5 Jahre it-strafrecht.org – Rückblick & Ausblick

Vor fünf Jahren – am 04.06.2014 – veröffentlichte ich meinen ersten Beitrag auf it-strafrecht.org: Von Hackern und Spionen zum Thema Geheimnisverrat durch Mitarbeiter von Unternehmen.

Unverändert gilt das damalige Fazit: „Neben den Maßnahmen zur IT-Sicherheit, welche die Betriebsgeheimnisse vor Hackerangriffen von außen schützen, hält ein abgestufter Zugang zu den Unternehmensdaten auch den Spion unter den Mitarbeitern ab. Denn: Vertrauen ist gut, Zugangsbeschränkung ist besser!“

Aber die fortschreitende Digitalisierung und Vernetzung fast aller Geschäfts- und Lebensbereiche generiert in der Praxis der Strafverteidigung laufend neue Fragestellungen. Der Gesetzgeber erfasst neue Begehungsformen durch Schaffung weiterer Straftatbestände und verleiht Ermittlungsbehörden zusätzliche Befugnisse, Daten als Beweismittel zu erheben. Bund und Länder errichten geschulte und gesondert ausgestattete Schwerpunktabteilungen bei Ermittlern und Staatsanwaltschaften zur Bekämpfung des sog. Cybercrime. Das Landgericht Köln hat als erstes Strafgericht in Deutschland eine große Strafkammer mit der Spezialzuständigkeit für Verfahren wegen Cybercrimedelikten im engeren Sinne.

Anlässlich des fünften Geburtstags meines Blogs werfen wir einen Blick zurück, welche Straftatbestände und Ermittlungsbefugnisse der Gesetzgeber uns in den letzten fünf Jahren bereits beschert hat. Außerdem schauen wir in die Zukunft, welche weiteren Entwicklungen zu erwarten sind.

Rückblick

Neue IT-Straftatbestände

Seit dem 18.12.2015 ist die Datenhehlerei gem. § 202d StGB strafbar. Eine Entscheidung des Bundesverfassungsgerichts über die Verfassungsbeschwerde gegen den Straftatbestand ist noch nicht ergangen. Strafgerichtliche Urteile hierzu wurden bisher nicht veröffentlicht. Der Tatbestand dürfte geringe praktische Relevanz haben und erfreut sich aufgrund verschiedener dogmatischer Kritikpunkte vor allem eines akademischen Interesses.

Neue IT-Ermittlungsmaßnahmen

Am 18.12.2016 kehrte die sog. Vorratsdatenspeicherung zurück, geregelt als Erhebung von Verkehrsdaten gem. § 100g Abs. 2 StPO. Die Verfassungsbeschwerden gegen Vorschriften der Strafprozessordnung und des Telekommunikationsgesetzes in der Fassung des Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten, Az. 1 BvR 141/16, 1 BvR 229/16, 1 BvR 2023/16 und 1 BvR 2683/16, stehen im Jahr 2019 zur Entscheidung an. Die Bundesnetzagentur sieht weiterhin von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b TKG geregelten Speicherverpflichtungen gegenüber den grundsätzlich verpflichteten Unternehmen ab, vgl. Vorratsdatenspeicherung gestoppt.

Seit 24.08.2017 gibt es Ermittlungen mithilfe des sog. Staatstrojaners in Form der Quellen-Telekommunikationsüberwachung gem. § 100a Abs. 2 StPO und Online-Durchsuchung gem. § 100b StPO, vgl. Online-Durchsuchung – Ich glaub es hackt. Aus öffentlichen Quellen sind drei verschiedene Produkte bekannt:
1. Die Münchener Firma Finfisher bietet die Software Finspy an, die durch Behörden zur Gefahrenabwehr nach dem BKAG genutzt wird (2012 entwickelt, 2017 überarbeitet).
2. Das BKA hat eine eigene Software für die Quellen-TKÜ entwickelt: „Remote Communication Interception Software (RCIS)“. RCIS-Desktop wurde 2016 fertiggestellt und kann Skype auf Windows abhören (Quelle: Netzpolitik.org).
3. RCIS-Mobile existiert seit 2018 und dient dem Einsatz in Smartphones und Tablet Computern.
4. Die Fertigstellung einer Software für Online-Durchsuchungen ist für 2019 geplant.

