119 85 2MB
German Pages 428 Year 2009
Strafrechtliche Abhandlungen Neue Folge · Band 211
Das Erfordernis der besonderen Sicherung im StGB am Beispiel des Ausspähens von Daten, § 202a StGB Kritik und spezialpräventiver Ansatz
Von
Ralf Dietrich
asdfghjk Duncker & Humblot · Berlin
RALF DIETRICH
Das Erfordernis der besonderen Sicherung im StGB am Beispiel des Ausspähens von Daten, § 202a StGB
Strafrechtliche Abhandlungen · Neue Folge Begründet von Dr. Eberhard Schmidhäuser () em. ord. Prof. der Rechte an der Universität Hamburg
Herausgegeben von Dr. Dr. h. c. (Breslau) Friedrich-Christian Schroeder em. ord. Prof. der Rechte an der Universität Regensburg
und Dr. Andreas Hoyer ord. Prof. der Rechte an der Universität Kiel
in Zusammenarbeit mit den Strafrechtslehrern der deutschen Universitäten
Band 211
Das Erfordernis der besonderen Sicherung im StGB am Beispiel des Ausspähens von Daten, § 202a StGB Kritik und spezialpräventiver Ansatz
Von
Ralf Dietrich
asdfghjk Duncker & Humblot · Berlin
Zur Aufnahme in die Reihe empfohlen von Prof. Dr. Hans-Ludwig Günther. Die Juristische Fakultät der Eberhard-Karls-Universität Tübingen hat diese Arbeit im Jahre 2008 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
D 21 Alle Rechte vorbehalten # 2009 Duncker & Humblot GmbH, Berlin Satz: L101 Mediengestaltung, Berlin Druck: Berliner Buchdruckerei Union GmbH, Berlin Printed in Germany ISSN 0720-7271 ISBN 978-3-428-12917-1 Gedruckt auf alterungsbeständigem (säurefreiem) Papier ∞ entsprechend ISO 9706 *
Internet: http://www.duncker-humblot.de
He that will not apply new remedies must expect new evils, for time is the greatest innovator. Sir Francis Bacon (1561–1626) The Essayes, Of Innovations, 1625
Vorwort Die Gesellschaft hat sich in die lnformationsgesellschaft transformiert. Die Kriminalität hat diese Transformation bereits nachvollzogen. Mithin: Diese teils völlig neue Bedrohung wurde bislang bei weitem noch nicht ausreichend rechtswissenschaftlich und rechtspolitisch rezipiert. Eine adäquate Reaktion blieb aus. Einen Beitrag zur Aufnahme des neuen Geschehens, zur kritischen Überprüfung der bisherigen strafrechtlichen Bewertung und einer möglichen Neubewertung soll diese Arbeit leisten. Darüber und über § 202a hinaus wirft sie eine grundlegende, systematische Frage auf: Manche Rechtsgüter werden gänzlich unabhängig von ihrem faktischen Schutz strafrechtlich geschützt. Andere werden überhaupt erst strafrechtlich erfasst, wenn sie faktisch geschützt sind. Bei den nächsten steigert das Vorhandensein eines technischen Schutzes den Grundstrafrechtsschutz, während bei wiederum anderen gerade das Fehlen technischen Schutzes für eine höhere Strafe spricht. Gibt es dafür in sich und untereinander widerspruchsfreie Begründungen? Ich habe die Arbeit in meiner Assistentenzeit an der Universität Tübingen erstellt. Sie wurde im Winter 2007/2008 mit dem Titel „Die Begründung des Sicherungserfordernisses beim Ausspähen von Daten, § 202a StGB“ an der Eberhard Karls Universität Tübingen als Dissertation angenommen. Die schon anfangs abzusehende Änderung der § 202a ff. StGB wurde berücksichtigt. Die Arbeit wurde für die Veröffentlichung inhaltlich aktualisiert, die Kritik meines Doktorvaters berücksichtigt und der Titel angepasst. Ganz herzlich möchte ich Prof. Dr. Hans-Ludwig Günther für die zwei lehrreichen Jahre an seinem Lehrstuhl, die Gelegenheit zur Promotion und die neben der Assistententätigkeit dafür eingeräumte wissenschaftliche Freiheit danken. Prof. Dr. Dr. Kristian Kühl schulde ich Dank für die äußerst zügige Erstellung des Zweitgutachtens. Weiter danke ich Prof. Dr. Dr. Friedrich-Christian Schroeder und Prof. Dr. Andreas Hoyer für die Aufnahme in die Reihe „Strafrechtliche Abhandlungen“. Die Dissertation erhielt den Preis der Reinhold-und-Maria-Teufel-Stiftung als „herausragende Dissertation, die zudem das höchste Prädikat erhielt, das die Fakultät vergeben kann“. Dafür bedanke ich mich herzlich. Mein herzlicher Dank gilt den Kollegen des Lehrstuhls, zuvörderst Privatdozent Dr. Volker Haas und Christoph Dudenbostel sowie außerhalb des
8
Vorwort
Lehrstuhls, um nur zwei von vielen hervorzuheben, Dr. Edward Schramm und dem Rechtsinformatikbeauftragten Manfred Gerblinger für wertvolle Hinweise und freundschaftliche Begleitung. Weiter danke ich ebenso sehr Dr. Johanna Bätge, Andrea Pütz, Florian Schlenker und Dr. Wolf Wegener aus unserer Doktorandengruppe für inhaltlichen Rat und Unterstützung. Ebensolch großer Dank gilt für die informationstechnischen Diskussionen Marc-Oliver Pahl und den anderen Kollegen vom Wilhelm-Schickard-lnstitut für Informatik. Für verdienstvolle Korrekturunterstützung danke ich besonders neben den schon erwähnten Christoph Dudenbostel, Andrea Pütz und Marc-Oliver Pahl auch Anne Bornhak und Melitta Giel. Mein herzlichster Dank gilt Katrin Giel für ihre vielseitige Unterstützung, angefangen bei stetem Rat und fruchtbaren Hinweisen bis zu den Korrekturarbeiten. Darüber hinaus gilt er für die unermüdliche Bestärkung. Mein größter Dank gebührt meinen Eltern: Meiner Mutter, der Journalistin Birgit Dietrich, schon für manchen sprachlichen Hinweis, meinem Vater, Dipl.-Ing. Rainer Dietrich, bereits für das Begeistern für die lnformationstechnik – vor allem aber beiden dafür, dass sie die Voraussetzungen dafür geschaffen haben, dass ich diese Arbeit vollbringen konnte. Ihnen widme ich diese Arbeit. Stuttgart im April 2009
Ralf Dietrich
Inhaltsübersicht Teil 1 Rechtliche und technische Hinführung
19
A. Einführung und Gang der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Informationskriminalität und § 202a – kriminologischer Anriss . . . . . . . . II. Gang der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19 19 24
B. Derzeitiges Verständnis des § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Rechtsgut des § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Rechtsgutsträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Tatobjekt Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Bestimmung der Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Tathandlung: Ausspähen von/Verschaffen des Zugangs zu Daten . . . . . . VI. Besondere Sicherung – Auslegung nach dem derzeitigen Verständnis. . .
26 27 60 70 85 89 96
C. Phänomenologie der Ausspähtechniken – Das Wechselspiel von Angriff und Abwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 I. Tätergruppen und Tatmotive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 II. Exemplarische Ausspähtechniken/-werkzeuge . . . . . . . . . . . . . . . . . . . . . . . . 108
Teil 2 Begründung des Tatbestandsmerkmals der besonderen Sicherung A. Besondere Sicherung als Dokumentation des besonderen Sicherungsinteresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Allgemeine sozialpsychologische Erkenntnisse zur Privatheit und Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Herrschende Behauptung einer sicherungsinhärenten Dokumentation eines besonderen Geheimhaltebedürfnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Zwischenschluss und Fortgang der Untersuchung . . . . . . . . . . . . . . . . . . . . . IV. Untersuchung weiterer Sicherungsmittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
160
164 165 179 264 267 319
B. Viktimodogmatik als Begründungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321 I. Allgemeine Darlegung und Kritik der Viktimodogmatik. . . . . . . . . . . . . . . 321 II. Gesetzgeberische Motivlage der Alt- und Neufassung des § 202a StGB 327
10
Inhaltsübersicht III. Auswertung der Literatur zu § 202a StGB und zur Viktimodogmatik – besondere Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 IV. Abschließende Stellungnahme zur viktimodogmatischen Fundierung des § 202a StGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
C. Erhöhung des Handlungsunrechts, Vertiefung der Rechtsgutsverletzung oder Prävention als denkbare Begründungsmodi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Vergleich der Merkmale der besonderen Sicherungen in § 123 Abs. 1, § 202 Abs. 1, 2 und § 243 Abs. 1 S. 2 Nr. 1, 2 mit denen des § 202a . . II. Erhöhung des Handlungsunrechts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Vertiefung der Rechtsgutsverletzung wegen der Sicherung des Rechtsguts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Prävention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
357 358 365 367 369
D. Schluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Inhaltsverzeichnis Teil 1 Rechtliche und technische Hinführung
19
A. Einführung und Gang der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Informationskriminalität und § 202a – kriminologischer Anriss . . . . . . . . II. Gang der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19 19 24
B. Derzeitiges Verständnis des § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Rechtsgut des § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Rechtsgutsbegriff und Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Ansichten zum Rechtsgut des § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . a) Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Vermögen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Materielles Geheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Formelles Geheimnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Stellungnahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Wortlaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Vermögen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Materielles Geheimnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Formelles Geheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Historisch-systematische Auslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Vermögen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Materielles Geheimnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Formelles Geheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Telos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Verfassungskonforme Auslegung . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Strafandrohung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Alternative rechtsgutsbestimmende Tatbestandseinschränkungen . . . . a) Materielles Geheimnis – de lege ferenda. . . . . . . . . . . . . . . . . . . . . . . b) Sonstige Alternativen – de lege ferenda. . . . . . . . . . . . . . . . . . . . . . . . II. Rechtsgutsträger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Nichtgeeignetheit sachenrechtlicher Parallelen . . . . . . . . . . . . . . . . . . . . . 2. Informationsspezifische Kriterien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Erstmalig Speichernder – Skribent . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Geistiger Urheber. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26 27 27 30 30 32 33 34 35 37 38 38 39 39 40 43 44 45 46 49 49 54 54 57 60 61 62 62 64
12
Inhaltsverzeichnis
III.
IV.
V.
VI.
c) Derivativer Erwerber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Inhaber/Eigentümer des Datenträgers . . . . . . . . . . . . . . . . . . . . . . . . . . e) Inhaltlich Betroffener . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tatobjekt Daten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Der Datenbegriff als relativer Rechtsbegriff. . . . . . . . . . . . . . . . . . . . . . . . 2. Nicht-unmittelbare Wahrnehmbarkeit der gespeicherten Daten. . . . . . . a) Speicherarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Physische Wahrnehmbarkeit und Syntax. . . . . . . . . . . . . . . . . . . . (2) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Sonderprobleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Daten(fern)übertragung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Sonderfall: Gruppenspezifische (Nicht-)Wahrnehmbarkeit . . . . c) Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bestimmung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Derzeitige Auffassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Kritik an Einschränkungsversuchen im Hinblick auf kupierte Datenüberlassungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Trennung von Zugangssicherung und Bestimmung . . . . . . . . . . . . . . . . . 4. Relevanz von Zweck- und Nutzungsbestimmungen . . . . . . . . . . . . . . . . . 5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tathandlung: Ausspähen von/Verschaffen des Zugangs zu Daten . . . . . . . 1. Begehungsweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Problem des Verschaffens verschlüsselter Daten . . . . . . . . . . . . . . . . . . . . a) Problematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Besondere Sicherung – Auslegung nach dem derzeitigen Verständnis . . .
C. Phänomenologie der Ausspähtechniken – Das Wechselspiel von Angriff und Abwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Tätergruppen und Tatmotive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Tätergruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Tatmotive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Exemplarische Ausspähtechniken/-werkzeuge . . . . . . . . . . . . . . . . . . . . . . . . 1. „Klassischer“ und moderner Passwortdiebstahl . . . . . . . . . . . . . . . . . . . . . a) Begriffsklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Ablesen notierter Zugangsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Social Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Keylogging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Schlichtes Ausprobieren und Raten – Guessing . . . . . . . . . . . . . . . . . f) Brute-Force/Dictionary Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66 67 68 70 70 71 73 73 75 77 77 78 82 84 85 85 86 88 88 89 89 89 93 93 96 96 103 104 104 106 108 112 112 114 114 116 117 117 118
Inhaltsverzeichnis 2. Durch die technische Infrastruktur des Internet ermöglichte Techniken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Historie des Internet und ihre Auswirkungen auf die heutige Sicherheitsarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Nutzen von System„löchern“ (Exploiting). . . . . . . . . . . . . . . . . . . . . . (1) Footprinting und Mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Ping-Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Port-Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Bots/Würmer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) Trojanische Pferde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Technische Phänomenologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Rechtliche Wertung de lege lata . . . . . . . . . . . . . . . . . . . . . . . . . . . h) Dialer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i) Viren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . j) Trapdoors und Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . k) Ausnutzen transitiven Vertrauens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . l) Man-in-the-Middle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . m) Session Hijacking. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Methoden der Tarnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Masquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Verknüpfung der Techniken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
120 120 126 130 131 132 133 133 135 135 137 141 141 141 144 144 146 148 149 152 152 153 154 155 156 156 157
Teil 2 Begründung des Tatbestandsmerkmals der besonderen Sicherung A. Besondere Sicherung als Dokumentation des besonderen Sicherungsinteresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Allgemeine sozialpsychologische Erkenntnisse zur Privatheit und Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Information und Privatheit als Gegenstand strafrechtlichen Schutzes 2. Privatheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Überblick über spezifische Erkenntnisse der Verhaltensforschung. . . . 4. Herstellung und Sicherung von Privatheit . . . . . . . . . . . . . . . . . . . . . . . . . 5. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
160
164 165 166 168 169 175 178
14
Inhaltsverzeichnis II. Herrschende Behauptung einer sicherungsinhärenten Dokumentation eines besonderen Geheimhaltebedürfnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Wirkungsweise, Anwendung und Zielrichtung der Passwortabfrage . . 2. Meinungsstand zur besonderen Sicherung am Beispiel des Passwortes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Einzelne Literaturansichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zusammenfassung der herrschenden Meinung . . . . . . . . . . . . . . . . . . 3. Grundsätzliche Kritik an der Konzeption der herrschenden Meinung am Beispiel des Passwortes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Zwecke der Passwortabfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Selbst Zugangsschutz bedeutet nicht zwingend Geheimnisschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Schutz bedeutet nicht zwingend Zugangsschutz . . . . . . . . . . . . . (a) Betriebssystemebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Onlinedienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Passwortabfrage bedeutet Identifikation – jedoch nicht zwingend Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Eindeutige Dokumentation braucht Handlungsalternativen . . . . . . . c) Unspezifischer Schutz lässt nicht auf spezifische Bedeutungen schließen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Vergleich mit Sicherungen aus § 202 Abs. 1, 2, § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1, 2 StGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Sicherungen des § 202 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Einsatzzweck der Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Verschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Verschlossenes Behältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Handlungsalternative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Verschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Verschlossenes Behältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Spezifität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (5) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) § 123 StGB – Die Befriedung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Rechtsgut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Begründung des Tatbestandsmerkmals. . . . . . . . . . . . . . . . . . . . . . (3) Einsatzzweck der Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Handlungsalternative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (5) Spezifität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (6) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Sicherungen der § 243 Abs. 1 S. 2 Nr. 1 und 2 StGB . . . . . . . . . . . (1) Wirkung des Merkmals, Regelbeispieltechnik . . . . . . . . . . . . . . . (2) Begründung des Regelbeispiels . . . . . . . . . . . . . . . . . . . . . . . . . . . .
179 180 184 188 212 216 217 217 219 219 222 223 230 232 236 237 238 238 239 239 240 242 242 242 243 244 245 245 248 250 250 251 251 253 253 253
Inhaltsverzeichnis (3) Einsatzzweck der Sicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Handlungsalternative . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (5) Spezifität. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (6) Zwischenzusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Zusammenfassung und Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vergleich mit § 244 Abs. 1 Nr. 3 – Wohnungseinbruchsdiebstahl. . . . 6. Absenz des Sicherungserfordernisses des § 202b StGB . . . . . . . . . . . . . III. Zwischenschluss und Fortgang der Untersuchung . . . . . . . . . . . . . . . . . . . . . IV. Untersuchung weiterer Sicherungsmittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Ziel, Wirkungsweise und Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . b) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Antivirenprogramme (Virenscanner) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Ziel, Wirkungsweise und Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . b) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Sogenannter Kopierschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Sonstige Sicherungsmaßnahmen im weiteren Sinne . . . . . . . . . . . . . . . . 5. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Nicht-digitale physische Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Hindernisse gegenüber dem Auffinden und Verstehen – Krypto- und Steganographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Kurzglossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Verschlüsselung und Verstecken – nicht nur historisch Verwandte d) Alternativlosigkeit von Kryptographie und Steganographie bei der Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Digitales Verstecken im Allgemeinen . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Ziel, Anwendungstechnik und Gegenmaßnahmen . . . . . . . . . . . (2) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) Moderne Steganographie i. e. S. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Ziel, Anwendungstechnik und Gegenmaßnahmen . . . . . . . . . . . (2) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) Kryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Anwendungstechnik und Gegenmaßnahmen . . . . . . . . . . . . . . . . (2) Rechtliche Wertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Schutz vor dem intellektuellen Zugang zu Daten. . . . . . . . (b) Wertung nach der Dokumentationstheorie . . . . . . . . . . . . . . h) Erhöhter Schutz durch Kombination von Zugangsschutz, Verschlüsselung und Täuschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Grundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Moderner kombinierter Schutz von Daten am Beispiel von TrueCrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15 256 258 259 259 260 261 263 264 267 269 269 270 272 272 276 277 280 281 282 287 287 287 288 292 295 295 297 299 299 301 303 304 309 309 313 315 315 315 319
16
Inhaltsverzeichnis
B. Viktimodogmatik als Begründungsmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Allgemeine Darlegung und Kritik der Viktimodogmatik . . . . . . . . . . . . . . . 1. Kurze Einführung in die Viktimodogmatik . . . . . . . . . . . . . . . . . . . . . . . . 2. Allgemeine Thesen für und wider die Viktimodogmatik . . . . . . . . . . . . II. Gesetzgeberische Motivlage der Alt- und Neufassung des § 202a StGB 1. § 202a StGB in der Fassung von 1986 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. § 202a StGB in der Fassung von 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Auswertung der Literatur zu § 202a StGB und zur Viktimodogmatik – besondere Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Schwerpunktmäßig viktimodogmatische Literatur . . . . . . . . . . . . . . . . . . a) Allenfalls bedingte Übertragung der Thesen zum Betrug auf § 202a StGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Suche nach übertragbaren Thesen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Amelungs Nennung der §§ 201 ff. StGB als aus viktimodogmatischer Perspektive betrachtbar . . . . . . . . . . . . . . . . . . . . . . (2) Schünemanns Entwicklung der Viktimodogmatik . . . . . . . . . . . . (3) R. Hassemers Unterscheidung von Beziehungs- und Zugriffsdelikten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Arzts Tatbestandsrestriktionen, insb. bei Geheimnisschutzdelikten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (5) Bleis Problemverlagerung und monistische Interpretation des § 298 Abs. 1 Nr. 2 StGB a. F. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (6) Zwischenzusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Literatur mit dem Fokus § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Regelmäßig bloße Nennung viktimodogmatischer Erwägungen . . . b) Schünemanns allgemeines und besonderes Eintreten für die Viktimodogmatik bei § 202a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Abschließende Stellungnahme zur viktimodogmatischen Fundierung des § 202a StGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Erhöhung des Handlungsunrechts, Vertiefung der Rechtsgutsverletzung oder Prävention als denkbare Begründungsmodi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Vergleich der Merkmale der besonderen Sicherungen in § 123 Abs. 1, § 202 Abs. 1, 2 und § 243 Abs. 1 S. 2 Nr. 1, 2 mit denen des § 202a . . 1. Sicherungen des § 202 Abs. 1 und 2 StGB . . . . . . . . . . . . . . . . . . . . . . . . 2. Begründung der Befriedung des § 123 Abs. 1 StGB . . . . . . . . . . . . . . . . 3. Begründung der Regelbeispiele des § 243 Abs. 1 S. 2 Nr. 1 und 2 StGB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Erhöhung des Handlungsunrechts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Vertiefung der Rechtsgutsverletzung wegen der Sicherung des Rechtsguts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Prävention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Prävention als anerkannter Strafzweck . . . . . . . . . . . . . . . . . . . . . . . . . . . .
321 321 321 324 327 327 331 332 333 333 336 336 336 336 338 341 343 344 344 347 355 357 358 359 360 362 363 365 367 369 369
Inhaltsverzeichnis 2. Bruch der Sicherung als Beweis der besonderen Gefährlichkeit des Täters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vorverlagerung präventiver Strafzumessungserwägungen auf Tatbestandsebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Systematische Passung der Begründung. . . . . . . . . . . . . . . . . . . . . . . . . . . a) Begründungskonkordanz von Bereichssicherungen . . . . . . . . . . . . . . b) Widerspruchsfreiheit mit dem Nichterfordernis der Sicherung in § 202b und § 244 Abs. 1 Nr. 3 StGB. . . . . . . . . . . . . . . . . . . . . . . . . . (1) § 202b StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) § 244 Abs. 1 Nr. 3 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Kollisionsfreiheit mit § 243 Abs. 1 S. 2 Nr. 6 StGB . . . . . . . . . . . . d) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Ausgewählte praktische Folgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
372 374 377 378 378 378 379 379 382 382
D. Schluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
Teil 1
Rechtliche und technische Hinführung A. Einführung und Gang der Arbeit Die Arbeit befasst sich zunächst kritisch mit der Bedeutung und Begründung des Sicherungserfordernisses beim Ausspähen von Daten. Die rechtliche Wertung bedient sich unter anderem technischer, sozialpsychologischer, historischer und systematischer Zwischenuntersuchungen. Weiter kann über dieses Exempel hinaus die grundlegende strafrechtliche Diskussion eröffnet werden, ob und weshalb faktische Sicherungen straferhöhend oder gar strafbegründend sein sollen. Und ob die bislang angebotenen Begründungen stimmig sind.
I. Informationskriminalität und § 202a – kriminologischer Anriss „Mit der Informationsgesellschaft beginnt [. . .] ein neues Zeitalter, das Informationszeitalter“. Die deutsche Bundesregierung wählt diese Feststellung1 zur Basis ihrer Prognose, dass die modernen Informations- und Kommunikationstechniken einen technisch-wirtschaftlichen Wandel auslösen werden, „der in Ausmaß und Folgewirkungen mit dem Übergang von der Agrar- zur Industriegesellschaft zu vergleichen ist“2. Mancher Experte meint, die Auswirkungen dieser „zweiten industriellen Revolution“ würden die der ersten gar weit übertreffen.3 Die Enquete-Kommission „Zukunft der Medien in Wirtschaft und Gesellschaft“ wählt den plastischen Ausruf Roland Bergers „Kein Stein wird auf dem anderen bleiben!“, um ihren Schlussbericht zu Deutschlands Weg in die Informationsgesellschaft einzuleiten.4 Sie nennt die durch den Eintritt 1 Diese – nun über zehn Jahre alte – Feststellung trifft der „Rat für Forschung, Technologie und Innovation“, der als Beratungsgremium die Bundesregierung (Hrsg.) begleitet, in: Informationsgesellschaft – Chancen, Innovationen und Herausforderungen, 1995, S. 10. 2 Bericht der Bundesregierung (Hrsg.), Info 2000 – Deutschlands Weg in die Informationsgesellschaft, 1996, BT-Drs. 13/4000, Kap. I. 1., S. 15. 3 So Sieber schon in Jura 1993, 561, 562.
20
Teil 1: Rechtliche und technische Hinführung
ins Computerzeitalter ausgelösten Umwälzungen und Einflüsse auf die Weltgeschichte in einem Atemzug mit denen durch die Erfindung des Buchdrucks, der Dampfmaschine und des Telefons.5 Wie auch in jenen Bereichen bedeuten diese technischen Revolutionen massivste Einflüsse wirtschaftlicher und gesellschaftlicher Art, die ihre Wirkung auf das Recht nicht verfehlen: „Neue Technik bringt neues Recht hervor.“6 Nahezu jeder Aspekt des „analogen“ Lebens findet einen Bezug zum elektronischen: Waren werden gehandelt, Partnerschaften angebahnt, Wissen ausgetauscht, Informationen und Sachverhalte jeglicher Art elektronisch erfasst und verwaltet, „virtuelle Welten“ tun sich auf. Es war nur eine Frage der Zeit, bis diese Umwälzungen und neuen Möglichkeiten Begehrlichkeiten weckten, die als kriminell einzustufen sind. Daten werden auf Computern ebenso manipuliert wie auf Urkunden; verbotenes Material wird ausgetauscht, rassistische Hetze betrieben und Daten werden sabotiert. Ein wesentlicher Bestandteil des sogenannten Cybercrime ist die Datenspionage, das Ausspähen fremder elektronisch niedergelegter Daten. Sie wird als Computerkriminalität im engeren Sinne bezeichnet7 und ist Gegenstand dieser Arbeit. Hacking etwa gilt bereits seit den achtziger Jahren in der juristischen Literatur als Form der Computerkriminalität.8 Lampe erkannte schon 1975, dass die Datenspionage eines der gefährlichsten Wirtschaftsdelikte darstellt.9 Ob Computerspionage dabei die zweithäufigste Deliktsform im Bereich der Computerkriminalität bildet, oder welchen quantitativen Stellenwert sie einnimmt, kann nicht mit Sicherheit beantwortet werden.10 Es seien dennoch einige Worte zum kriminologischen Hintergrund angemerkt. In Rechtsprechung und Literatur führt § 202a nahezu ein Schattendasein. Wirklich vertiefte Stellungnahmen finden sich selten. Dabei gibt es 4 Deutschlands Weg in die Informationsgesellschaft/Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft; Deutscher Bundestag (Hrsg.), 1998, S. 5. 5 Deutschlands Weg in die Informationsgesellschaft/Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft; Deutscher Bundestag (Hrsg.), 1998, S. 5. 6 Pitschas/Ehmann, Vorwort zu Brossette: Wahrheit, S. 8. Vgl. a. Friedman, FS Rehbinder, S. 501 ff. zu Herausforderungen des Rechts durch Technik und soziale Entwicklungen, wie den der Privatheit. 7 Bühler, MDR 1987, 448, 449. Vgl. zu verwandten Begriffen Debie, JurPC, Web-dok 214/2004, Abs. 2. 8 Vassilaki, MMR 2006, 212, 214 f. 9 Lampe, GA 1975, S. 1, 19 unter Hinweis auf die unzureichende gesetzliche Erfassung, a. a. O., S. 20. 10 Vgl. zum Problem, speziell Computerkriminalität statistisch zu erfassen, eingehend Wall, Cybercrimes and the Internet, S. 1, 7 ff. Vgl. a. Vetter, Internetkriminalität, S. 26 ff.
A. Einführung und Gang der Arbeit
21
mannigfaltige Verstöße gegen die Norm, so dass dies der praktischen Bedeutung der Norm in keiner Weise gerecht wird. Zuzugeben ist, dass die Impulse und Fragen aus der Praxis fehlen, so dass es um den nun 20 Jahre alten § 202a ruhig geworden ist.11 Der Großteil der Fälle verbleibt im Dunkelfeld. Das Dunkelfeld dürfte hier besonders groß im Verhältnis zum Hellfeld und vor allem zu den ausgeurteilten Taten sein. Der Blick in die verschiedenen Kriminalstatistiken kann nur das Hellfeld zeigen. Nach der Polizeilichen Kriminalstatistik (PKS) nimmt die Computerkriminalität stetig zu.12 Beim § 202a StGB wurde von 2004 auf 2005 eine Steigerung von über 35% auf 2366 Fälle verzeichnet. Die Aufklärungsquote lag dabei bei 42,2%. Der Anteil an allen Computerdelikten beträgt ausweislich der Statistik 2005 nur 3,8%. In der gerichtlichen Praxis spielt die Datenspionage eine verschwindende Rolle. So schwer Aussagen über das Dunkelfeld sind: Es ist davon auszugehen, dass die sprichwörtliche Spitze des Eisbergs nur einen nahezu verschwindend kleinen Anteil des Gesamtfeldes darstellt. Spionagedelikte werden typischerweise heimlich begangen. Im Gegensatz zu Körperverletzungen etwa bemerkt das Opfer die Straftat meist nicht direkt. Der Verlust eines Geheimnisses ist vom Opfer selbst, im Gegensatz zum Verlust des Eigentums, oft nicht feststellbar.13 Schon das Opfer bemerkt die Deliktsbegehung aus strukturellen Gründen also selten – und kann sie daher auch selten anzeigen. Selbst wenn das Opfer die Begehung bemerkt, so dürfte es wiederum in der Natur des Delikts liegen, dass vor Anzeigen zurückgeschreckt wird14: Wird ein Geheimnis verletzt, so kann es kontraproduktiv sein, dies anzuzeigen. Denn schon die Tatsache, dass es ein Geheimnis gibt, kann sensibel sein. Dies würde bereits durch die Anzeige offenbart. So ungenau es sein mag, die Delikte zu klassifizieren, seien dennoch zwei typische Fallbeispiele gebildet. Spionagedelikte spielen sich sehr häu11 Die Norm wurde 1986 mittels des „Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG)“ am 14.5.1986 eingefügt, BGBl. I 721. Vgl zu dieser gesetzgeberischen Reform und ihren Hintergründen insb. Tiedemann, JZ 1986, 865 ff. 12 Vgl. die Polizeilichen Kriminalstatistiken (PKS) des Bundeskriminalamtes von 1997 bis 2005. 13 Neue Übertragungstechniken, die sich allerdings noch im Frühstadium der grundlagenwissenschaftlichen Untersuchung befinden, sollen Übertragungen ermöglichen, die nicht unbemerkt abgehört werden können. Wie kürzlich seriös berichtet wurde, gelang die erste sog. Quantenkommunikation, bei der einzelne Photonen versendet werden, über eine Distanz von 144 km. Ein Abhören kann hier nicht ohne Einfluss auf die Kommunikation stattfinden und wird dadurch bemerkbar. Vgl. Ursin, Tiefenbacher, Schmitt-Manderbach et al., Nature Physics 2007, Vol. 3), No. 7, S. 481 ff. 14 Wall, Cybercrimes and the Internet, S. 1, 7 ff.; Grabosky/Smith/Dempsey, Electronic Theft, S. 181 f.
22
Teil 1: Rechtliche und technische Hinführung
fig im persönlichen Nahbereich ab:15 Der eifersüchtige Ehemann spioniert seiner Frau hinterher. In Unternehmen wird Wirtschaftsspionage betrieben.16 In beiden Fallgruppen wird selten angezeigt. Im privaten Bereich dürften diese Probleme auch privat gelöst werden. Die Polizei wird selten eingeschaltet. Bei Fällen von Wirtschaftsspionage versuchen Unternehmen die Tatsache, dass sie ausspioniert wurden, möglichst geheim zu halten, sie jedenfalls klein zu reden. Dies ist regelmäßig der Tagespresse zu entnehmen. Es gilt als peinlich, ausspioniert worden zu sein. Insbesondere Kunden reagieren kritisch, wenn ihre Daten bei einem Unternehmen ausspioniert wurden.17 Unternehmen regeln diese Angelegenheiten gerne intern und diskret. Es kann so mit als ein grundsätzliches Problem angesehen werden, die erlittene Datenspionage zur Anzeige zu bringen: Angezeigt wird zwangsläufig, dass eine Geheimsphäre verletzt wurde. Durch die Anzeige selbst und das (öffentliche) Verfahren wird gerade diese Geheimsphäre erneut und teilweise gar mehr verletzt, als durch die eigentliche Ausspähhandlung. Um auf obiges Beispiel zurückzukehren: Der ausspionierten Ehefrau dürfte es peinlich sein, dass ihr Mann sie etwa aus Eifersuchtsgründen ausgespäht hat und diese durch das Verfahren an den Tag kommen. Dies dürfte nicht nur und erst dann der Fall sein, wenn seine Recherchen erfolgreich waren, was durch das Verfahren ebenso an den Tag gelangen dürfte. Unternehmen wiederum haben wenig Interesse daran, bekannt zu geben, dass wichtige Forschungsergebnisse in fremde Hände gelangt sind. Somit würde bekannt, dass Daten bei dem Unternehmen nicht sicher sind – und zudem die Forschungsergebnisse anderweitig womöglich billiger zu erhalten sind. Kommen die Delikte dennoch zur Anzeige, es handelt sich um Antragsdelikte nach § 205 Abs. 1 StGB, so dürfte es aus verschiedenen Gründen selten zu Urteilen kommen. Zunächst werden diese Delikte oft als Bagatelltaten angesehen. Das Bewusstsein um den Stellenwert des unternehmerischen Geheimnisses ist erst im Wachsen, noch mehr gilt dies aber für den Stellenwert des Privaten. Einstellungen nach §§ 153 ff. StPO sind nach Auskunft von 15 Vgl. die interessante Untersuchung von Power, Digital Crime, S. 160 ff., 163 ff., nachdem Unternehmen am meisten von den Personen ausspioniert werden, denen Arbeitgeber am meisten vertrauen: den Mitarbeitern. 16 Zu den kriminologischen Hintergründen der Computerstraftaten und des Cybercrime: Insbesondere die englischsprachige Literatur bietet hier Hervorragendes: vgl. insb. Barrett, Digital Crime, insb. S. 105 ff. zu Hacking; grundlegend Wasik, Computercrime, insb. S. 34 ff., 42 ff. (Statistik), S. 65 ff. (Viktimologie), S. 69 ff. (unerlaubter Zugang zu Daten), S. 103 ff. ((Betrug und) Informationsdiebstahl); Wall, Cybercrime, S. 105 ff.; S. 113 ff. (Cyber-tresspassing, vgl. Hausfriedensbruch), S. 127 ff. (Viktimologie); Pease, Crime futures, S. 18 ff.; Taylor, Hacktivism, S. 59 ff.; Newman/Clarke, Superhighway Robbery, S. 1 ff., 42, 68 ff., 179 ff. 17 Vgl. etwa jüngst das Problem der Datenspionage bei dem Onlineportal StudiVZ, vgl. Fn. 286, S. 227.
A. Einführung und Gang der Arbeit
23
Staatsanwaltschaften die Regel.18 Die Delikte gelangen aus den oben genannten Gründen oft nur zur Kenntnis der Strafrechtsorgane, wenn sie im Zusammenhang mit anderen Taten begangen werden. Dies ist nicht selten der Fall. Das Ausspähen von Daten ist außerhalb des rein privaten Bereichs oft Vorbereitungshandlung zur Begehung betrügerischer, teils auch erpresserischer Taten.19 In diesen Fällen wird das Ausspähen von Daten prozessual meist nicht gesondert verfolgt oder auf Ebene der Konkurrenzen kurz „abgehandelt“, da der Schwerpunkt der Vorwerfbarkeit nicht hier gesehen wird. Es ist aus diesen Gründen davon auszugehen, dass, wie oben angeführt, der größte Teil der Delikte im Dunkeln bleibt. Die Aufhellung in absoluten wie relativen Zahlen dürfte in den nächsten Jahren mit dem Zuwachs der Computerkriminalität und dem zunehmenden Bewusstsein um die Wichtigkeit von unternehmerischen wie privaten Geheimnissen steigen. Die Bedeutung von Daten nimmt zu. Gleichzeitig nimmt auch die Quantität der Daten und damit die schiere Verfügbarkeit rasant zu. Herkömmliche Informationsverarbeitung wird mehr und mehr durch digitale ersetzt und gleichzeitig werden zunehmend Datensammlungen über Bereiche angelegt, die früher nicht erfasst wurden. Daher ist davon auszugehen, dass die Datenspionage ebenfalls in ihrer faktischen Bedeutung steigen wird. Wenngleich § 202a derzeit in der juristischen Anwendung noch keine große Rolle spielt: Es ist davon auszugehen, dass mehr und mehr Fälle auf die Norm zukommen werden, geht man davon aus, dass die Bevölkerung zunehmend für das pönalisierte Geschehen sensibilisiert wird, dass es als eine zunehmende Bedrohung nicht „nur“ für die Privatsphäre, sondern auch von wirtschaftlicher Bedeutung realisiert wird20, und so die Anzeigebereitschaft erhöht werden dürfte, während gleichzeitig das Gesamtaufkommen ohnehin steigt. Inwieweit der Trend, Persönliches freiwillig bspw. im Internet, in Talkshows und im Rahmen von Kundenbindungsmaßnahmen von Konzernen preiszugeben, dem entgegenläuft, bleibt abzuwarten. Er dürfte aber jedenfalls nicht dazu führen, dass der unfreiwillige Verlust geschützter Information gleichsam gleichgültig hingenommen wird. Im ausgerufenen Informationszeitalter, das sich – nicht zuletzt unter dem Eindruck des „war on terrorism“ – mit der Frage des Werts des Persönlichkeitsrechts im Allgemeinen und dem Privaten im Speziellen sowie betrieblicher Geheimnisse ver18
Dies ergab eine telefonische Nachfrage des Verfassers bei verschiedenen Staatsanwaltschaften, u. a. den Staatsanwaltschaften Darmstadt, Ulm und Stuttgart. 19 So werden etwa Zugangsdaten zu Onlineshops und Auktionshäusern (etwa eBay) ausgespäht, um dort auf Rechnung des Ausgespähten zum eigenen Vorteil zu bestellen bzw. zu ersteigern. 20 Man denke nur an zunehmende Wirtschaftsspionage wie auch Delikte im Bereich des sog. Phishing, bei dem Onlinebankingdaten zum Zwecke der Kontenplünderung ausgespäht werden. Zum Phishing siehe S. 126 (unter lit. b).
24
Teil 1: Rechtliche und technische Hinführung
mehrt befasst, ist ein Verständnis der rechtlichen Bedeutung und des Stellenwerts von Information, Geheimnissen und Privatem unabdingbar. Dies gilt entsprechend für die Norm, die diese Werte vereinend schützt, § 202a StGB.
II. Gang der Arbeit § 202a wirft etliche Fragen auf. Dies gilt auch, wenn nicht gar umso mehr, nach der jüngsten Reform durch das 41. StrÄndG.21 Ausgewählten Fragen soll hier nachgegangen werden. Insbesondere das wesentliche Merkmal der Norm, die Daten erst dann strafrechtlich zu schützen, wenn sie technisch gesichert sind, soll beleuchtet werden. Vorangegangene Untersuchungen widmeten sich meist der Frage, welche Arten von Sicherungen gemeint und erfasst sein mögen.22 Doch einer Frage wurde bisher noch kaum vertieft nachgegangen, obwohl es sich um eine ganz grundlegende Frage handelt, namentlich um die nach der Begründung des Erfordernisses der besonderen Sicherung der Daten in § 202a. Es soll in dieser Arbeit versucht werden, diese Frage einer begründeten Beantwortung zuzuführen. Ihr wird exemplarisch aus verschiedenster Sicht; unter anderem aus technischer, sozialpsychologischer, historischer, systematischer und teleologischer nachgegangen. Die Argumente zur Begründung dises Sicherungserfordernisses bieten sich grundsätzlich auch für andere Normen an. Es stellt sich nicht nur bei § 202a naturgemäß die grundsätzliche Frage, weshalb teilweise erst die faktische Sicherung des Rechtsgutes strafbegründend oder zumindest straferhöhend wirkt. Die Antwort findet sich möglicherweise dabei nicht zwingend in den technischen Besonderheiten dieser oder jener Straftat; sondern in der Begründung der Strafbarkeit selbst, ja in den Gründen der Strafe. Es würde zwar die Konzeption der Arbeit sprengen, für das Strafrecht allgemein zu antworten. Die weitere Diskussion kann jedoch befruchtet werden. Zunächst ist sich jedoch § 202a zuzuwenden. Um o. g. leisten zu können, ist ein allgemeines Verständnis der Norm erforderlich. In einer kommentarähnlichen Darstellung soll sie deswegen zunächst im Einzelnen beleuchtet werden. Den Problempunkten, auf die unweigerlich getroffen werden wird, soll dabei nicht ausgewichen werden. Zwar wurden sie teils schon in anderen Arbeiten behandelt. Diese Untersuchungen liegen jedoch zu einem gro21 Das Gesetz dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität 23.11.2001 (SEV Nr. 185), in Kraft getreten am 1.7.2004, und der Umsetzung des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (ABl. EU Nr. L 69 S. 67 ff.). Siehe jeweils dazu mit weiteren Nachweisen Gröseling/Höfinger, MMR 2007, 549 ff. 22 Vgl. die sehr ausführliche Darstellung bei MüKo-Graf, § 202a Rn. 31 bis 41. Für weitere Literaturhinweise, siehe unten S. 96 ff., dort Kap. VI.
A. Einführung und Gang der Arbeit
25
ßen Teil gemessen für ein Delikt, das durch den rapiden technischen Wandel geprägt ist, schon erhebliche Zeit zurück. Dies legt eine neue Analyse des Tatbestandes nahe. Um auf aktuelle Fragestellungen vorbereitet zu sein, soll auch die Chance ergriffen werden, einige technische Neuerungen zu erfassen und aufgeworfenen Einzelfragen an der jeweiligen Stelle exkursorisch nachzugehen. Davon abgesehen sind ansonsten Schwerpunkte zu bilden, deren Beurteilung für die Beantwortung der genannten Hauptfrage wesentlich ist. Einen solchen Schwerpunkt bildet etwa die Bestimmung des von § 202a gefassten Rechtsguts. Nach diesen allgemeinen Vorarbeiten soll für die folgenden Teile der Arbeit der Fokus auf die Sicherung gerichtet werden. Um Sicherungen verstehen zu können, muss zunächst verstanden werden, wovor sie sichern können und sollen. Eine exemplarische Erarbeitung verschiedener Angriffstechniken und ein Aufzeigen ihrer Vielfalt ist daher unabdingbar. Danach kann auf die Begründung des Erfordernisses der Sicherung eingegangen werden. Zunächst wird die absolut herrschende Meinung dargelegt. Nach ihr begründet sich das Erfordernis der Sicherung darin, dass sie ein Geheimhaltungsbedürfnis des Berechtigten unmissverständlich zeige.23 Dem soll nachgegangen werden. Nach diesem Hauptteil der Arbeit ist dem teilweise angesprochenen viktimodogmatischen Begründungsmodus nachzugehen, um im letzten Abschnitt eine eigene Begründung zu versuchen. Das Verständnis von § 202a in den hier entscheidenden Punkten, dies sei vorab klargestellt, hat sich nach der jüngsten Reform durch das 41. StrÄndG nicht geändert.24 Die Reform hatte für § 202a nur klarstellenden Charakter:25 Die Norm ist nun weiter gefasst. Mit der Verschaffung der Daten ist auch stets der Zugang zu ihnen verschafft. Zudem ist das Hacking, bei dem der Täter sich nur die Möglichkeit des Verschaffens erschließt, ohne von ihr (selbst) Gebrauch zu machen, nach der Klarstellung ebenfalls erfasst.26 Die Tätermotivation ist beim Hacking teils rein „sportlich“ nur darauf gerichtet, sich an Sicherheitstechnologie zu messen, ohne von der erhaltenen Eindringensmöglichkeit Gebrauch zu machen.27 Dies wurde früher als nicht strafwürdig erachtet.28 Neue wirtschaftliche Ziele, wie der Verkauf der Zugangs23
An dieser Stelle nur stellvertretend Lackner/Kühl, § 202a Rn. 4. Ernst, NJW 2007, 2661 ff.; Gröseling/Höfinger, MMR 2007, 549 ff.; Schumann, NStZ 2007, 675 ff. Vgl. zur Reform insg. die hier genannten sowie wiederum Gröseling/Höfinger MMR 2007, XXVIII ff.; MMR 2007, 626 ff.; Cornelius, CR 2007, 682 ff. 25 So Ernst, NJW 2007, 2661 f. 26 Fischer, § 202a Rn. 1; Ernst, NJW 2007, 2661 f. 27 Meurer in FS Kitagawa; S. 971, 976 geht aber davon aus, auch bei „sportlicher Betätigung“ sehe sich der Hacker stets um und werde dadurch zum Eindringling und Verschaffenden von Daten. Zweifelnd ebenfalls Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 10; differenzierend Vassilaki, MMR 2006, 212, 214. 28 BT-Drs. 10/5058 S. 29. 24
26
Teil 1: Rechtliche und technische Hinführung
information sind aber strafwürdig.29 Mit valider technischer Argumentation30 nahm dies die Literatur bisher schon an.31 Der Gesetzgeber bestätigt dies nun.32 Ausdrücklich auch nur klarstellend ist die zweite Änderung, nach der der Zugang „unter Überwindung der Zugangssicherung“ verschafft sein muss.33 Die herrschende Meinung forderte dies ohnehin.34 Die Änderung bleibt daher ohne praktische Konsequenz.35 Eine Änderung außerhalb des § 202a rückt allerdings das Erfordernis der Sicherung in den Vordergrund – und zwar durch dessen Nichterwähnung im mit § 202a vergleichbaren und vormals von ihm erfassten Fall: § 202b verzichtet in Fällen der nichtöffentlichen Datenübertragung auf eine besondere Sicherung. Darauf wird einzugehen sein. Es sei dennoch daran erinnert, dass die Reform – sowohl praktisch wie dogmatisch – (nur) insoweit im Fokus steht, wie sie hier von Bedeutung ist: für die Frage nach dem Grund des Tatbestandserfordernisses der Sicherung der Daten.
B. Derzeitiges Verständnis des § 202a StGB Zunächst soll der Regelungsbereich des § 202a StGB dargelegt werden. Die einzelnen Tatbestandsmerkmale werden kommentiert und erläutert. Daneben werden die derzeitigen Auffassungen und der Diskussionsstand gezeigt und Stellung bezogen. So soll an die Norm, an Regelungszweck und 29 Vgl. ausdrücklich die Begründung zum „Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (. . . StrÄndG) – BT-Drs. 16/3656“ Stand 30.11.06, S. 13 d. Anl. 1. 30 Es sei technisch undenkbar, ein System zu „knacken“ ohne zugleich Daten über es zu erfahren. Ausführlich Krutisch, Computerdaten, S. 130; Jessen, Sicherung i. S. v. § 202a, S. 180 und Schulze-Heiming, Computerdaten, S. 83. Um dies dennoch auszunehmen und dem gesetzgeberischen Willen zu folgen, ließe sich andererseits daran denken, dolus directus 1. Grades der Datenverschaffung zu fordern, SK-Hoyer, § 202a Rn. 13; vgl. Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 10 a. E. 31 Sich auf diese Argumentation stützend insb. Gola, NJW 1987, 1675, 1679 (wobei Jessen vermutet, dass ihm „offensichtlich“ die Gesetzesmaterialien nicht zur Verfügung gestanden hätten; Jessen, Sicherung i. S. v. § 202a, S. 181). Krutisch, Computerdaten, S. 130; Jessen, Sicherung i. S. v. § 202a, S. 180; Schulze-Heiming, Computerdaten, S. 83. Im Ergb. Ebenso: Lackner/Kühl, § 202a Rn. 5 m. w. N.; Hilgendorf, JuS 1996, 702, 704; LK-Schünemann, § 202a Rn. 1. Im Erg. SK-Hoyer, § 202a Rn. 13; Sch/ Sch-Lenckner/Schittenhelm, § 202a Rn. 10 a. E.; MüKo-Graf, § 202a Rn. 51; NKKargl, § 202a Rn. 1 m. w. N. Diff. Hilgendorf, JuS 1996, 702, 705 und ihm folgend Mühle, Hacker und Strafrecht, S. 77 f. 32 BT-Drs. 16/3656, S. 5 f., 12 ff.; Ernst, NJW 2007, 2661; Fischer, § 202a Rn. 1. 33 Ernst, NJW 2007, 2661. 34 Begr. zu § 202a StGB-E, BT-Drs. 16/3656, sub 2. 35 BT-Drs. 16/3656, S. 9; zur (fehlenden) praktischen Konsequenz v. a. Ernst, NJW 2007, 2661; Fischer, § 202a Rn. 10a.
B. Derzeitiges Verständnis des § 202a StGB
27
geregelte Materie herangeführt werden. Bevor auf das Hauptthema der Arbeit, das Tatbestandsmerkmal der besonderen Sicherung, eingegangen wird, wird somit ein breites Fundament gelegt, um die Regelungsbreite der Norm und ihre Gesamtkonzeption zu erfassen und nicht isoliert einen Aspekt herauszugreifen, ohne um die inneren Zusammenhänge der Norm zu wissen.
I. Rechtsgut des § 202a StGB Das Rechtsgut wird als unabdingbarer Teil des Strafrechts angesehen.36 Der Rechtsgutsbegriff findet rege Verwendung, was nicht darüber hinwegtäuschen darf, dass er gleichzeitig durchaus Kritik ausgesetzt ist und sich einer Festlegung zu entziehen scheint.37 So stellte schon Welzel fest, dass das Rechtsgut zu einem wahren Proteus geworden sei, der sich unter den Händen, die ihn festzuhalten glauben, sofort in etwas anders verwandelt.38 In seiner Anwendung, vor allem zur Ermittlung des Telos, hat man daher Vorsicht walten zu lassen – darauf wird im weiteren Verlauf zurück zu kommen sein. Es soll hier in groben Zügen der Begriff des Rechtsguts nach dem derzeitigen allgemeinen Verständnis nachgezeichnet werden, um die zugrunde gelegte Rezeption des Verfassers zu erläutern. 1. Rechtsgutsbegriff und Funktion Bei sprachlich formaler Annäherung bedeutet Rechtsgut schlicht „rechtlich geschütztes Gut“.39 Ein Gut wiederum ist – trivial gesprochen – ein positiv zu bewertender Sachverhalt im weitesten Sinne.40 Das Rechtsgut erfasst dabei nicht nur Gegenstände, sondern auch Zustände und Entwicklungen. Es existieren dabei sowohl Verhaltensweisen, die der Gesetzgeber um eines dahinter stehenden Gutes willen positiv bewertet, als auch solche, die er um ihrer selbst willen schützt, wie etwa das sittliche Verhalten.41 Positivistisch mag man argumentieren, Rechtsgut sei jeder Sachverhalt, den das Recht als schützenswert anerkennt. Diese Herangehensweise vermag freilich nicht zu beantworten, welche Bereiche zu schützen sind und welche nicht.42 36 Vgl. Jakobs, Strafrecht AT, S. 37 ff.; Kühl, Strafrecht AT, § 3 Rn. 3 f.; ders. zum Rechtsgutskonzept in FS Richter II, 341, 344. 37 Jakobs, Strafrecht AT, S. 44 ff., der keine Substitution durch den Begriff der Sozialschädlichkeit des Verhaltens, sondern einen weiteren Filter befürwortet. 38 Welzel, ZStW 58 (1939), S. 491, 509. 39 SK-Rudolphi vor § 1 Rn. 3. 40 Jakobs, Strafrecht AT, S. 40. 41 Jakobs, Strafrecht AT, S. 40. 42 Daher müssen vorgelagerte Überlegungen angestellt werden, so schon Kaufmann, Normentheorie, S. 69. dazu Hoyer, Armin Kaufmann, S. 19 ff.
28
Teil 1: Rechtliche und technische Hinführung
Der Rechtsgutsbegriff verkörpert nicht die Summierung aller geschützten Sachverhalte, sondern hat kritische Funktion.43 Der Inhalt des Rechtsguts lässt sich auch ohne normative Erfassung denken, denn: „Nicht die Rechtsordnung erzeugt das Interesse, sondern das Leben; aber der Rechtsschutz erhebt das Lebensinteresse zum Rechtsgut“, so schon von Liszt.44 Dies kann noch nicht erklären, nach welchen Kriterien der Gesetzgeber zwischen schützenswerten Interessen und zu vernachlässigenden oder gar zu missbilligenden Interessen unterscheidet. Diese Frage beantwortet der Naturalismus oder, wer dem nicht zustimmen mag, die Kultur. Kulturelle und noch mehr naturalistische Normen müssen erkannt und niedergeschrieben werden.45 Im Bereich des Strafrechts beschäftigt sich damit in erster Linie die normative Disziplin der Kriminalpolitik. Als zentrales Kriterium für die Unterscheidung von Richtigem und Tatsächlichem hat sie das Konzept der Strafwürdigkeit geprägt, auf das jedoch erst nach der Analyse des status quo eingegangen werden soll, verfolgt es doch die Frage, was sein soll und nicht die Frage nach dem, was ist. An dieser Stelle sei sogleich angemerkt, dass der Rechtsgutsbegriff und der der Strafwürdigkeit dahingehend eng verwandt sind, dass sie rege Verwendung finden, zugleich aber ihre konkrete Benennung und Definition schwer fällt. Die Welzelsche Proteus-Aussage scheint sich auf beide Begriffe münzen zu lassen. Um das herkömmliche Verständnis darzulegen, ist mit den ebenso herkömmlichen Arbeitstechniken zu verfahren. In dieser Hinsicht ist auf den Rechtsgutsbegriff zurück zu greifen. Das Rechtsgut leistet nicht nur Hilfe zur Auslegung bestehender Normen, sondern ist auch Auftrag und Rechtfertigung für die Legislative bei der Aufstellung neuer Straftatbestände.46 Der Gesetzgeber ist bei der Fassung einer Strafrechtsnorm und damit naturalistischer Anerkennung oder positivistischer Erhebung eines Sachverhalts zum Rechtsgut nicht frei. Grenzen werden durch die sich aus der Verfassung ergebende Zielsetzung des Strafrechts gesetzt.47 Nur solche sozialen Gegebenheiten und Lebenssachverhalte können Schutzgut des Strafrechts sein, die für die verfassungsmäßige Stellung und Freiheit des Einzelnen und für unser verfassungsmäßiges Gemeinschaftsleben erforderlich sind.48 43 Nach Gössel schränkt der Rechtsgutsbegriff als ungeschriebenes Tatbestandsmerkmal die entsprechende Norm ein – und ist damit Unterscheidungsmerkmal von Recht und Unrecht neben den geschriebenen Merkmalen, Gössel in FS Oehler, S. 97 ff. 44 v. Liszt, Lehrbuch26, § 2 I 1. 45 Jakobs, Strafrecht AT, S. 40. 46 SK-Rudolphi vor § 1 Rn. 3. 47 SK-Rudolphi vor § 1 Rn. 5; cf. Badura, Prot. SA VI, 1091 ff.; Sax, JZ 1976, 9, 10. 48 SK-Rudolphi, § 1 Rn. 33 f.
B. Derzeitiges Verständnis des § 202a StGB
29
Die weitere Funktion des Rechtsgutsbegriffs, die Auslegung bestehender Normen, wird freilich von anderen Auslegungswegen ergänzt. Die Auslegung anhand des Rechtsguts ist ein Teil der teleologischen Auslegung.49 Daneben verbleiben die bekannten Auslegungswege der Wortlautauslegung, der systematischen und der historischen Methode.50 Für die Auslegung anhand des Rechtsguts ist zunächst das zugrunde zu legende Rechtsgut als Fixpunkt selbst zu ermitteln. Da die Aufgabe des Strafrechts Rechtsgüterschutz ist,51 weiß man um die Zielrichtung und den Telos der Norm, so man das Rechtsgut kennt. Doch das einer Norm zugrunde liegende Rechtsgut ist oft schwer zu klären, was auch die folgende Darstellung zeigen wird. Ist es jedoch ermittelt, so kann es für die Auslegung herangezogen werden. Die gefundene Auslegung ist dann noch an der Verfassung zu messen,52 unter Umständen auch am Gemeinschaftsrecht.53 Dabei, davon wird noch zu sprechen sein, sind die Bestimmung des Rechtsguts und des Telos wechselbezüglich im Sinne eines hermeneutischen Zirkels.54 Der herkömmliche Rechtsgutsbegriff hat also, wie oben inhaltlich und historisch gezeigt wurde, mehrdimensionale Bedeutung. Er ist Untersuchungsgegenstand der Rechtstheorie, kriminalpolitische Größe (als Aufgabe, Legitimation, Grenze und Folge des Strafrechts) und methodisches Instrument für die (teleologische) Auslegung und Anwendung des gesetzten Rechts. Eine Trennung dieser Bedeutungen ist dabei aufgrund der unterschiedlichen geisteswissenschaftlichen Einflüsse, denen der Rechtgutsbegriff ausgesetzt ist, nicht immer präzise möglich. Dennoch soll hier versucht werden, die einzelnen Aspekte zu isolieren und für die Ermittlung des Begriffs bei aller Vorsicht zu analysieren. In der Folge wird für die Auslegung des § 202a StGB das Rechtsgut in seiner Funktion als Auslegungshilfe gegebener Normen verwendet, um den bestehenden Status zu ermitteln. Nicht zu verwechseln mit dem Rechtsgut ist das geschützte Tatobjekt: die Daten im Sinne des § 202a Abs. 1 StGB. Diese sind in § 202a Abs. 2 StGB definiert, dies wird im Anschluss behandelt.
49
Siehe zu den Auslegungswegen zusammenfassend SK-Rudolphi, § 1 Rn. 29 ff. Zu weiteren Auslegungsmethoden, etwa anhand der Strafandrohung oder kriminologischer Erkenntnisse cf. SK-Rudolphi, § 1 Rn. 33 f.; NK-Hassemer/Kargl § 1 Rn. 111 ff. 51 H. A., pars pro toto SK-Rudolphi, vor § 1 Rn. 2 m. w. N. 52 SK-Rudolphi § 1 Rn. 33; Sch/Sch-Eser, vor § 1 Rn. 30. 53 Zu letzterem, cf. BGHST 37, 333, 336; Dannecker, JZ 1996, 869, 872 jew. m. w. N. 54 Zu der daraus erwachsenden Problemlage, siehe unten. Zum hermeneutischen Zirkel siehe unten S. 375 ff. 50
30
Teil 1: Rechtliche und technische Hinführung
2. Ansichten zum Rechtsgut des § 202a StGB In der Literatur wird in erster Linie das Geheimnis als Rechtsgut des § 202a StGB bezeichnet.55 Dabei wird zwischen formellem und materiellem Geheimnisschutz unterschieden, wobei strittig ist, welcher von § 202a StGB erfasst sein soll. Formelles Geheimnis meint eine nach formellen äußeren Kriterien umgrenzte Information. Beispielsweise kann ein Geheimnis in einer besonderen, etwa einer gesicherten, Form vorliegen. Hingegen wird das materielle Geheimnis nach dem Informationsinhalt bestimmt und etwa die Bedeutung der Information zum Kriterium gemacht. Weiter werden vereinzelt auch ein hinter den Daten stehendes Vermögen oder auch die Information als solche als Rechtsgut angesprochen. Wenngleich sich eine herrschende Meinung heraus bildete, bleibt der Streit aktuell.56 Jede weitere Untersuchung der Norm, insbesondere der Begründung ihrer sie – und damit ihr Rechtsgut – prägenden Einschränkungen, bedarf einer Bestimmung des Rechtsguts. Dabei ist sogleich das Problem aufgeworfen, dass das Rechtsgut die Norm prägt und von dieser zugleich bestimmt wird. Darauf wird zurück zu kommen sein. a) Information Die Information an sich ist der weiteste Begriff, der in der Diskussion des Rechtsguts des § 202a genannt wird. P. Schmid diskutiert den Begriff, da er ihn als von Zielinski vertreten annimmt.57 In der Tat formuliert dieser im Zusammenhang mit dem 2. WiKG „Der Gesetzgeber hat erstmals den Rechtsgutscharakter der Information als solchen anerkannt. Dies hat sich in zwei, sich teilweise überschneidenden Strafvorschriften niedergeschlagen, die künftig jede unbefugte Aneignung von elektronisch gespeicherter Infor55 Ernst in ders.: Hacker, Rn. 229; Fischer, § 202a Rn. 2; Frommel, JuS 1987, 667, 668; Granderath, DB 1986 Beilage Nr. 18, 1; Haft, Strafrecht BT/II, I. IV 1.; Haß, Computerprogramme, S. 299, 311; Hilgendorf, JuS 1996, 511; ders./Frank/ Valerius, Computerstrafrecht, Rn. 654; Hilgendorf/Wolf, K&R 2006, 541, 546; SKHoyer, § 202a Rn. 1; Jessen, Sicherung i. S. v. § 202a, S. 43; Krey/Heinrich, Strafrecht BT/I, § 6, Rn. 488a; Krutisch, Computerdaten, S. 73 f.; Lackner/Kühl, § 202a Rn. 1; Leicht, iur 1987, 45; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1; Lenckner/Winkelbauer, CR 1986, 483, 485; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 Rn. 79 f.; Möhrenschlager, wistra 1986, 128, 140; Otto, Grundkurs Strafrecht BT, § 34 Rn. 66; Schlüchter, 2. WiKG, S. 58; dies., NStZ 1988, 53, 55; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 25 ff.; LK-Schünemann, § 202a Rn. 2; Schulze-Heiming, Computerdaten, S. 37 ff., 41. 56 Heghmanns, ZIS 2007, 49, merkt in seiner Rezension von Krutischs Dissertation (Krutisch, Computerdaten) an, dass einige Argumente unberücksichtigt blieben. 57 P. Schmid, Computerhacken, S. 30.
B. Derzeitiges Verständnis des § 202a StGB
31
mation mit Strafe bedrohen.“58 Als erste Vorschrift führt er den reformierten § 17 UWG an, als zweite Vorschrift den gegenständlichen § 202a StGB. Zielinski, der § 202a für eine zu weite Norm hält,59 nun dahingehend zu verstehen, er nehme die Information als Rechtsgut des § 202a an, ließe den Zusammenhang der Äußerung außer Acht und überdehnte sie. Zielinski hält selbst fest, dass Informationen nur strafrechtlich erfasst werden, wenn sie besonders gesichert sind und in Datenform vorliegen. Er ist somit dahingehend zu verstehen, dass er Information „in dieser Form“ als Strafrechtsgut annimmt. Ob er sie generell als Rechtsgut annimmt, lässt er dahin gestellt,60 er spricht selbst vom fragmentarischen Schutz des Strafrechts.61 Information kann als Ausgangspunkt der weiteren Überlegungen begriffen werden, nicht dagegen als Rechtsgut des § 202a. So ist Zielinski denn auch zu verstehen. Information als Rechtsgut anzunehmen birgt das Problem in sich, dass kaum zu bestimmen ist, was denn Information ist und was nicht. Eine Bestimmung der Norm insgesamt wäre somit nicht möglich. Versuche, Information zu definieren, scheiterten entweder an ihrer mangelnden Trennschärfe: „Information ist alles und alles ist Information“62, bleiben kryptisch: „Information ist das Maß einer Menge von Form“63 oder unvollständig.64 Da Information als solche nicht als Rechtsgut anzunehmen ist, ist ein 58
Zielinski, Computersoftware, S. 119 f. Er hält fest: „Die Vorschrift ist im Ergebnis aber so weit gefaßt worden, dass nunmehr jegliche Aneignung von elektronischen Daten, die gegen unberechtigten Zugang besonders gesichert sind, strafbar ist.“ Auf der selben Seite a. E. schreibt er: „Der Versuch ist – gottlob – im Rahmen des § 202 a nicht bereits strafbar. Zielinski, Der strafrechtliche Schutz von Computersoftware, S. 120. 60 Zielinski, Computersoftware, S. 120. 61 Zielinski, Computersoftware, S. 119. Siehe grundlegend zum fragmentatischen Charakter des Strafrechts, Maiwald, FS Maurach, S. 9 ff. 62 Dieser Ausspruch wird Ralf Dahrendorf verschiedentlich zugeschrieben. 63 C. F. v. Weizsäcker, Zeit und Wissen, II 7 D 4, S. 342, in dem Versuch „Information greifbar zu machen“, von dem dargelegten sprachlichen Ausgangspunkt wendet er sich, über die Eidos-Philosophie und Platon, Schelling, Goethe und Hegel streifend, dem cartesischen Dualismus und Pascal zu, um auf Kant und Bohr eingehend sich schließlich der modernen Physik zuzuwenden. Vgl. auch ausf. ders., Aufbau der Physik, Kap. 5 und 12. 64 Wird etwa unter Information ein an einen oder mehrere Empfänger adressierter Sachverhalt verstanden, der geeignet ist, das Verhalten oder den Zustand der Adressaten zu beeinflussen (so etwa Schoch, Informationsordnung, S. 166, der damit auf den „Kontext und Wirkungsbezug beim Empfänger“ hinweisen möchte, ders. S. 166 f.), so scheint dieses Verständnis als zu eng, als es einen Adressaten voraussetzt. Auch weitere Fragen wurden noch nicht geklärt, etwa die, ob Information nun „Ding“ oder „Vorgang“ sei – oder etwa beides (Fleissner/Hofkirchner/Müller et al., Informationsgesellschaft, S. 5 und 18, stellen auf die doppelte Bedeutung ab. Vgl. auch Druey, Information, welcher Information als Inhalt (S. 20), als Vorgang (S. 21) und als Wissen und Datum (S. 22) begreift. 59
32
Teil 1: Rechtliche und technische Hinführung
eigener grundlegender Definitionsversuch entbehrlich. Es sei an dieser Stelle der Verweis auf die mannigfaltigen Versuche einer Definitionsbildung aus den verschiedensten Blickrichtungen erlaubt.65 Da heute nicht vertreten wird, die Information sei als Strafrechtsgut anzunehmen und die Norm in Abs. 1 und 2 den Geltungsbereich ganz erheblich eingrenzt, was gegen eine unbeschränkte Annahme der Information als Rechtsgut spricht, soll die These nicht weiter verfolgt werden. b) Vermögen Dass das Vermögen das Rechtsgut von § 202a StGB sei, nahm früher in erster Linie Haft66 an. Nach dieser Ansicht sollte § 202a StGB das Vermögen nicht nur reflexartig schützen67, sondern als ureigenes Rechtsgut erfassen; das Vermögen werde verkörpert im „Recht an den Daten“. Nach ihr war Zweck des § 202a StGB, vermögenswerte Daten zu schützen. Dabei fasste Haft den Begriff des Vermögens und wirtschaftlichen Wertes weit. Haft, der neben anderen mit Möschel68 und Sieber69 den Rechtsausschuss des Deutschen Bundestags im Zusammenhang mit der Fassung des 2. WiKG beriet70, zog den Vergleich zu § 248c StGB und sah hier ein „gewisses Analogon“ in der elektrischen Energie. Er wollte daher auch von Datendiebstahl sprechen und zog insgesamt die Parallele zu Vermögensdelikten. Dieser besondere Diebstahl wäre dann etwa als § 248d systematisch ein65 Schoch, Informationsordnung, S. 166; Kloepfer, Informationsrecht, S. 23–25; Fleissner/Hofkirchner/Müller et al., Informationsgesellschaft, S. 3 ff.; Ebsen, DVBl 1997, 1039, definiert Information als „geordnete Datenmenge, die Grundlage für Wissen, Meinungen, Wertungen und Entscheidungen sein kann“; dagegen, Schoch, a. a. O. Vgl. auch: Baller, in Haratsch/Kugelmann/Repkewitz (Hrsg.), Informationsgesellschaft, S. 33 ff. Vgl. auch die ausführlichen Monographien von Druey, Information, S. 3–26 und Kuhlen, Informationsethik, S. 157–173. 66 Haft, DSWR 1986, 255, 257; ders., NStZ 1987, 6, 9 f. 67 Bühler, MDR 1987, 448, 452 sowie Kohlmann/Löffeler, BFuP 1990, 188, 196, sehen den Schutz auf „Geschäfts- und Betriebsgeheimnisse“ beschränkt, die vor wirtschaftlicher Ausbeutung durch Spionage geschützt werden sollen. Allg. zum Schutz geschäftlicher Geheimnisse Kiethe/Hohmann, NStZ 2006, 185 ff.; insb. zu den durch Software verkörperten Geheimnissen vgl. Taeger, CR 1991, 449. 68 Möschel, Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), S. 47, 59 d. Protokolls der Sitzung v. 6.6.1984, siehe auch Anlage S. 95 ff. 69 Sieber, Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), S. 170, 190 ff. d. Protokolls und S. 237 ff. d. Anlage der Sitzung v. 6.6.1984. 70 Haft, Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), S. 163, 193 d. Protokolls und S. 201 ff. d. Anlage der Sitzung v. 6.6.1984.
B. Derzeitiges Verständnis des § 202a StGB
33
zuordnen. Folgt man dieser Ansicht und wendet das Rechtsgut als Auslegungsleitlinie an, so wäre der nach dem Wortlaut weiter gefasste Tatbestand teleologisch zu reduzieren. Geschützt würden dann nur Daten, die einen wirtschaftlichen Wert verkörpern. Im Ergebnis seien private Informationen nicht erfasst, folgert demgemäß Haft. Diese Ansicht vertritt er heute jedoch nicht mehr. Er nimmt mittlerweile die formelle Verfügungsbefugnis als Rechtsgut an.71 Bühler vertrat dagegen, ein formelles Geheimhaltungsinteresse sei eine „bloße Hülse“. Gehe es um Daten so gehe es um das wirtschaftliche Vermögen, da „hinter jeder Information auch ein bestimmter wirtschaftlicher Wert stehe“.72 Auch Arzt und Weber sprechen, wie ehedem Haft, von Datendiebstahl.73 Doch sie gehen in der Konsequenz weniger weit als Haft seinerzeit: Weber meint, Bemühungen, § 202a StGB ein materielles Schutzgut als Einschränkung wegen der „inhaltlichen Konturlosigkeit des Angriffsobjekts“74 zuzuordnen, seien verständlich und gutgemeint.75 Ein bloß formelles Geheimhaltungsinteresse werfe erhebliche Strafwürdigkeitsprobleme auf, insbesondere, wenn der Inhalt des Geheimnisses rechtswidriger Natur sei. Fischer sieht das „(meist auch wirtschaftliche) Interesse“ an Informationsschutz als jedenfalls auch vom Rechtsgut des § 202a StGB erfasst an und verwendet auch den Begriff des „Datendiebstahls“.76 Letztgenannte Ansichten sprechen somit das Vermögen als Rechtsgut an, doch sie äußern sich in erster Linie normpolitisch und gesetzgebungskritisch. Das Rechtsgut des Vermögens wird ergänzend und nicht ausschließlich und damit die Norm einschränkend gesehen. Wenn auch heute das Vermögen nicht mehr als ausschließliches Rechtsgut angenommen wird, so soll es hier aus der Prüfung nicht ausgeschlossen, sondern in der Folge untersucht werden, ob es ergänzenden Charakter hat oder gar – wie Haft und andere dies sahen – das Rechtsgut einschränkt. c) Materielles Geheimnis Die systematische Stellung im fünfzehnten Abschnitt des Strafgesetzbuches (Verletzung des persönlichen Lebens- und Geheimbereichs) legt zunächst den Schluss nahe, § 202a StGB erfasse den Schutz des Interesses an 71
Haft, Strafrecht BT/II, I. IV. 1. Bühler, MDR 1987, 448, 452. 73 Arzt/Weber, Strafrecht BT, § 8 Rn. 26, S. 203 (Verf.: Arzt) und in Rn. 54, 59 f., S. 215 ff. (Verf.: Weber). 74 Arzt/Weber, Strafrecht BT, § 8 Rn. 50, S. 214. 75 Arzt/Weber, Strafrecht BT, § 8 Rn. 54, S. 215. 76 Noch Tröndle/Fischer54, § 202a Rn. 2, nicht mehr aber Fischer, § 202a Rn. 2. 72
34
Teil 1: Rechtliche und technische Hinführung
der Geheimhaltung bestimmter Inhalte, nämlich solcher aus dem persönlichen Lebens- und Geheimbereich.77 Von materiellen Geheimnissen wird in Abgrenzung zu sogenannten formellen Geheimnissen gesprochen, wenn nicht auf das Erscheinungsbild, die äußere Form der Information abgestellt wird, sondern auf deren Inhalt. Wenn auch Details strittig sind, so wird das materielle Geheimnis als Information verstanden, die nur einem beschränkten Personenkreis bekannt ist und an deren weiterer Geheimhaltung der oder die Geheimnisträger ein Interesse haben.78 Welchen Charakter dieses Interesse hat und aus welchem Grund eine Weitergabe verhindert werden soll, spielt keine Rolle.79 Voraussetzung für ein Geheimnis ist, dass die enthaltene Information nicht anderweitig zum fraglichen Zeitpunkt öffentlich zugänglich ist. Allein durch Veröffentlichung einer Information entfiele dann die Geheimniseigenschaft, denn: „Geheimnis ist Nicht-Informierung.“80 d) Formelles Geheimnis Der heute herrschenden Meinung nach das formelle Verfügungsrecht und damit das formelle Geheimnis das Rechtsgut des § 202a StGB.81 Die Verfügungsberechtigung bedeutet das Recht, andere von der Kenntnis an den Daten und die dadurch „verkörperte“ Information auszuschließen oder teilhaben zu lassen.82 Das formelle Verfügungsrecht repräsentiert das formelle 77 In dieser Strenge wird dies jedoch kaum vertreten. Bühler, MDR 1987, 448, 452, zieht diese Ansicht jedoch der herrschenden Meinung vor, um dann im Endergebnis das Vermögen als Schutzgut anzunehmen. 78 Stellv. Jessen, Sicherung i. S. v. § 202a, S. 36. Nach dem Brockhaus „Recht“ und dem Brockhaus „in 24 Bänden“ bedeutet Geheimnis „eine Kenntnis, die auf einen bestimmten Personenkreis beschränkt ist“. 79 Jessen, Sicherung i. S. v. § 202a, S. 36. Allgemein zu schützenswerten Geheimhaltungsinteressen: Druey, Information, S. 124, 126. 80 Druey, Information, S. 74, 124. 81 Ernst in ders.: Hacker, Rn. 229; nunmehr auch Tröndle/Fischer54, § 202a Rn. 2, ebenso Fischer, § 202a Rn. 2; Frommel, JuS 1987, 667, 668; Granderath, DB 1986 Beilage Nr. 18, 1; Haft, Strafrecht BT/II, I. IV 1.; Haß, Computerprogramme, S. 299, 311; Hilgendorf, JuS 1996, 511; ders./Frank/Valerius, Computerstrafrecht, Rn. 654; Hilgendorf/Wolf, K&R 2006, 541, 546; SK-Hoyer, § 202a Rn. 1; Jessen, Sicherung i. S. v. § 202a, S. 43; Krey/Heinrich, Strafrecht BT/I, § 6, Rn. 488a; Krutisch, Computerdaten, S. 73 f.; Lackner/Kühl, § 202a Rn. 1; Leicht, iur 1987, 45; Sch/SchLenckner/Schittenhelm, § 202a Rn. 1; Lenckner/Winkelbauer, CR 1986, 483, 485; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 Rn. 79 f.; Möhrenschlager, wistra 1986, 128, 140; Mühle, Hacker und Strafrecht, S. 59; Otto, Grundkurs Strafrecht BT, § 34 Rn. 66; Schlüchter, 2. WiKG, S. 58; dies., NStZ 1988, 53, 55; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 25 ff.; LK-Schünemann, § 202a Rn. 2; Schulze-Heiming, Computerdaten, S. 37 ff., 41. 82 Lenckner/Winkelbauer, CR 1986, 483, 485; Jessen, Sicherung i. S. v. § 202a, S. 37.
B. Derzeitiges Verständnis des § 202a StGB
35
Geheimnis: Kann kontrolliert werden, wer welche Information erhält (Verfügungsrecht), so ist die kontrollierte Information formell geheim. Der Sinn hierbei ist, ein materielles Geheimnis mittels des formellen zu wahren und zu steuern. Wer dabei Rechtgutsträger ist, ist mit dieser Frage eng verwandt. Sie wird teils unter dem hiesigen Prüfungspunkt, teils gesondert behandelt. In dieser Arbeit wird eine getrennte Darstellung verfolgt.83 Die Verfügungsberechtigung, so weit sei vorgegriffen, ist unabhängig vom Eigentum am Datenträger: Beispielsweise verwalten Datenverarbeitungsdienstleister wie etwa Anbieter kostenloser E-Maildienste die Daten ihrer Kunden. Die Verfügungsberechtigung über die Daten selbst bleibt aber beim Kunden, auch wenn die Daten beim Anbieter abgespeichert und dort verwaltet werden. Aus dem Merkmal des formellen Geheimnisses folgt, dass rein auf das „äußere Erscheinungsbild“ abgestellt wird. Dies meint bei Daten nicht die Form ihrer Speicherung.84 Diese wird schon durch die Datenform festgelegt. Die zusätzlich geforderte Form ist der technische Schutz: Die Information muss in geschützter Form vorliegen. Demnach sind Informationen von § 202a StGB erst strafrechtlich erfasst, wenn sie technisch zum formellen Geheimnis erhoben wurden. Inhaltlich muss die Information jedoch keineswegs geheim sein. Die täglich jedermann frei verfügbare Wettervorhersage kann also durch technischen Schutz zum strafbewehrten Schutzgut des § 202a StGB erhoben werden.85 Demgegenüber sind noch so wichtige wirtschaftliche, intime oder militärische Informationen von § 202a StGB nicht geschützt, wenn sie nicht technisch geschützt sind.86 Wegen der Irrelevanz des Inhaltes liegt die Parallele zum formellen Geheimnisschutz des § 202 StGB näher als die zu § 203 StGB, welcher sowohl auf den Inhalt als auch auf die besondere Art der Kenntniserlangung abstellt. 3. Stellungnahme Es ist Ziel dieses Untersuchungsabschnittes zu erkennen, was durch § 202a geregelt ist. Dazu soll ermittelt werden, welches Gut als strafbe83 Die Untersuchung der Rechtsgutsträgereigenschaft wird ab S. 60 in Kap. II. dargestellt. 84 Dazu unten S. 70 ff., dort Kap. III. 85 Jessen, Sicherung i. S. v. § 202a, S. 37, gibt diese Ansicht etwas ungenau wieder. Ein bloßes Bekunden des Interesses an der Geheimhaltung wollen die geschilderten Ansichten entgegen seiner Darstellung nicht ausreichen lassen. Eine technische Sicherung ist notwendig. Dies stellen nicht nur Fischer, § 202a Rn. 9 und Lackner/Kühl, § 202a Rn. 4, ausdrücklich fest. 86 Wobei in letzteren Fällen freilich andere Schutzgesetze wie etwa das UWG, das UrhG, das BDSG oder etwa §§ 109f, g StGB unter Umständen greifen.
36
Teil 1: Rechtliche und technische Hinführung
wehrtes Rechtsgut gefasst ist. Am Ende des Abschnitts sollen einige Erwägungen de lege ferenda angestellt und gefragt werden, ob etwas Anderes geregelt werden sollte. Nachdem der Begriff des Rechtsguts zunächst nicht mehr bedeutet als „rechtlich geschütztes Gut“ und die Entscheidung, was rechtlich geschützt wird, vom Gesetzgeber getroffen wird, handelt es sich um eine positivrechtliche Erkenntnis. Rechtsgüter sind die als sozial wertvoll erkannten und anerkannten Lebensgüter, die unter dem besonderen Schutz des Strafrechts stehen.87 An dieser Stelle soll das Rechtsgut Auslegungsprodukt sein. Es ist in aller Regel nicht ausdrücklich gesetzlich bezeichnet und wird von Erfolgsbeschreibung und Tathandlung mancher Tatbestände nur umrissen. Somit würde es zu einer reflexiven Größe. Es ist somit darauf zu achten, es nicht als Auslegungshilfe heranzuziehen, will man zirkuläres und damit fruchtloses Schließen vermeiden.88 Rechtsnormen anhand des Rechtsguts auszulegen ist nachvollziehbarer Kritik ausgesetzt: „Was verboten sein soll, wird daraus geschlossen, was verboten sein soll“, so Renzikowski.89 Auf dieser Ebene ist ein Schluss damit gefährlich. Der herkömmliche Rechtsgutsbegriff ist hier nur von begrenzter Aussagekraft. Was die „staatlich verfasste Gemeinschaft teils gewohnheitsrechtlich kraft einer auf Rechtsüberzeugung beruhenden allgemeinen Übung, teils durch förmliches Gesetz in Geltung gesetzt“ hat, um mit Haas’ Worten zu sprechen,90 kann als dem Rechtsgut zugrundeliegend angesehen werden. Dabei unterliegen Rechtsgüter durchaus dem Wandel, wie Kühl nachgewiesen hat.91 Ohne in dieser Untersuchung auf die verschiedenen Auffassungen und Kritikpunkte zum Rechtsgutsbegriff näher eingehen zu können – insoweit sei auf die reichhaltige Literatur zum Rechtsgutsbegriff verwiesen92 – ist der genannten Kritik 87
Sch/Sch-Lenckner/Eisele, vor § 13 Rn. 9. Nach Nelles, Untreue, S. 289, ist das Rechtsgut Auslegungsprodukt und Auslegungsmittel zugleich. Der Zirkelschluss (circulus vitiosus) selbst ist dabei nicht falsch, wie teilweise missverstanden wird, sondern (lediglich) nicht weiterführend, Joerden, Logik, S. 334. 89 Renzikowski in Alexy, Grundlagenforschung, S. 126. 90 Haas, Rechtsverletzung, S. 78, der den Begriff des Rechtsguts vermeidet und dagegen Rechtsbeziehungen aufgrund eines dualistischen Normenmodells setzt, nachdem öffentlich-rechtliche Schutz- beziehungsweise Verhaltensnormen von den privat-rechtlichen subjektiven Rechten zu trennen sind, Haas, a. a. O., S. 54–100. 91 Kühl, FS Richter II, S. 341, 346. Kühl untersucht, inwieweit Rechtsgütern eine sozial-ethische Wertung zugrundliegt und zeigt am Beispiel der Wandlung des 13. Abschnitts des BT von „Verbrechen gegen die Sittlichkeit“ zu „Straftaten gegen die sexuelle Selbstbestimmung“ die „praktische Bewährung“ des Rechtsgutskonzepts. 92 Vgl. allein aus jüngerer Zeit Hefendehl (Hrsg.), Rechtsgutstheorie, S. 1 ff.; ders., Kollektive Rechtsgüter, S. 1 ff.; Krüger, Rechtsgutsbegriff, S. 1 ff.; Roxin, Schünemann-Symposium, S. 135 ff.; Schünemann, System, S. 51 ff. und für einzelne Bereiche Tiedemann, Wettbewerb, S. 905 ff.; F.-C. Schroeder, FS Hirsch, 88
B. Derzeitiges Verständnis des § 202a StGB
37
am Rechtsgutsbegriff insoweit Rechnung zu tragen, als der Begriff mit aller Vorsicht anzuwenden ist. Um ihn auf ein breiteres Fundament zu setzen und nicht mit dem in der Norm gefassten Recht gleichzusetzen, welche er ja erst bestimmen soll, müsste in dieser Hinsicht – tiefer ansetzend und den Rechtsgutsbegriff so stützend – auf die von Haas genannten Rechtsüberzeugungen der Staatesgemeinschaft aufgebaut werden. Dazu wären wiederum diese zunächst festzustellen. Dies fällt schwer in Bezug auf den hiesigen Untersuchungsgegenstand, da sich eine scharfe und klare Überzeugung erst über die Zeit hinweg festigt, bei technischen und gesellschaftlichen Neuerungen, wie sie das digitale Zeitalter mit sich bringt, kann sie sich zunächst nur aus Bekanntem beleihen. Parallelen zu Bekanntem herzustellen birgt allerdings die Gefahr, Analogien zu wähnen, wo keine sind und gegebene zu übersehen. Auch hier findet sich kein festes Terrain. Wollte man die Unterscheidung, in wessen Nähe nun das Gut zu sehen ist (wiederum) auf die vorhandene Regelungssystematik stützen, so liefe man Gefahr, das Neue wie Althergebrachtes zu behandeln, auch wenn eine Andersbehandlung angebracht wäre und zugleich zirkulär zu schließen. Es ist nicht Aufgabe dieser Untersuchung, den nur angesprochenen Konflikt zu lösen und eine Alternative zum Rechtsgutsbegriff zu entwerfen. Es darf daher – unter Berücksichtigung des Gesagten – auf den Rechtsgutsbegriff nur teilweise und mit Bedacht zurückgegriffen werden und nur da, wo andere Lösung nicht in Sicht ist. Mit anderen Worten: Was Rechtsgut ist, darf nicht in der Weise teleologisch ermittelt werden, dass gefragt wird, was Rechtsgut sein soll. Die bekannten und umfassenden Auslegungswege wie Analyse des Wortlauts, des gesetzgeberischen Willens, der Systematik und des Telos, mit deren Hilfe die Tatbestandsmerkmale erfasst werden, sind damit nicht in Gänze verbaut, doch sind sie in dem Bewusstsein zu gehen, „nur“ hermeneutisch93 und mit Bedacht auf das Rechtsgut zurückgreifen zu können. a) Wortlaut Der Wortlaut umschreibt die Voraussetzungen der Tat: Tathandlung und Tatobjekt. Das Rechtsgut ergibt sich aus diesen positiven Merkmalen sowie S. 725 ff.; Spinelles, FS Hirsch, S. 739 ff.; Manoledakes, FS Bemmann, S. 67 ff.; L. Schulz, Rechtsgüterschutz, S. 208 ff. Desweiteren sei auf die zahlreichen Nachweise bei Lackner/Kühl, vor § 13, Rn. 4 verwiesen. 93 Siehe zum hermeneutischen Schließen im Recht: H.-L. Günther, Strafrechtswidrigkeit, S. 164; Noll, ZStW, 77 (1965), S. 1, 2. Vgl. auch S. 376 ff. Vgl. dazu grundlegend aus der jüngeren Philosophie in erster Linie Heidegger, Sein und Zeit, §§ 32, 63, der den hermeneutischen Zirkel „ontologisch“ begründen will sowie Gadamer, Wahrheit und Methode, (insb. S. 2, 103 ff., 270 ff., 492 ff.). Vgl. ferner Albert, Hermeneutik, S. 1 ff.
38
Teil 1: Rechtliche und technische Hinführung
ihren Einschränkungen gleichermaßen. Nach dem Wortlaut des § 202a StGB sind Daten (die gemäß Abs. 2 nicht unmittelbar wahrnehmbar sind) erfasst, die nicht für den Täter bestimmt und vor Zugriff geschützt sind. (1) Vermögen Für die Annahme des Vermögens als Rechtsgut spricht der Wortlaut nicht: Der Wortlaut fordert weder bezüglich des Tatobjekts einen wirtschaftlichen Wert, noch bezieht er sich auf Eigentumszuweisungen, etwa mittels des sonst gebräuchlichen Wortes „fremd“, oder fragt nach der Zuordnung des Datenträgers. Schon vor der jüngsten Reform ließ sich der damaligen Tathandlung, dem Verschaffen als solchem, sprachlich kein wirtschaftlicher Bezug entnehmen. Auch forderte die Tathandlung keine Form der Zueignung oder Bereicherung, noch wurde subjektiv eine dementsprechende Absicht vorausgesetzt, wie dies sonst bei Vermögensdelikten bekannt ist. Bezüglich der subjektiven Voraussetzungen schwieg und schweigt das Gesetz. Die Annahme des Vermögens als Rechtsgut fand im Wortlaut keine Stütze. Daran ändert sich auch nichts durch eine Änderung der Tathandlung durch die jüngste Reform, die das Verschaffen eines Zugangs und nicht das Verschaffen der Daten erfasst. Im Gegenteil – sollte das Verschaffen von Daten „diebstahlsähnlich“94 gewesen sein, so ist das Verschaffen eines Zugangs dies jedenfalls weniger. (2) Materielles Geheimnis Auf den Inhalt der Daten stellt die Norm wörtlich nicht ab. Die Annahme eines materiellen Geheimnisses findet damit keine Stütze im Wortlaut. Sekundieren lässt sich diese Überlegung, wenn man die Tathandlung des Verschaffens eines Zugangs zu Daten betrachtet. Vor der letzten Reform bestand die Tathandlung im Verschaffen der Daten. Ohne auf Einzelheiten einzugehen (dazu an anderer Stelle95) bedeutet dieses Zugangsverschaffen das in die Verfügungsgewalt bringen der Daten (so schon das Verschaffen selbst) oder, in der Vorstufe, die Sicherung, dass die Verfügungsgewalt jederzeit hergestellt werden kann. In den meisten Fällen dürfte dies zusammenfallen. Verschaffen (des Zugangs) meint daher nicht zwingend Kenntnisnahme des Inhalts.96 Ein inhaltliches Geheimnis 94
So Schumann, NStZ 2007, 675, 676. Die Tathandlung des Verschaffens ist umstritten, insb. wenn verschlüsselte Daten erlangt werden, siehe zum Verschaffen unten S. 89, dort Kap.V. 96 BT-Drucks. 10/5058 S. 29; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 10; Tröndle/Fischer54, § 202a Rn. 10; NK-Kargl, § 202a Rn. 12; LK-Schünemann, 95
B. Derzeitiges Verständnis des § 202a StGB
39
wird aber erst durch Kenntnisnahme verletzt. Wie bereits festgestellt wurde, bedeutet Geheim-sein Nicht-Informierung. Ein bloßes Verschaffen der Daten ohne Kenntnisnahme ist aber noch nicht Informierung, sondern lediglich Vorstufe.97 Dies gilt umso mehr für das jetzt pönalisierte Verschaffen des Zugangs. Verschaffen von Daten oder des Zugangs zu ihnen und Verletzen eines inhaltlichen Geheimnisses sind also nicht dasselbe. Wenn aber nicht auf die Kenntnis des Inhalts abgestellt wird, so ist der Inhalt und damit das materielle Geheimnis auch nicht Rechtsgut. Ein materielles Geheimnis ist als Rechtsgut nach der grammatischen Auslegung nicht anzunehmen. Freilich wird oftmals in der Praxis das formelle Geheimnis auch ein materielles beinhalten. Doch ist dies nicht normative Voraussetzung des § 202a StGB, sondern bloße faktische, statistische Wahrscheinlichkeit. (3) Formelles Geheimnis Der Wortlaut stellt darauf ab, dass die Daten gesichert sein müssen. Dies ist ein äußeres Merkmal der Daten. Formalen, äußeren Merkmalen werden inhaltliche, materielle gegenübergestellt. Hier sind äußere, d.h. formale Eigenschaften ausschlaggebend. Die Daten müssen sozusagen in Vor-Zugriffgesicherter-Form vorliegen. Der Wortlaut ficht somit für die Annahme eines formellen Geheimnisses. b) Historisch-systematische Auslegung Aus der Vorgeschichte der Norm, die zu den gesetzgeberischen Motiven für eine Regelung führte, lassen sich Schlüsse auf das Rechtsgut ziehen, das der Gesetzgeber im Auge hatte, als er normierte.98 Dabei stellt der Wille des historischen Gesetzgebers Schranke und Leitlinie der Auslegung dar.99 Die systematische Verortung der Norm ist dabei ein Aspekt, den historischen gesetzgeberischen Willen zu ermitteln. Der besondere Teil des StGB ist nach Rechtsgütern gegliedert, das Rechtsgut ist demnach „Einteilungs§ 202a Rn. 6; Mehrings, Informationsrechtsschutz, S. 189; Wessels/Hettinger, Strafrecht BT/I, Rn. 559; Haft, NStZ 1987, 6, 10. Vgl. i. E. unten S. 89, dort Kap. V. 97 Nach Jessen, Sicherung i. S. v. § 202a, S. 38, wäre § 202a StGB sonst als Gefährdungsdelikt zu begreifen. 98 Vgl. Larenz, Methodenlehre, S. 328 ff.; Larenz/Canaris, Methodenlehre, S. 149 ff.; Bydlinski, Methodenlehre, S. 449 ff.; Mittenzwei, Teleologie, S. 253 ff. 99 H.-L. Günther, Strafrechtswidrigkeit, § 8, S. 142.
40
Teil 1: Rechtliche und technische Hinführung
gesichtspunkt“.100 Aus der systematischen Stellung einer Norm lässt sich daher auf ihr Rechtsgut rückschließen.101 Die Norm findet sich nicht zufällig an ihrem Orte, sondern wurde vom Gesetzgeber gezielt in das System eingeordnet. Da die Norm selbst keinerlei Vorgeschichte im Sinne des Ersetzens oder Ergänzens einer vorigen oder anderen Norm hat, ist hier in erster Linie von Interesse, welche Beweggründe der Gesetzgeber bei Fassung des 2. WiKG im Allgemeinen und des § 202a im Besonderen hegte, sowie, aus welchen Gründen er ihn wie geschehen verortete. (1) Vermögen Die Norm war Bestandteil des Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG). Dies legt zunächst die Annahme eines Wirtschaftsdeliktes im Bereich der Vermögensdelikte nahe. Allerdings erging im 2. WiKG ein ganzes Bündel neuer Normen. Diese Normen erfassen teils direkt Vermögensdelikte, wie etwa §§ 263a StGB, 264a StGB, teils auch Delikte in deren Umfeld. Zu letzterem Bereich, also zu Handlungen, die häufig zu wirtschaftlich motivierten Delikten führen können (ohne es zu müssen), zählen etwa die Änderungen in §§ 152a, 270, 271, 273, 274, 348 StGB. Eine Einordnung aller vom 2. WiKG erfassten Normen in den Bereich der Vermögensdelikte ist keineswegs zwingend. Im Vordergrund standen andere Normen und nicht § 202a. So findet sich die Konzeption des Ausspähungstatbestandes noch nicht im Entwurf der Bundesregierung.102 Allerdings führt der Gesetzgeber an, der „gestiegenen Bedeutung des Wertes von Information wird damit strafrechtlich Rechnung getragen“ und das „Strafrecht sollte erst dort eingreifen, wo ein Schaden oder wenigstens eine Rechtsgutsbeeinträchtigung, wie zum Beispiel die Verletzung des Verfügungsrechts über Informationen bei einer Tat nach § 202a Abs. 1 StGB, eingetreten ist.“103 Der Bezug auf einen „Wert“ könnte eine wirtschaftliche Bedeutung haben. Der Gesetzgeber nahm hier den „Wert der Information“ als Anlass und Grund zur Regelung. „Wert“ ist jedoch auch für den Gesetzgeber nicht gleichbedeutend mit „wirtschaftlichem Wert“. Die gesetzgeberische Begründung zieht Parallelen zu § 202 StGB und nicht etwa zu §§ 242 ff. oder §§ 263 ff. StGB. Bezüglich des Begriffes des Verschaffens verweist der Gesetzgeber auch nicht etwa auf § 259 StGB, sondern auf 100 Jescheck/Weigend, Strafrecht AT, § 26 I 3. b); Sieber, Informationstechnologie, S. 34; Maurach/Schroeder/Maiwald, Strafrecht BT/1, Einleitung, Rn. 7 ff. Umfassend zur Entwicklung, Kritik und Alternativen zur Einteilung nach Rechtsgütern: Würtenberger, Rechtsgüterordnung, S. 1 ff. 101 Bydlinski, Methodenlehre, S. 442 ff. 102 BT-Drs. 10/5058, S. 28. 103 BT-Drs. 10/5058, S. 28.
B. Derzeitiges Verständnis des § 202a StGB
41
§ 96 StGB.104 (Zum Einfluss der jüngsten Reform, die das Zugangsverschaffen erfasst, siehe im Anschluss.) Vergleicht man den Regelungsgehalt der vermögensschützenden Normen, so ist einer Parallele, wie sie Haft und andere mit der Formulierung „Datendiebstahl“ nahelegen, entgegenzuhalten, dass § 202a dann auch Daten ohne Vermögenswert umfassen müsste. Denn der Diebstahlsschutz bezieht sich auch auf nicht-vermögenswerte Gegenstände.105 § 242 StGB schützt nicht das Vermögen, sondern Eigentum und Gewahrsam.106 Die §§ 263 ff. sind dagegen vermögensschützend.107 Von „Datenbetrug“ wollen jedoch auch Haft und andere nicht sprechen. Bühlers Behauptung, dass hinter jeder Information ein bestimmter wirtschaftlicher Wert stehe,108 ist so nicht haltbar. Nicht jede Information ist wirtschaftlich messbar. Daten haben einen Wert, dieser muss aber kein wirtschaftlicher sein. Nichts anderes ergibt sich aus der Verortung der Norm durch den Gesetzgeber: Die Abschnittsüberschrift des fünfzehnten Abschnittes, in den der Gesetzgeber die Norm gezielt eingefügt hat, legt zunächst nahe, dass die geschützte Information aus dem Privatbereich stammen oder persönlicher Natur sein müsse. Geschäftliche Geheimnisse sind nicht privater Natur und zugleich dem Vermögen zuzurechnen. Der Schutz dieser Geheimnisse schiede dann aus. Die gesetzgeberische Lozierung ist jedoch so nicht zu verstehen: Der Gesetzgeber fasst Privatgeheimnisse und Berufs- und Geschäftsgeheimnisse normativ durchaus nebeneinander, wie § 203, der im selbigen Abschnitt niedergelegt wurde und der die gesetzliche Normüberschrift „Verletzung von Privatgeheimnissen“ trägt, wörtlich zeigt.109 Diese Trennung von Geschäftlichem und Persönlichem nahm in der gesellschaftlichen Entwicklung noch zu, so Habermas110. Bei der Fassung des wesentlich später normierten § 202a ist daher davon auszugehen, dass dieses Verständnis des Gesetzgebers noch genauso, wenn nicht gar vertieft, zugrunde lag. Der Gesetzgeber will das Private neben dem Geschäftlichen erfassen. Er stellt dies im Hinblick auf die eine andere Deutung nahelegende Stellung 104
BT-Drs. 10/5058, S. 29. Haß, Computerprogramme, S. 299; Lackner/Kühl, § 242 Rn. 2 m. w. N. 106 Statt vieler Lackner/Kühl, § 242 Rn. 1. 107 BGHSt 16, 220, 221; 321, 325; Lackner/Kühl, § 263 Rn. 2 stellv. für die h. M., a. M. etwa Kindhäuser, ZStW 103 (1991), 398, ein vermögensschädigendes Freiheitsdelikt annehmend. 108 Bühler, MDR 1987, 448, 452. 109 Siehe auch Schünemann, ZStW 90 (1978), S. 11, der meint, beide Bereiche wären so unterschiedlich, dass sie getrennt behandelt werden müssten. 110 Habermas, Strukturwandel der Öffentlichkeit, Kap. V, S. 172 ff.; ders., in Fraenkel-Bracher, Fischer-Lexikon Staat und Politik, S. 220 ff. 105
42
Teil 1: Rechtliche und technische Hinführung
im fünfzehnten Abschnitt mit den Worten, er verorte hier, „obwohl die Straftat nicht eine Verletzung des persönlichen Lebens- oder Geheimbereichs voraussetzt“, ausdrücklich klar.111 Das heißt, dass andere Geheimbereiche, etwa geschäftliche, auch erfasst sein können. Der Gesetzgeber selbst relativiert die Stellung des § 202a StGB: Er wählt den fünfzehnten Abschnitt – wie bereits erwähnt – bloß „wegen des engen Zusammenhangs mit den §§ 201, 202 StGB“. Der Gesetzgeber selbst misst der Einstellung in den fünfzehnten Abschnitt also keine größere Bedeutung bei. Es wäre verfehlt, dann im Nachhinein der Einstellung eine Bedeutung zu zu messen, die der Gesetzgeber hier nicht beimessen wollte.112 Der Gesetzgeber legt sein Verständnis der persönlichen Geheimnisse nicht dar. Diese sind Ausprägung des Persönlichkeitsrechts. Die Bedeutung des Persönlichkeitsrechts ist nach wie vor unbestimmt. Das allgemeine Persönlichkeitsrecht, das erstmals von Kohler 1880 angenommen,113 von Giesker monographisch entwickelt114 und – während es sich in den USA schon früh durchsetzen konnte115 – in Deutschland nach dem Zweiten Weltkrieg verfestigt wurde,116 ist allgemein anerkannt. Dies gilt auch im Rahmen neuer technischer und medialer Entwicklungen.117 Doch führt weder die zivilrechtliche noch die öffentlichrechtliche Literatur und Rechtsprechung zu einer Umreißung, die für die strengen Anforderungen des Strafrechts ein festes Fundament bieten könnte.118 Der Gesetzgeber stellt ausdrücklich klar, dass er die persönlichen Geheimnisse, unabhängig von seinem Verständnis dieser, nicht als ausschließlich erfasst annimmt. 111
BT-Drs. 10/5058, S. 28. Siehe dazu: Bydlinski, Methodenlehre, S. 448. 113 Kohler, in Jherings Jahrbuch XVIII (1880), S. 272 ff. 114 Giesker, Das Recht des Privaten an der eigenen Geheimsphäre (1904), S. 3 ff. 115 Vgl. Arthur Miller, The Assault on Privacy (deutscher Titel: „Der Einbruch in die Privatsphäre“), S. 199 ff.: Privacy as a Constitutional Principle; Schünemann, ZStW 90 (1978), S. 11, 16 jew. m. w. N. 116 s. nur das Hjalmar-Schacht-Urteil (1954; BGHZ 13, 334) und das Herrenreiterurteil (1958; BGHZ 26, 349). 117 Vgl. Wüllrich, Das Persönlichkeitsrecht des Einzelnen im Internet, dort: Persönlichkeitsrecht im Allgemeinen (S. 77–183) sowie im Hinblick auf das Internet (S. 109–186), der die derzeit jüngste und umfassende Darstellung des Persönlichkeitsrechts im Allgemeinen sowie im Lichte der Herausforderungen des Internet liefert; s. a. Hornung, MMR 2004, 3. Vgl. auch Habermas, Strukturwandel der Öffentlichkeit, S. 168 ff.; ders., in Fraenkel-Bracher, Fischer-Lexikon Staat und Politik, S. 220 ff.; prägnant und jünger ders., Preisrede anlässl. d. Verleihg. d. BrunoKreisky-Preises 2005 am 9.3.2006, S. 4. Zum Persönlichkeitsrecht in den Medien vgl. umfassend Fechner, Medienrecht, S. 61 ff. 118 Schünemann, ZStW 90 (1978), S. 16. Zu Versuchen, den Schutz der Persönlichkeit im Strafrecht zu verankern, vgl. Gallas, Persönlichkeit, S. 203 ff. 112
B. Derzeitiges Verständnis des § 202a StGB
43
Diesem Verständnis eines Nebeneinander von persönlichen und geschäftlichen (und möglicherweise noch anderen) Geheimnissen wird von den weiteren Hintergründen nicht widersprochen: In der öffentlichen Anhörung vor dem Bundestag am 06.06.1984 wurde zwar namentlich von Oertel die wirtschaftliche Bedeutung der Norm betont und entsprechend hohe Strafen gefordert.119 Die (auch) wirtschaftliche Bedeutung macht das Delikt jedoch noch nicht zu einem Vermögensdelikt. In der Folge wurde auch den Vorschlägen Siebers Rechnung getragen, die nahezu wörtlich in § 202a StGB übernommen wurden.120 Der Gesetzgeber stellt klar, dass „wegen des engen Zusammenhangs mit den §§ 201, 202 StGB“ vorgeschlagen wird, den Tatbestand hier einzugliedern. Soweit ist festzuhalten, dass nichts dafür spricht, nur das Vermögen als geschützt anzusehen. Es spricht vielmehr einiges dafür, auch das Vermögen als geschützt anzusehen. Schumann sieht jedenfalls nach der Reform durch das 41. StrÄndG alle Zweifel durch eine vorher angenommene Nähe zum Diebstahl als beseitigt an und will hier „nun ein ‚echtes‘ Geheimnissschutzdelikt“ erblicken.121 Den Hintergründen der Reform, die nach dem Willen des Gesetzgebers und ersten Stellungnahmen vor allem die Strafbarkeit in das Vorfeld rücken möchte, ist mithin nicht zu entnehmen, dass sie ein anderes Rechtsgut im Auge hatte oder prägen wollte. Teils wird vertreten, sie forme das Delikt zu einem Gefährdungsdelikt am selben Rechtsgut um.122 Dies ist hier nicht zu entscheiden. Jedenfalls aber gibt es keinen (intendierten) Einfluss auf das Rechtsgut selbst. Es ist aber insoweit der Ausgangsthese zur Reform zuzustimmen, dass, wenn schon vorher das Rechtsgut nicht das Vermögen war, nach der Reform weitere Anhaltspunkte für eine gegenteilige Ansicht entzogen werden und damit die hier vertretene Ansicht noch bekräftigt wird. (2) Materielles Geheimnis Der Gesetzgeber verlangt ausdrücklich nicht das Vorliegen eines materiellen Geheimnisses: „Die geschützten Daten brauchen deswegen allerdings keine ‚Geheimnisse‘ i. S. der verschiedenen Straftatbestände zum Schutze 119 Oertel, Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), S. 181, 189 f., Anlage S. 34 ff., 36. 120 Sieber, Informationstechnologie, S. 49 ff. – dies ist eine leicht überarbeitete Veröffentlichung des Gutachtens von Sieber zu besagter Anhörung. 121 Schumann, NStZ 2007, 675, 676. 122 Gröseling/Höfinger, MMR 2007, 549, 551.
44
Teil 1: Rechtliche und technische Hinführung
von Geheimnissen darzustellen“.123 Klarer könnte die Aussage kaum sein. Ebenso, wie der Gesetzgeber feststellt, die Geheimnisse müssten keine persönlichen sein, definiert er, sie könnten, müssten aber keine inhaltlichen sein. Diesem ausdrücklichen Willen widerspricht auch nicht die Verortung der Norm. Der Abschnittsüberschrift ist nur ein Hinweis zu entnehmen, aus welchem Bereich die Geheimnisse stammen sollen. Selbst wenn man dies auf den ersten Blick als Anhaltspunkt für die Annahme eines inhaltlichen Geheimnisschutzes sehen wollte, so hält diese Annahme einer tieferen Untersuchung nicht stand. Ob aus dem entsprechenden Bereich formelle oder materielle Geheimnisse erfasst werden, lässt sich nicht direkt entnehmen. Geheimnisse aus dem Privaten können sowohl inhaltliche als auch formale sein. Ebenso wenig lässt sich dies aus dem Gefüge der weiteren Normen des Abschnitts entnehmen. Während der systematisch nahe § 203 auf den Inhalt einer Information abstellt und demgemäß das private Verfügungsrecht über materielle Geheimnisse schützt,124 stellt § 202 StGB auf eine bestimmte Informationsübermittlungsform und nicht auf den Inhalt ab, wenn er das Briefgeheimnis schützt. Die herrschende Meinung nimmt entsprechend als Rechtsgut des § 202 das formelle Geheimnis oder den formellen Geheimbereich an.125 § 202a StGB wurde also inmitten von Normen platziert, welche teils den Schutz von materiellen und teils von formellen Geheimnissen zum Gegenstand haben, wobei Überschneidungen möglich sind. Aus der systematischen Stellung kann daher nicht weiter auf eine bestimmte Geheimnisqualität eingeschränkt werden. (3) Formelles Geheimnis Das oben bereits angeführte Postulat des Gesetzgebers, das „Strafrecht sollte erst dort eingreifen, wo ein Schaden oder wenigstens eine Rechtsgutsbeeinträchtigung, wie bspw. die Verletzung des Verfügungsrechts über Informationen bei einer Tat nach § 202a StGB, eingetreten ist“126 zieht das Verfügungsrecht als Beispiel heran. Weiterführende Beispiele nennt der Gesetzgeber nicht. Das Verfügungsrecht seinerseits ist Merkmal des formellen Geheimnisses. Wie bei den Ausführungen zum Vermögen und zum mate123
BT-Drs. 10/5058, S. 29. SK-Hoyer, § 203 Rn. 1; LK-Schünemann, § 203 Rn. 3 f.; Sch/Sch-Lenckner/ Schittenhelm, § 203 Rn. 3. 125 SK-Hoyer, § 202 Rn. 4; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 2; Küper, JZ 1977, 464, 465; Lackner/Kühl § 202 Rn. 1; LK-Schünemann § 202 Rn. 2; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 I Rn. 5. 126 BT-Drs. 10/5058, S. 28. 124
B. Derzeitiges Verständnis des § 202a StGB
45
riellen Geheimnis gezeigt wurde, weiß der Gesetzgeber, welche Eigenschaften das Geheimnis nicht braucht: Es muss weder dem persönlichen Bereich entstammen, noch muss es sich inhaltlich um ein Geheimnis handeln. Der Gesetzgeber weiß also, was er nicht fordert. Was er dagegen positiv fordert, bleibt vage. Nachdem er weder zur Quelle noch zum Inhalt Vorgaben macht, dagegen aber zeigt, dass er auf das Verfügungsrecht abstellt, das er in technisch gesicherter Form vorliegen sehen will, deuten Historie und gesetzgeberischer Wille demnach auf die Annahme des formellen Geheimnisses als Rechtsgut hin. Bühlers Argumentation, das formelle Geheimhaltungsinteresse verkomme zu einer „bloßen Hülse“ ist insoweit richtig, als es diesem nicht auf den Inhalt ankommt. Dies ist jedoch auch beim Hausfriedensbruchtatbestand der Fall, bei dem Grundstücke gleich welchen „Inhalts“ geschützt sind, wenn sie befriedet sind. Eine formelle Eingrenzung ist möglich und hier gewollt vom Gesetzgeber gezogen worden. Ob sie rechtspolitisch diskussionswürdig ist, kann hier dahinstehen. c) Telos Die teleologische Methode fragt nach dem objektivierten Sinn des Gesetzes. Sie bedient sich der oben bereits angeführten Auslegungsmethoden, die demgemäß lediglich als besondere Wege der Annäherung an den Telos anerkannt werden.127 Eine losgelöste teleologische Auslegung kann es nicht geben. Der Zweck des Gesetzes wird ihm vom Gesetzgeber – und nur ihm – beigemessen. Einen anderen Zweck kann es nicht geben. Um den gesetzgeberischen Willen zu ermitteln, bedarf es jedoch von der Legislative gesetzte Anhaltspunkte. Diese sind zuvörderst die bereits behandelten aus dem Wortlaut, der Historie sowie der Systematik. Ob man hier objektiv-teleologisch, also nach dem Willen des Gesetzes, nach der Funktion, oder subjektiv-teleologisch, also nach dem Willen des Gesetzgebers, nach dem Zweck des Gesetzes fragend, vorgeht;128 es geht um das gleiche Problem, so schon Günther.129 Wesentlichen Fixpunkt für die teleologische Auslegung bildet das Rechtsgut.130 Damit zeigt sich sogleich die Gefahr der teleologischen Auslegung, welche das Rechtsgut als Ziel hat. Wie bereits oben angeführt, nun aber von besonderer Relevanz, ist 127 Jescheck/Weigend, Strafrecht AT, § 17 IV, 1 – gelegentlich fallen die Ergebnisse jedoch auch auseinander, dazu a. a. O. 2. 128 Zur Unterscheidung von subjektiver und objektiver Theorie: Jescheck/Weigend, Strafrecht AT, § 17 IV, 2; H.-L. Günther, Strafrechtswidrigkeit, § 8 III, S. 141 f. 129 H.-L. Günther, Strafrechtswidrigkeit, § 8 III, S. 141 f. 130 Jescheck/Weigend, Strafrecht AT, § 17 IV, 3.
46
Teil 1: Rechtliche und technische Hinführung
das Rechtsgut hier Auslegungsziel und darf nicht zugleich Mittel sein, will man der Gefahr eines zirkulären Schließens entgehen. Als weiteres teleologisches Auslegungsmittel verbleibt damit lediglich die verfassungskonforme Auslegung als ein Element der teleologischen.131 Daneben ist der Handlungsunwert, den der Gesetzgeber bei der Aufstellung der Strafnorm angenommen hat und der sich unter anderem in der Strafdrohung niederschlägt, heranzuziehen.132 (1) Verfassungskonforme Auslegung Prämisse der verfassungskonformen Auslegung ist, dass der Gesetzgeber stets nur verfassungskonforme Gesetze will.133 Etwas anderes kann ihm nicht im Sinn stehen. Insoweit kann die verfassungskonforme Auslegung unter dem Kriterium des Telos behandelt werden.134 Verfassungsrechtlichen Bedenken ist zum Beispiel § 303a StGB ausgesetzt. Teils wird er als gegen das Bestimmheitsgebot nach Art. 103 Abs. 2 GG, welches seine einfachgesetzliche Entsprechung in § 1 StGB findet, verstoßend als verfassungswidrig angesehen.135 Kritisiert wird, dass es keine kodifizierten Regelungen gebe, die die Verfügungsbefugnis über Daten normieren.136 Bei § 202a StGB wird dies so nicht diskutiert, obwohl sich dort die Frage entsprechend stellen müsste.137 Es könnte verfassungswidrig sein, die Verfügungsbefugnis über Informationen als Rechtsgut anzunehmen. Strafbewehrtes Verhalten muss so konkret definiert sein, dass die eindeutige Unterscheidung von Erlaubtem und Verbotenem für jedermann klar ersichtlich ist – nullum crimen sine lege certa.138 Festzuhalten ist zunächst, dass auch die weiteren oben angesprochenen und diskutierten Rechtsgüter wie das materielle Geheimnis auf Bestimmtheitsprobleme stoßen und im Gesetz nicht definiert wurden.139 Das131
Bydlinski, Methodenlehre, S. 455; Jescheck/Weigend, Strafrecht AT, § 17
IV, 1. 132 BGH 2, 362 f.; 6, 40, 52; 7, 134, 138; 22, 114, 117; 22, 178 f.; Jescheck/Weigend, Strafrecht AT, § 17 IV, 3. 133 NK-Hassemer, § 1 Rn. 16; Larenz/Canaris, Methodenlehre, S. 159 ff. 134 Bydlinski, Methodenlehre, S. 455 ff.; zum Verhältnis der Auslegungskriterien vgl. auch Larenz/Canaris, Methodenlehre, S. 163 ff. 135 LK-Tolksdorf, § 303a Rn. 7. 136 Vgl. zum Schutzgut Gerhards, Sachbeschädigung, S. 20 ff. 137 So auch P. Schmid, Computerhacken, S. 33. 138 BVerfGE 29, 269, 285; 78, 374, 382; 80, 244, 256; NK-Hassemer/Kargl, § 1 Rn. 14. 139 Vgl. SK-Hoyer, § 203 Rn. 5–13; NK-Kargl, § 203 Rn. 6–8 mit jeweils weiteren Nachweisen.
B. Derzeitiges Verständnis des § 202a StGB
47
selbe gilt für den diskutierten Begriff des Vermögens, wenn auch in abgeschwächter Form und nicht seiner grundsätzlichen Natur nach.140 Sämtliche bei § 202a StGB diskutierten Rechtsgüter sehen sich also, wenn auch in unterschiedlichem Maße, dem Vorwurf der Unbestimmtheit ausgesetzt. Das Argument der Verfassungskonformität vermag für keinen Begriff zu streiten. Dies heißt jedoch nicht, dass das „geringste Übel“ verfassungskonform sein müsste. Das Strafrecht erkennt jedoch in anderen Fällen auch Rechtsgüter an, die nicht mit letzter Genauigkeit zu definieren sind. Das Strafrecht kann naturgemäß nicht mit letzter Genauigkeit strafwürdige Lebenssachverhalte definieren, es bedarf der Vagheit, um sich ändernde Umstände angemessen erfassen zu können.141 Das Strafrecht muss sich auch nicht Begriffen bedienen, die in anderen Gesetzen definiert sind, etwa dem Grundsatz der Einheitlichkeit der Rechtsordnung folgend. Dies wäre gar oft irreführend, die „Zivilisierung“ des öffentlichen Rechts und damit des Strafrechts ist zu Recht kritisiert worden.142 Exemplarisch kann der Gewahrsamsbegriff angeführt werden. Er ist (neben dem Eigentum) anerkanntes Rechtsgut des § 242 StGB.143 Auch dieser Begriff ist weder im StGB definiert noch findet er eine Entsprechung im Zivilrecht.144 Auch ist der Begriff des Gewahrsams keinesfalls dem Wortlaut nach, kraft „Natur der Sache“ oder aus sonstigen Gründen exakt festgelegt.145 Dennoch ist das Rechtsgut Gewahrsam anerkannt und Zweifel an der Verfassungsmäßigkeit der darauf fußenden Norm werden nicht maßgeblich diskutiert. Auch der im Strafrecht wesentliche Begriff der Fahrlässigkeit wird weitgehend akzeptiert, wenn auch unter Kritik.146 Er ist zwar im Bürgerlichen Gesetzbuch in § 276 Abs. 2 näher konkretisiert. Der strafrechtliche Fahrlässigkeitsbegriff ist jedoch ein eigener und der des Zivilrechts nicht heranzuziehen.147 Der Gesetzgeber verzichtete – dankenswerterweise, so Puppe – auf eine Definition der Fahrlässigkeit.148 140
Vgl. etwa SK-Hoyer, § 263 Rn. 88–135; NK-Kindhäuser, § 263 Rn. 226–348. NK-Hassemer/Kargl, § 1 Rn. 17 ff. 142 Grundlegend schon: Bruns, Befreiung des Strafrechts, S. 1 ff. 143 SK-Hoyer, § 242 Rn. 1. 144 Er ist gerade nicht mit dem Besitzbegriff des Zivilrechts zu verwechseln, SKHoyer, § 242 Rn. 20; schon Bruns, Befreiung des Strafrechts, S. 202 ff. 145 Vgl. die verschiedenen Definitionsversuche in SK-Hoyer, § 242 Rn. 20–45. 146 Dazu ausf. MüKo-Duttge, § 15 Rn. 32–37. Dabei soll der Begriff der Fahrlässigkeit hier nicht mit einem Rechtsgut verwechselt werden. Doch ist er für die Bestimmung der Strafbarkeit ebenso von ganz bedeutendem, wenn nicht bedeutenderem Gewicht. Zur Vereinbarkeit von Fahrlässigkeitsbegriff und nullum crimen sine lege certa vgl. auch Roxin, Strafrecht AT/1, Rn. 94 ff. 147 RGZ 129, 60; Bruns, Befreiung des Strafrechts, S. 258 ff. m. w. N.; NKPuppe, § 15 Rn. 11. 148 NK-Puppe, § 15 Rn. 12 f., obwohl StGB Entwurf (E 62) dies vorsah. 141
48
Teil 1: Rechtliche und technische Hinführung
Es zeigt sich also, dass dem StGB Rechtsbegriffe, die zumindest Bestimmtheitsbedenken unterliegen, keineswegs fremd sind. Weitere Beispiele ließen sich problemlos bilden.149 Dies soll nicht darüber hinwegtäuschen, dass der Gesetzgeber sich stets nach Kräften zu bemühen hat, die strafrechtlichen Normen so präzise wie möglich und nur so frei wie nötig zu fassen. Wo ihm dies nicht gelingt, ist auf die Norm zu verzichten oder sie zu beseitigen. Wie in den obigen Beispielen kritisierter und doch akzeptierter Rechtsbegriffe im Strafrecht müssen auch hier die Notwendigkeiten eines flexiblen Strafrechts gelten. Das Rechtsgut ist nicht (zu) unbestimmt: Die Verfügungsbefugnis über Daten ist strafrechtlich nicht definiert. Auch findet sich keine (verwendbare) Entsprechung in einem anderen Gesetz. Dennoch kann daraus noch nicht per se geschlossen werden, der Begriff sei zu unbestimmt. Die Verfügungsbefugnis ist das Recht, aufgrund eines Rechts an dem gedanklichen Inhalt über eine Weitergabe, Übermittlung oder auch Vernichtung der Daten zu entscheiden. Dies ist im Sinne des § 202a eingeschränkt auf Daten, die gegen unbefugten Zugriff besonders gesichert sind, bei denen das Recht also technisch bewehrt ist. Wenn auch die Rechtsprechung noch nicht zu einer Präzisierung beigetragen hat, so hat dies die Literatur getan.150 Eine herrschende Meinung hat sich mittlerweile herausbilden können.151 Strafrechtliche Begriffe müssen eine gewisse Offenheit bewahren und dennoch für die Anwendung präzise genug sein. Die formale Umgrenzung eines Rechtsgutes ist, wie die Befriedung bei § 123 zeigt, grundsätzlich geeignet, ein Rechtsgut zu fassen. Dies gilt auch hier. Die Sicherung, wenn auch zu diskutieren ist welche Sicherung im Einzelnen in Betracht kommt, umgrenzt und bestimmt dadurch das Rechtsgut ausreichend präzise. Der Begriff ist insgesamt bestimmt genug, wie dies auch der 149 Im Rückblick sei der grobe Unfug genannt, dazu etwa F.-C. Schroeder, JZ 1969, 775 ff. 150 Es ist müßig hier sämtliche Literatur aufzuzählen, die sich mit dem Rechtsgut des § 202a StGB auseinandersetzt und somit zur Präzisierung beiträgt. Sie lässt sich den entsprechenden Fundstellen insbesondere dieses Abschnitts entnehmen. 151 Zum formellen Geheimnis vgl. Ernst in ders.: Hacker, Rn. 229; Tröndle/Fischer54, § 202a Rn. 2; Fischer, § 202a Rn. 2; Frommel, JuS 1987, 667, 668; Granderath, DB 1986 Beilage Nr. 18, 1; Haft, Strafrecht BT/II, I. IV 1; Haß, Computerprogramme, S. 299, 311; Hilgendorf, JuS 1996, 511; ders./Frank/Valerius, Computerstrafrecht, Rn. 654; Hilgendorf/Wolf, K&R 2006, 541, 546; SK-Hoyer, § 202a Rn. 1; Jessen, Sicherung i. S. v. § 202a, S. 43; Krey/Heinrich, Strafrecht BT/I, § 6, Rn. 488a; Krutisch, Computerdaten, S. 73 f.; Lackner/Kühl, § 202a Rn. 1; Leicht, iur 1987, 45; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1; Lenckner/Winkelbauer, CR 1986, 483, 485; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 Rn. 79 f.; Möhrenschlager, wistra 1986, 128, 140; Otto, Grundkurs Strafrecht BT, § 34 Rn. 66; Schlüchter, 2. WiKG, S. 58; dies., NStZ 1988, 53, 55; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 25 ff.; LK-Schünemann, § 202a Rn. 2; Schulze-Heiming, Computerdaten, S. 37 ff., 41.
B. Derzeitiges Verständnis des § 202a StGB
49
des Gewahrsams, des materiellen Geheimnisses, des Hausrechts und des Vermögens sind. Einer Annahme eines dieser Güter als Rechtsgut des § 202a StGB stehen also keine verfassungsrechtlichen Bedenken gegenüber. Das Strafrecht kann hier insofern eine Vorreiterrolle spielen. (2) Strafandrohung Die bezweckte – damit dem Telos unterfallende – Strafandrohung gibt ebenso Hinweise auf Sinn und Zweck einer Norm. Die quantitative Höhe der Strafandrohung spiegelt wider, welche qualitative Bedeutung der Gesetzgeber dem Rechtsgut beimisst. Vergleicht man die Strafandrohungen des § 202a mit denen der §§ 201, 201a, 202, 203, 204, 206 sowie § 242 und § 263 StGB, so lassen sich zwei Gruppen bilden: Die Drohungen der ersten sechs (§§ 201 ff.) Normen liegen bei bis zu einem, zwei oder drei Jahren,152 während die der letzten beiden bei bis zu fünf Jahren liegen. Will man hier Datendiebstahl annehmen, so wäre zudem der schärfere § 243 Abs. 1 Nr. 2 StGB in aller Regel erfüllt. Die Diskrepanz der angedrohten Strafe würde noch deutlicher. Ihre Höhe spricht demnach für die Annahme eines Geheimnisschutzdelikts, da die Strafandrohungen der Normen §§ 201, 201a, 202, 203, 205 und 206 StGB, welche allesamt zu den Geheimnisschutznormen zählen, der des untersuchten § 202a StGB entsprechen, während die Androhungen der §§ 242, 243 Abs. 1 Nr. 2 und 263 StGB wesentlich höher liegen. Aus dem Vergleich der Strafdrohungen ergibt sich damit auch, dass § 202a StGB zu den Geheimnisschutzdelikten und nicht zu den Vermögensdelikten zu rechnen ist. d) Ergebnis Resümierend ist festzuhalten: § 202a StGB schützt das Recht des Verfügungsberechtigten, andere vom Zugang zu seinen Daten auszuschließen. Dies mag typischerweise vermögenswerte Interessen schützen, doch ist dies nicht erforderlich und vermag das Rechtsgut nicht zu beeinflussen, weder in einschränkender noch in erweiternder Hinsicht. Informationen sind zwangsweise geschützt; Daten sind Informationen in besonderer Form.153 Es wäre 152 § 206 StGB fällt hier nur scheinbar aus dem Rahmen. Zu beachten ist Abs. 4, der einen Strafrahmen von bis zu zwei Jahren vorsieht. Der Strafrahmen des Abs. 1 betrifft nur Tatsachen, die dem Täter als Inhaber oder Beschäftigtem eines Postoder Telekommunikationsdienstes bekannt geworden sind. Der „Grundtatbestand“ findet sich dagegen in Abs. 4. Zur Historie der Norm, cf. MüKo-Altenhain, § 206 Rn. 7 und zur Kritik an der Diskrepanz der Strafandrohung Rn. 94 a. a. O. 153 Zur anderweitigen Auffassung insb. im öffentlichen Recht: siehe oben Fn. 65, S. 32 und unten Fn. 237, S. 70.
50
Teil 1: Rechtliche und technische Hinführung
jedoch verfehlt, Informationen als Rechtsgut anzunehmen. Dies hieße, die erheblichen Einschränkungen des Tatbestandes als irrelevant für das Rechtsgut anzunehmen. Der Tatbestand ist jedoch kennzeichnendes Merkmal des Rechtsguts, das Rechtsgut kann nicht ganz erheblich weiter sein als der Tatbestand. Auch auf den Inhalt der Daten kommt es nicht an. Weber bringt dies auf den Punkt, wenn er das Angriffsobjekt zu Recht als inhaltlich konturlos bezeichnet, weshalb sich das Rechtsgut nur formal bestimmen lasse.154 Insbesondere ist es nicht erforderlich, wenngleich möglich und typischerweise der Fall, dass die Informationen einen wirtschaftlichen Wert darstellen oder personenbezogen sind. Materielle Geheimnisse müssen sie nicht bergen, es kann sich um belanglose und frei verfügbare Information handeln. Ausreichend, aber auch erforderlich, ist nach der herrschenden Meinung das Vorliegen des Geheimhaltungswillens des Verfügungsberechtigten und dass dieser Wille einen Ausdruck findet. Diese Manifestation soll im Schutz der Daten vor unberechtigtem Zugang liegen. Diese Sicherung sei somit die Markierung155 oder Kennzeichnung des formalen Geheimnisbereichs und Abgrenzung von anderen nach der Gesetzeskonzeption nicht schützenswerten Daten und damit zugleich konstitutive Erhebung auf die Ebene der strafbewehrten Geheimnisse. Jedenfalls ist es notwendig, dass das Verfügungsrecht des Berechtigten, den Datenzugang zu steuern, technisch gesichert ist. Die rein formale Definition soll nach Weber Strafwürdigkeitsbedenken ausgesetzt sein.156 Dieselben Bedenken gegen eine rein formale Fassung eines Rechtsguts müsste auch § 123 Abs. 1 aufwerfen. Seine Fassung ist jedoch rechtspolitisch anerkannt. Die formale Umgrenzung wird dort nicht moniert. Der Hausfriedensbruchtatbestand kann als gegenständlicher Raum der Privat- und Intimsphäre des Individuums, ergänzt um die Quasi-Intimsphäre157 öffentlicher Einrichtungen verstanden werden.158 Dieser Raum wird durch die formale Umgrenzung, bspw. in Form der Wohnungsbegrenzungen oder der Befriedung, erst definiert. Dieser Gedanke lässt sich auf § 202a übertragen, der einen formalisierten Bereich erfasst, dessen Definition als Schutz der formellen Verfügungsbefugnis zu eng erscheinen mag.159 In der Tat dürfte die Annahme einer umfassenden Privat- und Intimsphäre unter Einschluss aller die individuelle Persönlichkeit bestimmenden Umstände ohne Rücksicht auf deren konkre154
Arzt/Weber, Strafrecht BT, § 8 Rn. 50, S. 214. Diesen Begriff verwendet bspw. Hoyer in SK, § 202a Rn. 1. 156 Arzt/Weber, Strafrecht BT, § 8 Rn. 51, S. 215. 157 Gössel/Dölling, Strafrecht BT/1, § 38 Rn. 1. 158 Vgl. hier unter S. 245 ff., dort Kap. b) und ausf. Gössel/Dölling, Strafrecht BT/1, § 38 Rn. 2. 159 Gössel/Dölling, Strafrecht BT/1, § 37 Rn. 112. 155
B. Derzeitiges Verständnis des § 202a StGB
51
ten Inhalt heutigem Verfassungsverständnis besser entsprechen. Dass es auf den Inhalt nicht ankommt, muss also keine Strafwürdigkeitsbedenken aufwerfen, begreift man das Schutzgut nach diesem modernen Verständnis. Es handelt sich um eine Ausprägung des verfassungsgerichtlich anerkannten allgemeinen Persönlichkeitsrechts160 die ergänzt wird um die Quasi-Geheimsphäre des Staates oder sonstiger Personengesamtheiten.161 Dies entspricht dem nicht mehr zeitgemäß verorteten § 123, der insoweit konsequent und systemkonform unter die §§ 201 ff. zu fassen wäre.162 Dem steht nicht entgegen, dass auch nicht-private Räume wie die des öffentlichen Dienstes erfasst sind, wenn man unter den 18. Abschnitt nicht nur rein persönliche Rechte fasst.163 Die formale Verfügungsbefugnis über die Daten ist wiederum eine Ausprägung dieser Rechte und wird erfasst, so sie technisch gesichert ist. Diese Beschränkung rechtfertigt es, die formale Verfügungsbefugnis als Rechtsgut anzunehmen. Dieses Verständnis ist dann nicht zu eng, begreift man es nicht als Selbstzweck, sondern als Teil des Schutzes eines Privat- oder Geschäftsbereichs. Nach diesem Verständnis werden keine Strafwürdigkeitsbedenken aufgeworfen. Damit spricht nichts dagegen, § 202a als elektronischen Hausfriedensbruchtatbestand zu begreifen.164 Das Rechtsgut ist sprachlich präzisierend als formeller Privat- und Geheimbereich zu benennen165 oder schlagwort160
BVerfGE 65, 1. Gössel/Dölling, Strafrecht BT/1, § 37 Rn. 112. 162 LK-Lilie, § 123 Rn. 1; Amelung, ZStW 98 (1986), S. 365, 407; Gössel/Dölling, Strafrecht BT/1, § 36 Rn. 1. 163 Zur Kritik an der Verortung im 18. Abschnitt vgl. SK-Rudolphi/Stein, § 123 Rn. 1a m. w. N. 164 Zu Tendenzen § 202a als „elektronischer Hausfriedensbruch“ zu begreifen, vgl. etwa Bär, MMR 2005, 434, 436; Ernst, NJW 2003, 3233, 3236; Sieber, in: Hoeren/Sieber: Multimedia-Recht, Kap. 19 Rdnr. 418, er wäre dann systematisch als § 123a zu fassen. Gössel/Dölling, Strafrecht BT/1, § 36 f., danach wäre § 123 zu den §§ 201 ff. einzugliedern. P. Schmid sieht ebenfalls diese Nähe (in Computerhacken, S. 136), de lege ferenda schlägt er vor, das bloße Eindringen in „virtuelle Aufenthaltsorte“ unter Strafe zu stellen (a. a. O., S. 179). Rengier gliedert in seinem Lehrbuch die Behandlung des Hausfriedensbruchs und der §§ 201 ff. in selbigem Abschnitt, in dem ansonsten keine weiteren Normen behandelt werden, vgl. Rengier, Strafrecht BT/II, 6. Kapitel. Vgl. auch aus der britischen Literatur ausf. Wall, Cybercrime, S. 113 ff., der vier Typen von „cyber-tresspassers“ entwickelt. Der Begriff des Tresspassing bedeutet dabei Hausfriedensbruch. Diese Auslegung gewinnt durch die letzte Reform eine wesentliche Stütze. Gar „ohne Einschränkungen“ die Norm als „elektronischen Hausfriedensbruch“ wollen nun Gröseling und Höfinger apostrophieren, siehe dies., MMR 2007 549, 551. (Der Begriff des elektronischen oder virtuellen Hausfriedens ist allerdings wie der des analogen ein vielschichtiger. Maume, MMR 2007, 620, verwendet ihn in anderem Zusammenhang, dem der Onlineforen und der (fraglichen) Haftung für diese, siehe dazu auch Fn. 279, S. 223). 165 Vgl. schon Küper zu § 202 in JZ 1977, 464, 465. 161
52
Teil 1: Rechtliche und technische Hinführung
artig und in Anlehnung an § 123 als „elektronischer Hausfrieden“. Dieses Verständnis findet in der jüngsten Reform eine Stütze, die nicht erst das Verschaffen von Daten, sondern schon das Verschaffen des Zugangs pönalisiert. Man könnte nun behaupten, die Tat sei ein Gefährdungsdelikt – was noch nicht beantwortete, bezüglich welchen Rechtsguts.166 Andererseits ließe sich auch vertreten, hier sei nun der „elektronische Hausfriedensbruch“ richtig gefasst.167 Vereinbaren lassen sich beide Thesen, wenn die Bedrohung des Hausfriedens bestraft werden soll. Wie der „analoge“ so dürfte auch der „elektronische Hausfrieden“ erst durch das Eindringen und nicht schon durch das Verschaffen eines Zugangs verletzt sein. Der Gesetzgeber hat sich jedoch aus tatsächlichen und rechtspolitischen Gründen dafür entschieden, schon das Zugangverschaffen zu bestrafen. Der Beweis, dass nach dem Verschaffen eines Zugangs von diesem auch Gebrauch gemacht wurde, ist in der „elektronischen Welt“ ungleich schwerer als in der „analogen“ Welt – wenn nicht oft unmöglich. Rechtspolitisch wollte der Gesetzgeber das Hacking erfassen, um ein Geschehen aufzunehmen, das in der analogen Welt nur theoretischen Belang hat. Er hatte hierbei die weit verbreitete und schon kommerzialisierte Weitergabe von Zugangsdaten und -möglichkeiten, ohne von diesen selbst Gebrauch gemacht zu haben im Blick. Für dieses letztere hausfriedensbruchgleiche Verständnis ficht auch die Abschnittsüberschrift, die vom persönlichen Lebens- und Geheimbereich spricht. Auch § 123 bspw. stützt sich mit der räumlichen Befriedung auf eine formale Bestimmung. Die Formalisierung wird auch bei diesem als notwendig anerkannt, um nicht auf einen möglicherweise unerkenntlichen und wechselnden Willen des Inhabers abstellen zu müssen.168 Die Befriedung wird durch das Aufstellen von Hindernissen um den zu schützenden Bereich realisiert. Als Äquivalent dient bei § 202a, dessen Daten sich teilweise räumlicher Umgrenzung entziehen, das Aufstellen elektronischer Hindernisse, die das Gesetz als Sicherung bezeichnet. Solche formal umgrenzten Bereiche ohne Ansehung ihres Inhalts strafrechtlich zu schützen ist also kein Novum. Für sie gibt es gute Gründe: Die Persönlichkeit braucht Bereiche zur Entfaltung, in denen sie nicht behelligt wird, in denen sie „schalten und walten“ kann, wie es ihr behagt, in denen sie einen Rückzugsraum findet und vor Einblicken und Einflüssen geschützt ist. „My (electronic) home is my castle.“ Auf dieses Bedürfnis nach Privatheit und Territorialität wird 166
Gröseling/Höfinger, MMR 2007, 549, 551. Gröseling/Höfinger, MMR 2007, 549, 551 – die dies mit dem Postulat, es handle sich um ein Gefährdungsdelikt, vereinbaren. 168 Vgl. stellv. Maurach/Schroeder/Maiwald, Strafrecht BT/I, § 30 Rn. 2 und ausf. Rn. 11. Weitere Stellungnahmen zu § 123 siehe unten S. 245 ff. und S. 360 ff. 167
B. Derzeitiges Verständnis des § 202a StGB
53
noch einzugehen sein. Wie bei der Wohnung schon aus ihr selbst heraus und bei Grundstücken durch eine Umgrenzung begründbar, werden dem Menschen Bereiche unabhängig von ihrem Inhalt zugeordnet, deren Verletzung einer Verletzung des Persönlichkeitsbereiches und damit der Persönlichkeit gleichkommt. Dieser Schutzbereich darf nicht vor Daten halt machen. Es entspricht der heutigen Realität, dass die Persönlichkeit sich in Daten niederschlägt. Diese sind daher auch zu schützen. Der BGH erkennt diese Bedeutung an und hat jüngst entschieden, dass „die in den Speichermedien eines Computers abgelegten Daten im Einzelfall ähnlich sensibel und schutzwürdig sein können wie das in einer Wohnung nichtöffentlich gesprochene Wort“. Er folgert daraus, dass ein Eindringen in diesen Datenbereich ein besonders schwerwiegender Eingriff in das Recht auf informationelle Selbstbestimmung sein kann.169 Das Rechtsgut ist das berechtigte Vertrauen in einen solchen rechtlich zugeordneten170, sozial anerkannten und eigens gesicherten Bereich, gleich welchen Inhalts, in dem „niemand Ungebetenes etwas zu suchen hat“. Aus der limitierten Akzessorietät des Strafrechts zum Öffentlichen Recht und zum Zivilrecht ergibt sich, dass zu der rechtlichen Zuordnung eine weitere Kautel hinzuzutreten hat: die technische Umgrenzung und damit neben der rechtlichen die technische Zuordnung und gleichzeitig deren Sicherung. Aus dem zivil- und öffentlichrechtlich zugeordneten Bereich erwachsen dem Inhaber Ansprüche, die als Abwehransprüche ausgestaltet sind. Diese sind bei Hinzutreten einer technischen Zuordnung und Sicherung strafrechtlich flankiert. Dies ist bei § 202a Abs. 1 wie bei § 123 Abs. 1 der Fall. § 123 und die §§ 201 ff. sind eng verwandt. Ein solches Verständnis drängt Strafwürdigkeitsbedenken in den Hintergrund und entspricht einem modernen Verständnis des Persönlichkeitsrechts, das sich in geschützten Bereichen niederschlägt. Damit ist festzuhalten: Geschützt wird ein formaler Geheimbereich. Dieser ist das Strafrechtsgut.
169 BGH StB 18/06 v. 31.01.2007 = NJW 2007, 930 m. Anm. Hamm, a. a. O., 932 f. Vgl. auch die Anm. v. Wülfing, ITRB 2007, 79; Schaar/Landwehr, K&R 2007, 202 ff.; Bär, MMR 2007, 239 ff.; Harrendorf, StraFo 2007, 149 ff. und den Aufsatz von Leipold, NJW-Spezial 2007, 135 f. 170 Sei es aus dem Zivilrecht (vgl. nur §§ 823, 1004), dem Öffentlichen Recht (zur Wohnung, vgl. Art. 12 GG, zum allg. Persönlichkeitsrecht, vgl. soeben, S. 42).
54
Teil 1: Rechtliche und technische Hinführung
4. Alternative rechtsgutsbestimmende Tatbestandseinschränkungen a) Materielles Geheimnis – de lege ferenda Es wurde verschiedentlich rechtspolitisch diskutiert, den Geheimnisschutz nicht formal zu bestimmen, sondern Geheimnisse an ihrem Inhalt festzumachen.171 Etliche Länder haben in den letzten 20 bis 30 Jahren computerstrafrechtliche, namentlich dem § 202a vergleichbare172 Normen einge171 Vgl. die Kritik Webers, Arzt/Weber, Strafrecht BT, § 8 Rn. 50, S. 214. Vgl. Haft, Strafrecht BT/II, I. IV. 1; Bühler, MDR 1987, 448, 452. 172 Vgl. (in alphabetischer Reihenfolge, in Klammern die Jahresangabe der Einführung, Gesetze ohne Angabe beziehen sich auf das jew. allg. Strafgesetzbuch – teilweise sind die Normen auf inhaltliche Geheimnisse besonderer Art (wirtschaftliche und militärische etwa) oder besondere Formen (Telekommunikation) beschränkt. Es handelt sich jeweils um das nächstliegende Pendant. Von einer wörtlichen Wiedergabe wird aus Platzgründen abgesehen.): Australien: § 478.1 (Cybercrime Act 2001, ersetzt Criminal Code Act 1995). Belgien: § 550b (2000), allg. zum belg. IT-Strafrecht, Spreutels in Sieber, S. 49 ff. Brasilien: § 313a, § 313b (nur Manipulation, 2000). Chile: § 2 des „Gesetzes über automatisierte Datenverarbeitungs-Straftaten“ (1993), vgl. allg. Kunsemuller in Sieber, S. 133 ff. China: Dekret 147, Kap 4, § 23 (1994), vgl. allg. JingQing/Wei in Sieber, S. 143 ff.; Hongkong: Telekommunikationsordnung, § 27a („Fernzugriff) § 161 (mit kriminellen oder unehrlichen Absichten). Dänemark: § 263. Estland: §§ 269–273. Finnland: Kap. 38 Sec. 8, vgl. allg. Pihlajamäki in Sieber, S. 157 ff. Frankreich, Kap. III, § 323 (1993), vgl. zum franz. IT-Strafrecht allg. Francillon in Sieber, S. 171 ff. Griechenland: § 370b, c, vgl. allg. zum gr. IT-Strafrecht Vassilaki in Sieber, S. 235 ff. Irland, Sec. 5 Criminal Damage Act (1991). Island: § 228. Indien: IT-Act, Kap. 11, § 66 (2000). Israel: Sec. 4 Computer Law (1995). Italien: § 615, vgl. allg. Lanzi in Sieber, S. 297 ff. Japan: Art. 3 Husei access kinski hou (Verbot des unerlaubten Zugangs zu Computern, 1999), vgl. allg. zum. Jap. IT-Strafrecht Yamaguchi in Sieber, S. 305 ff. Kanada: Sect. 342.1, allg. zum kanad. IT-Strafrecht Piragoff in Sieber, S. 85 ff. Korea: §§ 140 III (Geheimnis des öffentlichen Dienstes), 316a (Privatgeheimnis – keinerlei inhaltliche oder formale Einschränkung) KStGB. Litauen: § 241. Malaysia: Kap. II, § 3 Comp. Crimes Act (1997). Malta, Kap. 426; § 337. Mauritius: § 269a (1998). Mexiko: § 211 Codigo Penal, 9, Kap. II. Niederlande: § 138a, vgl. allg. Kaspersen in Sieber, S. 343 ff. Norwegen: § 145. Polen: § 267, vgl. allg. Buchala in Sieber m. w. N., S. 377 ff. Portugal: Kap. 1 § 7 „InformationsStGB“ (1991), vgl. dazu de Faria Costa in Sieber, S. 387 ff. Philippinen: Rep. Act. 8792, Teil V, Sec. 33. Schweden: Kap. 4 §§ 9c Brottsbalken (StGB), vgl. allg. zum schwed. IT-Strafrecht Jareborg in Sieber, S. 443. Schweiz: § 143 SchwStGB, zum schweiz. IT-Strafrecht vgl. allg. Roth in Sieber, S. 459. Singapur: Kap 50a, § 3 Computer misuse Act. Südafrika: Kap XIII, § 86 des Gesetzes zur „elektronischen Kommunikation und Transaktion“ (2002), vgl. allg. van der Merwe in Sieber, S. 421 ff. Spanien: keine spez. gesetzl. Regel, u. U. § 197 Codigo Penal einschlägig, vgl. zum span. IT-Strafrecht allg. Francés in Sieber, S. 427 ff. Tschechische Rep.: keine spezielle Regelung, aber u. U. §§ 182, 249, 257a einschlägig, vgl. IT-Strafrecht der ehem. Tschechoslowakei allg. Nett in Sieber, S. 149 ff. Tür-
B. Derzeitiges Verständnis des § 202a StGB
55
führt.173 In manchen dieser Länder wird an den Inhalt der Information angeknüpft.174 Der formalen Umgrenzung ist entgegenzuhalten, dass Bereiche erfasst werden, die im Sprachgebrauch kaum als Geheimnis erfasst würden. Sie passten demnach auch kaum unter die Abschnittsüberschrift. Nach der jetzigen Konzeption werden alle, und seien es noch so beliebige, unwichtige und jedermann zugängliche Daten vom Schutz des § 202a erfasst, so sie technisch formal gesichert sind. Wer also eine Sicherung eines Computers überwindet, um auf dessen Uhr zu schauen und so die Uhrzeit in Erfahrung bringt, der macht sich strafbar. Geheimnisse inhaltlich zu definieren, läge näher, würde man von Sicherungs-und Ausspähinteressen ausgehen. Im Ergebnis geht es um Inhalte; und zwar auf beiden Seiten, seitens des Ausspähenden und des Ausgespähten. Dieses Bild ist jedoch nicht vollständig. Die Abschnittsüberschrift stellt nicht auf konkrete Inhalte ab, sondern darauf, aus welcher Sphäre die Informationen kommen. Von Gedanken in diesen Kategorien lässt sich auch das Bundesverfassungsgericht leiten.175 Begreift man das Schutzgut als „elektronischen Hausfrieden“, wofür einiges spricht, so ist eine formale Umgrenzung – wie bei § 123 Abs. 1 StGB – ein mögliches Abgrenzungsmittel einer solchen digitalen Privatsphäre. Beim Hausfriedensbruchtatbestand wird auch nicht auf den Inhalt des Hausfriedens abgestellt. Dieser ergibt sich gerade aus der Umgrenzung: In ihr herrscht Frieden.176 Dasselbe könnte für § 202a gelten. kei: § 525a, vgl. allg. Erman in Sieber, S. 481 ff. United Kingdom: Kap. 18 Computer Misuse Act (1990), zum IT-Strafrecht vgl. allg. Wasik in Sieber, S. 489; ders., Computercrime, S. 60 ff.; vgl. auch Wall, Cybercrimes and the Internet, S. 1 ff. Ungarn: § 300c, vgl. zum ung. IT-Strafrecht Kertész/Pusztai, S. 249 ff. USA: vgl. § 1030 (Titel 18, Teil 1 Kap. 47), vgl. auch Fn. 391, S. 113 (und 21, S. 24) sowie allg. Wise in Sieber, S. 509 ff. Venezuela § 6 (Titel 2) „Spezialgesetz gegen Computerkriminalität“ (2001). Zu einem ausführlichen Vergleich europäischer Regelungen vgl. das „Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries“, Stand 2003, für die Europäische Kommission. Vgl. zur Umsetzung der europäischen Cybercrime Konvention Gercke, MMR 2004, 728, 729 f. Zu allg. Bemühungen und Tendenzen einer Vereinheitlichung des Strafrechts in der EU vgl. Vogel, GA 2003, 314, insb. 325 ff.; mit Fokus auf das Internetstrafrecht vgl. Hilgendorf, InternetRecht und Strafrecht, S. 257 ff.; Gercke, CR 2005, S. 468. 173 Vgl. umfassend mit einzelnen Länderberichten: Sieber (Hrsg.), Information Technology Crime, S. 5 ff. 174 Als Paradebeispiel kann die griechische Norm § 370b, c grStGB angesehen werden. Siehe dazu sogleich. 175 Vgl. BVerfGE 6, 32, 41 (Elfes); 32, 373, 379 (Krankenakte); 35, 202, 220 (Lebach); 54, 148, 153 (Eppler); 72, 155, 170 (Elterliche Vertretungsmacht); 80, 367, 373 ff. (Verwertung tagebuchähnlicher Aufzeichnungen); 89, 69, 82 f. (Haschischkonsum); 101, 361, 383 (Caroline von Monaco).
56
Teil 1: Rechtliche und technische Hinführung
Will man dennoch auf den Inhalt abstellen, so wirft dies ganz erhebliche Definitions-, Bestimmtheits- und Abgrenzungsprobleme auf. In Griechenland werden Geheimnisse materiell definiert; als Informationen, die nicht jeder kennt und die von gewisser Wichtigkeit sind, § 370b Abs. 1 grStGB.177 Als Geheimnisse werden auch Daten anerkannt, die der Inhaber aus einem berechtigten Interesse vor Ausspähen sicherte. Das Gesetz erfasst somit rein materielle Geheimnisse sowie formelle, die berechtigterweise als formelles Geheimnis ausgestaltet wurden. Wie in Deutschland gibt es wenig praktische Fallzahlen. Anwendungsprobleme werden dementsprechend diskutiert, haben in der Praxis aber noch nicht zu einer Änderung des Gesetzes motivieren können. Der deutsche Gesetzgeber hat sich – aus guten Gründen – entschieden, auf solch eine dualistische Lösung zu verzichten. Beim inhaltlich eng verwandten § 201a StGB hat er allerdings eine Kombination von inhaltlicher und formeller Tatbestandsbestimmung und -eingrenzung gewählt. Dafür hat er – in großen Teilen zu Recht – erhebliche Kritik erfahren.178 Zunächst wäre, um dem griechischen Ansatz zu folgen, festzustellen, wie viele Personen das fragliche Geheimnis kennen. Strafprozessual ist dies schwer feststellbar und möglicherweise kontraproduktiv: Die Frage, ob jemand ein Geheimnis kennt, dürfte dieses zumeist unweigerlich lüften und das Rechtsinteresse des Opfers durch den Prozess selbst verletzen. Von diesen pragmatischen Erwägungen abgesehen ist fraglich, wie weit der Personenkreis, der die Information kennen darf, zu ziehen ist. So manche Information darf die ganze Welt kennen – nur nicht die eine entscheidende Person. So etwa bei der Planung einer Geburtstagsüberraschung oder bei einem außerehelichen Seitensprung. Schon hier ist die Umgrenzung schwierig, abgesehen von der Frage, wie der Täter ex ante sicher gehen kann, dass er die Daten einsehen darf. Er müsste wissen, wie viele Personen die Information schon kennen und ob diese in Zahl und Beziehung zur Information ausreichend sind. Die inhaltliche Umgrenzung von zu schützenden Informationen aus dem privaten, wirtschaftlichen oder staatlichen Bereich wäre ebenfalls schwierig. Informationen von Verbänden und Vereinen, Journalisten und nicht staat176
Ob es tatsächlich „im Haus friedlich ist“, spielt dabei keine Rolle. Ebensowenig spielt es eine Rolle, ob woanders, ohne Umgrenzung, auch schützenswerter Frieden herrscht. 177 Vgl. § 370c Abs. 2 S. 1 zum Ausspähen von kommunizierten Daten, die besonders erfasst werden, wenn Sicherheitsmaßnahmen ergriffen wurden. 178 Vgl. die massive Kritik von Kühl, Deutsch-japanisches Symposium, S. 165 ff.; ders., Schünemann-Symposium, S. 211 ff.; ders. in AfP 2004, S. 190 ff.; ebenso Wolter, Schünemann-Symposium, S. 225 ff.
