DFN-Infobrief vom Februar 2007
DFN-Infobrief vom Februar 2007
DFN-Infobrief vom Februar 2007
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
WESTFÄLISCHE WILHELMS-UNIVERSITÄT<br />
Institut für Informations-, Telekommunikations- und Medienrecht (ITM)<br />
- Zivilrechtliche Abteilung -<br />
Prof. Dr. Thomas Hoeren<br />
Laura Dierking, LL.M. (Informationsrecht)<br />
RA Noogie C. Kaufmann, Master of Art<br />
Ass. jur. Jan K. Köcher<br />
Ass. jur. Lena Meyer<br />
Mag. jur. Anselm Rodenhausen<br />
Ass. jur. Kai Welp<br />
Leonardo-Campus 9<br />
48149 Münster<br />
E-Mail:dfn.recht@uni-muenster.de<br />
<strong>DFN</strong>-<strong>Infobrief</strong> Recht<br />
<strong>Februar</strong> <strong>2007</strong><br />
Telemediengesetz – Die Lösung aller Probleme?......………………………...…..2<br />
Das umstrittene „Hackertool“ – Kabinett beschließt Gesetzesentwurf zur<br />
Bekämpfung der Computerkriminalität……………………………………………...8
<strong>DFN</strong><br />
2<br />
Von Ass. jur. Lena Meyer<br />
Telemediengesetz<br />
Die Lösung aller Probleme?<br />
Zu Beginn des Jahres hat der deutsche Bundestag das Telemediengesetz (TMG)<br />
verabschiedet. In Kraft tritt das TMG an dem Tag, an dem auch der neunte Rundfunkänderungsstaatsvertrag<br />
der Länder in Kraft tritt. Ziel des Gesetzes ist die<br />
Regelung bestimmter rechtlicher Anforderungen für Telemedien 1 . Dabei handelt<br />
es sich im Wesentlichen um die wirtschaftlich orientierten Regelungen zur Umsetzung<br />
der E-Commerce Richtlinie, die derzeit im Teledienstegesetz (TDG) und<br />
im Mediendienste-Staatsvertrag (MDStV) enthalten sind. Mit der Einführung des<br />
TMG werden Teledienste und Mediendienste nunmehr nicht mehr unterschieden,<br />
sondern beide unter dem Begriff Telemedien zusammengefasst. Dies führt zu<br />
einer Vereinfachung des Geltungsbereichs, der bislang wegen der notwendigen<br />
Abgrenzung von Tele- und Mediendiensten detailliert geregelt war. Das TMG enthält<br />
jedoch nicht alle wünschenswerten Regelungen und die Lösungen bisheriger<br />
Probleme. Im Folgenden werden in vereinfachter Form die Änderungen und offen<br />
geblieben Punkt kurz skizziert:<br />
Durch die Einführung des TMG werden das bisherige Teledienstegesetz (TDG),<br />
das Teledienstedatenschutzgesetz (TDDSG) und der Mediendienste-Staatsvertrag<br />
(MDStV) ersetzt. Dadurch entfällt die föderal bedingte Aufspaltung und teilweise<br />
schwierig abzugrenzende Einordnung in das TDG und den MDStV. Eine komplette<br />
Vereinheitlichung und damit Vereinfachung wird durch das neue Gesetz jedoch<br />
nicht vorgenommen. Die Länder regeln in einem eigenen Abschnitt im Rundfunkstaatsvertrag<br />
die inhaltlichen Anforderungen an journalistisch-redaktionell gestaltete<br />
Mediendienste.<br />
1 Deutscher Bundestag, Begründung des Gesetzesentwurfs, II. 1., BT Drucks. 16/3078 <strong>vom</strong> 23.10.2006.
<strong>DFN</strong><br />
3<br />
Keine allgemeinen Informationspflichten für private Homepages?<br />
Hinsichtlich der allgemeinen Informationspflichten enthält § 5 Abs. 1 TMG eine<br />
Klarstellung. Hiernach sollen die allgemeinen Informationspflichten „für geschäftsmäßige,<br />
in der Regel gegen Entgelt angebotene Telemedien“ gelten. Auch (der<br />
noch geltende) § 6 TDG enthält die Formulierung „geschäftsmäßige Teledienste“.<br />
Unter welchen Voraussetzungen ein Teledienst als geschäftsmäßig anzusehen ist,<br />
beantwortet das TDG jedoch nicht. Eine Auslegungshilfe für diesen Rechtsbegriff<br />
bietet aber die Legaldefinition der Geschäftsmäßigkeit in § 3 Nr. 5 Telekommunikationsgesetz<br />
(TKG). Danach ist das geschäftsmäßige Erbringen von<br />
Telekommunikationsdiensten das „nachhaltige Angebot von Telekommunikation<br />
einschließlich des Angebots von Übertragungswegen für Dritte mit oder ohne<br />
Gewinnerzielungsabsicht“. Maßgebendes Kriterium für die Geschäftsmäßigkeit<br />
wäre demgemäß allein die Nachhaltigkeit, das heißt die Tätigkeit müsste auf einen<br />
längeren Zeitraum ausgerichtet sein und dürfte sich nicht auf einen Einzelfall beschränken.<br />
Da letztlich jede auf Dauer angelegte Internetseite in diesem Sinne<br />
nachhaltig ist, würde ein solches Verständnis der Geschäftsmäßigkeit auch rein<br />
private Homepages erfassen. Mit der jetzigen Klarstellung „in der Regel gegen<br />
Entgelt angebotene Telemedien“ werden nun rein private Homepages von der<br />
allgemeinen Informationspflicht freigestellt. Dies verdeutlicht auch die Gesetzesbegründung,<br />
wonach Telemedien, die ohne den Hintergrund einer Wirtschaftstätigkeit<br />
bereitgehalten werden (private Homepages oder Informationsangebote<br />
von Idealvereinen), künftig nicht mehr den Informationspflichten des Telemediengesetzes<br />
unterfallen. Hintergrund dieser klarstellenden Formulierung ist die E-<br />
Commerce-Richtlinie, die unter anderem durch die Einführung des TDG<br />
umgesetzt werden soll. Diese Richtlinie gilt für Dienste der Informationsgesellschaft,<br />
