Zur Bekämpfung von Internet-Kriminalität soll ein neuer Straftatbestand geschaffen werden: Die Datenhehlerei. Das geht aus einem Gesetzentwurf des Bundeslandes Hessen hervor, den wir an dieser Stelle exklusiv veröffentlichen.
Letzten Juni hat die Justizministerkonferenz beschlossen, einen Straftatbestand der Datenhehlerei einzuführen. Im September hat sich der Verein Deutscher Juristentag dieser Forderung angeschlossen (und nebenbei auch Online-Durchsuchung und Vorratsdatenspeicherung gefordert). Das Land Hessen wurde beauftragt, einen Gesetzentwurf vorzulegen, den wir an dieser Stelle exklusiv veröffentlichen:
Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei (Text).
Kernstück ist dieser neue Paragraf im Strafgesetzbuch:
§ 259a – Datenhehlerei
(1) Wer Passwörter oder sonstige Sicherungscodes, welche den Zugang zu Daten (§ 202a Abs. 2) ermöglichen und die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, ankauft oder sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer Daten (§ 202a Abs. 2), die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat und welche von dem letzten befugten Inhaber durch Passwörter oder sonstige Sicherungscodes gesichert worden waren, ankauft oder sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen.
(3) Die §§ 247, 260, 260a gelten sinngemäß.
(4) Der Versuch ist strafbar.
(5) Die Absätze 1 bis 4 gelten nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen.
Hintergrund ist, dass „der Handel mit rechtswidrig erlangten digitalen Identitäten (Kreditkartendaten oder Zugangsdaten zu Onlinebanking, E-Mail-Diensten oder sozialen Netzwerken) immer mehr zu [nimmt]“.
Zwar gibt es dagegen das Übereinkommen über Computerkriminalität von 2001, den Rahmenbeschluss über Angriffe auf Informationssysteme von 2005 und das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität von 2007, mit dem der so genannte Hackerparagraf (§ 202c) eingeführt wurde.
Trotzdem gibt es „Strafbarkeitslücken“:
Diese genügen jedoch nicht, da die strafrechtliche Praxis gezeigt hat, dass weiterhin spürbare Strafbarkeitslücken bestehen. Grund hierfür ist, dass das Strafgesetzbuch in seiner gegenwärtigen Form weiterhin primär auf materielle Güter und nicht auf immaterielle Daten zugeschnitten ist. Für letztere besteht daher noch kein umfassender Schutz, auch wenn bereits einige „datenbezogene“ Straftatbestände in das Strafgesetzbuch eingefügt wurden.
Also soll ein ganz neuer Straftatbestand eingeführt werden: Die Datenhehlerei. Das klingt zunächst in Ordnung. Doch steckt der Teufel im Detail.
So soll schon allein das „sich Verschaffen“ von Passwörtern oder „Daten“ strafbar werden, wenn es in der Absicht geschieht, sich zu bereichern oder einen anderen zu „schädigen“. Die Definition von „Schädigung“ bleibt hier unklar: Zählt auch das Finden und Veröffentlichen einer Sicherheitslücke dazu?
Zudem werden gleich schwere Geschütze aufgefahren, indem der neue Straftatbestand als „schwere Straftat“ definiert wird, nach der Telekommunikationsüberwachung nach § 100a StPO angeordnet werden darf. Mit diesem Paragraf wurden auch Funkzellenabfragen und Staatstrojaner-Einsatz begründet. Der gewerbsmäßige Handel von „Daten“ wird darüber hinaus gleich zur „organisierten Kriminalität“ stilisiert.
Eine Ausnahme macht der Staat jedoch für sich selbst: Durch Absatz 5 soll der umstrittene Ankauf von Steuerdaten weiterhin möglich sein.
