IT-Strafrecht: Zur Auslegung von § 202c Abs. 1 Nr. 2 StGB

Mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der
Computerkriminalität wurde § 202c in das Strafgesetzbuch eingefügt. Nach
Abs. 1 Nr. 2 dieser Vorschrift wird mit Freiheitsstrafe bis zu einem
Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a
(Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet,
indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat
ist, herstellt, sich oder einem anderen verschafft, verkauft, einem
anderen überlässt, verbreitet oder sonst zugänglich macht. Die
Vorschrift geht auf das Übereinkommen des Europarates über
Computerkriminalität (Convention on Cybercrime) vom 23. November 2001
zurück.

Auf Grund einer Verfassungsbeschwerde konnte sich das BVerfG nun zur Auslegung des §202c StGB äußern und klären, dass Dual-Use-Tools hiervon grundsätzlich nicht erfasst sind.

Die drei Beschwerdeführer üben verschiedene Tätigkeiten im Umgang mit
Programmen aus, die nach ihrer Auffassung von der Vorschrift des § 202c
StGB erfasst werden:

Der Beschwerdeführer zu 1) ist in einem Unternehmen tätig, das
Dienstleistungen im Bereich der Sicherheit von Informations- und
Kommunikationstechnologien anbietet und in diesem Rahmen nicht
autorisierte Zugriffsversuche simuliert. Hierbei kommen zum einen so
genannte dual use tools zum Einsatz; das sind Programme, die sowohl vom
berechtigten Nutzer eines Computersystems zu dessen bestimmungsgemäßer
Wartung und Pflege als auch ohne oder gegen den Willen des Berechtigten
zum Zwecke des Ausspähens von Schwachstellen verwendet werden können.
Verwendet werden aber auch Programme, bei denen zu vermuten ist, dass es
sich um so genannte malware oder Schadsoftware handelt, also Software,
die von ihren Urhebern zum Zwecke des illegalen Eindringens in
EDV-Systeme konzipiert wurde. Der Beschwerdeführer zu 2) ist in der
akademischen Lehre tätig und macht seinen Studenten zu Lehrzwecken
regelmäßig Programme zugänglich, die sowohl zum Zweck der
Sicherheitsanalyse, als auch für Zwecke des unerlaubten Zugangs zu
fremden Rechnern und Netzwerken eingesetzt werden können. Der
Beschwerdeführer zu 3) setzt im Rahmen der Nutzung des
Computerbetriebssystems Linux ebenfalls derartige Programmkomponenten
ein.

Die 2. Kammer des Zweiten Senats hat die unmittelbar gegen die
gesetzliche Vorschrift des § 202c StGB erhobenen Verfassungsbeschwerden
der drei Beschwerdeführer nicht zur Entscheidung angenommen, weil sie
unzulässig sind. Die Beschwerdeführer werden von der Strafvorschrift
nicht unmittelbar betroffen.

Der Entscheidung liegen im Wesentlichen folgende Erwägungen zugrunde:

Nach der ständigen Rechtsprechung des Bundesverfassungsgerichts setzt
die Zulässigkeit einer Verfassungsbeschwerde unmittelbar gegen ein
Gesetz voraus, dass der Beschwerdeführer selbst, gegenwärtig und
unmittelbar durch die angegriffenen Rechtsnormen in seinen Grundrechten
betroffen ist. Das wäre z.B. dann der Fall, wenn der Beschwerdeführer
zunächst das Risiko eines Bußgeld- oder Strafverfahrens eingehen müsste,
um Rechtsschutz vor den Fachgerichten erwirken zu können. Auf der
Grundlage des Vorbringens der Beschwerdeführer lässt sich aber nicht
feststellen, dass die von ihnen beschriebenen Tätigkeitsfelder von §
202c Abs. 1 StGB erfasst werden. Das Risiko strafrechtlicher Verfolgung
ist mithin nicht gegeben.

Die von den Beschwerdeführern eingesetzten Programme sind überwiegend
keine tauglichen Tatobjekte der Strafvorschrift in den Grenzen ihrer
verfassungsrechtlich zulässigen Auslegung. Tatobjekt in diesem Sinn kann
nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach
§ 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten)
gerichtet ist. Das Programm muss mit der Absicht entwickelt oder
modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten
einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert
haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass
ein Programm – wie das für das so genannte dual use tools gilt – für die
Begehung der genannten Computerstraftaten lediglich geeignet oder auch
besonders geeignet ist.

Soweit der Beschwerdeführer zu 1) auch Schadsoftware einsetzt, die ein
taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen
kann, fehlt dem Beschwerdeführer jedenfalls der zusätzlich erforderliche
Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da
das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und
somit im Einverständnis mit den über die überprüften Computersysteme
Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des
„unbefugten“ Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr
liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem
insofern eindeutigen und durch die Entstehungsgeschichte wie die
einschlägige Bestimmung des Übereinkommens des Europarats über
Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB
grundsätzlich auch Schadprogramme, deren objektiver Zweck in der
Begehung von Computerstraftaten liegt, beschafft oder weitergegeben
werden. Ein Strafbarkeitsrisiko entsteht hier erst, sobald die
betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder
anderweitig auch Personen zugänglich gemacht werden, von deren
Vertrauenswürdigkeit nicht ausgegangen werden kann.