also nach europäischem Recht für solche Dienste, die in der Regel<br />
gegen Entgelt erbracht werden 2 .<br />
2 Art. 1 Nr. 2 der Richtlinie 98/34/EG in der Fassung der Richtlinie 98/48/EG <strong>vom</strong> 20.7.1998.
<strong>DFN</strong><br />
4<br />
Spam-Mails schon anhand der Kopf- und Betreffzeile zu entlarven?<br />
Eine Neuerung enthält das TMG jedoch im Hinblick auf Spam-Mails. Nach § 6<br />
Abs. 2 TMG darf in der Kopf- und Betreffzeile von kommerziellen Kommunikationen,<br />
die per elektronischer Post versandt werden, weder der Absender, noch<br />
der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden.<br />
Wer absichtlich den Absender oder den kommerziellen Charakter verheimlicht<br />
oder verschleiert, handelt gem. § 16 Abs. 1 TMG ordnungswidrig.<br />
Bereits nach derzeitiger Rechtslage ist die Versendung von Spam-Mails unzulässig.<br />
Das unaufgeforderte Versenden von elektronischen Werbe-Nachrichten<br />
stellt gem. § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) einen Verstoß<br />
gegen das Wettbewerbsrecht dar. Auch die Werbung mit Nachrichten, bei denen<br />
die Identität des Absenders verschleiert oder verheimlicht wird, ist unzulässig. Die<br />
Norm des § 6 Abs. 2 TDG lässt die bereits bestehenden Regelungen gegen unerwünschte<br />
Werbung unberührt. Der Schutz der Empfänger von kommerziellen<br />
Kommunikationen wird durch die neue Vorschrift aufgrund der höheren Transparenzanforderungen<br />
and die Versender von kommerziellen Kommunikationen<br />
mittels elektronischer Post verstärkt. Die grundsätzliche Erkennbarkeit des Absenders<br />
an der Kopfzeile einer elektronischen Nachricht ist für den Empfänger bei<br />
der Entscheidung, ob er die Email-Nachricht öffnen will von besonderer Bedeutung.<br />
Aber auch für den Einsatz von Spamschutz-Programmen, die den Posteingang<br />
nach Nachrichten anhand <strong>vom</strong> User festgelegter Parameter durchsuchen,<br />
sind die Angaben zur Feststellung der Identität des Absenders von entscheidender<br />
Bedeutung.<br />
Verschleierung des Absenders liegt dann vor, wenn die Absenderangaben suggerieren,<br />
die Mail kommt von einem anderen als dem tatsächlichen Absender (Bsp.<br />
Mails die suggerieren, sie kommen von einer offiziellen Stelle oder aus dem<br />
Freundeskreis des Empfängers). Verheimlichen der Absender-Informationen liegt<br />
vor, wenn die Nachricht überhaupt keine Angaben zur Identität des Absenders<br />
macht.
<strong>DFN</strong><br />
5<br />
Trotz dieser neuen Regelungen bleibt jedoch abzuwarten, ob sich die Flut an<br />
Spam-Mails verringern wird. Zum einen ist bereits fraglich, wer die Ordnungswidrigkeiten<br />
feststellen und die Verantwortlichen ermitteln soll. Aufgrund der<br />
Menge der im Umlauf befindlichen Spam-Mails wird es einen hohen finanziellen<br />
und zeitlichen Aufwand darstellen, diese zu verfolgen. Des Weiteren bleibt abzuwarten,<br />
ob sich Spammer wirklich von einer Geldbuße abschrecken lassen, die<br />
gerade im Ausland schwer zu vollstrecken ist. Auch wenn der Großteil der Spam-<br />
Mails aus dem Ausland kommt und damit eine Sanktionierung von Deutschland<br />
aus in der Praxis kaum möglich sein wird, gilt es mit der neuen Regelung jedoch<br />
ein Signal im Kampf gegen Spam zu setzen. Der neue Bußgeldtatbestand im TMG<br />
soll eine bislang noch bestehende Regelungslücke schließen.<br />
Neuer Datenschutz?<br />
Auch aus datenschutzrechtlicher Sicht enthält das TMG Neuerungen. Die notwendige<br />
Befugnis zur Auskunftserteilung über Bestands- und Nutzungsdaten war<br />
bisher nur für Strafverfolgungsbehörden und Gerichte geregelt. Nach § 14 Abs. 2<br />
TMG darf der Diensteanbieter nunmehr Auskunft über Bestandsdaten erteilen, soweit<br />
dies für Zwecke der Strafverfolgung, zur Erfüllung der gesetzlichen Aufgaben<br />
der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes<br />
oder des Militärischen Abschirmdienstes oder zur Durchsetzung<br />
der Rechte am geistigen Eigentum erforderlich ist. Durch diese neue Regelung<br />
wird der Kreis der Behörden, an die Bestandsdaten übermittelt werden dürfen,<br />
über den bisher <strong>vom</strong> TDDSG umfassten Kreis erweitert.<br />
Ein ursprünglicher Entwurf des TMG enthielt sogar noch eine Regelung, die die<br />
Möglichkeit vorsah, dass auch private Dritte und nicht nur Gerichte und Behörden,<br />
die zum Zwecke der Strafverfolgung oder zur Gefahrenabwehr tätig werden, einen<br />
Auskunftsanspruch haben. Danach durfte "nach Maßgabe der hierfür geltenden<br />
Bestimmungen Auskunft über personenbezogene Daten an berechtigte Stellen<br />
und Personen“ erteilt werden. So weit wollte der Gesetzgeber dann aber doch<br />
nicht gehen.
