Computerkriminalität

erschienen Februar 1997 in: Augsburg
Verlag: Selbstverlag
ISSN 1435-1684

---

Bis zum Jahre 1986 waren die Möglichkeiten, der Computerkriminalität mit den Mitteln des Strafrechts zu begegnen, recht beschränkt. Die bestehenden Straftatbestände des Strafgesetzbuches (StGB) wie auch anderer Gesetze waren auf diese Handlungen verständlicherweise nicht zugeschnitten. Insbesondere die neuen Erscheinungsformen der Wirtschaftskriminalität, die durch den zunehmenden Einsatz von Datenverarbeitungsanlagen in Wirtschaft und Verwaltung auftraten, konnten entweder nur mit Mühe unter die alten Gesetzesbestimmungen subsumiert oder aber gar nicht geahndet werden. Durch das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität vom 15.Mai 1986 und weitere gesetzgeberische Maßnahmen wurde dieser wegen des durch die Computerkriminalität verursachten erheblichen Schadens gemeinhin als unbefriedigend empfundene Zustand weitgehend beseitigt.

Es sei aber bereits an dieser Stelle hervorgehoben, daß die Gesetzesänderungen nicht zu einer Strafbarkeit der unbefugten Nutzung von Datenverarbeitungsanlagen und des unerlaubten Zugangs zu EDV-Systemen geführt haben. Insoweit überwog die Furcht des Gesetzgebers vor einer „"Überkriminalisierung"“. Dies bedeutet indes nicht, daß es hinsichtlich der unbefugten Nutzung und des unbefugten Zugangs keine rechtliche Handhabe gäbe. Insoweit kommen - abgesehen von der Computer- und Datenspionage, auf die noch einzugehen sein wird - selbstverständlich zivilrechtliche Mittel wie Schadenersatz und Kündigung in Betracht. Überdies können nach Maßgabe der Benutzungsordnungen etwa universitärer Einrichtungen weitere Rechtsfolgen an den unberechtigten Zugang z.B. zu Datennetzen geknüpft werden. So ist es üblich, daß der ohne Genehmigung bzw. gültiges Paßwort oder mit fremdem Paßwort erfolgte Zugang zu einem Datennetz den (zeitweisen) Ausschluß von der Benutzung zur Folge hat. Gleiches gilt für den Fall, daß der Nutzer in sonstiger Weise das Datennetz mißbraucht, indem er beispielsweise auf Kosten der Universität kommerzielle Anbieter anwählt, rechts- bzw. linksradikale politische Erklärungen oder Pornographie über das Netz verbreitet. In diesen Fällen kann auch ein nicht unmittelbar mit der Computerkriminalität zusammenhängender Straftatbestand verwirklicht werden.

Freilich umfaßt der Begriff der Computerkriminalität nicht - wie es die entsprechende Definition der OECD aus dem Jahre 1986 vorsah - „"any illegal, unethical, or unauthorized behaviour relating to the automatic processing and the transmission of data“". Eine derart weitreichende Begriffsbestimmung ist für die Zwecke des Strafrechts ungeeignet. Vielmehr rechnet man in Deutschland zur Computerkriminalität Taten, die bei ihrer Ausführung die Kenntnis oder den Einsatz von Computer- oder Kommunikations- und Informationstechnologie voraussetzen und die das Verfügungsrecht an immateriellen Gütern verletzen oder die Funktionsfähigkeit dieser Technologien beeinträchtigen. Strafbar sind demgemäß Computerbetrug, Fälschung beweiserheblicher Daten, Datenveränderung und Computersabotage, Computer- und Datenspionage, sog. Programm- und Chip-Piraterie sowie sonstige Datenschutzdelikte.

