Einmal mehr soll sich der Bundestag mit dem Schutz von IT-Systemen und den darin gespeicherten Daten befassen. Der Reform des IT-Sicherheitsgesetzes von 2015 soll nun eine weitere folgen. Ein Entwurf des Bundesinnenministeriums (BMI) vom 27. März 2019 befindet sich derzeit in der Ressortabstimmung.[1]
Bereits vergangene Reformen im Bereich des Informationsstrafrechts wie die Einführung von § 202c Strafgesetzbuch (StGB) (Vorbereiten des Ausspähens und Abfangens von Daten) und § 202d StGB (Datenhehlerei) waren problematisch und sahen sich massiver Kritik ausgesetzt. Sie zeichneten sich durch eine weitgehende Vorfeldkriminalisierung und ausufernde Tatbestände aus, unter welche bisweilen sozialadäquate Handlungen subsumiert werden können. Das Strafrecht wird im IT-Bereich als Mittel der Gefahrenabwehr instrumentalisiert, mit der auf abstrakte und vermeintlich bestehende Bedrohungsszenarien reagiert werden soll. Die gesetzgeberischen Maßnahmen erscheinen dabei mehr als nur ungeeignet, um einen umfassenden Schutz der IT-Sicherheit zu gewährleisten. Damit reiht sich auch die Entwicklung des Informationsstrafrechts immer mehr in eine neoliberale Sicherheitslogik ein.
Für den Bereich des Strafrechts bedeutet diese Logik der absoluten Sicherheit eine Etablierung des sogenannten Risikostrafrechts. Die Bestrafung bestimmter Verhaltensweisen ist verfassungsrechtlich an das Ultima-Ratio-Prinzip und den Rechtsgüterschutz geknüpft. Das Strafrecht darf nur als letztes Mittel zur Verhaltensteuerung eingesetzt werden. Für den Gesetzgeber bedeutet dies, zunächst andere Maßnahmen, Alternativen zum Strafen, in Betracht zu ziehen. Seit den 1980er Jahren hat sich dies gewandelt. Ziel der Strafe ist mittlerweile nicht mehr die Wiederherstellung des Rechtsfriedens nach einer erfolgten Rechtsgutverletzung unter Anknüpfung an das Schuldprinzip. Vielmehr wird das Strafrecht als Instrument zur Eindämmung abstrakter Risiken zum Einsatz gebracht. Dies lässt sich insbesondere an der Kriminalisierung von Vorbereitungshandlungen, ausufernden Rechtsgütern (beispielsweise Kollektivrechtsgüter) und Gefährdungsdelikten erkennen.[2] Kriminalisiert werden Verhaltensweisen, die ein Rechtsgut weder verletzt noch in konkreter Weise gefährdet haben, die potenziellen Täter*innen brauchen mitunter nicht einmal zu einer Tat angesetzt zu haben.
Im Bereich der Computerkriminalität zeigt sich diese Logik beispielsweise am § 202c StGB, der 2007 mit dem 41. Strafrechtsänderungsgesetz eingeführt wurde. Dieser stellt die Entwicklung von sogenannten Hacker-Tools unter Strafe, also von Software, mit deren Hilfe man sich Zugang zu Daten verschaffen kann. Im nicht-virtuellen Raum entspräche dies der Herstellung eines Einbruchswerkzeugs, also einem Verhalten, das erst dann strafrechtlich geahndet wird, wenn damit auch tatsächlich versucht wird, eine Tür auszuhebeln. Der § 202c StGB knüpft also nicht an eine bestehende konkrete Gefahr des „Hackens“ an, sondern an die potenzielle Möglichkeit, dass diese Software zum „Hacken“ verwendet wird, ohne dass dabei etwa die konkrete Tatzeit und das konkrete Angriffsziel den potenziellen Täter*innen schon klar sein müssten. Für den Schutz informationstechnischer Systeme hat der Straftatbestand kaum etwas gebracht; IT-Sicherheitsunternehmen beklagten sogar eine negative Wirkung, da die Herstellung von „Hacker-Tools“ ein wichtiges Mittel darstellt, um informationstechnische Systeme auf ihre Sicherheit hin zu überprüfen und bestehende Sicherheitslücken zu erkennen.[3]
Der „digitale Hausfriedensbruch“
