DFN-Infobrief vom Februar 2007

WESTFÄLISCHE WILHELMS-UNIVERSITÄT
Institut für Informations-, Telekommunikations- und Medienrecht (ITM)
- Zivilrechtliche Abteilung -
Prof. Dr. Thomas Hoeren
Laura Dierking, LL.M. (Informationsrecht)
RA Noogie C. Kaufmann, Master of Art
Ass. jur. Jan K. Köcher
Ass. jur. Lena Meyer
Mag. jur. Anselm Rodenhausen
Ass. jur. Kai Welp
Leonardo-Campus 9
48149 Münster
E-Mail:dfn.recht@uni-muenster.de
DFN-Infobrief Recht
Februar 2007
Telemediengesetz – Die Lösung aller Probleme?......………………………...…..2
Das umstrittene „Hackertool“ – Kabinett beschließt Gesetzesentwurf zur
Bekämpfung der Computerkriminalität……………………………………………...8

DFN
2
Von Ass. jur. Lena Meyer
Telemediengesetz
Die Lösung aller Probleme?
Zu Beginn des Jahres hat der deutsche Bundestag das Telemediengesetz (TMG)
verabschiedet. In Kraft tritt das TMG an dem Tag, an dem auch der neunte Rundfunkänderungsstaatsvertrag
der Länder in Kraft tritt. Ziel des Gesetzes ist die
Regelung bestimmter rechtlicher Anforderungen für Telemedien 1 . Dabei handelt
es sich im Wesentlichen um die wirtschaftlich orientierten Regelungen zur Umsetzung
der E-Commerce Richtlinie, die derzeit im Teledienstegesetz (TDG) und
im Mediendienste-Staatsvertrag (MDStV) enthalten sind. Mit der Einführung des
TMG werden Teledienste und Mediendienste nunmehr nicht mehr unterschieden,
sondern beide unter dem Begriff Telemedien zusammengefasst. Dies führt zu
einer Vereinfachung des Geltungsbereichs, der bislang wegen der notwendigen
Abgrenzung von Tele- und Mediendiensten detailliert geregelt war. Das TMG enthält
jedoch nicht alle wünschenswerten Regelungen und die Lösungen bisheriger
Probleme. Im Folgenden werden in vereinfachter Form die Änderungen und offen
geblieben Punkt kurz skizziert:
Durch die Einführung des TMG werden das bisherige Teledienstegesetz (TDG),
das Teledienstedatenschutzgesetz (TDDSG) und der Mediendienste-Staatsvertrag
(MDStV) ersetzt. Dadurch entfällt die föderal bedingte Aufspaltung und teilweise
schwierig abzugrenzende Einordnung in das TDG und den MDStV. Eine komplette
Vereinheitlichung und damit Vereinfachung wird durch das neue Gesetz jedoch
nicht vorgenommen. Die Länder regeln in einem eigenen Abschnitt im Rundfunkstaatsvertrag
die inhaltlichen Anforderungen an journalistisch-redaktionell gestaltete
Mediendienste.
1 Deutscher Bundestag, Begründung des Gesetzesentwurfs, II. 1., BT Drucks. 16/3078 vom 23.10.2006.

DFN
3
Keine allgemeinen Informationspflichten für private Homepages?
Hinsichtlich der allgemeinen Informationspflichten enthält § 5 Abs. 1 TMG eine
Klarstellung. Hiernach sollen die allgemeinen Informationspflichten „für geschäftsmäßige,
in der Regel gegen Entgelt angebotene Telemedien“ gelten. Auch (der
noch geltende) § 6 TDG enthält die Formulierung „geschäftsmäßige Teledienste“.
Unter welchen Voraussetzungen ein Teledienst als geschäftsmäßig anzusehen ist,
beantwortet das TDG jedoch nicht. Eine Auslegungshilfe für diesen Rechtsbegriff
bietet aber die Legaldefinition der Geschäftsmäßigkeit in § 3 Nr. 5 Telekommunikationsgesetz
(TKG). Danach ist das geschäftsmäßige Erbringen von
Telekommunikationsdiensten das „nachhaltige Angebot von Telekommunikation
einschließlich des Angebots von Übertragungswegen für Dritte mit oder ohne
Gewinnerzielungsabsicht“. Maßgebendes Kriterium für die Geschäftsmäßigkeit
wäre demgemäß allein die Nachhaltigkeit, das heißt die Tätigkeit müsste auf einen
längeren Zeitraum ausgerichtet sein und dürfte sich nicht auf einen Einzelfall beschränken.
Da letztlich jede auf Dauer angelegte Internetseite in diesem Sinne
nachhaltig ist, würde ein solches Verständnis der Geschäftsmäßigkeit auch rein
private Homepages erfassen. Mit der jetzigen Klarstellung „in der Regel gegen
Entgelt angebotene Telemedien“ werden nun rein private Homepages von der
allgemeinen Informationspflicht freigestellt. Dies verdeutlicht auch die Gesetzesbegründung,
wonach Telemedien, die ohne den Hintergrund einer Wirtschaftstätigkeit
bereitgehalten werden (private Homepages oder Informationsangebote
von Idealvereinen), künftig nicht mehr den Informationspflichten des Telemediengesetzes
unterfallen. Hintergrund dieser klarstellenden Formulierung ist die E-
Commerce-Richtlinie, die unter anderem durch die Einführung des TDG
umgesetzt werden soll. Diese Richtlinie gilt für Dienste der Informationsgesellschaft,
also nach europäischem Recht für solche Dienste, die in der Regel
gegen Entgelt erbracht werden 2 .
2 Art. 1 Nr. 2 der Richtlinie 98/34/EG in der Fassung der Richtlinie 98/48/EG vom 20.7.1998.