Computerbetrug

Nach § 263a StGB macht sich wegen sog. Computerbetrugs strafbar (Geldstrafe, Freiheitsstrafe bis zu fünf, in besonders schweren Fällen bis zu zehn Jahren), wer in Bereicherungsabsicht vorsätzlich das Ergebnis eines Datenverarbeitungsvorgangs so beeinflußt, daß das Vermögen eines anderen beschädigt wird. Es geht mithin um Manipulationen der technischen Vorgänge, bei denen durch Aufnahme von Daten und ihre Verknüpfung nach Programmen bestimmte Arbeitsergebnisse erzielt werden. Erfaßt werden zum einen sog. Inputmanipulationen, d.h. die unmittelbare oder mittelbare Eingabe falscher oder unvollständiger Daten sowie die unbefugte Eingabe von Daten durch einen Nichtberechtigten. Einen besonderen Fall bildet die Programmanipulation, mithin die unrichtige Gestaltung des Programms, also der in Form von Daten fixierten Arbeitsanweisung an den Computer. Sie umfaßt neben dem Neuschreiben ganzer Programme oder Programmteile u.a. das Hinzufügen, die Veränderung oder das Löschen einzelner Programmablaufschritte sowie die Herstellung von Umgehungen der Systemkontrollen. Schließlich erfüllen auch Veränderungen des Ablaufs der Datenverarbeitung, die sich auf das Ergebnis der Datenverarbeitung auswirken (sog. Outputmanipulationen) den Tatbestand.

Von § 263a StGB erfaßt wird insbesondere der Betrug mittels rechtswidrig erlangter oder gefälschter Codekarten für Geldausgabe- bzw. Kassenautomaten. Da indes auch die "„unbefugte Verwendung von Daten"“ geregelt ist, findet diese Vorschrift ebenfalls Anwendung auf den berechtigten Inhaber, der mit der Karte Geld abhebt, obwohl das Konto keine Deckung mehr aufweist. Als Computerbetrug einzuordnen ist zudem der Fall, daß unter Einsatz eines rechtswidrig erlangten Computerprogramms auf den Ablauf des Datenverarbeitungsvorgangs eines Geld- oder Glücksspielautomaten eingewirkt wird. Ein Blick in die Polizeiliche Kriminalstatistik des Jahres 1995 verdeutlicht, daß der Betrug mittels rechtswidrig erlangter Karten für Geldausgabe- bzw. Kassenautomaten mit insgesamt 23315 Fällen die des sonstigen Computerbetrugs (3575 Fälle) bei weitem überwiegt. Freilich darf nicht unberücksichtigt bleiben, daß in der Statistik nur die der Polizei bekanntgewordenen Straftaten erfaßt werden.

Fälschung beweiserheblicher Daten

Bei der Fälschung beweiserheblicher Daten im Sinne der § § 269, 270 StGB geht es um den Schutz der Sicherheit und Zuverlässigkeit des Rechts- und Beweisverkehrs. Dieser soll vor Beeinträchtigungen geschützt werden, die durch unberechtigt vorgenommene Datenspeicherungen oder Veränderungen an solchen Daten in Datenbanken entstehen, die als "„elektronische Urkunden"“ den normalen Urkunden gleichstehen. Strafbar macht sich, wer zur Täuschung im Rechtsverkehr vorsätzlich beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde. Umfaßt von § 269 StGB ist selbstverständlich auch der Gebrauch derart gespeicherter oder veränderter Daten. Insoweit stellt § 270 StGB klar, daß auch der Dialog zwischen Computern, mithin die Fälle einbezogen sind, in denen nicht die unmittelbare Täuschung eines Menschen, sondern die fälschliche Beeinflussung einer Datenverarbeitung bezweckt wird. Zu beachten ist in diesem Zusammenhang, daß die bloße Eingabe falscher Daten durch den Eingabeberechtigten nach den § § 269, 270 StGB nicht strafbar ist. Anders als im Falle des Computerbetrugs nimmt sich die Fälschung beweiserheblicher Daten mit lediglich 227 Fällen in der Polizeilichen Kriminalstatistik für das Jahr 1995 recht bescheiden aus. Doch stellt dies im Vergleich zu 1994 mit 179 Fällen eine Steigerung von 26,8 v.H. dar.

Der strafrechtliche Schutz umfaßt bei öffentlichen Urkunden auch deren inhaltliche Richtigkeit. Zudem hat der Gesetzgeber den Schutzbereich der § § 271 ff., 348 StGB auf falsche Speicherungen in öffentlichen Dateien erstreckt. Strafbar ist schließlich auch der Fall, daß beweiserhebliche Daten, über die der Täter nicht oder nicht ausschließlich zu verfügen berechtigt ist, löscht, unterdrückt, unbrauchbar macht oder verändert, um einem anderen Nachteil zuzufügen.

