Internetstrafrecht
Prof. Dr. Thomas Hoeren, Institut für Informations-, Telekommunikations- und Medienrecht, Universität Münster, Leonardo-Campus 9, 48149 Münster, war so freundlich, uns zu gestatten, sein Internetskript, das er im September 2010 veröffentlicht hat, auf unserer Website zu veröffentlichen.
Wir zitieren nachfolgend zum Nachlesen auszugsweise aus dem Skript, wobei wir die Nummerierung aus Vereinfachungsgründen nicht übernommen haben.
Neben der zivilrechtlichen Haftung für Rechtsverstöße erlangt auch das Internetstrafrecht eine immer größere Bedeutung. Zum einen aufgrund des Bedarfs der Strafverfolgungsbehörden, auch im Internet über hinreichende Rechts und Ermittlungsgrundlagen zu verfügen, zum anderen auch aufgrund der Tatsache, dass die Ermittlungen der Strafverfolgungsbehörden auch zu zivilrechtlichen Zwecken gebraucht werden können. So bestand bisher zivilrechtlich kein rechtlicher Anknüpfungspunkt, um von Providern die Daten rechtsverletzender Websites zu erhalten. Jedoch konnten Rechtsverletzer im Internet über den Umweg des Strafrechts ermittelt werden: Die Provider sind verpflichtet, den Strafverfolgungsbehörden nach § 100g StPO bzw. § 113 TKG Auskünfte zu erteilen, auf die mit Hilfe des Akteneinsichtsrechts gem. § 406e StPO dann auch zur Verfolgung zivilrechtlicher Ansprüche zurückgegriffen werden kann. Das dabei geforderte berechtigte Interesse besteht in der möglichen Geltendmachung zivilrechtlicher Ansprüche durch den Verletzten; mangels eigener zivilrechtlicher Möglichkeit, die in den Akten stehenden Daten zu erlangen, wäre ein Verfahren ohne Erstattung einer Strafanzeige oftmals nicht erfolgreich. Das Strafverfahren eröffnet somit vielfach erst den Weg zur Geltendmachung von Ansprüchen. Dieses Recht zur Akteneinsicht wird von den Staatsanwaltschaften jedoch restriktiv gehandhabt. Ob das Gesetz zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums, das nunmehr ausdrücklich einen zivilrechtlichen Auskunftsanspruch gegen InternetProvider vorsieht (Vgl. § 101 UrhG n.F.), diesen Umweg über das Strafverfahren in Zukunft entbehrlich machen wird, scheint zweifelhaft. Hiergegen spricht, dass der zivilrechtliche Auskunftsanspruch nur bei Rechtsverletzungen in gewerblichem Ausmaß greift und zudem der Rechteinhaber die von ihm zunächst zu tragenden Rechtsverfolgungskosten erst im Regress gegen den Rechtsverletzer geltend machen kann.
Anwendbarkeit deutschen Strafrechts
Für die Anwendbarkeit des deutschen Strafrechts sind die Regelungen der §§ 3 – 9 StGB ausschlaggebend. Im Internet ist insbesondere gem. § 9 StGB als Anknüpfungspunkt auf den Ort abzustellen, an dem die Handlung begangen oder der tatsächliche oder anvisierte Erfolg eingetreten ist.1988 Nach dem Grundgedanken der Vorschrift soll deutsches Strafrecht – auch bei Vornahme der Tathandlung im Ausland – Anwendung finden, sofern es im Inland zu der Schädigung von Rechtsgütern oder zu Gefährdungen kommt, deren Vermeidung Zweck der jeweiligen Strafvorschrift ist. Es gilt somit der Territorialitätsgrundsatz. Bei schlichten Tätigkeitsdelikten wird hierbei an den Handlungsort angeknüpft. Schwierigkeiten bereitet jedoch die Anknüpfung bei typischen Internetdelikten, weil dort der Begehungsort und der Erfolgsort aufgrund der Universalität der virtuellen Inhalte meist über die Grenzen der Nationalstaaten hinweg auseinanderfallen. Der BGH stellt dabei auf den Ort der Abrufbarkeit der Inhalte ab, unabhängig von dem Serverstandort, auf dem die Inhalte abgelegt sind, wenn diese Inhalte zu einer Verwirklichung des jeweiligen Schutzbereiches des betroffenen Tatbestandes im Inland führen können.1991 Da jedoch die meisten der in Frage kommenden Tatbestände durch das reine Abrufen der Daten und Inhalte, was aus technischer Sicht auch mit einer zumindest kurzzeitigen Speicherung der Inhalte auf dem abrufenden Computer einhergeht, verwirklicht werden können, führt dies zu einer Allzuständigkeit deutschen Strafrechts für im Internet begangene Straftaten.
Internationale Regelungen
Das Internetstrafrecht stellt einen der Rechtsbereiche dar, die die Aktualität und die Brisanz einer dringend erforderlichen globalen Rechtsharmonisierung offenlegen. Gerade hier kumulieren moralische und ethische Wertanschauungen. Diese führen im Internet, dessen Inhalte weltweit nahezu grenzenlos wahrgenommen werden können, zu Problemen, denen Nationalstaaten selbst ohnehin nicht Herr werden können und somit auf einen geschlossenen internationalen Konsens zur Kriminalitätsbekämpfung angewiesen sind. Es finden sich diesbezüglich verschiedene internationale Regelungsprojekte. Zu nennen ist hier die zur Bekämpfung der Internetkriminalität aus einem Kooperationsprojekt der Vereinten Nationen, OECD, GATT, G8 und EU hervorgegangene Convention on Cybercrime (CCC) (185. Abkommen des Europarates, verabschiedet am 23.11.2001 in Budapest) und ihr erstes Zusatzprotokoll, das sich der Bekämpfung fremdenfeindlicher Inhalte widmet. Weiterhin sind zu nennen der EU-Rahmenbeschluss des Europarates vom 24.02.2005 (2005/222/JI), die EU-Richtlinie zur Vorratsdatenspeicherung (2006/24/EG) und schließlich der im Bereich des Strafprozessrechtes ab dem 1.1.2004 eingeführte europäische Haftbefehl. Am weitesten ausgeprägt ist die Regelungsdichte sowohl in materieller als auch in prozessualer Hinsicht bei der CCC.
Cyber Crime Convention
Mit der Cyber Crime Convention wurde der erste globale Versuch gestartet, eine Harmonisierung der straf und verfahrensrechtlichen Regelungen der unterzeichnenden Staaten im Kampf gegen die Internetkriminalität zu erreichen.1992 Ergänzend zu den Vorschriften der Konvention entstand das erste Zusatzprotokoll vom 28.01.2003 in Straßburg, das weitere Strafvorschriften im Bereich rassistischer und fremdenfeindlicher Inhalte im Internet enthält. Da einige Länder, in denen die verfassungsrechtlich garantierte Meinungs- und Kommunikationsfreiheit einen hohen Stellenwert besitzt, die Konvention nicht unterzeichnet hätten, sofern dieser Teil auch Inhalt der Konvention gewesen wäre, wurde es notwendig, den Teil über rassistische und fremdenfeindliche Inhalte auszugliedern und in einem Zusatzprotokoll zu verankern.1993 Dieser Entwurf eines multilateralen, völkerrechtlichen Vertrages wird erst nach Ratifizierung durch die Vertragsstaaten wirksam.1994 Deutschland hat dieses Abkommen zwar unterzeichnet, eine Ratifizierung erfolgt in Deutschland (zumindest teilweise) mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 7.8.2007.
