Inhalt SONDERAUSGABE CYBERCRIME & CYBERJUSTICE ... - ZIS

Weitere Magazine

Empfehlungen

Info

Analogie und Verhaltensnorm im Computerstrafrecht_____________________________________________________________________________________Ob man statt an rechtliche Normen anzuknüpfen im Strafrechtebenso auf leges artis zurückgreifen dürfte, muss hiernicht geklärt werden, denn es gibt nicht einmal unter Expertenstabile Konventionen darüber, was erlaubt ist und wasnicht. Insbesondere in RFCs (den „requests for comments“,die maßgeblich technische Spezifikationen und intendierteNutzungen beschreiben) geht es typischerweise darum, durchKonventionen technische Möglichkeiten zu schaffen, abernicht deren Nutzung vom Missbrauch abzugrenzen. Sobaldauch technische Laien involviert sind, kann von stabilen Konventionenerst recht keine Rede mehr sein.§ 303a StGB als akzessorische Norm aufzufassen, wäredaher illusionär. Damit bleibt als letzte Möglichkeit, § 303aStGB in einem Einverständnismodell zu rekonstruieren. Dazumüssen die bislang vorhandenen Ansätze zu einem Datenrechtnur so weit reichen, dass sie die nötige Bestimmung derzur Einverständniserklärung befugten Person und ihrer Kompetenzenliefern.d) Für ein Einverständnis maßgebliche Person?Daten lassen sich nicht so eindeutig einem Inhaber zuordnen,wie das Sachenrecht Sachen einem Eigentümer zuordnet. Dasliegt in ihrer Natur: Interesse besteht regelmäßig an ihrerNutzung, die aber ganz anders als bei Sachen in keiner Weiseausschließlich sein muss, denn parallele Zugriffe bzw. dasAnfertigen von Kopien sind technisch viel unproblematischerals bei Sachen. Unabhängig davon besteht ggf. ein selbständigesInteresse an der Geheimhaltung der Daten, am Ausschlussbestimmter Nutzungen oder Nutzer und u.U. gar einAnspruch auf Löschung oder Änderung. 46 Solche Interessenliegen aber regelmäßig im Inhalt der Daten begründet, sindunabhängig von Zugriffsmöglichkeiten auf die Daten undstehen der Schutzrichtung des § 303a StGB (der den Erhaltund die Verfügbarkeit der Daten schützt) diametral entgegen.47 Aus „datenrechtlicher“ Perspektive gibt es also keinerleiAnlass, einer Person eine Inhaberstellung zuzuweisen. 48Hier zeigt sich, dass das Datenrecht keineswegs nur nochnicht so weit entwickelt ist, dass es die Inhaberschaft klärenwürde; vielmehr ist gar nicht damit zu rechnen, dass es sichjemals um die Bestimmung eines Inhabers bemühen wird.Wenn im Strafrecht überlegt wird, ob man als Inhaber denEigentümer des Datenspeichers bzw. den Betreiber der Anlage,49 denjenigen, „der die Daten in einem ‚Skripturakt‘ er-46 Näher z.B. Meinhardt (Fn. 3), S. 152 ff.47 Vgl. Wieck-Noodt (Fn. 22), § 303a Rn. 4; Kindhäuser,Strafrecht, Besonderer Teil, Bd. 2, 6. Aufl. 2011, § 24 Rn. 10.Gleichwohl wurde in BT-Drs. 10/5058, S. 34 auch auf sie abgestellt.48 Dies und nicht die Komplexität der Rechtsbeziehungen isthier der entscheidende Unterschied. Auch an Sachen könnenzahlreiche Rechte verschiedener Personen bestehen, die sichgrößtenteils aus dem Eigentum herleiten. Ein entsprechendesRechtsinstitut, welches bei Daten im Zentrum entsprechenderRechtsgeflechte stehen würde, wäre wegen ihres besonderenNaturells aber nicht sinnvoll.49 Vgl. zu diesen (oft nicht einmal unterschiedenen) Varianten§ 62 S. 2 des Explanatory Reports zur Cybercrime-Conzeugt,also ihre Speicherung selbst unmittelbar bewirkt hat“, 50den Auftraggeber der Speicherung 51 etc. ansehen sollte, verkenntdas grundlegende Besonderheiten von Daten. Gesuchtwird derjenige, der dem Eigentümer einer Sache am bestenentspricht. Aus den angegebenen Gründen ist das aber eineSuche nach einem Phantom.