DFN
4
Spam-Mails schon anhand der Kopf- und Betreffzeile zu entlarven?
Eine Neuerung enthält das TMG jedoch im Hinblick auf Spam-Mails. Nach § 6
Abs. 2 TMG darf in der Kopf- und Betreffzeile von kommerziellen Kommunikationen,
die per elektronischer Post versandt werden, weder der Absender, noch
der kommerzielle Charakter der Nachricht verschleiert oder verheimlicht werden.
Wer absichtlich den Absender oder den kommerziellen Charakter verheimlicht
oder verschleiert, handelt gem. § 16 Abs. 1 TMG ordnungswidrig.
Bereits nach derzeitiger Rechtslage ist die Versendung von Spam-Mails unzulässig.
Das unaufgeforderte Versenden von elektronischen Werbe-Nachrichten
stellt gem. § 7 UWG (Gesetz gegen den unlauteren Wettbewerb) einen Verstoß
gegen das Wettbewerbsrecht dar. Auch die Werbung mit Nachrichten, bei denen
die Identität des Absenders verschleiert oder verheimlicht wird, ist unzulässig. Die
Norm des § 6 Abs. 2 TDG lässt die bereits bestehenden Regelungen gegen unerwünschte
Werbung unberührt. Der Schutz der Empfänger von kommerziellen
Kommunikationen wird durch die neue Vorschrift aufgrund der höheren Transparenzanforderungen
and die Versender von kommerziellen Kommunikationen
mittels elektronischer Post verstärkt. Die grundsätzliche Erkennbarkeit des Absenders
an der Kopfzeile einer elektronischen Nachricht ist für den Empfänger bei
der Entscheidung, ob er die Email-Nachricht öffnen will von besonderer Bedeutung.
Aber auch für den Einsatz von Spamschutz-Programmen, die den Posteingang
nach Nachrichten anhand vom User festgelegter Parameter durchsuchen,
sind die Angaben zur Feststellung der Identität des Absenders von entscheidender
Bedeutung.
Verschleierung des Absenders liegt dann vor, wenn die Absenderangaben suggerieren,
die Mail kommt von einem anderen als dem tatsächlichen Absender (Bsp.
Mails die suggerieren, sie kommen von einer offiziellen Stelle oder aus dem
Freundeskreis des Empfängers). Verheimlichen der Absender-Informationen liegt
vor, wenn die Nachricht überhaupt keine Angaben zur Identität des Absenders
macht.

DFN
5
Trotz dieser neuen Regelungen bleibt jedoch abzuwarten, ob sich die Flut an
Spam-Mails verringern wird. Zum einen ist bereits fraglich, wer die Ordnungswidrigkeiten
feststellen und die Verantwortlichen ermitteln soll. Aufgrund der
Menge der im Umlauf befindlichen Spam-Mails wird es einen hohen finanziellen
und zeitlichen Aufwand darstellen, diese zu verfolgen. Des Weiteren bleibt abzuwarten,
ob sich Spammer wirklich von einer Geldbuße abschrecken lassen, die
gerade im Ausland schwer zu vollstrecken ist. Auch wenn der Großteil der Spam-
Mails aus dem Ausland kommt und damit eine Sanktionierung von Deutschland
aus in der Praxis kaum möglich sein wird, gilt es mit der neuen Regelung jedoch
ein Signal im Kampf gegen Spam zu setzen. Der neue Bußgeldtatbestand im TMG
soll eine bislang noch bestehende Regelungslücke schließen.
Neuer Datenschutz?
Auch aus datenschutzrechtlicher Sicht enthält das TMG Neuerungen. Die notwendige
Befugnis zur Auskunftserteilung über Bestands- und Nutzungsdaten war
bisher nur für Strafverfolgungsbehörden und Gerichte geregelt. Nach § 14 Abs. 2
TMG darf der Diensteanbieter nunmehr Auskunft über Bestandsdaten erteilen, soweit
dies für Zwecke der Strafverfolgung, zur Erfüllung der gesetzlichen Aufgaben
der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes
oder des Militärischen Abschirmdienstes oder zur Durchsetzung
der Rechte am geistigen Eigentum erforderlich ist. Durch diese neue Regelung
wird der Kreis der Behörden, an die Bestandsdaten übermittelt werden dürfen,
über den bisher vom TDDSG umfassten Kreis erweitert.
Ein ursprünglicher Entwurf des TMG enthielt sogar noch eine Regelung, die die
Möglichkeit vorsah, dass auch private Dritte und nicht nur Gerichte und Behörden,
die zum Zwecke der Strafverfolgung oder zur Gefahrenabwehr tätig werden, einen
Auskunftsanspruch haben. Danach durfte "nach Maßgabe der hierfür geltenden
Bestimmungen Auskunft über personenbezogene Daten an berechtigte Stellen
und Personen“ erteilt werden. So weit wollte der Gesetzgeber dann aber doch
nicht gehen.

