Beim Bundestag (Drucksache 17/14362) liegt ein Gesetzentwurf des Bundesrats, der in dieser Legislaturperiode nicht mehr kommen wird – gleichwohl sind die Chancen gut, dass der Entwurf auch nach der Wahl, gleich welchen Ausgang sie nimmt, noch Berücksichtigung findet. Ein Grund, einen Blick darauf zu werfen.
Der Titel des Gesetzentwurfs mit „Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei“ ist ein wenig in die Irre führend: Zwar ist dies das Kernanliegen, gleichwohl gibt es aber einige weitere Änderungen, die demonstrieren, dass das IT-Strafrecht auch für den Gesetzgeber zunehmend an Bedeutung gewinnt. Insgesamt geht es dabei um eine Verschärfung des bisherigen strafrechtlichen Rahmens.
So soll im Rahmen des Ausspähens von Daten (§202a StGB) und Abfangen von Daten (§202b StGB) bei Bereichungsabsicht der Strafrahmen erhöht werden. Wenn man gar gewerbsmäßig oder als Bande handelt, soll der Strafrahmen auf bis zu 10 Jahre bei einer Mindeststrafe von 6 Monaten erhöht werden. Zum Vergleich: Im Fall eines minder schweren Falles eines Raubes drohen 6 Monate bis 5 Jahre (§249 II StGB). Darüber hinaus ist in beiden Fällen eine Versuchsstrafbarkeit angedacht, die bisher fehlt – wobei allerdings §202c StGB hier durchaus hilfreich sein könnte und somit weitere Bedeutung einbüßen würde.
Neu eingeführt werden soll zudem ein §202d StGB, der die „Datenhehlerei“ unter Strafe stellt. Dabei soll gelten:
Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
Wobei nur Daten betroffen sind, an deren Nicht-Weitergabe ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen stammen. Ich selbst sehe hier weiterhin – anders als der Gesetzgeber – keine Gesetzeslücke, da die Verschaffung derartiger Daten (wenn es personenbezogene Daten sind) nach §§43 II Nr.1, 44 BDSG unter Strafe steht, gleich ob man die Daten selber unmittelbar „stiehlt“ oder vom „Dieb“ erst ankauft. Der hier vorliegende Gesetzentwurf ist allerdings weiter gefasst, da jegliche Daten erfasst sind (nicht nur personenbezogene) und zudem der Strafrahmen auf 5 Jahre empfindlich angehoben wird.
Am Rande interessant ist, dass im geplanten §202d IV StGB ausdrücklich vorgesehen ist, dass es straflos ist, wenn Daten entsprechend dem Tatbestand von Staatsbediensteten angekauft werden zur „Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren“. Bisher war hier umstritten, ob etwa der Ankauf von „Steuer-CDs“ nicht strafbar ist – damit wäre es endgültig legalisiert. Andererseits fragt man sich, warum nicht Presse und Strafverteidiger privilegiert werden – hier bietet sich viel Ansatz für Kritik.
Einschätzung: Eine tiefgehende Besprechung der „geplanten“ Änderungen macht derzeit keinen Sinn, da fraglich ist ob es so kommt – auch wenn die Chancen durchaus gut sind. Wichtiger ist, zu erkennen, dass der Gesetzgeber sich zunehmen der Bedeutung der IT-Straftaten widmet. Seit der letzten großen „Reform“ in dem Bereich im Jahr 2007 sind bereits etliche Jahre vergangen. In der Praxis zeigt sich dabei eine zunehmende Sensibilisierung der Strafverfolgungsbehörden – aber auch mitunter erhebliche Defizite in der Vorbereitung von Anklagen. Ich vertrete zunehmend Betroffene im Bereich des IT-Strafrechts, wobei etwa folgende Probleme im Alltag aufgetreten sind:
- Bei illegalen Inhalten auf einem Webserver wurde nicht der Inhalt des Servers, sondern eine lokale Installation auf einem Rechner gesichert – ohne zu prüfen, ob es Unterschiede zwischen lokaler Installation und Server-Installation gab.
- Es wird eine Akte mit ausgedruckten Server-Logfiles (eines Apache-Servers) vorgelegt, denen man diverse Angriffsversuche von einer IP entnehmen kann – und Gericht wie Staatsanwaltschaft wissen die Logfiles nicht zu lesen.
- Eine Anklage wird erhoben auf Grund einer E-Mailadresse die im Zuge eines Betruges genutzt wurde – ohne zu prüfen ob die Mailadresse wirklich demjenigen gehörte, der da auf Grund von reinen Vermutungen des Opfers der Mailadresse zugeordnet wurde.
Was für technisch versierte Nutzer unglaublich klingt, ist nicht erfundener Alltag und ein Ausschnitt aus dem, womit man auch im Strafverfahren leider rechnen muss. Und während der Gesetzgeber zunehmend an Tatbeständen bastelt sowie die Strafrahmen anhebt, verbleibt die Frage, wann sich der Gesetzgeber um das Wissensdefizit kümmern möchte, dass in diesem spezialisierten Bereich quasi zwangsläufig auftreten muss.
- Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration - 2. November 2024
- Schlag gegen die Plattformen „Flight RCS“ und „Dstat.CC“. - 2. November 2024
- Sophos‘ „Pacific Rim“-Bericht zu chinesischen Cyberangriffsstrategien - 2. November 2024