Eine neue Chance für einen alten Vorschlag: Die CDU will mit dem "digitalen Hausfriedensbruch" das IT-Strafrecht verschärfen. Unnötig und bedrohlich, sagen Kritiker. Und liegt das Problem nicht woanders?
Nach dem Cyberangriff eines 20-jährigen Hackers aus Mittelhessen kam schnell und sehr konkret ein rechtspolitischer Vorschlag aus der hessischen Landeshauptstadt Wiesbaden. Nur zwei Tage nach der Festnahme forderte Justizministerin Eva Kühne-Hörmann (CDU) in der FAZ strafrechtliche Konsequenzen für den "digitalen Hausfriedensbruch". Die Konkretheit ihrer Forderung mag auch daran liegen, dass der Vorschlag eine Art rechtspolitischer Wiedergänger ist.
Er stammt aus einem hessischen Gesetzentwurf von 2016. Der kam, nachdem er damals abgelehnt worden war, im Jahr 2018 nochmal ins Gesetzgebungsverfahren, wurde aber wieder auf Eis gelegt. Auch bei der Herbsttagung des Bundeskriminalamtes (BKA) 2018 war der hessische Vorschlag für die "Schaffung eines Straftatbestandes digitaler Hausfriedensbruch" auf der Tagesordnung.
Beim "digitalen Hausfriedensbruch" handelt es sich um einen politischen, nicht um einen juristischen Begriff. Was damit genau gemeint sein soll, ergibt sich aus den vorangegangen Gesetzgebungsversuchen.
Was ist "digitaler Hausfriedensbruch"?
Der Vorschlag aus Hessen sah vor, einen § 202e Strafgesetzbuch (StGB), "Unbefugte Benutzung informationstechnischer Systeme", einzuführen: Nach Abs. 1 der Vorschrift sollte bestraft werden, "wer unbefugt sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft".
Schon jetzt enthält das StGB mit § 202a eine Vorschrift, die denjenigen bestraft, der „unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft". Den Unterschied macht, dass der Täter sich nach § 202a StGB bislang nur strafbar macht, wenn er eine Zugangssicherung überwindet. Das kann eine PIN oder ein Passwort bei Smartphones, Laptops, oder einem E-Mail-Account sein.Unterstützung erhält das hessische Justizministerium auch von Rechtspolitikern der CDU auf Bundesebene. Deren rechtspolitische Sprecherin im Bundestag, Elisabeth Winkelmeier-Becker, sagte LTO: "§ 202a StGB reicht in seiner jetzigen Form allein nicht aus, um das Unrecht bei Datendiebstählen zu erfassen." Es geht den Unionspolitikern nicht nur um die Höhe des Strafmaßes, das derzeit bei Freiheitsstrafe bis zu drei Jahren liegt, sondern auch um die Reichweite der Vorschrift selbst.
BMJV sieht keinen Bedarf für Gesetzesverschärfung
Die Bundesregierung hat den Vorschlag aber bereits im Jahr 2018 deutlich abblitzen lassen. Sie teilte dazu im Gesetzgebungsverfahren mit, sie werde "prüfen, inwieweit gesetzgeberischer Handlungsbedarf besteht“. Und gegebenenfalls einen eigenen Gesetzentwurf vorlegen.
Dabei scheint es zu bleiben, auch nach dem Hackerangriff. In dieser Woche teilte das Bundesministerium für Justiz und Verbraucherschutz (BMJV) mit, dass die bisherigen Regelungen aus reichten, um "eine effektive Strafverfolgung, auch wenn besonders sensible persönliche Daten ausgespäht werden" zu ermöglichen.
Um eine angebliche Strafbarkeitslücke im Alltag zu veranschaulichen, gab es von der hessischen Ministerin für die FAZ folgendes Beispiel: Das Opfer befindet sich im öffentlichen Raum, z.B. in einem Zug. Um zu telefonieren, gibt es den PIN-Code zur Entsperrung seines Smartphones ein. Der Täter beobachtet das und merkt sich die PIN. Anschließend, nachdem das Opfer sein Smartphone wieder eingesteckt hat, gelingt es dem Täter, das Gerät - vom Opfer unbemerkt - an sich zu bringen und es mittels des PIN-Codes zu entsperren, um private oder auch geschäftliche Daten auszulesen oder Fotos zu betrachten. Danach steckt der Täter das Smartphone zurück in die Tasche des Opfers.
Gibt es eine Lücke im System?
Das Beispiel war kein spontaner Einfall der Justizministerin. Es findet sich auch in dem Gesetzentwurf aus Hessen, wo es einen Teil der offiziellen Begründung dafür stützen soll, dass Deutschland mehr Computerstrafrecht braucht. Das Beispiel soll gerade die alltäglichen Gefahren für die Cybersicherheit veranschaulichen. Aus Sicht von Kritikern ist es aber alles andere als ein Paradebeispiel:"Für mich ist nicht nachvollziehbar, wieso ein Zugang in das Smartphone durch Eingabe eines PIN-Codes, der 'über die Schulter' abgeschaut wird, nicht schon nach § 202 a StGB strafbar sein soll", sagt Dr. Nicolas von zur Mühlen, der am Max-Planck-Institut für Strafrecht in Freiburg zu IT-Sicherheit und Cybercrime forscht.
