Sehr geehrter Herr Graute,

vielen Dank für Ihre Anfrage vom 16. August.

Ihre Befürchtung, dass die Änderung des Strafrechts zur Bekämpfung der Computerkriminalität zu einer Kriminalisierung unbescholtener Bürgerinnen und Bürgern führt und die Sicherheit des IT Standorts Deutschland gefährdet, teile ich nicht. Voraussetzung für eine Strafbarkeit nach den geplanten §§ 202a und 202b StGB ist ein unbefugtes Handeln. In diesem Zusammenhang sei daran erinnert, dass schon heute ein § 202a StGB (Ausspähen von Daten) existiert. Danach kann jemand bestraft werden, der unbefugt mit Daten umgeht, die nicht für ihn bestimmt sind. Bei § 202a StGB des Entwurfs handelt es sich daher ohnehin nur um eine klarstellende Änderung. Außerdem heißt es in der Begründung des Entwurfs zu §°202a°StGB, der den unbefugten Zugang zu Daten sanktioniert, ausdrücklich: "Auch nach der Neufassung des Tatbestandes ist die Verschaffung des Zugangs zu Daten unter Verletzung von Sicherheitsmaßnahmen nur strafbewehrt, wenn der Täter unbefugt handelt. Nicht strafbar ist daher z. B. das Aufspüren von Sicherheitslücken im EDVSystem eines Unternehmens, soweit der "Hacker" vom Inhaber des Unternehmens mit dieser Aufgabe betraut wurde." Das gilt auch für § 202b°StGB des Entwurfs (Abfangen von Daten), der ebenfalls das Erfordernis der Unbefugtheit voraussetzt.

Darüber hinaus wird der gutwillige Umgang mit Computerprogrammen zur Sicherheitsüberprüfung von IT-Systemen auch nicht von § 202c StGB-E erfasst. Der neue §°202c StGB sieht nicht per se ein Verbot für bestimmte Computerprogramme vor. Vielmehr sollen mit dem neuen § 202c°StGB-E bestimmte, besonders gefährliche Vorbereitungshandlungen zu Computerstraftaten unter Strafe gestellt werden. Strafbar soll sein, wer eine Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) vorbereitet, indem er Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen (Nr. 1) oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist (Nr. 2), herstellt, sich verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Bereits für die Erfüllung des objektiven Straftatbestandes müssen also insbesondere zwei Merkmale vorliegen. Einerseits muss es sich objektiv um ein Schadprogramm handeln und andererseits muss sich die Tathandlung - also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen - auf eine Computerstraftat beziehen.

Durch die Beschränkung auf Computerprogramme, deren Zweck die Begehung einer Computerstraftat ist, wird bereits auf Tatbestandsebene sichergestellt, dass keine Computerprogramme erfasst werden, die z. B. der Überprüfung der Sicherheit dienen. Unter Strafe gestellt werden lediglich das Herstellen, Verschaffen, Überlassen usw. solcher Programme, denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind. Hierunter fallen nicht solche Programme, die lediglich zur Begehung von Computerstraftaten missbraucht werden können. Die bloße Eignung von Computerprogrammen zur Begehung von Computerstraftaten ist nicht ausreichend.

Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) erfolgen. Das ergibt sich aus dem Merkmal "wer eine Straftat nach § 202a oder § 202b vorbereitet". Dabei handelt es sich um ein Tatbestandsmerkmal, das bereits in anderen Straftatbeständen (z. B. § 149 Abs 1, § 263a Abs. 3 StGB, § 22b Abs. 1 Nr. 3 Straßenverkehrsgesetz) verwendet wird. Erforderlich ist, dass der Täter eine eigene oder fremde Computerstraftat in Aussicht genommen hat, die ihrer Art und ihrem Wesen nach konkretisiert ist und für die durch die Tathandlungen günstigere Vorbedingungen geschaffen werden sollen. Das ist nicht der Fall, wenn das Computerprogramm zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von Sicherheitssoftware erworben oder einem anderen überlassen wurde.

Wenn also in den Fällen des Testens der Sicherheit eines Systems, des Entwickelns von Sicherheitssoftware oder zu Ausbildungszwecken in der IT-Sicherheitsbranche auch Schadprogramme erworben werden, dann erfolgt dies nicht zur Vorbereitung einer Computerstraftat. Durch diese Handlung wird gerade nicht eine eigene oder fremde Computerstraftat (also § 202a, 202b, 303a, 303b StGB) ermöglicht, da die Sicherheitsüberprüfung, die Entwicklung von Sicherheitssoftware oder die Ausbildung im Bereich der IT-Sicherheit keine Computerstraftat darstellen.

Sehr geehrter Herr Graute, ich möchte mich noch einmal für Ihr Interesse bedanken und hoffe, dass ich Ihre Anfrage zu Ihrer Zufriedenheit beantworten konnte.

Mit freundlichen Grüßen

Waltraud Lehn, MdB