Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz (BMJ) eine Anpassung des Computerstrafrechts vor.
Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern nicht nach dem Computerstrafrecht strafbar sind. Einen entsprechenden Gesetzentwurf hat das Ministerium am 4.11.2024 veröffentlicht. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang.
Der Gesetzentwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sieht mehrere Anpassungen im Computerstrafrecht vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen. Konkret sind folgende Änderungen vorgesehen:
Tatbestandsausschluss für das Aufspüren von Sicherheitslücken:
Es soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von sog. „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. Dabei geht es um Handlungen, die in der Absicht vorgenommen werden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll § 202a StGB ergänzt werden. Nach dieser Strafnorm macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschafft. Ein neuer Abs. 3 soll klarstellen, unter welchen Umständen eine solche Handlung nicht „unbefugt“ und damit nicht strafbar ist. Der dadurch neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).
Normierung weiterer besonders schwere Fälle des Ausspähens und Abfangens von Daten:
Das Strafrecht soll für bestimmte Fälle des Ausspähens und Abfangens von Daten verschärft werden. Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen dazu um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll in der Regel vorliegen, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt. Außerdem sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird. Der Strafrahmen für diese Fälle soll auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren lauten.
Der Entwurf wurde am 4.11.2024 an Länder und Verbände verschickt und auf der Homepage des BMJ veröffentlicht. Die interessierten Kreise haben nun Gelegenheit, bis zum 13.12.2024 Stellung zu nehmen.
(BMJ PM Nr. 97/2024 vom 4.11.2024)