Autoren:Dr. Gunnar Greier, OStA,
Markus Hartmann, OStA
Erscheinungsdatum:03.07.2019
Quelle:juris Logo
Normen:§ 258 StGB, § 13 StGB, § 99 StGB, § 202c StGB, § 202b StGB, § 303 StGB, § 202a StGB, § 202d StGB, § 201 StGB, § 201a StGB, § 202 StGB, § 303a StGB, § 303b StGB, § 100b StPO, § 100a StPO, § 100g StPO, § 70 StPO
Fundstelle:jurisPR-StrafR 13/2019 Anm. 1
Herausgeber:Prof. Dr. Dr. h.c. Michael Kubiciel, Universität Augsburg
Dr. Mayeul Hiéramente, RA und FA für Strafrecht
Zitiervorschlag:Greier/Hartmann, jurisPR-StrafR 13/2019 Anm. 1 Zitiervorschlag

Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat - Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 - IT-SIG 2.0)

A. Hintergrund

IT-Sicherheitsvorfälle sind längst nicht mehr nur für einen kleinen Kreis IT-Experten relevant, vielmehr nimmt die breite Öffentlichkeit entsprechende Fälle intensiv wahr, wie erst Anfang des Jahres 2019 die Veröffentlichung zahlreicher privater Daten öffentlich exponierter Personen. Damit erlangen auch Fragen der IT-Sicherheit und der Kompetenzen von Aufsichts- und Strafverfolgungsbehörden zunehmend Bedeutung. Um das geltende Recht den neuen Herausforderungen anzupassen, hat das Bundesministerium des Innern, für Bau und Heimat unter dem Bearbeitungsstand 27.03.2019 einen Referentenentwurf erstellt, der sich derzeit in der Ressortabstimmung befindet. Verschiedene Quellen haben den Entwurf im Internet veröffentlicht (z. B. https://netzpolitik.org/2019/it-sicherheitsgesetz-2-0-wir-veroeffentlichen-den-entwurf-der-das-bsi-zur-hackerbehoerde-machen-soll/). Nach Medienberichten soll das IT-SIG 2.0 im Juni 2019 Gegenstand der Beratung im Bundeskabinett werden.

B. Inhalt des Entwurfs

Der Entwurf schlägt unter Hinweis auf das große Gefahrenpotential von Cyber-Angriffen für Staat, Wirtschaft und Gesellschaft Änderungen verschiedener Gesetze vor. Im Wesentlichen sollen die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert und repressive Ansätze zur Bekämpfung von Cyberkriminalität durch Ausweitung von Strafvorschriften und Ermittlungskompetenzen gestärkt werden. Die Regelungen mit Auswirkungen auf den strafrechtlichen Bereich sollen im Folgenden kurz dargestellt werden.

1. Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)

Dem BSI soll durch Übertragung neuer Aufgaben und Kompetenzen eine zentrale Rolle im Bereich des Cyberschutzes für Verbraucher, Wirtschaft und Staat zugewiesen werden. Dafür wird die Förderung des Verbraucherschutzes ausdrücklich in § 3 Abs. 1 Satz 2 Nr. 14a BSIG-E in den Aufgabenkatalog aufgenommen. Inhaltlich erhält das BSI weitreichende Kompetenzen, z.B. gemäß § 5d BSIG-E ein eigenständiges Recht gegenüber Telekommunikations-Providern auf Herausgabe von Bestandsdaten. Die Daten sollen genutzt werden, um Opfer von Cyberattacken unterrichten und bei der Angriffsabwehr unterstützen zu können. Die erlangten Daten kann das BSI gemäß § 5d Abs. 5 BSIG-E i.V.m. § 5 Abs. 5 BSIG auch zur Verfolgung einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b StGB den Strafverfolgungsbehörden übermitteln. Der Entwurf sieht darüber hinaus in § 7b Abs. 1 und 4 BSIG-E eine Kompetenz des BSI für aktive Maßnahmen vor, z.B. Portscans und Betreiben von Sinkholes oder aktiven Honeypots. Zum Aufspüren und zur Auswertung von Sicherheitsrisiken darf das BSI auch Maßnahmen auf ungeschützten oder aufgrund unzureichender Sicherung, z.B. durch Belassen der werksseitig eingestellten Zugangsdaten, quasi-ungeschützten Systemen Dritter ausführen. Die dabei gewonnenen Erkenntnisse können gemäß § 7b Abs. 1 Satz 2 BSIG-E i.V.m. § 5 Abs. 5 BSIG an die Strafverfolgungsbehörden weitergegeben werden.