„Datenrechtlich“ ist keine Inhaberschaft, sondern nur dieZuweisung jeweils spezieller Rechte und Pflichten sinnvoll.Diese sind regelmäßig nicht in einer Person und oft nicht einmalin einem für Einwilligungsfragen hinreichend überschaubarenPersonenkreis konzentriert. Auch das Herausgreifenbestimmter Rechtsbeziehungen führt nicht weiter: Stellt mannur auf Nutzungsrechte 52 oder das Interesse an der Unversehrtheitder Daten 53 ab, ergibt sich eine insbesondere Datenschutzansprüchenzuwiderlaufende Schutzrichtung, sobaldman aber auch im Inhalt der Daten begründete Rechte einbezieht,wird der Tatbestand überdehnt.Die Bestimmung eines „Inhabers“ der Daten kann nur inden besonders einfachen Ausnahmefällen gelingen, 54 in denensich zufälligerweise alle betroffenen Interessen in einerPerson bündeln, etwa eine Privatperson eigene private Datenauf einem eigenen Rechner ablegt und der grundsätzlich ohneBeziehung dazu stehende Täter diese Daten löscht. Die Bemühungen,„Fallgruppen“ für die „Fremdheit der Daten“ zubilden und den Tatbestand so zu konturieren, 55 verfolgen deshalbkeinen überzeugenden Ansatz. § 303a StGB ist primärals Wirtschaftsstrafrecht gedacht und müsste auch in wesentlichkomplexeren Fallgestaltungen handhabbar bleiben. DieFrage nach der Inhaberschaft ist nicht nur bislang umstritten,sondern unentscheidbar und das Einwilligungsmodell strukturellungeeignet, um die Komplexität der sedes materiae zuerfassen.Beispiel 3: Heute sieht ein realistisches Szenario z.B. soaus, dass ein Unternehmen (A) standardisierte Online-Shops für seine Kunden entgeltlich hostet (d.h. grds. aufeigenem Server zum Abruf durch Nutzer bereit hält) undderen Daten gegen Bezahlung teilweise auf Cloud Storage(über das Internet ansprechbaren Speicherplatz) eines anderenAnbieters (B) auslagert. Dessen Speichermedienvention; Stree/Hecker, in: Schönke/Schröder, Strafgesetzbuch,Kommentar, 28. Aufl. 2010, § 303a Rn. 3 m.w.N.50 BayObLG JR 1994, 476 (477) m. Anm. Hilgendorf. Dabeistützt sich das Gericht auf Welp, IuR 1988, 443 (447 f.), derselbst bemerkt: „Für diese Annahme spricht – in Ermangelungaller normativen Vorgaben – nichts weiter als eine gewissePlausibilität“ (unter eingehender Erörterung entsprechendMeinhardt [Fn. 3], S. 119-166), und auch letztere erweistPopp, JuS 2011, 385 (388), als Täuschung.51 Vgl. auch dazu Popp, JuS 2011, 385 (388 f.).52 So etwa Hoyer, in: Rudolphi u.a. (Hrsg.), SystematischerKommentar zum Strafgesetzbuch, 119. Lfg., Stand: September2009, § 303a Rn. 5 f.53 Weber (Fn. 3), § 12 Rn. 48.54 Vgl. Tolksdorf (Fn. 3), § 303a Rn. 12-13.55 Fischer (Fn. 29), § 303a Rn. 5 ff.; ausf. Marberth-Kubicki,Computer- und Internetstrafrecht, 2. Aufl. 2010, Rn. 128-136._____________________________________________________________________________________Zeitschrift für Internationale Strafrechtsdogmatik – www.zis-online.com451
Jan C. Schuhr_____________________________________________________________________________________sind als Kreditsicherheit übereignet (an C). Um Speicherplatzund damit Kosten zu sparen, möchte A nun großeDateien seiner Kunden komprimieren. Seine Kunden, diedie Daten als Teil ihrer Onlineshops in das System des A(und damit zugleich das des B bzw. C) eingespielt haben,würden dabei keine Daten verlieren, denn die Kompressionwürde A nur mit einem verlustlos arbeitenden Algorithmusdurchführen. Freilich wird das Speicherabbild