B. Derzeitiges Verständnis des § 202a StGB
57
lichen Organisationen (sog. NGOs) wären ebenfalls zu erfassen. Die Frage würde aufgeworfen, welche Wichtigkeit eine Information haben müsste, nach welchen Kriterien dies zu beurteilen sein sollte und wann ein berechtigtes Interesse an der Geheimhaltung bestünde. Welche Informationen wichtig sind und welche nicht, wäre für Dritte schwer feststellbar. Dabei kommt als Problem hinzu, dass potenzielle Täter ex ante wissen sollen, wo die Strafrechtsschwelle überschritten wird. Die Information über die Wichtigkeit der Information erlangen sie aber oft erst mit Verschaffen Kenntnis des Inhalts und damit Vollendung der Tat.179 In der Folge drohte die kaum zu widerlegende Behauptung, man habe nur Unwichtiges erwartet, was den Vorsatz ausschlösse. Für Dritte, die Strafverfolgungsbehörden, ist ex post die Beurteilung der Wichtigkeit oder Sensibilität von Daten ebenso schwer beurteilbar. Auch würde man dem Opfer oft „Steine statt Brot“ geben, wenn es darlegen müsste, in welchem Zusammenhang die möglicherweise unscheinbaren Daten ein großes Geheimnis offenbaren. Das Opfer wäre gezwungen, zur Ahndung des einen Geheimnisses in einem öffentlichen Prozess ein anderes zu offenbaren. Aus diesen Gründen ist eine materielle, inhaltliche Definition des Rechtsguts digitaler Geheimnisse rechtspolitisch äußerst zweifelhaft und im Hinblick auf Rechtsklarheit und Bestimmtheit allenfalls für klar umgrenzte Ausnahmen180 einer formellen Umreißung vorzuziehen. Nimmt man dagegen eine „digitale Privatsphäre“ an, so stellt diese nicht auf den Inhalt ab, sondern kann formal, wie der Hausfrieden bei § 123 Abs. 1 StGB, umgrenzt werden. Es besteht ein berechtigtes Interesse, dass in bestimmten Datenbereichen, von ihrem Inhalt abgesehen, niemand „herumschnüffelt“. Diese Umgrenzung des Selbst und Abgrenzung von Anderen kann in einer technischen Sicherung realisiert werden und ist zugleich (nicht unbedingt als einzig denkbares) nachvollziehbares und sozial übliches Zeichen nach außen.181 Es sei daher hier für ein Verständnis der Norm als „digitaler Hausfriedensbruchtatbestand“ plädiert. b) Sonstige Alternativen – de lege ferenda Wie gezeigt wurde, bedarf der Tatbestand einer Einschränkung. Nicht jegliche Daten sind strafschutzwürdig. Es stellt sich die Frage nach der Art der Einschränkung. Dem Gesetzgeber steht hier ein Beurteilungsspielraum 179
Die Tat ist gar schon bei Verschaffen des bloßen Zugangs vollendet. Vgl. etwa US-amerikanische Ansätze im I-Spy Act, s. näheres unten Fn. 412, S. 119. 181 Vgl. die Untersuchung zum sozial üblichen Schutz des Privaten, unten, S. 165, dort Kap. I. 180
58
Teil 1: Rechtliche und technische Hinführung
zu. Doch darf die von ihm gezogene Grenze nicht beliebig sein. Sie muss zunächst inhaltlich fundiert und nach den Grundsätzen des Strafrechts zumindest nachvollziehbar sein. Es muss klar werden, dass die eingegrenzten Daten strafwürdiger sind als die ausgegrenzten. Zugleich muss die Grenze praktikabel und klar sein und etwa dem Bestimmtheitsgebot entsprechen. Ein Problem elektronischer Daten ist, dass sie im Gegensatz bspw. zum Eigentum, dem Leib und Leben, der Ehre, auch dem Vermögen, nicht für jedermann sichtbar einer Person als Verfügungsberechtigten nach äußeren Kriterien zugeordnet werden können. Es fehlt insofern an einer Publizitätsfunktion. Als Substitut für eine solche Publizität, wie sie etwa der Besitz bietet, vgl. etwa § 1006 Abs. 1 BGB, wird teilweise die Sicherung des § 202a verstanden.182 Die Argumentation, die Umgrenzung durch Sicherung bilde einen Publizitätstatbestand, der ansonsten beim Privatbereich nicht vorhanden sei, bei Eigentumsdelikten aber etwa durch den Besitz (oder Gewahrsam, möchte man für das Strafrecht ergänzen) gegeben sei, erscheint zunächst plausibel. In der Tat ist es jedoch schwierig, das Rechtsgut „Privat- und Geheimsphäre“ genau zu umgrenzen. Schon sprachlich spricht man von Um- oder Abgrenzung, davon „Linien zu ziehen“ – Begriffe, die zu lokalisieren suchen, die räumlich sind. Insbesondere die für die Geschichte der Rechtswissenschaft immer noch brandneue und doch technisch schon weit fortgeschrittene und vielschichtige Entwicklung von Computernetzwerken, zuvörderst des Internet, entzieht sich lokalen Zuordnungen. Damit werden Probleme aufgeworfen, da nun mit lokalen Begrenzungen vergleichbar etwa § 123 Abs. 1 StGB oder Zuordnungen, wie etwa dem Gewahrsamsbegriff, nicht gearbeitet werden kann, Alternativen aber schwer handhabbar sind und schlicht die Erfahrung mit ihnen fehlt. „Die Dimension des Raums wird sich, im Hinblick auf praktische Information, vollständig auflösen“.183 Diese Prophezeiung scheint sich nun zu verwirklichen, 170 Jahre nachdem der amerikanische Kongress sie mit Blick auf die jüngste Erfindung Samuel Morses, den Telegrafen, getroffen hatte. Herkömmliche räumliche Zuordnungen greifen im Unterschied zu anderen Bereichen nicht mehr. Ansonsten sind Geheimnisse an einen lokal abgrenzbaren und als solchen erkennbaren Träger gebunden.184 Damit wird der Schutz des Geheimnisses im Strafrecht über den Schutz dieses Trägers 182
Krutisch, Computerdaten, S. 107 f. Bericht des Handelskomitees im amerikansichen Kongress, veröffentlicht am 6. April 1838. 184 Selbst wenn es sich um einen persönlichen Träger handelt, der das Geheimnis „nur in seinem Gehirn hat“. 183
B. Derzeitiges Verständnis des § 202a StGB
59
bewerkstelligt. Beispielhaft seien das Briefgeheimnis nach § 202 oder die Freiheit vor unbefugten Bildaufnahmen nach § 201a genannt. Zur Definition der Vertraulichkeit des flüchtigen Wortes, § 201, wird sich durch eine Negativdefinition beholfen; sie ist dann gegeben, wenn nicht öffentlich gesprochen wurde. § 203 erfährt seine Eingrenzung durch die Forderung einer bestimmten Beziehung des Informationsaustausches. Lokale Grenzen können nicht gezogen werden. Selbst der Informationsträger ist zum einen schwer zu lokalisieren, um von der Übertragung gar nicht zu sprechen, zum anderen trägt er oft aufgrund seiner Kapazität Informationen unterschiedlichster Schutzwürdigkeit, bietet selbst also ein schlechtes Differenzierungsmerkmal. Da ihnen nicht der Zusammenhang (vgl. § 203), das Forum (vgl. §§ 201 Abs. 1, 201a) oder die Adressierung (falls eine besteht; vgl. § 203) der Entäußerung entnommen werden können, wie es bei flüchtigen Informationen typischerweise der Fall ist, kann darauf auch nicht abgestellt werden. Die bekannten Einschränkungen sind also nicht übertragbar. Der nun gegangene Weg, der Schutz einer rein formal umgrenzten Sphäre, darauf weist schon Weber hin, wirft „erhebliche Strafwürdigkeitsprobleme auf“,185 wie es beim Eigentumsschutz nicht der Fall ist. Weiter stimmt die Parallele zu anderen Publizitätsträgern nicht: Das Eigentum wird auch geschützt, wenn es nicht mit einem (unmittelbaren oder gemittelten) Publizitätsträger, Besitz oder Gewahrsam des Opfers verbunden ist. Dies zeigt § 246 StGB. Allein der Gedanke, hier würde umgrenzt und so die Erkennbarkeit des Rechtsguts erleichtert, genügt zur Begründung nicht. Zumal das Rechtsgut, das es zu erkennen gilt, durch die Umgrenzung nicht nur erkannt, sondern erst geschaffen wird. Damit ist die Umgrenzung von anderer Bedeutung. Die Eingrenzung des Strafrechtsschutzes auf gesicherte Daten ist rechtspolitisch durchaus zu hinterfragen, dies ist zu konzidieren, wenngleich für ein Verständnis als elektronischer Hausfrieden immer mehr spricht. Mithin: Gerade aus Strafwürdigkeitsüberlegungen scheint eine Eingrenzung, die insgesamt für nötig erachtet werden muss, in Form einer Sicherungsforderung zumindest als das geringste Übel angesehen zu werden – bis eine bessere gefunden wird. Doch: Dies reicht zur Rechtfertigung nicht aus. Kann die jetzige Tatbestandseinschränkung nicht begründet werden, so ist sie zu verwerfen. Der Tatbestand müsste dann anders gefasst werden. Die Frage, ob die jetzige Einschränkung begründet werden kann, soll in dieser Arbeit beantwortet werden.
185
Arzt/Weber, Strafrecht BT, § 8 Rn. 47 ff., 51.
60
Teil 1: Rechtliche und technische Hinführung
II. Rechtsgutsträger Nach der Feststellung des Rechtsguts der Norm ist für die Erkenntnis ihrer Reichweite auch wesentlich, welcher Personenkreis geschützt werden soll. Die Frage nach der geschützten Person ist die Frage nach dem Rechtsgutsträger. Nur er genießt den Schutz der Norm, kann das Opfer der Straftat sein und nur für ihn streitet der Staat mit den Mitteln der Strafverfolgung. Dabei soll nicht verkannt werden, dass Rechtsgutsträger und Rechtsgut eng verwandt sind und sich interdependent bestimmen: Das Rechtsgut erfährt seine Begrenzung durch die Bestimmung des Rechtsgutsträgers.186 Es herrscht Streit darüber, welche Merkmale die Rechtgutsträgereigenschaft bei § 202a konstituieren.187 Jedenfalls sei der Verfügungsberechtigte an den Daten Rechtsgutsträger.188 Dem ist zuzustimmen, schützt doch die technische Sicherung gerade die Verfügungsbefähigung und -berechtigung. Doch stellt sich sogleich die Frage, wer Verfügungsberechtigter ist. Zugleich wird vertreten, dass neben diesem noch andere Rechtsgutsträger geschützt seien, etwa der vom Dateninhalt Betroffene.189 Es stellt sich also zunächst die Frage, woraus sich die Verfügungsberechtigung herleitet und konstituiert190 und dann, ob neben dem Verfügungsberechtigten noch andere Rechtsgutsträger sein können. Das Meinungsspektrum zu analysieren ist in diesem Bereich nicht unproblematisch. Zwar finden sich die verschiedensten Ansatzpunkte, an die die Verfügungsbefugnis angeknüpft werden soll. Doch findet eine Auseinandersetzung mit anderen Ansichten bei der Darstellung der jeweils eigenen Meinung oft nicht oder nur verkürzt statt. Die Ursache hierfür kann darin begründet sein, dass es in der Praxis bisher noch wenig Fälle gab, in denen dies unklar war und zugleich in der Wissenschaft, aus verschiedenen Gründen, diese Frage nicht als wesentlich angesehen wird. Es kann auch darauf hindeuten, dass die Ansichten sich nicht als alleinig gültig verstehen und andere daher nicht ausschließen.
186 So ist kein Individuum Rechtsgutsträger im Hinblick auf § 153, wenngleich er individuelle Interessen schützt. Das Rechtsgut ist damit nicht das „Recht der am Verfahren Beteiligten auf Wahrheit“, sondern die staatliche Rechtspflege (SK-Rudolphi, § 153 Rn. 2 ff.), die mittelbar wiederum auch dem Einzelnen zugute kommt. 187 Vgl. ausf. P. Schmid, Computerhacken, S. 35 ff. 188 Schlüchter, 2. WiKG, S. 62. 189 Lackner/Kühl, § 202a Rn. 1 ausdrücklich gegen die h. M. 190 Dazu SK-Hoyer, § 202a Rn. 5; NK-Kargl, § 202a Rn. 7; Sch/Sch-Lenckner/ Schittenhelm, § 202a Rn. 6; zum Diskussionsstand Bär, Computerkriminalität, Kap. 18 Rn. 75; ausf. P. Schmid, Computerhacken, S. 33–40.
B. Derzeitiges Verständnis des § 202a StGB
61
1. Nichtgeeignetheit sachenrechtlicher Parallelen Während Samson den Datenbesitzer als Geschützten ansehen will,191 spricht die Literatur heutzutage meist, Lenckner (und nunmehr Schittenhelm) folgend,192 nur vom Recht der „speichernden Stelle“, es könne aber – etwa bei der Auftragsdatenverwaltung durch Dritte – unter Umständen auch „ein anderer“ sein193. Die Vorstellung, „Daten zu besitzen“, ist schief. Zwar ist man geneigt, Vergleiche mit der „körperlichen Welt“194 zu ziehen, so man sich mit Informationen beschäftigt, um das Verständnis zu erleichtern. Begriffe der körperlichen Welt können aber nur metaphorisch verstanden werden. Der Mangel an ausdrucks- und unterscheidungsstarken Begriffen aus der „Informationswelt“ ist nicht zuletzt Kennzeichen dafür, dass die sprachliche Entwicklung mit der technischen nicht mithält. Daher werden Begriffe aus der körperlichen Welt oder auch fremdsprachige – in erster Linie anglo-amerikanische – entliehen. Die Übertragung aus der gegenständlichen analogen Welt ist dabei jedoch mit Vorsicht zu betreiben. Hier etwa von Besitz zu sprechen, überdehnt den Vergleich. Besitz kann sich nur auf Gegenstände beziehen. Ist gemeint, geschützt sei der Besitzer des Datenträgers, so ist dies klarzustellen. Die Daten selbst können kaum besessen werden, ebenso wenig wie Informationen in Gewahrsam sein können. Es kann keine Sachherrschaft, so das konstitutive Merkmal des Besitzbegriffs, an flüchtigen, endlos vervielfältigbaren und „freien“ Informationen geben.195 Information ist keine Sache und die Regelungen und Prinzipien für Sachen sind nur mit äußerster Vorsicht zu übertragen.196 Will man aber Samson so verstehen, dass er denjenigen meint, der die Gewalt über den Zugang zu den Daten So noch in SK24-Samson, § 202a Rn. 1. Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 6. 193 Stellv. Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 6 m. w. N. 194 Der Begriff der „körperlichen Welt“ oder auch „gegenständlichen Welt“ soll in der Folge in Abgrenzung zur „digitalen Computer-“Welt verwandt werden. Dabei sind die Begriffe nicht physikalisch zu verstehen. Gemeint ist nicht, dass letztgenannte eine metaphysische Welt sei, denn elektronische Vorgänge sind an Körper als Trägermedium gebunden. Es soll mit diesen Begriffen lediglich der Vergleich mit oder Beispiele aus der Welt jenseits der Computertechnologie angezeigt werden. 195 Dies ergibt sich nicht erst durch die Vernetzung, sondern bereits durch die Digitalisierung, bereits sie bedeutet Dematerialisierung, Deterritorialisierung und kann weiter zu Verallgemeinerung, Anonymisierung, Enttemporalisierung und Dezentralisierung führen, um mit den Worten St. Heinz’ zu sprechen, St. Heinz, Medien, S. 6 f., 11 ff. 196 Kritisch zu sachenrechtlichen Parallelen und Zuordnungen, P. Schmid, Computerhacken, S. 35. 191 192
62
Teil 1: Rechtliche und technische Hinführung
erlaubterweise ausübt, so ist der Unterschied zu den weiteren Ansichten kein großer, wie zu zeigen ist. Auf denjenigen abzustellen, der speichert, ist weniger kritisch, wenngleich nicht unbedenklich: Dazu ist zwar häufig, aber nicht stets der Besitz des Datenträgers nötig, was sich insbesondere im Internet zeigt, wo selbst derjenige, der über Daten verfügt nicht einmal ahnt, auf welchem Datenträger sie sich gerade befinden, geschweige denn, dass er diesen besitzt. Werden Daten im Internet eingegeben und abgespeichert, so können sie an den unterschiedlichsten, oft auch mehreren Stellen gleichzeitig hinterlegt werden. Zunächst werden sie auf dem lokal verwendeten Rechner gespeichert, jedenfalls in dessen flüchtigem Speicher (RAM). Sie werden aber ebenso an Kommunikationsknotenpunkten zwischen der lokalen und der Endstelle jedenfalls kurzfristig197 abgelegt und zudem von der eigentlichen Speicherstelle gespeichert (die ebenfalls an verschiedenen Stellen speichert, etwa einer oder mehreren Festplatten und dem flüchtigen Speicher). Diese wiederum hinterlegt dabei häufigerweise (mithilfe von sogenannten Cookies) Daten auf dem Rechner des Benutzers. Es sind an einem einfachen Vorgang damit verschiedenste „Personen“ Speichernde. Sie alle müssten dann Verfügungsberechtigte sein – dazu gleich. 2. Informationsspezifische Kriterien Informationsspezifische Kriterien sind anzuwenden, ein Rückgriff auf gegenstandsbezogene Prinzipien wäre damit müßig: Es lassen sich fünf Ansatzpunkte finden: das erstmalige Abspeichern der Daten – Skripturakt, die geistige Urheberschaft am Dateninhalt, der abgeleitete Erwerb der Daten, das Eigentum am Datenträger und schließlich das Betroffensein durch den Dateninhalt.198 Weitere Ansatzpunkte sind nicht ersichtlich und werden auch nicht in der maßgeblichen Literatur diskutiert, so dass sich die Untersuchung auf die genannten Punkte beschränken wird. a) Erstmalig Speichernder – Skribent Regelmäßig wird in der Tat der Speichernde auch der alleinige Verfügungsberechtigte sein.199 Gibt es mehrere Speichernde, so sind sie in der Regel alle (in möglicherweise unterschiedlichem Grade) Verfügungsberechtigte, siehe soeben. Eine weit verbreitete Ansicht sieht sich veranlasst, wohl 197
Die Speicherdauer kann dabei Bruchteile von Sekunden betragen. Hilgendorf etwa spricht entsprechende Punkte im Rahmen des § 303a StGB an, JuS 1996, 890, 892 f.; vgl. auch Welp, iur 1988, 443, 446 f. 199 BayOBLG, wistra 1993, 305; LK-Schünemann, § 202a Rn. 12. 198
B. Derzeitiges Verständnis des § 202a StGB
63
um einen griffigeren Ausdruck und eine Parallele zur körperlichen Welt herzustellen, dabei vom Eigentümer der Daten zu sprechen.200 Es handelt sich dabei jedoch um eine bloße sprachliche Parallele. Rechtlich wäre sie ungeeignet. Hier wäre gedanklich die Parallele zu § 950 BGB zu ziehen, etwa nach einem holzschnittartigen Grundsatz: „Wer Sachen oder Informationen aus dem Nichts originär erschafft, der herrscht (zunächst) über sie“.201 Der originär Erschaffende, zu ihm sogleich, ist in aller Regel auch der erstmalig Speichernde. Beide Eigenschaften fallen typischerweise zusammen. Ist der Erschaffende gemeint, so ist er dennoch als solcher zu bezeichnen. Der Ansatz, dem zuerst Speichernden auch das originäre Verfügungsrecht zuzugestehen, ist bestechend und richtig.202 Als Parallele zur Begründung kann jedoch nach oben Gesagtem nicht auf die körperliche Welt zurückgegriffen werden, da solche Vergleiche, wie gezeigt wurde, zu unpräzise sind. Auch tritt sonst leicht Konfusion auf, ob nicht der Eigentümer des Datenträgers gemeint ist. Da es sich um Informationen und Recht an ihnen im weitesten Sinne handelt, sind entsprechende Parallelen zu suchen. Ein, wenn auch nur entfernt verwandtes Recht, Informationen führen zu dürfen, regeln die Urkundsdelikte, §§ 267 ff. StGB203, vor allem § 274 StGB.204 Bei den Urkundsdelikten ist allgemein anerkannt, dass derjenige Rechtsgutsträger ist, der die Urkunde ausgestellt hat. Das Beweisführungsrecht, wie es § 274 StGB verkörpert und wie es (rudimentären) Niederschlag in §§ 402, 716, 810 BGB, § 118 HGB und § 422 ZPO findet, ist dabei nicht an den Eigen200 Lenckner/Winkelbauer, CR 1986, 483, 485; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1; Leicht, iur 1987, 45. 201 Die Frage, ob Information, ähnlich wie Materie, worauf § 950 BGB Bezug nimmt, indem er nicht von der ursprünglichen Schaffung neuer Materie, sondern nur von Verarbeitung vorhandener Stoffe zu neuen ausgeht, nicht originär geschaffen werden kann, sondern vorhandene Information nur anders gewertet, sortiert oder „schon immer kosmisch vorhandene Information“ schlicht erkannt wird, ist eine Frage, die sich mit dem Wesen der Information an sich beschäftigt. An dieser Stelle sei nur auf die Literatur von Druey, Information, S. 3 ff., 20 ff. verwiesen, der sich ausführlich mit Information und Recht beschäftigt, sowie natürlich auf die philosophischen Grunddisziplinen etwa der Erkenntnis- und Wissenschaftstheorie. 202 Ihm folgen MüKo-Graf, § 202a Rn. 18; SK-Hoyer, § 202a Rn. 5. Differenzierend Lackner/Kühl, § 202a Rn. 1. 203 Sch/Sch-Cramer/Heine, § 267 Rn. 1 – Rechtsgut ist die Sicherheit und Zuverlässigkeit des Rechtsverkehrs. Insbesondere geschützt ist der Beweisverkehr, dieser ist darauf angewiesen, sich auf verkörperte Erklärungen als Beweismittel stützen zu können. Dabei verlässt er sich darauf, dass hinter den Erklärungen ein bestimmter Erklärender steht, dem diese Erklärung zugerechnet werden kann (sog. Garantiefunktion). 204 § 274 StGB wurde wie der untersuchte § 202a StGB durch das 2. WiKG geändert. Rechtsgut ist das Recht, im Rechtsverkehr Beweis zu erbringen. Mithin das Recht und die Möglichkeit bestimmte (verkörperte) Informationen für sich sprechen zu lassen, Sch/Sch-Cramer/Heine, § 274 Rn. 1, 4a.
64
Teil 1: Rechtliche und technische Hinführung
tümer des Trägermediums gebunden.205 Bei den Urkundsdelikten ist anerkannt, dass derjenige, der die Urkunde tatsächlich ausstellt und sich zurechnen lassen will, auch Inhaber des Rechtsguts ist, soweit dieses sein individualrechtliches Gepräge erfährt.206 Es besteht danach kaum Zweifel, dass derjenige, der Daten tatsächlich abspeichert und erstmalig niederschreibt ein Recht an ihnen erwerben kann, so er dies will. Er kann das Verfügungsrecht jedoch wieder verlieren, auch sind neben ihm andere Berechtigte denkbar. b) Geistiger Urheber Eng verwandt mit dem Begriff des Skripturakts ist der der geistigen Urheberschaft, des Erschaffens der Information. Auf die geistige Urheberschaft am Dateninhalt abzustellen, ist dabei weniger von faktischer Herangehensweise geprägt als vom Sinngehalt und der Zuordnung des Niederschreibens. In erster Linie sprechen die berechtigten Interessen für die Annahme letzterer Urheberschaft als Rechtsgutträgereigenschaft. Der Urheber hat sowohl ein schützenswertes Urheberpersönlichkeitsinteresse als auch ein wirtschaftliches Verwertungsinteresse an den von ihm mit Einsatz von Verstand, Kreativität und Fleiß geschaffenen Gedanken und Ideen. Diese Interessen liegen jedoch in Nähe zum Urheberrecht. Das Urheberrecht soll diese Interessen erfassen und schützt diese auch mit strafrechtlicher Konsequenz über § 106 UrhG. Das Urheberrecht verleiht seinen Schutz aber erst ab einer gewissen sogenannten Werkhöhe.207 Es findet sich hier ein abgeschlossener sowie in Literatur und Rechtsprechung ausdifferenzierter Schutz. Wollte man diesen in diesem Umfang durch das Kernstrafrecht zusätzlich schützen, so wäre neben § 106 UrhG zumindest auf Tatbestandsebene nichts gewonnen. Wollte man auf der Tatbestands- oder Rechtsfolgenseite dagegen einen weitergehenden Schutz als das Urheberrecht erreichen, so hieße dies die Regelungen des UrhG aushebeln und den Schutz uferlos werden lassen. 205 NK-Puppe, § 274 Rn. 2. Dass das Beweisrecht mit dem körperlichen Gegenstand der Urkunde dabei untrennbar verbunden ist und mit ihm auch übertragen wird, womit die Urkunde „dingliche Züge“ trägt tut dem keinen Abbruch, denn hier ist nur das Entstehen des Rechts maßgeblich, s. auch Puppe a. a. O. 206 Soweit man das Rechtsgut, bei § 274 und primär § 267 StGB als allgemeines Interesse des Rechtsverkehrs annimmt, so ist dies schon naturgemäß kein Individualrecht. Rechtsgutsträger ist der Individualverkehr und damit die Allgemeinheit. Sofern man aber als Rechtsgut das individuelle Recht der Beweisführung annimmt, so kann dieses Gut (daneben) auch von einem einzelnen Individuum getragen werden, wie dies etwa Puppe im Nomos-Kommentar konstatiert, § 274 StGB Rn. 1. Zum Meinungsstand und weiteren Nachweisen s. ebendort. 207 Zum Schutz der sog. „kleinen Münze“ bei der ein weniger an Werkhöhe gefordert wird, vgl. statt vieler Schack, Urheberrecht, § 9 VI., Rn. 260 ff., S. 126 ff.
B. Derzeitiges Verständnis des § 202a StGB
65
Richtig ist allerdings, dass der erstmalig Abspeichernde diese Speicherung auch für einen anderen vornehmen kann und sodann für diesen das Verfügungsrecht entsteht.208 Dies kollidiert nicht zwangsläufig mit dem Regelungsbereich des Urheberrechts. Letzteres hat zum Schutzgut zwar auch ein Persönlichkeitsrecht, namentlich das Urheberpersönlichkeitsrecht,209 und nicht nur wirtschaftliche (Verwertungs-)Interessen.210 § 202a StGB schützt dennoch in seiner Stoßrichtung etwas Anderes. Während das Urheberrecht primär davor schützt, dass Dritte sich geistige Leistungen des Urhebers zu nutze machen, schützt § 202a StGB davor, dass Dritte private211 oder andere Informationen des Verfügungsberechtigten ausspionieren, zur Kenntnis nehmen und weiterleiten. Geschützt wird damit die Geheimsphäre. Auch ist § 202a StGB nicht zwangsläufig weiter als das Urheberrecht, setzt er doch gerade einen formalen technischen Schutz voraus. Dieser ist im Urheberrecht nicht erforderlich.212 So ist der Regelungsbereich des Urheberrechts teilweise enger, teilweise aber auch weiter als der des § 202a StGB. Das Rechtsgut ist ein anderes. Die Rechte stehen damit nicht im Verhältnis lex specialis – lex generalis, sondern gleichberechtigt nebeneinander.213 Wie oben bereits angeführt wurde, so kann auch hier auf Parallelen im Urkundsrecht zurückgegriffen werden. Für den Fall, dass der tatsächlich Abspeichernde (oder tatsächliche Aussteller der Urkunde) sich selbst die Erklärung nicht zurechnen lassen kann oder möchte, dies jedoch auf einen Dritten zutrifft, so gilt dieser nach der Geistigkeitstheorie214 im Urkunds208 Entscheidend soll nicht sein, entsprechend etwa der Geistigkeitstheorie beim Urkundenbegriff, wer originär abspeichert, sondern wem dies rechtlich zugerechnet werden kann, so Hoyer in SK § 202a Rn. 5, ebenso LK-Schünemann, § 202a Rn. 12. 209 Stellv. Schack, Urheberrecht, § 3, Rn. 41 ff., 44 ff. 210 Schack, Urheberrecht, § 3, Rn. 41. 211 Nicht zu verwechseln mit Privatgeheimnissen. Umfasst sind also auch Berufsund Geschäftsgeheimnisse, vgl. Schünemann, ZStW 90 (1978), S. 11. 212 Etwas anderes gilt lediglich und ausnahmsweise in Spezialbereichen. So sind Werke grundsätzlich vor Vervielfältigung geschützt. Ausnahmsweise dürfen aber Privatkopien angefertigt werden. Gegenausnahmsweise dürfen sie jedoch dann wieder nicht angefertigt werden, wenn das Werk (etwa eine Musik-CD oder ein Computerspiel) technisch vor Vervielfältigung geschützt ist, § 95a UrhG. Die Norm wurde erst durch Gesetz v. 10.09.2003 eingeführt und dient der Umsetzung der Multimedia-Richtlinie, Wandtke/Bullinger-Wandtke/Ohst, UrhR-Komm., § 95a Rn. 1. 213 Anders, da die Normen des Nebenstrafrechts Urheberrecht insoweit abschließend seien: P. Schmid, Computerhacken, S. 36 f. 214 Vgl. zur Geistigkeitstheorie RGSt 75, 47; BGHSt 13, 385; BayObLG NJW 1981, 772 mit Anmerkung F.-C. Schroeder, JuS 1981, 417 und Sonnen, JA 1981, 367; Fischer, § 267 Rn. 2 f. m. w. N.; ausf. u. mit etl. Nachw. LK-Gribbohm, § 267 Rn. 28 ff., zur überholten Körperlichkeitstheorie Rn. 31; Sch/Sch-Cramer/Heine, § 267 Rn. 55; kritisch Schroeder, GA 1974, 225 ff.
66
Teil 1: Rechtliche und technische Hinführung
recht als Aussteller. Dementsprechend ist auch im Informationsrecht darauf abzustellen, wem die Informationen zugerechnet werden können und wer sie für sich als eigene führen möchte und darf. Dies gilt im Ergebnis selbst für Fälle, in denen der Abspeichernde die Verfügungsbefugnis sogleich weiter reicht oder sie selbst schon gar nicht erwirbt, etwa wenn das Recht direkt beim Dritten originär entsteht. Dann käme der Skribent von Anfang an als selbst nicht Berechtigter und somit als tauglicher Täter in Frage. Im Ergebnis schließen sich so Befugnis durch Skriptur und geistige Urheberschaft nicht aus, es kommt auf die Bestimmung der Beteiligten an. Dies legt das Gesetz durch die Formulierung, „Daten, die nicht für ihn bestimmt sind“, auch nahe. c) Derivativer Erwerber Steht ein originär Befugter fest, so ist es denkbar, dass er derivativ sein Recht weitergibt, indem er es völlig überträgt und auf ein eigenes verzichtet oder mit etwaigen Einschränkungen ein Recht parallel zu seinem einräumt. Ist der originäre Berechtigte festgestellt, so ist festzuhalten: Ob neben ihm (ergänzend) oder an sein endendes Recht anschließend (ersetzend) noch Andere verfügungsberechtigt sind, hängt davon ab, ob der originär Verfügungsberechtigte ein derivatives Verfügungsrecht einräumt, was nach allen Ansichten grundsätzlich möglich ist.215 Der Übertragungsweg in seiner zivilrechtlichen Gestaltung ist dabei in Diskussion. Diskutiert werden etwa Parallelen zu § 929 BGB einerseits beziehungsweise §§ 398, 413 BGB.216 Erforderlich wären dann wie bei der Stellvertretung eine Einigung sowie ein Publizitätsakt.217 Der zivilrechtliche Unterschied zwischen diesen Konstruktionen soll hier keineswegs geleugnet werden, doch erscheinen die strafrechtlichen Implikationen als gering, womit hier auf eine weitere Vertiefung verzichtet werden kann. Auch können Daten, etwa im Wege des Auftrags oder Werkvertrags, schon mit einem Verfügungsrecht für einen Dritten entstehen, wie dies bei der geistigen Urheberschaft angenommen wurde, bzw. nach einer „juristischen Sekunde“ auf diesen übergehen. Bei Übermittlungen ist damit neben dem Übermittelnden nach Erhalt auch der Empfänger Berechtigter.218 215 Ausführlich dazu P. Schmid, Computerhacken, S. 41–48, SK-Hoyer, § 202a Rn. 6 mit Einschränkungen; LK10-Jähnke, § 202a Rn. 9 ff. 216 Nach Graf sollen dabei Befristungen und Bedingungen problemlos möglich sein, MüKo-Graf, § 202a Rn. 17 ff. Dabei ist auch ausschlaggebend, ob die Daten mittels Datenträgerübereignung weitergereicht werden oder davon getrennt über Datenfernübertragung, so P. Schmid, Computerhacken, S. 43 ff. 217 So P. Schmid, Computerhacken, S. 41 ff. m. w. N. 218 BayObLG JR 1994, 476 m. zust Anm. Hilgendorf; NK-Kargl, § 202a Rn. 7.
B. Derzeitiges Verständnis des § 202a StGB
67
Eine wesentliche Unterscheidung sei jedoch an dieser Stelle erwähnt: Zwar richtet sich die Übertragung des Verfügungsrechts nach zivilrechtlichen Vorschriften und ist verwandt mit der Frage, ob die Daten, wie es der Wortlaut fordert, nicht für den Täter bestimmt sind, doch ist dies zu unterscheiden. Wurde das Verfügungsrecht übertragen, so sind die Daten nicht nur für den Täter bestimmt, sie sind (auch) dessen Daten. Er kann also nie tatbestandsmäßig handeln und ist zugleich durch die Norm geschützt. Daneben gibt es freilich noch die hiervon zu unterscheidende Konstellation, dass nicht das Verfügungsrecht als Ganzes übertragen wurde und dennoch die Daten für den Täter bestimmt wurden, er also tatbestandslos Einblick nehmen darf, nicht aber Geschützter ist. Es können die Rechte völlig übertragen werden oder aber auch nur (technisch leicht durchsetzbar) Leserechte als geringste Stufe, erweiterbar um Editier-, Lösch-, Weitergaberechte etc.219 Im Einzelnen ist umstritten, für die hiesige Untersuchung jedoch ohne Relevanz, ob hier die Regeln über das Einverständnis220 oder die Stellvertretung anwendbar sind.221 d) Inhaber/Eigentümer des Datenträgers Neben dem Abspeichernden auch den Inhaber des Datenträgers als Berechtigten anzunehmen (für Fälle, in denen diese nicht personenidentisch sind), erscheint als zweifelhaft. Exakt zu sprechen ist nicht vom Dateneigentümer, sondern vom Datenträgereigentümer. Auf das Eigentum am Datenträger kann es nicht ankommen.222 Es sei hier insofern auf das oben unter dem Recht des Abspeichernden Angeführte verwiesen. Der Eigentümer kann zwar verlangen, dass die Daten von seinem Träger gelöscht werden, wenn kein Speicherungsrecht besteht.223 Er darf die geschützten Daten jedoch nicht schon aufgrund seiner Stellung als Eigentümer einsehen.224 In der Konsequenz sei auch der mit Strafe bedroht, dem bei der Überlassung zur Programmnutzung nicht zugleich auch der Zugriff auf die zugrunde liegenden Daten eingeräumt wurde, so Kargl.225 Als Beispiel wird etwa ge219
Zu dieser Dateirechteverwaltung, s. auch unten, S. 220. NK-Kargl, § 202a Rn. 7 m. w. N. 221 BT-Drs. 10/5058, S. 28; NK-Kargl, § 202a Rn. 7, möchte Stellvertretung annehmen und damit die Regeln über das Einverständnis. 222 So die h. M., vgl. nur NK-Kargl, § 202a Rn. 7; Hilgendorf, JuS 1996, 512, SK-Hoyer, § 202a Rn. 5; MüKo-Graf, § 202a Rn. 2; Jessen, Sicherung i. S. v. § 202a, S. 60 jew. m. w. N. 223 Ein Abwehrrecht kann sich aus §§ 1004, 823 Abs. 1 BGB ergeben. 224 Es wäre auch verwunderlich, wenn Betreiber von sog. Serverfarmen, auf denen auch Banken ihre Daten speichern, alle diese Daten einsehen können, auf die nicht einmal jeder Bankbedienstete Zugriff hat. 220
68
Teil 1: Rechtliche und technische Hinführung
nannt, dass der Inhaber einer codierten Scheck- oder Kreditkarte nicht Berechtigter an den im Magnetstreifen gespeicherten Programmdaten wird.226 Ähnlich wie bei § 274 Abs. 1 Nr. 1, wo bekanntlich zwischen dem Eigentum an der Urkunde, am Urkundspapier, und dem Beweisführungsrecht unterschieden wird,227 gilt auch hier: Im Ergebnis ist das Recht am Datenträger losgelöst vom Recht an den Daten. Ein wie hier verstandenes Rechtsgut stellt gegenüber dem Eigentum ein aliud dar.228 Dasselbe gilt für das Hausrecht, das auch vom Eigentumsrecht unabhängig ist.229 Eine Beeinflussung gibt es weder in der einen noch in der anderen Richtung. e) Inhaltlich Betroffener Teilweise wird vertreten, auch die Person, die Gegenstand der Information ist (mit anderen Worten: die von ihr betroffen ist, auf die sie sich bezieht), solle in den Schutzbereich eingeschlossen sein.230 Kühl relativiert dabei dahingehend, dass dies nur der Fall sei, wenn der Betroffene ein Recht auf Vertraulichkeit gegenüber dem Berechtigten habe. Der von den Daten Betroffene hat oft berechtigte und starke Interessen in Bezug darauf, dass Daten, deren Gegenstand er ist, kontrolliert werden. Insoweit ist die Forderung verständlich. Dem Einschluss der von den Daten betroffenen Person in den Kreis der Rechtsgutsträger stehen jedoch systematische und teleologische Argumente gegenüber: Zunächst ist, wie gezeigt wurde, der Schutz des § 202a unabhängig vom Inhalt der Information. Müsste man betrachten, wer Gegenstand der Information ist, wäre dies aber Frage des Inhalts. Der Gesetzgeber vermied es gerade, auf den Inhalt abzustellen. So bleibt unklar, wann je225 Kargl in NK, § 202a Rn. 7. Dies betrifft insb. das Problem des Dekompilierens von Computerprogrammen, um sie für das eigene System anzupassen. 226 NK-Kargl, § 202a Rn. 7; Fischer, § 202a Rn. 7; Lenckner/Winkelbauer, CR 1986, 483, 486; Schlüchter, NStZ 1988, 53. Im Ergebnis ist dieser Argumentation zu folgen, wenn auch der Vergleich etwas hinkt, da sich die Banken regelmäßig das Eigentum an den Scheck- und Kreditkarten vorbehalten und dem Kontoinhaber nur die Nutzungsmöglichkeit einräumen. 227 Stellv. BGHSt 29, 192, 194; LK-Gribbohm, § 274 Rn. 6 m. w. N. 228 Vgl. Lenckner zu § 202 in JR 1978, 424. 229 Dies war ursprünglich anders. Vgl. Amelung, NJW 1986, 2075 ff., 2080 f., die historische Entwicklung weg vom Eigentum hin zu einem davon unabhängigen Schutz einer Privatsphäre (mit etl. Nachweisen) nachzeichnend. 230 Zuvörderst Lackner/Kühl, § 202a Rn. 1; Dagegen: Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1; Lenckner/Winkelbauer, CR 1986, 483, 485; Jessen, Sicherung i. S. v. § 202a, S. 43; Schlüchter, 2. WiKG, S. 61. Vgl. auch Tröndle/Fischer54, § 202a Rn. 2 und nunmehr Fischer, § 202a Rn. 2; Gössel/Dölling, Strafrecht BT/1, S. 286.
B. Derzeitiges Verständnis des § 202a StGB
69
mand „Gegenstand der Information“ ist. Vor allem aber fechten systematische Argumente gegen diese Annahme: Auch § 202 schützt nur Absender und Empfänger des verschlossenen Briefs, nicht aber denjenigen, der Gegenstand des Briefes ist.231 Auch die Urkundsdelikte kennen einen solchen Rechtsgutsträger nicht. Er steht auch nicht ergänzend neben dem (geistigen) Aussteller. Das Urkundsrecht stellt in keiner Weise auf den Inhalt der Urkunden ab, dies ist allgemeine Ansicht.232 Ein solcher Schutz erscheint als unnötig und systemfremd. Den von einer Information Betroffenen schützt im StGB § 203 und dies ist auch auf die in einer besonders vertrauenswürdigen Beziehung okkurierten Informationen beschränkt. Das gegenseitige Vertrauen der Bürger untereinander, Informationen über den anderen nicht preiszugeben, ist grundsätzlich strafrechtlich nicht geschützt. Dieser Schutz ginge zu weit. Für besonderen Schutz, insbesondere auch gegenüber staatlichen Behörden, sind das Bundesdatenschutzgesetz und die zugehörigen Regelungen entwickelt werden. Das Schutzgut sei daher nicht mit dem des § 41 BDSG zu verwechseln, so Samson.233 Eine Regelung dazu im StGB würde sowohl die Systematik des BDSG als auch die des StGB sprengen. Die Einschränkung Kühls, nach der der Betroffene nur dann Geschützter sein soll, wenn er gegenüber dem (anderen) Verfügungsberechtigten ein Recht hat, scheint zunächst einen ausgewogenen Kompromiss, beziehungsweise eine sinnvolle Einschränkung, darzustellen. Allerdings geht sie das Wagnis ein, (zivilrechtliche) Rechtsbeziehungen zur Weichenstellung der Strafbarkeit eines außerhalb dieser Beziehung Stehenden, des Täters, zu machen. Damit werden Unwägbarkeiten ins Strafrecht geholt. Dies ist zwar an so mancher anderen Stelle auch der Fall und selbst Beziehungen, an denen der Täter nicht beteiligt ist, vermögen seine Strafbarkeit zu beeinflussen.234 Bei der hiesigen Konstellation sind die Unwägbarkeiten im Vergleich zu anderen Fällen systemimmanent aber ganz erheblich. Ex ante und von außen vor Kenntnisnahme der Information kann typischerweise nicht beurteilt werden, wer durch sie betroffen wird und noch weniger, wie diese Person zu dem Dateninhaber in Beziehung steht. Wie schon erwähnt erführe der Täter erst bei Vollendung der Tat, möglicherweise gar erst nach ihr, dass sie ihn zum Straftäter gemacht hat. 231
NK-Kargl, § 202 Rn. 3; MüKo-Graf, § 202 Rn. 3; SK-Hoyer § 202 Rn. 8. Sch/Sch-Cramer/Heine, § 267 Rn. 48 und 54 jew. m. w. N. 233 Ausdrücklich, noch in SK24-Samson, § 202a Rn. 1. 234 So bemisst sich etwa das Merkmal „fremd“ bei § 242 nach der zivilrechtlichen Eigentümerstellung. Auch richtet sich die Abgrenzung des Diebstahls vom sogenannten Dreiecksbetrug nach einer solchen täterfremden Beziehung. Vgl. nur SK-Hoyer, § 263 Rn. 107, 139 ff., 171 f., 177 f. mit etlichen Nachweisen. 232
70
Teil 1: Rechtliche und technische Hinführung
Der gedankliche Ansatz sieht sich also auch in eingeschränkter Form erheblichen praktischen, teleologischen und systematischen Bedenken ausgesetzt. Gleichzeitig findet er weder im Wortlaut noch in der Systematik eine Stütze. Zuletzt: Wollte man den Betroffenen als Rechtsgutsträger ansehen, so dürfte der grundsätzlich Verfügungsberechtigte über die Daten nur mit Zustimmung des Betroffenen disponieren. Soweit wollen die Befürworter dieser Annahme allerdings nicht gehen.235 Aus all dem ist zu schließen, dass der von den Daten Betroffene alleine aus seiner Betroffeneneigenschaft nicht Rechtsgutsinhaber des § 202a StGB ist.236 Wer von den Daten betroffen ist, bleibt ohne Belang. f) Ergebnis Damit bleibt festzuhalten: Geschützt ist derjenige, welcher die Daten zuerst abspeichert oder dem die Abspeicherung geistig zuzurechnen ist. Auf die Urheberschaft kommt es ebenso wenig an, wie auf das Eigentum am Datenträger oder auf das inhaltliche Betroffensein durch die Daten. Vielmehr ist der Skribent der Daten originär sowie derjenige, der von ihm wirksam ein Verfügungsrecht ableiten kann, derivativ verfügungsberechtigt und damit Rechtsgutsträger.
III. Tatobjekt Daten § 202a StGB schützt nicht jede Form von Information, sondern (nur) Daten. Das Gesetz selbst spricht nicht von Information. Ob Daten daher eine besondere Form der Information sind und damit der Datenbegriff enger als der Informationsbegriff ist, oder ob Information auf Daten aufbaut, ohne dass Daten selbst schon Information sind, kann daher dahinstehen.237 Eine 235
Lackner/Kühl, § 202a Rn. 1. So auch die h. A., s. MüKo-Graf, § 202a Rn. 2, der unter Nennung weiterer Nachweise und nach Analyse von Entstehungsgeschichte und Tatbestand zum selben Ergebnis kommt; LK-Schünemann, § 202a Rn. 12 m. w. N.; Jessen, Sicherung i. S. v. § 202a, S. 61; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 V. und Otto, Grundkurs Strafrecht BT, § 34 VIII, Rn. 63, S. 146, die § 202a zwar unter die Kapitelüberschrift des Datenschutzes fassen, im begründeten Ergebnis aber nicht den von den Daten Betroffenen schützen wollen. 237 Eine Auswertung der Literatur ergibt ein uneinheitliches Bild. Im strafrechtlich geprägten Schrifttum, zumal, wenn es sich mit § 202a StGB dezidiert befasst, herrscht die Ansicht weit vor, Daten seien eine besondere Form von Information, s. sogleich Fn. 239, S. 71. Demgegenüber scheint in der öffentlich-rechtlich orientierten Literatur die Auffassung vorherrschend zu sein, Daten seien eine „Vorform“ von Information und deren Bestandteile. „Zu unterscheiden sind ‚Informationen‘ und 236
B. Derzeitiges Verständnis des § 202a StGB
71
Definition des Datenbegriffs findet sich im StGB aber nicht.238 Die weitere Darstellung geht, wie auch die meisten Stimmen der Literatur,239 davon aus, dass Information in Datenform vorliegen muss und dieser Datenbegriff von § 202a Abs. 2 StGB weiter eingeschränkt wird. Der Gesetzgeber macht in § 202a gewichtige Einschränkungen: Die Informationen müssen in Datenform vorliegen – also überhaupt Daten sein. Diese Daten wiederum dürfen nicht unmittelbar ohne Hilfsmittel wahrnehmbar sein. Diese Einschränkungen sind eng verknüpft aber nicht gleichzusetzen. Darauf soll zunächst eingegangen werden, um sodann die dritte Einschränkung, „die Bestimmung nicht für den Täter“, zu behandeln. Schlussendlich wird auf die ganz wesentliche vierte Einschränkung eingegangen, mit deren Begründung sich die Arbeit insgesamt befasst: die Sicherung der Daten. 1. Der Datenbegriff als relativer Rechtsbegriff Der Begriff der Daten findet sich – jedenfalls als Wortverbindung – wieder in §§ 11 Abs. 3, 86 Abs. 1, 263a Abs. 1, 268 Abs. 2, 269 Abs. 1, 270, 271 Abs. 2, 274 Abs. 1 Nr. 2, 303a Abs. 1, 303b Abs. 1 StGB. Dabei verweisen die §§ 274 Abs. 1 Nr. 2, 303a Abs. 1, 303b Abs. 1 StGB auf die Definition des § 202a StGB. Der Datenbegriff ist selbst im StGB nicht einheitlich. Die Begriffe sind tatbestandsbezogen am Normzweck orientiert auszulegen. Der Datenbegriff des § 263a wird etwa als erheblich weiter als der des § 202a Abs. 2 angenommen.240 Der § 263a umfasse alle Informationen, „die Gegenstand des ‚Daten‘, diese liegen der Information voraus und können als deren Grundlage dienen.“ so Schoch, Informationsordnung, S. 167 mit etlichen weiteren Nachweisen; vgl. auch Kloepfer, Informationsrecht, S. 26 unter der Kapitelüberschrift: „Daten als Voraussetzung für Informationen“. „Zeichen, Daten [. . .] werden erst durch die Wirkung auf den Empfänger zu Informationen; der Rezeptionsprozeß findet auf der Wissensebene statt.“, so Baller in: Haratsch/Kugelmann/Repkewitz, Herausforderungen an die Informationsgesellschaft, S. 35. Nach dem Verständnis des öffentlichen Rechts werden Daten durch einen Kontext (in den sie etwa der Äußernde oder auch der Aufnehmende setzt) zu Information. Man könnte auch sagen, die semantische Ebene muss bereits erreicht sein. 238 So auch Hilgendorf, ZStW 113 (2001), S. 656. 239 Vgl. stellv. NK-Kargl, § 202a Rn. 4; ausf. und mit zahlr. Nachweisen, Schulze-Heiming, Computerdaten, S. 19 ff.; ebenso Krutisch, Computerdaten, S. 74 ff. 240 SK39-Günther, § 263a Rn. 7 und u. a. ausdrücklich zum Verhältnis der Datenbegriffe in § 263a und § 202a Abs. 2 StGB. Den Datenbegriff des § 263a und § 202a vergleicht B. Heinrich, Standardsoftware, S. 301.
72
Teil 1: Rechtliche und technische Hinführung
Datenverarbeitungprozesses sind“.241 Mithin zählten dazu auch Ein- und Ausgabedaten und das Datenverarbeitungsprogramm selbst.242 Ein- und Ausgabedaten sowie das Datenverarbeitungsprogramm selbst sind mit Einschränkungen unter § 202a StGB zu zählen. Ein Tastaturhieb oder das Einschieben einer Karte in einen Bankingterminal bspw. sind selbst keine (Computer-)Daten. Sie werden aber in solche umgesetzt, denn anders kann der Computer sie nicht verarbeiten. Die sogenannte MenschMaschine Schnittstelle („interface“) setzt um, so dass praktisch im Moment der Eingabe Daten entstehen, die die Eingabe wiedergeben. Dennoch ist die Unterscheidung der Begriffe von § 263a und § 202a richtig, denn es sind Konstellationen denkbar, in denen die Mensch-Maschine Schnittstelle zum falschen Umsetzen der mechanischen Eingabe in Datenform gebracht wird, etwa durch manipulative Eingriffe in diesem Frühstadium. Der Computer kann also über eine Eingabe „getäuscht“ werden, die so nicht stattfand. Um diese „Maschinentäuschung“ – wie es dem Regelungszweck des § 263a als betrugsnahem Tatbestand entspricht – zu erfassen, ist der Datenbegriff daher in der Tat extensiver auszulegen als dies bei § 202a StGB der Fall ist, bei dem ohnehin die Einschränkung auf nicht unmittelbar wahrnehmbare Daten zu beachten ist. Dabei darf § 202a StGB nicht als Legaldefinition des Datenbegriffs missverstanden werden.243 Das Gesetz verwendet einen speziellen Datenbegriff, wie sich direkt aus dem Wortlaut ergibt: „Daten sind nur solche (Daten), die [. . .]“ Der Gesetzgeber verwendet den allgemeinen Datenbegriff oder den der Datenverarbeitung zwar auch in anderen Gesetzen, wie etwa in der StPO, im HGB, im BZRG, im BDSG. Eine Legaldefinition findet sich jedoch nirgends. Es wird somit ein allgemeiner Datenbegriff voraus gesetzt, der nicht näher definiert wird.244 Der Gesetzgeber mag davon ausgegangen sein, eine Definition des Datenbegriffs sei nicht nötig, da er keiner weiteren Klärung bedürfe und hinreichend bestimmt sei. Es kann allenfalls auf die technische DIN-Norm 443000 Nr. 19245 (Informationsverarbeitung) zurückgegriffen werden. Demnach sind SK39-Günther, § 263a Rn. 7 m. w. N. Vgl. die Definitionsversuche bei Mürbe, Jura 1992, 324, 325; Buggisch, NJW 2004, 3519, 3520 f und v. a. den Versuch einer allgemeinen datenverarbeitungsspezifischen Bestimmung Dornseif/Schumann, JR 2002, 52 ff. 243 So aber Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1; Lenckner/Winkelbauer, CR 1986, 483, 484; Welp, iur 1988, 443, 444, a. A. R. Schmitz, JA 1995, 478, 479; LK-Schünemann, § 202a Rn. 3; Haft, NStZ 1987, 6, 9. 244 R. Schmitz, JA 1995, 478, 479; LK-Schünemann, § 202a Rn. 3; Haft, NStZ 1987, 6, 9. 245 DIN-Normen sind nicht frei zugänglich und gemeinfrei, obwohl es sich um eine staatlich verbindliche Normung handelt, ein Nachweis findet sich in Sonnen, 241 242
B. Derzeitiges Verständnis des § 202a StGB
73
Daten Informationen, die durch Zeichen oder kontinuierliche Funktionen aufgrund bekannter oder unterstellter Abmachungen zum Zweck der Verarbeitung dargestellt werden. Ohnehin wird der Datenbegriff durch die Einschränkung auf nicht-unmittelbar wahrnehmbare Daten derart (weiter) eingeschränkt, dass er greifbar wird. 2. Nicht-unmittelbare Wahrnehmbarkeit der gespeicherten Daten Nicht alle Daten sind per se erfasst, sondern nach § 202a Abs. 2 StGB „nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden“.246 Das Tatobjekt wird weiter eingeschränkt: Informationen müssen nicht nur in Datenform, sondern in dieser Datenform vorliegen. Der Gesetzgeber zählt beispielhaft zwei sehr häufig aktuell vorkommende Speicherarten auf („elektronisch und magnetisch“) und ergänzt diese durch einen Auffangbegriff („oder sonst nicht unmittelbar wahrnehmbar“). Dabei ist davon auszugehen, dass auch Daten im Übermittlungsstadium nicht unmittelbar wahrnehmbar sein dürfen. Das verneinte Adjektiv „wahrnehmbar“ ist sozusagen vor die Klammer gezogen.247 a) Speicherarten Speicherung kann, von der landläufigen Vorstellung abgesehen, ein Zustand oder technischer Vorgang sein, bei dem eine Adressierung möglich ist.248 Letzteres ist zugleich eine Übermittlung. Durch die gesetzliche Gleichsetzung kommt es hier auf die Unterscheidung nicht an. Strafrecht BT, S. 84, Schünemann greift ebenso auf die DIN zurück wie sein Vorkommentator im Leipziger Kommentar, cf, LK-Schünemann, § 202a Rn. 3 und bereits LK-Jähnke, § 202a Rn. 3, sie führen (wohl redaktionell fehlerhaft) DIN-Norm 44300 an. 246 Konstellationen, bei denen die Daten schon physisch nur für manche erkennbar sind, werden nicht gesondert behandelt, s. dazu unten, S. 82, dort Kap. 2. 247 Jessen, Sicherung i. S. v. § 202a, S. 53 f. 248 Nur auf den ersten Blick scheint es sich bei Speicherung zwangsweise um einen Zustand zu handeln. Dem Begriff wohnt in der Tat etwas Statisches inne. Doch Speicherung kann auch, wie oben dargestellt wurde, durch Aufrechterhaltung einer Spannung in einem RAM-Baustein oder durch stetig neues Anlegen einer Spannung geschehen. Insbesondere letzteres stellt einen Vorgang dar, dennoch spricht man von „gespeicherten“ Daten. Dabei wird, vereinfacht dargestellt, eine Spannung in einem RAM-Baustein angelegt, diese verkörpert eine Informationseinheit. Diese Spannung „verblasst“ nun recht rasch. Die Speicherung wird dadurch „erhalten“, dass die Spannung, bzw. ihr „Rest“, ausgelesen wird und die Spannung dann neu hergestellt
74
Teil 1: Rechtliche und technische Hinführung
Der Gesetzgeber erwähnt beispielhaft zwei Speicherarten; die magnetische und die elektronische. Daneben bestehen jedoch wesentliche weitere. Man unterscheidet herkömmlich folgende Datenträgerarten249, die abrissartig dargestellt seien: 1. sogenannte physische250 Datenträger (bspw. Lochkarte, Schellackplatte); 2. elektronische (oder Halbleiter-)Speicher: Sie speichern Informationen in oder auf Basis von elektronischen Bauelementen. Die elektronische Speicherung findet heute praktisch nur noch in silizium-realisierten, integrierten Schaltkreisen statt. Die einzelnen Speichermechanismen können nach der Charakteristik der Datenhaltung unterschieden werden; bspw. das flüchtige RAM (random access memory), gebräuchlich als Arbeitsspeicher im Computer251 oder das dauerhafte ROM (read only memory), oder auch semi-permanente Speicher wie das flash eeprom, bekannt von den USB-Speichersticks. 3. magnetische Speicher: Sie enthalten magnetisierbares Material und werden (außer Kernspeicher) mittels eines Lese/Schreibkopfes gelesen, respektive beschrieben; beispielhaft erwähnt seien Diskette, Computerfestplatte und Musikkassette. 4. Die optische Speicherung nutzt Filter-, Reflexions- und Beugungseigenschaften von verschiedenen Materialien. Beim (Mikro-)Film und in der Photographie werden farbfilternde Eigenschaften genutzt, bei den verschiedenen CD- und DVD-Formaten reflektive, und bei Hologrammen lichtbeugende Eigenschaften. 5. Daneben existieren magneto-optische Speicher, etwa die Mini-Disc. Diese nutzen die Tatsache, dass einige Materialien durch Magnetisierung ihre optischen Eigenschaften verändern, aber auch die dass ein Laserstrahl bzw. verstärkt wird. Verbildlicht gesprochen entspräche dies etwa dem Nachzeichnen einer Zeichnung im Meeressand, die immer wieder nach jeder Welle verblasst. Das Nachzeichnen wäre hierbei der Vorgang, der den „Zustand“, dass sich hier eine Zeichnung befindet, aufrecht erhält. In dem Moment, indem man mit dem Nachzeichnen aufhört, verblasst unweigerlich die Zeichnung. Vgl. auch Jessen, Sicherung i. S. v. § 202a, S. 53. 249 Eine umfangreiche Auflistung mit rechtlicher Würdigung findet sich etwa in MüKo-Graf, § 202a Rn. 12 ff. 250 Die anderen Datenträger sind jedoch auch physische. Der Begriff der mechanischen wäre hier präziser, da er auf die Wirkungsweise abstellt. 251 Die Begriffe Computer, PC (Personal Computer) und Rechner und Recheneinheit seien in dieser Arbeit als Synonyme verwandt. Der Begriff des Computers leitet sich aus dem englischen „to compute“, gleich rechnen, ab. Die Begriffe decken sich insoweit. s. zur Begrifflichkeit auch Böckenförde, Ermittlung im Netz, S. 1 Fn. 2.
B. Derzeitiges Verständnis des § 202a StGB
75
mittels Wärmeinduktion die Magnetisierung eines magnetischen Materials aufheben kann. Ausgelesen werden magneto-optische Medien rein optisch. 6. Eine geringere Rolle spielen weitere theoretisch denkbare aber mittlerweile ungebräuchlichere Speicher wie Laufzeitspeicher.252 7. In Zukunft werden sicher auch biologische oder bio-genetische Speicher eine Rolle spielen. So soll bspw. das Bakterium Deinococcus radiodurans verwendet werden, dem Informationen in die DNS eingeschleust werden und über unzählige Generationen (und damit extrem lange) erhalten bleiben sollen.253 (1) Physische Wahrnehmbarkeit und Syntax Es sind also alle möglichen Datenformen insoweit denkbar, ex vi termini sie nicht unmittelbar mit bloßem Auge oder anderen menschlichen Sinnesorganen wahrnehmbar sind. Die Grenzziehung ist hier jedoch nur eine scheinbar genaue: Auch digital gespeicherte Daten können zumindest ansatzweise visuell ausgelesen werden. Die herrschende Meinung sieht daher die auf Lochkarten abgelegten Informationen nicht als Daten im Sinne des § 202a StGB an.254 Die Daten sind erkennbar, lediglich die Syntax bleibt verschlossen. Eine Tatsache, die auch für Fragen zur Verschlüsselung noch von Relevanz sein wird. Zwar werden die Karten mechanisch ausgelesen, doch ist mit dem bloßen Auge erkennbar, wo die Ausstanzung ist. Weiß man nun, was dies bedeutet, so ist dies verwertbar. So erkannte in Zeiten der häufigen Verwendung von Lochkarten eine geschulte Sekretärin sicherlich anhand dieser mit dem bloßen Auge einige Angaben zum behandelten Sachverhalt, etwa ob die Karte sich auf einen männlichen Kollegen oder eine Kollegin bezog. Ob nun Informationen als Buchstaben oder Zahl auf Papier geschrieben oder – für das menschliche Auge erkennbar – gestanzt 252 Sehr vereinfacht dargestellt: Bei Laufzeitspeichern wird „in ein Ende des Speichers“ (etwa einen Draht) eine Information eingespeist (etwa ein Stromimpuls), der so lange „gespeichert“ ist, wie er benötigt, um am „anderen Ende“ anzukommen. Wird er dort ausgelesen und am Anfang wieder „losgeschickt“, kann die Information erhalten bleiben. 253 Wong/Wong/Foote, CACM 2003, 95 ff. Während sich alle Datenträger zersetzen, vermehrt sich dieser im Wortsinne. Eine Speicherung ist, Nahrungszufuhr vorausgesetzt, theoretisch ewig möglich. Mutationen sollen bei diesen stabilen Bakterien wenig Einfluss haben, die Ursprungsinformation sich immer wieder „durchsetzen“ und so den Datensatz erhalten. Zugleich ist in DNS eine extrem hohe Datendichte darstellbar. Problematisch ist in erster Linie das Ablegen und Auslesen der Information. 254 Vgl. schon Gravenreuth, NStZ 1989, 201, 206. Etliche Beispiele bei Sch/SchLenckner/Schittenhelm, § 202a Rn. 4 mit vielzähligen Nachweisen.
76
Teil 1: Rechtliche und technische Hinführung
werden, kann keinen Unterschied machen. Der Gesetzgeber schließt schon bloße Erkenn-, nicht erst Deutbarkeit aus. Dem folgt die herrschende Meinung zu Recht.255 Hier entstünden allerdings mit Blick auf die (Strichcode-)Scanner-Technik „empfindliche Strafbarkeitslücken“, so Schünemann256, da auch diese Striche mit bloßem Auge erkennbar sind. Unproblematisch sind dagegen Fälle, in denen mit bloßem Auge dem Datenträger gewisse Informationen in Bezug auf die Daten entnehmbar sind. Auch heutzutage lassen sich digitalen Datenträgern Informationen mit bloßem Auge entlocken. So ist bei einer gebrannten CD, hält man diese entsprechend ins Licht, zu sehen, ob diese beschrieben wurde und wie viele Daten ungefähr zugefügt wurden. Doch ist der Inhalt hierbei in keiner Weise erschließbar. Im Ergebnis sind die Daten ohne Hilfsmittel nicht verwertbar, es kann, selbst vom Bedeutungsgehalt abgesehen, schon nicht erkannt werden, welche Information – 0 oder 1 – aufgetragen wurde. Dies ist für § 202a aber entscheidend. Die mit bloßem Auge erkennbare Information, ob geschrieben wurde, ist daher nach dem Telos gesetzlich nicht erfasst, die aufgetragene Information allerdings schon. Ähnliches gilt bei Microfilmen: Hier ist zwar auch grob erkennbar, ob sich Informationen auf dem Film befinden, auch, ob diese bspw. farbig sind. Nicht mit bloßem Auge, sondern nur mit technischen (Vergrößerungs-)Hilfsmitteln, sind aber die einzelnen Daten erkennbar. Daher werden nach herrschender Ansicht microfilmgespeicherte Daten von § 202a Abs. 2 StGB erfasst.257 Eine ähnliche Konstellation liegt bei der Datenversendung (dazu sogleich) über Glasfaserkabel vor.258 255
Jessen, Sicherung i. S. v. § 202a, S. 56; LK-Schünemann, § 202a Rn. 4 (anders noch Jähnke in der Vorauflage des LK10, 1989, a. a. O. Rn. 4); Sch/Sch-Lenckner/ Schittenhelm, § 202a Rn. 4; Haß, Computerprogramme, S. 481; NK-Kargl, § 202a Rn. 5; Lackner/Kühl, § 202a Rn. 2, SK-Hoyer, § 202a Rn. 4 m. w. N., anders noch Samson als Vorgängerkommentator des SK, SK24-Samson § 202a Rn. 4. 256 LK-Schünemann, § 202a Rn. 4. 257 LK-Schünemann, § 202a Rn. 4 m. w. N., anders wohl noch Jähnke in LK10 § 202a Rn. 4. 258 Schon in einer herkömmlichen, für (relativ langsame) Telefonverbindungen verwandten, Glasfaserleitung (genauer: Lichtwellenleitung) wechseln die Lichtimpulse mit einer Frequenz von 960 Impulsen pro Sekunde. Für das Auge sind die unterschiedlichen Zustände (hell-dunkel) zwar erkennbar. Ohne Impulsverzögerung erkennt der Mensch aber nicht mehr als ein bloßes Flackern. Es ist aber gerade der genaue Abstand zwischen den Lichtblitzen und deren Dauer entscheidend. Diese Impulsverzögerung kann ohne Hilfsmittel nicht stattfinden. Der Mensch erkennt also lediglich, dass eine Datenübertragung stattfindet. Er kann die Bedeutung der Daten aber unmöglich erschließen. Es gilt damit wiederum: Ist lediglich erkennbar, dass Daten vorhanden oder übertragen werden, so ist dies nicht ausreichend. Zumindest eine gewisse Verständnismöglichkeit, wenn auch mit weiteren Kenntnissen, muss gegeben sein.
B. Derzeitiges Verständnis des § 202a StGB
77
(2) Zwischenergebnis Der Gesetzgeber macht keinen Unterschied zwischen gespeicherten Daten und Daten im Übertragungsstadium. Er nennt beispielhaft Speicherarten, ohne eine bestimmte Speicherung zu fordern. Die Norm ist für zukünftige Entwicklungen, etwa bio-genetische Speicher, offen.259 Daten dürfen nicht unmittelbar in ihrem Bedeutungsgehalt erkennbar sein, wie dies bei Lochkarten möglich ist. Die bloße Erkennbarkeit, dass Daten auf einem Datenträger aufgetragen wurden oder übertragen werden, schließt dagegen den Schutz der Daten nach § 202a StGB nicht aus. b) Sonderprobleme Die Einschränkung auf nicht unmittelbar wahrnehmbare Daten wirft bei den vom Gesetzgeber beispielhaft genannten Datenspeicherarten wenig Abgrenzungsprobleme auf. Probleme können jedoch durch neue Speicherund Übertragungsarten entstehen. Diese Probleme spielen für die weitere Zu einem anderen Ergebnis müssten Autoren kommen, die CIM- und COM-Systeme als Speicher ablehnen, da nach Ihrer Auffassung die bloße Impulsverzögerung noch keine Umsetzung darstellt. Jähnke (in LK10 § 202a Rn. 4) und Samson (in SK24 § 202a Rn. 5 ff.), die auf eine bloße Sichtbarkeit von Daten, ohne jede Möglichkeit diese werten zu können, abstellen, müssten glasfasergebundene Übertragungen ausnehmen. Praktisch hätte dies eine etwas ironisch anmutende Konsequenz, werden doch Glasfaserkabel bevorzugt für sensible Datenübertragungen verwendet, da sie besonders schlecht abgehört werden können. (Glasfaserkabel, im Gegensatz zu stromführenden Kabeln emittieren kein elektromagnetisches Feld, das ohne Verletzung des Kabels in dessen näherer Umgebung abgelesen und von dem auf den Übertragungsinhalt geschlossen werden kann. Bei Glasfaserkabeln ist es dagegen nötig, das Kabel zu verletzen um direkt an die Lichtimpulse zu gelangen.) Die den genannten (Jähnke und Samson) ihnen nach gefolgten (Schünemann und Hoyer) Kommentatoren sowohl des Leipziger Kommentars wie des Systematischen Kommentars würden dagegen wohl zu einer Erfassung sowohl der CD als auch von glasfasergebundener Übertragung durch § 202a kommen, vgl. LK-Schünemann, § 202a Rn. 3 f. und SK-Hoyer, § 202a Rn. 4. Ob Jähnke und Samson an ihren Ansichten festhalten möchten, kann der Kommentarliteratur wegen des Kommentatorenwechsels nicht entnommen werden. Die herrschende Meinung jedenfalls, und dieser ist nach obiger Argumentation sowohl aus rechtlichen als auch praktischen Erwägungen zu folgen, sieht die genannten Speicherungs- sowie Übertragungsarten im Ergebnis als erfasst an. Vgl. zu diesem Problem auch Jessen, Sicherung i. S. v. § 202a, S. 58, der zum selben Ergebnis kommt. 259 Bei der biologischen Codierung werden schon vier verschiedene kleinstdenkbare Einheiten auf der DNS (Desoxyribonukleinsäure) verwandt. Die Nukleobasen Adenin (A), Thymin (T), Guanin (G) oder Cytosin (C) bieten hier komplexere Codierungsmöglichkeiten. Bedenkt man, dass ein mittleres Bakteriengenom circa 1–4 Millionen Basenpaare und das menschliche Genom circa drei Milliarden Basenpaare hat, so ergeben sich erhebliche Informationsdichten.
78
Teil 1: Rechtliche und technische Hinführung
Untersuchung der Begründung des Tatbestandserfordernisses der besonderen Sicherung allenfalls am Rande eine Rolle. Ihnen soll aber aus Gründen der Vollständigkeit, und da sie anschaulich zeigen, welche Auslegungsprobleme technische Neuerungen verursachen können, exkursorisch nachgegangen werden. Auch wirft die jüngste Reform hier neue Probleme auf, die nur kurz aufgezeigt werden können. Sie werden bereits diskutiert und sollen hier nur kurz angerissen werden.260 (1) Daten(fern)übertragung Durch den neugefassten § 202b ist es wesentlich, abzugrenzen, wann Daten übertragen und wann sie gespeichert werden. Nicht nur der Versand einer CD bereitet hier Probleme.261 Auch beim elektronischen Versand wechseln Speicherung und klassische Übertragung regelmäßig. Daten werden ebenso im Computer übertragen wie außerhalb.262 Im Computer finden Übertragungen zwischen den einzelnen Speichereinheiten (Diskette, Festplatte, USB-Stick etc.) und den Rechenmodulen (dem Prozessor), den Eingabegeräten (etwa Maus, Tastatur und Scanner) und schließlich den Ausgabeeinheiten, den Mensch-Maschine-Schnittstellen (etwa Bildschirm und Drucker) statt. Außerhalb der Recheneinheit finden Übertragungen zu anderen Einheiten statt. Dabei ist die Unterscheidung, wann eine Einheit beginnt und die andere anfängt (etwa bei Großcomputern und Rechenzentren) nicht einfach.263 Sie ist jedoch auch müßig, da alle Übertragungsarten erfasst werden. Der Gesetzgeber hat aber nunmehr den „Aggregatzustand“ der Daten als relevant erachtet. Allerdings war es nur bis zur Einführung des § 202b gleichgültig, ob die nicht unmittelbar wahrnehmbaren Informationen gerade im Fluss oder im Stillstand sind, ob sie gespeichert sind oder gerade übertragen werden. Nunmehr ist dies von Interesse – in einem Fall müssen die Daten gesichert sein, im anderen nicht. Es macht einen Unterschied, ob die Daten gespeichert sind oder öffentlich übermittelt werden (dann ist Sicherung erforderlich) oder ob sie nichtöffentlich übermittelt und mit technischen Mitteln abgefangen werden. Der Gesetzgeber hat zwar auch das „Anzapfen“ von Datenfernübertragungen (von der Sicherung sei an dieser Stelle abgesehen) tatbestandsmäßig erfasst.264 Er regelt aber die Abfrage an 260
Gröseling/Höfinger, MMR 2007, 549, 552; Schumann, NStZ 675, 677. Dazu Gröseling/Höfinger, MMR 2007, 549, 552. 262 s. grundlegend und nach wie vor aktuell Leicht, iur 1987, 45, 51. 263 Vgl. schon Jessen, Sicherung i. S. v. § 202a, S. 53. 264 SK-Hoyer, § 202a Rn. 4; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 4; Welp, iur 1988, 443, 445; R. Schmitz, JA 1995, 478, 480 f. 261
B. Derzeitiges Verständnis des § 202a StGB
79
verschiedenen Stellen265 unterschiedlich. Die sich dadurch aufwerfenden Fragen stehen hier nicht im Fokus. Nach der teleologischen Auslegung soll dennoch einiges dafür sprechen, hier in den genannten Fällen eine Übertragung anzunehmen und daher § 202b anzuwenden.266 Eine finale Stellungnahme wäre hier ein Vorgriff auf die weitere Arbeit. Die teleologische Frage, ob es auf die Sicherung ankommen soll, kann hier erst beantwortet 265 In der Datenspionage kann die Abfrage theoretisch an jedem Übertragungsweg stattfinden. Auch praktisch wird an vielen Übertragungswegen angesetzt. Zu Keyloggern, die Tastatureingaben aufzeichnen, siehe unten, S. 116. Zu Versuchen, die interne Kommunikation von Computern lückenlos zu verschlüsseln vgl. Fn. 493, S. 279. Auch die Monitorübertragung zum Mensch kann „abgehört“ werden, indem man ihm „über die Schulter schaut“. Dies ist freilich von § 202a nicht erfasst, die Daten sind visualisiert. Etwas anderes kann aber gelten, wenn die aktuelle Darstellung des Bildschirms „abgehört“ wird, indem dessen elektromagnetische Strahlung, die auch in einigen Metern Entfernung, etwa aus dem Auto vor einer Arztpraxis, aufgenommen und visuell umgesetzt wird. Hier erhält der Ausspähende ein stets aktuelles Abbild dessen, was der ausgespähte Bildschirm anzeigt. Mittels gerichteten Empfangs lassen sich dabei Störsignale (etwa anderer Bildschirme in der Nähe) ausfiltern und so ein ausreichend wertiges Bild generieren. Dabei ist zu beachten, dass funktional nicht die (sichtbare) Wiedergabe auf dem Schirm kopiert wird, sondern das (nicht unmittelbar wahrnehmbare) elektromagnetische Feld, das entsteht, wenn bei einem Röhrenmonitor eine Anzeige generiert wird. Aus diesem lässt sich dann das auf dem Bildschirm generierte ableiten. Der „Abhörvorgang“ setzt also technisch vor der Bilddarstellung an. Damit wird nicht das Bild ausgespäht, sondern die für dessen Darstellung notwendigen Stromflüsse. Diese sind nicht unmittelbar wahrnehmbar, sondern führen nur zur unmittelbaren Wahrnehmbarkeit. Damit fällt diese Ausspähtechnik unter den Tatbestand des § 202a (an dieser Stelle soll dabei noch nicht auf die besondere Sicherung eingegangen sein). s. dazu auch unten, Fn. 511, S. 285. Genauso ist es möglich, regelmäßig – etwa im Abstand von fünf Sekunden – sogenannte screenshots – also elektronische „Fotographien“ des Bildschirms abzuspeichern und sich diese als Grafik regelmäßig und unauffällig als Ausspähender senden zu lassen. Beide Spionagetechniken lesen nicht die originären Daten auf dem PC aus. Sie liefern jedoch ein detailliertes Bild der Tätigkeiten des Nutzers und zeigen die von ihm angezeigten Daten. Dies geschieht dabei in einem Stadium, in dem Verschlüsselungstechniken zwar theoretisch möglich, jedoch heutzutage noch äußerst unüblich sind. Um gegen Keylogger gefeit zu sein wäre es notwendig (von Maßnahmen, ihnen schon die Installation oder zumindest das Versenden der gesammelten Daten zu verwehren), bereits die Befehle der Tastatur an den PC zu verschlüsseln. Gegen das Auslesen von Röhrenmonitoren besteht dagegen lediglich physikalischer Schutz, etwa durch ausreichenden Sicherheitsabstand oder lückenlosen (das heißt auch fensterlosen) engmaschigen Stahlbeton um den Raum, in dem sich der Monitor befindet, wie dies etwa Botschaften bewerkstelligen, die ein feines Drahtnetz in die Wände einziehen, das die elektromagnetische Strahlung aufhält. Das Problem verliert allerdings an Aktualität, da nur klassische Braunsche Röhrenmonitore eine entsprechend auswertbare Strahlung aufgrund ihrer Konstruktion emittieren. Die heutzutage üblichen Flachbildschirme, sei es, ob sie auf TFT oder LCD Technik aufbauen, sind dagegen so nicht ausspähbar. 266 Schumann, NStZ 2007, 675, 677.
80
Teil 1: Rechtliche und technische Hinführung
werden, wenn ihr rechtlicher Zweck erkannt ist. Die Einführung des § 202b jedenfalls unterstreicht die Wichtigkeit der Beantwortung dieser Frage. Bei den Übertragungsmethoden lassen sich technisch grob zwei Gruppen bilden: drahtgebundene und drahtlose Verbindungen. Drahtgebundene Übertragungen lassen sich wiederum grob in zwei gängige Untergruppen einteilen. In der ersten Untergruppe finden sowohl alle denkbaren Arten Strom leitender Materialien wie Telefon-, Fernseh-, aber neuerdings auch originäre Stromkabel selbst Verwendung, als auch spezielle Computerverbindungskabel aller Arten. Daneben finden auch Glasfaserkabel Verwendung, bei denen nicht verschiedene Spannungen an das Kabel angelegt werden, um Informationen mittels Spannungsschwankungen (Strom fließt (in einer festgelegten Zeit) = (1), kein Strom fließt = (0)) zu übertragen, sondern Lichtimpulse durch die Glasfaserkabel gesendet werden, die sich kilometerweit mit höchsten Datendurchsatzraten übertragen lassen. Die Lichtimpulse sind dabei mit bloßem Auge erkennbar. Ihre Bedeutung kann jedoch unmöglich unmittelbar erschlossen werden. Daher sind die Daten als nicht unmittelbar wahrnehmbare einzustufen.267 Hier gilt das oben Gesagte entsprechend. Bei den kabelungebundenen Übertragungsarten (etwa im WLAN – von Wireless Local Area Network268) finden wieder verschiedene Methoden Anwendung: Verwendet wird über kürzeste Distanzen Infrarot und über kurze und lange Distanzen meist Funk. Die Infrarottechnik erfordert mehr oder minder Sichtkontakt, da hier Licht im Infrarotbereich ausgesendet und empfangen wird. Funkverbindungen durchdringen dagegen auch Wände (wenn auch dabei ihre Qualität abnimmt und Stahlbeton die Wellen stark hemmt) und können so längere Distanzen überbrücken. Probleme der Wahrnehmbarkeit ergeben sich hier nicht. Funkwellen sind nicht ohne technische Hilfsmittel wahrnehmbar. Für Infrarotsignale gilt dasselbe. Es handelt sich zwar um Lichtsignale, doch diese werden in einem Wellenbereich gesendet, der für das menschliche Auge nicht wahrnehmbar ist.269 Die Unterscheidung ist zunächst für die Abhörmöglichkeiten von praktischer Relevanz.270 Bei Kabelverbindungen muss man sich grundsätzlich ins 267
Vgl. oben, S. 76. Zu deutsch: Kabelloses lokales Netzwerk. Damit abgrenzend vom Inter-net (weltumspannend) und auch vom WAN (Wide Area Network, also „Großraumnetzwerk“). 269 Als Infrarotstrahlung (kurz IR-Strahlung, auch Ultrarotstrahlung, Wärmestrahlung) werden elektromagnetische Wellen im Spektralbereich zwischen kürzerwelligem sichtbaren Licht und längerwelliger Mikrowellenstrahlung bezeichnet. Der Wellenlängenbereich erstreckt sich von circa 780 nm bis 1 mm. 270 Nach wie vor aktuell und anschaulich: Leicht, iur 1987, 45, 51. 268
B. Derzeitiges Verständnis des § 202a StGB
81
Kabel „einhängen“, wenn man die Verbindung abhören will.271 Bei Funkoder Infrarotverbindungen reicht schon eine gewisse lokale Nähe (teilweise ist selbst sie nicht erforderlich272) und ein einfacher entsprechender Empfänger. Die Informationen werden schließlich „frei im Raum“ versandt und sind damit für jedermann empfangbar. Hier kann technisch nur Verschlüsselung helfen.273 Diese Unterscheidung ist aber nicht nur von technischem, sondern auch von rechtlichem Interesse. Drahtlose Verbindungen werfen hier Probleme auf. Das Gesetz fordert (neben Speicherung) Übermittlung. Darunter wird Übertragung zwischen zwei Einheiten verstanden.274 Bei drahtlosen Kommunikationssystemen findet der Versand von Daten aber regelmäßig auch ohne einen gewollten Empfänger statt. So stehen immer mehr WLAN-Verbindungen (etwa in Hotels etc., sogenannte Hot Spots) für Nutzer bereit, ohne dass sie ständig von jemandem genutzt werden. Wie beim Radio wird versendet, ohne zu wissen, ob jemand den (im Gegensatz zum Radio interaktiven) Dienst nutzt. Dennoch senden diese Systeme ständig und teilen so ihre Verfügbarkeit mit. Nun kann ein Dritter dieses Netz unberechtigt nutzen (etwa ohne zahlender Hotelgast zu sein), indem er die (verschlüsselten) Signale empfängt, die (geheimen) Zugangsdaten und einen Schlüssel berechnet und sich in das System einwählt. Schutzwürdig ist dieser Versand auch unter dem Gesichtspunkt des persönlichen oder geschäftlichen Geheimbereichs. Die rechtliche Frage ist nun, ob eine Übermittlung Zweier von einem Dritten abgehört werden muss oder ob es reicht, dass einer Daten versendet, ohne einen bestimmten Empfänger zu haben.275 Der Begriff der Übermittlung legt sprachlich zunächst ersteres nahe. Die Übermittlung steht mittig zwischen den Kommunikationspartnern und verbindet sie dadurch. Bleibt die Sendung empfängerlos, wurde nicht gemittelt. Jeder Versand soll aber potenzielle Übermittlung sein, sonst ist sie sinnlos. Der Wortlaut ist damit 271 Elektrische Impulse können wegen ihres elektromagnetischen Feldes auch außerhalb des Kabels „abgehört“ werden. Auch dann gilt jedoch, dass größte Nähe herzustellen ist. Hinzu kommt: Bei modernen Kabelverbindungen liegt oft ein ganzer Kabelstrang. Dieser macht es (auch für Geheimdienste) äußerst schwer, die einzelnen magnetischen Felder zu unterscheiden. 272 Wird mittels Richtfunk kommuniziert, wie es etwa zwischen Telekommunikationsknotenpunkten der Fall ist, so kann auch außerhalb des Bereichs des Senders, des Empfängers und des Zwischenraums abgehört werden. In der Praxis positionieren die Geheimdienste ihre Spionagesatelliten in der Verlängerung der Richtfunkachse im All. Der Richtfunk „schießt“ schließlich über das Ziel „hinaus“ ins All und kann mittels Verstärkung dort empfangen werden. s. auch Fn. 542, S. 294. 273 Vgl. schon Leicht, iur 1987, 45, 51. s. i. E. unter Kryptographie, S. 303 ff. 274 So Jessen, Sicherung i. S. v. § 202a, S. 57. 275 Jessen möchte dies problematisieren, Sicherung i. S. v. § 202a, S. 57, 58.
82
Teil 1: Rechtliche und technische Hinführung
nicht eindeutig. Auch ist fraglich, ob dem Gesetzgeber eine Alternative der Wortwahl offenstand. Er wählte nicht die Begriffe Verbindung oder Kommunikation. Diese würden darauf schließen lassen, dass ein berechtigter Empfänger existieren müsse. Der Begriff der Sendung erfordert dagegen keinen Empfänger. Sie kann empfängerlos bleiben. Vom Wortlaut abgesehen, der nur erster Schritt der Auslegung sein kann, ist Schutzgut nicht die Kommunikation Zweier wie sie etwa Art. 10 GG erfasst oder auch §§ 202, 203 und 206 zum Gegenstand haben, sondern das Interesse, eigene Daten geheim halten zu können. Ein Zweiter ist dazu nicht erforderlich und damit auch kein Kommunikationsvorgang im Sinne einer Informierung eines Anderen. Daten können auch von einem Datenträger zu einem anderen (desselben Nutzers) gemittelt werden. Der Gesetzesbegründung lässt sich weiter nichts entnehmen, außer, dass für Speicherung und Übertragung nichts Unterschiedliches gelten soll.276 Bei der Speicherung ist aber auch kein (vor- oder nachgelagerter) Kommunikationsvorgang erforderlich. Es ist daher davon auszugehen, dass auch dieser Fall erfasst werden soll. Der Wortlaut zieht keine eindeutige Grenze. Die Übermittlung kann damit auch in einem (vom Täter abgesehen) empfängerlosen Versand gesehen werden. (2) Sonderfall: Gruppenspezifische (Nicht-)Wahrnehmbarkeit Eine aktuelle Entwicklung, die möglicherweise anekdotisch bleibt, ist die Ausstrahlung von Informationen in für (spezifische) Dritte nicht wahrnehmbarer Form: Zeitungen berichteten jüngst, dass Schüler bei ihren Handys hochfrequente Klingeltöne (etwa 17kHz) benutzen, die von ihren älteren Lehrern nicht (mehr) gehört werden können.277 Da die Nutzung von Handys im Unterricht regelmäßig verboten ist, suchen Schüler Wege, wie sie dennoch Klingelsignale hören, ohne dass Lehrer dies bemerken. Schüler machen es sich daher zunutze, dass mit steigendem Alter die Fähigkeit hohe Frequenzen zu hören abnimmt.278 276
BT-Drs. 10/5058, S. 28. Stellv. Vitello, A Ring Tone Meant to Fall on Deaf Ears, The New York Times, 12. Juni 2006, s. A1 und Naughton, Inventor hopes to hit big time with silent ringtone, Times Online, 12. Juni 2006 – www.timesonline.co.uk/tol/news/uk/ article674022.ece . 278 Ironischerweise wurde dieses Phänomen zunächst gegen Jugendliche angewandt: Eine walisische Sicherheitsfirma hatte ein Konzept entwickelt, mit dem (herumlungernde) Jugendliche vor Einkaufsgeschäften vertrieben werden sollten, indem ein hochfrequenter unangenehmer lauter Ton ausgestrahlt wurde, den nur Jugendliche noch hören können und der sie daher spezifisch vertreibt, ohne dagegen (erwachsene) Kunden zu beeinträchtigen. Unidentifizierte walisische Jugendliche haben 277
B. Derzeitiges Verständnis des § 202a StGB
83
Gesetzt den Fall, dieses Prinzip wird weiterentwickelt und die Schüler morsen sich gegenseitig die Lösung während einer Klassenarbeit oder ähnliches, so fragt sich, ob diese Daten von § 202a erfasst sind. Es stellt sich die Frage, ob ein Lehrer, der um dieses Phänomen weiß und ein technisches Hilfsgerät mit in den Unterricht nimmt, welches hochfrequente Töne auf ein für ihn hörbares Niveau moduliert oder anzeigt, tatbestandlich handeln würde oder ob es schon am Tatobjekt mangelte.279 Damit stellt sich die Frage, ob diese gruppenspezifisch wahr- bzw. nichtwahrnehmbaren Informationen nun nach § 202a Abs. 2 erfasst sind. Weiter stellt sich die Frage, ob die Nicht-Wahrnehmbarkeit eine Sicherung im Sinne des § 202a ist. Die kognitive Psychologie spricht hier von verschiedenen Wahrnehmungsschwellen. Diese verschieben sich in unserem Beispiel (unter anderem) natürlicherweise altersbedingt. Wenn verschiedene Bevölkerungsgruppen verschiedene Wahrnehmungsschwellen haben, so ist zu fragen, auf welche abzustellen ist. In Betracht kommt, auf die größere oder die „Normalbevölkerung“ und nicht etwa auf die Wahrnehmungsfähigkeit behinderter Menschen abzustellen. Im vorliegenden Fall handelt es sich bei Kindern und Jugendlichen aber um einen Teil der „Normalbevölkerung“, zu der jeder Teil der Bevölkerung momentan gehört oder einst gehörte. Auch ist die „hörende“ Gruppe zahlenmäßig groß und („je nach Frequenzhöhe“) gleich groß oder größer als die „nichthörende“. Wollte man auf den gewünschten Entscheidungsempfänger dagegen abstellen, wäre das Ergebnis einfacher. Diese Intention liegt dem Wortlaut aber nicht inne und führte auch zu erheblichen Abgrenzungsschwierigkeiten. Je nach Bestimmung der Daten änderte sich ihre Wahrnehmbarkeit, sie ließe sich somit durch Umwidmung verändern. Die Beantwortung ersterer Frage kann allerdings dahinstehen, so die zweite zu verneinen ist. Denn selbst wenn man die Daten als nicht unmittelbar wahrnehmbar einordnen würde, so müssten sie noch besonders gesichert sein, um tatbestandlich erfasst zu sein. Das Gesetz spricht von Daten, die nicht wahrnehmbar sein dürfen und zugleich gesichert sein müssen. Der Gesetzgeber ging augenscheinlich nicht davon aus, dass die Sicherung sich in der begrenzten Wahrnehmbarkeit (für manche) schon verwirklichen soll. Eine davon zu unterscheidende Sicherung muss hinzutreten. Erst wenn die Daten neben der Frequenzerhöhung ein (weiteres) Sicherheitsmerkmal ersich diese Technik nun zunutze gemacht, der Klingelton fand rasende Verbreitung über Großbritannien und andere Länder. s. Vitello a. a. O., Fn. 277, S. 82 und Naughton a. a. O., Fn. 277, S. 82. 279 Auf das Problem, dass Schüler den Signalton im Unterricht unberechtigt verwenden, soll hier nicht weiter eingegangen werden. Von Interesse sind das Tatobjekt und dessen Voraussetzungen und Grenzen.
84
Teil 1: Rechtliche und technische Hinführung
halten, kommt es auf erstere Frage an. Das letztere ist Mittel zum Schutz des ersteren und nicht schon durch das erstere erfüllbar. Es bliebe sonst ohne Unterscheidungskraft. Da – jedenfalls nach heutigem technischen Stand und auch gerade der Zielrichtung der besonderen Übertragung – die unmittelbare Nichtwahrnehmbarkeit durch den Gegner zugleich die „besondere Sicherung“ vor ihm darstellt und sich darin erschöpft, erübrigt sich hier eine weitere Erörterung. Es ist fernliegend, doppelt zu sichern, da es ja gerade darauf ankommt, die – auch für Jugendliche schwer zu unterscheidenden Töne auf dieser Frequenzebene – verständlich zu halten. Die hochfrequenten Signale werden daher nicht besonders gesichert. Ein von der Nicht-Wahrnehmbarkeit zu unterscheidender besonderer Schutz ist nicht vorhanden. Da sich derzeit keine Entwicklung in dieser Richtung abzeichnet oder annehmen lässt, ist eine gesetzliche Klarstellung entbehrlich. Es fehlt an der Regelungsbedürftigkeit.280 Nach derzeitigem Stand müssen Nichtwahrnehmbarkeit und Sicherung verschieden sein. c) Zusammenfassung Der Gesetzgeber erfasst gespeicherte Daten und solche im Übertragungsstadium. Dabei legt er sich auf keine technischen Details fest. Damit sind alle, auch sogenannte flüchtige, Speicherarten auf sämtlichen Trägern, deren „Zustand“ durch den ständig wiederkehrenden Vorgang der Speicherung aufrechterhalten wird, erfasst. Voraussetzung ist die Nicht-Wahrnehmbarkeit der Daten. Dieser tut es keinen Abbruch, wenn erkannt wird, dass Daten gespeichert sind oder übertragen werden, wenn zugleich einzelne Informationseinheiten schon physisch nicht unterscheidbar und damit inhaltlich nicht erfassbar sind. Der Begriff der Übertragung bei § 202a StGB erfordert nicht eine Kommunikation zwischen zwei Einheiten, die eine dritte ausspäht. Auch das Abstrahlen von Information ohne einen konkreten gewollten Empfänger kann als Übermittlung gewertet werden. Die Einführung des § 202b und sein Verzicht auf die Sicherung der Daten, wenn sie übertragen werden, wirft erstmals Abgrenzungsprobleme zwischen gespeicherten und übertragenen Daten auf. Diese Frage steht nicht im Fokus der Arbeit, jedoch wurden einige Kriterien zur Beantwortung dieser Frage aufgezeigt. Eine hier entscheidende Frage, der noch nachzugehen 280 Vgl. zu dieser Voraussetzung für die Strafgesetzgebung H.-L. Günther, JuS 1978, 8, 11 f.
B. Derzeitiges Verständnis des § 202a StGB
85
sein wird, ist, weshalb § 202b auf die Sicherung der Daten verzichtet, wenn sie übertragen werden.
IV. Bestimmung der Daten Die Daten dürfen nicht für den Täter bestimmt sein, sonst entfällt nach der gesetzgeberischen Konzeption bereits die Tatbestandsmäßigkeit.281 Die Vorschrift wird zu einem negativen Sonderdelikt. Damit sind die Regeln über das Einverständnis anwendbar.282 Die Bestimmung der Daten richtet sich nach dem Willen des Berechtigten. Der Wille bestimmt auch über die Reichweite des Einverständnisses, so können Daten zur Kenntnis überlassen werden, ohne dass sie bearbeitet und verändert werden dürfen, sie können zur Verwahrung ohne Leserechte überlassen werden. Unter dem Begriff der Bestimmung werden meist Fragen der Berechtigung behandelt283, derbezüglich auf die Ausführungen zum Rechtsgutsträger verwiesen werden soll.284 1. Derzeitige Auffassung Der Gesetzgeber verwies auf den § 202 StGB,285 was von der herrschenden Meinung aufgegriffen wurde. So sind die Daten dann nicht für den Täter bestimmt, wenn sie nach dem Willen des Berechtigten nicht in dessen Herrschaftsbereich gelangen sollen. Nicht das Festhalten, sondern die Verbreitung der Daten sei Kennzeichen des Tatbestandes des § 202a im Sinne einer Bestimmung, so Jessen.286 Dem ist nicht zu folgen. Eine Bestimmung setzt nicht voraus, dass die Daten übertragen werden oder zur Übertragung bestimmt sind. Die Daten brauchen für keinen Dritten bestimmt sein, das potenzielle Opfer muss sie übertragen wollen. Es ist auch geschützt, wenn es an ihnen festhalten will, um mit Jessen zu sprechen, sie also geheim hal281
BT-Drs. 10/5058 S. 29; MüKo-Graf, § 202a Rn. 17. Haß, Computerprogramme, S. 299, 313; LK-Schünemann, § 202a Rn. 11, 13; ebenso LK10-Jähnke in der Vorauflage, § 202a Rn. 11, 13; Lackner/Kühl, § 202a Rn. 3, Möhrenschlager, wistra 1986, 128, 140. Unklar bleibt Bühler, MDR 1987, 448, 453, der (widersprüchlich) keine Einwilligung und kein Einverständnis annimmt, sondern in die Kategorie der Rechtfertigungsgründe einordnen will. 283 Vgl. SK-Hoyer, 202a Rn. 5. 284 Eine ausführliche Darstellung zur Bestimmung der Daten, insbesondere in Sonderkonstellationen, findet sich ebenso bei Schulze-Heiming, Computerdaten, S. 52 ff., die Fragen des Softwareerwerbs und Sonderfälle wie die Bestimmung von Daten beim Erwerb von Glücksspielautomaten, die Bestimmung der Daten auf Bankautomatenkarten, Datenbanken und Bildschirmtexten diskutiert. 285 BT-Drs. 10/5058 S. 29. 286 Jessen, Sicherung i. S. v. § 202a, S. 59 f. 282
86
Teil 1: Rechtliche und technische Hinführung
ten will. Ein bloßes Abspeichern für die eigene oder fremde Nutzung reicht aus.287 Gerade das „Festhalten“ an den Daten und die Nicht-Weitergabe ist geschützt. Denn Nicht-Weitergabe bedeutet Geheimhaltung. Die von § 202a geschützte Verfügungsbefugnis beinhaltet die Freiheit, nicht zu verfügen und damit geheim zu halten. Irrelevant sind Überlegungen, ob nach Zahlung eines Entgelts Zugang gewährt werden würde, die Daten also potenziell bestimmt sind.288 Potenzielle Bestimmung ist keine Bestimmung. 2. Kritik an Einschränkungsversuchen im Hinblick auf kupierte Datenüberlassungen Der herrschenden Meinung ist grundsätzlich zuzustimmen. Es seien jedoch bei kupierten Datenüberlassungen Präzisierungen am Rande dieses Tatbestandsmerkmals und zugleich am Rande dieser Arbeit exkursorisch vorgenommen. Daten können nicht nur „ganz oder gar nicht“ bestimmt werden. Es stellt sich nun die Frage, wie kupierte Überlassungen einzuordnen sind. Daten können zur Nutzung überlassen werden, ohne dass Kenntnis gewährt wird. Dies ist etwa der Fall, wenn Versandhäuser die Kundendaten anderer Versandhäuser „mieten“, um den Kunden spezifisch zugeschnittene Werbung zukommen zu lassen.289 Der Mieter erfährt die Daten dabei in der Regel nicht290, kann sie aber dennoch nutzen. Der Berechtigte kann bestimmen, wer, wie und wie lange die Möglichkeit der Kenntnisnahme hat, er 287 Anderer Ansicht Jessen, Sicherung i. S. v. § 202a, S. 59 f., der konstatiert, die Tatobjekte seien „gerade durch die Weitergabe an Dritte geprägt“ (S. 59) und der Berechtigte müsse „die Absicht haben, anderen die Kenntnisnahme zu erlauben“ (S. 60) – dies findet weder im Gesetz noch in den Materialien eine Stütze. Auch das Rechtsgut der Verfügungsbefugnis beinhaltet nicht, dass verfügt werden muss. Auf eine Verfügung im Sinne einer Übertragung kann auch verzichtet werden, das Recht auf Weitergabe und Geheimhaltung wird geradezu typischerweise ausgeübt, indem auf die Weitergabe verzichtet (und damit geheim gehalten) wird. Das Recht auf Weitergabe und Geheimhaltung sind zwei Seiten derselben Medaille. Schreibt man eine Weitergabe vor, so negiert man geradezu das Recht der Geheimhaltung. Dieses wohnt aber § 202a unumstößlich inne und ist sein Kernbestand. 288 BT-Drs. 10/5058 S. 29; LK-Schünemann, § 202a Rn. 9. 289 Versandhäuser bspw. „vermieten“ ihre sorgsam gepflegten Kundenadressen an entsprechende Interessenten. Diese geben etwa zielgruppenbestimmende Merkmale an. Die Versandhäuser stellen eine Eingabemaske zur Verfügung, in die ein Werbeschreiben eingegeben werden kann, das sodann direkt (und ohne Kenntnis der einzelnen Adressen durch die Mieter) an alle Zielgruppenmitglieder versandt wird. So können die Adressmieter die Daten nutzen, ohne sie zu kennen. Erst aus den Reaktionen auf ihre Werbung (etwa Preisausschreiben) gelangen sie an die Daten einiger Kunden und können diese in die eigene Datenbank einpflegen. 290 Sondern erst über die sog. Rückläufer.
B. Derzeitiges Verständnis des § 202a StGB
87
kann Nutzung auch ohne Kenntnismöglichkeit einräumen.291 P. Schmid will daher eine Definition ablehnen, „die Daten dann für den Täter als nicht bestimmt erachtet, wenn sie nach dem Willen des Verfügungsberechtigten nicht in den Herrschaftsbereich gelangen sollen“.292 So weit ist schwerlich zu gehen. Es kann die Frage auch von der anderen Seite betrachtet werden: Gelangen Daten, die der Nutzer nicht zur Kenntnis nehmen, aber dennoch nutzen kann, überhaupt in dessen Herrschaftsbereich? Dies ist zu verneinen. Der Begriff der Datenmiete hat sich zwar gefestigt. P. Schmid ist auch zuzustimmen, dass obige Definition sich erneut stark (zu stark, wie P. Schmid meint) an das Eigentumsdelikt des § 242 StGB anlehnt. Eine gefährliche Annäherung an die körperliche Welt besteht jedoch auch, so man von Datenmiete spricht. Miete ist Nutzungsüberlassung auf Zeit. Die Nutzung wird also eingeräumt und dann entzogen. Analog wäre dies bei Information und deren Kenntnis dann möglich, wenn man das Vergessen (die Entziehung) steuern könnte. Dies ist jedoch nicht möglich.293 Daher werden die Daten nicht überlassen, vielmehr gibt der Mieter seine Wünsche an den Vermieter weiter, der diese dann entsprechend bearbeitet. Daher soll hier erst dann von einer Überlassung der Daten in einen fremden Herrschaftsbereich gesprochen werden, wenn damit auch Kenntnisübertragung gemeint ist. Wollte man dies, Schmid folgend, anders sehen, so bedeutete dies, dass der Mieter die Daten ausspähen dürfte, deren Kenntnis der Vermieter gezielt unterbunden und die der Mieter auch nicht erworben hat. Insoweit ist die herrschende Definition zu ergänzen. Ähnliches gilt im umgekehrten Fall: Die Daten sind ebenso wenig für den Täter bestimmt, wenn sie seiner dinglichen Herrschaft überlassen werden, ohne dass er aber Kenntnis nehmen darf. Überlässt also der Verfügungsberechtigte eine gesicherte CD, welche das einzige Exemplar mit dem gesicherten Datensatz darstellt, einem anderen zur bloßen Verwahrung, so ist zwar der Datenträger für den Dritten bestimmt, selbst wenn sich der Verfügungsberechtigte für eine Zeit der Nutzungsmöglichkeiten an den Daten völlig begibt. Auch kann unter Umständen gar das Eigentum am Daten291
P. Schmid, Computerhacken, S. 66. P. Schmid, Computerhacken, S. 66 ausdrücklich entgegen LK-Jähnke, § 202a Rn. 9, Lackner/Kühl, § 202a Rn. 3; noch ausdrücklicher Tröndle/Fischer54, § 202a Rn. 7; vgl. nun Fischer, § 202a Rn. 7. 293 Zwar wäre es möglich, vertraglich zum Löschen der überlassenen Daten nach Ablauf der Mietzeit zu verpflichten. Schließlich wird sich der Mieter kaum an alle Daten erinnern. Hier fehlt aber in der Regel das Vertrauen des Vertragspartners und die Kontrollmöglichkeiten der Löschung sind faktisch nicht vorhanden. Handelt es sich dagegen um überschaubare (und zumindest teilweise merkbare) Datensätze, so wäre selbst dies nicht ausreichend. Denn zum Vergessen der Daten kann man niemanden verpflichten, dies lässt sich schlicht menschlich nicht steuern und kann daher nicht gefordert werden – impossibilium nulla obligatio est. 292
88
Teil 1: Rechtliche und technische Hinführung
träger – etwa im Wege der Sicherungsübereignung – an den Dritten übergehen. Dennoch braucht damit nicht zwangsläufig der Inhalt der CD, die Daten, für den Dritten bestimmt zu sein. Bricht dieser also den Schutz und verschafft sich Kenntnis von den Daten auf der CD, dann erfüllt er den Tatbestand des § 202a StGB, weil die Daten nicht für ihn bestimmt sind. 3. Trennung von Zugangssicherung und Bestimmung Die Zugangssicherung und die Bestimmung der Daten dürfen nicht miteinander „verquickt“ werden, so P. Schmid,294 dem hierin zu folgen ist. Trotz Zugangsschutz können die Daten für den Täter bestimmt sein. Viele Softwareentwickler beschäftigen Hacker, deren Aufgabe es ist, die gesicherten Daten des Entwicklers auszuspähen, umso den Schutz zu ermitteln und zu verbessern.295 Der bezahlte Hacker als Sicherheitssystemtester ist nicht nur befugt, sondern die Daten sind für ihn auch bestimmt und zugleich gegen unberechtigten (und hier ausnahmsweise auch berechtigten, was sich in diesem Fall nicht ausschließt) Zugang gesichert. 4. Relevanz von Zweck- und Nutzungsbestimmungen Dementsprechend irrelevant sind oben aufgezählte Zweck- oder Nutzungsbeschränkungen der Daten, so sie nicht die Kenntnis zum Gegenstand haben.296 Dies ergibt sich aus dem Rechtsgut des § 202a StGB. Geschützt ist die Verfügungsbefugnis, dazu gehört die Bestimmung, wer Kenntnis erlangen darf. Das Recht zur (alleinigen) Nutzung und Änderung erfasst dagegen § 303a StGB. Bestimmungen diesbezüglich spielen für § 303a, nicht aber für § 202a eine Rolle. Hat der Täter die Daten berechtigterweise in seiner Gewalt, so sind unzulässige (weitere) Kopien unter Umständen Vertrags- oder (strafbare) Urheberrechtsverletzungen, sie erfüllen aber nicht den Tatbestand des § 202a StGB.297 § 202a greift daher ebensowenig, 294
P. Schmid, Computerhacken, S. 67. Microsoft beschäftigt gleich mehrere Dutzend Hacker, die die Verschlüsselungsmechanismen im Zusammenhang von Windows auf diese Weise „testen“. Ähnlich arbeiten sogenannte Penetrationstests. Unternehmen, etwa das Tübinger „Syss“ bieten an, testweise den „Einbruch“ zu versuchen. Mehr unter www.syss.de. Hier liegt schon ein Einverständnis vor. Die Daten sind für die „Eindringlinge“ bestimmt. Vgl. zu den technischen wie rechtlichen Fragen dazu Lippert, CR 2002, 458, 461 f. 296 P. Schmid, Computerhacken, S. 66; LK-Schünemann, § 202a Rn. 10 m. w. N. 297 LK-Schünemann, § 202a Rn. 9; a. A. Schlüchter, 2. WiKG, S. 65; ausf. zu Zweckbestimmungen bei Arbeitnehmern, entgeltlicher Nutzung, allgemein zugänglichen Daten, Bank- oder Kreditkartendaten, Geldspielautomaten, Raubkopien oder 295
B. Derzeitiges Verständnis des § 202a StGB
89
wenn Betriebsangehörige im Rahmen ihrer betrieblichen Funktion berechtigten Zugang zu für sie bestimmten Daten haben, sie diesen aber missbrauchen, indem sie etwa unberechtigt Ausdrucke der Daten herstellen und diese an Dritte weitergeben.298 In Betracht kommt dann allerdings ein Vergehen nach § 17 UWG. 5. Zusammenfassung Festzuhalten bleibt, dass Daten nicht für Dritte bestimmt sein müssen, um vom Tatbestand des § 202a StGB erfasst zu werden. Sie dürfen lediglich nicht für den Täter bestimmt sein. Für diesen sind sie dann bestimmt, wenn er Kenntnis erhalten darf. Dies ergibt sich aus dem Rechtsgut. Daraus folgt konsequent für kupierte Überlassungen: Erhält der Täter Nutzungsmöglichkeit oder Herrschaft über die Daten ohne Kenntnis erlangen zu dürfen, so sind die Daten nicht im Normsinn für ihn bestimmt. Erhält er dagegen Kenntnis der Daten, so kann er nicht tauglicher Täter sein, gleich ob Nutzungs- und Zweckbeschränkungen bestehen.
V. Tathandlung: Ausspähen von/ Verschaffen des Zugangs zu Daten 1. Begehungsweisen Während die gesetzliche Normüberschrift vom „Ausspähen“ spricht, ist nach dem Tatbestand die Tathandlung das „Zugangverschaffen“.299 Es kommt damit auf letzteren Begriff an, ohne dass er vom Gesetzgeber näher definiert worden wäre. Pönalisiert wird seit dem 41. StrÄndG nicht erst das Verschaffen der Daten, sondern schon das des Zugangs zu diesen. Die Reform intendierte dabei eine Klarstellung, nicht aber eine Verschiebung der Strafbarkeit, allenfalls eine Ausdehnung.300 Haupt- wenn nicht alleiniger Zweck war, wie eingangs erwähnt,301 die Klarstellung, dass Hacking im Sicherungskopien von Software und der umstrittenen Dekompilierung (Rückübersetzung) von Software: MüKo-Graf, § 202a Rn. 20 ff. 298 BayObLG StV 1999, S. 214 m. Anm. Kühn; Lenckner/Winkelbauer, CR 1986, 483, 486; Schlüchter, 2. WiKG, S. 64; R. Schmitz, JA 1995, 478, 482; LK-Schünemann, § 202a Rn. 10. 299 Diese Diskrepanz, die sich nach der jüngsten Reform noch vertieft hat, merken daher Gröseling/Höfinger, MMR 2007, 549, 553 kritisch an. 300 Zu Recht Ernst, NJW 2007, 2661 f. Diejenigen, die hier das Hacking bislang nicht als erfasst ansahen, müssen eine Vorverlagerung der Tathandlung annehmen und keine Klarstellung. Siehe bereits S. 26. 301 Siehe S. 26.
90
Teil 1: Rechtliche und technische Hinführung
strafbaren Bereich liegt. Das Verschaffen des Zugangs (zum „eigentlichen“ Verschaffen) ist ein potenzielles Verschaffen zumindest der Kenntnis. Der Begriff des Verschaffens ist daher nach wie vor wesentlich. Dogmatisch rückt die Tat nun noch näher an den Hausfriedensbruch. In der zeitlichen Abfolge steht zuerst das Verschaffen eines Zugangs, dann das Gebrauch machen von diesem (entsprechend dem Eindringen beim Hausfriedensbruch) und dann das Verschaffen von Daten (vergleichbar der Wegnahme beim Diebstahl). Es wurde eingangs bereits aufgezeigt, weshalb das Verschaffen des Zugangs und nicht erst das Eindringen als strafwürdig erachtet wird. Die Parallele zum Hausfriedensbruch ist damit noch näher liegend. Der Begriff des Zugangs ist dem StGB bis dato in diesem Zusammenhang fremd gewesen. Er findet sich nunmehr in § 202c und schon § 78b Abs. 5, der hier kaum weiterhelfen dürfte. Sich oder einem anderen Verschaffen heißt Herstellen der eigenen Herrschaft oder der eines Dritten.302 Verwendung fand der Teilbegriff des Verschaffens neben § 202a in den §§ 87 Abs. 1 Nr. 3, 96, 100a, 107c, 146 Abs. 1 Nr. 2, 3, 148 Abs. 1 Nr. 2, 149 Abs. 1, 152a Abs. 1 Nr. 2, 180 Abs. 1 Nr. 2, 184b Abs. 2, 4, 202, 259, 261 Abs. 2 Nr. 1, 263 Abs. 1, 263a Abs. 1, 3, 265 Abs. 1, 275 Abs. 1, 276 Abs. 1 Nr. 2 (sowie dessen gesetzlicher Überschrift), 206 Abs. 2 Nr. 1, 310 Abs. 1, 316c Abs. 4, und 323b StGB sowie § 17 UWG. Nach dem Versuch einer Definition ist ein Zugang nach dem Normsinn dann verschafft, wenn er gesichert offen steht oder jederzeit geöffnet werden kann, das heißt, wenn der sich den Zugang Verschaffende von dem Zugang jederzeit ohne Überwindung weiterer Hindernisse Gebrauch machen kann. Zwar könnte man urteilen, das Verschaffen des Zugangs zu Daten ist ein enthaltenes Minus im Verhältnis zum Verschaffen der Daten selbst, sagt doch das Verschaffen des Zugangs nichts über die Einflussmöglichkeiten auf die Daten aus. Doch war hier eine Einschränkung weder vom Gesetzgeber intendiert noch hat sie tatsächlich stattgefunden. Nach dem Telos der Norm kommt es (ohnehin nur) auf die Kenntnisnahme der Daten an. Der Zugang zu Daten ermöglicht diesen ebenso wie die möglicherweise in anderen Punkten weitergehende Herrschaft verschaffter Daten. Die Definition von Fischer, der jede technische und physische Einwirkungsmöglichkeit auf den Datenspeicher ausreichen lassen möchte,303 ist jedenfalls sehr eng und am Normzweck auszulegen. Nähme man sie wörtlich, so wäre drastisch gesprochen mittels eines Schlages mit einem Hammer, durch Anlegen von Hochspannung oder durch schlichtes Erwärmen physisch und technisch auf den Speicher eingewirkt. Dies dürfte aber kaum unter einem Zugang 302 303
Statt vieler Lackner/Kühl, § 202a Rn. 5. Fischer, § 202a Rn. 8.
B. Derzeitiges Verständnis des § 202a StGB
91
im Sinne der Norm verstanden werden, die einen Geheimbereich schützt und nicht die körperliche Integrität eines Datenspeichers. Dies erfassen §§ 303 ff. StGB. Der Zugang zu Daten kann dabei so verschafft werden, wie schon vor der Reform die Daten selbst verschafft wurden. Dabei reicht es nunmehr aus, wenn nach Vorarbeiten diese Herrschaft jederzeit hergestellt werden kann. Sie muss nicht bereits bestehen. Der Täter muss sich die Daten nicht im Normsinne verschaffen, er muss sie sich aber aufgrund seiner Vorarbeiten nunmehr jederzeit und leicht verschaffen können. Es ist zu beleuchten, auf was sich dieses „Können“, dieses Potential bezieht. Es gleicht dem ehemals als Verschaffen gefassten Herrschaft ausüben in Form der Informationserlangung. Da der Gesetzgeber das vor der Reform Geregelte erhalten und nur das Hacking zusätzlich aufnehmen wollte, lohnt ein Blick auf den Stand vor der Reform und damit auf den Begriff des Verschaffens: Verschaffen bedeutet das in die eigene Herrschaft verbringen. Aufgrund der an sich mangelnden Verkörperung von Informationen fehlt es an einem klaren Bezugspunkt der Herrschaft, wie sie etwa dem Gewahrsamsbegriff immanent ist. Es sind damit nach wie vor zwei Begehungsweisen denkbar: Die Gewahrsamserlangung über den Träger der Information als Surrogat für den mangelnden gegenständlichen Bezugspunkt einer Herrschaft sowie die Kenntnis der Daten als geistige Wahrnehmung und Aufnahme und damit Erlangung intellektueller Herrschaft. Keine Voraussetzung ist, etwa in Abgrenzung zum Diebstahl, dass der ursprüngliche Inhaber der Verfügungsgewalt an den Ursprungsdaten in irgendeiner Weise aus dieser Position verdrängt wird, davon abgesehen, dass sich seine faktische Machtposition (möglicherweise bis auf „Null“) verringert, weil er nun Herren neben sich, wenn auch nicht statt seiner hat. Es ist zu untersuchen, ob die genannten Begehungsweisen vom Begriff des Verschaffens tatsächlich umfasst werden. Die Normen, bei denen sich der Begriff des Verschaffens auf Mittel, Stoffe, Sachen, Vorrichtungen und andere Gegenstände bezieht, wie etwa § 259 StGB, können hier als Auslegungshilfe nicht herangezogen werden. Der strafrechtliche Sachbegriff ist auf körperliche Gegenstände begrenzt.304 Keine taugliche Parallele bieten auch Normen, die sich auf Vermögensvorteile beziehen, wie etwa die §§ 263 ff. StGB. Dagegen beziehen sich §§ 202 und 206 StGB auf die Verschaffung von Kenntnis, was mithin nur eine Modalität der hier genannten zwei darstellt. Ob Verschaffung bei Informationen dabei Kenntnis bedeutet 304 MüKo-Graf, § 202a Rn. 43; Jessen, Sicherung i. S. v. § 202a, S. 142; P. Schmid, Computerhacken, S. 106.
92
Teil 1: Rechtliche und technische Hinführung
oder Verfügungsgewalt ausreicht, ist aber gerade Untersuchungsgegenstand. Die im Wortsinne nächsten Normen bieten daher keinen Anhaltspunkt. § 96 StGB dagegen bezieht sich auf Verschaffung eines Geheimnisses und liegt in dieser Beziehung am nächsten. Dabei wird es als ausreichend erachtet, dass entweder Kenntnis erlangt wird oder Gewahrsam am Gegenstand, der das Geheimnis verkörpert.305 Diese sachlich nahe Norm stützt die oben dargelegte Annahme. Aufgrund des besonderen Datenbegriffs des § 202a StGB, der sowohl auf Datenträgern befindliche „verkörperte“ Daten also auch unkörperliche „fließende“ Daten umfasst, liegt ebenso § 17 Abs. 2 Nr. 1 UWG nahe.306 Nach § 17 UWG gilt, dass Kenntniserlangung oder alternativ Gewahrsamserlangung am Trägermedium ausreichen.307 Sinn und Zweck von § 17 UWG und § 202a StGB sind insofern verwandt: Die Verfügungsmöglichkeit über (materielle oder formelle) Geheimnisse soll geschützt sein. Danach meint Verschaffen das Erlangen der tatsächlichen Herrschaft über die Daten. Dies kann dabei durch Herrschaftserlangung am Quell-Datenträger als auch durch Kopie oder Aufzeichnung der gespeicherten oder übermittelten Daten geschehen. Es reicht aus, eine Kopie oder Aufzeichnung zu besitzen, ohne schon Kenntnis genommen zu haben. Daneben können Daten auch durch ihre (bloße) Kenntnisnahme verschafft werden.308 Dabei ist zu betonen, dass Kenntnisnahme reicht, ohne die Daten in der Folge „in den Händen zu halten“, also ohne eine Kopie oder Aufzeichnung zu besitzen, sondern sie lediglich wahrgenommen zu haben.309 Dabei kommt es nicht einmal darauf an, dass der Kenntnisnehmende die Daten später reproduzieren kann, also eine Quasi-Aufzeichnung in seinem Gedächtnis stattfand.310 Der Begriff des Verschaffens bezieht sich bei § 96 StGB, § 17 UWG und § 202a auf Geheimnisse. Daher ist der Begriff des Verschaffens von Geheimnissen gleich zu behandeln. Die Grundsätze der genannten Normen sind auf § 202a zu übertragen. Es sind demnach bei § 202a zwei Formen des Verschaffens möglich: Inbesitznahme der Daten durch Inbesitznahme des Datenträgers oder Verbringen der Daten auf einen eigenen Datenträger oder Kenntnisnahme der Daten.311 305 BGH bei Wagner GA 1961 143 Nr. 1 Abs. 1; Arndt, ZStW 66 (1954) S. 41, 64 f. zu § 100a Abs. 1, 2 a. F.; LK-Träger, § 96 Rn. 3. 306 MüKo-Graf, § 202a Rn. 5, meint, sie läge gar näher als die zu § 96 StGB. 307 Hefermehl/Köhler/Bornkamm-Köhler, § 17 UWG Rn. 30; Köhler/Piper-Köhler, § 17 UWG Rn. 26. 308 So auch die h. M.: MüKo-Graf, § 202a Rn. 43. Ausf. Jessen, Sicherung i. S. v. § 202a, S. 142 f. 309 Lackner/Kühl, § 202a Rn. 5. 310 MüKo-Graf, § 202a Rn. 44. 311 SK-Hoyer, § 202a Rn. 11, Lackner/Kühl, § 202a Rn. 5; LK-Schünemann, § 202a Rn. 6; Sch/Sch-Lenckner/Schittenhelm, Rn. 10; Meurer, FS Kitagawa, S. 971, 976.
B. Derzeitiges Verständnis des § 202a StGB
93
Nach der Reform gilt das hier Gesagte nach wie vor, lediglich mit der Erweiterung, dass nunmehr schon das potenzielle Verschaffen ausreicht. Verschaffen durch Kenntnisnahme war bei § 202a nur unter Überwindung der Sicherung strafbar.312 Das gilt nun ausdrücklich auch für das Verschaffen des Zugangs. Wer auf einem Monitor sichtbare Daten wahrnimmt, der verschafft sich diese313 – freilich sind diese weder besonders geschützt noch nicht-direkt-wahrnehmbar.314 Eine mögliche Kenntnisnahme, etwa durch Erlangung der Zugangsdaten (e. g. Passwort) zu den Inhaltsdaten, bedeutete und bedeutet noch kein Verschaffen, sondern ist bloße Verschaffensmöglichkeit und war damit nicht tatbestandlich. Sie ist es aber jetzt. Die Verschaffung der Kenntnis des (nicht selbst geschützten315) Passwortes ist zwar kein tatbestandliches Verschaffen von Daten.316 Sie ist aber dann Verschaffen eines Zugangs zu Daten unter Überwindung der Zugangssicherung, wenn nach Erhalt des Schlüssels auch Zugang zum Schloss, der Passwortabfrage, besteht und nach Eingabe die Daten offen stünden. 2. Problem des Verschaffens verschlüsselter Daten a) Problematik Es war vor dem 41. StrÄndG umstritten, wann verschlüsselte Daten verschafft sind. Der Gesetzgeber hat es – offenbar nach wie vor durch die zwiespältige Kryptopolitik gehindert – versäumt, diesen Streit aufzulösen.317 Wann verschlüsselte Daten verschafft oder wann der Zugang zu ihnen verschafft ist, wirft dieselben Fragen auf. Das bisher von der h. M. 312
SK-Hoyer, § 202a Rn. 13. MüKo-Graf, § 202a Rn. 45; Bühler, MDR 1987, 448, 453; Jessen, Sicherung i. S. v. § 202a, S. 143; LK/Schünemann, § 202a Rn. 6. 314 Dies gilt selbst dann, wenn die Daten von einem gesicherten Computer stammen – MüKo-Graf, § 202a Rn. 48 nach einem Beispiel von Hilgendorf, JuS 1996, 702, 705, bei dem ein Täter Daten vom Bildschirm (durch ein Fenster) abfotografiert. 315 Ist das Passwort selbst geschützt, so ist seine Verschaffung tatbestandlich. LKSchünemann, § 202a Rn. 1 ist daher zu folgen, missverstanden von SK-Hoyer, § 202a Rn. 13. Es handelt sich dabei um eine Selbstverständlichkeit, die noch nicht die Frage beantwortet, was in Bezug auf die durch dieses Passwort geschützten Daten gilt. Sind sie verschafft, wenn sie dem Zugriff „preisgegeben“ sind, oder erst, wenn der Zugriff erfolgt? Letzteres ist zu bejahen, da gesicherte Daten verschafft werden. Das Passwort in fremder unbefugter Hand ist einem falschen Schlüssel, auch im Sinne eines einem „echten aber entwidmeten“, (vgl. § 243 Abs. 1 S. 2 Nr. 1 3. Tatvariante) vergleichbar. 316 Etwa SK-Hoyer, § 202a Rn. 13; NK-Jung, § 202a Rn. 9; Sch/Sch-Lenckner/ Schittenhelm, Rn. 10. Vgl. ausf. unten, S. 118 f. 317 Vgl. auch Gröseling/Höfinger, MMR 2007, 549, 551 f. 313
94
Teil 1: Rechtliche und technische Hinführung
als ungeschriebenes Tatbestandsmerkmal angenommene Erfordernis der „Überwindung der Zugangssicherung“318 ist nun kodifiziert. Falls die Zugangssicherung allein in der Verschlüsselung liegt, so ist der Zugang zu den Daten erst dann unter Überwindung der Zugangssicherung erfolgt, wenn der Täter entschlüsselt. Dieses Erfordernis bestand allerdings schon vor der Reform (auch hier bringt diese nur eine Klarstellung bereits geregelter Materie319). In diesen Fällen brauchte und braucht der Streit, ob es für ein Verschaffen von Daten ausreicht, wenn der Täter die verschlüsselten Daten in den Händen hält, oder ob er zudem im Besitz des Schlüssels oder einer anderen konkreten Entschlüsselmöglichkeit sein muss, nicht entschieden zu werden. Ist die Verschlüsselung aber nicht die alleinige Zugangssicherung320, so muss auf den schon angerissenen Streit eingegangen werden: Es werfen sich hier nach wie vor zwei miteinander verknüpfte Probleme auf: Zunächst ergibt sich die Frage, ob man das Verschaffen von Daten oder des Zugangs zu ihnen als erfüllt ansehen kann, wenn ein Datenträger verschafft ist, auf dem verschlüsselte Daten liegen. (Dabei ist die Problematik die gleiche und es ist für sie gleichgültig, ob man auf das Verschaffen der Daten oder des Zugangs zu ihnen abstellt. Auch hier zeigt sich, dass die Reform, von der Erfassung des Hacking abgesehen, keine wesentliche praktische Bedeutung hat.321) Um die Frage zu beantworten, die Tathandlung erfüllt ist, muss geklärt werden, ob man es für das Verschaffen des Zugangs zu Daten ausreichen lassen möchte, dass Daten, selbst wenn sie verschlüsselt sind, faktisch „in den Händen gehalten“ werden, oder ob ein intellektuelles Erfassen oder zumindest die Möglichkeit dazu bestehen soll. Diese zweite Frage findet ihr Spiegelbild wiederum in der Frage, ob eine Sicherung den Zugang im Sinne eines „In-den-Händen-haltens“ verhindern muss oder ob es ausreichen soll, dass sie lediglich das Verstehen der Daten verhindert. Es soll hier nicht vorgegriffen werden, ob die Verschlüsselung eine mögliche Sicherung im Sinne des § 202a ist.322 Die aufgeworfenen Fragen hän318
Stellv. für die Literatur: MüKo-Graf, § 202a Rn. 48; Schulze-Heiming, Computerdaten, S. 83 m. w. N.; LK-Schünemann, § 202a Rn. 12 m. w. N.; ungenau Gravenreuth, NStZ 1989, 201, 204. Nach Lackner/Kühl, § 202a Rn. 5 muss die besondere Sicherung zwar nicht beim Verschaffen, aber im „weiteren Verlauf“ überwunden werden (anders noch die 24. Aufl. a. a. O., Rn. 4). 319 BT-Drs. 16/3656: „Klarstellungsfunktion“, so auch Ernst, NJW 2007, 2661; Fischer, § 202a Rn. 10a. 320 Es wäre, ohne eine vorzeitige Wertung treffen zu wollen, was denn Sicherungen seien, denkbar, dass in einem Tresor (1. Zugangssicherung) verschlüsselte (2. Zugangssicherung) Daten liegen – oder dass Daten zweifach verschlüsselt sind. 321 BT-Drs. 16/3656, S. 9; so auch schon Ernst, NJW 2007, 2661; Fischer, § 202a Rn. 10a. 322 Dazu siehe unten, S. 287 ff., dort Kap. 7.
B. Derzeitiges Verständnis des § 202a StGB
95
gen jedoch in ihrer Beantwortung eng zusammenhängen. So werden in der Literatur vor der Reform einige Punkte zum Verschaffen in Bezug auf verschlüsselte Daten diskutiert, die sich nach wie vor stellen und deren Klärung hier versucht werden soll. Dazu ist als Prämisse anzunehmen, dass die Verschlüsselung eine Sicherung im Sinne des § 202a StGB ist. Denn falls sie keine ist, so sind die Daten bzw. der Zugang zu ihnen, dies ergibt sich aus der Spiegelbildlichkeit der Frage, unabhängig von einer Verschlüsselung verschafft. Stellt man nicht auf das Verhindern der Bedeutungsebene beim Zugangsschutz ab, so wäre es inkonsequent, für ein Verschaffen der Daten bzw. des Zugangs zu ihnen das Erreichen der Bedeutungsebene zu fordern. Die Frage stellt sich also erst, wenn man die Prämisse wie hier setzt. Es besteht eine Zwischenstufe des Verschaffens des Zugangs, die zuzuordnen ist. Wird ein Datenträger verschafft, auf dem verschlüsselte Daten vorhanden sind, so ist fraglich, unter welchen weiteren Voraussetzungen der Zugang zu ihnen verschafft ist. Unproblematisches soll zunächst ausgeschlossen werden: Sind die Daten durch den Täter nicht entschlüsselt, so ist der Zugang zu ihnen keinesfalls unter Überwindung einer Sicherung verschafft, wenn nicht der Datenträger selbst vor Zugang gesichert war – dies wurde bereits oben klargestellt.323 Die Frage, ob der Zugang verschafft ist, wenn der Datenträger im Gewahrsam des Täters ist, die Daten aber verschlüsselt sind, stellt sich also erst, wenn eine erste Sicherungsschicht bereits überwunden wurde. Ansonsten kommt eine Vollendung ohnehin nicht in Betracht.324 Wird ein Datenträger unverschlüsselter Daten erlangt, so sind diese und der Zugang zu ihnen verschafft, auch wenn sie noch nicht zur Kenntnis des Täters gelangten. Es reicht, wenn sie ihm zur Verfügung stehen. Handelt es sich um verschlüsselte Daten und sie werden entschlüsselt, so sind sie unter Überwindung einer Sicherung verschafft. Es stellt sich aber die Frage, ob der Zugang zu verschlüsselten Daten verschafft ist, wenn der Datenträger verschafft wurde. Auf positive Kenntnisnahme kommt es also jedenfalls nicht an. Bei unverschlüsselten Daten ist dies so – und allein die Verschlüsselung kann hier keinen Unterschied machen. Ein potenzielles Erfassen (ob bei verschlüsselten oder unverschlüsselten Daten) reicht demnach aus und ist zugleich notwendig. Dieses potenzielle Erfassen 323 BT-Drs. 10/5058 S. 29; stellv. für die Literatur: MüKo-Graf, § 202a Rn. 48; Schulze-Heiming, Computerdaten, S. 83 m. w. N.; LK-Schünemann, § 202a Rn. 12 m. w. N.; ungenau Gravenreuth, NStZ 1989, 201, 204. Nach Lackner/Kühl, § 202a Rn. 5 muss die besondere Sicherung zwar nicht beim Verschaffen, aber im „weiteren Verlauf“ überwunden werden, (anders noch die 24. Aufl. a. a. O., Rn. 4). 324 R. Schmitz, JA 1995, 478, 483 geht ausdrücklich davon aus, dass nur durch Verschlüsselung gesichert sei. Dieser Fall ist unproblematisch: Die Daten sind (noch) nicht verschafft. Seine Aussage ist auf diese Fälle zu beschränken, dies wurde teils in der Rezeption übersehen.
96
Teil 1: Rechtliche und technische Hinführung
ist dann bei verschlüsselten Daten gegeben, wenn der Täter den Schlüssel zu diesen hat. Dann kann er potenziell auf sie zugreifen. Er hat die Daten also schon in der Gewalt und kann jederzeit Kenntnis nehmen. Zu diesem Ergebnis kommen auch einige Literaturansichten,325 die es aber teilweise ausreichen lassen wollen, wenn der Schlüssel lediglich potenziell verfügbar ist. Die Bedenken, dies erscheine als zu früh und wandele das Erfolgsdelikt zu einem Gefährdungsdelikt,326 griffen schon vormals nicht, wenn man dies eng verstand. Nach der Reform findet eine solche Ansicht, die „nur“ den Zugang zu den Daten und nicht erst das Verschaffen selbst erfasst, eine Stütze im Wortlaut. b) Ergebnis Im Ergebnis bedeutet dies (nach wie vor), dass Daten und Schlüssel dem Zugriff des Täters ausgeliefert sein müssen. Er muss den Schlüssel dabei nicht in den Händen halten, aber doch jederzeit und ohne jedes weitere Hindernis zu übertreten greifen können. Mit anderen Worten, Zugang zu verschlüsselten Daten und dem Schlüssel zu ihnen ist gleichbedeutend mit dem Zugang zu (unverschlüsselten) Daten. Dies ergibt sich daraus, dass positive Kenntnisnahme nicht erforderlich ist.327 In dem Moment, in dem dem Täter der Schlüssel und der Datenträger mit den verschlüsselten Daten zur Verfügung stehen, sind ihm die Daten preisgegeben und er kann sie sich verschaffen, ergo hat er Zugang zu ihnen.
VI. Besondere Sicherung – Auslegung nach dem derzeitigen Verständnis Eine weitere Einschränkung und damit Konkretisierung erfährt der Schutzbereich durch das Tatbestandsdesiderat der besonderen Sicherung vor 325 Freilich zum Gesetzestext vor dem 41. StrÄndG. Die Frage ist jedoch die gleiche, die Stellungnahmen daher übertragbar. MüKo-Graf, § 202a Rn. 46; Meurer in FS Kitagawa; S. 971, 976; Sch/Sch-Lenckner/Schittenhelm Rn. 10; diff. P. Schmid, Computerhacken, S. 114 ff.; anderer Ansicht Hilgendorf/Frank/Valerius, Computerstrafrecht, S. 183, Jessen, Sicherung i. S. v. § 202a, S. 144 f. 326 Zur Problematik der Vorverlegung des Strafrechtsschutzes durch Gefährdungsdelikte, vgl. insg. Jescheck (Hrsg.), Vorverlegung, S. 1 ff., insb. Weber a. a. O., S. 1 ff. 327 Vgl. die wohl h. A., vgl. MüKo-Graf, § 202a Rn. 46; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 10; SK-Hoyer, § 202a Rn. 12; ausdrücklicher Tröndle/ Fischer54, § 202a Rn. 10. Im Ergebnis ebenso Jessen, Sicherung i. S. v. § 202a, S. 144 f., der für den Fall der bloßen Kenntnisnahme verschlüsselter Informationen allerdings anders entscheidet.
B. Derzeitiges Verständnis des § 202a StGB
97
Zugang zu den Daten.328 Die Begründung dieser Sicherung ist Hauptgegenstand der Arbeit. Doch sollen sozusagen vorab in diesem Abschnitt bestehende Auslegungsprobleme dargelegt werden, so dass ein Bild von diesem Merkmal und den nach dem derzeitigen Verständnis bestehenden Problemen gezeichnet wird. An dieser Stelle kann keine originäre Auslegung nach grammatischer, historischer, systematischer und teleologischer Vorgehensweise vollzogen werden, denn die Begründung des Merkmals wurde noch nicht untersucht. Sie ist aber im wörtlichen Ursinn kritisches, d.h. unterscheidendes Merkmal der Auslegung. Denn die Begründung eines Merkmals scheidet Annahmen der Auslegung aus, die von ihr nicht gestützt werden. Die Darstellung muss sich insoweit beschränken, als lediglich der derzeitige Diskussionsstand aufgezeigt wird. Soweit sich weiterführende Literatur findet,329 Rechtsprechung gibt es ohnehin nahezu keine,330 besteht weitgehende Einigkeit über allgemeine Aussagen zur besonderen Sicherung. Die Begründungsmodi sollen kurz vorgreifend dargestellt werden, da sie der Auslegung zugrunde liegen. Die ganz herrschende Meinung, der Gesetzesbegründung in aller Regel wörtlich folgend, führt an, dass sich in der Sicherung das besondere Geheimhaltungsbedürfnis des Berechtigten zeige.331 Daraus ergibt sich folgende Konzeption: 328 Denkbar wäre auch die Forderung nach Veränderungsschutz, Kopierschutz etc. Dann wäre das Rechtsgut jedoch ein anderes. Nur der Zugangsschutz schützt vor Kenntnis und damit Lüftung des Geheimnisses. 329 Manches übergreifende Lehrbuch spart § 202a aus (Küpper, Strafrecht BT/1) oder räumt ihm und damit der besonderen Sicherung nur wenig Raum ein: Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 V 4, Rn. 77 ff., S. 321 f. widmen dem gesamten Tatbestand zwei Seiten, der besonderen Sicherung eine Randnummer, die keine näheren Ausführungen zu den hier aufgeworfenen Fragen enthält. Sie gehen dagegen näher auf die Frage ein, was geschieht, wenn die Sicherung (versehentlich) nicht in Betrieb genommen wurde (straffrei, da keine Sicherung trotz Geheimhaltungswillens) oder versehentlich in Betrieb genommen (straffrei, da zwar Sicherung, aber Einwilligung, allenfalls strafloser Versuch). Haft, Strafrecht BT/II, V., S. 101, erwähnt, Daten müssten geschützt sein, wobei das Sicherungsmittel zum Zwecke der Sicherung angewandt sein müsse. Die Dokumentationsfunktion findet keine Erwähnung. Krey/Heinrich, Strafrecht BT/I, § 6, 6. Rn. 489c. Otto, Grundkurs Strafrecht BT, § 34 VIII., Rn. 66, S. 147 erwähnt lediglich, die Daten müssten gesichert sein. Die Dokumentationsfunktion spricht er nicht an. Passwörter nennt er als mögliche Beispiele für Sicherungsmittel. Vgl. auch Wessels/Hettinger, Strafrecht BT/I, Rn. 559; Rengier, Strafrecht BT/II, § 31 IV, S. 232. Ähnliches gilt für Werke, die sich übergreifend mit Computerrecht befassen: Etwa Barton, Multimedia-Strafrecht, S. 31 f.; Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 661; Marberth-Kubicki, Computerstrafrecht, S. 44 f. 330 Dies ergibt sich aus der Literatur sowie Recherchen bei Juris. Siehe bereits eingangs der Arbeit zu den Vermutungen über die Gründe. 331 Für Nachweise s. Fn. 333, S. 98.
98
Teil 1: Rechtliche und technische Hinführung
1. Der Schutzmechanismus muss bezwecken, den Zugang zu Daten zu verhindern oder wesentlich zu erschweren. Der Zweck braucht nicht alleiniger zu sein, er darf aber auch nicht nur nebensächlich sein.332 2. Durch den Schutz muss sich das besondere Geheimhaltungsbedürfnis des Verfügungsberechtigten dokumentieren.333 – Diese herrschende Ansicht wird im Folgenden auch verkürzt als Dokumentationstheorie bezeichnet. – Andere, in erster Linie Schünemann, sehen die besondere Sicherung als viktimodogmatisch fundiert.334 Ohne auf die viktimodogmatische Begründung an dieser Stelle näher eingehen zu können,335 sei doch ihre Grundaussage vorgreifend kurz referiert. Nach ihr hat sich das Opfer zunächst um Selbstschutz zu bemühen. Dies soll etwa aus dem ultima-ratio-Gedanken folgen. Auf § 202a gemünzt soll das Opfer durch die Sicherung diesen Selbstschutz verwirklicht und sich damit den strafrechtlichen Schutz verdient haben. Daraus muss im Unterschied zur dargelegten herrschenden Ansicht folgen, dass die Zugangssicherung nicht möglichen Tätern äußerlich erkennbar sein müsste. Es müsste genügen, dass sie wirksam ist und vom Opfer verwirklicht wurde. Teilweise werden die genannten Begründungsmodi verschiedentlich kombiniert, wobei nicht immer klar wird, in welchem Verhältnis sie stehen sollen.336 Vgl. Tröndle/Fischer54, § 202a Rn. 8; Fischer, § 202a Rn. 9; MüKo-Graf, § 202a Rn. 31; Hilgendorf, JuS 1996, 702; SK-Hoyer, § 202a Rn. 9; Jessen, Sicherung i. S. v. § 202a, S. 78; Krutisch, Computerdaten, S. 105; Leicht, iur 1987, 45, 46 f.; Sch/Sch-Lenckner/Schittenhelm, § 202 a Rn. 7; LK-Schünemann, § 202a Rn. 15; Schulze-Heiming, Computerdaten, S. 66; anschaulich P. Schmid, Computerhacken, S. 73 m. w. N. 333 Vgl. insgesamt (damit der BT-Drs. 10/5058 S. 29 folgend): Binder, Ausspähen von DV, S. 52 ff.; Ernst, NJW 2003, 3233, 3236; ders. in ders (Hrsg), Hacker, Cracker & Computerviren, Rn. 240; MüKo-Graf, § 202a, Rn. 28 bis 48; Wessels/ Hettinger, Strafrecht BT/1, Rn. 559; Hilgendorf, JuS 1996, 702; ders./Frank/Valerius, Computerstrafrecht, Rn. 660; Hilgendorf/Wolf, K&R 2006, 541, 546; SKHoyer, § 202a, Rn. 8 bis 10; teilw. anders Jessen, Sicherung i. S. v. § 202a, S. 120, NK-Kargl, § 202a, Rn. 9 f.; Krutisch, Computerdaten, S. 105; Lackner/Kühl, § 202a Rn. 4; Leicht, iur 1987, 45; Sch/Sch-Lenckner/Schittenhelm, § 202a, Rn. 7,8; Lenckner/Winkelbauer, CR 1986, 483 ff.; Rengier, Strafrecht BT/II, § 31, Rn. 24; Schlüchter, 2. WiKG, S. 65; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 73 ff. 80 ff.; 86; LK-Schünemann, § 202a Rn. 14 bis 16; Schulze-Heiming, Computerdaten, S. 66 ff.; Arzt/Weber, Strafrecht BT, § 8 Rn. 58, S. 214 ff. 334 LK-Schünemann, § 202a Rn. 13. 335 Zur Viktimodogmatik siehe unten S. 321 ff., dort Kap. B. 336 Krutisch, Computerdaten, S. 104 ff., 108 ff.; Hilgendorf, JuS 1996, S. 702 ff.; Leicht, iuR 1987, 45 ff.; Lenckner/Winkelbauer, CR 1986, 483, 486; Jessen, Sicherung i. S. v. § 202a, S. 119 ff., 166. 332
B. Derzeitiges Verständnis des § 202a StGB
99
Als erste Auslegungsfrage der Dokumentationstheorie sei sogleich aufgeworfen, dass die herrschende Meinung eine generelle Kenntlichmachung jedem gegenüber diskutiert. Dass die Sicherung für den Täter selbst erkennbar sein muss, ist dagegen jedenfalls auf Vorsatzebene unverzichtbar. Handelt er nicht zumindest mit dolus eventualis auch in Bezug auf die Sicherung der Daten, so handelt er nicht vorsätzlich und damit nicht strafbar. Die herrschende Meinung sieht für sich in der Auslegung insgesamt die wesentlichen Fragen geklärt: Sie hat sich bspw. dahingehend gefestigt, dass es nicht auf absoluten Schutz ankommt.337 Anderes wäre auch sinnwidrig. Wäre der Schutz absolut, so könnte es nie zur Tatbestandsverwirklichung kommen, denn diese setzt ja gerade ein Überwinden der Sicherung voraus. Die Norm würde ad absurdum geführt. Es sind objektiv verschiedenste technische Umsetzungen von Sicherungen möglich. Die ausführlichste Aufzählung findet sich bei Graf,338 der zugleich versucht, die Sicherungen unter Oberbegriffe zu ordnen.339 Da der Gesetzgeber auf eine Einordnung verzichtet, bleibt dies(e) ohne Belang.340 Als einzelne Maßnahmen nennt Graf bspw. Eingangsschleusen, Fenstergitter, Videoüberwachung, biometrische Sicherungen, Tresore und Software Sicherungen wie das Passwort-Abfragen, Verschlüsselung und Schreib- und Leseberechtigungen. Daneben zählt er das Verstecken und die Steganographie341 auf. Entscheidend soll es dagegen auf ein Kenntlichmachen oder Dokumentieren des Geheimhaltungsinteresses ankommen.342 Dies müsse deutlich oder 337 Vgl. nur SK-Hoyer, § 202a Rn. 9; NK-Kargl, § 202a Rn. 9; LK-Schünemann, § 202a Rn. 15. 338 MüKo-Graf, § 202a Rn. 31 ff. 339 So fasst er biometrische Sicherungen schon unter den Begriff der „technischen Schutzvorrichtungen, MüKo-Graf, § 202a Rn. 34, und zusätzlich unter einem eigenen Oberbegriff „biometrische Verfahren“ (a. a. O. Rn. 36). Die biometrische Erkennung hat wiederum nur in Kombination mit einer physischen Steuerung des Zugangs Sinn. Auch dürften Fenstergitter zugleich bauliche Maßnahme, technische Schutzvorrichtung (als die sie eingeordnet sind, Rn. 34), und physische Maßnahme sein. 340 Statt vieler Tröndle/Fischer54, § 202a Rn. 8; Fischer, § 202a Rn. 9. 341 Zur Steganographie, d.h. der Technik, Daten in anderen Daten unsichtbar zu „verweben“, siehe unten S. 287 ff. (Begriffserklärung) und im Einzelnen, ab S. 299 ff., dort Kap. f). 342 LK-Schünemann § 202a Rn. 13. Lackner/Kühl, § 202a Rn. 4; Lenckner und Schittenhelm betonen ebenfalls, der Schutz brauche nicht der alleinige Zweck sein, er müsse ebenfalls das „spezielle(s) Interesse an der ‚Geheimhaltung‘ dokumentieren“ – Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7. Auch Fischer betont die Dokumentation des Geheimhaltungswillens, wenn er festhält: „Es kommt darauf an, ob die Vorrichtung [. . .] jeden Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte, Fischer, § 202a Rn. 8.
100
Teil 1: Rechtliche und technische Hinführung
unmissverständlich sein, wird teilweise unterstrichen.343 Dies stützt sich auf die Gesetzesbegründung, nach der Daten dann „besonders gesichert sind“ wenn bei ihnen „der Verfügungsberechtigte durch seine Sicherung jeweils mit weiteren Nachweisen sein Interesse an der ‚Geheimhaltung‘ dokumentiert“.344 In subjektiver Hinsicht wird vom Schützenden eine entsprechende Zweckbindung gefordert.345 Es soll nach weitgehend übereinstimmender Ansicht erforderlich, aber auch ausreichend sein, dass der Schützende den Schutz zumindest auch als Zugangsschutz meint.346 Ein Schutz, der rein reflexartig einen Zugangsschutz bedeute, so aber nie gedacht gewesen sei, sei kein Schutz im Sinne des § 202 a StGB, da er nicht das Geheimhaltungsinteresse dokumentiere.347 Als Beispiele werden Feuerschutz348 oder Reinraumschutz genannt, die zugleich faktisch aber unbezweckt Zugangshindernisse zu den Daten herstellen. Kopierschutz vor Softwarepiraterie wird daher ebensowenig erfasst.349 Damit die Dokumentation nicht fehlerhaft ist müsste streng genommen, nicht nur irgendein Zugangsschutz, sondern ein Zugangsschutz als Geheimnisschutz bezweckt sein. Eine Sicherung mag typischerweise ein Sicherungsbedürfnis widerspiegeln.350 Die Annahme, dass sie stets ein Geheimhaltebedürfnis widerspiegelt ist aber nur dann richtig, wenn die Geheimhaltung stets zumindest Mitgrund für die Sicherung ist – und wenn Sicherungen nur dann vorliegen, wenn ein Sicherungsbedürfnis gegeben ist. Die obigen Thesen (1) und (2) müssen sich zusammenfügen. Nur im geforderten Zugangsschutz kann sich das besondere Geheimhaltebedürfnis zei343
Lackner/Kühl, § 202a Rn. 4. BT-Drs 10/5058, S. 29. 345 So die h. M., vgl. Fischer, § 202a Rn. 8 ff.; MüKo-Graf, § 202a Rn. 31; Hilgendorf, JuS 1996, 702; SK-Hoyer, § 202a Rn. 9; Jessen, Sicherung i. S. v. § 202a, S. 78; Krutisch, Computerdaten, S. 105; Leicht, iur 1987, 45, 46 f.; LK-Schünemann, § 202a Rn. 15; Schulze-Heiming, Computerdaten, S. 66; anschaulich P. Schmid, Computerhacken, S. 73. 346 Stellv. Sch/Sch-Lenckner/Schittenhelm, § 202 a Rn. 7 Fischer, § 202a Rn. 8 ff.; LK-Schünemann, § 202 a Rn. 14 jew. m. w. N. 347 LK-Schünemann, § 202a Rn. 15. 348 LK-Schünemann, § 202a Rn. 15. 349 LK-Schünemann, § 202a Rn. 15; Hellmann/Beckemper, Wirtschaftsstrafrecht, Rn. 638, 648, die a. a. O. bereits vertreten, die Daten (auch die des Kopierschutzes) seien für den Täter bestimmt. Denn der Kopierschutz schütze nicht vor dem Auslesen der Daten, sondern lediglich vor dem Kopieren. Eine Strafbarkeitslücke entsteht nicht, da über § 106 UrhG in Verbindung mit § 53 Abs. 6 UrhG jede unerlaubte Vervielfältigung eines Programms für die Datenverarbeitung oder wesentlicher Teile davon unter Strafe gestellt wird. 350 Auch dies ist nicht immer der Fall. Zur Kritik s. ausf. unten, S. 164 ff., dort Kap. 3. 344
B. Derzeitiges Verständnis des § 202a StGB
101
gen. Dies zeigt sogleich die Schwäche dieser Konzeption: Zugangsschutz kann etliche Zwecke verfolgen, nicht nur den der Geheimhaltung. Denkt man dies konsequent weiter und nimmt die Voraussetzung ernst, wird erkannt, dass das Abhängigmachen eines Tatbestandsmerkmals von einer Intention des potenziellen Opfers wesentliche Probleme birgt: Es ist einer Sicherung vor Zugriff auf Daten nicht anzusehen, ob der Zugriff unterbleiben soll, damit die Geheimsphäre bewahrt wird, oder damit die Daten nicht manipuliert und zerstört (§ 303a StGB), oder sonstwie mit ihnen verfahren wird. Hatte der Inhaber bei Verriegelung seiner Daten die drohende Datenmanipulation eher als die Spionage im Sinn, kann § 202a StGB nicht erfüllt werden. Zur Kritik an der Begründung der herrschenden Meinung siehe eingehend im zweiten Teil der Arbeit, B. II. (S. 179 ff.). Folgte man dieser Konzeption, so stellte sich weiter die Frage, ob der Inhaber die Sicherung später noch umwidmen könne. Kann ein Brandschutz später auch als Geheimnisschutz gewidmet werden, beziehungsweise, kann umgekehrt ein Zugangsschutz zum Geheimnisschutz später als reiner Diebstahlsschutz gewidmet werden? Das Zugrundelegen innerer Motive des Opfers für die Strafbarkeit des Täters dürfte nicht nur im Strafprozess erhebliche (Beweis-)Probleme aufwerfen; es ist für den Täter auch vor Tatbegehung unklar, ob die Sicherung eine Sicherung im Sinne des § 202a ist. Das Sicherungssystem muss nach dem Gesetzeswortlaut weiter so angelegt sein, dass es dem Täter einen unberechtigten Zugang verwehrt. Ein bloßes Verbot reicht nach allen Ansichten nicht aus,351 dieses macht nur den Zugang zum unberechtigten. Eine Sicherung muss hinzu treten und den Zugang verwehren. Nicht erfasst sind auch Maßnahmen, die der bloßen Beweissicherung dienen, etwa der Einsatz von Videokameras.352 Allerdings brauche der Schutz nicht gegenüber allen Nicht-Berechtigten gleichermaßen seine Wirkung zu entfalten.353 Hätten zu einem gesicherten betrieblichen 351 MüKo-Graf, § 202a Rn. 31; Hilgendorf, JuS 1996, 702; vgl. NK-Kargl. § 202a Rn. 10 f.; Schmachtenberg, DuD 1998, 401; LK-Schünemann, § 202a Rn. 14; Schulze-Heiming, Computerdaten, S. 67 m. w. N. 352 Schulze-Heiming, Computerdaten, S. 67 f m. w. N. Nicht zu folgen ist MüKoGraf, § 202a Rn. 34, der Videokameras, Alarmanlagen und Bewegungsmelder erfassen will. So wie „Sicherungsetiketten“ im Kaufhaus die Ware nicht gegen Wegnahme sichern, sondern die Wiedererlangung erleichtern (und damit den Täter, der dies weiß, psychisch schon abhalten), so sichern die genannten Maßnahmen nicht vor Zugang zu Daten, sondern erleichtern die Entdeckung (und schrecken damit psychisch ab). Dabei ist nicht der Fall gemeint, dass etwa ein videokameragestütztes System über automatische Gesichtserkennung einen Zugang öffnet. Diese Fälle fasst auch Graf gesondert als biometrische Verfahren, a. a. O., Rn. 36. 353 NK-Jung, § 202 a Rn. 7; LK-Schünemann, § 202 a Rn. 15; Hilgendorf, JuS 1996, 702, 704. Zumindest differenzierend, Lenckner/Winkelbauer, CR 1986, 483,
102
Teil 1: Rechtliche und technische Hinführung
Computersystem („closed shop“354) nicht nur Personen Zutritt, für die die Daten bestimmt seien, wie etwa Reinigungskräfte und Wachpersonal, so seien diese nicht taugliche Täter, da gegenüber ihnen die Sicherung nicht wirke. Gegenüber betrieblich Externen, für die die Daten also weder bestimmt noch zugänglich sind, bleibe der Schutz jedoch technisch und rechtlich bestehen.355 Wie oben bereits angesprochen ist hoch umstritten, ob Verschlüsselung und Verstecken als Sicherungsmaßnahmen anzuerkennen sind: Beides hindert nicht den faktischen Zugang zu den Daten im engeren Sinne, weshalb manche die Verschlüsselung und das Verstecken nicht als Sicherung anerkennen möchten.356 Das Verstecken verhindert schon das Auffinden, das Verschlüsseln erst das Verstehen. Das Verstecken mag effektiv sein, bei § 243 Abs. 1 S. 2 Nr. 2 wird es aber aus gutem Grunde nicht als Sicherung gegen Wegnahme anerkannt. Es ist kaum feststellbar, ob Daten gewollt versteckt oder versehentlich an falschem Orte abgelegt wurden. Nach dem Sinn und Zweck, so argumentieren einige, müsste aber jedenfalls das Verschlüsseln, als einziger wirksamer Schutz bei Daten im Übertragungsstadium, die der Gesetzgeber ausdrücklich erfassen wollte, erfasst sein.357 Für das Verstecken müsste nach manchen dasselbe gelten.358 Die Fragen sind nicht von der Begründung des Tatbestandsmerkmals zu lösen. Ein Vorgriff wäre daher hier verfehlt. Für eine einheitliche und vertiefte Darstellung siehe daher ausführlich unten im zweiten Teil der Arbeit, A. IV. 7. (S. 287 ff.) (dort zur HiddenAttribuierung und allgemeinem Verstecken, S. 296 ff.; zur Steganographie 487; Sch/Sch-Lenckner/Schittenhelm, § 202 a Rn. 9, einräumend, dass dies vom Gesetzgeber kaum beabsichtigt sein dürfte; cf. dazu auch Jessen, Sicherung i. S. v. § 202a, S. 140 f. 354 Der Begriff des „closed shop“ leitet sich aus einem anderen Bereich her: In den Gewerkschaftskämpfen der „Thatcher-Ära“ galten Betriebe, die auf Grund von Vereinbarungen nur Gewerkschaftsmitglieder aufnahmen als „closed shop“. Dieser Begriff wurde allgemein übertragen auf Bereiche, zu denen nur bestimmte Personen Zugang haben und findet seine Verwendung bei Datensicherheitsstrukturen. 355 Vgl. ausf. Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8 f.; Schulze-Heiming, Computerdaten, S. 68; LK-Schünemann, § 202a Rn. 15 a. E.; Meurer, FS Kitagawa, S. 971, 976. 356 Bär, Computerkriminalität, Kap. 18 Rn. 78; P. Schmid, Computerhacken, S. 104, der sogleich de lege ferenda vorschlägt, die Verschlüsselung ausdrücklich aufzunehmen. Zweifelnd jedenfalls Lenckner/Winkelbauer, CR 1986, 483, 487, vgl. aber Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8. 357 Etwa Ernst, NJW 2003, 3233, 3236; Jerouschek/Kölbel, NJW 2001, 1601, 1603; Lackner/Kühl, § 202a R.n 4; ausf. Krutisch, Computerdaten, S. 116 ff.; Möhrenschlager, wistra 1986, 128; LK-Schünemann, § 202a Rn. 16 m. w. N.; SchulzeHeiming, Computerdaten, S. 74 ff.; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8; 140; Schmachtenberg, DuD 1998, 401, 402. 358 Hilgendorf, JuS 1996, 702, 703; LK-Schünemann, § 202a Rn. 16.
C. Phänomenologie der Ausspähtechniken
103
S. 299 ff.; zur Kryptographie S. 303). Zur Tathandlung des Verschaffens des Zugangs zu verschlüsselten Daten konnten dagegen schon Fragen unter Setzung von Prämissen geklärt werden, siehe dazu oben, B. V. 2. (S. 93 ff.).
C. Phänomenologie der Ausspähtechniken – Das Wechselspiel von Angriff und Abwehr Die vorliegende Arbeit hat die besondere Sicherung von Daten zum Untersuchungsgegenstand. Wie gezeigt wurde erhebt die technische Sicherung Daten beliebigen Inhalts auf ein Niveau, das der Gesetzgeber als strafrechtlich schützenswert ansieht. Für eine rechtliche Wertung des Erfordernisses der Sicherung ist zunächst das Verständnis unabdingbar, was eine Sicherung gegen Zugang tatsächlich bedeutet. Der Satz Karl Poppers, nach dem die Praxis nicht der Feind des theoretischen Wissens, sondern sein wertvollster Anreiz sei,359 muss hier in leicht abgewandelter Form für das Recht gelten, das sich in dem hier beleuchteten Feld stets neuen technisch-praktischen Herausforderungen stellen muss. Erst nach Sichtung der technischen Gegebenheiten kann erkannt werden, was der Gesetzgeber vom potenziellen Opfer an Schritten zur Dokumentation (nach der Dokumentationstheorie) oder Anstrengungen (nach der viktimodogmatischen Begründung) verlangt, um es in den Genuss des staatlich repressiven Schutzapparates zur Verteidigung seiner Rechtsgüter gelangen zu lassen. Aus auf den Täter statt das Opfer fokussierender Sicht zeigt sich ebenfalls erst dann, was der Eindringling, der Ausspähende überwinden muss, damit sich seine Ausspähtat als eine zu bestrafende erweist. Für letztere Sichtweise, dies sei der tieferen Untersuchung vorausgeschickt, wird hier plädiert. Es muss somit erklärt werden, was technische Sicherung bedeutet. Zugleich ist sie aber in sich nicht erklärbar. Ihre Bedeutung gewinnt sie erst aus ihren Bezügen. Sie schützt etwas und bezieht sich damit nach innen auf ihr Schutzgut. Und sie schützt vor etwas und bezieht sich damit nach außen auf potenzielle und zu antizipierende Angriffe.360 Die Begriffe der Ausspähens-, Angriffs-, Verschaffens- und Eindringenstechnik sollen dabei jedenfalls auf der technischen Ebene als Synonyme verwandt werden. Eingangs der Arbeit wurde der Innenbezug, das Schutzgut der Norm dargelegt. An dieser Stelle sollen nun die potenziellen Angriffe in einem eigenen, von technischen Vorgängen geprägten Abschnitt dargelegt werden. Sicherung und Angriff befinden sich in einem ständigen Wechselspiel: actio und reactio sind längst nicht mehr zu unterscheiden. Es kann von einem 359 360
Popper, Gegen die Wissenssoziologie, S. 372. Dazu Weck, CR 1986, 839 ff.