Der juristische Knackpunkt liegt im Überwinden der Zugangssicherung. Hat der fiktive Täter aus dem Zugabteil eine Zugangssicherung im tatbestandlichen Sinne „überwunden“, obwohl er nur einen abgeschauten PIN eingegeben hat – oder nicht, so dass der Tatbestand von § 202a StGB nicht erfüllt wäre? Laut von zur Mühlen liegt auch in diesen Fällen ein Überwinden vor. Dass der Täter technisch gesehen den Zugangsschutz bestimmungsgemäß aufhebt, indem er das richtige Passwort eingibt, ändere nichts daran, dass der Schutz strafbar überwunden, der Tatbestand der Norm damit erfüllt werde.
Rechtswissenschaftler: Kriminalisierung von Alltagsverhalten droht
Von zur Mühlen weist darauf hin, dass nach allem, was bisher zum Fall des Hackers aus Hessen bekannt ist, dessen Verhalten nicht wesentlich von dem Beispiel im Zugabteil abweiche und deshalb auch gut über den Tatbestand des § 202a StGB erfasst werden könne. Auch das Ausprobieren fremder Passwörter, das dann zum Zugang zu E-Mails oder Social-Media-Konten führt, werde vom geltenden § 202a StGB tatbestandlich längst erfasst. "Der 'digitale Hausfriedensbruch' ist mit § 202a StGB bereits abgedeckt", sagt von zur Mühlen.
Auch Dr. Christian Rückert, der an der Universität Erlangen-Nürnberg zu Strafprozessrecht und Cybercrime forscht, sieht keine gravierenden Strafbarkeitslücken bei § 202a StGB. "Um sich strafbar zu machen genügt es, dass dem Täter im Moment des Zugangsverschaffens durch die 'besondere Sicherung' klar ist, dass er nicht auf die Daten zugreifen darf", so Rückert. Durch die Sicherung werde dem Täter sozusagen vor Augen gehalten, dass er jetzt etwas Verbotenes tut.
Hierfür reiche es aus, wenn die Sicherung zum Tatzeitpunkt aktiv ist und der Täter diese irgendwie überwindet, sei es auch durch die Eingabe des Passworts, das er sich vorher heimlich verschafft. Mehr „Überwindung“ braucht es nach Ansicht der Wissenschaftler nicht, um den Tatbestand zu erfüllen. "Das Merkmal 'unter Überwindung der besonderen Sicherung' soll letztlich vor allem das kriminelle Unrecht kennzeichnen und Bagatellfälle ausschließen", erklärt Rückert.
Durch den hessischen Vorschlag, der auf dieses Tatbestandsmerkmal verzichten, den Tatbestand also erheblich ausweiten will, würde dagegen schon die bloße Gebrauchsanmaßung von IT-Systemen unter Strafe gestellt. Von zur Mühlen erläutert: "Damit würden die Voraussetzungen abgesenkt, es droht dann die Gefahr einer Kriminalisierung ganz alltäglicher Verhaltensweisen".
"Doxing" als Delikt gegen die persönliche Freiheit?
StPO- und Cybercrime-Forscher Rückert befürchtet gar, dass durch eine Gesetzesverschärfung wie durch den entworfenen § 202e StGB das Strafrecht den kommerziellen Plattformbetreibern Schützenhilfe leisten würde, um ihre AGB strafrechtlich sanktioniert durchzusetzen. Er führt als Beispiel an, dass jemand nicht seinen echten Namen bei einer Social-Media-Plattform verwendet, welche in ihren AGBs eine Klarnamenpflicht vorschreibt. Dann wäre das Registrieren und Nutzen der Plattform jedes Mal ein "unbefugtes" Eindringen in das System des Plattformbetreibers und damit strafbar. „Solche Kollateralschäden müssten in der aktuellen Diskussion beachtet und in einem möglichen Gesetz unbedingt vermieden werden“, mahnt er.
Wird in der Diskussion über den strafrechtlichen Umgang mit dem digitalen Eindringen in private und persönliche Daten überhaupt der richtige Schwerpunkt gesetzt? Der Mainzer Informationsstrafrechtler Dr. Sebastian Golla plädiert in einem Blogbeitrag dafür, sich bei der Diskussion nicht an vermeintlichen Strafbarkeitslücken im IT-Strafrecht aufzuhängen. Er sieht den richtigen Ort in einem anderen Teil des StGB: bei den Delikten gegen die persönliche Freiheit. Beim sog. Doxing, also beim bösartigen Veröffentlichen von persönlichen Daten im Internet, drohten vor allem Gefahren für das Persönlichkeitsrecht. Im Vordergrund stehe beim Doxing das Bloßstellen von Personen, betont Golla gegenüber LTO.
Dieses Moment werde über das Kernstrafrecht wie § 202a StGB und auch das Nebenstrafrecht wie im § 42 Bundesdatenschutzgesetz (BDSG) für Hacker-Fälle nicht erfasst, so Golla. Er weist aber darauf hin, dass die Strafbarkeit der Nachstellung in § 238 Abs. 1 Nr. 3 auch eine Tatbestandsvariante zur missbräuchlichen Verwendung personenbezogener Daten enthält. Der im Veröffentlichen von "gehackten" persönlichen Fotos und Nachrichten liegende besondere Unrechtsgehalt könnte über ein Delikt wie § 238 Abs. 1 StGB besser abgebildet werden. Wenn der Gesetzgeber ansetzen wollte, dann dort.
Nach dem Polithack: . In: Legal Tribune Online, 18.01.2019 , https://www.lto.de/persistent/a_id/33323 (abgerufen am: 21.11.2024 )
Infos zum Zitiervorschlag