derDatei (also Daten) verändert. Daran haben die Kundennicht nur kein Interesse, es stört sie sogar, denn der Zugriffauf die Online-Shops könnte langsamer werden (weildie Dekompression jeweils Rechenleistung erfordert).Auch B, in dessen System die Daten liegen, und C habenInteresse daran, dass die Daten nicht komprimiert werden,weil sie ihre Einnahmen erhalten wollen (was wiederumnur mittelbaren Bezug zu den Daten hat).Hier gibt es nicht den Betreiber bzw. Eigentümer des Computersystemsund nicht den Inhaber der Daten. Jeder der Beteiligtenhat diese Rollen in jeweils einer gewissen Hinsichtinne. Ein solchermaßen „mehrschichtiger“ Aufbau eines Computersystemsist heute keine seltene Sondersituation, sondernin der Wirtschaft sehr üblich. So oder so ähnlich sind vieleOnlineshops, Webmail-Angebote, soziale Netzwerke, Mailbox-Systeme,Lernplattformen etc. konstruiert.In Fällen wie Beispiel 3 Strafbarkeitsrisiken zu schaffen,wird weder der Situation gerecht, noch entspricht es der intendiertenSchutzrichtung des § 303a StGB. Ob A sein Systemum eine Kompressions-Komponente erweitern darf odernicht, muss in den zivilrechtlichen Vertragsbeziehungengeklärt werden, und auf Verstöße kann ggf. mit Sekundäransprüchenreagiert werden. § 303a StGB erfasst den Fall abergrundsätzlich, und das Merkmal „rechtswidrig“ vermag ihnnicht eindeutig aus dem Tatbestand auszugrenzen.Tatsächlich wird § 303a StGB von Gerichten auch bereitsauf computerbezogene Vertragsverletzungen angewendet. DasEntfernen eines Net-Locks bzw. SIM-Locks – d.h. das Aufhebeneiner Programmsperre, die es verhindert, ein von Netzbetreibernan ihre Kunden subventioniert verkauftes Handyvertragswidrig in Netzen der Konkurrenz zu verwenden –wurde bereits nach § 303a Abs. 1 StGB abgeurteilt. 56 DasHandy und die betroffenen Datenträger standen längst imEigentum des Käufers. Die Veränderung der Daten beseitigtenur eine Funktionseinschränkung des Computersystems imHandy. Die Verurteilung nach § 303a Abs. 1 StGB sanktioniertalso die Verletzung einer vertraglichen und ggf. urheberrechtlichenPflicht 57 des „Handybesitzers“, die Funktionsbeeinträchtigungseines Eigentums und lizensierter Programmezu dulden. Das ist zur Sachbeschädigung nicht nur nichtmehr analog, sondern läuft direkt konträr, denn der (mit seinemeigenen Verhalten stets einverstandene) Eigentümer und„Inhaber“ (inkl. seiner Helfer) wird bestraft.56 AG Nürtingen MMR 2011, 121; AG Göttingen MMR 2011,626 m. abl. Anm. Neubauer. Abl. auch Stree/Hecker (Fn. 49),§ 303a Rn. 3 m.w.N.57 I.d.S. auch Wolff (Fn. 4), § 303a Rn. 2, 10 ff.Auf diese Weise werden die ausdifferenzierten gesetzgeberischenEntscheidungen über die Sanktionierung von Urheberrechtsverstößendurch Haftung, Bebußung oder – nur inbesonderen Fällen – Bestrafung missachtet und Vertrags- undStrafrecht vermengt. 58 Das hat beträchtliche Konsequenzen.Beziehungen zwischen Unternehmen und ihren Kunden werdenregelmäßig durch Daten abgebildet und gesteuert, die ineinem Computersystem hinterlegt sind. Von ihnen hängt esab, welche Leistungen der Kunde tatsächlich erhält. Ihre Änderungbetrifft also regelmäßig berechtigte und meist sogarvertragsgegenständliche Interessen. Auf der Basis der SIM-Lock-Entscheidungen läuft jeder Mitarbeiter eines Unternehmens,wenn er Eintragungen in die Unternehmens-EDV tätigt,die den vertraglichen Ansprüchen eines Kunden nichtgerecht werden, – selbst wenn er dabei den internen Vorgabenentsprechend handelt – Gefahr, nach § 303a Abs. 1 StGBbestraft zu