104
Teil 1: Rechtliche und technische Hinführung
wahren Aufrüstungsprozess gesprochen werden. Wer die Sicherung verstehen will, muss auch die Ausspähtechniken verstehen. Dies gilt freilich nicht erst und nur für elektronische Angriffe, sondern ist schon lange gefestigte Erkenntnis.361 Vor der Darlegung technischer Details soll kurz darauf eingegangen werden, wer aus welcher Motivation angreift. Daraus ergibt sich oft, mit welcher Technik und Hartnäckigkeit angegriffen wird. So stehen verschiedenen Tätergruppen verschiedene Ausspäh-, oder – präziser gesagt – Zugangswerkzeuge zur Verfügung – denn die Sicherung soll ja nach dem Wortlaut gegen den Zugang sichern. Auch werden militärische Geheimdienste anders vorgehen als der neugierige Ehepartner. Kenntnisse um Angreifer und ihre Motivation sind damit entscheidend, um die richtigen Sicherungsmittel entgegen zu setzen. Überblickartig werden im Anschluss die gebräuchlichsten Angriffstechniken dargestellt. Es kann dabei weder eine technisch in jedes Detail gehende, noch eine vollständige Darstellung geleistet werden. Sie würde den Rahmen sprengen, wäre rasch veraltet und ist auch nicht notwendig. Für den weiteren Fortgang ist ein allgemeines, breiteres Verständnis um technische Zusammenhänge, die Komplexität des Geschehens und die Besonderheiten der elektronischen (in Abgrenzung zur „analogen“) Datenspionage von nütze, wenn nicht gar unabdingbar. Im Anschluss an die Darstellung jeder Angriffstechnik erfolgt eine kurze rechtliche Einordnung (soweit diese ohne einen Vorgriff auf noch zu Erarbeitendes möglich ist). Auf Sicherungstechniken soll dagegen, soweit nicht zum Verständnis der Angriffe notwendig, in diesem Abschnitt allenfalls am Rande eingegangen werden. Eine Angriffs-, Sicherungs-, Gegenangriffs- und erneute Sicherungstechniken verwebende Darstellung wäre alsbald verworren. Eine ausführlichere Darstellung ausgewählter Sicherungsmechanismen folgt im Rahmen der rechtlichen Bearbeitung des Tatbestandsmerkmals der besonderen Sicherung.
I. Tätergruppen und Tatmotive 1. Tätergruppen Da viele Personen und Gruppen ein Interesse haben, Informationen über andere zu erlangen und dies auch gegen deren Abwehr durchzusetzen suchen, kann nur eine exemplarische Liste potenzieller und typischer Täter361 „Du musst deinen Feind kennen, um ihn besiegen zu können.“ Dieses Zitat wird Sun Tsu (auch Sunzi oder Sun Zu), chinesischer Philosoph und Stratege, circa 500 v. Chr., zur Zeit des Königreichs von Wu zugeschrieben. Seinem Werk, Die Kunst des Krieges, sind zahlreiche das Zitat sinngemäß wiedergebende Ausführungen zu entnehmen, vgl. die Übersetzung, Wahrhaft siegt, wer nicht kämpft, S. 36 f und S. 110 f., vgl. auch S. 18 ff., 34 f. sowie die Übersetzung Über die Kriegskunst, S. 91 ff.
C. Phänomenologie der Ausspähtechniken
105
gruppen erstellt werden. Es lassen sich vier Tätergruppen bilden, die nicht exklusiv zueinander stehen, sondern als unvollständige Aufzählung beispielhafter Gruppen aufgezeigt werden.362 Unternehmen, die, um wirtschaftliche Vorteile zu erlangen, ihre Mitbewerber (seltener Zulieferer und Abnehmer) auszuspionieren suchen.363 Teilweise bedienen sich diese Unternehmen angeheuerter „Hacker-Söldner“. Staatliche Organe, die mit militärischen, wirtschaftlichen oder politischen Zielen Zugang zu Informationen meist anderer Staaten, aber auch internationaler Organisationen, Unternehmen oder Privatpersonen suchen. Sie besitzen meist umfangreiche sachliche und personelle Mittel sowie – zumindest auf ihrem Territorium – Zugang sowohl tatsächlicher wie rechtlicher Art zu den Datenübertragungswegen. Terroristen und politisch motivierte Täter, die sich über feindliche Personen und potenzielle Angriffsziele informieren möchten. Privatpersonen, die zumeist aus bloßer Neugier oder privaten Interessen ihren persönlichen Nahbereich (der auch ein betrieblicher sein kann) ausspionieren. Sie dürften die zahlenmäßig weitaus größte Gruppe darstellen. Diese ist dabei keineswegs homogen. Unter ihr finden sich bloße Gelegenheitstäter mit geringen technischen Kenntnissen. Über etwas mehr Kenntnisse und anders liegende Motivation verfügen sogenannte Script-Kiddies („Skript-Kinderchen“). Damit werden Jugendliche bezeichnet, die mittels „Hacker-Fertigpaketen“ (Softwaresammlungen, die verschiedene Programmmodule ablaufen lassen (sog. Skripte), welche Sicherheitslöcher finden und nutzen) versuchen, in andere Rechner einzudringen.364 Eine eigene Gruppe bilden die Hacker, Cracker und Crasher, die selbstständig und mit teils hohen technischen Kenntnissen Sicherheitslöcher in Programmen suchen.365 362 Vgl. zur folgenden Einteilung insg. Pierrot in Ernst (Hrsg.): Hacker, Rz. 9. Vgl. auch Grabosky, Virtual Criminality, S. 243, der zu ganz ähnlichen Ergebnissen kommt; vgl. ebenso ausf. Wasik, Computercrime, S. 60 ff.; vgl. auch Wall, Cybercrimes and the Internet, S. 1, 4, vier Basistypen benennend: Utopisten, Cyberpunks, Cyberspione, Cyberterroristen. 363 Vgl. die interessante Untersuchung von Power, Digital Crime, S. 160 ff., 163 ff., nach der diejenigen am meisten Unternehmen ausspionieren, denen am meisten vertraut wird – die Mitarbeiter. 364 Das Skript „Satan“, ist bspw. schon 1995 erschienen. Es ermöglicht weniger versierten Nutzern den vollautomatischen „Einbruch“ in fremde Rechnersysteme. Mit wenigen Mausklicks ermöglicht es „Satan“ ganze Netze zu scannen, um dann die Schwächen angeschlossener Rechner anzuzeigen, indem rote Symbole markieren, wo ein Eindringen möglich erscheint, so Hobert, Datensicherheit, S. 59 und Fn. 169 m. w. N. 365 Zur Unterscheidung s. sehr ausf. Pierrot in Ernst (Hrsg.), Hacker, Rn. 1–80 (Hacker), 142–197 (Cracker) und 198–227 (sonstige Handlungsformen); Jessen,
106
Teil 1: Rechtliche und technische Hinführung
Dabei sind diese untereinander nach ihrer Motivation zu unterscheiden: Hacker im engeren Sinne, etwa verbunden durch den Chaos Computer Club (CCC), versuchen nach ihrem Ethos, Sicherheitslöcher zu finden, um diese frühzeitig schließen zu können oder auf Missstände hinzuweisen. Es handelt sich um einen sportlichen Wettkampf ohne weitere Interessen. Cracker und Crasher hingegen nutzen ihr Wissen, um Schaden anzurichten und Daten zu manipulieren oder weiterzuleiten. 2. Tatmotive Ebenso vielfältig wie die verschiedenen Täter sind ihre Motive. Einige Beispiele seien hier genannt: Private Neugier oder Eifersucht: „Einfache“ private Neugier als Motivation ist sicher nicht zu unterschätzen. Die Frage ist allerdings, welcher Aufwand betrieben wird, um zu ihrer Befriedigung zu gelangen. Von privater Neugier dürften alle Lebensbereiche bedroht sein. Oft reicht es aus, keine Gelegenheiten entstehen zu lassen und eine geringe Sicherheitsschwelle entgegenzusetzen. Dabei ist von privater Neugier sowohl die Motivation umfasst, Kenntnisse über andere zu erlangen als auch seine Kenntnisse an Computersystemen zu testen. Letzteres führt schon in die Motivation der Hacker über. Eifersucht ist mit privater Neugier eng verwandt, sie bezieht sich ebenfalls auf Personen im nahen, meist nächsten Umfeld. Die Motivation durch Eifersucht – und sich daraus ergebend die Bereitschaft mehr Mühen auf sich zu nehmen, um zum Ziel zu gelangen – ist jedoch regelmäßig weit höher als die einfacher, privater Neugier.366 Anerkennung und Bewunderung: Der Drang nach Anerkennung, Bewunderung, ja Hackerruhm ist eines der häufigsten Motive für technisch versierte Hacker, die ihre Tätigkeit auf der Suche nach einem spektakulären Hack oder dem Aufdecken einer erheblichen Sicherheitslücke mit sportlichem Ehrgeiz verfolgen.367 Dies zeigt sich teilweise gar in organisierten Wettbewerben.368 Sicherung i. S. v. § 202a, S. 179 ff.; Vassilaki, MMR 2006, 212, 214; vgl. auch Mühle, Hacker und Strafrecht, S. 16 ff., 21. 366 Vgl. Grabosky/Smith/Dempsey, Electronic Theft, S. 204. 367 Vgl. grundlegend Wasik, Computercrime, S. 44 ff. zitierend, das „‚getting‘ in is much more satisfying than what is discovered“. Vgl. zur aktuellen Entwicklung Vassilaki, MMR 2006, 212, 214 und Taylor, Hacktivism, S. 59 ff. Hacker, die etwa den DVD-Code „geknackt“ haben oder in das Pentagon eingedrungen sind, sind über ihre Szene hinaus berühmt geworden. Zahlreiche Bücher und einige Filme heroisieren Hacker und lehnen sich an ganz konkrete „Hacks“ an.
C. Phänomenologie der Ausspähtechniken
107
Erpressung ist sicher ein nicht zu vernachlässigender Faktor, da er hohe wirtschaftliche Schäden verursacht. Die Informationsbeschaffung ist, insbesondere bei Unternehmen, Vorbereitungshandlung für die sich anschließende Erpressung, verbunden mit der Drohung, die gewonnenen Informationen zu veröffentlichen oder an Mitbewerber weiter zu leiten. Auch Privatpersonen werden zunehmend erpresst, indem Daten in die Gewalt der Täter gebracht werden und eine Freigabe erst nach Lösegeldzahlung erfolgt.369 Industriespionage ist ein ebenfalls wirtschaftlich motiviertes Vorgehen, bei dem aber das Opfer vom Informations„abfluss“ nichts erfahren soll, sondern der wirtschaftliche Vorteil durch Verwertung der Daten bezweckt ist370. Politisch motivierte Täter wollen meist Ziele auskundschaften und Verwundbarkeiten oder Abwehrmechanismen herausfinden, um außerhalb der Computersysteme zuschlagen zu können. Teils dient die Informationsbeschaffung auch der Vorbereitung, um später das gegnerische Computersystem zu schädigen, indem dessen Daten korrumpiert werden. Krieg: Kriegerische Handlungen werden in Zukunft zunehmend als „Cyber War“ stattfinden. Dabei werden gegnerische Systeme ausspioniert, um Abläufe kennenzulernen, was dann zu elektronischer oder klassischer Kriegsführung ausgenutzt wird.
368 Teils werden sogenannte „Hacking Challenges“ organisiert, bei denen Gruppen von Hackern im Wettbewerb versuchen, in möglichst kurzer Zeit in Systeme einzudringen oder andere „Hackleistungen“ abzuliefern. „Hacking Challenges“ sind dabei nicht zu verwechseln mit „Hacking Contests“ (die Begriffe werden allerdings nicht einheitlich gebraucht), bei denen Unternehmen versuchen, ein System möglichst sicher zu konstruieren und sodann Hacker einladen, dieses zu „knacken“, um dadurch Systemschwächen zu finden. Vgl. a. Fn. 295, S. 88. 369 Die Meldungen über derartige Erpressungsfälle häufen sich zunehmend: Bachfeld, Heise-News 2006, No. 82446 (http://www.heise.de/newsticker/meldung/82446) m. w. N.; Bager, Heise-Security-News 2006, No. 72537 (http://www.heise.de/news ticker/meldung/72537) m. w. N. Sophos (Hrsg.), Ransom Trojan horse demands money with menaces, www.sophos.com, Article 4–2006; Websense (Hrsg.): Informational Alert: Cyber Extortion via Web Mail, www.websense.com, Alerts 2006, Nr. 714; Mashevsky, bei Kaspersky Labs (Hrsg.), www.viruslist.com, Eigentumsdiebstahl in Computernetzen, Teil 1, 2006, S. 1 ff. und ders. a. a. O., Eigentumsdiebstahl in Computernetzen, Teil 2, 2006, S. 1 ff. Etwas anders noch Knop, Heise-Security-News 2005, No. 63220 (http://www.heise.de/newsticker/meldung/63220) betrifft eine Ddos-Attacke Drohung m. w. N. (Alle Onlinequellen dieser Arbeit wurden am 03.01.2008 letztmalig abgefragt.) 370 Vgl. Grabosky/Smith/Dempsey, Electronic Theft, S. 203 f.
108
Teil 1: Rechtliche und technische Hinführung
II. Exemplarische Ausspähtechniken/-werkzeuge Wie gezeigt wurde, werden fremde Daten aus den verschiedensten Gründen von den verschiedensten Tätern ausgespäht. Auch die Eindringens- und Ausspähtechniken sind äußerst vielfältig. Ihnen ist dieses Kapitel gewidmet.371 Es wird ein grober Überblick über die gängigsten Ausspähtechniken gegeben, der für das allgemeine Verständnis der Datenspionage sinnvoll ist. Information in Datenform hat Eigenschaften, die sie einer besonderen Bedrohung aussetzen, so Newman und Clarke372, die den Begriff des CRAVED prägten: Sie ist gut versteckbar (concealable), leicht beweglich (removable), verfügbar (Information ist überall; available), oft wertvoll (valuable), vergnüglich (die Befriedigung der Neugier erfreut; enjoyable) und es kann sich ihrer leicht entledigt werden (disposable). Grundsätzlich können Angriffe auf allen Ebenen des Systems stattfinden.373 Die Ebene, die der Normalnutzer kennt, ist nur eine von vielen. Im elektronischen Bereich bauen etliche technische Ebenen (Layers) aufeinander auf: Von der rein maschinensprachlichen Ebene (etwa den elektrischen Kommandos zum Ausfahren des DVD-Laufwerks), über verschiedene Ebenen der Programmiersprachen (Assembler etc.) bis hin zu Funktionen auf oberster Programm- und Funktionsebene (etwa E-Mail). Insgesamt gilt, dass den meisten Nutzern nur die oberste Ebene geläufig ist, während die zugrunde liegenden Abläufe für sie im Dunkeln bleiben. Letzteres ist im digitalen Bereich (im Gegensatz zum analogen) in der erhöhten Komplexität, aber vor allem in der Unsichtbarkeit und damit dem Fehlen visuell zumindest ahnbarer Abläufe begründet. Wer ein Fahrrad beim Betrieb ansieht, wird nachvollziehen können, wie die Hauptfunktionen ablaufen. Wer einen eingeschalteten Computer öffnet, dem erschließt sich die Funktion prima vista nicht. Die meisten Angriffe erfolgen aber gerade auf tieferer Ebene. Die Kenntnis, dass die sichtbare Ebene nur eine von vielen (und meist nicht die entscheidende) ist, ist für das weitere Verständnis damit unabdingbar. 371
Dem Verfasser ist bewusst, dass eine Darstellung der technischen Gegebenheiten – von Details zu reden wäre schon verfehlt – in diesem Werk nicht geschehen kann. Es ist auch nicht dessen Zielsetzung. Auch gibt es oft Ausnahmen zu den hier genannten technischen Wirkungsweisen. Es sei nochmals betont, dass es hier nur um die Darstellung von Grundprinzipien gehen soll. Dass diese nicht stets in jeder technischen Umgebung gelten, sondern nur unter allgemeinst üblichen Bedingungen, versteht sich dadurch. Die Darstellung der technischen Gegebenheiten hat sich der weiteren Konzeption der Arbeit unterzuordnen und wird gedrängt dargestellt. 372 Newman/Clarke, Superhighway Robbery, S. 70 ff. 373 Eine Vorstellung mit abschließender tabellarischer Aufstellung von Ausspähprogrammen findet sich etwa in Borchers, c’t 15–2002, 132 ff.; vgl. auch Mühle, Hacker und Strafrecht, S. 18 f., 25 ff.
C. Phänomenologie der Ausspähtechniken
109
In groben Zügen soll dargelegt werden, welcher Bedrohung die Daten ausgesetzt sind. Damit wird verständlich, wovor geschützt werden soll und wie Sicherungen zu verstehen sind. Es werden einzelne Angriffmechanismen auf verschiedenen logischen und technischen Ebenen exemplarisch dargelegt. Die einfachste Variante ist sicherlich, einen ungesicherten Computer einzuschalten und die Daten dort auszulesen und mit ihnen so zu verfahren wie der berechtigte Nutzer. Hat der Berechtigte aber Vorkehrungen gegen das Eindringen Anderer getroffen oder kann sich der Täter dem Rechner selbst nicht körperlich nähern, so müssen andere Techniken zum Zuge kommen. In aller Regel werden Schwachstellen des gegnerischen Systems ausgenutzt, um an Daten zu gelangen. Dabei ist „System“ hier umfassend zu verstehen als bestehend aus Hard- und Software, Betriebssystem,374 Anwendungssoftware375 und speziellen Sicherheitsprogrammen376. Auch auf Datenspeicherung und -übertragung wird eingegangen. Klassische Mittel der Täuschung und Tarnung spielen ebenfalls eine nicht zu unterschätzende Rolle: Der Angreifer verbirgt auf elektronischem Wege bspw. seine Identität oder seine böswilligen Absichten, umso an nützliche (Zugangs-)Daten zu gelangen.377 Es gibt verschiedene Grundprinzipien sich Zugang zu Daten zu verschaffen: Daten können visuell ausgelesen werden, dies ist kein spezifisches Computerphänomen. Der Nutzer kann gelockt werden, Daten in einer scheinbar vertrauenswürdigen Umgebung einzugeben (vgl. Phishing378 und Pharming379), oder ihm wird ein Spionageprogramm (Spyware) oder ein anderes Programm, das weiteres Ausspähen erleichtern soll (Trapdoor380), untergeschoben (etwa mittels eines Trojaners381). Diese und andere schädliche Programme oder Funktionen, die ohne oder gegen den Willen des Nutzers – meist im Verborgenen – tätig werden, werden zusammenfassend als 374 Betriebssysteme (Operating Systems) sind Programme, die die Arbeit mit dem Computer ermöglichen. Sie verwalten die einzelnen Komponenten wie Prozessor, Ein- und Ausgabegeräte und bilden das Fundament für die eigentliche Anwendungssoftware, die auf das Betriebssystem „aufbaut“. Windows, OS2 oder Linux sind bekannte Betriebssysteme. Teilweise (insbesondere bei Windows) werden dem System automatisch Anwendungsprogramme beigefügt, was durch unternehmerische Motive begründet ist. 375 Anwendungssoftware sind die Programme, die einem unmittelbaren Nutzerzweck dienen, etwa Editoren wie Microsoft Word oder Staroffice Writer, die es erlauben Texte zu schreiben. Sie bauen auf dem jeweiligen Betriebssystem auf und sind oft auf anderen Betriebssystemen nicht lauffähig. 376 Zu Sicherheitsprogrammen siehe unten S. 181. 377 s. dazu unten unter „Man-in-the-Middle“-Taktiken, S. 149. 378 s. auch unten S. 126. 379 s. auch unten S. 130. 380 s. auch unten S. 146. 381 s. auch unten S. 137.
110
Teil 1: Rechtliche und technische Hinführung
Schadprogramme oder als Malware (Kunstwort aus malicious (bösartig) und software382) bezeichnet. Teilweise werden sie – unscharf – auch als Virus bezeichnet. Der Begriff des Virus soll hier lediglich in seiner engeren und ursprünglichen Verwendung verwendet werden. Da der Zweck von Viren nicht die Informationserlangung – weder direkt noch indirekt – ist, spielt er hier nur am Rande eine Rolle.383 Die wesentlichen Begriffe und typischen Vorgehensweisen zum elektronischen Ausspähen werden in den folgenden Abschnitten geklärt. Rechtliche Wertungen können nur getroffen werden, wo keine vertieften Kenntnisse um die besondere Sicherung vonnöten sind – denn diese sollen erst erarbeitet werden. Unter diesem Vorbehalt werden rechtliche Wertungen der Angriffstechniken getroffen, insbesondere dann, wenn Ausspähtechniken rechtliche Probleme (außerhalb der Frage um die Sicherung und ihre Überwindung) aufwerfen – sei es, weil sie aus sich heraus zutage treten oder die Literatur sie aufwirft. Rechtliche Wertungen sind möglich, wenn die dogmatische Begründung der besonderen Sicherung offensichtlich keine andere Bewertung zu bieten vermag, etwa weil die rechtliche Fragestellung in anderen Tatbestandsmerkmalen wurzelt. Es findet sich damit eine Stellungnahme im Anschluss an jede Angriffstechnik, vorbehaltlich der weiteren dogmatischen Analyse der besonderen Sicherung. Zuguterletzt sei klargestellt, dass keine Subsumtion unter die neuen §§ 202bff und dort vor allem § 202c erfolgt. Die Reform hatte zwar gerade einige der hier vorgestellten Techniken im Blick und ist auch deshalb von allen Seiten sehr kritisiert worden.384 Sie folgen internationalen385 wie na382
s. Klaeren, Viren, Würmer und Trojaner, S. 102. s. unten S. 144. 384 Siehe dazu v. a. die Zusammenfassung von Ernst, NJW 2007, 2661, weiter Cornelius, CR 2007, 682 ff.; Gröseling/Höfinger, MMR 2007, 549 ff.; dies., MMR 2007, 626 ff.; dies., MMR 2007, XXVIII ff.; Schumann, NStZ 2007, 675 ff. Der Umsetzung wird in erster Linie vorgeworfen, die begrüßenswerte Bekämpfung der Verbreitung von Ausspähsoftware erfasse kollateral zu viele nicht strafwürdige Sicherungstechnologie. In rechtstechnischer Hinsicht ist fraglich, wie verschiedentlich einsetzbarer Software angesehen werden kann, zu welchem Zweck sie geschaffen wurde. Für die Strafbarkeit des Täters ist relevant, mit welcher Absicht der Vorakt der Programmschaffung stattfand. Die Problematik ist damit mit der fremder Nachakte vergleichbar; s. dazu F.-C. Schroeder, Neuartige Absichtsdelikte, S. 92 f. Auch der weitere politische Hintergrund wird teils sehr kritisch gesehen, da zugleich staatliche elektronische Ausspähmöglichkeiten (Stichwort „elektronische Hausdurchsuchung“) massiv ausgeweitet werden sollen. Ab Winter 2006 trieb Bundesinnenminister Wolfgang Schäuble diese Interessen unter dem Stichwort elektronische Hausdurchsuchung voran, s. etwa das Interview in der Rheinische Post (RP), 23.12.2006, Nr. 301, S. 2: Van Ackeren, „Streit ist nicht schlecht“ sowie die Meldung der Associated Press (AP/Hrsg.) in der SZ, v. 27.12.06, Nr. 297, S. 5, „Schäuble will PCs beobachten“ mit Kritik vom Bundesdatenschutzbeauftragten Peter 383
C. Phänomenologie der Ausspähtechniken
111
tionalen rechtspolitischen Tendenzen und dienen der Umsetzung supranationaler Vorgaben.386 Schaar, s. auch das Interview mit Schaar in der BZ, 02.02.07, S. 8: Averesch, „Schaar lehnt generelle Internet-Überwachung ab“, sowie grundsätzlich und umfassend Böckenförde, Ermittlung im Netz, S. 1 ff. Zu Ermittlungsmaßnahmen im Internet jüngst Valerius, JR 2007, 275. Zur verdeckten „Online-Durchsuchung“ und der Unverletzlichkeit der Wohnung vgl. Kutscha, NJW 2007, 1169 ff. und Nolde, CR 2007, S. R135. Zu den technischen Möglichkeiten der Verfolgung im Netz beispielhaft Dietrich, NJW 2006, 809 f. und ausführlich Willer/Hoppen, CR 2007, 610 ff. 385 Rechtsvergleichend lohnt der Blick in die USA, die massiv durch mit Spyware begangenen Identity-Theft bedroht sind und aus denen nach wie vor die wesentlichen Impulse im Bereich der neuen Medien kommen. Die U.S.-Amerikaner versuchen – entsprechende Gesetze sind noch nicht in Kraft – Spyware mit verschiedenen „Spy Acts“ zu begegnen. Dabei soll schon das Einschleusen von Spyware als solches sowie das Sammeln und Weiterleiten von bestimmten Informationen strafbar sein. Im Vordergrund stehen die Vorhaben „Spy Act“ (Bill Number HR 29 RFS, 109th Congress), der Internet Spyware (I-SPY) Prevention Act of 2005 (Bill Number HR 744 RFS, 109th Congress) und der Enhanced Consumer Protection Against Spyware Act of 2005 (Bill Number S 1004 IS, 109th Congress). Im Vergleich zum deutschen Recht beinhalten diese Vorhaben wesentliche Einschränkungen: Zunächst sollen nur Daten von „protected computers“ geschützt sein. „Protected“ ist dabei in keiner Weise mit der besonderen Sicherung in § 202a zu verwechseln. Die Definition, auf die die Vorhaben verweisen, findet sich im „u.s.amerikanischen Computerbetrugstatbestand“, US Code Title 18, Part I, chapt. 47, § 1030. So werden „protected computers“ wie folgt definiert (Abschnitt e, 2): „the term ‚protected computer‘ means a computer (A) exclusively for the use of a financial institution or the United States Government, or, in the case of a computer not exclusively for such use, used by or for a financial institution or the United States Government and the conduct constituting the offense affects that use by or for the financial institution or the Government; or (B) which is used in interstate or foreign commerce or communication, including a computer located outside the United States that is used in a manner that affects interstate or foreign commerce or communication of the United States. Damit sind erhebliche Einschränkungen inhaltlicher Art von vornherein vorgesehen. Privat eingesetzte Computer sowie die meisten betrieblich eingesetzten Computer bleiben außen vor. Ein technischer Schutz der von der Spyware erfassbaren Daten ist nicht erforderlich – im Gegensatz zum deutschen Recht. Allerdings soll der I-Spy Act nur „persönliche Daten“ erfassen, die abschließend definiert werden als Vor- und Nachname, die elektronische oder „physikalische“ Adresse, die Telefonnummer sowie Identitätsnummern der Sozialversicherung, Steuerbehörden, der Fahrerlaubnis oder „jede staatlich zugewiesene Identifizierungsnummer“ sowie Bankkonten- oder Kreditkartennummern und Zugangsdaten zu Bankkonten und Kreditkarten (I-Spy Act, HR 744 RFS, a. a. O. Section 1030A). Damit soll die Strafbarkeit um „Finanzcomputerbetrug, Staatsgeheimnisspionage und ähnliche Taten“, wie der Regelungsbereich des § 1030 grob umschrieben werden könnte (§ 1030 erfasst den unberechtigten Zugang zu „staatlichen“ Computern so diese für die Staatssicherheit sensible Informationen enthalten(Abs. 1) sowie den Zugang zu Computern, die „Finanzdaten von Finanzinstitutionen oder einer bundesbehördlichen Institution „ und „protected computers“ wie oben dargelegt (Abs. 2)), weit in das Stadium von Vorbereitungshandlungen ausgedehnt werden.
112
Teil 1: Rechtliche und technische Hinführung
1. „Klassischer“ und moderner Passwortdiebstahl Die Kontrolle des Zugangs zu Daten, ob zum Schutz vor Ausspähung oder Manipulation, wird meist, in geradezu klassischer Weise, mittels einer Passwortabfrage umgesetzt.387 Dieser Zugangsschutz wird an späterer Stelle exemplarisch in seiner Bedeutung für die Überprüfung der Thesen der vorgebrachten Dokumentationstheorie, der viktimodogmatischen Begründung sowie anderer Begründungsmodi der besonderen Sicherung vertieft untersucht werden. Spiegelbildlich zum Schutz durch Passwortabfrage steht der Passwortdiebstahl. Ist das Passwort erlangt, so ist der Schutz, gleich wie er technisch implementiert ist, wirkungslos. Die Mechanismen zur Erlangung eines Passwortes werden nach einer Begriffsklärung an dieser Stelle dargelegt. Anschließend werden Methoden dargestellt, die das Eindringen ohne Kenntnis der Zugangscodes ermöglichen. a) Begriffsklärung Von Passwortdiebstahl zu sprechen, ist in dreifacher Hinsicht unscharf, so dass der Begriff zunächst zu präzisieren ist: Zunächst dienen Passwörter nicht nur dazu, ein Passieren (vom englischen „to pass“, vgl. auch französisch passer „vorübergehen“) zu reglementieren. Auch andere Zwecke werden verfolgt, dazu näher unten, S. 222. Der Begriff des Kennwortes, der Kennphrase oder schlicht der Kennung wäre daher treffender. Abgefragt wird, ob das Gegenüber die Schlüsselinformation kennt, die ihm weiteres erschließt. Auch der Begriffsteil Wort greift sprachlich zu kurz. In der Computertechnik wird unter Wort eine beliebige Zeichenfolge bestimmter oder beliebiger Länge verstanden, so dass auch reine Ziffernfolgen (bspw. die Bank-PIN388 oder -TAN389) und bedeutungslose Folgen von Buchstaben 386 Das Gesetz dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität 23.11.2001 (SEV Nr. 185), in Kraft getreten am 1.7.2004, und der Umsetzung des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (ABl. EU Nr. L 69 S. 67 ff.). Siehe jeweils dazu mit weiteren Nachweisen Gröseling/Höfinger, MMR 2007, 549 ff. 387 Andere Zugangskontrollen, wie das Auslesen einer Codekarte oder eines sog. USB-Dongles (eines Steckmoduls, das rein zur Zugangsgewährung an die USBSchnittstelle angeschlossen wird) oder biometrische Verfahren wie Fingerabdruckleser, Irisscanner etc. haben nicht zuletzt auch aus Kostengründen noch längst nicht diese Verbreitung erfahren. Auch ihre Sicherheit ist dabei keine absolute: Fingerabdrucksensoren können etwa mit künstlichen „Gummifingern“ überlistet werden, Matsumoto/Matsumoto/Yamada/Hoshino, DuD 2002, 464. 388 PIN steht für Persönliche Identifikationsnummer. Sie dient der Identifikation des Nutzers und kann wiederholt verwendet werden.
C. Phänomenologie der Ausspähtechniken
113
und Ziffern nebst Sonderzeichen dazu zählen. Es muss sich also um kein Wort im sprachlichen Sinn handeln. Mit dem Wissen, dass beliebige Zeichenketten gemeint sind, kann von einem Kennwort gesprochen werden. Der Unterschied von Zeichenfolgen, die aus Ziffern, Buchstaben und Sonderzeichen bestehen, und Wörtern ist dabei von großer Bedeutung, da die genannten Zeichenfolgen in ihrer Sicherheit den in Wörterbüchern vorkommenden Wörtern weit überlegen sind.390 Weiter ist der Begriff des „Diebstahls“ irreführend. Er liegt neben der Sache, es wird schließlich nichts weg genommen, sondern vielmehr vervielfältigt. Die Information über das Passwort hat nach dem sogenannten Diebstahl neben dem ursprünglichen Inhaber zusätzlich ein anderer. Dennoch hat sich der Begriff des Diebstahls eingebürgert, vergleichbar dem englischen Identity Theft.391 Siehe zur Verwendung des Diebstahlsbegriffs schon oben, S. 32. Das Ausspähen des Passwortes ist dabei allenfalls Zwischenziel, siehe auch unten, S. 229. Im Ergebnis kann der Täter nach begangener Tat gegenüber dem Computer als die Person auftreten, deren Daten er verwandt hat. Es wird in diesem Zusammenhang auch, ebenso etwas schief,392 von Impersonifizierung oder Identitätsdiebstahl gesprochen – eine 389 TAN steht für Transaktionsnummer. Sie ist nur für einen einzelnen Vorgang gültig, bspw. eine Überweisung und „verbraucht“ sich mit Eingabe. 390 Yan/Blackwell/Anderson/Grant, Security of passwords, S. 129 ff. m. w. N. Sie müssen dabei – wie diese Untersuchung ebenfalls darlegt – nicht schwerer zu memorieren sein als herkömmliche Passwörter. 391 Identity Theft beschreibt ein Vorgehen, bei dem sich Täter die Identifizierungsdaten eines Anderen nebst seinen Bankverbindungsdaten verschaffen, um auf den Namen dieses Anderen zu ihren Gunsten Waren zu bestellen oder Dienstleistungen entgegen zu nehmen. Identitätsdiebstahl ist der wohl am rasantesten steigende Kriminalitätsbereich. In der US-amerikanischen Kriminalstatistik erstmals 2004 eingeführt, wurde ein Schaden von 6,4 Mrd. Euro in diesem Jahr angenommen, U.S. Department of Justice, Identity Theft 2004 (Hrsg.), [2006] S. 5 (Hochrechnung aus den Halbjahreszahlen). Mittlerweile gilt der Identitätsdiebstahl als ernsthafte Bedrohung des internetbasierten Wirschaftsverkehrs (E-commerce), International Telecommunication Union (ITU; Hrsg.), Internet Report 2006, S. 93 ff. Der E-commerce hat mittlerweile ein erhebliches Volumen. Im Jahre 2006 betrug der Umsatz durch US-Einzelhandelsfirmen (ohne Reisen, Auktionen und Großeinkäufe der Industrie) über 100 Milliarden US-Dollar, so das US-Marktforschungsinstitut Comscore (Hrsg.) in einer Untersuchung, s. Presseerklärung vom 03.01.07: ComScore Networks Reports Total Non-Travel E-Commerce Spending Reaches $102 Billion in 2006, [2007], www.comscore.com. Vgl. zum Identity Theft auch Newman/Clarke, Superhighway Robbery, S. 183 ff. Siehe rechtsvergleichend Fn. 385, S. 111 f. 392 Die Begriffe sind unscharf und teilweise besetzt: Impersonifizierung meint auch die Möglichkeit des Anwenders, in erster Linie aber des Administrators, zwischen verschiedenen Nutzeridentitäten zulässig zu wechseln. Von Idenditätsdiebstahl (Identity Theft) wird üblicherweise erst gesprochen, wenn sich der Täter glaubhaft
114
Teil 1: Rechtliche und technische Hinführung
Analogie, die allerdings schon Shakespeare bemühte393. Der Begriff des Identitäts-furtum-usus wäre vielleicht treffender, da eine fremde Identität geführt und in diesem Sinne benutzt und vielleicht gar beschädigt wird, ohne sie aber weg zu nehmen. Präzise, jedoch umständlich wäre von Kennzeichenfolge (und dementsprechend von -abfrage (als Schutzmechanismus) und -furtum-usus (zur Überwindung)) zu sprechen. Der besseren Lesbarkeit geschuldet und der allgemeinen Verwendung folgend sowie nach obigen Präzisierungen um die Ungenauigkeiten des Begriffs der Passwortabfrage wissend, sollen in der Folge die Begriffe Passwort, Kennwort, Passphrase und Kennphrase sowie deren Abfrage und ihr Diebstahl als Synonyme verstanden und verwendet werden. b) Ablesen notierter Zugangsdaten Durch die massive Verbreitung von Zugangsdaten für die verschiedensten Bereiche sind die meisten Bürger überfordert, diese allesamt auswendig zu behalten. Daher werden PINs und andere Passphrasen oft notiert und Zugangsdaten zu Computerdaten in der Nähe des Rechners verwahrt und mehr oder minder gut, falls überhaupt, versteckt.394 Dementsprechend leicht ist es, diese Daten abzulesen, die durch einfaches Stöbern am Arbeitsplatz in Erfahrung gebracht werden können. Zur rechtlichen Wertung sei auf die für diesen Abschnitt zusammenfassende Darstellung am Ende des Abschnitts verwiesen. c) Social Engineering Unter social engineering wird in diesem Zusammenhang das Erlangen von Daten durch das „Agieren im sozialen Nahbereich“ oder (wertend) Dritten gegenüber als ein anderer ausgibt, um bspw. mit dessen Daten und auf dessen Rechnung Ware im Internet zu bestellen. Die Erlangung des Zugangs ist die Vorstufe. Passwortdiebstahl wiederum umfasst begrifflich nicht (von der Unschärfe des Begriffes „Diebstahl“ im Zusammenhang mit Datenverschaffung abgesehen) das Verschaffen der Benutzerkennung, der aber für den Zugang ebenso notwendig ist. 393 Der allerdings treffend auf die Bedeutung des „guten Namens“ hinweist. William Shakespeare, Othello, Akt III, Szene 3, „Who steals my purse, steals trash; ’tis something, nothing;//Twas mine, ’tis his, and has been slave to thousands;//But he that filches from me my good name//Robs me of that which not enriches him,//And makes me poor indeed“. 394 Pierrot in Ernst (Hrsg.), Hacker, Rn. 38 spricht daher auch von „Ablesen des gelben Klebezettels am Bildschirm“. Auch Ernst, in ders., Hacker, Rn. 243, 245 weist auf diese „häufige Nachlässigkeit“ hin.
C. Phänomenologie der Ausspähtechniken
115
„Ausnutzen typischer sozialer Handlungsweisen“, in der Regel durch Täuschung, Manipulation und schlichte Wegnahme von Informationsträgern, verstanden.395 Es handelt sich um eine Möglichkeit, bei der keine genuin computertechnischen Kenntnisse erforderlich sind. Notwendig sind soziale Fertigkeiten, um beim Opfer Vertrauen aufzubauen und es zu täuschen, damit die Informationen preisgegeben werden oder ein Zugriff möglich wird.396 Beispielsweise kann sich der Täter entweder als Administrator ausgeben, der „mal eben den Zugang überprüfen“ müsse, oder als Kollege, dessen „Zugang gerade nicht funktioniere“.397 Dabei stehen alle Möglichkeiten der persönlichen Täuschung offen, von der Vorspiegelung von Autorität, in diesem Fall auch mit Drohungen verbindbar398, über die Ausnutzung von Mitleid bis zur Vorspiegelung eigener Fehler.399 Zum social engineering wird auch das absichtliche „Vergessen und Liegenlassen“ von mit ausspähenden Keyloggern400 versehenen (und damit trojanergleichen401) Datenträgern gezählt, bei dem darauf spekuliert wird, dass der Finder den Datenträger aus Neugier ausliest und sich unbemerkt die Schadroutine installiert.402 Um der Bedrohung durch social engineering zu begegnen, wird zunächst natürlich versucht, das Passwort nicht bekannt werden zu lassen, indem misstrauisch das Verhalten anderer hinterfragt wird, das Passwort nicht notiert und niemandem ohne nachgewiesene Berechtigung mitgeteilt wird sowie fremde Datenträger nicht ausgelesen werden. Um das Schutzniveau weiter zu erhöhen, werden Passwörter regelmäßig erneuert. Dies wird am Arbeitsplatz durchgesetzt, indem ein regelmäßiges Erneuern softwareseitig erzwungen wird, dabei werden meist schon vormals benutzte Wörter nicht akzeptiert. Das möglicherweise ausgespähte Passwort wird im Moment der Auswechslung dann wertlos. Dies gilt ebenfalls für die anderen Ausspäh395
Vgl. B. Heinrich, HFR 11–2006, 5; vgl. auch Mühle, Hacker und Strafrecht,
S. 19. 396
s. zum social engineering: BSI, IT-Grundschutzhandbuch, 2005, G 5.42. Vgl. Mühle, Hacker und Strafrecht, S. 19. 398 Es kann hier außer acht bleiben, ob das Drohungs- oder das Täuschungsmoment dabei im Vordergrund steht. Für eine rechtliche Differenzierung vgl. für den Fall des Betrugs H.-L. Günther, ZStW 88 (1976), 960 ff. 399 Vgl. Brauch, c’t 17–2002, 200; Mühle, Hacker und Strafrecht, S. 19. 400 Zu Keyloggern, s. sogleich Kap. d). 401 Zu Trojanern, s. S. 137, dort Kap. f). 402 Stasiukonis, Social Engineering, S. 1: In einem Versuch wurden 20 USB-Speichersticks auf einem Firmengelände „verloren“. 15 von ihnen wurden gefunden und allesamt von diesen von den Findern ausgelesen. Dabei wurde entweder über die übliche Autostartfunktion die Schadroutine schon beim Einstecken des Gerätes installiert oder beim Durchsehen der Daten auf der Datei unbemerkt gestartet. Mittels der Schadroutine (etwa Keyloggern) können Passwörter ausgelesen und dem Spion mitgeteilt werden. 397
116
Teil 1: Rechtliche und technische Hinführung
techniken; allerdings nur in eingeschränkter Form, denn nur wenn zwischen Kennworterlangung und Zugriff eine gewisse Zeitspanne liegt, kann die regelmäßige Aktualisierung des Kennworts das Eindringen unterbinden. d) Keylogging Keylogging beschreibt einen Vorgang, der sämtliche Tastatureingaben mitnotiert und sie übermittelt. Regelmäßig werden zu Beginn der Rechnerbenutzung Benutzername und Passwort eingegeben und können so leicht aus der Datenmenge der Eingaben isoliert werden. Keylogging kann softwareseitig403 oder hardwareseitig dargestellt werden. Hardware-Keylogger werden meist zwischen Computer und Tastatur durch ein zwischengeschaltetes Modul am Kabel angeschlossen. Dabei wird entweder davon ausgegangen, dass der Nutzer die Kabelverbindung zwischen Tastatur und PC nicht regelmäßig überprüft oder das Gerät wird als Adapter getarnt und dem Nutzer gegenüber behauptet, man brauche diesen Adapter zur Verwendung. Das Gerät protokolliert somit alle Tastaturbetätigungen und speichert diese. Wenn es wieder entfernt wird (was durch den zusätzlichen Aufwand und das Entdeckungsrisiko ein Argument gegen die Verwendung durch den Hacker ist), so können die Tastaturbefehle ausgelesen werden. In öffentlichen Bibliotheken oder Internetcafés können durch Verwendung von Keyloggern innerhalb weniger Stunden etliche Benutzerkennungen verschafft werden. Dabei wird naturgemäß nicht nur der (eventuelle) Benutzername am jeweiligen Gerät aufgezeichnet, sondern ebenso bei allen benutzten Internetdiensten (bspw. Internetauktionshäuser, Onlinebanking, Internetversandhandel). Software-Keylogger sind risikoärmer für den Verwender, da kein mechanischer Ein- und Ausbauvorgang notwendig ist und kein sichtbares Gerät verwandt wird. Per Software lässt sich die gleiche Funktion generieren: Ein kleines Programm zeichnet schlicht sämtliche (oder – unauffälliger – nur die ersten hundert, weil allenfalls entscheidenden) Tastatureingaben auf und kommuniziert sie über das Internet an den Hacker404 oder lässt diese vom Täter bei Gelegenheit am Wirtsrechner direkt auslesen. Es gibt dabei verschiedene Möglichkeiten dieses Schadprogramm (Malware) auf den Zielrechner zu bringen. Bei direkter Zugangsmöglichkeit kann es selbst installiert werden. Eine andere Möglichkeit ist es, von außen in den PC ein403 Eine tabellarische Auflistung diverser Keylogger (die oft Teil eines umfassenderen Schadprogrammes sind) findet sich etwa in Borchers, c’t 15–2002, 132 ff. (Anhang). 404 Unter Verwendung von Software, die sich möglichst unbemerkt „nach draußen wählt“. s. dazu: Hobert, Datensicherheit, S. 55.
C. Phänomenologie der Ausspähtechniken
117
zudringen (siehe dazu die später beschriebenen Techniken) und insbesondere der Zielperson einen unauffälligen Dateninhalt zukommen zu lassen, der Träger eines Keyloggers ist (s. dazu unter „Trojaner“ C. II. 2. f), S. 137). e) Schlichtes Ausprobieren und Raten – Guessing Raten als Taktik baut auf der Annahme auf, dass die fragliche Zielperson als Passphrase (Zeit-)Daten oder Wörter nimmt, die ihr wichtig sind und die sie einfach memorieren kann wie ihren Mädchennamen oder Geburtstagsdaten. Dies erfordert zumindest Grundkenntnisse über die Zielperson. Zielführend (und ohne Grundkenntnisse auskommend) ist auch die Eingabe der gebräuchlichsten Passphrasen wie „xxx“; „keine Passphrase“, also sofortiges „Eingabetaste drücken“; das Passwort „Passwort“; ein oder mehrere Leerzeichen, „ “; die gängigen Folgen „1234“, „1111“, „0815“ („nullachtfünfzehn“ als „Standardzahl“405 und „4711“ (Kölnisch Wasser); der Zugangsname sowie die soeben genannten oder ähnliche „Wörter“ in umgekehrter Schreibreihenfolge, so dies möglich ist. Guessing spielt mittlerweile nur noch im persönlichen Nahbereich eine relevante Rolle und wird selbst dort zurückgedrängt, da sich Kenntnisse über sinnvolle Passphrasen verbreiten und teils softwareseitig Passphrasen nur einer bestimmten Mindestlänge, zusammengesetzt aus Zahlen und Buchstaben bei der Passphrasenwahl akzeptiert werden und eben genannte gebräuchlichste Formen nicht akzeptiert werden. f) Brute-Force/Dictionary Attack „Rohe Gewalt“, so die wörtliche Übersetzung, ist eine weitere Möglichkeit, Zugang zu erlangen. Dabei ist unter Gewalt Rechenkraft kombiniert mit Ausdauer zu verstehen. Das Vorgehen ist sehr simpel. Es werden in rasend schneller Folge zigtausende potenzielle Lösungen durchprobiert, bis die richtige gefunden ist. Schutz dagegen bietet das Unterbinden von mehrfachen Falscheingaben hintereinander oder zumindest des schnellen Eingebens mehrerer Fehlpassphrasen in Folge.406 Durch Einschub einer kurzen Pause (etwa 405 Zurückgehend auf die Bezeichnung eines weitverbreiteten Gewehrs der deutschen Armee, das MG 08/15 (Typ 08 aus dem Jahre 1915), das – Einzelheiten sind umstritten – zur Sinnbezeichnung für Normung sowie (leicht abschätzig) Mittelmaß und Gewöhnlichkeit wurde. Die Zahl 0815 wird aufgrund ihrer Geläufigkeit und damit leichten Merkbarkeit gerne als PIN verwandt, insbesondere, wenn eine vierstellige Ziffernfolge zu wählen ist. 406 So kann etwa eine Pause von einer Sekunde zwischen jede Eingabemöglichkeit geschaltet werden. Vorher wird die Eingabe nicht akzeptiert. Auch kann, wie bspw. beim Onlinebanking üblich, nach dreimaliger falscher Eingabe die elektro-
118
Teil 1: Rechtliche und technische Hinführung
eine Sekunde) zwischen den Abfragen wird die Eingabe massenhafter Daten extrem verzögert. Auch längere Passwörter erhöhen den Schutz, sind aber für sich noch nicht ausreichend, so reale Wörter eingegeben werden.407 Dieser Abwehrstrategie wird wiederum mit sogenannten Wörterbuchangriffen (dictionary attack) begegnet, bei denen Hacker Wörter (in Kombinationen) statt beliebiger Zeichenfolgen mittels einer Angriffssoftware eingeben, was die Erfolgsquote ganz beträchtlich erhöht.408 Der dictionary attack ist eine sehr wirkungsvolle und zugleich einfache und ressourcenschonende Ausspähtechnik. Diese Taktik lässt sich naturgemäß wiederum unterlaufen, wenn Passphrasen, wie bereits oben dargelegt, nicht aus Wörtern, sondern aus (scheinbar) zusammenhanglosen Zeichenfolgen zusammengesetzt werden. g) Rechtliche Wertung Das Ausspähen einer Passphrase, wenn nicht die Passphrase selbst von einer anderen Sicherung besonders gesichert ist, stellt keinen Fall des § 202a StGB a. F. wie n. F. dar. Dies gilt beim Ablesen aufnotierter Passphrasen ebenso wie beim Keylogging. Denn die Datenübertragung von der Tastatur zum PC (bzgl. Hardware-Keyloggern) und die Verarbeitung der Tastatureingaben im PC (bzgl. Software-Keyloggern) sind in aller Regel nicht besonders geschützt, sondern Teil des Schutzes.409 nische Eingabemöglichkeit gänzlich unterbunden werden. Auf einem anderen – sicheren Weg – muss dann der „Anschluss“ wieder freigegeben werden. 407 Die Erweiterung einer Passphrase um ein Zeichen verlängert dabei die benötigte Rechenzeit um die Zahl der möglichen Zeichen. Bei den Buchstaben des Alphabetes also jedesmal um ein 26 faches – vgl. zu einzelnen Passphrasenlängen und möglicher Zeichenvielfalt: ipassword (Hrsg.), www.1pw.de/brute-force.html. 408 Es ist eine bekannte Tatsache, dass die Varianz der meist verwandten Passwörter erstaunlich gering ist. Nutzer verwenden besonders gerne Namen, Orte und (Zeit)daten. Lässt man eine Software die gebräuchlichsten Personennamen des Landes, Stadtnamen und alle „Datums“angaben des letzten Jahrhunderts automatisch durchprobieren, so benötigt dies wenige Sekunden, dürfte aber eine Vielzahl von Zugängen öffnen. Schon auf einem handelsüblichen Computer können mehrere hundertausend Passwörter pro Sekunde ausprobiert werden. Bei einem Wörterbuchangriff können sämtliche denkbaren Wörter dutzender Sprachen innerhalb weniger Sekunden überprüft werden. Ein einzelnes Wort ist daher sehr unsicher. Insgesamt lässt sich – scheinbar widersprüchlich – sagen, ein Wort ist nie ein geeignetes Passwort. Geeignet sind in erster Linie Zeichenketten, in denen Buchstaben, Ziffern und Sonderzeichen vorkommen, vgl. etwa Schneier, wired, 14.12.06 – „MySpace passwords aren’t so dumb“. Zur Praktikabilität von elektronischen Sicherheitswerkzeugen vgl. Karat/Brodie/Karat, cacm 2006, No. 1, 56 ff. 409 Nur in seltensten Ausnahmen – etwa im geheimdienstlichen Bereich – wird eine Vollverschlüsselung der Daten, auch schon von der Tastatur zum PC, ange-
C. Phänomenologie der Ausspähtechniken
119
Auch das social engineering vermag den Tatbestand des § 202a nicht zu erfüllen, gleich, ob der Täter nun sein Opfer täuscht oder bestiehlt.410 § 242 (am Träger des Passworts) oder § 240 oder gar die §§ 253, 255 StGB mögen erfüllt sein. Der Täter erlangt den Zugang zu diesen Daten jedoch nicht durch Überwindung der Zugangssicherung. Dies will er sich durch die soziale Interaktion ja gerade ersparen, dass ihm die Daten so weit schutzlos ausgeliefert werden, dass er ihren Träger ergreifen kann oder sich die Daten von dem getäuschten Opfer gar geben lässt. Im Vordergrund steht die Wegnahme oder kriminelle List, nicht aber die Überwindung einer technischen Sicherung, gleich, was darunter zu verstehen ist.411 Etwas anderes könnte sich beim Ermitteln der Passphrase durch bruteforce, dictionary attack oder Erraten (guessing) ergeben. Das Ermitteln der Zugangskennung stellt in sich keine Verwirklichung des § 202a dar, da diese selbst nicht gesichert ist.412 Gerade diese „klassischen“ Hackertechniken hatte der Gesetzgeber bei der Reform im Blick. Bezüglich ihrer war vorher strittig, ob sie erfasst sind.413 Dieser Streit hat sich nun erlestrebt. Dann bleibt noch die Frage, ob Verschlüsselung besonderes Sicherungsmittel im Sinne des § 202a ist, dazu unten S. 303 ff. s. auch MüKo-Graf, § 202a, Rn. 63 der richtigerweise klarstellt, dass erst hinter einem (Passwort-)Schutz liegende weitere Passwörter (vom ersten) besonders geschützt sind. Auch Schmachtenberg, DuD 1998, 401, 402, kommt zu diesem Ergebnis. 410 So auch B. Heinrich, HFR 11–2006, 5. 411 Dabei stellt sich aus keiner Sicht, weder subjektiv aus Täter- oder Opfersicht, noch in objektiver Hinsicht, die Tat als Überwindung einer Sicherung dar. Insofern verläuft die Grenze hier klar und ist nicht von der Sichtweise oder einer Wertung abhängig, anders als etwa beim Scheinwaffenproblem des § 250 I Nr. 2 StGB, bei dem das Drohen mit einer Scheinwaffe sich für das Opfer als Drohen mit einer echten Waffe darstellt, während es objektiv nicht gefährdet ist. Vgl. hierzu aus der Rechtsprechung: BGHSt 38, 116 (Jacke ausbeulendes Plastikrohr), BGH NJW 1996, 2663 (Labello), BGH StV 1998, 77 (Schrotpatrone) sowie SK-Günther, § 250 Rn. 21–24. 412 Ebenso MüKo-Graf, § 202a Rn. 39; Hilgendorf, JuS 1996, 702, 702 f.; Schmachtenberg, DuD 1998, 401, 402; Schulze-Heiming, Computerdaten, S. 71. 413 Es wurde vorgebracht, dass faktisch zwangsläufig das Ermitteln der Zugangskennung mit der Öffnung des Sicherheitsmechanismus zusammenfällt, da die Passphrase erst durch die Akzeptanz durch die Passphrasenkontrolle erkannt werden kann. Dies bedeutet, dass erst die Schwelle der Sicherung passiert wird und dann retrospektiv erkannt werden kann, mit welchem der vielen Phrasen dies gelang. Die Phrase kann nicht – im Gegensatz zu den anderen Methoden – erkannt werden, ohne den „Verschluss“ zu öffnen. Anders als beim Ausprobieren vieler Nachschlüssel wird nicht schon erkannt, welcher Schlüssel passt, wenn sich das Schloss öffnet, sondern erst, „wenn die Tür aufschwingt“. Erfährt der Ausspähende dabei (möglicherweise gar nicht beabsichtigt, aber eben zwangsläufig) weitere Daten, und sei es bloß, wie der Begrüßungstext lautet oder der Eingangsbildschirm nach Eingabe der Passphrase aussieht, so hat er sich – durch die Passphrasenabfrage besonders geschützte – Daten verschafft. So v. a. Hilgendorf, JuS 1996, 994; Tröndle/Fischer54,
120
Teil 1: Rechtliche und technische Hinführung
digt.414 Es reicht, den Zugang zu den gesicherten Daten unter Überwindung der Sicherung zu verschaffen. Genau dies ist bei Ermittlung der Zugangskennung geschehen. Nachdem mittlerweile das Hacking nach dem eindeutigen Willen des Gesetzgebers erfasst ist, stellt sich hier auch nicht mehr die Frage nach einer teleologischen Reduktion. 2. Durch die technische Infrastruktur des Internet ermöglichte Techniken Während die eben genannten Techniken grundsätzlich ohne die Nutzung des Internet angewandt werden können, bauen die folgenden Techniken jedenfalls in wesentlichen Varianten auf der Architektur des Internet auf.415 Diese Architektur soll knapp exkursorisch dargelegt werden, um ein Verstehen der Ausspähtechniken, die sich die technischen Gegebenheiten zu nutze machen, zu fördern. Im Anschluss werden einzelne Angriffsmechanismen, die über das Internet Anwendung finden, exemplarisch dargestellt. Einzelne Angriffsarten werden dabei oft kombiniert. Begrifflich sind daher genaue Grenzen teils schwer zu ziehen. Es soll in erster Linie gezeigt werden, auf welch mannigfaltige Art und Weise internetbasierte Spionagetätigkeit möglich ist. a) Historie des Internet und ihre Auswirkungen auf die heutige Sicherheitsarchitektur Bezüglich des Internet von Sicherheitsarchitektur in einem umfassenden Sinn zu sprechen mutet ironisch, wenn nicht gar paradox an. Zwar war Sicherheit ein wichtiges Anliegen bei der Schaffung der Vorläufer des Internet, auf die es auch heute noch aufbaut. Allerdings lag ein sehr einseitiges § 202a Rn. 11; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 10; NK-Kargl, § 202a Rn. 13; SK-Hoyer, § 202a Rn. 13; LK-Schünemann, § 202a Rn. 1. Es ließe sich in diesen Fällen vor der Reform an eine teleologische Reduktion denken, die solche Fälle, bei denen Daten nur mit dolus eventualis erlangt wurden, ausschied. Die gesetzgeberische Intention der Straffreiheit des Hacking betonend Lenckner/Winkelbauer CR 1986, 488; Volesky, CR 1991, 553; Sieber, CR 1995, 103; Dannecker, BB 1996, 1285 ff. 414 Ernst, NJW 2007, 2661 ff. 415 Das Keylogging selbst ist „internetunabhängig“. Ein Hardware-Keylogger hat naturgemäß wenig mit dem Internet zu tun. Software-Keylogger arbeiten aber ebenso unabhängig vom Internet in ihrer Grundfunktion, dem Aufzeichnen der Tastatureingaben. Lediglich die Art und Weise, wie sie auf den Computer gelangen, beziehungsweise, wie sie die gesammelten Daten ihrem „Herrn“ übermitteln ist oft (auch nicht zwingend) internetbasiert.
C. Phänomenologie der Ausspähtechniken
121
und vollkommen anderes Sicherheitsverständnis als das heute verbreitete zugrunde. Unter dem Namen Arpanet („Advanced Research Project Agency Net“) entstand der Vorläufer des heutigen Netzes als Datenaustauschsystem zwischen Universitäten.416 Aus diesem sollte sich später das heute bekannte Internet („Interconnected Networks“) entwickeln. Ziel des Arpanet war es, getrennte Computerressourcen zu bündeln und einen Informationsaustausch zwischen den Rechenzentren vierer amerikanischer Universitäten zu gewährleisten.417 Es handelte sich also um eine Verbindung, bei der die Mitglieder einander organisatorisch schon verbunden waren und gegenseitiges Vertrauen bestand. Es herrscht Streit, über fons et origo des Internet, insbesondere in Bezug darauf, ob das Internet schon ursprünglich maßgeblich vom Militär entwickelt und als ausfallsichere Nachrichtenverbindung für den Fall eines Atomkriegs konzipiert wurde oder ob die entstandene Struktur sich aus anderen Gründen bildete und das Militär dies lediglich aufgriff und fortführte.418 Erstere These sei eine hartnäckige „moderne Mär“, so einige bedeutende Stimmen, die sich mit der Historie näher auseinandersetzen.419 Im Ergebnis hatten weder das Militär noch die Universitäten ein Interesse an einer Sicherheitsarchitektur, wie sie heute benötigt wird. Dabei ist die bestehende Architektur nicht zwingend, Alternativen wurden jedoch verworfen.420 Ziel der Universitäten war, zwei Prinzipien, die einander zu widersprechen scheinen, zu vereinen: Konzentration und Verteilung von Forschungsressourcen. Es sollte nicht an einem Ort geforscht werden. Und doch sollten Ergebnisse zusammengeführt werden und Ressourcen geballt wirken. Die Vorteile dieser Prinzipien, auf Ressourcen bezogen, liegen auf der Hand. Schon Thomas Hobbes erkannte, dass vorhandene und verteilte Ressourcen Grundlage der Wohlstandsförderung waren: „The Nutrition of a Commonwealth consisteth, in the Plenty, and the Distribution of Materials, Condusive to Life“.421 416 Haft/Eisele, JuS 2001, 112 f.; Kloepfer, Informationsrecht, § 1 Rn. 9; Mühle, Hacker und Strafrecht, S. 39. 417 Böckenförde, Ermittlung im Netz, S. 4. 418 So Hobert, Datensicherheit, S. 34, Barton, Multimedia-Strafrecht, Rn. 51 f. m. w. N. zu Vertretern dieser Ansicht. 419 So wörtlich Böckenförde, Ermittlung im Netz, S. 3 f. Auch Klaeren (in Viren, Würmer und Trojaner, S. 81 f.) widerspricht dem ausdrücklich. Er weist daraufhin, dass die Ursache „viel profaner“ sei: Die Telefonleitungen und Infrastrukuren seien technisch so unzuverlässig gewesen, dass nur eine dezentrale, dynamisch jederzeit änderbare Struktur sinnvoll erschien. 420 Insbesondere IBM und Novell legten Alternativen dar, die jedoch aus Kostengründen nicht aufgegriffen wurden. 421 Vgl. Hobbes, Leviathan, Kap. XXIV. Zwar ging es Hobbes weniger um die logistischen Probleme der verteilten oder konzentrierten Ressourcennutzung, als
122
Teil 1: Rechtliche und technische Hinführung
Der Preis der Verteilung ist jedoch grundsätzlich, dass nicht immer die notwendige Ressource am richtigen Ort ist und konzentrierte, um nicht zu sagen konzertierte Nutzung schwer möglich ist. Die Konzentration dagegen führt Ressourcen zusammen und ermöglicht eine geballte Nutzung, die mehr ist als die Summe der einzelnen Teile und somit oftmals effektiver und effizienter ist. Mittels Vernetzung wird versucht, gleichzeitig die größtmöglichen Vorteile der Verteilung und der Konzentration zu erhalten. Die durch Vernetzung entstehenden Kosten sind die Transaktions- oder Verbindungskosten. Ressourcen, sowohl was menschlich-geistige Arbeit als auch – viel einfacher – reine Computerrechenkapazität betrifft, können durch Vernetzung unabhängig von ihrer physischen Lokalität abgerufen werden. Die Verbindungskosten sind bei digitalen Netzen durch geringe Kosten für Verbindungskapazität und unterstützt durch digitale Kompression sowie sich dynamisch anpassende Kommunikation verschwindend gering. Der Vorteil gegenüber der Nutzung bestehender Strukturen ist damit ganz erheblich. Es bestand erstmalig durch digitale Verknüpfung und Vernetzung die Möglichkeit, Konzentration und Verteilung gleichzeitig zu verwirklichen. Dies stellt die durch geringe Übertragungskosten ermöglichte Innovation des Internet dar.422 Während über den militärischen Anteil an der Entwicklung Streit herrscht, besteht Einigkeit über die Eigenarten und Stärken des Internet und dessen Vorgänger, des Arpanet:423 Das Arpanet baute auf Paketvermittlung auf, wie sie auch heute im Internet und Mobilfunk sowie anderen digitalen vielmehr um soziale Bezüge und Eigentumszuordnung. Er begründet die Vorteile der (Eigentums-)Verteilung jedoch u. a. mit effektiverer Nutzung, was wiederum zur Steigerung der allgemeinen Wohlfahrt beitrage. 422 Auch das „Requiem auf das Arpanet“ von Vinton Cerf, der zusammen mit Robert Kahn das noch heute dem Internet zugrunde liegende Internet-Protokoll TCP/IP (Zur Bedeutung dieser Protokolle s. Barton, Multimedia-Strafrecht, Rn. 62 ff.) entwickelte, verdeutlicht dieses leicht naiv-utopistische Konzept: Like distant islands sundered by the sea,/we had no sense of one community./ We lived and worked apart and rarely knew/that others searched with us for knowledge, too . . . .//But could these new resources not be shared?/Let links be built; machines and men be paired!/Let distance be no barrier!/They set that goal: design and built the ARPANET! – V. Cerf: „Requiem for the ARPANET“. 423 In der Tat, und das wird auch von den Gegnern der „militärisch motivierten Architektur“ betont, entstand die ARPA (Advanced Research Projects Agency – heute DARPA für Defense Advanced Research Projects Agency) in Reaktion auf die Erfolge der Russen im Weltraum, als diese den ersten Satelliten – Sputnik 1 – ins Weltall brachten, den sogenannten Sputnik-Schock. Dennoch sei die Vernetzung der Universitäten nur zur Erhöhung deren Forschungsleistungen gedacht. Vgl. zum Arpanet: Böckenförde, Ermittlung im Netz, S. 3 f.; Klaeren, Viren, Würmer und Trojaner, S. 79 ff.; Hobert, Datensicherheit, S. 29 ff.; Kloepfer, Informationsrecht, § 1 Rn. 9.
C. Phänomenologie der Ausspähtechniken
123
Übertragungen üblich ist. Im Gegensatz zum herkömmlichen Telefonsystem, bei dem eine durchgeschaltete Leitung zwischen den Teilnehmern diesen exklusiv zur Verfügung steht und während Ruhepausen Übertragungskapazität (Bandbreite) ungenutzt bleibt, folgt die Übertragung im Internet einem anderen Weg. Bei der Paketvermittlung werden die Signale in einzelne sogenannte Pakete unterteilt.424 Diese werden adressiert und dann einzeln auf die Reise geschickt. Dabei werden die Leitungen bestmöglich ausgenutzt und Pakete verschiedenster Verbindungen reihen sich hintereinander in die gleichen physischen Leitungen, während zugleich die Pakete der gleichen finalen Verbindung unterschiedliche physische Wege nehmen können.425 Je nachdem, in welcher Leitung Kapazität frei ist, werden die Pakete verschickt.426 Die Pakete folgen dabei keiner festgelegten Route, sondern „hangeln“ sich mitunter über viele Einzelstationen bis zum Empfänger „durch“.427 Dadurch ist gewährleistet, dass selbst bei Ausfall wichtiger Knotenpunkte die Informationen ankommen, sofern gleich über wieviele Verbindungspunkte noch eine Verbindung besteht. Es ist lediglich eine Frage der Zeit.428 Am Ende kommen sie allesamt bei ihrem Adressaten an, werden in die richtige Reihenfolge sortiert und zusammengesetzt. Das Ganze geschieht so rasch, dass selbst bei der Übertragung des gesprochenen Wortes dieses ohne merkliche Verzögerung in üblicher Telefonqualität und duplex kommuniziert wird. Je nach Bandbreite sind so auch Videokonferenzen möglich. Auf der Anwenderoberfläche besteht kein Unterschied zu einer Verbindung über eine einzige stehende Leitung. Die Eigenarten dieses Netzes, die teilvermaschte Netztopologie und Paketvermittlung, sind maßgebliche Kennzeichen des Internet. Ob das Militär 424 Klaeren, Viren, Würmer und Trojaner, S. 81 f.; Kloepfer, Informationsrecht, § 1 Rn. 9; Barton, Multimedia-Strafrecht, Rn. 55 ff. 425 Mühle, Hacker und Strafrecht, S. 39 f. 426 Barton, Multimedia-Strafrecht, Rn. 55. 427 Barton, Multimedia-Strafrecht, Rn. 55. Dabei kann es sehr wohl geschehen, dass eine E-Mail von München nach Hamburg teilweise über Glasfaserkabel und teilweise über Satellit kommuniziert wird, je nachdem, welche unterschiedlichen Wege die einzelnen „Pakete“ wählen. Solch eine „nationale“ Verbindung kann dabei leicht auch „international“ werden, wenn die E-Mail von München über Satellit nach London kommuniziert wird und von dort über das Seeglasfaserkabel nach Hamburg. 428 Man kann sich diese Verbindungen wie das Straßennetz vorstellen. Entstanden aus einfachen Trampelpfaden (einfachen Telefonverbindungen mit Übertragungskapazitäten mit 56 kBd (1 Bd (sprich engl. „Baud“) = 1 Bit pro Sekunde) kamen später immer stärker ausgebaute Straßen hinzu mit höherer Kapazität bis zu Autobahnen (sogenannte Backbones oder umgangssprachlich: „Datenhighways“). Fallen nun Autobahnen aus, so gelangt man immer noch von A nach B, solange durchgehende Verbindungen über irgendeine (Landstraßen, Feldwege) Route bestehen.
124
Teil 1: Rechtliche und technische Hinführung
die Möglichkeiten eines dezentralen Informationssystems dieser Art erkannte oder selber mit initiierte, kann dahinstehen. Es kam ihm lediglich auf eine Sicherheit an, die es in dieser Form gewährleistet sah: Informationen werden mit einer Zieladresse abgeschickt. Dabei „sucht sich“ das Informationspaket den Weg zum Empfänger über alle anderen Netzteilnehmer „selbst“, das Netz braucht nicht geplant organisiert zu sein.429 Es gibt also weder eine zentrale Steuereinheit, noch notwendige Verbindungswege, die militärisch verwundbar sind. Ist der Zielrechner über irgendeine Verbindung auf noch so verschlungenem Wege mit dem Absenderechner verbunden, so erhält er Zugang zur Information.430 So war und ist sichergestellt, dass, und selbst dann, wenn große Teile des Kommunikationssystems (etwa im Falle eines Atomschlages) zerstört sind, selbst wenn gar der Absender direkt nach dem Absenden zerstört ist, die Information „selbst ihren Weg findet“. Dabei ist die Zahl der vermittelnden Zwischenstationen geringer, als sich auf den ersten Blick vermuten ließe.431 Die gleichen Aspekte zur Ausfallsicherheit gelten auch im Universitätsbereich, in dem „niemand weiß, wann welche Rechner eigentlich in Betrieb sind und wann nicht“. Eine zielgerichtete Organisation wäre angesichts der Varianz der Informations- und Kommunikationswünsche nicht praktikabel. Ohne Zweifel haben erst die Universitäten und später private Nutzer das Internet zu seiner heutigen Bedeutung geführt. 429
Barton, Multimedia-Strafrecht, Rn. 55. Kloepfer, Informationsrecht, § 1 Rn. 9; Barton, Multimedia-Strafrecht, Rn. 55. 431 Es gilt bei Verknüpfungen über das Internet ähnliches wie in Sozialwissenschaftlichen Studien zur Verknüpfung von beliebigen realen Personen über ihnen bekannte Dritte. Es sind erstaunlich wenig Zwischenglieder erforderlich. Studien der Columbia University in New York haben dies gezeigt. In den sechziger Jahren entwickelte der Sozialpsychologe Stanley Milgram die Small-World-Hypothese, nach der jeder Mensch über durchschnittlich sechs Personen mit jedem anderen Menschen bekannt ist; Milgram, Psychology Today 1967, Vol. 2, 60 ff., Korte/Milgram, Journal of Personality and Social Psychology, 1970, Vol. 2, 101 ff., vgl. auch den mathematischen Ansatz von Pool/Kochen, Social Networks 1978, Vol. 1, 5 ff. Mit dem Aufkommen des Internets und den damit einhergehenden veränderten Kommunikationsformen galt es, diese These zu überprüfen. Das Ergebnis: Eine Forschergruppe um den Soziologen Watts bestätigte die Gültigkeit der Small-WorldHypothese für die Welt der medialen Kommunikation. Experimente zeigten, dass ein E-Mail-Kettenbrief nach durchschnittlich sechs Weiterleitungen wieder im Postfach des ursprünglichen Absenders landet. Dodds/Muhamad/Watts, Science 2003, 827 ff. und vergleiche für allgemeine, nicht unbedingt soziale Netze: Watts/Strogatz, Nature 1998 (Vol 393), 440 ff. Diese Erkenntnisse lassen sich zwar nur beschränkt auf die erstmalige Übermittlung von E-Mails übertragen, zeigen aber doch, dass selbst bei Ausfall schnell übermittelnder direkter Hauptrouten ein Durchvermitteln über sich kennende und verbundene Stationen mit wenig Zwischenstationen möglich ist. 430
C. Phänomenologie der Ausspähtechniken
125
Aus dieser Historie erklärt sich die „Sicherheitsarchitektur“ des Internet: Das Internet bietet äußerst zuverlässige Verbindungen, selbst wenn viele Verbindungsglieder des Netzes ausfallen. Das Internet ist also ein äußerst sicheres Telekommunikationsmedium, wenn es darum geht, Daten im Sinne einer hohen Wahrscheinlichkeit ans Ziel zu führen. Dagegen besteht nur eine äußerst eingeschränkte Integritäts- oder Abhörsicherheit bei der Datenübertragung. Diese spielte keine oder nur eine sehr untergeordnete Rolle bei der Schaffung des Netzes. Die Teilnehmer vertrauten einander, gegenseitige Kontrolle war nicht vorgesehen und erschien als unnötig. Schließlich waren am Anfang nur befreundete Universitäten miteinander verbunden. Das Militär schützte seine Übertragungen auf andere Weise.432 Die weitere Entwicklung war nicht absehbar, so dass keine Maßnahmen zum Integritätsschutz und der Abhörsicherheit implementiert wurden, obwohl dies möglich gewesen wäre. Dass diese Konzeption von heutigen Problemen noch nichts wusste und eine erste Verknüpfung verschiedener Universitätsnetze „das höchste der Gefühle“ war, zeigen die Quellen der „Erfinder“ des Internet.433 In der Folge entstand aus diesem kleinen Netz von Universitäten, die meist an militärischer Forschung beteiligt waren434, und militärischen Einrichtungen nach und nach das Internet. Verschiedene technische Neuerungen machten es auch für andere Nutzerkreise populär. In der weiteren Entwicklung wurden zusätzliche sogenannte Dienste des Internet geschaffen:435 der E-Mail-Versand (1972)436, die Übertragung großer Datenmengen per FTP (file transfer protocol, 1973)437, das Informationsaustauschsystem Usenet,438 das „telecommunications network“ (telnet),439 das die Fernsteuerung von Rechnern ermöglicht und natürlich das „world wide web“ (www)440, das irrtümlich oft mit dem Internet gleichgesetzt wird. Das world wide web verhalf dem Internet zum Durchbruch und ungebrochener Popularität für die Nutzung durch breite Bevölkerungs432 Hierunter ist vor allem Verschlüsselung und Codierung im weitesten Sinne zu verstehen. 433 Leiner/Cerf/Clark/Kahn/Kleinrock/Lynch/Postel/Roberts/Wolff, A Brief History of the Internet, Vers. 3.32. Reston, Geneva: The Internet Society, www.isoc. org/internet/history/brief.shtml, 2003. 434 Mühle, Hacker und Strafrecht, S. 39. 435 Vgl. zu den hier genannten und anderen Mühle, Hacker und Strafrecht, S. 42 ff.; Vetter, Internetkriminalität, S. 15 ff., 20 ff. 436 Jahresangaben aus Klaeren, Viren, Würmer und Trojaner, S. 82. Zu E-Mail s. Barton, Multimedia-Strafrecht, Rn. 70. 437 Zum FTP: Barton, Multimedia-Strafrecht, Rn. 74. 438 Dazu: Barton, Multimedia-Strafrecht, Rn. 66. 439 Vgl. dazu Mühle, Hacker und Strafrecht, S. 42. 440 s. zu dessen Historie Kloepfer, Informationsrecht, § 1 Rn. 10 m. w. N. sowie Barton, Multimedia-Strafrecht, Rn. 71.
126
Teil 1: Rechtliche und technische Hinführung
schichten; es ist aber nur einer unter vielen Diensten, die das Internet bereithält. Sein Ziel ist, dem Nutzer mittels eines Browsers441 Inhalte grafisch aufbereitet zur Information auf dessen Bildschirm (teils interaktiv) darzustellen. Festzuhalten ist, dass das Internet und die ihm zugrunde liegenden Regeln des Datenaustausches (sog. Protokolle) in ihrem Ursprung keinerlei Schutz vor Manipulation, Identitätsverschleierung oder -vorspiegelung442 sowie vor dem Eindringen in fremde Rechner vorsahen. Dementsprechend weist auch das BSI443 zu Recht darauf hin, dass der Vergleich von E-Mail mit der Briefpost hinke. Der Vergleich zum Postkartenversand sei treffender, da die E-Mails in jedem Moment der Übertragung gelesen werden können.444 Dies war in der Grundkonzeption, zu Gunsten größtmöglicher Wahrscheinlichkeit der Informationsübermittlung überhaupt, schlicht nicht beachtet worden. Da die späteren Dienste auf diesen Grundstrukturen445 aufbauen, kämpfen wir mit den Folgen dieser Grundkonzeption noch heute. Verschiedenste Sicherheitslücken lassen sich nutzen, die in der Folge dargestellt werden. b) Phishing Eine mit dem social engineering (s. o.) verwandte, aber aufgrund ihres massiven Erscheinens446 unterscheidbare Methode, bietet das sogenannte Phishing.447 Dieses Kunstwort setzt sich aus dem englischen Password und Fishing zusammen.448 An E-Mail-Adressen (die „maschinell erraten“ oder anderweitig gesammelt wurden) werden E-Mails gesandt, bei denen der Tä441 Browser, zu deutsch etwa Stöberer, Blätterer ist ein Programm, das den Zugang zum Internet erleichtert, indem es die Eingabe von alphanumerischen Ziffernfolgen (Domainnamen) wie etwa ww.uni-tuebingen.de zulässt und in die tatsächlich zugewiesene Ziffernfolge, die sog. IP-Adresse, umsetzt. Der Browser führt weiter die Seitendarstellung und ihre Funktionen wie links, bewegte Bilder etc. aus. Bekannte Browser sind der Internet Explorer von Microsoft, Opera und Firefox. 442 Daraus resultiert, dass man bis heute „nicht sicher sein (kann), dass die Kommunikationspartner wirklich die sind, die sie zu sein vorgeben“, so Roßnagel/Banzhaf/Grimm, E-Commerce, S. 27. 443 Das Bundesamt für Sicherheit in der Informationstechnik, siehe www.bsi.de. 444 BSI, IT-Grundschutzhandbuch, 2005, G 5.7. 445 Man spricht hier von Schichten (layers) des Internet, vgl. Barton, MultimediaStrafrecht, Rn. 63. 446 Statistische Erhebungen bietet etwa http://www.phishtank.com/stats.php. 447 Vgl. ausf. zur Vorgehensweise und rechtlichen Wertung Stuckenberg, ZStW 118 (2006), 878 ff. 448 Zur Etymologie s. Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 760; Popp, MMR 2006, 84; a. A. Gercke, CR 2005, 606.
C. Phänomenologie der Ausspähtechniken
127
ter sich z. B. als eine Bank ausgibt. Unter einer Ausrede, etwa dass zur Sicherheit die Zugangsdaten des Nutzers überprüft werden müssten, wird dieser aufgefordert, seine Zugangsdaten nebst PIN449 und TANs450 zu übermitteln – so sollen Passwörter „gefischt“ werden. In der zweiten Generation451 des Phishing wurden Nutzer nicht direkt zur Übermittlung aufgefordert, sondern dazu, auf eine Internetseite zu gehen (der weblink wird zum anklicken angegeben), um dort die Daten einzugeben. Diese Internetseite wird dabei möglichst präzise der echten Seite der Bank nachempfunden, so dass der Nutzer verleitet ist, etwaige Zweifel fahren zu lassen und sich auf der vertrauenswürdigen Seite seiner Bank zu wähnen. Dabei ist es möglich, in der Adresszeile des Browsers452 die Täuschung dergestalt aufrechtzuerhalten, dass hier die Adresse der echten Bank erscheint, obwohl der Nutzer sich nicht auf dieser Seite befindet.453 Auf dieser Seite wird dann eine Eingabemaske bereitgestellt, in die der Nutzer seine Kennungsdaten unter Angabe eines vorgeschobenen Grundes eingeben soll.454 Die technische Vor449
s. Fn. 388, S. 112. s. Fn. 389, S. 113. 451 s. etwa Roth, Von Phishern und Jägern, Telepolis (TP) 16.11.2006, Art. 23964 (http://www.heise.de/tp/r4/artikel/23/23964/1.html). Auch das BKA weist regelmäßig auf aktuelle Phishingvarianten hin. s. nur die Pressemitteilungen aus den Jahren 2005 und 2006 vom 17.08.2005, 14.11.2005, 18.05.2006, 09.06.2006 und 20.10.2006 (unter www.bka.de). Die technische Entwicklung von Phishing und dessen Bekämpfung lässt sich etwa anhand dieser Aufsätze nachvollziehen und zukünftige Entwicklungen bereits erahnen: Zu aktuellen Entwicklungen, vgl. Chou/Ledesma/Teraguchi et al., NDSS 2004, identity theft, S. 1 ff. (spoofingunterstütztes Phishing); Clayton, 13th Cambridge Prot. Workshop 2005: Insec. Real-world authenitcation protocols, S. 1 ff.; Felten/Balfanz/Dean/Wallach, Tech.Rep. Princeton 540, (1997), 96 ff.; Herzberg/Gbar, Crypt. ePrint Rep. 2004/155; Jakobsson/Young, Crypt. ePrint Rep. 2005/091, S. 1 ff. (zu sog. distributed phishing attacks); Jakobsson, Phishing, Financial Cryptography 2005, S. 1 ff.; Zishuang/Yougu/Smith, CSTR 2002, 417 ff. 452 s. Fn. 441, S. 126. 453 Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 760 ff. 454 Phishing war und ist dabei so erfolgreich, dass die Täter in derart vielen Zugangskennungen „schwimmen“, dass es für sie ein großes Problem darstellt, diese Daten zu verwerten, da die Verwertung nicht automatisch wie die Datenerhebung geschehen kann, schon Ungerer, Heise News 2006, No. 70836 (http://www.heise. de/newsticker/meldung/70836). Ein weiteres Problem ist, das Geld „außer Landes zu schaffen“. Mittlerweile finden sich dementsprechend massenweise E-Mails, aber auch seriös scheinende Anzeigen in der F.A.Z. vom 14.10.2006, S. C12), mittels derer die Phisher versuchen, Bürger unter Vorspiegelung einer legalen Anstellung „Finanzmanager“, anzuwerben, damit diese ihr Konto zur Verfügung stellen, auf das die Phisher die erlangte Summe überweisen und sie von ihren „Angestellten“ ins Ausland transferieren lassen. Dies geschieht dabei typischerweise unter Nutzung der Western Union Bank, wonach eine Rückverfolgung nur bis zu den gutgläubigen „Angestellten“ möglich ist. Diese „Finanzmanager“ machen sich aber regelmäßig 450
128
Teil 1: Rechtliche und technische Hinführung
gehensweise wird dabei regelmäßig angepasst, da Internetbrowser und Virenscanner ebenso regelmäßig die bisher bekannten Phishingtricks zu enttarnen suchen.455 In der dritten Generation456 des Phishing, wobei allerdings nicht eine Generation die andere verdrängt, sondern vielmehr neben sie tritt, werden Trojaner (siehe dort, f), S. 137 ff.) eingeschleust. Dies ist notwendig geworden, da die Nutzer immer alerter werden und moderne Internetbrowser sowie Antivirenprogramme herkömmliches Phishing zu verhindern suchen. Die eingeschleusten Trojaner, etwa eine Variante des Trojaners „Bizex-E“ haben die Funktion, nicht mehr eine Internetseite vorzugaukeln, sondern die Daten abzufangen, sobald der Nutzer sie auf der Internetseite der Bank eingeben möchte. Sie werden an die Täter umgeleitet und zugleich wird die Verbindung des Kunden zu seiner Bank solange – mitunter Tage – unterbunden457, bis der täterseitige Zugriff auf das Konto stattgefunden hat.458 Zur Verschleierung der Vorgänge bedienen sich solch moderne Phishingvarianten meist der Spoofingtechnik, siehe dazu unten, III. b) (S. 154). Will man das Vorgehen rechtlich werten, so ist zunächst zu differenzieren, auf welche Daten die Wertung bezogen wird. Es kommen zunächst die vom Getäuschten übermittelten Zugangsdaten (meist PIN und TAN) selbst in Betracht. Außerdem stehen die Zieldaten, zu denen die Zugangsdaten führen, zur Diskussion. Bezüglich der übertragenen Zugangsdaten selbst kann in der hier beschriebenen Form aus mehreren Gründen § 202a nicht verwirklicht werden: Lässt sich der Täter die Daten (indem er die Bankwebseite vorspiegelt oder per E-Mail) übertragen, so sind sie nicht nur nicht besonders gesichert, er verschafft sich den Zugang zu ihnen auch schon nicht, sondern lässt ihn sich durch die Übertragung einräumen, worauf Stuckenberg präzise hinweist.459 Der Täter verschafft sich nicht den Zugang, er lässt ihn sich verschaffen. Auf das Nichtvorhandensein der Sicherung oder ein tatbestandsvorsätzlich strafbar, vgl. schon AG Hamm Urt. v. 5.9.2005 – 10 Ds 101 Js 244/05 mit Anm. Werner, CR 2006, 71; LG Darmstadt, wistra 2006, 468, dazu ausf. Kögel, wistra 2006, 468 ff. 455 s. etwa Roth, Von Phishern und Jägern, Telepolis (TP) 16.11.2006, Art. 23964 (http://www.heise.de/tp/r4/artikel/23/23964/1.html). 456 Die der Phishingbekämpfung gewidmete Arbeitsgruppe Identitätsschutz im Internet (A-I3) teilt gar aktuell in fünf verschiedene Angriffsarten, s. http:// www.phishing-info.de/. 457 Die TANs sind nur für eine Eingabe gültig. Es gilt also nach Abfangen der TAN zu verhindern, dass der Nutzer sie bei der Bank eingibt, bis die Täter sie nutzen konnten. 458 So das BKA in seiner Pressemitteilung vom 14.11.2005. 459 Stuckenberg, ZStW 118 (2006), 878 ff., noch zum Stand vor der jüngsten Reform.
C. Phänomenologie der Ausspähtechniken
129
ausschließendes Einverständnis kommt es damit nicht mehr an.460 Selbst wenn man dies anders sähe, gilt doch das zu den Keyloggern Gesagte entsprechend; die übermittelten Daten sind nicht besonders gesichert.461 Phishing erfüllt damit an den übermittelten Daten § 202a nicht.462 Das gleiche Ergebnis ergibt sich für die Zieldaten: die Kontodaten. Zwar erhält der Täter den Zugang zu ihnen. Dies sei unbestritten. Doch erhält er ihn nicht „unter Überwindung der Zugangssicherung“. Das Eingeben der, wenn auch aufgrund einer Täuschung überlassenen, korrekten Zugangsdaten kann keine Überwindung einer Zugangssicherung darstellen. Hier ist die sprachliche Grenze überschritten. Dabei spielt es auch keine Rolle, ob die Befugnis aufgrund der Täuschung unwirksam erlangt wurde. Der Funktionsbezug zur Sicherung wird aufgehoben, sobald die Zugangsdaten frei herausgegeben werden. Ein Täter, der den Schlüssel zu einem Schließfach erhält, verschafft sich den Zugang zu diesem nicht „unter Überwindung der Zugangssicherung“ – sondern durch Täuschung. Die Gegenauffassung ist daher abzulehnen.463 Zwar könnte man behaupten, das Opfer agiere als Täter gegen sich selbst und werden kraft überlegenen Wissens gesteuert, womit die Konstellation der mittelbaren Täterschaft gegeben sei. Dies würde aber die Forderung nach Überwindung der Zugangssicherung verkennen. So wie das Opfer, das aufgrund einer Täuschung sein Eigentum an den Täter herausgibt, nicht „Dieb gegen sich selbst“ ist, sondern betrogen wird, so wird hier nicht der Zugang der Daten des Opfers unter Überwindung der Zugangssicherung verschafft (indem etwa das Opfer gegen sich selbst tätig wird).
460 Vgl. dazu Popp, NJW 2004, 3517, 3518 und Heghmanns, wistra 2007, 167, 169. Die Daten sind für den Täter (wenn auch aufgrund einer Täuschung) bestimmt. 461 Heghmanns will dies auch beim herkömmlichen Phishing so sehen. Das Opfer hebe die Sicherung dem Täter gegenüber auf; Heghmanns, wistra 2007, 167, 169. Nunmehr wohl auch Fischer, § 202a Rn. 9a „Selbst wenn die Herausgabe von Daten [. . .] § 202a nicht unterfällt, [. . .] verschafft sich der Täter hierdurch doch den Zugang auf die besonders geschützten Kontodaten“. 462 Im Ergebnis ebenfalls B. Heinrich, HFR 11–2006, 2; Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 760 ff.; Heghmanns, wistra 2007, 167 f.; Graf, NStZ 2007, 129, der de lege ferenda daher einen eigenen Straftatbestand fordert; zurückhaltend Popp, NJW 2004, 3517, 3518; a. A. Knupfer, MMR 2004, 641, 642; Tröndle/Fischer54, § 202a Rn. 10, 12, nahm ein unbefugtes Verschaffen von gesicherten Daten an. Sehr zurückhaltend nun Fischer, § 202a Rn. 9a, s. Fn. 461, S. 129. Zu einer Bewertung aus Marken(straf)rechtlicher Sicht, siehe Beck/Dornis, CR 2007, 642. 463 So zur Gegenansicht nach der Reform Fischer, § 202a Rn. 9; vgl. auch Knupfer, MMR, 2004, 641, 642; Gercke 2005, 606, 608. Dagegen schon Graf, NStZ 2007, 129, 131.
130
Teil 1: Rechtliche und technische Hinführung
c) Pharming Pharming ist eng verwandt mit Phishing. Das Kunstwort ist an den Begriff Phishing angelehnt und spielt auf den Umstand an, dass die Täter oft eine Vielzahl von Servern in sogenannten Serverparks oder -farmen unterhalten. Wie beim Phishing wird das Opfer auf Internetseiten geleitet, die denen seiner vertrauenswürdigen Bank täuschend ähnlich sehen. Allerdings bedienen sich Pharmer nicht E-Mails oder Ähnlichem zum Anlocken, sondern gehen einen anderen Weg. Sie machen sich zunutze, dass in der Regel nicht IP-Adressen464 eingegeben werden um Internetseiten zu erreichen, sondern Domainnamen. Diese sind jedoch nur für den Nutzer besser memorierbare Übersetzungen von IP-Adressen, die aus Ziffernfolgen bestehen. Technisches Ziel ist aber immer eine bestimmte numerisch dargestellte IPAdresse. Der sogenannte DNS-Server (dynamic name server465) übersetzt die Namenseingebung und wählt die entsprechende Ziffernfolge an. Gelingt es nun den Tätern, diesen Übersetzungsvorgang dahingehend zu stören, dass eine andere IP-Adresse als die gemeinte angewählt wird, so können die Täter die Anwahl umlenken.466 Damit können Täter unter Manipulation der DNS-Server (sogenanntes DNS-poisoning) oder auch der lokal abgelegten sogenannten Host-Datei das Opfer auf eine von ihnen generierte Seite locken. Gibt das Opfer also nun etwa www.postbank.de ein, gelangt es auf eine Seite, die der der Postbank täuschend ähnlich sieht, allerdings von Kriminellen geschaffen wurde, und wird dort seine Zugangsdaten nichts ahnend eingeben. Die Umleitung bleibt dabei dem Opfer verborgen.467 In rechtlicher Hinsicht gilt das zum Phishing Gesagte.468 Die Daten werden dem Täter übermittelt und zwar in ungesichertem Zustand. § 202a scheidet aus.469
464 Eine IP-Adresse ist eine eindeutige Ziffernfolge, die einen Computer (beziehungsweise einen Netzwerkanschluss) identifiziert. Sie ist der Telefonnummer in herkömmlichen Telefonnetzen vergleichbar. Unter dieser „Adresse“ ist der Rechner erreichbar und kann Datenpakete empfangen und senden. IP-Adressen bestehen aus vier Ziffernfolgen von je drei Ziffern, also etwa 192.168.255.109. 465 Die Abbreviation ist sprachlich unscharf. Korrekterweise müsste sie entweder DN-Server oder DNS lauten. Das „überflüssige S“ hat sich jedoch eingebürgert. 466 Zur Manipulation, der Umleitung und dem Abfangen von IP-Paketen: Hobert, Datensicherheit, S. 54 f. 467 s. i. E.: Popp, MMR 2006, 84. 468 Zu zivilrechlichen Fragen vgl. Borges, NJW 2005, 3313 ff. 469 Im Ergebnis ebenso Popp, MMR 2006, 84, 85.
C. Phänomenologie der Ausspähtechniken
131
d) Nutzen von System„löchern“ (Exploiting) Es gibt verschiedene Wege in ein System einzudringen, um (jedenfalls teilweise) Kontrolle über es zu erlangen. Zunächst müssen Informationen über das Zielsystem gesammelt werden. Es wird sozusagen ausgekundschaftet. Das Ziel des Eindringens kann es dann sein, weitere Informationen über das System und darauf gespeicherte Daten zu erhalten. Oft werden aber auch andere ergänzende oder alternative Zwecke verfolgt: Andere Systeme können geschädigt werden (etwa um unliebsame Konkurrenz auszuschalten oder aus reiner Zerstörungswut), fremde Ressourcen (Speicherplatz und Bandbreite des Internetanschlusses) können genutzt werden (auch sogenannter Zeitdiebstahl) und so zugleich eigene kriminelle Handlungen über den fremden Wirt gelenkt und dadurch verschleiert werden. Auch können verbotene Inhalte auf fremden Rechnern abgelegt werden, um sie für den Fall einer Hausdurchsuchung auszulagern. Beschreibungen von Sicherheitslücken werden in Bereichen bis etwa 50.000 $ gehandelt.470 Zwischenziel kann die Informationserlangung von Daten über das fremde System sein. Es ist aber auch möglich, vollautomatisierte Software (etwa Bots und Würmer, siehe dort, e), S. 135) eindringen zu lassen. Die Information über solche Systemlücken wird am Markt gehandelt. Ein Exploit (englisch to exploit – ausnutzen) ist ein Computerprogramm oder Script, welches spezifische, infrastrukturbedingte Schwächen eines anderen Programms ausnutzt, um unvorhergesehene Abläufe auszulösen, insbesondere, um sogenannte System-Privilegien zu erlangen. Ein Beispiel sind Provokationen von „Speicherüberläufen“ durch die Code entgegen den Regeln des Computers zur Ausführung gelangt. So wird bspw. bei einem Pufferüberlauf der Code des Angreifers in einen nicht dafür vorgesehenen Speicherbereich übertragen, wodurch der Code ausgeführt und die gewünschte (Fehl-)Funktion verwirklicht wird. Pufferüberläufe (buffer overflow) sind sehr häufige Fehlfunktionen, die davon herrühren, dass nur begrenzte Datenmengen in den zur Verfügung stehenden Speicherbereich „passen“ und zu große Mengen in nicht vorgesehene Programmbereiche „überfließen“. Der Rechner überschreibt in der Folge den Code angrenzender, anderen Funktionen zugewiesener Speicherbereiche. Gelingt es nun einem Angreifer, einen Pufferüberlauf derart zu provozieren, dass sein Schadcode in einen Speicherbereich gelangt, der privilegierten Zugriff sichert oder der nicht kontrolliert wird, so kann der Code hier zur Ausführung ge470 Vgl. die schweiz. Melde- und Analysestelle Informationssicherung (MELANI), Informationssicherung: Lage in der Schweiz und international, Hrsg. v. Eidgenössichen Informatikstrategieorgan Bund ISB, Bundesamt für Polizei, Halbjahresbericht 2006/II, S. 19.
132
Teil 1: Rechtliche und technische Hinführung
langen und der Angreifer kann sich die gesamte Kontrolle des angegriffenen Systems auf recht einfache Art und Weise sichern. Dann kann er bspw. Passphrasenabfragen schlicht umgehen, wenn für diesen nachfolgenden privilegierten Speicherbereich keine Passphrasenabfrage mehr vorgesehen ist. Aufgrund der Komplexität von Computersystemen und des Zusammenspiels der verschiedensten Komponenten in immer neuen Kombinationen entstehen immer neue Sicherheitslücken, von denen fast täglich einige entdeckt werden. Verschiedene Treiber, Hardware, Betriebssysteme und Anwendungsprogramme werden von den Nutzern stets neu und für die Ersteller nicht vorhersehbar kombiniert, sodass es ausgeschlossen ist, alle möglichen Kombinationen vorab zu testen oder sämtliche Lücken abzusehen. Zu begegnen versucht wird dem durch klare, systematische und einfache Programmierung – ganz ähnlich wie ein klares Gesetzessystem Brüche und Lücken vermeidet. Dies wird unterstützt durch ständige Kontrollen sowie globalen Wissensaustausch über Lücken – und bei sogenannter OpenSource471-Software durch Offenlegung des Programmcodes, sodass die weltweite Nutzergemeinde Lücken suchen und beheben kann. Jede Strategie führt zu einem beträchtlichen Sicherheitsgewinn, wobei die OpenSource-Strategie erstaunliche Erfolge verzeichnen kann. Exploiting kann dabei sowohl über das Internet als auch unter direkter Anwendung am Rechner durchgeführt werden. Zahlenmäßig dürfte erstere Variante mittlerweile weitaus verbreiteter sein. Wie angeführt wurde, sind dazu zunächst Daten über das verwendete Zielsystem in Erfahrung zu bringen. Diese muss sich aber der Täter nicht zwingend in einem losgelösten Schritt verschaffen. Die Angriffssoftware kann regelmäßig die Daten vollautomatisch verarbeiten und in das Zielsystem eindringen. Der Täter selbst muss dafür also keine Daten erfahren. Geht er nicht „vollautomatisiert“ vor, so dienen dem Exploiting verschiedene Vorbereitungshandlungen: (1) Footprinting und Mapping Footprinting und Mapping dienen dem ersten Auskundschaften des Zieles. Netzwerkinfrastruktur, Netzwerknamen und IP-Adressen472 der Ziele wer471 Im OpenSource-Bereich können weltweite Nutzer zugleich Anbieter werden und Programme weiterentwickeln und der Nutzergemeinde wieder zur Verfügung stellen. Linux, Firefox und Thunderbird sind hier bedeutende Vertreter. Zu den sozialen und persönlichen Hintergründen des gemeinnützigen, verteilten, globalen Programmierens einzelner vgl. umfassend Stoll, Software-Entwicklung, S. 1 ff.; Creß/ Hesse, Knowledge sharing in groups, S. 150 ff. und Creß/Hesse, Wissen teilen im Netz, S. 115 ff. 472 s. Fn. 464, S. 130.
C. Phänomenologie der Ausspähtechniken
133
den in Erfahrung gebracht. Durch Footprinting und Mapping wird ermittelt, welche Adressaten überhaupt vorhanden sind und wie die Netzstruktur gestaltet wurde. Verglichen mit einem herkömmlichen, „analogen“ Einbruchvorhaben entsprechen Footprinting und Mapping dem ersten Erkunden von möglichen Zielobjekten, erreichbar durch einen einfachen Spaziergang.473 (2) Ping-Scanning Ein Ping (in onomatopoetischer Anlehnung an das Geräusch eines Sonars) ist ein Weg mittels geringstem Informationsaustausch andere Teilnehmer zu finden. Das Anpingen eines anderen Teilnehmers dient schlicht dazu, zu überprüfen, ob er erreichbar ist. Unterstützt er das Protokoll (was in aller Regel der Fall ist), so wird er einen Ping zurücksenden und so seine Existenz und die Funktion des Übertragungskanals bestätigen. Pingt man nun eine Bandbreite von IP-Adressen an, so melden sich nur vorhandene zurück. Daraus lässt sich schließen, hinter welchen Adressen sich tatsächlich ein Anschluss befindet.474 Als Abwehrmaßnahme lässt sich schlicht das eigene Protokoll derart konfigurieren, dass Pings abgewiesen werden oder über eine Firewall frühzeitig abgefangen werden. Verglichen mit einem konventionellen Einbruch entspräche ein Ping-Scan dem Ablesen der Namensschilder an einem Haus um zu erfahren, ob jemand dort wohnt.475 (3) Port-Scanning Port Scanning ist eine Methode, die das Zielsystem nach laufenden Diensten und Programmen sowie benutzten (und damit verfügbaren) Einund Ausgängen (den Ports) absucht. Gleichzeitig werden so bekannte Sicherheitslöcher abgefragt und der locus minoris resistentia gesucht. Ports (übersetzt etwa Anschlüsse) sind Adresskomponenten, die in Netzwerkprotokollen eingesetzt werden. Sie ermöglichen es, Datenpakete den richtigen Diensten (mit der richtigen Kommunikationssprache: den Protokollen) zuzuweisen. Hinter verschiedenen Ports verbergen sich verschiedene Dienste, welche verschiedene Aufgaben verfolgen. Ports stehen also für die durch sie erreichbaren Dienste. Konventionell werden bestimmte Ports für bestimmte Dienste reserviert. Dies ist zwar abänderbar, aber die wichtigsten Dienste sind allgemein verbindlich festgelegt. Die im Internet verwandte IP-Adressierung hat 65536 Ports (0–65535), davon sind die ers473 474 475
Nach Pierrot in Ernst (Hrsg.), Hacker, Rn. 56. Strobel, Firewalls, S. 27. Vergleich aus Pierrot in Ernst (Hrsg.), Hacker, Rn. 57.
134
Teil 1: Rechtliche und technische Hinführung
ten 1024 für bestimmte Dienste festgelegt. Problematisch ist dabei, dass für das weit verbreitete Betriebssystem Windows von Microsoft nicht alle Portfunktionen dokumentiert wurden.476 Indem man genau einen bestimmten Port, gleichzusetzen mit einer Dienstnummer, anspricht, teilt man mit, dass man eine ganz bestimmte Kommunikation aufnehmen will. Der Port 110 erlaubt konventionell etwa die E-Mail Abholung, der Port 25 den E-Mail Versand und der Port 3389 die Steuerung eines entfernten PCs über das Netzwerk. Mit diesem könnte man bspw. via Internet ein exaktes Abbild eines entfernten Bildschirms und Tastatur- und Mauseingaben auf einem anderen PC beobachten oder auch übertragen und so einen Computerfernkurs abhalten. Auch kann so Fernwartung von Computern betrieben werden.477 Der ferne PC ist dann unter voller Kontrolle des anderen PC. Wer also diesen Port auf einem System, etwa WindowsXP, offen hat, bietet anderen diesen Dienst – sich steuern zu lassen – an. Es kann davon ausgegangen werden, dass auf vielen Standardinstallationen der Port offen ist, damit wenig versierten Nutzern auf diesem Weg geholfen werden kann. Wem es gelingt, statt nur mit den Ports 110 und 25 zu kommunizieren auch auf den Port 3389 Zugriff zu haben, der kann einen entfernten PC ausspionieren oder gar die komplette Kontrolle übernehmen.478 Port Scanning sucht den Zielrechner nach solchen offenen Ports ab. Vorhandene Dienste und mögliche Einfallstüren werden erkannt und gezieltes Eindringen vorbereitet. Vergleichbar ist dies bei einem konventionellen Einbruchsgeschehen etwa mit jemandem, der an einem fremden Haus zunächst nach allen Eingängen sieht, an den Türen rüttelt und prüft, ob sie offen oder verschlossen sind. Ein Eindringen findet noch nicht statt. Mögliche Eingänge und ihre Funktionen (etwa Hintereingang, Garageneinfahrt, Dienstboteneingang) werden allerdings ermittelt. Erfahrungsgemäß dauert es wenige Minuten nach Anmeldung eines Teilnehmers im Internet, bis ein automatischer Portscan eines Hackers ihn routinemäßig überprüft.479 Selbst passive Systeme, welche also keinen Datenverkehr aussenden, werden in dieser Zeitspanne erfasst.480 In der Folge können Bots oder Würmer (siehe sogleich) installiert werden. 476 Daher kursieren im Internet Listen der „well known ports“, also Ports, deren Funktionen bekannt sind. Eine Liste dieser tausenden von bekannten Ports kann hier naturgemäß nicht wiedergegeben werden. Anhand dieser lassen sich die verschiedenen angebotenen Funktionen gut erkennen. 477 Wie es etwa am Computerzentrum der Universität Tübingen der Fall ist. 478 Unter weiteren Voraussetzungen, v. a. dass die Fernsteuersoftware aktiv und zur Steuerung bereit ist. 479 Holz/Wicherski, Malware, S. A 2; Dornseif/Gärtner/Holz, Verwundbarkeiten, S. 136. 480 Dornseif/Gärtner/Holz, Verwundbarkeiten, S. 136.
C. Phänomenologie der Ausspähtechniken
135
(4) Rechtliche Wertung Das Scannen von Ports, das Mapping und das Anpingen dienen zunächst nicht dem Ausspähen gesicherter Daten.481 Sie sind allenfalls Vorbereitungshandlung dazu. Alle Daten, die dadurch verschafft werden, sind „frei verfügbar“. Ohne Pings wäre die Kommunikation zwischen Computern bspw. in der heutigen Form nicht möglich. Das Verschaffen von Daten (und damit des Zugangs zu ihnen) durch das Ausnutzen der in Erfahrung gebrachten Systemlücken stellt ebenfalls per se kein Verschaffen des Zugangs zu besonders gesicherten Daten dar. Etwas anderes ergibt sich, wenn eine besondere Sicherung vorhanden ist, die gezielt ausgehebelt wird. Wird aber lediglich ein ungesichertes und systematisch schwaches System ausgespäht, so liegt kein Fall des § 202a vor. Das muss selbst dann gelten, wenn das Nutzen der Lücken klar gegen das System gerichtet ist. Die nach der Gesetzeslage erforderliche besondere Sicherung fehlt. Selbst wenn sie vorhanden ist, so wird der Zugang zu diesen Daten nicht unter ihrer Überwindung verschafft. e) Bots/Würmer Wird ein ungeschütztes System (also etwa ein PC, bei dem nur das Betriebssystem installiert ist) ans Internet angeschlossen, so ist zu erwarten, dass dieses innerhalb von weniger als fünfzehn Minuten kompromittiert wird.482 Das heißt, ein automatisiertes Schadprogramm (Malware) infiziert den Rechner und ein Wurm oder Bot erlangt die Kontrolle über das System.483 Verschiedene Ziele können dadurch erreicht werden: Neben dem Ausspionieren ist der massive Versand von unerwünschten Werbe-E-Mails (sogenanntes Spam484, er macht mittlerweile circa dreiviertel des gesamten E-Mail-Verkehrs aus485) zu nennen. Auch können sogenannte Dialer486 installiert werden, die für den Computerbesitzer kostenpflichtig teure Telefon481
Zum Portscanning: Rinker, MMR 2002, 663, 665. Dornseif/Gärtner/Holz, Verwundbarkeiten, S. 136. Im Jahre 1999 waren es noch circa 72 Stunden im Schnitt: Holz et al., Honeynet Stats, S. 1 ff. 483 Holz/Wicherski, Malware, S. A 2. 484 Spam: Der Begriff „Spam“ bedeutet unerwünschte und unverlangte, in der Regel auf elektronischem Weg übertragene Nachrichten, die massenhaft versandt wurden und meist werbenden Inhalt haben, aber auch bspw. Trojaner oder andere Schadprogramme mit sich führen oder Phishingmails darstellen. Der Begriff entstammt dem „Spam-Sketch“ der englischen Comedyserie Monty Python’s Flying Circus, in der Restaurantgäste bei jeder Bestellung unvermeidlich Spam – ein Dosenfleisch der Marke Spam – bekommen. 485 Messagelabs (Hrsg.), Intelligence Report: October 2006, S. 1. 486 Zu deutsch etwa sinngemäß: automatische Telefonwähler. 482
136
Teil 1: Rechtliche und technische Hinführung
verbindungen und zu Gunsten des Dialerverbringers aufnehmen. Teilweise werden hier Millionenbeträge erzielt.487 Ein Wurm ist ein Schadprogramm (Malware), das sich autonom durch Ausnutzen von Systemschwächen in entfernten Systemen weiterverbreiten kann.488 Ein Bot dagegen (auch Drone oder Zombie genannt) erlaubt die Fernsteuerung des infizierten Systems. Bots können sich meist auch weiterverbreiten. Dazu scannen sie ebenfalls entfernte Computer auf Schwachstellen durch und laden sich dann eigenständig auf diese. Ziel ist typischerweise, viele mit Bots infizierte Rechner, oft bis zu mehreren tausend, zu Botnetzen zusammenzuführen und so eine konzertierte Aktion starten zu können, etwa den Spamversand oder Attacken auf fremde Rechner, die allein durch die Zahl der Anfragen überlastet und „in die Knie gezwungen“ werden (etwa sogenannte Denial-of-Service oder Dos-Attacken).489 Mittels Bots können allerdings auch Keylogger eingeschleust und verbreitet werden. Die Installation eines Bots stellt daher nur ein Zwischenziel dar. Wie der Trojaner und der Wurm, so beschreibt die Bezeichnung Bot eine Technik, durch das Erreichen eines Zwischenziels die eigentlich bezweckte Schadfunktion zu realisieren.490 Gemeinsam ist diesen Programmen, dass sie andere Schadfunktionen in fremde Rechner transportieren oder ihr Verbringen nach dort erleichtern. Dabei sammeln Bots und Würmer zunächst Informationen über fremde Systeme, um mögliche verwundbare Wirtsrechner zu finden – und sind daher für die hiesige Untersuchung interessant. Experten gehen davon aus, dass etwa ein Viertel aller PCs mit Internetzugang mit Bots verseucht ist und Botnetze bilden.491 Solche bestehenden Netze oder Programme, die solche Netze bilden, werden zu Schwarzmarkt487 Allein im ersten größeren deutschen Fall (die größten Fälle kommen nach wie vor aus den USA) sollen über zwölf Millionen Euro innerhalb eines Jahres erzielt worden sein – LG Osnabrück Az. 10 KLs 10/06 – sog. „Autodialer-Prozess“. Bei diesem Geschehen betrugen die Telefongebühren minütlich bis zu 45 Euro. 488 Vgl. Klaeren, Viren, Würmer und Trojaner, S. 203. 489 Zu Bots und Botnetzen instruktiv: Holz et al., Bots, S. 1 ff. 490 s. dazu sogleich: S. 137, dort Kap. f). 491 Botnetze sind Zusammenschlüsse mehrerer tausend bis hunderttausend infizierter PCs. Sie werden zentral von einem Kommandoserver gesteuert. Teilweise werden sie von ihren „Besitzern“ für bestimmte Aufgaben vermietet, wie etwa für den Versand von Massen-Spams (Fn. 484, S. 135), die Verbreitung weiterer Trojaner (S. 137) oder für großangelegte Angriffe auf Webserver oder Netze. Dabei kommt es zu erheblicher Belastung sowohl der Netzwerkressourcen als auch der des PCs, auf denen etwa für den Versand von Spam-Mails nach Zufallstexten für den Einbau in Mails gesucht wird. Die meisten Anwender hätten indes nicht einmal die „leiseste Ahnung“, dass ihr PC mit einem Trojaner infiziert sei und als Bot an Angriffen teilnehme. Teilweise erreiche die Netzlast eines Bot-Netzes 10 bis 20 Gbit/s, so Vint Cerf, der Mitentwickler des dem Internet zugrunde liegenden TCP/IP-Protokolls, und John Markoff, Redakteur der New York Times, vor dem Weltwirtschaftsforum
C. Phänomenologie der Ausspähtechniken
137
preisen von etwa 5.000 bis 20.000 $ gehandelt.492 Teilweise werden sie von „Besitzern“ für bestimmte Aufgaben vermietet, wie etwa den Versand von Massen-Spams, die Verbreitung weiterer Trojaner oder großangelegte Angriffe auf Webserver oder Netze. Ausspähung ist regelmäßig nicht das Endziel. Damit aber etwa Spam als solcher von Filtersoftware nicht erkannt wird, suchen die Bots auf dem Wirtsrechner nach beliebigen Texten, deren Teile sie an die von ihnen versandte Schadmail anhängen, allerdings nur um diese zu camouflieren. Typischerweise späht der Täter keine Daten aus. Die Bots und Würmer ermitteln regelmäßig selbst die für sie notwenige Information und leiten sie nicht an den Täter weiter. Im gros der Fälle scheidet daher § 202a aus. Etwas anderes gilt dann, wenn der Schadcode doch Daten sammelt und dem Täter übermittelt (erst dann hat der Täter die Daten ausgespäht) oder gesicherten Zugang zu den Daten gewährt. Dann kommt es darauf an, ob die Daten gesichert waren und der Zugang unter Überwindung dieser Sicherung verschafft wurde. Dies ist Frage des Einzelfalls. Bringt der Täter mittels der Schadcodes andere Funktionen (Keylogger etc.) auf den Rechner, so richtet sich die rechtliche Bewertung nach diesen. f) Trojanische Pferde Trojanische Pferde beziehungsweise verkürzt Trojaner dienen nicht unmittelbar dem Ausspionieren eines Rechners. Sie sind vielmehr strenggenommen potenzieller Träger aller möglichen Schadprogramme.493 Einen Trojaner ohne Schadprogramm gibt es in der praktischen Verwendung nicht. Er wäre zwecklos. Sprachlich wird als Trojaner meist der gutartige Träger (E-Mail494, Bild495, Programm496) gemeinsam mit der eigentlichen in Davos 2007, Nachweise bei T. Weber, Criminals ‚may overwhelm the web‘, BBC News 2007, http://news.bbc.co.uk . 492 Vgl. die schweiz. Melde- und Analysestelle Informationssicherung (MELANI), Informationssicherung, Halbjahresbericht 2006/II, S. 19. 493 Anschaulich vereinfachend MüKo-Graf, § 202a, Rn. 64; BSI, IT-Grundschutzhandbuch, 2005, G 5.21; Klaeren, Viren, Würmer und Trojaner, S. 103; im Rückblick schon Mühle, Hacker und Strafrecht, S. 27; Dierstein, NJW-CoR 4/09, 8 ff.; ders. NJW-CoR 5/90, 26 ff.; ders. 1/91, 26 ff. 494 E-Mails selber können Schadcode enthalten, wenn sie im html Format geschrieben wurden. Insbesondere findet sich Schadcode aber in den Anhängen (attachments) und wird beim Öffnen des Anhangs aktiviert. Mittlerweile sind circa 1% aller E-Mails virenverseucht (in Deutschland etwa 3%), Messagelabs (Hrsg.), Intelligence Report: October 2006, S. 1, 5. 495 Schon das Öffnen, also Anschauen eine Bildes kann ausreichen, um Schadcode zur Ausführung gelangen zu lassen (BSI, Kritische Sicherheitslücke bei der Verarbeitung von JPEG-Bildern, 2004, S. 1). Ebenso kann das bloße Öffnen oder
138
Teil 1: Rechtliche und technische Hinführung
bösartigen Funktion zusammengefasst. Dies ist für eine nähere Untersuchung insofern unbefriedigend, als dies das Vehikel (Trojaner) benennt, über die eigentliche Schadfunktion und damit den Sinn des Ganzen jedoch im Unklaren lässt. Da mittels Trojanern transportierte Schadprogramme typischerweise Ausspähprogramme (Spyware) sind497 und die Literatur teils gar beim versehentlichen Versenden von E-Mailtrojanern § 202a StGB diskutiert,498 soll hier auf sie eingegangen werden: Der Begriff Trojanisches Pferd oder Trojaner leitet sich aus den Überlieferungen zu Homers Epos Ilias ab.499 Ein an sich harmloses Programm oder auch nur eine Datei werden der Zielperson übergeben oder per E-Mail zugesandt. Das für sich harmlose Programm, der Trojaner, enthält ein Schadprogramm, das mit diesem Vehikel versteckt transportiert wird, dadurch unbemerkt auf den Rechner gelangt und dort seinen Dienst verrichten kann. In der hier relevanten und auch typischen Kombination können mit einem Trojaner etwa Keylogger (siehe d), S. 116) oder andere Spyware (siehe g), S. 141) installiert werden.500 So wird der Träger bspw. mit einem Programm versehen, das die gespeicherten Tastenbefehle an den Täter versendet. Dabei kann der Versand über eine anonyme Adresse im Internet geschehen, so dass der Täter schwer aufzufinden ist. Beispielhaft soll ein gut erforschtes Trojanisches das „Überfahren“ einer Internetseite mit der Maus Schadcode auslösen, so eine Sicherheitslücke besteht (Münz/Nefzger, HTML, Kap. 18.10, S. 597 und 18.10.1 S. 600). Mittlerweile werden Trojaner auch auf gezielt „verlorenen“, USB-Speichersticks hinterlassen, etwa auf einem Firmengelände, und so wird die natürliche Neugierde der Finder ausgenutzt (Stasiukonis, Social Engineering, S. 1, der diese Methodik zum social engineering zählt. s. auch dort S. 114 und Fn. 402, S. 115). 496 Ein vom Nutzer gewünschtes Programm, das etwa eine „lustige“ Animation wiedergibt oder Zugang zu pornographischen oder illegalen Inhalten (wie urheberrechtlich geschützter Software von sog. Piratenseiten) tatsächlich anbietet oder dies nur vorgibt, wird mit einem bösartigen Schadcode kombiniert, der bei Start des Programmes mit aktiviert wird und sich verankert. 497 BSI, Trojanische Pferde, Faltblatt F33, 2003, S. 1; dasselbe (Hrsg.), Empfehlungen zum Schutz vor Computer-Viren aus dem Internet, 2003, S. 3; Buggisch, NStZ 2002, 178, 179. 498 Libertius, MMR 2005, 507, 512 erwähnt dies allerdings nur zurückhaltend, § 202a „könnte relevant sein“, beim versehentlichen Versenden von virenbefallenen E-Mails. In aller Regel wird es ohnehin am Vorsatz des versehentlich Versendenden mangeln. Auch die Frage, ob der Trojaner Erfolg hat (s. u.) und besonders gesicherte Daten ausspioniert (s. u.) ist an dieser Stelle noch nicht beantwortbar. 499 Er lehnt sich an das Trojanische Pferd an. Der Begriff „Trojaner“ ist dabei unpräzise, die Trojaner waren schließlich Opfer der Täuschung und nicht Täter oder Tatmittel. Letztlich dürfte es sich um eine bloße Verkürzung handeln, denn mit „Trojaner“ ist das Trojanische Pferd gemeint. Der Begriff hat sich mittlerweile festgesetzt als Synonym für harmlos wirkende Programme, die schädliche Programme enthalten und diese in ein System schmuggeln. 500 Beispiele bekannter Trojaner mit diesen Funktionen finden sich etwa bei MüKo-Graf, § 202a, Rn. 64 und Fn. 252.
C. Phänomenologie der Ausspähtechniken
139
Pferd,501 das unter den Namen „Gozi Trojan“, „Agent.AVV“, „Small.BS“ und „Ursnif.AG“ bekannt ist, betrachtet werden: Es dringt über eine Schwachstelle im Internet Explorer ein und ist, da es Rootkit-Versteckfunktionen502 mit sich führt, selbst von Virenscannern schwer zu erkennen. Sein Ziel ist die Spionage.503 Es ist dabei in der Lage, selbst verschlüsselte Datenübertragungen mitzulesen. Die wirtschaftliche Verwertung und der kriminelle Einsatz sind sehr ausgereift, ausdifferenziert und automatisiert. Käufer des Trojaners erhalten zusätzlich eine Datenbanksoftware, um die ausgespähten Daten auf einem Server zu sammeln und können die Daten von dort verkaufen. Mittels einer Schnittstelle können die Kaufinteressenten dieser ausgespähten Daten online die hinterlegten Datensätze nach bestimmten Merkmalen durchsuchen und die gewünschten, aussortierten Daten kaufen und herunterladen. Es lassen sich auch verschiedene Konten zu verschiedenen Endkundenpreisen definieren. Beispielsweise werden Kreditkartendaten nebst PIN für etwa 500 $ gehandelt.504 Trojanische Pferde können nicht nur im Internet (zu Marktpreisen von ca. 1.000 bis 5.000 $505) gekauft und gemietet werden; teils sind sie frei erhältlich. Eine Spielart ist vor allem bei den Gratisvarianten, dass diese oft zusätzlich die Daten nicht nur an den Verwender, sondern ebenso an den Programmersteller senden – oft ohne Wissen des Verwenders. Der Trojaner wird so vom Verwender als Trojaner eingesetzt – und ist gegenüber ihm selbst einer, der ausspioniert, was denn der Verwender ausspionieren möchte. So macht sich der Überwacher selbst zum Überwachten.506 Teils werden Trojanische Pferde zur Überwachung anderer eingesetzt, etwa von Familien- oder Firmenangehörigen. Firmen verloren schon wichtige Firmendaten, da sie ihre Mitarbeiter mittels Trojanern durch Spionage überwachten und nicht bemerkten, dass sie so ihre eigene Überwachung ermöglichten. Weitere Funktionen können fast beliebig integriert werden. So können Bots und Würmer eingebaut werden sowie sogenannte Backdoor-Trojaner, die in ihrer speziellen 501 Jackson, SecureWorks (Hrsg.), Threat Analysis, Gozi Trojan, www.secure works.com/research/threats/gozi 21.03.07. 502 s. näheres zu Versteckfunktionen im Allgemeinen und zu Rootkits, S. 152 ff. 503 Er klinkt sich in die Winsock2-Funktionen ein, um den Datenverkehr mitzulesen, der bei Übertragungen im Internet verschlüsselt wird. Durch diesen Einsatz auf niedriger logischer Ebene ist er in der Lage, auch mit SSL verschlüsselte Kommunikation auszulesen. 504 Vgl. die schweiz. Melde- und Analysestelle Informationssicherung (MELANI), Informationssicherung, Halbjahresbericht 2006/II, S. 19. 505 Ibidem, Fn. 504, S. 139. 506 „Sed quis custodiet ipsos custodies?“ (Wer aber wacht über die Wächter?) fragte sich schon Decimus Junis Juvenalis, Satirae VI, 347 f in politischem Zusammenhang. Diese Fragestellung – hier weniger in politischer denn technischer Weise – bleibt bei heutiger Überwachung und Spionage aktuell.
140
Teil 1: Rechtliche und technische Hinführung
Spielart dem Täter „von innen die Türe“ für massiveres Eindringen „öffnen“.507 Auch Spyware, die Daten sammelt und an den Verwender versendet sowie Dialer, die kostenpflichtige Mehrwertdienste zugunsten des Verwenders anwählen, werden mittels Trojanern eingeschleust. Die Vergleichbarkeit mit einem klassischen Einbruchsgeschehen wird schon durch die Bezeichnung Trojaner oder Trojanisches Pferd hinreichend deutlich. Zum Schutz vor Trojanern ist es zunächst sinnvoll, das Einnisten dieser Programme ähnlich dem von Viren508 zu verhindern. Bekannte Trojaner werden von vielen Virensuchprogrammen mit erkannt.509 Regelmäßige Kontrollen sind ebenfalls sinnvoll, um eingenistete Trojaner zu finden und zu eliminieren. Für die technische wie rechtliche Wertung ist bei Trojanern, die selbst neutrales Vehikel sind, zwischen dem Zwischenziel der Verbringung eines Trojaners und dem dadurch ermöglichten Verbringen einer Schadsoftware zu unterscheiden. Bezüglich dieser ist auf deren eigentlichen Zweck abzustellen. Der allgemeine Sprachgebrauch greift hier in aller Regel zu kurz. Ihm folgt dennoch teils ohne weitere Differenzierung die juristische Fachliteratur.510 Als häufige Funktionsverknüpfung eines Trojaners ist zwar die Spyware mit einem informationssammelnden und -kommunizierenden Modul zu nennen. Eine Gleichsetzung von Trojaner (Tarnvehikel) mit Spyware (Ausspähfunktionen) ist dennoch ungenau, gibt es doch etliche Trojaner, die nicht-ausspähende Funktionen in sich tragen.511 Wird diese Unterscheidung nicht vollzogen, so drohen zwei Schwächen: Es werden Trojaner, die keine Spywarekomponente enthalten, falsch strafrechtlich „einsortiert“. Gleichzeitig sind die richtigen Erkenntnisse zu Spyware dieser nicht zugeordnet. Zu Spyware, die nicht mittels eines Trojaners auf den Rechner verbracht wird, muss die gesonderte Aussage getroffen werden, dass die Einschätzung zu den bezeichneten Trojanern (die Spyware meint) auf Spyware übertragbar ist. In der Folge werden gesondert weitere typische Schadfunktionen, die ein Trojaner schmuggelt, die aber auch auf anderem Wege auf den Rechner gelangen können, aufgezeigt und erläutert. Eine rechtliche Be507
Message Labs (Hrsg.), www.messagelabs.com, Intelligence Report: October 2006, S. 1 f., berichtet, dass Trojaner, die dem Spamversand dienen, mittels „geknackter“ Virenscanner sämtlichen anderen Schadcode entfernen. 508 Vgl. dazu oben Fn. 383, S. 110. 509 Auch wenn dies nicht ureigene Aufgabe von Virensuchprogrammen ist. s. insgesamt unten, S. 272, dort Kap. 2. 510 Zur (richtigen) Differenzierung: LG Stralsund, Urteil vom 22.2.2006 – 1 S 237/05 = MMR 2006, 487. Dagegen B. Heinrich, HFR 11–2006, S. 4; MüKo-Graf, § 202a, Rn. 64, nach dem gar „reine Trojaner“ Daten sammeln. 511 Richtigerweise differenzierend: Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 689, S. 185; vgl. auch Hilgendorf/Wolf, K&R 2006, 541, 546.
C. Phänomenologie der Ausspähtechniken
141
wertung eines Trojaners ohne Kenntnis der jeweiligen Schadfunktion ist unergiebig. Der Trojaner selbst ist ein Danaergeschenk, das rechtlich isoliert betrachtet regelmäßig nicht zu beanstanden ist. Nicht die Art der Einpflanzung, sondern die Schadfunktion muss dagegen von rechtlichem Interesse sein. Es sei daher auf die Ausführungen zu den hier relevanten Funktionen verwiesen. g) Spyware (1) Technische Phänomenologie Das aus den Begriffen „Spy“ und „Software“ gebildete Kunstwort wird als Überbegriff für sämtliche, technisch teils höchst unterschiedliche Programme verwandt, deren Hauptziel es ist, andere Nutzer oder Systeme auszuspionieren. Die bereits beschriebenen Keylogger zählen bspw. zur Spyware.512 Sie wurden auf Grund ihrer faktischen Bedeutung und relativ einfach zu beschreibenden Arbeitsweise herausgegriffen. Es gibt mannigfaltige andere Spywarefunktionen. Unmöglich können sie hier auch nur kurz aufgezählt werden. Das Beispiel des Keyloggers mag genügen. (2) Rechtliche Wertung de lege lata Durch Spyware kann der Zugang zu besonders gesicherten Daten verschafft werden. Dabei ist eine Vollendung erst gegeben, wenn die Daten tatsächlich in der Gewalt des Täters sind oder er aus der Ferne problemlos auf die Daten zugreifen kann. Weiter müssen die ursprünglichen Daten des Ausgespähten nach § 202a gesichert (gewesen), und gerade diese Sicherung überwunden sein. Es wird vertreten, schon die Verbringung von Spyware sei die Vollendung des § 202a StGB. Dem ist zu widersprechen. Die Verbringung von Spyware auf einen Rechner (etwa typischer- aber nicht zwingenderweise mittels eines Trojaners) kann entgegen einer teilweise vertretenen Ansicht513 nur bei Hinzutreten weiterer Merkmale als Vollendung des § 202a StGB gewertet werden. Dies galt bereits vor der Reform und gilt in abgeschwächter Form weiter. Buggisch514, auf den Fischer sich ausdrücklich stützen möchte, deutet zwar an, dass Spyware § 202a a. F. erfüllen kann. Er 512
Klaeren, Viren, Würmer und Trojaner, S. 107. Entgegen Fischer, § 202a Rn. 11. Nach MüKo-Graf, § 202a, Rn. 64, müssen die Daten (so sie als besonders gesicherte betrachtet werden können) erfolgreich an den Verwender transferiert worden sein. 514 Buggisch, NStZ 2002, 178, 179. 513
142
Teil 1: Rechtliche und technische Hinführung
beschreibt jedoch insgesamt ein anderes Geschehen. Er geht – und das ist wesentlich und zu benennen – davon aus, dass der Trojaner Passwörter (und nicht die mittels einer Passwortabfrage geschützten „dahinter liegenden“ Daten) ausspioniert und übermittelt: Diese aber sind selbst noch nicht taugliches Tatobjekt, da sie nicht besonders gesichert, sondern Bestandteil des Sicherungsmittels sind, siehe dazu schon oben II. 1. g), S. 118.515 Buggisch nimmt dieses Ausspähen denn auch nur als ersten Schritt an und geht weiter davon aus, dass der Täter sich mittels des ihm nun bekannten Passwortes gesicherte elektronische gespeicherte Daten im Ergebnis verschafft.516 Letzteres – und erst letzteres – ist die Vollendung des § 202a StGB a. F. wie n. F.: die Verschaffung der Daten und damit des Zugangs zu ihnen. B. Heinrich kann auf die Differenzierung verzichten, indem er sich mit einem Kunstgriff behilft: Er setzt Installation des Trojaners und die dadurch ermöglichte Weiterleitung von (noch zu sammelnden Daten) gleich: „durch die Installation eines Trojaners auf einem fremden Rechner und das dadurch hervorgerufene Weiterleiten[!] von Daten ist der Tatbestand des § 202a StGB problemlos erfüllt“517. Liegt dieses Weiterleiten vor, so soll nicht in Abrede gestellt werden, dass § 202a erfüllt ist. Dieses Weiterleiten ist aber keinesfalls selbstverständlich. Es kommt nach dem Gesetzeswortlaut darauf an, ob der Zugang zu gesicherten Daten verschafft ist. In dem Stadium der Verbringung von Spyware ist aber fraglich, ob der Zugang zu gesicherten Daten tatsächlich verschafft wurde, denn zwischen dem Verbringen der Spyware und dem Verschaffen des Zugangs liegen noch wesentliche Zwischenschritte: Die Spywarekomponente muss erstens sammelwürdige gesicherte Daten finden, sie zweitens sammeln, drittens ihre Sicherung überwinden und viertens muss sich eine Verbindung zu ihrem Verwender herstellen lassen. Nur dann hat er Zugang. Dabei droht in jedem Stadium Entdeckung und Vereitelung durch Bekämpfungsprogramme.518 Außerdem kommt es dem Verbringer zwar grundsätzlich auf das Ausspähen von Daten an – aber nicht in jedem Fall des Verbringens verfolgt er dieses Interesse tatsächlich. Dies hat mit dem rein praktischen Hintergrund der Verbringungstechnik zu tun. Spyware 515 Sowie MüKo-Graf § 202a, Rn. 63 der richtigerweise klarstellt, dass erst hinter einem (Passwort-)Schutz liegende weitere Passwörter (vom ersten) besonders geschützt sind, ebenso Schmachtenberg, DuD 1998, 401, 402. 516 Buggisch, NStZ 2002, 178, 179 ganz unten: § 202a sei erfüllt, „da sich der Täter mittels des Trojaners den Zugang zu grundsätzlich – z. B. mittels eines Passwortes – gesicherten elektronisch gespeicherte [sic!] Daten verschafft und von diesen auch regelmäßig Kenntnis nehmen wird.“ 517 B. Heinrich, HFR 11–2006, S. 4. 518 Zu den einzelnen exemplarischen Sicherheitsprogrammen, siehe ausführlich unten, S. 267 ff.
C. Phänomenologie der Ausspähtechniken
143
wird oft breit gestreut und ungezielt eingesetzt, sodass es fraglich ist, ob sie in jedem Fall die gewünschten Daten finden wird. Beispielsweise mittels Massen-E-Mail-Versands wird versucht, Spyware zigtausendfach zu platzieren in der Hoffnung, in einem Bruchteil bspw. Konto- oder eBay-Zugangsdaten zu erspähen.519 Es wird also extrem breit gestreut und wenn dies nur in jedem zigtausendsten Fall von Erfolg gekrönt ist, so ist dies mehr als ausreichend. Erst wenn aber die Daten dem Zugriff des Täters von Virenscannern unentdeckt und an der Firewall vorbei ausgeliefert sind, ist ein Verschaffen eines Zugangs anzunehmen. Dementsprechend spricht Graf richtigerweise davon, dass das Trojanische Pferd „als Vorbereitung des eigentlichen ‚Hackings‘ “ eingesetzt wird“.520 – Um im Bild zu bleiben: Das Verbringen der Krieger im Trojanischen Pferd hinter die Stadtmauern Trojas war noch nicht die Eroberung Trojas und auch noch nicht das Verschaffen des Zugangs zu Troja für die Spartaner. Es musste die Nacht hereinbrechen, die Krieger die Wachen überwältigen und zumindest das Tor für das restliche Heer öffnen. Erst dann hatte Sparta Zugang. – Die Installation der Spyware als solche hätte das (nicht pönalisierte) Versuchsstadium noch nicht erreicht. Verschafft waren Daten im Sinne des § 202a StGB a. F. nach allen Ansichten erst, wenn der Täter die Herrschaft über sie erlangte.521 Aber auch vom Verschaffen eines Zugangs kann nicht gesprochen werden, wenn die Daten nicht an den Täter kommuniziert wurden, sondern sich lediglich auf einem Rechner befinden, auf dem sich zwar ein von ihm verbrachter Trojaner befindet, es aber ungewiss ist, ob dieser die Daten kommunizieren (können) wird.522 Diese Gewissheit muss vorhanden sein. Ein Zugang ist mehr als eine mehr oder minder vage Zugangschance. 519 Kriminelle, die Bankkonten „leerräumen“ wollen, sehen sich weniger vor das Problem gestellt, Kontoinformationen und Zugangsdaten mittels Phishing und Spyware zu erlangen, als die Valuta unauffällig über Drittkonten in ihre Gewalt zu transferieren. Dazu suchen sie meist – ebenso durch E-Mailanschreiben – unter Vorwänden ahnungslose Dritte, die sich bereiterklären, Geldbeträge (von den Geschädigten) zu erhalten und diese auf Auslandskonten, meist über den Western Union Money Transfer, zu übermitteln. In der Regel können von den Verfolgungsbehörden nur diese Geldübermittler über die Überweisungsdaten ermittelt und mit unterschiedlichem Ergebnis – eine einheitliche Rechtsprechung hat sich noch nicht herausbilden können – zur Rechenschaft gezogen werden. Manches Gericht geht davon aus, dass die Übermittler aufgrund der Berichterstattung in der Presse mit Unrechtsbewusstsein und Vorsatz handelten. Vgl. zur strafrechtlichen Haftung: AG Hamm, Urt. v. 5. 9.2005 – Az. 10 Ds 101 Js 244/05 – § 263a, 27; AG Darmstadt Urt. v. 11. Januar 2006 – Az. 212 Ls 360 Js 33848/05 und zur zivilrechtlichen LG Hamburg, Urt. v. 18. Mai – Az. 334 O 10/06. 520 MüKo-Graf, § 202a Rn. 51. 521 Allg. A., vgl. stellv.: LK-Schünemann, § 202a Rn. 6; Krutisch, Computerdaten, S. 123 ff. jew. m. w. N. 522 Im Ergebnis ebenso Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 690 ff.
144
Teil 1: Rechtliche und technische Hinführung
h) Dialer Dialer, zu deutsch etwa (Ein-)Wähler, haben den Zweck, vom Anschluss des infizierten Rechners kostenpflichtige Telefon- und Internetverbindungen herzustellen, von denen der Verwender profitiert. Beispielsweise werden Mehrwertdienste („0190-Nummern“) angewählt, deren Verbindungsentgelte der Verwender erhält. Sie werden oft mittels Trojanern auf den Zielrechner verbracht. Dialer haben nicht den Zweck Daten auszuspionieren. Daher kommt eine Strafbarkeit gemäß § 202a StGB nicht in Betracht.523 i) Viren Wie oben bereits angeführt, spielen Viren im engeren Sinne für die hiesige Untersuchung keine große Rolle. Aufgrund ihrer Verbreitung, der Diskussion um sie in Sicherheitsfragen, insbesondere auch im Rahmen des § 202a und da sich aus ihnen weiterer Schadcode entwickelte, soll ihr Phänomen dennoch kurz dargelegt werden: Viren sind Schadprogramme, die konzipiert sind, sich wie ein biologisches Virus zu verbreiten und ihren Wirt, den Rechner zu schädigen, indem sie diesen auf verschiedenste Weisen manipulieren.524 Der Zweck eines Virus im engeren Sinne ist nicht Daten auszuspähen oder dies vorzubereiten. Er kann aber mit solchen Funktionen kombiniert werden. Der Begriff wurde aus der Biologie übertragen.525 Ein biologischer Virus ist in der Lage, in fremde Wirtszellen einzudringen und deren DNA so zu modifizieren, dass sie als Virenverbreitungsmaschine526 funktionieren. Viren in der Computertechnologie sind – dem vergleichbar – Programme, die sich selbst in gutartige Programme kopieren um diese ebenfalls zu einer Virenreproduktionsmaschine zu verändern.527 Die Programmfunktion des Wirts bleibt in aller Regel erhalten – und so der Virus unentdeckt.528 Während ältere Viren529 nur den Zweck der maximalen Verbreitung hatten, beinhalten heutige in der Regel zwei Funktionen: Eine „Fortpflanzungsmaschine“, die andere Programme befällt und sich dort als „Trojanisches Pferd“ eingliedert, und eine Schadfunktion, 523 So auch Buggisch, NStZ 2002, 178, 179 und Fischer § 202a Rn. 11a; vgl. schon Mühle, Hacker und Strafrecht, S. 25 ff., 30 ff. 524 Pierrot, in Ernst (Hrsg.), Hacker, S. 29, Rn. 81; Klaeren, Viren, Würmer und Trojaner, S. 104. Im Rückblick schon Dierstein, NJW-CoR 4/09, 8 ff.; ders. NJWCoR 5/90, 26 ff.; ders. 1/91, 26 ff. 525 Klaeren, Viren, Würmer und Trojaner, S. 104. 526 Klaeren, Viren, Würmer und Trojaner, S. 104. 527 Klaeren, Viren, Würmer und Trojaner, S. 104. 528 Pierrot, in Ernst (Hrsg.), Hacker, S. 29, Rn. 82. 529 Zur Historie vgl. Pierrot, in Ernst (Hrsg.), Hacker, S. 29. Rn. 85 ff.
C. Phänomenologie der Ausspähtechniken
145
die entweder sofort aktiv wird oder erst bei Start des befallenen Programms, zu einem bestimmten Datum oder sonstigen Ereignis.530 Dementsprechend läuft ein Virenbefall meist in zwei Stufen ab: In der ersten Stufe findet die ungehinderte Verbreitung statt. Davon zeitlich getrennt (um davor eine maximale Verbreitung im Verborgenen auf intakten Rechnern zu gewährleisten) findet später die eigentliche Schädigung statt. Diese kann darin bestehen, dass Datenteile gelöscht oder verändert werden, dass sämtliche Rechenleistung in Beschlag genommen wird etc.531 Heute werden fast beliebige Kombinationen von Schadcode als Viren bezeichnet.532 Der Begriff wurde auch außerhalb der Fachszene aufgegriffen und hat sich in der Folge von seiner ursprünglichen Bedeutung etwas gelöst. Treffender für solche Kombinationen, denen etwa auch Ausspähfunktionen usw. zugerechnet werden, ist allerdings der Überbegriff der Malware533, des Schadcodes oder der Schadfunktion. Für eine rechtlich und technisch präzise Bewertung ist auf die konkrete Schadfunktion abzustellen. Die nötige Trennschärfe im Einzelfall kann bei einer pauschalierenden Verwendung als Oberbegriff nicht erreicht werden. Nach dem daher hier zugrunde gelegten ursprünglichen und engen Virenbegriff ergibt sich eine klare rechtliche Wertung: Viren haben den Zweck sich zu vermehren und zu verbreiten. Sie schädigen die Leistungsfähigkeit des Wirtsrechners dadurch direkt oder indirekt. Sie spähen aber nicht Daten direkt534 aus oder verschaffen Zugang zu ihnen. Eine Erfüllung des § 202a StGB scheidet daher aus. Zu Antivirenprogrammen, siehe Teil 2, A. IV. 2.
530
Klaeren, Viren, Würmer und Trojaner, S. 104; Pierrot, in Ernst (Hrsg.), Hacker, S. 29, Rn. 83 f. 531 Klaeren, Viren, Würmer und Trojaner, S. 104 mit geschichtlichem Hintergrund; Hofer, JurPC 1991, 1367 ff.; Volesky/Scholten, iur 1987, 281, 287 ff. 532 So nehmen Libertius, MMR 2005, 507, 509 und Eichelberger, MMR 2004, 594, 596 an, dass Viren auch die „Vertraulichkeit von Daten“ verletzen könnten. 533 Vgl. oben, S. 110. 534 Indirekt kann es „unterstützend“ wirken, wenn das System aufgrund von Überlastung Spionageangriffe nicht mehr erkennen und abwehren kann, wenn Sicherheitslücken aufgerissen werden, weil die Schutzfunktionen nicht mehr stabil laufen etc. Dies sind aber indirekte Folgen des Virenbefalls. Um den sprachlich naheliegenden Vergleich zu biologischen Viren zu bemühen: Wie beim Lebewesen, das sich bei biologischem Virenbefall gegen weitere Angriffe auf das (geschwächte) Immunsystem oder andere Angriffe gegen seine Freiheit, seinen Körper etc. nur reduziert wehren kann, so erschwert auch der elektronische Virenbefall die Abwehr und erleichtert andere (mögliche) ausspähende Angriffe, ohne selbst ein solcher Angriff zu sein.
146
Teil 1: Rechtliche und technische Hinführung
j) Trapdoors und Backdoors Trapdoors (Falltüren) sind gewollte Sicherheitslücken in Programmen.535 Sie werden in der Produktionsphase zur Kontrolle des Systems eingebaut. Sie erlauben den Programmierern in das entsprechende System (meist Betriebssysteme) einzudringen.536 Werden diese Türen dann einfach vergessen oder aber absichtlich belassen, damit später eine Wartung oder ein Zugang im Notfall möglich ist, so stellen sie ein erhebliches Sicherheitsrisiko dar. Denn nicht nur die ehemaligen Programmierer können sie unbemerkt nutzen, sondern auch oft Dritte, die davon Kenntnis erlangen und den Zugang für ihre Zwecke gebrauchen. Daher sind die Softwarehersteller bemüht, solche Trapdoors zu verhindern.537 Backdoors (Hintertüren) dagegen sind ungewollte Sicherheitslücken. Die Begrifflichkeiten werden teils nicht scharf getrennt.538 Im Ergebnis ist die unterschiedliche Entstehung der Lücken nachrangig. Wesentlicher Unterschied ist, dass Trapdoors von Anfang an den Programmierern bekannt sind und dieselbe Tür bei jedem der Programme offen ist. Die Information über Trapdoors verbreitet sich naturgemäß schnell in den einschlägigen Kreisen. Der Aufwand einzudringen ist gering, da die Öffnung schon vorhanden ist und nicht nachträglich aufwendig eine Lücke geschaffen werden muss. Werden solche Türen nachträglich eingebaut spricht man von Backdoors. Sie werden mittels eines Trojaners (dann sogenannter Backdoor-Trojaner539) 535 Vgl. auch MüKo-Graf, § 202a, Rn. 64 a. E. und schon Mühle, Hacker und Strafrecht, S. 29. Sie sind dabei nicht zu verwechseln mit sog. Trapdoor-Einwegfunktionen der Kryptographie, s. dazu Beutelspacher/Schwenk/Wolfenstetter, Kryptographie, S. 12. 536 Unter anderem aus Furcht vor gewollten Lücken im Betriebssystem Microsoft Windows, so ein hartnäckiges Gerücht, soll China dessen Verwendung abgelehnt haben und OpenSource Produkte favorisieren. China habe gefürchtet, sonst der US-Regierung unkontrollierten Zugang zu fremden Computern zu ermöglichen. Auch im Bundestag sind solche Befürchtungen diskutiert worden und führten zu einer Hinwendung zu Linux, einem bekannten OpenSource. Bei OpenSource (s.o) gibt es durch die Offenheit des Quellcodes keine prinzipiell nicht auffindbaren Lücken. Ein Grund dafür, weshalb die Programme mehr und mehr Verbreitung finden. Einige OpenSource Systeme gelten als mittlerweile so ausgereift, dass sie selbst für sicherheitshochkritische Aufgaben verwendet werden, wie bspw. wesentliche militärische Funktionen, etwa bei militärischer Aufklärung zur Reaktion in Echtzeit, s. ReutersMeldung (Hrsg.), „Lockheed Martin Selects Concurrent’s RedHawk Linux Software for Next Generation Aegis Weapon System“, 2006; Briegleb, Heise-News 2006, No. 76165 (http://www.heise.de/newsticker/meldung/76165) und LeMond/Ramey, Boeing (Hrsg.), www.boeing.com, „P-8A Multi-mission Maritime Aircraft Program“, 2006. 537 Weitere Nachweise bei: Pierrot in Ernst (Hrsg.), Hacker, Rn. 62 f., 69. 538 S. Pierrot in Ernst (Hrsg.), Hacker, Rn. 62 einerseits und Rn. 69 andererseits. 539 Bekannte Beispiele sind „Sub Seven“ und „Back Orifice“.
C. Phänomenologie der Ausspähtechniken
147
oder anderweitig auf dem Zielcomputer installiert: Eine spezielle Lücke wird geschaffen oder allgemein die Systemsicherheit herunter gesetzt (indem etwa allgemeine Sicherheitseinstellungen reduziert und Sicherheitsprogramme torpediert werden), um anderen Programmen (nicht einmal unbedingt dem selben Täter) den Zugriff zu ermöglichen oder zumindest zu erleichtern.540 In den USA sind hartnäckigen Gerüchten zufolge Hersteller von Verschlüsselungssoftware verpflichtet, in ihren Programmen eine solche Hintertür von vornherein für Geheimdienste einzurichten.541 Mit amerikanischer Software verschlüsselte Daten wären dann vom dortigen Geheimdienst lesbar. Wie auch immer die Türen entstanden sind; durch sie können nun Eindringlinge in das System gelangen und es für ihre Zwecke nutzen. Dazu gehört in der Regel auch der Zugriff auf den Datenbestand. Die Daten können relativ problemlos verschafft werden. Das Problem ist nur der Transport nach draußen. Auch hier gilt das oben zu Trojanern Gesagte entsprechend: Das Belassen oder Einrichten einer Back- oder Trapdoor bei einem Dritten kann nur Vorbereitungshandlung für weitere Spionagetätigkeiten sein, nicht aber schon deren Vollendung. Mit einem herkömmlichen Diebstahl oder Hausfriedensbruch vergleichend entspräche dem das Aufschließen einer Hintertür in einem Super540 MüKo-Graf, § 202a, Rn. 64 a. E. s. bspw. die Zusatzfunktionen des bekannten Sober-Wurms, etwa unter: http://www.bsi.de/av/vb/sober-x.htm. Neben der eigenen Weiterverbreitung werden folgende Zusatzfunktionen angenommen: Deaktivierung der Antiviren-Programme, Ausspionieren des Systems und Reduzierung der Systemsicherheit. 541 Eindeutige Auskünfte sind naturgemäß nicht erhältlich. Die USA bezeichnen jedenfalls kryptographische Technologie als für die nationalen Sicherheitsinteressen unerläßlich. „Cryptographic technology is deemed vital to national security interests“ so schon 1992 die U.S.-amerikanische N.S.A. (Hrsg.) in einer – Presseauskunft an Joe Abernathy (Presseauskunft an Joe Abernathy v. Houston Chronicle CENTRAL SECURITY SERVICE – Gezeichnet Kammer und Studeman, Serial: Q43-11-92 9 v. 10 June 1992, s. www.epic.org). Eine eigene Geheimdienstorganisation mit ca. 38.000 Mitarbeitern wurde eigens für kryptologische Fragen geschaffen: Die N.S.A. sieht sich nach ihrem Selbstverständnis als „amerikanische kryptologische Organisation“. Es wurde somit eine gigantische Behörde geschaffen, deren alleiniger Zweck die Kryptologie ist. Die Ausfuhr von kryptologischen Produkten unterliegt der Einschätzung ihrer Wichtigkeit folgend starken Reglementierungen: Kryptographische Produkte werden „wie Waffen“ eingestuft und behandelt „wie eine Lenkrakete oder ein [. . .] Panzer“, so Schneier, Angewandte Kryptographie, Kap. 25.14, S. 691 ff. Vgl. heutzutage die vom U.S.-amerikanischen Department of State herausgegebene ITAR (International Traffic in Arms Regulations), 2006, Bestimmungen § 120.10 ff., § 121 und § 125. In § 121 werden neben Atomwaffen, Panzern, Raketen in der Tat kryptographische Systeme (Kategorie XIII unmittelbar vor Chemiewaffen in Kategorie XIV) aufgeführt. Dies zeigt, wie hoch die USA die Wichtigkeit von kryptographischen Systemen einschätzen und dass sie einiges daransetzen, die Kontrolle über kryptographische Lösungen zu erhalten.
148
Teil 1: Rechtliche und technische Hinführung
markt in der Hoffnung, dies werde nicht bemerkt und nach Ladenschluss könne von außen durch diese unverriegelte Tür eingedrungen und gegebenenfalls Beute gemacht werden. Das Aufschließen der Tür wäre hier bloße Vorbereitungshandlung eines Diebstahls beziehungsweise strafloser Versuch eines Hausfriedensbruchs und damit nicht strafbar. Etwas anderes gilt hier nach der Reform des 41. StrÄndG: Schon das Verschaffen einer realen Zugriffsmöglichkeit ist tatbestandsmäßig. Allerdings muss es unter Überwindung von Sicherungsmechanismen geschehen. Dies ist hier entscheidend: Ist die Tür von vornherein eingebaut, so bestand keine Sicherung, die hier gegriffen hätte. Ein originäres Schaffen eines lückenhaften Schutzzustandes kann ohne Verletzen der Wortlautgrenze nicht mit einem Überwinden eines notwendigerweise vorhandenen Schutzes gleichgesetzt werden. Wird dagegen die Tür nachträglich unter Überwindung von Sicherheitsmechanismen, die etwa Systemmanipulationen solcher Art vermeiden sollen, eingesetzt, so ist der Zugang zu den Daten tatbestandsmäßig verschafft und § 202a n. F. erfüllt. k) Ausnutzen transitiven Vertrauens Unter transitivem Vertrauen wird in der IT-Sicherheit eine Netzstruktur (sogenanntes Web of Trust) verstanden, die Berechtigungen aus einem Teilbereich unter bestimmten Voraussetzungen auch für andere Bereiche anerkennt. Grob vereinfachend liegt dem folgendes Prinzip zugrunde: Wenn die Einheit A der Einheit B voll und ganz vertraut (etwa, weil diese sich zertifiziert hat) und B der Einheit C voll und ganz vertraut, dann kann A auch der Einheit C voll und ganz vertrauen. Dies gilt sowohl für den einzelnen Rechner als auch für ganze Rechnernetze.542 Meldet sich ein Nutzer mit Benutzername und Passphrase an, so authentifiziert er sich sowohl beim lokalen System als auch am Netzwerk, an dem das lokale System angeschlos542 Unter dem Begriff Rechnernetz wird gemeinhin die Verknüpfung mehrerer in sich abgeschlossener Recheneinheiten (Computer) verstanden. Wenn auch jeder „weiß, was gemeint ist“, so ist eine trennscharfe Abgrenzung zwischen Rechner und Rechnernetz nicht möglich. Ein Computer selbst besteht schon aus einem Rechnernetz, da verschiedene Recheneinheiten, wie der Hauptprozessor (CPU von central processing unit) und der Grafikprozessor, miteinander verbunden sind. Auch bilden wieder mehrere vernetzte Computer eine Recheneinheit, die mit anderen Einheiten (cluster) wieder vernetzt werden kann. Es wird, der üblichen Terminologie – wissend um deren Unschärfe – folgend, da es hier nicht um technische Details, sondern deren exemplarische Darlegung gehen soll, der Begriff Computer, Rechner oder Recheneinheit für einen handelsüblichen „Rechner“ gebraucht. Der Begriff des Netzes, des Netzwerks oder der Vernetzung dagegen für den Zusammenschluss dieser Einheiten. s. dazu schon Fn. 251, S. 74 und Böckenförde, Ermittlung im Netz, S. 1 Fn. 2.
C. Phänomenologie der Ausspähtechniken
149
sen ist. Man kann auch sagen, Benutzerkennung und Passphrase gelten für mehrere Ebenen. Hat nun aber ein Hacker eine Ebene eines solchen Systems erreicht, so befindet er sich nicht nur auf dieser Ebene, sondern er erreicht von dieser auch viel leichter die anderen verbundenen Ebenen als von außen. Er ist nun im System. Das „Vertrauen“ der anderen Ebenen wird ausgenutzt. Es stehen keine weiteren oder nur schwache Sicherungsmechanismen entgegen. Daher schließt Pierrot: „Hier gilt [. . .]: Die Kette ist nur so stark wie ihr schwächstes Glied“.543 Vergleichbar ist dies einem herkömmlichen Einbruchsgeschehen insofern, als ein Haus gegen Eindringen von außen geschützt ist. Die Türen im (Wohn-)Haus sind meist nicht verschlossen, da davon ausgegangen wird, dass jemand, der sich aus einem Raum im Haus nähert, vertrauenswürdig ist und ihm kein Widerstand entgegengebracht werden muss. Ist der Einbrecher also erst einmal eingedrungen, so kann er sich – relativ – frei bewegen. Hiergegen helfen, im herkömmlichen „analogen“ wie im hier untersuchten elektronischen Geschehen, wiederholte Kontrollen. Diese führen aber in beiden Fällen zu geringem Bedienkomfort. Das erstmalige Eindringen in das System kann § 202a verwirklichen, wenn dieses Eindringen eine gesonderte Sicherung überwindet. Die bloße Integrität des Systems ist noch keine Sicherung. Sie muss besonders gestaltet sein. Hier kommen etwa Firewalls in Betracht, die ein Eindringen verhindern sollen.544 Das danach ermöglichte Ausnutzen von „elektronischem“ Vertrauen ist aber kein (erneutes) Überwinden einer Sicherung. Wie beim social engineering wird darauf gesetzt, dass das gesicherte Tor bereitwillig dem vermeintlichen Freund geöffnet wird. Weitere Sicherungen werden nicht überwunden, die Daten werden irrig aber freiwillig preisgegeben. Wurde im ersten Schritt aber eine Sicherung überwunden (Fallfrage), dann setzt sich diese fort. Durch das erstmalige Eindringen unter Überwindung einer Sicherung ist der Zugang zu allen nun offen liegenden Daten verschafft. § 202a n. F. (wie schon a. F.) ist dann erfüllt. l) Man-in-the-Middle Entfernt verwandt mit dem Ausnutzen transitiven Vertrauens ist die Manin-the-middle-Methodik – auch nach dem doppelköpfigen Ianus der römischen Mythologie Ianusangriff genannt: Die Kommunikation zwischen zwei Stellen wird vom „Man in the middle“ abgehört, indem dieser sich als Mitt543 Pierrot in Ernst (Hrsg.), Hacker, Rn. 70; vgl. ausf. zum Problem und zur Absicherung des Prinzips der transitiven Sicherheit: Riechmann, Sicherheit, insb. S. 39 ff. 544 Dazu siehe unten S. 269, dort Kap. 1.
150
Teil 1: Rechtliche und technische Hinführung
ler in den Kommunikationskanal aktiv einklinkt. Er vermittelt die Kommunikation mit dem Ziel, sie zu erfahren. Dabei steht er physisch – oder heute meist logisch – zwischen den Kommunikationspartnern. Dabei hat er volle Kontrolle über den Datenverkehr zwischen den beteiligten Netzwerkteilnehmern und kann die Informationen nach Belieben auslesen und sogar manipulieren. Die Janusköpfigkeit des Angreifers besteht darin, dass er den Kommunikationspartnern das jeweilige Gegenüber vortäuschen kann, ohne dass sie es merken. Dies ist beim Datenaustausch in kleineren Netzen (etwa Unternehmensnetzen) gut möglich. Die Zwischenschritte der Kommunikation des Kommunikationspartners werden üblicherweise nicht kontrolliert. Die Stärke der IP-Datenübertragung wird hier zur Schwäche der Kommunikation und findet in der Konzeption und Historie des Internet seine Begründung:545 Informationen „suchen sich selbst ihren Weg“. Es gibt keine vorgegebene Route. Die Information wird in Datenpakete unterteilt und abgesandt. Jedes Paket wird dann über andere Netzteilnehmer in Richtung des Zielrechners weitervermittelt. Dieser setzt die einzelnen Datenpakete dann wieder zusammen. Dadurch ist es für die anderen an der Kommunikation beteiligten Rechner relativ problemlos möglich, die übermittelten Daten auszulesen, da sie in aller Regel nicht verschlüsselt sind. Schutz bieten hier zwei Tatsachen: Erstens ist der Weg im Normalfall nicht manipuliert und der Informationsmittler hat kein Interesse alle durchgeleiteten Pakete auszulesen. Zweitens bekommt er auch nur einen Bruchteil (nur ein paar Pakete) einer Information. Die Chance, dass er so viele Datenpakete erhält, dass er sie sinnvoll zusammenfügen kann, ist üblicherweise rein theoretisch. Wird dieser Weg aber derart manipuliert, dass die Datenströme zwangsweise über den einen Mittler laufen, ergibt sich ein anderes Bild. Es gibt verschiedene Möglichkeiten dies zu realisieren, es seien hier nur wenige genannt: Neben dem Verschaffen des physischen Zugangs zu den Datenleitungen kann der Angreifer auch Kontrolle über einen Router, durch den der Datenverkehr läuft, erlangen. Weiter kann er auf Ausgangsseite die so genannten ARP-Tabellen546 manipulieren und so den gesamten Datenverkehr umadressieren und durch sein System schleusen. Befindet sich der Täter im gleichen lokalen Netz wie der Adressat, hat er Möglichkeiten, an die dort kommunizierten Daten zu gelangen.547 Dies funktioniert nicht nur bei der Internet-, sondern auch bei der Telefonkommunikation. Als Beispiel aus der 545 s. zur Historie des Internet und seiner dadurch bedingten mangelhafte Sicherheitsstruktur: oben S. 120. 546 Nicht mit der o. g. ARPA zu verwechseln. ARP steht für Address Resolution Protocol und ist ein Netzwerkprotokoll, das die Zuordnung von Internetadressen zu Hardwareadressen möglich macht. 547 Etwa indem er einen falschen DHCP-Server vorspiegelt oder in einem Netz mit Busstruktur den Bus manipuliert.