<strong>DFN</strong><br />
6<br />
Trotz der Neuerungen im datenschutzrechtlichen Bereich enthält das TMG keine<br />
Lösung oder Klarstellung zu der Frage, ob der Bereich des Datenschutzrechts<br />
abschließende Wirkung hat. Während teilweise das derzeitige TDDSG hinsichtlich<br />
privater Auskunftsansprüche als abschließend angesehen wird, gibt es Stimmen,<br />
die der Ansicht sind, neben dem TDDSG bestünde auch ein Auskunftsanspruch<br />
nach dem allgemeinen Recht. Auch nach der Neufassung des Datenschutzes im<br />
TMG wird es bei diesem Meinungsstreit bleiben. Eine diesbezügliche Klarstellung<br />
enthalten die neuen Regeln nicht.<br />
Dieser Überblick zeigt, dass das TMG nicht zu einer umfassenden Neuregelung<br />
des Datenschutzrechts für Telemedien führt. Die Intention des Gesetzgebers<br />
richtet sich allein auf den Vereinheitlichungsgedanken. Für grundlegende inhaltliche<br />
Änderungen bestünde derzeit kein Anlass, so die Ausführungen in der Gesetzesbegründung.<br />
Kritisiert wird teilweise, dass mit dem TMG kein konsistentes<br />
Modell vorgelegt wird, das die fortschreitende Konvergenz der Technik mit einem<br />
konvergenten Datenschutzrecht quittiere. Die Grundkonzeption des TMG sei nicht<br />
geeignet, für bereits bestehende und zukünftig denkbare Telemediendienste das<br />
datenschutzrechtliche Nutzerinteresse für die nähere Zukunft zu gewährleisten.<br />
Denn bereits die geltende Rechtslage weise im Hinblick auf die datenschutzrechtlichen<br />
Vorschriften für Teledienste einen über den TMG hinausgehenden<br />
Novellierungsbedarf auf.<br />
Anmerkung: Keine neuen Haftungsregeln<br />
In punkto Haftungsregelung enthält das TMG keine Veränderungen. Insbesondere<br />
durch den Rolex-Ricardo-Fall aus dem Jahre 2004 trat die Problematik der Mitstörerhaftung<br />
auf 3 . In dem entsprechenden Urteil geht es um die Tragweite von<br />
Unterlassungsansprüchen gegen Internetanbieter bei Markenrechtsverletzungen,<br />
besonders hinsichtlich der Anforderung, wiederholte Rechtsverletzungen zu<br />
verhindern. In diesem Zusammenhang wäre eine gesetzliche Klarstellung wünschenswert<br />
gewesen. Obwohl der Gesetzgeber das Regelungsbedürfnis der Mit-<br />
3 BGH, Urteil <strong>vom</strong> 11.3.2004, Az. I ZR 304/01, http://www.jurpc.de/rechtspr/20040265.htm
<strong>DFN</strong><br />
7<br />
störerhaftung für Unterlassungsansprüche erkannt hat, lehnt er eine Regelung für<br />
dieses Problemfeld ab. Zur Begründung für diese Entscheidung führt der Gesetzgeber<br />
an, dass Änderungsüberlegungen im Bereich der Verantwortlichkeit einer<br />
sorgfältigen Prüfung bedürfen, besonders wenn die berechtigten Interessen der<br />
Rechteinhaber und der Diensteanbieter abgewogen werden müssen. Hier sei<br />
vorrangig eine Regelung auf europäischer Ebene anzustreben. In diesem Zusammenhang<br />
wird Mitte <strong>2007</strong> ein Evaluierungsbericht der Europäischen Kommission<br />
erwartet.<br />
Des Weiteren wäre auch eine gesetzliche Regelung zur Haftungsbeschränkung<br />
für die Verweisung auf fremde Angebote durch die Setzung von Hyperlinks und<br />
eine Haftung von Suchmaschinen wünschenswert gewesen. Denn gerade diese,<br />
bislang nicht geregelten Situationen lassen sich nicht problemlos unter die vorhandenen<br />
Regeln subsumieren. Es ist fraglich, ob einem Linksetzenden der<br />
Sorgfaltsmaßstab auferlegt werden kann, den verlinkten Inhalt bis ins Detail prüfen<br />
zu müssen. Vielmehr dürfte eine Prüfung auf evidente Rechtsverstöße genügen.<br />
In diesem Bereich fehlen dem TMG jedoch eine Neuregelung und damit eine<br />
Anpassung an den technischen Fortschritt.<br />
Ende gut, alles gut?<br />
Insgesamt führt das TMG bereits durch die Vereinheitlichung der Begrifflichkeiten<br />
Teledienste und Mediendienste unter der Bezeichnung Telemedien und durch die<br />
weitesgehende Aufhebung der föderal bedingten Aufspaltung aufgrund der<br />
Ersetzung des TDG, des TDDSG und des MDStV durch das neue TMG zu einer<br />
weitreichenden Vereinfachung. Ziel des TMG ist unter anderem, dass die<br />
Rahmenbedingungen für den elektronischen Geschäftsverkehr mit Blick auf die<br />
wirtschaftliche und technologische Entwicklung der neuen Dienste auch zukünftig<br />
unabhängig <strong>vom</strong> Verbreitungsweg entwicklungsoffen ausgestaltet sind 4 . Diesen<br />
Zweck, den rechtlichen Umgang mit neuen Medien zu vereinfachen, erreicht das<br />
TMG jedoch nicht in allen Bereichen. Insbesondere in den Problemfeldern, die<br />