Dass der Gesetzesentwurf aus Hessen an Fahrt aufnimmt, zeigt der Beschluss der CSU-Landesgruppe in Wildbad Kreuth letzte Woche. Unter der Überschrift Bekämpfung der Internetkriminalität verbessern fordert die bayrische Partei ebenfalls einen solchen neuen Straftatbestand:
Angesichts der Zunahme neuer Begehungsformen setzen wir uns zudem für eine Überprüfung der entsprechenden Vorschriften des Strafgesetzbuchs ein. Hierbei müssen Strafbarkeitslücken wie beispielsweise bei der Datenhehlerei geschlossen und bisher fehlende Versuchsstrafbarkeiten ergänzt werden.
Benjamin Stöcker von der Piratenpartei Bayern hatte daraufhin ein schönes Zitat der bayerischen Justizministerin Beate Merk aus dem Jahre 2010 ausgegraben:
Da Daten anders als Autos oder Handys keine Sachen sind, kann man sie nicht stehlen. Und wo es keine gestohlene Ware gibt, da gibt es auch keine Hehlerei.
Jetzt geht es auf einmal doch. Von netzpolitik.org mit dem aktuellen Entwurf konfrontiert, kommentierte Benjamin Stöcker:
Das was wir vorliegen haben kann nur ein erster Entwurf sein. Es ist zwar richtig, den Handel mit illegal kopierten digitalen Daten und Passwörtern prinzipiell unter Strafe zu stellen. Der Entwurf schützt aber meiner Meinung nach die neu entstehende Publikative aus Hobby-Bloggern und Whistleblowerplattformen nicht, während er anscheinend berufsmäßige Journalisten schützen soll. Er geht damit an den aktuellen Realitäten der digitalen Öffentlichkeit vorbei oder soll gezielt die Freiheiten der neuen digitalen journalistischen Formen einschränken.
Was haltet ihr davon? Wird das Kind hier mit dem Bade ausgeschüttet? Fallen euch legitime Szenarien ein, die damit kriminalisiert werden und zu Hausdurchsuchungen führen können?
welche von dem letzten befugten Inhaber durch Passwörter oder sonstige Sicherungscodes gesichert worden waren
Das erinnert mich an den wirksamen Kopierschutz, aufgrund dessen man keine DVDs kopieren darf. Ich schreibe an meine offene Tür: ABGESCHLOSSEN! Wer durchgeht, wird verhaftet.
An dieser Stelle möchte ich nochmal darauf hinweisen, dass wir immer noch Geräte- und Leermedienabgaben bezahlen. Ursprünglich wurde diese eingeführt, damit die Privatkopie pauschal erlaubt werden konnte, um nicht „die Schulhöfe zu kriminalisieren“.
Heute, wo den Firmen ein Mittel an die Hand gegeben wird, die Privatkopie zu umgehen und unsere Schulhöfe voll von Kriminellen sind, bezahlen wir die immer noch. Und sie wurde vor kurzem erst erhöht. Weil… ja, weil… helft mir mal….
Also wenn ich als Whistleblower Daten erlange und weitergebe, schade ich oft dem Besitzer der Daten. Ich nutze zwar als Whistyleblower der Gesellschaft im allgemeinen, aber das wird hier ja nicht gewertet. Ist Whistleblowing jetzt ein Strafbestand?
Natürlich alles im Konjunktiv, das Gesetz ist ja nur ein Entwurf…
Sorry, alles zurück, Passwörter kann man kaum legitim whistleblowen.
Oh man, wer lesen kann ist klar im Vorteil. Doch nicht zurück, Paragraph 2 verbietet Whistleblowing. Ich verstehe nur nicht was Stöcker meint wenn er meint Journalisten seien geschützt?
In der Eklärung des Gesetzes steht zu Absatz 5, das veröffetnlichen berufliche Pflicht eines Journalisten sei, sozusagen. Das müsse man ja auch grundgesetzlich interpretieren. B
Denke nicht, dass dasAbsatz 2 das Whistleblowing verbietet. Strafbar nach dem Paragraphen ist es nur, wenn man es tut „um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen.“
Ist bei Whistleblowing beides nicht der Fall. Natürlich hat jemand vom Whistleblowing einen Image-Schaden, aber der ist ja nicht das primäre Ziel von Whistleblowing.