An diese Entwicklung knüpft nun auch die Reform des Kernstrafrechts durch das IT-Sicherheitsgesetz 2.0 an. Der Referentenentwurf sieht nicht nur die Erhöhung des Strafrahmens für gängige Computerdelikte (§§ 202a ff. und §§ 303a, 303b StGB) auf bis zu fünf Jahre vor, sondern brächte auch neue Straftatbestände mit sich. Mit dem § 202e StGB-E soll unbefugtes Verschaffen des Zugangs zu einem informationstechnischen System, die Ingebrauchnahme eines solchen oder die Ingangsetzung bzw. Beeinflussung eines Datenverarbeitungsvorgangs oder informationstechnischen Ablaufs unter Strafe gestellt werden. Im Gegensatz zum bisherigen § 202a StGB kommt es auf eine tatsächliche Kenntnisnahme der im informationstechnischen System gespeicherten Daten nun nicht mehr an. § 202f StGB-E enthält zusätzlich entsprechende Qualifikationstatbestände (wie banden- oder gewerbsmäßige Begehung), insbesondere die Absicht des oder der Täter*in, mit der Begehung einer Tat nach den §§ 202a-E einen Ausfall oder eine wesentliche Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen zu bewirken.
Begründet wird die Neuregelung mit der Bekämpfung der „Botnetz-Kriminalität“, die aufgrund vermeintlicher Strafbarkeitslücken nicht hinreichend strafrechtlich verfolgt werden könne.[4] Botnetze sind Netzwerke infizierter Systeme, die durch einen Command & Control-Server ferngesteuert werden können – unter anderem, um die Ressourcen der infizierten Geräte zu nutzen.
Wirklich neu ist dieser Vorschlag jedoch nicht. Bereits 2016 hat der Bundesrat auf Initiative des Landes Hessen einen Gesetzgebungsvorschlag in den Bundestag eingereicht, der ebenfalls die Implementierung des § 202e StGB-E („Digitaler Hausfriedensbruch“) vorsah. Der Vorschlag wurde seinerzeit sowohl in der juristischen Literatur[5] als auch von Seiten der Bundesregierung[6] massiv kritisiert und schlussendlich vom Bundestag abgelehnt. Zentrale Kritikpunkte waren schon damals das unbestimmte Rechtsgut, der ausufernde Tatbestand, unter den sich auch sozialadäquate Handlungen subsumieren lassen, sowie die mangelnde Effektivität in der eigentlichen Zwecksetzung.
Ob in Bezug auf die „Botnetz-Kriminalität“ tatsächlich Strafbarkeitslücken bestehen, ist jedoch auch heute sehr zu bezweifeln, da hier insbesondere eine Strafbarkeit gemäß §§ 202a ff. (Ausspähen und Abfangen von Daten, Vorbereitungshandlungen, Datenhehlerei) und §§ 303a, 303b StGB (Datenveränderung, Computersabotage) in Betracht kommt.[7] Zudem ist der Anwendungsbereich der Norm aufgrund seiner Weite dazu geeignet, an sich nicht strafwürdige Verhaltensweisen unter Strafe zu stellen. Unter dem Begriff IT-System werden alle Systeme verstanden, die der Verarbeitung elektronischer Daten dienen.[8] Vom Anwendungsbereich des „digitalen Hausfriedensbruchs“ umfasst wäre damit jedwede unbefugte Ingebrauchnahme oder Verwendung datenverarbeitender Alltagsgegenstände wie Smart-TVs, Fitnessarmbänder oder Haushaltsgegenstände, „soweit sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen“.[9] Diese einschränkende Klausel ist allerdings zu weit formuliert, als dass hierdurch sinnvoll Bagatellfälle vom Anwendungsbereich der Norm ausgeklammert werden könnten. Unter „berechtigten Interessen“ versteht der Referentenentwurf „materielle oder ideelle, private oder öffentliche Interessen, sofern sie nur vom Recht als schutzwürdig anerkannt sind oder diesem jedenfalls nicht zuwiderlaufen.“[10] Zu einer tatsächlichen Beeinträchtigung dieser Interessen muss es dabei aber gar nicht kommen. Es genüge schon – so die Begründung –, „dass die Tat dazu geeignet ist“.