Die Konvention selbst besteht aus 4 Kapiteln: der Einführung, den Änderungen in den jeweiligen nationalen Gesetzen, den Zusammenarbeitsvorschriften und den Endbestimmungen. Die Vorschriften über die zu ändernden nationalen Vorschriften enthalten im strafrechtlichen Bereich Regelungen über den vorsätzlichen und unrechtmäßigen Zugriff auf Computersysteme (Art. 2), das rechtswidrige Abfangen nicht öffentlicher Computerübertragungen (Art. 3), den Eingriff in Daten (Art. 4), den Eingriff in die Funktionsweise eines Computersystems (Art. 5), den Missbrauch von Vorrichtungen (Art. 6), das Herstellen computergestützter Fälschungen (Art. 7), den computergestützten Betrug (Art. 8), Straftaten in Bezug zu Kinderpornographie (Art. 9), sowie Straftaten in Verbindung mit Verletzungen des Urheberrechts (Art. 10). Außerdem enthält die Konvention noch Regelungen zur Verantwortlichkeit bei dem Versuch und der Beteiligung an Straftaten (Art. 11) und zur Verantwortlichkeit juristischer Personen (Art. 12).
EU-Rahmenbeschluss des Europarates (2005/222/JI)
Der EU-Rahmenbeschluss des Europarates vom 24.2.2005 enthält ähnliche Regelungen wie die Cyber Crime Convention. Dieser Beschluss beinhaltet ebenfalls materielle Regelungen zu rechtswidrigen Zugriffen auf Informationssysteme (Art. 2), rechtswidrigen Systemeingriffen (Art. 3), sowie rechtswidrige Eingriffe in Daten (Art. 4). Außerdem werden Regelungen zur Beteiligung und dem Versuch an diesen Straftaten (Art. 5) getroffen. Der EURahmenbeschluss enthält zusätzliche verfahrensrechtliche Regelungen, insbesondere im Hinblick auf gerichtliche Zuständigkeiten (Art. 10). Die Umsetzungsfrist des EU-Rahmenbeschlusses lief gem. Art. 12 Abs. 1 am 16.3.2007 ab, die Umsetzung erfolgte in Deutschland mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 7.8.2007
EU Haftbefehl (2002/584/JI)
Mit Wirkung vom 1.1.2004 wurde in einem EU-Rahmenbeschluss durch den Europäischen Rat der Europäische Haftbefehl beschlossen, der die nationalen Justizbehörden verpflichtet, das Ersuchen einer nationalen Justizbehörde eines Mitgliedsstaates auf Übergabe einer Person mit einem Minimum an Kontrollen anzuerkennen. Der europäische Haftbefehl setzt eine rechtskräftige Verurteilung zu einer Haftstrafe oder eine Anordnung einer Maßregel der Sicherung von mindestens vier Monaten oder das Vorliegen einer Straftat, die mit einer Freiheitsstrafe oder freiheitsentziehenden Maßregel der Sicherheit im Höchstmaß von mindestens zwölf Monaten bedroht ist. Bei einer Strafandrohung von mindestens drei Jahren kann der Europäische Haftbefehl bezüglich diverser Tatbestände ohne Überprüfung des Vorliegens der beiderseitigen Strafbarkeit erfolgen. Zu diesen Tatbeständen zählen auch im Internet begehbare Tatbestände, wie Beteiligung an einer kriminellen Vereinigung, Rassismus und Fremdenfeindlichkeit oder Betrugsdelikte.
Nachdem das erste deutsche Gesetz über den Europäischen Haftbefehl vom BVerfG für verfassungswidrig erklärt wurde, trat mit Wirkung vom 2.8.2006 das neu geschaffene, am 25.7.2006 veröffentlichte, Gesetz in Kraft.
Aufgrund der Tatsache, dass ein Handlungsmittel wie der europäische Haftbefehl auf globaler Ebene nicht existiert, die Festnahme und Auslieferung vielmehr von bilateralen Auslieferungsabkommen abhängig ist, bereiten „GesetzesOasen“ den Straftätern im Internet immer noch eine große „Spielwiese“, um Gesetzesverletzungen zu entweichen.
Materielles Internetstrafrecht
Im Internet begangene Straftaten werden nach dem deutschen materiellen Strafrecht unter die gesetzlich vorgegebenen Normen subsumiert. Daher soll im Folgenden ein Überblick über internetspezifische Problemfälle und ihre strafrechtliche Beurteilung erfolgen.
Gewaltdarstellungen im Internet (§ 131 StGB)
In den vergangenen Monaten wurde immer häufiger in den Medien über Gewaltdarstellungen berichtet, die vor allem Jugendliche auf ihren Mobiltelefonen besitzen und die mit Hilfe der MMS-Funktion dieser Mobiltelefone auch verschickt oder aus dem Internet heruntergeladen werden können.2017In diesen Fällen kann neben der strafrechtlichen Sanktion auch ein Schulausschluss gerechtfertigt sein.2018
Das Verbreiten oder sonstige Zugänglichmachen von Darstellungen von grausamen oder sonst unmenschlichen Gewaltszenen gegenüber Menschen oder menschenähnlichen Wesen ist nach § 131 StGB strafbar. Der Verletzungserfolg dieser Vorschrift tritt bereits dann ein, wenn die Möglichkeit des Abrufens besteht. Unter einer Gewalttätigkeit wird in diesem Zusammenhang ein aggressives, aktives Tun verstanden, durch das unter Einsatz oder Ingangsetzen physischer Kraft unmittelbar oder mittelbar auf den Körper eines Menschen in einer dessen leibliche oder seelische Unversehrtheit beeinträchtigenden oder konkret gefährdenden Weise eingewirkt wird. Auch einverständliche Gewalttätigkeiten sind vom Tatbestand des § 131 StGB erfasst.
Die Formulierung, dass auch Gewalttätigkeiten gegenüber menschenähnlichen Darstellungen unter die Strafandrohung des § 131 StGB fallen, wurde mit Wirkung vom 1.4.2004 eingefügt. Zuvor waren aufgrund des strafrechtlichen Analogieverbotes solche Gewalttätigkeiten nicht erfasst. Nach der Einfügung des Begriffes „menschenähnliche Wesen“ ist § 131 StGB somit auch für Computerspiele, auch solche, die ausschließlich im Internet angeboten werden, anwendbar. Die Darstellung muss nach objektiven Maßstäben als menschenähnlich angesehen werden, wobei selbst bei ComicFiguren, die ein „menschenähnliches“ Verhalten an den Tag legen, dieses Tatbestandsmerkmal vorliegen soll. Das Tatbestandsmerkmal der grausamen oder sonst unmenschlichen Gewalttätigkeit liegt vor, wenn über die Rechtswidrigkeit der Handlung hinaus eine besondere Verwerflichkeit besteht, sodass menschlich verständliche Tätigkeiten nicht darunter fallen, auch wenn sie rechtswidrig sind.
(Kinder) Pornographie im Internet
Ein weiteres Problem ergibt sich bei (kinder-) pornographischen Angeboten im Internet. Das Internet als weltweite Plattform erweitert die Möglichkeiten, gegenseitig in Kontakt zu treten und (kinder-) pornographisches Material auszutauschen. Gleichzeitig erhöht sich aber auch das Risiko, dass pornographisches Material, das nicht für Kinder und Jugendliche unter 18 Jahren geeignet ist, von diesen abgerufen wird. Diesem Risiko wird durch die Regelungen zum Jugendschutz im Internet begegnet, die im nächsten Kapitel besprochen werden. Das deutsche Strafrecht bestraft (Kinder) Pornographie in den §§ 176, 184 ff. StGB. Durch § 184c StGB wird besonders festgelegt, dass auch durch die Verbreitung mit Hilfe Rundfunk, Medien oder Teledienste die Tatbestände der §§ 184 – 184b StGB erfüllt werden können. Der Verletzungserfolg dieser Delikte liegt bereits dann vor, wenn Dateien, unabhängig vom Standort des Servers, aus Deutschland abgerufen werden können.