werden.e) Inhalt möglicher Einverständniserklärungen?aa) In den obigen Beispielen 1 und 2 (der Ampel und derVideoüberwachung) scheint zunächst alles für eine Lösung imEinverständnismodell zu sprechen. Vertragliche und urheberrechtlicheBeziehungen spielen in diesen Beispielen keineRolle. Der Betreiber der Ampel bzw. der Kamera erscheintunproblematisch als „Inhaber“ der Daten. Er hat sich durchden Betrieb der Geräte konkludent mit ihrer ordnungsgemäßenBeeinflussung durch Dritte (Drücken des Knopfes, Gehenvor der Kamera) einverstanden erklärt, nicht aber mitmanipulativem Verhalten. In den Varianten dieser Fälle manipuliertder Täter aber gerade Systemfunktionen. Das Einverständnisscheint zumindest hier erlaubtes von unerlaubtemVerhalten abzugrenzen, also die nötige Verhaltensregel zuliefern.Ein Einverständnis kann nach ganz herrschender Ansichtaber nicht mit beliebigen Einschränkungen versehen werden.Vielmehr muss sich zur Tatzeit anhand der einem fiktivenBeobachter verfügbaren Informationen beurteilen lassen, obdas Verhalten des Täters der Einschränkung unterfällt odernicht. So kann ein Supermarktbetreiber, der sein Geschäftdem Publikum öffnet, Personen mit Diebstahlsabsichten nichtwirksam davon ausnehmen. 59 Die Einschränkung seines Einverständnisseswürde nur an Tatsachen anknüpfen, die beimBetreten des Geschäfts (also in der Tatsituation) nicht erkennbarsind (nämlich innere Tatsachen, ggf. Sonderwissenund ggf. entfernte Umstände wie Vorbereitungshandlungen desDiebes). Das aber ist unzulässig; Diebstahlsabsichten machendas Betreten nicht zu einem Hausfriedensbruch.Ebenso ist das in den Beispielsfällen. In Beispiel 1 ist dasDrücken des Knopfes vom Einverständnis gedeckt. Solangees nicht in den Knopf beschädigende Gewalt ausartet, darfman den Knopf auch rhythmisch mehrfach drücken. Dass der58 Diese Vermengung hat bislang v.a. in der Diskussion umdie unbefugte Verwendung von Daten nach § 263a Abs. 1StGB viel Aufmerksamkeit und Kritik erfahren. Vgl. dazuMühlbauer, wistra 2003, 244 (247) m.w.N.59 Vgl. Fahl, in: Satzger/Schmitt/Widmaier (Hrsg.), Strafgesetzbuch,Kommentar, 2009, § 123 Rn. 7 m.w.N._____________________________________________________________________________________452ZIS 8-9/2012
Seite 4 und 5:
Strafbarkeit von Glücksspielen, Sp
Seite 7 und 8: Martin Heger_______________________
Seite 9 und 10: Arbeitnehmerüberwachung und Compli
Seite 11 und 12: Jörg Eisele_______________________
Seite 17 und 18: Sebastian Hoffmanns________________
Seite 23 und 24: Alexander Seidl____________________
Seite 33 und 34: Mesut S. Ҫekin____________________
Seite 39 und 40: Mustafa Temmuz Oğlakcıoğlu______
Seite 49 und 50: Jan C. Schuhr______________________
Seite 57: Jan C. Schuhr______________________
Seite 65 und 66: Einseitiges Strafanwendungsrecht un
Seite 67 und 68: Liane Wörner______________________
Seite 73 und 74: Steuerstrafrecht als Cybercrime!Zwi
Seite 75 und 76: Bernd Groß________________________
Seite 77 und 78: Felix Rettenmaier/Lisa Palm________
Seite 79 und 80: Felix Rettenmaier/Lisa Palm________
Seite 81 und 82: Der „Grundsatz der Verfügbarkeit
Seite 83 und 84: Dominik Brodowski__________________
Seite 85 und 86: Dominik Brodowski__________________
Seite 87 und 88: Informationstechnologische Herausfo
Seite 89 und 90: Joachim Vogel______________________
Seite 91 und 92: Joachim Vogel______________________
Alle anzeigen

Inhalt SONDERAUSGABE CYBERCRIME & CYBERJUSTICE ... - ZIS

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?