Rechtssicherheit für die Erforschung von IT-Sicherheitslücken: Bundesjustizministerium veröffentlicht Gesetzentwurf zum Computerstrafrecht

Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computer­strafrecht strafbar sind. Einen entsprechenden Gesetzentwurf hat das Ministerium heute veröffentlicht. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang.

Bundesjustizminister Dr. Marco Buschmann erklärt dazu:
„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“

Der Gesetzentwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sieht mehrere Anpassungen im Computerstrafrecht vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen. Konkret sind folgende Änderungen vorgesehen:

• Tatbestandsausschluss für das Aufspüren von Sicherheitslücken:
  Es soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von sog. „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. Dabei geht es um Handlungen, die in der Absicht vorgenommen werden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll § 202a Strafgesetzbuch (StGB) ergänzt werden. Nach dieser Strafnorm macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschafft. Ein neuer Absatz 3 soll klarstellen, unter welchen Umständen eine solche Handlung nicht „unbefugt“ und damit nicht strafbar ist. Der dadurch neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).

• Normierung weiterer besonders schwere Fälle des Ausspähens und Abfangens von Daten:
  Das Strafrecht soll für bestimmte Fälle des Ausspähens und Abfangens von Daten verschärft werden. Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen dazu um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll in der Regel vorliegen, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt. Außerdem sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird. Der Strafrahmen für diese Fälle soll auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren lauten.

Der Entwurf wurde heute an Länder und Verbände verschickt und auf der Homepage des Bundesministeriums der Justiz veröffentlicht. Die interessierten Kreise haben nun Gelegenheit, bis zum 13. Dezember 2024 Stellung zu nehmen. Die Stellungnahmen der Verbände werden auf der Internetseite des Bundesjustizministeriums veröffentlicht werden.

Den Entwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sowie ein Informationspapier finden Sie hier.