Ausblick

Geplante IT-Straftatbestände

Das Land Hessen brachte am 17.06.2016 den Gesetzesantrag zur Unbefugten Benutzung informationstechnischer Systeme gem. § 202e StGB-E ein, vgl. Handydaten schützen. Danach soll jedes unbefugte Handeln ohne Überwindung einer technischen Zugangssicherung gem. § 202e StGB-E strafbar sein. Nach dem aktuell gültigen § 202a StGB ist hingegen das Hacken einer Schutzvorkehrung (Passwort, Verschlüsselung, etc.) erforderlich. Der Bundesrat hat am 02.03.2018 beschlossen, den Gesetzesentwurf § 202e StGB-E erneut beim Bundestag einzubringen, BR-Drs. 47-18 (B).

Im Koalitionsvertrag vom 07.02.2018 ist ein Gesetzgebungsvorhaben zum Betreiben eines Darknet-Handelsplatzes vorgesehen. Der Bundesrat brachte daher am 15.03.2019 einen Gesetzesentwurf zur Strafbarkeit des „Anbieten von Leistungen zur Ermöglichung von Straftaten“ beim Bundestag ein, der folgenden Tatbestand gem. § 126a Abs. 1 StGB-E vorsieht: „Wer eine internetbasierte Leistung anbietet, deren Zugang und Erreichbarkeit durch besondere technische Vorkehrungen beschränkt und deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten im Sinne von Satz 2 zu ermöglichen oder zu fördern, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“, BR-Drs. 33/19 (B). Bäcker / Golla kritisieren in einem lesenwerten Blogbeitrag den geplanten Tatbestand als „weit gefasste Norm mit unklaren Konturen“ und legen verfassungsrechtliche Bedenken dar: Strafrecht in der Finsternis: Zu dem Vorhaben eines „Darknet-Tatbestands“.

Geplante IT-Ermittlungsmaßnahmen

Die EU-Kommission brachte am 17.04.2018 den Vorschlag zur Einführung der Europäischen Sicherungs- und Herausgabeanordnung ein, mit der Strafverfolgungsbehörden Anbieter elektronischer Kommunikationsdienstleistungen (z.B. Google, Facebook, Apple, Microsoft, Yahoo und Twitter) unabhängig vom Speicherort der Daten direkt dazu verpflichten können, Daten für das Strafverfahren zu sichern und an die anfragende Strafverfolgungsbehörde herauszugeben, vgl. Kritik an EU-Vorschlag zur Sicherung von „e-evidence“. Burchard setzt sich in einem lesenswerten Aufsatz ausführlich mit der Entstehungsgeschichte auseinander und führt sie mit internationalen Rechtsentwicklungen zusammen: Der grenzüberschreitende Zugriff auf Clouddaten im Lichte der Fundamental-prinzipien der internationalen Zusammenarbeit in Strafsachen, Teil 1 und Teil 2.

Um die Schaffung einer Rechtsgrundlage zur zwangsweise Herausgabe der Zugangsdaten zu Benutzerkonten geht es im aktuellen Referentenentwurf des Bundesinnenministeriums, dem „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0). Dieser sieht u.a. die Einfügung des § 163g StPO-E vor: „Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.“ (Quelle: Netzpolitik.org</a

Zum Geburtstag die besten Wünsche!

Kaum ein anderer Bereich der Verteidigerpraxis ist einem stärkeren Wandel unterworfen. Es wird viel Stoff geben, um weiter auf it-strafrecht.org zu berichten.