Die Vorschriften des Strafrechts, die die Behandlung (kinder-) pornographischen Materials bezwecken, wurden durch das Gesetz zur Änderung der Vorschriften über die Straftaten gegen die sexuelle Selbstbestimmung (SexualdelÄndG) v. 27. Dezember 20032024 neu strukturiert. Die §§ 184 ff. StGB erhielten dadurch folgende Struktur: § 184 StGB regelt die Strafbarkeit (einfacher) pornographischer, § 184 a diejenige gewalt- und tierpornographischer, § 184b StGB diejenige kinderpornographischer Schriften, während § 184c StGB die Anwendbarkeit dieser Vorschriften auch auf Rundfunk, Medien und Teledienste beinhaltet.
Die Strafbarkeit kinderpornographischer Schriften, die in § 184b StGB geregelt ist, ist auf verschiedene Handlungsweisen aufgeteilt. Nach § 184b Abs. 1 Nr. 1 StGB ist das Verbreiten dieser Schriften strafbar. Ein Verbreiten in Bezug auf das Internet liegt dabei vor, wenn die Datei auf dem Rechner des Internetnutzers angekommen ist, unabhängig von einer Übermittlung durch den Anbieter oder einem selbständigen Zugriff durch den Nutzer. § 184b Abs. 1 Nr. 2 StGB beinhaltet die Handlungsweisen des öffentlichen Ausstellens, Anschlagens, Vorführens oder der sonstigen öffentlichen Zugänglichmachung. Das öffentliche Zugänglichmachen ist dabei bereits dann erfüllt, wenn dem Nutzer ein Lesezugriff auf die Dateien ermöglicht wird. Abschließend wird gemäß § 184b Abs. 1 Nr. 3 StGB auch die Herstellung, Beziehung, Lieferung, Vorratshaltung, sowie das Anbieten, Ankündigen, die Anpreisen, und die Einfuhr oder Ausfuhr kinderpornographischer Schriften zum Zwecke einer der in den Nummern 1 und 2 festgelegten Handlungsalternativen bestraft.
Ein Problem, das in erster Linie das Internet betrifft, ergibt sich aus dem nicht eindeutigen Wortlaut des § 184b StGB in der Frage, inwieweit die Handlungen virtueller Personen, die als Kinder oder Jugendliche dargestellt sind, unter eine Strafbarkeit des § 184b StGB fallen. Nach dem Wortlaut des § 184b Abs. 2 StGB sind neben tatsächlichen Geschehnissen auch wirklichkeitsnahe Geschehnisse unter den Tatbestand des § 184b StGB zu subsumieren. Eine Darstellung durch offensichtlich virtuelle Personen kann aber wohl nicht als wirklichkeitsnahes Geschehen beurteilt werden. Für den Betrachter ist eindeutig zu erkennen, dass es sich bei einer solchen Darstellung nicht um tatsächliche Geschehnisse handelt. Eine solche bestehende Strafbarkeitslücke kann aufgrund des strafrechtlichen Analogieverbotes auch nicht durch eine analoge Anwendung des § 184b StGB geschlossen werden. Insoweit ist die rechtliche Lage vergleichbar mit dem Tatbestand des § 131 StGB, bei dem die Darstellung virtueller Wesen vor der Einführung des Tatbestandsmerkmals „menschenähnliche Wesen“ auch nicht strafbar war. Die bestehende Regelungslücke sollte aber schnellstmöglich durch den Gesetzgeber geschlossen werden. Virtuelle Darstellungen können in derselben Weise wie reale Darstellungen das Schutzbedürfnis betreffen. Auch virtuelle Darstellungen lassen eine reale Nachahmung befürchten und sollten daher unter Strafe gestellt werden.
Im Jahre 2009 wurde zwar das Gesetz zur Erschwerung des Zugangs zu kinderpornographischen Inhalten in Kommunikationsnetzen (sog. Zugangserschwerungsgesetz) beschlossen, welches derzeit jedoch aufgrund eines Nichtanwendungserlasses des Bundesinnenministeriums wirkungslos ist. In der aktuellen Diskussion wird weiter um eine Netzsperre für (kinder-) pornographische Seiten oder alternativ deren Löschung gerungen.
Jugendschutz im Internet
Neben dem Schutz der Kinder und Jugendlichen vor sexuellem Missbrauch, der auch durch die Verbreitungsmöglichkeiten (kinder-) pornographischer Materialien, erhöht wird, besteht auch ein Schutzbedürfnis für die Entwicklung von Kindern und Jugendlichen. Zum Schutz der Kinder und Jugendlichen vor Gewaltdarstellungen und pornographischen Inhalten im Internet bestehen das Jugendschutzgesetz (JSchG) und spezieller der JugendmedienschutzStaatsvertrag (JMStV). Außerdem beinhaltet auch § 184 StGB jugendschützende Vorschriften. Die Strafbarkeit nach § 184 StGB wird dabei durch die Klausel in § 184c S. 2 eingeschränkt, wonach eine Strafbarkeit unter anderem im Internet wegen § 184 Abs. 1 entfallen kann, wenn der Anbieter durch geeignete Maßnahmen sicherstellen kann, dass sein Angebot ausschließlich für Erwachsene erreichbar ist, die geschützte Gruppe der unter 18-Jährigen diese Angebot also nicht abrufen kann.
Ein weiteres Schutzinstrument für Kinder und Jugendliche im Internet ist der JugendmedienschutzStaatsvertrag, der dem Schutz der Menschenwürde und den Jugendschutz in Rundfunk und Telemedien dienen soll (§ 1 JMStV). Er beinhaltet in § 4 Abs. 1 eine Aufzählung unzulässiger Internetangebote,2032 die durch weitere Angebote in § 4 Abs. 2 S. 1 JMStV erweitert wird. Die Angebote des § 4 Abs. 2 S. 1 JMStV sind jedoch nach § 4 Abs. 2 JMStV dann zulässig, wenn gewährleistet werden kann, dass diese Angebote nur Erwachsenen zugänglich gemacht werden, das Angebot also lediglich einer „geschlossenen Benutzergruppe“ zugänglich gemacht wird. Für die Einrichtung einer geschlossenen Benutzergruppe ist dabei ein Altersverifikationssystem einzusetzen, das der Zulassung durch die als Aufsichtsbehörde für sämtliche Anforderungen nach dem JMStV eingerichteten Kommission für Jugendmedienschutz (KJM) bedarf. Der JMStV enthält in den §§ 23, 24 Regelungen, die festlegen, dass bestimmte nach dem JMStV als unzulässig eingestufte Verhaltensweisen als Straftat oder als Ordnungswidrigkeit einzustufen sind. Der Jugendschutz im World Wide Web erfordert eine „effektive Barriere“, damit Minderjährige keinen Zugang zu pornografischen Inhalten erhalten. Dabei müssen „einfach und naheliegende Umgehungsmöglichkeiten“ ausgeschlossen werden. Dies hat der BGH entschieden und ein Altersverifikationssystem für wettbewerbswidrig erklärt, wonach vor der „Zugangsgewährung eine Personal oder Reisepassnummer und die Postzeitzahl des Ausstellungsortes angegeben werden“ müssen. Für unzulässig erachtet der Erste Zivilsenat des BGH auch ein System, bei dem „außerdem die Eingabe eines Namens, einer Adresse und einer Kreditkartennummer oder Bankverbindung erforderlich ist“. Hinsichtlich der konkreten Ausgestaltung eines wirksamen Altersverifikationssystems führten die Richter aus, dass „eine einmalige persönliche Identifizierung der Nutzer etwa durch einen Postzusteller und eine Authentifizierung bei jedem Abruf von Inhalten erforderlich ist.