C. Phänomenologie der Ausspähtechniken
151
staatlichen Ermittlungspraxis sei die Verwendung eines sogenannten IMSICatchers genannt. Es gibt bereits deutliche Anzeichen dafür, dass kriminelle Organisationen diese Technik ebenfalls nutzen.548 IMSI-Catcher, für deren Verwendung eigens § 100i StPO eingeführt wurde,549 dienen der Ermittlung der IMSI, d.h. der International Mobile Subscriber Identity, also der Kennung auf der sog. Subscriber-Identity-Module-Karte (SIM-Karte) im Handy,550 der Ermittlung der EMEI, also der Kennung des Gerätes selbst, sowie dessen Lokalisierung.551 Auch ein Mithören abgehender Gespräche ist möglich.552 Zur Ermittlung der Daten simuliert ein IMSI-Catcher die Basisstation einer regulären Funkzelle eines Mobilfunknetzes. Er gibt sich also als Funkmast aus. Alle eingeschalteten Handys553 im Einzugsbereich dieser vermeintlichen Netzzelle (also auch die unbeteiligter Dritter) und mit einer SIM des simulierten Netzbetreibers (wobei mehrere Netzbetreiber zugleich simuliert werden können) buchen sich nun automatisch beim IMSICatcher ein. Der Catcher gibt sich dann seinerseits gegenüber der eigentlichen Basisstation (Funkmast) als Handy aus und leitet so die Informationen weiter. Damit fungiert er als unsichtbarer Man-in-the-middle, der alle Kommunikationsdaten durchleitet554 und dadurch auslesen kann.555 Schutz vor der Angriffsart des Man-in-the-middle ist neben dem Versuch, dieses Dazwischendrängen zu unterbinden, etwa durch gegenseitige, wiederholte und geschützte Identifikation bzw. Authentifikation, vor allem die Verschlüsselung des gesamten Datenaustausches.556 548 Diese Gerätevariante, deren Preis bei 200.000–300.000 e liegen soll, ist bereits ein „Exportschlager“, für den sich kriminelle Organisationen brennend interessieren, so Fox, DUD 2002, 212, 214. 549 Pfeiffer, § 100i StPO Rn. 1. Siehe schon die „Normüberschrift“ in MeyerGoßner, § 100i StPO und Rn. 1. Vgl. auch die Entscheidung des BVerfG zur Verfassungsmäßigkeit des IMSI-Catcher Einsatzes und den Grenzen: BVerfGE, 2 BvR 1345/03 vom 22.8.2006. 550 Die IMSI wird grundsätzlich zwar nicht übertragen. Durch einen speziellen „IMSI Request“ der Basisstation (ein Kommando, das üblicherweise nur im Fehlerfall benötigt wird) kann die Herausgabe der IMSI vom Handy aber erzwungen werden. Fox, DUD 2002, 212, 213. 551 KK-Nack, § 100i StPO Rn. 2. 552 Dies erlaubt eine Modellvariante (GA 900) des gebräuchlichen Gerätes, Fox, DUD 2002, 212, 213. 553 Der „Stand-by-Betrieb“ reicht aus. Zur Kommunikation im Moment verwendete Geräte werden nicht erfasst, da sie grundsätzlich nicht die gewählte Basisstation „verlassen“, um sich beim IMSI-Catcher einzuwählen, Fox, DUD 2002, 212, 213 und Fußnote 6. 554 Und so die Daten geradezu „fängt“, um mit Schäfers Worten zu sprechen, die sich an die englische Gerätebezeichnung anlehnen, LR-Schäfer, § 100i, Rn. 4. 555 Fox, DUD 2002, 212, 215.
152
Teil 1: Rechtliche und technische Hinführung
In rechtlicher Hinsicht gilt, dass die Daten, ähnlich dem Phishing, vom Opfer übermittelt werden und sich nicht der Täter einen Zugang zu ihnen verschafft. Computertechnisches „Vertrauen“ wird ausgenutzt und das Gegenüber dazu verleitet, von sich aus die Daten preiszugeben. Schon daher scheidet § 202a aus. Zudem müssten die Daten selbst gesichert sein. m) Session Hijacking Beim session hijacking557 (zu deutsch etwa „Entführen einer Kommunikationsverbindung“) als Variante des Man-in-the-middle-Angriffs übernimmt der Hacker die gesamte Verbindung. Er empfängt nicht nur die Daten, leitet sie ohne Änderung weiter und ließt sie aus, sondern er nimmt aktiv an der Kommunikation teil. Gelingt es etwa bei einer online-banking Verbindung zwischen Bank und Kunde zu gelangen, so erfährt der Hacker PIN und TANs des Nutzers. Gibt er nun die TAN aber nicht weiter an die Bank, so kann er sie selbst nutzen. Dem Kunden wird dann, um ihn in Sicherheit zu wiegen, eine Fehlermeldung übermittelt oder eine Eingabe einer anderen TAN wird angefordert. Der Kunde wird von der Manipulation nichts bemerken. Diese Methodik ist eng verwandt mit den oben beschriebenen Phishing(siehe b), S. 126) und Pharmingtechniken (siehe c), S. 130) sowie den Manin-the-middle-Techniken. In rechtlicher Hinsicht gilt das dort Gesagte. Die Daten werden ungesichert freiwillig an die Täter übermittelt, da das Opfer ein vertrauenswürdiges Gegenüber vor sich wähnt. § 202a scheidet daher aus. 3. Methoden der Tarnung Eine Darstellung der Angriffsarten ist ohne eine kurze Nennung der Tarnungsmöglichkeiten unvollständig. Nicht nur bei den aufgeführten Taktiken, als „Mittelsmann“ in eine Kommunikationsverbindung einzudringen oder diese „zu entführen“, ist es wichtig, dass der Nutzer vom Angriff nichts mitbekommt. Andernfalls wird er sofort Abwehrmaßnahmen treffen, etwa die Kommunikation einstellen. Wer Geheimes entdecken will, handelt im besten Falle selbst geheim. Dies gilt in der elektronischen Welt wie in der analogen.558 Wird versucht, über das Internet auszuspähen, so gilt es, die 556
Eine weitere Möglichkeit soll die sogenannte Integrity Protection bieten: Die übertragenen Informationen erhalten eine Identitätssignatur, den Message Authentication Code, der mit Hilfe eines vorher zwischen Netz und Nutzer ausgehandelten Codes erzeugt wird. Nur wenn diese Codes übereinstimmen, wird die Nachricht als gültig anerkannt. So kann der Informationsweg kontrolliert werden. 557 Vgl. insgesamt Klaeren, Viren, Würmer und Trojaner, S. 107. 558 Die Bezeichnung der Geheimdienste etwa leitet sich nicht nur daraus ab, dass sie fremde Geheimnisse in Erfahrung bringen möchten. Sie arbeiten auch geheim.
C. Phänomenologie der Ausspähtechniken
153
eigene Identität zu verschleiern und teils eine fremde vorzutäuschen. Wie schon dargelegt wird die Identität eines Computers in einem Netzwerk mittels dessen einmaliger IP-Adresse (verkürzt IP) – vergleichbar einer Telefonnummer – festgestellt.559 Dadurch können Nachrichten gezielt an ihn zu adressiert werden. Es gibt grundsätzlich zwei Arten, zu verhindern, über eine IP-Adresse identifizierbar zu sein: Man sorgt dafür, dass zwar eine richtige IP-Adresse sichtbar ist, diese aber die Identifikation des konkreten Rechners (und damit den Schluss auf den Nutzer) nicht erlaubt – sogenanntes masquerading. Nach der zweiten Methode wird die IP-Adresse selbst verfälscht. Der Gegner wähnt also ein anderes Gegenüber „vor“ sich – sogenanntes spoofing. a) Masquerading Beim masquerading wird dem Gegenüber eine andere eigene Identität vorgetäuscht.560 Dies ist dann sinnvoll, wenn nicht die vorgenommene Tätigkeit als solche verschleiert werden soll, sondern die Identität ihres Urhebers. Dies ist dann sinnvoll, wenn die Mitwirkung der Gegenseite nötig ist und zugleich angenommen wird, dass die Gegenseite nicht mit „jedem“ zusammenwirkt. Beispielsweise wird die IP-Adresse dergestalt maskiert, dass der Nutzer einen anderen Rechner als Durchgangsstation benutzt. Denn: Hängen mehrere Rechner über einen gemeinsamen Router am Internet, so sieht man von außen eben nur diese eine IP-Adresse des Routers. Die Adressen der einzelnen Rechner dahinter sind nicht sichtbar und die konkreten Rechner daher nicht identifizierbar. Eine solche Adress-Übersetzung ist eine allgemein übliche Technik und wird von fast allen kleineren Routern angewandt. Das Gegenüber weiß also, dass der andere hinter diesem Durchgangsrechner sitzt, aber nicht, welcher Rechner es ist und schon gar nicht, welcher Nutzer verantwortlich ist.561 Dabei ist diese Technik nicht zwangsSelbst ihre Existenz (so lange Zeit bei der NSA) oder wesentliche Tätigkeiten (etwa das ganz umfassende Spionageprogramm ECHELON, s. dazu G. Schmid im Interview mit Schulzki-Haddouti, Telepolis (TP) 20.04.2001, Art. 7428 (http://www. heise.de/tp/r4/artikel/7/7428/1.html) sind geheim. 559 Vgl. Fn. 464, S. 130. Zum Problem, von der IP-Adresse auf den Nutzer zu schließen, vgl. Dietrich, NJW 2006, 809. Die von der IP-Adresse zu unterscheidende, aber ebenfalls eindeutige Mac-Adresse wird nicht stets kommuniziert. 560 BSI, IT-Grundschutzhandbuch, 2005, G 5.25. 561 Dies wird bei den Ermittlungsversuchen im Internet oft verkannt und der Zugangsinhaber mit dem Täter gleichgesetzt. Dies ist aber so nicht richtig, vgl. dazu Dietrich, NJW 2006, 809; ders., GRUR-RR 2006, 145 und ders., IT-Rechtsfragen, S. 87 ff., zu den Versuchen und praktischen wie rechtlichen Problemen, Täter im Internet zu ermitteln.
154
Teil 1: Rechtliche und technische Hinführung
läufig mit diesen taktischen Hintergedanken verbunden, sondern kann ganz alltäglich sein. Teilen sich also, etwa in einer Wohngemeinschaft oder einem Unternehmen, mehrere Rechner einen Internetzugang, so ist von außen nur erkennbar, dass der Zugriff aus dieser Einheit (Wohnung oder Unternehmen) stammt. Aus diesen Gründen wird die zivilrechtliche (Störer-)Haftung des Anschlussinhabers recht weit gefasst, weshalb diese Verschleierung aus Tätersicht oft nicht als ausreichend angesehen wird.562 Aus strafrechtlicher Sicht ist der Täter zu ermitteln. Eine „Halterhaftung“ wie beim Kraftfahrzeug kennt das Strafrecht nicht.563 Das eben dargestellte praktische Beispiel des IMSI-Catchers zählt dabei auch zu Masquerading-Angriffen, da sich der Catcher als reguläre Funkzelle ausgibt, die er jedoch nicht darstellt.564 b) Spoofing Fälscht man die IP-Adresse, so kann man zwar nicht adressiert werden, allerdings kann so auch die eigene Absenderidentität verschleiert werden. Dies wird als Spoofing (engl. für „Manipulation“, „Verschleierung“) bezeichnet. Spoofing bildet dabei mittlerweile den Oberbegriff für zahlreiche Arten der Identitätsverschleierung. Die IP-Adressen-Verschleierung soll hier exemplarisch herausgegriffen werden.565 Spoofing findet im Bereich des Phishing ein wesentliches Anwendungsfeld. Mittels Spoofing kann dem Nutzer vorgegaukelt werden, er befinde sich auf der Internetseite seiner Bank und gebe dort seine sensiblen Daten ein, während er sich auf der 562
Bei Urheberrechtsverletzungen – wie sie etwa durch illegalen Datenaustausch im Internet vorkommen – besteht ein zivilrechtlich sehr weiter Verantwortungsbereich, insbesondere kann der bloße Störer oder Veranlasser (verschuldensunabhängig) zur Verantwortung gezogen werden, wenn er eine kausale Ursache (wie die Bereitstellung eines Internetzugangs) gesetzt hat und Urheberrechtsverletzungen durch Dritte nicht (zumutbar) verhindert hat, Rehbinder, Urheberrecht, § 66, S. 388; Schricker-Wild, UrhR-Komm., § 97 Rn. 35, 36a; Fromm/Nordemann, UrhR-Komm., § 97 Rn. 20; Möhring/Nicolini-Lütje, UrhR-Komm., § 97 UrhG, Rn. 31; Wandtke/ Bullinger-v. Wolff, UrhR-Komm., § 97 Rn. 14; Schack, Urheberrecht, Rn. 704, 706; Dreier/Schulze, UrhR-Komm., § 97 Rn. 33 f. Vgl. auch Dietrich, IT-Rechtsfragen, S. 87, 95 ff.; Gietl, MMR 2007, S. 630. 563 Dietrich, IT-Rechtsfragen, S. 87, 95 ff. 564 Fox, DUD 2002, 212 ff., Fn. 5. 565 Heutzutage versteht man unter Spoofing alle Methoden, mit denen sich Authentifizierungs- und Identifikationsmaßnahmen, die auf vertrauenswürdigen Adressen oder Hostnamen aufbauen, torpedieren lassen. Dazu zählen neben dem IPSpoofing (dazu BSI, IT-Grundschutzhandbuch, 2005, G 5.48) insbesondere: ARPSpoofing (s. dazu BSI, IT-Grundschutzhandbuch, 2005, G 5.112), DNS-Spoofing (BSI, IT-Grundschutzhandbuch, 2005, G 5.78), Mail-Spoofing und das URL-Spoofing.
C. Phänomenologie der Ausspähtechniken
155
Internetseite Krimineller befindet.566 Die Manipulation der eigenen IPAdresse ist etwa vergleichbar einem Schreiben unter einer Phantasieidentität, einem Alias oder Pseudonym – die andere Seite wähnt ein anderes Gegenüber. Das Internet entstand in einem Umfeld gegenseitigen Vertrauens, daher wurde auf die Sicherheitsarchitektur nicht gesondert geachtet,567 und es sind bis heute wenig Sicherungsmaßnahmen vorhanden, die eine Identitätskontrolle ermöglichen.568 Die Einführung von elektronischen Signaturen soll hier Abhilfe schaffen, sieht sich aber erheblichen praktischen und rechtlichen Problemen ausgesetzt.569 Im Unterschied zum Masquerading, das schon mittels üblicher Verwendung eines Routers entsteht, ist Spoofing in jedem Fall bewusstes und gewolltes Abändern der Rechneridentität.570 c) Rootkits Rootkits dienen dazu, das Vorhandensein von Hintertüren und Schadprogrammen zu verschleiern. Dazu wird das System dergestalt an seiner „Wurzel“ (engl. root) manipuliert, dass es bestimmte Dateien, Prozesse oder Netzwerkaktivitäten nicht mehr anzeigt.571 Bildhaft gesprochen sitzt die 566
Zum Phishing siehe oben. Zu aktuellen Techniken des Phishing, insb. unterstützt durch Spoofing, siehe Chou/Ledesma/Teraguchi et al., NDSS 2004, identity theft, S. 1 ff. (spoofingunterstütztes Phishing); Clayton, 13th Cambridge Prot. Workshop 2005: Insec. Real-world authentication protocols, S. 1 ff.; Felten/Balfanz/ Dean/Wallach, Tech.Rep. Princeton 540, (1997), 96 ff.; Herzberg/Gbar, Crypt. Eprint Rep. 2004/155; Jakobsson/Young, Crypt. ePrint Rep. 2005/091, S. 1 ff. (zu sog. distributed phishing attacks); Jakobsson, Phishing, Financial Cryptography 2005, S. 1 ff.; Ye/Yuan/Smith, CSTR 2002, 417 ff. 567 s. dazu oben unter „transitives Vertrauen“, S. 148 und der kurzen Darstellung der Historie des Internet und seiner mangelnden Sicherheitsarchitektur, in Fußnote 545, S. 150. 568 Pierrot in Ernst (Hrsg.), Hacker, Rn. 76. Die nächste Generation der Internet Adressierung IPv6 soll das erheblich verbessern. 569 Vgl. hierzu Schulze-Heiming, Computerdaten, S. 77. Allgemein zur elektronischen Signatur s. Grimm in Roßnagel/Banzhaf/Grimm, E-Commerce, S. 91 ff.; Federrath/Pfitzmann/Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 65 ff. Vgl. weiter ausf. und monographisch Baum, E-Signaturen, S. 21 ff.; Heusch, E-Signatur, S. 31 ff.; Jungermann, E-Signaturen, S. 1 ff.; Kunstein, E-Signatur, S. 41 ff.; Rapp, E-Signaturen, S. 1 ff.; Seck, E-Signatur, S. 1 ff., 9 ff.; weiter insgesamt Hoeren/Schüngel (Hrsg.), Digitale Signatur, S. 15 ff. 570 Auch hier gibt es aber technisch sinnvolle „gutartige“ Verwendungen der spoofing-Technologie, worauf Pierrot in Ernst (Hrsg.), Hacker, Rn. 77 hinweist. 571 Schüler, c’t 10–2005, S. 142 ff. m. w. N. Traurige Berühmtheit erlangte das Rootkit von Sony BMG, das sich automatisch beim Abspielen bestimmter AudioCDs dieses Unternehmens auf den Rechnern von Konsumenten installierte, um einen Kopierschutz zu tarnen. Das Rootkit sollte also der Durchsetzung der Urheberrechte von Sony BMG dienen und stellte damit eine DRM-Maßnahme dar, S. 122 ff.
156
Teil 1: Rechtliche und technische Hinführung
Schadsoftware so tief, dass keine Software „darüber“ sie entdecken kann. Sie „fliegt unter dem Radar“. d) Rechtliche Wertung Die Verwendung von Verschleierungstechniken wie masquerading, spoofing und der Einsatz von rootkits dienen nicht direkt zur Erlangung von Information. Sie sind vorbereitendes, begleitendes oder (selten) zeitlich nachfolgendes Sicherungsmanöver, um das Entdeckungsrisiko zu minimieren. Dementsprechend verwirklichen diese Taktiken nicht § 202a StGB. 4. Verknüpfung der Techniken Meist wird nicht auf nur eine Ausspähttechnik gesetzt, wie dies teilweise bereits dargelegt wurde, sondern es werden mehrere Techniken kombiniert, die dann möglichst verschleiert werden. Beim Trojanerangriff ist dies am augenscheinlichsten: Der Trojaner ist nur das Vehikel für das Einschleusen eines Schadprogramms (1. Schritt). Dieses wiederum öffnet möglicherweise die Türen (Trapdoors, 2. Schritt) für weitere Schadprogramme, die dann Daten suchen und sammeln (etwa Spyware, 3. Schritt) und sie über ein Botnetz (das in eigenen Schritten gebildet wurde) verschleiert versenden (4. Schritt). Oft kommt so ein ganzes Paket von Schadprogrammen, die oft miteinander zu einer Einheit verschmolzen sind, auf einen Rechner. Der bekannte Sober-Wurm etwa verbreitet sich per E-Mail, öffnet dann aber Türen für weitere Schadprogramme, indem er die allgemeinen Sicherheitsfunktionen reduziert, erschwert das Auffinden weiterer Schadprogramme, indem er die Antivirensoftware deaktiviert und spioniert noch das System aus.572 Für diese Pakete gilt in rechtlicher Hinsicht, dass stets auf die einzelne Funktion abzustellen ist, es sei denn, es ergibt sich aus der Kombination eine Funktion, die durch eine Teilfunktion nicht dargestellt werden kann. Dies ist aber selten der Fall. Die (ungewollte) Folge war jedoch, dass andere Programme diese „Tarnkappe“ ebenfalls nutzen konnten, was auch rasch geschah. Nutzer kauften also gutgläubig eine Audio-CD, spielten sie auf dem PC ab und schädigten dadurch ihre Sicherheitsarchitektur massiv. (Sony BMG wurde in der Folge mit Sammelklagen bedroht und sah sich unter diesem Druck gezwungen, die CDs vom Markt zurückzunehmen und zu ersetzen. Auch distribuierte das Unternehmen kostenlose Software zum Entfernen des Rootkits, vgl. Himmelein, Heise News 2005, No. 67850 (http://www. heise.de/newsticker/meldung/67850). 572 s. die Kurzbeschreibung beim Bundesamt für Sicherheit in der Informationstechnik unter http://www.bsi.de/av/vb/sober-x.htm . Naturgemäß können die weiteren Funktionen nur vermutet werden, sie gelten aber als sehr wahrscheinlich.
C. Phänomenologie der Ausspähtechniken
157
5. Zusammenfassung Es wurden verschiedenste Angriffsarten auf die elektronische Geheimsphäre dargelegt. Diese Vielfalt für sich ist schon bemerkenswert. Die Angriffe erreichen allein durch sie eine neue Qualität. Die Abwehr so vieler verschiedener Techniken ist schwierig. Teils muss spezifisch vorgegangen werden, teils möglichst breit, um keine Lücken entstehen zu lassen. Das Gesetz in der a. F. wollte das Ausspähen von Daten pönalisieren. Der Schutz, der diesem entgegengesetzt sein soll, sollte aber schon seinerzeit einer gegen Zugang, nicht namentlich gegen das Ausspähen sein. Zu dieser Zeit wurde die noch jetzt bestehende herrschende Meinung geprägt, von der auch die Literatur, so weit sie sich bereits geäußert hat, keinen Grund sieht abzurücken.573 Es wurde gezeigt, dass die Angriffstechniken zum Eindringen einerseits und zum Ausspähen andererseits teilweise dieselben sind, sich teilweise überschneiden aber auch grundverschieden sein können. Wer Daten ausspähen möchte, der muss sich Zugang zu ihnen verschaffen. Dies bedeutet aber nicht umgekehrt, dass wer sich Zugang zu Daten verschafft, diese stets im Ergebnis ausspäht indem er sich Kenntnis verschafft.574 Sicherungen gegen den Zugang sind damit teilweise zugleich Sicherungen gegen das Ausspähen. Manche Sicherung gegen Zugang erschöpft sich aber in einem reinen Schutz gegen das Eindringen, dem allerdings keine Ausspähung folgen würde. Der Schluss, eine Sicherung gegen unerlaubten Zugang schütze stets zugleich vor dem Ausspähen ist damit nicht zulässig. Dies wird – auch vor dem Hintergrund der Reform575 – noch entscheidend sein. Manche Technik ist herkömmlichen Zugangs- und Ausspähtechniken verwandt, wie etwa das social engineering. Andere sind völlig neu und können nicht mit herkömmlichen Techniken verglichen werden. Dies macht es unmöglich, herkömmliche rechtliche Bewertungen analog anzuwenden und die zugehörigen Gedanken zu übertragen. Geschieht dies trotzdem, dann muss dies zwar nicht zwingend zu falschen Ergebnisse führen. Ohne die richtige Begründung sind diese Ergebnisse aber mehr oder minder zufällig und nur von „geahnter Richtigkeit“. Neue Techniken bedürfen einer neuen Bewertung. Diese muss dabei nicht auf völlig neuen Füßen stehen und das Rad nicht neu erfunden werden. Die schlichte Übertragung von Wissen aus 573 Ernst, NJW 2007, 2661 ff.; Gröseling/Höfinger, MMR 2007, 549 ff.; Schumann, NStZ 2007, 675 ff. Vgl. zur Reform insg. die hier genannten sowie wiederum Gröseling/Höfinger MMR 2007, XXVIII ff.; MMR 2007, 626 ff.; Cornelius, CR 2007, 682 ff. 574 Vgl. ausf. oben, S. 108, dort Kap. II. 575 Die so Ernst, für § 202a kaum wesentliche praktische Konsequenzen hat und lediglich eine Klarstellung sei, was er mehrfach betont. Ernst, NJW 2007, 2661 f.
158
Teil 1: Rechtliche und technische Hinführung
einem anderen Bereich ist jedoch nicht ausreichend. Mit der bekannten juristischen Methodik und den bisherigen Gesetzen sind befriedigende Ergebnisse erreichbar. Je mehr die technischen Details bekannt sind, desto einfacher, klarer und valider wird, bei Anwendung klassischen Handwerkszeugs, die Bewertung. Ob die jetzige, jüngst aktualisierte Rechtslage der Bedrohung gewachsen ist, steht auf einem anderen Blatt. Bemerkenswert ist weiter auch schon die Vielfalt der hier nur exemplarisch aufgezählten Angriffstechniken bemerkenswert. Viele Datenbereiche wie WLANs576, EC-Karten, Anrufbeantworter,577 RFIDs,578 Mobilfunkgeräte579, portable Medienspieler (MP3-Player)580 etc. wurden hier schon insgesamt ausgeklammert.581 Bei etlichen der Angriffstechniken möchte man von krimineller Energie und Verwerflichkeit sprechen. Viele erfordern ein hohes Maß an technischem Können und werden im klaren Wissen begangen, dass sich Zugang zu seinen Daten verschafft wird. Doch: Die meisten Angriffstechniken sind, ohne dass auf Einzelfragen zu § 202a einzugehen wäre, nach § 202a relativ unproblematisch nicht erfasst. Dies rührt in erster Linie daher, dass der Gesetzgeber sich dazu entschieden hat, nur gesicherte Daten strafrechtlich zu erfassen, nicht aber den Fall, dass das Gegenüber zwar täuschungsbedingt, aber freiwillig seine Daten preisgibt. Die Vorverlagerung der Strafbarkeit auf die Verschaffung des Zugangs ändert an dieser qualitativen Wertung wenig. Dadurch entstehen erhebliche Strafbarkeitslücken, die schwer zu schließen sind. Die Alternative, strafrechtlich jegliche Daten zu erfassen, wäre das größere Übel. Nicht nur Bagatelltaten, sondern auch sozial übliche Verhaltensweisen würden pönalisiert.582 576
Dazu Dornseif/Schumann/Klein, DuD, 1998, 226 ff.; Bär, MMR 2005, 434 ff.; Ernst, CR 2003, 898 ff. Zur technischen Vorgehensweise, s. weiter Bachfeld, c’t 13–2004, S. 92. 577 Vgl dazu Krause, JurPC 1994, 2758 ff.; LK-Schünemann, § 202a Fn. 31; Schmachtenberg, DuD 1998, 401; Antwort der BReg auf Anfrage der Grünen, BTDrs 12/6500 und 6706. 578 RFID-Tags sind erst „im Kommen“. Sie dürften sowohl massenweise Verbreitung als auch ausgewählten Einsatz in sicherheitsrelevanten Bereichen, wie etwa in elektronischen Reisepässen, finden. Die Entwicklung bleibt abzuwarten. 579 Busch/Giessler, MMR 2001, 586 ff. Vgl. zum technischen Vorgehen und zur zivilrechtlichen Wertung BGH, 09.06.2004 – I ZR 13/02 = NJW-RR 2005, 123–125 = GRUR 2005, 160–161. 580 Vgl. die Bedenken des Bundesrates im Hinblick auf die dann doch unverändert erfolgte Novelle des § 202a (BT-Drs. 16/3656), BR-Drs. 676/1/06, S. 2 d. Anl. 1 auf die der Novellierungsentwurf (Stand 30.11.06) nunmehr eingeht, vgl. BTDrs. 16/3656, S. 14 d. Anl. 1. 581 Es sei dazu auf die entsprechende Literatur verwiesen. 582 Vgl. zu Überlegungen de lege ferenda schon oben S. 54 ff., dort Kap. 4.
C. Phänomenologie der Ausspähtechniken
159
Es wird für geraume Zeit die Aufgabe des Gesetzgebers bleiben, hier praktikable, trennscharfe und angemessene Grenzen zu ziehen. Die Reform durch das 41. StrÄndG hat nun eine exakte Gegenläufigkeit und damit Passung von Sicherung (zweckgerichtet gegen Zugang) und Tathandlung (zweckgerichtet auf Zugang) zur Folge. Dieser Erfolg lag zwar nicht in der Intention des Gesetzgebers, er gibt aber zusätzlich Anlass zu einer Untersuchung, was die Sicherung bedeutet und was der Grund ihres Erfordernisses ist.
Teil 2
Begründung des Tatbestandsmerkmals der besonderen Sicherung Daten sind erst dann vor dem Zugriff Dritter strafrechtlich geschützt, wenn sie besonders gesichert sind. Zivilrechtlicher Schutz ist hingegen schon früher gegeben.1 Pönalisiert werden soll ein Zugriff und Ausspähen aber erst, wenn es sich um gesicherte Daten handelt. Auf den Inhalt der Daten, siehe dazu bereits oben, kommt es nicht an. Der Tatbestand wird durch das Erfordernis der Sicherung erheblich eingeschränkt. Dieses Erfordernis verleiht dem Rechtsgut sein formelles Gepräge. Konsequent ist von einem formellen Rechtsgut zu sprechen. Die Konzeption der Norm, vor allem ihre Einschränkung auf einen gesicherten Geheimbereich, wirft die Frage auf, wieso nur dieser Bereich geschützt sein soll. Diese Frage ist das Thema der Arbeit. Der Gesetzgeber2 und ihm folgend die herrschende Literatur3 beantworten sie dahingehend, dass die besondere Sicherung das Interesse des Berechtigten an der Geheimhaltung dokumentiere. Weitere erläuternde Worte finden sich nicht. Keine Begründung ist jedenfalls, dass erst gesicherte Daten eine Ausprägung einer privaten Geheimsphäre darstellten, wie etwa die gesetzliche Abschnittsüberschrift nahelegen könnte. Dies ließe sich auch kaum vertreten: Das elektronische Tagebuch kann ebenso privat, intim und ein inhaltliches Geheimnis sein, wie das papierene, ohne dass es auf eine Sicherung ankommt. Gleichzeitig werden durch die formale Umfassung der Norm inhalt1
Nach §§ 1004, 823 BGB ergeben sich Abwehransprüche. BT-Drs 10/5058, S. 29. 3 Binder, Ausspähen von DV S. 52 ff.; Ernst, NJW 2003, 3233, 3236; ders, Hacker, Cracker & Computerviren, Rn. 240; MüKo-Graf, § 202a Rn. 28 bis 48; Wessels/Hettinger, Strafrecht BT/1, Rn. 559; Hilgendorf, JuS 1996, 702; ders./Frank/ Valerius, Computerstrafrecht, Rn. 660; Hilgendorf/Wolf, K&R 2006, 541, 546; SKHoyer, § 202a Rn. 8 bis 10; teilw. anders Jessen, Sicherung i. S. v. § 202a, S. 120, NK-Kargl, § 202a Rn. 9 f.; Krutisch, Computerdaten, S. 105; Lackner/Kühl, § 202a Rn. 4; Leicht, iur 1987, 45; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7,8; Lenckner/Winkelbauer, CR 1986, 483 ff.; Rengier, Strafrecht BT/II, § 31, Rn. 24; Schlüchter, 2. WiKG, S. 65; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 73 ff. 80 ff.; 86; LK-Schünemann, 202a Rn. 14 bis 16; Schulze-Heiming, Computerdaten, S. 66 ff.; Arzt/Weber, Strafrecht BT, § 8 Rn. 58, S. 214 ff. 2
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
161
lich für jedermann belanglose Daten erfasst, bloß weil sie gesichert sind. Zu den dadurch aufgeworfenen Strafwürdigkeitsbedenken4 sei auf die entsprechenden Überlegungen – auch de lege ferenda – in der Arbeit verwiesen.5 Die Antwort der herrschenden Meinung wirft jedoch sogleich weitere, bislang unbeantwortete Fragen auf: a) So bleibt unbeantwortet, wieso, wenn es auf die Dokumentation ankomme, diese nicht selbst im Tatbestand gefordert ist, sondern nur ihr „Stellvertreter“: die Sicherung. Wenn die Sicherung nur den Zweck der Dokumentation des Geheimhaltebedürfnisses erfüllt, es also letzten Endes auf dieses ankommen soll: Wieso kann sich das Geheimhaltebedürfnis nur in dieser Form dokumentieren und nicht in anderer, beliebiger (wenn auch eindeutiger) Weise? Der Tatbestand könnte schließlich auch lauten: „Daten, [. . .] an denen ein besonderes Geheimhaltebedürfnis dokumentiert ist“. Eine Sicherung wäre dann eine solche Dokumentation, daneben wären aber auch andere denkbar. Die Eingrenzung auf diese besondere Art der Dokumentation legt schon hier die Vermutung nahe, dass (unausgesprochen) diese nicht nur dokumentieren, sondern einen anderen (möglicherweise ergänzenden) Zweck erfüllen soll, den andere Dokumentationsarten nicht erfüllen. Ansonsten wäre kein Grund für die Beschränkung auf diese Art der Dokumentation gegeben. b) Weiter ist der zugrunde liegende Schluss der herrschenden Auffassung zu überprüfen, nach dem eine Sicherung ein besonderes Geheimhaltebedürfnis dokumentiert. Sichert jemand seine Daten zielgerichtet gegen das Ausspähen, dann dokumentiert er sein Geheimhaltebedürfnis. Eine Sicherung gerade gegen das Ausspähen und durch den Dateninhaber ist jedoch nicht erforderlich. Es wird vielmehr eine Sicherung gegen Zugang gefordert. Es mag zutreffend sein, dass sich ein Geheimhaltebedürfnis typischerweise in einer Zugangssicherung niederschlägt. Doch heißt dies umgekehrt zwingend, dass von dem Vorhandensein einer Sicherung auf ein Geheimhaltebedürfnis geschlossen werden kann? Es kann nicht ausreichen, wenn der Schluss meistens zutrifft. Stets und unmissverständlich muss sich in der Sicherung das Geheimhaltebedürfnis spiegeln, da dieses nach der jetzigen Konzeption das Unterscheidungsmerkmal zwischen zu Bestrafendem und Straflosem darstellt. c) Wieso wird auf die Dokumentation durch das Opfer abgestellt? Dies ist nicht begründet worden. Der Gesetzgeber folgert aus der technischen Sicherung eine Äußerung des potenziellen Opfers und nimmt dies als wesentliches Unterscheidungsmerkmal von Strafwürdigkeit und Strafunwürdigkeit. Die – behauptete – Dokumentation hat also nicht erläuternde, ergänzende oder unterstützende Funktion,6 4
Vgl. Vogel, StV 1996, 110, 111 f., die verfassungsrichterliche Rechtsprechung kritisch nachzeichnend. 5 Vgl. ab S. 33; S. 50 sowie insbesondere S. 103 und S. 206 sowie v. a. de lege ferenda S. 54, dort Kap. 4, vgl. auch Arzt/Weber, Strafrecht BT, § 8 Rn. 50, S. 214 f. 6 Wie etwa die Tatbestandsmerkmale in Nr. 1 und 2 des § 315b, die den auffangenden „ähnlichen, ebenso gefährlichen Eingriff“ eingrenzen sollen und Beispielcharakter haben, vgl. NK-Herzog, § 315b Rn. 12. Zum entsprechenden § 315 vgl.
162
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
sondern konstitutive und damit entscheidende Funktion. Sie scheidet – neben anderen Merkmalen – im Ergebnis zu Bestrafendes vom Straflosen. Aufgrund ihrer Bedeutung muss die Dokumentation daher in dieser Funktion untersucht werden. Kann eine, kann diese Dokumentation rechtsdogmatisch die Schwelle markieren, nach der das Strafrecht greift? Wieso stellen wir auf das Zeigen eines besonderen Interesses ab? Das Gesetz kennt bislang eine solche Weichenstellung, jedenfalls in dieser Reinform nicht. Das Ob7 des Strafrechtsschutzes der Rechtsgüter ist vom daran gezeigten Interesse des Inhabers zunächst unabhängig.8 Vom Ergebnis ist es unabhängig, ob die (behauptete) Dokumentation als qualitativ rechtsgutsbegründend oder quantitativ unrechtserhöhend verstanden wird. In jedem Fall erhebt sie einen Eingriff über die Schwelle der Strafwürdigkeit. Die Frage der dogmatischen Einordnung des Tatbestandsmerkmals der (behaupteten) Dokumentation stellt sich freilich erst nach Bejahung der ersten Frage (unter a). Dasselbe gilt für die daneben stehende Frage, wieso Dokumentationen anderer Art und Weise nicht anerkannt werden. Damit verwandt ist die Frage, ob nicht der Täter auch zu bestrafen wäre, der aus anderen Gründen als der kodifizierten Dokumentation um ein besonderes Geheimhaltebedürfnis weiß.
Diese Fragen werden dabei nicht in jedem Fall aufgeworfen, sondern nur, soweit die hier zweitgenannte Frage (b) verifiziert wird. Lässt sich von dem Vorhandensein einer Sicherung nicht auf ein zugrundeliegendes Geheimhaltebedürfnis schließen, so ist der Konzeption der Boden entzogen, sie hängt in der Luft. Die Frage nach ihrer dogmatischen Einordnung stellt sich ebenso wenig wie die Frage, wieso es auf diese Art der Dokumentation (von der bei Falsifikation obiger These ja schon nicht ausgegangen werden kann) ankommen soll. Die o. g. Fragen sind daher als in der Beantwortung voneinander abhängig und in einer bestimmten Reihenfolge zu beantworten. In einem ersten Schritt soll die Frage untersucht werden: Ist das Interesse des Datenverfügungsberechtigten an der Geheimhaltung seiner Daten durch deren technische Sicherung in konstitutiver und unmissverständlicher Weise dokumentiert? Wird diese Frage bejaht, so stellt sich die nach der dogmatischen und rechtspolitischen Einordnung. Wird sie dagegen verneint, zeigt das VorlieLK-König, § 315 Rn. 40 f. Eine ähnliche Konzeption kennt das Gesetz in § 224 Abs. 1 Nr. 2, § 244 Abs. 1 Nr. 1, § 250 Abs. 1 Nr. 1a): „gefährliches Werkzeug“ oder in § 211: „sonst niedrige Beweggründe oder aus der jüngeren Gesetzgebung § 176a Abs. 1 Nr. 1 und § 177 Abs. 2 Satz 2 Nr. 1: „Penetrationshandlungen“ sowie in weiteren „beliebig vermehrbaren“, so König a. a. O. mit Beispielen. 7 Beim „Wieviel“ § 243 Abs. 1 S. 2 Nr. 2 wird behauptet, die Straferhöhung gründe sich auf die Dokumentation eines besonderen Interesses. Dazu unten. 8 Bis zur Grenze von Einverständnis und Einwilligung in eine Rechtsverletzung. Die Einwilligung ändert dabei nichts daran, dass eine tatbestandliche Rechtsgutsverletzung vorliegt.
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
163
gen einer Sicherung also nicht zuverlässig an, dass ein besonderes Geheimhaltebedürfnis des Berechtigten vorliegt, so ist eine Weichenstellung vorzunehmen. Anstelle der Frage nach der dogmatischen Einordnung der (ja dann ohnehin verneinten) Dokumentation stellt sich dann folgende Frage: Ist die technische Sicherung der Daten durch den Verfügungsberechtigten – wenn schon keine zweifelsfreie und kritische Dokumentation seines Sicherungsinteresses – aus einem oder mehreren anderen Gründen sinnvolles Unterscheidungsmerkmal zwischen strafwürdigem Unrecht und strafunwürdigem Bereich? Mit anderen Worten: Gibt es (alternative) Gründe für das Tatbestandsmerkmal der besonderen Sicherung? Denn dass der vom Gesetzgeber angeführte Grund für dieses Tatbestandsmerkmal nicht trägt, heißt nicht, dass es insgesamt keinen tragenden Grund gibt. Es mögen andere Gründe, die der Gesetzgeber vielleicht gar meinte, nur nicht wörtlich nannte, für dieselbe Fassung des Tatbestandes im Ergebnis sprechen. Der Tatbestand ist dann nicht abzuwandeln, wenn es gute Gründe gibt, seine Form beizubehalten. Die Suche nach der Begründung der Tatbestandsmerkmale ist dabei von hoher Wichtigkeit. Zwar mag man argumentieren, es sei fruchtlos, nach alternativen Gründen für die Fassung eines Tatbestandes zu suchen, wenn diese nicht zu einer Änderung des Wortlauts führten. Dem ist jedoch zu widersprechen: Die Fassung eines Delikts wird zwar ganz maßgeblich vom Wortlaut bestimmt, dies ergibt sich schon aus Art. 103 Abs. 2 GG. Die Begründung vermag keinen grundsätzlich davon abweichenden Charakter zu verleihen.9 Die Begründung der Fassung eines Tatbestandsmerkmals als Teil des Tatbestandes ist immer Teil der Begründung des gesamten Tatbestandes. In der Begründung von Tatbestandsmerkmalen findet sich damit der Telos der gesamten Norm wieder. Der Telos einer Norm ist wiederum wichtiger Fixpunkt und Stütze jeder umfassenden Auslegung.10 Die Auslegung einer Norm im Rahmen ihres Wortlauts verleiht ihr konkrete Gestalt und ist unabdingbares Werkzeug für die praktische Umsetzung. Damit ist die Begründung eines Tatbestandsmerkmales sowohl für die Auslegung dieses Merkmals als auch für das Verständnis und die Auslegung der gesamten Norm und damit auch ihres Rechtsguts wesentlich. Erkennt man die wahre und tragende Begründung einer Norm, so ist diese Ausgangspunkt für eine präzisere und sicherere Anwendung dieser Norm und damit nicht nur von dogmatisch-wissenschaftlichem Interesse, sondern von hoher praktischer Bedeutung. 9 Zu beschränkenden ungeschriebenen Tatbestandsmerkmalen vgl. allerdings umfassend Gössel in FS Oehler, S. 97 ff. 10 Zur teleologischen Auslegung siehe oben S. 59 m. w. N.
164
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Kann nicht stets und unmissverständlich vom Vorhandensein einer Sicherung auf ein Vorhandensein eines Geheimhaltebedürfnisses geschlossen werden, so sind auf der Suche nach anderen Gründen zunächst bereits in der Literatur genannte Erwägungen heranzuziehen. Dies sind in erster Linie viktimodogmatische Erwägungen. Es soll sich dabei zwar an der bisherigen Diskussion orientiert werden, ohne sich aber darauf zu beschränken. Aufgrund der Abhängigkeit der weiteren Prüfung ist als erstes die Ausgangsthese der gesetzgeberisch genannten und von der herrschenden Literatur übernommenen Konzeption zu untersuchen: Lässt sich aus dem Vorhandensein einer besonderen Sicherung gegen Zugang auf ein besonderes Geheimhaltebedürfnis schließen?
A. Besondere Sicherung als Dokumentation des besonderen Sicherungsinteresses In diesem Abschnitt soll untersucht werden, ob das Vorhandensein einer Zugangssicherung auf ein erhöhtes Geheimhaltebedürfnis in unmissverständlicher Weise hinweist und dadurch klares Unterscheidungsmerkmal für die Strafbegründung ist. Dabei wird dieser Frage zunächst in allgemeiner Hinsicht unter der Betrachtung sozialwissenschaftlicher, insb. sozialpsychologischer Erkenntnisse nachgegangen um zu untersuchen, ob diese Annahme der sozialen Wirklichkeit entspricht (siehe hier, Kap. I., S. 165 ff.). Es mag sein, dass die Antwort im Allgemeinen anders als im Besonderen ausfällt. Daher soll sie in einem zweiten Schritt im Speziellen für den computertechnischen und datenspezifischen Bereich beantwortet werden. Dabei wird, um eine möglichst große Nähe zum Datenspezifischen zu gewährleisten, das klassische Sicherungsmittel auf seine Dokumentationswirkung begutachtet: Im Hinblick auf die Passwortabfrage wird deren technische Wirkweise sowie die Stellungnahme der Literatur dargelegt und eine Kritik angeschlossen (hier, Kap. II., S. 179 ff.). In einem dritten Schritt soll der Fokus erweitert werden und die Ansichten zur besonderen Sicherung und Dokumentation sowie die in dieser Arbeit daran angebrachte Kritik an Normen des StGB gemessen werden, die auch Sicherungen im weitesten Sinne zu strafbarkeitsbegründenden oder -erhöhenden Tatbestandsmerkmalen machen. Die Vergleichsnormen sind §§ 202 Abs. 1 und 2, 123 Abs. 1 und 243 Abs. 1 S. 2 Nr. 1 und 2. Es soll untersucht werden, ob in diesen Fällen zur Begründung der Sicherungen eine Dokumentationswirkung behauptet wird, ob sie tatsächlich vorliegt sowie ob der Tatbestand darauf aufbaut oder die Dokumentationswirkung nur Randerwägung ist. Es sollen die hier vorgebrachten Argumente zur Sicherung kritisch an diesen Normen gemessen werden (siehe hier, II. 4., S. 237 ff.).
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
165
Nach der bisherigen Untersuchung, die zunächst die allgemeine Frage zum Gegenstand hatte, ob denn der Mensch durch Sicherung dokumentiert, dass ihm seine Privatsphäre wichtig sei, sich sodann mit einem beispielhaft herausgegriffenen computertechnischen Sicherungsinstrument, der Passphrasenabfrage, befasste und den Vergleich mit anderen Sicherungen in anderen Normen suchte, ist zunächst ein Zwischenschluss zu ziehen (hier, Kap. III., S. 264 ff.). Ein Gesamtüberblick über technische Sicherungsmittel wurde bis zu diesem Zwischenschluss nicht geleistet und nur ein einzelnes exemplarisch herausgegriffen. Ob die allgemeinen sozialpsychologischen, die speziellen passwortspezifischen und die mit anderen Sicherungen aus anderen Normen vergleichenden Argumente auf den Kanon der Sicherungsmittel übertragbar sind, könnte bezweifelt werden. Um dem zu begegnen, sollen zur Absicherung im Anschluss weitere ausgewählte computertechnische Sicherungen einer Untersuchung zugeführt werden. Der Fächer der vielfältigen Angriffstechniken wurde dargelegt. Entsprechend vielfältig sind die Sicherungsmittel. Es kann hier keine Gesamtschau geleistet werden, aber doch ein Überblick und eine kurze Wertung, um nicht den einen oder anderen wesentlichen Fall zu übersehen, bei dem die oben dargelegten Argumente nicht griffen (hier, Kap. IV., S. 267 ff.).
I. Allgemeine sozialpsychologische Erkenntnisse zur Privatheit und Sicherung Rechtsnormen entwickelten sich aus Kulturnormen und tun dies auch heute noch. Die materielle Legitimation staatlichen Strafens ergibt sich nicht zuletzt aus sozialpsychologischer und individualethischer Gebotenheit.11 Zur Erhaltung eines gelingenden und friedvollen Zusammenlebens (einschließlich des Verzichts auf Selbstjustiz) bedarf es der Durchsetzung der Sozialnormen.12 Die Strafe ist notwendig zur Aufrechterhaltung der zur Rechtsordnung geronnenen Sozialordnung.13 Damit findet die Strafe in der Sozialordnung ihre Begründung, ihre Rechtfertigung und ihr Schutzziel zugleich. Wird die Strafe nicht zur Sozialordnung rückgekoppelt, so verliert sie ihre genannten Bezüge und verkommt zum Selbstzweck. Die bis heute vertretene Ableitung eines sozialethischen Unwerturteils der 11
Bringewat, Grundbegriffe, Fn. 40 f., S. 30 f.; Jescheck/Weigend, Strafrecht AT, § 8 2 b, S. 65; LK-Jescheck, Einl. Rn. 23; Schmidhäuser, Sinn der Strafe, S. 26. 12 Bringewat, Grundbegriffe, Fn. 40 f., S. 30 f.; Jescheck/Weigend, Strafrecht AT, § 8 2 b, S. 65. 13 LK-Jescheck, Einl. Rn. 23; Schmidhäuser, Strafrecht AT Lehrbuch, 3/19; ders. Vom Sinn der Strafe, S. 26; Maurach/Zipf, Strafrecht AT/1, § 7 Rn. 1 ff.
166
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Strafe14 wurzelt in ihrer sozialen Rechtfertigung.15 Die Suche nach sozialen Standards und Normen ist in der Auslegung von Rechtsnormen anerkannt. Als Beispiel sei nur der Gewahrsamsbegriff als Bestimmungsbestandteil der Wegnahme und Teilrechtsgut des § 242 genannt, der sich nach den Anschauungen des täglichen Lebens bemisst.16 Sozialnormen begründen und konkretisieren Strafnormen. Es ist daher zu untersuchen, ob sich aus der sozialen Realität Gründe ableiten lassen, die § 202a in der jetzigen Fassung tragen. Schutzgut des § 202a ist ausweislich der Abschnittsüberschrift der persönliche Lebens- und Geheimbereich. Die Bedeutung dieses Bereiches in der sozialen Wirklichkeit ist zu suchen. Weiter ist zu fragen, ob die Besonderheit des § 202a diesen Bereich erst erfasst, wenn er technisch geschützt ist, von dieser Wirklichkeit getragen wird oder es zumindest Anhaltspunkte für diese Einschränkung gibt. Dies wäre der Fall, wenn sich Hinweise darauf finden ließen, dass Geheimnisse und Privates sozial üblicherweise erst dann anerkannt werden, so sie vom Inhaber geschützt werden. Wenn Geheimnisse und Privates schon von jeher sozial üblicherweise technisch geschützt werden, wenn sie dem Inhaber von Bedeutung sind, dann wäre dies eine Erklärung, wieso bei einem Vorliegen einer Sicherung umgekehrt auf ein Vorhandensein eines Geheimnisschutzinteresses geschlossen werden kann. Dies könnte eine Begründung für die Einführung einer solchen Grenze auch speziell in Daten schützenden Normen sein, eine nähere Untersuchung wäre dann noch anzustellen: Die Grenze wäre in anderen Bereichen sozial üblich. Es spräche einiges dafür, dass sie für die Bevölkerung, auch wenn es um Daten geht, nachvollziehbar wäre. Es würde dann nur in Gesetzesfassung gegossen und auf den Bereich der Daten übertragen werden, wovon der Bürger ohnehin schon von jeher ausginge. 1. Information und Privatheit als Gegenstand strafrechtlichen Schutzes Von Anbeginn gesellschaftlicher Regelungen war der sanktionsbewehrte Schutz von Leib, Leben und Eigentum in allen uns bekannten Gesell14 Jescheck/Weigend, Strafrecht AT, § 8 2 b, S. 65; LK-Jescheck, Einl. Rn. 23; vgl. auch Kühl, Strafrecht AT, § 10 Rn. 2: Mißbilligung. 15 Jescheck/Weigend, Strafrecht AT, § 8 2 a, S. 64. Vgl. auch LK-Jescheck, Einl. Rn. 23; Baumann/Weber/Mitsch, Strafrecht AT, § 3 Rn. 10: Spezielle Aufgabe kann nur sein, die „wichtigsten Bereiche sozialen Zusammenlebens [. . .] mit einem besonders starken Schutz zu versehen“. 16 BGHSt 16, 271, NJW 1981, 99; Wessels/Hillenkamp, Strafrecht BT/2, Rn. 71 ff.; Gössel, ZStW 85 (1973), 591, 619; Lackner/Kühl, § 242 Rn. 9, s. dort auch zu Nachweisen der Kritik daran.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
167
schaftsformen eine Selbstverständlichkeit.17 Auch etliche andere sozial anerkannte Schutzgüter wurden jedenfalls sanktionsbewehrt. Dies ist allen Gesellschaften gemein.18 Dabei bedurfte es nicht unbedingt gesonderter strafbewehrter Regeln. Kulturnormen und Rechtsnormen stimmten nicht nur überein, sondern waren identisch.19 Zwischen Recht, Religion und Moral wurde nicht unterschieden,20 während heute eine Unterscheidung geradezu gefordert wird.21 Auch das Strafgesetzbuch enthält etwa Verbote, die sich mit den Zehn Geboten des Christentums spiegelbildlich decken.22 Weder Informationen an sich noch die Privatsphäre als eigenes Gut gehören zu den hergebrachten Schutzgütern gesellschaftlicher Ordnungen und Vorstellungen oder gar strafrechtlicher Regelungen. Das Konzept der Privatheit war traditionellen Gesellschaften schlicht unbekannt.23 Den Zehn Geboten bspw. lässt sich noch kein Schutz der Privatsphäre oder der Informationen entnehmen.24 Ein solcher Schutz wurde in Fragmenten erst in jüngerer Zeit in die Strafrechtskodizi eingeführt.25 § 202a StGB stellt eine solche Schutznorm, ein solches Fragment dar. Der Wortlaut erfasst zwar zunächst sämtliche Informationen, die in Datenform vorliegen unter der Bedingung, dass sie gegen Zugang gesichert sind. Doch ergibt sich aus der systematischen Stellung zwischen § 201 und § 206 StGB, der Abschnittsüberschrift und der Gesetzeshistorie, dass die Norm privatschützenden Charakter hat und haben soll.26 17 Vgl. Wesel, Geschichte des Rechts, S. 24, 36, 40 zu (heute noch existierenden) akephalen Jäger- und Sammler- sowie segmentarischen Gesellschaften. Diese Erkenntnisse können auf frühzeitige Gesellschaften übertragen werden (komparative Methode), Wesel, Geschichte des Rechts, S. 14. Rudolphi in FS Honig, S. 151, 163, spricht von „scheinbar so statische(n) Rechtsgütern wie das Leben, die Gesundheit, die Freiheit, das Eigentum usw.“ 18 Grundlegend Rössner, GS Keller, S. 213. Ebenso Popitz, Normative Gesellschaft, S. 1 ff.; F.-H. Schmidt, Verhaltensforschung und Recht, S. 13 ff.; Gruter/ Rehbinder (Hrsg.), Biologie und Recht, S. 13 ff. 19 M. Mayer, Kulturnormen, S. 19. 20 M. Mayer, Kulturnormen, S. 19. 21 Als liberaler Gehalt des allgemeinen Verbrechensbegriffs, vgl. Rudolphi, FS Honig, S. 151, 155 m. w. N. 22 Vgl. M. Mayer, Kulturnormen, S. 20. 23 Friedman, FS Rehbinder, S. 501, 503. 24 Das Gebot gegen den Ehebruch schützt dabei nur reflexartig die Privatsphäre, entsprechende Normen im StGB gibt es seit 1969 nicht mehr; Art. 1 Nr. 50 des 1. StrRG vom 25.06.1969, BGBl. 1969 I S. 645. Schutzgüter waren der Personenstand, die Ehe und die Familie. 25 Wobei der Staat hier teils hinter den – freilich heterogenen – Vorstellungen der Bevölkerung zurückbleibt, sie teils auch übertrifft. Mithin kodifiziert er rezeptiv und produktiv, vgl. M. Mayer, Kulturnormen, S. 22. 26 Ganz h. M., stellv. für viele: NK-Jung vor § 201 Rn. 1; SK-Hoyer vor § 201 Rn. 1 jew. m. w. N. s. auch bereits oben.
168
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
§ 202a umfasst neben dem Schutz des Privaten auch Geschäftsgeheimnisse und jede andere Art der Information. Eine allgemeine Geheimnisoder Informationsforschung gibt es in der Sozialpsychologie jedoch nicht. Für den Bereich der Privatheit liegen dagegen sozialpsychologische Erkenntnisse vor. Diese können mit dem Wissen, dass ein Teil ausgespart wird, herangezogen werden. 2. Privatheit Sowohl vom Volksmund als auch von der juristischen Literatur wird der „persönliche Lebens- und Geheimbereich“ auch als „privater Bereich“ oder „Privatsphäre“ bezeichnet.27 Den Begriff des Privaten verwenden auch die Soziologie und Psychologie. All diese Begriffe sollen hier gleichgesetzt werden. Es wird untersucht, welche Bedeutung das Private für Menschen allgemein unter verschiedenen Blickwinkeln außerhalb des juristischen hat. Während der Schutz des Lebens und Leibes als Voraussetzung der bloßen menschlichen Existenz sowie der Schutz des Eigentums und Besitzes als der Sicherung der Erhaltung dieser Existenz und des weiteren Fortkommens wie soeben dargelegt selbstverständlich ist und keiner weiteren Erläuterung bedarf,28 so ist der Schutz der Privatheit weit weniger selbstverständlich. Dies liegt nicht zuletzt daran, dass im allgemeinen Sprachgebrauch der Begriff des Eigentums und des Leibes und Lebens weit schärfere Konturen erfährt – womit nicht geleugnet werden soll, dass hier so manches juristisches Problem liegt – als der des Privaten oder auch des persönlichen Lebens- und Geheimbereichs. Anders formuliert, wo Leib, Leben und Eigentum anfangen und aufhören, dafür hat jeder Mensch ein natürliches Verständnis. Dies ist beim Privaten anders. Mag sein Kern zwar bekannt sein, so bleiben seine Grenzen doch recht nebulös. Das Private bedarf daher näherer Definition. Ohne an dieser Stelle auf die jüngere juristische Adaption und Interpretation des Privaten, insbeson27
Etwa NK-Jung, vor § 201 Rn. 1; SK-Hoyer, vor § 201 Rn. 1. Wobei sich die „Rangfolge“ dieser Güter des Kernstrafrechts – gemessen an der Strafandrohung – von der archaischen Gesellschaft zur hochzivilisierten verschiebt. Teils droht auf Viehdiebstahl der Tod, während Körperverletzungen weit weniger bestraft werden. So stand im „Wilden Westen“ auf Pferdediebstahl der Tod, auch in heute noch vorkommenden Gesellschaftsformen werden Diebstahlsdelikte teils schärfer bestraft als Körperverletzungsdelikte. In wandelnden Gesellschaften vollziehen sich Änderungen der Wertigkeit der Rechtsgüter. So hat etwa der Umweltschutz erst in jüngerer Zeit Einzug in das StGB gehalten. Vgl. insgesamt zur Beziehung von Rechtsnormen und Kulturnormen: M. Mayer, Kulturnormen. Ähnliches gilt für die Information und den persönlichen Bereich. 28
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
169
dere unter Ausgestaltung des Rechts auf informationelle Selbstbestimmung durch Rechtsprechung und Lehre einzugehen,29 soll der Blick auf die hergebrachte soziale Realität gerichtet werden. Wie dieser Begriff heutzutage verstanden und juristisch eingesetzt wird, erklärt schließlich in keiner Weise, was der Mensch unter privat versteht, was das Private ausmacht und wieso es dem Menschen überhaupt auf den Schutz des als Privat Verstandenen ankommt. Hierzu ist ein Blick auf biotische, soziale und psychische Aspekte notwendig. Zur Näherung an den Begriff des Privaten als solchen als auch zur Untersuchung, ob und inwiefern der Mensch das Private seit jeher schützte, sollen hier empirische, namentlich psychologische und soziologische Erkenntnisse herangezogen werden. Diese vermögen zwar die Frage aus welchem übergeordneten Grunde der Mensch Privates schützt nicht zu beantworten. Sie zeigen jedoch wann und wie er dies tut. Diese Erkenntnisse mögen weiterführen, will man Grenzen der Strafbarkeit ziehen.30 Denn das schädigende Verhalten ist in Bezug auf das soziale Gefüge durchaus beachtlich31 und Bestimmungen bauen maßgeblich auf „das allgemeine Gefühl der Völker und Individuen“ auf, wie schon Hegel erkannte.32 3. Überblick über spezifische Erkenntnisse der Verhaltensforschung Von welchen Grundbedürfnissen33 oder Motiven der Mensch getrieben wird, ist Forschungsgebiet der Verhaltenswissenschaften. Sie sind sowohl in 29
s. den Überblick zur Entwicklung oben, S. 41. Dabei soll sich darin die Überprüfung erschöpfen und nicht eine Diskussion um Positivismus oder Naturalismus, um Erfolgs- oder Handlungsunrecht geführt werden. Die herangezogenen Erkenntnisse sollen nicht einer ursprünglichen Begründung des Rechtsguts dienen, sondern Auslegungshilfe sein und dazu dienen, die Grenzen sinnvoll zu setzen. 31 Wenn auch freilich umstritten ist, in welcher Form. Vgl. exemplarisch die Sozialadäquanzlehre Welzels, etwa in ZStW 58 (1939), S. 515 und kritisch Schaffstein, ZStW 72 (1960), S. 369 ff. sowie Rudolphi in FS Honig, S. 151 ff. 32 „Da in der gewöhnlichen Wissenschaft die Definition einer Bestimmung (hier der Strafe) aus der allgemeinen Vorstellung der psychologischen Erfahrung des Bewusstseins genommen werden soll, so würde dies wohl zeigen, dass das allgemeine Gefühl der Völker und Individuen bei dem Verbrechen ist [. . .] dass es Strafe verdiene [. . .]“ so Hegel, Philosophie des Rechts, § 101, der sich dem Verständnis der „gewöhnlichen Wissenschaft“ des Tallionsprinzips kritisch gegenüberstellt. Die Ausgangsthese, dass Bestimmungen aus der psychologischen Erfahrung der „Völker und Individuen“, wie Hegel weiter ausführt, kommen, greift er dagegen nicht weiter an. 33 Der Begriff des „Grundbedürfnisses“ gilt in der Psychologie als veraltet, wenngleich er insbesondere in der Literatur zur Therapieforschung auch aktuell noch oft 30
170
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
der Biologie, insb. der Zoologie (sogenannte Ethologie) beheimatet als auch in der Psychologie. Weiter haben sich auch die Soziologie und die Anthropologie mit dieser Schnittbereichsthematik beschäftigt.34 Zu den allgemeinen Grundbedürfnissen von Mensch und Tier werden vor allem Nahrungsaufnahme, Überlebensdrang und Fortpflanzung gezählt.35 Schon bei Tieren wurde weiter ein „kreatürliches Grundbedürfnis“ nach Distanz, Einsamkeit und Für-sich-sein entdeckt.36 Dies drückt sich insbesondere in territorialem Verhalten aus. Dieses wird auch beim Menschen beobachtet (Forschungsgebiet der Territorialität)37 und dient nicht zuletzt der Begründung des Tatbestands des Hausfriedensbruchs.38 Amelung konstatiert zu Recht: „Vernachlässigt man die anthropologische Seite des Hausfriedens, so baut man ein Haus ohne Fundamente“.39 Verständlicherweise finden sich etliche Untersuchungen zu physischem Distanzverhalten bei zu finden ist. Heutzutage wird zunehmend der Begriff des „Motivs“ verwandt. Gegenstand ist gleichermaßen die Frage, welche Variablen Verhalten initiieren, lenken und ändern. Historisch gesehen hat man für diese Variable verschiedene Namen gefunden. Zu Beginn wurden sie z. B. noch „Instinkt“ genannt, Freud brachte dann den Begriff des „Triebes“ auf, später sprach man von „Bedürfnis“ und seit den 60er Jahren des letzten Jahrhunderts von „Motiv“. Insbesondere Murray und Maslow befassten sich mit „Bedürfnissen“. Auf Murray geht die Lehre von den Grundbedürfnissen zurück, so die Enzyklopädie der Psychologie. Seine Definition bzw. Operationalisierung von Bedürfnissen aus dem Jahre 1938 bildet den Ausgangspunkt für viele Ansätze der Motivationsforschung. Murray schlägt eine Reihe primärer Bedürfnisse vor, die mit organismischen Vorgängen zusammenhängen, z. B. need for water, need for food, need for sex, coldavoidance und eine Reihe sekundärer psychologischer Bedürfnisse, z. B. need for achievement (heute: Leistungsmotiv), need for dominance. Maslow diskutiert seinerseits eine Bedürfnisklassifikation, die aber keine lose Sammlung darstellt wie bei Murray, sondern stärker strukturiert ist und bereits Bedürfnisklassen zusammenfasst. Diese sind nach ihrer Rolle in der Persönlichkeitsentwicklung hierarchisch geordnet. Die Hierarchie der Bedürfnisse geht von physiologischen Bedürfnissen (Essen, Schlaf, Sex) über Sicherheitsbedürfnisse, soziale Bedürfnisse, Bedürfnisse der Selbstachtung/des Status bis hin zum Bedürfnis nach Selbstverwirklichung, Maslow, Motivation and Personality, S. 80 ff.; Murray, Explorations in personality, S. 36 ff., insb. 75 ff. 34 Schünemann, ZStW 90 (1978), S. 27. 35 Etwa Murray, Explorations in personality, S. 75 ff. 36 Schünemann, ZStW 90 (1978), S. 27; Eibl-Eibesfeldt, Verhaltensforschung, S. 306 ff. 37 Malmberg, Human territoriality, S. 1 ff., 47 ff.; Hellbrück/Fischer, Umweltpsychologie, S. 335 ff., Gifford, Environmental Psychology, S. 118 ff.; Lorenz/Leyhausen, Verhalten, S. 161 ff.; zur Kritik am Begriff der „Territorialität“ vgl. R. Miller in Kruse, Ökologische Psychologie, S. 333 ff.; Bell/Green/Fisher/Baum, Environmental Psychology, S. 278 ff.; MacLean in Gruter/Rehbinder (Hrsg.), Biologie und Recht, S. 121 f. 38 Amelung, ZStW 98 (1986), S. 355, 365. 39 Amelung, ZStW 98 (1986), S. 355, 364.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
171
Tieren und Menschen sowie den Problemen, die aus zu viel oder zu wenig Distanz entstehen (Forschungsgebiet des crowding).40 In physischer Hinsicht gehört in diesen Kontext weiter das Forschungsgebiet um den persönlichen Raum; unter letzterem versteht man die „Zone, mit einer unsichtbaren Grenze, die den Körper einer Person umgibt und in die keine Eindringlinge zugelassen werden“ (Forschungsgebiet personal space).41 Er ist weit enger als das Territorium und mit dem Körper verhaftet. So ist es den meisten Menschen unangenehm, wenn ein Fremder ihnen körperlich zu nahe kommt. Bekannte Beispiele sind, dass etwa im Kino gern der Platz zum Nächsten freigelassen wird, man sich im Bus in eine freie Sitzreihe setzt und es etwa im Restaurant meidet, sich trotz freier Plätze neben Fremde zu setzen und lieber das Restaurant als „schon voll besetzt“ verlässt. Hierzu finden sich etliche Untersuchungen.42 Neben diesen Forschungsgebieten ist hier das um die sogenannte privacy entscheidend. Direkt übersetzen lässt sich der Begriff schlecht. Der naheliegendste deutsche Ausdruck des Privaten ist nicht klar umrissen. Im Unterschied zum englischsprachigen privacy, dessen Bedeutung bereits fünfjährige Kinder in den Vereinigten Staaten von Amerika kennen43, kommt der Begriff Privatheit in der deutschen Umgangssprache nicht vor.44 Begriffe, in denen der Stamm „Privat“ vorkommt, wie Privatsphäre, Privatdetektiv, Privatdozent, Privatier, Privatpatient, Privatisierung sind dagegen geläufig. Der Begriff Privat taucht in den verschiedensten Kontexten als ein vielschichtiges Phänomen auf, welches im Englischen „privacy“ genannt wird und von dort ins Deutsche als „Privatheit“ in die Sozialwissenschaften zu übertragen versucht wurde. Privat bedeutet bei sämtlichen Wortzusammensetzungen eine gewisse Form von Absonderung. Dies deckt sich mit der lateinischen Bedeutung von privatus. In dieser Absonderung findet sich eine Parallele zur Territorialität. Im Unterschied zu Territorialität allerdings äußert sich die Abgrenzung nicht (zwangsweise) über räumliche Absonderung: Der Privatmann ist zu unter40 Letzteres wird unter den Begriff des „crowding“ bzw. zu deutsch „Dichte und Enge“ gefasst, vgl. dazu Gifford, Environmental Psychology, S. 171 ff. m. w. N.; Hellbrück/Fischer, Umweltpsychologie, S. 360 ff.; Schultz-Gambard in Kruse: Ökologische Psychologie, S. 339 ff. 41 Zit. aus Sommer, Personal Space, S. 26, Übersetzung aus R. Miller in Kruse, Ökologische Psychologie, S. 325. 42 Etwa Gifford, Environmental psychology, S. 95 ff. m. w. N.; Hellbrück/Fischer, Umweltpsychologie, S. 321 ff. m. w. N.; Mogel, Umwelt, S. 61 ff.; Schultz-Gambard in Kruse: Ökologische Psychologie, S. 325 ff.; Sommer, Personal Space, S. 1 ff. 43 Vgl. Wolfe/Laufer, Privacy, S. 29 ff. 44 Kruse, Privatheit, S. 28 ff., vgl. dort insg. zum Begriff „Privatheit“ im Deutschen.
172
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
scheiden von der Person im öffentlichen Leben. Der Privatier ist nicht (mehr) im Beruf. Das Privatfernsehen ist vom öffentlich-rechtlichen abzugrenzen, die Privatklage von der Klageerhebung durch staatliche Organe. Die konkrete Bedeutung der Privatheit als solche erschließt sich durch die genannten Beispiele jedoch nicht. Es muss sich dieser auf dem Weg über sozialwissenschaftliche und psychologische Erkenntnisse genähert werden. „One must confess that privacy, like an elephant, is perhaps more readily recognized than described.“45 Umso mehr muss dies für den „persönlichen Lebens- und Geheimbereich“ gelten. In der psychologischen Literatur finden sich verschiedene Ansätze zu einer Definition des Privaten, wenn auch Untersuchungen aus der Psychologie zum Begriff des Privaten weit seltener zu finden sind als etwa Untersuchungen zur Territorialität. Dies dürfte auch darin begründet sein, dass räumliches Verhalten weit leichter untersucht werden kann, als komplexes und nach außen weniger deutlich wahrnehmbares Verhalten zur Sicherung einer eigenen (Privat-)Sphäre. Dennoch versucht sich die Psychologie an einer Definition des Privaten. Die wichtigsten Definitionsansätze aus der Psychologie46 sollen hier kurz dargestellt werden und anschließend die konstitutiven Merkmale erarbeitet werden. Die schlichtesten Ansätze definieren negativ in der Abgrenzung zur Öffentlichkeit: Privat ist nicht-öffentlich.47 Privatheit sei Alleinsein mit positiver Konnotation, fügt Velecky lediglich hinzu.48 Er betont, dass sich Privatheit nur auf Individuen beziehe. Dies ist jedoch sehr fraglich, jedenfalls wird man nicht auf ein Individuum beschränken können. Ein als privat zu bezeichnendes Gespräch findet zwangsläufig zwischen mehreren Individuen statt. Auch ist die Familie als Gruppe geradezu Inbegriff des privaten Raums. Insgesamt greift seine Definition somit zu kurz. Bergius hingegen definiert positiv und bezeichnet das Private als das Individuelle, Intime und Vertrauliche.49 Auch dieser Ansatz ist lediglich deskriptiv und ersetzt einen Begriff durch andere ebenso schwer definierbare. Er geht zudem fehl. Privates ist nicht auf das Individuum beschränkt (siehe soeben) und ist weiter als das Intime. Das Vertrauliche ist einerseits enger, denn nicht alles Private muss vertraulich sein. Viele Prominente und vor allem Personen, die dies werden wollen, tragen ihr Privates gerne über Fernsehshows etc. in die Öffentlichkeit. Es ist also keinesfalls mehr vertraulich im Sinne eines Vertrauens auf Verschwiegenheit und Diskretion. Ob dadurch aber der Charakter 45
Young, Privacy, S. 2. Vgl stellv. Gifford, Environmental Psychology, S. 171. 47 So Velecky, Privacy, S. 13 ff.; Bergius, Privatheit, in Dorsch, Psychologisches Wörterbuch, S. 505. 48 Velecky, Privacy, S. 13 ff. 49 Bergius, Privatheit, in Dorsch, Psychologisches Wörterbuch, S. 505. 46
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
173
des Privaten schon verloren geht, bleibt fraglich. Jedenfalls aber ist der Begriff in anderer Hinsicht zu weit, denn nicht alles was vertraulich ist, ist auch privat. So können wirtschaftliche oder behördliche Informationen vertraulich sein, sie sind dennoch nicht privat. Ebenso hilft van den Haags Definition „Privacy is the exclusive access of a person (or other legal entity) to a realm of his own.“50 kaum weiter. Die Frage nach der Bedeutung der privacy wird ersetzt durch die nach dem „realm of his own“. Was dieses Reich des Eigenen ist, bleibt im Dunkeln, auch wenn Van den Haag dabei die Absonderung von anderen betont. Simmels Ansatz ist ein ähnlicher: Der Mensch reserviere sich einen Bereich, den er für sich beanspruche, in dem er souverän sei und in den andere nur mit ausdrücklicher Erlaubnis eindringen dürften. Er stellt damit die Kontrolle über den Zugang zum Selbst in den Vordergrund: „Privacy boundaries (. . .) are self-boundaries.“51 Halmos grenzt Privatheit von Einsamkeit (solitude) ab, indem er die Erwünschtheit des sozialen Kontaktes aufnimmt. „Privacy is freedom from social contact and observation when these are not desired and solitude is the lack of desired social contact.“52 Er beschränkt seine Betrachtung auf sozialen Kontakt und Beobachtung durch andere. Auch Margulis betont den sozialen Kontakt, zugleich aber auch den Aspekt der Kontrolle. Er definiert Privatheit als Kontrolle über Interaktionen mit anderen.53 Interaktion wie auch der Zugang zum Selbst bedeutet aber immer (auch) Informationsvermittlung. Kontrolliert wird also der Informationsfluss. Den letztgenannten Ansichten ist dies gemein. Dieser Aspekt scheint sich herauszukristallisieren. Auch Altman betont die Kontrolle des Informationsflusses. Er definiert privacy als „selective control of access to the self or to one’s group“.54 Mithin betont auch er die Zugangskontrolle zum Selbst. Dabei werden richtigerweise auch Gruppen erfasst und ihnen Privatheit zugesprochen. Letztgenannten Ansichten folgend ist Privatheit im Interaktionsbereich konzeptualisiert, also zu verstehen als Regulativ der zwischenmenschlichen Beziehungen und des damit einhergehenden Informationsflusses.55 Diese Definition findet in der Forschung bis heute Anerkennung.56 Auch differenzierende Ansichten betonen einheitlich und übergreifend die Kontrolle des Informationsflusses als konstitutives Merkmal: Einer der Ersten, der Privatheit als solche zu seinem Forschungsgegenstand gemacht 50
Van den Haag, On Privacy, S. 149. Simmel, Privacy, S. 72. 52 Halmos, Solitude and Privacy, S. 102. 53 Margulis, JSI 33/3 (1977), S. 5, 10. 54 Altman, Social behavior, S. 18, vgl. Übersicht über Definitionen anderer, S. 17 f. 55 Mogel, Umwelt, S. 58 f. 56 Vgl. jüngere Stimmen, etwa Gifford, Environmental psychology, S. 171, 187 f. 51
174
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
hat, war Westin (1970).57 Auf seine Differenzierung soll hier exemplarisch und vertiefend eingegangen werden: Er unterscheidet vier Grundtypen von Privatheit: Alleinsein (solitude), Intimität (intimacy), Anonymität (anonymity) und Reserviertheit (reserve) und weist diesen jeweils spezifische Funktionen zu. Westin definiert Privatheit als „Anspruch[!] von Individuen, Gruppen oder Institutionen zu entscheiden, wann, wie und in welchem Ausmaß Informationen über sie an andere weitergegeben werden.“58 Hinsichtlich des Verhältnisses des Einzelnen zu sozialem Engagement ist Privatheit der freiwillige und zeitweilige Rückzug eines Individuums aus der allgemeinen Gesellschaft, sei es als Alleinsein oder Kleingruppenintimität, sei es – bei größeren Gruppen – als Anonymität oder Zurückhaltung, führt Westin weiter aus.59 Dabei sei trotz maßgeblicher Unterschiede jedem Typus die Kontrolle über den Informationsfluss eigen – er äußere sich jedoch in anderem Gewande. So wird Westin dahingehend verstanden, dass Alleinsein eine Situation beschreibt, in der ein Mensch befreit ist von der Gegenwart anderer und mithin sicher ist, von anderen nicht beobachtet werden zu können.60 Intimität wird weiter als Zustand der Abschottung einer Gruppe gegenüber der Außenwelt gesehen, in der sie eng und offen kommunizieren kann. Anonymität wird definiert als Verfassung, in der es einer Person gelingt, unerkannt zu bleiben, somit die Information über ihre Identität nicht preiszugeben. Reserviertheit schließlich umschreibt einen Zustand, der verwirklicht ist, wenn – etwa durch Aufbau von psychischen Barrieren, etwa einem abweisenden Gesicht – der zutage getretene Wunsch eines Einzelnen nicht kommunizieren zu wollen von der sozialen Außenwelt beachtet wird. Es ist beachtlich, dass selbst bei diesem ausdifferenzierten Ansatz bei jedem der genannten Typen der Informationsfluss reguliert wird. Ebenso beachtlich ist, dass die Definition der Typen selbst keine weiteren grundsätzlichen Merkmale enthält, es sich vielmehr um Spielarten der Informationsflusssteuerung zu handeln scheint. Die Unterscheidung erschöpft sich in der Unterschiedlichkeit der Art der Regulation von Information. Dieses Konzept ist zwar kritisiert worden, doch die weitergehenden wesentlichen Konzepte, etwa von Altman61, definieren Privatheit ebenso „als selektive 57
Westin, Privacy, S. 1 ff. Die Computerspionageforschung bezieht sich heute noch auf ihn, vgl. Newman/Clarke, Superhighway Robbery, S. 179. 58 Hervorhebung von R. Dietrich. „Privacy is the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others.“ Westin, Privacy, S. 7, s. auch Kruse, Privatheit, S. 105. 59 Westin, Privacy, S. 7. 60 Hellbrück/Fischer, Umweltpsychologie, S. 299. 61 Nach Hellbrück und Fischer (Umweltpsychologie, S. 303) soll sich kein anderer Autor seit den siebziger Jahren des vorigen Jahrhunderts so intensiv um dieses Thema bemüht haben.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
175
Kontrolle des Zugangs zum Selbst oder zu der Gruppe, deren Mitglied eine Person ist“.62 Festzuhalten bleibt also, dass nach den gängigen Lehren der Sozial- und Ökologischen Psychologie Privatheit als Kontrolle des Informationsflusses über das Selbst verstanden wird. Dies ist sowohl den verschiedensten grundsätzlichen Definitionen von Privatheit gemein als auch ihren speziellen Ausprägungen. Es wird kein Bereich der Privatheit diskutiert, der nicht über Informationsflusskontrolle definiert ist. Die Kontrolle des Informationsflusses über das Selbst ist also konstitutives Merkmal der Privatheit, zu dem keine weiteren wesentlichen Merkmale hinzutreten. Dieses Konzept zieht sich – in verschiedenen Ausprägungen – durch das Tierreich und ist auch bei Menschen quer durch alle Kulturen ein allgegenwärtiges Bedürfnis. Privatheit ist damit eine interkulturelle Universalie.63 4. Herstellung und Sicherung von Privatheit Es stellt sich nun die für diesen Teil der Untersuchung virulente Frage, wie Privatheit und damit der private Raum im weiteren Sinne hergestellt wird und welcher Mittel es bedarf, dass er anerkannt wird: Altman betont den dialektischen Charakter der Kontrolle.64 Sie werde nicht statisch verwirklicht, sondern sei ein andauerndes Wechselspiel zwischen Kontaktinitiation und -beendigung, zwischen Sich-öffnen und Sichverschließen, zwischen Zugänglichkeit und Unzugänglichkeit und zwischen Reden und Schweigen. Diese Wechselbezüglichkeit und das Problem, das richtige Mittelmaß zwischen Abstand und Nähe zu finden, hat sicher niemand so anschaulich beschrieben wie Schopenhauer in seinem Gleichnis von den Stachelschweinen, das sich lohnt, ausführlich zu zitieren: „Eine Gesellschaft Stachelschweine drängte sich an einem kalten Wintertage recht nahe zusammen, um durch die gegenseitige Wärme sich vor dem Erfrieren zu schützen. Jedoch bald empfanden sie die gegenseitigen Stacheln; welches sie dann wieder von einander entfernte. Wann nun das Bedürfnis der Erwärmung sie wieder näher zusammenbrachte, wiederholte sich jenes zweite Übel, sodass sie zwischen beiden Leiden hin- und hergeworfen wurden, bis sie eine mäßige Entfernung von einander herausgefunden hatten, in der sie es am besten aushalten konnten. – So treibt das Bedürfnis der 62
Zit. aus Hellbrück/Fischer, Umweltpsychologie, S. 303; ebenso ausschließlich über die Informationskontrolle definieren Ittelson/Proshansky/Rivlin et al., Umweltpsychologie, 1977, S. 201. 63 Hellbrück/Fischer, Umweltpsychologie, S. 318; Altman, Social behavior, S. 12 ff. 64 Altman, Social behavior, S. 22 ff.
176
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Gesellschaft, aus der Leere und Monotonie des eigenen Inneren entsprungen, die Menschen zueinander; aber ihre vielen widerwärtigen Eigenschaften und unerträglichen Fehler stoßen sie wieder von einander ab. Die mittlere Entfernung, die sie endlich herausfinden, und bei welcher ein Beisammensein bestehen kann, ist die Höflichkeit und feine Sitte. Dem, der sich nicht in dieser Entfernung hält, ruft man in England zu: keep your distance! – Vermöge derselben wird zwar das Bedürfnis gegenseitiger Erwärmung nur unvollkommen befriedigt, dafür aber der Stich der Stacheln nicht empfunden.“65 Diese Regulation wird wie hier im Bild meist räumlich-territorial verwirklicht, wobei zur Territorienabgrenzung meist eine reine Kennzeichnung verwendet wird und auch ausreicht.66 Der Mensch denkt territorial in den Bezügen von Privatheit: Dies zeigt sich bereits in seiner Sprache. So ist vom privaten Raum die Rede, auch wenn ein körperlicher Raum nicht gemeint ist. Der Begriff ist weiter. Ein Begriff, der nicht-räumlich ist, hat sich noch nicht etabliert. Auch der Begriff der Privatsphäre hat räumlichen Bezug, vom griechischen oðaûra, sphaira – die Hülle, der Ball – stammend.67 Versuche einer sprachlichen Lösung von diesen räumlich-gegenständlich-örtlichen Bezügen sind unvollkommen, fast hilflos, wie sich in vielen Darstellungen zeigt, wenn etwa der Begriff des Raums nur in Anführungszeichen gesetzt werden kann, um hervorzuheben, es gehe nicht um einen Raum im gegenständlichörtlichen Sinne.68 Auch die Benennung eines metaphysischen Raumes geht vom Begriff des Raumes aus. Sprachlicher Ausgangspunkt – die Relativierung mag unmittelbar damit verbunden sein – ist somit, soll nicht jede Konturierung verloren gehen, stets ein räumlich-örtlicher Bezug. Da die Sprache Spiegel unseres Denkens ist, zeigt sich hier aufs Neue, wie schwer es dem Menschen fällt, in metaphysischen Ebenen zu denken, ohne doch wieder einen physischen Vergleich zu bemühen, der nur hinken kann. Dem Versuch, einen gewissen privaten Raum zu verwirklichen, dienen ebenso regelmäßig räumlich-technische Mittel. In Großraumbüros werden Trennwände aufgestellt, in Toiletten eigene kleine Subräume eingebaut, in Zügen Abteile gebildet und in Banken Abstandslinien am Boden gezogen. Wo ein physischer Abstand nicht möglich ist, wird dieser größtmöglich den65
Schopenhauer, Parerga, § 396. Vgl. zur Kontrolle von Räumen und den Auswirkungen des Kontrollverlustes Fischer/Stephan in Kruse: Ökologische Psychologie, S. 166 ff. 67 Ursprünglich bezeichnete die Sphäre im griechischen das „Himmelsgewölbe“, das als Kugelinnenfläche gedacht war. 68 s. etwa: Brossette, Wahrheit, S. 29. Auch der Bearbeiter tut sich auf der Suche nach passenderen Begriffen schwer. 66
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
177
noch durch Stimm- oder Blicksenkung (etwa in überfüllten U-Bahnen oder Fahrstühlen) gewährt. Dies geht teils so weit, dass die bis zum Moment der Einengung stattfindende Kommunikation einfriert, bis der beengende Moment vorüber ist. Dabei ist der Mensch durchaus bereit, einen Preis in Form von Aufwand und persönlicher Distanz für die Verwirklichung der Privatheit zu bezahlen. Dies spiegelt den Wert wider, den er ihr beimisst. Wie oben schon angeführt, dienen dieser Regulation in erster Linie Symbolisierungsprozesse.69 Abgrenzungen im öffentlichen Raum durch territoriale Marken dienen dazu, einen Ausschnitt an privatem Raum herzustellen. Dieses Phänomen kann etwa beobachtet werden, wenn im Freibad mittels Handtuch, etc. Flächen belegt oder am Hotelpool die Liegestühle „reserviert“ werden.70 Dies wird, selbst wenn der „Ortsbesetzer“ gar nicht zugegen ist, über lange Zeiträume von anderen respektiert.71 Eine Verletzung wird dagegen als äußerst unangenehm empfunden.72 Dabei ist nicht zu verkennen, dass zunächst diese Territorien an ihre tatsächliche Verteidigbarkeit geknüpft waren. Ansonsten wurden sie nicht anerkannt. So basierte die 3-Meilen-Zone vor der Küste auf der Reichweite der Küstenartillerie.73 Es lag der Gedanke zugrunde, dass ein Land nicht mehr Gebiet beanspruchen konnte, als es zu verteidigen in der Lage war.74 Von diesem Konzept der physischen Verteidigbarkeit – das im Tierreich vorherrscht75 – fand eine Loslösung statt, verbunden mit einer Wendung hin zu einer reinen Symbolik. Dabei ist zu beachten, dass die Berücksichtigung dieser Symbole erlernt ist. Dies gilt selbst im Tierreich.76 Lebewesen, denen dieser Lernprozess vorenthalten wurde, haben große Probleme, die richtige Distanz einzuhalten und werden Außenseiter – sei es, dass sie zunächst zu dicht heranrücken und dann in ihre Schranken verwiesen werden, oder ob sie von vorn herein zu viel Abstand halten und so nicht als der Gruppe zugehörig empfunden werden.77 Die richtige Distanz einzuhalten ist also wesentlich für die soziale Interaktion. In Bereichen, in denen sie durch äußere Ein69
Mogel, Umwelt, S. 59, Eibl-Eibesfeldt, Humanethologie, S. 480. Weitere Beispiele und Erläuterungen zum Konzept des „Persönlichen Raums“ in Schultz-Gambard in Kruse: Ökologische Psychologie, S. 325 ff. 71 Vgl. die umfangreichen Untersuchungen von Sommer zur „Einnahme“ von Bibliotheksarbeitsplätzen, in Sommer, Personal Space, S. 45–57. 72 Sommer, Personal Space, S. 26 ff. 73 Der Gedanke geht zurück auf Cornelis van Bynkershoek, der 1703 vermittelnd in den Streit um die Herrschaft über das Meer eingriff. Vgl. auch Sommer, Personal Space, S. 45. 74 Sommer, Personal Space, S. 45. 75 Sommer, Personal Space, S. 43. 76 Sommer, Personal Space, S. 29. 77 Sommer, Personal Space, S. 28 ff. 70
178
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
flüsse negativ beeinflusst wird, sei es zwangsläufig in Gefängnissen oder in polizeilichen Verhören als Mittel, um den Verhörten gefügiger zu machen78, hat dies erhebliche Auswirkungen auf die weitere Interaktion.79 Zu viel oder zu wenig Abstand bringt neben sozialen auch erhebliche persönliche Probleme mit sich – ersteres wird als Isolation, letzteres unter dem Stichwort crowding als bedrückend empfunden. Dabei durchzieht das Konzept der Privatheit alle Kulturkreise und ist strukturell gleich.80 Allein wie viel Abstand benötigt wird, schwankt abhängig von situativen und von personenbezogenen Gegebenheiten wie bspw. der kulturellen Herkunft. Dass sich die Forschung dabei meist auf den territorialen Aspekt der Privatheit bezieht, beruht darauf (siehe oben), dass dieser leichter zu untersuchen ist als sich nach außen kaum äußernde und jedenfalls weniger messbare andere Symptome der Interaktion. Dennoch darf nicht verkannt werden, dass die Einnahme eines Territoriums nicht Selbstzweck ist. Sie dient maßgeblich dazu zu kontrollieren, „welche Informationen über die eigene Person preisgegeben werden“, so Hellbrück und Fischer.81 Nach ihnen versuchen die Beteiligten ein „genaues Privatheitsniveau“ zu verwirklichen. Die Verteidigung des personalen Raums oder von Territorien bzw. deren bloßes Markieren sind nur Mittel zur Realisierung dieses Zwecks. Crowding, das Erleben von Beengtsein, ist somit Ergebnis verfehlter Privatheitsregulation. Inwieweit sich Partner gegenseitig sozial erreichen oder durchdringen (social penetration) hängt bei dyadischen Beziehungen maßgeblich von der Wirksamkeit der Regulation ab.82 Damit gilt: Die Schaffung von Territorien ist Zweck der Schaffung und Sicherung des Privaten. 5. Ergebnis Festzuhalten bleibt, dass Privatheit mithilfe von symbolischen Grenzen und Markierungen sicher gestellt wird. Diese Symbolik findet allgemein Beachtung und wird respektiert. Von Grenzen zu sprechen, wäre ginge zu weit. Die symbolischen Barrieren sind in aller Regel technisch problemlos überwindbar – sie erschöpfen sich geradezu in ihrer Symbolik. Eine Dokumentation ohne technische Sicherung von Sicherungsbedürfnissen wird in der gesellschaftlichen Wirklichkeit anerkannt. Überschreitungen dieser sichtbaren oder unsichtbaren Linien sind nicht sozialkonform. Damit gilt 78
Beispiele aus Sommer, Personal Space, S. 28. Etwa Sommer, Personal Space, S. 42 bzgl. Gefängnissen oder auch Forschungsstationen in der Antarktis. 80 Eibl-Eibesfeldt, Humanethologie, S. 455 ff., 475 ff., 981. 81 Hellbrück/Fischer, Umweltpsychologie, S. 298. 82 Hellbrück/Fischer, Umweltpsychologie, S. 298. 79
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
179
umgekehrt: Eine technisch über eine Symbolik hinauswirkende Hürde ist kein notwendiges Element, um ein Interesse an Privatheit sozial relevant zu dokumentieren. Sie dient (nur) der faktischen Sicherung als Vorbeugung gegen eine antizipierte Missachtung des sozial Anerkannten. Damit ergibt sich ein Anhaltspunkt, eine Dokumentation eines Geheimhaltebedürfnisses zu fordern. Es ergibt sich dagegen kein Anhaltspunkt, eine bestimmte Form einer Dokumentation, insbesondere die der technischen Sicherung, zu fordern.
II. Herrschende Behauptung einer sicherungsinhärenten Dokumentation eines besonderen Geheimhaltebedürfnisses Die von der herrschenden Meinung vertretene – hier sogenannte – Dokumentationstheorie besagt, dass faktisch in der besonderen Sicherung die Dokumentation eines besonderen Geheimhaltungsbedürfnisses des Verfügungsberechtigten liege. Diese These soll hier am Beispiel untersucht werden. Der impliziten normativen Behauptung, dass die Dokumentation richtiges konstitutives Unterscheidungsmerkmal zwischen strafrechtlich geschützten und ungeschützten Daten ist, sei zurückgestellt; jedenfalls bis zum Abschluss der Untersuchung der faktischen Aussage. Der Gesetzgeber setzt besonderen Schutz von Daten für den Strafrechtsschutz voraus. Es stellen sich in technischer Hinsicht die Fragen, welche Schutzmechanismen es überhaupt gibt, welches Schutzniveau sie bieten und gegen welche Angriffsarten sie geeignet sind. Diese Fragen dürfen nicht aus dem Auge gelassen werden, stellt doch die Forderung nach einer Sicherung keinen Selbstzweck dar, sondern ist eine Forderung nach einer technischen Wirklichkeit. Um zu verstehen, was eine Sicherung im Sinne einer Dokumentation aussagt, muss verstanden werden, was sie bedeutet – und zwar in faktischer Hinsicht. Im Vordergrund der hiesigen Untersuchung steht die Frage, ob und wann das Vorliegen einer Sicherung ein besonderes Geheimhaltebedürfnis dokumentiert. Die Dokumentation soll Grund des Erfordernisses der Sicherung nach dem herrschenden Verständnis sein und müsste sich in ihr also wiederfinden, soll nicht die Sicherung von ihrer Begründung völlig losgelöst und damit – im Wortsinne – unbegründet sein. Die Behauptung, in der Sicherung spiegele sich ein Geheimhaltebedürfnis, ist keine rechtliche, sondern eine tatsächliche. Auf dieser Ebene ist die Behauptung daher zu überprüfen. Die technische und soziale Lebenswirklichkeit und damit Bedeutung der Sicherung ist zu untersuchen. Zwei Wege des Erkenntnisgewinns sind dabei denkbar: Der eine folgt einer allgemeinen Darstellung der technischen Sicherung und des behaupteten
180
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
In-ihr-Liegens der Dokumentation des besonderen Geheimhaltebedürfnisses. Allgemeingültige und zugleich aussagekräftige Erkenntnisse über elektronische, analoge und sonstige in Betracht kommende Sicherungen lassen sich aufgrund der Vielzahl der Angriffsarten, vor denen sie schützen sollen (siehe dazu nur die Auswahl oben) und der Vielzahl der Sicherungen allerdings schwer ableiten. Allein der Standardmaßnahmenkatalog des Bundesamtes für Sicherheit in der Informationstechnik füllt einen starken DIN-A4 Ordner und listet 232 Standardmaßnahmen auf, die hier unmöglich behandelt, ja, schon kaum alle benannt werden können. Der zweite gangbare Weg ist, einen Sicherungsmechanismus exemplarisch herauszugreifen. Um induktive Aussagen zu ermöglichen, bietet sich dabei an, denjenigen Mechanismus genauer zu betrachten, der am häufigsten Verwendung findet. Kommen dabei mehrere in Betracht, so ist derjenige zu wählen, auf den sich die Dokumentationstheorie am häufigsten stützt. Kann der als Paradebeispiel einer These angeführte Fall widerlegt werden, so ist die These jedenfalls wesentlich erschüttert. Es ist dann zu überprüfen, wieweit an ihr noch festgehalten werden kann. Dieser zweite Weg soll gegangen werden. Der zu Recht als geradezu klassisches Sicherungsmittel bezeichnete Mechanismus ist die Passphrasenabfrage.83 Deshalb soll deren Technik dargelegt, die Stellung der herrschenden Meinung diesem Mechanismus gegenüber untersucht84 und kritisch hinterfragt werden. Um zu überprüfen, ob die gewonnene Erkenntnis übertragbar ist, wird sie an weiteren Beispielen überprüft und gegebenenfalls angepasst und ausdifferenziert. 1. Wirkungsweise, Anwendung und Zielrichtung der Passwortabfrage Eine Dokumentation hat soziale Bedeutung. Sie ist eine Nachricht an andere und damit Kommunikation. Daher ist ihr Verständnis vom Empfängerhorizont abhängig. Wird sie in Worten überbracht, so ist ihre Bedeutung in diesen zu suchen. Hier soll die Dokumentation dem Mechanismus inne wohnen. Dieser ist damit Gegenstand der Auslegung. Er dokumentiert, was er bedeutet. Dabei kann er nur dokumentieren, was ihm auch angesehen werden kann. Dies ist wesentlich! Angesehen werden kann einem Mechanismus in aller Regel sein äußeres Erscheinungsbild. Aus diesem lässt sich teilweise 83 Vgl. das BSI, IT-Grundschutzhandbuch, 2005, M 4.1 – das den Passwortschutz als erste Maßnahme nennt. Die Abfrage ist bei Onlineangeboten (Auktionshäusern wie eBay, Onlineshops wie Amazon, Onlineforen usw.) weit verbreitet und dient auf den meisten modernen Personalcomputern und Arbeitsplatzrechnern als standardisierter, meist voreingestellter Schutzmechanismus. 84 s. dazu i. E. die Darstellung der Literaturansichten unten.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
181
auf den technischen Ablauf schließen, teilweise auch auf die Funktion im Sinne eines Zwecks. Letzteres sind bereits Auslegungen. Sie sind dann sicher, wenn es nur Funktionen gibt, die immer ein und das selbe bedeuten und damit dokumentieren. Aus diesen Gründen sind der Mechanismus der Passphrasenabfrage und die mit ihr verfolgten Zielrichtungen zu untersuchen. Das Passwort – genauer, die Passphrasenabfrage – gehört zur Gruppe verschiedener Schutzprogramme und -mechanismen.85 Die erste Sicherheitsmaßnahme zum Schutz der Daten, wenn der physische Zugang zum Rechner nicht unterbunden werden kann, ist meist, unbefugte Nutzer vor dem Gebrauch des Computers abzuhalten, indem er mittels einer Passphrasenabfrage erst ordnungsgemäß den Arbeitsplatz freigibt, auf dem der Nutzer weitere Funktionen auslösen kann, sobald er sich authentifiziert hat. Die Passwortabfrage als Sicherheitsmedium ist weit verbreitet86 – sie ist geradezu klassisch.87 Schon sprachlich legt die Passwort- oder genauer Passphrasenabfrage nahe, dass nur passieren darf (von französisch passer, lateinisch passus88), wer die Passphrase eingibt. Allerdings fungiert die Passphrasenabfrage nicht in jeder Hinsicht wie ein Pförtner. Im Gegensatz zu ihm kann mittels ihrer nicht nur über das Ob des Einlasses, sondern auch über das Wie, das Wieweit und Wieviel entschieden werden: Bei modernen Betriebsystemen greifen die sogenannte Rechteverwaltung89 und Passphrasenabfrage unmittelbar ineinander. Die Passphrasenabfrage stellt die Zuweisung der richtigen Rechte sicher und entscheidet, ob der Nutzer überhaupt keine Rechte, eingeschränkte Rechte (der Regelfall bei Nutzern, die nicht zugleich Eigentümer von Hard- und Software sind, etwa bei Mitarbeitern in Unternehmen) oder volle Rechte (der Regelfall bei Privatrechnern und (Chef-)Administratoren) erhält. Es können Rechte verschiedener Höhe vergeben werden, etwa 85 Es wird hier mit Bedacht der unscharfe Begriff der Schutzprogramme gewählt. Die Terminologie verschiedener Programme, deren Hauptziel der Schutz des Computers ist, verwischt mehr und mehr. Dies liegt nicht zuletzt auch daran, dass komplette Pakete verschiedener Schutzprogramme verkauft werden, da sich – nachvollziehbar – der Endkunde nicht mit der Frage beschäftigen möchte, welche Bestandteile er benötigt. Völlig unterschiedliche Schutzfunktionen werden als einheitliches Paket (sog. Bundle oder Suite) angeboten. Es sollen hier aber die wesentlichen verschiedenen Bereiche kurz aufgezeigt werden. 86 Die Abfrage ist so sehr verbreitet, dass ihr Verbreitungserfolg bereits wieder zum Sicherheitsproblem wird: Die Nutzer können sich nicht allzuviele Passphrasen merken. Daher verwenden sie wiederholt dasselbe Passwort. Zu Versuchen, mittels eines „Passwortportals“ möglichst viele andere obsolet werden zu lassen vgl. kritisch Mack, DuD 2002, 472. 87 So Schmachtenberg, DuD 1998, 402. 88 Kluge, Etymologisches Wörterbuch, Paß und passieren. 89 Zur Rechteverwaltung vgl. unten S. 220 und unten Fn. 498, S. 281.
182
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
auf unterster Stufe Leserechte, auf höherer Kopierrechte, Schreib- und Löschrechte bis zu vollen Zugriffsrechten. In horizontaler Ebene können verschiedene Daten und Datenbereiche (wiederum mit verschiedenen vertikalen Rechten) freigegeben werden. Schulze-Heiming90 stellt daher richtigerweise fest, Passwörter hätten „nicht ausschließlich den Sinn, Unberechtigte vom Zugriff auf die Daten auszuschließen. Auch die Zugriffsmöglichkeiten des Berechtigten (Lese- oder höherrangige Schreibberechtigung) können regelmäßig durch Passwörter eingeschränkt werden.“91 Liegen die Daten auf der Festplatte, so ist der erste Sicherheitsschritt üblicherweise, das Betriebssystem des Computers mit einem Zugangsschutz zu versehen. Dann kann der Computer nicht einfach eingeschaltet und die Daten ausgelesen werden. Das System startet also nur vollständig, wenn der Zugangscode eingegeben wird. Zu Angriffsmethoden auf die aktive Passphrasensicherung durch Ausspähen der Passphrase und sichere(re) Passphrasenwortstrategien, siehe oben92. Die Abfrage kann aber auch in der Weise ausgehebelt werden, dass sie schon nicht aktiv wird. Da sie im hiesigen Fall nur unterbindet, dass der Computer läuft, kann sie systemimmanent unterlaufen werden, indem zum Auslesen der Daten nicht das vorhandene Betriebssystem verwendet wird. Der Schutz besteht lediglich darin, dass das auf dem PC befindliche Betriebssystem die Startphase abbricht, wenn nicht der richtige Code eingegeben wird. Das Auslesen von Daten ist aber grundsätzlich nicht von der Verwendung eines konkreten Betriebssystems auf dem zugehörigen Rechner abhängig. Es kann alternativ ein anderes Betriebssystem etwa von CD oder Diskette gestartet werden. Dazu muss dieses nur in das entsprechende Laufwerk des Rechners gegeben und der Rechner eingeschaltet werden.93 Selbst wenn dies unterbunden wird, etwa durch entsprechende Systemeinstellungen94 und das Starten eines fremden Betriebssystems nicht mög90
Schulze-Heiming, Computerdaten, S. 71. Zu ihrer weiteren Gedankenfolge, siehe unten. 92 s. 112 ff., dort Kap. 1. 93 Vorraussetzung ist, dass der Rechner von solchen Datenträgern starten („booten“) kann. Dies ist standardmäßig der Fall. DasBIOS (Akronym für Basic Input Output System, welches möglicherweise auf das griechische Wort bioò, bios = Leben anspielt ) steuert, von welchem Laufwerk gestartet werden kann. Das BIOS ist das erste Programm, welches direkt nach dem Einschalten startet. Es ist auf einem nichtflüchtigen Speicher vorhanden und dient selbst dem Starten des Betriebssystemes. In aller Regel lässt es aus Sicherheitsgründen den Start von Betriebssystemen auch außerhalb der lokalen Festplatte zu. Denn ist das vorhandene System defekt und startet nicht mehr, so gibt es ansonsten nur noch sehr aufwändige Möglichkeiten des Zugangs. Selbst ein neues System könnte nicht aufgespielt werden. 94 Unter System wird hier das BIOS verstanden, dieses befindet sich physisch auf dem Mainboard (auch Motherboard oder Hauptplatine) des Rechners. Es startet 91
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
183
lich ist, so kann dies unterlaufen werden, indem bspw.95 die Festplatte ausgebaut und in einen anderen PC eingebaut und dort ausgelesen wird. Der Ein- und Ausbau einer Festplatte benötigt etwa eine Viertelstunde. Danach können alle Daten von der Festplatte wie von einem beliebigen Datenträger gelesen und geändert werden. Letzteres gilt ebenfalls für alle (anderen) portablen Datenträger. Sie können in einen fremden Computer eingelegt und dort ausgelesen werden. Eine Hinderung, den physisch vorhandenen Code von üblichen Datenträgern auslesen zu lassen, ist kaum denkbar. Vergleicht man diesen Schutz mit dem Schutz eines Grundstückes, so entspräche dies folgender Sicherung: Das Grundstück liegt in einem dichten Urwald. Der Hauptweg zu ihm (das Betriebssystem) wird versperrt. Nun kann durch verschiedene Tricks diese Sperre durchbrochen oder ausgehebelt werden. Man kann sich dem Grundstück aber möglicherweise auch durch ungeschützte Notwege nähern oder gar neue Schneisen durch den Wald schlagen. Gegen die letzten beiden Angriffsarten ist das Versperren des Hauptweges (die Kennwortabfrage des Betriebssystems) schlicht wirkungslos. Der Passphrasenschutz von Programmen – und das Betriebssystem ist ein Programm – dient immer erst indirekt dem Schutz vor dem Auslesen von Daten. Können diese – was in aller Regel der Fall ist – auch mit anderen Programmen (oder anderen Versionen desselben Programms) ausgelesen werden, so ist der Schutz relativ gering.96 Hat der Täter erst einmal Zugang zu den Daten, indem er das Betriebssystem startet – wie auch immer er noch vor jeder aufgespielten Software und dem eigentlichen Betriebssystem. Das BIOS regelt die grundlegenden Funktionen. Es kann selbst passwortgeschützt werden. 95 Das BIOS kann manipuliert werden: Dem BIOS wird der Strom entzogen, indem die stets vorhandene sogenannte Knopfzellen-CMOS-Batterie entnommen wird. Das Passwort ist grundsätzlich systembedingt flüchtig, da es sich um eine variable Einstellung handeln muss. Fehlt nun der Stromzufluss von der Batterie, so „vergisst“ das BIOS das Passwort und dieses kann geändert werden. Auch wenn das nicht gelingt, sind weitere Möglichkeiten gegeben, etwa das BIOS „kurzzuschließen“, es hard- oder softwareseitig zu „flashen“ – also zwangsweise mit anderer Information zu versehen, den entsprechenden „Jumper“ – vergleichbar einem elektrischen Schalter – auf der Platine umzuschalten oder den BIOS-Chip schlicht physisch gegen einen anderen auszuwechseln. 96 Es besteht bspw. bei dem populären E-Mail Programm „Thunderbird“ die Möglichkeit, dieses mit einem Passwort zu versehen. Erst nach Eingabe dessen startet das Programm. So kann anderen Nutzern die Nutzung des eigenen PC erlaubt und der Zugriff auf eigene E-Mails insoweit unterbunden werden. Es bleibt aber auch hier die Möglichkeit, die E-Mails mit anderen Programmen (etwa Textverarbeitungsprogrammen) auszulesen oder sie zu kopieren und auf einem anderen PC unter einer anderen Installation von „Thunderbird“ auszulesen.
184
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
dies bewerkstelligt97 – oder indem er die Daten auf andere Weise ausliest, so können ihm jedoch weitere Schutzmaßnahmen, in erster Linie Verschlüsselung, entgegengesetzt werden.98 Die Passphrasenabfrage bewirkt also lediglich, dass dasjenige Programm, welches die Passfrage stellt, den Zugriff nur nach Eingabe der Passphrase freigibt. 2. Meinungsstand zur besonderen Sicherung am Beispiel des Passwortes Die Forderungen, die nach der absolut vorherrschenden Dokumentationstheorie an die Zugangssicherung gestellt werden, seien kurz in Erinnerung gerufen99: 1. Ein Schutzmechanismus muss bezwecken, den Zugang zu Daten zu verhindern oder wesentlich zu erschweren. Der Zweck braucht nicht alleiniger Zweck zu sein, er darf aber auch nicht nur nebensächlich sein.100 2. Durch den Schutz muss sich das besondere Geheimhaltungsbedürfnis des Verfügungsberechtigten dokumentieren.101 Bevor auf die einzelnen Quellen eingegangen wird, soll vorgreifend ein kurzer Überblick zum Meinungsstand gegeben werden: Die Passwortabfrage ist die Sicherung, zu der sich die meisten Stellungnahmen finden. Es sind 97
Siehe zu Ausspähtechniken oben, S. 108 ff., dort Kap. II. Aber auch die in Fn. 96, S. 183 geschilderte Möglichkeit einzelne Programme wiederum mit einer Passwortabfrage zu versehen. Zur Verschlüsselung siehe unten S. 303 ff., dort Kap. g). 99 Siehe schon oben, S. 96 ff., dort Kap. VI. 100 Vgl. Fischer, § 202a Rn. 9; MüKo-Graf, § 202a Rn. 31; Hilgendorf, JuS 1996, 702; SK-Hoyer, § 202a Rn. 9; Jessen, Sicherung i. S. v. § 202a, S. 78; Krutisch, Computerdaten, S. 105; Leicht, iur 1987, 45, 46 f.; Sch/Sch-Lenckner/Schittenhelm, § 202 a Rn. 7; LK-Schünemann, § 202a Rn. 15; Schulze-Heiming, Computerdaten, S. 66; anschaulich P. Schmid, Computerhacken, S. 73 m. w. N. 101 Vgl. insgesamt (damit der BT-Drs. 10/5058 S. 29 folgend): Binder, Ausspähen von DV S. 52 ff.; Ernst, NJW 2003, 3233, 3236; ders, Hacker, Cracker & Computerviren, Rn. 240; MüKo-Graf, § 202a Rn. 28 bis 48; Wessels/Hettinger, Strafrecht BT/1, Rn. 559; Hilgendorf, JuS 1996, 702; ders./Frank/Valerius, Computerstrafrecht, Rn. 660; Hilgendorf/Wolf, K&R 2006, 541, 546; SK-Hoyer, § 202a Rn. 8 bis 10; teilw. anders Jessen, Sicherung i. S. v. § 202a, S. 120, NK-Kargl, § 202a Rn. 9 f.; Krutisch, Computerdaten, S. 105; Lackner/Kühl, § 202a Rn. 4; Leicht, iur 1987, 45; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7,8; Lenckner/ Winkelbauer, CR 1986, 483 ff.; Rengier, Strafrecht BT/II, § 31, Rn. 24; Schlüchter, 2. WiKG, S. 65; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 73 ff. 80 ff.; 86; LK-Schünemann, § 202a Rn. 14 bis 16; Schulze-Heiming, Computerdaten, S. 66 ff.; Arzt/Weber, Strafrecht BT, § 8 Rn. 58, S. 214 ff. 98
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
185
erfreulich viele.102 Diese ließen sich allenfalls grob und mit äußerster Vorsicht in zwei Deutungsgruppen gliedern: Nach der ersten erfüllt das Passwort die Bedingungen stets (absolute Aussagen), nach der zweiten kommt dies jedenfalls in Betracht (relative Aussagen). In beiden Fällen finden sich wenig Ausführungen, wieso die Bedingungen schon erfüllt sind (von der Behauptung abgesehen, dass sie es seien) oder warum dies noch nicht der Fall sei und welche Voraussetzungen weiter zu erfüllen seien. Die hier sogenannten absoluten Aussagen103 lassen immerhin den (Rück-) Schluss zu, sie nähmen an, dass Passwörter stets den Zugang zu Daten zu erschweren bezweckten. Da Mechanismen nichts bezwecken, sondern Zwecke ihnen nur beigemessen werden können, muss dahingehend geschlossen werden, dass Passwortabfragen stets (wenngleich nicht unbedingt nur) zu dem Zweck eingesetzt würden, den Zugang zu Daten zu verhindern. Weiter wird angenommen, dass das Vorliegen einer Passwortabfrage, die nicht unbedingt vom Verfügungsberechtigten eingesetzt wird, dessen besonderes Geheimhaltungsbedürfnis dokumentiert. Auf eine Darlegung dieser Zwischenschlüsse wie auch deren Begründung wird in aller Regel verzichtet. Der Aussagegehalt der hier sogenannten relativen Aussagen104 ist schwieriger zu fassen. Sie ziehen Passwörter in Betracht und versäumen es doch oft, weitere Voraussetzungen zu benennen, die ein abschließendes Urteil erlauben. Es wird meist darauf verwiesen, Passwortabfragen müssten die dort genannten Voraussetzungen erfüllen.105 Wann dies der Fall ist und wann nicht – das wird allzu oft offen gelassen und beantwortet sich leider meist doch nicht von selbst. Als Ordnungskriterium für eine Darstellung jedenfalls taugt diese ohnehin gewagte Unterscheidung nicht. Aufgabe dieser Arbeit ist, die Gründe für die besondere Sicherung zu untersuchen. Kann gezeigt werden, dass diese Zwischenschritte nicht in jedem Fall zulässig sind, dann ist gezeigt: Das Vorliegen eines Sicherungsmittels ist keine unmissverständliche Dokumentation eines Geheimhaltebedürfnisses des Dateninhabers. Die These, sich auf Sicherungen zu stützen, weil diese ein Geheimhaltebedürfnis des Dateninhabers zeigten, wäre jedenfalls 102 Keine Stellungnahme findet sich etwa bei Vetter, Internetkriminalität (S. 37 f.), der sich aber die herrschende Ansicht zu eigen macht. Dasselbe gilt mit Abweichungen, siehe unten, für LK10-Jähnke § 202a (Rn. 14). 103 Siehe die Nachweise unten. 104 Vgl. Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 29 V 4., S. 321; Otto, Grundkurs Strafrecht BT, § 34 VIII, Rn. 66 ff., S. 147; Rengier, Strafrecht BT/II, § 31 IV, S. 232; Wessels/Hettinger, Strafrecht BT/1, Rn. 559. Als Beispiel nennen es: Etwa Haft, Strafrecht BT/II, I. IV., S. 101; Rengier, Strafrecht BT/II, § 31 IV. S. 232. 105 Otto, Grundkurs Strafrecht BT, § 34 VIII, Rn. 66 ff., S. 147; Rengier, Strafrecht BT/II, § 31 IV. S. 232; Wessels/Hettinger, Strafrecht BT/1, Rn. 559.
186
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
für das untersuchte Sicherungsmittel widerlegt. Die Passwortabfrage ist dabei Paradebeispiel eines Sicherungsmittels, bei dem dies von der herrschenden Meinung aber angenommen wird. Widerlegt man die herrschende Meinung in diesem Punkt, so ist zu prüfen, inwieweit an ihr überhaupt noch festzuhalten ist. Eine Auseinandersetzung um die Gründe hat aber erst dann Sinn, wenn die Argumente herausgearbeitet wurden. Mit dem Mangel einer Begründung der einzelnen logischen Zwischenschritte mag man sich zufriedengeben. Die Darstellung der Stellungnahmen wäre knapp und überschaubar. Will man aber die Gründe für diese Stellungnahme finden, und dies ist Aufgabe der Arbeit, dann kommt man nicht umhin, den Versuch zu unternehmen, zwischen den Zeilen und aus der Gesamtkonzeption (so eine solche ermittelt werden kann) die Gründe des Resultats zu destillieren. Zwangsweise sind die Ausführungen umfassend und ausgedehnt zu analysieren. Insbesondere um die Lücken zu erkennen und zu belegen, müssen die Aussagen ausführlich untersucht werden. Eine solche Untersuchung wurde hier unternommen. Um sie nachvollziehen und überprüfen zu können, bedarf es daher nicht nur der Wiedergabe des Ergebnisses, sondern auch der vorgelagerten und hinführenden sowie nachfolgenden Ausführungen. Nachzuweisen, welche Felder die Äußerungen nicht mehr bedecken und erschließen, kann nur durch möglichst weitgehende Darstellung der erschlossenen Bereiche geschehen. Verschiedene Wege sind nachzugehen, um zu erkennen, wo sie enden. Die Literatur befasst sich nunmehr seit zwanzig Jahren mit dem Tatbestand des § 202a StGB. Es sollte dabei anzunehmen sein, dass einerseits manche ursprünglich geäußerte Ansicht nicht mehr vertreten und mancher Auslegungsweg (in der breiten Fläche, wenn man so will) nicht mehr verfolgt werden dürfte, während aber doch gleichzeitig insgesamt die Ausdifferenzierung innerhalb des eingegrenzten Bereiches in den Detailfragen (in der Tiefe, um im Bild zu bleiben) im Laufe der Jahre zunehmen sollte. Dies ist auch bei der Interpretation des § 202a StGB gemeinhin der Fall. Fokussiert man aber auf die hier diskutierte Fragestellung, so scheint insbesondere der erst genannte Effekt eingetreten zu sein: Anfangs noch vertretene Ansichten wurden nicht weiter verfolgt, ohne dass die Gründe dafür immer benannt oder aus sich luzide sind. Die Meinungsvielfalt reduzierte sich. Dies kann ein erfreuliches Zeichen für eine gefundene Klärung und einen tragfähigen Konsens sein. Es mag aber auch ein Zeichen dafür sein, dass sich mit einer plausibel scheinenden Erklärung abgefunden wurde und kein Anlass gesehen wurde, diese zu revidieren. Um diese Entwicklung nachvollziehen zu können, werden die Literaturansichten in chronologischer Reihenfolge wiedergegeben. Eine Gruppierung der Literatur nach Ansichten ist dagegen kaum möglich. Dies liegt vor allem daran, dass die Ergebnisse meist sehr ähnlich
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
187
sind. Selbst die Einteilung danach, ob das Passwort stets eine besondere Zugangssicherung darstellen soll oder dies nur in Frage kommt, ist problematisch, da die Aussagen vage bleiben und das Passwort oft als (denkbares?) Beispiel genannt wird.106 Es fällt ebenso schwer, nach Ergebnisbegründungen zu gruppieren, da detaillierte Ausführungen zu Beweggründen meist entweder fehlen oder zumindest sehr knapp gehalten sind. Beispielsweise könnten Ergebnisse, wie „der Passwortschutz kommt in Frage“ oder „solche besonderen Sicherungen sind etwa Passwörter“ zwar dahingehend unterschieden werden, dass letztere Aussage weniger zurückhaltend ist. Auch wohnt der Bezeichnung der Passwortabfrage als Passwortschutz eine Wertung inne. Doch ist zu untersuchen, ob jede Passwortabfrage Schutz bedeutet – und zwar Zugangsschutz. Davon abgesehen begründet weder die eine Seite ihre Zurückhaltung noch die andere ihre Allgemeingültigkeit – wenn man die Aussagen überhaupt in dieser Weise werten will. Auch lässt sich aus verschiedenen Betonungen im Ergebnis noch nicht auf verschiedene Begründungen zurück schließen. Der Versuch, die Aussagen einzuordnen und Begründungen zu destillieren, läuft in die zu vermeidende Gefahr der Überinterpretation ihres Wortlautes. Dies steht dem Wunsch der Gliederung nach klaren und unterscheidbaren Aussagen zur Erkenntnis der Beweggründe der herrschenden Meinung entgegen. Um ein ungetrübtes Bild zu ermöglichen wird daher hier die Stellungnahme zur Passwortabfrage samt Ihrer Einkleidung und im Kontext wiedergegeben, soweit sich aus diesen allgemeineren Aussagen auf die Gründe der Ergebnisfindung zu schließen hoffen lässt. Erneut seien ein paar Worte zum Sprachgebrauch verloren, um Verwirrungen vorzubeugen: Die Literatur spricht meist verkürzend vom Passwort oder Passwortschutz. Sie bedient sich dabei des allgemeinen, wenngleich unpräzisen Sprachgebrauchs. Das Passwort ist schließlich nicht geschützt. Es ist aber auch nicht Schutz, sondern Teil des Schutzmechanismus, quasi der Schlüssel zum Schloss. Man mag dies für eine sprachliche Spitzfindigkeit halten. Wenn es um die rechtliche Wertung geht, ist jedoch die Unterscheidung wichtig. Dies scheint teilweise übersehen zu werden, wenn das Passwort selbst schon als geschützt angenommen wird.107 Daher sei dieser klarstellende Hinweis erlaubt. Eine weitere Verkürzung, die dem allgemeinen Sprachgebrauch geschuldet sein dürfte, liegt in der Verwendung des synonym verstandenen Begriffes vom Passwort. Gemeint ist in aller Regel die Passphrase unter Einschluss von bedeutungslosen, reinen und gemischten Ziffern- und Buchstabenfolgen. Etwas anderes ist der Literatur nicht zu entnehmen. In dieser Arbeit wird, wie schon erwähnt108, wo es nicht verfäl106 107 108
Siehe dazu schon oben. Siehe oben S. 118. Siehe S. 114.
188
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
schend ist, dem allgemeinen Sprachgebrauch der Literatur folgend und einer erleichterten Lesbarkeit dienend, das Passwort als Synonym zur Passphrase und dem Schutz durch eine Passphrasenabfrage verwandt, so dies nicht gesondert anders ausgewiesen ist. a) Einzelne Literaturansichten Lenckner und Winkelbauer befassten sich mit § 202a StGB bereits im Jahr 1986, dem Jahr seiner Einführung.109 Sie verstanden das Merkmal der besonderen Sicherung als Ausgleich zum Verzicht auf einen materiellen Geheimnisbegriff – und darin stimmt ihnen die herrschende Meinung heutzutage noch zu. Sie konstatierten jedoch ausdrücklich, dass der Berechtigte „besondere Maßnahmen“ getroffen haben müsse. Darin finde sich ein „victimodogmatischer Ansatz“.110 Dieser Ansatz spiegele die Bedeutung aus Sicht des Berechtigten, des Opfers, wider. Auf das viktimodogmatische Argument wird noch einzugehen sein.111 Der Täter wiederum sollte aus seiner Sicht „deutliche Schranken“ erkennen, „in deren Überwindung sich zugleich das für eine Strafbarkeit notwendige Maß an krimineller Energie manifestiert“. Diese Argumente greifen die Verfasser später auf, um an diesen Merkmalen die „qualitativen Anforderungen“ an die Sicherung, also deren Schutzniveau zu bestimmen.112 Leicht, der sich schon 1987 mit der besonderen Sicherung des § 202a StGB befasst und sich mit dem „Charakter der ‚besonderen Sicherung gegen unberechtigten Zugang‘ “ auseinander setzt, folgt den Vorgenannten.113 Auch nach ihm hat das einschränkende Erfordernis der besonderen Sicherung Dokumentations- und Abgrenzungscharakter: Der Verzicht auf materielle Geheimnisse erzwinge dies. So habe der Verfügungsberechtigte der Daten „sein Geheimhaltungsinteresse an den Daten der Außenwelt durch erkennbare und geeignete Schutzmaßnahmen zu dokumentieren“.114 Damit erhalte nur der sorgsam Handelnde Strafrechtsschutz.115 Leicht spricht davon, dass der Verfügungsberechtigte aktiv zu seinem Schutz tätig werden müsse. Er bedient sich damit ebenso eines viktimodogmatischen Arguments.116 Weiter sollen dem Täter „deutliche Schranken gesetzt“ werden, 109 110 111 112 113 114 115 116
Lenckner/Winkelbauer, CR 1986, 483. Lenckner/Winkelbauer, CR 1986, 486. s. unten die ausführliche Untersuchung, S. 321 ff., dort Kap. B. Lenckner/Winkelbauer, CR 1986, 487. Leicht, iur 1987, 45. Leicht, iur 1987, 45. Leicht, iur 1987, 45. s. unten die ausführliche Untersuchung, ab S. 321 ff., dort Kap. B.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
189
die „ihn sein rechtswidriges Verhalten bei deren Umgehung oder Überwindung erkennen lassen“.117 Die frühen Stellungnahmen von Lenckner, Winkelbauer und Leicht führen eine dreifache Begründung an, während die spätere h. M. – wie noch zu zeigen sein wird – eine ausreichen lassen will, ohne dabei die anderen explizit zu verwerfen. Die hier Genannten wollen sich jedenfalls noch auf drei Säulen nebeneinander stützen: Dokumentation, Viktimodogmatik und Schrankensetzung. Leicht will seine Prämissen praktisch angewandt wissen. Er hält, im Gegensatz zur nunmehr herrschenden Meinung, ausdrücklich fest, der „bloße ‚Dokumentationscharakter‘ einer Sicherung [könne . . .] nicht genügen“, dies ergebe sich aus dem Verweis des Gesetzgebers auf die §§ 202 Abs. 2 und 243 Abs. 1 Nr. 2 StGB.118 Er ergänzt, Maßstab für den Sicherungsgrad der zu diesen Vorschriften anerkannten Schutzvorrichtungen sei die „erhöhte kriminelle Energie“ des Täters, die er zu deren Überwindung einsetzen müsse. Letzteres Merkmal, die erforderliche erhöhte kriminelle Energie des Täters, ist für ihn zugleich Maßstab für das Schutzniveau der geforderten Sicherheit.119 Ob Leicht dieses Merkmal als zusätzliche Begründung oder (nur) als Auslegungsmittel verstanden wissen will, stellt er nicht ausdrücklich fest. Auch Leicht stützt also das Erfordernis der besonderen Sicherung auf drei Säulen. Das Schutzniveau macht er von seinem dritten Kriterium abhängig, der „erhöhten kriminellen Energie“, die zur Überwindung erforderlich sein muss.120 Er nimmt die Dokumentation des Geheimhaltebedürfnisses damit ernst und wendet sie als Auslegungsmittel an. Eine Sicherung, die nur dokumentiert, reicht ausdrücklich nicht. Sie muss zumindest ein Niveau haben, das dem Täter erhöhte kriminelle Energie abfordert. Leicht lässt es dabei nicht nur bei einer Behauptung bewenden, er zeigt vielmehr, wie die Geltendmachung dieser Voraussetzungen im Einzelfall zu unterschiedlichen praktischen Ergebnissen führt. In seiner Grundkonzeption folgt er damit Lenckner und Winkelbauer und differenziert aber v. a. in Bezug auf die praktische Bedeutung weiter aus. Samson121 erklärt, dass das Geheimhaltungsinteresse sich erst durch die besondere Sicherung in für den Tatbestand erforderlicher Weise ausdrücke 117
Leicht, iur 1987, 45. Leicht, iur 1987, 47. 119 Leicht, iur 1987, 47. 120 „Maßstab für den Sicherungsgrad der zu diesen Vorschriften [§§ 202 II und 243 I 2 Nr. 2 StGB] anerkannten Schutzvorrichtungen ist die erhöhte kriminelle Energie des Täters, die er zu deren Überwindung einsetzen muß.“ so Leicht, iur 1987, 47. 121 Nunmehr kommentiert Hoyer die §§ 201 ff. im Systematischen Kommentar. 118
190
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
und etwa durch Passwörter bestehen könne.122 Eine weitere Auseinandersetzung findet nicht statt. Jähnke geht auf die Zugangssicherung im Rahmen der Tathandlung ein.123 Er stellt dabei fest, dass das Merkmal der Zugangssicherung dem Täter eine deutliche Schranke setzen solle und erst deren Überwindung strafwürdige kriminelle Energie „manifestiere“.124 An anderer Stelle geht er erneut auf die besondere Sicherung ein und stellt fest, dass diese die Schranke sei, deren Überwindung kriminelles Unrecht begründe. Die Sicherung rechtfertige sich, weil der Verfügungsberechtigte mit der Sicherung sein Geheimhaltungsinteresse dokumentiere.125 Obwohl er der Sicherung Dokumentationscharakter beimisst, ja diesen gerade als Grund anführt und die Sicherung als „deutliche Schranke“ verstanden haben will, muss sie dennoch seiner Auffassung nach dem Täter nicht erkennbar sein.126 Zur Passwortabfrage bezieht er nicht Stellung. Jung erwähnt kurz, dass der Zugangsschutz eine Begrenzung des Tatobjekts sei. Ohne eine dogmatische Begründung anzudeuten, wendet er sich sogleich Auslegungsfragen zu. Passwörter und Verschlüsselungen sieht er als erfasst an, wobei er eine argumentative Unterfütterung durch Verweise auf Literaturansichten ersetzt.127 Schulze-Heiming, auf die sich später Graf 128 berufen wird, setzt voraus, „daß die Sicherung dazu bestimmt [!] und geeignet sein muß, Daten gegen den Zugang Unberechtigter zu sichern [. . .]. Eine Zugangssicherung, die sich als bloßer erwünschter Nebeneffekt einer ganz anderen Maßnahme darstellt, reicht [aber] nicht.“129 Sie führt weiter aus, Passwörter (gemeint ist wohl die Passwortabfrage) hätten „nicht ausschließlich den Sinn, Unberechtigte vom Zugriff auf die Daten auszuschließen. [. . .] Das ändert aber nichts daran, daß diese Art der Sicherung zweifelsfrei[!] die Voraussetzungen des § 202a (1) StGB erfüllt.“130 Dies sucht sie allein mit einem Verweis auf die SK24-Samson § 202a Rn. 10. 123 LK10-Jähnke, § 202a Rn. 7 (unter „Verschaffen“) sowie Rn. 14–16 („Überwinden“). 124 LK10-Jähnke, § 202a Rn. 7. 125 LK10-Jähnke, § 202a Rn. 14. 126 Ohne weitere Begründung jedoch ausdrücklich gegen Leicht, iur 1987 45, 48 f., der dies missverstehe. 127 1. Auflage, 1995. In diesem Bereich erfuhr die Loseblattsammlung keine Aktualisierung. Er wurde 2005 in der gebundenen zweiten Auflage von Kargl übernommen. 128 MüKo-Graf, § 202a Rn. 31 bis 41 und unten S. 195. 129 Siehe auch bereits oben. Schulze-Heiming, Computerdaten, S. 66. Hervorhebung von R. Dietrich. 130 Schulze-Heiming, Computerdaten, S. 71. 122
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
191
„absolut h. M.“ zu untermauern. Hier dürften durchaus Zweifel angebracht sein, denen noch argumentativ nachzugehen sein wird.131 Es ist die Frage aufzuwerfen, ob es Passwortabfragen gibt, die keinen Zugangsschutz bezwecken, so dass dieser allenfalls ein Reflex ist. Ist dies der Fall, so ist das Passwort nicht per se Sicherung im Sinne des § 202a StGB. Ist der Zweck einer Passwortabfrage dieser nicht anzusehen, so ist die Frage zu stellen, nach welchen äußeren Merkmalen geurteilt werden kann, ob eine Sicherung im Sinne des § 202a vorliegt. Schmachtenberg referiert zunächst die Gesetzesbegründung in seiner Darstellung der besonderen Zugangssicherungen nach § 202a StGB.132 Nach seinen Worten ist zusätzlich ein Mindestmaß an Sicherungswirkung erforderlich, an dem sich die besondere kriminelle Energie des Täters zeigen muss.133 Aus dieser Aussage wird zweierlei deutlich. Zunächst macht er sich die Gesetzesbegründung zu eigen, schließlich fordert er nicht stattdessen, sondern zusätzlich. Weiter fordert er eine besondere kriminelle Energie, die sich zeigen müsse. Er lässt diesen Aussagen rechtliche Stellungnahmen zu allgemeinen Sicherungsmitteln, dem Passwortschutz und der Verschlüsselung folgen. Er schließt mit einem Fazit, in dem er – ohne dass er es vorher angesprochen hat – folgert, dass eine Strafbarkeit des Ausspähens nur dann bestehe, wenn der Verfügungsberechtigte gezielt Maßnahmen ergriffen habe, die auch ein adäquates Maß an Sicherheit böten.134 Als Begründung führt er nun (als Erster in Bezug auf § 202a) an, das Strafrecht solle nicht zu einem Lückenbüßer für unzureichende Schutzmaßnahmen werden. Schmachtenberg liefert damit drei verschiedene Begründungen: Eingangs die des Gesetzgebers (der Verfügungsberechtigte dokumentiert sein besonderes Geheimhaltungsbedürfnis), weiter die ausdrücklich auf Leicht135 gestützte Argumentation, hier zeige sich die besondere kriminelle Energie. Und schließlich das im Fazit verstärkende Argument, dass das Strafrecht nicht „Lückenbüßer“ für versäumten Selbstschutz sein solle.136 Letzteres darf in der Gesamtschau als viktimodogmatisches verstanden werden – auch wenn es Schmachtenberg nicht dezidiert als solches bezeichnet. In seiner spezifischen Stellungnahme zum Passwortschutz hält er eingangs fest, dass das Passwort das klassische Sicherungsinstrument von Daten sei.137 Dabei ist die Passwortabfrage schon sprachlich auf die Fälle be131 132 133 134 135 136 137
Näheres unter S. 192. Schmachtenberg, DuD Schmachtenberg, DuD Schmachtenberg, DuD Leicht, iur 1987, 46. Schmachtenberg, DuD Schmachtenberg, DuD
1998, 401. 1998, 401. 1998, 402. 1998, 402. 1998, 402.
192
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
schränkt, in denen sie schützt, wenn von Passwortschutz die Rede ist. Auf die von ihm genannten drei Begründungen geht er im Speziellen jedoch nicht mehr ein. Sie werden für ihn nicht Mittel der Auslegung. Ob sich meistens, stets oder nur selten das besondere Geheimhaltebedürfnis des Opfers und die kriminelle Energie des Täters zeigten und das Opfer auch die Schutzmaßnahme gezielt ergriffen habe, findet keine Erwähnung. Mühle folgt im Wesentlichen der herrschenden Meinung. Sie sieht in der besonderen Sicherung eine Dokumentations- und Abgrenzungsfunktion.138 Darüber hinaus solle dem Täter eine deutliche Schranke gesetzt werden, bei deren Überwindung sich das notwendige Maß krimineller Energie zeige.139 Welches dieses notwendige Maß sei oder was kriminelle Energie im Einzelnen bedeute, klärt sie jedoch nicht. Es bleibt bei der Einführung dieses Begriffs, auf den unten noch einzugehen sein wird. In kommentierender Darstellung des § 202a hält Hoyer in Bezug auf die Zugangssicherung140 eingangs fest, dass das Rechtsgut der Norm aus viktimodogmatischen Gründen von einer Datensicherung abhänge.141 Diese viktimodogmatische Begründung greift er für die Auslegung später nicht dezidiert auf, sondern nähert sich dort der Dokumentationstheorie an. Er konstatiert zunächst: „Unter einer Zugangssicherung ist jedes Hindernis zu verstehen, das den tatsächlichen Zugriff auf Daten nicht ganz unerheblich zu erschweren geeignet und bestimmt ist“142 und fasst darunter sogleich die Passwortkontrolle. Nachdem er angenommen hat, dass Passworte eine Sicherung im Sinne des § 202a StGB darstellten, stellt er in einer nachfolgenden, eigenen Randnummer143 die Vorgabe auf: „Das Hindernis muß subjektiv zumindest auch speziell zu dem Zweck geschaffen worden sein, den Zugang zu den Daten zu erschweren, und es muß darüber hinaus diese subjektive Zweckrichtung auch objektiv erkennbar werden lassen.“ Diese Prämissen stehen in Einklang mit der weit verbreiteten Auffassung. Dennoch drängt sich die Frage auf, wie Hoyer zu verstehen ist, weniger wegen des isolierten Inhalts seiner Aussagen, sondern wegen der Systematik seiner Herangehensweise. Hoyer nimmt die Passwortabfrage (er bezeichnet sie als Passwortsicherung) als Sicherung im Sinne des § 202a StGB an. Danach stellt er die Forderung auf, nach der sich Sicherungen messen zu lassen haben. Zum Passwort – als einer möglichen Sicherung – nimmt er aber nicht erneut Stel138
Mühle, Hacker und Strafrecht, S. 66. Mühle, Hacker und Strafrecht, S. 66 f. 140 56. Lieferung, 7. Auflage, Stand: Mai 2003. Zur Vorgängerkommentierung im Systematischen Kommentar von Samson (1989), siehe oben S. 189. 141 SK-Hoyer, § 202a Rn. 2. 142 SK-Hoyer, § 202a Rn. 8. 143 SK-Hoyer, § 202a Rn. 9. 139
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
193
lung, etwa mit dem Hinweis, es erfülle auch diese Voraussetzung. Auch ist das Zusammenspiel von voriger Forderung nach dem besonderen Sicherungszweck mit einer anderen Aussage zu untersuchen: Während Hoyer aus dem Bedürfnis der subjektiven Zweckrichtung und ihrer Erkennbarkeit folgert, dass die „verschlossene Tür eines Wohnhauses [. . .] also noch kein tatbestandsmäßiges Zugangshindernis für sämtliche Daten dar(stellt), die etwa ein im Arbeitszimmer des Hauses stehender PC mit sich bringt“, so nimmt er doch an, dass eine Passwortkontrolle generell ein solcher Schutz sei. Der Frage, wieso eine abgeschlossene Haustür kein Schutz, eine Passwortabfrage hingegen dies sein soll, wendet sich Hoyer nicht zu. Der Unterschied in der räumlichen Nähe jedenfalls sollte für Daten, vor allem vor dem Hintergrund der jüngeren Entwicklung, bei der sich Daten oft in Netzwerken befinden, nicht das ausschlaggebende Kriterium sein. Soll die Aussage zum Passwort darauf beschränkt sein, dass die Passwortkontrolle abstrakt ein geeignetes Sicherungsmittel sei, die Frage nach der subjektiven Zweckrichtung und ihrer objektiven Erkennbarkeit durch die Verwendung aber noch beantwortet werden müsse? Der Aufbau der Argumentation legt diesen Schluss nahe, will man nicht unterstellen, die zweite Frage werde schon beantwortet, bevor sie gestellt wurde. Dann aber schlösse auch Hoyer nicht in jedem Fall in dem er auf eine Passwortkontrolle stößt dahingehend, dass eine Sicherung im Sinne von § 202a StGB vorliege. Sondern er nähme nur das Vorhandensein eines wichtigen Merkmals dieser Sicherung an. Die wesentliche Frage – die nach der Manifestation des Sicherungsinteresses – bliebe unbeantwortet. Die Nichtbeantwortung dieser Frage kann Hoyer freilich nicht angelastet werden, wenn sie sich generell nicht beantworten lässt. Eine klarstellende Kenntlichmachung, dass bei der Passwortabfrage das Kriterium der Erkennbarkeit einer bestimmten subjektiven Zweckrichtung nicht per se als erfüllt angenommen werden kann, wäre jedoch hilfreich. Die mit Abstand ausführlichste Kasuistik der Kommentarliteratur liefert Graf144, grundsätzlich-dogmatische Erwägungen hält er dagegen knapp. Er legt zunächst fest, dass die besondere Sicherung den Zweck haben müsse, den Zugang Unbefugter zu verhindern oder zumindest erheblich zu erschweren. Dabei solle nicht erforderlich sein, dass sie allein und ausschließlich dem Schutz der Daten diene. Sie dürfe aber auch nicht bloßer Nebeneffekt einer Maßnahme aus anderem Grunde sein.145 Auf die Erkennbarkeit des Zwecks stellt er nicht ab. Die Passphrasenabfrage fasst er als spezielle und vielfach verwendete „Software-Sicherung“146 auf. „Unabhängig vom 144 145 146
MüKo-Graf, § 202a Rn. 31 bis 41. MüKo-Graf, § 202a Rn. 31. MüKo-Graf, § 202a Rn. 38.
194
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
konkreten Einzelfall erfüllen auch softwaremäßige Sicherungen die Voraussetzungen des § 202a StGB“ stellt er vorab generell fest. Graf relativiert aber entscheidend dahingehend, dass das Passwort individuell gesetzt sein müsse. Dies wiederum dürfte Frage des Einzelfalls sein. Der im Auslieferungszustand vom Hersteller gesetzte Standard-Code reiche nicht hin, ohne dies inhaltlich oder als Abweichung vom Regelsatz zu begründen.147 Die Ausführungen sind auch hier zu analysieren. Am nächsten liegt die Annahme, erst durch das individuelle (Ein-)Setzen eines Passworts mache sich der Nutzer diesen Schutz zu eigen und manifestiere so in geforderter Weise sein Sicherheitsbedürfnis. Man entzöge dann demjenigen den Schutz, der ein vorinstalliertes Passwort für ausreichend hält. Da keine Begründung genannt wird, verbleibt hier nur der Verweis auf die unten folgende Stellungnahme zur Verwendung von Passwörtern148, insbesondere bei aufgedrängter Sicherung.149 Kargl folgt Hoyers Grundkonzeption in seiner Kommentierung im Nomos Kommentar150 darin, dass die Zweckbestimmung der Sicherung erkennbar sein muss. Er schließt – ausdrücklich Hoyer151 folgend – die allgemein ein Wohnhaus verschließende Haustür als Sicherungsmittel von sich im Arbeitszimmer befindenden Daten aus (Randnummer 9)152. Er konstatiert jedoch danach (Randnummer 10) – und im Gegensatz zu Hoyer – und unmittelbar auf diese Aussage folgend sogar ausdrücklich: „Als Sicherungsmaßnahmen sind danach anerkannt: [. . .] Paßwort-Abfragen, Schreib- und Leseberechtigungen [siehe Rechteverwaltung153] sowie der sogenannte Listschutz [Hidden-Attribuierung154], . . .“. Zur argumentativen Untermauerung verweist er auf andere Stellungnahmen. So kann man seine Darlegung nur dahingehend unterstützen, dass das Verschließen der Haustür eben generell alles Interieur des Hauses vor Wegnahme und auch Kenntnis schützt. Der Passwortschutz ist dagegen weit näher am Computer und daher in gewisser Weise spezifischer. Es ist fraglich, ob er spezifisch genug oder nicht wertungsmäßig doch so fern und generell wirkend wie eine Haustür ist. Die Beantwortung der Frage, wie nah dran 147
MüKo-Graf, § 202a Rn. 38. s. unten, S. 216, dort Kap. 3. 149 s. unten, S. 230, dort Abschn. b). 150 2. Auflage, 2005. Zur Vorgängerkommentierung im Nomos-Kommentar von Jung, siehe oben, S. 190. 151 SK-Hoyer, § 202a Rn. 9. 152 NK-Kargl, § 202a Rn. 9. 153 Zur Rechteverwaltung siehe unten S. 220 sowie unten, Fn. 498, S. 281. 154 Zum „Listschutz“ durch die Hidden-Attribuierung, s. unter „Verstecken“ unten S. 296. 148
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
195
und spezifisch zugeschnitten auf das jeweilige Schutzziel eine Sicherung sein muss, wird sich Wertungsgesichtspunkten kaum verschließen lassen. Dennoch müssen sich Wissenschaft und Praxis bemüßigt sehen, ein möglichst allgemeingültiges Unterscheidungsmerkmal zu suchen. Ein solches Unterscheidungsmerkmal wird hier leider nicht an die Hand gegeben. Schünemann konstatiert: „Die besondere Sicherung muss den Zweck haben, den Zugang zu verhindern. Anderen Zwecken dienende Maßnahmen, welche nur nebenbei auch den Zugang erschweren, wie feuersichere Türen ohne besonderes Schließsystem [. . .] reichen daher nicht aus“155. Er fordert keine Erkennbarkeit der Zweckrichtung. Das Passwort will er „danach“ als Typus einer Zugangssicherung „in Betracht“ ziehen.156 In der Sicherung sieht er nicht nur die Dokumentation des Interesses, sondern zusätzlich die Verwirklichung des viktimodogmatisch geforderten Selbstschutzes, wenn er schreibt: „Das Erfordernis der besonderen Sicherung gegen unberechtigten Zugang zeigt die Schranke an, deren Überwindung kriminelles Unrecht begründet (Rdn. 7); sie rechtfertigt sich, weil der Verfügungsberechtigte mit der Sicherung sein Interesse an der „Geheimhaltung“ – ähnlich wie in § 202 Abs. 2, § 243 Abs. 1 Nr. 2 – dokumentiert [Nachweise] und – das ist in normativer Hinsicht ausschlaggebend! – durch diese Wahrnehmung eines ohne weiteres zumutbaren Selbstschutzes auch des zusätzlichen Strafrechtsschutzes würdig und bedürftig wird. Wegen dieser viktimodogmatischen Fundierung [. . .] kommt es nicht darauf an, daß die Sicherung möglichen Tätern [. . .] erkennbar sein muß“.157 In einfacheren Worten: Zuerst ist ein technischer Schutz gefordert. Dieser muss (zweitens) das Geheimhaltungsinteresse dokumentieren, was aber nicht für potenzielle Täter erkennbar sein muss und (drittens) muss dies normativ ausschlaggebend Wahrnehmung des Selbstschutzes bedeuten. Schünemann zieht den Passwortschutz lediglich als mögliche Sicherung „in Betracht“158. Er ist also bereit, ihn wieder auszuscheiden, wenn sich im Einzelfall die genannten Voraussetzungen als unerfüllt erweisen. Dies sei bspw. dann der Fall, wenn das Passwort zu simpel oder die standardisierte Voreinstellung nicht verändert worden sei.159 Schünemann nimmt also die Passphrasenabfrage ausdrücklich nicht generell als Sicherung im Sinne des 155
LK-Schünemann, § 202a Rn. 15. LK-Schünemann, § 202a Rn. 16. 157 LK-Schünemann, § 202a, Rn. 14. Hervorhebungen von B. Schünemann. Anm. in eckigen Klammern von R. Dietrich. 158 LK-Schünemann, § 202a Rn. 16. 159 LK-Schünemann, § 202a, Rn. 14 a. E. Letzteres ist bei der Fernabfrage von Anrufbeantwortern diskutiert worden, vgl. Krause, JurPC 1994, 2758, 2760; Schmachtenberg, DuD 1998, 401 f. 156
196
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
§ 202a StGB an. Hat das Opfer nicht selbst ein qualitativ ausreichendes Passwort gesetzt, so dokumentiert es weder sein besonderes Schutzinteresse, noch, und das ist nach Schünemann ausschlaggebend, hat es genügend zum Selbstschutz unternommen. Diese Folgerung, nach der das Passwort ausgeschieden wird, zeigt deutlich, dass Schünemann konsequent die Begründung des Erfordernisses der besonderen Sicherung als Auslegung ihrer Reichweite heranzieht und in der Folge grundsätzlich denkbare Sicherungen aus dem Bereich des § 202a StGB auszuscheiden bereit ist. Die Begründung des Tatbestandsmerkmals wird von ihm als ganz wesentliches Auslegungskriterium mit klar benannten praktischen Folgen herangezogen. Umfassend arbeitet Jessen § 202a in seiner Monographie mit dem Titel „Zugangsberechtigung und besondere Sicherung im Sinne von § 202a StGB“160 auf und liefert wohl die bislang umfangreichste Auslegung der besonderen Sicherung (über 60 Seiten). Dennoch geht er auf die Frage kaum ein, ob die Forderung nach Dokumentation denn tatsächlich erfüllt werde.161 Seine umfangreiche Untersuchung widmet sich in erster Linie der – sehr wichtigen – Frage nach dem Sicherungsgrad, setzt damit aber einen Schritt später an. In seiner sogenannten „eigenen Lösung“ finden sich auch Überlegungen, die man getrost als viktimodogmatische bezeichnen darf, beispielsweise wenn er von der „Eigenverantwortung des Rechtsgutsträgers, die den Sicherungsgrad inhaltlich begrenzt“ spricht.162 Die dogmatische Begründung dieser Überlegungen wiederum wird dagegen nicht erörtert. In den praktischen Wertungen findet sich das – von ihm selbst aufgestellte – Erfordernis der Dokumentation nur in eindeutigen Fällen wieder. Im Grenzbereich kommt es nicht immer zur Anwendung. Auch ist die Wertung der Grenzfälle in ihrer Begründung und im Ergebnis nicht stets einwandfrei einleuchtend, wenngleich sie sicherlich vertretbar ist: Einerseits hält er bei der „Grundstückseinfriedung mit Pförtner“ fest, dass diese nur nachrangig den Schutz der Informationen der Lohnbuchhaltung (so das Beispiel) betrifft und daher keine Sicherung im Sinne des § 202a StGB angenommen werden kann.163 Andererseits soll die verschließbare Tür zum Computerraum dagegen (gemeint ist bei einer Forderung nach aktivem Selbstschutz wohl die verschlossene Tür164) als Sicherung angenommen werden. Jessen kommt zu diesen Ergebnissen, er bei dieser Tür die Datensicherung, den Diebstahlsschutz und den Betriebsschutz als kumulativ durch sie bezweckt 160
Hier zitiert als „Sicherung i. S. v. § 202a StGB“. Jessen, Sicherung i. S. v. § 202a, S. 63 bis 124. 162 Jessen, Sicherung i. S. v. § 202a, S. 120. 163 Jessen, Sicherung i. S. v. § 202a, S. 120. 164 Bei § 243 I 2 Nr. 2 wird auch auf das verschlossene Behältnis abgestellt, nicht auf das verschließbare. § 202a stellt ebenso auf gesicherte Daten und nicht sicherbare ab. 161
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
197
ansieht und keine Priorität des Zwecks der Sicherung zu erkennen vermag.165 Jessen begründet sein Ergebnis anhand der „überdurchschnittlichen Schließmechanismen“, die „Ausdruck sorgfältiger Handlungsweise“ seien, wovon allerdings nicht mehr gesprochen werden könne, wenn der Computer im ungeschützten Onlineverkehr betrieben werde. Wieso Jessen hier zu einer anderen Lösung als im „Pförtnerfall“ kommt, bleibt offen. Ist denn die Beschäftigung eines Pförtners kein überdurchschnittlicher Wachmechanismus und auch Ausdruck sorgfältiger Handlungsweise, muss er sich fragen lassen. Der – ungenannte – Unterschied ist, dass die verschlossene Tür eben näher dran ist am Datenträger, spezifischer wirkt, wodurch der Zweckbezug offensichtlicher ist. Doch kann es darauf ankommen? Auch stellt sich die Frage, wieso die Eigenschaft und die Zweckrichtung eines gebäudlichen Sicherungsmechanismus sich ändern soll, wenn ein Computer an das Internet angeschlossen wird. Dies ließe sich allenfalls mit viktimodogmatischen Überlegungen – die bei Jessen immer wieder durchscheinen, ohne dass sie namentlich genannt werden und ein Bekenntnis dazu stattfindet – rechtfertigen, so man diese anerkennt. Die Passwortabfrage, die auch von Jessen schon wertend als Passwortschutz bezeichnet wird, in den Fokus nehmend, unterscheidet er zunächst verschiedene Passwörter: Er kommt auf das Passwort auf Systemebene zu sprechen. Damit löst er es aus der Gesamtmenge aller Passwörter. Dennoch behandelt er Passwörter „anderer Ebenen“, um mit seinen Worten zu sprechen, nicht. Das Passwort auf Systemebene, das Jessen herausgreift, wird von ihm als Schutz im Sinne des § 202a StGB anerkannt.166 In der Erläuterung dieses Ergebnisses heißt es dann: „Ein Paßwortschutz dient nicht allein dazu, anderen die Möglichkeit zu nehmen, sich Daten zu verschaffen. Ebenso entscheidend ist der Schutz vor dem Verlust von Informationen. [Dennoch:] Aufgrund der Nähe zum Tatobjekt kann von einer ausreichenden Zielrichtung ausgegangen werden.“167 Während Jessen zunächst feststellt, dass die Passwortabfrage eben nicht nur auf Zugangssicherung zielt, soll allein die Nähe zum Tatobjekt dann doch zu einer ausreichenden Zielrichtung führen. Eine Vorgehensweise, die weiter geht als die sonst herrschende und die auf die moderne Verwendung von Passwörtern eingeht. Die konsequente Schlussfolgerung oder zumindest eine Auseinandersetzung mit den sich aufdrängenden Fragen wird aber vermieden. Dies wird besonders deutlich, wenn zwar mit Vehemenz aber ohne weitere Argumentation168 oder durch ein Berufen auf ein überraschend und weder vorher ein165 166 167 168
So Jessen, Sicherung i. S. v. § 202a, S. 120, ausdrücklich. Jessen, Sicherung i. S. v. § 202a, S. 121. Jessen, Sicherung i. S. v. § 202a, S. 121. Einfügung von R. Dietrich. Etwa bei Schulze-Heiming, siehe oben.
