Neuer deutscher Hacker-Paragraph kriminalisiert Informatiker

Alexander Rossnagel, Jura-Professor an der Universität Kassel, spricht von einer “Kriminalisierung erwünschten Verhaltens”. Er sagte, es bestehe nun die Gefahr, den bloßen Besitz und die informationstechnische Entwicklung von Tools zu bestrafen, die für die Identifizierung von Sicherheitslücken notwendig sind, die aber zugleich “wesensnotwendig auch zum Eindringen in Systeme verwendet werden können, ebenso wie man einen Dietrich braucht, um zu überprüfen, ob das Schloss sicher ist”.

Er lehnte es ab, das so genannte “einschränkende objektive Tatbestandsmerkmal der Zweckbestimmung für eine Straftat” anzuerkennen. Computerprogramme, so Rossnagel, haben an sich zunächst keinen Zweck. Ihre Verwendung ist entscheidend. “Selbst wenn der Entwickler einen bestimmten Zweck intendiert, können sie immer missbraucht werden”, so Rossnagel. Die Formulierung, dass die Behörden bereits bei so genanntem bedingtem Vorsatz tätig werden können, hielt er für gefährlich. “Es ist eine Vielzahl von Fällen vorstellbar, etwa der wissenschaftliche Austausch über ein Hacker-Tool zwischen Informatik-Professoren und Studenten, in denen ein Betroffener bei einer an sich legitimen Handlung in Kauf nehmen wird, dass ein Passwort oder ein Computerprogramm auch anderweitig verwendet wird.”

Wer wolle die unsachgemäße oder illegale Verwendung bei anderen Personen verhindern. Rossnagel äußerte die Befürchtung, dass die geschürte Angst, sich strafbar zu machen, die Kommunikation, den wissenschaftlichen Austauasch, ja die ganze Entwicklung und Verbesserung von Sicherheitstechnik lahm legen könne. Die Industrie und die Bürger würden wichtiger Selbstanalysemöglichkeiten beraubt, die IT-Sicherheit gefährdet. Wer sich dann anstelle der Forscher, Experten und Security-Spezialisten in Forschung und Industrie mit dem Thema beschäftigen solle, ist ihm schleierhaft.

Ferner sei die Eingangsformulierung des Paragraphen unklar. Ob die erwähnte “Vorbereitung einer Straftat” nun eine konkrete Tat erfordere, oder ein nebulöses, abstraktes Gefährdungsdelikt darstellt, das der Interpretation der ermittelnden Behörden obliegt, sei nicht klar, sagte Professor Rossnagel. Im schlimmsten Fall bestehe die Gefahr, dass auch der bloße Besitz entsprechender Tools bestraft wird, möglicherweise könnten Gerichte in einem konkreten Fall die Verwendung zum Testen von Sicherheitslücken als Schutzbehauptung werten – ganz nach Belieben.

Außerdem sei die Formulierung des “Zugangs zu Daten” viel zu weit. Nach dem Entwurf dürfte sich ein Jugendlicher strafbar machen, der sich das Premiere-Passwort seiner Eltern verschafft, selbst wenn er es letztlich gar nicht benutze, zeigte Rossnagel die Absurdität auf. Auch die Überwindung des PIN-Schutzes eines Handys dürfte ihm zufolge erfasst sein.

Rossnagel sah dringenden Handlungsbedarf und schlug – falls eine Streichung nicht gewünscht sei – folgende Änderungen vor: Zum einen will er eine Bezugnahme auf eine konkrete Tat sehen. “Das Tatbestandsmerkmal “vorbereiten” lässt sich als abstraktes Gefährdungsdelikt auslegen, sodass bereits der bloße Besitz strafbar sein könnte. Das ließe sich konkretisieren”, sagte er. Zum anderen sei die Streichung des “Eventualvorsatzes” notwendig. Das würde ihm zufolge zumindest ausschließen, die oben genannten Tätigkeiten von Wissenschaftlern zu bestrafen.