Beleidigungen im Internet
Das Internet bietet mit seinen spezifischen Einrichtungen wie Foren, Blogs und Meinungsportalen einerseits vermehrte Möglichkeiten, die eigene Meinung kundzutun, andererseits aber erleichterte Missbrauchsmöglichkeiten, etwa zu Zwecken des Mobbings. Auch die Weiterentwicklung des Internet in das so genannte „Web 2.0“, bei der der Inhalt der Seiten nicht mehr nur von Anbieterseite vorgegeben wird, sondern den Benutzern hierbei selbst Möglichkeiten zur Bestimmung der Inhalte eröffnet werden, erhöht die „Mitbestimmung“ der Benutzer des Internet.
Daraus folgt aber auch eine erhöhte Gefahr der Begehung von Straftaten gegen die persönliche Ehre, wie sie in den §§ 185 ff. StGB geregelt sind. Zu beachten ist bei diesen Delikten auch immer die Abgrenzung zu dem Grundrecht der Meinungsfreiheit nach Art. 5 Abs. 1 GG. Selbst wenn in einem Onlineforum beleidigende Äußerungen an der Tagesordnung sind und das Opfer selbst zuvor sich beleidigend geäußert hat, sind diese Äußerungen als Beleidigung strafbar. Fraglich ist insbesondere, ob neben dem Äußernden selbst auch eine Strafbarkeit des Betreibers in Betracht kommt. Dabei ist eine eigene Täterschaft der Betreiber abzulehnen, da für die Annahme einer Täterschaft gefordert wird, dass eine eigene Missbilligung zum Ausdruck gebracht wird. So wurde auch die Täterschaft einer Rundfunkanstalt für während einer Fernsehsendung getätigte Beleidigungen abgelehnt. Eine Beteiligung als Gehilfe kommt dagegen dann in Betracht. Hier wird es aber wohl in den meisten Fällen am erforderlichen Vorsatz bezüglich der Haupttat (Beleidigung) fehlen, da Internetforen in erster Linie einer sich im Rahmen des Art. 5 GG haltenden Kritik dienen sollen.
Hyperlinks
Ein Spezifikum des Internets sind Hyperlinks, mit denen man von einer Seite direkt auf eine andere Seite oder deren Unterseite gelangen kann. Diese Hyperlinks können auch strafrechtlich relevant werden, wenn sie auf strafbare Inhalte verlinken. Es könnte sich dabei um ein Verbreiten der auf der verlinkten Seite angebotenen Inhalte handeln. Eine solche Strafbarkeit kann sich aus einer Täterschaft oder aber einer sonstigen Beteiligung an der auf der verlinkten Seite begangenen strafrechtlich relevanten Handlung ergeben.
Während das AG Stuttgart eine Verurteilung aufgrund des Setzens von Hyperlinks aussprach, wurde dieses Urteil in der Berufungsinstanz vom LG Stuttgart aufgehoben. Das LG stellte dabei darauf ab, dass eine Strafbarkeit – wie im vorliegenden Fall wegen Volksverhetzung – durch das Setzen von Hyperlinks nicht vorliege, wenn der Linksetzer sich in einer ausführlichen Dokumentation von den Inhalten der betreffenden Seiten distanziere.
Differenzierter wurde das Verfahren in der Revisionsinstanz vor dem OLG Stuttgart abgeschlossen. Dieses sieht in der Verlinkung mit einer strafrechtlich relevanten Seite grundsätzlich auch dann eine strafrechtliche Verantwortlichkeit, wenn sich der Linksetzer vom Inhalt der jeweiligen Seite distanziert. Es handle sich insoweit um ein täterschaftliches Zugänglichmachen der Inhalte, selbst wenn diese auf Servern im Ausland lägen. Jedoch wandte das Gericht im vorliegenden Fall die Sozialadäquanzklausel des § 86 Abs. 3 StGB an, der eine Strafbarkeit der Volksverhetzung ausschließt, wenn das Zugänglichmachen der Inhalte aufklärerischen Zwecken dient. Das Ziel der Linksetzung sei dabei aus den Begleitumständen des Hyperlinks aus objektiver Sicht zu ermitteln. Verallgemeinerungsfähig aus diesem Urteil ist wohl die Aussage, dass für die täterschaftliche Begehung eine Linksetzung ausreichen kann. Für die Sozialadäquanzklausel des § 86 Abs. 3 StGB ist dagegen auf die Gesamtumstände abzustellen.
Das BGH-Urteil „Schöner Wetten“ befasste sich mit der Strafbarkeit der HyperlinkWerbung für ausländische Glücksspiele. Es handelte dabei aus strafrechtlicher Sicht die Straftatbestände der §§ 284 StGB ab, die inzident einen Verstoß gegen die wettbewerbsrechtliche Unlauterkeit im Sinne des § 3 UWG darstellten. Das Strafanwendungsrecht führt zu einer Zuständigkeit deutscher Gerichte. Dies wird insbesondere durch § 284 Abs. 4 StGB bestärkt. Zu Rechtsunsicherheit führt jedoch die EuGH-Entscheidung „Gambelli“, die sich unter anderem mit der Niederlassungsfreiheit gem. Art. 43 EG und der Dienstleistungsfreiheit gem. Art. 46 EG beschäftigt. Der EuGH hielt in diesem Fall das strafbewehrte Verbot der Vermittlung von in Italien nicht genehmigten Sportwetten für europarechtswidrig, da dessen Motivation primär fiskalpolitischer Natur und somit ungeeignet war, die Dienstleistungsfreiheit zu beschränken. Ausdrücklich verwies er aber auf Einschränkungsmöglichkeiten zur Gefahrenabwehr. Der BGH hat die Anwendbarkeit des § 284 StGB aus zwingenden Gründen des Allgemeininteresses angenommen.2048 Unklar ist, ob und wenn ja, inwieweit sich das Urteil des EuGH2049 vom 8.9.2010 auf eine Strafbarkeit nach § 284 StGB auswirkt. Der EuGH entschied, dass der GlücksspielStaatsvertrag (GlüStV) gegen die Grundfreiheiten der Union verstößt und auch während der Zeit, die erforderlich ist, um ihn mit dem Unionsrecht in Einklang zu bringen, nicht weiter angewandt werden darf.
Insgesamt bleibt zu resümieren, dass die Haftung für Hyperlinks weder auf nationaler noch auf EU-Ebene eine einheitliche Regelung erfahren hat. Die Strafbarkeit hängt in diesem Bereich vom Einzelfall ab. Insbesondere ist zu berücksichtigen, dass für eine Teilnahmestrafbarkeit bedingter Vorsatz erforderlich ist, sowie eine nach deutschem Strafrecht eine zumindest tatbestandsmäßige und rechtswidrige Haupttat vorliegen muss. Eine solche Haupttat kann bei eindeutig nicht an den deutschen Internetnutzer adressierten Internetangeboten kaum angenommen werden.