Entgegen der massiven Kritik am Entwurf des Bundesrates, startet das BMI mit seinem geplanten IT-Sicherheitsgesetz 2.0 einen weiteren Versuch der Kriminalisierung des „digitalen Hausfriedensbruchs“ – in inhaltlich nur minimal abgeänderten Formulierung und ohne dass auf die wesentlichen kritischen Aspekte eingegangen worden wäre.
„Betreiben internetbasierter Leistungen“
Eine weitere zentrale Neuerung ist die Einführung des § 126a StGB-E. Danach soll sich strafbar machen, wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern.[11] Unter einer internetbasierten Leistung wird dabei „jeder elektronische Kommunikationsdienst“ verstanden, „der Daten über das Internet überträgt und bestimmten Personen einen Nutzen stiftet.“[12] Auch dieser Vorstoß ist nicht neu und wurde bereits am 17. April 2019 auf Initiative Nordrhein-Westfalens in einem entsprechenden Gesetzentwurf dem Bundestag vorgelegt.[13] Der Entwurf des BMI unterscheidet sich jedoch stark von dem des Bundesrates. Vor allem geht er sehr viel weiter. Der Anwendungsbereich ist hier nicht nur auf das Darknet beschränkt, sondern wird auf das allgemein zugängliche Internet ausgeweitet, in dem die Erreichbarkeit der internetbasierten Leistungen nicht eingeschränkt sein muss. Außerdem soll nicht mehr nur das „Anbieten“ einer internetbasierten Plattform bestraft werden, sondern schon das bloße „Zugänglichmachen“ einer solchen. Unter die neue Strafnorm könnte deshalb auch das zur Verfügung Stellen entsprechender Server fallen sowie das Betreiben von TOR-Servern, die ein anonymes Surfen im Internet ermöglichen. Kriminalisiert wird ferner nicht nur die „Ermöglichung“, es reicht das „Erleichtern“ einer Straftat. Im Gegensatz zum Entwurf des Bundesrates soll der Anwendungsbereich von § 126a StGB-E außerdem nicht auf einen bestimmten Straftatenkatalog beschränkt werden, sondern würde jegliche strafrechtlich relevanten Verhaltensweisen umfassen.[14]
Sowohl der Entwurf des Bundesrates als auch der Referentenentwurf des BMI argumentieren hier erneut mit Strafbarkeitslücken. Eine Strafbarkeit des Betreibens von Plattformen, mit Hilfe derer Straftaten erleichtert werden, könne nicht über die Beihilfe zu den dort verabredeten Taten konstruiert werden. Die einzelnen Straftaten seien noch nicht genügend konkretisiert, die Kommunikation der Beteiligten über verschlüsselte Kanäle und vollautomatisierte Verkaufsabwicklungssysteme erschwerten den Nachweis der Hilfeleistung zu einer konkreten strafbaren Handlung. Und außerdem sei das Schaffen der Grundlagen für eine „Underground Economy“ nicht eine bloße Beihilfe zu einer Straftat, sondern durchaus eine aktive Tathandlung, die eigenständig einen strafwürdigen Charakter aufweise.[15]
Auch hier ist aber zu bezweifeln, ob überhaupt von „Strafbarkeitslücken“ gesprochen werden kann. Wenn nicht einmal eine Beihilfe zu Straftaten nachgewiesen werden kann, ist fraglich, ob es sich überhaupt um strafwürdiges Verhalten handelt. Die eigentliche Rechtsgutsgefährdung entsteht schließlich erst durch die Ausführung der verabredeten Straftaten beziehungsweise durch die tatsächliche Abwicklung der illegalen Geschäfte in der realen Welt. Die klassischen Darknet-Delikte wie der illegale Handel mit Waffen oder Betäubungsmitteln sowie die Verbreitung von Kinderpornografie sind darüber hinaus bereits durch andere Strafvorschriften umfassend strafbewehrt.[16]