DFN
6
Trotz der Neuerungen im datenschutzrechtlichen Bereich enthält das TMG keine
Lösung oder Klarstellung zu der Frage, ob der Bereich des Datenschutzrechts
abschließende Wirkung hat. Während teilweise das derzeitige TDDSG hinsichtlich
privater Auskunftsansprüche als abschließend angesehen wird, gibt es Stimmen,
die der Ansicht sind, neben dem TDDSG bestünde auch ein Auskunftsanspruch
nach dem allgemeinen Recht. Auch nach der Neufassung des Datenschutzes im
TMG wird es bei diesem Meinungsstreit bleiben. Eine diesbezügliche Klarstellung
enthalten die neuen Regeln nicht.
Dieser Überblick zeigt, dass das TMG nicht zu einer umfassenden Neuregelung
des Datenschutzrechts für Telemedien führt. Die Intention des Gesetzgebers
richtet sich allein auf den Vereinheitlichungsgedanken. Für grundlegende inhaltliche
Änderungen bestünde derzeit kein Anlass, so die Ausführungen in der Gesetzesbegründung.
Kritisiert wird teilweise, dass mit dem TMG kein konsistentes
Modell vorgelegt wird, das die fortschreitende Konvergenz der Technik mit einem
konvergenten Datenschutzrecht quittiere. Die Grundkonzeption des TMG sei nicht
geeignet, für bereits bestehende und zukünftig denkbare Telemediendienste das
datenschutzrechtliche Nutzerinteresse für die nähere Zukunft zu gewährleisten.
Denn bereits die geltende Rechtslage weise im Hinblick auf die datenschutzrechtlichen
Vorschriften für Teledienste einen über den TMG hinausgehenden
Novellierungsbedarf auf.
Anmerkung: Keine neuen Haftungsregeln
In punkto Haftungsregelung enthält das TMG keine Veränderungen. Insbesondere
durch den Rolex-Ricardo-Fall aus dem Jahre 2004 trat die Problematik der Mitstörerhaftung
auf 3 . In dem entsprechenden Urteil geht es um die Tragweite von
Unterlassungsansprüchen gegen Internetanbieter bei Markenrechtsverletzungen,
besonders hinsichtlich der Anforderung, wiederholte Rechtsverletzungen zu
verhindern. In diesem Zusammenhang wäre eine gesetzliche Klarstellung wünschenswert
gewesen. Obwohl der Gesetzgeber das Regelungsbedürfnis der Mit-
3 BGH, Urteil vom 11.3.2004, Az. I ZR 304/01, http://www.jurpc.de/rechtspr/20040265.htm