Viren, Würmer, Trojaner, Spyware
Unter einem Virus versteht man ein sich selbst vermehrendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert. Die Benennung als „Virus“ stammt dabei von der selbständigen Verbreitungs- und Identifizierungsfunktion. Wird ein Virus einmal aktiviert, kann dieser zu einer Störung der Umgebung führen, wie z.B. der Hardware, der Software, oder des Betriebssystems. Ein Wurm verbreitet sich dagegen über Netzwerke und verbraucht Ressourcen auf den infizierten Computern. Die zusätzliche Belastung, die durch die selbständige Verbreitung der Würmer entsteht, kann einen so hohen Ressourcenverbrauch darstellen, dass dadurch ein erheblicher wirtschaftlicher Schaden entsteht. Außerdem können Würmer die Belastung von Programmen, wie z.B. Firewalls oder Mailserver erhöhen, so dass diese langsamer arbeiten oder überlastet werden. Als Trojanisches Pferd, oder auch Trojaner, werden Programme bezeichnet, die sich vordergründig als nützliche Programme darstellen, im Hintergrund aber ohne Wissen des Anwenders andere Funktionen ausfüllen, wie z.B. das Ausspionieren von Passwörtern, etc. Unter dem Begriff Spyware versteht man die im Hintergrund einer Software ablaufende Funktion, mit der Daten und Informationen ohne Wissen des Benutzers an den Hersteller der Spyware oder Dritte gesendet werden. Diese Funktion kann einerseits zur Marktforschung, andererseits aber auch zum Erstellen eigens für den Benutzer generierter Angebote benutzt werden.
Die Strafbarkeit dieser Computerschädlinge hängt von ihrer Wirkungsweise ab. Besitzen sie eine Schadensroutine, die zu einer Löschung oder Veränderung von Daten führt, ist der Tatbestand des § 303a StGB erfüllt. Demgegenüber ist die Lage bei Schädlingen ohne eine Schadensroutine im Hinblick auf § 303 StGB schwieriger einzuschätzen. Die Funktion eines Computerschädlings, sich selbst zu verbreiten und insoweit das Programm derart zu beeinflussen, dass eine selbständige Verbreitung des Schädlings durchgeführt wird, stellt ebenfalls eine nach § 303a StGB relevante Datenveränderung dar. Zu denken wäre außerdem an eine Strafbarkeit nach § 303b StGB. Hierbei ist die Tatbestandsvoraussetzung der „Störung des Datenverarbeitungsablaufs“ problematisch. Diese Voraussetzung ist mit der reinen Infizierung eines Rechners noch nicht erfüllt. Nach der Ausführung der Funktion des Computerschädlings hängt es von einer eventuell vorhandenen Schadensroutine ab, ob der Tatbestand des § 303b StGB vorliegt. Dagegen führt das bloße Verbreiten eines Schädlings, auch eines solchen mit Schadensroutine nicht zur Anwendbarkeit des § 202a StGB. Erst wenn der Schädling selbständig Daten an seinen Entwickler oder dritte Personen sendet, wobei ein dauerhafter Download der Daten nicht notwendig ist, liegt ein Ausspähen von Daten gem. § 202a StGB vor.
Die Strafbarkeit dieser Tatbestände erfordert durchweg auch den Vorsatz des Versenders, für den jedoch dolus eventualis ausreicht. Von einem Vorsatz ist bei einem bewussten Inverkehrbringen eines Computerschädlings auszugehen, während mangels Vorsatzes die Strafbarkeit bei einem unbewussten Weiterversenden des Schädlings, weil sich dieser aufgrund seiner Programmierung selbständig und ohne Wissen des Computerinhabers verbreitet, entfällt.
Phishing, Pharming
Als Phishing wird der Versuch bezeichnet, mit Hilfe von Spam-E-Mails an persönliche Daten der Internetnutzer zu gelangen. Der Internetnutzer wird dabei durch eine gefälschte E-Mail eines Kreditinstitutes gebeten, einen Link anzuklicken. Die mit diesem Link aufgerufene Seite sieht derjenigen des wirklichen Kreditinstitutes täuschend ähnlich, sodass der Nutzer der Meinung ist, er befinde sich auf der tatsächlichen Seite des Institutes. Im weiteren Verlauf wird der Nutzer gebeten, bestimmte persönliche Daten, wie Passwörter, PIN oder TAN-Nummern einzugeben. Diese Daten werden durch den Phisher abgezapft, der sie sodann selbst unbefugt benutzen kann. In einer Weiterentwicklung des Phishing, dem Pharming wird innerhalb des Computers die Zuordnung der IP-Adressen manipuliert, sodass der Internetnutzer zwar die richtige Adresse in die Browserzeile eingibt, diese aber mit einer anderen als der gewollten Seite verknüpft ist, welche wiederum die eigentlich gewollte Seite täuschend echt nachbildet. Bei beiden Varianten handelt es sich um einen Missbrauch der Umgebung des Internets.
Die Strafbarkeit des Phishing war bis zum Inkrafttreten des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität noch nicht ausreichend geklärt. Das reine Phishing – ohne zusätzliche Handlungen – sollte zwar strafwürdig sein, inwieweit aber die bisherigen Strafnormen zur strafrechtlichen Beurteilung ausreichend waren, war Gegenstand der Diskussion. In Betracht für eine Strafbarkeit kommen auch nach der Reform des Computerstrafrechts die Tatbestände des Betrugs, § 263 StGB, des Vorbereiten eines Computerbetrugs, § 263a Abs. 3 StGB, des Ausspähens von Daten § 202a StGB, der Fälschung beweiserheblicher Daten, § 269 StGB, sowie der Datenveränderung und der Computersabotage (§§ 303a Abs. 1, 303b Abs. 1 Nr. 1 StGB). In der erstinstanzlichen Rechtsprechung wurde das Phishing bislang als strafbar gem. § 263a StGB anerkannt. Ungeklärt ist nach wie vor, ob die Zusendung einer Spam-Mail allein zur täuschungsbedingten Erlangung geheimer Daten als Fälschung beweiserheblicher Daten im Sinne des § 269 StGB strafbar sein soll, während eine Strafbarkeit wegen Betrugs gem. § 263 StGB aufgrund der durch das reine Zusenden der Mail noch nicht konkretisierten Vermögensgefahr entfallen muss. Dagegen kann mit guten Gründen die Strafbarkeit im Hinblick auf die §§ 303a und 303b StGB abgelehnt werden.
Der durch das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität eingeführte Tatbestand des Vorbereitens des Ausspähens und Abfangens von Daten nach § 202c StGB erfasst nunmehr das Verschaffen von Passwörtern oder sonstigen Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2 StGB) ermöglichen, sofern eine Straftat nach §§ 202a, b StGB vorbereitet wird. Damit ist das Phishing explizit von der Vorschrift erfasst. Eine Versuchsstrafbarkeit sieht der Tatbestand hingegen nicht vor (erfolglose PhishingAttacke). Die Benutzung der im Rahmen einer Phishing-Attacke gewonnen Daten stellt dann ein Ausspähen von Daten gem. § 202a StGB dar, wenn sich mit Hilfe der gewonnenen Daten Zugang zu Daten verschafft wird, die (durch den Zugangscode) vor dem Zugriff besonders geschützt sind.2068 Zu berücksichtigen ist dabei aber, dass dem Täter zumeist nicht an der Erlangung und dem Ausspähen der personenbezogenen Daten gelegen ist, sondern er lediglich Zugang zu dem Account erlangen will, um diesen Account für seine eigenen Zwecke missbrauchen zu können. Diese Tatsachen sind bei der Prüfung des Vorsatzes zu berücksichtigen.