Hmm, aber dann muss man erstmal beweisen, dass man es nicht zum Schaden des Unternehmens sondern zum Wohle der öffentlichkeit gemacht hat. Hoffentlich gillt da das alte im Zweifel für den Angeklagten.
OOTS: Das Problem dürfte sein, dass derjenige, dessen Daten durch einen Whistleblower abgezogen werden, noch ein weiteres scharfes Schwert in die Hand bekommt, während der Whistleblower sich weiterhin nur mit einem Styropor-Schild verteidigen darf.
Klingt unausgegoren, und nicht zu Ende gedacht.
IANAL, aber mit meiner Tätigkeit als Sysadmin würde ich auch das Aufkaufen von z.B. Passwortdateien (wie die von last.fm, Sony oder LinkedIn o.ä., wenns die denn einfach so zu kaufen gäbe..) als dienlich im Sinne einer pro-aktiven Sicherung meiner IT-Systeme bezeichnen wollen, also als „berufliche Pflicht“. Darf ich das? Hält das im Zweifelsfall? Oder beginge ich damit gleich eine schwere Straftat? Oder tut das nur der Erstkäufer, dem nur an Transparenz liegt und der dann Auszüge veröffentlicht?
Sog. Diebstahl/Verlust immaterieller Güter nimmt weiter zu, wie auch das Mailaufkommen bei datalossdb.org (früher attrition.org) zeigt. Vieles davon allerdings sind auch nur dumm angelegte Sicherheitslücken oder üble Schluderigkeiten, die es aufzudecken galt. Ein deutsches Gesetz wird nix daran ändern dass es begehrte Handelsware werden kann. Wasimmer hierzulande überlegt werden greift notwendigerweise zu kurz, da auf Deutschland beschränkt. Mangels Trennschärfe bringt der Entwurf nichts, nicht einmal populistisch Wählerstimmen.
So oder so, gäbe es Dataloss Quarterly tatsächlich hätten wir immer viel zu schreiben. ;-)
Und ganz nebenbei werden damit in Zukunft auch Steuerhinterzieher geschützt werden, da dann die Grauzone, in der der Ankauf von schweizer Bank-CDs mit den Daten dieser Straftäter, deren Straftaten zu Lasten der gesamten Gesellschaft gehen, stattfindet, keiner mehr ist, sondern eindeutig unzulässig.
Bei allen Gestzentwürfen fragen ‚Cui bono‘, wem zum Nutzen? Heutzutage findet man die Antwort darauf in der Regel, wenn man der Spur des Geldes folgt, vor allem, wenn ein Gesetzentwurf von Schwarz oder Gelb eingebracht wird.
genau der gedanke kam mir auch, als ich die drei woerter „strafbestand“, „datenhelerei“ und „hessen“ las…
Hmmm ob dieses Gesetz dann wohl auch den Ankauf der sogenannten Steuer-CDs aus der Schweiz betrifft?
Dieser Entwurf erinnert mich auch an den aktuellen Fall Aaron Swartz: Ein Fall, der mich doch mal wieder sehr daran erinnert, was für ein tiefer Abgrund zwischen Recht und Gerechtigkeit klafft.
Steuersünder-CD müssen keine Authetifizierungsdaten enthalten und für die Polizei hinreichen behilflich zu sein. Sobald Informationen über illegale Aktivitäten bzw. sonstige Informationen über das Konto vorliegen, wird den Beamten der Zugriff durch schon vorhandene Rechtsmittel ermöglicht.
Was mich neben dem undefinierten „Schaden“ für Dritte stört sind die undefinierten „beruflichen“ und „dienstlichen Pflichten“.
Das Gesetz ist auf jeden Fall nicht zu Ende gedacht und zeigt deutlich auf wie trivial das Weltbild des Gesetzesschreiber über die IT-Landschaft noch immer ist. Freiwillige also private Arbeit, die „Sicherheitscodes“ involviert, wurde,wie im Artikel richtig festgestellt wird, überhaupt nicht bedacht.
Was ein Schaden ist, ist für Juristen eine recht klare Angelegenheit, auch wenn das aus dem reinen Wortlaut nicht ohne weiteres erkennbar ist.