Die Kompetenz des BSI für aktive Maßnahmen zeichnet sich durch eine bemerkenswerte Reichweite aus. Zwar stellt die Entwurfsbegründung klar, die Befugnis umfasse nicht das Ausspähen bzw. das Einsehen von auf dem System enthaltenen Daten. Jedoch ist die Entwurfsfassung durch den konturenlosen Begriff der „Maßnahme“ so weitgehend technikagnostisch konzipiert, dass im Zuge der fortschreitenden technischen Entwicklung eine trennscharfe Kategorisierung zulässiger und unzulässiger Maßnahmen kaum zu leisten sein dürfte.

Eine Abgrenzung aktiver Maßnahmen nach § 7b Abs. 1 und 4 BSIG-E zu strafprozessualen Befugnissen der Ermittlungsbehörden leistet der Entwurf ebenfalls nicht. So sind etwa Sinkholes auch für die Erfassung der Reichweite einer Cyberstraftat – etwa durch die Ermittlung der Zahl betroffener IT-Systeme – von wesentlicher Bedeutung. Hier hätte es sich empfohlen, eine korrespondierende Befugnis der Ermittlungsbehörden klarstellend in die Strafprozessordnung aufzunehmen und den gebotenen Vorrang strafprozessualer Ermittlungen zu Vermeidung „konkurrierender“ Sinkholes unterschiedlicher Behörden festzuhalten. Jedenfalls sollte mit Blick auf die regelmäßig in Cybersicherheitsfällen einzuleitenden Ermittlungsverfahren eine Pflicht des BSI zur Abstimmung mit den Ermittlungsbehörden konstatiert werden.

Eine deutliche Ausweitung erfährt der Bußgeldrahmen des § 14 Abs. 2 BSIG-E, der – vergleichbar den Regelungen des NetzDG – auf bis zum 20 Mio. Euro oder bis zu 4% des weltweiten Umsatzes erhöht wird.

2. Änderungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG)

Der Entwurf beschränkt sich nicht auf eine Änderung der das BSI betreffenden Regelungen, sondern setzt im Sinne eines umfassenderen Ansatzes auch bei den Mitwirkungspflichten der TKG- und TMG-Anbieter neue Maßstäbe.

Die TKG-Anbieter werden gemäß § 109 Abs. 2a TKG-E verpflichtet, eigene Systeme zur Angriffserkennung einzusetzen und dabei erlangte Daten zu etwaigen Angreifern den Strafverfolgungsbehörden von sich aus oder auf Anforderung zu übermitteln. In
§ 109a Abs. 1a TKG-E wird zudem eine Verpflichtung normiert, bei positiver Kenntnis von der Verletzung des Schutzes der bei dem Dienst gespeicherten Daten das Bundeskriminalamt (BKA) zu unterrichten.

Das BSI darf zudem weitreichende Maßnahmen der Dienstebetreiber in bestimmten Angriffsszenarien anordnen, § 109 Abs. 8 TKG-E, z.B. eine Einschränkung des Verkehrs zu Störungsquellen oder die Bereinigung betroffener Systeme von einem konkret benannten Schadprogramm. Ein Verstoß gegen eine derartige Anordnung soll den Bußgeldtatbestand des § 149 Abs. 1 Nr. 21 f TKG-E erfüllen.