Das BVerfG hat drei Verfassungsbeschwerden gegen den sog. Hackerparagraphen (§ 202c StGB) als unzulässig abgewiesen. Mit dieser Entscheidung war das Gericht zwar nicht gezwungen zu überprüfen, ob die gesetzliche Regelung im Einklang mit dem Grundgesetz steht. Dennoch lässt sich anhand der Argumentation des BVerfG erkennen, dass sog. DualUseTools, also Programme, die neben einer möglichen rechtswidrigen Verwendung auch zur Systemwartung erforderlich sind, nicht unter den Tatbestand des Vorbereitens des Ausspähens und Abfangens von Daten fallen, solange sie nicht in der Absicht entwickelt wurden, sie zu diesem Zweck einzusetzen. Denn das BVerfG begründete seine Entscheidung damit, dass die Beschwerdeführer, die beruflich mit DualUseTools arbeiten und deshalb befürchteten, sich nach § 202c StGB strafbar zu machen, von der Strafvorschrift nicht unmittelbar betroffen seien, weil für sie kein Risiko einer strafrechtlichen Verfolgung bestünde. Nur Programme, die mit der Absicht entwickelt werden, sie später zur Ausspähung oder zum Abfangen von Daten einzusetzen, seien vom Tatbestand umfasst. Diese Absicht müsse sich objektiv manifestieren, der Täter also Handlungen vorgenommen haben, anhand derer man eine Absicht zur Begehung der Straftaten nach § 202a, b StGB erkennen kann. Dafür sei es nicht ausreichend, wenn das Programm lediglich dazu geeignet sei, die benannten Computerstraftaten zu begehen. Hinzukommen müsse ferner der Vorsatz, eine der genannten Straftaten zu begehen. Nicht strafbar ist es daher, wenn die jeweiligen Programme mit Einverständnis der betroffenen Person dazu verwendet werden, Angriffe auf das System zu simulieren, um beispielsweise Schwachstellen im Schutzsystem zu entdecken und zu entfernen.
Pharming dagegen ist als Computerbetrug gem. § 263a StGB strafbar, da direkt in den Datenverarbeitungsvorgang des Computers eingegriffen wird, indem die Zuordnung der Domain mit der IP-Adresse vertauscht wird. Außerdem ist es als Datenveränderung zu qualifizieren und deshalb auch gem. § 303a StGB strafbar, wie auch als Computersabotage nach § 303b Abs. 1 Nr. 1 StGB. Das Bereitstellen des eigenen Kontos zur Annahme des durch Phishing oder Pharming-Attacken transferierten Geldes stellt eine Beihilfe zu den oben genannten Delikten dar. Kommt diese Bereitstellung der Konten einer Privatperson ausschließlich durch Internet oder E-Mail-Kontakte zu Stande, muss der Kontoinhaber davon ausgehen, dass es sich um illegales Geld handelt, das aus Computerbetrügereien entstanden ist. Daher kommt für den Kontoinhaber eine Strafbarkeit wegen Geldwäsche in Betracht.
Von Nutzern des Online-Bankings wird mittlerweile erwartet, dass sie über geeignete Sicherheitseinrichtungen verfügen und diese, ebenso wie das Betriebssystem und die verwendete Software, regelmäßig aktualisieren um so eventuellem Missbrauch vorzubeugen. Ferner wird von ihnen ein gründlicher Umgang mit E-Mails insoweit gefordert, dass deutliche Hinweise auf gefälschte E-Mails erkannt werden müssen; Anhaltspunkte sind hier etwa sprachliche Fehler, abweichende Internetadressen sowie unverschlüsselte Verbindungen. Werden diese Vorkehrungen nicht getroffen, liegt Leichtfertigkeit beim Geschädigten vor.
DDosAttacken (Distributed Denail of Service)
Die Bezeichnung Denial of Service steht für einen Angriff auf einen Server mit dem Ziel, dessen Arbeitsfähigkeit erheblich oder gar vollständig einzuschränken. Wird dieser Angriff koordiniert von einer großen Anzahl von Systemen durchgeführt, so spricht man von einem Distributed Denial of Service (DDoS). Üblicherweise erfolgen diese Angriffe in Zusammenhang mit Würmern, die sich einige Zeit vor der Durchführung des Angriffs verbreiten und so programmiert sind, dass gleichzeitig der DDoSAngriff durchgeführt wird.
Bezüglich der Strafbarkeit von DoSAttacken ist zwischen der Attacke selbst und der zumeist mit einer solchen Attacke verbundenen Androhung, einen DDoSAngriff auszuführen (oft auch in Verbindung mit einer „Lösegeldforderung“), zu unterscheiden. Die DoSAttacke selbst kann – abhängig von der jeweiligen Funktionsweise – eine Unterdrückung von Daten gem. § 303a StGB bedeuten, wenn dadurch ein aktueller Datenübertragungsvorgang unterbrochen wird oder der Betreiber der Website diese nicht mehr erreichen kann und die Daten daher seiner Verfügungsmöglichkeiten über diese Daten entzogen sind.2076 Die Strafbarkeit ergibt sich nunmehr auch aus § 303b I Nr. 2 StGB (Computersabotage), der die Eingabe oder Übermittlung von Daten bestraft, wenn dies in der Absicht geschieht, einem anderen einen Nachteil zuzufügen. Es sind also insbesondere DoS und DDoSAngriffe erfasst. Auch die Veränderung des Datenbestandes an den manipulierten Computern, die zu einem vordefinierten DDoSAngriff führt, stellt eine Datenveränderung an diesem Computer gem. § 303a StGB dar.
Daneben werden insbesondere DDoSAttacken oft mit einer vorherigen Ankündigung verbunden, die wiederum die Forderung nach einem „Lösegeld“ zur Vermeidung des Angriffs enthalten kann. Es stellt sich hierbei die Frage nach einer Strafbarkeit dieses Vorgehens wegen Nötigung. Das AG Frankfurt sah im Aufruf zu einer solchen „OnlineDemonstration“ einen öffentlichen Aufruf zur Straftat der Nötigung gem. § 111 StGB, weil Dritte durch den Angriff von einem Besuch der Website abgehalten werden. Es handle sich daher um „Gewalteinwirkung“, da der Internetnutzer durch vis absoluta von einem Besuch der Website abgehalten würde. Daneben wäre aber auch das angegriffene Unternehmen selbst Opfer einer Nötigung, weil durch die Beeinflussung der Internetnutzer dem Unternehmen – im vorliegenden Fall der Lufthansa – ein bestimmtes Verhalten aufoktroyiert werden solle. Der Zusammenschluss mehrerer Personen im Onlinebereich zur Durchführung einer „Onlinedemonstration“ (die einer DDosAttacke entspricht) wäre auch nicht vom Grundrecht der Versammlungsfreiheit gem. Art. 8 GG geschützt, weil es insoweit an einem gemeinsamen Ort der Aktivität und der erforderlichen inneren Verbundenheit der Teilnehmer fehle.
Die Einordnung des Verhaltens als Nötigung wurde jedoch vom Revisionsgericht, dem OLG Frankfurt, nicht geteilt. Es handle sich weder um „Gewalt“ noch um eine „Drohung mit einem empfindlichen Übel“, sodass eine Strafbarkeit aus § 240 StGB wegen Nötigung entfalle. Dies läge daran, dass sich die Wirkung der DDosAttacke beim Internetnutzer darin erschöpfe, dass er (für die Zeit der Attacke) die Internetseite nicht aufrufen könne, was aber keine psychische Beeinträchtigung bedeute, sondern lediglich eine Sachentziehung, die aber nicht als Nötigung zu werten sei. Seit der Umsetzung des Art. 3 des EURahmenbeschlusses 2005/222/JI durch das Strafrechtsänderungsgesetz vom 20.09.2006 werden DDoS Attacken vom Straftatbestand der Computersabotage gem. § 303b StGB umfasst. Diese Umsetzung entspricht auch der diesbezüglichen Normierung in Art. 5 CCC.
Dialer
Der Begriff Dialer steht heutzutage für Einwahlprogramme ins Internet, die sich – teilweise ohne Wissen des Nutzers, teilweise absichtlich – auf dem Computer installieren und selbständig ins Internet einwählen. Diese Einwahl wird meist über Nummern durchgeführt, die besonders hohe Gebühren haben, wie z.B. 0190 oder 0900Nummern.