4 Deutscher Bundestag, Gesetzesentwurfs, A. Problem und Ziel, BT Drucks. 16/3078 <strong>vom</strong> 23.10.2006.
<strong>DFN</strong><br />
8<br />
bereits diskutiert werden und für die es Schwierigkeiten hinsichtlich der Anwendbarkeit<br />
des geltenden Rechts gibt, wäre eine gesetzliche Regelung wünschenswert<br />
gewesen.<br />
Von Ass. jur. Kai Welp<br />
Das umstrittene „Hacker-Tool“<br />
Kabinett beschließt Gesetzesentwurf zur Bekämpfung der Computerkriminalität<br />
Im September letzten Jahres hat die Bundesregierung einen Regierungsentwurf<br />
eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität<br />
vorgelegt. 5 Der Entwurf war Gegenstand scharfer öffentlicher Kritik. Insbesondere<br />
der so genannte Hacker-Tool-Paragraph sorgte bei den betroffenen Kreisen für erhebliche<br />
Verunsicherung. Nach dieser neu einzuführenden Vorschrift soll in Zukunft<br />
der Handel mit Programmen, deren Zweck auch die Begehung einer<br />
Computerstraftat sein kann, von der Norm des § 202c StGB-E – dem Vorbereiten<br />
des Ausspähens und Abfangens von Daten – erfasst werden. Die Einführung<br />
eines solchen Tatbestandes ist kriminalpolitisch äußerst bedenklich, zumal die<br />
Sicherheit von Informationssystemen entscheidend von der freien Zugänglichkeit<br />
solcher Programme abhängt. Allerdings wird häufig in der öffentlichen Kritik übersehen,<br />
dass nicht jedes Verschaffen eines solchen „Hacking-Tools“ unter Strafe<br />
steht. Der Entwurf enthält weitere subjektive Einschränkungen. Missverständnisse<br />
traten auch im Bereich des § 202a StGB-E – dem Ausspähen von Daten – auf. In<br />
der Berichterstattung war zu hören, dass nun erstmals auch das „Hacking“ unter<br />
Strafe gestellt werde. Dies sorgte für Widerspruch, da das Zugangverschaffen zu<br />
Informationssystemen auch eine Methode der Netzwerkanalyse darstellt.<br />
Der vorliegende Beitrag soll helfen, bestehende Missverständnisse aufzuklären,<br />
aber auch die kritikwürdigen Entwicklungen in der Gesetzgebung aufzuzeigen. In<br />
diesem Zusammenhang ist darauf hinzuweisen, dass die Reform auf ein Überein-
<strong>DFN</strong><br />
9<br />
kommen des Europarates aus dem Jahre 2001 zurückgeht, der so genannten<br />
Cybercrime-Convention. 6 Diese zwingt den nationalen Gesetzgeber weitestgehend<br />
zur Einführung der umstrittenen Vorschriften. Größere Änderungen des<br />
Regierungsentwurfs sind aufgrund des Europarechts also nicht mehr zu erwarten.<br />
Nichtsdestotrotz hat der nationale Gesetzgeber bei der Umsetzung einen Gestaltungsspielraum.<br />
Im Rahmen dieses Gestaltungsspielraums sollen Verbesserungsmöglichkeiten<br />
aufgezeigt werden.<br />
Ausspähen von Daten - § 202a StGB-E<br />
Nach derzeit geltendem Recht macht sich nach § 202a StGB wegen des Ausspähens<br />
von Daten strafbar, wer sich Daten verschafft, die gegen unberechtigten<br />
Zugang besonders gesichert sind. Die Vorschrift wurde bereits 1986 durch das<br />
zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität in das Strafgesetzbuch<br />
eingefügt. Durch den vorliegenden Entwurf wird sie leicht modifiziert; es soll in<br />
Zukunft nämlich schon das Zugangverschaffen zu diesen Daten zur Verwirklichung<br />
des Tatbestands ausreichend sein. Ein Verschaffen von Daten ist also<br />
nicht mehr erforderlich. Die Strafbarkeitsschwelle wird damit geringfügig nach<br />
vorne verlagert. Es sei aber vorwegenommen, dass diese Änderung der Vorschrift<br />
in der Praxis kaum Auswirkungen haben wird. Faktisch ist es nämlich schon heute<br />
so, dass das von dem Referentenentwurf geforderte Zugangverschaffen zu besonders<br />
gesicherten Daten zur Verwirklichung des Tatbestands ausreicht und damit<br />
faktisch dem Verschaffen von Daten gleichgestellt wird.<br />
Ein Sich Verschaffen erfordert nach juristischer Definition die Übernahme der tatsächlichen<br />
Verfügungsgewalt über die Daten. Dies ist im Bereich der Computerkriminalität<br />
erst dann der Fall, wenn der Täter die etwa über das Internet aufgespürten<br />
Daten von einem fremden Rechner herunterlädt. Überträgt man diesen<br />
Grundsatz auf den bisher geltenden Straftatbestand, macht sich also nicht strafbar,<br />
wer sich Zugang zu einem fremden Informationssystem verschafft ohne sich<br />
5 Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität <strong>vom</strong><br />
20.9.2006, abrufbar unter: http://www.bmj.bund.de/media/archive/1317.pdf .