DFN
7
störerhaftung für Unterlassungsansprüche erkannt hat, lehnt er eine Regelung für
dieses Problemfeld ab. Zur Begründung für diese Entscheidung führt der Gesetzgeber
an, dass Änderungsüberlegungen im Bereich der Verantwortlichkeit einer
sorgfältigen Prüfung bedürfen, besonders wenn die berechtigten Interessen der
Rechteinhaber und der Diensteanbieter abgewogen werden müssen. Hier sei
vorrangig eine Regelung auf europäischer Ebene anzustreben. In diesem Zusammenhang
wird Mitte 2007 ein Evaluierungsbericht der Europäischen Kommission
erwartet.
Des Weiteren wäre auch eine gesetzliche Regelung zur Haftungsbeschränkung
für die Verweisung auf fremde Angebote durch die Setzung von Hyperlinks und
eine Haftung von Suchmaschinen wünschenswert gewesen. Denn gerade diese,
bislang nicht geregelten Situationen lassen sich nicht problemlos unter die vorhandenen
Regeln subsumieren. Es ist fraglich, ob einem Linksetzenden der
Sorgfaltsmaßstab auferlegt werden kann, den verlinkten Inhalt bis ins Detail prüfen
zu müssen. Vielmehr dürfte eine Prüfung auf evidente Rechtsverstöße genügen.
In diesem Bereich fehlen dem TMG jedoch eine Neuregelung und damit eine
Anpassung an den technischen Fortschritt.
Ende gut, alles gut?
Insgesamt führt das TMG bereits durch die Vereinheitlichung der Begrifflichkeiten
Teledienste und Mediendienste unter der Bezeichnung Telemedien und durch die
weitesgehende Aufhebung der föderal bedingten Aufspaltung aufgrund der
Ersetzung des TDG, des TDDSG und des MDStV durch das neue TMG zu einer
weitreichenden Vereinfachung. Ziel des TMG ist unter anderem, dass die
Rahmenbedingungen für den elektronischen Geschäftsverkehr mit Blick auf die
wirtschaftliche und technologische Entwicklung der neuen Dienste auch zukünftig
unabhängig vom Verbreitungsweg entwicklungsoffen ausgestaltet sind 4 . Diesen
Zweck, den rechtlichen Umgang mit neuen Medien zu vereinfachen, erreicht das
TMG jedoch nicht in allen Bereichen. Insbesondere in den Problemfeldern, die
4 Deutscher Bundestag, Gesetzesentwurfs, A. Problem und Ziel, BT Drucks. 16/3078 vom 23.10.2006.

DFN
8
bereits diskutiert werden und für die es Schwierigkeiten hinsichtlich der Anwendbarkeit
des geltenden Rechts gibt, wäre eine gesetzliche Regelung wünschenswert
gewesen.
Von Ass. jur. Kai Welp
Das umstrittene „Hacker-Tool“
Kabinett beschließt Gesetzesentwurf zur Bekämpfung der Computerkriminalität
Im September letzten Jahres hat die Bundesregierung einen Regierungsentwurf
eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität
vorgelegt. 5 Der Entwurf war Gegenstand scharfer öffentlicher Kritik. Insbesondere
der so genannte Hacker-Tool-Paragraph sorgte bei den betroffenen Kreisen für erhebliche
Verunsicherung. Nach dieser neu einzuführenden Vorschrift soll in Zukunft
der Handel mit Programmen, deren Zweck auch die Begehung einer
Computerstraftat sein kann, von der Norm des § 202c StGB-E – dem Vorbereiten
des Ausspähens und Abfangens von Daten – erfasst werden. Die Einführung
eines solchen Tatbestandes ist kriminalpolitisch äußerst bedenklich, zumal die
Sicherheit von Informationssystemen entscheidend von der freien Zugänglichkeit
solcher Programme abhängt. Allerdings wird häufig in der öffentlichen Kritik übersehen,
dass nicht jedes Verschaffen eines solchen „Hacking-Tools“ unter Strafe
steht. Der Entwurf enthält weitere subjektive Einschränkungen. Missverständnisse
traten auch im Bereich des § 202a StGB-E – dem Ausspähen von Daten – auf. In
der Berichterstattung war zu hören, dass nun erstmals auch das „Hacking“ unter
Strafe gestellt werde. Dies sorgte für Widerspruch, da das Zugangverschaffen zu
Informationssystemen auch eine Methode der Netzwerkanalyse darstellt.
Der vorliegende Beitrag soll helfen, bestehende Missverständnisse aufzuklären,
aber auch die kritikwürdigen Entwicklungen in der Gesetzgebung aufzuzeigen. In
diesem Zusammenhang ist darauf hinzuweisen, dass die Reform auf ein Überein-