Die Notwendigkeit der Kriminalisierung des Betreibens internetbasierter Leistungen ist bereits in Zweifel zu ziehen. Der § 126a StGB-E birgt darüber hinaus aber auch die Gefahr der Überkriminalisierung: Die Nutzung des Darknets und das Betreiben von Plattformen in diesem (zum Beispiel Diskussionsforen) sind nicht per se illegal und verfolgen auch nicht per se strafbare Zwecke. Vielmehr geht es um die gewährleistete Anonymität – frei von staatlicher Repression oder informeller Sozialkontrolle, ohne dass es bereits zu konkreten Rechtsgutsgefährdungen kommen muss. Eine Einschränkung durch das Tatbestandsmerkmal des Zwecks der Ermöglichung, Förderung oder Erleichterung einer Straftat reicht aber nicht aus, um nicht strafwürdige Verhaltensweisen vom Anwendungsbereich der Norm auszuklammern. So argumentieren Matthias Bäcker und Sebastian Golla: „Der Anbieter muss also gerade nicht bezwecken, dass mithilfe seiner Plattform tatsächlich Straftaten begangen werden. Er muss lediglich zweckgerichtet ein Umfeld schaffen, in dem solche Straftaten naheliegen.“[17] Auf die legale Nutzung des Darknets sind insbesondere Journalist*innen, Whistleblower*innen und Kritiker*innen in diktatorischen Regimen angewiesen. Organisationen wie etwa „Reporter ohne Grenzen“ oder „Zwiebelfreunde“ warnen vor „Kollateralschäden“, die die Neuregelung mit sich bringt, da gerade auch Betreiber*innen von TOR-Knoten oder anderer Dienste zur Anonymisierung einem Anfangsverdacht nach § 126a StGB-E unterliegen und somit Ziel von Ermittlungsmaßnahmen werden können. Insgesamt führe dies zu einer weitgehenden Abschreckung und Verunsicherung von Darknet-User*innen.[18]
Zwar erkennt auch das BMI an, dass es diese Art von Nutzung gibt: „Die Angebote im Darknet umfassen … Foren für Whistleblower oder Chatrooms für politisch Verfolgte aus autoritären Staaten …“[19] Dennoch werden in der öffentlichen Debatte immer wieder Äußerungen laut, die Nutzer*innen des Darknets unter Generalverdacht stellen. Der parlamentarische Staatssekretär – unter Bundesinnenminister Horst Seehofer – Günter Krings (CDU) erklärte: „Ich verstehe, warum das Darknet einen Nutzen in autokratischen Systemen haben kann … Aber in einer freien, offenen Demokratie gibt es meiner Meinung nach keinen legitimen Nutzen.“[20]
Fazit
Insgesamt bestehen sowohl im Falle des § 202e StGB-E („digitaler Hausfriedensbruch“) als auch des § 126a StGB-E (Betreiben internetbasierter Plattformen) erhebliche Zweifel an einem (straf-)gesetzgeberischen Handlungsbedarf. Der Referentenentwurf des BMI ist in beiden Fällen nicht in der Lage, tatsächlich bestehende Strafbarkeitslücken aufzuzeigen. Vielmehr wird das Strafrecht einmal mehr verfassungswidrig genutzt, um Aktionsfähigkeit und -bereitschaft seitens der Politik zu signalisieren. Auf abstrakte Gefahren und bestehende Risiken, die dem Bereich der Gefahrenabwehr zugeschrieben werden, soll mit strafrechtlichen Sanktionen und – damit unweigerlich verbunden – strafprozessualen Ermittlungen Abhilfe geleistet werden. Die Grenzen dessen, was als strafwürdig gelten soll und was nicht, verschwimmen dadurch zusehends. Das Ergebnis sind Tatbestände, die weit ins Vorfeld einer konkreten Gefährdung von Individualrechtsgütern wie Leben oder körperliche Unversehrtheit reichen,[21] die Kriminalisierung gesellschaftlich erwünschter bzw. sogar notwendiger Verhaltensweisen und eine Verunsicherung aufgrund eines weiten und schwammigen Anwendungsbereichs.