Von der gewählten Paragraphen-Nummer her befindet man sich im Bereich der Vermögensdelikte, weshalb wohl der selbe Schadensbegriff anzuwenden ist, wie bei den anderen Delikten: Es geht um einen Vermögensschaden. Grob ist dessen Bedeutung bei Wikipedia recht gut skiziert: http://de.wikipedia.org/wiki/Verm%C3%B6gensdelikt_%28Deutschland%29
Soll aber nicht heißen, dass ich die prinzipiellen Bedenken gegen das Gesetz nicht teile ;)
Was mich neben dem undefinierten „Schaden“ für Dritte stört sind die undefinierten „beruflichen“ und „dienstlichen Pflichten“.
Das Gesetz ist auf jeden Fall nicht zu Ende gedacht und zeigt deutlich auf wie trivial das Weltbild des Gesetzesschreiber über die IT-Landschaft noch immer ist. Freiwillige also private Arbeit, die „Sicherheitscodes“ involviert, wurde,wie im Artikel richtig festgestellt wird, überhaupt nicht bedacht.
„Schwere Straftat“ – gleich die ganz schweren Geschütze. Vielleicht wäre es sinnvoller, statt den Datendiebstahl selbst unter Strafe zu stellen, die schwere der Straftat und das Strafmaß nach dem Impact zu beurteilen. Datendiebstahl kann alles oder nichts sein. Grundsätzlich muss gelten: wo kein Geschädigter, da keine Straftat (in Anspielung auf Aaron Schwartz).
Das ist ganz klar ein Anti-Wikileaks-Gesetz !!!
Hiermit vermutlich eine schwere Straftat: Das Ansurfen von Websites zum Jailbreaken meines iPhones.
Das DevTeam kommt, denke ich, durch reverse engineering an die Schwachstellen, das ist vermutlich laut Lizenzbedingungen verboten. Also kommt das DevTeam an den exploit nur rechtswidrig. Der exploit könnte als „Sicherungscode“ im Sinn des Para 1 bezeichnet werden, denn er ermöglicht mir den Zugang zu sonst versperrten Daten meines iPhones. Zumindest bei einem jailbreak reichte es, eine bestimmte website anzusurfen: ein bug im eingebauten pdf reader hat dann automatisch das iPhone entsperrt, erinnere ich mich. Ich verschaffe mir den Sicherungscode also bereits dadurch, dass ich die Seite – auch auf dem PC – ansurfe, ich bin ein Schwerverbrecher und man setzt mir den Staatstrojaner in die privaten Systeme. Dann findet man sicher noch andere vergleichbar schlimme Straftaten und die Bildzeitung stellt mich, den Gewohnheitsverbrecher, mit Name, Bild, Adresse entrüstet an den Pranger – bevor das Verfahren dann eingestellt wird (worüber die Bild aber nicht mehr berichtet).
Noch eine schwere Straftat: Der Download von Filmen und Musik ohne Kopierschutz.
Dazu muss ich etwas ausholen: Seit einigen Jahren ist das sowieso verboten, wenn die Film-/Musikdatei offensichtlich illegal erzeugt wurde. Schlimm genug – was ist schon „offensichtlich“?
Mit dem vorliegenden Gesetzentwurf geht aber sogar diese Einschränkung flöten. Ich kann einer bestimmten mp3/mp4 nicht ansehen, wo sie herkommt. An jeder beliebigen Stelle mittendrin ist die Bitfolge einer illegalen Kopie identisch zu einer legalen Privatkopie. Ich stehe im Verdacht einer schweren Straftat – bereits der Versuch ist strafbar – Staatstrojaner, Bildzeitung, siehe oben….
Auch noch ganz witzig: Der Import fremder Rechtsnormen in unser deutsches Recht. Da gibt es einen Dissidenten in einem – ganz hypothetischen – asiatischen Land. Der wird dort zu Arbeitslager verknackt, weil er über die Luftverschmutzung bloggte. Eine Straftat!! Blöd nur, dass ich sein Blog las. AUCH ICH BIN EIN STRAFTÄTER!!.