Die strafrechtliche Beurteilung von Dialern bereitet ausschließlich bei ohne Wissen des Nutzers installierten Dialern, oder bei denjenigen Dialern, die über die vom Nutzer geplante Einwahl hinausgehen, Probleme. Absichtlich heruntergeladene Dialer, die den Einwahlpreis für die Internetverbindung in bestimmten, dem Nutzer bekannten Fällen erhöhen, sind aus strafrechtlicher Sicht nicht relevant, da der Nutzer in diesen Fällen bewusst eine Vermögensminderung, wie auch eine Datenveränderung in Kauf nimmt. In Betracht kommt jedoch eine Strafbarkeit nach §§ 202a, 263, 263a und 303a StGB bei Dialern, die sich ohne Wissen des Nutzers auf seinem Rechner installiert und die Internetverbindungsdaten derart verändert haben, dass eine Einwahl in das Internet ausschließlich über die Nummer des Dialers erfolgt.2090 In gleicher Art und Weise zu bestrafen sind Dialer, die über die beabsichtigte Nutzung hinaus auch in anderen als den beabsichtigten und dem Nutzer bekannten Fällen die hochpreisige Internetverbindung des Dialers benutzen. Die Strafbarkeit nach § 202a StGB entfällt dabei, da der Dialer selbst weder dem Versender des Dialers noch irgendeinem Dritten selbständig Daten zusendet. Lediglich in den Fällen, in denen ein Dialer mit einem Trojaner verbunden ist, der Daten ausspionieren soll, kommt eine Strafbarkeit nach § 202a StGB in Betracht, wobei diese die Funktionsweise des Trojaners und nicht des Dialers betrifft. Dagegen liegt eine Strafbarkeit nach § 303a StGB vor, wenn sich der Dialer ohne Wissen des Nutzers installiert, weil der Dialer die Daten des Internetzugangs verändert. Dies gilt auch für die Fälle, in denen der Dialer über die beabsichtigte Nutzung hinaus sich ins Internet einwählt, da in diesem Fall zwar der Nutzer selbst eine Datenveränderung durchgeführt hat, nämlich für die beabsichtigte Einwahl, die Veränderung der Daten, die über diese Einwahl hinausgehen, aber ohne Wissen des Nutzers verändert wurden.
Auch ein Computerbetrug nach § 263a StGB liegt vor, da der Nutzer durch die Installation insoweit getäuscht würde, dass er entweder nur für die Anwahl bestimmter Seiten oder aber nie den überhöhten Preis bezahlen müsse. Daneben liegt auch der Betrugstatbestand gem. § 263 StGB bei der Verwendung von Dialern vor. Die für eine Betrugsstrafbarkeit erforderliche Vermögensverfügung besteht in dem aktiven Benutzen des Dialers und damit der überteuerten Verbindung ins Internet. Ein Verfügungsbewusstsein ist insofern nicht erforderlich. Der Vermögensschaden, der laut Buggisch „unproblematisch gegeben sein dürfte“, stellt sich aber als schwieriger zu beurteilen dar. Die Rechtsprechung verneint im Hinblick auf zivilrechtliche Zahlungsansprüche der durch Dialer entstandenen Kosten einen solchen Anspruch, bzw. steht einem Rückzahlungsanspruch positiv gegenüber, wenn die Zahlung unter Vorbehalt erfolgte. Aufgrund der eindeutigen Rechtsprechung besteht somit keine Zahlungspflicht des Nutzers, sodass eine Vermögensgefährdung nicht eingetreten sein könnte. Jedoch ist anerkannt, dass eine Vermögensgefährdung bereits dann vorliegt, wenn das Risiko eines Prozesses droht, in welchem dem Nutzer verschiedenartige Nachweisproblematiken entstehen könnten. Ein Vermögensschaden ist insoweit also ebenfalls, zumindest in Form einer konkreten Vermögensgefährdung durch die Einwahl in das Internet über einen Dialer, anzunehmen. Auch die Qualifikationstatbestände des § 263 StGB können bei Dialern vorliegen, z.B. wenn die Installierung eines Dialers gewerbsmäßig erfolgt. Die letztgenannten Tatbestände des § 263a StGB und des § 263 StGB sollen in vorliegendem Fall – entgegen der herrschenden Meinung, die eine Subsidiarität des § 263a StGB annimmt – in Idealkonkurrenz stehen, um die Doppelfunktion des Dialers, nämlich einerseits die Täuschung des Menschen, andererseits aber auch den Eingriff in den Datenverarbeitungsprozess darzulegen.
IP-Spoofing und Portscanning
Weitere Arten von Hackerangriffen stellen das IP-Spoofing und das Portscanning dar. Beim IP-Spoofing verwendet der Hacker eine falsche IP-Nummer, um so eine falsche Identität vorzuspielen. Dabei setzt der Hacker statt der eigenen ihm zugordneten IP-Adresse die IP-Adresse eines anderen Computers ein, sodass er nicht mehr als Versender des Datenpaketes identifiziert werden kann und dieses Datenpaket einem anderen Nutzer zugeordnet wird. Es wird unterschieden zwischen dem echten IP-Spoofing, bei dem der Hacker die Datenpakete von seinem eigenen Computer aus versendet und eine falsche IP-Adresse benutzt und dem unechten IP-Spoofing, bei dem der Hacker die Datenpakete vom fremden Computer aus versendet. Die dadurch vergebene IP-Adresse stimmt zwar mit dem Anschluss, von dem aus die Daten versendet wurden überein, jedoch stammen diese Daten nicht vom Anschlussinhaber, sondern von einem Dritten, nämlich dem Hacker. Portscanning dagegen bezeichnet die Hackertätigkeit, die offenen Ports eines Systems ausfindig zu machen, um dieses danach im Sinne eines klassischen DoS-Angriffs zum Erliegen zu bringen.
Für die Strafbarkeit des IP-Spoofings muss zwischen dem echten und dem unechten IP-Spoofing unterschieden werden. Das echte IP-Spoofing stellt eine Täuschung im Rechtsverkehr bei der Datenverarbeitung gem. § 269 StGB dar.2105 Der Hacker entfernt bei den von ihm versendeten Datenpaketen die (zum Beweis im Rechtsverkehr erhebliche) eigene IP-Nummer und fügt eine andere, fremde IP-Nummer dem Datenpaket bei. Er verändert damit beweiserhebliche Daten und spiegelt dem Empfänger einen anderen als den tatsächlichen Versender vor. Eine Strafbarkeit nach § 303a StGB liegt beim echten IP-Spoofing nicht vor. Der Hacker verändert zwar Daten, jedoch fehlt es an einem Zugriff für Dritte auf diese Daten. Der Tatbestand des § 303a StGB muss aber aufgrund seines Schutzzweckes und des typischen Unrechts der Vorschrift des § 303a StGB, nämlich dass jemand anderes als der Täter von der Tat betroffen sein muss, insoweit eingeschränkt werden. Der Zugriff muss daher auch für Dritte möglich sein, da ansonsten für den Dritten kein Interesse an diesen Daten besteht. Das unechte IP-Spoofing ist dagegen sowohl nach § 269 StGB strafbar, als auch nach § 303a StGB. Die strafbare Handlung in Bezug auf § 269 StGB liegt dabei auf dem Gebrauchen gefälschter Daten (der IP-Adresse des gekaperten Anschlusses), während die Datenveränderung nach § 303a StGB in der Vorspiegelung eines anderen als des wahren Versenders der Daten liegt.