Insbesondere § 109 Abs. 8 Satz 1 Nr. 2 TKG-E hat dabei erhebliche Auswirkung auf die betroffenen Betreiber von Datenverarbeitungssystemen. Die Entwurfsbegründung stellt klar, dass das BSI ein „Zwangspatching“ anordnen können soll, etwa um Malware von einem befallenen IT-System ohne Zutun des Betreibers zu entfernen. Die Ausführung der Anordnung soll durch die Dienstanbieter vorgenommen werden, deren technische Kompetenz und wirtschaftliche Interessen die Anordnungsbefugnis des BSI begrenzen sollen. Gänzlich unerörtert lässt der Entwurf hingegen die in einer heterogenen IT-Landschaft erheblichen Folgerisiken des Einbringens von Zwangspatches ohne Kenntnis und Beteiligung des Betreibers der betroffenen IT-Systeme. Die durch § 109 Abs. 8 Satz 1 Nr. 2 TKG-E möglichen technischen wie grundrechtlichen Folgewirkungen stellen die Verhältnismäßigkeit dieser Befugnis des BSI nachhaltig in Frage.

Unter Hinweis auf den Doxing-Fall Anfang 2019 sieht § 109b Abs. 1 TKG-E eine Anzeigepflicht der Dienstebetreiber, bei denen entsprechende Daten gespeichert sind, gegenüber dem BKA vor. Der Zugang zu diesen Daten ist durch die Anbieter zu sperren, die Daten sollen gelöscht werden, § 109b Abs. 2 TKG-E. Verstöße gegen diese Vorgaben sind jeweils bußgeldbewehrt, § 149 Abs. 1 Nr. 21 g und h TKG-E. Problematisch dürften im Einzelfall die Feststellung entsprechender Daten durch die TKG-Anbieter und die möglichen Auswirkungen auf Whistleblower, Journalisten oder Plattformen wie Wikileaks sein. In diesem Bereich geht der Entwurf mit der Statuierung einer Anzeigepflicht zudem deutlich über die bisherigen Verpflichtungen, etwa für Betreiber sozialer Netzwerke im NetzDG, hinaus. Mangels einer Begrenzung des Adressatenkreises auf Anbieter bestimmter Größe geht der Entwurf auch insoweit deutlich weiter als die Regelungen des NetzDG. Für den Bereich der Veröffentlichung rechtswidrig erlangter Daten sollen somit einem größeren Adressatenkreis als im NetzDG weitergehende Verpflichtungen auferlegt werden.

In der Entwurfsbegründung wird nicht erwogen, ob mit der Begründung einer gesetzlichen Anzeigepflicht im Fall deren vorsätzlicher Verletzung für die Verantwortlichen Strafbarkeitsrisiken einhergehen. Die Verletzung einer gesetzlichen Mitteilungspflicht gegenüber einer Polizeidienststelle lässt indes die Annahme einer durch Unterlassen begangenen Strafvereitelung gemäß den §§ 258, 13 StGB zumindest nicht fernliegen.

Durch den Entwurf soll überdies das Marktortprinzip im nationalen Recht verankert werden. In § 110 Abs. 1a TKG-E werden die Anbieter von im Inland erreichbaren Telekommunikationsangeboten verpflichtet, die zur Beauskunftung und Bearbeitung von Auskunftsersuchen nach dem TKG erforderlichen Daten so zu verarbeiten oder zu speichern, dass sie auch unmittelbar beantwortet werden können. Zur Umsetzung der behördlichen Maßnahmen und Beantwortung von Anfragen ist eine inländische Ansprechstelle einzurichten und der Bundesnetzagentur mitzuteilen. Die Begründung verweist ausdrücklich darauf, dass sich Firmen wie Amazon, Telegram, Facebook, Google und Microsoft nicht unter Hinweis auf einen Firmensitz im Ausland von der Einhaltung der im Inland geltenden Verpflichtungen als ausgenommen betrachten dürften. Eine Beschränkung der Verpflichtung auf Anbieter bestimmter Größe oder Nutzerzahl erfolgt indes nicht. Insoweit geht der Entwurf über die derzeitigen Überlegungen auf europäischer Ebene, die in der Begründung in Bezug genommen werden, hinaus. Ein Verstoß gegen die vorgesehene Verpflichtung stellt eine Ordnungswidrigkeit dar, § 149 Abs. 1 Nr. 21 j TKG-E.