DFN
9
kommen des Europarates aus dem Jahre 2001 zurückgeht, der so genannten
Cybercrime-Convention. 6 Diese zwingt den nationalen Gesetzgeber weitestgehend
zur Einführung der umstrittenen Vorschriften. Größere Änderungen des
Regierungsentwurfs sind aufgrund des Europarechts also nicht mehr zu erwarten.
Nichtsdestotrotz hat der nationale Gesetzgeber bei der Umsetzung einen Gestaltungsspielraum.
Im Rahmen dieses Gestaltungsspielraums sollen Verbesserungsmöglichkeiten
aufgezeigt werden.
Ausspähen von Daten - § 202a StGB-E
Nach derzeit geltendem Recht macht sich nach § 202a StGB wegen des Ausspähens
von Daten strafbar, wer sich Daten verschafft, die gegen unberechtigten
Zugang besonders gesichert sind. Die Vorschrift wurde bereits 1986 durch das
zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität in das Strafgesetzbuch
eingefügt. Durch den vorliegenden Entwurf wird sie leicht modifiziert; es soll in
Zukunft nämlich schon das Zugangverschaffen zu diesen Daten zur Verwirklichung
des Tatbestands ausreichend sein. Ein Verschaffen von Daten ist also
nicht mehr erforderlich. Die Strafbarkeitsschwelle wird damit geringfügig nach
vorne verlagert. Es sei aber vorwegenommen, dass diese Änderung der Vorschrift
in der Praxis kaum Auswirkungen haben wird. Faktisch ist es nämlich schon heute
so, dass das von dem Referentenentwurf geforderte Zugangverschaffen zu besonders
gesicherten Daten zur Verwirklichung des Tatbestands ausreicht und damit
faktisch dem Verschaffen von Daten gleichgestellt wird.
Ein Sich Verschaffen erfordert nach juristischer Definition die Übernahme der tatsächlichen
Verfügungsgewalt über die Daten. Dies ist im Bereich der Computerkriminalität
erst dann der Fall, wenn der Täter die etwa über das Internet aufgespürten
Daten von einem fremden Rechner herunterlädt. Überträgt man diesen
Grundsatz auf den bisher geltenden Straftatbestand, macht sich also nicht strafbar,
wer sich Zugang zu einem fremden Informationssystem verschafft ohne sich
5 Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität vom
20.9.2006, abrufbar unter: http://www.bmj.bund.de/media/archive/1317.pdf .

DFN
10
anschließend die entsprechenden Dateien herunterzuladen. Dies hat folgenden
Hintergrund.
Bei der Einführung der Vorschrift 1986 ging es dem Gesetzgeber in erster Linie
darum, Strafbarkeitslücken im Bereich der Computerspionage zu schließen. Das
bloße Eindringen in ein Computersystem sollte nach dem ausdrücklich erklärten
Willen des Gesetzgebers hingegen nicht strafbar sein. Man dachte insofern an
Jugendliche, die aus reiner Experimentierfreude in fremde Systeme eindringen;
diese sollten nicht überkriminalisiert werden. Die Rechtsprechung stellte dann
aber schnell fest, dass eine solche Trennung zwischen dem guten Hacker – dem
Whitehat –, der aus reiner Experimentierfreude handelt, und dem Datendieb –
dem Blackhat – aus Beweisgründen kaum durchzuführen ist. Auch hatte man die
Gefährlichkeit des Eindringens in fremde Informationssysteme unterschätzt. Um
die so entstehenden Strafbarkeitslücken zu schließen, dehnten die Gerichte den
Begriff des Verschaffens von Daten immer stärker aus. Heute versteht man
hierunter überwiegend jedes Zugangverschaffen bei Kenntnisnahme der Daten.
Der Unterschied zwischen der bisher geltenden Regelung und dem Entwurf besteht
also lediglich darin, dass in Zukunft ein Kenntnisverschaffen der Daten für
die Strafbarkeit nicht mehr erforderlich ist.
Das zweite Merkmal des Tatbestandes ist das Merkmal der besonderen Zugangssicherung.
Geschützt werden nicht alle Daten, sondern nur diejenigen, die besonders
gesichert sind. Insofern ist es bei der ursprünglichen Regelung geblieben,
die aber auch die größte Schwierigkeit bei der Auslegung des Tatbestandes darstellt.
Das Merkmal der besonderen Zugangssicherung ist zu unbestimmt. Nach
der Literatur liegt eine solche Zugangssicherung vor, wenn sie objektiv geeignet
ist, eine Kenntnisnahme durch Unberechtigte zu verhindern oder zu erschweren,
und nach dem Willen des Berechtigten auch dazu bestimmt ist. Außerdem muss
der Dateninhaber durch diese Sicherung sein besonderes Geheimhaltungsinteresse
dokumentiert haben. Damit sollen alle Fälle aus dem Anwendungs-
6 Convention on Cybercrime vom 23.11.2001, abrufbar unter:
http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.

