2002/04/25 Strafrechtsänderungsgesetz - nicht wirklich sicher
'Erfindung' neuer Computerstrafbestimmungen - Tatbestände unklar formuliert
Stellungnahme der ARGE DATEN zum Entwurf des BMJ (318.015/5-II.1/2002)
Im Rahmen der - vorauseilenden - Umsetzung des Cybercrime-Abkommens des Europarates und dem EU-Terror-Übereinkommen hat Österreich eine Fülle neuer Computerstrafbestimmungen regelrecht 'erfunden'.
Die Bestimmungen könnten als KidsCrime in die Strafrechtsgeschichte eingehen. Sie sind so diffus und unklar formuliert, daß zwar Schüler die im Computernetz herumbasteln unter Strafe gestellt werden können, professionelle Hacker aber nicht einmal vom Tatbild erfaßt werden.
Bisher existieren folgende Computerstraftatbestände: - § 126a StGB "Beschädigung von Daten oder Computersysteme" - § 148a StGB "Computerbetrug" und - § 51 DSG 2000 "Datenverwendung in Gewinn- oder Schädigungsabsicht" Trotz eher negativer Erfahrungen mit diesen Tatbeständen (bloß §126a hat in der kriminalistischen Praxis einige Relevanz gewonnen) soll durch eine Überfülle neuer Paragraphen legistischer Aktionismus einerseits und Gefährlichkeit der Online-Welt andererseits signalisiert werden.
Die bisherigen Comupterstrafbestimmungen wurden sehr selten eingesetzt und spielen bei den bekannten Deliktsfeldern der letzten Wochen (Stichwort: Kinderpornographie, Rechtsextremismus, Gewaltverherrlichung, Beleidigung, gefährliche Drohung, ...) überhaupt keine Rolle. Mit gutem Grund. Zu all diesen Bereichen existieren seit langem materielle Strafbestimmungen, die technik- und medienunabhängig bestimmte Verhaltensweisen unter Strafe stellen. Es könnte sicher im Einzelfall diskutiert werden, ob die Strafdrohungen angemessen sind, ob alle Straftatbestände nocht zeitgemäß sind und ob ein inhaltlicher Anpassungsbedarf besteht.
Die technik- und medienneutrale Definition von Straftaten schafft jedoch Rechtssicherheit. Potentielle Täter finden keine technischen Hintertürchen, die aufgrund der raschen technologischen Entwicklung von den Legisten übersehen wurden, Richter können sich auf den Inhalt, den Kern der Tat konzentrieren und müssen nicht technische Abwägungen machen oder durch Gutachter machen lassen und die Gesellschaft hat die Sicherheit, dass bei allem technischen Fortschritt der rechtliche Grundkonsens erhalten bleibt.
Was sind die neuen Cybercrime-Bestimmungen?
§ 118a Widerrechtlicher Zugriff auf ein Computersystem '(1) Wer sich zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen widerrechtlich Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen überwindet, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.'
Klingt gut. Klingt vernünftig. Bisher war 'reines' Hacken, d.h. der Zugriff auf Computersysteme, ohne Beschädigungsabsicht, ohne Beschaffung personenbezogner Daten oder Auspähung von Betriebs-/Amtsgeheimnissen straffrei. Mit gutem Grund. Auch das bloße Drücken an einer Türklinke um zu sehen, ob eine Tür verschlossen ist, ohne Absicht in ein Haus einzudringen oder etwas zu entfernen, ist straffrei.
Diese neue Bestimmung schafft ein Hackerdelikt, der Teufel steckt im Detail. Unter Strafe steht bloß jemand, der eine spezifische Sicherheitseinrichtung, etwa ein Paßwortsystem überwindet. Professionelle Hacker versuchen jedoch Systemlücken zu finden, die nicht spezifisch geschützt sind, etwa bisher unentdeckte oder durch den Betreiber unbehobene Bugs im Betriebssystem. D.h. sie suchen jene Stellen, die keinen spezifischen Schutz aufweisen und sind damit nach dieser Bestimmung wieder straffrei. Übrig bleiben nur die naiven Cyberkids, die sich vor einem abgesicherten Computer mit dem endlosen Eingeben von Benutzercodes abplagen. --> Kommentar der beamteten Sachreferenten: keiner
Es geht aber noch weiter:
Absatz 2 definiert die Systeme, die geschützt sind: 'Unter einem Computersystem sind sowohl einzelne als auch miteinander vernetzte oder auf andere Weise verbundene Vorrichtungen zu verstehen, die der automationsunterstützten Datenverarbeitung dienen.' Übersehen wurde, daß alle Telekommunikationssysteme längst Computersysteme sind und daher auch hackbar sind, aber nicht in diese Bestimmung fallen. --> Kommentar der beamteten Sachreferenten: keiner
§ 126a. Beschädigung von Daten oder Computersystemen Der bestehende Paragraph soll um den Absatz 2 ergänzt werden: '(2) Wer die Funktionsfähigkeit eines Computersystems (§ 118a Abs. 2), über das er nicht oder nicht allein verfügen darf, in erheblichem Ausmaß dadurch stört, dass er Daten eingibt, übermittelt, löscht, verändert oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.' Wieder eine Formulierung, die nach mehr klingt, als sie tatsächlich hält. Der Blick in die Erläuterungen macht die Konfusion der Legisten deutlich. Ein IT-Fachmann würde meinen, diese Bestimmung sollte sog. DoS-Attacken (Denial-of-Service-Attacks) pönalisieren. Weit gefehlt! Die Legisten dachten gemäß Erläuterungen an: "Computerviren, Spamming, Trojaner". Eine eigentümliche Troika. Nun gibt es kaum einen "Spammer" der Spam-Mails mit dem Vorsatz der Datenbeschädigung verschickt. Spamming ist eher als soziales und wettbewerbsrechtliches Problem einzustufen. Spammer wollen ja ihre Produkte verkaufen oder Fremdpersonen mit bestimmten ideologischen Inhalten versorgen, Schädigungsabsicht liegt nicht vor und wird daher auch nicht von dieser Bestimmung erfaßt. Computerviren und Trojaner sind dagegen Programme bzw. Programmteile, die der rechtmäßige Inhaber des Computersystems selbst mit anderer Software mitinstalliert, auf diese Person wird die Bestimmung nicht anwendbar sein. Das eigentliche Problem der letzten Jahre, die 'Würmer' werden weder durch den Gesetzestext, noch durch die Erläuterungen angesprochen. Reichlich peinlich für die Legisten.