Die vorgenannten Verpflichtungen sollen auch die Anbieter von Telemediendiensten treffen. So müssen auch die nach dem TMG Verpflichteten gemäß § 15 Abs. 2 Satz 2 TMG-E den Verlust eigener Daten dem BKA melden, gemäß § 15b Abs. 1 TMG-E das BKA über rechtswidrig erlangte Daten, die über ihren Dienst veröffentlicht werden, unterrichten und einen inländischen Ansprechpartner benennen, § 15b Abs. 2 TMG-E. Die Verpflichtung trifft auch hier alle Anbieter, unabhängig von Größe und Anzahl der Nutzer. Auch hier ist ein Verstoß bußgeldbewehrt, § 16 Abs. 2 Nr. 6 bis 9 TMG-E. Wie die oft verschlüsselten Kommunikationsinhalte durch die Anbieter kontrolliert werden sollen, bleibt in der Begründung unklar.

3. Änderungen des Strafgesetzbuches (StGB)

Weitreichende Änderungen sieht der Entwurf im Bereich des materiellen Strafrechts vor. Hier erscheinen indes, angesichts der thematisch nicht bei dem BMI liegenden Federführung, weitreichende Änderungen im Rahmen der Ressortabstimmung denkbar.

Vor dem Hintergrund staatlich induzierter Cyberangriffe auch auf nicht-staatliche Stellen sollen die Regelbeispiele des besonders schweren Falles der geheimdienstlichen Agententätigkeit i.S.d. § 99 Abs. 2 StGB erweitert werden. Zum einen sollen auch fremde Geheimnisse, insbesondere Betriebs- und Geschäftsgeheimnisse, erfasst werden, um den Schutz auf Wissenschaft und Wirtschaft zu erstrecken. Darüber hinaus werden das Eindringen in ein informationstechnisches System zur Erlangung des Geheimnisses und die Vorbereitung von schädigenden Folgehandlungen zur Herbeiführung eines schweren Nachteils für die Bundesrepublik aufgenommen. Nach dem Gesetzestext muss dabei die Mitteilung oder Lieferung der geschützten Information gemäß § 99 Abs. 2 Nr. 1 StGB-E mit den weiteren Regelbeispielen der § 99 Abs. 2 Nr. 2 bis 4 StGB-E kumulativ vorliegen („…und wenn er …“). Die Begründung geht hingegen von Alternativen aus.

Des Weiteren nimmt der Entwurf den bereits in der parlamentarischen Beratung befindlichen Vorschlag einer eigenständigen Strafbarkeit für das Zugänglichmachen von Leistungen zur Begehung von Straftaten auf, § 126a StGB-E. Der Entwurf übernimmt hier jedoch weder den ursprünglichen, auf bestimmte zugangsbeschränkte Angebote, insbesondere im sog. Darknet, abzielenden Entwurf aus Nordrhein-Westfalen (BR-Drs. 33/19) noch den durch den Bundesrat beschlossenen Entwurf (BR-Drs. 33/19 Beschluss), sondern den weitergehenden Änderungsantrag Bayerns, der im Bundesrat indes keine Mehrheit gefunden hatte (zum Ganzen Kubiciel/Mennemann, jurisPR-StrafR 8/2019 Anm. 1).

Die Strafdrohungen der Cyberdelikte der §§ 202a bis d, 303a und 303b Abs. 1 StGB werden pauschal auf mindestens fünf Jahre, die Strafdrohung des § 303b Abs. 1 StGB§ 303b Abs. 2 StGB-E wird auf sechs Monate bis fünf Jahre Freiheitsstrafe angehoben. Zur Begründung wird auf die gesteigerte Bedeutung der Daten für das alltägliche Leben und die hohe Grundrechtsrelevanz hingewiesen. Die pauschale Änderung wirft indes einige Folgefragen auf. Im Ergebnis wiese die in § 202c StGB geregelte Vorbereitung einer Tat gemäß den §§ 202a, b StGB dieselbe Strafdrohung auf, wie die Tatbegehung gemäß den §§ 202a, b StGB selber. Die Datenveränderung gemäß § 303a Abs. 1 StGB als digitale Variante der Sachbeschädigung hätte eine höhere Strafdrohung als die Sachbeschädigung gemäß § 303 Abs. 1 StGB. Durch die Anhebung der Mindeststrafdrohung in § 303b Abs. 2 StGB-E wäre die Mindeststrafe identisch mit der des besonders schweren Falles gemäß § 303b Abs. 2 StGB, der in § 303b Abs. 4 StGB geregelt ist. Diese Widersprüche werden auch in der Begründung nicht aufgelöst.