DFN
11
bereich der Vorschrift ausgeschieden werden, bei denen die Durchbrechung des
Schutzes ohne erheblichen zeitlichen und technischen Aufwand möglich ist.
Bei Anwendung dieser Grundsätze wird eine Strafbarkeit nach § 202a StGB-E bei
einem Angriff über das Internet erst dann anzunehmen sein, wenn der entsprechende
Rechner durch eine Firewall gesichert ist; ein vollkommen ungeschützter
Rechner verfügt hingegen nicht über eine besondere Zugangssicherung.
Nicht erforderlich ist es jedoch, dass sämtliche Ports gesichert sind. Auch bei einer
unzureichenden Sicherung bedarf es eines gewissen zeitlichen Aufwandes, um
den Zugriff auf das System zu erlangen. Bei der so genannten URL-Manipulation,
bei der durch geschickte Veränderung der URL ein Zugriff auf nicht für die Öffentlichkeit
bestimmte Seiten möglicht ist, scheidet eine Strafbarkeit wegen Ausspähens
von Daten hingegen aus. Derartige Manipulationen bedürfen keines
größeren Aufwandes und sind im Ergebnis auf fehlerhafte Programmierung
zurückzuführen. Straflos bleibt auch das Port-Scanning, bei dem der Angreifer die
Ein- und Ausgänge eines Computers abtastet, um offene Zugänge auf dem
Zielrechner aufzuspüren. Gleiches gilt für die so genannten Ping-Scans, bei denen
festgestellt wird, ob der Inhaber einer bestimmten IP-Adresse zu einem
bestimmten Zeitpunkt online ist. Die Daten, die sich der Täter bei den genannten
Tätigkeiten verschafft, sind keine besonders gesicherten Daten. Sie befinden sich
außerhalb des durch die besondere Zugangssicherung geschützten Systems. Die
Systempenetration im Auftrag des Berechtigten bleibt ebenfalls weiterhin straflos.
Nur das unbefugte Zugangverschaffen wird von der Norm erfasst.
Die Neufassung der Vorschrift wird also im Ergebnis kaum zu Änderungen der
Rechtslage führen. Allerdings ist in Zukunft schon das Eindringen in ein fremdes
System ohne Kenntnisnahme der geschützten Daten strafbewehrt. Dies kann
unerwünschte Folgen haben. Von privaten Nutzern aufgedeckte Sicherheitslücken
werden in Zukunft in geringerem Maße in die Öffentlichkeit getragen werden, da
jederzeit mit einer Anzeige des Systeminhabers zu rechnen ist. Ein solches Strafverfolgungsinteresse
der Unternehmen besteht auch in der Regel, da so die für
die Systeminhaber unerwünschte öffentliche Diskussion der Sicherheitslücken

DFN
12
ihrer Systeme unterbunden werden kann. Dies mag rechtspolitisch unerfreulich
sein; die Einführung der Vorschrift ist jedoch europarechtlich vorgeschrieben.
Abfangen von Daten - § 202b StGB-E
Durch die Novelle neu eingeführt wird der Tatbestand des Abfangens von Daten -
§ 202b StGB-E. Von der Norm erfasst wird das unbefugte Verschaffen von Daten
aus einer nichtöffentlichen Datenübermittlung. § 202b StGB-E schützt damit
subsidiär zu § 202a StGB-E Daten während des Übermittlungsvorgangs. Im
Unterschied zum Tatbestand des Ausspähens von Daten setzt das Abfangen von
Daten das Vorliegen einer besonderen Zugangssicherung nicht voraus. Der
Gesetzgeber wollte hier nach geltendem Recht bestehende Strafbarkeitslücken
schließen. Das betrifft in erster Linie alternative Kommunikationsmöglichkeiten wie
Internet-Chats, Emails oder VoIP. Nach bisherigem Recht sind diese nicht
geschützt, da sie nicht über die nach § 202a StGB erforderliche Zugangssicherung
verfügen. Das so genannte Fremd-Sniffen bzw. das Mitschneiden von Netztraffic
ist also bei einer unverschlüsselten Übermittlung derzeit straflos. Dies führt im
Vergleich mit herkömmlichen Kommunikationsmitteln zu willkürlichen Ergebnissen.
Das Abhören fremder Telefongespräche mit technischen Mitteln wird von der
Norm des § 201 StGB – der Verletzung der Vertraulichkeit des Wortes – strafrechtlich
erfasst; das Mitschneiden der Kommunikation im Internet ist hingegen
straflos möglich. Eine solche Regelung wird der wachsenden Bedeutung alternativer
Kommunikationsmittel nicht mehr gerecht.
Problematisch an der neuen Regelung sind jedoch zwei Punkte. Die Vorschrift
kann zu einer Überkriminalisierung von Bagatellfällen führen. Gedacht ist an den
Fall des Wireless-Lans. Wer in Zukunft einen Laptop bei sich führt, der sich
aufgrund von Standardeinstellungen in ein offenes Netz einwählt, macht sich nach
§ 202b StGB-E strafbar. Er verschafft sich nämlich unbefugt Daten aus einer nichtöffentlichen
Kommunikation. Es ist zwar kaum zu erwarten, dass solche Fälle in
der Praxis tatsächlich zur Anzeige kommen. Die §§ 202a, b StGB-E sind als
Antragsdelikte ausgestaltet; eine Verfolgung setzt in der Regel den Strafantrag
des Geschädigten voraus. Ferner besteht aufgrund des geringen Interesses an