<strong>DFN</strong><br />
10<br />
anschließend die entsprechenden Dateien herunterzuladen. Dies hat folgenden<br />
Hintergrund.<br />
Bei der Einführung der Vorschrift 1986 ging es dem Gesetzgeber in erster Linie<br />
darum, Strafbarkeitslücken im Bereich der Computerspionage zu schließen. Das<br />
bloße Eindringen in ein Computersystem sollte nach dem ausdrücklich erklärten<br />
Willen des Gesetzgebers hingegen nicht strafbar sein. Man dachte insofern an<br />
Jugendliche, die aus reiner Experimentierfreude in fremde Systeme eindringen;<br />
diese sollten nicht überkriminalisiert werden. Die Rechtsprechung stellte dann<br />
aber schnell fest, dass eine solche Trennung zwischen dem guten Hacker – dem<br />
Whitehat –, der aus reiner Experimentierfreude handelt, und dem Datendieb –<br />
dem Blackhat – aus Beweisgründen kaum durchzuführen ist. Auch hatte man die<br />
Gefährlichkeit des Eindringens in fremde Informationssysteme unterschätzt. Um<br />
die so entstehenden Strafbarkeitslücken zu schließen, dehnten die Gerichte den<br />
Begriff des Verschaffens von Daten immer stärker aus. Heute versteht man<br />
hierunter überwiegend jedes Zugangverschaffen bei Kenntnisnahme der Daten.<br />
Der Unterschied zwischen der bisher geltenden Regelung und dem Entwurf besteht<br />
also lediglich darin, dass in Zukunft ein Kenntnisverschaffen der Daten für<br />
die Strafbarkeit nicht mehr erforderlich ist.<br />
Das zweite Merkmal des Tatbestandes ist das Merkmal der besonderen Zugangssicherung.<br />
Geschützt werden nicht alle Daten, sondern nur diejenigen, die besonders<br />
gesichert sind. Insofern ist es bei der ursprünglichen Regelung geblieben,<br />
die aber auch die größte Schwierigkeit bei der Auslegung des Tatbestandes darstellt.<br />
Das Merkmal der besonderen Zugangssicherung ist zu unbestimmt. Nach<br />
der Literatur liegt eine solche Zugangssicherung vor, wenn sie objektiv geeignet<br />
ist, eine Kenntnisnahme durch Unberechtigte zu verhindern oder zu erschweren,<br />
und nach dem Willen des Berechtigten auch dazu bestimmt ist. Außerdem muss<br />
der Dateninhaber durch diese Sicherung sein besonderes Geheimhaltungsinteresse<br />
dokumentiert haben. Damit sollen alle Fälle aus dem Anwendungs-<br />
6 Convention on Cybercrime <strong>vom</strong> 23.11.2001, abrufbar unter:<br />
http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.