In § 202e StGB-E findet der durch Hessen bereits im Jahr 2016 (BR-Drs. 338/16) erstmals vorgeschlagene Entwurf eines digitalen Hausfriedensbruchs Eingang. Diesen Vorschlag hat der Bundesrat in der laufenden Legislaturperiode bereits wieder aufgebracht (BT-Drs. 19/1716). Gegenüber dem ursprünglichen Entwurf ist die nun vorgeschlagene Fassung insofern verändert, als der Qualifikationstatbestand und die Einbeziehung von IT-Systemen kritischer Infrastruktur, die sich nun in § 202f StGB-E finden, nicht übernommen wurden. Gegen die Formulierung des Grundtatbestands war bereits vorgebracht worden, eine Strafbarkeitslücke bestehe nicht, zudem erfasse der Tatbestand auch als nicht strafwürdig erachtete Sachverhalte. Diesen Bedenken will man, insoweit unverändert, mit der Bagatellklausel des § 202e Abs. 1 Satz 2 StGB-E und der Einschränkung auf bestimmte informationstechnische Systeme in § 202e Abs. 3 StGB-E begegnen.

Die Qualifikationen und Strafzumessungsregelungen für die IT-Tatbestände der §§ 202a bis 202d StGB werden einheitlich in § 202f StGB-E geregelt. Eine Qualifikation mit einer Mindeststrafe von sechs Monaten Freiheitsstrafe stellt die Tatbegehung für eine fremde Macht dar, § 202f Abs. 1 Nr. 1a) StGB-E. So sollen Desinformationsoperationen oder Sabotagehandlungen erfasst werden. Ebenso soll das Betreiben von Botnetzen in Form einer großen Anzahl informationstechnischer Systeme bestraft werden, § 202f Abs. 1 Nr. 2 StGB-E. Fraglich erscheint dabei, ob angesichts der in § 202e Abs. 1 StGB-E vorgesehenen Strafhöhe von bis zu einem Jahr Freiheitsstrafe auch für diesen Tatbestand die Verwirklichung der Qualifikationsmerkmale des § 202f Abs. 1 StGB-E eine Anhebung der Mindeststrafhöhe auf sechs Monate rechtfertigt. Die Regelung des § 202f Abs. 2 StGB-E, der auch auf § 202e StGB-E Anwendung findet, ist als Verbrechenstatbestand ausgestaltet und erfüllt z.B. bei Handeln in der Absicht, Einrichtungen der kritischen Infrastruktur wesentlich zu beeinträchtigen oder deren Ausfall zu bewirken. Erfolgreich muss der Angriff nicht gewesen sein. Weitere Verbrechenstatbestände sieht § 202f Abs. 3 StGB-E vor. Das Hacken eines IT-Systems mit dem Ziel, höchstpersönliche Daten zu erlangen und diese zu veröffentlichen, wäre damit als Verbrechen zu bestrafen. Hier dürfte sich der Einfluss der eingangs erwähnten Doxing-Fälle ausgewirkt haben. Soweit man unter das Tatbestandsmerkmal der Daten, die den Kernbereich der privaten Lebensgestaltung betreffen i.S.d. § 202f Abs. 3 Nr. 1 StGB-E auch bestimmte Angaben über finanzielle bzw. steuerliche Verhältnisse ansieht, droht Whistleblowern aus Bankenkreisen in diesem Bereich die Strafverfolgung wegen eines Verbrechens. Der Strafrahmen ist zudem erheblich höher als der vergleichbarer nicht datenspezifischer Tatbestände, etwa der §§ 201, 201a und 202 StGB. Daneben sieht der Entwurf mit Blick auf die Gefahren für Wirtschaft und Wissenschaft auch durch nicht staatlich induzierte Cyberangriffe in § 202f Abs. 5 StGB-E Regelbeispiele vor, die im Wesentlichen § 99 Abs. 2 StGB-E entsprechen, allerdings ohne den Bezug zu einer geheimdienstlichen Tätigkeit.

