Jusletter IT

Unter dem Terminus «Computerstrafrecht» versteht man kein eigenständiges Sondergesetz innerhalb des Strafrechts, sondern spezielle Computerdelikte des Kern- und Nebenstrafrechts.

Das Computerstrafrecht im weiteren Sinn umfasst sämtliche Delikte deren Tatbestände Handlungen erfassen, die einen Bezug zur Informations- und Kommunikationstechnologie aufweisen. Dabei nimmt ein IKT-System entweder die Rolle des Tatmittels, oder aber auch die des Tatobjekts ein. Unter Computerstrafrecht iwS können also auch klassische Strafbestimmungen fallen, sofern sie auf Sachverhalte mit Bezug zur Informationstechnologie angewendet werden können (zB Ehrenbeleidigungsdelikte in e-Foren wie etwa die üble Nachrede [§ 111 StGB] oder die Beleidigung [§ 115 StGB], Veröffentlichung von verbotenen Inhalten auf Websites zB gem Verbotsgesetz, Köperverletzungs- bzw Sachbeschädigungsdelikte uÄ bei «happy slapping» oder «snuff-videos» usw). Neben dem materiellen Computerstrafrecht können auch einschlägige prozessuale Regelungen wie etwa die Auskunft über Daten einer Nachrichtenübermittlung oder die Überwachung von Nachrichten (§ 135 StPO) oder der automationsunterstütze Datenabgleich (§ 141) von diesem Begriff umfasst werden.

Das Computerstrafrecht im engeren Sinn behandelt nunmehr spezifische Computerdelikte des Kern- und Nebenstrafrechts, die explizit Praktiken erfassen sollen, die auf unerlaubte Manipulationen von Daten oder Computersystemen abstellen. Dazu zählen wir etwa die Datenbeschädigung (§ 126a StGB), die Störung der Funktionsfähigkeit eines Computersystems (§ 126b), den Missbrauch von Computerprogrammen oder Zugangsdaten (§126c), den widerrechtlichen Zugriff auf ein Computersystem (§ 118a), das missbräuchliche Abfangen von Daten (§ 119a), den betrügerischen Datenverarbeitungsmissbrauch (§ 148a), aber auch die Datenfälschung (§ 225a).

Das Computerstrafrecht ieS. (in Folge: Computerstrafrecht) unterliegt in letzter Zeit einem massiven gesetzgeberischen Wandel. Hauptsächlich wurden dabei internationale und europäische Vorgaben in die nationale Computerstrafrechtsdogmatik eingebettet. Die Umsetzung des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (ABl 2005 L 69) veranlasste den Gesetzgeber mit dem Strafrechtsänderungsgesetz 2008 (StRÄG 2008, BGBl I 2007/109) weitere Qualifikationen von einschlägigen Delikten zu schaffen bzw auch deren Strafdrohungen anzuheben. Zudem wurde auch die Gelegenheit genutzt, diverse im Begutachtungsverfahren angesprochene Änderungsvorschläge aufzugreifen und einzuarbeiten. In dieser knappen Zusammenfassung meines Vortrags vom IRIS 2009, möchte ich lediglich auf die Änderungen in § 126b StGB näher eingehen.

Tathandlungen dieser Bestimmung sind das Eingeben oder Übermitteln von Daten, um ein Computersystem schwer zu stören. Eine schwere Störung liegt vor, wenn ein Computersystem völlig lahm gelegt oder so verlangsamt wird, dass der verbleibende Gebrauchswert für den Betroffenen nicht wesentlich höher liegt als bei einem regelrechten Stillstand.

Nach der Intention des Gesetzgebers kommt es jedenfalls ausschließlich auf die Schwere der Funktionsstörung eines Computersystems an und nicht auf einen schweren Schaden, der durch die Störung der Funktionsfähigkeit erzeugt wird. Hauptanwendungsfall dieser Bestimmung wird wohl ein sog «Denial of Service»-Angriff (DoS) sein.

Äußerst interessant zeigt sich nun dieses Delikte dahingehend, dass aufgrund seiner ausdrücklichen materiellen Subsidiarität zu § 126a StGB (Datenbeschädigung) mE faktisch kaum ein Anwendungsbereich für diese Norm verbleibt.

Wird nämlich ein Computersystem dermaßen beeinträchtigt, dass ein Stillstand bzw eine dem gleichkommende Wirkung eintritt, so wird auch regelmäßig eine Datenunterdrückung iSd. § 126a vorliegen, da den Verfügungsberechtigten über die im System verarbeiteten Daten in dieser Situation der Zugriff verwehrt ist. § 126b tritt in diesem Sachverhaltsbeispiel hinter § 126a zurück. Zeigt sich die Funktionsstörung weniger stark, dass die Verfügungsberechtigten weiterhin auf ihre Daten zugreifen können, so wird wohl auch keine schwere Funktionsstörung des gesamten Computersystems iSd. § 126b vorliegen können. Natürlich wird dies stets im Einzelfall zu beurteilen sein.

Vorgegeben durch Art 6 Abs 2 des RB, der als Strafrahmen eine Freiheitsstrafe im Höchstmaß von mindestens einem bis drei Jahren vorsieht, wurde nunmehr mit dem StRÄG 2008 eine mehr als fragwürdige Qualifikation in § 126b Abs 2 neu geschaffen (siehe Gesetzestext oben).

Wird ein Computersystem durch das Eingeben oder Übermitteln von Daten dadurch schwer gestört, dass das System zum Absturz gebracht wird oder die Systemleistung einem Stillstand gleichkommt, so wird § 126b in der Regel von § 126a aufgrund der ausdrücklichen Subsidiarität verdrängt, da eine Datenunterdrückung iSd. § 126a vorliegen wird. Nunmehr wurde eine Qualifikation zu § 126b geschaffen, die einen derartigen Angriff schärfer bestrafen soll, wenn diese «schwere Störung» – die § 126b hinter § 126a zurücktreten lässt – absurderweise längere Zeit andauert. Auch eine Qualifikation teilt das Schicksal des Grunddelikts, was in unserem Beispiel im Ergebnis zur Nichtanwendbarkeit von § 126b Abs 1 und 2 führen würde.

Im Ergebnis bleibt festzuhalten, dass der österr. Gesetzgeber sehr engagiert internationale und europäische Vorgaben berücksichtigt, doch leider manchmal durch seine unbedachte Umsetzung über das Ziel hinausschießt. So werden wie im hier gegenständlichen Computerstrafrecht Tatbestände geschaffen, die einerseits viel zu eng gefasst sind, was in der Praxis zu einer massiven Minderanwendbarkeit führt (z.B. §§ 118a, 126b), und andererseits werden von grundsätzlich sehr geeigneten Tatbeständen auch Praktiken erfasst, die gar keinen erkennbaren Unwert realisieren (§ 126c).

Christian Bergauer, Karl-Franzens-Universität Graz, Institut für Rechtsphilosophie, Rechtssoziologie und Rechtsinformatik, Universitätsstraße 15, 8010 Graz
christian.bergauer@uni-graz.at