Datenveränderung und Computersabotage

Wenngleich das Löschen von Daten, an deren Verfügbarkeit und Unversehrtheit ein anderer ein unmittelbares Interesse hat, gemeinhin als Sachbeschädigung (§ 303 StGB) eingeordnet wird, werden die Vernichtung und die Veränderung von Daten während der Übermittlungsphase nicht mehr von § 303 StGB erfaßt. Nach § 303a StGB macht sich nunmehr aber strafbar (Geldstrafe, Freiheitsstrafe bis zu zwei Jahren), wer vorsätzlich und rechtswidrig unmittelbar nicht wahrnehmbare gespeicherte oder übermittelte Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Es werden mithin alle Beeinträchtigungen der Verwendbarkeit erfaßt. Dazu zählt in besonderem Maße das Einpflanzen von Computerviren oder das Einladen von crash-Programmen.

Nicht ausreichend abgedeckt von § 303a StGB wird die mit einem erheblichen wirtschaftlichen Schaden verbundenen Computersabotage. Es geht hier nicht nur um Fälle, in denen es durch Datenveränderung (crash-Programme) zu einer Störung der Datenverarbeitung kommt. Umfaßt sind vielmehr auch die Fälle, in denen (etwa durch verärgerte Mitarbeiter) EDV-Anlagen beschädigt oder gestört werden, indem z.B. Büroklammern eingeführt oder Stecker vertauscht werden. Nach § 303b StGB macht sich strafbar (Geldstrafe, Freiheitsstrafe bis zu fünf Jahren), wer eine für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde wesentliche Datenverarbeitung durch Sabotagehandlungen der soeben beschriebenen Art stört. Erfaßt von § 303b StGB wird auch der Angriff auf eigene Anlagen oder Datenträger, wenn dies zu einer Störung der für die genannten Einrichtungen vorgenommenen Datenverarbeitung führt.

Die Schwierigkeiten der Ermittlung dieser Straftaten wird durch einen Blick wiederum in die Polizeiliche Kriminalstatistik vor Augen geführt. Während im Jahr 1994 188 Fälle erfaßt wurden, steigerte sich die Zahl der der Polizei im Jahre 1995 bekanntgewordenen Delikte auf lediglich 192, was einer Steigerung von 2,1 v.H. entspricht. Die Dunkelziffer dürfte um ein Vielfaches höher liegen.

Computer- und Datenspionage

Wenngleich die unbefugte Nutzung von und der unbefugte Zugang zu EDV-Anlagen nicht strafbar ist, verhält sich dies anders im Fall der Computer- und Datenspionage. § 202a StGB stellt nämlich das unbefugte Verschaffen von besonders gesicherten, nicht für den Täter bestimmten Daten unter Strafe (Geldstrafe bzw. Freiheitsstrafe bis zu zwei Jahren). Geschützt wird durch diese Bestimmung das Geheimhaltungsinteresse des Verfügungsberechtigten. Dieses Interesse an der Geheimhaltung muß allerdings durch entsprechende Sicherungsmaßnahmen dokumentiert sein. Diese umfassen neben mechanischen (z.B. Behältnisse, Schlösser) auch Sicherungen der Hard- und Software, also Paßworte, Magnetkarten, Sperrvermerke und Datenverschlüsselungen. Personenbezogene organisatorische Maßnahmen sind allerdings nicht ausreichend. Ein „"Verschaffen“" ist gegeben, wenn der Täter Datenträger mit Daten entwendet, Daten auf einen Datenträger überträgt, eine Kopie erstellt oder auf sonstige Weise den Inhalt der Daten wahrnimmt.

Eine zusätzliche Strafbarkeit begründet § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) in bezug auf gespeicherte Betriebs- und Geschäftsgeheimnisse. Danach ist das unbefugte Verschaffen (zum Begriff des Verschaffens s.o.) dieser gespeicherten Geheimnisse strafbar, wenn der Täter zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der bloßen Absicht handelt, dem Geschäftsinhaber Schaden zuzufügen. Hervorgehoben sei, daß es anders als im Fall des § 202a StGB gemäß § 17 UWG auf eine besondere Datensicherung nicht ankommt. Die Tat kann nicht nur durch Betriebsfremde, sondern auch durch Betriebsangehörige begangen werden. Schließlich ist auch derjenige, der sich der Geheimnishehlerei schuldig macht, strafbar, mithin der, der unbefugt verschaffte Betriebs- und Geschäftsgeheimnisse unbefugt verwertet oder anderen mitteilt.