4. Änderungen der Strafprozessordnung (StPO)

In der Strafprozessordnung soll der Katalog der Taten, die gemäß § 100a Abs. 2 StPO Anlass für eine Überwachung der Telekommunikation geben können, um § 126a StGB-E und um die §§ 202a bis 202e, 202f Abs. 2 und 3 StGB-E sowie die §§ 303a, b StGB ergänzt werden. Angesichts der Strafdrohung des § 202e StGB-E bestehen insoweit indes Zweifel an der Verhältnismäßigkeit. Hier scheint der Entwurf zudem nicht ganz stimmig, da einerseits § 202e StGB-E enthalten ist, der Qualifikationstatbestand § 202f Abs. 1 StGB-E hingegen nicht. Auch bedürfte es der gesonderten Aufnahme von § 202f Abs. 2 und 3 StGB-E nicht, da es sich um eine Qualifikationen der ebenfalls zur Aufnahme in den Katalog vorgesehenen Grundtatbestände der §§ 202a bis 202e StGB-E handelt.

Die Qualifikation des § 126a Abs. 3 StGB-E und die Verbrechenstatbestände des § 202f Abs. 2 und 3 StGB-E sollen überdies Katalogtaten der Online-Durchsuchung gemäß § 100b StPO werden. Angesichts der Erhöhung der Mindeststrafe hätte die Aufnahme auch von § 303b Abs. 2 StGB-E nahegelegen.

Auch in § 100g Abs. 2 Nr. 1 StPO-E sollen die bei § 100b StPO vorgesehenen Delikte als Katalogtaten für die Vorratsdatenspeicherung aufgenommen werden.

Neu eingeführt werden soll eine Befugnis der Strafverfolgungsbehörden, Accounts zu übernehmen und fortzuführen, § 163g StPO-E. Diese Befugnis soll nach dem Entwurf nur für die Staatsanwaltschaft und die Polizei und nicht auch allgemein für weitere Ermittlungspersonen bestehen. Die Maßnahme kann sich gegen den Verdächtigen (nicht Beschuldigten) einer Tat i.S.d. § 100g Abs. 1 StPO – also Katalogtaten i.S.d. § 100a StPO und mittels Telekommunikation begangene Straftaten – richten. Der Verdächtige wird verpflichtet, seine Nutzungsdaten an die Strafverfolgungsbehörden herauszugeben. Diese Verpflichtung kann mit den Ordnungs- und Zwangsmitteln i.S.d. § 70 StPO durchgesetzt werden. Durch die Nutzung der Zugangsdaten erlangte Erkenntnisse dürfen gegen den Verdächtigen oder dessen Angehörige nur mit Zustimmung des Verdächtigen verwendet werden. Unklar bleibt, welche Art der Nutzung des Accounts zulässig ist. Im Entwurf heißt es, man dürfe unter der virtuellen Identität mit Dritten in Kontakt treten. Eine Abgrenzung zu dem Einsatz eines Verdeckten Ermittlers (VE) und den Voraussetzungen eines VE-Einsatzes erfolgt indes nicht. Offen ist auch, für welche Zwecke die Nutzung zulässig sein soll. Eine Aufklärung der Anlasstat dürfte nicht möglich sein, da die Erkenntnisse im Zweifel nicht verwertbar sind. Ermittlungshandlungen, die erst zum Aufdecken einer Straftat führen sollen, dürften nicht der Strafverfolgung sondern der Gefahrenabwehr zuzuordnen und einer Regelung in der StPO eher nicht zugänglich sein. In Betracht kommen allenfalls Maßnahmen zur weiteren Klärung eines gegen einen Dritten bestehenden Tatverdachts, z.B. zur Erlangung von Hinweisen auf dessen Identität. Ob Maßnahmen dabei nur bei Bestehen eines Verdachts gegen den Dritten wegen einer Tat i.S.d. § 100g Abs. 1 StPO oder auch wegen jeder anderen Tat zulässig sind, bleibt offen. Auch drängt sich die Frage auf, ob bei unberechtigter Weigerung der Preisgabe der Zugangsdaten gegen den Verdächtigen der Vorwurf der Strafvereitelung durch Unterlassen begründet sein soll.