198
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
geführtes noch an anderer Stelle näher erläutertes Kriterium,169 ein anderer, ja – ein einfacherer Schluss gerechtfertigt werden soll. Nun mag man behaupten, der Zugangsschutz könne ja ein Zweck von mehreren sein. Doch erschüttert dies durchaus die These von der Dokumentation eines Zugangsschutz- und damit Geheimnisinteresses. Dabei mag das Kriterium der Nähe zum Tatobjekt und damit sozusagen seiner Spezifität durchaus von Bedeutung sein. Etwa, wenn es um die Frage geht, ob ein allgemeiner Zugangsschutz sich auch auf den Zugang zu den in Frage stehenden Daten bezieht. Es ist aber zu begründen, wieso dieses Kriterium bei der maßgeblichen Frage nach der Dokumentation des Sicherheitsbedürfnisses darüber hinweg hilft, dass eine Geheimnissicherung gar nicht unbedingt bezweckt ist. Die Frage, die aufgeworfen werden müsste und die aus gutem Grund vielleicht nicht aufgeworfen wird, ist aber, was gelten soll, wenn eine Passwortabfrage vorliegt, die – ohne dass es ihr möglicherweise angesehen werden kann – keinen Zugangsschutz zur Geheimhaltung bezweckt, sondern statt dessen andere Zwecke verfolgt. Dieser Frage stellt sich Jessen nicht. Auch ist fraglich, wieso Jessen sich auf das Moment der Nähe stützt, wenn er sonst viktimodogmatische Argumente zugrunde legt. Wie nah ein Schutz am Schutzobjekt ist, mag unter dem Gesichtspunkt der Dokumentation relevant sein; aber kaum unter dem der Viktimodogmatik. Um bildlich zu sprechen: Es lässt sich gut vertreten, dass, wer sein Haus abschließe, nicht offensichtlich dokumentiere, dass er den Inhalt seines Mülleimers vor Wegnahme schützen wolle. Dies sei diesem Handeln nicht zu entnehmen. Man mag also trotz Abschließen des Hauses durchaus annehmen, am Inhalt des Mülleimers habe der Inhaber kein erhöhtes Interesse. Wer aber sein Haus abschließt, sodass niemand hinein gelangt, der hat – viktimodogmatisch gesprochen – auch bezüglich des Inhaltes seines Mülleimers Sorgfalt walten lassen, damit dieser nicht abhanden kommt. Die Kriterien der Dokumentationstheorie und der Viktimodogmatik sind grundverschieden und der Unterschied in der Praxis beachtlich. Der leuchtende Schein der Dokumentation verblasst mit der Distanz. Für die Sorgfalt, die die Viktimodogmatik voraussetzt, spielt Distanz hingegen keine Rolle. Wollte man dies anders sehen, hieße dies zu verlangen, dass der Inhaber jeden Gegenstand in seinem Hause nochmals gesondert ab-, an- oder einschließt. Für eine eindeutige Dokumentation dürfte dies zwar unpraktikabel sein, aber die zwangsläufige Konsequenz sein. Für ein sorgfältiges Handeln kann es nur auf den Grad der Sicherung ankommen. Dieser wird nicht zwangsläufig erhöht, wenn jede Sache einzeln nochmals angeschlossen wird. 169 Vgl. etwa bei Jessen, der das Kriterium der „Nähe“ der Sicherung einführt. Dazu sogleich.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
199
Jessen scheint teils das viktimodogmatische Element für die Auslegung heranzuziehen und teils das der Dokumentation. An seine eben referierten Aussagen knüpft er sogleich – entgegen Hilgendorf170, aber Graf folgend171 – einschränkend an: „Der Einsatz von Paßworten ist allerdings nur dann Ausdruck eines sorgfältigen Handelns, wenn der Berechtigte das vom Hersteller schon installierte Kennwort ausgewechselt [hat]. Zudem ist das Paßwort in regelmäßigen Abständen zu ändern.“172 Es stellt sich auch hier die Frage, worin sich dieses Erfordernis begründet. Wenn die Nähe zum Tatobjekt, wie soeben behauptet wurde, ausreicht die Passphrase (auf Systemebene) als Sicherung im Sinne des § 202a StGB anzunehmen, wieso soll der Berechtigte dann das vom Hersteller vordefinierte, nah an den Daten befindliche Passwort erstmalig auswechseln und es regelmäßig erneuern müssen? Jessen klärt nicht, in welchem Verhältnis die viktimodogmatische und die dokumentationstheoretische Begründung und die daraus erwachsenden Anforderungen stehen. Dies führt zu Brüchen. Es sei hier nur am Rande bemerkt, dass die Forderung nach regelmäßiger Auswechslung in der Praxis zu Anwendungsproblemen führen dürfte. Von der Frage abgesehen, was denn regelmäßig sei, müsste angenommen werden, dass der Strafrechtsschutz nach Auswechslung zunächst besteht, dann aber wieder verfällt, wenn eine Zeitlang das Passwort nicht ausgewechselt wurde.173 Was Jessen hier möchte, könnte man als das Aufrechterhalten einer Sicherungshürde und damit des sich aktualisierenden Selbstschutzes begreifen oder auch als wiederholende und wiederholte Dokumentation des (noch vorhandenen) Sicherungsbedürfnisses. Die dogmatische Einordnung und praktische Umsetzung wirft Probleme auf. Zusammenfassend fordert Jessen Eigenverantwortung des Rechtsgutsträgers.174 Er verlangt, „daß ein Außenstehender dem Rechtsgutsträger bestätigt, sorgfältig gehandelt zu haben“175 und zudem, dass die Sicherung präventiv wirken müsse.176 Während letzteres Merkmal geradezu auf der Hand liegt, lässt sich unter die vorgenannten kaum trennscharf subsumieren. Von einer Dokumentation oder Nähe der Sicherung zu den Daten ist keine Rede mehr. Jessens Wechsel der Begründung durch die Arbeit lässt Fragen offen, ja wirft neue auf. Er selbst schließt denn auch seine Untersuchung der beson170
s. sogleich, S. 200. MüKo-Graf, § 202a Rn. 38. 172 Jessen, s. soeben Fn. 167, S. 197. 173 Dasselbe Problem stellt sich auch bei nur erstmaliger Zuordnung eines Passwortes und keiner folgenden Änderung. 174 Jessen, Sicherung i. S. v. § 202a, S. 120. 175 Jessen, Sicherung i. S. v. § 202a, S. 120. 176 Jessen, Sicherung i. S. v. § 202a, S. 120. 171
200
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
deren Sicherung mit dem Resümee ab, seine eigene Deutung habe „zur Folge, daß einem Dateninhaber fast alle technischen als auch logischen Sicherungsmöglichkeiten zur Verfügung stehen. Allerdings ist die Subsumtion der konkreten Vorkehrungen umfangreicher, und sie knüpft an verschärfte Voraussetzungen an.“177 Welchen Umfang die Subsumtion dann hat und was die verschärften Voraussetzungen sind, die auf immerhin knapp 60 Seiten nicht genannt werden konnten, bleibt offen. Es scheint selbst nach einer solch umfangreichen Untersuchung wenig an konkreten und subsumtionstauglichen Voraussetzungen benennbar zu sein. Hilgendorf bezieht mehrfach Stellung zur Sicherung im Sinne des § 202a StGB.178 Am ausführlichsten ist seine früheste Untersuchung. Seine späteren, gemeinsam mit Frank und Valerius getroffenen Aussagen sind zunehmend praxisorientiert und knapper.179 Schon Hilgendorfs erste Untersuchung des § 202a ist sehr fallorientiert und fallbasiert konzeptioniert. Er differenziert in dieser Untersuchung180 zwischen verschiedenen Arten von Zugangsbeschränkungen.181 Seine späteren Untersuchungen werden diesem induktiven und praxisorientierten Ansatz folgen.182 Als Grundsatz, stellt er voran, müsse durch die Sicherung das besondere Geheimhaltungsbedürfnis unmissverständlich (so ausdrücklich die Forderung noch 1996, die sich in seinen späteren Aufsätzen nicht mehr findet) dokumentiert werden.183 Nach ihm unterbinden Zugangsbeschränkungen „softwaretechnischer Art wie Paßwörter [. . .] den Zugriff auf den Datenspeicher und bringen gleichzeitig den Geheimhaltungswillen des Berechtigten unmißverständlich[!] zum Ausdruck.“184 Das Passwort sieht er als unmissverständliche Dokumentation und damit Sicherung. So klar und eindeutig die Aussage ausfällt: Eine direkte Begründung findet sich für die Behauptung nicht. So kann Hilgendorfs Verständnis dieser Detailfrage nur durch eine Analyse seiner Gesamtkonzeption ermittelt werden. 177
Jessen, Sicherung i. S. v. § 202a, S. 121. Zunächst als Alleinautor in der Aufsatzreihe Hilgendorf, JuS 1996, S. 509 ff.; 702 ff.; 890 ff. und 1082 ff. und ca. ein Jahrzehnt später Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 660 ff.; Hilgendorf/Wolf, K&R 2006 S. 541, 546. 179 Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 660 ff.; Hilgendorf/Wolf, K&R 2006, 541, 546, die in ihrem Überblick über das gesamte Internetstrafrecht § 202a insgesamt nur zwei Abschnitte und der besonderen Sicherung somit nur sieben Zeilen widmen können. 180 Hilgendorf, JuS 1996, S. 509 ff.; 702 ff.; 890 ff. und 1082 ff. 181 Hilgendorf, JuS 1996, S. 702, Fall 5. 182 Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 660 ff. 183 Hilgendorf, JuS 1996, S. 703, Fall 7; Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 660. 184 Hilgendorf, JuS 1996, S. 702, Fall 5. Hervorhebung von R. Dietrich. 178
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
201
Hilgendorfs Stellungnahme zum Verstecken könnte Aufschluss geben, worauf es bei einer Dokumentation ankommen soll. Werden Daten auf einem Computer in einem irreführenden Ordner aufgefunden, sind sie mithin möglicherweise dort gezielt versteckt worden. Hilgendorf schließt, dann könne dies eine besondere Zugangssperre im Sinne des § 202a StGB sein.185 Sie müsse aber „mehr als nur unerhebliche Sperrwirkung“ entfalten und gerade bei ihr sei zu verlangen, dass sie den Geheimhaltungswillen unmissverständlich deutlich mache, das Versteck also zumindest teilweise als Sicherung erkennbar sein müsse, so Hilgendorf in seiner Untersuchung.186 Dem erkannten Problem, dass es einer Datei schlechthin kaum anzusehen ist, wieso sie am „falschen“ Ort gespeichert wurde, ist aber nicht abgeholfen, indem die Bedingung gesetzt wird, der Zweck, das Geheimhaltungsinteresse, müsse erkennbar sein. Das Problem des nicht von außen ersichtlichen Zwecks stellt sich auch bei der Passwortabfrage, wie gezeigt werden wird. Da es verschiedene Gründe für eine Passwortabfrage gibt, ist nicht sicher auf einen Grund zu schließen. Im behandelten Fall wird denn auch einfach unterstellt, dass dieses Interesse (warum auch immer) erkennbar sei und gefolgert, „deshalb“ sei § 202a I StGB erfüllt.187 Aus welchen Merkmalen bei (so) versteckten Dateien die unmissverständliche Dokumentation besonderen Sicherungsbedürfnisses folgert, bleibt daher leider unbeantwortet. Wie es einer Datei ohne Kenntnisse der weiteren Umstände (auf diese stellt der Tatbestand nicht ab) anzumerken sein soll, aus welchem Grund sie an anderem Ort abgelegt wurde, dürfte ebenso unergründlich sein, wie die Frage, wieso jemand einen Roman zwischen Fachliteratur in seinem Bücherregal eingeordnet hat.188 Die hier davon unabhängig gewonnene Erkenntnis ist, dass Hilgendorf – vergleichbar unter anderem bspw. mit Schünemann – das Erfordernis der Dokumentation als so wesentlich ansieht, dass er es zur praktischen Auslegung heranzieht und ihm Einfluss auf das Ergebnis einräumt. In seiner Gesamtkonzeption ist die Dokumentation damit nicht nur Grund für das Tatbestandsmerkmal, sondern auch wesentliches Kriterium der Auslegung. Inzwischen scheint Hilgendorf bei der Fallvariante des hier dargestellten Versteckens die Begründung als ausreichend anzusehen, dass eine Verzögerung des Zugriffs ausreiche.189 Auf das von ihm mitgetragene und betonte 185 Hilgendorf, JuS 1996, S. 703, Fall 8. Ebenso Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 662. Zum Verstecken, s. dort, unten S. 301. 186 Hilgendorf, JuS 1996, S. 703, Fall 8 a. E. 187 Hilgendorf, JuS 1996, S. 703, Fall 8 a. E. 188 Zur Kritik an der Dokumentation durch Verstecken sei auf die Darstellung zum Verstecken verwiesen s. unten S. 301. 189 Bearbeitet mit Frank und Valerius: Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 660.
202
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Erfordernis des Zeigens des Geheimhaltungsbedürfnisses stellt er nicht mehr ab.190 Damit ist die Änderung der Auffassung – wie gezeigt wurde und noch weiter gezeigt wird – symptomatisch für die Haltung gegenüber der Sicherung im Sinne des § 202a StGB. Die ehemals hohen und selbst aufgestellten Forderungen (die auf mehrere Begründungen gestützt wurden) werden nach und nach abgeschmolzen. Die Wortlautgrenze dürfte bei einer Annahme schon einer bloßen Verzögerung als Sicherung nahe kommen. Bezüglich eines anderen Fallbeispiels änderte Hilgendorf mittlerweile seine Ansicht: Im Beispielsfall möchte A den Anrufbeantworter seiner ExFreundin B abhören. Bei der Baureihe des von ihr verwendeten Anrufbeantworters ist es – wie bei vielen Geräten – möglich, das Gerät aus der Ferne abzuhören, indem der Anschluss angewählt wird, worauf der Anrufbeantworter den Anruf entgegennimmt. Sodann wird über die Telefontastatur eine dreistellige geheime Ziffernfolge eingegeben. Diese Ziffernfolge ist ab Werk standardisiert voreingestellt. Sie kann individuell geändert werden. A bringt die standardmäßige Ziffernfolge in Erfahrung, indem er sich ein gleiches Modell kauft und die Ziffernfolge der Anleitung entnimmt. In der zutreffenden Vermutung, dass B die ursprüngliche Ziffernfolge nicht geändert hat, hört er nach deren Eingabe ihren Anrufbeantworter aus der Ferne ab.191 Diese Konstellation – die Verwendung einer vorinstallierten Sicherheitsfunktion – entspricht der oben geschilderten Passwortabfragesituation. Die Ziffernfolge ist ein Pass„wort“ und die Abfrage dient als Zugangssicherung zu Daten192. Die Aussagen Hilgendorfs müssten also übertragbar sein. Ein besonderer Publizitäts-, Manifestations- oder Dokumentationsakt seitens der B ist nicht zu entnehmen. Es steht nicht einmal fest, ob die B von der Fernabfragemöglichkeit und dem Pass„wort“ weiß. Sie bezieht sich also möglicherweise nicht einmal gedanklich auf die Sicherung. Dennoch, nachdem Hilgendorf gerade bei diesem Fallbeispiel das Erfordernis erneut aufstellt, dass der Geheimhaltungswille „unmißverständlich 190 Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 662: „Hierdurch [durch das Verstecken] verzögert sich der Zugriff auf die Daten, er wird jedoch nicht endgültig verhindert. Dennoch wird man auch hier von einer Sicherheitseinrichtung reden können, da ein objektives Zugangshindernis vorliegt“. Nach dieser Auffassung liegt zwar kein endgültiges aber doch immerhin ein Hindernis vor. Eine Verzögerung reiche dazu aus. Es bleibt offen, wieso unter den Begriff des Hindernisses subsumiert wird, wenn das Gesetz Sicherung fordert. Stillschweigend nimmt Hilgendorf also an, eine verzögernde Hinderung sei eine Sicherung. Ansonsten wäre § 202a nicht erfüllt. Davon aber geht Hilgendorf aus. 191 Hilgendorf, JuS 1996, 703, Fall 7; Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 662. 192 Die auf ein Tonband oder (heutzutage in aller Regel auf ein) digitales Trägermedium aufgesprochene Sprachnachricht ist nicht ohne technische Hilfsmittel (Tonkopf, Verstärker, Lautsprecher) wahrnehmbar. § 202a Abs. 2 ist daher erfüllt.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
203
deutlich“ gemacht werden müsse,193 behauptet er im unmittelbar darauf folgenden Satz, „von einem Geheimhaltungswillen der B“ könne „ausgegangen werden, auch wenn sie darauf verzichtete, die Abfragenummer individuell zu verändern. Die subjektive Voraussetzung einer Zugangssicherung [. . .] lag also vor.“194 Der Schlussfolgerung ist nicht zu widersprechen. Es ist davon auszugehen, dass die B, wie jeder und jede andere auch, nicht daran interessiert ist, dass ihr Anrufbeantworter von Dritten abgehört wird. Doch – und dies ist entscheidend – ergibt sich dies nicht aus der Tatsache der Sicherung. Dieses Interesse ist stets anzunehmen und hat mit der Sicherung nichts zu tun. Sie kennt die Sicherung vielleicht nicht einmal. Man würde den generellen Geheimhaltungswillen an den Daten auf dem Anrufbeantworter schließlich kaum verneinen wollen, wenn von einer technischen Sicherung nicht die Rede gewesen wäre. Die technische Sicherung ist nicht das Merkmal, dass das Geheimhaltungsinteresse manifestiert und zum Ausdruck bringt. Dennoch kommt Hilgendorf zu dem Schluss, hier liege diese unmissverständliche Dokumentation vor.195 Fragt man sich, wie die B wohl gehandelt hätte, wenn sie an der Geheimhaltung ihrer Daten überhaupt kein Interesse gehabt hätte, so käme man zu dem Ergebnis, dass sie die Zugangsdaten dann wohl nicht geändert hätte. Dies zeigt, dass die Annahme eines Sicherungsinteresses nicht auf ihrer (Nicht)Handlung beruht, sondern auf davon unabhängigen Erwägungen. Nunmehr – dies soll nicht unterschlagen werden – nimmt Hilgendorf ein anderes Ergebnis an, solange kein individueller Code eingegeben wird.196 Doch macht er den Meinungswechsel nicht kenntlich. Auch begründet er weder ihn noch das neue Ergebnis. Er verweist lediglich auf einen Aufsatz von Krause aus dem Jahre 1994197, dem er seinerzeit noch widersprach.198 Sein eigener Aufsatz und seine vormals abweichende Meinung findet keine Erwähnung mehr. Da seine jetzige Ansicht ohne Begründung vermittelt wurde, kann eine weitere Auseinandersetzung leider keine Früchte tragen. Insgesamt lassen sich den zahlreichen Beispielsfällen keine Kriterien entnehmen, nach denen sich die Dokumentation zeigen soll. Im Gegenteil scheint auch Hilgendorf sich bemüßigt gesehen zu haben, eine weitere Be193
Hilgendorf, JuS 1996, 703, Fall 7. Hilgendorf, JuS 1996, 703, Fall 7. 195 Hilgendorf, JuS 1996, 703, Fall 7. 196 Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 662. 197 Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 662, Fn. 282: Verweis auf Krause, JurPC 1994, 2758, 2760. 198 Hilgendorf, JuS 1996, 703, Fall 7, Fn. 13. 194
204
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
gründung für die Annahme einer entsprechenden Zugangssicherung heranzuziehen: So ist im gegebenen Fallbeispiel erwähnt, dass die kriminelle Energie zum Ausspähen größer gewesen sein dürfte, als wenn ein triviales Passwort erraten worden wäre.199 Ohne dem widersprechen zu wollen, ist doch überraschend, dass nun auf die kriminelle Energie als Begründung zurückgegriffen wird, obwohl sie bei der Darlegung der Voraussetzungen nicht einmal Erwähnung fand. Näheres über die Bedeutung und das Verständnis der kriminellen Energie ist nicht zu erfahren. Auch das Verhältnis zur Dokumentation – wirkt sie ersetzend oder ergänzend? – findet keine Erläuterung. Nachdem eingangs die Dokumentation des Geheimhaltungsinteresses als ausreichende Begründung für die besondere Sicherung genannt ist, danach die einzelnen Fälle dargelegt sind, wird ganz am Ende der Ausführungen zur besonderen Sicherung und Tathandlung ergänzt, dass die besondere Sicherung und ihre Überwindung sich aus der Forderung einer „gewissen Entfaltung krimineller Energie“ rechtfertige und dafür auch viktimodogmatische Überlegungen sprächen.200 Die vorabgenannte Begründung zeigt sich in der Darstellung der Fallanalysen als nicht ausreichend. Sie wurde am Ende der Darstellung durch andere flankiert. Wie diese am Ende eingeführten Begründungen einzuordnen sind, wird nicht luzide benannt. Es findet sich die Schilderung eines Falles,201 in dem ein Opfer zu seinem Selbstschutz aktiv tätig wurde, indem es seine Daten mit einem Passwort versah und damit viktimodogmatische Voraussetzungen erfüllte. Auch das Dokumentationserfordernis war erfüllt und der Täter wandte erhöhte kriminelle Energie auf. Hilgendorf nimmt bei Erfüllung aller von ihm geforderten Voraussetzungen § 202a an, er wertet dies aber als „im Hinblick auf das ultima-ratio-Prinzip des Strafrechts nicht unproblematisches Ergebnis“.202 Worin er ein Problem sieht, wenn er alle von ihm selbst aufgestellten Forderungen als erfüllt sieht, bleibt offen. Welches Kriterium ist nicht erfüllt? Es sollte benennbar sein. Je tiefer die Analyse, desto weniger scheint es zu gelingen, zugleich dogmatisch fundierte und ebenso griffige, unterscheidungskräftige Kriterien zu finden, die auf Wertungsebene nachvollziehbare Ergebnisse liefern. Je mehr versucht wird, anhand der bisherigen Prämissen die besondere Sicherung zu greifen, desto mehr scheint sie sich einer Festlegung zu entwinden. Wie in vielen Bereichen ahnen wir die Bedeutung der Begriffe und können damit in scheinbarer Sicherheit umgehen. Die wahre Bedeutung ist aber schwer zu benennen.203 199 200 201 202
Hilgendorf, JuS 1996, 703, Fall 7. Hilgendorf, JuS 1996, 705. Hilgendorfs Fall Nr. 2, JuS 1996, 511. Hilgendorf, JuS 1996, 511.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
205
Die wiedergegebene Untersuchung zeigt phänotypisch die Nöte, in die sich die herrschende Meinung begibt, wenn sie die von ihr aufgestellte Voraussetzung des Zeigens des Geheimhaltebedürfnisses ernst zu nehmen und nicht sich auf bloße Behauptungen zu stützen versucht. Während beim Anrufbeantworterbeispiel die Lösung still revidiert wurde, wurde beim Verstecken nur dem Namen nach, nicht aber inhaltlich auf eine Dokumentation gepocht. Sich aufdrängende Zweifel wurden mit einem „zweifelsohne“ weggewischt, die Dokumentation schlicht unterstellt, was in der Praxis kaum ginge. Die Dokumentation scheint also nicht notwendige Bedingung zu sein. Schlussendlich wurden weitere Begründungsstützen angeführt, die nicht in das Gefüge eingepasst wurden. Die Dokumentation scheint also auch nicht alleine hinreichende Bedingung zu sein. In dieser Untersuchung wird deutlich, dass die Dokumentationstheorie zunächst in der Begründung plausibel und zu nachvollziehbaren Ergebnissen zu führen scheint. In der konkreten fallbezogenen Anwendung ist dies anders. Dort kann das Dokumentationserfordernis nicht als ausreichend erachtetes Abgrenzungskriterium angesehen werden. Teils ist es zu eng, sodass mit Hilfskonstruktionen, etwa über die viktimodogmatische Schiene, im Ergebnis zu Unrecht ausgeschiedene Fälle (doch noch) einbezogen werden. Ebenso werden nach dem Dokumentationserfordernis zunächst einbezogene Fälle, bei denen dies im Ergebnis als falsch erachtet wird, aus anderen Gründen, etwa mangelnder Spezifität, (doch noch) ausgeschieden. Leider gab dies nicht Veranlassung, die Darstellung in dieser Hinsicht zu präzisieren und diese sonstigen Ausschluss- oder (hilfsweisen) Einschlussgründe über eine Benennung hinaus zu begründen und ihr Verhältnis zum Dokumentationserfordernis offenzulegen oder zumindest anzudeuten. Die Auslegung anhand des Dokumentationserfordernisses führt also zu Ergebnissen, die selbst die Anhänger der Dokumentationstheorie korrigieren müs203 Dieses Phänomen, von Augustinus schon vor über 1000 Jahren treffend erkannt, scheint auch hier zu gelten. „Was ist also die Zeit? Wenn mich niemand danach fragt, weiß ich es, wenn ich es aber einem, der mich fragt, erklären sollte, weiß ich es nicht.“ – Augustinus. Aus Augustinus Confessiones XI, 14. Im Original und Kontext: „Quid est ergo tempus? si nemo ex me quaerat, scio; si quaerenti explicare velim, nescio: fidenter tamen dico scire me quod, si nihil praeteriret, non esset praeteritum tempus, et si nihil adveniret, non esset futurum tempus, et si nihil esset, non esset praesens tempus. duo ergo illa tempora, praeteritum et futurum, quomodo sunt, quando et praeteritum iam non est et futurum nondum est?“ – „Was ist also die Zeit? Wenn mich niemand danach fragt, weiß ich es, wenn ich es aber einem, der mich fragt, erklären sollte, weiß ich es nicht. Mit Zuversicht jedoch kann ich wenigstens sagen, dass ich weiß, dass, wenn nichts verginge, es keine vergangene Zeit gäbe, und wenn nichts vorüberginge, es keine zukünftige Zeit gäbe. Jene beiden Zeiten also, Vergangenheit und Zukunft, wie kann man sagen, dass sie sind, wenn die Vergangenheit schon nicht mehr ist und die Zukunft noch nicht ist?“
206
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
sen, wobei sie auf andere Begründungsmodi hinweisen, ohne diese in die eigene Konzeption einpassen zu können. Weber stellt, bevor er sich mit der Sicherung und der in ihr (angeblich) wurzelnden Dokumentation des Geheimhaltebedürfnisses befasst, kritisch fest, dass § 202a StGB gerade aufgrund dieses formalen Ansatzes erhebliche Strafwürdigkeitsprobleme aufwirft204 und beklagt zugleich die inhaltliche Konturlosigkeit.205 Diese Probleme des Rechtsguts206 bewusst nur andeutend,207 wendet er sich den einzelnen Tatbestandsmerkmalen zu. Der besonderen Sicherung kann er im Rahmen des Lehrbuchs nur knappe fünf Zeilen widmen. Diese reichen nicht für eine nähere Auseinandersetzung, sondern lediglich für eine Nennung möglicher Sicherungsmittel: Darunter auch Passworte, die er als computerspezifisch bezeichnet. Sie kämen in Frage. Er verzichtet auf eine eindeutige Stellungnahme und die Andeutung möglicher Differenzierungskriterien. Demgegenüber geht P. Schmid zunächst auf etliche „hackerspezifische Vorgehensweisen“208 ein, um sie einer rechtlichen Würdigung zuzuführen. So behandelt er die „Paßwortausspähung“209 durch „Trial and error“210, „Paßwortknacker“211, „Social Engeneering [sic! – wohl Social Engineering]“212, und „Müllen“213. Er untersucht außerhalb des Passwortausspähens „Datenreisen“214, Trojanische Pferde, das Ausnutzen von Wanzen und Falltüren, Adress-Spoofing, Port-Scanner und Packet-Sniffer auf über zwanzig Seiten.215 Auch hält er fest, es komme „allein[!] darauf an, daß die Sicherungswirkung als solche erkennbar war und damit bei grundsätzlicher Wirksamkeit den Geheimhaltungswillen unmißverständlich deutlich macht“216. Der Schluss von der Erkennbarkeit der Sicherung als solcher auf den unmissverständlichen Geheimhaltungswillen („und damit“) wird leider nicht weiter begründet. P. Schmid zeigt in der weiteren Darstellung der Einzel204
Arzt/Weber, Strafrecht BT, § 8 Rn. 51, S. 215. Arzt/Weber, Strafrecht BT, § 8 Rn. 50, S. 214. 206 Siehe dazu insg. zum Rechtsgut: Kap. I., S. 27 ff. (Ergebnis S. 49 ff. (Abschnitt d)), zur Kritik de lege ferenda daran S. 54 ff. (Kap. 4.)). 207 Arzt/Weber, Strafrecht BT, § 8 Rn. 51, S. 215. 208 P. Schmid, Computerhacken, S. 156. 209 P. Schmid, Computerhacken, S. 156. 210 P. Schmid, Computerhacken, S. 156 f. 211 Gemeint sind der Lexikon-Angriff und Brute-Force-Angriff, s. S. 157 f a. a. O. 212 P. Schmid, Computerhacken, S. 158 f. 213 Gemeint ist das sprichwörtliche Durchsuchen des Abfalls, um dort weiterführende Informationen zu finden, P. Schmid, Computerhacken, S. 159 ff. 214 P. Schmid, Computerhacken, S. 163 ff. 215 P. Schmid, Computerhacken, von S. 163 bis 177. 216 P. Schmid, Computerhacken, S. 172. Hervorhebung von R. Dietrich. 205
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
207
fälle jedenfalls, dass er es nicht „allein darauf ankommen“ lässt, wie er behauptet, ob in der letzten Konsequenz der Geheimhaltungswille deutlich wird.217 Die Erkennbarkeit des Geheimhaltungswillens fordert er nicht. Er setzt sie mit der Erkennbarkeit der Sicherung gleich – „Ist dem Täter die Sicherung als solche erkennbar geworden, ist der Geheimhaltungswille ausreichend für den konkreten Täter dokumentiert“218 – während er zugleich behauptet, eine Sicherung müsse aus zwei Elementen, der objektiven Sicherung und dem subjektiven Schutzzweck bestehen219. Dieser Schutzzweck muss dabei von einem verobjektivierten Betrachter als Zugangsschutz erkannt werden, fordert P. Schmid ausdrücklich und mehrfach.220 In der Stellungnahme zu einzelnen Angriffsmaßnahmen stellt er darauf jedoch nicht mehr ab. Er setzt das eine Erfordernis dem anderen gleich, letzteres ist damit schlicht verzichtbar und bietet keine eigene Unterscheidungskraft. Es dient nur der Begründung, wieso auf die Erkennbarkeit der Sicherung abzustellen sei. Auch Krutisch behandelt in ihrer Arbeit aus dem Jahre 2003 die besondere Sicherung des § 202a ausführlich.221 In der allgemeinen Erläuterung der besonderen Sicherung222 hält sie zunächst zusammenfassend fest, auf der „objektiven Ebene“ müsse das eingesetzte (Sicherungs-)Mittel geeignet sein, Zugangsschutz zu gewährleisten und auf der „subjektiven Ebene“ müsse der Verfügungsberechtigte diesen Schutz bezwecken.223 Im Rahmen ihrer Untersuchung zur Eignung224 kommt sie erstmalig auf den Dokumentationscharakter zu sprechen. Sie zieht hier die Parallele zu Publizitätsfunktionen im Zivilrecht, etwa dem naheliegenden § 1006 Abs. 1 BGB und kommt zu dem Schluss, eine Publizitätsfunktion sei bei Daten notwendig, da es keinen Besitz an Daten gebe.225 Der Mangel an Publizitätsfunktion, wie sie etwa der tatsächliche Besitz von Sachen erfülle, müsse kompensiert werden. Sie sieht die Sicherung sozusagen als Substitution des Rechtsscheinsträgers „Besitz“. Ihr ist insoweit zuzustimmen, als äußerlich erkennbare und rechtspolitisch nachvollziehbare Zuordnungskriterien oder Beschränkungsmechanismen bei elektronischen Daten fehlen. Dies gilt insbesondere bei Datennetzwerken und im Gegensatz zu §§ 201a, 202. Zugleich sind alternative Eingrenzungen nach Praktikabilitäts- und Be217 218 219 220 221 222 223 224 225
P. Schmid, Computerhacken, S. 172 ff. P. Schmid, Computerhacken, S. 173. P. Schmid, Computerhacken, S. 73. P. Schmid, Computerhacken, S. 84, 86. Krutisch, Computerdaten, S. 104–124. Krutisch, Computerdaten, S. 104 f. Krutisch, Computerdaten, S. 105 a. E. Krutisch, Computerdaten, S. 106–110. Krutisch, Computerdaten, S. 107 f.
208
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
stimmtheitsüberlegungen (namentlich nach dem Inhalt der Information, dem Forum der Äußerung, vgl. §§ 201, 203) wenig überzeugend und stoßen auf noch größere Bedenken im Hinblick auf die Strafwürdigkeit.226 Neben dieser rein praktischen Zuordnungsfunktion misst Krutisch der besonderen Sicherung viktimodogmatische Bedeutung bei.227 Auf das Argument der erhöhten kriminellen Energie, das sie als „andere Auffassung“ referiert,228 geht sie nicht in seiner möglichen Funktion als Begründung des Erfordernisses der Sicherung ein. In Bezug auf den Sicherungszweck fordert sie, dass die Sicherung jedenfalls auch vor dem Zugang zu den Daten schützen müsse. Ein bloßer Nebeneffekt reiche nicht aus.229 In ihrer Stellungnahme zur Passwortabfrage wendet sie sich zunächst der Frage zu, welchen Sicherungsgrad diese erreichen müsste. Sie bejaht damit inzidenter, dass Passwörter als taugliche Sicherungen in Betracht kommen. Ob dies stets der Fall sein soll, wird nicht beantwortet. Sie lehnt es jedenfalls aus praktischen Erwägungen ab, solche Passwörter auszuscheiden, die leicht herausgefunden werden könnten,230 wobei sie von Unternehmen ein höheres Schutzniveau als von Privatnutzern fordert. Sie begründet dies damit, dass dies Unternehmen zugemutet werden könne, Privatnutzern hingegen nicht.231 Die Frage nach der Zumutbarkeit der Verwirklichung bestimmter Schutzniveaus scheint viktimodogmatisch motiviert. Eine weitere Erklärung – in diese oder in eine andere Richtung – findet sich allerdings nicht. Es zeigt sich in Krutischs Darstellung damit ebenfalls, dass eingangs geforderte Kriterien als in der konkreten Anwendung nicht ausreichend angesehen werden, selbst wenn sie erfüllt sind. Auf halbem Wege werden zur Auslegung viktimodogmatische Erwägungen herangezogen, von denen anfangs keine Rede war und die nicht in die Konzeption eingepasst werden. Wie auch bei Hilgendorf und Jessen etwa werden mittels der eingangs an226 Vgl. dazu und zu möglichen Substitutionen für die tatsächlich mangelnden äußerlich erkennbaren Zuordnungszeichen oben, S. 56 ff. (Kap. 4.). 227 Krutisch, Computerdaten, S. 108. 228 Krutisch, Computerdaten, S. 106 unter Verweis auf Leicht, iur 1987, 45, 47. 229 Krutisch, Computerdaten, S. 112. 230 Krutisch, Computerdaten, S. 114 f. 231 Krutisch, Computerdaten, S. 115. Dabei sind praktisch-empirische Erkenntnisse entgegenzuhalten, jedenfalls was die Sicherheitssensibilität von beruflich im Vergleich zu privat Handelnden anbelangt. Privatnutzer – insbesondere jüngeren Alters – verwenden „bessere“ Passwörter als Angestellte von Unternehmen, so die vergleichende Untersuchung des Kryptologieexperten Schneier, wired, 14.12.06 – „MySpace passwords aren’t so dumb“ m. w. N. Dass sicherere Passwörter nicht schwerer zu memorieren sein müssen als einfache, zeigt eine Studie aus Cambridge von Yan/ Blackwell/Anderson/Grant, Security of passwords, S. 129 ff. m. w. N.; vgl. auch leicht verständlich Klaeren, Viren, Würmer und Trojaner, S. 123 ff.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
209
geführten Auslegungsmerkmale gefundene Ergebnisse mit Hilfserwägungen modifiziert, wo die eigenen Ergebnisse nicht zu passen scheinen. Der herrschenden Meinung folgt auch Ernst, dem zufolge ebenfalls das Interesse an der Geheimhaltung durch die Sicherung dokumentiert sein müsse.232 In der Folge stellt er bei Auslegungsfragen darauf aber nicht mehr ab.233 Damit räumt er diesem Erfordernis keinen (besonderen) Rang ein. Er ignoriert es schlicht. Auch aus dem Merkmal der Besonderheit der Sicherung folgert er ausdrücklich nichts, wenn er sogleich festhält, dass an das „Vorliegen einer besonderen[!] Sicherung [. . .] jedoch keine besonderen oder gar übermäßigen Anforderungen zu stellen“234 seien. Kühl stellt fest, gegen unberechtigten Zugang besonders gesichert seien Daten, wenn – vergleichbar den §§ 202 Abs. 2, 243 Abs. 1 Nr. 2 – Vorkehrungen speziell zu dem Zweck getroffen seien, den Zugang Unberechtigter zu erschweren oder zu verhindern.235 Im Anschluss an diese Aussage zählt er – wie Hoyer – etliche Sicherungsmittel, darunter auch Passwörter, auf und hält – zurückhaltender als Hoyer – fest, diese kämen in Betracht. Weiter – ebenso wie Hoyer – will er es darauf ankommen lassen, „ob die Sicherung geeignet erscheint, einen wirksamen [. . .] Schutz zu erreichen und namentlich auch das Interesse an der Geheimhaltung deutlich[!] zu dokumentieren“.236 In Bezug auf die Systematik der Gedankenfolge gilt das zu Hoyers Aussagen festgehaltene entsprechend: Kühl legt zuerst ein Kriterium fest; das des Sicherungszwecks. Sodann zieht er Passwörter in Betracht. Dann nennt er ein zweites und drittes Kriterium, das des Schutzniveaus und das der Erkennbarkeit. Im Anschluss lässt er offen, ob Passwörter auch diese Kriterien erfüllen. Wie Hoyer kann man auch Kühl nicht so verstehen, dass er generell die Passphrasenabfrage als Sicherung im Sinne des § 202a StGB annimmt, wenn er diese nach Aufstellung einer Forderung lediglich in Betracht zieht und nach Aufstellung der zweiten und dritten schweigt. Kühl hält streng die Mehrstufigkeit des Gedankengangs ein und lässt die Entscheidung konsequent offen, erkennend, dass sich die zweite und dritte Frage nicht generell beantworten lassen. Kühl räumt gar ausdrücklich die Möglichkeit der Verneinung schon des ersten Erfordernisses bei der Passphrasenabfrage ein. Dies wird schon auf dieser Ebene durch die Formulierung deutlich, dass Passwörter „in Be232 233 234 235 236
Ernst, in ders.: Hacker, S. 87, Rn. 246. Ernst, in ders.: Hacker, S. 87 f., Rn. 246 ff. Ernst, in ders.: Hacker, S. 87, Rn. 246. Hervorhebung von R. Dietrich. Lackner/Kühl, § 202a Rn. 4. Ibidem, Fn. 235, S. 209.
210
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
tracht“ kämen. Er trifft also keine eindeutige und endgültige Aussage vor Nennung des zweiten Kriteriums. In der Tat dient die Abfrage oft, aber nicht stets und bei modernen Systemen immer weniger, der Zugangsverhinderung.237 Die Ansicht der herrschenden Meinung greift ebenfalls Kindhäuser auf. Die Sicherung müsse gerade „zu dem speziellen Zweck“ bestehen, den Zugriff auf die Daten zu verhindern oder zu erschweren.238 Diesen Zweck sieht er verwirklicht bei verschlossenen (Arbeits-)Räumen oder Behältnissen, aber auch bei computerspezifischen Sicherungen, wie Passwörtern oder Kennnummern. Eine allgemeine Zutrittssicherung des Gebäudes reiche dagegen nicht.239 Kindhäuser schweigt zu der Frage, ob der Zweck der Sicherung erkennbar sein muss. Da er nicht auf die Frage der Erkennbarkeit des Sicherungszwecks abstellt, hat er sich auch nicht damit auseinanderzusetzen, ob diese im Einzelfall gegeben ist. Der unausgesprochene Ansatzpunkt für eine Differenzierung, der sich nur vorsichtig aus den Einzelfalllösungen ermitteln lässt, scheint bei ihm die Nähe des Schutzes zu den Daten zu sein. Während Türschlösser dann erfasst werden sollen, wenn sie den Raum versperren, in dem sich der Computer befindet, sollen sie nicht erfasst sein, wenn sie das gesamte Haus verschließen, in dem der Computer steht. Sogenannte computerspezifische Sicherungen hingegen werden stets erfasst. Lenckner und Schittenhelm folgen ebenfalls ausdrücklich der Konzeption der herrschenden Meinung, die auf eine wirksame Sicherung abstellt. Der zumindest im Vordergrund stehende Zweck müsse die Zugangssicherung sein und „jedenfalls [. . .] der Berechtigte durch die Sicherung gerade auch sein spezielles Interesse an der Geheimhaltung dokumentieren“.240 Es genügen nach dieser Auffassung nicht nur „unmittelbare“ Sicherungen, sondern auch „mittelbare“, die nicht nur das einzelne Datum oder den einzelnen Datenspeicher, sondern insgesamt das gesamte Datenverarbeitungszentrum („closed shop“) sichern.241 Im Einzelnen gehörten dazu unter anderem auch Passworte. Eine weitergehende Auseinandersetzung, insbesondere, ob diese das Dokumenationserfordernis erfüllen, wird nicht geführt. Bernd Heinrich geht in seinem Aufsatz im Jahre 2006242 auf entscheidende Zugangstechniken wie Phishing, die Verwendung Trojanischer Pferde 237 238 239 240 241 242
s. oben S. 181. LPK-Kindhäuser, § 202a Rn. 4. Ibidem, Fn. 238, S. 210. Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7. Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8. B. Heinrich, HFR 11–2006, S. 1.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
211
und die „Erlangung von Daten auf andere Weise“ ein.243 Eine Stellungnahme zum Strafgrund des § 202a StGB und der Natur der besonderen Sicherung findet sich dagegen nicht. Zur Passwortabfrage bezog er aus anderem Blickwinkel bereits 1993 zurückhaltend Stellung mit der Erwähnung, dass es als besondere Zugangssicherung gesehen werden könne.244 Mit der sonstigen herrschenden Meinung geht ebenfalls Fischer d’accord, wenn er festlegt, dass eine Sicherung nicht der alleinige Zweck der Schutzvorrichtung zu sein hat, andererseits allgemeine Sicherungen nicht ausreichen (Brandschutz und Staubschutz werden als solche Beispiele angeführt).245 Es komme darauf an, ob die Vorrichtung (physischer oder technischer Art246) jeden Täter zu einer Zugangsart zwinge, die der Verfügungsberechtigte erkennbar verhindern wollte. Im Ergebnis zählt Fischer einerseits Passwörter ohne weitere Auseinandersetzung mit seinen ausgesprochenen Prämissen zu solchen Schutzinstrumenten.247 Nicht erfasst wissen möchte Fischer andererseits Maßnahmen, die nur der Beweissicherung oder der betrieblichen Kontrolle dienen. Dazu zählt er bspw. Videokameras und die Eingabe von Nutzername oder Passwort.248 Die scheinbare Selbstverständlichkeit der Formulierung solcher Widersprüche überrascht. Werden soeben noch Passwörter (ohne Differenzierung) anerkannt, werden sie sofort schon wieder ausgeschieden, mit dem Hinweis, sie dienten der Beweissicherung. Damit hängt die Strafbarkeit von der nicht sichtbaren Zweckbestimmung des Passwortes ab. Als Differenzierung mag nach dieser Ansicht nur die Zweckbestimmung ausschlaggebend sein – hier dahingehend, dass Passwörter in letztgenanntem Fall „bloß der betrieblichen Kontrolle dienen“. In der Tat gibt es Pass243 Zu B. Heinrichs Wertung des Phishing, siehe oben S. 126 (Abschn. b)) und der Bewertung von Trojanern, vgl. oben, S. 137 (Abschn. f)). Weiter geht B. Heinrich auf schlichtes Ausprobieren und Brute Force (vgl. oben S. 117 ff.) sowie social engineering (vgl. oben S. 114 ff. (Abschn. c)) ein. 244 B. Heinrich, Standardsoftware, S. 304. 245 Fischer, § 202a Rn. 9. 246 Gemeint ist wohl die Unterscheidung zwischen gegenständlich-physischer Sicherung (etwa physische Zugangsverhinderung durch abgeschlossenen Raum) und elektronisch-digitaler Sicherung (etwa Passwortabfrage), technisch könnte auch bedeuten: organisatorisch. Auch hier zeigt sich – wobei der Verfasser sich nicht ausnimmt – dass schon sprachlich die begrifflich präzise Fassung der gemeinten Vorgänge schwer fällt. Elektronisch ist schließlich stets physisch, fließen doch elektrische Ströme. Physischer Schutz wird auch technisch sein, sonst müsste man behaupten, ein physisch wirkendes Schloss sei kein technisches Mittel. Auf der anderen Seite muss die Frage gestellt werden, ob ein Passwortschutz denn metaphysisch sei. 247 Fischer, § 202a Rn. 9a. 248 Fischer, § 202a Rn. 8a.
212
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
wörter, die der betrieblichen und vor allem der Zugangskontrolle dienen. Zuerst bleibt schon fraglich, inwiefern sie sich in rechtlich bedeutsamer Weise von den vorgenannten Passwörtern unterscheiden. Diese dienen auch der Zugangskontrolle, namentlich der Zugangskontrolle zu den Daten. Weiter wird nicht klar, anhand welcher äußerer Merkmale erkannt werden soll – und auf die Erkennbarkeit stellt Fischer ja ab – ob die Passwortabfrage bloß der betrieblichen Kontrolle oder der Zugangsbeschränkung zu den Daten dient. Fischer deutet damit jedenfalls an, dass der Zweck der Implementierung einer Passwortabfrage eine Rolle zu spielen hat und dass es verschiedene Verwendungszwecke von Passwörtern gibt. Dies wurde zwar schon von anderen zur Sprache gebracht. Anders als bei Fischer wurden daraus aber keine Konsequenzen gezogen.249 Damit weist Fischer in die richtige Richtung, wenngleich weitere Ausführungen noch fehlen. Fischers Gedanken müssen fortgedacht werden, sollen sie nicht in einem zirkulären Schluss resultieren: Geht man davon aus, eine Passwortabfrage diene nur der betrieblichen Kontrolle, so will Fischer § 202a ausgeschieden wissen. Dient sie dagegen der Zugangskontrolle zu Daten, so soll § 202a erfüllt sein. Das Hauptproblem verbleibt damit: Ausgangspunkt war ja gerade die gesetzgeberische (und von Fischer aufgegriffene) Behauptung, die Sicherung dokumentiere das Sicherungs-, mithin Zugangsbeschränkungsinteresse. Bei der Passwortabfrage soll aber die Frage, ob eine Sicherung vorliegt, danach beantwortet werden, ob ein Zugangsbeschränkungsinteresse vorlag oder nicht. Ob dieses vorliegt, soll sich wiederum gerade in der Sicherung dokumentieren – und so fort. Auch wenn Fischer hier nicht letztgültig zu klären vermag, wirft er doch einen zentralen Punkt auf: dass Passwörter – entgegen der impliziten allgemeinen Annahme – nicht inhärentermaßen einen besonderen Geheimhaltungswillen dokumentieren. b) Zusammenfassung der herrschenden Meinung Die oben dargelegte Zusammenfassung der Konzeption der herrschenden Meinung bestätigt sich: Strafbegründend – und damit wesentliches Merkmal zur Unterscheidung zwischen pönalisiertem Unrecht und nicht mit Strafe bedrohtem Tun – ist die Dokumentation des besonderen Sicherungsinteresses des Ausgespähten. Ob dieses vorliegt, bemisst sich alleine daran, ob die Daten in irgendeiner Weise technisch vor Zugriff geschützt waren, gleich, ob der Ausgespähte die Sicherung selbst angebracht hat, ob sie schon vorhanden war, ob er sie aus rechtlichen oder faktischen Gründen oder aus Bequemlichkeit genutzt hat. 249
Siehe oben, S. 197 f.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
213
Die herrschende Meinung hält an ihrer oben bereits dargestellten Konzeption fest: 1. Ein Schutzmechanismus muss bezwecken, den Zugang zu Daten zu verhindern oder wesentlich zu erschweren. Der Zweck braucht nicht alleiniger Zweck zu sein, er darf aber auch nicht nur nebensächlich sein.250 2. Durch den Schutz muss sich das besondere Geheimhaltungsbedürfnis des Verfügungsberechtigten dokumentieren.251 Die oben aufgezeigte Entwicklung des Meinungsspektrums in der wissenschaftlichen Literatur zeigt von sich aus die praktische Schwäche der jetzigen Konzeption. Obwohl, oder wahrscheinlich gerade weil in der Literatur Auseinandersetzungen mit anderen Stellungnahmen allenfalls am Rande zu beobachten sind, sind die Ansichten zersplittert und bezeichnen sich doch als herrschende Meinung. Diskussionen finden nicht statt. Die Erkenntnisprozesse scheinen in einem frühen wissenschaftlichen Stadium zu sein. Das Berufen auf die Dokumentationstheorie und wechselseitige Verweisen bieten jedoch nur begrenzten Zugewinn und dürfen hinterfragt werden. Dies gilt insbesondere dann, wenn technische Entwicklungen eine Neubewertung nahelegen. Während nach der Einführung der Norm das Erfordernis der besonderen Sicherung auf mehrere Begründungssäulen gestützt wurde, fokussierte man nach und nach auf nur noch eine Säule: die der behaupteten Dokumentationswirkung der Sicherung. Das Kriterium des Erfordernisses krimineller Energie – obwohl 1986 ausdrücklich von Lenckner und Winkelbauer ge250 Stellv. für die ganz h. M.: Schulze-Heiming, Computerdaten, S. 66; Sch/SchLenckner/Schittenhelm, § 202a Rn. 7; Jessen, Sicherung i. S. v. § 202a, S. 120; Krutisch, Computerdaten, S. 105, 111 f.; LK-Schünemann, § 202a Rn. 15; P. Schmid, Computerhacken, S. 73; SK-Hoyer, § 202a Rn. 9; enger Fischer, § 202a Rn. 9; MüKo-Graf, § 202a Rn. 31; Schmachtenberg, DuD 1998, 401 f.; Lenckner/Winkelbauer, CR 1986, 483, 487. Dem folgt auch die Begründung des Entwurfs zur mittlerweile erfolgten Reform des § 202a durch das 41. StrÄndG, BT-Drs. 16/3656, S. 14 d. Anl. 1. 251 Vgl. insgesamt (damit der BT-Drs. 10/5058 S. 29 folgend): Binder, Ausspähen von DV, S. 52 ff.; Ernst, NJW 2003, 3233, 3236; ders, Hacker, Cracker & Computerviren, Rn. 240; MüKo-Graf, § 202a, Rn. 28 bis 48; Wessels/Hettinger, Strafrecht BT/1, Rn. 559; Hilgendorf, JuS 1996, 702; Hilgendorf/Frank/Valerius, Computerstrafrecht, Rn. 660; Hilgendorf/Wolf, K&R 2006, 541, 546; SK-Hoyer, § 202a, Rn. 8 bis 10; teilw. anders Jessen, Sicherung i. S. v. § 202a, S. 120, NKKargl, § 202a, Rn. 9 f.; Krutisch, Computerdaten, S. 105; Lackner/Kühl, § 202a Rn. 4; Leicht, iur 1987, 45; Sch/Sch-Lenckner/Schittenhelm, § 202a, Rn. 7,8; Lenckner/Winkelbauer, CR 1986, 483 ff.; Rengier, Strafrecht BT II, § 31, Rn. 24; Schlüchter, 2. WiKG, S. 65; Schmachtenberg, DuD 1998, 401; P. Schmid, Computerhacken, S. 73 ff. 80 ff.; 86; LK-Schünemann, 202a Rn. 14 bis 16; Schulze-Heiming, Computerdaten, S. 66 ff.; Arzt/Weber, Strafrecht BT, § 8 Rn. 58, S. 214 ff.
214
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
nannt und von Leicht 1987 aufgegriffen – findet sich in späteren Darstellungen allenfalls vereinzelt. Es taucht immer dann auf, wenn die Dokumentationstheorie nicht weiter zu helfen vermag. Dabei scheint dieser Gedankengang fast schon sichtbar zu werden: Die Dokumentationstheorie wird genannt, sie scheint für sich ja auch zunächst plausibel. Werden überhaupt einzelne Fälle behandelt, so scheint man mit der eigenen Theorie nicht zu Ergebnissen zu kommen, die stehen gelassen werden können. Es entsteht der Eindruck, dass am Ende des Auslegungsvorgangs hilfsweise auf die Krücke der kriminellen Energie und/oder Viktimodogmatik zurückgegriffen wird, um (doch) ein Ergebnis zu erreichen oder ein erreichtes, welches nicht behagt, zu verwerfen. Das Bild der Literatur hat sich in der Ausgangsüberlegung eingeschränkt, obwohl sie mit dieser allein nicht zu den von ihr als richtig empfundenen Resultaten gelangt. Dies war früher anders, als die Begründung(en) des Tatbestandsmerkmals in doppelter, wenn nicht dreifacher Sicht herangezogen wurden: Erstens zur Bestimmung aus der Sicht des Berechtigten, ob dieser aktiv geworden sei (einem viktimodogmatischen Ansatz folgend); zweitens auf den Täter schauend, ob dieser das besondere Geheimhaltungsinteresse in der Sicherung erkenne (Dokumentationsfunktion) und drittens, ob dieser ausgegrenzt werde und erhöhte physische und psychische kriminelle Energie aufwenden müsse. Verschiedene Begründungen traten nebeneinander, dienten der Auslegung und hatten sich gegenseitig gleichzeitig begrenzende und ergänzende Funktion. Diesen Charakter als Auslegungsmittel – die Erhebung zum Tatbestandsmerkmal war nicht diskutiert worden – haben die Begründungen des Merkmals der besonderen Sicherung im Laufe der Jahre verloren. Selbst das stets angeführte Erfordernis der unmissverständlichen oder zumindest deutlichen Dokumentation wurde entgegen der häufigen Behauptung nicht konsequent als praktisch angewandtes Auslegungsmittel in einer begrenzenden Funktion herangezogen. Es wurde mehr und mehr abgeschliffen und dient heute als Begründung, warum auf die Sicherung abgestellt werde und erschöpft sich darin. Zur Auslegung trägt es seltenst bei. Dies wird insbesondere bei P. Schmid oder Ernst deutlich: Ersterer nimmt eine besondere Sicherung auch dann an, wenn sie dem Täter gegenüber gar nicht wirkt (dieser also keine besondere kriminelle Energie aufwenden muss, die Dokumentation zweifelhaft ist und das Opfer auch nichts (Wirksames) zum Selbstschutz unternommen hat),252 letzterer folgert ausdrücklich, dass aus dem Erfordernis des Geheimhalteinteresses keine besonderen Anforderungen abzuleiten seien.253 Das Erfordernis bliebe dann ohne praktische Bedeutung. Fischer, Jessen 252 253
P. Schmid, Computerhacken, S. 173. Ernst in ders.: Hacker, S. 87 Rn. 246.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
215
und Schulze-Heiming stellen selbst fest, dass die Passphrasenabfrage andere Zwecke als die der Zugangssicherung haben kann.254 Dennoch folgern sie daraus nicht, dass sie ihre eindeutige Dokumentationswirkung, es solle vor Zugang gesichert werden, verliere. Fischer scheidet allerdings Passwörter in ausgewählten Fällen aus, nachdem er sie an anderer Stelle generell als Schutzmechanismus i. S. d. § 202a anerkannt hat.255 In Bezug auf die Passphrasenabfrage lässt sich schließend festhalten, dass sie von der Literatur – oft ohne im Einzelnen auf ihre selbst aufgestellten Kriterien einzugehen – generell256 und zweifelsfrei257 als tatbestandsmäßig im Sinne des § 202a StGB angenommen wird. Die Aussage wird in dieser Klarheit insbesondere dann getroffen, wenn zwar durchaus umfangreiche Untersuchungen stattfinden, die Begründung des Tatbestandsmerkmals jedoch zu seiner Auslegung allenfalls am Rande herangezogen wird. Meist der Platzknappheit in einem Lehrbuch oder Kommentar geschuldet, wird auf eine weitere Auseinandersetzung verzichtet werden. Hoyer, Kühl und andere lassen die Frage offen, ob der Sicherungszweck objektiv erkennbar vorliegt. Dies geschieht dabei nicht expressis verbis, ergibt sich jedoch, wenn man die Systematik ihrer Herangehensweise ernst nimmt.258 Diejenigen, die Sicherungsmittel näher untersuchen, hier seien etwa Hilgendorf, Jessen, Krutisch, P. Schmid und Schulze-Heiming genannt, stoßen auf Probleme. Sie stellen fest, dass die Passwortabfrage nicht nur der Zugangssicherung dient. Auf diese Feststellung sind verschiedene Reaktionen bemerkbar: Die aufkommenden Zweifel werden teils mit dem bloßen Verweis auf die herrschende Meinung weggewischt. Eine Auseinandersetzung wird so vermieden. Die Frage, was gelten solle, wenn nur diese anderen Zwecke, nicht aber der des Zugangsschutzes verfolgt werden, letzterer womöglich nur Reflex ist und damit auf kein Geheimhaltungsbedürfnis zu schließen wäre, wird nicht gestellt. Andere berufen sich, ohne dies vorher angedeutet zu haben oder weiter zu erklären, mehr oder minder plötzlich auf viktimodogmatische Argumente oder eine kriminelle Energie, die der Täter zeige. Die Literaturansichten erscheinen unklarer in ihrer Meinung, je mehr sie ihre Ausgangsüberlegung für die Auslegung praktisch heranziehen möchten. Teils wird dies erkannt. Entsprechend zurückhaltend fallen einige Stellungnahmen aus (insb. von Hoyer, Kühl und Fischer): Es wird im Einzelfall zu 254 Fischer, § 202a Rn. 8a; ausdrücklich Jessen, Sicherung i. S. v. § 202a, S. 121 und Schulze-Heiming, Computerdaten, S. 71. 255 Fischer, § 202a Rn. 8a einerseits und 9a andererseits. 256 MüKo-Graf, § 202a Rn. 37: „Unabhängig vom konkreten Einzelfall“. 257 Schulze-Heiming, Computerdaten, S. 71. 258 s. oben.
216
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
entscheiden sein. Kriterien werden für diese Unterscheidung jedoch nur unzureichend an die Hand gegeben. Auch müsste das Kriterium der Dokumentation (bis auf Ausnahmen) einzelfallunabhängig sein. Es soll ja gerade den generellen Schluss allein vom faktischen Vorliegen einer äußeren Tatsache auf eine innere Tatsache ermöglichen. Wer aber konkrete Ergebnisse sucht, der scheint weiter gehen zu müssen. Oft wird jedoch nicht dargelegt, wie dieser weitere Weg aussehen soll und welche Kriterien zum Tragen kommen sollen. Damit zeigt die Definition ihre eigene Unvollständigkeit. Eine andere anzutreffende Reaktion auf die sich aufdrängende Unsicherheit im Ergebnis scheint zu sein, dasselbe mit anderen Erwägungen zu untermauern. Dies führt zur Unschärfe in der Begründung. Es ist nun nicht mehr klar, ob die postulierten Voraussetzungen denn nun vollständig und abschließend sein sollen, wenn im Einzelfall doch noch eine weitere vormals nicht genannte Begründung angeführt wird, ohne dass eine weitere Auseinandersetzung stattfindet. Neue Begründungen ohne vertiefte Auseinandersetzung ebenso wie unscharfe Begründungen führen aber zwangsläufig wiederum zu Unschärfen im Ergebnis. Die Unklarheiten auf Begründungs- wie auf Ergebnisebene sind Grund genug, diesen nachzugehen. 3. Grundsätzliche Kritik an der Konzeption der herrschenden Meinung am Beispiel des Passwortes Entgegen der Behauptung der herrschenden Meinung erfüllt die Passwortabfrage nicht das von ihr selbst aufgestellte Erfordernis, das besondere Geheimhaltungsbedürfnis deutlich zu dokumentieren. Diese Gegenthese soll hier belegt werden. Die Kritik ist deswegen grundsätzlich, weil sich vermuten lässt, dass sie verallgemeinerungsfähig ist und nicht nur auf das Passwort zutrifft. Diese Vermutung wird anschließend untersucht werden. Zunächst ist festzuhalten, dass die Gegenthese nicht dahin geht, der Passwortabfrage die Eignung als adäquates Mittel gegen das Ausspähen von Daten abzusprechen. Wer seine Daten sichern will, der versieht sie typischerweise mit einer Passwortabfrage. Das ist richtig. Aber ist es auch richtig, dass, wenn eine Passwortabfrage vorliegt, stets und unmissverständlich umgekehrt auf das besondere Geheimhaltungsinteresse des Datenhinterlegenden geschlossen werden kann? Dies ist die entscheidende Fragerichtung. Sie ist stets im Auge zu behalten. Wenn das Passwort als klassischer Schutz dieser Überprüfung nicht standhält, so muss nach der These der herrschenden Meinung der Standardfall der Sicherung ausscheiden. Die von der herrschenden Meinung angeführten Voraussetzungen würde das von ihr benannte Paradebeispiel nicht erfüllen. Es würde der herrschenden These nicht nur entzogen; sie wäre selbst im Wanken.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
217
a) Zwecke der Passwortabfrage Nachdem nicht abgestritten werden soll, dass, wer seine Daten geheim halten will, den Zugang zu ihnen kontrollieren muss und dazu typischerweise eine Passwortabfrage einsetzt, ist der implizite Umkehrschluss der herrschenden Meinung zu prüfen: Ob die Sicherung für jeden Fall auf ein unmissverständliches Geheimhaltebedürfnis schließen lässt. Die herrschende Meinung verzichtet auf explizite Beiziehung weiterer Kriterien, so dass die Prüfung auf den benannten Schluss beschränkt werden kann. Er mündet in die Unterscheidung von strafbewehrtem und straflosem Handeln. Schon wegen dieser Tragweite ist er auf seine Richtigkeit und Gültigkeit zu untersuchen. Es ist in zwei Schritten vorzugehen: Es muss aus dem Vorliegen einer Passwortabfrage stets geschlossen werden können, dass mit ihr ein Zugangsschutz bezweckt wurde. Daraus muss wiederum geschlossen werden können, dass dem ein Geheimhaltungsbedürfnis des Dateninhabers zugrunde liegt. Der Umkehrschluss kann aus mehreren Gründen unmöglich sein; beispielsweise dann, wenn die Passwortabfrage zwar Zugangsschutz bezweckt, dieser aber den Schluss auf ein Geheimhaltebedürfnis nicht zulässt. Ebenso, wenn die Passwortabfrage anderen Schutzzwecken als dem Zugangsschutz dienen soll (und der Zugangsschutz nicht einmal Nebenzweck ist); wenn also die Passwortabfrage Schutz ist, ohne (zugleich) Zugangsschutz zu sein. Und der Umkehrschluss verbietet sich, wenn die Passwortabfrage schon überhaupt keinem Schutz dient. (1) Selbst Zugangsschutz bedeutet nicht zwingend Geheimnisschutz Nicht zuletzt die Einfachheit der Implementierung einer Passwortabfrage als „technisch denkbar einfach realisierbaren Schutz“259 hat zu ihrer Verbreitung beigetragen. In etlichen Fällen dient die Passwortabfrage dem Zugangsschutz. Dennoch ist selbst dann nicht zwingend auf eine dadurch bezweckte Geheimhaltung zu schließen. Mit anderen Worten: Der Zugangsschutz ist zwar notwendiges Zwischenziel zum Geheimnisschutz. Er kann jedoch auch alternative Zwecke verfolgen. Dies ergibt sich schlicht daraus, dass Schutz nie Selbstzweck ist. Es wird immer vor etwas geschützt. Um zu erfahren, wovor geschützt wird, wurden oben Angriffsarten und Angriffszwecke dargelegt.260 Angriffszweck ist oft die Ausspähung von Daten. Vor ihr schützt der Zugangsschutz. Andere Angriffszwecke kommen daneben allerdings auch in Betracht und dürften in 259
St. Heinz, Medien, S. 30. s. oben S. 108 ff., dort Kap. II., vgl. v. a. dort die Unterkap. d) (Exploiting), S. 133 ff. und Unterkap. e) (Bots, Würmer), S. 135 ff. 260
218
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
vielen Fällen alleiniger oder Hauptzweck sein. Zu nennen ist etwa der teilweise so genannte Zeitdiebstahl, der hier als Ressourcendiebstahl bezeichnet wird: Fremde Computer und ihre Internetzugänge werden für eigene Zwecke missbraucht, indem über sie massenhafter Spamversand erfolgt oder (illegale261) Daten auf ihnen abgelegt werden. Daneben wird Zugang zu fremden Datenbereichen verschafft, um diese zu sabotieren, dort sog. logische Bomben einzubringen etc.262 Zur Verfolgung dieser Zwecke ist es nicht zwangsläufig notwendig, dass der Angreifer Daten vorab ausspioniert. Ergo bezweckt der Schutz gegen diese Angriffe nicht unbedingt gleichzeitig Ausspähschutz, quod erat demonstrandum. Dies ergibt sich daraus, dass die Schutzzwecke den Angriffszwecken idealiter direkt gegenüber stehen. Wer Daten ausspähen möchte, muss sich Zugang zu diesen verschaffen. Dies bedeutet aber nicht umgekehrt, dass, wer sich Zugang zu Daten verschafft, er diese, und sei es als Zwischenziel, ausspähen will. Dies bedeutet dann konsequent, dass die Sicherung gegen Zugang auch nicht stets eine Sicherung gegen das Ausspähen ist, sondern auch eine Sicherung gegen alle Zwecke, die mit dem Zugang verfolgt werden können. Nun könnte man behaupten, selbst wenn der Schutz vor anderen Angriffen im Vordergrund stünde, sei ein Ausspähschutz doch jedenfalls mitbezweckt, was ausreiche. Dies verkennt aber, dass aus dem Zugangsschutz unmissverständlich auf das Geheimhaltungsinteresse geschlossen werden soll. Tatsächlich aber gibt es etliche Fälle, in denen das Geheimhaltungsinteresse nicht vorhanden sein dürfte, etwa bei Datenbanken, die jedermann für Lesezwecke offenstehen, bei denen aber keine weitergehenden Eingriffe möglich sein sollen. Daher wird der Zugang zu öffentlichen Datenbanken, etwa von Bibliotheken, teilweise passwortgeschützt. Dort besteht kein Interesse, das Ausspähen von Daten zu verhindern. Es besteht dafür die Befürchtung, ohne Kontrolle und Monitoring der Nutzer Opfer von Sabotage und Ähnlichem zu werden. Dies zeigt, dass der Zugangsschutz anderen Zwecken als dem Geheimhaltungsschutz dienen kann. Es wurden Angriffstechniken dargelegt, die den Zugang zu Daten verschaffen, ohne diese auszuspähen. Daraus erhellt, dass Sicherungen gegen diese Angriffstechniken zwar Zugangssicherungen sind, nicht aber vor dem Ausspähen schützen.263 261
Illegal ist hier im weitesten Sinn zu verstehen. Siehe dazu schon oben S. 133 ff., dort Kap. II. d) (Exploiting), und S. 135 ff., dort Unterkap. e) (Bots, Würmer). Der Einsatz des sog. Bundestrojaners soll auch damit gerechtfertigt werden, dass eine Hausdurchsuchung keine vergleichbaren Erfolge verspräche, da die entscheidenden Daten „ins Internet ausgelagert“, sprich: auf gekaperte Computer verbracht wären. 262 s. i. E. oben S. 108 ff., dort Kap. II. 263 s. i. E. oben S. 108 ff., dort Kap. II.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
219
(2) Schutz bedeutet nicht zwingend Zugangsschutz Der Umkehrschluss vom Vorhandensein einer Passwortabfrage über die Annahme einer Zugangssicherung auf ein zugrundeliegendes Geheimhaltungsbedürfnis, ist auch dann verbaut, wenn Passwortabfragen (schon) keinen Zugangsschutz darstellen. Es ist zu untersuchen, ob es neben Passwortabfragen, die Zugangsschutz bezwecken, in Bedeutung und Anzahl wesentliche Einsatzgebiete für Passwortabfragen gibt, bei denen nicht (einmal) der Schutz vor Zugang, sondern ein gänzlich anderer Schutz bezweckt ist. Es wurde in der Literatur bereits festgestellt, dass es etliche Fälle gibt, in denen die Passphrasenabfrage zu anderen Zwecken als der Zugangssicherung eingesetzt wird.264 Während Fischer deshalb diese Passwortabfragen nicht als Zugangssicherung i. S. d. § 202a annehmen will,265 zählen Jessen (aufgrund der Nähe zu den Daten266) und Schulze-Heiming („zweifelsfrei“267) diese dazu. Der Frage, ob der Passwortschutz zu diesen anderen Zwecken eingesetzt wird, ohne dabei gleichzeitig zumindest als Nebenzweck einen Ausspähschutz zu verfolgen, ist noch nicht nachgegangen worden. Dies soll nachgeholt werden. (a) Betriebssystemebene Schon auf Systemebene für private Nutzer bieten Windowssysteme – mithin die mit Abstand meistverwandten Betriebssysteme der Welt – seit etlichen Jahren die Möglichkeit, verschiedene Benutzerkonten einzurichten.268 Bei anderen Systemen (bspw. UNIX und dessen Derivate, OS/2), insbesondere bei Systemen für den Einsatz in Unternehmen, war dies schon viel länger der Fall. Die Nutzerkonten werden dort durch Passwortabfragen abgetrennt. Die Bedeutung liegt darin, dass, bildhaft gesprochen, der Nutzer durch verschiedene Türen geht, hinter denen sich verschiedene Räume erschließen. Nur unter Eingabe der richtigen Kennung kann das 264 Fischer, § 202a Rn. 8a; ausdrücklich Jessen, Sicherung i. S. v. § 202a, S. 121 und Schulze-Heiming, Computerdaten, S. 71. 265 Fischer, § 202a Rn. 8a. Wohl als Ausnahme zur generell gefassten Aussage in Rn. 9a. Siehe zu Fischer hier S. 211. 266 Jessen, Sicherung i. S. v. § 202a, S. 121. Siehe zu Jessen hier ab S. 198. 267 Schulze-Heiming, Computerdaten, S. 71. Siehe zu Schulze-Heiming hier S. 190. 268 Jedenfalls ab Windows NT 3.5 (veröffentlicht bereits im Jahre 1994) ist dies umfassend implementiert. Vorherige Versionen boten diese Funktion auch, sie musste aber „aktiviert“ werden. Die aktuelleren Versionen XP (intern: NT 5.1) und Vista (intern: NT 6.0) bieten hier mehr und mehr Differenzierungsmöglichkeiten anhand der Benutzerkonteneinrichtung.
220
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Benutzerkonto geöffnet werden. Das Passwort verkörpert dabei logischerweise ebensoviele Funktionen, wie das Benutzerkonto mit sich bringt. Die Eigenschaften eines Benutzerkontos und die Steuerung und Einstellmöglichkeiten sind dabei mannigfaltig. Vor allem die sogenannte Rechteverwaltung269 wird anhand von Benutzerkonten umgesetzt. Vereinfacht gesprochen, werden alle Zugriffsmöglichkeiten eines Benutzers über das Benutzerkonto (welches mittels Eingabe des Passwortes geöffnet wird) gesteuert. Die Rechteverwaltung weist zu, welche Programme gestartet werden können, wie die Programme voreingestellt sind, wie der Hintergrund des Desktops gestaltet ist und erlaubt sowohl eine Individualisierung des Arbeitsplatzes als auch eine Konfiguration (unter Umständen auch Einschränkung) der Arbeitsmodalitäten.270 Ein ganz wesentliches Element ist die Steuerung des Dateizugriffs. Durch sie kann die Kenntnismöglichkeit bestimmter Datenbereiche reglementiert werden.271 Sie ist aber zu weit mehr in der Lage und dazu auch regelmäßig in Gebrauch. Über den Dateizugriff kann gesteuert werden, welcher Nutzer auf welche Dateien voll zugreifen kann (sog. Vollzugriff), welche er nur lesen, welche er (zusätzlich) verändern, löschen, schreiben und ausführen (im Sinne ihrer Programmfunktionen) oder mit welchen er – im weitesten Sinne272 – weiter verfahren kann. Dies geschieht dabei nicht nur, um ande269 Nicht zu verwechseln mit Digital Rights Management (DRM), das der Durchsetzung von urheberrechtlichen Interessen dient: Durch digitale Verfahren können schlicht fast alle nur erdenklichen Zugriffsmöglichkeiten auf ein Dokument verliehen oder entzogen werden, wie dies in der gegenständlichen Welt so nicht möglich ist. Zwar kann ein Recht dort auch verliehen werden, etwa dass ein Gegenstand nur drei Mal angesehen, nur in einem bestimmten Regalfach gelagert und weder indexiert noch in irgendeiner Weise verändert werden darf. Die Durchsetzung dieser Beschränkung bei gleichzeitiger Einräumung der spezifischen Rechte dürfte aber nur durch „Konfiguration“, also Beeinflussung der Eigenschaften des Gegenstandes selbst, ja – in anderer Weise gar nicht umsetzbar sein. Digitale Datei- und sonstige Rechteverwaltung aber als ein Analogon zur gegenständlichen „Rechteverwaltung“ zu begreifen, griffe wesentlich zu kurz. Zu groß sind die Unterschiede. Und sie werden noch größer werden. Vgl. etwa St. Heinz, Medien, S. 5 ff., 28 ff. insb. 35 ff. Auch ist noch kein Ende in der Entwicklung von Differenzierungs- und Individualisierungsmöglichkeiten abzusehen. Nicht nur das neue Windows Vista (NT 6.0) bringt hier erhebliche Neuerungen und Erweiterungen. 270 s. ausf. Violka in c’t 13–2006, S. 220 ff. 271 Violka in c’t 13–2006, S. 220. 272 Weitere Beispiele: Die Befähigung, ob die Attribute der Datei selbst (einfache oder auch jeweils die erweiterten, etwa ob sie „versteckt“ ist, dazu siehe unten, S. 296) gelesen, verändert, geschrieben werden können. Weiter ob die Berechtigung dazu (also die Attribute zu verändern) gelesen oder geändert werden können. Bei Ordnern, ob sie durchsucht, aufgelistet, originär erstellt werden können. – Die benannten Einsicht- und Einstellmöglichkeit sind (die entsprechenden Zugriffsrechte vorausgesetzt) erreichbar durch Anwählen einer Datei im Ansichtsmodus des
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
221
ren Nutzern nur bestimmte Kenntnis spezifischer Inhalte zu gewähren. Sonst wären die anderen Beschränkungsmöglichkeiten auch kaum erklärbar. Mindestens ebenso wichtig ist der (Selbst-)Schutz:273 Anwender richten nicht nur ihren weniger versierten Mitnutzern des Computers Nutzeroberflächen ein, mit denen keine versehentlichen Änderungen der Systemstruktur möglich sind. Auch sich selbst richten sie oft verschiedene Nutzeroberflächen ein, die nur über beschränkte Rechte und damit Einwirkungsmöglichkeiten auf das System verfügen. So kann einerseits eine eigene versehentliche Schädigung des Systems ausgeschlossen werden, als auch werden Programmen, die nicht unbedingt immer nur im Sinne des Nutzers agieren, tiefere Eingriffen auf das System versagt.274 Insbesondere Schadprogramme werden so in ihren Funktionen eingeschränkt, indem man ihnen nicht den Raum lässt, ihre Funktionen zu erfüllen. Der Anwender bewegt sich also selbst in einer Umgebung, in der er sich selbst und dadurch alle unter dieser Umgebung laufenden Funktionen hindert, tiefere Zugriffe zu unternehmen. Nur wenn ein Eingriff in das System (Konfiguration oder Installation etwa) vonnöten ist, wechselt der Nutzer bewusst in den sogenannten Administratormodus.275 Dabei kann er vorsichtigerweise etwa zusätzlich die Verbindung zum Internet kappen, um nicht mit Administratorbefugnissen sich im Netz zu bewegen und Zugriffe von außen zu ermöglichen. Der Verfügungsberechtigte über die Daten beschränkt also seinen eigenen Zugriff autonom. Man wird aber kaum sagen können, er wolle Daten vor sich geheim halten. Er schließt sie lediglich vor versehentlichem Zugriff aus. Auch die Nutzung durch andere kann beschränkt werden, ohne dass damit Geheimnisschutz auch nur nebensächlich bezweckt sein muss. Sog. parental control etwa, also die Kontrolle durch die Eltern, welche Internetseiten die Kinder – bzw. die Nutzer eines Kinderbenutzerkontos – ansurfen können, welche Spiele sie spielen können, ob sie kostenpflichtige Dienste nutzen können und ähnliches mehr, kann so umgesetzt werden. Auf welche Module der Nutzer zugreifen darf, etwa Netzwerkressourcen (Drucker, das Internet, andere PCs, Datenbanken), kann gesteuert werden.276 Teils wird gerichtlich eine solche Einrichtung von Nutzerkonten gefordert, wenn Eltern der Störerhaftung für durch Kinder betriebenes Filesharing entgehen wollen.277 Auch dies hat nichts mit Geheimnisschutz zu tun. Windows Explorer per Rechtsklick, dort unter dem Menüpunkt „Eigenschaften“ und dort dem „Reiter“ „Sicherheit“. 273 Ausdrücklich Knop, c’t 23–2005, 116 und Violka in c’t 13–2006, 220. 274 Knop, c’t 23–2005, S. 116. 275 Violka in c’t 13–2006, 220 ff. 276 Violka in c’t 13–2006, 220.
222
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Damit wurden etliche verbreitete Funktionen aufgezeigt, die mittels Passwortabfrage zugewiesen werden, die nicht den Schutz vor fremder Kenntnis von Daten auf dem Rechner bezwecken. Mit Geheimnisschutz haben sie also nichts zu tun. Wird der Zugriff auf das Internet unterbunden, so wird dadurch ja nicht der Zugriff auf Daten des Inhabers des Rechners unterbunden. Werden Programme von der Ausführung abgehalten (etwa Videoabspielsoftware oder Computerspiele) oder werden Drucker von der Benutzung ausgeschlossen, so hat dies auch nichts mit einem Ausschluss von der Kenntnis bestimmter Daten zu tun. Das Interesse an dieser Kennungsabfrage entspricht aber dem – ja, ist zwingend deckungsgleich mit dem an der Benutzerverwaltung. Dann aber ist das Interesse an der Kennungsabfrage eben nicht nur ein Interesse an der Geheimhaltung von Daten, sondern ein viel weitgefächerteres, in vielen Bereichen ein alternatives. Wer also auf eine Kennungsabfrage stößt, kann allein daraus schlecht folgern, dem Nutzer des Computers komme es in besonderer (so die Forderung des Gesetzes an der Sicherung und damit von der herrschenden Meinung übertragen auf das Geheimhaltebedürfnis) Weise darauf an, die Daten auf seinem Computer zu sichern. Die sich in diesen Bereichen rasant entwickelnde Realität hat sich insofern entscheidend verändert. Während der Schluss früher richtig gewesen sein mag, dass mittels Passwortabfrage die Geheimhaltung von Daten gesteuert wurde, hat die Entwicklung den Schluss der herrschenden Ansicht unpräzise werden lassen. Er ist heutzutage veraltet. (b) Onlinedienste Dies gilt dabei nicht nur für die Passwortabfrage auf Computersystemebene: Auch Internetforen (etwa Selbsthilfeforen zum Umgang mit Bürosoftware und allem anderen Erdenklichen), Onlinehändler (etwa der Buchhändler Amazon oder der Versandhändler Otto278), Auktionshäuser (eBay) oder ähnliches (Videoverleih etc.) arbeiten mit Kennwortabfragen. Auch hier sind die Zwecke mannigfaltig. Teilweise wird kein Geheimnisschutz bezweckt, sondern werden alternative Schutzzwecke verfolgt. Teilweise, darauf ist sogleich einzugehen, dient die Passwortabfrage insbesondere in diesem Bereich überhaupt nicht dem Nutzer. Der rasanten technischen Entwicklung muss insbesondere in diesem Bereich die juristische Bewertung angepasst werden. 277 Beschluss des LG Hamburg v. 09.03.2006 – Az. 308 O139/06. Vgl. zur Störerhaftung auch Dietrich, IT-Rechtsfragen, S. 87 ff. 278 Während Amazon ausschließlich über das Internet vertreibt, machen Neckermann, Otto, KarstadtQuelle und Co. etwa ein Viertel ihres Umsatzes über das Internet – bei stark steigender Tendenz.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
223
(3) Passwortabfrage bedeutet Identifikation – jedoch nicht zwingend Schutz In der Literatur wird der Begriff der Passwortabfrage oft verkürzt als das Passwort oder die Passwortsicherung oder der Passwortschutz bezeichnet. Letzteren Varianten wohnt schon die Wertung inne, Passwortabfragen bedeuteten Schutz in irgend einem Sinne. Dem ist nicht so. Dieser sprachliche Vorgriff verstellt den distanzierten Blick auf die möglichen weiteren und alternativen Bedeutungen der Passwortabfrage und verengt zu früh. Insbesondere bei Onlineangeboten wie der Nutzung von kostenlosen und nicht kommerziellen Selbsthilfeforen, kostenlosen aber kommerziellen anderen Offerten, wie etwa Onlinezeitschriften und -datenbanken sowie kostenpflichtigen Angeboten sind jedenfalls Teile der Nutzung dieses Angebots anmeldepflichtig. Das heißt, dass der Nutzer bestimmte Dienste nur in Anspruch nehmen kann, wenn er sich dort ein Nutzerkonto einrichtet, auf das er mittels Passworteingabe zugreifen kann. Die Steuerung der Zugriffe über diese Konten dient dabei in erster Linie der Identifikation der Besucher, Kunden und Nutzer und auch der Kontrolle der Daten dieser – aber nicht durch diese! Durch die Passwortabfrage ist bezweckt, die Nutzer zum Gegenstand der Kontrolle und Datenerhebung zu machen – und nicht ihnen ein Werkzeug zur Kontrolle ihrer eigenen Daten an die Hand zu geben. Somit ist geradezu das Gegenteil des Augenscheinlichen Ziel des Unterfangens. Onlineforenbetreiber bspw. wollen mittels der Passwortabfrage bestimmte Forenbeiträge konkreten Nutzern zuordnen können. Teils dient dies schlicht der Verwaltung des Forums, teils auch dem effektiven Ausschluss unliebsamer Nutzer. Zu letzterem sehen sich die Betreiber teils durch die Rechtsprechung zur Forenhaftung angehalten.279 Nutzerdaten werden dabei in etlichen Foren nicht (jedenfalls nicht zwingend) hinterlegt. Sie können damit schon gar nicht Gegenstand eines Schutzes sein. Es gibt also viele Fälle, in denen die Kennung der Erkennung des Nutzers dient, mit ihr aber nicht unbedingt der Zugang zu bestimmten Daten gesteuert werden soll. Im Gegenteil, viele Foren arbeiten nach dem Arbeits279 Es ist umstritten, ob Forenbetreiber für die Beiträge ihrer Teilnehmer als Störer haften. Dies soll nach mancher Ansicht selbst dann gelten, wenn die Forenbetreiber die Beiträge nicht kennen. Die Rechtsprechung hat hier differenziert entschieden, s. OLG Hamburg v. 22.08.2006 – Az. 7 U 50/06 (324 O 721/05) = OLGR Hamburg 2006, 718 = K&R 2006, 470 = ZUM 2006, 754 = MMR 2006, 744 m. Anm. Feldmann, S. 747. Vgl. auch Anm v. Spindler, jurisPR-ITR 9/2006 Anm. 2 und Heidrich (Justiziar des Forenbetreibers), IT-Rechtsfragen, S. 3 ff. Vgl. auch OLG Düsseldorf, Urteil vom 7.6.2006 – I-15 U 21/06 = OLGR Düsseldorf 2006, 657 = MMR 2006, 618 mit Anm. Eichelberger sowie OLG München v. 9.11.2006 – Az. 6 U 1675/06. Vgl. jüngst Maume, MMR 2007, 620.
224
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
modus, dass alle Beiträge von jedem Besucher gelesen werden können. Eigene Beiträge verfassen, fremde kommentieren etc. kann aber nur, wer sich anmeldet. Mehr ist aber oft nicht erforderlich. Oft werden nicht einmal der echte Name oder sonstige Daten abgefragt. Über die Registrierung wird auch oft eine einmalige Belehrung gewährleistet und eine Hausordnung akzeptiert.280 Dies wird auch deutlich dokumentiert, wenn auf der Seite ausdrücklich darauf hingewiesen wird, dass ohne Anmeldung keine weiteren Rechte gewährt werden.281 Wenn aber das Passwort nur der Erkennung dient und nicht dem Zugang zu Daten, sondern vielmehr dem Zugang zu Befugnissen, so dokumentiert diese Kennungsabfrage auch nicht ein Interesse, von Daten auszuschließen, sondern nur von Befugnissen auszuschließen. Bei Onlinehändlern, etwa dem Buchhändler Amazon oder Otto, sind ebenfalls selten geheime Daten im strengen Sinne hinterlegt. Diese Händler führen Benutzerkonten, die – dies ist der einzig gangbare Weg der Identifikation im Internet – nicht dem Hinterlegen von Daten seitens des Kunden und dessen Schutz dienen, sondern lediglich der Abwicklung der Bestell280 Die des nicht kommerziellen OpenOffice-Forums etwa lautet (und zeigt damit auch das Interesse der Anmeldung) vollständig: „OpenOffice.info – Einverständniserklärung/Die Administratoren und Moderatoren dieses Forums bemühen sich, Beiträge mit fragwürdigem Inhalt so schnell wie möglich zu bearbeiten oder ganz zu löschen; aber es ist nicht möglich, jede einzelne Nachricht zu überprüfen. Du bestätigst mit Absenden dieser Einverständniserklärung, dass du akzeptierst, dass jeder Beitrag in diesem Forum die Meinung seines Urhebers wiedergibt und dass die Administratoren, Moderatoren und Betreiber dieses Forums nur für ihre eigenen Beiträge verantwortlich sind./Du verpflichtest dich, keine beleidigenden, obszönen, vulgären, verleumderischen, gewaltverherrlichenden oder aus anderen Gründen strafbare Inhalte in diesem Forum zu veröffentlichen. Verstöße gegen diese Regel führen zu sofortiger und permanenter Sperrung. Die Betreiber behalten sich vor, Verbindungsdaten u. ä. an die strafverfolgenden Behörden weiterzugeben. Du räumst den Betreibern, Administratoren und Moderatoren dieses Forums das Recht ein, Beiträge nach eigenem Ermessen zu entfernen, zu bearbeiten, zu verschieben oder zu sperren. Du stimmst zu, dass die im Rahmen der Registrierung erhobenen Daten in einer Datenbank gespeichert werden./Dieses System verwendet Cookies, um Informationen auf deinem Computer zu speichern. Diese Cookies enthalten keine der oben angegebenen Informationen, sondern dienen ausschließlich dem Bedienungskomfort. Deine Mail-Adresse wird nur zur Bestätigung der Registrierung und ggf. zum Versand eines neuen Passwortes verwendet./Durch das Abschließen der Registrierung stimmst du diesen Nutzungsbedingungen zu.“/[Klickbutton, der zur Anmeldung führt:] „Ich bin mit den Konditionen dieses Forums einverstanden und über oder exakt 12 Jahre alt.“ Beispiel von http://de.openoffice.info. 281 Das OpenOffice-Forum erlaubt allen Besuchern alle Beiträge einzusehen, stellt aber auf jeder Seite ausdrücklich fest, so der Besucher nicht angemeldet ist: „Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.“ – s. http://de.openoffice.info.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
225
vorgänge. Oft dient die Anmeldung schlicht der Vereinfachung. Zwar hinterlegen Nutzer auch teilweise sensible Daten, wie ihre Kontoverbindung, dies ist jedoch nicht zwingend. Auch soll nicht darüber hinweggetäuscht werden, dass ein hohes Interesse besteht, solche Nutzerdaten auszuspähen. Vom Stichwort des Identity Theft war schon die Rede.282 Zweck ist aber weniger, Nutzerdaten als vielmehr Befugnisse zu erlangen, wie bspw. die Möglichkeit, eine Bestellung aufzugeben oder bei eBay, dem Onlineauktionshaus, unter fremdem Namen (nicht vorhandene) Produkte anzubieten und die Auktionserlöse auf das eigene Konto zu leiten (ohne die Absicht, das ersteigerte Produkt zu versenden). Der Missbrauch ist massiv283 und nahezu jeder Anbieter im Internet ist von betrügerischen Machenschaften betroffen. Doch handelt es sich hier in erster Linie um Vermögensdelikte. Die Erlangung der Daten ist nur Mittel zum Zweck – ja, meist nicht einmal das. Sie ist bloßes Nebenprodukt, da sie letzlich irrelevant ist. Es soll schlicht eine fremde Identität benutzt werden, gleichgültig welche und es ist irrelevant, welche weiteren Daten mit ihr verbunden sind. Interessant ist ein weiteres Beispiel außerhalb des Internet: Beim Videofilmverleih cinebank erhalten Nutzer eine Benutzerkarte. Diese ist stets gleich gestaltet, von einer Kartennummer abgesehen. Ansonsten steht nur cinebank auf der Oberfläche. Mittels dieser Karte lassen sich in einigen Städten Deutschlands Videofilmautomaten bedienen, die Video-DVDs ausgeben. Um den Automaten zu bedienen, muss die Karte eingegeben werden und ein Fingerabdrucksensor liest den Fingerabruck aus. Nur wenn er zum gespeicherten Profil gehört, kann das Konto geöffnet werden. Das Konto zum Begleichen der Ausleihgebühren wird auf Guthabenbasis geführt, es wird mittels Barzahlung am Automaten aufgeladen. Auch online können die Filme gesucht und reserviert werden. Die Abholung erfolgt dann am gewünschten Automaten. Online ist die Eingabe der Kartennummer und einer Geheimzahl nötig. Es wird also erheblicher Aufwand betrieben, dass nicht ein Finder der Karte das Konto öffnen kann. Doch dies dient nicht dem Geheimnisschutz. Es dient dem Schutz davor, dass Unbefugte Filme auf fremde Rechnung ausleihen. Wer die Kennung eingibt bzw. den Fingerabdruck ablesen lässt und die Sicherungsschwelle passiert, der erfährt keinerlei Daten des Kontoinhabers. Dies ist auch überflüssig. Die einzigen (irrelevanten) Informationen sind Guthabenstand und (so vorhanden) Angaben, welche Filme früher entliehen wurden. Nicht einmal der Name des Kontoinhabers, Adressinformationen (wenngleich diese hinterlegt sind, können sie nicht eingesehen werden), noch Bankinformationen (da bar gezahlt 282
s. oben, S. 112 ff. und rechtsvergleichend Fn. 385 f., S. 113. Mittlerweile gilt der Identitätsdiebstahl als ernsthafte Bedrohung des internetbasierten Wirschaftsverkehrs, International Telecommunication Union (ITU; Hrsg.), Internet Report 2006, S. 93 ff. 283
226
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
wird), noch sonstige Daten werden angegeben: Schlichtweg keine geheimhaltebedürftigen Daten sind bei Eingabe der Kennung einsehbar. Dann kann es auch kein durch die Kennungsabfrage gewahrtes Interesse an der Geheimhaltung geben. Steht nicht die bloße Kenntnis im Vordergrund, sondern die wirtschaftliche Verwertung, so ist die Ausspähung eines Nutzerkontos bei einem Onlineauktionshaus oder Onlinehändler nicht Hauptziel, sondern Mittel zum Zweck und in der Regel Vorbereitung zu einem Betrug. Dessen Strafbarkeit ist aber in § 263 erfasst. Ungewollte Strafbarkeitslücken entstünden nicht, wenn man hier nicht schon die Strafbarkeit wegen des Ausspähens von Daten annähme. Im „analogen Leben“ entspräche dies etwa dem Geschehen, dass ein Student das verschlossene Schließfach eines Kommilitonen mit einem Dietrich (also ohne das Schloss zu beschädigen) öffnet, die darin befindlichen Magnetstreifenkarten (Kreditkarte, Studentenausweis etc.) mittels eines Lesegerätes ausliest, ohne die Karten mit zu nehmen, die Daten auf Kartenrohlinge aufbringt und damit betrügerisch Waren bestellt, einkauft und mit dem Studentenausweis Bücher ausleiht. Dies ist nicht strafbar. Die bloße Erlangung der Daten ist als Vorbereitung möglicher weiterer Straftaten noch nicht unter Strafe gestellt. Schon diese Beispiele, die keinesfalls Ausnahmen sind, sondern der allgemeinen Nutzung entsprechen, zeigen, dass die Abfrage einer Kennung nicht mehr (nur) dazu dient, Zugang zu Daten zu verwehren. Sie dient auch nicht dem sonstigen Schutz von Daten des Nutzers der Abfrage, sondern eher dem Gegenteil: Ziel ist nicht stets Schutz der Daten, sondern oft Generierung von Daten. Es ist für Anbieter von Internetdiensten und -inhalten ein großes Problem, von Nutzern Entgelt für ihre Leistungen zu erhalten. Etliche Onlineangebote verfolgen aber kommerzielle Zwecke. Der Großteil der Angebote finanziert sich ausschließlich über Werbung. Die Konkurrenz ist hier gewaltig, es gibt massive Bestrebungen, die Werbung nutzerspezifisch einzublenden. Dazu sollen Informationen über die Zielgruppe und im Idealfall über konkrete Zielpersonen in Erfahrung gebracht werden. Bei den meisten Onlineangeboten, die kommerzielle Interessen verfolgen, spielt die Nutzeridentifikation und die Ermittlung der Präferenzen des Nutzers eine ganz wesentliche Rolle im Geschäftsmodell. Als zynisches Beispiel wird regelmäßig der Fall berichtet, dass Interessenten für Ratgeberbücher, wie der Alkoholismus zu besiegen sei, Werbung für Spirituosen eingeblendet wird. Die Nutzeridentifikation wird in aller Regel durch ein Kennwortsystem erreicht. Die Identifikation wird beim Nutzer ohnehin durchgesetzt, so er für die Leistungen bezahlen muss (siehe oben), da diese ja einem Nutzer gegenüber abgerechnet werden müssen, etwa bei Onlinehändlern. Aber auch bei etlichen Angeboten mit erheblicher wirtschaftlicher Bedeutung, die teilweise in
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
227
den Milliarden Euro Bereich gehen284, die für den Nutzer insgesamt kostenlos sind, wird erfolgreich versucht, die Nutzer zu einer Identifikation zu bewegen. Durchgesetzt wird dies durch eine Verknüpfung des Zugangs zu den Leistungen mit einer Identifikation. Zunächst werden mittels der Anmeldeprozedur Daten abgefragt. Etliche Nutzer wollen dem ausweichen und geben zumindest falsche Daten ein. Es gibt Software zur Verwaltung von Internet-Pseudonymen nur für diesen Zweck. Hiergegen wiederum versuchen die Anbieter vorzugehen, indem sie durch die Anmeldeprozedur erzwingen, dass zumindest die E-Mailadresse stimmen muss, indem sie eine Bestätigungsmail der Anmeldung an den Nutzer senden, mittels der dieser die Zugangsdaten erhält. Auch hiergegen gibt es wiederum Mechanismen auf Nutzerseite, um dies zu umgehen. Wogegen wieder Mechanismen auf Anbieterseite entwickelt wurden.285 Daran lässt sich schon ermessen, dass viele Nutzer ihre Identifikation scheuen und versuchen, der Passwortabfrage auszuweichen oder sie zumindest leerlaufen zu lassen. Sie dient nicht dem Nutzerschutz, sondern seiner Überwachung. Dadurch wird eines deutlich: Zielrichtung der Kennungsabfrage ist nicht, dass der Zugang zu den Daten der Nutzer verhindert wird.286 Ziel ist in diesen Fällen vielmehr, Daten der Nutzer für die wirtschaftliche Ausbeute dieser zu sammeln.287 Die organisatorische Kontrolle des Angebots tritt dahinter oft zurück.288 Dies gilt noch mehr für die aus dem Boden schießenden online-communities, bei denen Nutzer gleichzeitig zu Anbietern werden, was als Web 2.0 284
Vgl. Fn. 290, S. 228. So setzen Nutzer „Wegwerf-“ oder „Einmal-E-Mail-Adressen“ ein, die nur für die Anmeldeprozedur bestehen. Sie versuchen dadurch, der Identifikation und dem Spamming zu entgehen. Auf Anbieterseite wird teilweise erfolgreich versucht, diese Adressen als „Wegwerf-E-Mail-Adressen“ zu erkennen und nicht zu akzeptieren. 286 Dies zeigt auch der zumeist laxe Umgang mit Nutzerdaten. Diese können erst durch die Zugangskontrolle – der Begriff der Identifizierung ist treffender – erhoben werden. Darauf werden sie oft gewinnbringend genutzt. Der Datenschutz wird nur zögerlich wahrgenommen. Vgl. etwa das deutsche Beispiel des beliebten Studentenportals StudiVz, das wegen Datenlecks in Verruf gekommen ist; Kessler, Belästigungen, Nazi-Scherze, Sicherheitslücken: Die Online-Studentenplattform StudiVz geht in Skandalen unter, FR, 07.12.06, S. 18. Das StudiVZ wurde mittlerweile an die Holtzbrinckgruppe verkauft. ‚Die Welt‘, die Magazine ‚Der Spiegel‘ und ‚Focus‘ sowie der Branchendienst ‚Heise‘ berichteten ausf. Das seinerzeit erst ein gutes Jahr bestehende Portal wurde für einen hohen zweistelligen Millioneneurobetrag verkauft, mit dem Hinweis darauf, dass man nun mit Werbung verdienen wolle, was bei 60 Mio Seitenabrufen pro Tag – damit ist die Seite eine der meistbesuchten Deutschlands – vielversprechend sei und man hohe Preise erzielen könne. So ein Manager auf Käuferseite laut Winckler/Wüpper, Holtzbrinck kauft das Internet-Portal StudiVZ, Die Welt, 04.01.2007, Nr. 3, S. 12. 287 s. zur wirtschaftlichen Bedeutung schon oben, Fn. 289, S. 86. 288 Unliebsame Nutzer, die das Forum für Beleidigungen, Werbezwecke oder ähnliches missbrauchen, können ausgeschlossen werden. 285
228
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
bezeichnet wird. Manche Angebote werden – wie von den Betreibern, wenn auch meist zögerlich, eingeräumt wird – gar nur zum Zwecke der Datensammlung angelegt.289 So kann verfolgt werden, welcher Nutzer sich wann wo anmeldet, welche Seiten er besucht, was ihn interessiert. Auch hier sollen diese Erkenntnisse für zielgruppenspezifisch zugeschnittene Werbemaßnahmen genutzt werden. Nicht ohne Grund werden solche online-communities teilweise für Milliarden verkauft290. Der Großteil dieser Foren stützt seinen wirtschaftlichen Erfolg291 – früher oder später – schließlich auf Werbung. Damit vergleichbare Onlineangebote stellen mittlerweile eigene virtuelle Welten dar. Sie sind von erheblicher Komplexität und Umfang. Die virtuelle Welt Second Life etwa hat derart viele Nutzer (über zwei Millionen, Stand Jan. 2007) und ist technisch so ausgereift, dass Unternehmen wie Adidas, der Springer-Verlag, Reuters, Toyota und andere dort virtuelle Filialen 289 Einen Überblick über diese Entwicklung zeigt die umfassende Untersuchung in der International Telecommunication Union (ITU; Hrsg.), Internet Report 2006, S. 93 ff. Die Entwicklung hin zum sogenannten Web 2.0 lässt die Nutzerdaten noch mehr in den Vordergrund rücken. Das Web 2.0 ist ein Modewort, mit dem eine Online-Welt charakterisiert wird, bei der sich die Kommunikation zwischen den Nutzern dank Social-Networking- und Social-Media-Technologien deutlich vereinfacht. Der Medienkonsument ist also zugleich Anbieter und Gestalter. Er stellt Videos, Blogs (Nachrichten im Tagebuchstil), Bilder usw. ins Netz und verknüpft Vorhandenes neu. Diese Entwicklung ist von derartiger Bedeutung, dass hier in wirtschaftlicher Hinsicht ein Milliardenmarkt gewittert wird. Auch die sozialen, kulturellen und politischen Einflüsse sind erheblich. So erheblich, dass das Time Magazine diesen Anbieter-Konsument zur Person des Jahres 2006 wählte – Lev Grossman, Person of the Year: You, Time, 27/28–2006 (Vol. 168) – ‚cover‘, editorial (S. 4) und die Artikelreihe div. Autoren, S. 26 ff., 30 ff., 46 ff., 48 ff., 55 und 56 ff. Der Begriff geht auf Tim O’Reilly zurück (im Original abrufbar auf http://www.oreilly.de/ artikel/web20.html). Die das Web 2.0 ermöglichenden (meist) kostenlosen Angebote wollen finanziert werden. Die herkömmliche Finanzierung über zielgruppenspezifische Werbung bringt nicht mehr die gewünschten und benötigten Erlöse. Durch Gewinnung von immer mehr und immer genaueren Nutzerprofilen (sog. gläserner Nutzer) soll die Werbung auf die entsprechende Zielgruppe zugeschnitten werden. Zum Phänomen des Web 2.0 und weiteren möglichen Entwicklungen wie dem Semantic Web, s. den Onlineartikel Roush, TR Nov/Dec 2006, „What comes after Web 2.0?“, http://www.technologyreview.com/Infotech/17845/). Wobei selbst die Verfechter dieser Entwicklung diese nicht anstelle der herkömmlichen Medien setzen möchten, Pontin, TR Nov/Dec 2006, „In Praise of Print, http://www.technologyreview.com/ Biztech/17708/). 290 Jüngst kaufte Google für deutlich über eine Milliarde Euro die Youtube-Plattform. Während das Angebot selbst technisch leicht „nachgebaut“ werden kann, sind die mitübertragenen Daten der Nutzer und die Beziehung zu diesen für ein (fast) ausschließlich werbefinanziertes Geschäftsmodell die entscheidende Größe. Vgl. Schön, Gemeinsam gegen YouTube, DIE WELT, 13.12.06, S. 30. Siehe auch Fn. 289, S. 86. 291 Wenn dieser bezweckt ist, was bei den meisten der Fall sein dürfte.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
229
eröffnen,292 die (indirekt) reales Geld verdienen; mittlerweile eine halbe Million US-Dollar am Tag.293 Unternehmen halten dort Konferenzen ab, da sich hier eine ideale Kommunikationsplattform bilden lässt, bei der der Aufenthaltsort der Teilnehmer keine Rolle spielt, (reale) Professoren halten dort aus demselben Grund Vorlesungen. Schweden hat nun gar eine virtuelle Botschaft „vor Ort“ eröffnet.294 Diese Entwicklung steht dabei noch am Anfang. Onlineangebote dieser Art werden in Zukunft noch massiv zunehmen. Eine Passwortabfrage als steten und bloßen Zugangsschutz zu Daten zu begreifen, wird kaum der Komplexität an Verwendungszwecken auf Anbieter- und Nutzerseite gerecht. Sie kann über den Zugangsschutz hinaus mehr, aber auch ohne diesen ein aliud bezwecken. Sie steht daher einer umfassenden und vielschichtigen Hausrechtausübung weit näher. Damit sind etliche Bereiche aufgezeigt, die in Zahl, Verbreitung und Bedeutung noch stark zunehmen dürften, bei denen Ziel der Kennungsabfrage nicht ist, Dritten den Zugang zu Daten zu verschließen, sondern (neben organisatorischen Zwecken) selbst Daten sammeln und sozusagen erst generieren zu können. Der Zugang zu den Daten der Nutzer soll, wenn man so will, dadurch erst mit Nachdruck erschlossen und nicht im Gegenteil verhindert werden – selbst gegen den offensichtlichen Willen der Nutzer. Ob dies bei der Fassung der Kommentierungen bedacht wurde, kann naturgemäß nicht beantwortet werden. Fischer jedenfalls deutet an, dass Passwörter, die nur organisatorischen Zwecken dienen, nicht unter § 202a StGB fallen.295 Dem ist zuzustimmen und der Gedanke grundsätzlich und präzise zu fassen: Legt man die Konzeption der herrschenden Meinung zugrunde, so sind nur Passwortabfragen, die der Zugangsverhinderung zu Daten dienen, wobei die Zugangsverhinderung jedenfalls auch der Geheimhaltung dienen muss, anzuerkennen. Passwortabfragen, die anderem dienen, etwa nur der Organisation, der Nachvollziehbarkeit von Nutzerverhalten etc. sind nicht anzuerkennen. Zusammenfassend gilt: Selbst aus dem Vorliegen eines Zugangsschutzes kann nicht auf ein zugrundeliegendes Geheimhaltungsbedürfnis geschlossen werden. Aus dem Vorliegen einer Passwortabfrage kann wiederum nicht geschlossen werden, dass ein Zugangsschutz bezweckt ist. Es kann sogar nicht einmal geschlossen werden, dass überhaupt ein Schutz bezweckt ist. Damit ist der Schluss, vom Vorliegen einer Passwortabfrage auf einen Schutzmechanismus, gar auf einen Zugangsschutzmechanismus und erst recht auf ein zugrunde liegendes Geheimhaltungsbedürfnis unrichtig. Diesen Schluss 292 293 294 295
Graff, Es gibt nur richtiges Leben im falschen, SZ, 5.2.2007, Nr. 29, S. 2. Rosenfelder, F.A.Z., 22.12.2006, Nr. 298, S. 33. Graff, Es gibt nur richtiges Leben im falschen, SZ, 5.2.2007, Nr. 29, S. 2. Fischer, § 202a Rn. 8a.
230
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
hat die technische und soziale Entwicklung des Einsatzes von Passwortabfragen sowohl auf Betriebssystemebene als auch im Internet und in anderen Bereichen überholt. Eine rechtliche Wertung kann sich auf diesen Schluss also nicht (mehr) stützen. b) Eindeutige Dokumentation braucht Handlungsalternativen Selbst wenn man, entgegen der soeben dargelegten Argumentation, annehmen wollte, dass eine Passwortabfrage stets zu Zwecken des Zugangsschutzes eingesetzt werde, so ist selbst dann nicht auf ein zugrundeliegendes Geheimhaltungsbedürfnis des Datenverfügungsberechtigten zu schließen. Denn einer Handlung kann nur dann eine Erklärung beigemessen werden, wenn es für die Handlung eine Alternative gibt. Während beim eigenen Arbeitsplatzrechner, vor allem aber beim eigenen PC noch angenommen werden kann, die Sicherung sei im Interesse des Datenverfügungsberechtigten und ihm rechtlich zurechenbar, so ist dies in vielen anderen Fällen des Passwortgebrauchs ausgeschlossen. Wie oben dargelegt wurde, würden Nutzer gerne auf den Passwort„schutz“ verzichten, könnten sie dann doch anonym ihre Meinung kundtun, würden nicht überall Datenspuren hinterlassen und müssten sich keine Kennungen merken. Sie nehmen dabei durchaus einen beachtlichen Aufwand auf sich, um trotz Anmeldung anonym zu bleiben oder um sich zumindest unter einem Pseudonym anzumelden. Ihnen wird die Anmeldeprozedur oft aber geradezu aufgezwungen. Das Angebot braucht natürlich nicht genutzt werden, insofern besteht eine Handlungsalternative. Will der Bürger aber das Angebot nutzen, so um den Preis der Anmeldung. Davon abgesehen, dass die Passwortabfrage nicht dem Zugangsschutz der Nutzer dienen soll (siehe oben), kann aus dem erzwungenen Nutzerverhalten nicht geschlossen werden, dass der Nutzer die Passwortabfrage wollte. Er will das Angebot nutzen, auf die Passwortabfrage will er aber oft verzichten. Viele Nutzer bleiben gar Foren fern (aus Bequemlichkeits- wie aus Datenvermeidungsgründen), die eine Kennung fordern und wenden sich Foren zu, die auf solchen Nutzerschutz verzichten. Eine weitere angeführte These lautet, dass der Nutzer sich die Abfrage als Schutz zu eigen mache, indem er sie nutze. Gerade das Nutzen des Schutzes zeige also, dass er den Schutz auch wolle. Selbst wenn man die Abfrage als Zugangsschutz begreift, ist dies zweifelhaft. Es ist dann richtig, wenn eine plausible Handlungsalternative besteht. Einer Handlung kann nur ein Erklärungswert beigemessen werden, wenn eine Handlungsalternative (auch in Form der Nichthandlung, also des Unterlassens) besteht. Einer erzwungenen Handlung kann kaum ein Erklärungswert entnommen werden,
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
231
weder vom Gegenüber, noch von einem verobjektivierten Dritten oder der Verkehrsanschauung. Natürlich besteht eine Handlungsalternative zum Verwenden des passwortgeschützten Zugangs bei Betriebssystemen, Internetforen etc. Es kann sowohl auf die Benutzung des Computers insgesamt sowie des konkreten Angebots in Gänze verzichtet werden. Doch der Verzicht auf die Sicherung allein bedeutet in aller Regel kein einfaches Unterlassen, sondern ist mit erheblichem Aufwand verbunden, wie am Beispiel der Internetforen gezeigt wurde. Der Schutz wird nicht vergleichbar dem Abschließen eines Fahrrads eingesetzt. Dieses Abschließen muss nach jedem Gebrauch gesondert und jedenfalls mit einem Mindestaufwand geschehen. Der Nutzer überlegt sich jedesmal, ob er abschließt. Beim automatisch und oft systemseitig voreingestellten Passwortschutz greift dieser ohne Zutun des Nutzers, wenn dieser den Computer ausschaltet. Eine gesonderte Umsetzung ist nicht erforderlich. Einer nichtexistenten Handlung kann aber schlechterdings keine Dokumentationswirkung beigemessen werden. Dies gilt nicht nur für die herkömmliche Computerbenutzung. Dort ist der Verzicht auf den automatisierten und voreingestellten angeblichen Schutz nur selten möglich. Er wäre in der weit überwiegenden Zahl der Fälle jedenfalls äußerst unpraktikabel und eine Besonderheit. Dieser Besonderheit könnte man daher eine Erklärung beimessen. Der Nutzer muss eine hohe Motivation haben, den Verzicht zu üben. Der Verzicht bedarf im Gegensatz zur Sicherung gesonderter Umsetzung. Die Verwendung eines voreingestellten, schwer ausschaltbaren Mechanismus, der für den Nutzer bei Verwendung keinen hohen Aufwand oder großen Nachteil mit sich führt, ist also in keinem Falle die Besonderheit, sondern die Regel. Es wird, um ein Analogon in der gegenständlichen Welt zu suchen, kaum jemals als einziger Aufbewahrungsort für wichtige Gegenstände nur eine Geldkassette vorhanden sein, die automatisch ins Schloss fällt. Vergleichbar verhält es sich bei der Speicherung von Daten auf einem Computer, der werkseitig mit einem Zugangsschutz versehen ist. Ein anderer Speicherort kann nur unter Aufwand gefunden, die Sicherung nur aktiv ausgeschaltet werden. Während dies beim eigenen Computer noch möglich ist, so hat der Nutzer nicht stets die (alleinige) Herrschaft über die Konfiguration des von ihm verwendeten Computers. Wenn in Arbeitsverhältnissen dem Mitarbeiter ein eigener Computerarbeitsplatz zur Verfügung gestellt wird, so geschieht dies in aller Regel unter Einräumung eines kennwortversehenen Zugangs. Die Handlungsalternative wäre die Nichtverwendung des Computers. In den meisten Arbeitsverhältnissen dürfte dies die Auflösung desselben nach sich ziehen. Welcher Grund sollte auch genannt werden? Der Verzicht auf den „Schutz“ bedarf also der gesonderten Handlung. Dieser kann eine Dokumentation beigemessen werden. Der erzwungene, automatisierte Gebrauch des Schutzes ist aber die nahezu unausweichliche
232
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Norm. Dieser Norm eine Dokumentation eines besonderen Interesses beimessen zu wollen, geht zu weit. Ihr ist zu entnehmen, dass der Nutzer diese Prozedur zumindest toleriert, möglicherweise(!) nimmt er sie auch gerne an. Ob er sie gerne annimmt, wird aber nicht offenbar, sondern bleibt innere Tatsache des Nutzers oder wird erst durch andere Umstände als das Zulassen der Sicherung offenbar. Den strafbarkeitsbegründenden Schluss daraus zu ziehen, dem Nutzer seien die Daten besonders wichtig und ein Zugriff Unbefugter in besonderem Maße unerwünscht, ist zu weit gehend und überdehnt das tatsächliche Geschehen in unzulässiger Weise. Dabei soll nicht vertreten werden, dass Nutzern das Ausspähen ihrer Daten gleichgültig sei. Doch ist fraglich, ob die Annahme, dass Datenverfügungsberechtigte ein Interesse an Geheimhaltung haben, sich gerade aus dem Vorhandensein einer Passwortabfrage herleitet oder nicht, generell und unabhängig angenommen wird. Dies wird am oben behandelten Anrufbeantworterbeispiel deutlich.296 Es ist davon auszugehen, dass es dem Interesse des Beantworterinhabers entgegenläuft, dass das Gerät von anderen abgehört wird. Doch dies ergibt sich aus der Natur der Sache und nicht aus dem Vorhandensein eines Sicherungsmechanismus, von dem der Inhaber möglicherweise gar nichts weiß und den er sich auch nicht geistig zu eigen macht. Das heißt, selbst wenn Sicherheitssoftware verwendet wird, deren Zweck es ist, vor dem ausspähenden Zugriff anderer zu schützen, kann nicht geschlossen werden, dass der Computernutzer diese Schutzfunktion verwendet, um seine Daten vor dem Zugriff anderer zu schützen.
c) Unspezifischer Schutz lässt nicht auf spezifische Bedeutungen schließen Selbst wenn man annehmen wollte, eine Passwortabfrage sei eingerichtet worden, um den Zugang zu Daten zu verhindern und dies, um dadurch ein Ausspähen zu unterbinden und dieser Schutz sei auch vom Datenverfügungsberechtigten selbst installiert worden, so kann zwar auf eine Dokumentation eines Geheimhaltungsbedürfnisses geschlossen werden. Doch ist zu beachten, dass die Passwortabfrage sich funktional auf alle hinter ihr liegenden Daten erstreckt. Man kann dann zwar annehmen, die Dokumentationswirkung strahle gleichsam auf alle Daten aus. Daraus wäre zu schließen, dass der Datenverfügungsberechtigte ein besonderes Geheimhaltungsinteresse an jedem einzelnen Datum hinter der Abfrage hat. 296
Vgl. oben, S. 202.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
233
Diese Annahme ist aber fernliegend. Auf einem Computer befinden sich zwangsläufig etliche Daten, an denen der Nutzer kein gesondertes Geheimhaltungsinteresse hat. Die Passwortabfrage wirkt wie ein Zaun um alle Daten. Der Nutzer differenziert nicht bei den einzelnen Daten sein Interesse, er umschließt sie alle. Der Schluss, alle seien ihm besonders wichtig, ist nicht trennscharf, sondern schlicht allumfassend und geht damit an der Realität vorbei. Diese Erkenntnis strahlt nun aber umgekehrt auf die Dokumentation zurück und schwächt sie generell ab. Bei einem umzäunten Grundstück wollte schließlich auch niemand behaupten, jeder einzelne Flecken auf dem Grundstück sei dem Inhaber besonders wichtig. Die Gesamtheit möchte er befrieden. Ein Verständnis der Norm als elektronischer Hausfriedensbruch vermag dies wiederzugeben. Eine Behauptung einer Dokumentation muss sich aber auf jedes einzelne Datum beziehen. Dieses Problem ist von der Literatur erkannt worden. Einige Vertreter der Literatur haben ein Argument entwickelt, das an verschiedenen Stellen in ähnlicher Art vertreten wurde. So beziehen etwa Hoyer und Kargl die physische Sicherung grundsätzlich ein, die abgeschlossene Haustür möchten sie aber ausscheiden.297 Das Argument kann also als spezifisch-proximales bezeichnet werden. Eine Haustür ist eine physische Sicherung par excellence, sie ist allenfalls „zu weit vom Computer weg“, so dass die Dokumentation sich verwässert. Dementsprechend fehlt es nach ihnen an der objektiv erkennbaren Manifestation des Sicherungswillens. Einziger Unterschied zu einem in einem Behältnis verschlossenen Datenträger, der erfasst sein soll, ist aber die räumliche Entfernung von Sicherungsmittel und -gut. Damit lassen sie es auf diesen Faktor ankommen. Jessen298 und Hilgendorf 299 grenzen hier ebenfalls ab. Jessen will den abgeschlossenen Datenraum erfasst wissen, das pförtnergeschützte Gebäude aber ausscheiden.300 Hilgendorf bildet einen Fall, bei dem ein Schüler durch ein verriegeltes Fenster in die Schule eindringt, um sich von einem dort stehenden Rechner Daten zu verschaffen. Er hält fest: „Als Zugangsbeschränkungen wirken auch verschlossene Räume oder Sicherheitsbereiche, die ohne Schlüssel [. . .] nicht betreten werden können. Im [zugrunde liegenden] „Fall 6“ war aber nicht der Rechner, sondern die Schule verschlossen.“301 Daraus folgert Hilgendorf, § 202a sei auszuscheiden. Weber302 und Kindhäuser303 verwenden explizit den 297 298 299 300 301 302 303
SK-Hoyer, § 202a, Rn. 9; NK-Kargl, § 202a, Rn. 9. Jessen, Sicherung i. S. v. § 202a, S. 120. Hilgendorf, JuS 1996, 702 ff. Jessen, Sicherung i. S. v. § 202a, S. 120. Hilgendorf, JuS 1996, 703, Fall 6. Einfügung von R. Dietrich. Arzt/Weber, Strafrecht BT, § 8 Rn. 58, S. 216. LPK-Kindhäuser, § 202a Rn. 4.
234
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Ausdruck des computerspezifischen Schutzes und meinen damit elektronisch-digital verwirklichten Schutz (Passwörter, Magnetkarten(authentifizierung)) im Gegensatz zu gegenständlich-analogem Schutz wie (Tür-)Schlössern, Riegeln, Mauern. Wie nah oder fern der Schutz vom Datum entfernt wirken kann, wird nicht angesprochen. Kindhäuser möchte jedenfalls den allgemeinen Zutrittschutz zu einem Haus ebenfalls im Ergebnis ausschließen.304 Einen Raum zu verschließen soll also ausreichen. Wird aber das Gebäude allgemein und damit alle Räume verschlossen, so soll dies nicht für eine Dokumentation reichen. Die Schule allgemein zu verschließen bedeutet aber, jeden Raum gegen Eindringen von außen zu verschließen. Dringt nun der Täter durch ein verschlossenes Fenster direkt in den Computerraum ein, so wäre er nach § 202a zu bestrafen. Dringt er dagegen durch einen verschlossenen Nebenraum ein und begibt sich dann von innerhalb des Gebäudes durch die unverschlossene Computerraumtür in den Computerraum, so wäre er nicht zu bestrafen. Es dürfte aber oft allein vom Zufall abhängen, auf welchem Weg der Täter eindringt. Aus Opfersicht betrachtet hieße dies, dem Opfer erst den Genuss des Schutzes des § 202a gewähren zu wollen, wenn er in einem abgeriegelten und hochgesicherten Haus nochmals jeden einzelnen Raum einzeln und damit spezifisch schützt. Dies wäre wie die Forderung, das Dach eines Hauses mit Stacheldraht zu umgeben, damit das besondere Interesse am Hausfrieden auch für das Dach dokumentiert und dieses von § 123 Abs. 1 erfasst werde. Es sei die Frage erlaubt, ob man einem Nutzer den strafrechtlichen Schutz des § 202a aberkennen will, der sein Haus mit Gräben umsieht, mit Hunden schützt, eine Alarmanlage einbaut und alles Erdenkliche gegen Eindringlinge unternimmt, aber eben den einen Raum nicht nochmals schützt und sei es, dass er an diesem ein papierenes Schloss niedrigsten Sicherheitsniveaus anbringt, um hier eindeutig zu dokumentieren. Eine fernliegende Vorstellung. Die Dokumentation scheint auch unter diesem Gesichtspunkt nicht das richtige Unterscheidungsmerkmal zu sein. Der Begriff der Nähe, wie er etwa bei Jessen Verwendung findet, ist bei Daten auch noch weniger greifbar als sonst, Daten sind per se schnell kommunizier- und damit transportierbar. Der Schutzmechanismus der Daten, die Passwortabfrage, und die von ihm geschützten Daten können problemlos an verschiedensten Orten auf der Welt niedergelegt sein. Dies ist dabei keine rein theoretische Überlegung, sondern Praxis.305 Der Schutz wirkt 304
LPK-Kindhäuser, § 202a Rn. 4 unter Verweis auf Hilgendorf, JuS 1996, 703. Unternehmen lagern etwa Daten in großem Maße aus. Diese werden in eigens dazu angemieteten „Serverparks“ (Lagergebäuden, die große digitale Datenmengen aufnehmen und zur Verfügung stellen können) vorrätig gehalten. Die Unternehmen 305
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
235
über die Distanz, ist aber an einem lokalen Ort niedergelegt. Den oben genannten Ansichten ist gemein, dass sie nicht jede Sicherung gelten lassen wollen, die wirkt. Sie muss spezifisch und nah sein, quasi auf die Daten gemünzt. Ansonsten sei die Dokumentation des Sicherungsinteresses nicht mehr erkennbar. In diesem Punkt ist diesen Ansichten recht zu geben. Die Dokumentation wird umso undeutlicher, als die Sicherung sich von dem Sicherungsobjekt entfernt. Die sprachliche Metapher der (örtlichen) Nähe einer Sicherung zu elektronischen Daten ist nicht belastbar.306 Der Begriff der Spezifität sollte ihm vorgezogen werden, ohne darüber hinweg zu täuschen, dass er ausfüllungsbedürftig ist. Will man trotz der angeführten Bedenken ein solches Kriterium der Spezifität, wie es die Literatur versucht, anwenden, so muss dies bei der Passwortabfrage regelmäßig zu dem Ergebnis führen, dass sie nicht als Sicherungsmittel i. S. d. § 202a angesehen werden kann. Die Passwortabfrage ist dem pförtnergeschützten Haus eher vergleichbar als einem Schutz direkt am Datum. Sie wirkt, so sie auf Betriebssystemebene angebracht ist, was regelmäßig der Fall ist, für den gesamten Computer und damit für einen potenziell riesigen und heterogenen Datenbereich. Der Passphrasenschutz wirkt für alle Daten, die hinter der Passphrase liegen. So wie der Pförtner für alle Gegenstände wirkt, die sich hinter seiner Pforte befinden und die Fensterverriegelung für alles, was hinter dem Fenster liegt. Auf Computern von Heimanwendern lagert regelmäßig ein wahres Potpourri an Daten, wie die des Betriebssystems, der einzelnen Anwendungen, Daten privater und geschäftlicher Natur, gespeicherte E-Mails etc. Man wird kaum behaupten können, dass der Inhaber der Daten an den Betriebssystemdaten, die auf jedem Computer in ähnlicher Form lagern, ein Geheimhaltungsinteresse hat. In aller Regel werden – oft allein aus Vereinfachungsgründen – nicht einzelne Daten und Dateien geschützt, sondern eben der gesamte Zugriff eines Nutzers auf seinen Arbeitsbereich, so wie ein Haus verschlossen wird, ohne dass der Inhaber wirklich an jedem Gegenstand, auch am Staub in seinem Haus ein gesteigertes Interesse hat. Es gibt auch keinen plausiblen Grund für eine Differenzierung des Schutzes. Dieser müsste gesondert greifen darauf mittels VPNs (Virtual Private Networks), enner verschlüsselter Netzwerktechnik, die die allgemein zur Verfügung stehende Netzwerkarchitektur (das Internet) nutzt, zu. Die VPNs erstrecken sich bei global agierenden Unternehmen über den gesamten Erdball. Jede Datenleitung kann grundsätzlich zum Teil eines VPN gemacht werden. Der Schutz ist also auf der gesamten Welt an jedem Computer, der Zugang zu diesem VPN gewährt, implementiert, indem erst nach Passworteingabe „in der Ferne“ die Daten freigegeben werden. s. zu VPN Hülsdunk, VPN, S. 3–29 (Darstellung der Wirkungsweise). 306 Zu den Folgen, die irreführende Metaphern im Strafrecht nach sich ziehen können vgl. F.-C. Schroeder, FS Jakobs, S. 627 ff.
236
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
beschränkt werden. Es gibt dafür so selten einen Grund, wie es einen Grund gibt, nur manches im vom Pförtner geschützten Haus zu halten und manches auszulagern. Der Zugang wird insgesamt reglementiert. Die Sicherung erstreckt sich gleichermaßen auf alles Dahinterliegende. Zwar kann es durchaus das Bedürfnis geben, den Zugriff auf bestimmte Dateien zuzulassen und auf andere nicht, die meisten Nutzer werden dies aber nicht realisieren können.307 Das Vorliegen einer Passphrasenabfrage ist also ein genauso untaugliches Kriterium, ein besonderes Sicherungsinteresse für jedes dadurch faktisch geschützte Datum anzunehmen, wie es das Vorhandensein einer verschlossenen Haustür für die Annahme eines besonderen Sicherungsinteresses bezogen auf sämtliche im Haus befindlichen Gegenstände ist. d) Zusammenfassung Die Datensicherung mittels der von der herrschenden Meinung als klassisches Sicherungsinstrument bezeichneten Passphrasenabfrage erfüllt nicht das von der herrschenden Meinung aufgestellte Erfordernis nach Dokumentation eines besonderen Sicherungsbedürfnisses. Mit anderen Worten: Aus dem Vorliegen eine Passwortabfrage kann nicht mit hinreichender Sicherheit auf ein besonderes Geheimhaltungsbedürfnis des Rechtsgutsinhabers geschlossen werden. Der Rechtsgutsinhaber hat oft kaum plausible Alternativen zur Verwendung einer Passwortabfrage. Die Verwendung der Abfrage ist nicht Expression seines Willens. Daher kann ihr nicht mit hinreichender Klarheit eine besondere Verwendungsabsicht entnommen werden. Denn der Dateninhaber ist nicht stets derjenige, der den oft automatisch greifenden Schutzmechanismus willentlich einsetzt oder dem dies zuzurechnen ist. Er hat oft keine oder kaum eine Handlungsalternative, somit kann seinem Verhalten keine ausdrückliche Dokumentation beigemessen werden. Selbst wenn sie beigemessen wird, so ist sie unspezifisch und verliert sich in der Vielzahl und Unterschiedlichkeit der von ihr erfassten Daten. Weiter kann aus dem Vorliegen einer Passwortabfrage nicht stets auf ein Schutzinteresse geschlossen werden. Etliche andere Zwecke werden durch 307 Obwohl dies möglich ist. Es kann schlicht ein Benutzerprofil, etwa „Gast“ eingerichtet werden, von dem auf bestimmte Dateien zugegriffen werden darf. Windows unterstützt diese Funktion standardmäßig. Den meisten Nutzern ist dies aber noch unbekannt. Sie stellen den Zugriff für andere her, indem sie die Datei selbst herausgeben oder – bei entsprechendem Vertrauen – dem anderen das eigene geöffnete Profil am Arbeitsplatz kurzfristig komplett überlassen.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
237
sie realisiert. Identifikation bedeutet, wie gezeigt wurde, nicht stets Schutz. Und selbst wenn man einen Schutzzweck annimmt, so muss dieser nicht zwangsläufig Zugangsschutz, wie ihn das Gesetz fordert, bedeuten. Etliche alternative Zwecke werden über die Passwortabfrage realisiert. Selbst wenn man Zugangsschutz annähme, so bedeutete dieser jedoch nicht zwangsläufig Verschaffensschutz und selbst aus diesem ließe sich nicht notwendigerweise eindeutig auf ein zugrundeliegendes Geheimhaltungsbedürfnis des Dateninhabers schließen, wie es die h. M. aber vertritt. Aus diesen Gründen kann aus dem bloßen Vorliegen von Daten, die nur über eine Passworteingabe zugänglich sein sollen, ohne Ansehen weiterer Umstände schon nicht auf ein besonderes Schutzinteresse an diesen, erst recht nicht auf ein Zugangsschutzinteresse und noch weniger auf ein Geheimhaltungsinteresse des Datenhinterlegenden am einzelnen Datum geschlossen werden. Dieses Ansehen weiterer Umstände ist aber entscheidend. 4. Vergleich mit Sicherungen aus § 202 Abs. 1, 2, § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1, 2 StGB Der Gesetzgeber verwendet auch an anderen Stellen des Strafgesetzbuchs den Begriff der Sicherung, die am zu schützenden Gut wirkt. Technisch wirkt sie im weiteren Sinne als Tatbestandsmerkmal oder im Rahmen der Regelbeispielstechnik. Die gesetzestechnische Funktion ist damit vergleichbar mit der des Begriffes in § 202a: Erst wenn das Schutzgut technisch geschützt ist, erhält es (gesteigerten) Strafrechtsschutz. Die Vergleichbarkeit in der Funktion legt nahe, die Begründungen dieser anderen besonderen Sicherungen zu untersuchen. Es stellt sich die Frage, wieso bei diesen die Sicherung Straf(erhöhungs)grund ist.308 In den § 202 Abs. 1, 2, § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1, 2 spielen Sicherungen, Verschlüsse, Umschließungen und Befriedungen (im Folgenden einheitlich Sicherungen genannt) eine untereinander und mit der Sicherung des § 202a vergleichbare Rolle. Sie erheben das gesicherte Gut zu einem strafbaren (oder erhöht zu bestrafenden) Gut. Die Begründungen für diese Rechtsfolge sind zu suchen und zu fragen, ob sie auf § 202a übertragbar sind. Dabei kann und soll selbstredend nicht der 308 Während Jessen nach seiner Untersuchung zur besonderen Sicherung die gewonnenen Ergebnisse auf die §§ 202 und 243 Abs. 1 S. 2 Nr. 2 übertragen möchte (Jessen, Sicherung i. S. v. § 202a, S. 163 ff., bzgl. § 243 Abs. 1 S. 2 Nr. 2 allerdings nur mit Einschränkungen. Er zog leider keinen Vergleich mit § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1), soll hier zunächst ein Vergleich der Regelungen vorgenommen werden.
238
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Passphrasenschutz (als Anwendungsbeispiel) mit den Sicherungen (als Tatbestandsmerkmal) verglichen werden. Auf einzelne anerkannte oder nicht anerkannte Sicherungsmethoden einzugehen, verlöre sich zu rasch in einer unübersichtlichen Kasuistik. Es kann hier – ohne den Rahmen der Arbeit zu sprengen – nur ein Überblick über andere tatbestandlich gefasste Sicherungen (im weiteren Sinne) gegeben und mögliche Vergleichslinien sowie Unterschiede gezeigt werden. In Frage kommen hier die Befriedung des § 123, der Verschluss und das verschlossene Behältnis in § 202 (Abs. 1 Nr. 1, 2 und Abs. 2) sowie aus § 243 Abs. 1 S. 2 Nr. 1 und 2 der umschlossene Raum (Nr. 1) und das verschlossene Behältnis oder die andere Schutzvorrichtung (Nr. 2). Es wird untersucht, ob im Vergleich zu diesen Sicherungen wesentliche Unterschiede bestehen, die eine andere Bewertung rechtfertigen. Dabei soll auf den (dokumentierten) Zweck, mögliche Handlungsalternativen zur Sicherung und ihre Spezifität309 eingegangen werden. a) Sicherungen des § 202 StGB (1) Überblick Von den genannten Normen ist § 202, die Verletzung des Briefgeheimnisses, am nächsten zu § 202a loziert, daher soll auf diesen auch hier als nächste Norm eingegangen werden. Ob § 202 systematisch unzweifelhaft am nächsten liegt, steht dabei auf einem anderen Blatt310. Geschütztes Rechtsgut der Norm ist das Verfügungsrecht desjenigen, der darüber zu entscheiden befugt ist, wer den Inhalt eines Schriftstücks311 zur Kenntnis nehmen darf,312 nicht dagegen der Verschluss313 und nicht das Briefgeheimnis 309
Um im Sprachgebrauch etwa Weber und Kindhäuser zu folgen, Arzt/Weber, Strafrecht BT, § 8 Rn. 58, S. 216 und LPK-Kindhäuser, § 202a Rn. 4. 310 So wurde von Haft (in DSWR 1986, 255, 257 und NStZ 1987, 6, 9 f.) und anderen vertreten, § 202a sei Datendiebstahl, dann wäre er etwa als § 242a oder als § 248d hinter der Entziehung der elektrischen Energie einzuordnen. § 202a steht allerdings dem § 123 weit näher, siehe Fn. 311, S. 238 und oben S. 49 ff., dort Kap. d). Jedoch ist § 123 als Straftat gegen die öffentliche Ordnung nicht mehr zeitgemäß verortet. 311 Es muss sich nicht notwendigerweise um einen Brief handeln. Nach Abs. 3 sind selbst Abbildungen erfasst. In der Folge wird zur besseren Lesbarkeit und da es auf die Unterscheidung hier nicht ankommt, von Schriftstücken und Briefen als gleichbedeutenden Äquivalenten gesprochen. Darunter gezählt werden in dem hier verwendeten Sprachgebrauch auch die in Abs. 3 genannten Abbildungen. 312 BT-Drs. 7/550, S. 237 und die ganz h. M.: SK-Hoyer, § 202 Rn. 1; Sch/SchLenckner/Schittenhelm, § 202 Rn. 2; LK-Schünemann, § 202 Rn. 2; NK-Jung, 1995, § 202 Rn. 2. 313 Dazu, s. Nachweise in SK-Hoyer § 202 Rn. 2 mit Stellungnahme.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
239
i. S. d. Art. 10 GG.314 Geschützt wird – vergleichbar zu § 202a (der allerdings schon das Verschaffen pönalisiert) – die Geheimhaltung von Schriftstücken, so diese technisch besonders gesichert sind. Als Rechtsgut wird daher auch die persönliche Privat- und Intimsphäre als geistiger Raum315 oder auch der formale Geheimbereich bezeichnet.316 Auf den Inhalt soll es damit nicht ankommen, sondern auf die Form(ung) eines Bereichs. Dieser Bereich oder Raum wird zu anderen durch eine formale Sicherung abgegrenzt. Die Norm kennt zwei Sicherungen im weiteren Sinn. In Absatz 1 wird der Verschluss des verschlossenen Briefes und in Absatz 2 das verschlossene Behältnis angeführt. (2) Einsatzzweck der Sicherung (a) Verschluss Der Verschluss des Schriftstückes soll symbolisches Hindernis sein, er soll den Willen des Verschließenden erkennbar machen, dass eine Kenntnisnahme durch Unbefugte unterbleiben soll, so die herrschende Meinung.317 Insofern bestünde Nähe zu § 202a. Eine Sicherung, die den Zugang technisch auch nur wesentlich verzögert, kann in einem üblichen verschlossenen Brief allerdings nicht gesehen werden. Einen zugeklebten Brief aufzureißen ist „kinderleicht“. Der papierene Verschluss erschöpft sich beinahe in der Symbolik. Für eine Sicherung im Sinne von § 243 Abs. 1 S. 2 Nr. 1, 2 würde sie keinesfalls ausreichen.318 Auch § 202a fordert – so jedenfalls die herrschende Meinung319 – ein höheres Schutzniveau. Symbolisiert werden kann durch den Schriftstückverschluss nur der Schutz vor heimlicher Kenntnisnahme.320 Schon zum wirksamen Schutz 314 Schließlich sind schon nach dem Wortlaut auch sonstige Schriftstücke und Abbildungen erfasst. SK-Hoyer, § 202 Rn. 1; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 2; LK-Schünemann, § 202 Rn. 2; NK-Jung, 1995, § 202 Rn. 2. 315 Gössel/Dölling, Strafrecht BT/1, § 37 Rn. 77; LK-Schünemann, § 202 Rn. 10. 316 NK-Kargl, § 202 Rn. 2; Lackner/Kühl, § 202 Rn. 1. 317 LK-Schünemann, § 202 Rn. 13; Sch/Sch-Lenckner/Schittenhelm § 202 Rn. 7; Lackner/Kühl § 202 Rn. 2; Wessels/Hettinger, Strafrecht BT/1, Rn. 550; SK-Hoyer § 202 Rn. 11. 318 Weber lehnt gar wörtlich eine „papierne“ Barriere für § 243 I S. 2 Nr. 1 ab, Arzt/Weber, Strafrecht BT, § 14 Fn. 4, S. 353. Er versteht sie als eine rein symbolische. Kindhäuser lehnt bei § 243 Abs. 1 S. 2 Nr. 2 einen Briefumschlag als Schutzvorrichtung ebenfalls ab, NK-Kindhäuser, § 243 Rn. 21. 319 Im Einzelnen ist dies umstritten. Diskutiert wird unter anderem, welchem Angriff der Schutz standhalten soll, dem eines Laien, eines versierten Nutzers oder gar eines „Profis“. s. insgesamt zum Schutzniveau die Diskussion mit Nachweisen, ob auf die Fachkunde des Täters abgestellt werden kann in Jessen, Sicherung i. S. v. § 202a, S. 63–119 ff.
240
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
vor einem Neugierigen ist dieser schlecht geeignet, vor anderer Verletzung, etwa Wegnahme oder Beschädigung aber schützt er in keiner Weise: Der Inhalt kann mit Umschließung problemlos mitgenommen oder beschädigt und zerstört werden. Ein anderer Zweck, etwa dass das Schriftstück beim Transport nicht herausfällt und mehrere Blätter eines Konvoluts beisammen bleiben, lässt sich auch anders und meist besser bewerkstelligen. Steht dieser Zweck im Vordergrund, dann wird der zusammenhaltende Verschluss auch nicht als kenntnishindernd anerkannt.321 Ein praktisches Beispiel liefern Lenckner/Schittenhelm, die eine bloße, leicht zu öffnende Schleife nicht ausreichen lassen, hingegen eine Verknotung, auch wenn sie sich ordnungsgemäß öffnen lässt, anerkennen möchten.322 Im Ergebnis werden hier Fälle ausgeschieden, bei denen der Sicherungszweck nicht mehr erkennbar ist, weil das technische Sicherungsniveau derart niedrig ist, dass von einer Sicherung nicht mehr gesprochen werden kann. Liegt aber eine Sicherung vor, so dürfte diese in aller Regel symbolisieren, dass eine Kenntnisnahme verhindert werden soll. Der tatbestandlich erfasste Zweck ist mit dem tatsächlich (allenfalls) erreichbaren damit nahezu deckungsgleich. Wenn aber nur die Zwecke faktisch erreichbar sind, die das Gesetz erstrebt und keine überschießenden, danebenliegenden oder zurückbleibenden, dann kann dem Verschließen eine Dokumentation beigemessen werden, den gesetzlich erstrebten Zweck gewollt zu haben. Im Vergleich zu § 202a wird schon im Gesetzeswortlaut die Forderung aufgestellt, die Sicherung müsse gerade gegen unberechtigten Zugang wehren. Diese ausdrückliche Formulierung wurde bei § 202 nicht gewählt. Die herrschende Meinung kommt hier erst über die Auslegung zu dieser Forderung. Der Passphrasenschutz kann, wie gezeigt wurde, verschiedenste Ziele verfolgen. Die Verklebung eines Briefes verfolgt dagegen, jedenfalls in der ganz überwiegenden Zahl der Fälle, den Schutz, eine Kenntnis zu verhindern oder zumindest symbolisch zu erschweren. Die praktisch verfolgten Zwecke fallen damit mit den gesetzlich verfolgten zusammen. (b) Verschlossenes Behältnis Die herrschende Meinung verweist regelmäßig zum Verständnis des verschlossenen Behältnisses auf das in § 243 Abs. 1 S. 2 Nr. 2 Genannte.323 Bei § 202 muss es (Neben-)Zweck sein, die unbefugte Kenntnis320 Dies muss aber nicht der Fall sein, so etwa Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 7. 321 SK-Hoyer, § 202 Rn. 4; NK-Jung, 1995, § 202 Rn. 4; NK-Kargl, § 202 Rn. 4; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 7. 322 Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 7.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
241
nahme zu verhindern. Dies ergibt sich schon aus dem Gesetzeswortlaut und wird von der Literatur unterstrichen.324 In tatsächlicher Hinsicht vermögen verschlossene Behältnisse Schriftstücke vor Wegnahme, mutwilliger325 Beschädigung und Kenntnisnahme zu schützen. Bemerkenswert ist auch, dass, anders als in Abs. 1 Nr. 1 der Norm und auch § 202a, die Kenntnisnahme als Tathandlung und damit zugleich Taterfolg gefordert wird. Behältnisse, die erkennbar den Schutz vor Kenntnisnahme nicht bezwecken, werden auch hier ausgeschieden. Vergleicht man den normativ geforderten Schutzzweck und die tatsächliche Schutzwirkung und -interessenlage, so ist der normativ geforderte im tatsächlich erreichten und verfolgten Ziel enthalten. Bei einem verschlossenen Behältnis ist regelmäßig326 faktischer Kenntnisnahmeschutz gegeben und bleibt nicht hinter dem geforderten zurück. Teils reicht der faktische Schutz weiter. Behältnisse, die (zusätzlich) vor Wegnahme schützen, werden von § 243 Abs. 1 S. 2 Nr. 2 erfasst. Nimmt der Täter das Schriftstück weg, so ist er gem. §§ 242 Abs. 1, 243 Abs. 1 S. 2 Nr. 2 strafbar.327 Wird ein unverschlossenes Schriftstück weggenommen und erfüllt es die Merkmale einer Urkunde328, so ist § 274 einschlägig.329 323 LK-Schünemann § 202 Rn. 16; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 18 jew. m. w. N.; SK-Hoyer, § 202 Rn. 12. Anders MüKo-Graf, § 202, Rn. 16, der aber zu keinem anderen Verständnis gelangt. 324 MüKo-Graf, § 202, Rn. 16; Lackner/Kühl, § 202 Rn. 2; LK-Schünemann § 202 Rn. 16; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 18 jew. m. w. N. 325 Zum Schutz vor anderen Beschädigungen, etwa (versehentlichem) Brand etc. reicht ein unver- und lediglich ge-schlossenes Behältnis ebenso gut oder ebenso schlecht. 326 Ein verschlossenes Behältnis, das Einblick gewährt, wie etwa eine Schauvitrine, ist die Ausnahme. 327 Straffrei bleibt der Täter strenggenommen in zwei theoretisch denkbaren Konstellationen: Zum ersten dann, wenn das verschlossene Behältnis nur vor Kenntnisnahme schützen soll (also nicht unter § 243, sondern nur unter § 202 fällt) und der Täter wegnimmt, ohne Kenntnis zu nehmen. Und zum zweiten dann, wenn der Täter bei einem Behältnis, das vor Wegnahme aber nicht (auch) vor Kenntnisnahme schützen soll (also nicht unter § 202, sondern nur unter § 243 fällt), der Täter aber lediglich Kenntnis nimmt ohne wegzunehmen. Beide Varianten sind theoretisch denkbar, in der Praxis aber wohl selten anzutreffen. Auch stellt sich die Frage nach der Strafwürdigkeit, wenn eine Schutzvorrichtung nicht vor dem Tun des Täters schützen soll. Nimmt der Täter ein Schriftstück mit, so war es wohl „wert“, gestohlen zu werden, dann aber wollte der Schützende sicher (dies antizipierend) zumindest auch davor schützen. Schließlich verschloss er das Schriftstück extra. Nimmt er nur Kenntnis und gibt sich damit zufrieden, so ist ebenfalls davon auszugehen, dass der Einschließende dies antizipierte und auch deswegen einschloss. 328 In aller Regel dürfte nur die sog. Garantiefunktion, die Ausstellererkennbarkeit, in Frage stehen. 329 Es muss mit Schädigungsabsicht (dolus directus 2. Grades) bspw. unterdrückt, also zumindest vorübergehendes vorenthalten werden. Vgl. stellv. Fischer, § 274 Rn. 5 (unterdrücken) und Rn. 6 (Vorsatz).
242
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Beim Einschließen, was ja nicht der regelmäßigen Aufbewahrung von Schriftstücken entspricht, steht der Schutz vor Kenntnisnahme im Vordergrund oder ist jedenfalls wesentlicher Nebenzweck, denn wesentliche andere Erklärungen für das Verschließen im Behältnis gibt es nicht. Damit fallen der tatsächlich erzielbare und gewünschte Zweck und der gesetzlich geforderte regelmäßig zusammen. Daher kann eine Dokumentation eines Sicherungszwecks im Verschließen gesehen werden. Dies ist – wie gezeigt wurde – bei der Passwortabfrage anders. Daten werden regelmäßig auf Computern gespeichert, die typischerweise automatisch und ohne weiteres Zutun diesen Daten eine Passwortabfrage vorschalten. Diese Abfrage hat oft, aber schon nicht (mehr) regelmäßig, den Zweck zu sichern. Ein möglicher Sicherungszweck ist dabei Schutz vor Kenntnisnahme. (3) Handlungsalternative (a) Verschluss Das Verschließen eines Schriftstückes ist aktive gewollte Handlung. Kein Schriftstück verschließt sich automatisch oder ohne weiteres Zutun des Inhabers. Zu keinem anderen Zweck als zum Ausspähschutz muss ein Schriftstück verschlossen werden, sodass umgekehrt vom Verschließen auf ein Ausspähschutzinteresse, sprich Geheimhaltungsinteresse, geschlossen werden kann. Zum Versenden, zum Lagern etc. braucht das Schriftstück nicht verschlossen zu werden. Insbesondere werden auch unverschlossene Briefe bestimmungsgemäß befördert. Gegen das Herausfallen des Inhalts genügt das bloße Hineinklappen des Umschlags. Daran ändert auch die Tatsache nichts, dass routinemäßig postalisch aufgegebene Briefe zugeklebt werden. Neben das Interesse der Verlustvermeidung durch einfaches Verlieren, tritt regelmäßig das des Ausspähschutzes. Alternativ können Schriftstücke auch unverschlossen als Postkarte versandt werden, bei so mancher Hauspost werden unverschlossene Briefe und Schriftstücke weiter gereicht. Ist keine Sicherung erwünscht, so bieten sich mannigfaltige Möglichkeiten, ohne sie brieflich zu kommunizieren. Ist ein Schriftstück also verschlossen, kann ein Geheimhaltungsinteresse gefolgert werden.
(b) Verschlossenes Behältnis Selbiges gilt für das verschlossene Behältnis. Es dürfte die Ausnahme sein, Schriftstücke in einem verschlossenen Behältnis einzuschließen. Dies ergibt sich schon aufgrund des – wenn auch geringen – Aufwandes, für die
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
243
eigene Kenntnisnahme des Schriftstücks das Behältnis öffnen und danach wieder schließen zu müssen. Auch ist der Sicherungsplatz im Behältnis in aller Regel beschränkt und kostspielig. Regelmäßig – nur aus solchen Verhaltensregeln kann der Rechtsverkehr Generelles schließen – wird gerade aus einem Geheimhaltungsinteresse ein Schriftstück in einen verschließbaren Schrank gelegt und dieser verschlossen. Wie dargelegt wurde, verhält sich dies bei der Passphrasenabfrage nicht so. Dem Hinterlegenden steht, abgesehen von der Nichthinterlegung (und damit üblicherweise dem kompletten Nichtgebrauch des Angebots), keine einfach umsetzbare Alternative zur Verfügung. Wer Daten auf einem Computer speichert – und sei es der eigene – kann oft nicht die automatisch greifende Sicherung umgehen. Wer dagegen einen Brief in ein Behältnis legt und dieses verschließt, könnte das genauso gut unterlassen. Selbst wenn zur Ablage ausschließlich ein verschließbares Behältnis zur Verfügung stünde, was schon kaum denkbar ist, könnte doch immerhin darauf verzichtet werden, den Schlüssel herum zu drehen, um stattdessen das Behältnis unverschlossen (und damit folgerichtig von § 202 nicht erfasst) zu lassen. Der Schluss, wer sein Schriftstück verschließt oder in ein verschließbares Behältnis legt und dieses abschließt, der wolle, dass keiner Kenntnis erlange, ist damit richtig und liegt geradezu auf der Hand. Der das Schriftstück Hinterlegende ist dabei in aller Regel auch der das Behältnis Verschließende, sodass derjenige, der über das Schriftstück verfügt, dieses auch sichert. Dies ist beim Abspeichern von Daten anders. Der „Schutz“ greift meist automatisch, ohne dass der Abspeichernde stets faktisch darüber bestimmen kann. (4) Spezifität Der Verschluss eines Schriftstücks oder Briefes haftet diesem schon sprachlich zwingend direkt an. Der Gegenstand muss unmittelbar umhüllt sein, diese Umhüllung sodann direkt verschlossen.330 Etwas anderes kann sich nur beim verschlossenen Behältnis ergeben. Das verschlossene Behältnis – etwa ein Aktenschrank – kann eine Vielzahl von einzelnen Schriftstücken enthalten. Diese werden oft in Konvoluten und Aktenordnern eingebracht. In diesen Fällen wird nicht jedes einzelne Blatt von besonderem Geheimhalteinteresse umfasst sein. Doch sind auch diese Akten bewusst und gewollt in den Behälter in seiner verschließenden Funktion eingebracht worden. Hier dürfte die Nähe zu den gewollt gesicherten Teilen der Akte größer sein als bei allen auf einem Computer gesicherten Daten. Mag ein Aktenordner eine Vielzahl an Schriftstücken enthalten, bilden sie dennoch 330
SK-Hoyer, § 202 Rn. 10 a. E.
244
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
eine Auswahl aus der Gesamtmenge der Schriftstücke des Inhabers. Denn auch in den Aktenordner müssen sie gesondert eingeheftet werden. Es werden also zunächst die Schriftstücke ausgewählt, die in Aktenordner sollen, um dann die Ordner auszuwählen, die in ein verschlossenes Behältnis kommen. Die Sicherung bezieht sich also nicht zwangsläufig auf alle papierenen Akten, sondern nur auf die willentlich und wissentlich dafür einzeln oder gruppenweise ausgewählten. Auf Computern wird dagegen alles abgelegt, was der Nutzer an Daten hat. Selbst der Datenmüll bleibt auf ihm und wird von der Sicherung erfasst. Bei Computern liegt die Parallele zum (Daten)Raum näher als zu einem Behältnis: Sämtliche überhaupt digital verarbeitete Daten werden auf ihm gespeichert. Heutzutage werden die wenigsten Daten nur(!) auf einem externen Datenträger abgelegt. Bloß abgeschlossene Räume umfasst § 202 Abs. 2 allerdings nicht.331 Es kann davon ausgegangen werden, dass der Gesetzgeber dies bewusst ausschloss, der Tatbestand wurde um das aus § 243 Abs. 1 S. 2 Nr. 2 bekannte verschlossene Behältnis ergänzt, nicht aber um den aus § 243 Abs. 1 S. 2 Nr. 1 umschlossenen Raum. Dies ist bemerkenswert. Die Erklärung hierfür dürfte darin zu sehen sein, dass der Gesetzgeber eine Sicherung des gesamten Raumes als zu unspezifisch erachtete. Die gewünschte Symbolwirkung wäre verwässert. Bei § 202a wird dagegen vertreten, der abgeschlossene Raum, in dem sich ein Rechner befindet, sei spezifisch genug.332 Unter dem Gesichtspunkt der Dokumentation ist dies zu bezweifeln. Es gibt etliche Gründe, einen Raum abzuschließen, in dem sich ein Computer befindet, ohne dass ein Geheimhaltungsinteresse an den Computerdaten vorliegt. Eine dieser gesetzlichen Nichterfassung von Räumen bei § 202 entsprechende Ausgrenzung von Räumen wird bei Daten im Sinne des § 202a nicht angenommen. Dies geht zulasten der Spezifität und damit zulasten der Symbolwirkung, aus der geschlossen werden kann, gerade diese Informationen sollten besonders geschützt werden. (5) Zusammenfassung Zusammenfassend dokumentiert somit die Tatsache, dass Schriftstücke selbst verschlossen sind oder sich in einem verschlossenen Behältnis befinden, dass das spezifische Schriftstück eigens bei bestehender Handlungsalternative aktiv ausgewählt wurde, um es durch die Verschließung zweckgerichtet gegen Kenntnisnahme (jedenfalls symbolisch) zu sichern. Daraus 331
Fischer § 202 Rn. 6 ausdrücklich, ebenso SK-Hoyer, § 202 Rn. 12. Vgl. stellvertretend Hilgendorf, JuS 1996, S. 703, Fall 6 und S. 705, Fall 12; Jessen, Sicherung i. S. v. § 202a, S. 120. 332
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
245
ergibt sich wiederum ein deutliches Zeichen, dass an diesem Schriftstück ein besonderes Geheimhaltungsbedürfnis besteht. Obwohl bei § 202, im Gegensatz zu § 202a, aus dem Vorliegen einer Sicherung auf eine Dokumentation eines Geheimhaltungsbedürfnisses geschlossen werden kann, stützt sich die Literatur weit weniger einseitig auf diese Dokumentation. Diese wird neben anderen Begründungen für das Erfordernis der besonderen Sicherung angeführt: Die Verschließung soll dem Täter klar machen, dass er sich über einen fremden Willen hinwegsetzt.333 Sie muss ihm weiter ein Hemmnis bereiten.334 Teils werden auch viktimodogmatische Argumente ins Feld geführt.335 b) § 123 StGB – Die Befriedung (1) Rechtsgut Das Schrifttum bietet etliche Begründungsansätze für den Hausfriedensbruchtatbestand. Es verweist auf das Hausrecht336 als Rechtsgut und alternativ oder ergänzend allgemein auf die Freiheit337 oder den (Rechts-)frieden.338 Diese Begriffe bedürfen der Konkretisierung.339 Das freie Besitzrecht340 oder ein persönliches Rechtsgut besonderer Art341 sind allenfalls Näherungsbegriffe, ist der erstgenannte doch zu weit und erfasste auch Mo333
MüKo-Graf, § 202 Rn. 14. MüKo-Graf, § 202 Rn. 14. 335 LK-Schünemann, § 202 Rn. 2 a. E.; ders. ZStW 90 (1978), 32 ff.; SK-Hoyer, § 202 Rn. 3, sich u. a. auf den vehementen Kritiker der Viktimodogmatik Lenckner (H.-L. Günther in FS Lenckner, S. 67) berufend. Lenckner, JR 1978, 424; vermag schwerlich ein viktimodogmatisches Argument entnommen werden. Vgl. auch Sch/ Sch-Lenckner/Eisele, vor §§ 13 ff., Rn. 70b. 336 So die h. M. mit verschiedenen Ausprägungen; Fischer, § 123 Rn. 2; Lackner/ Kühl, § 123 Rn. 1; Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 1; LK-Lilie § 123 Rn. 1; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 30, Rn. 1 f.; kritisch: NK-Ostendorf, § 123 Rn. 11, „Hausrecht und als sekundäres Rechtsgut der Rechtsfrieden“, mit kriminologischer und rechtspolitischer Einschätzung, Rn. 12 ff., 16 ff.; vgl. SK-Rudolphi/Stein, § 123 Rn. 1 ff.; MüKo-Schäfer, § 123 Rn. 1 ff., den Schutz der persönlichen Freiheit betonend. 337 Schon v. Liszt, Lehrbuch25, S. 581. Wessels/Hettinger, Strafrecht BT/1, Rn. 573. Vgl. auch MüKo-Schäfer, § 123 Rn. 1 ff. 338 NK-Ostendorf, § 123 Rn. 11, „Hausrecht und als sekundäres Rechtsgut der Rechtsfrieden“, mit kriminologischer und rechtspolitischer Einschätzung, Rn. 12 ff., 16 ff. 339 Siehe die einschränkenden Präzisierungen bei NK-Ostendorf, § 123 Rn. 5 ff. 340 Engeln, Hausrecht, S. 39, 170; Artkämper, Hausfriedensbruch, S. 98 f. 341 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 1; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 30 Rn. 2 entwickeln den Gedanken allerdings fort. 334
246
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
bilien, der letztergenannte dagegen ist eine Leerformel, die auf die Definition des Hausrechts verzichtet und an ihre Stelle eine Besonderheit setzt, die ebensowenig definiert wird. Das Hausrecht kann als Ansatzpunkt gewählt werden, so es näher definiert wird und die persönliche Bedeutung der Territorialbeherrschung ausdrückt. Es kann daher der herrschenden Meinung zugestimmt werden, die unter dem Hausrecht das Recht bestimmter Personen versteht, darüber zu entscheiden, wer sich zu welcher Zeit in bestimmten Räumlichkeiten aufhalten darf.342 Teilweise wird die soziale und psychische Funktion des Hausrechts besonders betont.343 Kühl unterstreicht das Interesse am durch die Abwesenheit anderer Ungestörtsein.344 Dieses Verständnis setzt sich nicht zwingend in Widerspruch zu einem normativen Ansatz. Es tritt neben diesen oder liegt diesem gar zugrunde, will man das Recht nicht als selbstbezüglich und -genügend verstehen, sondern auf Sozialnormen zurückgreifen.345 Andere nehmen eine differenzierende Einzelfallbetrachtung in Bezug auf das jeweilige Schutzobjekt vor.346 Die Vertreter eines einheitlichen Hausrechts stimmen dem insoweit zu, als das Hausrecht verschiedene Funktionen und Zweckbestimmungen erfasse.347 Diese seien aber nur Ausprägungen eines einheitlichen Rechtsguts.348 Der Gesetzgeber jedenfalls hat nicht zuletzt aus Gründen der Rechtssicherheit die einzelnen Funktionen nicht aufgespalten, sondern durch ein einheitliches Abwehrrecht formalisierend zusammengeführt.349 Es handelt sich um ein Freiheitsrecht, 342 So die h. M.; Fischer, § 123 Rn. 2; Lackner/Kühl, § 123 Rn. 1; Sch/SchLenckner/Sternberg-Lieben, § 123 Rn. 1; LK-Lilie § 123 Rn. 1; Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 30, Rn. 1 f.; Kett-Straub, JR 2006, 188, 189; kritisch: NK-Ostendorf, § 123 Rn. 11, „Hausrecht und als sekundäres Rechtsgut der Rechtsfrieden“, mit kriminologischer und rechtspolitischer Einschätzung, Rn. 12 ff., 16 ff.; vgl. SK-Rudolphi/Stein, § 123 Rn. 1 ff.; MüKo-Schäfer, § 123 Rn. 1 ff., den Schutz der persönlichen Freiheit betonend. 343 Grundlegend Amelung, ZStW 98 (1986), S. 355, 403: „Interesse an der Beherrschung eines physisch gesicherten Territoriums“; ebenso Krumme, Wohnung, S. 244 f.; Welzel, Strafrecht, § 44 a. A., S. 332: „Stück lokalisierter Freiheitssphäre“; vgl. ausf. Schall, Hausfriedensbruch, S. 1 ff. 344 Lackner/Kühl, § 123 Rn. 1. 345 Siehe zu dieser Bedeutung oben, S. 165 ff., dort Kap. I. 346 Kargl, JZ 1999, 930, 932 ff., um ein „buntes Gesamtrechtsgut“ zu vermeiden. Dagegen MüKo-Schäfer, § 123 Rn. 3 wegen sonst praktischer Abgrenzungsschwierigkeiten und Rechtsunsicherheit. Ebenso kritisch LK-Lilie, § 123 Rn. 5, der zwar ein „buntes Gesamtrechtsgut“ vermieden sieht, stattdessen bei Kargl aber „eine farbige Palette von Einzelrechtsgütern“ erblickt. Auch Schall, Hausfriedensbruch, insb. S. 90 ff., 131 ff., will differenzieren, er sieht sich allerdings gezwungen, das „befriedete Besitztum“ aus dem Strafrechtsschutz auszuscheiden, weil dieses (obwohl eindeutig erfasst) mit seiner Theorie nicht in Übereinstimmung zu bringen ist; vermittelnd SK-Rudolphi/Stein, § 123 Rn. 1 ff. 347 LK-Lilie, § 123 Rn. 7. 348 LK-Lilie, § 123 Rn. 7; MüKo-Schäfer, § 123 Rn. 3.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
247
wie auch das Eigentum „geronnene Freiheit“350 ist. Seine Besonderheit ist, dass es über die Beherrschung eines Areals (Territorialität) weitere Rechtsgüter erfasst. Dies sind die Sicherheit, die Geheimhaltung, die Abwesenheit von Störungen und die Freiheit, die aus der Befriedigung der vorgenannten Interessen resultiert.351 Dabei ist ein Stufenverhältnis festzustellen:352 Unmittelbares Schutzobjekt ist die Beherrschung des Territoriums. Diese Beherrschung ist aber kein Selbstzweck.353 Sie dient dem Schutz weiterer Interessen, die sich mit physisch gesicherten Territorien verbinden, wie unter anderem etwa das Interesse der Geheimhaltung.354 Nicht nur im Falle der Wohnung schützt § 123 Abs. 1 die räumliche Privatsphäre und bei abgeschlossenen Räumen des öffentlichen Dienstes auch die staatliche Interessen, bei denen die Informationsbeschränkung unabdingbar ist.355 Die Ausdehnung des § 123 Abs. 1 auf „fast jedes physisch eingehegte Grundstück“356 und gar Zubehörflächen zeigt aber, dass die Geheimhaltung nicht notwendiges Schutzgut ist.357 Es lässt sich nachweisen, dass moderne Geheimhaltungsinteressen den Tatbestand des Hausfriedensbruchs nach und nach ergänzen. Aus historischer Sicht spielt die Geheimhaltung in älteren Traditionen eine geringere Rolle als heute. Das Streben nach physischer Sicherheit stand im Vordergrund.358 Die modernen Geheimhaltungsinteressen werden insbesondere für das Schutzgut der Wohnung hervorgehoben,359 sind aber auch vom befrie349
LK-Lilie, § 123 Rn. 7; MüKo-Schäfer, § 123 Rn. 3. Arzt/Weber, Strafrecht BT, § 11 Rn. 1. 351 Nach Amelung, ZStW 98 (1986), S. 355, 365. 352 Amelung, ZStW 98 (1986), S. 355, 403; SK-Rudolphi/Stein, § 123 Rn. 1. 353 Amelung, ZStW 98 (1986), S. 355, 403; SK-Rudolphi/Stein, § 123 Rn. 1 bezeichnen das Hausrecht als „Zwischenrechtsgut“. 354 Amelung, ZStW 98 (1986), S. 355, 403. 355 So auch Amelung, ZStW 98 (1986), S. 355, 404. 356 Amelung, ZStW 98 (1986), S. 355, 408. 357 Nach Amelung, ZStW 98 (1986), S. 355, 408, läßt sich diese Ausweitung nur damit erklären, dass der eigentliche Strafgrund des Hausfriedensbruchs in der Verunsicherung zu sehen ist, die droht, wenn das Vertrauen auf den Schutz physischer Schranken missachtet wird. Dem ist jedenfalls entgegenzuhalten, dass – auch nach Amelung – die physischen Schranken nach allgemeiner Verkehrsanschauung kein wesentliches physisches Hindernis darstellen. Das Vertrauen in ein so geringes physisches Hindernis, das bei einer Zubehörfläche gar fehlt, kann nur äußerst gering sein. Amelung ist aber zuzugeben, dass er die Missachtung seitens des Täters in den Vordergrund rückt. Es soll also nicht auf das Hindernis in seiner physischen Wirkung allein, sondern in seiner Zuweisungs- und damit Abweisungsfunktion ankommen. Eine weitere Erklärung für die Ausdehnung auf Zubehörflächen ist jedenfalls nicht plausibler. Der vergleichende Blick in fremde Rechtsordnungen zeigt denn auch, dass diese den strafrechtlichen Schutz wesentlich enger fassen. 358 Zu dieser Entwicklung ausf. Amelung, ZStW 98 (1986), S. 355, 384–392. 350
248
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
deten Besitztum erfasst.360 Die Entwicklung dauert noch an, wie etwa die Fassung des § 201a zeigt. Doch schon frühliberales Denken, auch als frühbürgerlicher Besitzindividualismus bezeichnet361, betont zunehmend einen an Eigentum und Besitz begründeten Freiheitsraum. Diese Gedanken sind im späten 18. und frühen 19. Jahrhundert noch nicht vom Eigentum losgelöst, führen aber im weiteren Verlauf des 19. Jahrhunderts zu dem, was wir heute als Privatsphäre bezeichnen.362 Heutzutage kann der Hausfriedensbruchtatbestand als Teilbereich des übergreifenden Rechtsguts der persönlichen Privat- und Intimsphäre des Individuums verstanden werden. Das Hausrecht, ob als Ausdruck des Privaten oder zum physischen Schutz, braucht zur Anerkennung grundsätzlich keine besondere Sicherung. Dies zeigt auch die sozialpsychologische Territorialforschung.363 Das Recht ist aber an das Territorium gebunden.364 Eine solche Beziehung fehlt bei Daten. Dies dürfte ein Grund dafür sein, dass es derzeit weder eine sozial übliche Anerkennung eines umfassenden Datenfreiheitsbereiches noch eine Forderung danach gibt. Eine solche Forderung ginge nach dem derzeitigen allgemeinen Verständnis zu weit. Zwar sollen Einzelnen oder Gruppen Schutzbereiche zugewiesen werden. Diese müssen aber einfach abgrenzbar von den Bereichen anderer sein. Was eignete sich dazu besser als territorial-räumliche Grenzen oder in Ermangelung der Umsetzbarkeit dieser ein elektronisches Äquivalent – etwa in Form einer technischen Zugangssicherung? Aufgrund dieser Parallele ist hier in erster Linie die tatsächliche und rechtliche Bedeutung der Befriedung von Interesse.