Programm- und Chip-Piraterie

Programme für die Datenverarbeitung sind urheberrechtlich geschützt, wenn sie eine "„persönliche geistige Schöpfung"“ darstellen. Wer vorsätzlich ein solches Werk ohne Einwilligung des Berechtigten vervielfältigt, verbreitet oder öffentlich weitergibt, macht sich nach den § § 106, 69a UrhG strafbar (Geldstrafe bzw. Freiheitsstrafe bis zu drei Jahren). Gleiches gilt hinsichtlich des Kopierens ohne Einwilligung. Vervielfältigt oder verbreitet der Täter das derart geschützte Programm gewerbsmäßig (§ 108a UrhG), beträgt die Höchststrafe fünf Jahre. Das ist der Fall, wenn es dem Täter darauf ankommt, sich aus wiederholter Begehung eine fortlaufende Haupt- oder auch nur Nebeneinnahmequelle von einiger Dauer und einigem Umfang zu verschaffen. Erfaßt ist also vor allem das professionelle Raubkopierertum. Im Vergleich zu 363 Fällen der privaten Software-Piraterie wurden in der Polizeilichen Kriminalstatistik des Jahres 1995 lediglich 120 Fälle der gewerblichen Software-Piraterie erfaßt. Hervorzuheben ist indes, daß dies gegenüber den für das Jahr 1994 erfaßten Fällen insgesamt eine Steigerung von 35,7 v.H. bedeutet.

Strafvorschriften enthält zudem das Gesetz über den Schutz von Topographien von mikroelektrischen Halbleitererzeugnissen vom 22.Oktober 1987, das eine europäische Richtlinie umsetzt. Gemäß § 10 macht sich strafbar, wer Mikrochips bzw. Topographien ohne Zustimmung des Berechtigten nachbildet, anbietet, in Verkehr bringt, verbreitet oder zu diesen Zwecken einführt. Nicht umfaßt ist allerdings das Kopieren zum Zwecke der Bewertung und deren geschäftlicher Verwertung.

Datenschutzdelikte

Bereits seit dem 1.1.1975 ist die unbefugte Offenbarung und Verwertung von Einzelangaben über persönliche und sachliche Verhältnisse eines anderen, die für Aufgaben der öffentlichen Verwaltung erfaßt worden sind, mit Strafe bedroht. Darunter fallen grundsätzlich nicht Mitteilungen im Behördenverkehr, es sei denn, auch diese sind gesetzlich untersagt. Gemäß § 43 Abs. 1 Bundesdatenschutzgesetz (BDSG) macht sich strafbar (Geldstrafe bzw. Freiheitsstrafe bis zu einem Jahr), wer vorsätzlich nicht offenkundige personenbezogene Daten (1) speichert, verändert oder übermittelt, (2) zum Abruf mittels automatisierten Verfahrens bereithält oder (3) abruft oder sich oder einem anderen aus Dateien verschafft. Ebenso strafbar ist gemäß Absatz 2, wer (1) die Übermittlung derart geschützter Daten durch unrichtige Angaben erschleicht, (2) entgegen den Bestimmungen des BDSG die übermittelten Daten für andere Zwecke nutzt, indem er sie an Dritte weitergibt, oder (3) bestimmte Merkmale mit den Einzelangaben zusammenführt. Handelt der Täter gegen Entgelt bzw. mit Bereicherungs- oder Schädigungsabsicht beträgt die Höchststrafe zwei Jahre. Vergleichbare Vorschriften finden sich in den Datenschutzgesetzen der Länder. Auch die Datenschutzdelikte nehmen sich in der Polizeilichen Kriminalstatistik für 1995 mit insgesamt 232 Fällen bescheiden aus. Doch auch hier ist im Vergleich zum Vorjahr (194 Fälle) eine Steigerung von 19,6 v.H. zu verzeichnen.