<strong>DFN</strong><br />
11<br />
bereich der Vorschrift ausgeschieden werden, bei denen die Durchbrechung des<br />
Schutzes ohne erheblichen zeitlichen und technischen Aufwand möglich ist.<br />
Bei Anwendung dieser Grundsätze wird eine Strafbarkeit nach § 202a StGB-E bei<br />
einem Angriff über das Internet erst dann anzunehmen sein, wenn der entsprechende<br />
Rechner durch eine Firewall gesichert ist; ein vollkommen ungeschützter<br />
Rechner verfügt hingegen nicht über eine besondere Zugangssicherung.<br />
Nicht erforderlich ist es jedoch, dass sämtliche Ports gesichert sind. Auch bei einer<br />
unzureichenden Sicherung bedarf es eines gewissen zeitlichen Aufwandes, um<br />
den Zugriff auf das System zu erlangen. Bei der so genannten URL-Manipulation,<br />
bei der durch geschickte Veränderung der URL ein Zugriff auf nicht für die Öffentlichkeit<br />
bestimmte Seiten möglicht ist, scheidet eine Strafbarkeit wegen Ausspähens<br />
von Daten hingegen aus. Derartige Manipulationen bedürfen keines<br />
größeren Aufwandes und sind im Ergebnis auf fehlerhafte Programmierung<br />
zurückzuführen. Straflos bleibt auch das Port-Scanning, bei dem der Angreifer die<br />
Ein- und Ausgänge eines Computers abtastet, um offene Zugänge auf dem<br />
Zielrechner aufzuspüren. Gleiches gilt für die so genannten Ping-Scans, bei denen<br />
festgestellt wird, ob der Inhaber einer bestimmten IP-Adresse zu einem<br />
bestimmten Zeitpunkt online ist. Die Daten, die sich der Täter bei den genannten<br />
Tätigkeiten verschafft, sind keine besonders gesicherten Daten. Sie befinden sich<br />
außerhalb des durch die besondere Zugangssicherung geschützten Systems. Die<br />
Systempenetration im Auftrag des Berechtigten bleibt ebenfalls weiterhin straflos.<br />
Nur das unbefugte Zugangverschaffen wird von der Norm erfasst.<br />
Die Neufassung der Vorschrift wird also im Ergebnis kaum zu Änderungen der<br />
Rechtslage führen. Allerdings ist in Zukunft schon das Eindringen in ein fremdes<br />
System ohne Kenntnisnahme der geschützten Daten strafbewehrt. Dies kann<br />
unerwünschte Folgen haben. Von privaten Nutzern aufgedeckte Sicherheitslücken<br />
werden in Zukunft in geringerem Maße in die Öffentlichkeit getragen werden, da<br />
jederzeit mit einer Anzeige des Systeminhabers zu rechnen ist. Ein solches Strafverfolgungsinteresse<br />
der Unternehmen besteht auch in der Regel, da so die für<br />
die Systeminhaber unerwünschte öffentliche Diskussion der Sicherheitslücken
<strong>DFN</strong><br />
12<br />
ihrer Systeme unterbunden werden kann. Dies mag rechtspolitisch unerfreulich<br />
sein; die Einführung der Vorschrift ist jedoch europarechtlich vorgeschrieben.<br />
Abfangen von Daten - § 202b StGB-E<br />
Durch die Novelle neu eingeführt wird der Tatbestand des Abfangens von Daten -<br />
§ 202b StGB-E. Von der Norm erfasst wird das unbefugte Verschaffen von Daten<br />
aus einer nichtöffentlichen Datenübermittlung. § 202b StGB-E schützt damit<br />
subsidiär zu § 202a StGB-E Daten während des Übermittlungsvorgangs. Im<br />
Unterschied zum Tatbestand des Ausspähens von Daten setzt das Abfangen von<br />
Daten das Vorliegen einer besonderen Zugangssicherung nicht voraus. Der<br />
Gesetzgeber wollte hier nach geltendem Recht bestehende Strafbarkeitslücken<br />
schließen. Das betrifft in erster Linie alternative Kommunikationsmöglichkeiten wie<br />
Internet-Chats, Emails oder VoIP. Nach bisherigem Recht sind diese nicht<br />
geschützt, da sie nicht über die nach § 202a StGB erforderliche Zugangssicherung<br />
verfügen. Das so genannte Fremd-Sniffen bzw. das Mitschneiden von Netztraffic<br />
ist also bei einer unverschlüsselten Übermittlung derzeit straflos. Dies führt im<br />
Vergleich mit herkömmlichen Kommunikationsmitteln zu willkürlichen Ergebnissen.<br />
Das Abhören fremder Telefongespräche mit technischen Mitteln wird von der<br />
Norm des § 201 StGB – der Verletzung der Vertraulichkeit des Wortes – strafrechtlich<br />
erfasst; das Mitschneiden der Kommunikation im Internet ist hingegen<br />
straflos möglich. Eine solche Regelung wird der wachsenden Bedeutung alternativer<br />
Kommunikationsmittel nicht mehr gerecht.<br />
Problematisch an der neuen Regelung sind jedoch zwei Punkte. Die Vorschrift<br />
kann zu einer Überkriminalisierung von Bagatellfällen führen. Gedacht ist an den<br />
Fall des Wireless-Lans. Wer in Zukunft einen Laptop bei sich führt, der sich<br />
aufgrund von Standardeinstellungen in ein offenes Netz einwählt, macht sich nach<br />