(2) Begründung des Tatbestandsmerkmals Die Formalisierung des Schutzes wird gesetzestechnisch durch Erfassung nur geschützter Räumlichkeiten und Bereiche wahrgenommen. Geschützt sind nach § 123 die Wohnung, Geschäftsräume, das befriedete Besitztum 359 Schall, NStZ 1983, 241, 242; ders., Hausfriedensbruch, S. 131 ff., 136 f.; Amelung/Schall, JuS 1975, 565, 566; s. auch Engels, DuR 1981, 293 ff.; Ostendorf, JuS 1981, 640; Seier, JA 1982, 232, 235 f. 360 Amelung, NJW 1986, 2075, 2077. 361 Vgl. MacPherson, Besitzindividualismus, vgl. v. a. S. 13 ff., 295 ff.; vgl. im engl. Original: ders, Possessive individualism, S. 1 ff., 263 ff. 362 Amelung, NJW 1986, 2075, 2080. 363 Siehe ausführlich oben, S. 165 ff., dort Kap. I. 364 Vgl. zu den territorialen Bezügen: Grundlegend Amelung, ZStW 98 (1986), S. 355, 403: „Interesse an der Beherrschung eines physisch gesicherten Territoriums“; ebenso Krumme, Wohnung, S. 244 f.; Welzel, Strafrecht, § 44 a. A., S. 332: „Stück lokalisierter Freiheitssphäre“; vgl. ausf. Schall, Hausfriedensbruch, S. 1 ff.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
249
und abgeschlossene Räume, die zum öffentlichen Dienst oder Verkehr bestimmt sind. Gemeinsam ist diesen vier Bereichen, dass sie ein Stück „physisch gesicherter Territorialität“365, die unter anderem der „Informationskontrolle“ dient366, darstellen oder einer solchen zugeordnet werden können.367 Auch die Befriedung des Besitztums kann dieser Informationskontrolle dienen, indem „Schnüffler“ fern- oder zumindest an der Grenze gehalten werden.368 Die formale Abgrenzung soll ausreichen, ein erhöhtes Schutzniveau wird nicht gefordert.369 So soll gar der hinter einer nicht absperrbaren Toreinfahrt liegende Hofraum strafrechtlich erfasst sein.370 Die physisch wirksame Sicherung des Territoriums ist mehr als bloßer Anknüpfungspunkt für die Strafwürdigkeit. Sie ist ihr ausschlaggebendes Kriterium.371 Denn dies unterscheidet dieses Territorium von den nur zivilrechtlich erfassten.372 Dazu reichen rein symbolische Begrenzungen nicht aus, zusammenhängende (nicht unbedingt lückenlose373) Schutzwehren sind nach herrschender Meinung erforderlich.374 Ein Gebäude erfüllt dies stets.375 Andere Flächen müssen entsprechend bewehrt und befriedet sein.376 Erfasst werden auch Zubehörflächen, die aufgrund engen räumlichen Zusammenhangs für jedermann erkennbar zu einer bewehrten Fläche gehören.377 In seinem grundlegenden Artikel legt Amelung dar, dass das Interesse, „dessen Verletzung eine Rechtfertigung für den Übergang vom Zivil- zum Strafrecht bietet, [. . .] das [deckungsgleich mit dem] Interesse, für die Beherrschung des Territoriums und gegebenenfalls daran anknüpfende Zwecke, mehr Sicherheit zu finden, als bloße Besitzschutznormen sie gewähren“ sei.378 Die Strafwürdigkeit des Angriffes ergebe sich daraus, führt Amelung fort, dass der Täter nicht nur symbolische, sondern physisch wirk365 Amelung, ZStW 98 (1986), S. 355, 403, die geschützten Interessen zusammenfassend. 366 Amelung, ZStW 98 (1986), S. 355, 404. 367 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 3. 368 Amelung, NJW 1986, 2075, 2077. 369 Stellv. Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 3 m. w. N. 370 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 3. 371 Amelung, ZStW 98 (1986), S. 355, 406. 372 Amelung, ZStW 98 (1986), S. 355, 406. 373 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6; MüKo-Ostendorf, § 123 Rn. 23. 374 Statt vieler Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. 375 So Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. 376 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. Einschr.: Olizeg, Hausfriedensbruch, S. 171. 377 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. 378 Amelung, ZStW 98 (1986), S. 355, 406.
250
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
same Schranken eines Territoriums missachte. Amelungs Ansicht wird durch die oben dargestellten Erkenntnisse aus der sozialpsychologischen Forschung, namentlich jenen zur Territorialität unterstützt.379 Man könnte auch sagen, durch die Überwindung physischer Barrieren ohne den Willen des Berechtigten, zeige der Täter erhöhte rechtsfeindliche Energie. Er missachtet nicht nur den sozialen Zuweisungsgehalt, sondern setzt sich über ihm entgegengebrachte Hindernisse physisch und psychisch hinweg. Darin offenbart sich seine erhöhte Gefährlichkeit, die (spezialpräventiver) Strafgrund ist. Beachtlich ist dabei, dass im Rahmen des § 123 auf eine Dokumentation durch den Hausfriedenswalter nicht abgestellt wird. Sie mag sich in der Bewehrung finden, muss dies jedoch nicht. Gerade rein symbolische Dokumentationen sollen nicht reichen, rein physische, etwa nur Tieren entgegengesetzte, aber ebenso wenig.380 Die Befriedung muss zumindest auch gegen menschliches Eindringen gerichtet sein. Ein niedriges physisches Schutzniveau, wie es etwa Absperrbänder vermitteln, reicht aus.381 (3) Einsatzzweck der Sicherung Es ist bei § 123 Abs. 1 anerkannt, dass die Befriedung nicht alleine zum Ausschluss von Menschen vorgenommen worden sein muss.382 Bauliche Mittel, wie etwa Hausmauern und Dächer, verfolgen mannigfaltige Zwecke, wie Wind-, Temperatur-, Licht- und Regenschutz. In welchem Verhältnis der Schutz gegen potenzielle Eindringlinge steht, kann kaum empirisch oder normativ ermittelt werden. Nur in dem Fall, dass eine solche Zweckrichtung ausgeschlossen erscheint, wie bei einem Tiergatter, wird aufgrund mangelnder Zweckrichtung eine Barriere nicht als Sicherung im Sinne des § 123 Abs. 1 angenommen.383 Allerdings fordert die Norm auch keinen engen Zweckbezug ähnlich dem der Sicherung des § 202a, die vor Zugang zu schützen hat. (4) Handlungsalternative Eine Alternative zum befriedeten Besitztum besteht freilich. Die Umfriedung ist nicht zwingend für ein Gelände. Etwas anderes ergibt sich allerdings für jede Form von Gebäude: Häuser sollen stets befriedet sein und 379
Vgl. oben, S. 165 ff. und zur Territorialität, oben, S. 169. Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. und ausführlicher Kasuistik. 381 LK-Lilie, § 123 Rn. 17, vgl. auch die Kasuistik in Rn. 18. 382 LK-Lilie, § 123 Rn. 17. 383 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6. 380
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
251
damit vom Schutz der Norm umfasst.384 Offene Gebäudeteile, wie Einkaufspassagen, sind hingegen nicht erfasst.385 Selbst leerstehende Gebäude genießen den Schutz des § 123 Abs. 1.386 Innerhalb des Gebäudes besteht also stets Hausfrieden und Hausrecht, ohne dass der Hausrechtsinhaber alternativ dokumentieren könne, dass die baulichen Hindernisse dies nicht manifestieren sollten. Es verbleibt ihm freilich, auf den Rechtsschutz zu verzichten, indem er keinen Strafantrag stellt, § 123 Abs. 2, – was aber am Tatbestand nichts ändert. (5) Spezifität Eine Spezifität, wie sie teils bei § 202a gefordert wird, lässt sich bei § 123 nicht erblicken. Die Sicherung muss – so die Befriedung überhaupt als Sicherung verstanden werden kann – nicht am Hausfrieden haften. Dies wird bei den befriedeten Besitztümern deutlich. Was formal umfriedet ist, fällt schlicht unter § 123 Abs. 1. Dies können unter Umständen riesige, in sich völlig heterogene Grundstücke sein. (6) Zusammenfassung Zusammenfassend lässt sich urteilen, dass der Hausfriedensbruchtatbestand ein dem § 202a StGB durchaus verwandtes und dieses – nicht nur im Bereich der Geheimhaltung – überschneidendes Schutzgut hat. Der Hausfriedensbruchtatbestand schützt mehr als das Rechtsgut, das sich auch in § 202a findet, er enthält aber als Teilrechtsgut ein dem des § 202a eng verwandtes Rechtsgut. Durch Schaffung eines Territoriums steuert dessen Herr den Informationsfluss. Die verschiedenen Funktionen wurden von Amelung nachgewiesen387 und hier durch die obigen sozialpsychologischen Untersuchungen untermauert.388 Bei § 202a liegt der Zweck, den Informationsfluss zu steuern, auf der Hand. Es findet sich hier eine beträchtliche Gemeinsamkeit. Es wird daher bei § 202a auch vom elektronischen Hausfriedensbruch gesprochen.389 384 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. Zum historisch gewachsenen Verhältnis des befriedeten Besitztums zum Hausfrieden, vgl. Amelung, NJW 1986, 2075. 385 A. M. OLG Oldenburg, JZ 1986, 246 = JR 1986, 79 – kritisch Bloy JR 1986, 80; dagegen: Amelung, JZ 1986, 247; Arzt/Weber, Strafrecht BT, § 8 Rn. 8; Behm, GA 1986, 547 ff.; MüKo-Ostendorf, § 123 Rn. 23. 386 Ausschlaggebend bei Hausbesetzungen, siehe zum Meinungsstand ausf. und kritisch MüKo-Ostendorf, § 123 Rn. 23 und ebenso LK-Lilie § 123 Rn. 19. 387 Amelung, ZStW 98 (1986), S. 355, 365 ff. 388 s. oben, S. 165.
252
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Der Hausfriedensbruchtatbestand umfasst also einen ähnlichen Bereich wie § 202a, geht dabei aber weit darüber hinaus. Das Merkmal zur Unterscheidung zwischen strafrechtlich geschütztem und nur zivilrechtlich geschütztem Bereich ist allerdings fast identisch: Ein physisch abgesicherter und damit formal abgegrenzter Bereich dient als (virtueller) Raum, der vor verschiedenen Einflüssen von außen und Informationsabflüssen nach außen geschützt ist. Dieses Unterscheidungsmerkmal, die physische Grenze, wird bei § 123 Abs. 1 allenfalls am Rande sekundierend auf die Erwägung gestützt, der Inhaber zeige durch Grenzziehung sein besonderes Interesse, das sonst nicht anzunehmen sei (sei es, dass es nicht vorhanden ist oder nur unerkannt bliebe). Vielmehr stützt sich die Ausformung des § 123 Abs. 1 auf verschiedene Begründungen. Die Begründung, die Überwindung eines physischen und psychischen Hindernisses zeige die erhöhte Bereitschaft und Fähigkeit des Täters, diese Hindernisse zu missachten und dadurch zugleich die erhöhte Gefährlichkeit des Täters, was für besondere Strafwürdigkeit spreche, passt am ehesten auf die verschiedenen Ausformungen des § 123 Abs. 1. Sie berücksichtigt die Verkehrsanschauung und Sozialnormen am trefflichsten und begründet die besondere Strafwürdigkeit objektiv nachvollziehbar mit spezialpräventiven Argumenten. Der Vergleich der Befriedung und der Zugangssicherung des § 202a zeigt eine faktisch enge Verwandtschaft. Sie sind im Hinblick auf ihren (fehlenden) spezifischen Aussagecharakter eines besonderen Interesses am einzelnen gesicherten Objekt ähnlich. Dagegen grenzen sie einen allgemeinen Bereich ab, bei dem nicht gesondert jedes Mal die Grenzlinie neu gezogen wird und ebensowenig jedesmal ein Schutzobjekt gezielt bei bestehender plausibler Handlungsalternative in den Schutzbereich eingebracht wird. Vielmehr zieht der Bereichsherr einmal eine Grenze um seinen Bereich und betrachtet alles innerhalb dieser Grenze als geschützt. Die Sicherung grenzt nach außen ab und erfasst alles Innenliegende. Mit anderen Worten strahlt sie sozusagen auf alles Eingebrachte im Wortsinne umfassend aus. Sie verfolgt in beiden Fällen etliche andere Zwecke als den Schutz der Geheimsphäre. Ihn kann sie zusätzlich verfolgen – dies muss aber nicht der Fall sein. Weiter besteht ein berechtigtes Interesse nicht nur am Schutz der Summe der Schutzgüter, sondern auch am Schutz des Bereiches als solchem, in dem sich kein anderer aufhalten und dort „herumschnüffeln“ soll. Trotz dieser tatsächlichen Ähnlichkeit der Umgrenzung ist die Begründung für ihr Erfordernis sehr unterschiedlich. Insbesondere stützt sich die herrschende Meinung bei § 202a nahezu singulär auf die bekannte Erwägung, dass die Sicherung das besondere Geheimhaltungsinteresse dokumentiere, deren Entsprechung bei § 123 allenfalls nebenbei angeführt wird. 389
Siehe für Nachweise und zur aktuellen Entwicklung Fn. 311, S. 238.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
253
c) Sicherungen der § 243 Abs. 1 S. 2 Nr. 1 und 2 StGB (1) Wirkung des Merkmals, Regelbeispieltechnik Im Unterschied zu den Tatbeständen der §§ 202 ff. und § 123 ist § 243 eine Strafzumessungsregel. Der besonders schwere Fall des Diebstahls bleibt also tatbestandlich ein einfacher Diebstahl. Es findet jedoch im Regelfall eine Strafrahmenverschiebung nach oben statt. Die Voraussetzungen, unter denen es zu einer solchen Strafrahmenerhöhung kommt, sind daher nicht Tatbestandsmerkmale, sondern nur Erschwernisgründe, die als Regelbeispiele gefasst werden.390 Letzteren ist immanent, dass von ihnen abgewichen werden soll, so der Einzelfall eine andere Bewertung fordert.391 Davon wird bei Geringwertigkeit des Diebstahlobjekts zwingend ausgegangen, vgl. § 243 Abs. 2.392 Ein Tatbestandsmerkmal hat eine weitaus höhere Trennschärfe aufzuweisen als Regelbeispiele, die zwar auch (erhöhtes) Unrecht vertypen, dies aber als in der Regel gegeben nur indizieren und mit keiner zwingenden Rechtsfolge verbunden sind.393
(2) Begründung des Regelbeispiels Als Sicherungen kommen bei § 243 insb. der umschlossene Raum nach § 243 Abs. 1 S. 2 Nr. 1 sowie das verschlossene Behältnis oder die andere Schutzvorrichtung nach § 243 Abs. 1 S. 2 Nr. 2 in Betracht. (In der Folge wird in diesem Abschnitt zur besseren Lesbarkeit verkürzend von Nr. 1 und 2 gesprochen.) Soweit Begründungen für die Regelbeispiele vorgebracht werden, findet sich in ihnen keine wirklich einheitliche Linie. Es können hier nur die wesentlichen Begründungsmodi genannt werden. Es lohnt vor allem der Blick auf die eng verwandten Nr. 1 und 2. Bei diesen steht die Sicherung im Vordergrund und unterscheidet sie dadurch zugleich von anderen Regelbeispielen.394 Gerade bei diesen werden die verschiedensten Be390 BVerfGE 45, 363; BGHSt 23, 256; 33, 373; BGH NJW 1970, 2120; Wessels in FS Maurach, S. 29; SK-Hoyer § 243 Rn. 1; a. A. NK-Kindhäuser § 243 Rn. 3 f.; Maiwald in FS Gallas, S. 137, Calliess, NJW 1998, 929, 933. 391 Vgl. insgesamt aus jüngerer Zeit: Eisele, JA, 2006, 309 ff. 392 Zur Natur des § 243 Abs. 2 und einer kriminalpolitischen Kritik (S. 399 ff.), die schon 1977 – zu Recht – moniert, dass die Einstellungen in der Bevölkerung zu beachten seien, über die kriminologisch leider wenig bekannt sei, s. Zipf in FS Dreher, S. 389 ff. 393 SK-Hoyer, § 243 Rn. 1 ff. Zur „Gegenindikation“ des § 243 Abs. 2 s. Sch/ Sch-Eser § 243 Rn. 49, grundlegen (und kritisch zur von Eser schon in der 18. Auflage des Schönke/Schröder vertretenen Annahme einer „Gegenindikation“) Zipf in FS Dreher, S. 389, 390.
254
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
gründungen, teils von derselben Stimme, für die jeweils erhöhte Strafbewehrung ausgesprochen. Eine Ausnahme bildet hier Weber, der eine ausführliche Begründung mit treffenden weiterführenden wie kritischen Bemerkungen zur Kriminalpolitik und zur gesellschaftlichen Veränderung durch Favorisierung gesicherter Güter darlegt.395 Während auf die treffenden kriminalpolitischen Argumente nicht weiter eingegangen werden kann, so ist seine Formel der Missachtung der sozialen Übereinkunft, bestimmte Schranken zu respektieren, selbst wenn die tatsächliche Barriere nahezu nur Symbolcharakter396 habe, schon wegen ihres übergreifenden Ansatzes beachtlich. Wer einbreche (im Sinne der Nr. 1) oder Sicherungen in Gestalt verschlossener Behältnisse überwinde (Nr. 2), der setze sich nicht nur über die im Rechtsgut Eigentum steckende abstrakte Zuordnung hinweg, sondern auch über die in Sicherungen etc. ausgedrückten besonderen Zuordnungen. Solche übergreifenden Gedanken finden sich ansonsten selten, die Begründungslandschaft ist uneinheitlich. Für die Nr. 1 stellt Schmitz bspw. fest, dass der besondere Unwertcharakter sich aus der gesteigerten Friedensstörung erkläre,397 während Kindhäuser dagegen das erhöhte Unrecht bzgl. der Nr. 1 „in der Überwin394 Nach Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 33 III, Rn. 73, S. 371, die feststellen, dass bei Nr. 1 und 2 die Sicherung der Sachen, bei Nr. 4 und 5 der Sozialwert der gestohlenen Sachen, bei Nr. 7 deren Gefährlichkeit, bei Nr. 3 die kriminelle Neigung des Täters und bei Nr. 6 die Bedrängungssituation des Opfers oder der Gemeinschaft im Vordergrund steht. 395 Arzt/Weber, Strafrecht BT, § 14 Rn. 6–8, S. 353 f. So bemerkt Weber treffend, dass die kriminalpolitische „Bevorzugung“ von geschützten Gütern durch ihre höhere strafrechtliche Schutzbewehrung zu einem „Wettrüsten“ und einem Verteilungskampf um das Opferrisiko führe. Es bildet sich eine Sicherheitsmentalität, die auf Barrieren mehr setzt als auf soziale Übereinkunft. Das hat zur Folge, dass soziale Übereinkünfte verwässern. Während zugestanden wird, dass das Kriminalitätsrisiko quantitativ verringert wird, ist festzuhalten, dass gesellschaftlich bedenkliche Verlagerungen in mehrfacher Hinsicht stattfinden. Es findet eine Verlagerung des Opferrisikos auf Opfer, die sich nicht schützen können, mithin auf die Schwächeren statt. Als Beispiel wird der Rückgang der Banküberfälle und die gleichzeitige Zunahme von Überfällen auf weniger gesicherte Tankstellen etc. genannt. Auch findet eine Verlagerung zu qualitativ gesteigerten Taten statt. Als Beispiel werden wiederum Banküberfälle genannt, die zwar seltener werden, dann aber mit höherer Brutalität und krimineller Energie durchgeführt werden (müssen), etwa verbunden mit Geiselnahmen. 396 Arzt/Weber, Strafrecht BT, § 14 Fn. 4, S. 353. Dabei verweist er darauf, dass eine rein symbolische Barriere nicht reichen könne. Eine papierene versteht er als eine solche und scheidet sie für § 243 Abs. 1 S. 2 Nr. 1 aus (er verzichtet dabei auf eine Erwähnung der Nr. 2, obwohl er diese hier gleichfalls behandelt). Bei § 202 reicht dagegen nach der Gesetzeskonzeption schon eine rein papierene Barriere: der verschlossene Briefumschlag. 397 MüKo-Schmitz, § 243 Rn. 9.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
255
dung [. . .] der Befriedung“ sieht398 und wiederum Ruß, der eine fein ziselierte Differenzierung vornimmt,399 gleich mehrere Gründe nebeneinander gelten lassen will: Die Verwirklichung der Nr. 1 verlange eine höhere Strafsanktion, weil die stärkere Befriedung besonderen Schutz verdiene (somit wie Schmitz)400, weil der Täter größere verbrecherische Energie aufwende (ähnlich Kindhäuser) und weil er deswegen für die Allgemeinheit gefährlicher sei.401 Die Rechtsprechung führt ebenso mehrere Gründe an: So betont das RG mehrfach, dass Strafschärfungsgrund der Nr. 2 a. F. (entspricht der heutigen Nr. 1) sei, dass der Besitzwille durch die Sicherung des Opfers betont werde. Für diese Betonung solle aber bereits die verkehrsübliche Sorgfalt reichen.402 Zugleich sieht es die „schwere besondere Geflissentlichkeit und Hartnäckigkeit des Diebes“ und daneben den „erhöhten Rechtsfrieden des Verwahrungsorts“ als gesetzgeberischen Grund für die Straferhöhung an.403 Der BGH zählt gar in ein und derselben Entscheidung etliche Gründe für die Schärfung der Nr. 2 a. F. auf, verknüpft diese und stellt sie ergänzend nebeneinander: Der Täter missachte den vom Gewahrsamsinhaber zum Ausdruck gebrachten Besitzwillen; den gesetzgeberischen Willen, die vom umschlossenen Raum erfassten Gegenstände in erhöhtem Maße als schutzwürdig anzusehen404 und den erhöhten Rechtsfrieden des Ortes. Er überwinde zudem die entgegenstehenden Hindernisse durch besondere Gewalt oder List und zeige damit eine stärkere verbrecherische Energie, die ihn gefährlicher und strafwürdiger erscheinen lasse.405 Später stützt er sich, ohne Nennung weiterer Gründe, auf den Hausfrieden, der verletzt werde.406 398
NK-Kindhäuser, § 243 Rn. 8. LK-Ruß, § 243 Rn. 5 m. w. N. 400 Unter Bezug auf BGHSt 15, 134; BayOBLG NJW 1973, 1205. 401 LK-Ruß, § 243 Rn. 5 m. w. N. Unter Berufung auf BGHSt 1, 158, 164 f.; RGSt 75, 43 ff.; 53, 262, 263. Ruß, a. a. O., führt bezüglich des Nachschlüsseldiebstahls fort, hier komme die aufgewendete List hinzu, welche die Verhinderung ebenso wie die spätere Aufdeckung erschwere. Bei demjenigen, der sich in dem Raum verborgen halte, wirke die Befriedung, die größere Gefährlichkeit und die aufgewendete List erschwerend. 402 RGSt 75, 43 ff. 403 RGSt 262, 263. 404 Als Begründung dafür, dass der Gesetzgeber den besonderen Schutz durch ein verschlossenes Verhältnis durch § 243 I 2 Nr. 2 besonders schützt, wird angeführt, dass er diesen Schutz als besonders schutzwürdig ansehe. Eine Äußerung mit höchst beschränktem Aussagegehalt. 405 BGHSt 1, 158, 164 f. 406 BGHSt 15, 134. In dieser Entscheidung ging es allerdings alleine darum, ob ein in die Hauswand eingelassener Automat unter den Schutzbereich der Nr. 2 a. F. falle. 399
256
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Eine ähnliche Begründungsvielfalt findet sich für die Nr. 2 n. F. So ergebe sich die erhöhte Strafdrohung aus der erhöhten Energie, die der Täter entfalte, sowie daraus, dass er Gegenstände stehle, denen der Eigentümer besondere Wertschätzung entgegenbringe.407 Kindhäuser argumentiert, „in der Überwindung einer vom Berechtigten vorgesehenen besonderen Sicherung, durch welche die Wertschätzung der Sache angezeigt wird“ liege der Grund der Straferhöhung.408 Ähnlich argumentiert Ruß, der als strafschärfend die höhere Rücksichtslosigkeit hervorhebt, die der Täter darin zeige, dass er sich über eine besondere Sicherung hinwegsetze, mit welcher der Eigentümer zu erkennen gebe, dass er auf die Erhaltung gerade dieser Sache Wert lege.409 Genuin viktimodogmatische Argumente finden sich dagegen weder zu Ziffer 1 noch zu Ziffer 2. Die Aufzählung könnte fortgesetzt werden. Es wurde aber schon jetzt gezeigt, dass mehrere, sehr verschiedene Begründungen vorgebracht werden. Bereits hierin liegt ein Unterschied zu § 202a und der von ihm geforderten Sicherung, für die die allgemeine Ansicht nur einen Grund sieht. (3) Einsatzzweck der Sicherung Zu Nr. 1: Auch hier gilt, dass es mannigfaltige Gründe gibt, Räume zu umschließen, wie Schutz vor Wind, Regen, Einblicken etc. Es wird in Nr. 1 nicht auf einen bestimmten Umschließungszweck abgestellt, sodass, im Gegensatz zu § 202a, die Abgrenzung keinen besonderen Zweck erfüllen muss. Es muss sich nicht einmal um einen Schutzzweck handeln, auch wenn dies regelmäßig bei Gebäuden der Fall sein dürfte. Raumumschließungen innerhalb eines Gebäudes dürften dagegen oft anderen Zwecken als Schutzzwecken geschuldet sein. Jedenfalls schützen sie oft nicht originär vor dem Betreten, was sich schon darin zeigt, dass in vielen Gebäuden die Innentüren nicht verschlossen werden. Es dürfte große Schwierigkeiten bereiten, die genauen Umschließungszwecke eines Raumes zu identifizieren und sie zu gewichten. Dieses Problem stellt sich bei Nr. 1 nicht, besondere Gründe für eine Umschließung werden nicht gefordert. Auch kann aus der Umschließung kein singuläres zugrundeliegendes Interesse vermutet werden. Die Behauptung, wer einen Raum umschließe, der dokumentiere ein erhöhtes Eigentumsinteresse an den eingebrachten Gegenständen, wäre schwer zu belegen. Es ist festzuhalten: Ein besonderes Sicherungsbedürfnis an der Gewahrsamswahrung zeigt sich bei Nr. 1 nicht unmissverständlich. Dennoch akzep407 408 409
MüKo-Schmitz, § 243 Rn. 31. NK-Kindhäuser, § 243 Rn. 20. LK-Ruß, § 243 Rn. 18 m. w. N.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
257
tiert die herrschende Meinung aus anderen Gründen (Wahrung des Friedens, erhöhter Energieaufwand auf Täterseite und (dadurch) erhöhte Gefährlichkeit) dieses Erschwerungsbeispiel. Dies zeigt, dass räumliche Abgrenzungen und Sicherungen als immerhin tatbestandsähnliches Merkmal Anerkennung finden, wenn aus ihnen auch nicht auf ein erhöhtes Sicherungsinteresse geschlossen werden kann. Zu Nr. 2: Die Schutzvorrichtung in Nr. 2 muss gerade gegen Wegnahme besonders sichern. Insofern besteht hier Gemeinsamkeit mit § 202a, bei dem auch ein besonderer Sicherungszweck gefordert wird: der gegen Zugang. Bei verschlossenen Schutzvorrichtungen und den allgemeinen anderen Schutzvorrichtungen hat sich hier eine umfangreiche Kasuistik herausgebildet, wie schon der Blick in die Kommentarliteratur zeigt.410 Dabei wird als ausreichend erachtet, dass der Schutzzweck neben anderen steht.411 Es wird im Einzelfall überprüft, ob tatsächlich eine Sicherung (auch) gegen Wegnahme vorliegt. Ist dies nicht der Fall, dann wird die Schutzvorrichtung ausgeschieden. Es dürfte aber bei den meisten Vorrichtungen erkennbar sein, ob sie ein Wegnahmehindernis darstellen sollen oder andere Schutzzwecke verfolgen. Ein Fahrradschloss kann etwa nur vor der Wegnahme schützen, nicht dagegen vor Sachbeschädigung. Dasselbe gilt für alle Arten von Ankettungen und Anschließungen. Ebenso gilt dies für die Wegfahrsperre bei Kraftfahrzeugen. In Fällen, in denen dies anders ist, in denen jedenfalls nicht klar als Nebenzweck eine Wegnahmevorrichtung anzunehmen ist, wird von der Anwendung der Nr. 2 abgesehen. Dies zeigt sich etwa bei den sogenannten Sicherungsetiketten, die nach mittlerweile verbreiteter Ansicht kein Schutz gegen Wegnahme sind.412 Hier bleibt allenfalls die Bejahung eines unbenannten schweren Falles. Vergleicht man die untersuchten Sicherungen, so zeigt sich, dass die Passwortsicherung aufgrund ihrer Breitenwirkung und der Schwierigkeit, von außen die Zwecke ihrer Implementierung zu erkennen, nah verwandt ist mit der Umschließung eines Raumes, dagegen weniger mit der Wegnahmesicherung eines Gegenstandes. Dennoch fordert und behauptet die herrschende Meinung bei der Passwortsicherung eine Dokumentation eines besonderen Interesses während sie darauf bei der verwandten Raumumschließung verzichtet. Dagegen stellt die herrschende Meinung bei Nr. 1 und 2 keine unerfüllten Forderungen oder Behauptungen auf. Bei Nr. 1 fordert sie schon keine besondere Dokumentation. Die Strafschärfung wegen Vorhandenseins einer Sicherung wird anders begründet. Bei Nr. 2 ist die Forderung 410
Exemplarisch seien genannt: NK-Kindhäuser, § 243 Rn. 21–24; Fischer, § 243 Rn. 16. 411 Stellv.: NK-Kindhäuser, § 243 Rn. 24. 412 Zum Meinungsstand Fischer, § 243 Rn. 15.
258
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
nach einer Erkennbarkeit weitaus zurückhaltender formuliert und steht auch nicht als singuläre Stütze der Schärfung im Raum. Zugleich ist diese Forderung faktisch leichter erfüllbar und regelmäßig erfüllt, da sich die Zwecke der Sicherungen bei Nr. 2 leichter und klarer sowie in der entsprechenden Form zeigen. (4) Handlungsalternative Zu Nr. 1: Es besteht grundsätzlich die Alternative, Sachen in einen umschlossenen Raum einzubringen oder nicht. Die meisten Besitztümer werden, wenn ihre Größe dies erlaubt, allerdings regelmäßig in umschlossene Gebäude eingebracht, schon um sie vor Witterungseinflüssen zu schützen. Es kann damit nicht davon ausgegangen werden, dass sie in erster Linie zum Schutz gegen Wegnahme dort eingebracht werden. Die Zwecke sind nicht zwangsläufig korrelativ miteinander verbunden. Die gelebten Handlungsalternativen sind auf oben genannte Ausnahmen nahezu beschränkt. Auch aus diesem Grund kann dem Einbringen in umschlossene Räume nicht entnommen werden, dass es gegen drohende Wegnahme motiviert sei. Eine Dokumentation, dass die im umschlossenen Raum befindlichen Gegenstände dem Besitzer besonders wertvoll seien, ist daher nicht zu erblicken. Dies wird auch kaum vertreten. Dennoch wird in dieser Hinsicht an dem Regelbeispiel kritiklos festgehalten. Es ist also anerkannt, dass eine Unrechtserhöhung auch dann angenommen wird, wenn das Opfer nicht gesondert dokumentiert, dass es gerade an diesen Gegenständen ein besonderes Interesse habe. Zu Nr. 2: Es besteht hier regelmäßig eine Handlungsalternative zum Einbringen in ein verschlossenes Behältnis. Zunächst können Gegenstände grundsätzlich außerhalb verschlossener Behältnisse untergebracht werden. Dies entspricht auch dem sozialen Usus. Nur teilweise werden Gegenstände außerhalb verschlossener Behältnisse gesondert gesichert. Besteht ausnahmsweise keine Alternative zur Einbringung in ein verschließbares Behältnis, so kann meist das Behältnis offen oder zumindest unverschlossen gelassen werden. Dies geschieht in der Praxis oft, wenn etwa in verschlossenen Schranktüren der Schlüssel stecken gelassen wird oder die Tür schon nicht ver-, sondern nur geschlossen oder nicht einmal das wird. Ein wichtiger Unterschied zum elektronischen Schutz ist zudem, dass in aller Regel413 die Sicherung nicht von sich aus greift. Zugleich ist der aktiv Sichernde regelmäßig der Gewahrsamsinhaber des zu sichernden Gegenstandes. Dies ist bei der Passwortabfrage, die automatisch greift und teilweise von anderen nahezu aufgezwungen wird, anders, wie gezeigt wurde. Weil es also plausi413
Dies ist bei der Wegfahrsperre in Kraftfahrzeugen anders.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
259
ble und übliche Alternativen gibt, kann der Tatsache, dass doch verschlossen wurde, die besondere Aussage beigemessen werden, der Verschließende habe den Inhalt besonders schützen wollen. Auch in diesem Vergleich zeigt sich, dass die exemplarisch untersuchte Sicherung des § 202a im Hinblick auf eine sozial übliche Handlungsalternative mehr Parallelen zu einer allgmeinen Raumumschließung als zu einer konkreten Sicherung einzelner Gegenstände hat.
(5) Spezifität Bezüglich der Spezifität ist zwischen dem umschlossenen Raum (§ 243 Abs. 1 S. 2 Nr. 1) und dem verschlossenen Behältnis und den anderen Sicherungen gegen Wegnahme (§ 243 Abs. 1 S. 2 Nr. 2) zu unterscheiden. Es kann hier insoweit auf obige Ausführungen zu § 123 und § 202 verwiesen werden, als zum umschlossenen Raum grundsätzlich das zum befriedeten Besitztum Gesagte gilt, während es sich mit dem verschlossenen Behältnis und den anderen Sicherungen gegen Wegnahme wie mit dem verschlossenen Behältnis des § 202 verhält: Der umschlossene Raum wirkt unspezifisch auf die darin befindlichen Gegenstände. Dies spiegelt sich in der Begründung der Nr. 1 wider. Auf eine Dokumentation wird nicht abgestellt. Verschlossene Behältnisse und andere Sicherungen gegen Wegnahme wirken dagegen spezifisch am einzelnen Schutzobjekt. Es wird gesondert von anderen Objekten (und damit gezielt) in die Schutzwirkung eingebracht.
(6) Zwischenzusammenfassung Zunächst ist beachtlich, dass bei § 202a StGB der umschlossene Raum und das verschlossene Behältnis, nicht aber das verschlossene Haus gemeinhin als Sicherung im Normsinne im Wege der Auslegung anerkannt wird.414 Die Abgrenzung wird anders als bei § 243 Abs. 1 S. 2 vorgenommen, der gesetzlich das umschlossene Gebäude dem (anderen) umschlossenen Raum wörtlich gleichstellt und daneben das verschlossene Behältnis kodifiziert. Es wurde gezeigt, dass die Abgrenzungstechnik bei § 202a, jedenfalls die der Passwortabfrage, mit dem Regelbeispielmerkmal der Nr. 1 des § 243 Abs. 1 S. 2 eng verwandt ist, was Umsetzung, Zweckvielfalt, Handlungsalternativen und Spezifität betrifft. Keine große Nähe kann dagegen zur Nr. 2 des Satzes gesehen werden. 414 Vgl. stellv. Hilgendorf, JuS 1996, Fall 5, S. 702 f einerseits und Fall 6, S. 703 andererseits; SK-Hoyer, § 202a Rn. 9; LK-Schünemann, § 202a Rn. 16.
260
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Aus diesem Grunde spricht viel dafür, dass die Begründungen der Nr. 1 und des § 202a verwandt sind, während dies bezüglich der Nr. 2 und § 202a zurückhaltend zu beurteilen ist. Hier zeigt sich, dass die Konzeption des § 243 im Hinblick auf die straferhöhenden Momente der besonderen Sicherung des Diebesguts nicht ausschließlich auf die Behauptung gestützt wird, die Sicherung zeige das besondere Interesse des Inhabers an diesem Gegenstand. Die hier vor allem interessierende Variante des umschlossenen Raumes wird nicht einmal am Rande aus dieser Behauptung hergeleitet. Das Regelbeispiel Nr. 1 wird allenfalls ergänzend mit der Behauptung begründet, der Einbringende habe sein besonderes Sicherungsbedürfnis dokumentiert. Vielmehr liege der Straferhöhungsgrund darin, dass der Täter eine psychisch und physisch gesetzte Grenze überschreite und diese dadurch missachte. Dies sei friedensstörend und zeige seine erhöhte Befähigung und Bereitschaft, diese Grenzen zu missachten, was wiederum für seine besondere (erhöhte) Gefährlichkeit spreche. Es wird zu untersuchen sein, ob einer oder mehrere der angebotenen Begründungsmodi auf § 202a die bisherige Begründung ergänzend oder ersetzend übertragbar sind. Es findet sich dagegen in einem Vergleich mit diesen Regelbeispielen keine Stütze für die bei § 202a angeführte Dokumentationsthese in § 243 Abs. 1 S. 2 Nr. 1 und 2. d) Zusammenfassung und Ergebnis Es wurde gezeigt, dass das StGB verschiedene Sicherungen kennt, bei deren Überschreitung durch den Täter eine (erhöhte oder erstmalige) Strafdrohung folgt. Bei einzelnen wird als Begründung wie bei § 202a genannt, dass sich in der Sicherung das besondere Interesse des Sichernden zeige. Dies sei namentlich bei § 202 und § 243 Abs. 1 S. 2 Nr. 2 der Fall. Für diese Fälle ist dem zuzustimmen: Beim eigenhändigen, verzichtbaren Verschließen eines unmittelbar das Schriftstück umgebenden Briefumschlages zeigt der Verschließende, dass ihm die Geheimhaltung des Inhalts wichtig ist. Dies kann ebenfalls beim eigenhändigen und verzichtbaren Einbringen in ein verschlossenes Behältnis wie in §§ 202 Abs. 2 und 243 Abs. 1 S. 2 Nr. 2 angenommen werden. Eine klare Grenzziehung ist auch hier schwierig. Es ist von außen allerdings leichter als bei § 202a erkennbar, wann die geforderte Zweckrichtung nicht angenommen werden kann. Diese Fälle werden, wie kasuistische Darstellungen zeigen, denn auch konsequent von Literatur und Rechtsprechung ausgeschieden.415 Da es kaum andere plausible Gründe für das Verschließen eines Schriftstückes als den der Geheimhaltung gibt, lässt sich hier auf einen Geheimhaltungswunsch rückschließen. Dieser Rückschluss ist bei § 202a so nicht möglich, weil es dafür an der 415
Vgl. etwa Fischer, § 202 Rn. 5 ff.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
261
Voraussetzung der fehlenden Alternativgründe für das Vorliegen eines Verschlusses fehlt. Etwas anderes ergibt sich bei § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1. Der Hausrechtsinhaber dokumentiert hier nicht (erst) durch Befriedung seines Grundstücks oder Einbringen von Gegenständen in umschlossene Räume, dass er sich besonders schutzbedürftig wähnt. Dies mag Nebenerfolg und -zweck sein. Der Grund für die Strafbegründung oder -erhöhung, und dies wird von der Literatur wie Rechtsprechung nahezu einhellig vorgetragen, ist die gezeigte Missachtung gesicherter fremder Bereiche durch den Täter. Sein Handeln zeigt, dass er in Bereiche einzudringen fähig und gewillt ist, die ihm berechtigterweise vorenthalten werden und die physisch definiert und wirksam abgegrenzt sind. Diese Abgrenzung muss nicht unbedingt unmissverständlich zum Ausdruck bringen, dass der Täter fern bleiben solle. Es genügt, wenn die eigenen Rechtsgüter formal umgrenzt sind und dadurch besondere Qualifizierung erfahren. Diese genannten Normen können sich auf eine Dokumentation eines besonderen Willens nicht stützen. Dies tut ihrer formalen Fassung und ihrem Bezug auf eine Sicherung im weitesten Sinne keinen Abbruch. Diese Konzeption ist auf eine Dokumentationstheorie nicht angewiesen. Sie findet ebenso gute, wenn nicht bessere Begründungen. 5. Vergleich mit § 244 Abs. 1 Nr. 3 – Wohnungseinbruchsdiebstahl § 244 Abs. 1 Nr. 3 erfasst den sog. Wohnungeinbruchsdiebstahl. Eine besondere Sicherung spielt bei ihm weder tatbestandlich noch im Rahmen der Regelbeispielstechnik eine Rolle. Dennoch lohnt sich ein vergleichender Blick auf diesen Tatbestand. Das 6. StrRG hat das vormals in § 243 Abs. I S. 2 Nr. 1 als Regelbeispiel gefasste Geschehen nun als Qualifikation normiert. Diese Hochstufung hat die Konsequenz, dass die Mindeststrafe gegenüber anderen Einbruchsdiebstählen doppelt so hoch ist und eine Geldstrafe nicht in Betracht kommt. Sie wurde mit dem besonderen Eingriff in die Privatsphäre des Opfers, der mit der Tat einhergeht, begründet416 und wurde von der Literatur allgemein zumindest anerkannt, wenn nicht gar begrüßt.417 Teilweise wird umfassend auf den Wohnungsbegriff des § 123 416
BT-Drs. 13/8557, S. 43. Bspw. MüKo-Schmitz, § 244 Rn. 55 f.; SK-Hoyer, § 244 Rn. 37; LPK-Kindhäuser, § 244 Rn. 40 und NK-Kindhäuser, § 244 Rn. 1 der gar einen Eingriff in die Intimsphäre erblicken will; Lackner/Kühl, § 244 Rn. 11; Wessels/Hillenkamp, Strafrecht BT/I, Rn. 267; Hörnle, Jura, 1998, 171; Kreß, NJW 1998, 640; Kudlich, JuS 1998, 472; Sander/Hohmann, NStZ 1998, 276; Schmidt, JuS 2001, 1231; Hellmich, NStZ 2001, 511, 515, um generalpräventive Überlegungen ergänzend. Kritisch dagegen Dencker et al.-Dencker, Einf. 6 StrRG, S. 6 ff. 417
262
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
verwiesen.418 Die mittlerweile wohl h. M. will aber wegen der stark erhöhten Strafdrohung einerseits und des benannten Normzweckes andererseits eng auf die Bereiche, die den Mittelpunkt des privaten Lebens bilden, eingrenzen.419 Eine besondere Sicherung der Wohnung ist nicht erforderlich, wenngleich davon ausgegangen werden kann, dass Wohnungen typischerweise Zugangssicherungen erfahren. Dennoch scheint die Norm durch den Verzicht auf eine technische Sicherung auf den ersten Blick zunächst aus dem Rahmen zu fallen. Ein stimmiges Bild ergibt sich jedoch dann, wenn man beide Tatbestandserfordernisse, das der Wohnung und das der besonderen Sicherung, als zum gleichen Ziel führend, versteht. Beide Merkmale grenzen im Ergebnis durch für jedermann erkennbare Merkmale auf die Privatsphäre ein und erheben sie zugleich auf eine besonders geschützte Ebene. Der Frage, wieso der Gesetzgeber für dasselbe Ziel verschiedene Mechanismen wählt, kann folgendes entgegnet werden: Mit dem Wohnungsbegriff, auch wenn er einzuschränken sein soll, steht dem Gesetzgeber ein jedenfalls im Ausgangspunkt passender Begriff zur Verfügung. Er repräsentiert aufs Trefflichste, wo anlässlich der Begehung von Diebstahlsdelikten die Privatsphäre beginnt und endet. Ein vergleichbar gefasster Begriff steht ihm in Bezug auf elektronische Daten, bei denen es auf ihren locus eben gerade nicht ankommen kann, nicht zur Verfügung. Ob die Daten innerhalb oder außerhalb der Wohnung lagern, kann keine Rolle spielen. Daten bei der Bank oder dem Arbeitgeber dürften inhaltlich ähnlich privat sein, wie die im eigenen Haus. Da der Gesetzgeber aus guten Gründen, siehe dazu eingangs der Arbeit, keine inhaltliche Einschränkung wählen wollte, bot sich nur noch eine formale, wie die des Erfordernisses der besonderen Sicherung an. Das Ziel der Eingrenzung auf lediglich die Inhalte, die dem persönlichen Privatbereich zuzuordnen sind, ist genauer gelungen, als sie ein alternatives oder zusätzliches Sicherungserfordernis vermocht hätte. Die Norm passt daher im Ergebnis durchaus in die oben untersuchte Kette. Sie bedient sich lediglich eines anderen Mechanismus zur Eingrenzung. Festzuhalten ist damit, dass auch diese Norm aus jüngerer Zeit zeigt, dass sich der Gesetzgeber mehr und mehr des besonderen Ranges und der 418 Sch/Sch-Eser, § 244 Rn. 30; als Ausgangsüberlegung auch Fischer, § 244 Rn. 24, die aber sogleich in 24a eingeschränkt wird. Zum Verhältnis von §§ 123, 243, 303, 244 vgl. eingehend Rengier, JuS 2002, 850 ff. 419 Stellvertretend OLG Schleswig, Urt. v. 10.4.2000 – Az. 2 Ss 366/99 = NStZ 2000, 479; Fischer, § 244 Rn. 24a; Hellmich, NStZ 2001, 511, 515; Wessels/Hillenkamp, Strafrecht BT/I, Rn. 267; Lackner/Kühl, § 244 Rn. 11; NK-Kindhäuser, § 244 Rn. 1, 52 m. w. N.; MüKo-Schmitz, § 244 Rn. 56; ähnlich auch Behm, GA 2002, 153, 162, der nicht den Wohnungsbegriff gegenüber § 123 einschränken, sondern ihn allgemein eng auslegen will.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
263
Schutzbedürftigkeit der Privatsphäre gewahr wird. Um diese von anderen Sphären abzugrenzen, muss sie besonders definiert und herausgehoben sein. Diese Definition und Heraushebung muss nicht in Form einer besonderen Sicherung geschehen. Sie kann sich auch aus ganz allgemeiner, sozialüblicher Erkennbarkeit und Anerkennung ergeben – so wie es etwa bei der Wohnung der Fall ist. Da das Ziel der Eingrenzung in § 244 Abs. 1 Nr. 3 auf andere als die hier untersuchte Weise der besonderen Sicherung erreicht wird, verspricht die Norm in Hinblick auf die Untersuchung der spezifischen Eingrenzungstechnik der besonderen Sicherung wenig Erkenntnisgewinn. Auf sie soll daher in der Folge allenfalls am Rande eingegangen werden. 6. Absenz des Sicherungserfordernisses des § 202b StGB Der mit dem 41. StrÄndG im Jahr 2007 neu eingeführte § 202b StGB erfasst Konstellationen, die vorher von § 202a erfasst waren. § 202b erfordert aber keine Sicherung der tatgegenständlichen Daten. Diese Ungleichbehandlung von Daten im Übertragungsvorgang, jedenfalls bei einer nichtöffentlichen Übertragung, mit anderen Daten, also vor allem gespeicherten, ist eine nähere Betrachtung wert. Es stellt sich die Frage, wieso in § 202b auf eine Sicherung verzichtet wird. Wenn sich der gesetzliche Schutz nach der Dokumentationstheorie darauf gründet, dass der Datenverfügungsberechtigte sein besonderes Schutzinteresse durch die Sicherung ausdrückt, so ist nur dann kein Bruch durch die Fassung des § 202b zu sehen, wenn entweder die erfassten Fälle nicht vergleichbar sind, wenn die Dokumentation des besonderen Interesses anders als durch eine Sicherung bei übertragenen Daten ausgedrückt wird oder darauf verzichtet werden kann. Die von § 202a und § 202b geregelten Fälle erscheinen als durchaus vergleichbar. Der Gegenstand der Daten ist derselbe, lediglich ihr Aggregatszustand ist ein anderer. Es lässt sich auch schwerlich vertreten, beim Versenden von Daten sei das besondere Schutzinteresse an diesen offenbar, so dass es keiner weiteren Dokumentation durch besondere Sicherung bedürfe.420 Die Gegenansicht421 bleibt nicht nur eine Erklärung schuldig, wieso dann der postalische Versand einer (unverschlüsselten) CD nicht von § 202b erfasst sei.422 Es ließe sich vielmehr mindestens ebenso gut das Gegenteil vertreten; durch die Versendung gebe der Datenverfügungsberech420 So aber wohl Fischer, § 202 Rn. 2. Das Versenden von Datenträgern per Post sei aber nicht erfasst, s. ders. a. a. O. Rn. 3. 421 Fischer, § 202 Rn. 2 legt dieses Verständnis nahe. 422 Das Versenden von Datenträgern per Post sei aber nicht erfasst, s. ders. a. a. O. Fischer, § 202 Rn. 3. Im Ergebnis ebenso Ernst, NJW 2007, 2661 f.
264
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
tigte die Daten regelmäßig aus den Händen und seinem Machtbereich. Dadurch erhöhe sich typischerweise das Risiko des Zugriffs durch Dritte, was der Versender auch regelmäßig wisse. Der Versender zeige damit durch sein Verhalten, dass er mit einem niedrigeren Schutzniveau als bei gespeicherten Daten einverstanden sei. Dann wäre aber ein niedrigeres Schutzinteresse dokumentiert. Der Gesetzgeber müsste, wenn er auf Dokumentation eines gesteigerten Interesses Wert legte, dem Versendenden den Schutz geradezu verweigern. Es lässt sich auch nicht argumentieren, beim Datenversand stünden keine Sicherungsmechanismen zur Verfügung. Fordert man eine besondere Dokumentation, so fordert man Unmögliches. Daher habe der Gesetzgeber, um nicht Daten beim Versand stets schutzlos zu stellen, auf das Erfordernis der besonderen Sicherung verzichtet. Es gibt durchaus Schutztechniken auch für den Versand. Im Vordergrund steht hier die Verschlüsselung.423 Die Techniken sind allgemein zugänglich.424 Damit ist zu schließen, dass die bloße Existenz des § 202b, der in einer dem § 202a vergleichbaren und vormals allein von ihm erfassten Konstellation auf die besondere Sicherung verzichtet, der Theorie widerspricht, die besondere Sicherung sei deshalb erforderlich, weil sie erstens das besondere Geheimhaltungsinteresse des Berechtigten zeige und es zweitens genau darauf ankomme.
III. Zwischenschluss und Fortgang der Untersuchung Sozialpsychologische Erkenntnisse vermögen die These nicht zu stützen, dass der Mensch seine Privatsphäre und sein damit eng verwandtes Interesse an Geheimnisschutz und Diskretion stets sichere, damit diese anerkannt würden, wie im ersten Untersuchungsabschnitt dargelegt wurde. Die genannten Interessen werden von der sozialen Umwelt auch ohne technische Sicherung in aller Regel erkannt und respektiert. Wo ein Interesse nicht ohnehin erkennbar ist, reicht eine rein symbolische Dokumentation völlig aus. Zwar kann anders herum betrachtet technischem Schutz, etwa vor Einblicken, ein erhöhtes Diskretionsbedürfnis entnommen werden. Eine technische Sicherung ist zur Verdeutlichung von Interessen damit möglich. Aber sie ist nicht nötig. Im Gegenteil findet technischer Schutz erst für den antizipierten Fall der Missachtung der sozialen Zuordnung Anwendung. Er 423 Weiter lässt sich an abgeschirmte Kabel etc. denken. Dies setzt aber voraus, dass die Kabel sich im Zugriffsbereich des Versendenden befinden. 424 So finden sich kostenlose Verschlüsselungswerkzeuge im Internet zum herunterladen. Die Daten können vorab verschlüsselt und dann versandt werden. Etliche Emailprogramme bieten auch automatische Verschlüsselungs- und Entschlüsselungsmechanismen an.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
265
ist damit nicht Mittel der sozialen Zuordnung, sondern soll an ihre Stelle treten, wenn diese nicht zum Erfolg führt. Der zweite, wesentlich umfassendere Untersuchungsabschnitt wandte sich von der Untersuchung des allgemeinen Verhaltens um die Geltendmachung der Diskretion und des Privaten ab und warf einen fokussierten Blick auf das klassische Sicherungsmittel, die Passphrasenabfrage. Hier konnte gezeigt werden, dass das Vorhandensein einer Passwortabfrage nicht unmissverständlich dafür spricht, dass der Datenhinterlegende an den hinterlegten Daten stets ein erhöhtes besonderes Sicherungsbedürfnis hat. Dabei wurde zugestanden, dass zur Geheimnissicherung zwar typischerweise eine Passwortabfrage verwendet wird. Der Umkehrschluss, wenn eine Passwortabfrage Verwendung finde, dann sei ihr Zweck Zugangsschutz und damit Geheimnissicherung, ist aber nicht zwingend und damit für die Behauptung einer unmissverständlichen Dokumentation unzulässig. Die Gründe dafür sind vor allem, dass Passwortabfragen heutzutage zu mannigfaltigen Zwecken eingesetzt werden, die keinen Schutzinteressen dienen. Beispielhaft aufgeführt wurden rein organisatorische Interessen oder gar Bestrebungen, die Kennungsabfrage einzusetzen, um Daten über den Passwortinhaber zu sammeln und damit dessen Ausspähung zu betreiben. Und selbst wenn die Abfrage Schutzinteressen dient, so kann sie ebensogut andere als Zugangsschutzzwecke verfolgen, ohne dass der Zugangsschutz auch nur Nebenzweck sein müsste. Und selbst für den Fall, dass die Passwortabfrage Zugangsschutz bezweckt, so kann dies etliche andere Zwecke als die Geheimhaltung verfolgen, namentlich den Schutz vor Sabotage oder Ressourcenmissbrauch, ohne dass hier ein Geheimhaltungsinteresse auch nur nachrangig (mit-)verfolgt sein müsste. Selbst für den Fall, dass man dem nicht folgte, wurde gezeigt, dass das Vorhandensein einer Sicherung nicht stets bedeutet, dass der Rechtsgutsinhaber faktisch als der Sichernde angesehen werden kann, auch wenn er die Sicherung auslöst. Die Sicherung greift vielfach automatisch. Oft ist sie dem Inhaber unbekannt. Und regelmäßig verbleibt ihm weder eine praktikable Alternative zu Sicherung, noch hat er oft ein Interesse, auf die Sicherung zu verzichten. Denn er hat keinen Vorteil durch den Verzicht, auch nicht durch ersparten Sicherungsaufwand. Will man aber einem Handeln eine Aussage einer Person zumessen, so muss es von dieser Person kommen oder ihr zumindest zugerechnet werden können. Dafür kann nur Grund sein, dass sie sich diese Handlung zurechnen lassen will. Dies ist aber hier nicht der Fall. Auch ist die Sicherung aufgrund ihrer sogenannten globalen Wirkung für alle dahinter liegenden Daten nicht am einzelnen Datum spezifisch. Der Schluss, an sämtlichen Daten bestünde ein erhöhtes Sicherungsbedürfnis, ist nicht haltbar. Selbst eine angenommene Dokumentation ver-
266
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
wässerte aber mit Zunahme der Datenmenge, auf die sie sich beziehen soll. Daher kann im Vorliegen einer Passwortabfrage nicht über die Zwischenannahme einer darin liegenden Zugangssicherung auf ein besonderes Geheimhaltebedürfnis geschlossen werden. Dieses mag oft vorliegen. Es ist aber nicht in der Abfrage erkennbar, sondern ergibt sich erst aus weiteren Umständen des Einzelfalles oder der allgemeinen Lebenserfahrung, dass Menschen nicht ausgespäht werden wollen. Im dritten Schritt wurde untersucht, ob dieselben Probleme bei anderen Sicherungen im weiteren Sinn, die das StGB kennt, ebenfalls bestehen und ob die dortigen Erkenntnisse die Dokumentationsthese systematisch stützen könnten. Es wurde analysiert, ob bei diesen Sicherungen eine Dokumentationswirkung angenommen werden kann. Gleichzeitig wurde untersucht, ob eine solche Wirkung in Rechtsprechung und Literatur behauptet wird und diese die Sicherung darauf begründen möchten. Die Dokumentationswirkung wurde – jeweils in Übereinstimmung mit der ganz herrschenden Meinung – für bestimmte Sicherungen bejaht (für den Verschluss und das verschlossene Behältnis in § 202 Abs. 1 und 2 sowie § 243 Abs. 1 S. 2 Nr. 2) und für andere verneint (bei § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1). Bezüglich letzterer Sicherungen, bei denen keine Dokumentationsfunktion angenommen wird, wurde deutlich, dass diese – auch hier besteht Übereinstimmung mit der ganz herrschenden Meinung – ihre Begründung (konsequenterweise und im Gegensatz zu § 202a) in anderen Aspekten finden. Während die technische und soziale Bedeutung der Sicherungen der §§ 123, 243 Abs. 1 S. 2 Nr. 1 und 202a eng verwandt sind, ähneln sich nur die Begründungen von §§ 123 Abs. 1 und 243 Abs. 1 S. 2 Nr. 1, während die des § 202a aus diesem Rahmen fällt: Pönalisiert wird die Befähigung und Bereitschaft des Täters, sich über berechtigterweise gesetzte Grenzen hinwegzusetzen. Auch wenn sich schon angedeutet hat, dass die besondere Sicherung das Sicherungsinteresse der Datenhinterlegenden nicht stets unzweifelhaft dokumentiert, taugt sie möglicherweise aus ähnlichen wie den bei §§ 123 Abs. 1 und 243 Abs. 1 S. 2 Nr. 1 angeführten Gründen dennoch als Unterscheidungsmerkmal zwischen strafrechtlich und lediglich zivilrechtlich Geschütztem und zu Schützendem. Neuerdings widerspricht auch die Einführung des dem § 202a eng verwandten § 202b, der aber auf die besondere Sicherung verzichtet der Theorie, die besondere Sicherung sei deshalb gefordert, weil sie erstens das besondere Geheimhaltungsinteresse des Berechtigten dokumentiere und es zweitens genau darauf ankomme. Die These, das Vorliegen einer Zuordnungsabfrage lasse auf ein Geheimhaltungsbedürfnis schließen, entspricht schon nicht der allgemeinen sozialen und auch nicht der computer- und passwortspezifischen Realität. Ein systematischer Vergleich kann die These ebenso wenig stützen. Er liefert aller-
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
267
dings alternative Begründungsmodi, so eine Dokumentation nicht angenommen werden kann. Es soll hier – dies kann nur wiederholt werden – nicht das Wertungsergebnis kritisiert werden, sondern in erster Linie dessen Begründung, deren Überzeugungskraft sich nicht aus ihrem Modus speist, sondern allein aus der relativen Vernunft des beispielhaften Ergebnisses.425 Zur Erzielung valider Bewertungen für die unterschiedlichsten Konstellationen bedarf es aber eines stabilen und abgesicherten Modus.
IV. Untersuchung weiterer Sicherungsmittel Es ist nun die Behauptung der unmissverständlichen Dokumentation anhand des Vorhandenseins einer Passphrasenabfrage angezweifelt und falsifiziert worden. Gilt die These der herrschenden Meinung nicht für ihr meistgenanntes Beispiel, so spricht viel dafür, dass sie in Gänze unhaltbar ist. Dabei soll kein Urteil gefällt werden, ob sie früher die Realität besser aufgriff. Jedenfalls heute entspricht sie nicht mehr der technischen und sozialen Wirklichkeit. Bevor jedoch der Schritt gewagt wird, sie zu verwerfen, ist der Gefahr vorzubeugen, dass zwar für ein gewichtiges, aber doch eben nur für dieses Beispiel die These fehlgeht. Die Untersuchung ist daher nicht zu vertiefen, sie muss aber doch verbreitert werden, um nicht nur eine Schneise zu schlagen, sondern insgesamt Antworten zu finden. Dazu sollen nicht Sicherungsmethoden gesucht werden, aus denen sich unmissverständlich auf ein dahinter stehendes Geheimhaltungsbedürfnis schließen lässt. Diese gibt es mit Sicherheit. Das soll nicht bestritten sein. Dies unterstützt die Dokumentationstheorie aber nicht entscheidend. Sie ist breiter angelegt und muss dies auch sein, will sie allgemeingültige Antworten finden und nicht nur für Einzelfälle taugen. Denn das Recht hat die Wirklichkeit zu bewerten und nicht nur eine Wirklichkeit zuzulassen, die zum Recht passt. Gleichzeitig ergibt sich daraus, dass eine Untersuchung der möglichen Geheimhaltungstechniken nicht vollständig sein muss. Sie könnte dies auch nie, so führt das BSI schon 353 Grundschutzmaßnahmen auf426. Es sollen daher die Sicherungstechniken benannt werden, die typischerweise angewandt werden, wenn ein Geheimnissicherungsbedürfnis besteht. Diese sollen dann dahingehend untersucht werden, ob in ihnen das zugrunde liegende Geheimhaltungsbedürfnis erkennbar ist, in dem Sinne, dass aus dem Vorlie425 Eine ähnliche Kritik übt Hillenkamp an Schünemanns in ZStW 90 (1978), S. 51 ff. vertretener Ansicht, dessen Ergebnisse bezüglich des § 203 er anerkennt, aber die viktimologische Begründung auswechselt und mit seiner Begründung in anderen Fällen (dann doch) zu anderen Ergebnissen kommt, Hillenkamp, Opferverhalten, S. 63 a. E. 426 BSI, IT-Grundschutzhandbuch, 2005, M4 und M5, ohne Notfallvorsorge (M6).
268
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
gen der Sicherungstechnik auf ein Geheimhaltungsinteresse rückgeschlossen werden kann. Dazu werden zunächst die gebräuchlichsten weiteren Sicherungstechniken in ihrer technischen Bedeutung dargelegt. Bei der Auswahl einzelner Sicherungsmittel ist stets ihr Konterpart, d.h. die jeweilige potenzielle Angriffstechnik, zu beachten. Dabei stehen sich jedoch nicht einzelne Sicherungsmittel und Angriffsmittel isoliert gegenüber. Wie oben gezeigt wurde, werden vielmehr regelmäßig verschiedene Angriffsmittel kombiniert. Dagegen wird eine ebenso kombinierte wie breite Abwehrstrategie gefahren. Hier soll nicht auf typischerweise von der Literatur vorgetragene Abgrenzungsprobleme eingegangen werden, wie sie sich bei mancher technischen Sicherung finden. Die Fragestellung ist hier grundsätzlicher Art. Aus unabdingbaren Vereinfachungsgründen427 wird von dem Beispiel eines typischen Privatnutzers, der seinen PC mit Internetanschluss unter Windows betreibt, ausgegangen, das heute schon weit verbreitet und relativ wie absolut im Zunehmen begriffen ist.428 Der hier untersuchte Typus ist also der in der Regel anzutreffende. Die Erkenntnisse sind in aller Regel auf andere Systeme übertragbar.
427
Aufgrund der unbegrenzten Vielzahl und somit rasch ansteigenden Komplexität der Kombination von Rechnerarchitekturen, die auf die verschiedensten Weisen miteinander technisch in Netzen verknüpft werden können, die verschiedensten Inund Outputschnittstellen haben können, verschiedenste Hardwarekomponenten nutzen und teilen, verschiedenste Betriebssysteme und Netzwerk-, Sicherungs- und Anwendungsprogramme nutzen etc., muss hier stark vereinfacht werden. 428 Aus der Datenlage des Statistischen Bundesamtes ergibt sich, dass fast zwei Drittel (65%) der Personen über zehn Jahren das Internet des ersten Quartals 2006 nutzten (Pressemitteilg. des Statist. Bundesamtes vom 27.02.2007). Aus dieser Gruppe der Internetnutzer nutzte im selbigen Quartal mehr als die Hälfte täglich oder fast täglich das Internet (Statist. Bundesamt a. a. O.). Dabei werden verschiedene Anschlüsse, etwa am Arbeitsplatz oder zu Hause genutzt (Statist. Bundesamt (Hrsg.): Informationstechnologie in Haushalten 2005, [2006], Tabellenanhang, S. 15). Computer mit Internetanschluss standen im Jahr 2005 in 67% aller Haushalte, dabei hatte mehr als die Hälfte (58%) der Haushalte einen Internetzugang (Statist. Bundesamt (Hrsg.): IT in Haushalten 2005, Tabellenanhang, S. 5, 6). Die Zahlen nehmen dabei relativ wie absolut zu (Vgl. etwa Statist. Bundesamt a. a. O., Tabellenanhang S. 5, 25, Tabelle 21; dass. Pressemitteilung vom 27.02.2007; dass., Ausstattung privater Haushalte mit Informations- und Kommunikationstechnik – Ergebnis der Einkommens- und Verbrauchsstichprobe 1998 und 2003, [2004], Tabelle).
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
269
1. Firewall a) Ziel, Wirkungsweise und Anwendung Wer seinen Computer mit Internetanschluss vor Datenspionage schützen möchte, der installiert typischerweise eine Firewall (Brandschutzmauer).429 Die Firewall regelt den Datenverkehr eines Rechners, namentlich des Rechners, auf dem sie installiert ist (dann sogenannte Personal Firewall)430 oder eines Rechnernetzes (Firewall)431. In letzterem Fall trennt sie zwischen Intra- und Internet (= „Extranet“)432 und nimmt eine Art konfigurierbare Filterfunktion wahr.433 Weitere Schritte, um dieses Ziel zu erreichen sind möglich, das BSI zählt insgesamt 121 Maßnahmen allein zum Schutz der Kommunikation auf.434 Nur eine von ihnen ist der Einsatz einer Firewall.435 Die Installation einer Firewall ist jedoch für den Normalnutzer ohne Spezialkenntnisse der einfachste Weg, die Kommunikationsverbindungen aus seinem und in seinen Computer zu kontrollieren. Die Firewall wirkt wie ein Pförtner, der kontrolliert, wer unter welchen Bedingungen mit welchem Vorhaben in das und aus dem Gebäude will. Die Firewall bildet dadurch – wie der Name suggeriert – eine Art virtuelle Mauer, die den eigenen Daten„raum“ vom fremden abgrenzt.436 Ohne sie437 können Zugriffe auf den Computer stattfinden und Systemlücken ausgenutzt werden, wie sie oben dargestellt wurden.438 Eine Firewall kontrolliert sinnvollerweise neben dem ein- auch den ausgehenden Datenverkehr.439 Letzteres ist wichtig, da über eingeschleuste Trojaner von innen versucht werden kann, Kommunikationsbeziehungen nach draußen, etwa mit ihrem Verwender, aufzunehmen.440 Der 429
Vgl insgesamt zu Firewalls: Bock, TKG-Ko., § 109, Rn. 19, m. w. N.; Hilber/ Frik, RdA 2002, 89, 90. Ausführlich: Cheswick/Bellovin/Rubin, Firewalls, S. 1 ff.; Strobel, Firewalls, S. 1 ff.; BSI, IT-Grundschutzhandbuch, 2005, M 4.100; Riehm, NJW-CoR 1997, 337 ff. 430 Noetzel/Dunst/Völker, c’t 20–2000, 126. 431 Noetzel/Dunst/Völker, c’t 20–2000, 126. 432 Zilahi-Szabó, DstR 2007, 38, 40. 433 Rinker, MMR 2002, 663. Sie filtern dabei nicht Viren aus, unrichtig insofern Viefhues, NJW 2005, 1009, 1011. 434 BSI, IT-Grundschutzhandbuch, 2005, M 5 (M 5.1 – M 5.121, S. 1–288). 435 BSI, IT-Grundschutzhandbuch, 2005, M 5.91. 436 Zu den Grenzen von Firewalls s. etwa Federrath/Pfitzmann, in Moritz/Dreier, E-Commerce, Kap. F Rn. 57. 437 Oder die Umsetzung anderer (komplizierterer) Schutzmaßnahmen. 438 Siehe insgesamt unter Kap. II., S. 108 ff. 439 Bauer/Brauch/Rapp, c’t 23–2001, 174; Brauch, c’t 13–2004, 142. 440 Bauer/Brauch/Rapp, c’t 23–2001, 174. Siehe oben, bspw. unter Trojanern Kap. f), S. 137 ff. und Trapdoors/Backdoors Kap. j), S. 146 ff. Die in Windows XP mittlerweile integrierte Firewall kontrolliert dennoch nur den eingehenden Datenver-
270
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Kontrolle wird eine individuell einstellbare Schutzpolitik (Konfiguration) zugrunde gelegt.441 Um im Bild zu bleiben, entspräche dies den Anweisungen an den Türsteher oder Pförtner. Die Konfiguration ist also ein ganz wesentliches Moment.442 Die Firewall schützt damit davor, dass ein Außenstehender unberechtigt in den Rechner eindringt.443 Außerdem verhindert sie, dass Programme (die etwa mittels eines Trojaners Eingang gefunden haben) nach draußen Kontakt aufnehmen und Daten versenden.444 Sie wehrt auch davor ab, dass Programme, die Eingang gefunden haben, andere Schadsoftware hineinlassen, indem sie von innen Türen öffnen und andere Programme einladen.445 Sie schützt auch davor, dass Spamversender den Computer mittels Bots und Würmern446 in ihre Gewalt bringen und die Ressourcen (insbesondere den Internetzugang) nutzen, um über diesen PC massenhaft unerwünschte Werbung zu versenden.447 Sie verfolgt also durch ihre Pförtnerfunktion die verschiedensten Zwecke nebeneinander, die über die Kontrolle von Datenströmen durchgesetzt und verfolgt werden können. Ausgehend davon, dass die auf dem PC befindliche Software komplex ist und erfahrungsgemäß Angriffsfläche für alle Arten von Manipulationen bietet, wird eine Schutzschicht um die Gesamtheit der dahinter liegenden Programme und Daten gezogen. Kein Verkehr, außer dem explizit erlaubten, wird durchgelassen (deny-all Strategie). Eine simple, aber effektive Strategie. b) Rechtliche Wertung Obwohl Dateninhaber, die nicht ausspioniert werden möchten, in aller Regel eine Firewall verwenden werden, ist der Einsatz einer Firewall kein unmissverständliches448 Zeichen für ein individuell erhöhtes Geheimhaltebedürfnis, denn: Zunächst sind heutzutage (seit Windows XP) Firewalls in gängigen Systemen bereits vorinstalliert, der Nutzer kann sein Sicherheitsbedürfnis also in dieser Form gar nicht zeigen. Die Existenz einer vorinstallierten Firewall dürfte manchem Nutzer gar verborgen bleiben. Erst die Inkehr; Brauch, c’t 21–2004, 196 – ausf. zu der Funktion der Windows XP Firewall (SP2). 441 BSI, IT-Grundschutzhandbuch, 2005, M 4.100. 442 Brauch, c’t 13–2004, 142. 443 Bauer/Brauch/Rapp, c’t 23–2001, 174. 444 Bauer/Brauch/Rapp, c’t 23–2001, 174. 445 Bauer/Brauch/Rapp, c’t 23–2001, 174. 446 Zu Bots und Würmern, s. dort, S. 135. 447 Nach aktuellen Erkenntnissen sollen etwa ein Viertel aller PCs mit Internetzugang – natürlich vom Nutzer unbemerkt – zu einem Botnetz gehören, siehe oben, S. 136. 448 So etwa Lackner/Kühl, § 202a Rn. 4.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
271
stallation einer weiteren Firewall, wofür es durchaus gute Gründe gibt,449 ist aktiv schützendes und damit aktiv erklärendes Verhalten. Eine genaue, nutzerseitig vorgenommene Konfiguration kann allerdings darauf schließen lassen, dass dem Nutzer die Kontrolle des zu- (und gegebenenfalls ab-) gehenden Datenverkehrs wichtig ist. Ein aktives Tätigwerden in Form der Installation einer Firewall und Konfiguration ist allerdings selten beobachtbar. Die in der Regel nicht ganz unkomplizierte Konfiguration450 vermag zudem nur zu dokumentieren, dass gerade die in der Konfiguration geregelten Datenflüsse nicht erwünscht sind. Die Firewall schließt ihrem Zwecke nach ja nicht jeden Datenverkehr aus.451 Weiter schützen Firewalls den Computer, auf dem sie installiert wurden und alle weiteren Rechner, die sich durch diesen Rechner ins Internet einwählen, insgesamt. Es wird also nicht zwischen einzelnen Dateien differenziert; der Schutz wirkt unspezifisch. Der Endnutzer wird aber selten an allen Dateien ein einheitliches Geheimhaltungsbedürfnis haben.452 Meist wird er an einigen Dateien überhaupt kein Geheimhaltungsbedürfnis haben. Vor allem aber schützen Firewalls nicht nur vor dem Ausspähen von Daten. Die Installation einer Firewall soll auch vor Ressourcenverschwendung durch unerwünschte Inanspruchnahme durch Dritte (etwa durch massenweisen Spamversand in einem Botnetz453), vor Instabilität durch Virenbefall454, vor Sabotageeingriffen und Ähnlichem schützen.455 Die Verwendung einer Firewall – selbst wenn sie vom Endnutzer selbst installiert und konfiguriert wurde – kann also auch etliche andere Gründe als den der Geheimhaltung haben. Obwohl die Verwendung einer Firewall eine der wichtigsten Maßnahmen und nahezu unabdingbar ist, wenn Dateien vor Spionage geschützt werden sollen, so kann aus der Installation, Verwendung und Pflege einer Firewall daher nicht auf ein besonderes Geheimhalteinteresse, weder allgemein noch an einer bestimmten Datei geschlossen werden. In der Literatur wird die Sicherung durch Firewalls dementsprechend 449
Die Windows XP Firewall gilt als teilweise unzureichend, da sie den ausgehenden Datenverkehr nicht kontrolliert, s. Fn. 440, S. 269. Im Gegensatz zu Virenscannern, die sich teilweise gegenseitig behindern, können Firewalls auch miteinander kombiniert werden, um den Schutz zu erhöhen. 450 BSI, IT-Grundschutzhandbuch, 2005, M 4.100, M 5.91. 451 Sie kann dies natürlich. Aber sinnvollerweise möchte der Nutzer ja kommunizieren, nur eben kontrolliert und abgesichert. Die Firewall vollständig zu schließen, wäre wie ein Haus vollkommen zuzumauern und weder Tür noch Fenster zu lassen. Ein theoretisch denkbares, aber in der Praxis wohl kaum anzutreffendes Vorgehen. 452 Dies wurde bereits oben dargelegt, der Schutz ist so unspezifisch, dass sich jede Dokumentationswirkung verliert, s. S. 232. 453 Siehe dazu oben, S. 135 ff., Abschn. e). 454 Siehe dazu oben, S. 144 ff., Abschn. i). 455 Vgl. BSI, IT-Grundschutzhandbuch, 2005, M 4.100, M 5.91.
272
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
kaum diskutiert456 – obwohl, dies sei nochmals betont, sie eine ganz typische Maßnahme zum Schutz vor Spionage ist.457 Dies ist jedenfalls konsequent, wenn man die Forderung nach der Dokumentation ernst meint und nicht auf andere Merkmale der Firewall abstellt.458 2. Antivirenprogramme (Virenscanner) a) Ziel, Wirkungsweise und Anwendung Antivirenprogramme, auch Virenscanner genannt, sind Programme, die dem Aufspüren, Schadlosmachen und gegebenenfalls Entfernen von feindlichen Schadprogrammen dienen. Ursprünglich waren diese Programme nur gegen Viren im eigentlichen Sinne459 konzipiert, also gegen Programme, die den Zweck haben, sich virengleich zu vermehren und Computerfunktionen zu beschädigen. Das Funktionsfeld der Programme wurde nach und nach erheblich erweitert, um mit der wachsenden Bedrohung Schritt zu halten. Der Begriff hat sich jedoch gehalten. Er gibt die Bandbreite mittlerweile unzureichend wieder. Präziser wäre, von Anti-Malwareprogrammen zu sprechen. Mittlerweile suchen Virenscanner auch andere Arten von Schadprogrammen (Malware)460, wie etwa Würmer461, Spyware462, Spam463 (unerwünschte Massenmail) und Trojaner464, die aber teilweise weit schwerer zu finden sind, als die sich vermehrenden Viren. Der Entwicklung weiteren Schadcodes wird also mit weiter entwickelten Schutzpro456
Jessen, Sicherung i. S. v. § 202a, S. 1 ff., Krutisch, Computerdaten, S. 1 ff. und Schulze-Heiming, Computerdaten, S. 1 ff. sowie MüKo-Graf, § 202a; Rn. 1 ff.; Hilgendorf, JuS 1996, 509 ff., 702 ff.; SK-Hoyer, § 202a; Rn. 1 ff.; NK-Kargl, § 202a Rn. 1 ff.; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1 ff.; LK-Schünemann, § 202a Rn. 1 ff. etwa erwähnen die Firewall nicht. An anderer Stelle wird dagegen auf die Funktionsweise und Wichtigkeit des Einsatzes einer Firewall hingewiesen, insb. auch in ihrer Eigenschaft, Eindringlinge abzuwehren, mithin Zugangsschutz zu sein, vgl. Bock, TKG-Ko, § 109, Rn. 19; Ernst, NJW 2003, 3233, 3236. Vgl. weiter G. Schneider, MMR 2004, 18, 21 ff. 457 Vgl. BSI, IT-Grundschutzhandbuch, 2005, M 4.100, M 5.91. s. i. E. zur Sicherheit von Rechnersystemen schon Weck, CR 1986, 839 ff. 458 Zur Wertung nach der hier vertretenen Ansicht, siehe unten S. 382 ff. (Abschn. 5.). 459 Zur Definition von Viren, vgl. schon oben, S. 144 sowie BSI, IT-Grundschutzhandbuch, 2005, G 5.23; Ernst, NJW 2003, 3233, 3236. 460 s. schon oben, S. 108 ff. (Kap. II.), und S. 144 ff. 461 s. oben, S. 135. 462 s. oben, S. 141. 463 s. zum Begriff Fn. 484, S. 135 und die rechtliche Würdigung von Frank, Spamming, S. 4 ff. 464 s. auch S. 137.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
273
grammen begegnet. (Verschiedenster Schadcode wird allgemein und zumindest unscharf, übergreifend als Virus bezeichnet.465 Dementsprechend unscharf, aber konsequent werden unterschiedlichste Schutzprogramme übergreifend als Virenscanner bezeichnet.) Manche Schadfunktion wurde dabei zunächst von speziellen Programmen abgewehrt, die später dann mehr und mehr in Antivirenscanner oder sogenannte Security Suites (zu deutsch etwa: Sicherheitspakete) integriert wurden. Als bekannte Beispiele seien etwa „Pestpatrol“, „Spybot“ und das sehr verbreitete „AdAware“ von Lavasoft466 genannt. Sie dienen nicht dem unmittelbaren Schutz vor Viren, sondern dem Schutz vor sonstigen Schadprogrammen. Da sie auch vor Spyware schützen, richtet sich ihr Zweck auch gegen das Ausspähen von Daten.467 Die Grenzen zwischen diesen Programmen und Virenscannernm verwischen jedoch auch technisch mehr und mehr,468 nicht zuletzt, weil der Markt einheitliche Gesamtpakete aus einer Hand fordert und der Endanwender die verschiedenen Bedrohungsszenarien nicht unterscheiden kann und möchte. Damit ist auch hier eine einheitliche Darstellung angebracht. Da Viren die Stabilität des Systems bedrohen, dient der spezifisch gegen sie gerichtete Schutz dementsprechend der Stabilität des Systems. Moderne umfassende Schutzprogramme, die auch vor Würmern, Spamerzeugern und verschiedensten anderen Schadprogrammen schützen,469 richten sich demnach gegen den sogenannten Ressourcendiebstahl470, etwa durch unerwünschten massenhaften vom eigenen Computer abgehenden Spamversand.471 In manchem Antiviren-Softwarepaket ist zudem Schutz vor dem 465
s. oben, S. 145. Stets aktuelle Informationen sind am besten durch Eingabe der Begriffe in Internetsuchmaschinen zu erhalten. 467 s. die Produktbeschreibung von Spybot: „Spybot – Search & Destroy kann verschiedene Arten von Spyware oder ähnlichen[!] Bedrohungen auf Ihrem Computer erkennen und entfernen [. . .] Spybot-S&D kann ebenfalls Gebrauchsspuren beseitigen, eine interessante Funktion, wenn Sie Ihren Computer mit anderen Benutzern teilen, und nicht wollen, dass diese sehen, was Sie gemacht haben. Profis erlaubt es, einige Registrierungsunsicherheiten zu beheben und erweiterte Berichte zu verfassen.“ Unter Funktionen werden u. a.genannt: „Entfernung von Adware und Spyware, Entfernung von Dialern, Entfernung von Keyloggern, Entfernung von Trojanern und anderen Bösewichten, Entfernung von Gebrauchsspuren“. 468 Die tabellarische Aufstellung bei Borchers, c’t 15–2002, 132, liefert einen guten Überblick über die verschiedenen Schadprogramme und ihre unterschiedlichen Bestandteile und Funktionen sowie entsprechend auf der „Gegenseite“ die Sicherungsprogramme, die die unterschiedlichsten Schadprogramme finden sollen. 469 BSI, IT-Grundschutzhandbuch, 2005, M 4.100. 470 Siehe etwa oben, S. 135 f., Kap. e). 471 Fremde Computer werden von Spammern gekapert, um über diese (unter Nutzung des fremden Internetzugangs und dessen Bandbreite) kostenlos, massenhaft, schwer verfolgbar und ohne eigene Ressourcen unerwünschte (Werbe-)E-Mails zu 466
274
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
unerwünschten Empfang von Spam enthalten, auch kann der ungewünschte Besuch bestimmter Webseiten unterbunden werden (Jugendschutz durch Web-Filter). Der Schutz umfasst auch den Schutz vor Spyware und damit vor dem Ausspioniertwerden – daneben aber auch die verschiedensten anderen Schutzziele.472 Die Funktionsweise von diesen Schutzprogrammen basiert in erster Linie auf dem reaktiven (Wieder-)Erkennen von bekanntem Schadcode. Dieser Schadcode wird zunächst von dem Hersteller der Software isoliert und in die Internetdatenbank eingestellt, von der die Abonnenten des Scanners sie abrufen und damit ihren Scanner stets aktuell halten können.473 Erst wenn ein Schadcode in die globale Datenbank eingetragen und von dort auf die lokale übertragen ist, kann er vom Scanner erkannt werden. Es handelt sich hierbei somit um ein reaktives Vorgehen.474 Der Scanner sucht also nach bereits Bekanntem. Eine zweite Funktionsweise ist im Vordringen befindlich. Während der oben beschriebene Mechanismus systembedingt immer erst als Reaktion auf programmierte Viren greift, sind Hersteller bestrebt, proaktiven Schutz anzubieten, der Angriffe antizipiert und damit schon eine Erstschädigung verhindert: Virenschutz soll auch möglich sein, ohne einen Virus isoliert und dessen Signatur ausgelesen zu haben.475 Techniken, die versenden. Der Spammer bedient sich dann der Rechenressourcen des gekaperten Computers und der Bandbreite dessen (kostenpflichtiger) Internetverbindung zum Versand seiner Werbesendungen. Siehe dazu Fn. 484, S. 135 und die ausführliche rechtliche Würdigung von Frank, Spamming, S. 4 ff. 472 s. stellv. die Hauptaussagen vom Programmhersteller Norton zum Produkt „Norton Antivirus“: „Dient zum Erkennen und Entfernen von Viren und Spionageprogrammen. Hilft, die Verbreitung vireninfizierter E-Mails zu verhindern. Lädt Sicherheits-Updates und neue Produktfunktionen während der verlängerbaren Servicelaufzeit herunter.“ 473 Die Programme durchforsten den gesamten vorhandenen Datenbestand (teils ergänzt um den stattfindenden Datenverkehr, etwa E-Mail) auf bekannte Schadroutinen. Die Schadroutinen sind in einer Datenbank abgelegt, auf die der Scanner zurückgreift. Ein Virenscanner besteht also im Groben aus zwei Bestandteilen: Dem Scanmechanismus, der alle Dateien lesen können muss und der Datenbank, die ständig zu aktualisieren ist. Letzteres gebietet sich wegen der Funktionsweise des Scanners, der eben nur bekannte Schadroutinen erkennen kann. Wesentliches Qualitätsmerkmal eines Virenscanners ist daher auch, wie schnell der Hersteller auf neue Bedrohungen reagiert und einen aktualisierten Datensatz anbietet. Privatanwender sollten daher circa einmal die Woche aktualisieren, professionelle Nutzer aktualisieren mehrmals täglich. Die Aktualisierung – eine Internetverbindung vorausgesetzt – kann dabei vollautomatisiert werden. 474 BSI, IT-Grundschutzhandbuch, 2005, M 4.3, M.100. 475 Zu aktuellsten Entwicklungen s. Wicherski/Knop, c’t 14–2006, S. 222 sowie das Forschungsprojekt von Dullien, der für seine Forschungen zur Erkennung von Schadcode nach grafisch dargestellter Analyse des Verhaltens erster Preisträger des Deutschen IT-Sicherheitspreises der Horst-Görtz-Stiftung wurde. Ein- und weiter-
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
275
man unter dem Stichwort der Heuristik476 oder Sandbox477 zusammenfasst, sind hier wichtig. Diese Ansätze sind in der Praxis aber noch sehr unausgereift.478 Wegen der Schwächen sowohl der proaktiven wie der reaktiven Technik ist ein absoluter Schutz unmöglich. Auch aus diesem Grunde ist eine Kombination von Schutz gegen Schadprogramme und oben genannten Firewalls äußerst wichtig. Erst diese Verbindung bietet ein hohes Schutzniveau.479 Für die hiesige Untersuchung ist vor allem relevant, dass ein Antivirenprogramm regelmäßig eingesetzt und regelmäßig aktualisiert wird. Das BSI legt diesen Grundsatz bereits in der Überschrift zum Antivirenschutz nahe, welche „Regelmäßiger Einsatz eines Anti-Viren-Programms“ lautet.480 Ein nur sporadischer Einsatz ist nahezu wertlos. Richtigerweise führende Hinweise s. bei Horst-Görtz-Stiftung, www.horst-goertz.de, Preisträger 2006. 476 Heuristische Ansätze suchen nach allgemeinen Schadcodemerkmalen, die für Viren (und anderen Schadcode) typisch sind, um noch unbekannten Code zu erkennen. Teilweise wird zugleich ein rudimentäres Intrusion Detection System (IDS, dazu sogleich) implementiert, das Angriffe erkennen soll. Wegen der Vielzahl und Schnelligkeit, in der heutzutage Schadcode entwickelt wird und sich verbreitet, soll somit ein schnellerer Schutz erreichbar sein, der nicht davon abhängt, dass der Programmhersteller den Angriff an anderer Stelle erkennt und in die Datenbank einspeist. Heutzutage sind heuristische Ansätze aber aufgrund der Vielzahl von Angriffsmöglichkeiten noch wenig erfolgreich. Sie sind oft ungenau und liefern positive wie negative Falschmeldungen (false positives und false negatives). IDS sind Systeme, die der Erkennung von Angriffen auf ein Computersystem dienen. Auch hier lassen sich zwei Ansatzpunkte unterscheiden: der Vergleich mit bekannten Angriffssignaturen und die sogenannte statistische Analyse. Die Ansatzpunkte, das Wiedererkennen bekannten Fehlverhaltens und das erstmalige Erkennen unbekannten Fehlverhaltens durch heuristische Analyse entsprechen also den Prinzipien von Antivirenprogrammen. 477 Der Sandboxansatz versucht in einem „isolierten, geschützten Raum“ den Code zur Ausführung zu bringen, um seine Wirkungsweise zu erkennen. Technik ist, den zu prüfenden Programmteil nicht in „Ruhelage“ zu analysieren und sein Erscheinungsbild mit Bekanntem zu vergleichen, sondern ihn zur Ausführung zu bringen, um seine Funktion zu erkennen. Da es natürlich für ein Computersystem gefährlich ist, einen Virus durch das Auslösen seiner Funktion erkennen zu wollen, wird das Programm in einem „hermetisch“ abgeriegelten Bereich zur Ausführung gebracht, der auf das restliche System keinen Einfluss hat (Sandbox). In dieser „Sandkiste“ kann gefahrlos experimentiert werden. Am Ende, so das Bild von der Sandbox, „zieht man einfach den Sandrechen darüber und damit wieder alles glatt“. So bleibt das Experiment – von Erkenntnissen abgesehen – folgenlos. Vgl. BSI, ITGrundschutzhandbuch, 2005, M 4.100. 478 BSI, IT-Grundschutzhandbuch, 2005, M 4.3; 4.100. 479 BSI, IT-Grundschutzhandbuch, 2005, M 4.100. Dementsprechend bieten Hersteller Sicherheitspakete (Security Suites) an, die typischerweise genau diese beiden Elemente beinhalten, vgl. pars pro toto nur die Norton Security Suite 2007, bestehend aus Antivirenprogramm und Firewall. 480 BSI, IT-Grundschutzhandbuch, 2005, M 4.3.
276
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
sollte der regelmäßige Einsatz gar ein ständiger, fortdauernder sein, wie es nur residente, also ständig im Hintergrund aktive und alles, vor allem den Datenein- und -ausgang durchforstende Scanner gewährleisten.481 Ein rein transienter, also zeitlich begrenzter, wenn auch regelmäßiger Einsatz ist unzureichend und ist daher nicht zu empfehlen.482 b) Rechtliche Wertung Wer sich vor dem Ausspähen mit für den Heimanwender483 noch umsetzbaren Mitteln wehren will, der verwendet Virenscanner und verwandte Schutzprogramme. Die Literatur nimmt jedenfalls ausdrücklich keine Sicherung im Sinne des § 202a StGB an. Eine ausdrückliche Verneinung findet sich allerdings ebenso wenig.484 In Aufzählungen möglicher Sicherungstechniken erscheinen Antiviren- und ähnliche Programme allerdings nicht. Es kann davon ausgegangen werden, dass diese weitverbreiteten Programme bewusst keine Erwähnung unter den denkbaren Schutzprogrammen fanden. Die Literatur wertet hier richtig, dienen diese Programme doch immerhin auch mannigfaltigen anderen Zwecken als nur dem bloßen Schutz vor Ausspähen. Dabei ist es nicht zwingend, dass sie überhaupt Ausspähschutz verfolgen. Die Literatur registriert diese Verwendungsbreite der Software (während sie die der Passwortabfrage ignoriert), obwohl auch Virenscanner ganz klassische Sicherheitssoftware sind. Ist eine Verwendung durch einen Nutzer festgestellt, so ist daraus nicht erschließbar, ob der Anwender sich in erster Linie vor Spionage, vor dem sogenannten Ressourcendiebstahl, vor Instabilität des Systems oder vor Manipulation der Daten schützen wollte. In der Regel wird er ein Bündel von Interessen verfolgen, meist ohne sich die einzelnen Motive klar vor Augen zu führen, oft gar ohne um die einzelnen Vorgänge zu wissen. Dabei sind die Interessen wesentlich weiter gefächert als die, die durch ein verschlossenes Behältnis im Sinne des § 202 Abs. 2 oder § 243 Abs. 1 S. 2 Nr. 2 verfolgt werden können. Eine ähnliche Vielfalt verfolgen die Umschließung von Räumen (§ 243 481
BSI, IT-Grundschutzhandbuch, 2005, M 4.3. BSI, IT-Grundschutzhandbuch, 2005, M 4.3. 483 Beim Heimanwender wird davon ausgegangen, dass er vollen Zugriff auf sein System hat und nicht andere für die Sicherheit verantwortlich sind, wie dies etwa in Unternehmen regelmäßig der Fall ist. 484 Vgl. etwa Schulze-Heiming, Computerdaten, S. 70 ff., die mit den Worten „folgende Sicherungen sind in Betracht zu ziehen“ (a. a. O., S. 70 a. E.) o. g. Schutzprogramme nicht anführt. Etwas missverständlich und (zu) pauschal dürfte Grafs (MüKo-Graf, § 202a Rn. 31 ff.) Ansicht sein, der „Software-Sicherungen“ als Sicherungen „unabhängig vom Einzelfall“ annehmen möchte (a. a. O., Rn. 37). Der Nachweis, welche Quellen Antivirenscanner nicht erwähnen, ist müßig. 482
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
277
Abs. 1 S. 2 Nr. 1) und die Befriedung von Besitztümern (§ 123 Abs. 1). Gezielter Schutz vor Spionage, ohne zugleich vor anderen Angriffen zu schützen, ist theoretisch möglich, aber kaum sinnvoll. Selbst wenn nur vor Spionage geschützt werden soll, ist eine möglichst breite Abwehr technisch effektiver. Bei handelsüblichen Komplettcomputern ist oft ein Sicherheitspaket ohnehin vorinstalliert, sodass der Nutzer gar nicht das Bedürfnis hat, sein Sicherheitsbestreben gesondert zu verfolgen, da es vorauseilend schon durch die Serienausstattung mit einem Grundschutz realisiert wurde, dem viele Nutzer keinen besseren hinzuzufügen vermögen. Auch wäre im Hinblick auf eine Dokumentation eines erhöhten Schutzinteresses jedenfalls neben der Erstinstallation auch eine regelmäßige Aktualisierung und ein residenter Einsatz der Programme erforderlich. Dies ergibt sich aus den oben dargelegten technischen Besonderheiten des Virenschutzes, der nur nach bekannten Programmen effektiv sucht. Daher wird auch erst der Einsatz eines regelmäßig aktualisierten Virenscanners vom BSI als Grundschutz anerkannt.485 3. Sogenannter Kopierschutz In der Literatur ist umstritten, ob Maßnahmen, die das Schaffen einer funktionsfähigen digitalen Kopie verhindern sollen (sogenannte Kopierschutzmaßnahmen), als Zugangssicherungen im Sinne des § 202a Abs. 1 angesehen werden können. Dem Begriff ist mit Vorsicht zu begegnen. Für die hiesige Untersuchung ist sich der prinzipiellen Wirkungsweise der genannten Maßnahmen zuzuwenden. Teilweise wird angenommen, die Maßnahmen seien Spionageschutz, mit dem Argument, das Verhindern eines identischen Klonens zeige, dass die Verfügungsgewalt über die Daten nicht gegeben sei.486 Andere widersprechen: Verhindert werde nur die Vervielfältigung, nicht aber der Zugang zu den Daten.487 Um die Frage beantworten zu können, ist ein Blick auf die Wirkungsweise des sogenannten Kopierschutzes nötig. Um sogenannte Raubkopien, also unbefugte und urheberrechtsverletzende Kopien zu verhindern, werden Datensätze heutzutage mit diversen Maßnahmen versehen. Dabei ist es grundsätzlich unmöglich, Daten gegen das Kopieren zu schützen. Denn um Daten nutzen zu können, müssen sie für ent485
Siehe soeben, Fn. 480, S. 275. Hilgendorf, JuS 1996, 512; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8; Meier, JZ 1992, 657, 662. 487 B. Heinrich, Standardsoftware, S. 302 f.; NK-Kargl, § 202a Rn. 8; Kuhlmann, CR 1989, 177, 184 f.; LK-Schünemann, § 202a Rn. 15; Schulze-Heiming, Computerdaten, S. 72. 486
278
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
sprechende Geräte lesbar sein. Entweder sind die Daten aber lesbar, dann sind sie auch kopierbar, oder sie sind es nicht – dann ist der Originaldatensatz jedoch schon wertlos. Sind die Daten lesbar, so kann grundsätzlich nicht verhindert werden, dass sie auf einem anderen Datenträger niedergelegt werden. Nichts anderes aber ist eine Kopie.488 Der Begriff des Kopierschutzes ist daher vor dem Kontext der digitalen Verarbeitung zu sehen und nicht technisch präzise. Seine praktische Bedeutung haben die Maßnahmen durch ein anderes Phänomen und erscheinen dadurch für den Endanwender wie ein Kopierschutz: Es kann forciert werden, dass die Kopie wertlos wird, indem der Computer sozusagen dazu verlockt wird, die zwar prinzipiell mögliche identische Kopie nicht anzufertigen, sondern eine leicht modifizierte, was unter Kombination(!) mit anderen Mechanismen den Datensatz unbrauchbar macht. Die drei wohl verbreitetsten Methoden dazu sollen hier kurz dargestellt werden: Eine etwa bei Audio-CDs gängige Methode ist, absichtlich Fehler im Datenformat einzubauen. Damit wird der Audio-CD-Standard verletzt.489 Dieser legt fest, in welcher Weise Daten auf Audio-CDs hinterlegt werden müssen. Vereinfacht wird bspw. normiert, dass verschiedene Metadaten hinterlegt werden wie etwa ein Inhaltsverzeichnis und seine Positionierung, wie die einzelnen Stücke voneinander abgegrenzt werden, wie Pausen zwischen den Stücken markiert werden etc. Solche CDs sind in Audiolaufwerken lauffähig, nicht aber in Computerlaufwerken, die an diese Standards gebunden sind. Daher können die CDs nicht ohne Weiteres von Computern kopiert werden. Ein weiterer Mechanismus, der erforderlich ist, wenn der Datenträger zu startende Software enthält, nutzt die Fehlerkorrektur der Laufwerke: Wenn CDs kopiert werden, so werden Verstöße gegen oben genannte Standards bei der Quell-CD nicht auf die Ziel-CD übertragen. Dies ist allgemein sinnvoll. Beim sogenannten Kopierschutz wird dieses Phänomen ausgenutzt, indem ein gewollt fehlerhafter Datenträger hergestellt wird. Kopiert der Nutzer diesen (dann muss er anders als im vorgenannten Fall im Computerlaufwerk lauffähig sein, da sich die Software sonst überhaupt nicht nutzen lässt), dann werden die Fehler aufgrund der automatischen Fehlerkorrektur auf der Ziel-CD nicht mehr vorhanden sein. Versieht man nun vorab die zu schützende Software auf der CD mit einer Funktion, die aber nach den original vorhandenen Fehlern sucht und das Programm stoppt, wenn sie diese nicht findet, dann ist das Programm von 488
Insofern sehr unscharf; Krutisch, Computerdaten, S. 119. Die CDs werden daher mit Hinweisen versehen – etwa derart, dass sie den Standards nicht entsprechen und in Computern nicht lauffähig sind. Der Kaufvertrag wird dementsprechend angepasst, dass die CDs nicht allen Spezifikationen zu entsprechen haben. Ansonsten handelte es sich um fehlerhafte Ware mit den entsprechenden zivilrechtlichen Konsequenzen. 489
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
279
der kopierten, fehlerbereinigten CD nicht lauffähig.490 Die Erstellung eines identischen Klons wird also vermieden. Dies aber nicht aufgrund eines auf der CD befindlichen Programms, wie Krutisch nahelegt,491 sondern aufgrund der physischen Beschaffenheit der CD, bei deren Erstellung die Funktion automatischer Fehlerentfernung antizipiert und gleichzeitig das Vorhandensein der Fehler zur Bedingung des Programmablaufs gemacht wurde. Ein weiterer Mechanismus, wie er etwa bei DVDs als sogenanntes CSS492 Anwendung findet, ist, die Daten auf dem Datenträger zu verschlüsseln, den Schlüssel aber nur an Gerätehersteller zu vergeben, die sich verpflichten, die Daten nur für die Wiedergabe zu entschlüsseln und keinen für eine Kopie verwertbaren Datenstrom an den Computer weiterzuleiten. Auch hier werden die Daten ausgelesen, es sollte aber am Markt keine Geräte geben, die die Daten entschlüsseln und für eine Kopie weiterleiten können. Der Vollständigkeit halber seien kurz die Umgehungsmöglichkeiten der Schutzmethoden genannt: Dem ersten Vorgehen wird begegnet, indem man mittels Software versucht, den Lesemodus des CD-ROM Laufwerks so zu beeinflussen, dass es ihm gelingt, die CD trotz Fehlern auszulesen (denn grundsätzlich lesbar muss sie sein, ansonsten könnten auch Audio-Laufwerke die CD nicht abspielen). Der zweiten Technik wird begegnet, indem versucht wird, die Autokorrektur auszuhebeln, indem ein Kopierprogramm verwendet wird, das versucht, einen (möglichst) identischen Klon zu erstellen – also auch alle Fehler zu übertragen. Die Verschlüsselung lässt sich brechen – wie es beim CSS etwa vollständig gelang. Entsprechende Entschlüsselungssoftware ist im Internet frei verfügbar. Oder es wird versucht, die Daten an einer Stelle abzugreifen, an der die Kette der Verschlüsselungen eine Lücke hat.493 490 Unrichtig Krutisch, Computerdaten, S. 119, die behauptet, Unterprogramme liefen bei jedem Programmablauf mit, die eine Kopie verhinderten. Dies kann nicht funktionieren, bei Audio-CDs gibt es keine Programme, sondern nur hinterlegte Daten. Auch bei Programm-CDs muss ja nicht stets das Hauptprogramm laufen (das das Unterprogramm zum mitlaufen brächte), die CD kann auch, ohne dass ein Programm von dieser gestartet wird, ausgelesen werden. Außerdem ist fraglich, wie ein Programm die Kopiermodi auf einem Computer wirksam verhindern sollte. 491 Krutisch, Computerdaten, S. 119. 492 Content Scrambling System, zu deutsch: Inhaltsverschlüsselungssystem. 493 Um diese Kette möglichst bis zur analogen Endausgabe lückenlos zu halten, wird daher beim neuen hochauflösenden Fernsehen zur Bedingung gemacht, dass selbst der Fernseher verschlüsselt. Kann er dies nicht, werden die Daten nicht übertragen. Für die gleiche Fragestellung hat IBM die Sicherheitstechnik „Secure Blue“ entwickelt. Sie ver- und entschlüsselt Daten „on-the-fly“, d.h. in Echtzeit und ohne den Prozessor zu belasten. Dieser kann nur verschlüsselte Daten verarbeiten. Dadurch kann gewährleistet werden, dass „letzte unverschlüsselte Lücken“ geschlossen werden.
280
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Daraus folgt, dass das Auslesen der Daten, also der Zugang zu ihnen, nicht verstellt wird. Selbst die Verhinderung eines Klons bedeutet nicht, dass die Ursprungsdaten nicht gelesen werden können. Dies würde keinen Sinn ergeben, da sie dann insgesamt unbrauchbar wären. Nur ein Leseschutz verhindert den Zugang. Der sogenannte Kopierschutz setzt aber wesentlich später an. Es wird (lediglich) die identische Kopie der Daten verhindert. Zwar nicht durch ein Programm, doch aber durch ein „fehlerhaftes“ Vorliegen von Daten. So macht sich die Sicherung zunutze, dass die Daten weiterverarbeitet, zumindest aber fehlerbereinigt werden. Wie schon Krutisch darlegt, liegen die Daten zudem offen, sie können etwa mit einem Dis-assembler494 zugänglich gemacht werden.495 Der Kopierschutz verhindert nicht das Auslesen und damit nicht den Zugang zu den Daten. Eine Zugangssicherung liegt damit nicht vor. Dies gilt umso mehr, wenn man mit der herrschenden Meinung darauf abstellen will, dass ein Geheimnisschutzinteresse dokumentiert sein müsste. Es ist gerade augenscheinlich, dass der Hersteller sein Urheberrecht schützen will und wirtschaftliche Interessen verfolgt. Er will schlicht durchsetzen, dass jeder Nutzer bei ihm eine Kopie kauft und diese nicht kostenlos selbst herstellt. Für die Sicherung durch Verschlüsselung allerdings sei auf die Behandlung unter dem entsprechenden Abschnitt verwiesen.496 4. Sonstige Sicherungsmaßnahmen im weiteren Sinne Ähnliche Argumente lassen sich anderen Sicherungsmaßnahmen im weiteren Sinne entgegenhalten. In aller Regel versuchen Nutzer, ihren Computer gegen Zugriffe von außen abzusichern. Dabei steht nicht unbedingt der Schutz vor dem Ausspähen im Vordergrund. Zu Sicherheitsmaßnahmen befragt, geben manche Nutzer gar an, man habe ja nichts zu verbergen. Selbst wenn Sicherungsmaßnahmen getroffen werden, so kann bei einer solchen Einstellung nicht von einem Geheimhaltungsinteresse ausgegangen werden. Insgesamt decken die meisten Schutzmaßnahmen verschiedene Sicherungszwecke ab. Ihnen ist von außen nicht anzusehen, welche genaue Zweckbestimmung der Umsetzung zugrunde lag. Daher kann eine Dokumentation 494
Ein Dis-assembler wandelt den Objektcode in den Quellcode (zurück) um. Programme werden oft in einem (menschenlesbaren) Stadium geschrieben und dann in ein (maschinenlesbares) übersetzt, assembliert. Ein Dis-assembler kehrt diesen Vorgang um. Dies ist dabei nicht immer möglich. Um einen Vergleich zu ziehen: Aus einem fertigen Kirschkuchen lässt sich schlecht auf dessen Rezept schließen. Zum Problem des Dis-assemblens (auch „reverse engineering“) s. auch Meier, JZ 1992, 657, 663 einerseits und B. Heinrich, Standardsoftware, S. 304 andererseits. Vgl. ebenfalls Harte-Bavendamm, CR 1986, 616, 619. 495 Krutisch, Computerdaten, S. 120. 496 s. unten, S. 303.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
281
eines Geheimhaltebedürfnisses nicht im Vorliegen solcher Maßnahmen gesehen werden. Ein wesentlicher Schutzmechanismus (auch) gegen das Eindringen und Auslesen ist bspw. eine sorgfältige Installation. Dadurch werden Systemlücken vermieden, die sonst ausgenutzt werden könnten, siehe Teil 1 C. II. 2. d), S. 133. Auch eine durchdachte (Zugriffs-)Rechteverwaltung des Computers dient vielen Zwecken, auch wenn sie eine Grundmaßnahme jeden Computerschutzes darstellt.497 Sie verhindert zwar auch den Einblick eines Nutzers in den Bereich eines anderen, verfolgt aber auch noch viele weitere Zwecke.498 Teils verwendet ein und derselbe Nutzer mehrere Nutzerprofile zur besseren Verwaltung. Es ist aber absurd anzunehmen, er wolle den Einblick des einen Profils in das andere unterbinden, da er selbst Zugang zu allen Profilen hat. Jedenfalls unter dem Gesichtspunkt der Dokumentation ist ein besonderes Geheimhaltebedürfnis daher nicht anzunehmen. Bei diesen und anderen gängigen Schutzmaßnahmen, die in der Praxis als sehr sinnvoll anerkannt sind499, ist das Vorliegen einer Dokumentation eines Geheimhaltebedürfnisses noch entschiedener abzulehnen als bei der Verwendung einer Passwortabfrage, einer Firewall oder von Programmen zur Eliminierung von Schadprogrammen. 5. Zwischenergebnis Als Zwischenschluss ist festzuhalten, dass der Einsatz von Maßnahmen, die ein Normalnutzer (noch) umsetzen kann und die nach einhelliger Meinung ein hohes Schutzniveau gerade auch gegen das Ausspähen bieten, dennoch nicht auf ein erhöhtes Geheimhaltebedürfnis schließen lässt. Dies rührt daher, dass die Maßnahmen gegen eine Vielzahl von möglichen Angriffen gerichtet sind. Man kann sagen: gegen alle unerwünschten Vorgänge. Prinzipiell soll zunächst einmal alles Fremde draußen bleiben und Erwünschtes gezielt hereingelassen werden. Es ließe sich damit auch von einem generellen Verbot mit Erlaubnisvorbehalt sprechen. Die Schutzmaßnahmen ähneln in ihrer allgemeinen Zielsetzung somit denen der Befriedung eines Grundstücks. Dabei kann auch nicht davon ausgegangen werden, dass stets ein Geheimhaltungsbedürfnis jedenfalls mitschwinge. Etliche gängige und wirksame Schutzmaßnahmen vor dem Zugang zu Daten müssen daher, nimmt man die Forderung der herrschenden Meinung nach einer unmissverständlichen Dokumentation ernst, ausgeschieden werden. 497 498 499
BSI, IT-Grundschutzhandbuch, 2005, M 5.10. Zur Funktionsweise: s. oben, S. 220 vgl. auch Violka, c’t 13–2006, 220 ff. Siehe die Darstellung des BSI, IT-Grundschutzhandbuch, 2005, M 5.
282
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Dies ist im Ergebnis kriminalpolitisch höchst diskussionswürdig. Anders als bei § 243, bei dem das Verschließen eines Hauses alle darin befindlichen Gegenstände500 dem durch das erhöhte Strafmaß qualifizierten Schutz unterstellt, wird ein für § 202a genügender Geheimnisschutz erst angenommen, wenn der Datenverfügungsberechtigte am Datum gesondert und spezifisch sein Geheimhaltungsbedürfnis dokumentiert. Dazu wird er sich aber oft gar nicht veranlasst sehen, wähnt er doch seine Daten in einem verschlossenen Haus ebenso vor Zugriff geschützt, wie die dortigen Gegenstände. Andererseits soll ein pauschaler Passwortschutz alle Daten hinter dem Passwort erfassen. Diese Unterscheidung ist nicht nachvollziehbar. Es sollten grundsätzlich an die Dokumentation – wenn man an ihr als Erfordernis überhaupt festhalten will – niedrige Anforderungen gestellt werden. Eine stete und spezifische Dokumentation an jedem Datenträger, an jedem Computer etc. kann nicht Voraussetzung sein, um den Bürger in den Schutz des § 202a kommen zu lassen. Dies muss umso mehr gelten, als die faktische Entwicklung eine starke Verbreitung von Datenträgern und Datenverarbeitungseinheiten mit sich bringt. Unter dem vielbeschworenen Stichwort des Ubiquitous Computing wird ein Phänomen diskutiert, das die allgegenwärtige Informationsverarbeitung und -speicherung bedeutet. Die Bundesregierung hat sich dieses Phänomens und der daraus folgenden Gefahren für den Datenschutz und die Privatsphäre bereits angenommen.501 Es kann, vor allem vor diesem Hintergrund der weiteren Verbreitung von elektronischen Daten, nicht erwartet werden, dass der Nutzer an jeder Stelle und zu jeder Zeit sein besonderes Geheimhaltungsinteresse gesondert zum Ausdruck bringt; ebenso wenig wie von ihm erwartet wird, sein besonderes Eigentumsinteresse für jeden einzelnen Gegenstand zu dokumentieren. 6. Nicht-digitale physische502 Maßnahmen Dem letzten Abschnitt entsprechende Argumente lassen sich in aller Regel auch nicht-digitalen physischen Maßnahmen entgegenhalten: Grundsätz500
Vom Korrektiv des § 243 Abs. 2 einmal abgesehen. Vgl. die vom Bundesministerium für Bildung und Forschung in Auftrag gegebene umfangreiche Studie zur „Technikfolgenabschätzung – Ubiquitäres Computing und Informationelle Selbstbestimmung“ (Taucis) verfasst von Bizer et al., 2006. 502 Teilweise werden physische oder physikalische Maßnahmen den elektronischen, logischen oder digitalen gegenüber gestellt. Zwar „weiß jeder, was gemeint ist“. Präzise und richtig ist dies jedoch nicht. Digitale Maßnahmen wirken stets physikalisch oder physisch. Wie auch sonst? Stromflüsse werden gesteuert, das binäre System aus „0“ und „1“ entscheidet schließlich nichts anderes als „Strom aus“ oder „Strom an“ im Chip und schaltet so „logisch“. Dabei überschneiden sich die Schutztechniken, eine Stahltür, die nur mittels Fingerscan geöffnet wird, ist analoger und digitaler Schutz zugleich. Und auf beiden 501
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
283
lich kann natürlich versucht werden, den körperlichen Zugang des Täters zum Computer zu verhindern. Durch nicht-digitale (analoge) physische Maßnahmen ist dies ähnlich dem herkömmlichen Diebstahlsschutz möglich beziehungsweise wird dies von Diebstahlsschutzmaßnahmen schon mit verwirklicht. Ein Computer ist schon vor Ausspähung geschützt, wenn er in einem umschlossenen Gebäude steht, wie dies in aller Regel der Fall ist.503 Auch die Maßnahmen, die vor allgemeinem Ausspähen etwa papiergebundener Information schützen sollen, erfassen den Computer üblicherweise mit. Es soll dabei nicht geleugnet werden, dass es Schutzmaßnahmen gibt, die vor Diebstahl alleine schützen, wie etwa das bloße Anketten des PCs. Während dies die Wegnahme verhindert, beeinflusst es den Zugang zum Computer nicht. Analoge Maßnahmen verhindern also den Zugang zu den Rechnern. Sie erstrecken sich dabei sinnvollerweise auch auf die mit ihnen verbundenen (datenführenden) Leitungen und berücksichtigen die elektromagnetischen Emissionen.504 Für die hiesige Darstellung ist interessant, dass analogen Schutzmaßnahmen meist nicht angesehen werden kann, welche Schutzrichtung sie haben. Ob sie vor Wegnahme oder Einsichtnahme schützen sollen, bleibt meist unklar. Ob nun ein Schloss an der Haustür angebracht wurde, um die Wegnahme des Computers (oder möglicherweise nur anderer Gegenstände) zu verhindern oder die Einsichtnahme zu unterbinden, kann meist nicht erEbenen kann der Schutz überwunden werden. MüKo-Graf, § 202a Rn. 35 wählt dagegen einen anderen Sprachgebrauch, er unterschiedet bauliche Maßnahmen, technische Schutzvorrichtungen, physische Maßnahmen, biometrische Sicherungen und Software-Sicherungen. Die Begriffe werden erst deutlich, wenn Beispiele genannt werden. Dass sich die einzelnen Bereiche in vielen Punkten überschneiden, ist offensichtlich. Auch andere stellen physischen Schutz dem digitalen, softwaretechnischen etc. gegenüber. Präziser wäre wohl in Abgrenzung vom elektronisch-digitalen vom sonstigen technischen, analogen oder nicht-digitalen Schutz zu sprechen. 503 Computer lassen sich allerdings auch ausspähen, ohne sich ihnen vollständig zu nähern oder über ihre Datenverbindungen einzudringen. Exkursorisch soll hier ein Sonderfall Erwähnung finden, der zeigt, wie mannigfaltig die Wege sind, zu fremden Informationen zu gelangen: Es besteht die Möglichkeit, aus gewisser Entfernung die physischen Signale der momentanen Bildschirmdarstellung auszulesen. Dabei werden die elektromagnetischen Strahlen eines (Röhren)Bildschirms empfangen und auf einem eigenen Bildschirm dargestellt. Dies Maßnahme ist aber nicht sehr gebräuchlich und wird aufgrund ihres Aufwandes in erster Linie bei hohem erwarteten Nutzen, also militärisch oder wirtschaftlich motivierter Spionage, angewandt. Da hier der Täter keinen direkten Zugriff zum Computer braucht, aber doch in „gewisser Nähe“ sein muss (abhängig von der Strahlung des Bildschirmes, der Empfängereinheit und den dazwischen liegenden Hindernissen für die Strahlung lassen sich einige Meter überbrücken), stellt diese Zugriffsart einen (selten gegangenen) Weg zwischen lokalem Zugriff und beliebigem Ausführungsort dar. Vgl. auch Fn. 266, S. 79 sowie Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7. 504 Vgl. Fn. 503, S. 283, s. auch Fn. 266, S. 79.
284
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
kannt werden. Die wenigsten Schlüssel- und Schlossbenutzer werden sich darüber auch dezidiert Gedanken machen. Sie haben meist einen generellen Willen, eben alles im Haus vor anderen zu schützen. Es stellen sich bezüglich des analogen Schutzes damit auch die oben bezüglich des digitalen Schutzes aufgeworfenen Probleme: Eine Dokumentation eines Geheimhaltebedürfnisses an bestimmten Daten ist nur dann eindeutig, wenn sie aktiv (bei plausiblen Handlungsalternativen) vorgenommen wird, wenn sie sich auf das Schutzobjekt bezieht und wenn der Zweck der Geheimhaltung erkennbar ist. Dementsprechend ist im Rahmen des § 202a StGB umstritten, welche Zweckrichtung die nicht-digitale physische Sicherung haben muss. Teils wird gefordert, Geheimhaltung müsse primäres Ziel sein.505 Die wohl herrschende Meinung will es ausreichen lassen, dass die Sicherung jedenfalls auch (neben anderen Zwecken) vor unbefugtem Zugriff schützen soll, während Sicherungen, die ausschließlich anderen Zwecken (Brandschutz etc.) dienen und bei denen die Sicherung vor Zugang bloßer Reflex ist, nicht ausreichen sollen.506 Während dies in der Theorie einleuchten mag, ist die Unterscheidung im Einzelfall sehr schwierig. Die Literatur scheidet unter Anwendung ihres Kriteriums, das Geheimhaltebedürfnis müsse sich dokumentieren, etliche Sicherungen aus. So sollen Blechschränke und verschlossene Räume zu den Sicherungen im Sinne des § 202a zählen, das nur verschlossene Haus dagegen nicht.507 Auch feuersichernde Türen ohne Schloss sollen keine solchen Sicherungen sein.508 Es bleiben etliche kritische Fälle: Es ließe sich an feuersichernde Türen mit Schloss denken (ein isolierter Zweck ist bei ihnen nicht erkennbar), an Blechschränke, die neben CDs vor allem vor Diebstahl zu Schützendes (etwa Juwelen) enthalten (der Inhalt spräche also für Diebstahlschutz) und vieles mehr. Es lassen sich graduell beliebige Fälle bilden, bei denen unklar bleiben wird, welcher Zweck hinter einer Maßnahme stand. Um ein Beispiel herauszugreifen, soll auf die verschlossene Tür eingegangen werden. In aller Regel wird es als nicht ausreichend angesehen, dass ein Haus als Ganzes verschlossen ist.509 Teilweise wird differenziert, für den Fall, dass ein Raum gesondert verschlossen ist.510 Dem liegt der 505 Leicht, iur 1987, 45 ff.; Schmachtenberg, DuD 1998, 401 belässt es bei der Nennung baulicher und hardware-technischer Maßnahmen in seiner Untersuchung zu § 202a StGB. Eine rechtliche Wertung findet sich nicht. 506 Stellv. Krutisch, Computerdaten, S. 104, Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7; Schulze-Heiming, Computerdaten, S. 66 f. 507 Für viele Hilgendorf, JuS 1996, 703; SK-Hoyer, § 202 Rn. 9; NK-Kargl, § 202a Rn. 9; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 7. 508 Nach LK-Schünemann, § 202a Rn. 16 m. w. N. 509 s. schon Fn. 507, S. 284. 510 LK-Schünemann, § 202a Rn. 16.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
285
Gedanke zugrunde, dass ein Haus ohnehin und aus anderen Gründen verschlossen wird, das besondere Geheimhaltungsinteresse also keinen Raum hatte, sich niederzuschlagen, sondern – falls es vorhanden ist – mit anderen Interessen zusammenfällt und sich so nicht gesondert zeigen kann. Dies ist unbefriedigend. Dass das Interesse keine Gelegenheit hatte, sich gesondert zu zeigen, heißt schließlich nicht, dass es nicht vorhanden ist. Es äußert sich lediglich nicht deutlich. Daran die Unterscheidung von Strafbarkeit und Straflosigkeit festzumachen, führt zu Abgrenzungsproblemen. Die Literatur kommt hier demgemäß auch zu widersprüchlichen und kaum nachvollziehbaren Ergebnissen.511 Man nimmt dem Bürger die Möglichkeit der Dokumentation auf ihm beliebende Weisen. Bei einem Ein-Raum-Haus bleibt keine Möglichkeit einen Raum gesondert vom Haus unabhängig zu verschließen. Auch geht Trennschärfe verloren. Bei besonders großen Räume, etwa Lagerräumen, die verschlossen werden und in denen sich neben viel teurer Ware ein einzelner Computer befindet, bleibt dagegen unklar, weshalb der Raum verschlossen wurde. Er ist möglicherweise nur verschlossen, um die Ware vor Diebstahl zu schützen, möglicherweise befinden sich aber auch wichtige Unternehmensdaten auf diesem Computer, die im Vordergrund des Schutzes standen. Wohlgemerkt: Der Täter soll wissen, bevor er den Computer startet, ob er mit strafrechtlicher Ahndung zu rechnen hat oder nicht.512 Auch bedeutete diese Konzeption in der Konsequenz, dass ein Computer in einem selbst ungesicherten Raum in einem Hochsicherheitstrakt eines Geheimdienstgebäudes, das mit allen erdenklichen Sicherungen („scharfe Hunde“, Gräben, Wachen, biometrische Zugangskontrollen wie Stimmabgleich, Augeniris-Scan, Passwörtern, Stahltüren etc.) gesichert ist, nicht von § 202a StGB erfasst würde. Zur Dokumentation eines Geheimhaltungsinteresses an den Daten auf dem Computer müsste man eine erneute Sicherung fordern, bei der dann aber ein geringes Schutzniveau ausreichen sollte – ein kaum nachvollziehbares Ergebnis. Die Praxis gab hier noch nicht Anlass für eine Überprüfung. Das Hellfeld dürfte äußerst gering sein und es selten im gerichtlichen Urteil auf § 202a ankommen.513 Die forensische Praxis hat daher noch nicht viele entschei511
Vgl. etwa das Anrufbeantworterbeispiel, s. oben S. 202 ff. Schulze-Heiming, Computerdaten, S. 65. 513 s. S. 21 ff. Es gelangen schon aus den a. a. O. genannten Gründen wenig Fälle zur Anzeige: Ausspähung ist ein (wenn auch nicht notwendigerweise, dann doch) typischerweise heimliches Delikt. Kommt es zur Entdeckung, so wird das Opfer selten dem Bruch eines Geheimnisses und damit dem Geheimnis selber, sei es im privaten oder wirtschaftlichen Bereich, durch Anzeige Aufmerksamkeit zulenken. Sind andere Interessen, etwa wirtschaftliche, verletzt, so war die Ausspähung oft vorbereitend. Die Norm wird dann strafprozessual (§ 153a ff. StPO) oder im Wege der Konkurrenzen im Strafverfahren „mitbehandelt“, da sie dann nicht (mehr) im Vordergrund des Interesses steht und nicht (mehr) den Hauptvorwurf stützt. 512
286
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
dungserhebliche Fragen aufgeworfen. Doch wenn fallbasiert Grenzlinien aufgezeigt werden sollen, zeigt sich die Schwäche der gängigen Theorie: Hilgendorf müht sich um eine kasuistische Eingrenzung der Fälle. Es war bereits der von ihm gebildete folgende Fall referiert, bei dem ein Schüler durch ein verschlossenes Fenster seiner Schule in einen Raum einsteigt, um Daten von dem dort befindlichen Computer zu erlangen.514 Dies wäre nach der vertretenen Ansicht straflos. Die Abwandlung des Falles dahingehend, dass der Schüler durch das verschlossene Fenster zunächst in einen Nebenraum einstiege und sich von diesem durch eine verschlossene Innentür in den Raum begäbe, in dem sich der Computer befindet, würde dagegen zur Strafbarkeit führen. Wäre die Innentür in dieser Abwandlung unverschlossen, so wäre der Schüler – trotz vorherigen Eindringens durch ein verschlossenes Fenster – wiederum nicht zu bestrafen. Die genannten Ergebnisse leuchten nicht unmittelbar ein. Unklar ist, was gelten soll, wenn der Schüler zwar durch das verschlossene Fenster direkt in den Raum einstiege, in dem der Rechner steht, aber neben dem Fenster auch die einzige Tür des Raumes verschlossen wäre. Es stellt sich die Frage, wie nah der Schutz am Schutzobjekt sein muss und was man lebensnah für eine Dokumentation fordern möchte. Möglicherweise ist aber dieses Kriterium der Nähe nicht zielführend. Die tatsächlichen Unterschiede sind vom Eindringling teilweise nicht zu erkennen. Für ihn sind vor allem die Fälle gleichwertig, in denen er durch ein verschlossenes Fenster in einen Raum einsteigt, in dem er Daten ausspäht – gleich ob die Tür des Raumes verschlossen ist oder nicht. Das bereits Erarbeitete wird hier bestätigt: Nimmt man das Erfordernis der unmissverständlichen Dokumentation ernst, so werden im Ergebnis (zu) viele Sicherungsmittel ausgeschieden und vom Einzelnen wird – wenig opferfreundlich – erwartet, dass er seinen versteckten Computer in seinem modernst und effektiv abgesicherten Haus nochmals gesondert sichern muss, um zu dokumentieren, ja – er wolle gerade (auch) diesen Computer schützen. Dies ist, als wollte man fordern, ein Hausdach möge umzäunt werden, um dieses in den Genuss des von § 123 erfassten Hausfriedens gelangen zu lassen. In verwandten Normen, etwa § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1 erstreckt sich ein allgemeiner Schutz dagegen auf „alles, was dahinter liegt“, ohne dass es einer jeweiligen Dokumentation bedürfte, ja – auch dieses Besitztum solle erfasst sein. Auch im Vergleich der Sicherungstechniken zeigen sich Brüche. Bei der verschlossenen Tür soll es auf die Spezifität des Schutzes ankommen und sie bei Haustüren verneint, bei Raumtüren aber bejaht werden. Bei der Passwortabfrage soll sie wiederum stets gegeben sein.
514
s. S. 233 f.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
287
7. Hindernisse gegenüber dem Auffinden und Verstehen – Krypto- und Steganographie a) Einführung Verschlüsselung und Verstecken sind naheliegende, von jeher gebräuchliche,515 relativ einfach umzusetzende und meist hocheffektive Geheimnissicherungstechniken. Dennoch werden sie, falls überhaupt, so nur unter großen argumentativen Mühen als Zugangssicherungen im Sinne des § 202a von der Literatur anerkannt.516 Die Verschlüsselung sieht sich widerstreitenden dogmatischen Überlegungen ausgesetzt. Die widersprüchliche Kryptopolitik517 der Bundesregierung konnte bisher nicht zu einer Gesetzesänderung führen. Gleichzeitig ist das Bedürfnis nach Verschlüsselung zur Sicherung von elektronischen Geheimnissen hoch. Zum Schutz der Kommunikation ist sie state of the art und kennt keine Alternative.518 Aber auch zum Schutz gespeicherter Information ist sie von großer praktischer Bedeutung. b) Kurzglossar519 Kryptologie: Das Wort leitet sich aus dem griechischen kryptós; „versteckt/verborgen“ und lügoò oder logos – in diesem Zusammenhang Lehre, Wissenschaft ab. Diese Lehre oder Wissenschaft vom „Verbergen“ lässt sich in die zwei Teilbereiche Kryptographie und Kryptoanalyse untergliedern. Kryptographie: Abgeleitet aus den griechischen Begriffen kryptós und gráphein; „schreiben“ befasst sich die Kryptographie mit der Codierung 515 Zur Historie sogleich. Nach Grimm werden kryptographische Verfahren „schon seit Menschengedenken“ eingesetzt, in Roßnagel/Banzhaf/Grimm, E-Commerce, S. 88. 516 Insbesondere bei der Verschlüsselung ist das Bild gespalten: Bejahend: Jerouschek/Kölbel, NJW 2001, 1601, 1603; Lackner/Kühl, § 202a R.n 4; ausf. Krutisch, Computerdaten, S. 116 ff.; Möhrenschlager, wistra 1986, 128; LK-Schünemann, § 202a Rn. 16 m. w. N.; Schulze-Heiming, Computerdaten, S. 74 ff.; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8; 140; Schmachtenberg, DuD 1998, 401, 402. a. A.: Bär, Computerkriminalität, Kap. 18 Rn. 78; P. Schmid, Computerhacken, S. 104, der sogleich de lege ferenda vorschlägt, die Verschlüsselung ausdrücklich aufzunehmen. Zweifelnd jedenfalls Lenckner/Winkelbauer, CR 1986, 483, 487, vgl. aber Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8. Zur Wertung der Verstecktechniken siehe für Literaturhinweise dort. 517 s. dazu S. 314 sowie dort Fn. 598 ff. 518 Nachweise in Fn. 538, S. 293, vgl. auch BSI, IT-Grundschutzhandbuch, 2005, M 4.34. 519 Vgl. auch die ausführlichen Terminologiehinweise von Schneier, Kryptographie, Kap 1.1, S. 1 ff.
288
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
und Verschlüsselung von Informationen. Dazu sind ebenfalls Kenntnisse der Kryptoanalyse – der Entschlüsselung – nötig, um mögliche Angriffe schon beim Verschlüsseln zu antizipieren und sie nach Möglichkeit auszuschließen.520 Kryptoanalyse: Abgeleitet aus kryptós und dem ebenfalls griechischen anÜlush, vom altgriechischen Verb ÷nalŸein „auflösen“. Sie befasst sich mit dem Entschlüsseln der verschlüsselten Informationen. Steganographie von griechisch steganographia, zu: steganós; „bedeckt, versteckt“ und gráphein; „schreiben“: Die Steganographie versteckt wichtige Information in belangloser Trägerinformation und erschwert dadurch das Auffinden der sensiblen Daten. Der Begriff wird dabei sowohl verwandt, wenn es um das Verstecken von Information allgemein geht als auch wenn Information in anderer Information verborgen wird (Steganographie im engeren Sinne). Das Prinzip der Steganographie ist demnach nicht mit dem der Kryptographie zu verwechseln. Beide sprechen zwar vom Verstecken und Verbergen, doch die Kryptographie verändert wichtige Information so, dass deren Sinngehalt nicht erschlossen werden können soll, ohne den Schlüssel zu kennen. Sie verbirgt dabei nicht, dass wichtige Information vorliegt oder übertragen wird. Die Steganographie will dagegen das Auffinden von Daten verhindern. Allerdings werden beide Prinzipien in der Anwendung schon von jeher oft kombiniert angewandt, wie sogleich gezeigt wird. Dies wird für die hiesige Untersuchung noch von Interesse sein. Die Datenerschließung kann als dreistufiger Prozess bezeichnet werden. Zunächst müssen die Daten gefunden werden. Dies können Verstecktechniken wie die Steganographie verhindern. Sind sie gefunden, so kann der Zugang verwehrt werden. Diesen Techniken wurde sich oben ausführlich gewidmet. Sind die Daten zugänglich, so kann verhindert werden, dass sie verstanden und gewertet werden. Dem dient die Verschlüsselung. c) Verschlüsselung und Verstecken – nicht nur historisch Verwandte Die Historie vom Verstecken und Verschlüsseln von Informationen ist aufgrund ihrer gleichen Zielrichtung, Dritten die Kenntnis respektive das Verstehen von Informationen zu verwehren, eng verwoben. Seit Menschengedenken bediene sich der Mensch der Kryptographie, so Grimm.521 Jeden520 Abwehr bedeutet immer Antizipation eines Angriffs und setzt daher zumindest grob die Kenntnis der verschiedenen Angriffsmöglichkeiten voraus. s. dazu schon oben S. 104. 521 Roßnagel/Banzhaf/Grimm, E-Commerce, S. 88.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
289
falls in der westlichen Hemisphäre können klassische Steganographie und Kryptographie auf eine lange gemeinsame Geschichte zurückblicken und bis ins Jahr 440 vor Christi zurückverfolgt werden, Herodot (auch Herodotus, circa 484–425 vor Christi) etwa erwähnt zwei Beispiele: Histiæus rasiert den Kopf seines vertrauenswürdigsten Sklaven und tätowiert ihn mit einer Nachricht, mittels derer er eine Revolte gegen die Perser initiieren will. Die Nachricht wird unsichtbar, als das Haar wieder wächst.522 Diese Methode wird von deutschen Spionen am Anfang des Zwanzigsten Jahrhunderts noch oder wieder verwendet werden.523 Weiter berichtet Herodot, das Demeratus, Grieche am Persischen Hof, Sparta vor der Invasion des Xerxes warnt: Er beseitigt das Wachs seiner Schreibtafel und schreibt auf deren hölzernen Untergrund seine Nachricht. Darauf überzieht er die Tafel wieder mit Wachs, so dass sie wie eine unbenutzte aussieht. Bei Kontrollen wird die Nachricht nicht entdeckt und selbst der Empfänger rätselt zunächst, wieso er eine scheinbar leere Tafel übersandt bekommt, bis er die Taktik durchschaut.524 Auch von dem griechischen Militär Æneas dem Taktiker (viertes Jahrhundert vor Christi), auch latinisiert Tacticus525 genannt, sind die verschiedensten Methoden der geheimen, versteckten und verschlüsselten Nachrichtenübermittlung bekannt. Æneas legt etwa dar, wie man Briefe auf alle erdenklichen Arten, etwa in Ohrringen, Schuhsolen etc. versteckt und sie so nicht einmal zur Kenntnis des Boten gelangen, dem man ein unwichtiges Schriftstück mit gibt.526 Auch legt er dar, wie man Bücher oder Briefe in üblichem Handelsgut verstaut und diese zu Trägern versteckter Information macht, indem man in kaum sichtbarer Weise einzelne Buchstaben (etwa durch kleine Stiche in das Papier) markiert. Liest der Empfänger jetzt nur diese gekennzeichneten Buchstaben, so ergeben sie einen eigenen – den entscheidenden – Sinngehalt. Die geheimste Art, so Tacticus, Nachrichten zu übermitteln, sei aber die, ohne zu schreiben. Es handelt sich wohl um eine der ersten bekannten Kombinationen von Verstecken und Verschlüsseln. Tacticus legt dar, wie durch Mitgabe eines unscheinbaren manipulierten Spielgerätes Nachrichten übermittelt werden können: Man bohre dazu in einen Astragal, ein antikes 522
Aus den Historien des Herodotus: Herodotus, (Historien), Buch 5, Kap. 35. Nachweise dazu bei Petitcolas/Anderson/Kuhn, Proc. of the IEEE, 87(7), (Jul. 1999) S. 1062, 1065. 524 Aus den Historien des Herodotus: Herodotus, (Historien), Buch 7 Kap. 239. 525 Auch Aineias Taktikos (latinisiert Aeneas Tacticus) war ein griechischer Stratege und Militärschriftsteller der ersten Hälfte des 4. Jahrhunderts v. Chr. Nicht mit dem römischen Historiker und Senator Publius Cornelius Tacitus, (Tacitus: „der Schweigsame“, um 55–um 120 n. Chr.) zu verwechseln. 526 Æneas (Tacticus) in Aeneas, Aeneas, XXXI (S. 155 ff.); LI (S. 215 ff.); Æneas (Tacticus), Siege, S. 84–90, 183–193. Wobei Æneas meist bekannte Taktiken berichtet und zusammenführt. 523
290
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Spielgerät,527 24 Löcher. Jedes Loch korrespondiert mit einem Buchstaben. Ein Faden werde durch die Löcher in der Reihenfolge der gewünschten Buchstabenfolge gezogen. Entfädele man nun den Astragal, so erhielte man den so geschriebenen Satz in umgekehrter Reihenfolge und dieser sei nur noch von hinten zu lesen.528 Es wurde also in erster Linie verschleiert, dass überhaupt kommuniziert wurde. Der Astragal wurde nicht besonders vor Diebstahl oder ähnlichem geschützt. Ähnliches galt für versteckte Briefe; es ist den Berichten zu entnehmen, dass den Boten oft ein unwichtiges Schriftstück mitgegeben wurde mit der Maßgabe, dies mit dem Leben zu beschützen. Die wirklich relevante Information war aber – auch dem Boten unbekannt – im Schuh des Boten untergebracht. Diesen schützte er nicht besonders, sondern nur allgemein, da er ihn zum Fortkommen benötigte. Der Versender verzichtete also bewusst auf erhöhten, besonderen technischen Schutz (mittels Verteidigung durch den Boten), um die Täuschung insgesamt aufrechtzuerhalten. Sollte der Bote doch gefangen genommen werden, der Schutz also nicht ausreichen, so würde die Botschaft zwar am Ziel nicht ankommen, der Feind aber würde sie – so der Plan – auch nicht finden. Diese Taktiken berücksichtigen, dass absoluter Schutz nicht möglich ist und versuchen daher durch Tarnung und Täuschung unter geschickter Kombination mit technischem Schutz ein höheres Schutzniveau zu erreichen, als es der höchste allein technisch realisier- oder vertretbare Schutz bieten könnte. Bereits diese Beispiele zeigen, dass es sehr sinnvoll sein kann, sein Geheimhaltebedürfnis gerade nicht zu dokumentieren, um es zu schützen. Die Techniken wurden über die Jahrhunderte weiter verfeinert, Kombinationen von Verschlüsselung und Verstecken bis heute beibehalten529 – siehe dazu unten, h), S. 315. An den Taktiken hat sich technisch 527
In der Funktion einem Würfel vergleichbar. Da ein mit einem Faden versehenes Spielgerät unscheinbare Gestalt hat, wird diese Verschlüsselungstechnik auch zur Steganographie gezählt, Petitcolas/Anderson/Kuhn, Proc. of the IEEE, 87(7), (Jul. 1999), S. 1062, 1065. 529 Der weitere Verlauf soll nicht in extenso dargelegt werden. Es ist jedoch gesichert, dass diese und ähnliche Techniken auch zu späteren Zeiten angewandt und weiter verfeinert wurden. John Wilkins berichtet im Jahre 1641 in seinem Werk Mercury nicht nur über die teils oben genannten Techniken von Demeratus, Histiæus und Cicero, sondern auch über die Anwendung solcher Techniken weit später im 9. und 10. Jahrhundert und verwendet dabei den Begriff der Steganographie (Wilkins, Mercury: or the secret and swift messenger, 1707, S. 15 ff. (Die erste Auflage wurde bereits 1641 verfasst, wie die dem Werk vorangestellte Biographie, S. VIII ergibt).) Er entwickelt eigene und berichtet über bereits bekannte optische sowie akustische Techniken. Teilweise bezieht er sich auf das umfassende achtbändige Werk zur Steganographie von Trithemius (1462–1516), der etwa um 1499 sein Werk „Steganographia“ verfasste). Beispielsweise löst Wilkins das Alphabet auf und stellt es in einer fünf-Bit Codierung dar. Er verwendet dazu ein binäres System aus „0“ und „1“. Kommuniziert 528
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
291
viel, in dieser Hinsicht jedoch wenig geändert. Darauf wird noch zurückzukommen sein. Die Techniken der Steganographie, also das Verbergen der Existenz der Information und der Verschlüsselung und damit das Verhindern des Erschließens der Verstehensebene, werden auch heutzutage kombiniert oder einzeln eingesetzt, je nach Zweck. Dem Militär wird es oft darauf ankommen, schon zu verheimlichen, dass überhaupt kommuniziert wird. Weiter verschlüsselt es zudem. Hersteller von Medieninhalten werden diese nur verschlüsseln wollen, um etwa die Herstellung verwertbarer Kopien zu verhindern,530 die Existenz der Inhalte wollen sie gerade nicht leugnen. Manche werden nur geschickt verstecken wollen, ohne zu verschlüsseln, etwa weil Verschlüsseln offensichtlich macht, dass etwas verborgen werden soll. Wird etwas Verstecktes entdeckt, so kann immer noch behauptet werden, es sei nicht versteckt, sondern aus anderen Gründen dort verstaut gewesen und man habe nichts zu verbergen.
wurde die Nachricht dann e. g. dergestalt, dass zwei verschiedene Glocken geläutet wurden oder ein Musketenschuss für eine „0“ und ein Kanonenschuss für eine „1“ stand (Wilkins, Mercury, 1707, S. 70). Eine weitere Entwicklung von Wilkins (1614–1672) und Schott (1608–1666), der sich in weiten Teilen seines Werks auf Trithemius bezieht ( Schott, Schola steganographica, 1666, S. 1 ff. und insbesondere S. 210 bis 280), war die „musikalische Verschlüsselung“ (musical cipher): Musiker konnten nach dieser Methode miteinander kommunizieren, indem sie Musiknoten spielten, welche mit Buchstaben im Alphabet korrespondierten (Wilkins, Mercury, 1707, S. 75; Schott, Schola steganographica, 1666, Caput XIII S. 323 ff.). Durch bloßes Spielen von Tönen konnte so Text kommuniziert werden. Dieses System wurde so weit fortentwickelt, dass es in ein existierendes Musikstück eingebunden wurde und Dritte nicht den Eindruck gewannen, hier würde kommuniziert. Obwohl der Anwendungsbereich limitiert war, fand dieses System tatsächliche Beachtung, so werden Sir Francis Bacon (1561–1626) – neben dem Zitat „Wissen ist Macht“ auch einige verschlüsselte Kompositionen zugeschrieben. Dies mussten, wie alle Verschlüsselungen, seinerzeit „manuell“ decodiert werden. Diese mühsame Arbeit wurde im ersten Weltkrieg durch das Aufkommen sogenannter Codebücher etwas erleichtert, nach denen ganze Worte mit anderen vertauscht wurden und so nicht jedes Zeichen einzeln umgesetzt zu werden brauchte. Besonders aber die mechanisch(-elektrischen) Codeumsetzer, wie die berühmte Enigma erleichterten die Chiffrierung und Dechiffrierung. Im Anschluss an den Zweiten Weltkrieg folgte dann die Entwicklung elektronischer symmetrischer und asymmetrischer Schlüssel (Vgl. als Darstellung zur verschiedenen Wirkungsweise: unten Fn. 572, S. 304 Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 171 ff.) und mathematischer Logarithmen, wie sie heute noch angewandt werden. 530 Siehe dazu unter Kopierschutz oben, S. 277 ff.
292
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
d) Alternativlosigkeit von Kryptographie und Steganographie bei der Kommunikation Während zuvor genannte Schutzmechanismen vor allem auf den Schutz vor dem Auslesen auf einem Rechner gespeicherter, ruhender Daten anwendbar sind, bieten sie naturgemäß wenig oder keinen Schutz, wenn der Rechner Informationen versendet.531 Die Gefahr deAusspähung ist bei der Kommunikation weit höher als bei gespeicherten Informationen, jedenfalls dann, wenn die Daten, was regelmäßig der Fall ist, zumindest streckenweise außerhalb des eigenen Machtbereiches übertragen werden. Sie sind dann erhöhtem Zugriffsrisiko durch Dritte ausgesetzt, denn abhörsichere Kabel gibt es kaum.532 Auch das Entdeckungsrisiko des Abhörens ist, dies gilt all531 Datenversand existiert dabei naturgemäß auch innerhalb eines PCs. Der Schutz vor Eingriffen in diese Sphäre schützt daher auch vor dem Auslesen der PCinternen Kommunikation (etwa der zwischen dem Prozessor und der Festplatte etc.). Um vor Spionage auf allen Stationen der Kommunikation (und damit auch innerhalb des Rechners) zu schützen, wird versucht, den Datenverkehr komplett und lückenlos zu verschlüsseln – also zwischen sämtlichen externen wie internen Datenträgern und Recheneinheiten (inkl. Grafikchip, Soundchip etc.). Es gibt auch Bestrebungen, die Kommunikation in geschlossenen Recheneinheiten vor dem Anwender selbst zu schützen, etwa bei der digitalen (Urheber-)Rechteverwaltung (Digital Rights Management – DRM). Vgl. dazu Meyer, IT-Rechtsfragen, S. 116 ff. Bei DRM sucht der Rechteinhaber das (meist urheberrechtlich geschützte) Werk vor rechtswidrigem Gebrauch zu schützen (nicht zu verwechseln mit den sog. Zugriffsrechten, s. dazu Fn. 498, S. 281 und S. 220). Um etwa digitale Videofilme (bspw. von DVDs) vor dem Kopieren zu schützen, ist es grundsätzlich sinnvoll, den gesamten Datenstrom bis zum Darstellungsgerät (Fernseher oder PCBildschirm) zu verschlüsseln. Teilweise wird das Aussteuern eines analogen Signals verhindert oder dem analogen Signal ein „Störsignal“ beigemischt, das zwar die korrekte analoge Darstellung ermöglicht (ansonsten wäre der Film ja nicht „anschaubar“), es aber gleichzeitig verhindert, dass mit technischen Geräten das analoge Signal aufgezeichnet (und wieder digitalisert) wird. Selbst das Abfilmen vom Bildschirm soll dadurch verhindert werden. Dies ist möglich, indem dem analogen Signal ein Erkennungssignal beigemischt wird, welches zwar für den Menschen nicht wahrnehmbar ist; technische Aufnahmegeräte (wie Videokameras etc.) sind allerdings mit einem Mechanismus ausgestattet, der dieses Signal erkennt und die Aufzeichnung unterbindet. Die Rechteverwalter müssen also durchsetzen, dass die Aufnahmegeräte mit diesem Mechanismus versehen werden. Bei analogen Videofilmen auf VHS-Kassette war dieses Prinzip schon bekannt (sog. Macrovision) und verbreitet. 532 BSI, IT-Grundschutzhandbuch, 2005, G 5.7. Dies gilt selbst für Glasfaserkabel. Nur nebenbei sei bemerkt, dass selbst stark ummantelte Kabel abgehört werden. Beispielsweise ist bekannt, dass die U.S.-Amerikaner mittels U-Booten Seekabel regelmäßig abhören. Die Schutzschicht um den Kabelstrang ist dabei schon als Schutz vor Erosion ganz erheblich. Dennoch gelingt es, die gewaltigen Datenmengen aus diesen Kabeln tief unter Wasser abzuhören. Dies wurde schon 2001 von G. Schmid, Berichterstatter des nichtständigen Echelon-Untersuchungsausschusses des Europaparlaments, erklärt, s. Interview mit Schulzki-Haddouti, Telepolis
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
293
gemein, äußerst gering.533 Eine geringe Entdeckungswahrscheinlichkeit reduziert die Abschreckungswirkung möglicher Entdeckungsfolgen und erhöht dadurch die Angriffswahrscheinlichkeit. Ein Großteil der digitalen Kommunikation findet heutzutage ohnehin über das Internet statt. Hier sind die Daten dem Zugriff Dritter in besonderer Weise ausgeliefert, da die Struktur des Internet nicht darauf ausgelegt war und ist, Informationen vertraulich zu kommunizieren.534 Daher handelt es sich um eine weitgehend offene Kommunikation. Spezifische, gezielte Mechanismen waren ursprünglich nicht vorhanden und lassen sich nicht generell für das gesamte Internet implementieren. Elektronisch übermittelte Dokumente sind grundsätzlich – im Gegensatz zur Briefpost etwa – durch die Netz- und Diensteanbieter einsehbar. Dritte können mit verhältnismäßig geringem technischen Aufwand die Nachrichten abhören.535 Daher wird (unverschlüsselte) elektronische Kommunikation mit dem Versand von Postkarten verglichen.536 Der Schutz wird allein mittelbar durch die Schwelle gewährleistet, welche die technische Komplexität mit sich bringt. Der Schutz ist also zufällig, nicht steuerbar und dem versierten Nutzer gegenüber gering. Daher folgert das BSI schlicht: „Für die Übertragung vertraulicher Informationen bedarf es deren Verschlüsselung.“537 Auch in der juristischen Fachliteratur wird dies erkannt.538 Die technische Umsetzung ist prinzipiell dieselbe wie bei der Verschlüsselung von Daten auf Datenträgern – mit dem Unterschied, dass der Schlüssel nun auf beiden Seiten vorliegen muss. Aufgrund des hohen Schutzniveaus bei gleichzeitig relativ leichter Umsetzung sowie angesichts des Mangels an wirklichen Alternativen spielt die Verschlüsselung in der modernen Kommunikation eine zunehmend wichtige Rolle.539 (TP) 20.04.2001, Art. 7428 (http://www.heise.de/tp/r4/artikel/7/7428/1.html), das einen anschaulichen Überblick über die wesentlichen (v. a. geheimdienstlichen) Abhörmöglichkeiten moderner Kommunikation (Glasfaser, Satelliten, Richtfunk, E-Mail, Unterseekabel etc.) bietet und immer noch grundsätzliche Gültigkeit haben dürfte. 533 BSI, IT-Grundschutzhandbuch, 2005, G 5.7. 534 Zur Historie des Internet und seine dadurch begründete strukturelle Unsicherheit, siehe oben, S. 120 ff., Abschn. a). 535 Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 170. 536 Stellv. BSI, IT-Grundschutzhandbuch, 2005, G 5.7. 537 BSI, IT-Grundschutzhandbuch, 2005, M 4.34. 538 Etwa Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 170; Krutisch, Computerdaten, S. 116; Schmachtenberg, DuD 1998, 402.; schon Leicht, iur 1987, 45, 51. Letzterer will jedenfalls bei Funkübertragungen nur Verschlüsselung als Schutz gelten lassen. Bei der kabelgebundenen Übertragung sei Schutz durch einen Betonmantel oder eine Bleischicht um die Kabel möglich. Dem ist nur für Übertragungen im eigenen Machtbereich zuzustimmen. Für Übertragungen im Internet gilt dies nicht.