§ 163g Satz 3 StPO-E lässt überdies eine mittelbare Aushöhlung des „nemo tenetur“-Grundsatzes besorgen. Wenngleich durch das Verwertungsverbot der Verdächtige geschützt ist, greift der Verweis auf die Ordnungs- und Zwangsmitteln i.S.d. § 70 StPO eine in anderen Rechtsordnungen bereits manifeste Tendenz auf, digitale Sicherungsmechanismen durch den Zwang zur aktiven Preisgabe der Zugangsdaten zu umgehen.

Letztlich ist die Regelung aufgrund des Verwertungsverbots eine verkappte Kronzeugenregelung von erheblicher Reichweite. Legt ein wegen einer geringen Zahl von Taten Verdächtiger seine Daten offen und werden dadurch eine Vielzahl von ihm begangener schwerster bisher unbekannter Taten aufgedeckt, käme eine Verfolgung insoweit nicht in Betracht.

5. Änderung des Gesetzes über die internationale Rechtshilfe in Strafsachen (IRG)

Schließlich soll in § 67 Abs. 5 IRG-E eine Sicherung von in Umsetzung eines Rechtshilfeersuchens zu beschlagnahmenden Daten auf Anordnung der Staatsanwaltschaft oder der Polizei, auch hier sind nicht allgemein Ermittlungspersonen genannt, für bis zu 180 Tage ermöglicht werden. Diese Frist kann einmal um weitere 180 Tage verlängert werden. Damit soll eine Umsetzung der auf dem Rechtshilfeweg eingehenden Ersuchen auf Grundlage der Cybercime-Konvention gewährleistet werden. Zur Begründung wird ausgeführt, das geltende Recht sehe eine vorläufige Sicherung von Daten im Vorfeld einer Sicherstellung oder Beschlagnahme nicht vor. Die bisherige Praxis einer sofortigen Sicherstellung, also auch der Begründung staatlichen Gewahrsams, sei gegenüber der bloßen Sicherung der Daten bei dem betroffenen Anbieter eingriffsintensiver. Offen bleibt, ob eine ausschließlich auf Auslandssachverhalte beschränkte Regelung sinnvoll ist, zumal konkrete Einschränkungen der praktischen Umsetzung von eingehenden Rechtshilfeersuchen in der Begründung nicht berichtet werden.

C. Auswirkungen

Für eine detaillierte Bewertung mag es vor Abschluss der Ressortabstimmung zu früh sein, der Entwurf zeigt jedoch eindeutige Tendenzen in Richtung einer stärkeren Verpflichtung der Diensteanbieter und einer Ausweitung staatlicher Befugnisse, die wohl prägend bleiben wird. Den Diensteanbietern dürfte es schwerfallen, grundlegende Argumente vorzubringen, die diesen Kurs verändern könnten. Ebenso erscheint vor dem Hintergrund zunehmender Fälle öffentlichkeitswirksamer Cyberangriffe nachvollziehbar, die Befugnisse der Aufsichts- und Strafverfolgungsbehörden den Gegebenheiten anzupassen. In Einzelnen wirken die Regelungen indes nicht immer stimmig. Es drängt sich zudem die Frage auf, ob es nicht der Sache eher angemessen wäre, eine grundlegende Überarbeitung des materiellen und prozessualen Cyberstrafrechts unter Einbeziehung anderer bereits vorliegender Entwürfe in einem eigenständigen Gesetzentwurf vorzubereiten.


Das "größte juris zum Festpreis".

juris Spectrum

juris Spectrum

Jetzt hier informieren!

Cookies erleichtern uns die Bereitstellung und Verbesserung unserer Dienste. Mit der Nutzung unserer Webseiten erklären Sie sich einverstanden, dass wir Cookies verwenden. Der Nutzung können Sie in unserer Datenschutzrichtlinie widersprechen.

Einverstanden
X