BVerfG: Einsatz von "dual use tools" nicht nach § 202c Abs. 1 Nr. 2 StGB strafbar

von Prof. Dr. Bernd von Heintschel-Heinegg, veröffentlicht am 23.06.2009

Rechtsgebiete: SchadsoftwareDual use toolsmalsoftware§ 202c StGBmalwareVorberei des Ausspähens und Abfangens von DatenMaterielles StrafrechtIT-RechtStrafrecht|6728 Aufrufe

"Dual use tools", die sowohl für die Sicherheitsanalyse von Netzwerken als auch zur Begehung von Straftaten nach §§ 202a, 202b StGB verwendet werden können, stellen keine geeigneten Tatobjekte i.S. des § 202c Abs. 1 Nr. 1 StGB dar. Die bloße Eignung eines Computerprogramms für die Begehung von Straftaten nach § 202a und § 202b StGB, genüge nicht, um eine Strafbarkeit nach § 202c Abs. 1 Nr. 1 StGB zu begründen. So das BVerfG im Beschluss vom 18.5.2009 (Az.: 2 BvR 2233/07; 2 BvR 1151/08; 2 BvR 1524/08), mit dem drei Verfassungsbeschwerden mangels Strafverfolgungsrisikos für die beruflich mit «dual use tools» und Schadsoftware befassten Beschwerdeführer als unzulässig zurückgewiesen wurden. Schadsoftware könne hingegen zwar ein taugliches Tatobjekt im Sinne der genannten Vorschrift sein. Im betroffenen Ausgangsfall sei jedoch weder der erforderliche Vorsatz vorhanden noch das Merkmal des unbefugten Handelns in § 202a oder § 202b StGB erfüllt gewesen.

Sachverhalt

Der Beschwerdeführer zu 1) arbeitet in einem Unternehmen, das Dienstleistungen im Bereich der Sicherheit von Informations- und Kommunikationstechnologien anbietet, und simuliert im Rahmen von Sicherheitsanalysen unter Verwendung von «dual use tools» nicht autorisierte Zugriffsversuche. Ferner setzt er auch Programme ein, die von ihren Urhebern vermutlich zum Zwecke des illegalen Eindringens in EDV-Systeme konzipiert wurde (sog. malware oder Schadsoftware). Der Beschwerdeführer zu 2) ist in der akademischen Lehre tätig und macht seinen Studenten zu Lehrzwecken regelmäßig dual use Programme zugänglich. Der Beschwerdeführer zu 3) setzt im Rahmen der Nutzung des Computerbetriebssystems Linux ebenfalls «dual use tools» ein. Die drei Beschwerdeführer sind der Ansicht, dass ihre Tätigkeiten dem Straftatbestand des § 202c Abs. 1 Nr. 2 StGB unterfallen. Sie haben deshalb gegen die Vorschrift jeweils Verfassungsbeschwerde erhoben.

Rechtlicher Hintergrund

§ 202c StGB wurde mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität in das Strafgesetzbuch eingefügt. Nach Abs. 1 Nr. 2 dieser Vorschrift wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Die Vorschrift geht auf das Übereinkommen des Europarates über Computerkriminalität (Convention on Cybercrime) vom 23.11.2001 zurück.

Keine gegenwärtige und unmittelbare Grundrechtsbetroffenheit

Das BVerfG hat die unmittelbar gegen die gesetzliche Vorschrift des § 202c StGB erhobenen Verfassungsbeschwerden mangels Zulässigkeit nicht zur Entscheidung angenommen. Denn die Beschwerdeführer seien durch § 202c Abs. 1 Nr. 2 StGB in ihren Grundrechten nicht gegenwärtig und unmittelbar betroffen. Eine solche gegenwärtige und unmittelbare Betroffenheit liege zum Beispiel dann vor, wenn der Beschwerdeführer zunächst das Risiko eines Bußgeld- oder Strafverfahrens eingehen müsste, um Rechtsschutz vor den Fachgerichten erwirken zu können. Die von den Beschwerdeführern beschriebenen Tätigkeiten seien aber nicht gemäß § 202c Abs. 1 Nr.2 StGB strafbar. Deshalb bestehe für die Beschwerdeführer kein Risiko der Strafverfolgung.

«Dual use tools»: Keine tauglichen Tatobjekte des § 202c Abs. 1 Nr. 2 StGB

Laut BVerfG stellen die von den Beschwerdeführer im Rahmen ihrer Tätigkeit eingesetzten «dual use tools» in den Grenzen der verfassungsrechtlich zulässigen Auslegung keine tauglichen Tatobjekte des § 202c Abs. 1 Nr.2 StGB dar. Tatobjekt in diesem Sinn könne nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) gerichtet sei. Das Programm müsse mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem müsse sich diese Absicht objektiv manifestiert haben. Es reiche schon nach dem Wortlaut der Vorschrift nicht aus, dass ein Programm für die Begehung der genannten Computerstraftaten geeignet oder auch besonders geeignet ist.

Malsoftware: Vorsatz und unbefugtes Handeln fehlt

Soweit der Beschwerdeführer zu 1) auch Schadsoftware verwende, kann diese dem BVerfG zufolge zwar ein taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen; es fehle dem Beschwerdeführer aber jedenfalls der erforderliche Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und somit im Einverständnis mit den hinsichtlich der überprüften Computersysteme Verfügungsberechtigten tätig werde, sei das Tatbestandsmerkmal des «unbefugten» Handelns in § 202a oder § 202b StGB nicht erfüllt. Vielmehr liege ein Handeln zu einem legalen Zweck vor. Insoweit dürften nach dem eindeutigen und durch die Entstehungsgeschichte wie die einschlägige Bestimmung des Übereinkommens des Europarats über Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB grundsätzlich auch Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liege, beschafft oder weitergegeben werden. Ein Strafbarkeitsrisiko entstehe hier erst, sobald die betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder anderweitig auch Personen zugänglich gemacht würden, von deren Vertrauenswürdigkeit nicht ausgegangen werden könne.