294
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
In der Praxis wird demgemäß auch in großem Maße Kommunikation verschlüsselt. Zu nennen ist bspw. Internetkommunikation wie E-Mail-Abfrage540, Online-Shopping, Online-Banking etc.541 Da Fernkommunikation, jedenfalls unter Privatpersonen542, in aller Regel auch unter Unternehmen, meist außerhalb des eigenen Machtbereiches stattfindet und auch der nahe Datenfluss leicht angreifbar ist,543 bietet sich hier stets Verschlüsselung an. Unternehmen greifen auf sogenannte Virtuelle-Private-Netzwerke (VPNs) zurück, die ein Subnetz im Internet bilden, in das aufgrund von Verschlüsselung keiner eindringen kann.544 Auch gegen Angriffe545 in der Kommuni539 BSI, Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit, 2003, 7.1.3.3. 540 Nicht zu verwechseln mit der E-Mail-Kommunikation zwischen verschiedenen Nutzern. Gemeint ist die Abfrage des eigenen Web-E-Mail Kontos. Obwohl Verschlüsselung auch bei der Kommunikation zwischen Nutzern oft angeboten wird, wird dieses Angebot aus verschiedenen Gründen kaum wahrgenommen. Zum Teil wird die Kommunikation als nicht schützenswert erkannt, zum Teil wird das Bedrohungs-, d.h. Ausspähpotential (oft fälschlicherweise) als gering eingeschätzt, zum Teil fehlt es an den technischen Kenntnissen oder dem Willen, sich mit diesen Fragen überhaupt auseinanderzusetzen. 541 Zu erkennen ist die Sicherung bei Internetkommunikation an der Adresszeile im Browser: Beginnt sie mit „https“ anstatt nur „http“, so liegt verschlüsselte Kommunikation vor. Viele Browser zeigen die Verschlüsselung auch anhand eines geschlossenen Schlosssymbols in der Statusleiste an. 542 Selbst staatliche militärische Kommunikation zwischen Orten im selben Land kann von anderen Ländern teilweise auch aus großer Entfernung abgehört werden. Etwa, indem ein geostationärer Satellit in die verlängerte Achse einer Richtfunkanlage positioniert wird, s. anschaulich G. Schmid, Berichterstatter des nichtständigen Echelon-Untersuchungsausschusses des Europaparlaments, s. das Interview mit Schulzki-Haddouti, Telepolis (TP) 20.04.2001, Art. 7428 (http://www.heise.de/tp/ r4/artikel/7/7428/1.html) s. auch Fn. 272, S. 81. 543 s. zu den verschiedenen Datenströmen anschaulich G. Schmid, Berichterstatter des nichtständigen Echelon-Untersuchungsausschusses des Europaparlaments, (im Interview mit Schulzki-Haddouti, Telepolis (TP) 20.04.2001, Art. 7428 (http://www. heise.de/tp/r4/artikel/7/7428/1.html)), der darlegt, wie sich die modernen Kommunikationswege und dadurch die möglichen Angriffsstellen entwickelt haben. An welchen Stellen etwa Unterseekabel anlanden, an welchen Stellen Glasfaserkabel „angezapft“ werden können, über welche Stellen E-Mail-Verkehr fließt, an welchen Orten Satellitenkommunikation abgefangen werden kann. 544 Unternehmen mit mehreren physischen Standorten, und dies sind fast alle größeren, greifen auf diese Technik zurück. Auch die Universität Tübingen nutzt diese verschlüsselte Netzwerktechnik, die die allgemein zur Verfügung stehende Netzwerkarchitektur (das Internet) nutzt und innerhalb dieser ein privates Subnetz einzieht. Die VPNs erstrecken sich dabei bei global agierenden Unternehmen über den gesamten Erdball. Jede Datenleitung kann grundsätzlich zum Teil eines VPN gemacht werden, bei dem die Kommunikation in gesicherten „Tunneln“ stattfindet, in die von außen nicht eingedrungen werden kann. Der Schutz ist also auf der gesamten Welt an jedem Computer, der Zugang zu diesem VPN gewährt, implementiert,
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
295
kation in einem lokalen kabelungebundenen Netzwerk (WLAN) wird auf Verschlüsselung gesetzt. Der letzte gesetzgeberische Impuls ging dahin, digitale Kommunikation unabhängig von einer technischen Sicherung strafrechtlich zu schützen. Dies mündete in die Einführung des § 202b. Daten, die nichtöffentlich versendet werden, bedürfen danach keiner Sicherung, um in den Genuss strafrechtlichen Schutzes zu gelangen. Eine überzeugende Erklärung für diesen Unterschied zum verwandten § 202a lässt sich noch vermissen. Die Forderung einer Sicherung auch bei der Übertragung bei gleichzeitiger Anerkennung der Verschlüsselung schiene dagegen konsequent und konsistent. Diesen Schritt scheut der Gesetzgeber jedoch, ohne die wahren Gründe offen zu legen. Er fördert zwar die Sicherung von Daten, aber nicht in der Form der Verschlüsselung. Aus der Kryptopolitik ist bekannt, dass er fürchtet, diese Sicherungen selbst nicht mehr brechen zu können. Die daher rührenden Widersprüche vermochte er bislang nicht aufzulösen.546 e) Digitales Verstecken im Allgemeinen (1) Ziel, Anwendungstechnik und Gegenmaßnahmen Zunächst können die relevanten Daten schlicht in der Masse der vorhandenen Daten versteckt werden. Wichtigen Daten können belanglose oder irreführende Namen gegeben und sie an unvermutetem „Ort“547 abgelegt werden. Man bezeichnet dieses umstrittene Konzept als „security through obscurity“. Diesem Vorgehen entspräche bei einem herkömmlichen Verindem erst nach Passworteingabe „in der Ferne“ die Daten freigegeben werden. s. zu VPN Hülsdunk, VPN, S. 3–29 (Darstellung der Wirkungsweise). 545 Hacker versuchen, durch „abscannen“ der Funkfrequenzen verschiedener Bereiche schwach geschützte Systeme zu finden und diese zu korrumpieren. So begeben sie sich in Flughäfen, Hotellobbies oder fahren „durch die Gegend“, sog. wardriving, und suchen dort nach Einbruchsmöglichkeiten. Vgl. Bär, MMR 2005, 434 ff.; Buermeyer, HRRS 2004, 285 ff. 546 Zur widersprüchlichen Kryptopolitik s. schon S. 314 sowie dort Fn. 598. 547 Der Begriff des Speicherortes sollte restriktiv verwendet werden. Der physikalische Ort, an dem eine Datei gespeichert wird, ist nicht mit dem sogenannten logischen Speicherort zu verwechseln. Dateien werden meist „beliebig“ „irgendwo“ auf der Festplatte (die weiteren Details sind hier nicht von Interesse), oft auch verteilt über mehrere Stellen, gespeichert. Sie erscheinen in der Darstellung dann an ihrer logisch zugeordneten Stelle. Die Darstellung, etwa über den Dateimanager, gibt nicht die physische Lage wieder, sondern ist einem selbstaktualisierenden und lediglich referierenden Inhaltsverzeichnis vergleichbar. Werden etwa Dateien von einer Stelle zur anderen auf derselben Festplattenpartition verschoben, so bleiben sie physisch an ihrer Stelle und lediglich der Verzeichniseintrag wird verändert.
296
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
steckgeschehen das Verstecken eines wichtigen Papierstückes in einem Ordner, in dem man es schlicht nicht vermutet, etwa unter dem Stichwort „Kochrezepte“. Während dies in der analogen Welt eine sinnvolle Strategie sein mag, ist sie dies in der computerbasierten nicht. Dem Begriff des Versteckens wohnt ein örtliches Stecken, Platzieren inne. Dieses irreführend Platzieren führt zum Schutzniveau. Mit schwindender Bedeutung des Speicherortes, schwindet aber auch das Schutzniveau. Wenn es nicht darauf ankommt, wo etwas loziert wird, dann kann es auch nicht ver-steckt werden. Eine Einordnung ist keine lokale, sondern scheint nur so. An ihre Stelle tritt die Referenzierung, die aber bei weitem nicht die Bedeutung der lokalen Platzierung hat. Dies zeigt schon die Verlinkung allenthalben. Ein dem analogen Vorgehen vergleichbares Schutzniveau bietet die Technik nur dann, wenn der Spähwillige die gleichen Taktiken anwendet, wie sie ihm in der analogen Welt zur Verfügung stehen – eben Durchforsten des gesamten Bestandes von Hand oder stichprobenartige Suche auf gut Glück. Computer bieten dagegen in aller Regel standardmäßig automatisierte Suchfunktionen, mittels derer unter Eingabe von Suchbegriffen auf allen vorhandenen Datenträgern in kürzester Zeit gesucht werden kann. Die Eingabe einer Kontonummer oder eines Satzbruchstückes oder Schlagwortes fördert dadurch unabhängig vom Namen einer Datei und ihrem Speicher„ort“ auf der Festplatte die gesuchten Dateien rasch zutage. Von einer geforderten Dokumentation kann zugleich nicht ausgegangen werden. Aus welchem Grunde eine Datei irreführend benannt wurde, kann aus ihr nicht ersichtlich sein, schon gar nicht vor ihrer inhaltlichen Ansicht. Selbst wenn der Grund nach Kenntnis des Inhalts offenbar wird, ist es für die Fassung des Vorsatzes zu spät. Es ist auch nicht davon auszugehen, dass diese nahezu wirkungslose Technik, außer von absoluten Laien, verfolgt wird. Vom soeben beschriebenen Geschehen ist die Attribuierung als „versteckt“ („hidden“) zu unterscheiden.548 Üblicherweise sind die so klassifizierten Dateien nicht mehr in der Darstellung der vorhandenen Dateien zu sehen. Wichtige Systemdateien sollen dem Nutzer verborgen bleiben, damit er sie nicht – etwa weil er nichts mit ihnen anzufangen weiß – löscht. Entsprechend ist diese Attribuierung bei etlichen Dateien unter bestimmten Nutzerprofilen voreingestellt, ohne dass diese geheim gehalten werden sollten. Das System verhindert nicht den Zugriff, sondern verhindert die Auflis548 Dies geschieht unter dem Betriebssystem „Windows XP“ etwa, indem man über den Dateimanager „Explorer“ eine Datei anwählt, mittels „Anklicken“ dieser mit der rechten Maustaste das Menü öffnet, „Eigenschaften“ auswählt und das Attribut „versteckt“ anwählt. Die Datei wird in der Folge (bei nächster Aktualisierung der Darstellung) nur noch zu sehen sein, wenn (was so üblicherweise nicht eingestellt ist) die Anzeige auch „versteckter“ Dateien geschieht.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
297
tung und damit das versehentliche Öffnen und warnt, beim Versuch sich diese doch anzuzeigen,549 dass es sich hier um sensible und für die Systemstabilität wichtige Daten handele. Der Nutzer kommt nicht so leicht an die Daten und wenn, so wird er gewarnt, unbedacht mit ihnen zu verfahren. Diese Versteckfunktion ist somit weder dazu gedacht noch geeignet (außer unbedarften Nutzern gegenüber), das Auslesen von Dateien zu verhindern. Es ist leicht möglich, sich alle als versteckt attribuierten Dateien anzeigen zu lassen.550 Die Bezeichnung im Computermenü als Verstecken liefert Anlass, diesen Punkt zu diskutieren. Nach näherer Analyse ist dieses Vorgehen nicht als Sicherungstechnik geeignet. Technisch werden die Daten in der Ordnerstruktur schlicht nicht angezeigt. Dies Verstecken zu nennen, wäre, als bezeichnete man das Lichtausschalten als Verstecken, weil man schließlich im dunklen Raum auch nichts mehr sehe, selbst wenn der Lichtschalter für jedermann leicht erreich- und bedienbar ist. Eine weitere Möglichkeit, Daten zu verstecken, bietet die moderne Steganographie, bei der die Ursprungsdaten aufgelöst und in andere eingebettet (embedded) werden. Aufgrund dieser Besonderheiten soll sie gesondert behandelt werden (siehe im Anschluss, Abschn. f). (2) Rechtliche Wertung Das Verstecken durch Umbenennen von Dateien und Speichern an unvorhergesehenem „Ort“ ist nur gegenüber unversierten Nutzern geeignet, den Zugriff zu verwehren. Letztere Maßnahme kann mittels dafür vorgesehenen Standardbefehlen und wenigen Mausklicks umgangen werden. Erstere bietet ein prinzipiell so wesentlich geringeres Schutzniveau als das analoge herkömmliche Verstecken, dass es damit in keiner Weise verglichen werden kann. Jeweils vorausgesetzt, der Spionierende hat Anlass zur Suche, so ergibt sich das Schutzniveau jeweils aus der angenommenen Zeitdauer des Suchens. Diese kann in der analogen Welt durchaus beträchtlich sein. In der digitalen ist sie bei den genannten Techniken vernachlässigbar – und damit auch ihr Schutzniveau. Die hier beschriebenen Techniken des Versteckens lassen – davon abgesehen – nicht objektiv auf ein erhöhtes Geheimhaltebedürfnis schließen. Irreführende Namen können versehentlich verwen549 Will sich ein Nutzer versteckte Systemdateien anzeigen lassen, erscheint eine Warnung unter Windows mit dem Hinweis, nach dem Löschen oder Ändern arbeite der Computer möglicherweise nicht mehr korrekt. 550 Indem man im Dateimanager „Explorer“ über die Menüpunkte „Extras“, „Ordneroptionen“, „Ansicht“ sodann unter „versteckte Dateien und Ordner“ „Alle Dateien und Ordner anzeigen“ wählt. – Dateien zu „verstecken“ über die Attribuierung ist denn auch nicht als Maßnahme gegen Datenspionage gedacht, sondern soll den unversierten Nutzer „vor sich selbst“ schützen.
298
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
det worden sein. Selbiges gilt für das Ablegen von Dateien an „unvermutetem Ort“. Fordert man mit der herrschenden Literatur eine eindeutige Dokumentation des Sicherungsbedürfnisses, so ist diese hier nicht erkenntlich. Es ist schwer vorstellbar, wie unauffällig wirkenden Dateinamen von vornherein auffällig anzusehen sein soll, dass sie Geheimzuhaltendes verbergen. Dieser Wertung wird von systematischen Erwägungen sekundiert. Während das Verstecken eines Grundstücks kaum denkbar ist, womit ein Vergleich mit § 123 verfehlt wäre, kann der Blick auf § 202 gewagt werden. § 202 StGB, das Briefgeheimnis schützend, fordert schon nach dem Wortlaut einen technisch verschlossenen Brief und lässt ein Verstecken eines (offenen) Schriftstückes – und sei das Versteck noch so gut – nicht ausreichen.551 Dabei ist hier offensichtlich, dass das Schutzniveau beim Verstecken von Schriftstücken meist um ein Vielfaches höher liegen dürfte als beim papierenen Verschluss. Keine Wortlautvorgabe findet sich in § 243 Abs. 1 S. 2 Nr. 2. Verstecke werden dennoch nicht als andere Schutzvorrichtung anerkannt, auch wenn ein (unverschlossenes) Geheimfach als Vorrichtung angesehen werden könnte und ein höheres Sicherungsniveau als manch anderer Schutz bietet.552 Nichts anderes kann bei § 202a gelten.553 Im Ergebnis gilt dasselbe für die Attribuierung als versteckt. Diese erhöht zwar regelmäßig den Schutz vor versehentlichem (gerade auch eigenem) Zugriff auf Dateien und kann auch den Zugriff eines unbedarften Nutzers erschweren. Der letztgenannte Geheimhaltungszweck ist aber, selbst wenn er der Attribuierung beigemessen werden sollte, jedenfalls nicht im Sinne einer Dokumentation erkennbar.554 Schließend ist festzuhalten, dass das bloße Verstecken von Dateien durch Benennung und Speicherung an einem unauffälligen Ort keine Sicherung im Sinne des § 202a StGB darstellt, wenn man die Forderung der herrschenden Literatur, das Geheimhaltebedürfnis müsse sich zeigen, zugrunde legt. Dies wird durch systematische Erwägungen unterstützt. 551
Stellv. SK-Hoyer, § 202 Rn. 10 f. Nicht einmal diskutiert von SK-Hoyer, § 243 Rn. 27 ff.; NK-Kindhäuser, § 243 Rn. 20 ff.; LPK-Kindhäuser § 243 Rn. 20 ff.; LK-Ruß § 243 Rn. 18 ff. MüKo-Schmitz, § 243 Rn. 35, erwähnt lediglich den Fall, dass das Tatobjekt verschlossen, der Öffnungsmechanismus aber versteckt zu bedienen ist. 553 Ebenso: Krutisch, Computerdaten, S. 120. Anders wohl: Hilgendorf, JuS 1996, 703 – der vorsichtigerweise die Erkennbarkeit als Sicherung fordert. Erst wenn diese „unmißverständlich“ gegeben ist, soll § 202a erfüllt sein. Genau dies aber ist das Problem, Hilgendorf macht dabei nicht kenntlich, woran er dies unmissverständlich erkennen können möchte. s. schon oben S. 200. Anders ebenfalls Schmachtenberg, DuD 1998, 401 f. ohne Begründung. LK-Schünemann, § 202a Rn. 16; NKKargl, § 202a Rn. 10; SK-Hoyer, § 202a Rn. 8. 554 Im Ergebnis ebenso Schulze-Heiming, Computerdaten, S. 72. 552
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
299
f) Moderne Steganographie i. e. S. (1) Ziel, Anwendungstechnik und Gegenmaßnahmen Im Vordergrund haben Geheimhaltungsinteressen an Daten zu stehen. Wie oben bereits dargelegt, wurde im Altertum das Verstecken von Informationen dem Verschlüsseln oft vorgezogen. Dies ist auch heute noch aus verschiedenen Gründen teilweise der Fall: Selbst wenn man davon ausgeht, dass die Verschlüsselung nicht gebrochen werden wird, so werden dennoch bei einer Nachrichtenübertragung bspw. Informationen emittiert. Fangen Strafverfolgungsbehörden etwa die verschlüsselte Kommunikation zwischen einem bekannten Drogendealer und einer bisher unverdächtigen Person ab, so ist allein die Tatsache, dass hier verschlüsselt kommuniziert wurde, von Aussagekraft.555 Die bisher unverdächtige Person kann allein durch die Tatsache der Kommunikation ins Visier der Fahnder gelangen. Steht dieses Argument nicht im Raume, so wird in der Praxis der Verschlüsselung regelmäßig der Vorzug gegeben. Ein Hauptanwendungsbereich der Steganographie ist es, urheberrechtlich geschützte Bilder, Musikstücke und Filme bspw. mit unsichtbaren sogenannten Wasserzeichen und Fingerabdrücken zu versehen.556 Diese zusätzlichen Informationen werden eingebettet und bleiben bei der Wiedergabe unsicht- und unhörbar. Anhand ihrer lässt sich die Herkunft des jeweiligen Stückes zurückverfolgen und so die Quelle des geschützten Materials ausmachen. Dass diese Wasserzeichen (watermarks) oder auch sogenannten Stempel existieren, ist dabei oft nicht geheim.557 Sie werden jedoch in der Hauptinformation verborgen und mit ihr gleichzeitig dergestalt untrennbar verwoben, dass ihre Entfernung ohne gleichzeitige Beschädigung der Hauptinformation unmöglich ist (robust watermarks) oder eine Änderung der Hauptinformation ohne gleichzeitige Beschädigung des Wasserzeichens ausgeschlossen ist (fragile watermarks). Erstere Variante wird bspw. verwendet, um den Weg einer Information verfolgen zu können. Jede Version der Hauptinformation erhält ein robustes Wasserzeichen, das von ihr nicht getrennt werden kann. Bei einer vermuteten Urheberrechtsverletzung etwa 555 Jedenfalls, wenn man lebensnah davon ausgeht, dass nicht einer der beiden grundsätzlich nur verschlüsselt kommuniziert. Beispiel nach Petitcolas/Anderson/ Kuhn, IProc. of the IEEE, 87(7), (Jul. 1999), S. 1062. 556 Wasserzeichen stellen versteckte Urheberrechtsnachweise dar. Unter Fingerprints (auch labels) werden dabei versteckte Seriennummern verstanden. Die Begriffe werden teils nicht in aller Schärfe getrennt. Petitcolas/Anderson/Kuhn, IProc. of the IEEE, 87(7), (Jul. 1999), S. 1062. 557 Petitcolas/Anderson/Kuhn, IProc. of the IEEE, 87(7), (Jul. 1999), S. 1062, 1063.
300
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
kann dann anhand des versionierten Wasserzeichens rückverfolgt werden, aus welcher Quelle die entsprechende Version der Hauptinformation stammt.558 Fragile Wasserzeichen dienen dagegen der elektronischen Überprüfung des Trägermediums auf Manipulationen hin und damit der Überprüfung der Authentizität der Hauptinformation. Dies kann zur Überprüfung der Unverfälschtheit Verwendung finden, etwa anlässlich der gerichtlichen Beweisführung mittels digitaler Photos.559 Es handelt sich dabei nicht um Maßnahmen zur Geheimhaltung von Information, sondern zur Verfolgung von Distributionswegen und der Verifikation des Ausstellers. Aus diesem Grunde ist dieser Anwendungsbereich sogleich aus der weiteren Betrachtung auszuschließen. Wie bei den Wasserzeichen, so dient auch sonst allgemein heutige Steganographie, also die Steganographie im engeren Sinn, nicht dem Verbergen von zu versteckenden Informationen (hier: Stego-Informationen) in ihrer ursprünglichen Form; etwa vergleichbar dem Einnähen eines Schriftstückes in einen Mantel (zugleich Träger- und Tarnmedium). Vielmehr wird die Stego-Information in ihrer Struktur aufgelöst und in Träger- und Tarninformation eingewoben, deren Struktur und Erscheinungsbild gleichzeitig beibehalten wird. Die geheim zu haltende Information würde, um im Bild zu bleiben, in einzelne Fasern aufgelöst und in die Stoffstruktur des Mantels eingewoben, ohne dessen äußeres Erscheinen und seine Funktion zu verändern. Information wird also als Träger und Tarnschleier für die sensible, sogenannte Stego-Information benutzt. Information kann dabei in Bildern, Musikdateien etc. versteckt werden.560 Das Entdeckungsrisiko ist äußerst gering.561 Selbst wenn die Gegenseite versteckte Information gezielt sucht, 558 Petitcolas/Anderson/Kuhn, IProc. of the IEEE, 87(7), (Jul. 1999), S. 1062; vgl. auch Bleich, c’t 13–2006, S. 147 unter Schilderung eines realen Beispiels. 559 Dazu sollte das Wasserzeichen an den wichtigsten Elementen des Trägermediums verankert werden. Petitcolas/Anderson/Kuhn, IProc. of the IEEE, 87(7), (Jul. 1999), S. 1062, 1063. 560 Bei graphischen Darstellungen bspw. können Informationen eingebracht werden, indem die jeweils niedrigsten Bits in den Bytes eines Bilds durch die Bits einer Nachricht ersetzt werden. Dadurch ändert sich das Bild in seiner Erscheinung nicht nennenswert. Die meisten Grafikstandards geben ohnehin mehr Farbabstufungen wieder, als vom Menschen erkannt werden können. Der Adressat kann diese „Zusatzinformation“ dann dem Bild entnehmen. Dabei lassen sich erhebliche Informationsmengen in einem Bild speichern, insbesondere, wenn es sich nur um Text handelt. s. insg. Schneier, Kryptographie, Kap. 1.3, S. 11. 561 Die graphischen Unterschiede vermag der Mensch nicht zu erkennen, s. Fn. 560, S. 300. Um dagegen maschinell-automatisiertem Erkennen entgegenzuwirken, entwickelte Wayner sogenannte „mimic functions“, die Nachrichten derart verändern, dass sie dem statistischen Profil eines anderen Textes ähneln, etwa dem Kleinanzeigenteil der New York Times oder einem Stück von Shakespeare. Beispiele nach und Nachweise in Schneier, Kryptographie, Kap. 1.3, S. 11.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
301
so ist sie schwer aufzufinden. Eine automatisierte Suche ist kaum möglich. Ein Verstecken in einem Wust von Bildern ist damit leicht möglich. Es wurde kolportiert, die Al-Qaida-Gruppe nutze solche Techniken.562 Durch die heutzutage gegebene Möglichkeit, große Datenbestände leicht, günstig und schnell zu kommunizieren, lassen sich fast beliebig viele harmlose und ablenkende Daten mit übertragen. So kann etwa ein gesamtes Fotoalbum ins Internet gestellt werden, wobei in einem einzelnen Foto etliche(!) Textseiten an Information eingebettet werden. Selbst wenn man weiß, dass in diesem Fotosatz Informationen versteckt sind, so muss man, um sie überhaupt erahnen zu können, zusätzlich wissen, in welchem konkreten Bild sie stecken. Und selbst dann bleiben weitere Hindernisse auf dem Weg zur Information. Wird die Information in einem Bild, dessen Original zugänglich ist, versteckt, so kann am Rauschen des Bildes im Vergleich zum Original, an der durch das Verstecken entstehenden Unschärfe also, erkannt werden, dass Informationen möglicherweise hier versteckt wurden. Der weitere Schritt, die gesuchte Information zu extrahieren (um nicht von entschlüsseln zu sprechen), ist dagegen äußerst schwierig. Stellt aber jemand nur ihm zugängliches Material (wie etwa unverfängliche Urlaubsbilder, oder Ware bewerbende Bilder bei eBay) mit Stego-Information versehen ins Internet, so ist der Vergleich mit dem Original nicht möglich. Die Stegoanalyse ist dann äußerst schwierig und, um es griffig auszudrücken, auf Geheimdienstniveau.563 In der Praxis führt die Steganographie trotz des hohen Schutzniveaus, soweit dies bekannt ist, ein Nischendasein. Die in der Praxis entscheidenden Geheimhaltungsziele können von modernen Verschlüsselungsprogrammen leichter erreicht werden. Nur dort, wo harmlose Kommunikation vorgegaukelt werden soll und schon der Schluss darauf, dass überhaupt sensible Information übermittelt wird, verhindert werden soll, findet sie ihr praktisches Anwendungsfeld. (2) Rechtliche Wertung Die Verwendung von Steganographie ist wirksame Maßnahme zur Verhinderung von Datenausspähung. Weitere Gründe für Steganographie sind, sieht man von der speziellen und als solche erkennbaren Verwendung von Wasserzeichen ab, neben der Geheimhaltung nicht ersichtlich. Steganographie wirkt auch spezifisch an einzelnen geschützten Daten (nämlich einzig und allein den willentlich in die Trägerdaten eingebetteten). Zwar können 562 Stellv. für viele, die erste Quelle, die diese Meldung brachte: Kelley, Terrorist instructions hidden online, USA Today v. 06. Feb. 2001 S. A1. 563 s. dazu den Artikel von Wang/Wang, ACM, 2004, Nr. 10 und zu weiteren Schritten, auf die hier aus konzeptionellen und Platzgründen nicht weiter eingegangen werden soll.
302
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
zur Ablenkung unwichtige Daten miterfasst werden. Da dies aber das Entdeckungsrisiko, dass hier überhaupt trägermediumfremde Daten vorliegen, erhöht564 und damit kontraproduktiv ist, kommt es selten vor. Es werden also gezielt nur zu versteckende Daten eingewoben. Wird erkannt, dass Daten mittels Steganographie versteckt wurden, so ist offenbar, dass der Versteckende diese geschützt wissen möchte und Aufwand auf sich nahm, dies durchzusetzen. Dabei, und dies unterscheidet die Steganographie wesentlich von anderen Versteckarten, kann die Information nicht zufällig gefunden werden. Während Dateien in irreführenden Ordnern wie Papierzettel in einem Buch zufällig (oder mittels Stöberns) entdeckt werden können, kann Steganograpie nur mittels aufwendiger Analyse überhaupt entdeckt und mittels noch aufwendigerer Maßnahmen die Stego-Information isoliert und erkannt werden. Dennoch: Soweit die Literatur hier Stellung bezieht, sieht sie die Steganographie als nicht von § 202a StGB umfasst. Es finden sich nur wenige Stellungnahmen; Kargl565 erwähnt die Steganographie, er verweist aber lediglich auf Hilgendorf 566. Dieser nimmt an der angegebenen Stelle zur Steganographie jedoch nicht Stellung, sondern nur allgemein zum Verstecken, das er als in der Literatur noch nicht diskutiert bezeichnet. Nach seiner Auffassung ist ein Versteck als Sicherung denkbar, sofern die Sicherung als Sicherung erkennbar ist. Diese Voraussetzung ist bei der Steganographie gegeben. Information wird nicht versehentlich in andere Information in dieser Art und Weise verwoben – es gibt keine andere plausible Erklärung. Dies ist beim Verstecken durch irreführendes, möglicherweise aber eben auch nur versehentliches Abspeichern anders. Das rechtliche Problem liegt ähnlich wie das der Verschlüsselung: Wie oben dargestellt, ist es fraglich, ob und wann der Zugang zu den Daten verschafft ist. Die Daten sind zugänglich und können prinzipiell ausgelesen werden. Es wird nur schon nicht erkannt, was gesehen wird. Der Betrachter wähnt etwa bloß ein Bild vor sich, während er aber nicht nur dieses Bild, sondern auch noch darin verborgenen Text erblickt. Aufgrund der Verwebung wird er irre geleitet. Die Frage, ob Steganographie eine Sicherung gegen Zugang zu Daten darstellt, hängt damit wesentlich davon ab, was man unter Zugang zu Daten versteht. Vor der physischen Zugriffsmöglichkeit hindert Steganographie jedenfalls nicht. Sie hindert dagegen in erster Linie vor dem Erkennen, dass hier überhaupt zweierlei Information vorliegt, 564 Mit steigendem Volumen verborgener Information steigt das Entdeckungsrisiko. Das Verhältnis von verbergender zu verborgener Information muss möglichst groß sein. Siehe auch oben. 565 NK-Kargl, § 202a Rn. 10. 566 Hilgendorf, JuS 1996, 703.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
303
dass neben der offenbaren auch noch versteckte, geheime Information vorhanden ist. Das Erschweren des Erkennens des Vorhandenseins von Geheiminformation an sich kann prinzipiell nicht als Zugangssicherung angesehen werden. Wird sie dagegen in ihrer Syntax derart aufgelöst und geht nahezu in anderer Information auf, dass sie, wie oben dargelegt, selbst bei Erkennen ihres Vorhandenseins so schwer isolierbar und in ihre Struktur zu setzen ist, dass dies eine eigene Hindernisstufe bedeutet, so liegt die Problematik wie bei der Verschlüsselung. Dann kommt es darauf an, ob unter einem Zugangshindernis der physische oder der intellektuelle Zugang zu verstehen ist. Für letzteres streitet der Telos der Norm überzeugend. Während sich vor der Reform argumentieren ließ, es komme auf das Verschaffen an, dies beinhalte keine intellektuelle Komponente, wird dieses Argument nun zurückgedrängt. Der Wortlaut, der auf den Zugang abstellt, steht einer teleologischen Auslegung jedenfalls nicht entgegen. Unter Zugang kann sowohl der physische als auch der intellektuelle verstanden werden. So wird etwa von einem schwer zugänglichen Buch etc. gesprochen. Damit ist Steganographie als Sicherung gegen Zugang zu Daten anzuerkennen.567 g) Kryptographie Die Datenverschlüsselung (Kryptographie) ist eine, wenn nicht die Sicherungsmaßnahme zur Geheimhaltung von Daten, insbesondere bei der Datenübermittlung. Sie kann auch zur Verifizierung der Identität des kommunikativen Gegenübers dienen. Namentlich die sogenannte elektronische Signatur, ein digitaler Unterschriftsersatz soll dazu Verwendung finden.568 Die elektronische Unterschrift belässt den Text im Originalzustand und fügt ein verschlüsseltes Datenelement an, das ausgelesen, aber nicht manipuliert werden können soll. Der Zugang zu den Daten kann und soll nicht verhindert werden. Ihr Urheber soll, wie bei einer Urkunde, dagegen feststellbar sein. Diese Techniken sind hier aus der Untersuchung auszuscheiden, da sie nicht zur Geheimhaltung eingesetzt werden. Die Verschlüsselung schützt nicht vor dem Auslesen von Daten. Sie schützt vor dem Verstehen dieser. Physikalisch können die Daten wahr567 Zur verwandten Problematik bezüglich der Verschlüsselung siehe schon oben S. 93 ff. (Abschn. 2.) und ausf. unten S. 309 ff. (Abschn. 2.). 568 Vgl. hierzu Schulze-Heiming, Computerdaten, S. 77. Allgemein zur elektronischen Signatur s. Grimm in Roßnagel/Banzhaf/Grimm, E-Commerce, S. 91 ff.; Federrath/Pfitzmann/Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 65 ff. Vgl. weiter ausf. und monographisch Baum, E-Signaturen, S. 21 ff.; Heusch, E-Signatur, S. 31 ff.; Jungermann, E-Signaturen, S. 1 ff.; Kunstein, E-Signatur, S. 41 ff.; Rapp, E-Signaturen, S. 1 ff.; Seck, E-Signatur, S. 1 ff., 9 ff.; weiter insgesamt Hoeren/Schüngel (Hrsg.), Digitale Signatur, S. 15 ff.
304
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
genommen werden. Doch ergeben sie dem lesenden Computer keinen Sinn und er verfügt nach der Zielrichtung auch über kein Programm, das ihm die Daten anschaulich wiedergeben kann. Wie bei einem verschlüsselten Brief in einer Geheimsprache können die Buchstaben und Zeichen wahrgenommen werden, dem unverständigen Leser ergeben sie jedoch keinen Sinn, sodass das bloße Erkennen ohne Wert bleibt und die Verständnisebene nicht erreicht wird. (1) Anwendungstechnik und Gegenmaßnahmen Wie in den gegebenen Beispielen werden Buchstaben durch andere Zeichen vertauscht oder ersetzt.569 Verschlüsselung ist also eine Transformation oder Übersetzung von Information.570 Die Information wird dergestalt umgesetzt, dass sich einem Empfänger der Information ohne die richtige (geheime) Transformationsmethode der Sinn der Information verschließt. Verschlüsselt werden kann jede Information, die sich digitalisieren lässt.571 In der modernen digitalen Verschlüsselung werden zunächst analoge Sequenzen digitalisiert und die resultierende Zahlenfolge mathematischen Vorschriften (Logarithmen) unterworfen. Jedes Zeichen des Originals wird mit Hilfe eines Schlüssels durch andere ersetzt beziehungsweise vertauscht, wobei zwischen symmetrischen und asymmetrischen Verschlüsselungen unterschieden wird.572 Wie auch sonst erhöht die Länge des Schlüssels die Sicherheit. 128 Bit werden heute allgemein empfohlen. Entscheidende Faktoren sind Schlüsselauswahl und Güte des Algorithmus.573 Wichtige 569
Schon Wilkins, Mercury, 1707, S. 24. BSI, Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit, 2003, 7.1.3.1. Vgl. auch schon Kuner, NJW-CoR 1995, 413 f. 571 BSI, Kurzinformationen zu Sicherheit durch Verschlüsselung, Faltblatt F 27, 2003, Gliederungspunkt 2. 572 Vgl. etwa Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 171; Krutisch, Computerdaten, S. 116; Schneier, Kryptographie, Kap. 19 f., S. 525 ff: Bei symmetrischen Verschlüsselungsverfahren werden die verschlüsselten Daten mit demselben Schlüssel entschlüsselt, mit dem sie verschlüsselt wurden. Bei asymmetrischen Schlüsseln ist der eine Schlüssel öffentlich, der andere geheim. Mit dem ersten Schlüssel können die Daten nur verschlüsselt werden. Die Entschlüsselung ist nur mit dem geheimen Schlüssel möglich. Der Vorteil liegt darin, dass sich dies auch umkehren lässt: Mit einem geheimen Schlüssel versiegelt eine vertrauenswürdige Instanz elektronische Dokumente. Mit dem öffentlichen Schlüssel kann dann jeder die Authentizität des Dokuments überprüfen. Asymmetrische Verschlüsselungsverfahren haben dabei einen guten Ruf. Sie benötigen jedoch (noch) erhebliche Systemressourcen zur Umrechnung (im Vergleich zu symmetrischen Schlüsseln ergibt sich eine Steigerung in etwa um den Faktor hundert). 570
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
305
Faktoren sind weiter ein verlässliches Schlüsselmanagement574, Fehlbedienungs- und Fehlfunktionssicherheit575, Vorkehrungen gegen sicherheitsmindernde Manipulationen576 und die Abwesenheit verdeckter kompromittierender Kanäle.577 Nur wer Algorithmus und Schlüssel kennt, kann entschlüsseln. Dies ermöglicht es, bekannte, frei verfügbare und getestete Algorithmen zu verwenden und lediglich den Schlüssel geheim zu halten. Gegen Verschlüsselungssysteme gibt es verschiedene Angriffsmöglichkeiten.578 Kryptoanalytische Programme versuchen bspw., mathematische Gesetzmäßigkeiten in dem scheinbaren Datenchaos zu erkennen, um diese dann in sinnvolle Daten transferieren zu können. Kryptographische Annahmen basieren meist auf mathematischen Problemen, für deren Lösung noch kein effizienter Algorithmus zur Verfügung steht. Diese Sicherheitsebene wird erreicht, da sich Kryptographie bspw. zahlentheoretische Probleme zunutze macht, wie etwa die Schwierigkeit, vorgegebene große Zahlen (mit mehreren hundert Dezimalstellen) in ihre Primfaktoren zu zerlegen. Wählt man nun Zahlen, die sehr große Primfaktoren haben, so ist dazu noch kein effizienter Faktorisierungsalgorithmus bekannt.579 Durch genügend Rechenleistung scheint dennoch theoretisch jede Verschlüsselung zu brechen zu sein. Die Behauptung, dass Verschlüsselung per se also unsicher und alles zu entschlüsseln wäre, ähnelt der des infinite-monkey-theorems580, das zutreffend581 besagt, dass ein einzelner Affe, der unendlich lange auf einer 573 BSI, IT-Grundschutzhandbuch, 2005, M 4.34. Der Algorithmus wird idealiter (aber nicht zwingend) selbst entwickelt, umso der Gegenseite keine Kenntnisse über die Wirkungsweise zu gewähren. 574 Schlüsselmanagement bedeutet Erzeugung, Signierung, Verteilung, Aufbewahrung, Verwendung und Vernichtung von Schlüsseln. BSI, Kurzinformationen zu Sicherheit durch Verschlüsselung, Faltblatt F 27, 2003, 2003, Gliederungspunkt 3. 575 Die Sicherheit muss höher sein als die übliche gegen technische Fehlfunktionen, denn es droht nicht nur Funktionsausfall, sondern Kompromittierung. BSI, Kurzinformationen zu Sicherheit durch Verschlüsselung, Faltblatt F 27, 2003, Gliederungspunkt 3. 576 Systemfehlfunktionen werden gerne von der Gegenseite provoziert, das System muss also auch unvorhergesehener Verwendung standhalten. BSI, Kurzinformationen zu Sicherheit durch Verschlüsselung, Faltblatt F 27, 2003, Gliederungspunkt 3. 577 Elektromagnetische Abstrahlung ist ein prominentes Beispiel (s. Fn. 266, S. 79) kompromittierender Kanäle. BSI, Kurzinformationen zu Sicherheit durch Verschlüsselung, Faltblatt F 27, 2003, Gliederungspunkt 3. 578 BSI, Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit, 2003, 7.1.3.1 m. w. N.; Schneier, Kryptographie, Kap. 1.1, S. 7 nennt vier Angriffsarten, die er jedoch sogleich um „mindestens drei weitere Arten“ erweitert. 579 BSI, Trends BSI, Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit, 2003, 7.1.3.1 m. w. N.
306
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Tastatur zufällig herumtippe, fast sicher irgendwann alle Bücher der Bibliothèque nationale de France beziehungsweise wahlweise die Werke William Shakespeares schreiben wird. Die theoretische Möglichkeit der rechnerischen Ermittlung des Inhalts ist von der praktischen Umsetzung weit entfernt, wenn trotz zehnfacher Rechenleistung des schnellsten verfügbaren Computers hundert Jahre gerechnet werden muss, um zu entschlüsseln.582 Verschlüsselung ist also nicht absolut sicher. Die Rechendauer zur Entschlüsselung kann aber derart lang sein, dass die Entschlüsselung theoretisch zwar möglich, aber auf Grund der enormen benötigten Zeitdauer sinnlos ist. In der Praxis kann mathematische Verschlüsselung als sehr sicher gelten. Sie zu brechen, ist ein mathematisches Problem. Durch die exponentiell ansteigende Verschlüsselungskomplexität können rasant ansteigende Zeitdauern für die Entschlüsselung bei nur moderat steigender Schlüssellänge erreicht werden. Folgende Tabelle vermag dies zu veranschaulichen. Dies verdeutlicht, dass schon bei relativ kleinen Eingabewerten (Eingabelänge von 60 Zeichen) durch die exponentielle Steigerung der Komplexität ganz erhebliche Rechenleistung benötigt wird, um die Zeichenkette aufzulösen. Da solch große Zahlen und Zeitraumangaben, wie sie sich bei der Kryptographie ergeben, schlecht vom Menschen erfassbar sind, seien hier zur Veranschaulichung der Dimensionen einige Vergleichswerte genannt. Das Universum ist etwa 1010 Jahre alt, das Weltall wird – wenn es geschlossen ist – von nun an noch etwa 1011 Jahre fort existieren, sollte es offen sein, wird es noch etwa 1015 Jahre dauern, bis sich die Planeten aus den Sonnensystemen lösen.583 Eine Verschlüsselung, die unter Zuhilfenahme der heutigen Rechenleistung bis dann sicher ist, dürfte trotz grundsätzlicher Brechbarkeit als ausreichend sicher bezeichnet werden. Zwar wird gerne behauptet, die Rechenleistung immer schnellerer Computer könne die Aufgaben schneller lösen, sodass die Zeitdauern rasch zusammenschmelzen würden. Der Geschwindigkeitszuwachs neuer Rechner ist auch nach wie vor – nach dem bekannten Mooreschen Gesetz584, das bis 580
Die Herkunft des Theorems ist unsicher, teils wird es auf Aristoteles zurückgeführt, der in seinem Werk Metaphysik dieses Problem angesprochen habe, wenn auch nur indirekt. 581 Die Aussage entstammt der Stochastik und ist mit dem Borel-Cantelli-Lemma zu beweisen. 582 Bei moderner Verschlüsselung werden dabei meist Sicherheitsstufen erreicht, bei denen das „Errechnen“ des Schlüssels eine rein theoretische Möglichkeit ist. 583 Zahlen ebenso aus Beutelspacher/Schwenk/Wolfenstetter, Kryptographie, S. 126. Vgl. auch Schneier, Kryptographie, Kap. 1.7, S. 21. 584 Das sog. Mooresche Gesetz (engl. Moore’s Law) sagt vereinfacht gesprochen aus, dass sich die Rechenleistung von integrierten Schaltkreisen (Chips) alle zwei
3x
5,2 Sekunden
1 Sek.
3,2 Sek.
x5
2
2;7 102 Sek.
8 103 Sek
x3
6,5 Jahre
17,9 Min.
24,3 Sek.
9 104 Sek.
4 104 Sek
x2
x
3 105 Sek.
30
2 105 Sek
20
x
Eingabelänge/Zeitkomplexität (s)
3855 Jahrhunderte
12,7 Tage
1,7 Min.
6;4 102 Sek.
1;6 103 Sek.
4 105 Sek.
40
366 Jahrhunderte 1;3 1013 Jahrhunderte
2 108 Jahrhunderte
13,0 Min
2;16 101 Sek.
3;6 103 Sek.
6 105 Sek.
60
37,7 Jahre
5,2 Min
1;25 101 Sek.
2;5 103 Sek.
5 105 Sek.
50
Tabelle 1 Tabelle aus Beutelspacher/Schwenk/Wolfenstetter, Kryptographie, S. 126. Aufgabe war, Zeichenketten mit einem gängigen Computer zu sortieren – zu den Algorithmen (insb. „Bubblesort“ und „Quicksort“ siehe ebenda).
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses 307
308
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
heute gilt und wesentlicher Bestandteil der digitalen Revolution ist – noch ganz erheblich. Selbst dieser enorme exponentielle Zuwachs ist aber im Vergleich zu dem mit jetziger Rechenleistung leicht erreichbaren Sicherungsniveau nahezu vernachlässigbar. Bei Verdoppelung der Rechenleistung kann gerade einmal ein Problem mit der Länge 41 statt wie seither mit der Länge 40 gelöst werden.585 Die Verschlüsselung kann somit auch unter diesem Gesichtspunkt als sehr sicher gelten. Die Verlängerung des Schlüssels ist schließlich einfachst möglich. Auch für die Zukunft kann erwartet werden, dass zwar die Rechenleistung zum gewaltsamen Entschlüsseln ansteigt, linear dazu wird aber auch die Verschlüsselung ansteigen, da immer längere Schlüssel verwendet werden können. Von bisher oft noch verwandten 128 Bit wird eine lineare Steigerung über die nächsten zehn Jahre auf 3072 Bit erwartet.586 Der Abstand wird also ausreichend sein. Schließlich ist das Verschlüsseln mit ganz erheblich weniger Rechenleistung möglich als das Entschlüsseln ohne bekannten Schlüssel. Das entsprechende mathematische Verfahren, nennt man eine Einweg- oder eine Falltür-Funktion. In die eine Richtung ist der Weg leicht zu gehen, aber nicht in die andere.587 Als Beispiel mag eine Multiplikation bzw. die Primfaktorzerlegung dienen: Sind a und b Primzahlen, so ist die Aufgabe a b ã x schnell gelöst. Ist aber nur x gegeben, so ist es sehr aufwendig, a und b zu ermitteln, weil es das Durchprobieren sehr vieler Möglichkeiten erfordert. Dies ist schon bei lediglich zweistelligen Primzahlen eindrucksvoll: 89 97 ã 8:633. Die Multiplikation ist schnell vollzogen, auch ohne Computer. Nun herauszufinden, welche Faktoren (wohlgemerkt, es sind Primzahlen, es gibt also nur eine Lösung) in 8.633 stecken, gestaltet sich aber als äußerst schwierig. Aufgrund der relativ leichten Implementierung und des außerdordentlich hohen praktischen Schutzniveaus spielt Verschlüsselung eine wichtige Rolle in der heutigen Datensicherung, dies gilt vor allem für die Datenkommunikation. Dort ist sie ohne praktische Alternative. Verschlüsselung ist ein hochwirksames und relativ leicht umzusetzendes Mittel zum Schutz von digitalen Geheimnissen. Jahre verdoppelt. 1965 ging er von einer jährlichen Verdoppelung aus, 1975 korrigierte er auf zwei Jahre. Im Rückblick hat sich die Rechenleistung alle 18 Monate seit 1965 circa verdoppelt. Dieser exponentielle Technologiefortschritt bildet eine wesentliche Grundlage der „digitalen Revolution“. Diese Auslegung des Mooreschen Gesetzes bildet heute den Rahmen, an dem die Halbleiterindustrie ihre Entwicklungspläne auf mehrere Jahre hinaus festmacht. 585 s. die Tabelle und vgl. Beutelspacher/Schwenk/Wolfenstetter, Kryptographie, S. 126. 586 BSI, Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit, 2003, 7.1.3.1. 587 s. ausf. Schneier, Kryptographie, Kap. 18, S. 491 ff.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
309
(2) Rechtliche Wertung Es ist umstritten, ob die Verschlüsselung „besondere Sicherung“ im Sinne des § 202a StGB ist, unabhängig von Fragen ihrer Dokumentationswirkung.588 Bevor auf die Dokumentationswirkung der Verschlüsselung einzugehen ist, soll sich zunächst diesem Streit zugewandt werden. Kommt man zu dem Ergebnis, Verschlüsselung sei ohnehin nicht als Sicherung anzuerkennen, so kommt es auf die Dokumentationswirkung nicht mehr an. (a) Schutz vor dem intellektuellen Zugang zu Daten Unabhängig von Fragen um die Dokumentation eines Geheimhaltebedürfnisses ist umstritten, ob die Verschlüsselung eine Sicherung im Sinne des § 202a StGB darstellen kann. Sicherungen müssen vor Zugang zu Daten und damit vor dem Verschaffen dieser schützen. Dies wirft zwei Probleme auf, die teils über die bei der Steganographie benannten hinausgehen: Zunächst ist zu klären, ob die verschlüsselten Daten noch die Ursprungsdaten sind. Wäre dies nicht der Fall, so schützte die Verschlüsselung nicht vor dem Zugang zu den Ursprungsdaten. Sie stünde neben diesen und schaffte neue Daten. Man kann argumentieren, die Ursprungsdaten lägen hier nicht vor, sondern andere, neue Daten, aus denen sich lediglich den Ursprungsdaten gleichende Daten errechnen ließen. Genauso gut ließe sich vertreten, die Ursprungsdaten seien nur modifiziert und „verformt“ worden. Bei Rückformung seien sie wieder als solche erkennbar. Es handele sich um dieselben, lediglich modifizierten Daten. Weiter als die sprachliche Annäherung führt die über den Sinn der Norm und der Datenveränderung. Die verschlüsselten Daten, dies entspricht wohl am ehesten dem allgemeinen Sprachgefühl und zugleich der computertechnischen Wirklichkeit, sind nicht andere als die Ursprungsdaten, sondern diese in veränderter Form. Die Verschlüsselung verbirgt die Ursprungsdaten durch deren Transformation in ihnen selber. In dieser Hinsicht schützt Verschlüsselung vor dem Zugang zu (Ursprungs-)Daten. Damit ist sich der zweiten Fragestellung zuzuwenden: Die Verschlüsselung schützt niemals vor dem technischen Zugang, sondern nur vor dem 588 Bejahend: Jerouschek/Kölbel, NJW 2001, 1601, 1603; Lackner/Kühl, § 202a R.n 4; ausf. Krutisch, Computerdaten, S. 116 ff.; Möhrenschlager, wistra 1986, 128; LK-Schünemann, § 202a Rn. 16 m. w. N.; Schulze-Heiming, Computerdaten, S. 74 ff.; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8; 140; Schmachtenberg, DuD 1998, 401, 402. a. A.: Bär, Computerkriminalität, Kap. 18 Rn. 78; P. Schmid, Computerhacken, S. 104, der sogleich de lege ferenda vorschlägt, die Verschlüsselung ausdrücklich aufzunehmen. Zweifelnd jedenfalls Lenckner/Winkelbauer, CR 1986, 483, 487, vgl. aber Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8.
310
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Verstehen von Daten. Es ist daher zu fragen, ob tatbestandlich ein technischer Zugang im Sinne eines tatsächlichen In-den-Händen-haltens der Daten oder ein verständiger Zugang im Sinne einer intellektuellen Erfassensmöglichkeit der Daten gemeint ist. In der Literatur finden sich Vertreter beider Alternativen. Die einen argumentieren nach Sinn und Zweck und wollen anerkennen, dass es sich bei der Verschlüsselung um eines der effektivsten Sicherungsmittel handele, selbst wenn die Daten in den Händen des Täters gehalten würden, da es auch dann noch das Verstehen der Daten verhindere – und auf dieses komme es letztendlich an.589 Die anderen, weniger in der Zahl, wollen strenger am Wortlaut argumentieren und feststellen, dass der Zugang nicht verhindert werde, wenn die Daten frei lägen und nur nicht verstanden würden.590 Es kann vertreten werden, dass die Verschlüsselung der Originaldaten neue Daten erschafft. Diese seien mit den Originaldaten weder identisch noch – wie behauptet wird – die Originaldaten in bloß anderer Form. Damit stelle sich die Abgrenzungsfrage gar nicht. Folgte man dem, so hielte der Täter strenggenommen gar nicht verschlüsselte Daten in der Hand, sondern Daten, die aus Originaldaten errechnet wurden und sich dem Verständnis des Täters entziehen. Dies erscheint nicht nur als im Ergebnis verfehlt, sondern ist auch zu begrifflich gedacht und lässt den Normzweck außer acht. P. Schmid, der diese Ansicht im Ergebnis de lege lata vertritt, schlägt denn auch sogleich rechtspolitisch vor, das Strafgesetz entsprechend zu erweitern und verschlüsselte Daten und den Schlüssel von § 202a erfassen zu lassen.591 Wendet man sich wieder dem Ausgangsproblem zu, ob es auf den Zugang zur faktischen Herrschaft oder auf die Verstehensmöglichkeit ankommt, so sind die Begründungen beider Ansichten stichhaltig. Diese schließen sich nicht aus, wie auch die herrschende Meinung meist einge589 Stellv. noch Tröndle/Fischer54, § 202a Rn. 8 (Fischer, § 202a Rn. 8 ff. betont dagegen nach der Reformierung die Einwirkungsmöglichkeit); MüKo-Graf, § 202a Rn. 38; Jessen, Sicherung i. S. v. § 202a, S. 161; Schulze-Heiming, Computerdaten, S. 75; Krutisch, Computerdaten, S. 117; Lackner/Kühl, § 202a Rn. 4; Sch/SchLenckner/Schittenhelm, § 202a Rn. 8; LK-Schünemann, § 202a Rn. 16. i. Erg. R. Schmitz, JA 1995, 478, 483. 590 P. Schmid, Computerhacken, S. 104; im Ergebnis ebenso aber unscharf Schmachtenberg, DuD 1998, 402: Nach ihm werden Daten „eigentlich nicht vor dem Zugang im Sinne von Einwirkungsmöglichkeit geschützt [auf die Einwirkungsmöglichkeit kommt es bei § 202a im Gegensatz zu § 303a aber gerade nicht an], sondern nur vor deren Kenntnisnahme“. Auch davor schützt aber Verschlüsselung nicht. Schmachtenberg formuliert aber wohl nur unglücklich und meint statt Kenntnisnahme den Zugang zur Verständnisebene. Dies ergibt sich daraus, dass er später vom Zugang zu den „Originaldaten“ spricht. 591 P. Schmid, Computerhacken, S. 104.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
311
steht.592 Die Argumentationen laufen auf verschiedenen Ebenen, so dass sie sich (dort) nicht widersprechen, sondern erst im wertenden Ergebnis, das Folge einer Gewichtung beider zutreffender Argumente ist. Der Mindermeinung ist zuzugeben, dass die (verschlüsselten) Daten ausgelesen und damit faktisch verschafft werden können. Doch, und das ist entscheidend, meint Zugang zu den Daten nicht den inhaltslosen, ja sinnlosen Zugang zu einer Folge von Nullen und Einsen. Unter Verschaffen eines Zugangs muss nach dem Telos die Herrschaft über die Daten und zumindest Kenntnismöglichkeit der Daten verstanden werden.593 Denn davor soll § 202a schützen. Die Verschlüsselung erfasst hier immerhin die letztere Alternative, wenn man unter Kenntnis den Sinngehalt versteht. Dieses Verständnis ließe sich dabei aus dem Telos der Norm nähren. Vor der Reform durch das 41. StrÄndG ließ sich noch einfacher auf den gesetzgeberischen Willen schließen. Bis dato wurden auch Daten im Übermittlungsstadium erfasst, § 202a Abs. 2 a.E lautet: „Daten sind solche, die [. . .] übermittelt werden.“ Diese Daten mussten gesichert sein. Einen anderen wirksamen und allgemein praktikablen Schutz als die Verschlüsselung (Steganographie und das Abschirmen von Kabeln etc. spielen in der Praxis kaum eine Rolle) gab und gibt es aber nicht. Dies war auch dem Gesetzgeber schon bei Fassung der Norm bewusst, denn der Mangel an alternativem Schutz für in Kommunikation befindliche Daten war seinerzeit bekannt.594 Es durfte danach davon ausgegangen werden, dass der Gesetzgeber die Verschlüsselung aufnehmen wollte, ohne dies direkt auszudrücken.595 Da der Wortlaut nicht entgegensteht, war die Verschlüsselung als Sicherung vor Zugang im Sinne des § 202a anzunehmen. Eine andere Auslegung ginge am Telos der Norm vorbei. Die Geheimhaltung soll nicht davor schützen, dass Daten abhanden kommen. Davor schützte eher § 242. Der Zugang zu Daten war und wird deshalb pönalisiert, weil er potenzielle Kenntnisnahme bedeutet. Ist die Kenntnisnahme aber nicht potenziell, sondern wegen der Verschlüsselung ausgeschlossen, so besteht kein Grund, das Verschaffen der Daten zu bestrafen.596 Umgekehrt müssen Maßnahmen als Schutz von Daten anerkannt werden, die zwar erlauben, dass die Daten in 592 Noch Tröndle/Fischer54, § 202a Rn. 8; MüKo-Graf, § 202a Rn. 38; Jessen, Sicherung i. S. v. § 202a, S. 161; Schulze-Heiming, Computerdaten, S. 75; Krutisch, Computerdaten, S. 117; Lackner/Kühl, § 202a Rn. 4; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8; LK-Schünemann, § 202a Rn. 16. 593 LK-Schünemann, § 202a Rn. 6. 594 Leicht, iur 1987, 45, 51. 595 So im Erg. auch Krutisch, Computerdaten, S. 117; LK-Schünemann, § 202a Rn. 16. Ganz klar ist dies nicht, denn die Kryptopolitik ist mehr als widersprüchlich. 596 Siehe dazu bereits oben unter dem Problem des Verschaffens verschlüsselter Daten, S. 93 ff., Abschn. 2.
312
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
fremde Hände gelangen, aber die Kenntnisnahme ausschließen. Denn jeder Zugangsschutz nach § 202a hat seine Berechtigung nur und ausreichend darin, die Kenntnisnahme zu verhindern. Dieses Bild könnte allerdings nach der Einführung des § 202b nach Korrektur verlangen. Diese Norm erfasst Daten in einer nichtöffentlichen Datenübermittlung auch ohne Schutz. Dieser ergänzt den Schutz von Datenübermittlungen, die bisher von § 202a und – wie oft übersehen wird – von § 148 Abs. 1 Nr. 1 i. V. m. § 89 S. 1 TKG erfasste Datenübermittlung. Während das TKG das Abhören einer drahtlosen Übermittlung erfasst und § 202a eine besondere Datensicherung voraussetzt, kennt § 202b nur die Einschränkung auf nichtöffentliche Datenübermittlungen oder elektromagnetische Abstrahlungen, die unter Anwendung von technischen Mitteln abgefangen werden müssen. Die bisherige argumentative Stütze fällt damit aus systematischen Erwägungen weg. § 202b erfasst gerade auch ungesicherte Daten. Ein, wenn auch nicht schlagkräftiges, aber durchaus den notwendigen Ausschlag gebendes neues Argument liefert aber die Reformierung des § 202a direkt: Nunmehr wird der Zugang zu den Daten und nicht das Verschaffen von ihnen mit Strafe belegt. Während sich früher gut vertreten ließ, die Wortlautgrenze sei überschritten, wenn Daten verschafft und nur nicht verstanden werden könnten, kann unter dem Zugang zu Daten jedenfalls eher auch der intellektuelle Zugang verstanden werden. Da der Telos der Norm dafür spricht – geschützt werden soll nicht vor einer körperlichen Kopie von Daten, sondern letztendlich vor dem Verlust von Geheimnissen –, ist die Verschlüsselung auch nach der Reform als Sicherung im Sinne des § 202a StGB anzusehen.597 De lege ferenda ist eine gesetzgeberische Klarstellung dennoch zu fordern. Wie gezeigt wurde, ist das praktische technische Schutzniveau außerordentlich hoch. Die theoretische Errechenbarkeit tut dem keinen Abbruch. Die Verschlüsselung ist daher eindeutig als Zugangssicherung zum Informationsgehalt von Daten anzuerkennen. Aus rechtspolitisch-praktischer Sicht steht dem jedoch derzeit die widersprüchliche Kryptopolitik entgegen.598 Der Gesetzgeber will einerseits den Schutz der Bürger vor dem Ausspähen unterstützen,599 andererseits ist die Verbreitung von Verschlüsselung eine Herausforderung für die Strafverfolgung und Prävention, da selbst staatliche Organe die Verschlüsselung kaum brechen können.600 Um dies in Einklang 597
So im Ergebnis auch Fischer, § 202a Rn. 9a. Ein internationales Problem, vgl. schon Kioupis, Strafrecht und Internet, in Anagnostopoulos: Internationalisierung des Strafrechts, S. 93, 97. 599 Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F Rn. 183 ff. 600 Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F 183 ff., s. auch Bundesregierung (Hrsg.), Deutsche Kryptopolitik 1999; Kuner, NJW-CoR 1995, 413, 598
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
313
zu bringen, versucht der Gesetzgeber, eine einheitliche Kryptopolitik zu entwerfen.601 Der Weg, nur Verschlüsselung zuzulassen (oder mit § 202a zu erfassen), bei der dem Staat eine Hintertür offengehalten wird, ist dabei kaum gangbar.602 Derzeit zeichnet sich jedoch eine Fortschreibung der widersprüchlichen Kryptopolitik ab. § 202b dürfte gerade ein Ergebnis dieser Politik sein. Der Verzicht auf eine besondere Sicherung bei der Übertragung heißt, da es kaum andere Sicherungsmöglichkeiten gibt, der Verschlüsselung die Unterstützung zu entziehen. Der Bürger muss sich nicht mehr um Verschlüsselung bemühen, um strafrechtlich flankierten staatlichen Schutz zu erhalten. (b) Wertung nach der Dokumentationstheorie Der Datenverfügungsberechtigte kann dezidiert einzelne Dateien verschlüsseln und damit eindeutig sowie ausdrücklich dokumentieren, dass diese Daten geschützt sein sollen. Es können aber auch gesamte Datenbereiche, etwa gesamte Computerfestplatten, verschlüsselt werden. Es ergeben sich somit dieselben Abgrenzungsprobleme wie beim Passwortschutz, wenn man auf eine eindeutige Dokumentation eines Geheimhaltebedürfnisses abstellt. Dieses wird oft gegeben und erkennbar sein – erst letzteres soll ja ausreichend sein – etwa, wenn auf einem Rechner nur ausgewählte Dateien verschlüsselt sind. Aus dieser Tatsache lässt sich schließen, dass dem Verschlüsselnden diese Daten besonders wichtig waren. Werden gesamte Computer verschlüsselt, so ist der Schutz unspezifisch mit der Folge, dass die Dokumentation zunehmend verwässert. In Bezug auf automatisch verschlüs414 ff. Ein ähnliches Problem stellt sich in Unternehmen – diese sehen es teilweise nicht gerne, wenn Mitarbeiter auf ihren Rechnern Daten verschlüsseln und so das Unternehmen keinen Zugriff mehr darauf hat. Dies führt zum Teil zu erheblichen Reaktionen wie Briegleb, Heise-News 2006, No. 75574 http://www.heise.de/news ticker/meldung/75574) berichtet. 601 Zur Kryptokontroverse vgl. insg.: Bundesregierung (Hrsg.), Deutsche Kryptopolitik 1999; Andrzejak, in Hoeren/Queck Informationsgesellschaft, S. 132 ff.; Bizer, Kryptokontroverse, S. 179 ff., S. 214 ff.; ders., DuD 1996, 5 ff.; vgl. auch ders., Verschlüsselung, S. 214 ff. Blaze, DuD 1997, 209 ff.; Engel-Flechsig in Moritz/Dreier, E-Commerce, Kap. F, Rn. 183 ff.; Hortmann, DuD 1997, 214; Kelm/ Kossakowski, DuD 1997, 192 ff.; Kuner, NJW-CoR 1995, 413, 414 ff., der die Beschränkungen für eine ernste Gefahr für die weitere Entwicklung des Internets hält (S. 416). 602 Verschlüsselungssoftware wird von den Unternehmen weltweit vertrieben. Sie werden kaum für Staaten „Hintertüren offen halten“. Dies wäre aufwendig und der Markt würde dies kaum annehmen. Der Softwarevertrieb ist internationalisiert. Für nationalstaatliche Regelungen bleibt wenig Raum. Es gäbe sofort Ausweichbewegungen beim Hersteller- und Nutzerkreis. Auch sind bereits effektive kostenlose Versionen, die kaum kontrolliert werden können, verfügbar.
314
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
selte Kommunikation kann allerdings nicht das Argument angeführt werden, dass auf ein Geheimhaltebedürfnis nur geschlossen werden könne, wenn die Verschlüsselung von jeder Seite aktiv betrieben werde. Dies ist nicht notwendig. Bei vielen Internetverbindungen ist vom Privatnutzer unbemerkt Verschlüsselung aktiv. Der Nutzer kommuniziert also unbemerkt abgesichert. Weiß er nicht um die Sicherung, so kann man kaum behaupten, er dokumentiere durch die Sicherung ein besonderes Bedürfnis. Allerdings hat sein Gegenüber, das die Verschlüsselung durchsetzt, anders als der Softwareüberlassende bei Betriebssystemen, selbst regelmäßig ein Geheimhaltungsinteresse, das er mittels der Sicherung durchzusetzen sucht. Verschlüsselten Daten ist in aller Regel nicht anzusehen, dass sie verschlüsselt sind. Es könnte sich auch um einen Datensatz handeln, den der Täter oder ein Dritter mit den ihm zur Verfügung stehenden Softwaremitteln nicht lesen kann. Wer die Daten entschlüsseln will, der muss davon ausgehen, dass die Daten verschlüsselt sind, um sie „richtig anzufassen“, wobei die Erkennung teilweise von Software übernommen werden kann. Dies unterscheidet verschlüsselte Daten von versteckten. Auf letztere kann man zufällig stoßen und sie dann ohne weiteres öffnen, ohne zu wissen, ob sie versteckt sein sollten. Verschlüsselte Daten können aber nicht zufällig entschlüsselt werden, d.h. bevor sie kryptoanalytisch entschlüsselt werden, ist die Tatsache der Verschlüsselung und damit der Sicherung zwangsläufig bekannt. Ist die Sicherung bekannt, bietet dies insoweit erste notwendige Voraussetzung, um überhaupt auf ein Geheimhaltungsbedürfnis zu schließen. Verschlüsselung setzt nicht stets spezifisch an einzelnen ausgewählten Daten an. Sie greift jedoch, im Gegensatz zum Passwortschutz, derzeit nur bei der Kommunikation automatisch, bei der aber einem Kommunikationsteilnehmer, und dies ist ausreichend, ein Geheimhaltungsbedürfnis unterstellt werden kann. Es handelt sich jedenfalls derzeit noch um eine Anwendung, die oft gezielt auf einzelne Datenbereiche erstreckt wird. Der Zweck der Verschlüsselung ist, und hier besteht der Hauptunterschied zum Passwortschutz, in aller Regel allein der Geheimnisschutz. Verschlüsselung schützt nicht direkt vor Manipulation.603 Verschlüsselung lässt damit weit eher als der Passwortschutz auf ein dahinter liegendes Geheimhaltungsbedürfnis schließen. Die Dokumentation ist aber in manchem Fall nicht eindeutig, obwohl ein Geheimhaltungsbedürfnis vorhanden ist. Auch hier zeigt sich die Schwäche einer Theorie, die auf eine eindeutige Dokumentation durch vieldeutiges Handeln abstellen will. 603 Indirekt besteht ein gewisser Schutz. Theoretisch können die Daten zwar manipuliert werden. Doch ist dies praktisch nicht zielführend. Die Manipulation kann das Dokument zerstören, präzise Inhaltsänderungen sind aber ohne Entschlüsselung praktisch nicht denkbar.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
315
Die Verschlüsselung kann nicht vor Manipulation oder Ressourcendiebstahl direkt schützen. Sie kann nur Daten geheim halten. Daher kann von allen Sicherungstechniken am ehesten aus dem Vorliegen einer Verschlüsselung auf ein zugrundeliegendes Geheimhaltungsinteresse geschlossen werden, da andere Zielrichtungen ausscheiden. Dennoch bestehen aus anderen Gründen bei diesem wirklichen Paradebeispiel fast kurioserweise Bedenken, es als Sicherung anzuerkennen. Will man wirklich die Dokumentation eines Geheimhaltungsbedürfnisses ernst nehmen, so muss man die Verschlüsselung als Sicherung par excellence annehmen. h) Erhöhter Schutz durch Kombination von Zugangsschutz, Verschlüsselung und Täuschung (1) Grundsatz Der beste Schutz besteht – wie so oft, insofern ist dies keine computerspezifische Besonderheit – aus der Kombination verschiedener Schutzfunktionen, die nebeneinandergestellt, ineinander verschränkt oder hintereinander geschaltet werden. Dies wurde eingangs des Abschnitts über Verschlüsselungs- und Verstecktechniken bereits grundsätzlich dargelegt. Nun sei der Fokus auf eine datenspezifische elektronische Anwendung gerichtet, die sich gerade diese Kombination zunutze macht, dadurch ein hohes Schutzniveau erreicht und daher weite Verbreitung gefunden hat. Daraus lassen sich für die hiesige Untersuchung wichtige Erkenntnisse, insbesondere im Hinblick auf die Dokumentation des Geheimhaltungsinteresses ableiten. (2) Moderner kombinierter Schutz von Daten am Beispiel von TrueCrypt Das kostenlose OpenSource-Programm TrueCrypt604 selbst setzt, wie jede Verschlüsselungssoftware, direkt an den zu schützenden Daten an. Es dient nicht der Verschlüsselung der Kommunikation,605 sondern der Verschlüsselung einzelner Dateien bis zu der ganzer Festplatten. Dazu kann es auf verschiedene gängige Algorithmen zurückgreifen.606 Die Besonderheit 604
Kostenlos abrufbar und mit weiteren Informationen unter http://www.true crypt.org/ 605 Es können jedoch auch Daten auf portablen Datenträgern verschlüsselt werden. 606 Wie etwa AES, Blowfish, Twofish, CAST5, Serpent und Triple DES. Diese können auch kombiniert werden: Mit dem einen Algorithmus Verschlüsseltes wird dann mit einem anderen nochmals verschlüsselt. Allgemein zur Kombination verschiedener Algorithmen vgl. Schneier, Kryptographie, Kap. 15, S. 411 ff. Dies er-
316
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
dieses Programms und damit für diese Untersuchung von besonderer Relevanz ist das plausible deniability Konzept.607 Dieses wird durch zwei kombinierte Funktionen realisiert: 1. Das Programm generiert zunächst sogenannte TrueCrypt-container (volumes). Diese haben eine vom Nutzer vordefinierte Größe und werden zunächst mit verschlüsselten Zufallsinformationen608 beschrieben.609 Ein bestimmter Bereich der Festplatte wird als Ordner angelegt, der so mit wertlosen Daten gefüllt wird. In diesen Container legt der Nutzer nun seine zu verschlüsselnden Daten. Dabei werden – dem Platzbedarf entsprechend – die vorher generierten Zufallsdaten teils überschrieben. Ein Container kann also nur 2 MB an relevanten Daten enthalten und dennoch 20 GB groß sein. In dem Container befinden sich nun verschlüsselte sinnvolle und verschlüsselte zufällige Daten.610 Beide können voneinander äußerlich unmöglich unterschieden werden. Der Container wird dann mit einer Passphrase versehen und verschlossen. Von außen ist also nichts erkennbar; nicht einmal, ob der Container mit verschlüsselten Zufallsdaten oder mit sinnvollem Inhalt gefüllt ist. 2. In diesen verschlüsselten Container können nun hidden-volumes eingebracht werden, sozusagen statt Inhaltsdaten wiederum Container, die ihrerseits verschlüsselt sind. Der Container wird also gefüllt mit weiteren kleineren Containern, die mit verschlüsselten Daten gefüllt werden können. Bildhaft gesprochen, blickt der Betrachter von außen immer in einen vernebelten Raum. Er kann schon nicht erkennen, ob in dem Raum überhaupt Kisten sind, geschweige denn, wie viele Kisten es gibt, wie groß sie sind etc. Außer dem Rauschen der Zufallsdaten vermag er nichts zu vernehmen. Wird der Nutzer nun – auf welche Art auch immer – gezwungen, den Schlüssel zu dem Container herauszugeben, so kann er zunächst abstreiten, dass in dem verschlüsselten Raum überhaupt andere als vom Computer generierte Zufallsdaten sind. Da es wenig glaubwürdig ist, verschlüsselte Bereiche anzulegen, in denen sich nichts befindet, empfiehlt sich eine andere fordert naturgemäß entsprechend mehr Rechenzeit, erhöht aber die Sicherheit. Zu den bekanntesten Algorithmen, ihrer Wirkungsweise und Sicherheit s. Schneier, Kryptographie, Kap. 9–24, S. 223–634. 607 Zu deutsch etwa „glaubwürdiges Abstreiten“. 608 Echte Zufallszahlen vermag ein Computer strenggenommen nicht zu generieren, er kann nicht „chaotisch“ arbeiten. Er bedient sich daher „biologischer“ Eingaben, wie etwa vom Nutzer generierte „chaotische“ Mausbewegungen, die er in seine Generierung von Zufallszahlen einbaut, umso immer wieder unberechenbare „Anstöße“ zu bekommen. 609 Da Computer nicht wirklich zufällig Zahlen generieren können, werden Mausbewegungen und beliebige Tastatureingaben vom Nutzer ausgeführt. 610 Bereits dies zeigt, dass nicht alle Daten in einem Container, die technisch geschützt sind, auch dem Nutzer wichtig sind.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
317
Strategie. Hat er vorher mehr oder minder wichtige Alibi-Daten eingebracht, so kann er diese nun herausgeben und behaupten, mehr wäre nicht in dem Raum. Um im Bild zu bleiben: Der Genötigte geht in den für alle anderen vernebelten Raum und holt von dort eine Kiste heraus, in der sich Dinge befinden, die schützenswert erscheinen, die aber für den Nötiger unnütz sind, etwa Schulzeugnisse oder alte Liebesbriefe. Der Genötigte kann nun aber, ohne dass es die technische Möglichkeit gibt, ihn zu widerlegen, behaupten, es befände sich sonst nichts in dem Raum. Dass in dem Raum viel mehr Kisten Platz hätten, ist ja kein Beweis, dass sich dort noch weitere Kisten befinden. Dies kann plausibel abgestritten werden (concept of plausible deniability). Das gilt auch bei dem elektronischen Container. Dass die gefundenen Daten mengenmäßig nicht der Größe des Containers entsprechen, ist kein Argument, dass dem Genötigten entgegengehalten werden kann. Der Rest des Containers mag leer (respektive mit chaotischen Zufallszahlen angefüllt) sein. Die in zweiter (dritter, vierter etc.) Stufe verschlüsselten Daten sind nicht von den Zufallszahlen des restlichen Bereichs zu unterscheiden. Der Rest des Containers kann also leer oder mit entscheidenden Informationen gefüllt sein. Letzteres kann der Nutzer glaubwürdig abstreiten.611 Ziel ist, dem Ausspähenden einen „Brocken hinzuwerfen“, mit dem er nichts oder wenig anzufangen weiß, um die Fassade aufrechtzuerhalten, dass es nicht noch (mehr) sensible Daten gibt. Ob den Genötigten eine Pflicht zur wahrheitsgemäßen Aussage trifft oder er berechtigt vorgaukelt, steht auf einem anderen Blatt.612 Für die hiesige Untersuchung ist dabei folgende Erkenntnis interessant: Es zeigt sich, dass es für Datenverfügungsberechtigte sinnvoll sein kann, Daten technisch zu schützen, obwohl es ihnen in keiner Weise auf diese Daten ankommt. Sie werden im Gegenteil geradezu dazu geschützt, um sie herauszugeben. Erst durch die Offenbarung verbunden mit der Täuschung, dass es dem Täuschenden auf diese Daten besonders ankomme, dass er diese geheim halten wolle, gewinnt die Behauptung an Glaubwürdigkeit, dass es weitere (die wirklich sensiblen) Daten nicht gebe. Durch das täuschende Dokumentieren eines nicht vorhandenen Geheimhaltungsbedürfnisses wird also die Geheimhaltung, wo sie wirklich bezweckt ist, bezweckt 611 Umgekehrt gilt allerdings dasselbe: So wenig wie Ausspähende (Verfolgungsbehörden) beweisen können, dass noch (sinnvolle) Daten im Container sind, so kann der Verfügungsberechtigte nie beweisen, dass nicht noch mehr (sinnvolle) Daten in dem Container sind. Er kann also nie beweisen, dass er alle Daten herausgegeben hat. Zweifel bleiben somit „in jeder Richtung“. 612 Zur moralischen Rechtfertigung einer solch listigen Strategie, siehe schon bei Schopenhauer, der meinte, Lüge und List seien „Notwehr gegen unbefugte Neugier, deren Motiv meistens kein wohlwollendes ist“ (Schopenhauer, Moral, S. 120 [222 f.]). In Fällen, in denen ein Recht auf Gewalt (etwa Notwehr) besteht, bestünde auch ein Recht zur Lüge, Schopenhauer, a. a. O.
318
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
und bewirkt. Es werden also gerade Daten technisch geschützt, bei denen man kein erhöhtes Sicherungsinteresse hat. Sicherungsinteresse besteht dagegen an anderen Daten und diese Sicherung soll verstärkt werden, durch täuschende Sicherung unwichtiger Daten. Man könnte nun argumentieren, die sensiblen Daten würden dadurch gesichert, dass man (auch) die irrelevanten sichert. Dies ginge aber an der Konzeption der Norm vorbei: Die Sicherung muss sich direkt in technischer Hinsicht auf die gesicherten Daten beziehen und nicht ihre Wirkung in täuschender Weise entfalten, indem sie sich auf andere Daten bezieht. In diesen Fällen stünde nicht die Sicherung der irrelevanten Daten im Vordergrund, sondern die Täuschung. Auch könnte man zwar argumentieren, der Nutzer des Programms dokumentiere ja gerade sein Sicherungsinteresse, die Dokumentation habe eben lediglich täuschenden Charakter. Darauf komme es aber nicht an. Dem wäre jedoch nicht zu folgen: Analog zur Diskussion beim Waffenbegriff wird keine Waffeneigenschaft angenommen, wenn objektiv keine Waffe vorliegt und die Waffeneigenschaft nur durch Täuschung vorgegaukelt wird.613 Eine Scheinsicherung ist ebensowenig eine Sicherung, wie eine Scheinwaffe eine Waffe ist. List und Tücke vermögen im einen Fall auf das Opfer so einzuwirken, als habe der Täter eine Waffe, wie sie im anderen Fall auf den Ausspähwilligen so einzuwirken vermögen, als seien die Daten wegen eines Geheimhaltungsbedürfnisses gesichert. Nähme man etwas anderes an, überschritte man die sprachliche Grenze.614 Liegt das Schwergewicht des Geschehens auf List und Tücke und nicht auf der technischen Funktion, so kann auch nicht auf letztere abgestellt werden. So liegt es auch hier. Eine Sicherung zur Täuschung ist keine Sicherung zur Sicherung und schon gar nicht zur echten Dokumentation des Sicherungsinteresses, sondern lediglich zur täuschenden (unechten) Dokumentation. Während in den vorigen Beispielen versucht wurde zu zeigen, dass trotz des besonderen Geheimhaltebedürfnisses hinter einer Sicherung dieses Bedürfnis in der Sicherung nicht stets eindeutig erkennbar ist, vermag dieses Beispiel exemplarisch zu zeigen, dass es Techniken gibt, in denen ein Geheimhaltungsbedürfnis nur vorgespiegelt werden soll. Die Dokumentation wird also bewusst verfälscht. Das Beispiel liefert einen weiteren Grund, nicht auf das äußere Erscheinungsbild abzustellen, um dadurch das dahinter stehende Interesse ermitteln zu wollen, das Grund eines Tatbestandsmerkmals sein soll. 613 Statt vieler für die mittlerweile h. M. SK-Günther, § 250 Rn. 9 ff.; SK-Hoyer, § 244 Rn. 3 ff. 614 Zum Waffenbegriff vgl. stellv. für die h. M. SK-Günther, § 250 Rn. 9 ff., „Einbezogen sind [. . .] erst recht keine Schußwaffenattrappen (Scheinwaffen“) [. . .] „Was eine Waffe nur zu sein scheint, ist gerade keine“.
A. Besondere Sicherung als Dokumentation des Sicherungsinteresses
319
V. Ergebnis Die Hauptuntersuchung ist nun mit dem Ergebnis abgeschlossen, dass die von der herrschenden Meinung angeführte Dokumentationstheorie nicht zu aussagekräftigen, eindeutigen und damit tragfähigen Ergebnissen führt. Allgemeine sozialpsychologische Erkenntnisse der Verhaltensforschung ergeben, dass Geheimhaltungsbedürfnisse nicht üblicherweise über Sicherungen ausgedrückt werden. Sie werden auf die verschiedensten Weisen kommuniziert. Zugleich dienen Sicherungen den unterschiedlichsten Zwecken. Ein hinter ihnen stehendes Geheimhaltungsbedürfnis muss sich nicht zwangsläufig in ihnen wiederfinden. Eine Stütze, auf eine Sicherung abzustellen, um ein Geheimhaltungsinteresse zu erkennen, findet sich daher hier nicht. Hinzu kommt, dass, will man auf ein Geheimhaltungsbedürfnis abstellen, zu erklären ist, wieso es nur anerkannt werden soll, wenn es sich in einer bestimmten Weise niederzuschlagen scheint. Eine Erklärung konnte nicht gefunden werden. Diese allgemeinen Gegebenheiten finden sich in der elektronischen Welt wieder. Es ist nicht zu fragen, ob bestimmte Sicherungen typischerweise Geheimhaltebedürfnisse schützen sollen. Die Frage hat vielmehr zu lauten, ob in dem Vorhandensein einer Sicherung, ohne auf sonstige Kenntnisse zurückzugreifen, sich ein hinter dieser Sicherung stehendes Geheimhaltungsbedürfnis zeigt. Dies ist nicht immer der Fall. Nach der Konzeption der herrschenden Meinung muss genau in diesem Punkt unterschieden werden. Ohne oft zu weite Interpretation der Fälle vermag sie dies jedoch nicht. Das Vorhandensein einer Sicherung lässt nicht eindeutig auf ein Vorhandensein eines über das normale Maß gesteigerten Geheimhaltungsbedürfnisses schließen. Dies ergab die Untersuchung konkreter elektronischer Sicherungsmittel, zuvörderst des oft als Paradebeispiel angeführten Passwortes. Die Passwortabfrage ist typisches Mittel zur Geheimhaltung. Dennoch kann nicht geschlossen werden, dass, wenn eine Passwortabfrage vorliege, sie zur Geheimhaltung gedacht sei. Um mit flapsigen Worten zu sprechen: Nicht überall, wo Sicherung draufsteht, ist Geheimhaltebedürfnis drin. Dies liegt daran, dass es viele Gründe für ein und dieselbe Sicherung geben kann, ohne dass zugleich ein Geheimhaltungsinteresse stets zumindest mit verfolgt wird. Insoweit hat sich die technische und soziale Wirklichkeit weiter aufgefächert und ist vielgestaltiger geworden. Bei automatischen Abfragen, die teils ohne Wissen und Wollen oder gar gegen den Willen des Nutzers greifen, kann nicht aus der Tatsache der Abfrage angenommen werden, der Nutzer habe ein besonderes Geheimhaltebedürfnis. Bei vielen Onlinediensten etwa wird ihm die Abfrage aufgenötigt, um Daten über ihn zu erfahren, nicht um sie zu schützen. Es kann daher nicht eindeutig angenommen werden, dass einer bestimmten Sicherung wie dem Passwortschutz auch stets ein Geheimhaltungsbedürfnis zugrunde liegt. Dies wurde in der
320
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Literatur in jüngerer Zeit teilweise erkannt. Die Konsequenzen daraus wurden jedoch nicht gezogen. Dasselbe gilt für weitere Sicherungsmittel, die typischerweise zur Geheimhaltung eingesetzt werden. Auch bei ihnen ist nicht erkennbar, ob die Geheimhaltung jedenfalls Nebenzweck ist. Soll ein Geheimhaltungsbedürfnis zielsicher und eindeutig erkannt werden, ist es daher verfehlt, auf eine Zugangssicherung abzustellen. Der Vergleich mit anderen Normen, deren wesentliches Merkmal Sicherungen sind, ergab, dass dort nicht das Erfordernis der Sicherung allein oder auch nur vorrangig damit begründet wird, dass Sicherungen auf ein besonderes Schutzbedürfnis schließen lassen. Es wurden verschiedene alternative Gründe dafür angeführt. Der Vergleich der technischen Umsetzung und Wirkung der Sicherung des § 202a mit anderen Normen ergab, dass die Sicherung des § 202a räumlich greifenden Sicherungen stark ähneln kann. Dies ist der Fall bei der Passwortsicherung. Bei den räumlich greifenden Sicherungen der Vergleichsnormen wurde aber nicht auf eine Dokumentation abgestellt. Die hiesigen Probleme werden an anderer Stelle also nicht aufgeworfen. Dort wird eine andere Begründung für die Sicherung angeführt. Auch ein systematischer Vergleich bietet damit der Dokumentationstheorie keine Stütze. Nicht nur auf die Passwortabfrage passen die Kriterien der Dokumentationstheorie nicht. Das Problem ist bei anderen typischen Sicherungen vergleichbar, insbesondere ist auch diesen nicht das dahinter liegende Interesse anzusehen. Es ist jedenfalls im Ergebnis dagegen fast kurios, dass ein wirkliches Paradebeispiel der Sicherung nur unter größten Bedenken als Sicherung anerkannt wird, obwohl bei ihm das Geheimhaltungsinteresse am ehesten aus der Sicherung spricht, da andere Zielrichtungen kaum angenommen werden können: Die Verschlüsselung kann nahezu ausschließlich nur der Geheimhaltung dienen.615 Sie kann dennoch nur mit großem Wohlwollen als Sicherung angenommen werden. Schlussendlich wurde gezeigt, dass manche Sicherung gar ein Geheimhaltungsinteresse nur vorspiegelt. Es wird hier offensichtlich, dass das Interesse an der Geheimhaltung und das an der Sicherung nicht das gleiche sind, sondern auseinanderfallen können. Auf der anderen Seite wurde gezeigt, dass etliche Sicherungen ausgeschieden werden, die der Anwender gerade aus Geheimhaltungsgründen einsetzt, da dieses Bedürfnis aus ihnen nicht deutlich genug spricht. Wer einen Computer vor Ausspähung schützen will, der setzt etwa typischerweise eine Firewall ein. Diese wird nicht als Sicherung anerkannt, da es an der eindeutigen Dokumentation fehle. Hier wird die Forderung einer Doku615
Dies soll keinesfalls eine Kritik am Begründungsmodus der die Verschlüsselung ablehnenden Auffassung sein. Das Ergebnis widerspricht allerdings dem Telos der Norm. Siehe insg. oben S. 309 (Abschn. 2.).
B. Viktimodogmatik als Begründungsmodus
321
mentation ernster als an vergleichbarer Stelle genommen und wichtige tatsächliche Sicherungsmittel rechtlich nicht anerkannt. Die erhöhte Komplexität einer Firewall im Vergleich zu einer Passwortabfrage mag dies nicht rechtfertigen. Diese Begründung der besonderen Sicherung ist demnach nicht haltbar. Dies bedeutet, wie oben bereits festgestellt wurde, aber nicht sofort, dass das Tatbestandsmerkmal der besonderen Sicherung vor Zugang obsolet würde und nicht haltbar sei. Denn es mag andere Begründungen für dieses Erfordernis geben. Dem Schluss, dass wer ein Sicherungsbedürfnis an Daten habe, diese Daten (Sicherungsmöglichkeiten vorausgesetzt) typischerweise auch sichere, soll nicht widersprochen werden. Der Gegenschluss aber, dass gesicherte Daten stets und unmissverständlich gerade wegen des besonderen Sicherungsbedürfnisses des Datenverfügungsberechtigten gesichert wurden, ist dagegen nicht (mehr) haltbar. In ihnen dokumentiert sich also nicht wie von der herrschenden Meinung behauptet unmissverständlich ein besonderes Sicherungsbedürfnis des Datenverfügungsberechtigten.
B. Viktimodogmatik als Begründungsmodus I. Allgemeine Darlegung und Kritik der Viktimodogmatik 1. Kurze Einführung in die Viktimodogmatik § 202a lässt zunächst plausibel erscheinen, dass ihm ein viktimodogmatisches Element innewohne, folgte man dieser Gedankenfolge: Der Verletzte wird nur rechtlich geschützt, wenn (die durch ihn durchgeführte) Installation einer Sicherung zu seinem Schutz faktisch greift. Die Norm zeigt also im Ergebnis, dass nur das Opfer geschützt wird, das sich selber zu schützen sucht und dabei Anstrengungen auf sich nimmt. Dieses Ergebnis ist kein Zufall, sondern gerade auf diese Überlegung konstitutiv gestützt. Die darin niedergelegte kriminalpolitische Wertung ist für die Strafrechtswissenschaft in Auslegung und Anwendung folgerichtig zu beachten.616 Es ist zu untersuchen, ob diese Gedankenfolge trägt. Selbst vehemente Kritiker der Viktimodogmatik, namentlich Eisele und Lenckner, räumen jedenfalls ein, dass es selbstverständlich viktimologisch vorgeprägte Tat616 Vgl. Vogel, FS Roxin, 105, 106 ff. zum Verhältnis von Strafrechtswissenschaft und Strafgesetzgebung, insb. auch auf die der Viktimodogmatik zugrunde gelegten Überlegungen der Strafwürdigkeit, der Sozialschädlichkeit und v. a. der Subsidiarität wie des Ultima-ratio-Gedankens.
322
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
bestandsmerkmale gebe.617 Ganz allgemein ist zur Viktimodogmatik festzuhalten, dass sie – und das ist grundsätzlich zu begrüßen – das Opfer vermehrt in den Blick des Strafrechts rückt.618 In jüngerer Zeit betont die Strafrechtspflege vielfältig die Stellung des Opfers zunehmend; so widmet sich nun ein ganzer Abschnitt der StPO dem Verletzten,619 als schon namentlich beispielhafter normativer Niederschlag sei nur der Täter-OpferAusgleich in Erinnerung gerufen. Diese Entwicklung wird von der Bevölkerung getragen620 und das viktimodogmatische Prinzip vor ihrem, nicht nur in Deutschland621 wahrzunehmenden Hintergrund, der Ausrichtung auf das scheinbar „vergessene“ Opfer hin, zu verstehen.622 Die Diskussion um das Verbrechen und die Opferselbstverantwortung geht bis zur Aufklärung zurück. Hobbes, Rousseau, Baccaria, Kant, später Binding, v. Liszt und andere setzten sich bereits damit auseinander.623 Die jüngere Entwicklung geht dabei entscheidend weiter. Dabei drängt das Opfer derart in den Vordergrund, dass sich, so Günther, „ein eigener Sproß der strafrechtlichen Unrechtslehre zu konturieren begann“.624 617 Sie formulieren dabei doppelt verneinend: Ihre Kritik bedeute „selbstverständlich [. . .] nicht, dass es nicht auch viktimologisch vorgeprägte Tatbestandsmerkmale“ gebe. Sch/Sch-Lenckner/Eisele, vor §§ 13 ff., Rn. 70b. 618 Vgl. H.-L. Günther, FS Lenckner, S. 67, 76 stellvertretend für die weit verbreitete Ansicht, die Strafrechtspflege habe sich zu sehr dem Täter zugewandt und das Opfer „an den Rand gedrängt“. 619 Dazu jüngst Kilger, GA 2007, S. 287 m. w. N. 620 Die spektakuläre Entführung des Hamburger Großerben Jan Philipp Reemtsma fachte eine breite Diskussion in der Bevölkerung über die Rolle des Opfers an auf die hier nicht näher eingegangen werden kann. Siehe stattdessen F.-C. Schroeder, Genugtuung, S. l99 ff., s. a. ders., Genugtuung für die Opfer, F.A.Z. v. 19.03.1997, S. 14. 621 Vgl. McDonald in Schneider: Verbrechensopfer, S. 422; Eder-Rieder, GS Zipf, S. 35; Eckstein, FS F.-C. Schroeder, S. 777 ff. 622 Vgl. stellvertretend und mit weiteren Nachweisen Kerner, Opferrechte, Opferpflichten, S. 1 ff.; für weitere Nachweise: ders., Bibliographie, S. 495. 623 Hobbes widmete sich diesem Thema in Zeiten der Philosophie des aufgeklärten Absolutismus, Hobbes, Vom Menschen und ders., Leviathan (insb. 13. bis 18. Kapitel). Locke, Über die Regierung, 2. Abhandlung, und Beccaria wandten sich dem in der kritischen Aufklärungsphase zu, während Rousseau und Kant einen idealistischen Freiheitsbegriff entwickelten. Hegelianer fügten die Opferselbstverantwortung in ihr Verständnis von Unrecht als der Negation der Negation des Rechts und dem Recht auf Strafe ein. Als wesentliche Vertreter in der Auseinandersetzung des Rechtspositivismus sind Binding, v. Liszt und später (unter dem Einfluß des Neukantianismus) Honig zu nennen, während Welzel sich kritisch gegen die Lisztsche und neukantianische Richtung wendet. Spätere nationalsozialistische und antiindividualistische Einflüsse stellten einen Bruch dar, nach dem nun nach der bundesrepublikanischen Auffassung wieder der Eigenwert der Person unter Anknüpfung an die Lehren der Aufklärung angesetzt werden soll. Vgl. zu dieser Entwicklung und mit Literaturnachweisen zu jeder hier genannten Stimme und etlichen anderen mehr nur Murmann, Selbstverantwortung, S. 1 ff.
B. Viktimodogmatik als Begründungsmodus
323
Die Viktimodogmatik stellt die Frage, ob es nicht eine Obliegenheit des Opfers gebe, bei deren Nichterfüllung die Strafbarkeit schon materiell-rechtlich ausscheide. Es sollen im Wege der Auslegung solche Verhaltensweisen aus den Straftatbeständen ausgeschieden werden, gegenüber denen das Opfer nicht schutzwürdig und -bedürftig ist, weil es sich durch ihm tatsächlich mögliche und zumutbare Maßnahmen selbst hätte schützen und so den Schaden vermeiden können.625 Diese Dogmatik sieht sich dabei teils grundsätzlicher,626 teils jedenfalls einschränkender627 Kritik ausgesetzt. Die Viktimodogmatik soll dabei im Allgemeinen Teil628 (etwa bei der Tatbeteiligung,629 notwehrähnlichen Lagen im weiteren Sinne630 oder der Rechtfertigung631 624
H.-L. Günther, FS Lenckner, S. 68. So jedenfalls die Kernaussage, R. Hassemer, Schutzbedürftigkeit, S. 81 ff.; Sch/Sch26-Lenckner, vor § 13 ff., Rn. 70b, ab der 27. Aufl. bearb. v. Lenckner/ Eisele; Schünemann, ZStW 90 (1978), 11 ff.; ders. in FS Faller, S. 357 ff.; ders. in FS R. Schmitt, S. 117, 128; ders., System, S. 51, 61 f.; ders. Rechtsgüterschutzprinzip, S. 133, 154; vgl. weiter Amelung, GA 1977, 1 ff.; Vogel, Legitimationsprobleme, S. 89, 103, 113; Eisele, JR 2005, 6, 8. 626 H.-L. Günther, FS Lenckner, S. 67 ff.; Hillenkamp, Opferverhalten, S. 18 ff. Auch MüKo-Freund, vor § 13 ff., Rn. 390 ff.; Sch/Sch26-Lenckner, vor § 13 ff., Rn. 70b, ab der 27. Aufl. bearb. v. Lenckner/Eisele; schon Beulke, NJW 1977, 1073. 627 Arzt, MschrKrim 1984, 105 ff.; W. Hassemer, FS Klug, S. 217 ff.; Kratzsch, Verhaltenssteuerung, S. 360 ff.; ders. in FS Oehler, S. 65, 71 ff.; Mitsch, Opferverhalten, S. 13 ff., 637 ff. 628 Vgl. Schünemann, System, S. 51 ff. Speziell, kritisch und sehr ausf. zur Rechtfertigung: Mitsch in seiner 1991 verfassten (und teilweise auf den Stand von 2003 aktualisierten) Schrift „Rechtfertigung und Opferverhalten“. Die Opferselbstverantwortung sei in den Rechtfertigungsgründen in „Spuren“ zu finden, die die Viktimodogmatik überschätze, a. a. O. S. 637. 629 Vgl. im Rahmen gemeingefährlicher Straftaten (27. Abschnitt des StGB), vgl. etwa BGHSt 6, 232; 11, 199; OLG Karlsruhe NJW 1967, 2321; Hillenkamp, Opferverhalten, S. 90 ff. mit zahlreichen weiteren Nachweisen. 630 Stichworte liefern etwa § 201, die Frage bei § 242, „ob die Beute Dieben gestohlen werden kann“, die „Haustyrannenproblematik“ und die provozierte Notwehrlage. Vgl. im Rahmen des § 201: BGHSt 14, 358, 361; 19, 325, 331; Suppert, Notwehr, S. 84 ff., 247 ff. m. w. N. Vgl. in Bezug auf Vermögens- und Eigentumsdelikte, in welchem Rahmen sich rechts- oder sittenwidriges Verhalten des Opfers auswirkt (Verwirkung), etwa zur o. g. Frage, ob dem Dieb die Beute gestohlen werden konnte, ablehnend etwa Binding, DJZ 1911, 554, 559, vgl. auch Hirschberg, Vermögensbegriff, S. 329. Vgl. zur Haustyrannenproblematik schon Feuerbach, Verbrechen, (2. Aufl. v. 1849) S. 162 ff.; RGSt 60, 318, z. heutigen Stand vgl. hierzu Sch/Sch-Lenckner/Perron, § 34 Rn. 18 und LK-Zieschang, § 34, Rn. 74, § 35 Rn. 29, 37, 44. Zur provozierten Notwehrlage: vgl. Hillenkamp, Opferverhalten, S. 125. Vgl. z. heutigen Stand Sch/ Sch-Lenckner, vor §§ 32 ff., Rn. 23; vgl. auch Sch/Sch-Lenckner/Perron, § 32 Rn. 46. Zu nennen ist weiter die Dauergefahr beim Notstand, vgl. den bekannten „Spannerfall“, dazu F.-C. Schroeder, Notstandslage bei Dauergefahr, S. 169 ff. 631 Zusammenfassend, kritisch und mit etlichen Nachweisen Mitsch, Opferverhalten, S. 13 ff., 637 ff. 625
324
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
allgemein), umfassend bei der Auslegung einzelner Delikte,632 bei der Strafzumessung633 oder gar im Strafverfahrensrecht634 eine Rolle spielen. Schwerpunkt der Auseinandersetzung bildete dabei die These, dass das Irrtumsmerkmal des § 263 einschränkend auszulegen sei, wenn das Opfer Zweifel habe.635 Die meisten viktimodogmatischen Schriften nehmen dieses Problem zumindest zum Anlass, ihre Thesen hieran zu begründen und zugleich zu überprüfen.636 Im Bereich der Auslegung einzelner Delikte, wie es für § 202a relevant ist, soll die Viktimodogmatik darauf nicht beschränkt sein: Sie soll sich bspw. auch auf den Schadensbegriff beim Betrug,637 die Nötigung,638 die Vergewaltigung,639 die Unterschlagung,640 und die – hier vor allem interessierende – Verletzung des persönlichen Lebens- und Geheimbereichs erstrecken.641 Im Gegensatz zu bei § 202a typischen Fällen ist bei den genannten und in der Diskussion vorherrschenden Konstellationen besonderes Merkmal, dass das Opfer (wenn auch unter Zwang oder aufgrund von Täuschung) mit dem Täter aktiv oder passiv kooperiert und damit einen notwendigen Beitrag leistet. 2. Allgemeine Thesen für und wider die Viktimodogmatik Eine besondere Wertung im Rahmen des § 202a ist ohne die Kenntnis der Grundlinien unmöglich. Daher sollen die wesentlichen Thesen und Kri632
Schünemann, FS Faller, S. 357 ff. Der wohl unkritischste Bereich, in den die Opfermitverantwortung von jeher einfloss, ohne dass dies als viktimodogmatisch bezeichnet worden wäre, vgl. auch Arzt, MschrKrim 1984, 105 ff. 634 W. Hassemer, FS Klug, S. 217, 226 ff. Vgl. insgesamt Arzt, MschrKrim 1984, 105 ff. 635 Sch/Sch-Lenckner/Eisele, vor § 13, Rn. 70b; s. zum Meinungsstand und zahlreichen Nachweisen ausf. Pawlik, Betrug, S. 224 ff. 636 Vgl. (schon die Titel) allein monographisch: R. Hassemer, Schutzbedürftigkeit des Opfers und Strafrechtdogmatik – und zugleich ein Beitrag zur Auslegung des Irrtumsmerkmals in § 263 StGB; Pawlik, Das unerlaubte Verhalten beim Betrug, S. 50 ff., 124 ff., 224 ff., 247. Vgl. auch Ellmer, Betrug und Opfermitverantwortung; Kurth, Das Mitverschulden des Opfers beim Betrug. Vgl. auch schon Giehring, GA 1973, S. 1, 20 ff.; Herzberg, GA 1977, S. 289 ff. 637 Beulke, NJW 1977, 1073. 638 Amelung, GA 1984, 579, 583 (ohne weitere Auseinandersetzung); Arzt, MschRKrim 1984, 105, 112 f. 639 Etwa Arzt, MschRKrim 1984, 105, 112 f. 640 Arzt/Weber, Strafrecht BT, LH/3 (2. Aufl., 1986), Rn. 246 ff.; s. auch Arzt/ Weber, Strafrecht BT (einbänd. Fortführung, 2000), § 15. Rn. 4 ff. 641 Schünemann, in Schneider: Verbrechensopfer, S. 407, 412 ff.; ders., ZStW 90 (1978), 11 ff.; Weitere Nachweise (und Kritik) bei Hillenkamp, Opferverhalten, S. 17 ff.; s. auch W. Hassemer, FS Klug, S. 223. 633
B. Viktimodogmatik als Begründungsmodus
325
tikpunkte der Viktimodogmatik im Allgemeinen kurz dargelegt werden. Es führte jedoch zu weit, hier in allgemeiner Weise das Für und Wider der Viktimodogmatik in aller Tiefe und Ausführlichkeit abzuhandeln, bedenkt man auch, dass selbst die Vertreter der Viktimodogmatik nicht für eine Anwendung auf § 202a fechten, wobei Schünemann eine Ausnahme darstellt.642 Auf die vom viktimodogmatischen Prinzip zunächst unabhängige und umstrittene Frage, ob der Gesetzgeber seinen Normen viktimodogmatische Überlegungen zugrunde legte,643 soll hier noch nicht eingegangen werden. Es soll schließlich um die Frage gehen, ob er diese hätte zugrunde legen sollen, beziehungsweise davon losgelöst, ob die Einschränkung, die er vornahm, viktimodogmatisch getragen werden kann. Weist die Viktimodogmatik auch viele Facetten auf und sucht etliche Konzepte zu bündeln,644 so lässt sie sich doch auf die allgemeine These herunterbrechen, dass das scharfe Schwert des Strafrechts nicht denjenigen schützen solle, der es versäumt, sich selbst mit eigenen möglichen und zumutbaren Mitteln zu schützen.645 Dabei bedient sie sich der empirischen Forschung, der Viktimologie.646 Die Viktimodogmatik wird als eine direkte Ableitung aus dem ultima-ratio-Prinzip647 und der daraus resultierenden Anforderung verstanden, dass der Einsatz des Strafrechts zum Rechtsgüterschutz erforderlich sein müsse.648 Sie soll als Auslegungsmaxime649 diejenigen Verhaltensweisen aus dem Bereich des Strafbaren ausscheiden, gegenüber denen das Opfer sich selbst hätte schützen können – gegenüber denen es also eines Schutzes nicht bedürftig und damit auch nicht würdig sei.650 642
Vgl. Fn. 641, S. 324. Vgl. zu § 203: Schünemann, ZStW 90 (1978), S. 32 – „[. . .] dieser gesetzlichen Regelung liegt eine [. . .] Konzeption zugrunde, die ich viktimologische nennen möchte [. . .]“ einerseits und dem ausf. entgegnend: Hillenkamp, Opferverhalten, S. 67 ff. 644 H.-L. Günther, FS Lenckner, S. 70. 645 Sch/Sch-Lenckner/Eisele, vor § 13, Rn. 70B m. w. N. 646 Arzt, MschrKrim 1984, 105 ff.; H.-L. Günther, FS Lenckner, S. 70. Jung, MschrKrim 1984, 125 ff. s. allgemein: Amelunxen, Opfer, S. 1 ff.; schon Drapkin, Victimology, S. 1 ff.; Eisenberg, Kriminologie, § 1; Göppinger, Kriminologie, S. 27, 153, 165; Haesler (Hrsg.), Viktimologie, S. 1 ff.; Kaiser/Kerner/Sack/Schellhoss (Hrsg.), Wörterbuch, „Viktimologie“; Kiefl/Lamnek, Soziologie des Opfers, S. 1 ff.; Maeck, Opfer, S. 1 ff.; H. J. Schneider; Viktimologie, S. 1 ff. Vgl. insg. ders. (Hrsg.), Verbrechensopfer, S. 1 ff.; Schwind, Kriminologie, § 17 und speziell Meidinger, Viktimogene Bedingungen, S. 1 ff.; Röhrs, Vergewaltigung, S. 1 ff. 647 s. dazu etwa BVerfGE 39, 1, 47; 51, 324, 343 f.; Jescheck/Weigend, Strafrecht AT, S. 2 f.; Kühl, Sanktionensystem, S. 141, 146. 648 Schünemann, System, S. 51, 61 f. 649 Schünemann, System, S. 51, 61 ff. 650 Schünemann, in FS Bockelmann, S. 117, ders. in Schneider: Verbrechensopfer, S. 407 ff.; ders. in FS Faller, S. 357, 362 ff.; ders. in NStZ 1986, 193 ff. und 643
326
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Die Hauptkritik an der Viktimodogmatik geht dahin, dass gerade derjenige, der sich nicht selbst schützt, auch wenn er es möglicherweise vermag, auch, ja sogar noch mehr des strafrechtlichen Schutzes bedarf. Weiter wird ein Wertungswiderspruch im Ergebnis aufgezeigt. Die Viktimodogmatik rücke zwar das Opfer in den Mittelpunkt des Interesses und dort dessen Verhalten auf die Ebene des Tatbestandes.651 Im Ergebnis beschränke sie sich jedoch auf den Selbstschutzgedanken. Das Versäumnis des Selbstschutzes könne dabei nur als eine Einschränkung des Unrechts gesehen werden, womit im Ergebnis zynischerweise die Fokussierung auf das Opfer dazu führt, dass dieses weniger geschützt werde.652 Beispielsweise fragt Ebert provokativ bereits im Titel seines Aufsatzes: „Verbrechensbekämpfung durch Opferbestrafung?“.653 Innerhalb dieser Hauptkritik lassen sich vier Stoßrichtungen ausmachen: Erstens sei die Ableitung aus dem ultima-ratio-Gedanken verfehlt. Dieser besage lediglich, dass das Strafrecht gegenüber anderen staatlichen Maßnahmen, nicht aber gegenüber den Selbstschutzmöglichkeiten des Bürgers subsidiär sei.654 Zweitens führe die Viktimodogmatik zu einem strafrechtsfreien Raum, in dem das Faustrecht gelte. Nach dem Satz homo homini lupus est müsse jeder jeden fürchten und sich zunächst selbst schützen.655 Ähnlich äußert sich Weber in etwas anderem Zusammenhang zu § 243 Abs. 1 S. 2 Nr. 2, der den Selbstschutz belohne und so kriminalpolitisch und gesellschaftlich das Opferrisiko auf die Schwachen verlagere, das Misstrauen untereinander stärke und außerdem durch die Favorisierung gesicherter Güter zu einer Entwertung der ungesicherten führe.656 Drittens sei das von Lenckner und Eisele in Anführungsstriche gesetzte „sogenannte vikti439 ff.; ders., System, S. 51, 61 f. Zur Unterscheidung von Strafbedürftigkeit und -würdigkeit sei hier nur auf H.-L. Günther, JuS 1978, 8, 11 f verwiesen. 651 H.-L. Günther, FS Lenckner, S. 71. 652 Grundsätzlich H.-L. Günther, FS Lenckner, S. 67 ff.; Hillenkamp, Opferverhalten, S. 18 ff. Auch Ebert, JZ 1983, 633; MüKo-Freund, vor § 13 ff., Rn. 390 ff.; Sch/Sch26-Lenckner, vor § 13 ff., Rn. 70b, ab der 27. Aufl. Lenckner/Eisele; schon Beulke, NJW 1977, 1073. Einschränkend: Arzt, MschrKrim 1984, 105 ff.; W. Hassemer, FS Klug, S. 217 ff.; Kratzsch, Verhaltenssteuerung, S. 360 ff.; ders. in FS Oehler, S. 65, 71 ff.; Mitsch, Opferverhalten, S. 13 ff., 637 ff. 653 Ebert, JZ 1983, 633. Seine Antrittsvorlesung 1981 in Mainz wiedergebend. 654 Hillenkamp, Opferverhalten, S. 177 ff.; Roxin, Strafrecht AT/1, § 14 Rn. 20; H.-L. Günther, FS Lenckner, S. 78 f – statt dessen sei das Verhältnismäßigkeitsprinzip anzuwenden; Jescheck/Weigend, Strafrecht AT, S. 254; Sch/Sch-Lenckner/Eisele, vor §§ 13 ff., Rn. 70b. Vgl. umfassend zur Strafgesetzgebungslehre und der Frage nach dem Strafbedürfnis und damit zugleich der Subsidiarität, H.-L. Günther, JuS 1978, 8 ff., 11 f. Vgl. auch Vogel, StV 1996, 110, 111. 655 Jescheck/Weigend, Strafrecht AT, S. 254. 656 s. oben, S. 25 und dort Fn. 26 sowie Arzt/Weber, Strafrecht BT, § 14 Rn. 6–8, S. 353 f.
B. Viktimodogmatik als Begründungsmodus
327
modogmatische Prinzip“ kein eigenständiges, allgemeines Prinzip der Tatbestandsbegrenzung, sondern eines von mehreren Elementen allgemeiner teleologischer Auslegung,657 das zudem nicht nur zur Entkriminalisierung führen dürfe.658 Ähnlich äußert sich Mitsch, der zwar (auf der von ihm untersuchten Rechtfertigungsebene) „Spuren“ von Korrektiven aufgrund vernachlässigter Obliegenheiten des Opfers erkennen kann, diese aber von der Viktimodogmatik in ihrer Bedeutung für überschätzt hält.659 Viertens sei die Viktimodogmatik aufgrund ihrer Offenheit und Vielschichtigkeit nicht im allgemeinen dogmatischen System verankert und bleibe damit ohne materiell-normative Begründung.660 Nun ist hier, wie bereits angeführt, nicht der Ort, um eine allgemeine Verteidigung oder Kritik der Viktimodogmatik zu führen. Der Fokus soll bei § 202a StGB verbleiben, es soll hier nicht voreingenommen schon vollendet Position bezogen werden. Die Untersuchung gilt der speziellen Frage, ob die Viktimodogmatik das Erfordernis der Sicherung in § 202a begründen kann, nicht welcher grundsätzliche Rang ihr einzuräumen ist. Eine kurze Stellungnahme sei aber erlaubt. Der Selbstschutz des Bürgers ist unterstützenswert.661 Dies darf aber im Ergebnis jedenfalls nicht dazu führen, dass der Schwache, der besonders staatlichen Schutzes bedarf, diesen nicht erhält und auf tatsächliche oder behauptete Selbstschutzmöglichkeiten verwiesen wird. Dies hieße Schwache, die ohnehin schon erhöhtem Kriminalitätsdruck ausgesetzt sind, für vogelfrei zu erklären.
II. Gesetzgeberische Motivlage der Alt- und Neufassung des § 202a StGB 1. § 202a StGB in der Fassung von 1986 Bevor untersucht wird, ob § 202a viktimodogmatisch begründet werden kann, soll untersucht werden, ob der Gesetzgeber § 202a viktimodogmatisch begründen wollte. Aus den Gesetzgebungsmaterialien lässt sich, siehe oben, lediglich die schlagwortartige Begründung entnehmen, die besondere 657
Sch/Sch-Lenckner/Eisele, vor § 13, Rn. 70b. H.-L. Günther, FS Lenckner, S. 67, 80. Diese Kritik H.-L. Günthers renne dabei „offene Türen ein“, so Schünemann, System, S. 51, 68. Dies sei eine „immer schon implizit enthaltene Selbstverständlichkeit“. 659 Mitsch, Opferverhalten, S. 637 ff. 660 Cancio Melia, Víctima, S. 235 ff. (sowie in Kurzfassung ders. in ZStW 111 (1999), 357, 370 ff.). Vgl. auch Pawlik, Betrug, S. 52 ff. 661 Das Ziel selbst ist jedenfalls unterstützenswert. Dabei sei hier keine Aussage getroffen, wie der Staat dies verfolgen solle; ob er etwa einem etatistischen Gedanken folgend erzieherisch oder allenfalls liberal-zurückhaltend verfahren dürfe. 658
328
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Sicherung sei Tatbestandsmerkmal, da sich in ihr das besondere Geheimhaltebedürfnis des Berechtigten dokumentiere.662 Nicht erwähnt wird eine viktimodogmatische Komponente. Die Dokumentation an sich muss dabei nicht als Selbstschutz gestaltet sein. Aus den weiteren Hintergründen könnte sich jedoch anderes ergeben. Während sich entsprechende Ausführungen der Gutachter Oertel, Haft, Möschel et al. nicht finden,663 ergibt sich bei Sieber auf den ersten Blick ein anderes Bild.664 Sieber, der wie die Vorgenannten als Beauftragter des Rechtsausschusses des Deutschen Bundestages im Rahmen einer öffentlichen Anhörung im Jahre 1984 am Gesetzgebungsverfahren maßgeblich beteiligt war, zeigt in seiner abschließenden Schrift „Informationstechnologie und Strafrechtsreform – Zur Reichweite des künftigen Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität“ die Hintergründe der Novelle auf.665 Diese entsprechen seiner Darlegung vor dem Rechtsausschuss.666 Im Rahmen dieser Untersuchung ist von Interesse, ob und inwieweit der Gesetzgeber dem potenziellen Opfer Präventivmaßnahmen aufbürden wollte, bevor er es in den Genuss des Strafrechtsschutzes gelangen lassen wollte. Sieber legt dar, dass die Selbstschutzmaßnahmen im Vergleich zu anderen Bereichen bei Computerdelikten erheblich vernachlässigt wurden.667 Dies galt damals und gilt – in mittlerweile abgeschwächter Form – noch heute. Er schildert den Fall eines Programmierers, der durch eine Programmmanipulation über 4 Millionen DM Schaden angerichtet hatte und die Situation in seiner Firma mit dem Gefühl verglich, in einer Bank zu sein, bei der Eingangs- und Tresortüren offen gewesen und alle Angestellten nach Hause gegangen seien.668 Er stellt zu Recht fest, es sei unbestreitbar, dass die 662
BT-Drs. 10/5058, S. 28 ff. Haft, Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), S. 163, 193 d. Protokolls und S. 201 ff. d. Anlage der Sitzung v. 6.6.1984. Möschel, a. a. O., S. 47, 59 d. Protokolls, S. 95 ff. der Anlage. Oertel, a. a. O., S. 181, 189 f., Anlage S. 34 ff., 36. 664 Sieber, Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG), S. 170, 190 ff. d. Protokolls und S. 237 ff. d. Anlage. 665 Sieber, Informationstechnologie, S. 1 ff. 666 Bonn, den 6.6.1984, S. 170, 190 ff. des Stenographischen Protokolls über die 26. Sitzung des Rechtsausschusses sowie S. 237 ff. der Anlage. 667 Sieber, Informationstechnologie, S. 23. Ausführlich zu Möglichkeiten der Prävention, allerdings für den Bereich der Vermögensdelikte und vor Fassung des § 202a, vgl. ders., Computerkriminalität, 1.3, S. 31 ff. 668 Sieber, Informationstechnologie, S. 23. Zur weiteren Entwicklung, ders. in ZStW 103 (1991), 297 ff.; ders., International IT-Law, S. 1 ff.; ders., Questions, S. 5 ff.; ders., CR 1995, 100, 103 ff. Zuletzt, auf die aktuellere technische Entwicklung mit Blick auf das Arztgeheimnis eingehend: ders. in FS Eser, S. 1155 ff. 663
B. Viktimodogmatik als Begründungsmodus
329
Probleme der Computerkriminalität erheblich reduziert werden könnten, wenn die Computernutzer Anstrengungen zur Verhinderung solcher Delikte unternehmen würden. Selbiges gilt allerdings entsprechend wohl für jeden Deliktsbereich. Beispielsweise sind Kfz-Diebstähle nach massenhafter Verbreitung von Wegfahrsperren massiv zurückgegangen,669 ohne dass von strafrechtlicher Seite hier neue Impulse gesetzt worden wären. An dieser Stelle ist anzumerken, dass sich mittlerweile eine umfassende Computersicherheitsindustrie entwickelt hat, die Antiviren-, Antispionageprogramme etc. vertreibt und dass Verschlüsselungslösungen für den Heimanwender wie den Großkonzern usw. angeboten werden. Es haben sich auch Firmen etabliert, die die Sicherheit von Systemen testen, indem sie einzudringen suchen, vergleichbar mit „Testdieben“ in Kaufhäusern. Es hat sich hier noch nicht genug, aber doch mittlerweile einiges getan. Dies könnte auch der damaligen Konzeption geschuldet sein, die Selbstschutz durch Strafrechtsschutz belohnte. Dagegen spricht sogleich, dass die Norm in der Praxis wenig bekannt ist. Zugleich sieht sich die Praxis der Unsicherheit ausgesetzt, ob die praktisch am weitesten verbreitete Sicherungstechnik, die Verschlüsselung, von § 202a anerkannt wird. Mit höchster Wahrscheinlichkeit wurden die Bürger nicht erst durch diese Fassung des Gesetzes zum Selbstschutz motiviert.670 Als Gründe liegen dagegen vielmehr die schwere Verfolgbarkeit von Straftaten im Internet671 sowie die sich durch die häufige Transnationalität der Taten ergebenden tatsächlichen und rechtlichen Verfolgungs-, Verfahrensund Vollstreckungshindernisse auf der Hand.672 Doch wie auch immer die 669 Statt vieler Eisenberg, Kriminologie, § 35 Rn. 88; Schwind, § 2 Rn. 19 Fn. 3, § 6 Rn. 19a. 670 In anderen Bereichen, wie etwa dem Phishing, bei dem sie von strafrechtlicher Seite, so die Tat sich auf die reine Ausspähung bezieht, keine Unterstützung erfahren, organisieren sie den Schutz selbst. Springt der Staat bei, wie etwa bei der Computersabotage, § 303a, so organisieren sie ebenfalls den Schutz selbst. Der Staat scheint hier relativ geringen „erzieherischen“ Einfluss zu haben. Dies hängt nicht zuletzt damit zusammen, dass die Staatsorgane diesen neuen Bedrohungen – Virenverseuchung, massivste Spambelästigung, Dialer-Betrügereien, Urheberrechtsverletzungen im Internet – relativ ohnmächtig gegenüberstehen. (Vgl. bspw. Dietrich, NJW 2006, 809 ff.; Frank, Spamming, S. 4 ff.). 671 Ausführlich Böckenförde, Ermittlung im Netz; Dietrich, NJW 2006, 809 ff.; ders., IT-Rechtsfragen, S. 87 ff.; R. Günther, Strafverfolgung u. Provider, S. 53 ff.; Malek, Strafsachen im Internet, S. 107 ff.; Köhler/Arndt/Fetzer, Recht des Internet, S. 274 ff.; Königshofen, Strafverfolgung u. Provider, S. 71 ff.; Sieber, Verantwortlichkeit, S. 1 ff.; Valerius, Internetermittlung, S. 1 ff.; vgl. ferner Kessler, Strafrecht u. Provider, S. 1 ff. Zu den sich durch die häufige Transnationalität der Taten ergebenden tatsächlichen und rechtlichen Verfolgungs-, Verfahrens- und Vollstreckungshindernissen vgl. nur F. Koch, Internet-Recht, § 17 und Barton, Multimedia-Strafrecht, S. 3 ff.; 63 ff. mit rechtsvergleichenden Untersuchungen.
330
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Lage heute ist und gleich, wie der Gesetzgeber heute (re)agieren würde, es soll hier die damalige Ansicht erfasst werden. Sieber führt demnach weiter aus: „Diese Fragen der Datensicherung können in der vorliegenden Stellungnahme nicht vertieft werden. Für die hier zu erörternde Frage nach Strafvorschriften zur Bekämpfung der Computerkriminalität ist allerdings festzuhalten, daß die neu zu schaffenden Straftatbestände nicht zu einer weiteren Vernachlässigung von Datensicherungsmaßnahmen, sondern nach Möglichkeit zu deren Verbesserung führen sollten.“ Diese Motivation findet sich in der späteren Gesetzesbegründung nicht mehr. Während Sieber diese Frage rechtstheoretisch zunächst nicht vertiefen möchte, so führt er an späterer Stelle konkret werdend doch weiter aus, dass die Beschränkung der Strafbarkeit auf gesicherte Anlagen ein Beispiel einer Gesetzgebungstechnik sei, die das potenzielle Opfer zumindest nicht dazu brächten, den Selbstschutz noch mehr als bisher zu vernachlässigen.673 Bezüglich des Abhörens von Datenübertragungen weist Sieber dann allerdings auf das damals bestehende Problem hin, dass § 202 dieses zwar insoweit erfasse, als das Tatobjekt des § 202 um „zur Gedankenübermittlung bestimmte Träger“ ergänzt sei, diese jedoch „verschlossen“ sein müssten. Damit waren Datenübertragungsnetze nicht erfasst.674 Sieber schlägt vor, auch diese zu erfassen.675 Beachtlich ist, dass er an dieser Stelle nicht mehr den Selbstschutz der Bürger motivieren möchte, indem er sie durch Strafrechtsschutz belohnen will – beziehungsweise ihn andernfalls entzieht. Im Gegenteil, er sieht es ausdrücklich als Problem an, dass nur „verschlossene“ Datenleitungen erfasst sind. Er möchte den Schutz auch auf ungesicherte Verbindungen ausdehnen. Er selbst will also § 202a viktimodogmatische Grundsätze nicht in jeder Konstellation zugrunde legen. Bezugnehmend auf den Zugriff auf gespeicherte Daten bezeichnet er es als problematisch, dass ungesicherte Daten seinerzeit nicht erfasst waren.676 Diese Nichterfassung müsste dabei nach seiner Konzeption nicht problematisch, sondern willkommen sein. Sehr zurückhaltend äußert er, der „Gesetzgeber sollte daher durch eine eindeutige Strafvorschrift festlegen, welche Verhaltensweisen strafbar sind“. Während er somit eingangs den Grundgedanken äußert, ohne ihn bewusst in den Konsequenzen zu vertiefen, der Bürger solle durch „Belohnung mit Strafrechtsschutz“ motiviert werden, sich selbst zu schützen, um – im Ergebnis jedenfalls wünschenswert – ihn anzuhalten, sein eigenes und damit das allgemeine Sicherheitsniveau anzuheben, verfolgt er diese Vor672 Zu diesem Problem s. nur F. Koch, Internet-Recht, § 17; Barton, MultimediaStrafrecht, S. 3 ff.; 63 ff. mit rechtsvergleichenden Untersuchungen. 673 Sieber, Informationstechnologie, S. 35. 674 Sieber, Informationstechnologie, S. 51 f. 675 Ibidem, Fn. 674. 676 Sieber, Informationstechnologie, S. 53 f.
B. Viktimodogmatik als Begründungsmodus
331
überlegung nicht konsequent für die konkrete Umsetzung. Im Gegenteil sieht er bspw. bei der Datenfernübertragung die Notwendigkeit, auch ungesicherte Leitungen und Übertragungen zu erfassen. Sieber zeigt somit selbst auf, dass dem zunächst einleuchtenden und zu begrüßenden Grundgedanken, das potenzielle Opfer zum Selbstschutz zu motivieren, in der Praxis erhebliche Umsetzungsprobleme entgegenstehen, sollen nicht im Ergebnis ungewollte Folgen eintreten. Dies dürften die Gründe sein, weshalb in der Folge keine viktimodogmatischen Erwägungen ins Stammbuch des § 202a geschrieben wurden. Damit liefern auch Siebers Ausführungen zu seiner Ansicht und der gesetzgeberischen Motivation keine durchgreifenden Argumente für die Annahme einer viktimodogmatischen Fundierung der besonderen Sicherung. Dem ist hinzuzufügen, dass jedenfalls vor Schaffung der Norm der Gesetzgeber an anderer Stelle, wie etwa Hillenkamp nachweist677 und wie sich nicht zuletzt aus § 243 Abs. 1 S. 2 Nr. 6 ergibt,678 kein für das Strafrecht allgemeingültiges viktimodogmatisches Prinzip zugrunde legte. Dasselbe gilt für jüngere Entwicklungen, etwa der Fassung des § 201a, der bei Fundierung eines viktimodogmatischen Prinzips nur unvollkommen erfasst werden kann, wie etwa Eisele, Kächele und Kühl überzeugend darlegen.679 Es wäre verfehlt zu behaupten, der Gesetzgeber ließe sich an anderer Stelle von viktimodogmatischen Überlegungen leiten und lege sie auch bei § 202a zugrunde.680 2. § 202a StGB in der Fassung von 2007 Dies gilt umso mehr nach der jüngsten Reform des § 202a. Sie kann zwar naturgemäß keine frühere Intention klären. Doch ist der Blick auf die heutige Stellung des Gesetzgebers, vor allem für ein zukünftiges Verständnis der reformierten Norm, von großem Interesse. Mithin: Die direkte Sicht auf die Motivation zu § 202a bleibt verdeckt. Den Bestrebungen lassen sich widersprüchliche Hinweise auf die Haltung des Gesetzgebers zur Begrün677
s. unten, S. 352. s. näher unten, S. 354. 679 s. auch näher unten. Vgl. Eisele, JR 2005, 6, 11; vertieft Kühl, Deutsch-japanisches Symposium, S. 165, S. 174 und andeutungsweise Kächele, Bildaufnahmen (§ 201a StGB), S. 106 f. 680 So aber Hoyer, der sich wiederholt für seine Behauptung auf den vehementen Gegner der Viktimodogmatik Lenckner (H.-L. Günther in FS Lenckner, S. 67) stützen will, vgl. Hoyer in SK, grundlegend: vor § 201 Rn. 8; § 202 Rn. 2 (dort mit Verweis auf Lenckner, JR 1978, 424, dem schwerlich ein viktimodogmatisches Argument entnommen werden kann, der vielmehr die Viktimodogmatik verschiedentlich, etwa in Sch/Sch-Lenckner/Eisele, vor §§ 13 ff., Rn. 70b heftig attackiert) und § 202a Rn. 2. 678
332
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
dung der besonderen Sicherung entnehmen: So heißt es im Gesetzesentwurf der Bundesregierung, das „Merkmal der Zugangssicherung setzt dem Täter eine deutliche Schranke; die Überwindung der Sicherung manifestiert die strafwürdige kriminelle Energie (LK-Schünemann, a. a. O., § 202a Rn. 7 und 14 m. w. N.)“.681 Diesem Satz können für jeden der hier angeführten Begründungsmodi Zeichen entnommen werden: Das Setzen der deutlichen Schranke spricht für die Dokumentationsthese. Die Behauptung der Manifestation der strafwürdigen kriminellen Energie durch Überwindung der Sicherung deutet auf Strafwürdigkeitsüberlegungen mit Fokus auf den Täter (kriminelle Energie, Gefährlichkeit) hin. Der (alleinige) Verweis auf Schünemann legt ein viktimodogmatisches Verständnis nahe. Zieht man andere mit demselben Änderungsgesetz eingebrachte Normen in die Betrachtung ein, so zeigt sich ein klareres Bild. Wie der Dokumentationstheorie, so widerspricht die Einführung des § 202b StGB in systematischer Hinsicht auch einem ernstgemeinten und konsequenten viktimodogmatischen Gedanken. Wenn der Gesetzgeber einen viktimodogmatischen Gedanken verfolgte, so gab er ihn jedenfalls schon im mit § 202a denkbar eng verwandten § 202b auf. Dieser verzichtet auf eine besondere Sicherung und lässt somit zu, dass der Datenverfügungsberechtigte seine Daten durch die ungeschützte Versendung sogar noch mehr als durch Speicherung in die Gefahr der Ausspähung bringt – und billigt ihm dennoch den erhöhten strafrechtlichen Schutz zu. Wenn der Gesetzgeber also tatsächlich ein viktimodogmatisches Ziel verfolgen sollte, so hat er es aus nicht ersichtlichen Gründen auf § 202a konzentriert.
III. Auswertung der Literatur zu § 202a StGB und zur Viktimodogmatik – besondere Thesen Viktimodogmatischen Aspekten des § 202a kann man sich in der Literatur aus zwei Richtungen nähern: Es findet sich einerseits sozusagen genuin viktimodogmatische Literatur, also Literatur, die sich in erster Linie mit der Begründung, Verteidigung oder Kritik der Viktimodogmatik im Allgemeinen oder auch Besonderen befasst, die aber jedenfalls auf § 202a höchstens am Rande eingeht. Weiter findet sich Literatur, etwa in Kommentaren oder Dissertationen, die sich speziell und zuvörderst mit Problemen des § 202a beschäftigt. Zunächst soll auf die erste Gruppe eingegangen werden, die die Viktimodogmatik begründete, in der Folge soll die Literatur, die sich mit § 202a vertieft befasst und die Thesen der Viktimodogmatik aufgreift, gesichtet werden. 681 BT-Drs. 16/3656 v. 30.11.06, Begründung B zu Artikel 1 Nr. 2 Abschnitt 3, S. 14 f. d. Anl. 1.
B. Viktimodogmatik als Begründungsmodus
333
1. Schwerpunktmäßig viktimodogmatische Literatur Literatur, die die Fragen der Viktimodogmatik im Focus hat, nimmt selten § 202a in den Blick. Schünemann bildet hier eine Ausnahme. Allerdings spricht er weniger § 202a als Beispielsfall der Viktimodogmatik an, als vielmehr die Viktimodogmatik im Rahmen seiner Kommentierung des § 202a. Dieser Unterschied ist beachtlich. Zahlreiche Aufsätze zur Viktimodogmatik aus älterer und jüngerer Zeit nimmt er nicht zum Anlass, sich vertieft mit § 202a auseinander zu setzen. Erst die Kommentierung des § 202a, lässt ihn Stellung beziehen. Daher soll auf diese Sicht später an der entsprechenden Stelle eingegangen werden.682 In einem ersten Schritt wird die Literatur zur Viktimodogmatik gesichtet. Dabei ist festzustellen, inwieweit sich die Vertreter der Literatur auf § 202a beziehen. So dies nicht der Fall ist, ist zu fragen, ob sie zumindest auf Geheimnisdelikte zielen oder ihre Thesen aus anderen Gründen auf § 202a übertragbar sein könnten. Den Sachverständigengutachten um die Reform des § 202a durch das 41. StrÄndG lassen sich viktimodogmatische Argumente jedenfalls nicht entnehmen.683 a) Allenfalls bedingte Übertragung der Thesen zum Betrug auf § 202a StGB Allenfalls indirekt lassen sich der viktimodogmatischen Literatur Thesen entnehmen, die auf § 202a als Zugriffsdelikt auf die Geheimssphäre übertragbar sein könnten. Viele gewichtige Vertreter der Literatur beziehen sich ausdrücklich und teilweise stark fokussierend auf einzelne Tatbestände oder einzelne Tatbestandsmerkmale. Wie bereits dargelegt, spielt hier besonders der Betrug eine große Rolle. Amelung bspw. will (neben anderem) den Irrtumsbegriff einschränken.684 Dies diskutieren mit verschiedenen Wertungen und Ergebnissen ebenfalls Ellmer,685 Giehring,686 R. Hassemer,687 Herz682
s. S. 347, lit. b). Allein Bruns verweist auf die Begründung des Gesetzgebers in BT-Drs. 16/3565, S. 14 f., siehe Bruns, Stellungnahme für die öffentliche Anhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 zu dem Gesetzentwurf der Bundesregierung „Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (. . . StrÄndG) – BT-Drs. 16/3656“, S. 4 d. Anl. 1. Dagegen schweigen Borges, Gercke, Graf, Hange, Hilgendorf, Kudlich, Lindner und Stuckenberg in ihrer jew. Stellungnahme für die öffentliche Anhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 zu dem Gesetzentwurf der Bundesregierung „Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (. . . StrÄndG) – BT-Drs. 16/3656“. 684 Amelung, GA 1977, S. 1 ff. 685 Vgl. auch Ellmer, Opfermitverantwortung, S. 1 ff. 683
334
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
berg,688 Kurth,689 Krack690 und Pawlik,691 während Naucke, allerdings ohne ausdrücklichen Bezug zur Viktimologie,692 ebenfalls den Tatbestand des Betrugs reduzieren möchte, allerdings indem er „durchsichtige Täuschungen“ ausnehmen will.693 Beulke dagegen meint, der Schadensbegriff beim Betrug sei zu reduzieren.694 Bei § 263 steht die Interaktion des Täters mit dem Opfer im Vordergrund. In dieser wurzeln die viktimodogmatischen Erwägungen. Das Opfer ist einer konkreten Gefahr ausgesetzt, die es jedenfalls teilweise realisieren muss, ansonsten sollen die viktimodogmatischen Erwägungen im Ergebnis keinesfalls greifen. Insoweit besteht jedenfalls Einigkeit. Das Betrugsdelikt (und andere, teils als Beziehungsdelikte bezeichnete Delikte, siehe dazu unten zu R. Hassemer695) unterscheidet sich damit wesentlich von Geheimnisschutzdelikten, wozu auch § 202a StGB zu zählen ist. Beim Betrug (sowie der Nötigung696, der Erpressung und den anderen oben genannte Normen) wirkt der Täter auf das Opfer ein, wobei nach Einwirkung des Täters das Opfer noch die Möglichkeit hat sich zu schützen. Und zwar im Regelfall durch bloßes Unterlassen! Betrug ist ohne entsprechendes Opferverhalten unmöglich. Unterlässt es schlicht die Vermögensverfügung, so bleibt die Tat unvollendet. Dies ergibt sich aus der Struktur des Betrugs als Selbstschädigungsdelikt697 im Gegensatz zu Fremdschädigungsdelikten. Zu letzteren sind Geheimnisschutzdelikte698 und damit auch § 202a zu zählen. Das Opfer wirkt bei Selbstschädigungsdelikten als Tatmittler gegen sich selbst. Schutz ist durch bloßes Unterlassen der Übernahme dieser selbstschädigenden Rolle möglich. Dies ist entscheidend.699
686
Giehring, GA 1973, S. 1, 20 ff. R. Hassemer, Schutzbedürftigkeit, S. 1 ff. 688 Herzberg, GA 1977, S. 289 ff. 689 Kurth, Mitverschulden, S. 1 ff. 690 Krack, List, S. 1 ff. 691 Pawlik, Betrug, S. 50 ff., 124 ff., 224 ff., 247. 692 s. dazu Fn. 646, S. 325. 693 Naucke, FS Peters, S. 109 ff. 694 Beulke, NJW 1977, 1073. 695 S. 338. 696 Vis absoluta ist auszunehmen. Zum Streit, ob und wann vis absoluta von § 240 überhaupt erfasst wird: Umfassend SK-Wolters/Horn, § 240 Rn. 23 bis 35; Sch/Sch-Eser Rn. 4 zum Streitstand, jew. m. w. N. 697 R. Hassemer verwendet den Begriff des „Beziehungsdelikts“. 698 „Zugriffsdelikte“, so R. Hassemers Nomenklatur. 699 Vgl. Mitsch, der vertieft auf die Unterschiede von Selbstgefährdung, Selbstschutzvernachlässigung und Selbstschutzpflicht, allerdings vornehmlich auf Ebene der Rechtfertigung, eingeht; Mitsch, Opferverhalten, § 3, S. 33 ff. 687
B. Viktimodogmatik als Begründungsmodus
335
Bei § 202a und anderen Fremdschädigungsdelikten wie etwa § 242 muss das Opfer dagegen präventiv seine Güter vor einem potenziellen, im Moment des Schutzes typischerweise ungewissen Angriff schützen. Im Moment des Täterzugriffs ist dann regelmäßig kein spontaner, reaktiver Schutz mehr möglich. Er käme zu spät. Der Täter findet das Tatobjekt so vor, wie es das potenzielle Opfer hinterlassen hat – gesichert oder ungesichert. Das potenzielle Opfer hat die Möglichkeit des Zugriffs zu antizipieren, ohne zu wissen, ob, wann und wie dieser vonstatten gehen soll. Der Schutz muss proaktiv hergestellt werden. Ein Unterlassen einer Mitwirkung reicht für die Begehung des § 202a nicht aus. Das Opfer entlässt typischerweise, wie beim Diebstahl, sein Rechtsgut aus seiner unmittelbaren Einflusssphäre. Um diese Sphäre auf sein Rechtsgut künstlich auszudehnen, hinterlässt es einen technischen Schutz – oder eben nicht. Bei Selbstschädigungsdelikten kann dem Opfer also vorgeworfen werden, sich selbst aktiv im bewussten Ansehen einer Gefahr geschädigt zu haben, wo Unterlassen als Schutz ausgereicht hätte. Bei Zugriffsdelikten kann dem Opfer allenfalls vorgeworfen werden, nicht im Vorfeld potenzielle, noch ungewisse Bedrohungen erkannt und ihnen proaktiv entgegengewirkt zu haben, für den Fall, dass der unmittelbare Schutzeinfluss im ungewissen Tatmoment nicht vorhanden ist oder nicht ausreicht. Dieser Unterschied ist wesentlich. Gerade diese besondere Struktur und die erhöhte Vorwerfbarkeit, sehenden Auges gegen sich selbst aktiv vorgegangen zu sein, ist Grund, viktimodogmatische Argumente jedenfalls aufzuwerfen. Ob sie durchgreifen, ist hier nicht einmal von Relevanz. Denn diese Ausgangssituation liegt bei Fremdschädigungsdelikten schon nicht vor. Die dezidiert zum Betrug vorgebrachten Argumente sind daher nicht auf Fremdschädigungsdelikte, hier namentlich § 202a, zu übertragen. Auf Aussagen von Vertretern, die sich ausschließlich zum Betrug im Rahmen der Viktimodogmatik äußern, kann daher hier nur in allgemeiner Form eingegangen werden. An Speziellem entwickelte Ansichten sind nur schwer auf allgemeine und übertragungsfähige Aussagen zurückzuführen. Ihre allgemeinen Argumente sollen allerdings im Anschluss an die besonderen Argumente, die sich zumindest eher auf § 202a übertragen lassen, geprüft werden. Mehrere Vertreter der Viktimodogmatik äußern sich zwar nicht direkt zu § 202a, jedoch zumindest auch zu mit § 202a verwandten Delikten; ihre Aussagen könnten übertragbar sein. Soweit ihre Aussagen auf Überlegungen fußen, die nicht übertragbar sind, sollen sie dennoch wiedergegeben werden, um nicht die Gesamtkonzeption des Vertreters in Fragmente zu zerreißen. Meist wird anhand anderer Delikte die Konzeption erläutert, es schließen sich Erwägungen an, etwa mit dem Tenor, diese seien (möglicherweise) auf andere Delikte zu übertragen. Ob letztere Aussage
336
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
durchgreift, kann nur überprüft werden, wenn die Gesamtkonzeption erfasst wird. Es finden sich wenige Vertreter, die abstrakt die Viktimodogmatik darlegen und als allgemeingültig in der Form darstellen, sie sei in jedem Fall konkret anwendbar. Soweit sie Argumente liefern, die auf § 202a übertragbar sein könnten, soll ihre Ansicht insgesamt wiedergegeben werden, da sie meist in anderen Bereichen wurzelt und sich nur aus diesen erklären lässt. Damit ist sich nun den einzelnen Vertretern der Viktimodogmatik zuzuwenden. b) Suche nach übertragbaren Thesen (1) Amelungs Nennung der §§ 201 ff. StGB als aus viktimodogmatischer Perspektive betrachtbar Amelung spricht davon, bagatellarische Geheimschutztatbestände wie §§ 123 und §§ 201 ff. könnten den Argumentationshaushalt durch die viktimodogmatische Perspektive ergänzen und den Tatbestand im Ergebnis begrenzen. Bei dieser Erwähnung belässt er es und führt seine Gedanken nicht weiter aus,700 so dass keine vertiefte Auseinandersetzung stattfinden kann. (2) Schünemanns Entwicklung der Viktimodogmatik Schünemann kann als Hauptvertreter der Viktimodogmatik verstanden werden, er war einer der ersten Verfechter eines viktimodogmatischen Prinzips und verfasste zahlreiche Aufsätze hierzu. Im Rahmen der Kommentierung, aber erst dort, vertritt er, dass § 202a viktimodogmatisch begründet sei. Seinen Thesen soll daher im Rahmen der Thesen, die Gründe für § 202a suchen, Raum gewidmet werden. (3) R. Hassemers Unterscheidung von Beziehungsund Zugriffsdelikten R Hassemer unterscheidet Beziehungsdelikte (etwa Betrug)701 und Zugriffsdelikte (etwa Diebstahl und § 201).702 Als Beziehungsdelikte versteht er in Abgrenzung zu Zugriffsdelikten Delikte, bei denen der Täter auf den Rechtsgutsträger (oder eine mit ihm verbundene Person)703 Einfluss genom700
Amelung, GA 1984, S. 579, 582 f. R. Hassemer, Schutzbedürftigkeit, S. 54 f. 702 R. Hassemer, Schutzbedürftigkeit, S. 55. 703 Wörtlich: „eine mit diesem in einem wie auch immer gearteten Zusammenhang stehende Person“, R. Hassemer, Schutzbedürftigkeit, S. 54. 701
B. Viktimodogmatik als Begründungsmodus
337
men hat. Die Trennlinie zwischen diesen beiden Deliktsgruppen entspricht derjenigen, die zwischen Selbstschädigungs- und Fremdschädigungsdelikten verläuft. Er will die Viktimodogmatik bei den Beziehungsdelikten angewandt wissen.704 Zu § 202a konnte R. Hassemer im Jahre 1981 noch keine Stellung beziehen. § 201 versteht er aber ausdrücklich als Zugriffsdelikt, bei dem es an Interaktion mit dem Täter fehlt. Diese Einordnung müsste auch für § 202a gelten. Bei Zugriffsdelikten kann das potenzielle Opfer nur auf die von Hassemer so genannte Gefährdungswurzel einwirken. Solches Einwirken soll aber viktimologisch wenig Beachtung finden, weil Hassemer selbst erkennt, dass „nicht die Errichtung eines Selbstschutzwalls, sondern nur die Verringerung des Ausmaßes einiger dem betroffenen Rechtgut geltender Gefährdungen“705 bewirkt werden kann. Die Schutzmöglichkeiten seien reduziert,706 die Einflußnahmemöglichkeiten oft kaum relevant.707 Nur in absoluten Ausnahmefällen soll bei Zugriffsdelikten der Gedanke des (versäumten) Selbtschutzes eine Rolle spielen.708 Schon an dieser Stelle müsste nach R. Hassemers Konzeption § 202a als Zugriffsdelikt ausgeschieden werden. Doch selbst wenn man § 202a als Beziehungsdelikt sähe, was kaum vertretbar sein dürfte, oder im konkreten Einzelfall eine Beziehung annähme, käme man zu keinem anderen Ergebnis. R. Hassemer unterscheidet bei Beziehungsdelikten, ob das Opfer die Gefahr bewusst (aktiv) gesteigert habe oder ob es sozialadäquaten und zumutbaren Selbstschutz bewusst außer Acht gelassen habe.709 In letzterem Fall sieht R. Hassemer die Vorwerfbarkeit wesentlich herabgesetzt.710 § 202a entzieht dem Bürger den Strafrechtsschutz, wenn er nicht sichert, wenn er also untätig bleibt. Die Norm fordert aktiven „besonderen“ Schutz. Vorwerfbar wäre spiegelbildlich das Unterlassen dieser actio. Dies soll selbst nach R. Hassemer kaum vorwerfbar sein. Vorzuwerfen sei in erster Linie das aktive Hervorrufen einer Gefährdung.711 Wendete man R. Hassemers Ansicht auf § 202a an, so käme man nicht dazu, diesen als viktimodogmatisch fundiert anzunehmen. Es handelt sich schon um kein Beziehungsdelikt. Zudem „bestrafte“ die Norm den Bürger 704
R. Hassemer, Schutzbedürftigkeit, S. 65 ff., 68 ff. R. Hassemer, Schutzbedürftigkeit, S. 65. 706 R. Hassemer, Schutzbedürftigkeit, S. 66. 707 R. Hassemer, Schutzbedürftigkeit, S. 67. 708 R. Hassemer, Schutzbedürftigkeit, S. 68. 709 R. Hassemer, Schutzbedürftigkeit, S. 68 ff. 710 Ibidem, Fn. 709. 711 Zur Kritik an R. Hassemer s. Arzt, GA 1982, 522 f.; Hillenkamp, Opferverhalten, S. 33 ff.; Maiwald, ZStW 96 (1984), 70 ff. 705
338
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
nicht wegen aktiver Selbstgefährdung, sondern wegen Unterlassens des Selbstschutzes. An solches Unterlassen aber will R. Hassemer keine erhebliche Rechtsfolge knüpfen, schon gar nicht einen Tatbestand davon abhängig sein lassen. (4) Arzts Tatbestandsrestriktionen, insb. bei Geheimnisschutzdelikten Auch Arzt äußert sich nicht direkt zu § 202a. Nach seinem Grundargument will er wegen der Ressourcenknappheit der öffentlichen Mittel für die Straftatverfolgung den Bürger, der seinen Selbstschutz nicht wahrnehme, bis zur vollen Verweigerung staatlichen Strafrechtsschutzes hintanstellen.712 Der Selbstschutz der Bürger ist jedenfalls ein begrüßenswertes Ziel. Doch abgesehen von der Frage, ob der Staat erzieherisch auf seine Bürger einwirken soll und darf und ob er es in dieser Form überhaupt kann, so ist es schon rechtspolitisch sehr zweifelhaft, wenn in der Konsequenz der dogmatische Strafrechtschutz von der Zurverfügungstellung staatlicher Mittel abhängig gemacht werden soll. Strafrechtschutz darf nicht ein Luxus und möglicherweise konjunkturabhängig werden. Sein Grundargument will Arzt auf die Tatbestände der Vergewaltigung und Nötigung,713 des Betrugs714 sowie der (Fund)Unterschlagung reduzieren.715 Erstere Delikte sind dabei sogenannte Beziehungsdelikte. Es gilt dazu das zu R. Hassemer Gesagte. Vor allem ist § 202a kein Beziehungsdelikt, so dass die Argumente zu Beziehungsdelikten und der ihnen eigenen Täter-Opfer-Interaktion bei ihm nicht greifen können. Bei den Letztgenannten, der Unterschlagung und der speziellen Fundunterschlagung, ist zu unterscheiden. Bei der einfachen Unterschlagung begibt sich das Opfer des Gewahrsams und somit der natürlichen Sachherrschaft. Eine vorhandene tatsächliche Machtposition wurde aufgegeben und dem Täter eingeräumt. Arzt meint, hier werde am Grundgedanken der Selbstverantwortlichkeit gerüttelt. Zudem schlage das Institut des Eigentumsvorbehalts durch, bei dem die Vertrauenswürdigkeit des Kunden nicht untersucht werde.716 Diese allenfalls im Ansatz zustimmungswürdigen Überlegungen greifen bei der Nicht-Sicherung von Daten schon von vornherein nicht. Bei Nicht-Sicherung von Daten begibt sich das Opfer nicht vorhandenen natürlichen Schut712
Arzt, MschrKrim 1984, 105, 110 f. Arzt, MschrKrim 1984, 105, 112 f. 714 Zweifelnd: Arzt/Weber, Strafrecht BT, § 20 Rn. 68. 715 Arzt, JR 1979, 12, Fn. 34; ders, MschrKrim 1984, 105, 112; ders./Weber, Strafrecht BT LH/3 (2. Aufl., 1986), Rn. 246 ff.; s. auch Arzt/Weber, Strafrecht BT (einbänd. Fortführung des eben genannten Werks, 2000), § 15. Rn. 4 ff., 11, 13. 716 Arzt/Weber, Strafrecht BT LH/3 (2. Aufl., 1986), Rn. 246 f. 713
B. Viktimodogmatik als Begründungsmodus
339
zes. Es stellt lediglich nicht aktiv ausdrücklich einen als besonders bezeichneten Schutz her. Auch Arzts Überlegungen sind damit nicht zu übertragen. Eine tiefere Auseinandersetzung bleibt in diesem Rahmen entbehrlich. Die Fundunterschlagung ist dagegen ein reines Zugriffsdelikt, bei dem vorher keine Täter-Opfer-Interaktion stattfand. Sie ist daher am ehesten mit § 202a zu vergleichen. Allerdings ist die Sache zwangsläufig zunächst verloren worden. Das Opfer verlor den natürlichen Gewahrsam. Es begab sich also auch, wenn auch unfreiwillig und „nur“ achtlos eines natürlich vorhandenen Selbstschutzes. Dies ist bei § 202a anders. Zum allenfalls natürlich vorhandenen Selbstschutz, dem Gewahrsam, muss sich der Bürger unter zusätzlichen Anstrengungen Strafrechtsschutz originär erarbeiten. Die von Arzt entwickelten allgemeinen Grundsätze sind daher nicht auf § 202a übertragbar. Arzt äußert sich auch direkt zum Schutz der Privat- und Geheimsphäre.717 Der verschärfte strafrechtliche Schutz (wohlgemerkt, der Schutz ist dahingehend verschärft, dass erstmalig strafrechtlicher begründet wird und sonst überhaupt kein Strafrechtsschutz bestünde) soll nach ihm unbestreitbar mit der stärkeren Verwundbarkeit, und diese mit schwächeren Selbstschutzmöglichkeiten der Geheimsphäre zusammenhängen. Nach dieser Aussage, die die Besonderheiten der Privat- und Geheimsphäre aufzeigt und bei der er sich auf Schünemann stützen will, führt er nicht weiter fort und zieht keine Konsequenzen. Er schließt lediglich wieder allgemeine Erwägungen an. Seine Argumentation fasst er dabei dahingehend zusammen, dass das Rechtsgut aus der Schutzbedürftigkeit zu entwickeln und der Bedarf nach staatlichem Schutz durch das Strafrecht wiederum aus unzureichenden Selbstschutzmöglichkeiten zu begründen sei.718 Wo es Selbstschutzmöglichkeiten gebe, sei in der Konsequenz der Strafrechtsschutz entbehrlich. Diese Folgerung blieb nicht ohne Kritik. Hillenkamp wehrt sich im Allgemeinen und im Besonderen, namentlich im Rahmen des Privatund Geheimbereichs, gegen solche Versuche.719 Auch Günther stemmt sich gegen diese Schutzlosstellung.720 Arzt wiederum bezeichnet die Aussage, dass ein Opfermitverschulden doch nicht zur völligen Freistellung des Täters von strafrechtlicher Verantwortung führen könne, als Evidenzappell. Diesem hält er ausdrücklich nur entgegen: „[W]arum denn nicht?“. Er trifft damit eine Äußerung, der auf argumentativer Ebene schwer zu begegnen ist, während die Kritik an Arzts Auffassung mit dem Hinweis, dass nur graduelle Mitverantwortung nicht den Täter vollständig lossprechen könne, doch nahe liegt. 717 718 719 720
Arzt, MschrKrim 1984, 105, 115. Ibidem, Fn. 717. Hillenkamp, Opferverhalten, S. 60 ff., 76 ff., 96 ff., 120 ff., 143 ff. H.-L. Günther, FS Lenckner, S. 67, 76 ff., 80.
340
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Was den geforderten Selbstschutz betrifft, so kann im Hinblick auf § 202a, der zur Zeit von Arzts Darlegung noch nicht existierte, neben den bereits angemeldeten Zweifeln angeführt werden, dass der Selbstschutz von Daten in technischer Weise für den Normalanwender durchaus schwierig ist. Bemerkenswert ist auch, dass in kaum einem anderen Bereich die Wissens- und Fähigkeitsverteilung durch die breite Gesellschaft derart unterschiedlich ist. Große Gruppen von vor allem männlichen Jugendlichen haben einen eklatanten Wissens- und damit Selbstschutzmöglichkeitenvorsprung vor anderen Bevölkerungsgruppen, etwa älteren Frauen.721 Die Selbstschutzmöglichkeiten sind also denkbar ungleich auf die Bevölkerung verteilt. Dies müsste nach Arzt denn auch Grund sein, generell ebenso ungeschützte Daten zu erfassen, da die Selbstschutzmöglichkeiten zwar durchaus vorhanden sind, aber nicht von jedermann zuverlässig umgesetzt werden können. Die Norm macht schließlich keinen Unterschied, wie beschlagen der Rechtsgutsträger ist. Mit ähnlichen Überlegungen zweifelt Arzt selbst seine kriminalpolitischen Prämissen im Rahmen des Irrtumsbegriffs beim Betrug an. Die Schutzwürdigkeit eines Opfers, das zweifelt und dennoch verfügt, sei kaum größer als die eines Opfers, das so leichtgläubig sei, dass es nicht einmal zweifele.722 Dieses Argument wäre ihm im Rahmen des § 202a entgegenzuhalten. Die Schutzwürdigkeit eines Opfers, das die Bedrohungslage schon nicht kennt (und daher den Selbstschutz gar nicht erst erwägt), dürfte kaum anders sein, als die des Opfers, das die Gefahr zwar kennt, ihr aber nicht zu begegnen weiß. Etwas anderes könnte (nach Arzts eigener Argumentation) erst gelten, wenn das Opfer die Gefahr realisierte, den Selbstschutz umsetzen könnte, ihn aber dennoch unterließe. Dies ist jedoch im Einzelfall kaum zu beurteilen. Die Gefahr der Datenspionage ist im Moment des geforderten Selbstschutzes noch weit abstrakter, tatsächlich und zeitlich ungewisser als die des Betruges, bei dem es sich eben wieder um ein Beziehungs- und Selbstschädigungsdelikt handelt, bei dem das Opfer im Moment der Tatbegehung selbstschädigend agiert. Die Forderung an das Opfer ist also eine ganz andere. Ebenso schließt § 202a generell tatbestandlich und ohne Chance, dies im Einzelfall zu korrigieren, ungeschützte Daten aus. Aufgrund dieser erheblichen Unterschiede sind Arzts Thesen insgesamt nicht auf § 202a zu übertragen.
721 Nur stellvertretend: Schneier, wired, 14.12.06 – „MySpace passwords aren’t so dumb“ a. E. 722 Arzt/Weber, Strafrecht BT, § 20 Rn. 68.