§ 202b StGB-E strafbar. Er verschafft sich nämlich unbefugt Daten aus einer nichtöffentlichen<br />
Kommunikation. Es ist zwar kaum zu erwarten, dass solche Fälle in<br />
der Praxis tatsächlich zur Anzeige kommen. Die §§ 202a, b StGB-E sind als<br />
Antragsdelikte ausgestaltet; eine Verfolgung setzt in der Regel den Strafantrag<br />
des Geschädigten voraus. Ferner besteht aufgrund des geringen Interesses an
<strong>DFN</strong><br />
13<br />
der Strafverfolgung die Möglichkeit einer Verfahrenseinstellung durch die Staatsanwaltschaft<br />
nach § 153 StPO. Grundsätzlich jedoch ist die geschilderte Einwahl<br />
in das Netz strafbar.<br />
Um eine solche Überkriminalisierung von Bagatellfällen zu vermeiden, bieten sich<br />
zwei Lösungsmöglichkeiten an.<br />
1. Man könnte daran denken, auch für den Tatbestand des Abfangens von<br />
Daten das Überwinden einer Zugangssicherung zu fordern. Das würde<br />
jedoch dem erklärten Willen des Gesetzgebers, unverschlüsselte<br />
Kommunikation im Internet zu schützen, zuwider laufen. Ferner stände eine<br />
so gefasste Norm im Gegensatz zur Cybercrime-Convention, die eine<br />
solche Einschränkung nicht vorsieht. Nach Europarecht kann der nationale<br />
Gesetzgeber also das Merkmal der besonderen Zugangssicherung nicht in<br />
den Tatbestand einfügen.<br />
2. Ein gangbarer Weg wäre, den Tatbestand auf subjektiver Seite zu beschränken.<br />
Man könnte nur solche Tathandlungen mit einbeziehen, die in<br />
der Absicht vorgenommen werden, sich unbefugt Daten aus einer nichtöffentlichen<br />
Kommunikation zu verschaffen. Juristisch wäre dann ein zielgerichteter<br />
Erfolgswille erforderlich. Dem Täter müsste es also gerade<br />
darauf ankommen, sich geschützte Daten zu verschaffen. Bei einer solchen<br />
Fassung des Tatbestandes wäre eine Kriminalisierung von mehr oder<br />
weniger zufälligen Zugriffen auf ungeschützte Netzwerke ausgeschlossen.<br />
Das zweite Problem des Tatbestandes ist das Merkmal der nichtöffentlichen<br />
Kommunikation. Es wird in der Literatur vertreten, bei der Kommunikation im<br />
Internet – beispielsweise dem Email-Verkehr – läge öffentliche Kommunikation<br />
vor. Begründet wird dies mit der besonderen Anfälligkeit des Internets. Aufgrund<br />
seiner dezentralen Struktur ist das Mitschneiden und Abfangen von ausgetauschten<br />
Nachrichten technisch ohne weiteres möglich. Hieraus wird gefolgert,<br />
das Internet sei ein öffentliches Netz mit allgemeiner Teilnahmemöglichkeit; auch<br />
sei die Kommunikation nicht durch das Fernmeldegeheimnis geschützt. Ein<br />
solches Verständnis der Norm hätte zur Folge, dass entgegen dem eindeutig<br />
artikulierten Willen des Gesetzgebers, alternative Kommunikationsmittel auch
<strong>DFN</strong><br />
14<br />
nach der neuen Vorschrift des § 202b StGB-E nicht geschützt wären. Umgehen<br />
könnte man das dargestellte Problem mit einer eindeutigen Definition der nichtöffentlichen<br />
Kommunikation. Anbieten würde sich insofern, auf die <strong>vom</strong> Absender<br />
getroffene Zweckbestimmung abzustellen, also die nichtöffentliche Kommunikation<br />
als eine an einen begrenzten Kreis von Adressaten gerichtete Kommunikation zu<br />
definieren.<br />
Vorbereiten des Ausspähens und Abfangens von Daten - § 202c StGB-E<br />
Neu eingeführt wird auch der Tatbestand des Vorbereitens des Ausspähens und<br />
Abfangens von Daten - § 202c StGB-E - der so genannte Hacker-Tool-Paragraph.<br />
Die Norm ist die wohl umstrittenste Vorschrift der Strafrechtsreform. Sie stellt<br />
Handlungen unter Strafe, die sich weit im Vorfeld der §§ 202a, b StGB-E<br />
abspielen. Strafbar macht sich nach § 202c Abs. 1 Nr. 2 StGB-E, wer eine Straftat<br />
nach § 202a oder § 202b StGB-E vorbereitet, indem er Computerprogramme,<br />
deren Zweck die Begehung einer solchen Tat ist, herstellt, sich verschafft oder<br />
verbreitet.<br />
Unklar ist schon, welche Software <strong>vom</strong> Regierungsentwurf erfasst wird. Die<br />
betroffenen Programme sind in der Regel multifunktional, d.h. sie können sowohl<br />
zur Begehung einer Straftat als auch zur Systemwartung, also zu erlaubten<br />
Zwecken benutzt werden. Auch der Gesetzgeber war sich dieser Problematik bewusst.<br />
In der Begründung zum Regierungsentwurf heißt es, durch die Fassung<br />
des Tatbestandes sei sichergestellt, dass nur „Hacker-Tools“ und nicht allgemeine<br />
Programmier-Tools betroffen seien. Maßgeblich sei insofern die objektive<br />
Zweckbestimmung des Programms. Für die Eigenschaft als „Hacker-Tool“ sei es<br />