Um die bisher genannten Taten ausführen zu können, werden Werkzeuge benötigt, vergleichbar dem Einbrecher, der erst mit Nachschlüssel, Taschenlampe und Brecheisen ausgestattet, "effizent" ans Werk gehen kann. Daher wurde die neue Werkzeug-Bestimmung '§ 126b. Missbrauch von Computerprogrammen oder Zugangsdaten' vorgeschlagen. Die Herstellung von Computerprogrammen, '[die] hauptsächlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119) oder einer Beschädigung von Daten oder Computersystemen (§ 126a) geschaffen oder adaptiert worden [sind]', soll unter Strafe gestellt werden. Klingt abschreckend, geht jedoch an der Sache vorbei. Jedes Cracker-, Scanner- und Intruder-System kann genutzt werden, die Sicherheit seines eigenen Systems zu prüfen oder die Sicherheitslücken eines Fremdsystems aufzudecken. Oder umgekehrt. Abgesehen von bestimmten, taxativ aufgezählten 'verbotenen Waffen' und sonstigen Stoffen, findet sich bei keinem anderen Straftatbestand ein vergleichbares Werkzeugdelikt. Wer produziert schon Füllfedern, die "hauptsächlich" zum Scheckbetrug eingesetzt werden?
§ 119. Verletzung des Telekommunikationsgeheimnisses Hier sollte bloß die TKG-Bestimmung (§88) ins Strafgesetzbuch übertragen werden. Nicht einmal das ist geglückt. Es wird zwar das 'abhören, aufzeichnen, abfangen oder sonst überwachen' unter Strafe gestellt, nicht jedoch das wesentlich häufigere und immer weiter verbreitete "Mithören', wie im TKG. Ob das nun zum "sonst überwachen" gehört oder doch legal sein soll, bleibt im Dunkeln. Welche Daten tatsächlich geschützt werden sollen, bleibt ebenfalls unklar. Angesprochen wird die "Nachricht", die geschützt ist. Dies suggeriert, daß es sich um den Inhalt von Gesprächen oder übertragenen Informtionen handelt, tatsächlich gewinnen die Vermittlungs-, Bewegungs- und Ortsdaten immer mehr an Bedeutung und sind immer öfter Ziel von Lauschangriffen. Statt den gesamten Angriff auf Kommunikationsfreiheit unter Strafe zu stellen, werden Teilaspekte herausgepickt.
Bleibt noch Bestimmung §225a Fälschung von Computerdaten: 'Wer durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten (§ 126a Abs. 3) mit dem Vorsatz herstellt oder echte Daten (§ 126a Abs. 3) mit dem Vorsatz verfälscht, dass sie im Rechtsverkehr zum Beweis eines Rechtes, eines Rechtsverhältnisses oder einer Tatsache gebraucht werden, ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.' Offenbar dem Straftatbestand Urkundenfälschung nachgebildetes Delikt, dass im Zusammenhang mit Signaturlösungen bedeutsam sein könnte. Wesentlich intelligenter wäre es, elektronisch signierte Dokumente anderen Urkunden gleich zu stellen, damit wäre der Tatbestand Urkundenfälschung darauf anwendbar, anstatt immer neue legistische Teillösungen um technische Entwicklungen herum zu basteln.
Hans G. Zeger, Mitglied des Datenschutzrates: "Zum Boulevardthema 'Cybercrime' besteht derzeit keinerlei Handlungsbedarf. Das Europaratsabkommen wurde noch von keinem einzigen Staat der Welt ratifiziert, gegen das EU-Terror-Übereinkommen hatten zuletzt Irland, Schweden und Dänemark erhebliche Vorbehalte angemeldet. Es ist weder ausformuliert, noch unterzeichnet, geschweige den ratifiziert oder es bestünde Zeitdruck in der Umsetzung."
Weniger wäre im wahrsten Sinn des Wortes mehr. Statt durch sachlich nebulose Werkzeug-Bestimmungen bei rechtmäßig handelnden Personen Verunsicherung und Unklarheit zu schaffen, ohne Kriminelle abzuschrecken, sollten für die Aufklärung tatsächlicher Straftaten, Beamte weiter und mehr im Umgang mit neuen Techniken geschult werden.
Tatsächlich sollte die derzeitige Diskussion dazu genutzt werden, realistische Bedrohungsszenarien zu identifizieren und gezielt zu regeln. Der bisherige Entwurf regelt nicht die in den Erläuterungen ausgführten Szenarien und reicht bloß aus, Schülerstreiche zu kriminalisieren.
Es stünde den Legisten wohl an, sich mit einer Materie die sie regeln wollen, soweit technisch und materiell auseinander zu setzen, daß sie die Hauptprobleme auch tatsächlich verstehen.
Böhmdorfers Pseudoaktionismus bringt keinerlei zusätzliche Rechtsicherheit und verschafft bloß Gerichten und Anwälten neue Betätigungsfelder. Vielleicht ist das auch das geheime Anliegen dieses Entwurfes?
|
