Keine unmittelbare Betroffenheit von Hackern in ihrer Berufsfreiheit durch Strafbarkeit des Vorbereitens des Ausspähens und Abfangens von Daten nach § 202c StGB

Haftungsbegründendes Verhalten

Die Verwendung von bestimmten Programmierer-Tools zur Penetration von Computersicherheitssystemen ist auch nach § 202 c StGB nicht strafbar, wenn die Penetration auftragsgemäß stattfindet

Technische Umstände

Sog. „dual-use“ Programme können sowohl gutwillig als auch für kriminelle Zwecke eingesetzt werden

Persönliche Umstände

Insbesondere ist die Intention der Programm-Nutzer entscheidend, diese nicht zur unberechtigten Penetration fremder Computersysteme zu verwenden

Möglichkeiten der Haftungsvermeidung

Eine Haftung nach § 202 c StGB kann entstehen, wenn Programmierer-Tools zur Vorbereitung einer Computerstraftat eingesetzt werden

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Mit Inkrafttreten am 11. August 2007 wurde § 202c StGB eingefügt. § 202c StGB stellt die Vorbereitung des Ausspähens und Abfangens von Daten unter Strafe. Die Änderungen beruhten auf europarechtlichen Vorgaben. Bereits in der Stellungnahme des Bundestags war angezweifelt worden, ob der Wortlaut der Norm ausreichend berücksichtige, dass der gutwillige Umgang mit allgemeinen Programmierer-Tools nicht kriminalisiert werden dürfe.

Zwei der Beschwerdeführer, im Bereich Sicherheit und Informatik tätig, rügten einen Verstoß des § 202c StGB gegen die Berufsfreiheit aus Art. 12 GG. Unter anderem nutzten die Beschwerdeführer bestimmte Programmierer-Tools um die Sicherheitssysteme von Computersystemen zu umgehen und auf bestehende Sicherheitslücken zu testen. Ein weiterer Beschwerdeführer nutzte privat Programmkomponenten zur Verbesserung seines Betriebssystems. Er rügte einen Verstoß des § 202c StGB gegen die allgemeine Handlungsfreiheit und das strafrechtliche Bestimmtheitsgebot.

Das Bundesverfassungsgericht nahm die Beschwerden allerdings nicht zur Entscheidung an. Es begründete die Nichtannahme mit dem Nichtvorliegen der formellen Zulässigkeitsvoraussetzung des unmittelbaren Betroffenseins der Beschwerdeführer:

Die Zulässigkeit einer Verfassungsbeschwerde gegen ein Gesetz setzt nach der ständigen Rechtsprechung des Bundesverfassungsgerichts voraus, dass der Beschwerdeführer selbst, gegenwärtig und unmittelbar durch die angegriffenen Rechtsnormen in seinen Grundrechten betroffen ist.

Soweit der Beschwerdeführer […] seine Verfassungsbeschwerde formell auch auf § 202c Abs. 1 Nr. 1 StGB erstreckt hat, geht er selbst auf diese Tatbestandsvariante nicht weiter ein; eine Betroffenheit des Beschwerdeführers von dem Verbot bestimmter auf Passwörter oder sonstige Sicherungscodes bezogener Vorbereitungshandlungen ist daher nicht erkennbar.

Eine Beschwer sei schon nicht gegeben, da aus dem Vorbringen der Beschwerdeführer nicht erkennbar, sei, dass deren Tätigkeit durch die Strafvorschrift § 202c Abs. 1 StGB direkt betroffen werde. Das Risiko einer Strafverfolgung sei schon aufgrund fehlenden tauglichen Tatobjekts nicht erkennbar:

Tatobjekt des § 202c Abs. 1 Nr. 2 StGB kann nur ein Programm sein, dessen Zweck die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) ist. Danach muss das Programm mit der Absicht entwickelt oder modifiziert worden sein, es zur Begehung der genannten Straftaten einzusetzen. Diese Absicht muss sich ferner objektiv manifestiert haben.

Schon nach dem Wortlaut nicht ausreichend wäre, dass ein Programm – wie das für so genannte dual use tools gilt – für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist.

Das Gericht begründete das unter anderem auch mit der Absicht des Gesetzgebers, sogenannte „dual-use-Gegenstände“ (also solche, die sowohl zu rechtlich gebilligten als auch widerrechtlichen Zwecken eingesetzt werden können) nicht als von der Norm erfasst sehen zu wollen. Insbesondere solle es dann auch auf die objektiv manifestierte Verwendungsabsicht des Programmentwicklers ankommen:

Eine sich an den objektiv manifestierten Absichten des Programmentwicklers orientierende Auslegung des § 202c Abs. 1 Nr. 2 StGB dürfte in der Sache mit Ansätzen im Schrifttum übereinstimmen, nach denen Programme den Tatbestand erfüllen sollen, wenn sie gerade im Hinblick auf eine spezielle Tatvariante einer Tat nach § 202a, § 202b geschrieben sind.

ANMERKUNGEN

Das Gericht sah eine Beschwer als nicht gegeben an und lehnte eine Entscheidung ab. Sowohl ein objektiv taugliches Tatobjekt sei, trotz „dual-use“-Möglichkeit, nicht gegeben. Auch käme es den Beschwerdeführern in der Ausführung ihrer Vorhaben nicht darauf an, unbefugt zu handeln, wodurch auch das subjektive Tatelement fehle.

Aufgrund der Einlassungen zum bereits fehlenden Strafbarkeitsrisiko nahm das Gericht zur Frage des Verstoßes von § 202c StGB gegen die Grundrechte der Betroffenen keine Stellung.

Praxishinweis: Wer tatbestandsmäßige Programme im Sinne des § 202c StGB einsetzt, um auftragsgemäß ein fremdes Computersystem einem Penetration-/Sicherheitstest zu unterziehen, macht sich nicht strafbar. Es fehlt hier an einem auf eine Computerstraftat gerichtetem Vorsatz. Dem Bundesverfassungsgericht nach handelt derjenige dann nicht „unbefugt“.