Professional Data Center @ CeBIT: Neues zum Hackerparagrafen

IT-Strafrecht – Der seit August 2007 geltende Hackerparagraf hat die IT-Branche mit seinen gravierenden Strafandrohungen zum Besitz und Einsatz von Hackersoftware massiv verunsichert. Trotz neuerer – scheinbar relativierender – Rechtsprechung des Bundesverfassungsgerichts kann hierzu aber keine Entwarnung gegeben werden.

Der Hackerparagraf ist in § 202 c Strafgesetzbuch (StGB) geregelt. Er war Teil eines Gesetzespakets mit Verschärfungen zum IT-Strafrecht und gilt seit dem 11.08.2007. Dabei war der Gesetzesentwurf sowohl in der IT-Praxis als auch in der straf- und IT-rechtlichen Literatur höchst umstritten. Er führte zu massiver Verunsicherung bei IT-Anwendern und insbesondere der IT-Security. Bereits im Vorfeld des Gesetzes sind bevorstehende Entwicklungen von so genannter Hackersoftware eingestellt beziehungsweise in das Ausland verlagert worden (so etwa der WLAN-Sniffer KisMAC im Juli 2007; siehe www.kismac.de). Der Chaos Computer Club hat sich in einer sehr deutlichen Stellungnahme zu gravierenden Auswirkungen des Hackerparagrafen geäußert (vgl. Stellungnahme vom 15.07.2007; veröffentlicht unter www.ccc.de).

Bisherige Risiken

Als besonders kritisch wurden vor allem folgende Verschärfungen des Hackerparagrafen angesehen:

--> Die Strafbarkeit des bloßen Zugangs zu fremden geschützten Daten, auch beim White-Hacking.

Franz-Josef Schillo, Rechtsanwalt bei Noerr LLP

--> Die Strafbarkeit des Besitzes von Malware.

--> Die nicht erfolgte Abgrenzung zwischen Malware und Dual-Use-Software (sowohl gut- als auch bösartig einsetzbare Programme) und die damit bewirkte Strafbarkeit des Besitzes von Dual-Use-Software.

--> Die Strafbarkeit der Verbreitung von Malsoftware.

Damit waren große Bereiche der IT-Security strafbar beziehungsweise unter Strafbarkeitsrisiko.

Scheinbare Relativierungen durch Bundesverfassungsgericht

Auf Grund mehrerer Verfassungsbeschwerden hat das Bundesverfassungsgericht mit Beschluss vom 18.05.2009 die Anwendung des Hackerparagrafen deutlich relativiert. Bei der konkreten Anwendung müsse

eine eindeutig kriminelle Handlungsform vorliegen. Insbesondere soll daher der Besitz und Einsatz von Dual-Use-Software nicht strafbar sein. In der IT-rechtlichen Literatur und der IT-Praxis wurde daher Entwarnung gegeben. Insbesondere wurde behauptet, dass die Straflosigkeit des Besitzes von Dual-Use-Software nunmehr rechtssicher feststehe; der Hackerparagraf sei »zahnlos« geworden.