aber ausreichend, wenn das Programm nicht ausschließlich für die Begehung<br />
einer Straftat bestimmt sei, sondern die objektive Zweckbestimmung auch die<br />
Begehung einer solchen Straftat erlaube. Im Ergebnis sind damit alle Programme<br />
erfasst, die dazu geeignet sind, Straftaten nach § 202a oder § 202b StGB-E zu<br />
begehen und die typischerweise von einem Teil der Nutzer auch dazu verwendet<br />
werden. Dies wird ein Großteil der zur Systemwartung genutzten Software
<strong>DFN</strong><br />
15<br />
betreffen. Hier irrt der Gesetzgeber, allgemeine Programmiertools werden sehr<br />
wohl <strong>vom</strong> neuen Tatbestand erfasst.<br />
Damit ist aber nicht generell die Verwendung derartiger Software zur Systemwartung<br />
strafbewehrt. Hier besteht eines der größten Missverständnisse in der<br />
öffentlichen Diskussion. Die Verwirklichung des Tatbestandes erfordert nach der<br />
Neufassung neben dem Verschaffen des „Hacker-Tools“ auch die Vorbereitung<br />
einer Straftat nach den §§ 202a, b StGB-E. Dies bedeutet, dass der Täter zum<br />
Zeitpunkt der Tathandlung, also beim Verschaffen oder Überlassen der Computersoftware,<br />
vorsätzlich hinsichtlich der Verwirklichung von § 202a oder § 202b StGB-<br />
E handeln muss. Bereits zu diesem Zeitpunkt ist also das Bewusstsein einer<br />
späteren Tatbegehung erforderlich. Unzureichend ist allerdings, dass der Gesetzgeber<br />
hier die einfachste Form des Vorsatzes gewählt hat, den so genannten<br />
dolus eventualis. Wird entsprechende Software im Handel verkauft, so ist es für<br />
die Verwirklichung des Tatbestandes ausreichend, wenn der Verkäufer es für<br />
möglich hält und billigend in Kauf nimmt, dass ein Dritter mit dem Programm<br />
Straftaten nach § 202a oder § 202b StGB-E begehen wird. Hiervon wird aber in<br />
der Regel auszugehen sein. Damit ist der Tatbestand deutlich zu weit gefasst. Zur<br />
sinnvollen Begrenzung würde sich auch hier ein Abstellen auf die Vorsatzform der<br />
Absicht anbieten. Der Täter müsste dann zum Zeitpunkt der Tathandlung den<br />
zielgerichteten Erfolgswillen haben, eine Tat nach § 202a oder § 202b StGB-E zu<br />
begehen. Eine solche Fassung des Tatbestandes würde der Überkriminalisierung<br />
von Bagatellfällen entgegenwirken.<br />
Insgesamt ist die Regelung jedoch kriminalpolitisch verfehlt. Es ist äußerst fraglich,<br />
ob die Norm der Verbreitung von „Hacker-Tools“ entgegenwirken kann.<br />
Derartige Software ist im Internet ständig verfügbar und damit jederzeit zugänglich.<br />
Auf der anderen Seite ist vielmehr die Entstehung eines nationalen Wettbewerbsnachteils<br />
bei der Herstellung sicherheitsrelevanter Software zu befürchten,<br />
der zu einer Verminderung der Entwicklung und des Vertriebs führen<br />
könnte, ohne dass eine signifikante Verminderung von Straftaten im Internet<br />
eintritt. Damit werden Sicherheitsrisiken erst geschaffen.
<strong>DFN</strong><br />
16<br />
Der Gesetzgeber sollte daher auf die Einführung der Vorschrift verzichten. Dies ist<br />
europarechtlich zulässig, da die Cybercrime-Convention die Möglichkeit eines Vorbehalts<br />
gegen die Regelung vorsieht. Es ist also den einzelnen Mitgliedsstaaten<br />
selbst überlassen, ob sie derartige Vorbereitungshandlungen unter Strafe stellen.<br />
Der Gesetzgeber sollte von dieser Möglichkeit aus den geschilderten kriminalpolitischen<br />
Gründen Gebrauch machen.<br />
Strafbarkeit des „Phishings“<br />
An eine ausdrückliche Regelung der Strafbarkeit des „Phishings“ hat der Gesetzgeber<br />
hingegen nicht gedacht. Nach § 202c Abs. 1 Nr. 1 StGB-E ist auch das<br />
Verschaffen von Passwörtern oder sonstiger Sicherungscodes zur Vorbereitung<br />
einer Straftat nach §§ 202a, b StGB-E tatbestandsmäßig. Ist der „Phisher“ erfolgreich<br />
und erhält das Passwort, so wird er sich in Zukunft auch nach § 202c Abs. 1<br />
Nr. 1 StGB-E strafbar machen. Dies entspricht annähernd der derzeitigen Rechtslage.<br />
Nach geltendem Recht liegt zumindest dann eine Strafbarkeit wegen<br />
Computerbetrugs vor, wenn die herausgegebenen Passwörter tatsächlich genutzt<br />
werden. Anders ist das jedoch, wenn der „Phishing“-Versuch erfolglos bleibt. Das<br />
reine Zusenden der „Phishing“-mail ist nach überwiegender Auffassung derzeit<br />
straflos. Insofern besteht für das Gesetzesvorhaben noch Regelungsbedarf.<br />
Rechtstechnisch könnte man eine Versuchsstrafbarkeit im Falle des § 202c Abs. 1<br />
Nr. 1 StGB-E einführen. Dann wäre schon der Versuch des Verschaffens von<br />
Passwörtern strafbar. Die Gesetzeslücke wäre geschlossen.