DFN
13
der Strafverfolgung die Möglichkeit einer Verfahrenseinstellung durch die Staatsanwaltschaft
nach § 153 StPO. Grundsätzlich jedoch ist die geschilderte Einwahl
in das Netz strafbar.
Um eine solche Überkriminalisierung von Bagatellfällen zu vermeiden, bieten sich
zwei Lösungsmöglichkeiten an.
1. Man könnte daran denken, auch für den Tatbestand des Abfangens von
Daten das Überwinden einer Zugangssicherung zu fordern. Das würde
jedoch dem erklärten Willen des Gesetzgebers, unverschlüsselte
Kommunikation im Internet zu schützen, zuwider laufen. Ferner stände eine
so gefasste Norm im Gegensatz zur Cybercrime-Convention, die eine
solche Einschränkung nicht vorsieht. Nach Europarecht kann der nationale
Gesetzgeber also das Merkmal der besonderen Zugangssicherung nicht in
den Tatbestand einfügen.
2. Ein gangbarer Weg wäre, den Tatbestand auf subjektiver Seite zu beschränken.
Man könnte nur solche Tathandlungen mit einbeziehen, die in
der Absicht vorgenommen werden, sich unbefugt Daten aus einer nichtöffentlichen
Kommunikation zu verschaffen. Juristisch wäre dann ein zielgerichteter
Erfolgswille erforderlich. Dem Täter müsste es also gerade
darauf ankommen, sich geschützte Daten zu verschaffen. Bei einer solchen
Fassung des Tatbestandes wäre eine Kriminalisierung von mehr oder
weniger zufälligen Zugriffen auf ungeschützte Netzwerke ausgeschlossen.
Das zweite Problem des Tatbestandes ist das Merkmal der nichtöffentlichen
Kommunikation. Es wird in der Literatur vertreten, bei der Kommunikation im
Internet – beispielsweise dem Email-Verkehr – läge öffentliche Kommunikation
vor. Begründet wird dies mit der besonderen Anfälligkeit des Internets. Aufgrund
seiner dezentralen Struktur ist das Mitschneiden und Abfangen von ausgetauschten
Nachrichten technisch ohne weiteres möglich. Hieraus wird gefolgert,
das Internet sei ein öffentliches Netz mit allgemeiner Teilnahmemöglichkeit; auch
sei die Kommunikation nicht durch das Fernmeldegeheimnis geschützt. Ein
solches Verständnis der Norm hätte zur Folge, dass entgegen dem eindeutig
artikulierten Willen des Gesetzgebers, alternative Kommunikationsmittel auch

DFN
14
nach der neuen Vorschrift des § 202b StGB-E nicht geschützt wären. Umgehen
könnte man das dargestellte Problem mit einer eindeutigen Definition der nichtöffentlichen
Kommunikation. Anbieten würde sich insofern, auf die vom Absender
getroffene Zweckbestimmung abzustellen, also die nichtöffentliche Kommunikation
als eine an einen begrenzten Kreis von Adressaten gerichtete Kommunikation zu
definieren.
Vorbereiten des Ausspähens und Abfangens von Daten - § 202c StGB-E
Neu eingeführt wird auch der Tatbestand des Vorbereitens des Ausspähens und
Abfangens von Daten - § 202c StGB-E - der so genannte Hacker-Tool-Paragraph.
Die Norm ist die wohl umstrittenste Vorschrift der Strafrechtsreform. Sie stellt
Handlungen unter Strafe, die sich weit im Vorfeld der §§ 202a, b StGB-E
abspielen. Strafbar macht sich nach § 202c Abs. 1 Nr. 2 StGB-E, wer eine Straftat
nach § 202a oder § 202b StGB-E vorbereitet, indem er Computerprogramme,
deren Zweck die Begehung einer solchen Tat ist, herstellt, sich verschafft oder
verbreitet.
Unklar ist schon, welche Software vom Regierungsentwurf erfasst wird. Die
betroffenen Programme sind in der Regel multifunktional, d.h. sie können sowohl
zur Begehung einer Straftat als auch zur Systemwartung, also zu erlaubten
Zwecken benutzt werden. Auch der Gesetzgeber war sich dieser Problematik bewusst.
In der Begründung zum Regierungsentwurf heißt es, durch die Fassung
des Tatbestandes sei sichergestellt, dass nur „Hacker-Tools“ und nicht allgemeine
Programmier-Tools betroffen seien. Maßgeblich sei insofern die objektive
Zweckbestimmung des Programms. Für die Eigenschaft als „Hacker-Tool“ sei es
aber ausreichend, wenn das Programm nicht ausschließlich für die Begehung
einer Straftat bestimmt sei, sondern die objektive Zweckbestimmung auch die
Begehung einer solchen Straftat erlaube. Im Ergebnis sind damit alle Programme
erfasst, die dazu geeignet sind, Straftaten nach § 202a oder § 202b StGB-E zu
begehen und die typischerweise von einem Teil der Nutzer auch dazu verwendet
werden. Dies wird ein Großteil der zur Systemwartung genutzten Software

