktion Die Linke zum Einsatz von Wahlcomputern entnehmen.

Bezüglich des Themas Vorratsdatenspeicherung verweise ich auf meine ausführliche E-Mail, die ich Ihnen in diesem Zusammenhang bereits geschickt hatte.

Mit freundlichen Grüßen
Dr. Martin Schwanholz, MdB