Für das Portscanning kommt die Anwendbarkeit mehrerer strafrechtlicher Vorschriften in Betracht. Es könnte sich dabei um Ausspähen von Daten gem. § 202a StGB, um eine Datenveränderung nach § 303a StGB oder eine Computersabotage nach § 303b StGB handeln. Eine Strafbarkeit nach § 202a StGB entfällt, weil das reine Portscanning sich noch außerhalb einer durch Sicherungsmaßnahmen geschützten Sphäre des angegriffenen Nutzers abspielt. Durch das Portscanning verschafft sich der Angreifer also noch keinen Zugang zu besonders gesicherten Daten. Zwar kann daran gedacht werden, dass bereits der Schutz vor Portscanning durch eine Protokollierungssoftware des Nutzers, die Portscanning-Angriffe protokolliert, besteht. Jedoch genügt die reine Protokollierung nicht als geeignete Schutzmaßnahme im Sinne des § 202a StGB, da sie lediglich der Beweissicherung dient. Es besteht daher keine Strafbarkeit nach § 202a StGB. Dagegen ist eine Strafbarkeit des Portscanning anzunehmen, wenn dieses als Mittel für einen DoSAngriff benutzt wird, weil dadurch Daten im Sinne des § 303a StGB unterdrückt werden. Da für eine Datenunterdrückung das zeitweilige Entziehen der Verwendungsmöglichkeit der Daten für den Berechtigten genügt, liegt eine Strafbarkeit nach §303a StGB vor. Handelt es sich bei der angegriffenen Datenverarbeitung um eine solche von wesentlicher Bedeutung für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde, liegt auch eine Strafbarkeit nach § 303b StGB vor.
Einstellung von mangelbehafteten Angeboten ins Internet einschl. der Nutzung fremder Accounts („AccountTakeover“)
Aus strafrechtlicher Sicht kann auch die Benutzung von Onlineverkaufsplattformen oder anderen Angeboten im Hinblick auf den Verkauf nicht existenter oder nicht der Beschreibung entsprechender Gegenstände interessant werden. In Betracht kommt hier der angekündigte Verkauf von Viagra-Pillen, die sich aber als wirkungslose Pflanzenpräparate entpuppen oder das Versprechen, nach Zahlung eines bestimmten Betrages den Zugang zu einem Portal mit einer großen Anzahl von Erotikbildern zu erhalten, das sich dann aber als inhaltsleere Webseite darstellt. Wird durch diese Benutzung der Ersteigerer zu einer Überweisung des Kaufpreises gebracht, so liegt in dem Verhalten ein Betrug gem. § 263 StGB. Der „Verkäufer“ wusste von Beginn der Auktion von der fehlenden Existenz des Kaufgegenstandes und wollte den Ersteigerer zu einer Überweisung des vermeintlichen Kaufpreises, die dieser in Erwartung des Erhalts des vermeintlich gekauften Gegenstandes tätigte, „verführen“. Bei einer solchen Strafbarkeit spielt die Frage nach der Inhaberschaft an dem Account keine Rolle, größtenteils werden diese betrügerischen Vorgänge aber über fremde Accounts getätigt, zu deren Zugangsdaten der Täter mit Hilfe einer PhishingMail gekommen ist. Das Einstellen eines nicht existenten Gegenstandes selbst auf einer Onlineverkaufsplattform begründet jedoch keine Strafbarkeit zum Nachteil des realen Accountinhabers. Die Strafbarkeit wird ab dem betrügerischen Einstellen einer Auktion ausschließlich zum Nachteil etwaiger Käufer begründet.
Filesharing
Seit dem Aufbau von Filesharing-Netzwerken wie „Napster“ und „Kazaa“ im Internet, bei denen die Teilnehmer des Netzwerkes gegenseitig Dateien zum Download über das Internet bereitstellen, stellt sich die Frage nach der Strafbarkeit des Filesharing. In Frage kommt insoweit eine Strafbarkeit nach den §§ 106 ff. UrhG. Voraussetzung für diese Strafbarkeit ist eine Verletzung des Urheberrechts. Die Bereitstellung zum Download bedeutet eine öffentliche Zugänglichmachung gem. § 19a UrhG, während der Download selbst eine Vervielfältigung der Datei gem. § 16 UrhG bedeutet. Sie stellt jedoch nur dann eine Urheberrechtsverletzung dar, wenn die urheberrechtliche Schranke der Privatkopie (§ 53 UrhG) nicht einschlägig ist. Nach dem 1. Korb der Urheberrechtsreform wurde § 53 UrhG auf auf offensichtlich rechtswidrig hergestellte (!) Vorlagen beschränkt und nicht auf die Rechtmäßigkeit der öffentlichen Zugänglichmachung durch den Anbieter. Durch die Verabschiedung des 2. Korbes der Urheberrechtsreform wurde versucht, diese Unzulänglichkeit im Bereich der Privatkopie zu verbessern. Die Änderungen des UrhG beinhalten u.a., dass § 53 Abs. 1 UrhG auch dann nicht einschlägig ist, wenn die Vorlage zur Privatkopie „offensichtlich rechtswidrig öffentlich zugänglich gemacht wurde“. Diese Formulierung bedeutet, dass neben dem Anbieten auch der Download von unerlaubt online gestellten urheberrechtlich geschützten Dateien nicht mehr von der Schranke des § 53 UrhG gedeckt ist. Auch die diskutierte Einführung einer Bagatellklausel wurde nicht verabschiedet, sodass bereits der erstmalige Download eine Urheberrechtsverletzung darstellt und nach § 106 UrhG strafbar ist. Es wird davon auszugehen sein, dass Bagatelldelikte auch weiterhin vermehrt von den Staatsanwaltschaften eingestellt werden.
Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 20.09.2006
Durch das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 20.09.2006, das am 28.05.2007 in 2. und 3. Lesung im Bundestag verabschiedet wurde und am 11.8.2007 in Kraft trat, werden die Cyber Crime Convention und der EU-Rahmenbeschluss 2005/222/JI vom 24.2.2005 in deutsches Recht umgesetzt. Die Novelle sieht eine Vorverlagerung des strafrechtlichen Schutzes beim Ausspähen von Daten nach § 202a StGB vor. Ein Verschaffen der Daten ist nunmehr nicht mehr erforderlich. Schon der Zugang zu besonders gesicherten Daten wird von der neugefassten Vorschrift erfasst. Daten während des Übermittlungsvorgangs werden durch § 202b StGB (Abfangen von Daten) unabhängig von einer besonderen Zugangssicherung geschützt. Die Vorschrift betrifft alternative Kommunikationsmittel wie E-Mail, Chat und VoIP. Außerdem wurde ein so genannter „HackingTool“ Paragraph (§ 202c StGB) eingeführt, der als Vorbereitungsstraftat das Herstellen und Verbreiten von Computerprogrammen unter Strafe stellt, deren Zweck auch die Begehung einer Straftat sein kann. Die Verwirklichung des Tatbestandes erfordert hinsichtlich der Begehung einer Haupttat nach §§ 202a, b StGB dolus eventualis. Dies ist beim Bereithalten solcher Programme zum Download kritisch, da stets mit einer deliktischen Verwendung durch Dritte gerechnet werden muss. Ein Ermittlungsverfahren gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen des Verbreitens von HackingTools wurde allerdings durch die Staatsanwaltschaft Bonn mangels Anfangsverdachts nicht eröffnet. Der Tatbestand der Computersabotage nach § 303b StGB erstreckt sich nunmehr auch auf private Informationssysteme von wesentlicher Bedeutung.
Schwerpunkte unserer Kanzlei
Zögern Sie nicht, uns zu kontaktieren.
Stellen Sie hier Ihre unverbindliche Anfrage.