DFN
15
betreffen. Hier irrt der Gesetzgeber, allgemeine Programmiertools werden sehr
wohl vom neuen Tatbestand erfasst.
Damit ist aber nicht generell die Verwendung derartiger Software zur Systemwartung
strafbewehrt. Hier besteht eines der größten Missverständnisse in der
öffentlichen Diskussion. Die Verwirklichung des Tatbestandes erfordert nach der
Neufassung neben dem Verschaffen des „Hacker-Tools“ auch die Vorbereitung
einer Straftat nach den §§ 202a, b StGB-E. Dies bedeutet, dass der Täter zum
Zeitpunkt der Tathandlung, also beim Verschaffen oder Überlassen der Computersoftware,
vorsätzlich hinsichtlich der Verwirklichung von § 202a oder § 202b StGB-
E handeln muss. Bereits zu diesem Zeitpunkt ist also das Bewusstsein einer
späteren Tatbegehung erforderlich. Unzureichend ist allerdings, dass der Gesetzgeber
hier die einfachste Form des Vorsatzes gewählt hat, den so genannten
dolus eventualis. Wird entsprechende Software im Handel verkauft, so ist es für
die Verwirklichung des Tatbestandes ausreichend, wenn der Verkäufer es für
möglich hält und billigend in Kauf nimmt, dass ein Dritter mit dem Programm
Straftaten nach § 202a oder § 202b StGB-E begehen wird. Hiervon wird aber in
der Regel auszugehen sein. Damit ist der Tatbestand deutlich zu weit gefasst. Zur
sinnvollen Begrenzung würde sich auch hier ein Abstellen auf die Vorsatzform der
Absicht anbieten. Der Täter müsste dann zum Zeitpunkt der Tathandlung den
zielgerichteten Erfolgswillen haben, eine Tat nach § 202a oder § 202b StGB-E zu
begehen. Eine solche Fassung des Tatbestandes würde der Überkriminalisierung
von Bagatellfällen entgegenwirken.
Insgesamt ist die Regelung jedoch kriminalpolitisch verfehlt. Es ist äußerst fraglich,
ob die Norm der Verbreitung von „Hacker-Tools“ entgegenwirken kann.
Derartige Software ist im Internet ständig verfügbar und damit jederzeit zugänglich.
Auf der anderen Seite ist vielmehr die Entstehung eines nationalen Wettbewerbsnachteils
bei der Herstellung sicherheitsrelevanter Software zu befürchten,
der zu einer Verminderung der Entwicklung und des Vertriebs führen
könnte, ohne dass eine signifikante Verminderung von Straftaten im Internet
eintritt. Damit werden Sicherheitsrisiken erst geschaffen.

DFN
16
Der Gesetzgeber sollte daher auf die Einführung der Vorschrift verzichten. Dies ist
europarechtlich zulässig, da die Cybercrime-Convention die Möglichkeit eines Vorbehalts
gegen die Regelung vorsieht. Es ist also den einzelnen Mitgliedsstaaten
selbst überlassen, ob sie derartige Vorbereitungshandlungen unter Strafe stellen.
Der Gesetzgeber sollte von dieser Möglichkeit aus den geschilderten kriminalpolitischen
Gründen Gebrauch machen.
Strafbarkeit des „Phishings“
An eine ausdrückliche Regelung der Strafbarkeit des „Phishings“ hat der Gesetzgeber
hingegen nicht gedacht. Nach § 202c Abs. 1 Nr. 1 StGB-E ist auch das
Verschaffen von Passwörtern oder sonstiger Sicherungscodes zur Vorbereitung
einer Straftat nach §§ 202a, b StGB-E tatbestandsmäßig. Ist der „Phisher“ erfolgreich
und erhält das Passwort, so wird er sich in Zukunft auch nach § 202c Abs. 1
Nr. 1 StGB-E strafbar machen. Dies entspricht annähernd der derzeitigen Rechtslage.
Nach geltendem Recht liegt zumindest dann eine Strafbarkeit wegen
Computerbetrugs vor, wenn die herausgegebenen Passwörter tatsächlich genutzt
werden. Anders ist das jedoch, wenn der „Phishing“-Versuch erfolglos bleibt. Das
reine Zusenden der „Phishing“-mail ist nach überwiegender Auffassung derzeit
straflos. Insofern besteht für das Gesetzesvorhaben noch Regelungsbedarf.
Rechtstechnisch könnte man eine Versuchsstrafbarkeit im Falle des § 202c Abs. 1
Nr. 1 StGB-E einführen. Dann wäre schon der Versuch des Verschaffens von
Passwörtern strafbar. Die Gesetzeslücke wäre geschlossen.