B. Viktimodogmatik als Begründungsmodus
341
(5) Bleis Problemverlagerung und monistische Interpretation des § 298 Abs. 1 Nr. 2 StGB a. F. Blei deutet im Rahmen des Irrtums viktimodogmatische Tendenzen „im Sinne einer Leitlinie“ an.723 Diese Leitlinie soll dazu führen, „daß eine tatbestandsrelevante Kausalität zu verneinen sei, wo der Zweifel dem Verfügenden Gelegenheit gegeben hätte, sich vor Schaden selbst zu bewahren.“ Er verlagert das Problem also auf die Kausalitätsebene.724 Dem ist entgegenzuhalten, dass ein Irrtum (den auch Blei bejaht) kausal zur Verfügung führt. Daran ändert sich nichts, wenn der Verfügende Zweifel hat.725 Blei führt seine Gedanken fort und meint an anderer Stelle, strafrechtlichen Schutzes bedürfe nicht, wer eigene Schutzmaßnahmen umsetzen könnte.726 Er schränkt seine auf den Irrtum beim Betrug bezogenen Überlegungen jedoch sogleich wieder ein. Wenn man Zweifelnde vom Schutz ausschließen wolle, so müsse man manche ausschließen, die misstrauisch sind und überall zweifeln, während andere stets gutgläubig niemals zweifeln – selbst wo höchste Zweifel geboten wären. Eine Einheitslösung wird es demnach nie geben können, prognostiziert Blei.727 Schon hier sei angemerkt, dass § 202a eine solche Einheitslösung verwirklicht. Ohne auf den Einzelfall zu achten, werden einheitlich alle ungesicherten Daten schutzlos gestellt. Geht man davon aus, dass das Strafrecht nicht nur reaktive Wirkung hat, sondern auch bürgerliches Verhalten zu steuern vermag, so ergibt sich ein vielschichtiges Bild: Zuerst soll ganz offenkundig Bürgern gezeigt werden, was verboten ist und damit auch was sie zu unterlassen haben,728 zudem wo sie geschützt sind und viktimodogmatisch gesprochen, wie sie sich Strafrechtsschutz verdienen oder wie sie Strafrechtsschutzes verlustig gehen können. Auf den ersten Blick mag dies alles zu vereinen sein, es führt aber zu paradoxen Konsequenzen. Wo gezweifelt wird, soll kein Betrug möglich sein. Wenn man die Viktimodogmatik im Ergebnis vereinfacht so versteht, dann 723 Blei, Strafrecht BT, S. 227. Vgl. die Kritik dazu in Hillenkamp, Opferverhalten, S. 24 ff. 724 So schon Hillenkamp, Opferverhalten, S. 24 „Die Problemverlagerung durch Blei“. 725 So auch Hillenkamp, Opferverhalten, S. 24 ff. mit ausführlicher, treffender Kritik. 726 Blei, Strafrecht BT/1 pdW, S. 270. Vgl. aber auch ders., Strafrecht BT, S. 118 u. 227. 727 Ibidem, Fn. 726. 728 Nach Renzikowski ist die Verhaltensnorm primär. Auf ihre Verletzung folgt die sekundäre Sanktionsnorm, siehe dazu ders. in FS Gössel, S. 3 ff. Vgl. auch Binding nach dem es ungenau sei, das Verbrechen als Bruch der Strafnorm anzusehen, denn es geschehe ja genau das, was das Strafgesetz im Tatbestand beschreibe; in Normen, S. 4 f., 28 ff.; vgl. auch ders., Handbuch/1, S. 155, 162 ff.
342
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
bedeutet dies für die Bürger, die ihr Verhalten danach ausrichten: Einerseits (und viktimodogmatisch sinnvoll) müssen sie sich im Zweifel auf ihren Selbstschutz verlassen, der ja im Betrugsfall leicht möglich ist. Die Vermögensverfügung ist zu unterlassen. Andererseits ist es für den Bürger auch sinnvoll, schon gar nicht zu zweifeln, sondern sich vielmehr „dumm zu stellen“ und so den Strafrechtsschutz zu erhalten. Dies erkennt auch Blei an. Die Viktimodogmatik hätte so gerade nicht zum Selbstschutz animiert. Ein weiterer paradoxer Gedanke kommt hinzu, wenn es zu sehr gelingt, zum Selbstschutz anzuleiten. Wer die Viktimodogmatik so versteht, dass er stets zweifeln soll (und dem nachkommt), der kann nie betrogen werden. Wenn nun jedermann stets zweifelte, sich das Bild vom homo homini lupus durchsetzte und nie auf die Rechtschaffenheit des anderen vertraut würde, so könnte niemand getäuscht werden. Der Betrugstatbestand wäre zu streichen. Dies kann wohl kaum das Ziel der Viktimodogmatik sein. Bleis allgemeine Thesen bieten wenig, was sich übertragen ließe. Seine Ansichten sind aber nicht zuletzt für die hiesige Untersuchung von Interesse, weil er sich als einer von wenigen zu Geheimnisschutzdelikten äußert. Er bezieht Stellung zu § 298 Abs. 1 Nr. 2 a. F. (§ 201 n. F.). Er selbst bezeichnet seine Gedanken dabei zwar nicht als viktimologisch, sie dürfen aber durchaus so gewertet werden.729 Er wendet sich dem Streit zwischen monistischer und dualistischer Theorie zu. Die monistische Theorie besagt, dass nur strafbar ist, wer unbefugt eine Aufnahme gebraucht (oder Dritten zugänglich macht), die schon unbefugt entstanden ist.730 Die dualistische Theorie besagt dagegen, dass sich auch strafbar macht, wer eine zunächst befugt aufgenommene Aufzeichnung des nichtöffentlich gesprochenen Wortes unbefugt gebraucht.731 Blei will den Streit auflösen, indem er den Gedanken des Strafrechts als ultima ratio im Wege der Auslegung anwenden will. Wer eine Aufnahme zulasse, der gehe bewusst ein Risiko ein und der begebe sich möglichen Selbstschutzes ohne Not. Daher sei er nicht schutzwürdig.732 Auch wenn Blei sich nicht ausdrücklich auf viktimologische Erkenntnisse stützt, hält Hillenkamp zu Recht den Zusammenhang für „mit den Händen zu greifen“.733 Dass der Gesetzgeber diesen Gedanken zugrunde gelegt habe, wird dabei unterstellt. Er habe den Bürger nur vor solchen Angriffen schützen wollen, gegen die Selbstschutz nicht möglich oder 729
Hillenkamp, Opferverhalten, S. 77. So Arzt, Intimsphäre, S. 263 f.; Blei, Strafrecht BT, S. 118; ders. JA 1974, 604 f.; ders. FS Henkel, S. 109 ff.; Maurach/Schroeder/Maiwald, Strafrecht BT/1, S. 317 ff. 731 Suppert, Notwehr, S. 211 ff.; Welzel, Strafrecht, § 45 I, 3., S. 335 und § 45 III a. A., S. 337. 732 Blei, FS Henkel, S. 112. 733 Hillenkamp, Opferverhalten, S. 79. 730
B. Viktimodogmatik als Begründungsmodus
343
geradezu unzumutbar sei. Diese Behauptung findet keine Stütze in den Gesetzesmaterialien. Davon abgesehen sieht sich diese Argumentation, gleich ob sie sich selbst so benennt oder nicht, denselben Einwänden ausgesetzt wie die viktimodogmatische. Die Frage, warum ein Sorgfaltsmangel die Strafbarkeit hier ausschließen soll, wo dies bei anderen Delikten, etwa beim Diebstahl, mitnichten der Fall ist, bleibt unbeantwortet. Roxin weist denn auch anhand dieses Beispiels darauf hin, dass es kein allgemeines viktimodogmatisches Prinzip gibt.734 Beim Eigentumsschutz ist oft Selbstschutz möglich – und wird doch nicht als Bedingung für Strafrechtsschutz vorausgesetzt. Auch stellt Hillenkamp die griffige Frage, ob Persönlichkeit immer weggeschlossen werden müsse, um Schutz zu erlangen.735 Hinzuzufügen ist, dass Blei die Fälle ausscheiden möchte, in denen die Aufnahme aufgrund einer Einwilligung befugt entstanden ist, weil hier auf Selbstschutz verzichtet wurde. Wird die Aufnahme dem befugt Aufnehmenden entwendet, so müsste dasselbe gelten, wie wenn sich der Betroffene selbst aufgenommen hat und ihm die Aufnahme entwendet wird. Ob der sich selbst photographisch Aufnehmende, dem seine Aufnahme entwendet wird, nicht geschützt werden soll, ist mehr als fraglich. Auch gibt es Fälle, in denen aus anderen Rechtfertigungsgründen die Aufnahme befugt entstanden ist. Dies ist etwa zur Erlangung von Beweismitteln in Erpressungsfällen denkbar.736 Diese dürften jedenfalls nach Bleis Begründung nicht ausgeschieden werden. Es fehlte am Verzicht auf Selbstschutz. Es soll dabei hier nicht für oder gegen die monistische Theorie gefochten werden. Lediglich die Begründung Bleis ist abzulehnen. Während Blei selbst einräumt, dass die Konsequenzen seiner allgemeinen Thesen nicht überzeugen, sind auch seine besonderen zu § 298 Abs. 1 a. F. nicht in sich stimmig. Seine Argumente sind daher nicht auf § 202a zu übertragen. (6) Zwischenzusammenfassung Somit kann festgehalten werden, dass die Hauptvertreter der Viktimodogmatik ihre Ansichten nicht auf § 202a gründen, obwohl § 202a in aller Regel schon bestand, als sie ihre Thesen (wenn auch nicht immer ursprünglich, so doch erneuernd) formulierten. Ihre allgemeinen Thesen entwickeln sie in erster Linie am Betrug und anderen Normen, die als Beziehungsbzw. Selbstschädigungsdelikte bezeichnet werden können. § 202a ist aber 734
„Ein Diebstahl bleibt ein Diebstahl, auch wenn das Opfer mit seinen Sachen äußerst sorglos verfahren ist.“ Roxin, Strafrecht AT/1, § 14 Rn. 15 ff., 19. 735 Hillenkamp, Opferverhalten, S. 80. 736 Die diesbezüglichen Fragen können hier nicht erörtert werden, s. dazu eingehend Suppert, Notwehr, S. 71 ff., 96 ff. s. auch Hillenkamp, Opferverhalten, S. 96 ff., 120 ff.
344
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
ein Zugriffs- oder Fremdschädigungsdelikt. Bei letzteren sollen viktimodogmatische Erwägungen allenfalls am Rande und unter der Voraussetzung, dass das Opfer sich aktiv seines Selbstschutzes entledigt, greifen (R. Hassemer). Bei § 202a wird aber nicht der sich aktiv des Schutzes Entledigende, sondern der passiv Bleibende schutzlos gestellt. In Bezug auf Geheimnisschutzdelikte erwähnen die Meinungsführer teilweise allenfalls, dass die Gedanken übertragbar wären (Amelung). Auf dem § 202a verwandte Delikte (§§ 201 ff., 123, 243 Abs. 1 Nr. 1, 2) stützen sie sich nur ausnahmsweise (Schünemann, Blei, Arzt). Die dazu vorgebrachten Argumente sind bereits erheblichen Bedenken ausgesetzt. Sie sind aber jedenfalls nicht auf § 202a übertragbar. Insbesondere dürften die geforderten Selbstschutzmöglichkeiten extrem ungleich über die Bevölkerung verteilt sein. Eine Korrektur im Einzelfall ist bei einem tatbestandlich festgeschriebenen viktimodogmatischen Stellglied aber nicht möglich. 2. Literatur mit dem Fokus § 202a StGB a) Regelmäßig bloße Nennung viktimodogmatischer Erwägungen Untersuchungen, die sich, die sich vornehmlich mit den Fragestellungen des § 202a befassen, sozusagen aus dessen Sicht betrachtet, fällt der Blick selten auf die Viktimodogmatik. Selbst in ausführlichen Arbeiten zu § 202a findet sich die Viktimodogmatik kaum wieder.737 Allenfalls Jessen ließen sich viktimodogmatische, wenn auch nicht als solche benannte, Argumente entnehmen.738 So schreibt er, allerdings zunächst nur im Rahmen der Auslegung des Tatbestandsmerkmales im Hinblick auf das geforderte Sicherheitsniveau, dass es die „Überlegung zur Eigenverantwortung“ des Rechtsgutsträgers sei, die den Sicherungsgrad inhaltlich begrenze.739 Für die „inhaltliche Ausgestaltung“ sei maßgebend, dass ein Außenstehender dem Rechtsgutsträger bestätige, „sorgfältig gehandelt“ zu haben.740 Anhand der Eigenverantwortung des Opfers und seiner Sorgfaltsbemühungen Tatbestandsmerkmale auszulegen, kann als viktimodogmatischer Gedanke bezeichnet werden. Allerdings erklärt Jessen, bevor er diese Argumente zur Auslegung heranzieht, nicht, wie er sie begründet. Es bleibt damit offen, weshalb er Eigenverantwortung und Sorgfalt erwartet. Auf der Hand liegt dies nicht, denn bspw. Lebens-, Leibes-, Ehr- und Eigentumsschutz gewährt 737 Vgl. etwa insg. die Arbeiten von Krutisch, Computerdaten; P. Schmid, Computerhacken und Schulze-Heiming, Computerdaten. 738 Jessen, Sicherung i. S. v. § 202a, S. 120 und 166. 739 Jessen, Sicherung i. S. v. § 202a, S. 120. 740 Ibidem, Fn. 739.
B. Viktimodogmatik als Begründungsmodus
345
das Strafrecht bekanntermaßen voraussetzungslos. In der Anwendung dieser Gedanken kann nicht ihre Begründung erblickt werden. Am Ende der Hauptuntersuchung führt er in knappen Worten nach vollbrachter Auslegung aus, dass er nicht auf das erhöhte Unrecht und die Schuld des Täters abstellen möchte.741 Was daran falsch sein soll, wird nicht ganz klar. Das Strafrecht Deutschlands ist Schuldstrafrecht742, die Strafwürdigkeit richtet sich nach der Schuld des Täters. Dieser Grundsatz wird schon von § 46 StGB widergespiegelt. Er hat Verfassungsrang743 und ist in Rechtsprechung und Literatur anerkannt.744 Schuld ist dabei ein die Strafe begründendes und begrenzendes Verbrechensmerkmal. Jessen dagegen will, ohne dies aufzuklären, auf Unrecht und Schuld des Täters nicht abstellen, sondern allein auf das Opfer. Dies vertritt er, obwohl er an selbiger Stelle fest hält: „Richtigerweise ist allein das Durchbrechen der besonderen Zuordnung von Tatobjekt und Rechtsgutsträger der Straferhöhungsgrund in § 243 Abs. 1 S. 2 Nr. 2 StGB.“745 Dem ist zuzustimmen. Durchbrechender ist aber der Täter. Jessen richtet den Blick nun (also doch) auf ihn. Seine Konzeption bleibt damit unklar. Der Betroffene mag die Voraussetzung für die Straferhöhung gesetzt haben. Der Täter aber verwirklicht sie erst. Hier zeigt sich das Wechselspiel von Angriff und Sicherung. Strafgrund ist letztendlich aber der Angriff. Was für ausführliche Monographien gilt, gilt noch mehr für die Aufsatzund Kommentarliteratur. Soweit sie § 202a beleuchtet, streift der Lichtkegel allenfalls die Viktimodogmatik im Rahmen der Auslegung, nicht aber, soweit es um die Begründung geht. Dieses Phänomen lässt sich oft beobachten und wurde schon oben bei der Kritik der Dokumentationstheorie angeführt.746 741 Er will mit dem Argument, das Abstellen auf die kriminelle Energie sei nichts anderes als die Abstellung auf Unrecht und Schuld, nicht auf die kriminelle Energie abstellen, Jessen, Sicherung i. S. v. § 202a, S. 166. 742 Vgl. für viele Streng, ZStW, 92 (1980), 637 f.; LK-Theune, § 46 Rn. 3 jew. m. w. N. 743 Abgeleitet aus dem Rechtsstaatsprinzip sowie aus dem Grundsatz, dass Strafe ohne Schuld gegen Art. 1 I, 2 I GG verstieße. BVerfGE 20, 323, 331; 25, 269, 285; vgl. schon Bruns, Strafzumessungsrecht, S. 317 m. w. N. 744 Die Rechtsprechung (BVerfGE 28, 264, 278; 32, 40, 48, weitere Nachweise bei Streng, ZStW, 92 (1980), 637, 638, Fn. 1) und ein Teil der Literatur (Vgl. für viele Bockelmann, Vom Sinn der Strafe, S. 25, 29, 37 f.; Bruns, Strafzumessungsrecht, 311 ff., 318; Gallas, Strafbarkeit, S. 4; Jescheck/Weigend, Strafrecht AT, § 4 I; Streng, ZStW, 92 (1980), 637 f.) stützen dies dabei auf die Vereinigungstheorie aus absoluter Straftheorie (quia peccatum est: Vergeltung, evtl. Sühne) und relativer Straftheorie (ne peccetur: General- und Spezialprävention), ein anderer Teil der Literatur dagegen allein auf Präventionstheorien. 745 Jessen, Sicherung i. S. v. § 202a, S. 166. 746 s. S. 186 ff.
346
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Hoyer will als einer von wenigen das Rechtsgut des § 202a viktimodogmatisch begründet wissen. Für § 202a belässt er es bei einem Verweis auf andere Literaturvertreter, namentlich auf Schünemann (zu diesem später Näheres) und, etwas überraschend, auf den vehementen Gegner der Viktimodogmatik Lenckner.747 Zur Auslegung des Tatbestandsmerkmals greift er die viktimodogmatische Begründung aber nicht expressis verbis auf. Er zieht dagegen Gesichtspunkte heran, die eher der Dokumentationstheorie zuzurechnen zu sein scheinen. So fordert er, dass das Geheimhaltebedürfnis objektiv erkennbar sein müsse.748 In der Regel wird argumentativ ein anderer Weg eingeschlagen: In erster Linie wird auf die behauptete Dokumentation abgestellt, sich dazu bekannt und dieser Gedanke auch zur Auslegung herangezogen. Wenn diese aber in der Anwendung manches nicht zu erklären vermag oder dem Judiz widerspricht, wird anhand anderer Überlegungen, etwa viktimodogmatischer, ergänzt oder korrigiert, ohne dass dieser argumentative Umschwenk seinerseits begründet wird.749 Einerseits scheint die Unzulänglichkeit der Dokumentationstheorie zwar erst (aber immerhin) bei der Auslegung und der Anwendung auf Einzelfälle erkannt zu werden. In der Konsequenz aber wird es als ausreichende Begründung angesehen, teilweise Hilfsüberlegungen anzuführen, deren Begründung müßig zu sein scheint. Dabei ist eine Begründung weder selbstverständlich, noch ist sie entbehrlich. Anlass, die gesamte Konzeption zu überdenken, wurde jedoch noch nicht gesehen. Viktimodogmatische Tendenzen auf Auslegungsebene finden sich in mancher Arbeit, oft werden sie dabei jedoch nicht als solche bezeichnet. Eine tiefere Auseinandersetzung mit der Viktimodogmatik als solcher findet nicht statt.750 Dasselbe gilt auch für die meisten Untersuchungen, die ausdrücklich viktimodogmatische Elemente erblicken möchten und als solche benennen. Sie finden selten Raum für eine weitere Erörterung.751
747
Vgl. SK-Hoyer, § 202a Rn. 2 sich auf Lenckner/Winkelbauer, CR 1986, 486; Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 1 und LK-Schünemann, § 202a Rn. 14 stützend. Ganz im Gegensatz zu Schünemann darf Lenckner allerdings getrost als vehementer Gegner eines viktimodogmatischen Prinzips verstanden werden, vgl. Sch/Sch-Lenckner/Eisele, vor §§ 13 ff., Rn. 70b und H.-L. Günther, FS Lenckner, S. 67 ff. 748 SK-Hoyer, § 202a Rn. 8. 749 s. zu den nachgezeichneten Linien der Literatur zur Dokumentationstheorie oben S. 184 ff. 750 Jessen, Sicherung i. S. v. § 202a, S. 120, 166; Schmachtenberg, DuD 1998, 402. 751 Etwa Hilgendorf, JuS 1996, 705; Leicht, iur 1987, 45; Lenckner/Winkelbauer, CR 1986, S. 486; Krutisch, Computerdaten, S. 108.
B. Viktimodogmatik als Begründungsmodus
347
b) Schünemanns allgemeines und besonderes Eintreten für die Viktimodogmatik bei § 202a StGB Als nahezu einzige, dafür umso gewichtigere Stimme streitet Schünemann bei § 202a explizit für die Viktimodogmatik.752 Nach seinen Worten rechtfertigt sich das Erfordernis der besonderen Sicherung gegen unberechtigten Zugang, weil der Verfügungsberechtigte sein Interesse an der Geheimhaltung dokumentiere (insofern geht er mit der herrschenden Ansicht d’accord) „und – das ist in normativer Hinsicht ausschlaggebend! – durch diese Wahrnehmung eines ohne weiteres zumutbaren Selbstschutzes auch des zusätzlichen Strafrechtsschutzes würdig und bedürftig wird“.753 Er bezeichnet dies als viktimodogmatische Fundierung, ohne dies weiter zu begründen und wendet sich sogleich den daraus resultierenden Folgen für die Auslegung zu. Selbst Schünemann, Verfasser etlicher Schriften zur Viktimodogmatik, behauptet zwar, § 202a sei viktimodogmatisch motiviert. Eine auf seine Besonderheiten eingehende Begründung findet sich jedoch nicht. Selbst er aber, der herausragendste754 Verfechter der Viktimodogmatik, beschränkt sich in Bezug auf § 202a auf oben angeführtes Zitat.755 Somit muss auf Schünemanns an anderer Stelle niedergelegte Grundhaltung zurückgegriffen werden. Nach Schünemanns eigenen Worten hat er das viktimodogmatische Prinzip im Jahre 1977 mehr oder minder gleichzeitig mit Amelung für den Irrtumsbegriff beim Betrugstatbestand sowie für die Abgrenzung der Täterqualifikation beim Geheimnisverrat gem. § 203 StGB aus der Viktimologie756 einerseits und als eine direkte Ableitung aus dem ultima-ratio-Prinzip andererseits entwickelt.757 Schünemann nahm seinerzeit die Fassung des § 203 zum Anlass der Begründung der Viktimodogmatik.758 Auch in jüngerer Zeit nimmt er diesen als Ansatzpunkt, um seine Thesen zu erneuern.759 Der § 203 steht § 202a systematisch und auf das Rechtsgut bezogen denkbar nah. Es darf unterstellt werden, dass Schünemann seine Ansichten zu § 202a und § 203 aus denselben Gründen für richtig hält. Daher sollen, da seine Ausführungen zu § 202a knapp sind, zunächst seine Thesen zu § 203 752
LK-Schünemann, § 202 a Rn. 14. Ibidem, Fn. 752. 754 Zu Recht Cancio Melia, ZStW 111 (1999), 357, 370. 755 Jedenfalls, soweit es um die Begründung geht. Auch für die Auslegung erwähnt er die Viktimodogmatik nur an wenigen Stellen, LK-Schünemann, § 202a Rn. 14, 15 und 16. 756 s. dazu Fn. 646, S. 325. 757 Schünemann, System, S. 51, 61 f. 758 Schünemann, ZStW 90, 1978, S. 11 ff. 759 Schünemann, in FS Faller, S. 357, 364 und zuletzt 2003, System, S. 51, 63. 753
348
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
und damit sein Verständnis der Viktimodogmatik vor Augen geführt und gefragt werden, ob dieses auf § 202a übertragbar ist. Schünemann legt dar, dass Privat- und Geheimsphäre schützende Normen, namentlich § 203, viktimodogmatisch begründet seien.760 Er stellt zutreffend fest, dass das Persönlichkeitsrecht, das hier als Rechtsgut eine Ausprägung erfahre, neben den Geschäfts- und Betriebsgeheimnissen anerkannt sei.761 Er erinnert unter anderem daran, dass es von Kohler erstmals 1880 angenommen und von Giesker fortentwickelt wurde; dass es sich in den USA schon früh verfestigt hat,762 aber in Deutschland erst nach dem Zweiten Weltkrieg etabliert wurde.763 Er führt zutreffend aus, dass weder die zivilrechtliche noch die öffentlichrechtliche Literatur und Rechtsprechung zu einer Umreißung führten, die für die strengen Anforderungen des Strafrechts, insbesondere im Hinblick auf den Bestimmtheitsgrundsatz ein festes Fundament bieten könnte.764 Er folgert, dass aus diesem Grunde für das Strafrecht nur geblieben sei, auf eine faktische Geheimsphäre aufzubauen und diesen Lebensbereich, der nicht allgemeinkundig ist, rein formal zu begreifen.765 Dies hätte sich jedenfalls gewandelt: Die jüngste, 2004 kodifizierte Regelung in diesem Rahmen, führt mit § 201 eine inhaltliche Grenze ein. Sie injiziert dem StGB allerdings damit auch ein ihm vorher fremdes Merkmal: den höchstpersönlichen Lebensbereich. Diese Einführung geschehe ohne Not, so Kühl.766 Auch Hegemann, Wolter und andere kritisieren heftig die Fassung des Rechtsguts bei § 201a und halten sie teils für misslungen.767 760
Schünemann, ZStW 90, 1978, S. 11 ff. Schünemann, ZStW 90 (1978), S. 16. Zur Entwicklung, s. bereits oben, S. 43. Sog. Staatsgeheimnisse werden dagegen von § 99 erfasst. Siehe dazu etwa F.-C. Schroeder, NJW 1981, 2278. 762 Zu modernen Tendenzen in den USA vgl. die (auch formal interessante) Darstellung von Kang/Buchner, Harvard Journal of Law & Technology, Vol. 18, 2004, S. 230 ff. 763 Schünemann, ZStW 90 (1978), S. 15 f. mit Verweisen auf Kohler, in Jherings Jahrbuch XVIII (1880), S. 272 ff.; Giesker, Das Recht des Privaten an der eigenen Geheimsphäre (1904), S. 3 ff.; Arthur Miller, The Assault on Privacy (deutscher Titel: „Der Einbruch in die Privatsphäre“), S. 199 ff: „Privacy as a Constitutional Principle“; das Hjalmar-Schacht-Urteil (1954; BGHZ 13, 334) und das Herrenreiterurteil (1958; BGHZ 26, 349). 764 Schünemann, ZStW 90 (1978), S. 16. 765 So auch Schünemann, ZStW 90 (1978), S. 22. 766 Lackner/Kühl, § 201a Rn. 1. Vgl. ders., Deutsch-japanisches Symposium, S. 165 ff.; ders. Schünemann-Symposium, S. 211 ff.; ders. in AfP 2004, S. 190 ff. 767 Hegemann, FS Raue, S. 445 ff.; Wolter, Schünemann-Symposium, S. 225, 227 ff., 233 f. Vgl. weiter Schertz in FS Damm, S. 214, 227 ff.; Kächele, Bildaufnahmen (§ 201a StGB) und Linkens, Bildaufnahmen (§ 201a), S. 56 ff.; ähnlich 761
B. Viktimodogmatik als Begründungsmodus
349
Der Tatbestand wird doppelt eingeschränkt. Die Tat muss in die Wohnung oder anders geschützte Räume eingreifend sich zugleich auf den höchstpersönlichen Lebensbereich beziehen. Dieser erklärt sich durch Rückgriffe auf die Judikatur der Zivilgerichte und des BVerfG, nicht zuletzt auf dessen Sphärentheorie, und soll dadurch fassbar werden.768 Die Einbeziehung dieser Sphärengedanken in das Strafrecht, das besonders klar und eindeutig sein muss, ist durchaus umstritten.769 § 201a stellt eine Mischform dar, die gerade deshalb erheblicher Kritik ausgesetzt ist.770 Die kritisch zu betrachtende Kombination zeigt, dass es dem Gesetzgeber nach wie vor nicht möglich zu sein scheint, Geheimnisschutztatbestände inhaltlich, formal oder in einer Kombination eindeutig und überzeugend zu umreißen. Vielleicht ist obiger Gedanke Schünemanns auf § 202a zu übertragen und liefert schon die ganze Erklärung: Der Gesetzgeber sah die Notwendigkeit, die persönliche wie geschäftliche Geheimsphäre zu schützen. Er vermochte jedenfalls seinerzeit nicht auf bekannte Grenzen zurückzugreifen.771 Dabei war er aufgrund der technischen Entwicklung zur Eile genötigt. Neue Grundsätze zu entwerfen und Grenzen zu ziehen, was wissenschaftliche Literatur und Rechtsprechung nicht in für das Strafrecht befriedigendem Maße vermocht hatten, war ihm angesichts der drängenden Probleme in der knappen Zeit nicht möglich. So zog er eine faktische, auf den ersten Blick einleuchtende und praktikable Grenze: Die Sicherung vor Zugang. Da diese „Notlage“ keinen Grund ersetzen kann, überlegte man nachträglich, was denn Grund für eine solche Grenze sein könnte – und nahm die plausible Erklärung zur Hand, in der Sicherung zeige sich eben das Geheimhaltebedürfnis und darin spiegele sich sozusagen das Rechtsgut wider. Oberflächlich betrachtet wäre dies eine auf den ersten Blick einleuchtende ErläuteBosch, JZ 2005, 377 ff. und Ernst, NJW 2004, 1277 ff. Kritisch aber grundsätzlich begrüßend: Eisele, JR 2005, 6 ff., 11. 768 Ausführlich SK-Hoyer, § 201a Rn. 2 ff., ders. in ZIS 2006, 1 ff.; vgl. auch ders. in SK, § 202a Rn. 1 ff., § 203 Rn. 1 ff. Vgl. zu § 201a BT-Drs. 15/1891, S. 7; BT-Drs. 15/2466, S. 4 f.; A. Koch, GA 2005, 589, 596; Borgmann, NJW 2004, 2134; Hesse ZUM 2005, 432, 435 f.; NK-Kargl. § 201a Rn. 3. 769 Borgmann, NJW 2004, 2134; Eisele, JR 2005, 6, 7 ff.; Hesse ZUM 2005, 432, 435 f.; A. Koch, GA 2005, 589, 596; Lackner/Kühl, § 202a Rn. 1, der zu Recht moniert, dass hier mit dem Merkmal „höchstpersönlicher Lebensbereich“ ein neuer Begriff geschaffen wurde und somit der Rückgriff auf den des „persönlichen Lebensbereichs“ der aus der Abschnittsüberschrift, anderen strafrechtlichen Normen (§ 68a StPO und § 171b I GVG) und der Rechtsprechung (BGHST 30, 212) bekannt ist, verstellt sei. 770 Hegemann, FS Raue, S. 445 ff.; Wolter, Schünemann-Symposium, S. 225, 227 ff., 233 f. Vgl. weiter Schertz in FS Damm, S. 214, 227 ff. und Kächele, Bildaufnahmen (§ 201a StGB) und Linkens, Bildaufnahmen (§ 201a StGB), S. 56 ff. 771 s. dazu schon oben sowie jünger Eisele, JR 2005, 6, 11 zum verwandten Bildnisschutz.
350
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
rung. Eine solche Arbeitsweise kann dem Gesetzgeber aber nicht unterstellt werden. Einen rechtlich anerkennenswerten Grund für die Begrenzung lieferte dieser rein pragmatisch-gesetzestechnische Ansatz keinesfalls und er trüge § 202a nicht. Schünemann ist soweit zu folgen, als er diese Problemlage aufzeigt. Daraufhin stellt er übergangslos die Behauptung auf, der gesetzlichen Regelung liege eine kriminalpolitische Konzeption zugrunde, die er viktimologisch nennt, und die festlegt, dass das Strafrecht nicht nur gegenüber allen anderen rechtlichen Formen des Rechtsgüterschutzes subsidiär sei, sondern erst recht im Verhältnis zum möglichen und zumutbaren Selbstschutz des potenziellen Opfers.772 Dabei ist zweierlei fraglich: Zunächst, ob Schünemanns Gedanke, dass die Subsidiarität des Strafrechts auch gegenüber dem Selbstschutz des potenziellen Opfers zu gelten habe zutreffend ist und weiter, ob der Gesetzgeber diesen Gedanken (ob er zutrifft oder nicht) der gesetzlichen Regelung zugrunde legte oder er sich nicht von anderen Überlegungen leiten ließ. Letzterer Gedanke ist für diese Arbeit weniger entscheidend. Wie die Beantwortung hinsichtlich § 203 auch ausfällt, sie kann nicht die Frage beantworten, ob § 202a auf diesen Gedanken begründet wurde. Für § 203 wird dieser Gedanke von Hillenkamp überzeugend widerlegt.773 Er hält zutreffend fest, dass Schünemann eine plausible Überlegung herausgreift aber verkennt, dass es andere ebenso plausible Überlegungen gibt, für deren Zugrundelegung letztlich mehr spricht. Für den hier entscheidenden § 202a wurde bereits festgehalten, dass viktimodogmatische Überlegungen zwar von am Gesetzgebungsprozess Beteiligten (namentlich Sieber) angedeutet wurden. Sie wurden aber weder dogmatisch weiter vertieft, noch gab es Zeichen, dass sie eine besondere praktische Auswirkung haben sollten. In der späteren Begründung des Gesetzes finden sie sich dementsprechend nicht wieder. Diese stützt sich allein auf die Behauptung der Dokumentation des besonderen Geheimhaltebedürfnisses des Verfügungsberechtigten.774 Dem erstgenannten von Schünemann aufgeworfenen Gedanken soll nun nachgegangen werden, ganz gleich, ob der Gesetzgeber sich von viktimodogmatischen Argumenten leiten ließ oder nicht: Es ist zu prüfen, ob § 202a viktimodogmatisch fundiert ist, wie Schünemann dies behauptet. Nachdem er über gut fünfzehn Seiten die Lage des Gesetzgebers und die 772
Schünemann, ZStW 90 (1978), S. 32. Hillenkamp, Opferverhalten, S. 67 ff. 774 s. ausf. oben, S. 327 ff., dort Kap. II., und vor allem die Materialien von Sieber: Stellungnahme zur öffentlichen Anhörung zu den Entwürfen eines Zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (2. WiKG) S. 170, 190 ff. d. Protokolls und S. 237 ff. d. Anlage. Vgl. ders., Informationstechnologie, S. 1 ff. 773
B. Viktimodogmatik als Begründungsmodus
351
Rechtsgeschichte des Privatgeheimnisses darlegt,775 genügen ihm für die Begründung der allgemeinen viktimodogmatischen Überlegungen zum Eindringen in die Privatsphähre knappe zwei Seiten776. Danach wendet er sich von diesen Fragen ab und der Indiskretion, d.h. dem Verrat von anvertrauten Geheimnissen zu.777 Die Ausführungen zur Indiskretion können hier allerdings nicht herangezogen werden. In dem Fall der Indiskretion liegt, um mit R. Hassemer zu sprechen, ein Beziehungsdelikt vor, dadurch, dass die Deliktsbegehung eine Interaktion mit dem Täter voraussetzt: Diesem muss das Geheimnis zunächst anvertraut, es ihm somit preisgegeben und sich der eigenen alleinigen Herrschaft und damit vollen Schutzes begeben werden. Diese Konstellation bietet viktimodogmatischen Erwägungen Raum. Bei der Indiskretion verletzt der Täter, ähnlich wie beim Betrug, das Vertrauen des Opfers. Bei Indiskretionsdelikten kann, ebenso dem Betrug entsprechend, dem Opfer unter Umständen vorgeworfen werden, zu Unrecht vertraut zu haben und dadurch eine conditio-sine-qua-non für die Deliktsbegehung gelegt zu haben. Wegen dieser Unterschiede vom Offenbaren (§ 203) bzw. Verfügen (§ 263) und damit aktiver Selbstschädigung oder Schutzbegabe einerseits und dem Eindringen von außen ohne Mitwirkung des Opfers andererseits, wie es von § 202a ausschließlich erfasst wird, kann nur auf das Eindringen bzw. Ausspähen abgestellt werden. Entscheidend ist hier damit allein Schünemanns Darlegung zum Eindringen in die Privatsphäre. Schünemann führt zum Eindringen aus, jedermann könne seine Privatangelegenheiten vor fremder Neugier bewahren, indem er intime Handlungen nur in den eigenen vier Wänden vornehme, indem er bei Gesprächen in der Öffentlichkeit durch Herabsetzen der Lautstärke unerwünschte Mithörer ausschließe und indem er seine schriftliche Kommunikation und alle privaten Dokumente mit einem Verschluss versehe. Mache er von dieser Möglichkeit keinen Gebrauch, so sei er auch nicht schutzwürdig und das generelle Verbot der Kenntnisnahme von fremden Privatgeheimnissen wäre daher kriminalpolitisch grob fehlerhaft.778 Wohlgemerkt, Schünemann äußert sich hier zu § 203. Seinen Thesen ist dabei schon diesbezüglich in mehrfacher Hinsicht zu widersprechen: Es mag richtig sein, dass oft Selbstschutzmöglichkeiten gegeben sind – wie übrigens auch beim Eigentumsschutz, ohne dass dort der Strafrechtsschutz 775
Schünemann, ZStW 90 (1978), S. 15 ff. Schünemann, ZStW 90 (1978), S. 32 f. 777 Schünemann, ZStW 90 (1978), S. 33 ff. 778 „Ganz abgesehen davon, dass es hier in 99% aller vorkommenden Fälle an einer hinlänglichen Sozialschädlichkeit fehlen wird“ fügt er noch hinzu: Schünemann, ZStW 90 (1978), S. 33. 776
352
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
darauf gründet. Bei § 246 wird gar die Konstellation erfasst, in der sich der Eigentümer des Gewahrsams, somit der Sachherrschaft und damit des natürlichen Schutzes, freiwillig begibt. Doch davon abgesehen ist bei Privatsphäredelikten der Selbstschutz oftmals schon unmöglich. Zu § 201a führen Kühl und Eisele überzeugend an, dass sich bspw. Unfallopfer und trauernde Eltern am Grab ihrer Kinder kaum gegen Fotographien erwehren können, aber man doch kaum deren Schutzwürdig- und -bedürftigkeit verneinen könne.779 Ähnliches gilt bei § 201: Mit Richtmikrofonen kann auch das noch so leise gesprochene Wort aufgenommen werden. Bezüglich § 203 kann zwar vertreten werden, dass das Geheimnis gar nicht erst anvertraut werden müsse. Hier schlägt allerdings die Wertung durch, es sei sozial üblich und erwünscht, den genannten Berufsgruppen Privates und Intimes im eigenen und teilweise auch allgemeinen Interesse anzuvertrauen. Bei § 202a bedarf es einer solchen Wertung schon nicht, hier ist der Schutz der Daten nicht zuverlässig und lückenlos umsetzbar.780 Nicht bestritten werden soll aber, dass mannigfaltige Selbstschutzmöglichkeiten gegeben sind und deren Umsetzung unterstützt werden sollte. Ob der Entzug des Strafrechtsschutzes der richtige Ansatzpunkt ist, bleibt aber fraglich. Selbst wenn man Selbstschutz fordern will, so sind Schünemanns Gedanken nicht auf § 202a zu übertragen. Zunächst können Computernutzer ihre Daten in den eigenen vier Wänden abspeichern und ihren Selbstschutz damit verwirklichen – und dennoch sollen sie nach der jetzigen Konzeption nicht strafrechtlich vor Ausspähung geschützt sein. Denn dass der Computer im verschlossenen Haus steht, soll die Daten nach der herrschenden Literatur nicht zu besonders geschützen und damit von § 202a erfassten machen.781 Im Unterschied zu § 201a etwa reicht es nicht, zwischen „natürlichen Räumen“, etwa dem Zuhause und der Öffentlichkeit, zu wechseln und je nachdem folglich faktisch gesichert und wiederum daraus folgend rechtlich geschützt zu sein. Bei § 201a lässt sich hier leichter Einklang und damit Unterstützung sozial üblicher Verhaltensweisen, wie Eisele formuliert,782 herstellen. Die potenziellen Opfer des Datenausspähens müssen vielmehr aktiv einen besonderen Schutz herstellen, so das Gesetz ausdrücklich, um durch § 202a rechtlich geschützt zu sein. Dieser besondere Schutz entspricht nicht den sozial üblichen Handlungsweisen. Dies wurde 779 Zum Unfallopfer: Eisele, JR 2005, 6, 11. Kühl, Deutsch-japanisches Symposium, S. 165, 174 zu oben genannten und um „sich übergebende Marathonläufer am Straßenrand“ und „Sozialhilfeempfänger bei der Sozialbehörde“ ergänzte Fälle. 780 s. die Darstellung der technischen Angriffsweisen und Abwehrtechniken oben, S. 108 ff., Kap. II. 781 SK-Hoyer, § 202a, Rn. 9; Jessen, Sicherung i. S. v. § 202a, S. 120; NK-Kargl, § 202a Rn. 9. 782 Eisele, JR 2005, 6, 11.
B. Viktimodogmatik als Begründungsmodus
353
bereits an anderer Stelle ausführlich dargelegt.783 § 202a fordert daher von den potenziellen Opfern Handlungen, die teils über das natürliche Maß hinausgehen und teils neben natürlichen Handlungen liegen. Vergleicht man § 202a und § 201a systematisch, so darf nicht vergessen werden, dass letzterer etwa 20 Jahre nach § 202a eingeführt wurde und damit eine weit spätere Auffassung des Gesetzgebers zu einer einzelnen Norm der Geheimnisschutzdelikte widergibt.784 Die Forderungen an potenzielle Opfer sind mit denen der restlichen §§ 201 ff. nicht zu vergleichen. Die Umsetzung von technischen Schutzmaßnahmen ist oft schwierig, insbesondere in Bezug auf die Kommunikation und die Absicherung eines Computers mit Internetanschluss. Der Schutz entspricht kaum solchen sozial üblichen Selbstschutztechniken, wie dem Senken der Stimme, um nicht belauscht zu werden oder dem Gebrauch von Sichtschutz, um nicht beobachtet zu werden. Schünemann forderte seinerzeit de lege ferenda einen Schutz des eigenen Bildes vor Eingriffen durch Fotografieren mittels Teleobjektiven oder Infrarotkameras. Er begründete dies damit, dass ein Selbstschutz hier nicht möglich sei!785 Diese Forderung wurde im Jahr 2004 mit Einführung des § 201a786 erfüllt, allerdings nicht uneingeschränkt: Vor Bildaufnahmen wird nur geschützt, wenn sie sich auf den höchstpersönlichen Lebensbereich beziehen und – das ist hier entscheidend – die potenziell abgebildete Person sich in einer Wohnung oder einen gegen Einblick besonders geschützten Raum befindet. Im Gegensatz zu Schünemann nahm der Gesetzgeber also Selbstschutzmöglichkeiten an. Schließend lässt sich festhalten, dass die Thesen Schünemanns zum § 203, gleich, ob man sie, entgegen der hier vertretenen Ansicht, dort für überzeugend hält, jedenfalls nicht auf § 202a zu übertragen sind. Schünemann argumentiert schon zu § 203 gesetzeshistorisch nicht durchgreifend, wie Hillenkamp überzeugend darlegt.787 Letzterer merkt, um nur das gewichtigste Gegenargument zu nennen, zutreffend an, dass in „unzulässiger und verfälschender Weise ein Motiv aus dem Bündel der die Strafnorm tragenden Gründe“ isoliert werde.788 Dem ist für § 203 und für § 202a zuzustimmen. Es wurde bereits gezeigt, dass der Gesetzgeber auch § 202a nicht auf ein viktimodogmatisches Fundament setzte. Die viktimodogmatische These ist zwar mit dem Wortlaut verträglich. Daraus lässt sich ein Wille 783 s. die sozialpsychologischen Erkenntnisse der Privatheitsforschung oben, S. 165 ff., dort Kap. I. 784 Zum systematischen Vergleich, s. unten. 785 Schünemann, ZStW 90 (1978), S. 33. 786 Eingeführt durch das 36. StrÄndG und ab 06.08.2004 in Kraft. 787 Hillenkamp, Opferverhalten, S. 67 ff. 788 Hillenkamp, Opferverhalten, S. 69.
354
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
des Gesetzgebers aber nicht ableiten.789 Zumindest genausogut denkbar und plausibel ist nach Hillenkamps zu § 203 niedergelegter Ansicht, die auch hier in Bezug auf § 202a angedeutet wurde790 und noch vertieft wird,791 dass „im Eindringen, im Durchdringen einer erkennbaren Barriere die kriminelle Energie gefunden wird, die Anlass zur Pönalisierung gibt“.792 Es wird zu untersuchen sein, ob nicht etwa dieser Ansatz durchgreift. Ein viktimodogmatischer Grundsatz zieht sich mitnichten durch das StGB. Im Gegenteil: Selbst der verschuldet Schutzlose wird, jedenfalls nach herrschender Meinung, an anderer Stelle im StGB geschützt. Ja, er wird sogar noch mehr geschützt als der normal Schutzbewehrte. § 243 Abs. 1 S. 2 Nr. 6 legt fest, dass der Hilflose erhöhten Strafrechtsschutz genießt. Gerade die verminderte Schutzfähigkeit soll erhöht strafbewehrt werden793 und dadurch der mangelnde (Selbst-)Schutz nicht „bestraft“, sondern ausgeglichen werden. Dabei kann die Hilflosigkeit nach ganz herrschender Meinung in Literatur und Rechtsprechung auch schuldhaft herbeigeführt worden sein.794 Nach herrschender Ansicht wird die selbstverantwortliche Trunkenheit mit erfasst,795 was auch Blei zugesteht.796 Damit ist die Hilflosigkeit wesentlich weiter gefasst als etwa in § 221, der nur jugendliches Alter, Gebrechlichkeit oder Krankheit anerkennt. Die Vorwerfbarkeit, sich selbst in schutzlosen Zustand getrunken zu haben, ist wesentlich höher als die, seine Daten nicht aktiv besonders gesichert zu haben. Es wäre dann aber paradox, wenn man aus diesen Gründen, dem Einen, der sich ohne Not seines natürlichen Selbstschutzes begab, erhöhten Schutz anzudienen, den Anderen, der schlicht untätig blieb, aber gänzlich schutzlos zu stellen. Die Viktimodogmatik kann diesen Widerspruch nicht erklären, sie greift ihn schon nicht auf.797 Sie könnte den Widerspruch dadurch zu erklären suchen, dass die Hilflosigkeit 789
Hillenkamp, Opferverhalten, S. 69. s. oben S. 237 ff. 791 s. unten; S. 357 ff. 792 Hillenkamp, Opferverhalten, S. 70. 793 Sch/Sch-Eser, § 243 Rn. 38. 794 BGH NStZ-RR 2003, 186, 188; 1 StR 28/02. Sch/Sch-Eser, § 243 Rn. 39; Fischer, § 243 Rn. 21; SK-Hoyer, § 243 Rn. 38; LPK-Kindhäuser, § 243 Rn. 34; NK-Kindhäuser, § 243 Rn. 36; LK-Ruß § 243 Rn. 32. Kritisch, Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 33 Rn. 100. Ohne Stellungnahme leider Blei, Strafrecht BT/1 pdW, (Fall 272). Ebenso leider ohne Stellungnahme Arzt/Weber, Strafrecht LH3 (Rn. 227). 795 Sch/Sch-Eser, § 243 Rn. 39; Fischer, § 243 Rn. 21; SK-Hoyer, § 243 Rn. 38; LPK-Kindhäuser, § 243 Rn. 34; NK-Kindhäuser, § 243 Rn. 36; LK-Ruß § 243 Rn. 32. Kritisch Maurach/Schroeder/Maiwald, Strafrecht BT/I, § 33 Rn. 100. 796 Blei, Strafrecht BT, § 54, 6., S. 193 f. 797 Vgl. etwa die Werke der Vertreter Blei, Strafrecht BT/1 pdW, (Fall 272), Arzt/Weber, Strafrecht LH3 (Rn. 227). 790
B. Viktimodogmatik als Begründungsmodus
355
sich nicht auf das dadurch weniger geschützte Rechtsgut bezieht. Es müsste zu differenzieren sein, ob jemand eines Angriffs gewahr ist und sich dennoch betrinkt oder ob sich jemand ohne Bewusstsein besonderer oder konkreter Gefährdung hilflos trinkt. Die Viktimodogmatik geht dieses Wagnis nicht ein, sie liefert hier keine Unterscheidung. Soweit sie erkennbar sind, lässt sich den gesetzgeberischen Beweggründen somit keine viktimodogmatische Motivation entnehmen. Auch bleibt festzuhalten, dass die Ausführungen Schünemanns zu § 203, anhand derer er seine Auffassung zur Viktimodogmatik begründet, dort schon zu bezweifeln sind, sie sich aber keinesfalls auf § 202a übertragen lassen. Die Selbstschutzmöglichkeiten des Bürgers sollten unterstützt werden, er sollte zum Selbstschutz angehalten werden – allerdings nicht um den Preis der Schutzlosstellung, falls er diesem Druck nicht nachgibt. Für viele Bürger sind die Selbstschutzmöglichkeiten gering oder schlicht nicht vorhanden. Ihnen würde gezielt, aber kaum gerechtfertigt, der Schutz entzogen. Schünemanns Behauptung leicht umsetzbaren Selbstschutzes ist nicht auf § 202a übertragbar.
IV. Abschließende Stellungnahme zur viktimodogmatischen Fundierung des § 202a StGB Schon aus allgemeinen oben angeführten Erwägungen ist der Viktimodogmatik entschieden entgegen zu treten. Auch besondere Erwägungen im Rahmen des § 202a rechtfertigen nicht, diesen als viktimodogmatisch fundiert zu betrachten. § 202a ist nicht viktimodogmatisch fundiert und dies, das sei rechtspolitisch angemerkt, zu Recht. Die Norm bietet zwar Anhaltspunkte für eine viktimodogmatische Begründung, da sie im Ergebnis den Selbstschutz als Voraussetzung für den Strafrechtschutz setzt. Damit ist dieses Erfordernis aber noch nicht erklärt. Der Gesetzgeber verfolgte keine genuin viktimodogmatische Intention. Auch die Viktimodogmatiker wollen ihre Ausführungen nicht auf § 202a stützen. Die wesentlichen allgemeinen Erwägungen der Viktimodogmatik wurden zum Betrug entwickelt. Sie lassen sich nicht auf ein Fremdschädigungs- und Zugriffsdelikt übertragen, bei dem weder zwingend eine TäterOpfer-Interaktion stattfindet noch das potenzielle Opfer im Moment der Gefahr des Risikos gewahr wird. Es kann sich darüber hinaus nicht wie beim Betrug durch Unterlassen schützen. Vorgeworfen wird ihm bei § 202a nicht ein aktives Verringern des natürlichen Selbstschutzes, sondern ein Unterlassen einer besonderen und gesonderten Sicherung. Die besonderen Thesen der Viktimodogmatiker, die zu Geheimnisschutzdelikten angeführt wurden, sind schon in diesem Zusammenhang kritisch zu hinterfragen. Sie lassen
356
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
sich aber ebenso wenig wie die allgemeinen Thesen übertragen. Die Selbstschutzmöglichkeiten sind für große Teile der Bevölkerung schlichtweg nicht umsetzbar. Ein Vorwurf kann daraus nicht abgeleitet werden. Selbst wenn Selbstschutz möglich ist, so darf er nicht Voraussetzung für staatlichen Schutz sein. Dies ist an anderer Stelle auch nicht der Fall und führte zu ungerechtfertigter Ungleichbehandlung. Hier sei abermals der Diebstahl als wohl eindringlichstes Beispiel genannt, bei dem der Selbstschutz zudem leichter von jedermann durchzusetzen sein dürfte. Das klassische Gegenargument gegen die Viktimodogmatik gewinnt hier neue Brisanz: Gerade der Schutzlose muss geschützt werden. Dem könnte entgegengehalten werden, dass nur der unverschuldet Schutzlose zu schützen sei. Wer sich zumutbar schützen könne und dies missachte, der bedürfe keines Schutzes. Diese Differenzierung führte aber in der Praxis zu ganz erheblichen Anwendungsproblemen. Es müsste zunächst festgestellt werden, ob das Opfer überhaupt Anlass sah, sich zu sichern. Viele Bürger sind, wenn es um den Schutz ihrer elektronischen Daten geht, relativ unbesorgt und oft ohne Kenntnis von Schutzmöglichkeiten. Die Bedrohungslage ist in der Normalbevölkerung weitgehend unbekannt. Teils wird sie als überzogen, in aller Regel aber als zu niedrig angesetzt. Auch ist das Wissen äußerst ungleich verteilt. Jüngere Bevölkerungsteile nehmen bspw. die Bedrohung realistischer wahr als ältere. Sie schützen sich dementsprechend auch eher.798 Wollte man Selbstschutz fordern, so hieße das in letzter Konsequenz diejenigen schutzlos stellen, die noch nicht einmal die Bedrohung realisieren. Problematisch ist zudem, dass keine Korrekturmöglichkeit im Einzelfall besteht, da das Erfordernis nicht im Wege der Auslegung geltend gemacht wird, sondern ein Tatbestandsmerkmal begründet. Damit wird sozusagen unwiderleglich vermutet, dass die Notwendigkeit des Selbstschutzes bekannt und der Selbschutz möglich und zumutbar ist. Dies geht jedoch an der Realität vorbei. Die Forderung, dass Selbstschutz bekannt sein müsste und umsetzbar sein sollte, geht dagegen zu weit. Auch müsste die Forderung Auswirkungen auf das Sicherheitsniveau haben. Von einem Profi dürfte mehr zu erwarten sein als von einem absoluten Laien. In der Praxis müsste der Grad der Befähigung des Opfers festgestellt werden, um das Schutzniveau zu definieren. Der Täter wüsste dann aber vor der Tat oft nicht, ob er sich strafbar macht oder nicht. Dringt er in ein System ein, das ein Profi schützte? Dann wäre erst Strafbarkeit gegeben, wenn die Sicherheitsschwelle ganz erheblich ist. Dringt er dagegen in ein System eines laienhaften Nutzers ein, so wäre schon das Überschreiten der geringsten Schwelle strafbar. Dies führte auch zur „Bestrafung“ des 798 Statist. Bundesamt (Hrsg.): IT in Haushalten 2005, Tabellenanhang, S. 17. Vgl. auch Schneier, wired, 14.12.06 – „MySpace passwords aren’t so dumb“.
C. Erhöhung des Handlungsunrechts
357
Versierteren, von dem nun mehr erwartet werden müsste. Der Bürger wäre dann interessiert, möglichst wenig zu wissen. Schon Blei zeigte auf, zu welchen paradoxen Folgen die Viktimodogmatik führen kann, wenn man sie konsequent weiter denkt und von einer erzieherischen Wirkung ausgeht – und diese ist nach der Viktimodogmatik ja gewollt.799 Es gibt keinen viktimodogmatischen Grundsatz, der sich durchs StGB zieht. Die Existenz des § 243 Abs. 1 S. 2 Nr. 6 müsste dann jedenfalls erklärt werden. Der Grundsatz ist ebensowenig § 202a zugrunde zu legen. Er liefert zwar eine zunächst plausibel scheinende Erklärung. Diese hält näherer Untersuchung aus historischen, teleologischen und systematischen Gründen jedoch nicht stand.
C. Erhöhung des Handlungsunrechts, Vertiefung der Rechtsgutsverletzung oder Prävention als denkbare Begründungsmodi Es wurde gezeigt, dass die vom Gesetzgeber angeführte und von der herrschenden Literatur aufgegriffene Begründung des Tatbestandsmerkmals der besonderen Sicherung nicht trägt.800 Die Behauptung, die besondere Sicherung dokumentiere unzweifelhaft das besondere Geheimhaltebedürfnis, stimmt in dieser Allgemeinheit nicht und taugt damit nicht als Begründung zur trennscharfen Abgrenzung von Strafwürdigem und Strafunwürdigem. Die weitere Frage, wieso auf die Dokumentation überhaupt und in dieser indirekten Form (die Dokumentation in Form der Sicherung, nicht aber als reine Dokumentation) abgestellt wird, kann somit dahinstehen. Es wurde weiter gezeigt, dass die von Teilen der Literatur angebotene Begründung, die Tatbestandseinschränkung sei viktimodogmatisch motiviert oder viktimodogmatisch begründet, ebensowenig trägt.801 Dass die bisher angeführten Begründungsmodi nicht tragen, heißt, wie oben bereits dargelegt, nicht zwingend, dass die Tatbestandseinschränkung nicht begründbar ist. Dabei muss das Rad nicht unbedingt neu erfunden werden. Mit bekannten Begründungsmodi zu arbeiten, sofern diese übertragbar sind, sichert Konsistenz der Rechtsordnung. Beispielsweise wurde bereits mehrfach herausgearbeitet, dass das Gesetz an anderer Stelle die Technik der Tatbestandseinschränkung über das Erfordernis besonderer Sicherungen kennt.802 Die Begründung dieser Einschränkungen an dortiger 799
Siehe oben, S. 343 f. Vgl. oben, S. 164 ff., insb. zur Verhaltensforschung, S. 165 ff., zur besonderen Kritik anhand der Passwortabfrage, S. 216 ff. und dem systematischen Vergleich zu anderen Sicherungsmitteln, S. 237 ff. 801 s. oben S. 237 ff. 800
358
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Stelle könnte, unter Umständen modifiziert, auch bei § 202a tragend sein. Dies ist zu untersuchen: Zunächst soll in Erinnerung gerufen werden, bei welchen Normen das Gesetz an besondere Sicherungen anknüpft und welche Begründungen hierfür angeführt werden. Sodann soll geprüft werden, ob und unter welchen Modifikationen diese auf die Materie des § 202a übertragen werden können. Dazu ist zu fragen, ob sich diese Begründungsansätze faktisch auf den Regelungsbereich des § 202a transferieren lassen. Weiter ist zu prüfen, ob sie dogmatisch wie rechtspolitisch fundiert sind.
I. Vergleich der Merkmale der besonderen Sicherungen in § 123 Abs. 1, § 202 Abs. 1, 2 und § 243 Abs. 1 S. 2 Nr. 1, 2 mit denen des § 202a Bevor auf die besonderen Sicherungen der oben genannten Normen eingegangen sei, darf wiederholt werden, dass bereits erarbeitet wurde, weshalb beim verwandten § 244 Abs. 1 Nr. 3 auf eine besondere Sicherung zur Eingrenzung auf die Privatsphäre verzichtet werden kann.803 Das Ziel der Heraushebung eines für jedermann erkennbaren besonderen Schutzbereiches wird durch einen anderen Mechanismus erzielt. Dabei kann aus der unterschiedlichen Wahl der Mechanismen, einerseits des Erfordernisses eines besonderen Schutzes und andererseits des Tatbestandsmerkmals der Wohnung, keine grundlegend unterschiedliche Konzeption des Gesetzgebers geschlossen werden. Der Wohnungsbegriff führt mindestens ebenso gut zum angestrebten Ergebnis der erkennbaren Heraushebung des besonderen Schutzbereichs. Dieser durch den Gesetzgeber gewählte Weg setzt sich mit dem hiesigen Verständnis dagegen nicht in Widerspruch, denn er kann bei § 202a schon aus faktischen Erwägungen nicht gegangen werden, da es kein dem Wohnungsbegriff entsprechendes Pendant für elektronische Daten gibt. Dem Gesetzgeber blieb also schon gar nicht die Wahl zwischen verschiedenen Wegen. Aus seiner Entscheidung gegen einen ohnehin versperrten Weg kann daher keine normative Wertung gelesen werden. Dies vorausgeschickt sei sich nun den bereits oben dargelegten Sicherungen im weiteren Sinne (verschlossene Behältnisse und Briefumschläge, umschlossene Räume und befriedete Besitztümer), die an anderer Stelle des StGB Niederschlag fanden, zugewendet. Zunächst sei auf die dortige Darstellung verwiesen.804 Es soll an dieser Stelle nur kurz an einige Punkte erinnert und um einige neue Überlegungen ergänzt werden: Untersucht wurden die Befriedung des § 123, der Verschluss und das verschlossene Behält802 803 804
s. oben; S. 237 ff. s. S. 261, Kap. 5. s. S. 237–261.
C. Erhöhung des Handlungsunrechts
359
nis des § 202 (Abs. 1 Nr. 1, 2 und Abs. 2), ebenso nach § 243 Abs. 1 S. 2 der umschlossene Raum (Nr. 1) und nach der dortigen Nr. 2 das verschlossene Behältnis oder die andere Schutzvorrichtung. Es sollen die Begründungen der Sicherungen dieser Normen aufgezeigt werden und gefragt werden, inwieweit die Sicherungen faktische Parallelen haben. Es spricht viel dafür, dass so weit die Merkmale faktisch verwandt sind, auch ihre Begründungen verwandt sein müssen. 1. Sicherungen des § 202 Abs. 1 und 2 StGB Der Verschluss des Schriftstückes nach § 202 Abs. 1 soll nach allgemeinem Verständnis symbolisches Hindernis sein und den Willen des Verschließenden dahingehend erkennbar machen, dass eine Kenntnisnahme durch Unbefugte unterbleiben soll.805 Das verschlossene Behältnis nach § 202 Abs. 2 ist nach der herrschenden Meinung wie in § 243 Abs. 1 S. 2 Nr. 2 zu verstehen.806 (Neben-)Zweck muss jedenfalls sein, die unbefugte Kenntnisnahme zu verhindern, so der Gesetzeswortlaut („ein verschlossenes Behältnis gegen Kenntnisnahme“) und die herrschende Meinung.807 Verschlossene Behältnisse vermögen Schriftstücke vor Wegnahme, mutwilliger808 Beschädigung und Kenntnisnahme zu schützen. Sowohl der Verschluss eines Schriftstücks als auch das verschlossene Behältnis umschließen das Sicherungsgut eng, spezifisch und definiert.809 Das Sicherungsgut wird unter mehreren möglichen Gütern regelmäßig als zu schützendes konkret ausgewählt. Eine Sicherung gegen Zugang zu Daten kann ebenso eng, spezifisch und definiert sein. Es gibt jedoch auch etliche Sicherungtechniken, wie etwa die der oben dargelegten Passwortsicherung, die unspezifisch einen gesamten Datenbereich erfassen. Weiter greifen elektronische Sicherungen oft automatisch, was zudem von Dritten initiiert sein kann. Daher müssen den Sicherungen nicht Willensentschließungen in Richtung von Sicherungswünschen zugrunde liegen. Die aus diesen Unterschieden resultierende mangelnde faktische Vergleichbarkeit spricht dagegen, die Begründungsmodi zu übertragen. 805 LK-Schünemann, § 202 Rn. 13; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 7; Lackner/Kühl § 202 Rn. 2; Wessels/Hettinger, Strafrecht BT/1, Rn. 550; SK-Hoyer § 202 Rn. 11. Vgl. insgesamt zum Verständnis der Sicherung des § 202 oben, S. 238 ff., lit. a). 806 LK-Schünemann § 202 Rn. 16; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 18 jew. m. w. N. 807 LK-Schünemann § 202 Rn. 16; Sch/Sch-Lenckner/Schittenhelm, § 202 Rn. 18 jew. m. w. N. 808 Zum Schutz vor anderen Beschädigungen, etwa (versehentlichem) Brand etc, reicht ein unver- und lediglich ge-schlossenes Behältnis ebenso gut oder ebenso schlecht. 809 Vgl. ausführlicher oben, S. 238 ff., lit. a).
360
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
2. Begründung der Befriedung des § 123 Abs. 1 StGB Die Befriedung des Besitztums nach § 123 wird richtigerweise als eine formalisierte Begrenzung des Strafrechtsgüterschutzes verstanden.810 Für die Auslegung wird daraus gefolgert, dass ein erhöhtes Schutzniveau, etwa durch ein faktisch wirksames Hindernis, nicht gefordert wird.811 So soll der hinter einer nicht absperrbaren Toreinfahrt liegende Hofraum erfasst sein.812 Während Gebäude in aller Regel ohne weiteres813 erfasst sind, müssen sonstige Besitztümer eine Befriedung erfahren, um in den Schutzbereich zu gelangen.814 Zusammenhängende (wenngleich nicht unbedingt lückenlose815) Schutzwehren sind nach der herrschenden Meinung erforderlich816. Einbezogen werden sollen ebenso Zubehörflächen, die aufgrund engen räumlichen Zusammenhangs für jedermann erkennbar Zubehör zu einem Grundstück im Sinne von (da)zu-gehörig sind.817 Zusammengefasst soll eine formalisierte Befriedung, die nicht physisch wirksam oder zusammenhängend sein muss und die auf Zubehörflächen ausstrahlt, ausreichen. Dagegen sollen reine Symbole, etwa aufgestellte Schilder, nicht ausreichen.818 Dies wird dadurch begründet, dass eine rein psychische Wirkung nicht ausreiche.819 Dem ist zuzustimmen: Ein Mindestmaß an physischer Wirkung muss vorhanden sein. Es stellt sich die Frage, was der Unterschied zwischen nicht physisch wirkenden (also allenfalls psychisch wirkenden) Grenzen und reinen Symbolen (also ebenfalls nur psychisch wirkenden Merkmalen) ist. Nun ist es hier nicht Aufgabe § 123 auszulegen. Es ist jedoch bemerkenswert, dass die Probleme im Umgang mit besonderen Sicherungen und die Frage an die Anforderungen, die wir an sie stellen wollen, auch hier aufgeworfen wer810 Stellv. Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 30 Rn. 2 u. 11. Vgl. insgesamt zum Verständnis der Sicherung des § 123 oben S. 238 ff., dort lit. b). 811 s. i. E. schon oben mit Nachweisen. 812 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 3. 813 So Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. Zu Ausnahmen und der Diskussion insb. im Rahmen von Hausbesetzungen, s. stellv. MüKo-Schäfer, § 123 Rn. 10 ff., 17 ff. 814 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. Einschr.: Olizeg, Hausfriedensbruch, S. 171. 815 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6; MüKo-Ostendorf, § 123 Rn. 23. 816 Stellv. Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. 817 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6 m. w. N. 818 Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 1 f. u. 6; Fischer, § 123 Rn. 8 f.; SK-Rudolphi/Stein, § 123 Rn. 1 a. E. u. Rn. 36 ff. 819 Ganz h. M.; stellv.: Sch/Sch-Lenckner/Sternberg-Lieben, § 123 Rn. 6; Fischer, § 123 Rn. 8 f.; SK-Rudolphi/Stein, § 123 Rn. 36 jew. m. w. N.
C. Erhöhung des Handlungsunrechts
361
den. Ohne um die Begründung eines Merkmals zu wissen, bleibt dessen Auslegung jedenfalls schwer nachvollziehbar und unsicher. Aus diesem Grunde unterzieht etwa Amelung die Begründung der Befriedung des Hausfriedensbruchtatbestandes einer ausführlichen Analyse.820 Die Strafwürdigkeit des Angriffes ergebe sich daraus, dass der Täter nicht nur symbolische, sondern physisch wirksame Schranken eines Territoriums missachte. Amelungs Ansicht wird dabei durch die in dieser Arbeit dargestellten Erkenntnisse aus der sozialpsychologischen Forschung, namentlich zur Territorialität unterstützt.821 Ferner wurde oben bereits dargelegt, dass das Erfordernis einer mehr als nur symbolischen Schutzwehr dahingehend begründet sein könnte, dass durch die Überwindung physischer Barrieren ohne den Willen des Berechtigten der Täter erhöhte rechtsfeindliche Energie zeigt. Denn er missachtet nicht nur den sozialen Zuweisungsgehalt, zu dem Symbole nichts hinzufügen, sondern er setzt sich über ihm entgegengebrachte physisch wirkende Hindernisse hinweg. Damit spricht viel dafür, eine physische Wirkung zu fordern. Diese braucht dabei nicht erheblich zu sein. Sie muss lediglich ein Hindernis bereiten, dass ein Mindestmaß an physischer Energie zu seiner Überwindung erfordert. Fordert man mehr, so wird der Schutz derer, die höhere Schutzwehren nicht aufstellen können, der Schwachen also, unnötig eingeschränkt. Im Vergleich zu den Begründungsmodi, die zu § 202a angeführt werden, ist dabei beachtlich, dass auf eine Dokumentation durch den Hausfriedenswalter nicht abgestellt wird. Sie mag sich in der Bewehrung finden, diese ist jedoch weder notwendige noch hinreichende Bedingung. Im Gegenteil: Rein symbolische (d.h. rein dokumentierende) Wehren sollen ausdrücklich nicht ausreichend sein. Vergleicht man die Befriedung des § 123 Abs. 1 und die Zugangssicherung des § 202a Abs. 1, so finden sich wesentliche Parallelen.822 Beide Sicherungen umfassen nicht nötiger- aber möglicherweise komplette Datenbereiche und nicht nur einzelne konkrete und stets willentlich ausgewählte Sicherungsgüter. Der Nutzer überlegt bei Daten wie bei Grundstücken nicht stets, welchen Teil eines Bereiches er sichern möchte. Er umgrenzt einmal ein (Daten-)Areal, damit alles darin geschützt ist und Ungebetene draußen bleiben. Die faktische Vergleichbarkeit spricht dafür, dass die Begründungsmodi ähnliche sein könnten.
820 821 822
Amelung, ZStW 98 (1986), S. 355. Vgl. oben, S. 165 ff. und zur Territorialität, oben, S. 171. Vgl. ausführlicher oben S. 245 ff., dort Abschn. b).
362
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
3. Begründung der Regelbeispiele des § 243 Abs. 1 S. 2 Nr. 1 und Nr. 2 StGB Oben wurde bereits festgestellt, dass sich keine einheitliche Linie der Begründungen der besonderen Sicherungen aus § 243 Abs. 1 S. 2 Nr. 1 und 2 findet.823 Ein und derselbe Vertreter der Literatur vermag verschiedene Gründe für dasselbe Regelbeispiel (je nach Variante) zu finden.824 Das erhöhte Unrecht wird bei der Ziffer 1 (u. a. umschlossener Raum) von der Literatur teils in der gesteigerten „Friedensstörung“825, teils „in der Überwindung [. . .] der Befriedung“ gesehen.826 Teils wird auch eine Kombination von Gründen angenommen. Die Befriedung verdiene erhöhten Schutz, daneben wende der Täter größere kriminelle Energie auf und sei für die Allgemeinheit gefährlicher.827 Das Reichsgericht nahm ebenfalls mehrere Gründe an. Es führte zur ehem. Nr. 2 (heute Nr. 1 entsprechend) aus, dass der Besitzwille des Opfers betont werde (dafür solle die verkehrsübliche Sicherung reichen)828. Es sah die „schwere besondere Geflissentlichkeit und Hartnäckigkeit des Diebes“ und zugleich den „erhöhten Rechtsfrieden des Verwahrungsorts“ als Grund für die Straferhöhung an.829 Der BGH führt in ein und derselben Entscheidung ein Bündel von Begründungen an, die er nebeneinander stellt: Der Täter missachte den vom Gewahrsamsinhaber zum Ausdruck gebrachten Besitzwillen,830 daneben den Willen des Gesetzgebers, die vom umschlossenen Raum umfassten Gegenstände in erhöhtem Maße als schutzwürdig anzusehen831 und den erhöhten Rechtsfrieden des Ortes832. Zudem überwinde er die entgegenstehenden Hindernisse durch besondere Gewalt oder List und zeige dadurch eine stärkere verbrecherische Energie, die ihn gefährlicher und strafwürdiger erscheinen lasse.833 Später 823 Vgl. insgesamt zum Verständnis der Sicherung des § 243 oben, S. 253, dort Abschn. c). 824 Etwa LK-Ruß, § 243 Rn. 5 m. w. N. mit einleuchtender Aufschlüsselung. 825 MüKo-Schmitz, § 243 Rn. 9; LK-Ruß, § 243 Rn. 5; weitere Nachweise s. oben. 826 NK-Kindhäuser § 243 Rn. 8; weitere Nachweise s. oben. 827 LK-Ruß, § 243 Rn. 5 m. w. N. unter Berufung auf BGHSt 1, 158, 164 f.; RGSt 75, 43 ff.; 53, 262, 263. 828 RGSt 75, 43 ff. 829 RGSt 262, 263. 830 Dies entspricht der Behauptung der Dokumentation des besonderen Geheimhaltewillens bei § 202a. 831 Dies ist ein Schluss der jenseits der Grenze des Zirkulären steht; eine Aussage mit höchst beschränktem Gehalt: Als Begründung dafür, dass der Gesetzgeber den besonderen Schutz durch ein verschlossenes Verhältnis durch § 243 I 2 Nr. 2 besonders schützt, wird angeführt, dass er diesen Schutz als besonders schutzwürdig ansieht. 832 Entsprechend dem verbreiteten Verständnis des § 123.
C. Erhöhung des Handlungsunrechts
363
stützt er sich, ohne Nennung weiterer Gründe, auf den Hausfrieden, der verletzt werde.834 In faktischer Hinsicht gilt zum umschlossenen Raum das zu § 123 Abs. 1 Gesagte: Die Umschließung eines Raums und die Befriedung eines Grundstückes sowie die Zugangssicherung eines Datenbereichs erfassen eine Vielzahl unterschiedlicher Inhalte. Die Sicherung wird einmal angelegt und greift regelmäßig, ohne dass es jedes Mal eines gesonderten Entschlusses im Hinblick auf jeden konkreten Inhalt bedürfte. Aufgrund der faktischen Vergleichbarkeit spricht viel dafür, die Begründungen auch des § 243 Abs. 1 S. 2 Nr. 1, die, wie erkannt wurde, mit denen des § 123 Abs. 1 ohnehin verwandt sind, auch bei § 202a heran zu ziehen. Eine ähnliche Vielfalt von Begründungen wird bei der Nr. 2 der Norm angeboten. Das erhöhte Unrecht ergebe sich aus der erhöhten Energie, die der Täter entfalte, sowie daraus, dass er Gegenstände stehle, denen der Eigentümer besondere Wertschätzung entgegenbringe.835 Auch „in der Überwindung einer vom Berechtigten vorgesehenen besonderen Sicherung, durch welche die Wertschätzung der Sache angezeigt wird“ wird ein Grund gesehen.836 In faktischer Hinsicht gilt das zu § 202 Gesagte. Die Wegnahmesicherung wirkt spezifisch am einzelnen Gegenstand. Ein verschlossenes Haus wird gerade nicht als Wegnahmesicherung seines Inhaltes gesehen. Die Sicherung wird gezielt am konkreten Gegenstand angebracht für jedes Mal der Sicherung. Sie ist damit bspw. nicht mit der Passwortabfrage vergleichbar, denn diese greift automatisch und unspezifisch. Aufgrund der mangelnden Vergleichbarkeit spricht wenig für eine Übertragung der Begründungsmodi. 4. Zusammenfassung Zu den genannten Normen werden jeweils sehr unterschiedliche Gründe angeführt, die gleichberechtigt nebeneinander stehen können sollen. Darin besteht der erste Unterschied zu § 202a, bei dem die herrschende Meinung sich nahezu ausschließlich auf eine einzige Begründung stützen möchte: die der behaupteten Dokumentation des Geheimhaltebedürfnisses. Eine genuin und rein viktimodogmatische Begründung findet sich – wiederum im Unterschied zu § 202a – nicht. Eine Dokumentation eines beson833
Eine spezialpräventive Begründung, BGHSt 1, 158, 164 f. Der Begründung des § 123 äußerst nahe. BGHSt 15, 134. In dieser Entscheidung ging es allerdings alleine darum, ob ein in die Hauswand eingelassener Automat unter den Schutzbereich der Nr. 2 a. F. falle. 835 MüKo-Schmitz, § 243 Rn. 31. 836 NK-Kindhäuser § 243 Rn. 20. Dies sei besonders rücksichtslos: LK-Ruß, § 243 Rn. 18 m. w. N. 834
364
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
deren Sicherungsbedürfnisses wird allenfalls bei den §§ 202 (Abs. 1 und 2) und § 243 Abs. 1 S. 2 Nr. 2 (insb. beim verschlossenen Behältnis) angenommen. Sowohl die Viktimodogmatik als auch die Dokumentationstheorie wurden bereits ausgeschieden. Als weitere Argumente werden die besondere Gewalt oder List genannt, die eine besondere kriminelle Energie und besondere Gefährlichkeit zeigten. Faktisch der Zugangssicherung des § 202a vergleichbar sind nur die Befriedung des Grundstückes und der umschlossene Raum. Die Sicherungen des § 202 und des § 243 Abs. 1 S. 2 Nr. 2 sind dies nicht. Dies spricht dafür, die zur Befriedung und zum umschlossenen Raum angeführten Begründungen dahingehend zu untersuchen, ob sie auf die Zugangssicherung des § 202a übertragbar sind. Somit bleiben zwei Begründungsmodi: die kriminelle Energie und die besondere Gefährlichkeit. Fragt man, ob diese Modi § 202a zugrunde gelegt werden können, so ist zu untersuchen, ob faktisch beim Ausspähen gesicherter Daten von einem Vorliegen krimineller Energie und damit besonderer Tätergefährlichkeit ausgegangen werden kann. Zudem ist zu fragen, inwiefern diese Begriffe (insbesondere der der kriminellen Energie ist umstritten) normative Validität besitzen. Dies ist dann der Fall, wenn sie dogmatische Berechtigung finden, wenn sie also etwa im Rahmen des Unrechts, der Schuld oder von Präventionsgedanken eingeordnet werden können. Die Struktur des Begriffes der kriminellen Energie, dies weist Walter nach, der dem Begriff insgesamt kritisch gegenüber steht, geht von unterschiedlich hohen Hindernissen aus, die willentlich übersprungen werden.837 Insofern passt der Begriff auf § 202a. Im Rahmen von Tatschulderwägungen kommt ihm eine ganz erhebliche faktische Rolle zu.838 Ob dies dogmatisch gerechtfertigt ist, ist hoch umstritten.839 Ihm werden verschiedene Bedeutungen beigemessen, die unzulässig vermengt werden: Zu Recht ist darauf hingewiesen worden, dass Empirie und Strafrecht den Begriff aufgrund ihrer verschiedenen Erkenntnisinteressen unterschiedlich besetzen.840 Auch die Rechtsprechung misst dem Begriff etliche Schuld- und Strafzumessungserwägungen bei: „ ‚Meist am Ende einer ganzen Reihe einzelner Strafzumessungstatsachen wurde ein abschließendes Werturteil über die vom Täter bewiesene Sozialschädlichkeit und -gefährlichkeit, d.h. seine verbrecherische Energie, gefällt“.841 Der Begriff vermengt also präventive und 837 Walter, GS Kaufmann, S. 493, 498. H. Kaufmann, JZ 1962, 193, 196, spricht dagegen von einer Harmonie zwischen Strafrecht und Kriminologie. 838 Walter, GS Kaufmann, S. 493, 494, 496 m. w. N. 839 Umfassend Walter, GA 1985, S. 197 ff.; ders., GS Kaufmann, S. 493, 493 ff. 840 Walter, GS Kaufmann, S. 493, 493 ff. 841 W. Lorenz, Strafzumessung, S. 39 ff. in einer Untersuchung etlicher Gerichtsentscheidungen.
C. Erhöhung des Handlungsunrechts
365
Schuldgesichtspunkte.842 Es ist allerdings anerkanntermaßen unbedingt notwendig, Tatschuldmerkmale und präventive Überlegungen zu entflechten.843 Die Bemessung der Strafe nach präventiven Gesichtspunkten und ihre gleichzeitige Einschränkung nach der Schuld wäre unmöglich, wenn beide Begriffe nicht getrennt würden. Der Begriff der kriminellen Energie ist daher aufzuspalten beziehungsweise entweder dem Schuldbegriff oder der Prävention zuzuschlagen. Da nicht erkannt werden kann, in welcher Bedeutung der Begriff in den Begründungen der besonderen Sicherungen des § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1 angeführt wurde und nicht eine Bedeutung unterstellt oder unterschlagen werden soll, wo das Gegenteil intendiert war, soll der Begriff hier in seinen möglichen Bedeutungen untersucht werden. Wie oben festgestellt, wird der Begriff der kriminellen Energie teils als Schuldelement verstanden. Er kann dort mithin im Rahmen des Handlungsunrechts Einfluss finden. Weiter könnte er eine Vertiefung einer Rechtsgutsverletzung bedeuten. Und schließlich kann er als Umschreibung der Erhöhung der Gefährlichkeit des Täters verstanden werden. Diese Bedeutungen sind zu trennen und einzeln zu untersuchen. Der Begriff sieht sich dann nicht mehr dem Vorwurf ausgesetzt, zu Trennendes unzulässig zu vermengen. Soweit er präventive Bedeutung hat, fällt er mit den angeführten Begründungen zur Prävention und Gefährlichkeit zusammen.
II. Erhöhung des Handlungsunrechts Es ist Grundsatz des deutschen Strafrechts, die Tat des Täters ins Zentrum der Strafbarkeitsüberlegungen zu rücken. Deutsches Strafrecht ist Schuldstrafrecht.844 Nach des Täters Strafzumessungsschuld bemisst sich die Strafe. Die Schuld des Täters mag sich – insbesondere auf Ebene der Strafzumessungsschuld – durchaus auch von viktimologischen und anderen Gedanken beeinflussen lassen. Ausgang und Ziel jeder Überlegung hat aber immer die Schuld und damit der Täter zu sein. Andere Überlegungen dienen nur diesem Ziel und können keinen Selbstzweck verfolgen. 842
Walter, GS Kaufmann, S. 493, 505. Siehe aber Jakobs, Schuld und Prävention, S. 32 und ders., Strafrecht AT, Abschn. 17 Rn. 22, S. 484, die Auffassung vertretend, Schuld sei generalpräventiv zu bestimmen. 844 Vgl. für viele Streng, ZStW, 92 (1980), 637 f.; LK-Theune, § 46 Rn. 3 jew. m. w. N. Zum Verhältnis von Unrecht und Schuld schon Armin Kaufmann, Normentheorie, S. 48, dazu kritisch Hoyer, Armin Kaufmann, S. 82 ff. Zum Handlungsunwert im Rahmen der personalen Unrechtslehre vgl. Rudolphi, FS F.-C. Schroeder, S. 51 ff. 843
366
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Die Strafwürdigkeit richtet sich nach der Schuld des Täters,845 diesen Grundsatz spiegelt schon § 46 StGB wider. Er hat Verfassungsrang, abgeleitet aus dem Rechtsstaatsprinzip sowie aus dem Grundsatz, dass Strafe ohne Schuld gegen Art. 1 I, 2 I GG verstieße.846 Schuld ist ein die Strafe begründendes und begrenzendes Merkmal.847 Die Strafzumessungsschuld ist das gesamte, dem Täter aufgrund der Strafbegründungsschuld zugerechnete Unrecht. Strafzumessungsschuld umfasst also die Strafbegründungsschuld.848 Das Unrecht besteht aus Handlungs- und Erfolgsunrecht.849 Während das Erfolgsunrecht einen Verstoß gegen eine Bewertungsnorm bedeutet, wird das Handlungsunrecht als Verstoß gegen eine Bestimmungsnorm verstanden.850 Dies wiederum kann verstanden werden als Intentionsunwert851, der subjektiv zu sehen ist und seine objektive Ergänzung im Erfolgsunrecht findet. Es kann aber auch als Setzen eines Risikos verstanden werden, das nach der objektiven Zurechnungslehre zum Handlungsunrecht führt. Es ist hier weder Raum noch Aufgabe, die Lehre vom Handlungsunrecht dogmatisch vertieft zu untersuchen, jedenfalls nicht, wenn die verschiedenen Auffassungen zu gleichen Ergebnissen führen. Es soll ansonsten ausreichen und Aufgabe genug sein, zu zeigen, dass auf die herkömmlichen Begründungsmodi zurückgegriffen werden kann und nicht neue, vorher unbekannte für computerstrafrechtliche Bereiche konzipiert werden müssen oder sollen.852 So ist im Hinblick auf § 202a zu fragen, ob sich durch die 845
Vgl. Fn. 844, S. 365. BVerfGE 20, 323, 331; 25, 269, 285; vgl. schon Bruns, Strafzumessungsrecht, S. 317 mit Nachweisen. 847 BVerfGE 20, 323, 331; 50, 125, 133; 50, 205, 214; Armin Kaufmann, Strafrechtsaufgabe, S. 265; SK-Rudolphi, vor § 19 Rn. 1 m. w. N. 848 Statt vieler vgl. SK-Rudolphi, vor § 19 Rn. 1. 849 Engisch, FS DJT, S. 401, 413 ff.; Gallas, FS Bockelmann, S. 155 ff.; SKGünther, vor § 32 Rn. 20; Haas, Rechtsverletzung, Kap. 2 III 1, S. 83; Hardwig, JZ 1969, 459, 462; B. Heinrich, Strafrecht AT/1, Rn. 153 ff.; Jescheck/Weigend, Strafrecht AT, § 24 III 1, Krauß, ZStW 76 (1964), S. 19, 38 ff.; Kühl, Strafrecht AT, § 3 Rn. 4 f.; Maihofer, FS Rittler, S. 141, 147 ff.; Maurach/Zipf, Strafrecht AT/1, § 17 Rn. 1 ff.; Otto, Grundkurs Strafrecht AT, § 8 Rn. 217 ff.; Roxin, Strafrecht AT/1, § 10 G., Rn. 88 ff.; Rudolphi, FS Maurach, S. 51 ff.; Samson, FS Grünwald, S. 585 ff.; Seiler, FS Maurach, S. 75, 79; Wessels/Beulke, Strafrecht AT, Rn. 15; Wolter, Deutsch-Spanisches Symposium, S. 3, 8 ff.; ders. Strafwürdigkeit, S. 269, 295 f. Zum Zusammenhang von Erfolgs-, Handlungs- und Unrechtszusammenhang vgl. Hoyer, GA 2006, 298 ff. 850 Vgl. zu dieser Unterscheidung ausf. Jescheck/Weigend, Strafrecht AT, § 24 II mit etlichen Nachweisen. 851 Haas, Rechtsverletzung, Kap. 2 III 1, S. 83; Rudolphi, FS Maurach, S. 51 ff., 57 ff. Nicht zu verwechseln mit dem Gesinnungsunrecht, das nach B. Heinrich, Strafrecht AT/1, Rn. 153 und Wessels/Beulke, Strafrecht AT, Rn. 15, erst auf Ebene der Schuld eine Rolle spielt. 846
C. Erhöhung des Handlungsunrechts
367
Durchbrechung einer Sicherung ein erhöhtes Handlungsunrecht im Vergleich zum Eindringen ergibt, ohne dass eine Sicherung entgegensteht. Das Handlungsunrecht besteht in beiden Fällen darin, dass in einen fremden Zuordnungsbereich eingedrungen wird. Der Eingriff ist im Ergebnis für den Zuordnungsbereich jedenfalls zunächst derselbe. In Bezug auf den Intentionsunwert stellt sich der Täter, der eine Sicherung überwindet, nicht anders als der, der keine überwindet. Er stellt sich diesem gleich, dadurch, dass er die Wirkung der Sicherung aufhebt und dadurch die Sicherung negiert. Für ihn ist ein gesichertes Objekt wie für einen Unbedarfte(re)n ein ungesichertes. Das Intentionsunrecht kann also als gleichrangig angesehen werden. Die Intention ist das Eindringen unter Negierung der Sicherung. Es nivelliert also zielgerichtet jeden Unterschied. Dasselbe gilt im Ergebnis, wenn man das konkret gesetzte Risiko für ausschlaggebend hält: Das Risiko ist zunächst für eine gesicherte Sache abstrakt geringer. Dem Täter gegenüber ist das Intrusionsrisiko der Sache allerdings gleich. Der Täter setzt damit bei der Tatbegehung kein erhöhtes Risiko. Auch hier gilt: Er negiert die Sicherung und beseitigt damit jeden Unterschied. Das Risiko, das er setzt, ist für gesicherte wie ungesicherte Sachen gleich – beide sind ihm gleichermaßen ausgeliefert. Das durch ihn gesetzte Risiko für den fremden Zuordnungsbereich ist gleich, da die Sicherung ihm gegenüber nicht effektiv wirkt. Es ist zu schließen: Die Lehre des Handlungsunrechts bietet sinnvolle Ansätze zur Bestimmung der Unrechtshöhe. Für die hier entscheidende Frage jedoch lässt sich aus ihr die besondere Erhöhung des Unrechts des Eindringens in geschützte Bereiche im Unterschied zum Eindringen in ungeschützte Bereiche nicht begründen.
III. Vertiefung der Rechtsgutsverletzung wegen der Sicherung des Rechtsguts Zunächst könnte die Rechtsgutsverletzung an sich eine tiefere sein, wenn das Rechtsgut gesichert war. Eine tiefere Rechtsgutsverletzung bedeutet bei sonst gleichen weiteren Voraussetzungen tieferes Erfolgsunrecht. Sie kann Grund geben für eine rechtliche Unterscheidung mit dem Ergebnis, dass das eine Unrecht nicht zu bestrafen ist, das tiefere aber durchaus. Wendet man sich nach den Vorüberlegungen der gegenständlichen Norm zu, so liegt 852
Die Literatur scheint auch an ähnlicher Stelle, etwa § 123 Abs. 1, nicht den Anlass gesehen zu haben, anhand von Normen, die eine Tatbegehung von dem Missachten einer Hinderung abhängig machen, die Lehre vom Handlungsunrecht kritisch zu überprüfen, wie eine Durchsicht der einschlägigen Kommentar- und Aufsatzliteratur ergibt.
368
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
die Frage wie bei § 123: Ist das Unrecht, ein gesichertes Rechtsgut zu verletzen, gesteigert oder sind es andere Erwägungen, die zu einer Strafbarkeit führen? Die Frage soll für § 202a dahingehend beantwortet werden, dass die Rechtsgutsverletzung nicht vertieft ist, wenn das verletzte Rechtsgut gesichert war: Zunächst schafft die Sicherung das Rechtsgut nicht erst konstitutiv. Dies gilt für die Geheimsphäre wie für das Grundstück. Die Sicherung beeinflusst das Rechtsgut nicht. Die Geheimsphäre bleibt Geheimsphäre, ob sie gesichert ist oder nicht. Eingedrungen wird bei gesicherten wie ungesicherten Rechtsgütern mit demselben Ergebnis. Die Verletzung ist gesteigert, wenn das Rechtsgut von besonderem Wert ist (es sich etwa nicht nur um den allgemeinen Privatbereich, sondern den intimen handelt), wenn besonders erheblich, etwa tief, breit oder dauernd verletzt wird (etwa wenn nicht nur ausgespäht, sondern die Information verbreitet wird oder wenn sich in der Sphäre lange aufgehalten und sie umfassend ausspioniert wird). Die Überwindung der Sicherung ist keine eigene Rechtsgutsverletzung, die neben die der Verletzung des Gesicherten tritt, denn die Sicherung hat keinen Selbstzweck und ist daher nicht als eigenes Rechtsgut erfasst. Es besteht ein funktioneller Zusammenhang der Sicherung mit dem Primärrechtsgut. Dieser würde missachtet, erhöbe man die Sicherung in ihrer Funktion zum eigenen Rechtsgut. Die Bedeutung der Sicherung und damit des Rechtsgutes ließe sich in keiner Weise ohne Blick auf das Sicherungsobjekt beurteilen. Aus diesem Grunde gibt es keine Norm, die es verbietet, Schlösser fremder Häuser aufzuschließen und die Häuser so ungesichert zurück zu lassen. Auch ist es nicht verboten (außerhalb des Rahmens des § 303) fremde Zäune in ihrer Sicherungsfunktion herab zu setzen, etwa in dem an sie eine Leiter angelehnt wird. Erst das Eindringen ist rechtswidrig. Daran ändert sich nebenbei bemerkt auch durch die Neufassung des § 202a nichts. Dieser soll nun nicht nur das Verschaffen von Daten, sondern schon das Verschaffen eines Zugangs zu ihnen (Hacking) erfassen. Dies kann nun auf zwei Weisen gewertet werden: Die Sicherung soll ein eigenes Rechtsgut sein und ihr Brechen pönalisiert werden. Dies verkennt aber, dass die Sicherung nur Sinn als Sicherung eines Inhaltes hat. Sie ist bloßer Annex und keines eigenen Rechtsschutzes würdig. Richtig ist daher die Ansicht, ähnlich § 123, nicht erst das bereichernde Verschaffen von Inhalten auf fremde Kosten853, sondern schon das Eindringen in die fremde Privatund Geheimsphäre zu pönalisieren, die schließlich schon dadurch verletzt wird. 853 Informationen werden zwar in aller Regel nicht weggenommen. Die Gegenseite hat jedoch dahingehend Kosten, da der Wert eines Geheimnisses sich auch danach bemisst, wie wenige es kennen. Der Wert eines Geheimnisses wird daher mit jedem ungewollten Mitwisser geschmälert, wenn nicht gar vernichtet.
C. Erhöhung des Handlungsunrechts
369
Dem lässt sich nicht das Wortlautargument entgegenhalten, wenn der Gesetzgeber das Eindringen als solches zu erfassen gewollt hätte, so hätte er es wörtlich in die Norm aufgenommen. Die Begründung des Gesetzesentwurfs der Bundesregierung stützt zunächst diese Erwägung. Sie spricht davon, dass das Eindringen die formale Geheimsphäre beeinträchtigen würde.854 Mit der Überwindung der Zugangssicherung ist der Täter im Ergebnis eingedrungen, er befindet sich auf der anderen Seite der Zugangssicherung. Der Gesetzgeber hatte jedoch Grund, den von § 123 und § 243 Abs. 1 S. 2 Nr. 1 belegten Begriff des Eindringens nicht zu verwenden. Dort bedeutet er körperliches Eindringen. Eine Übertragung dieser Gedanken auf den „elektronischen“ § 202a wäre schwierig. Zudem ist das Verschaffen des Zugangs aus technischen Gründen leichter zu beweisen als das Sich-elektronisch-im-gesicherten-Raum-aufhalten oder das Sich-dort-Bewegen. Es bleibt daher dabei: Auch nach der Novelle wird nicht die Sicherung als solche zum Rechtsgut erhoben, sondern ist schützender Annex zum Rechtsgut. Festzuhalten ist also: Die Rechtsgutsverletzung bleibt gleich tief, ob das Rechtsgut eingangs gesichert war oder nicht. Sie rechtfertigt damit keine Unterscheidung.
IV. Prävention Es bleibt auf das Argument der erhöhten Gefährlichkeit des Täters einzugehen. Spezialpräventive Erwägungen als inhaltlich vorgelagerte Strafzumessungserwägungen könnten ergeben, dass das Unrecht quantitativ unter die Schwelle dessen sinkt, was strafwürdig ist. 1. Prävention als anerkannter Strafzweck Ausgangspunkt allen strafrechtlichen Denkens ist die Frage, wieso überhaupt zu strafen ist. Sie wird verschiedentlich beantwortet.855 Absoluten Theorien856, etwa nach Kant857 und Hegel858, die durch den deutschen 854
„Entwurf eines . . . Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (. . . StrÄndG) – BT-Drs. 16/3656“ Stand 30.11.06, S. 12 d. Anl. 1, nunmehr 41. StrÄndG. Das Gesetz dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität 23.11.2001 (SEV Nr. 185), in Kraft getreten am 1.7.2004, und der Umsetzung des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (ABl. EU Nr. L 69 S. 67 ff.). Siehe jeweils dazu mit weiteren Nachweisen Gröseling/Höfinger, MMR 2007, 549 ff. 855 s. die Überblicke etwa in Kühl, Sanktionensystem, S. 141 ff.; Roxin, Strafrecht AT/1, § 3. 856 Zur Begründung wie zur Kritik vgl. Jescheck/Weigend, Strafrecht AT, § 8 III und Roxin, Strafrecht AT/1, § 3 Rn. 1 ff.
370
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Idealismus859 getragen wurden, werden in jüngerer Zeit vermehrt die sogenannten relativen entgegen- oder zumindest zur Seite gestellt. Nachdem präventive Grundgedanken bereits in der Antike bekannt waren,860 erfuhren sie als Antwort auf die Abschreckungsgedanken der gemeinrechtlichen Strafpraxis des 17. und 18. Jahrhunderts eine Renaissance.861 Die reaktive Strafvergeltung soll also präventive Wirkung entfalten.862 Die Unterscheidung von Spezial- und Generalprävention wurde erst von Feuerbach in aller Schärfe vorgenommen.863 Die Generalprävention soll auf die Allgemeinheit generell einwirken. Sie soll durch Strafdrohung und Strafvollzug über die gesetzlichen Verbote belehren und die Bevölkerung abschrecken, indem sie ihr vor Augen führt, welche Folgen jedem Einzel857 Kant legt schon 1798 in der „Metaphysik der Sitten“ dar, dass Strafe ein kategorischer Imperativ sei, von dem man nicht lossprechen könne. Zu Kant s. vertiefend Kühl, Kant, S. 139 ff. s. weiter zur kantischen Lehre schon Naucke, Kant u. Feuerbach, S. 1 ff.; H. Mayer, FS Engisch, S. 54, 74 ff.; Altenhain, GS Keller, S. 1 ff. (Kant in die Nähe Feuerbachs rückend, also nicht als Vertreter einer absoluten Theorie sehend, kritisch dazu, Roxin, Strafrecht AT/1, § 3 Fn. 6). 858 Hegel (Grundlinien der Philosophie des Rechts, 1821) kommt zu ähnlichen Ergebnissen, er prägt die Formel von der Strafe als Negation der Negation des Rechts, die sich nicht direkt in den Grundlinien der Philosophie des Rechts, sondern erst im „Zusatz zu § 97“ findet. 859 Zu den Einflüssen der Philosophie für das Strafrecht, vgl. zusammenfassend Kühl, Rechtsphilosophie, insb. S. 26 ff. Weitere Unterstützung fanden diese Theorien von den christlichen Kirchen, Jescheck/Weigend, Strafrecht AT, § 8 III 3. 860 „[. . .] wer auf eine vernünftige Weise zu strafen gedenkt, der züchtigt nicht wegen des schon begangenen Unrechts – denn das Geschehene kann er ja doch nicht ungeschehen machen -, sondern um des zukünftigen willen, damit hinfort weder der Täter selbst wieder Unrecht begehe noch auch die anderen, welche sehen, wie er bestraft wird.“ so schon Platons Protagoras, S. 76. 861 Vgl. Jescheck/Weigend, Strafrecht AT, § 8 III 4. Die Forderung nach Humanität wurde von den Franzosen Montesquieu und Voltaire auch für den Bereich der Strafe erhoben, fand Unterstützung durch den Mailänder Beccaria („Dei delitti e delle pene“) und wurde in England von Bentham aufgegriffen und fortgeführt. In Deutschland konnte dieser Gedanke unter Friedrich dem Großen in die Kriminalpolitik von Stübel (vgl. Ahrendts, Stübels Straftheorie, S. 14 f.) Klein und v. Grolman (Vgl. zu diesem Cattaneo, Grolmans Humanismus, S. 278 ff. Umfassend: Röger, Karl Grolman, S. 1 ff.) in das Allgemeine Landrecht 1794 eingeführt werden (Eb. Schmidt, Kriminalpolitik Preußens, S. 42 ff.). Liszt griff diese Gedanken auf und lehrte eine nach Tätertypen unterschiedliche Behandlung der Straftäter (1882), die er in der von ihm mitgegründeten „Zeitschrift für die gesamte Strafrechtswissenschaft“ (ZStW) niederlegte, Liszt, ZStW 3 (1883), S. 1 ff. s. zur historischen Entwicklung im Einzelnen m. w. N. Jescheck/Weigend, Strafrecht AT, § 8 IV 1 und Roxin, Strafrecht AT/1, § 3 Rn. 1 ff. 862 Siehe zum Verhältnis von Tatvergeltung und (dadurch) Verhaltensverbot weitergehend F.-C. Schroeder, FS Otto, S. 165. 863 Jescheck/Weigend, Strafrecht AT, § 8 IV 2 m. w. N.; Roxin, Strafrecht AT/1, § 3, Rn. 22 ff.
C. Erhöhung des Handlungsunrechts
371
nen drohen, falls die Normen überschritten werden (negative Generalprävention). Zugleich soll sie den Bürger versichern, dass Gesetze eingehalten und durchgesetzt werden (positive Generalprävention). Die Spezialprävention ist anerkannter Strafzweck und hat in § 46 Abs. 1 S. 2 ihren Niederschlag gefunden.864 Ihre Aufgabe ist, den Täter durch Einwirkung auf ihn vor weiteren Straftaten abzuhalten. Daraus folgt unmittelbar, dass auf den gefährlicheren Täter stärker einzuwirken ist als auf den ungefährlicheren. Es bedarf erhöhter Anstrengungen und einer stärkeren Gegenmotivation, den Gefährlicheren von einer weiteren Tatbegehung abzuhalten als den Ungefährlicheren.865 In ihrer Reinform werden oben genannte Theorien heute kaum noch vertreten. Die Theorien werden dagegen kombiniert, wobei die Gewichtung der Einzelaspekte naturgemäß unterschiedlich bleibt, weshalb etwa Roxin präventive und vergeltende Vereinigungstheorien unterscheidet866 und zugleich vehement dafür eintritt, dass präventive Überlegungen Ausgangspunkt jeder heute vertretbaren Straftheorie sein müssten.867 Insbesondere Spezial- und Generalpräventive Zwecke schließen sich dabei nicht aus,868 so dass sie nebeneinander verfolgt werden können.869 Dabei sollen sie mit dem Schuldausgleich dialektisch in ein ausgewogenes Verhältnis zueinander gebracht werden, was allerdings nur am Einzelfall möglich ist.870 Prävention ist anerkannter Strafzweck, zugleich ist sie damit eine Begründung des Strafrechts und seiner Normen.
864
H.-L. Günther, JZ 1989, 1025, 1027. Dabei dürfen sie nicht zum Objekt staatlichen Handelns werden, dies wäre ein Verstoß gegen die Menschenwürde, die nach heute selbstverständlicher Ansicht auch dem Straftäter zuteil wird. Der Staat hat keine Befugnis, seine Bürger „zu bessern“, wie das BVerfG betont, zugleich besteht aber ein Anspruch auf Resozialisierung, vgl. BVerfGE 22, 132; 39, 1, 57; 28, 268, 291; 32, 98, 109; 45, 187, 253 f.). Die Strafe ist durch die Schuld begrenzt, so dass keine endlose Resozialisierung möglich ist, zugleich ist die Strafe nicht nur Schuldausgleich, sondern kann nur gerechtfertigt sein, wenn ihr spezialpräventive Momente zugrunde liegen, BGH 24, 40, 42. 866 Roxin, Strafrecht AT/1, § 3 IV und V. 867 Roxin, Strafrecht AT/1, § 3 V. 868 Roxin, Strafrecht AT/1, § 3 V. Zu möglichen Konflikten, vgl. allerdings ebenfalls Roxin, a. a. O., § 3 V Rn. 41. 869 Dagegen ist das Verhältnis von Reaktion und Prävention durchaus problematisch, siehe dazu näher Hassemer, FS F.-C. Schroeder, S. 51, 54 ff. 870 Jescheck/Weigend, Strafrecht AT, § 8 V. Vgl. auch Roxin, Strafrecht AT/1, § 3 Rn. 41. Zum Verhältnis von Schuld und Prävention s. vertiefend Hoyer, Armin Kaufmann, S. 90 ff. 865
372
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
2. Bruch der Sicherung als Beweis der besonderen Gefährlichkeit des Täters Das hinter § 202a stehende Persönlichkeitsrecht, dessen Ausschnitt das Rechtsgut der persönlichen Geheimsphäre und des Privaten ist, ist mehr oder minder vage umrissen.871 Eine genaue Umgrenzung kann jedoch nicht gezogen werden. Zivil- und öffentlichrechtliche Erkenntnisse ergeben keine präzise Orientierungslinie. Dennoch lässt sich auf einem, wenn auch nicht klar konturierten Grund aufbauen. Die Prävention wendet sich gegen die Gefahr von Rechtsverletzungen und damit gegen den gefährlichen Täter. Täter, die in fremde, ungesicherte Bereiche eindringen und diese missachten, sind gefährlicher als Bürger, die dies unterlassen. Ihre Gefährlichkeit ist graduell gesteigert oder kann erstmals erkannt werden. Die Gefährlichkeit der Täter, die aber gar in gesicherte Bereiche eindringen, ist wiederum zu den Vorgenannten gesteigert. Seine Gefährlichkeit beweist der Täter in einfacher Weise, wenn er fremde Rechtsgüter missachtet. Er beweist sie in besonderer und erheblich gesteigerter Weise, wenn er fremde Rechtsgüter trotz deren Sicherung missachtet. Er zeigt, dass er in besonderem Maße willens ist, sogar die gesicherten Güter zu verletzen, auf die Sicherung keine Rücksicht nimmt und bereit ist, besonderen Aufwand zu deren Schädigung zu betreiben. Er zeigt zugleich in objektiver Hinsicht, dass er in besonderer Weise fähig ist, sogar technisch gesicherte elektronisch umfasste Rechtsgüter zu verletzen. Dabei kommt hier der Befähigung, in gesicherte Bereiche einzudringen, eine besondere Qualität zu: So sehr ein Vergleich hinken muss, sind die Fähigkeiten, Computerspionage in geschützte Datenbereiche hinein zu betreiben aufgrund der Komplexität der Materie ungleich schwerer zu erwerben, als die Fähigkeiten, ein Fahrradschloss mit dem Bolzenschneider zu durchtrennen, einen Zaun zu übersteigen oder einen Briefumschlag aufzureißen. Hier kann mit Mitteln, die jedem zur Verfügung stehen, eine Vielzahl gängiger Sicherungen überwunden werden. Derjenige, der Computerspionage in gesicherten Bereichen betreibt, muss aber Kenntnisse haben, die über das durchschnittliche Maß des Bürgers erheblich hinausgehen.872 Damit ist dessen Gefährlichkeit objektiv besonders erhöht. Diese beiden Elemente, gesteigerter Wille und gesteigerte Fähigkeit, ergeben eine gesteigerte Gefähr871
Siehe dazu oben, Fn. 771, S. 349. Zwar gibt es „Hackingtools“, also „Spionagewerkzeuge“, im Internet zum Herunterladen, deren Einsatz „relativ einfach ist“. Doch der durchschnittliche Bürger wird auch mit deren Verwendung überfordert sein. Sog. „Script-Kids“ (vgl. oben, S. 105) bedienen sich solcher Werkzeuge, doch auch sie benötigen erheblich mehr Kenntnisse als die, die man zum gewaltsamen Brechen eines Fahrradschlosses oder dem Übersteigen eines Zauns benötigt. 872
C. Erhöhung des Handlungsunrechts
373
lichkeit für das bedrohte Rechtsgut. Wer durch die Verletzung des persönlichen, in Daten niedergeschlagenen und gesicherten Geheimbereichs zeigt, dass er über diesen besonderen Willen und diese besondere Fähigkeit verfügt, der hat gezeigt, dass er erhöht gefährlich ist und entsprechend erhöhter spezialpräventiver Gegenmotivation bedarf. Gründe für die Bestrafung dieses Verhaltens müssen zunächst in den Gründen der Strafe selbst gesucht werden. Alle weiteren – etwa viktimologische – Erwägungen dürfen nur Nebenerwägungen sein. Nach den spezialpräventiven Erwägungen ist, wie dargelegt, letztlich auf die Gefährlichkeit des Täters abzustellen, die er in der begangenen Tat gezeigt hat. Das technische Hindernis bereitet für ihn die Schwelle, bei deren Überschreitung er zugleich die strafrechtliche Schwelle überschreitet. Denn er erfüllt damit das Kriterium der Gefährlichkeit. Er zeigt, dass er gesteigert fähig und willens ist, ihm rechtmäßig zum Schutz von Rechtsgütern entgegengesetzte Hindernisse zu missachten. Dieser Wille und diese Fähigkeit können dabei zugleich als besondere kriminelle Energie bezeichnet werden. Energie zeigt der Täter durch das Erbringen besonderen Zeit- oder sonstigen Aufwandes, durch List oder Geschick. Diese Energie wird dadurch eine kriminelle, dass sie sich gegen ein fremdes geschütztes Rechtsgut richtet. Jeder Aspekt alleine führte nicht zu besonderer Strafwürdigkeit. Allein der Aufwand von Energie reichte nicht. Allein die kriminelle Gesinnung ebenfalls nicht. Dies wäre die Hinwendung zum Gesinnungsstrafrecht. Erst durch das Überschreiten einer tatsächlich ihm entgegengesetzten Schwelle zeigt der Täter, dass er eine gesteigerte Gefährlichkeit denen gegenüber hat, die das fremde Rechtsgut der Privatsphäre ohne Überschreitung einer Schwelle verletzen. Dem Täter gegenüber, der sich ungesicherte Daten verschafft, reicht es zur Prävention regelmäßig zunächst aus, die Privatsphäre zu sichern. Nach dem ultima-ratio-Gedanken – und in dieser Form mag er greifen – liegt der technische Schutz näher, greift spezifischer und wirkungsvoller. Die Sicherung mag ausreichen, diesen Täter abzuhalten, da er sich möglicherweise entweder technisch objektiv nicht in der Lage sieht, was besonders bei Computerdelikten nicht fern liegt, oder nicht willens ist, in gesicherte Rechtsgüter einzudringen. Beweist dieser Täter durch ein Eindringen in ein gesichertes Rechtsgut, dass er, entgegen der gehegten Erwartung, doch auch für gesicherte Daten eine Bedrohung darstellt, so ist freilich auch er zu bestrafen. Damit zeigt sich, dass das Ausspähen unter Überwindung der besonderen Sicherung die Kriterien der Spezialprävention erfüllt, da die Gefährlichkeit und damit die Strafwürdigkeit im Vergleich zum Ausspähen ungesicherter Daten erheblich erhöht ist. Zugleich stellt das Erfordernis der besonderen Sicherung fest, dass nur Datenbereiche, auf die sich zumindest eine formale Geheimsphäre erstreckt, erfasst werden. Am Rande bemerkt
374
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
sei, dass, wenn auch das Rechtsgut der Privat- und Geheimsphäre vage bleibt, so doch jedenfalls bei Überschreiten dieser Gefährlichkeits- und zugleich Erheblichkeitsschwelle sicher gestellt ist, dass oberhalb dieser Schwelle kein Bereich liegt, der nicht zum Rechtsgut gezählt werden kann. Mit anderen Worten: Die Überschreitung der Schwelle bedeutet nicht nur eine besondere Gefährlichkeit des Täters, sondern zugleich, dass hier jedenfalls eine Rechtsgutsverletzung vorliegt. Diese erweist sich zugleich als gefährlich. Das Erfordernis der besonderen Sicherung hat also doppelte, kombinierbare Funktion. Es stellt sicher, dass die Tat eine Rechtsgutsverletzung bedeutet und zugleich eine Strafwürdigkeitsschwelle erreicht, die eine Bestrafung rechtfertigt. Es ist daher zu schließen: Wer zeigt, dass er fähig und willens ist, sich über (auch) ihm rechtmäßig zum Schutz von anerkannten Rechtsgütern entgegengesetzte Hindernisse hinwegzusetzen und diese dadurch zu missachten, der ist wesentlich gefährlicher als derjenige, der in keine oder in technisch ungesicherte Rechtsgüter eingreift. 3. Vorverlagerung präventiver Strafzumessungserwägungen auf Tatbestandsebene Spezialpräventive wie generalpräventive Erwägungen werden in erster Linie auf Ebene der Strafzumessung eingebracht – wenngleich § 46 Abs. 1 S. 1 sie nicht einbezieht.873 Die hier aufgeworfene Frage stellt sich dagegen formal auf Strafbegründungsebene. Erwägungen der Straftheorie und damit des Zwecks der Strafe können nicht nur das „Wieviel“ der Strafe beantworten, sondern auch das „Ob“. Mit anderen Worten: Die Strafzumessung kann, sozusagen vorweggenommen, dahin führen, dass die Strafhöhe für bestimmte Fälle des Unrechts auf „Null“ reduziert wird und damit keine Strafe begründet ist. Dabei kann der Gesetzgeber antizipiert festlegen, dass er bestimmte Fälle für generell nicht strafwürdig hält, da sich in der Tat keine strafwürdige Gefährlichkeit des Täters zeigen kann.874 Diese Erwägung kann er zugleich kodifizieren und diese Fälle konsequent von der Strafandrohung ausschließen. 873 Zum Verhältnis von Präventionsaspekten und dem über § 46 Abs. 1 S. 1 zu ermittelnden Tatunrecht sowie von § 46 Abs. 1 und Abs. 2 vgl. H.-L.Günther, FS Göppinger, S. 453, 456 ff. 874 Vgl. zu Fragen des Zusammenhangs von Straftheorie und Strafzumessungstheorie ausführlich Hörnle, Strafzumessung, S. 125 f. Zu einer Systematisierung der Strafzumessung vgl. H.-L. Günther, JZ 1989, 1025 ff., insb. auch zur Unterschreitung der tatschuldangemessenen Strafe aus Präventionsgründen, a. a. O., S. 1027, vgl. auch ders., FS Göppinger, S. 453 ff.
C. Erhöhung des Handlungsunrechts
375
Diese Festlegung ist eine antizipierte, generalisierte und spezialpräventive. Sie steht durch die Generalisierung an der Grenze der Spezial- zur Generalprävention. Die Überlegung wird nicht für den einzelnen speziellen Täter angestrengt, insofern könnte man behaupten, es handele sich streng genommen nicht um Spezialprävention. Die Festlegung ist jedoch spezialpräventiv, da sie sich an den einzelnen, wenn auch noch unbekannten und nur potenziellen Täter richtet. Sie nimmt Überlegungen vorweg, die nach begangener Tat rein spezialpräventive wären. Die zeitliche Vorverlagerung macht sie noch nicht zu Generalpräventiven. Diese Überlegungen können zur Begründung einer Strafnorm herangezogen werden und müssen nicht zwingend zeitlich nach der Tat und erst auf Ebene der Strafzumessung angestellt werden. Die Fragen nach der Begründung der Straffolge sind genauso für die Frage nach der Voraussetzung der Strafe relevant. Auslegung und Begründung der Tat sind ebenso wenig zu trennen wie Auslegung und Straftatfolgen. „Straftat und Straftatfolgen lassen sich nicht voneinander isolieren“, so Günther, weiter feststellend, dass die Interdependenz von Straftatvoraussetzungen und Straftatfolgen für Strafgesetzgebung wie Strafrechtsfindung gilt875 und Verbrechensvoraussetzungen und Verbrechensfolgen eine Einheit bilden.876 Ein folgenorientiertes Strafrechtsverständnis verknüpft Rechtsfolge und Tatbestandsbegründung.877 Günther ist zuzustimmen, dass die Frage nach den Zwecken der Tatbestandsbegründung mit der Frage nach der Rechtsfolge im Sinne eines hermeneutischen Verstehensprozesses eng verwoben ist.878 Statt den feststehenden Begriff des hermeneutischen Zirkels zu verwenden, kann bildhaft auch von einer hermeneutischen Spirale, die sich dem Punkt des Erkennens nähert, gesprochen werden.879 Es geht mit anderen Worten darum, Tatbestand und Rechtsfolge in Passung zu bringen. Hierfür hat Engisch das Bild des „Hin- und Herwanderns des Blickes“ vom Lebenssachverhalt zur Rechtsnorm geprägt.880 Dieses Bild 875 H.-L. Günther, Strafrechtswidrigkeit, S. 164; ders., Rechtfertigung, S. 363, 374. Vgl. auch Noll, ZStW, 77 (1965), S. 1, 2. 876 H.-L. Günther, Rechtfertigung, S. 363, 374. 877 H.-L. Günther, Strafrechtswidrigkeit, S. 164; Noll, ZStW, 77 (1965), S. 1, 2. 878 H.-L. Günther, Strafrechtswidrigkeit, S. 164. 879 Siehe zur Hermeneutik und ihrer Bedeutung für die Rechtswissenschaft grundlegend Lege: Pragmatismus und Jurisprudenz, S. 320 (zu Gadamer), 465 ff., 497 f., 501 ff.; Mennicken, Gesetzesauslegung, S. 91 ff.; Arth. Kaufmann, FS Gallas, S. 7, 17 ff.; ders., FS Hassemer, S. 13 ff. Vgl. aus der jüngeren Philosophie in erster Linie Heidegger, Sein und Zeit, §§ 32, 63, der den hermeneutischen Zirkel „ontologisch“ begründen will sowie Gadamer, Wahrheit und Methode, (insb. S. 2, 103 ff., 270 ff., 492 ff.). Vgl. ferner aus jüngerer Zeit Albert, Hermeneutik, S. 1 ff. 880 Engisch, Gesetzesanwendung, S. 15. Dieses Bild wollte Engisch weder ausdrücklich strapaziert wissen, noch analysierte er es, vgl. ders., Juristisches Denken, S. 74, Fn. 4. Ein ähnliches Bild zeichnet Scheuerle, der von einer „wechselseitigen
376
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
wurde, etwa von Alexy881, Bydlinski882, Hruschka883, Jescheck und Weigend884 sowie Larenz885 neben etlichen anderen886 aufgegriffen. Dabei wird der Blick auf das eine nach dem Blick auf das andere jeweils präzisiert und so insgesamt Näherung zu den Teilen und zwischen ihnen hergestellt.887 Wer den Tatbestand anhand der Rechtsfolge bestimmen möchte, der muss auch den Tatbestand anhand der Rechtsfolgenbegründung begründen. Ein funktionales Rechtsdenken konstruiert völlig zulässigerweise vom Ergebnis her oder umschreibt mit anderen Worten „die Voraussetzungen von Rechtsfolgen als abhängig von der Bedeutung dieser Rechtsfolgen“.888 Die Überlegungen auf der Rechtsfolgenebene, der Strafzumessung, sind also nicht im Grunde von denen auf Tatbegründungsebene losgelöst. Damit ist der Weg eröffnet, Überlegungen zur Strafzumessung, namentlich die der Straftheorien, auch auf Tatbegründungsebene anzustellen. Eine letztgültige Antwort, ab welcher Schwelle einer Rechtsverletzung zu pönalisieren ist, kann nicht gegeben werden.889 Auf der Suche nach dem Letztkriterium bieten dabei weder die Verfassung (und damit das Recht, wie Lagodny aufzeigt), noch die Philosophie eine Antwort. Um mit Popper zu sprechen: „Ich sehe keinen Grund, der für die Richtigkeit der Lehre von der Existenz letzter Erklärungsgründe sprechen würde, aber viele, die gegen sie sprechen.“890 So ist es auch hier: Ein letzter Grund für die Grenze des Strafrechts ist schwer, wenn nicht gar nicht zu finden. Die Suche nach den letzten Strafwürdigkeitsgründen oder dem exakten Rechtsgutsbegriff hat nicht zu handhabbaren und präzisen Antworten geführt.891 Dies bedeutet aber nicht, dass eine Schwelle unbegründet sein darf. Sie ist zu fundieren Durchdringung zwischen den Akten der Tatsachenfeststellung und denen der rechtlichen Qualifizierung“ spricht, vgl. ders., Rechtsanwendung, S. 23. 881 Alexy, Argumentation, S. 281 f. 882 Bydlinski, Methodenlehre, S. 421 ff. 883 Hruschka, Rechtsfall, S. 55. 884 Jescheck/Weigend, Strafrecht AT, S. 153. 885 Larenz, Methodenlehre, S. 281. 886 Etwa Henke, Die Tatfrage, S. 139; Kriele, Rechtsgewinnung, S. 161. Weitere Nachweise bei Maschke, Engisch, S. 255 ff. Ähnlich Scheuerle, Rechtsanwendung, S. 23. 887 Kritisch dagegen Esser, Methodenwahl, S. 79, der vertritt, bei einer solchen „Wanderung ohne Ende“ könne nichts „herauskommen“. Dies sei erst vermeidbar, wenn es vermocht sei „im Vorwegnehmen eines Wertungshintergrundes die Kriterien“ anzugeben, „die das Einpendeln auf eine bestimmte Subsumtion erlauben“. 888 H.-L. Günther, Strafrechtswidrigkeit, S. 164; Noll, ZStW, 77 (1965), S. 1, 2. 889 Vgl. Lagodny, Grundrechtsschranken, S. 1 ff. 890 Popper, Logik der Forschung, S. 386. 891 s. zum Rechtsgutsbegriff schon eingangs der Arbeit, zu Strafwürdigkeitsüberlegungen, s. unten.
C. Erhöhung des Handlungsunrechts
377
und darf weder in der Begründung noch in der Höhe beliebig sein. Die Spezialprävention bietet mit dem Blick auf die Gefährlichkeit ein klares und handhabbares Kriterium und ist damit allgemeinen Strafwürdigkeitserwägungen überlegen, die entweder keine Innovation enthalten oder unbestimmt bleiben.892 4. Systematische Passung der Begründung Versteht man die besondere Sicherung als spezialpräventiv begründet, so ist dieses Verständnis im Gegensatz zu den anderen oben behandelten Erklärungsmodi systematisch mit anderen Begründungen besonderer Sicherungen des StGB stimmig. Weiter besteht so kein Widerspruch zu § 243 Abs. 1 S. 2 Nr. 6, der hilflose Opfer besonders schützt. Ein anderen Normen nahes Verständnis der Begründung der Tatbestandsprägung hat Auswirkungen auf das Verständnis des durch den Tatbestand geprägten Rechtsguts. 892 Der Begriff der Strafwürdigkeit ist weit verbreitet. Er findet im Hinblick auf konkrete Delikte und Begehungsformen oft Anwendung (vgl. Alwart, Strafwürdiges Versuchen, S. 21 ff.; Engisch, FS H. Mayer, S. 399 ff., zur Unfruchtbarmachung; Grassberger, FS E. Schmidt, S. 333 ff., zu Sittlichkeitsdelikten; W. Heinz, Strafwürdigkeit, S. 1 ff., zur Homosexualität; Karsten, Strafwürdigkeit, S. 1 ff., zur Fahrlässigkeit; Lekschas, Strafwürdigkeit, S. 1 ff., zur Fahrlässigkeit; Salewski, Strafwürdigkeit, S. 1 ff., zur Sachbeschädigung; Wolski, Soziale Adäquanz, S. 29 ff.; Zipf, Strafwürdigkeit, S. 1 ff. (zu § 42 Ö-StGB), auf sittlich-philosophischer Ebene: zu Kants Verbrechens- und Strafphilosophie: Schild, FS Wolff, S. 429). Dabei wird er teils als Zusammenfassung von bekannten Strafvoraussetzungen wie Tatbestandsverletzung, Rechtswidrigkeit und Schuld verstanden und bietet so keinen neuen Erkenntnisgewinn, vgl. jüngst Langer, FS Otto, S. 107, 110. Teils wird er als eigenes Merkmal verstanden (Schmidhäuser, Strafrecht AT Lehrbuch, 2/14; vgl. weiter ders. Strafrecht AT Studienbuch, 1/14; Schünemann, ZSchwR Bd. 97, S. 131, 147 ff.; Langer, Das Sonderverbrechen, S. 327 ff.; vgl. auch ders., GA 1976, S. 193 ff. aber auch ders., FS Otto, S. 107 ff.; Sax, Strafrechtspflege, S. 909, 923 ff.; ders., JZ 1976, 80, 84 f. Vgl. zusammenfassend Altpeter, Strafwürdigkeit, S. 49 ff.). In jedem Falle scheint es leichter zu sein, negativ nicht Strafwürdiges auszuscheiden, als den Begriff positiv zu fassen (Wolski, Soziale Adäquanz, S. 29 ff.; Rüping, FS MüllerDietz S. 717 ff.). Eine positive handhabbare Definition findet sich kaum (vgl. die Versuche von Altpeter, Strafwürdigkeit; S. 24 ff.; Andrade, Coimbra-Symposium, S. 121 ff.; Jescheck/Weigend, Strafrecht AT, § 7 I. 1.c. Vgl weiter: Luzón Pena, Coimbra-Symposium, S. 97 ff.; Romano, Coimbra-Symposium, S. 107 ff.; Rüping, FS Müller-Dietz, S. 717 ff.; Schmidhäuser, Strafrecht AT Lehrbuch, 2/14; ders., Strafrecht AT Studienbuch, 1/14; Schünemann, ZSchwR Bd. 97, S. 131, 148; Langer, Das Sonderverbrechen, S. 327 ff.; vgl. auch ders., GA 1976, S. 193 ff.; Sax, Strafrechtspflege, S. 909, 923 ff.; ders., JZ 1976, S. 80, 84 f.). In einer Funktion als negative Kontrollinstanz (Bloy, Beteiligungsform, S. 40 ff.; H.-L. Günther, Rechtfertigung, S. 363, 374 Rn. 25; Sauer, Strafrechtslehre, S. 19 ff.; Otto, GS Schröder, S. 53, 61 ff.; Volk, ZStW 97 (1985), S. 871, 872 ff.) ist der Begriff für die hiesigen Fragen nicht hilfreich.
378
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
a) Begründungskonkordanz von Bereichssicherungen Namentlich bei § 123 Abs. 1 und § 243 Abs. 1 S. 2 Nr. 1 wird als Strafgrund beziehungsweise als Grund für erhöhte Strafandrohung angeführt, dass die besondere Gewalt oder List eine besondere kriminelle Energie und besondere Gefährlichkeit zeige. Diese Sicherungen umfassen ganze Bereiche und nicht spezifische, einzelne Gegenstände, wie Sicherungen gegen Wegnahme, verschlossene Behältnisse und Briefumschläge (§ 202 und § 243 Abs. 1 S. 2 Nr. 2). Zu § 243 Abs. 1 S. 2 Nr. 1, um nur exemplarisch zu wiederholen, wird geäußert: „Der Einbruch und das Einsteigen verlangen eine höhere Strafsanktion, weil die stärkere Befriedung besonderen Schutz verdient (vgl. BGHSt 15, 134; BayObLG NJW 1973, 1205), weil der Täter größere verbrecherische Energie aufwendet und weil er deswegen für die Allgemeinheit gefährlich ist (BGHSt 1, 158, 164 f.; RGSt 75, 42, 44; 53, 262, 263)“ so Ruß893. Beim Nachschlüsseldiebstahl komme List hinzu,894 beim Verborgenhalten die List sowie die größere Gefährlichkeit895 (siehe im Einzelnen zu den Begründungsmodi in diesem Teil der Arbeit, B. II. 4., S. 237 bis 261). Es ist erstaunlich, dass diese Modi nicht auf § 202a übertragen wurden. Es handelt sich bei der hier vertretenen Ansicht zwar um eine, die zu der allgemeinen Ansicht im Widerspruch steht. Doch handelt es sich nicht um eine Neuerfindung von Gründen. Das Ergebnis ist recht einfach. Bezüglich anderer technischer Sicherungen bekannte Straf(erhöhungs)gründe werden auch bei dieser technischen Sicherung zugrunde gelegt. b) Widerspruchsfreiheit mit dem Nichterfordernis der Sicherung in § 202b und § 244 Abs. 1 Nr. 3 StGB (1) § 202b StGB Der neuerdings eingefügte § 202b könnte diesen Erwägungen widersprechen. Er regelt ein dem § 202a denkbar verwandtes Vorgehen: das Ausspähen von übermittelten Daten. Allerdings verzichtet er auf eine Sicherung dieser Daten, weicht also erheblich von § 202a ab. Die rechtspolitischen Gründe mögen viel banalere sein, als dass sie dogmatisch besonders betont werden sollten. Es ist zu befürchten, dass der Gesetzgeber hier weniger Dogmatik betreiben möchte als einerseits europarechtlichen Beschlüssen zu folgen896 und andererseits die Verschlüsselung nicht rechtlich zu unterstüt893 894 895 896
LK-Ruß, § 243 Rn. 5. Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 33 Rn. 85. LK-Ruß, § 243 Rn. 5. Siehe S. 26.
C. Erhöhung des Handlungsunrechts
379
zen.897 Dem Vorgehen kann dann nicht größte dogmatische Bedeutung zugemessen werden, zu vernachlässigen ist es aber auch nicht. Es drängt sich die Frage auf, wieso der Gesetzgeber zwei so ähnliche Fälle, die vormals einheitlich von § 202a erfasst waren, im hier entscheidenden Punkte des Sicherungserfordernisses so unterschiedlich regelt. Es wurde dargelegt, dass dieser Bruch jedenfalls die Kritik an der Dokumentationstheorie und die an der Viktimodogmatik sekundiert. Anders steht es aber um die hier vertretene Theorie, es gehe um die Gefährlichkeit des Täters. Die Reform unterstützt weder diese These, noch widerspricht sie ihr. An die Stelle der Forderung der Überwindung der Zugangssicherung, durch die der Täter sein besonderes kriminelles Geschick und seine Energie beweisen kann, tritt die Forderung, die Daten müssten mit technischen Mitteln abgefangen sein. Das Abfangen von Daten aus einer nichtöffentlichen Datenübermittlung oder einer Abstrahlung bedeutet, so sehr ein pauschaler Vergleich hinken mag, einen vergleichbaren, teils größeren, teils geringeren Aufwand. Nimmt man also als Kriterium den Widerstand, dem sich der Täter ausgesetzt sieht, verbunden mit seinem Wissen, diesen nicht überwinden zu dürfen, so setzt sich die Einführung des § 202b nicht zur hier vertretenen Ansicht in Widerspruch. (2) § 244 Abs. 1 Nr. 3 StGB Wie bereits gezeigt wurde, kann aus guten Gründen bei § 244 Abs. 1 Nr. 3 StGB auf das Erfodernis der besonderen Sicherung verzichtet werden, obwohl die Norm ein ähnliches Ziel anstrebt: die besondere Sicherung der Privatsphäre. Bei § 244 Abs. 1 Nr. 3 steht zu dieser Zielerreichung durch Eingrenzung und Heraushebung mittels des Wohnungsbegriffs ein Weg offen, der sich bei Daten nicht bietet.898 c) Kollisionsfreiheit mit § 243 Abs. 1 S. 2 Nr. 6 StGB Die hiesige Konzeption stimmt dabei, im Gegensatz zu der viktimodogmatischen sowie der Dokumentationstheorie, auch mit dem sonstigen Gefüge des StGB überein. Die vorgenannten Theorien können die Existenz des § 243 Abs. 1 S. 2 Nr. 6 nicht erklären, der das Opfer, das weder ein besonderes Interesse an seinem Eigentum dokumentiert noch sich selbst hilft, gesteigert schützt: Besonders der – von der herrschenden Meinung aber ausdrücklich auch in den besonderen Schutzbereich einbezogene899 – 897
Siehe S. 314. Siehe bereits S. 261, Kap. 5. 899 BGH NStZ-RR 2003, 186, 188; 1 StR 28/02. Sch/Sch-Eser, § 243 Rn. 39; Fischer, § 243 Rn. 21; SK-Hoyer, § 243 Rn. 38; LPK-Kindhäuser, § 243 Rn. 34; 898
380
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
selbstverschuldet, etwa alkoholisierte Hilflose erklärt nicht, dass ihm ein Gegenstand besonders wertvoll wäre. Im Gegenteil, ein auf sein Gut besonders Bedachter ist wachsam und wird sich nicht in die Hilflosigkeit trinken. Eine Dokumentation kann also allenfalls dahingehend gesehen werden, dass der sich Betrinkende wohl auf seinen natürlichen Schutz und damit auf das vom Schutz Umfasste keinen Wert legt. Auch die Viktimodogmatik befindet sich auf den ersten Blick in Erklärungsschwierigkeiten. Nach ihr müsste der grundlos sich hilflos Betrinkende den Schutz des § 242 verlieren und nicht noch besonderen Schutz erlangen. Mit dem Verhältnis ihrer Ansicht zu § 243 Abs. 1 S. 2 Nr. 6 setzen sich aber weder die Vertreter der Dokumentationstheorie noch die der Viktimodogmatik vertieft auseinander.900 Die hiesige Konzeption steht dagegen nicht in Widerspruch mit der Existenz des § 243 Abs. 1 S. 2 Nr. 6. Die besondere Strafandrohung gegenüber einem Verhalten, das sich gegen einen Hilflosen richtet, rechtfertigt sich aus der Verletzung des § 242, zu dem die Verletzung einer Mindestsolidaritätspflicht tritt. Diese Mindestpflicht findet sich vor allem bei § 323c, so Kühl.901 Wer dem Appell einem Hilflosen zu helfen, nicht nachkommt, soll unter den Voraussetzungen des § 323c bestraft werden. § 323c, dies sei eingeschoben, erfasst dabei so selbstverständlich auch selbstverschuldete Unfälle, dass dies in der Literatur regelmäßig keine gesonderte Erwähnung findet902 und sich erst zwischen den Zeilen ergibt, NK-Kindhäuser, § 243 Rn. 36; LK-Ruß § 243 Rn. 32. Kritisch, Maurach/Schroeder/Maiwald, Strafrecht BT/1, § 33 Rn. 100. Ohne Stellungnahme leider Blei, Strafrecht BT/1 pdW (Fall 272). Ebenso leider ohne Stellungnahme Arzt/Weber, Strafrecht LH3 (Rn. 227). 900 Der Unterschied zwischen dieser Bestimmung und etwa dem Betrugstatbestand ist in viktimodogmatischer Hinsicht, dass der sich hilflos Betrinkende ohne „Ansehen“ einer Gefahr sich hilflos macht und (nur) gefährdet, er aber beim Betrug die Gefahr erstens konkret erkennt und sich dann zweitens selbst schädigt. Das Unterlassen der Datensicherung ist dabei allenfalls mit ersterem Fall vergleichbar. Im Vorfeld einer noch nicht erkannten und abstrakten, bloß vagen Gefahr unterlässt es der Rechtsinhaber, seinen Schutz zu verbessern. Das Unterlassen des Schützens kann ihm aber keinesfalls mehr vorgeworfen werden als das Sich-selbstgefährden. 901 Kühl, Strafrecht AT, § 1 Rn. 11. 902 Vgl. nur die einschlägige Kommentar- und Lehrbuchliteratur. Vgl. auch monographisch etwa M. Schmitz, der sich schon ausweislich des Arbeitstitels „Die Funktion des Begriffs Unglücksfall bei der unterlassenen Hilfeleistung unter Berücksichtigung spezieller inhaltlicher Problemfelder“ (M. Schmitz, Unglücksfall) vertieft mit Einzelproblemen speziell des Unglücksfalles befasst, die selbstverursachte Notlage aber nur im Zusammenhang mit dem Selbstmord(versuch) (S. 159 ff.) und damit unter nicht vergleichbarer Problemlage behandelt.
C. Erhöhung des Handlungsunrechts
381
etwa wenn die Rede davon ist, Betrunkene und Verkehrsverunfallte würden erfasst903 (die Diskussion um die Hilfe bei Selbstmordversuchen spielt dabei auf anderer Ebene904). Diese besondere Strafandrohung ist mit der hier vertretenen Ansicht in Passung. Hier wird vertreten, dass sich auf die Grundsätze der Spezialprävention zu besinnen ist, nach denen der besonders Gefährliche besonders bestraft werden muss. Wer dem Appell des Gesetzgebers und des Gewissens, Hilflosen beizustehen nicht nachkommt und gar die Notlage für das eigene Fortkommen ausnutzt, der handelt nicht nur besonders verwerflich, sondern zeigt zudem, dass er besonders gefährlich ist. Denn er setzt sich über zweierlei hinweg: Den Appell, nicht zu stehlen sowie den Appell, Hilflosen zu helfen, jedenfalls aber ihre Hilflosigkeit nicht auszunutzen. Er kann daher als besonders strafwürdig gelten, denn er bedarf der besonderen Strafe, um ihn von doppelter Entfernung vom Recht doppelt zurückzuführen. Dabei geht es hier nicht um eine Begründung der besonderen Strafschutzwürdigkeit von Hilflosen nach § 323c oder § 243 Abs. 1 S. 2 Nr. 6. Der Blick auf das Opfer, wie ihn die Dokumentationstheorie und die Viktimodogmatik zuvörderst stellen wollen, kann kaum erklären, wieso der sich grundlos hilflos Betrinkende ebenso wie der unverschuldet Hilflose besonderen Schutz genießen soll. Keine Erklärungsnöte bestehen dann, wenn auf den Täter geschaut wird. Für ihn muss es gleichrangig sein, ob der Hilflose schuldhaft oder schuldlos hilflos ist. Er soll nicht davon profitieren, dass die Hilflosigkeit selbstverantwortlich herbeigeführt wurde. Der besondere strafrechtliche Schutz von gesicherten Daten bedeutet den strafrechtlich besonderen Schutz der Dateninhaber. Besonders gesicherte Personen werden also einerseits vom Strafrecht besonders geschützt. Zugleich werden an anderer Stelle die besonders ungesicherten Personen besonders geschützt. Dies muss kein Widerspruch sein, wenn man die Straferhöhung für den Täter spezialpräventiv aus seiner Gefährlichkeit betont. Zur historischen Entwicklung der Norm vgl. Gieseler, Unterlassene Hilfeleistung – § 323c StGB, S. 5 ff.; Harzer, § 323c StGB, S. 67 ff.; zum philosophischen und solidarischen Hintergrund vgl. Morgenstern, Unterlassene Hilfeleistung, S. 51 ff. 903 LK-Spendel, § 323c, Rn. 67, 69, SK49-Rudolphi, § 323c, Rn. 5. 904 Dass der Selbstmordversuch nicht erfasst werden soll, stellt ein Problem auf anderer Ebene dar. Hier ist sprachlich schon schwer von einem Unglücksfall zu sprechen, da das „Unglück“ willentlich herbeigeführt wird. Weiter setzt sich die Gegenansicht der Kritik aus, sowohl in Widerspruch zur Teilnahmelehre, nach der Anstiftung und Beihilfe zum Selbstmord straflos sind, als auch in Widerspruch zu den Grundsätzen des Arztrechts, nach denen der Patient ein grundrechtlich gesichertes Recht auf Selbstbestimmung hat, zu stehen. s. dazu i. E. ausf. LK-Spendel, § 323c, Rn. 48 ff.; SK49-Rudolphi, § 323c, Rn. 8; vgl. ebenso Seebode, FS Kohlmann, S. 279, 286. Haubrich, Die unterlassene Hilfeleistung, S. 226; M. Schmitz, Unglücksfall, S. 159 ff.; Wöbker, Unglücksfall, S. 1 ff.
382
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Diese ist jeweils im Verhältnis zur Grundverletzung erhöht. Damit setzt sich diese Begründung nicht den Bedenken aus, denen sich eine dokumentationstheoretische, insbesondere aber eine viktimodogmatische, Begründung ausgesetzt sehen muss. d) Zusammenfassung Der Gesetzgeber hat von der Wahlmöglichkeit, erst ab einer gewissen Unrechtsschwelle strafrechtlich einzugreifen,905 in zulässiger und spezialpräventiv begründeter Weise Gebrauch gemacht. Der Grund dafür, den Täter, der dieser Norm zuwiderhandelt, zu bestrafen und ihn vom Täter, der in einen ungesicherten Bereich eindringt, zu unterscheiden, liegt darin, dass ersterer seine erhöhte Gefährlichkeit bewiesen hat und daher strafrechtlicher Gegenmotivation bedarf. Dabei darf der Bürger, auch der Straftäter, nicht Gegenstand staatlicher Erziehungsmaßregeln werden, jedoch steht es dem Gesetzgeber offen, von den Unrechtstätern denjenigen herauszugreifen, den er für besonders gefährlich hält und ihn zur Abschreckung vor zukünftigen Taten mit Strafe zu belegen. Gleichzeitig hat die beschränkende Wirkung des Tatbestandsmerkmals der besonderen Sicherung die Wirkung, nur diejenigen Bereiche als geschützt zu erfassen, bei denen mit Sicherheit von einer Geheimsphäre und damit einem Rechtsgut, namentlich der formalen Geheimsphäre, ausgegangen werden kann. Somit wird zugleich sicher gestellt, dass nicht zuletzt Täter, Rechtsgutsinhaber und Straforgane wissen, wo die Grenze zwischen einer auf jeden Fall strafbewehrten Sphäre und dem nicht strafbelegten Bereich verläuft. Schließend ist zu bemerken, dass die hier vertretene Auffassung, das Rechtsgut als mit dem des § 123 verwandt anzunehmen, nun erneute Stütze erfährt. Die Tatbestandseingrenzung von § 123 und § 202a sind eng verwandt, sie wurzeln in denselben Gründen. 5. Ausgewählte praktische Folgen Es ist nicht primäres Ziel der Arbeit, den Begriff der besonderen Sicherung auszulegen oder einen Kanon von Begehungsarten rechtlich zu bewerten. Ziel ist vielmehr zu untersuchen, ob es Gründe gibt, dass dieses Tatbestandserfordernis die Norm einschränkt und ihr ein wesentliches Gepräge verleiht und diese Gründe zu benennen. Dabei handelt es sich nicht um l’art pour l’art; das Verständnis der Begründung, des Telos des Tatbestandsmerkmals ist zugleich wichtiges Moment zu seiner Bestimmung und damit von großer praktischer Bedeutung. Die bisher bestehenden Auslegungsprobleme können nun in anderem Blickwinkel betrachtet werden. Wenn dabei 905
Dazu Otto, GS Schröder, S. 53, 63 ff.
C. Erhöhung des Handlungsunrechts
383
keine tief greifenden Änderungen vorzunehmen sind, so ist dies nicht Zeichen, dass die Arbeit vergebens ist. In der Vielfalt der Einzelfälle und der täglichen praktischen Arbeit der Rechtsanwendung, die quantitativ mit dem Fortschreiten des Informationszeitalters mit Sicherheit stark zunehmen wird, ist ein stabiles Fundament von großer Wichtigkeit und praktischer Bedeutung, die heute noch nicht überblickt werden kann. Für die derzeit und hier vornehmlich diskutierten Abgrenzungsfragen ergeben sich in erster Linie Präzisierungen, vor allem werden sie nun aber fundiert. Für die Sicherungsmethoden gilt, dass die bisher genannten dann erfasst sind, wenn ihre Überwindung eine besondere Gefährlichkeit zeigen muss. Dies ist in der Regel der Fall, insbesondere auch bei der Passwortabfrage. Die bisher vertretenen Ergebnisse sind in einigen Punkten jedoch zu überdenken, wobei hier nur exemplarisch herausgegriffen werden kann. Eine Stellungnahme zu allen denkbaren, oder auch nur den meisten, Sicherungstechniken ist in generalisierender Weise nicht möglich – aber auch nicht nötig. Das zur Einordnung erforderliche und ausreichende Kriterium wurde mit der Frage nach der Gefährlichkeit geliefert. Wenige ausgewählte Beispiele sollen dennoch erörtert werden: Die Passwortabfrage mag in vielen Fällen kein Geheimhaltungsbedürfnis dokumentieren. Sie ist aber Sicherungsmittel gegen den Zugang zu Daten, auch wenn damit die verschiedensten Zwecke verfolgt werden können. Der Zweck der Implementierung ist nicht entscheidend. Wer sich über diese Abfrage hinwegsetzt, zeigt erhöhte kriminelle Energie, um sich Zugang zu den Daten zu verschaffen, er zeigt seine erhöhte Gefährlichkeit und verletzt ein fremdes Rechtsgut: die formelle gedankliche Geheimsphäre, die hier in gesicherten Daten ihren Niederschlag gefunden hat. Die Zwecke der Spezialprävention begründen eine Bestrafung der Überwindung einer Passwortabfrage. Etwas anderes gilt nur dann, wenn die Passwortabfrage augenscheinlich keine gedankliche Geheimsphäre schützt, wenn es sich etwa um ein inhaltsleeres Musterkonto handelt. Im Gegensatz zur bisher vertretenen Ansicht ist auch die verschlossene Haustür erfasst, die aufgebrochen wird, um die Daten auf einem Computer auszulesen. Der Täter beweist hier seine erhöhte Gefährlichkeit, die dem Eindringen in ein befriedetes Besitztum gleich kommt. Das Eindringen ins Haus verwirklicht § 123. Stiehlt, d.h. verschafft sich der Täter dort Gegenstände, so wird er nach § 243 Abs. 1 S. 2 Nr. 1 erhöht bestraft. Aus denselben Erwägungen wird er bestraft, wenn er sich in diesen gesicherten Räumen Daten verschafft. Die Ausblendung von Firewalls aus dem Kanon der Schutzmechanismen ist dann richtig, wenn man die besondere und unmissverständliche Dokumentation eines besonderen Geheimhaltungsinteresses fordert. Der Verwen-
384
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
dung fehlt schlicht die Aussage dieser bestimmten Zweckrichtung. Sieht man die elektronische Brandschutzmauer aber vergleichbar zu „analogen Mauern“, so ergibt sich etwas anderes: Bei Computern wie bei Gebäuden und Grundstücken auch, dienen elektronische wie herkömmliche Mauern neben dem Schutz gegen das Eindringen etlichen anderen Zwecken. Es seien im „analogen Bereich“ etwa Wetter- und Blickschutz genannt. So wie dort Mauern als Sicherungen und Hindernisse im Rahmen des § 123 oder § 243 Abs. 1 S. 2 Nr. 1 anerkannt sind, so sind „elektronische“ Mauern auch anzuerkennen. Es kommt hier wie dort nicht auf die Dokumentation an, sondern auf die erhöhte Gefährlichkeit, die der Täter beweist, indem er sich mittels Kraft, Kenntnis, Zeitaufwand und/oder Geschick über den ihm entgegengesetzten Widerstand hinwegsetzt. Wer die genannten Sicherungen also gezielt manipuliert und ausschaltet, um in einen Rechner einzudringen, wird bestraft. Wer aber regelkonform und nur entgegen dem Willen des Inhabers eindringt, wird nicht bestraft. Zur Auslegung solcher Softwarepolicies gelten die zu § 263a entwickelten Grundsätze. Was etwa ein gedachter Türsteher mit den Kontrollmitteln der Firewall zulassen würde, gilt auch hier als zugelassen. Wo die Regeln aber gebrochen werden, ist eine Sicherung überwunden. Firewalls und andere Schutzprogramme vor Zugang zu Daten sind insoweit von § 202a erfasst, wie ihre Regelungen reichen. Nur der Zugriff, der zugelassen ist, wird nicht pönalisiert. Der sogenannte Kopierschutz verfolgt keinen Geheimhaltungszweck. Er sichert auch nicht vor dem Zugang zu Daten. Eine Sicherung im Sinne von § 202a kann er damit nicht darstellen. Techniken wie gewissenhafte Installation, die allenfalls indirekt vor dem Ausspähen schützen, da sich Ausspähtechniken oft Systemschwächen zunutze machen, stellen keine Zugangssicherungen im engeren Sinne dar und sind daher nicht anzuerkennen. Zur Verschlüsselung gilt das oben Gesagte. Sie ist als besondere Sicherung erfasst. Was das allgemeine oder steganographische Verstecken sowie die Verschlüsselung und die Diskussion, ob diese als Sicherungen anzuerkennen sind, anbelangt, sei auf obige Ausführungen verwiesen; siehe oben A. III. 7., S. 287 ff. (Einführung, Einordnung), S. 295 ff. (Technik, Anwendungsgebiete) und S. 297 ff. oben A. III. 7., (rechtliche Wertung). Es handelt sich weniger um Fragen der Begründung des Merkmals als um dessen Auslegung, verbunden mit Fragen zur Tathandlung des Verschaffens. Aufgrund der zwiespältigen Kryptopolitik konnte der Gesetzgeber sich nicht zu einer eindeutigen Äußerung seines Willens bewegen.906 Diese widersprüchliche Haltung ist aufzugeben und eine Klarstellung seitens des Gesetzgebers unerlässlich. 906 s. dazu schon S. 310 ff. zur Auseinandersetzung und S. 314 sowie dort Fn. 598 ff. zur Kryptopolitk.
C. Erhöhung des Handlungsunrechts
385
Im Hinblick auf das Sicherungsniveau wurde geschlossen, dass es kein absolutes sein müsse. Unzureichend seien aber Vorkehrungen, „die bereits jeder interessierte Laie leicht und rasch zu überwinden vermag“. Dies stellt der Viktimodogmatiker Schünemann fest.907 Erst durch Errichten einer höheren Schwelle, so kann aus dieser Sicht argumentiert werden, erfülle das Opfer seine Selbstschutzobliegenheiten.908 Die Vertreter der Dokumentationstheorie kommen zu ähnlichen Ergebnissen.909 Sie stützen sich dabei allerdings konsequent darauf, dass erst eine Hindernisschwelle das besondere Geheimhaltungsbedürfnis zum Ausdruck bringe.910 Die bisher angeführten unterschiedlichen Begründungen kommen also zum selben Ergebnis. Zu einem vergleichbaren Ergebnis kommt man auch nach der hier vertretenen Begründung: Die erhöhte Gefährlichkeit des Täters, die sich in der erhöhten kriminellen Energie zeigt, tritt erst zutage, wenn er eine nicht unerhebliche Schwelle überschreitet. Denn erst das Überschreiten einer Schwelle unterscheidet ihn von dem Täter, der eine ungesicherte Sache ausspäht. Es muss zutage treten, dass er mehr Energie, Geschick oder Wissen aufwendet als es bei einem ungesicherten Datensatz nötig wäre und er diesbezüglich auch willentlich und wissentlich handelt. Dabei sind keine übermäßigen Forderungen zu stellen. Wie bei § 123 Abs. 1 ist ausschlaggebend, dass ein Hindernis als solches erkennbar und geeignet und bestimmt ist, andere abzuhalten. Die Forderung an das Schutzniveau bleibt damit im Ergebnis ähnlich. Die andersartige Begründung mag im Einzelfall aber zu einer anderen Bewertung führen. Insbesondere kommt es nicht darauf an, ob der Berechtigte genügend eigene Anstrengungen unternommen hat. (Welche dies sein sollen, wäre nicht nur bei automatisch vorinstallierten Sicherungen eines handelsüblichen Standardcomputers unklar. Will man dem Nutzer die fremden Anstrengungen zurechnen? Muss der Täter davon ausgehen, dass die Installation den Berechtigten Mühen gekostet hat? Woran soll er dies erkennen?) Auch soll es nicht darauf ankommen, dass der Berechtigte sein besonderes 907 LK-Schünemann, § 202a Rn. 15; mit viktimodogmatischer Begründung ebenso Jessen, Sicherung i. S. v. § 202a, S. 119 ff. 908 Jessen, Sicherung i. S. v. § 202a, S. 120 f. Vgl. dazu die Stellungnahme von P. Schmid, Computerhacken, S. 77 ff. 909 Eine ausführliche Streitdarstellung findet sich bei P. Schmid, Computerhacken, S. 75 ff., der ausdrücklich darauf hinweist, dass man zu denselben Ergebnissen komme, die lediglich auf der „anderen Seite der Medaille“ stünden. Vgl. i. E. mit verschiedenen Nuancen: Lenckner/Winkelbauer, CR 1986, 483, 485; Hilgendorf, JuS 1996, 702; Leicht, iur, 1987, 45, 49; Schulze-Heiming, Computerdaten, S. 67; Krutisch, Computerdaten, S. 106 f.; MüKo-Graf, § 202a Rn. 31; Sch/Sch-Lenckner/ Schittenhelm, § 202a Rn. 7 f., SK-Hoyer, § 202a Rn. 8. 910 Lenckner/Winkelbauer, CR 1986, 483, 485; Hilgendorf, JuS 1996, 702; Leicht, IuR, 1987, 45, 49; MüKo-Graf, § 202a Rn. 31; P. Schmid, Computerhacken, S. 81 f.; Krutisch, Computerdaten, S. 106 f.; SK-Hoyer, § 202a Rn. 9. Sch/SchLenckner/Schittenhelm, § 202a Rn. 7 f.
386
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
Interesse besonders dokumentiert. Auch dies ist fraglich, wenn der Schutz vollautomatisch – wie heute so oft – greift. Ob die Sicherung von jedermann als Dokumentation erachtet würde, kann damit dahinstehen. Dies ermöglicht eine stimmige Konzeption: Es werden nach der hier vertretenen Ansicht keine Fälle ausgeschieden, bei denen die Verkehrsanschauung keine Dokumentation annähme, der Täter aber (aufgrund Sonderwissens) wüsste, dass dies eine Sicherung zum Zwecke des Geheimnisschutzes darstellen soll. Ob sie vom Täter erkannt wurde, ist entscheidend. Dies ist aber Frage des Vorsatzes und dort richtigerweise zu verorten und (einfacher und) systemkonform zu beantworten. Folgendes Beispiel sei angeführt: Der (technisch versierte) Ehemann weiß, dass seine (technisch unbedarfte) Ehefrau versucht, ihre Daten zu sichern. Sie bewerkstelligt dabei durchaus ein ausreichendes faktisches Sicherungsniveau. Die Dokumentationswirkung als Sicherung von Geheimnissen kann aber nach der Verkehrsanschauung nicht (an)erkannt werden (etwa weil es sich um eine zwar hinreichend effektive, aber gänzlich unübliche Konstruktion handelt). Der Ehemann verschafft sich sodann diese Daten. Fordert man nun nach der bisherigen herrschenden Meinung eine allgemeine Dokumentationswirkung, so müssten die Daten als nicht gesichert bewertet werden – mit der Konsequenz, dass das Verschaffen nicht strafbar wäre. Nach der hier vertretenen Ansicht käme es nicht auf die Publizitätswirkung an. Liegt ein Sicherungsniveau vor, das den Anforderungen entspricht, so ist dies ausreichend. Sind die weiteren Voraussetzungen des Tatbestandes erfüllt (auf die Dokumentationswirkung ist nicht abzustellen), so reicht es aus, wenn der Ehemann darum weiß, dass es sich hier um eine Sicherung handeln soll. Die Tat wäre strafbar. Der Normappell erreicht schließlich den Täter, auch wenn er nicht die sonstige Allgemeinheit erreicht. Im Hinblick auf die o. g., von „closed shop“ Sicherungen aufgeworfenen Fragen, ist festzuhalten, dass es sich hier, wie es Lenckner und Schittenhelm anschaulich darstellen,911 um Fragen des Zusammenspiels der Merkmale „gesichert“, „bestimmt“ und „befugt“ handelt. Wem gegenüber gesichert sein muss, dem Unbefugten und alternativ oder additiv gegenüber demjenigen, für den die Daten bestimmt sind, ist keine Frage der Begründung der besonderen Sicherung.
911
Sch/Sch-Lenckner/Schittenhelm, § 202a Rn. 8 f.
D. Schluss
387
D. Schluss Das Rechtsgut des § 202a ist der in Daten niedergelegte formelle Geheimbereich. Der Gesetzgeber fasst einen Bereich als solchen ohne Ansehen seines Inhaltes dann als strafschutzwürdig, so er eine technische Umgrenzung erfährt, die ein Hindernis in Form einer Sicherung gegen das Eindringen darstellt – also ganz ähnlich wie bei § 123 Abs. 1. Die Begründung dafür, das Rechtsgut erst mit Strafschutz zu versehen, wenn es formal von diesem Hindernis umgeben ist, ergibt sich aus der besonderen Gefährlichkeit des Täters, die er durch das Überwinden dieses Hindernisses dokumentiert.Verständnis des Tatbestandserfordernisses der besonderen Sicherung als Dokumentation eines Geheimhaltebedürfnisses ist auf den ersten Blick plausibel. Dasselbe gilt für eine viktimodogmatische Begründung. Diese Begründungen, die das Opfer in den Vordergrund stellen, werden den tatsächlichen Gegebenheiten um datentechnische Sicherungen nicht gerecht. Hinter technischen Sicherungen stehen nicht stets Geheimhalteinteressen, davon abgesehen, wieso es auf eine Dokumentation ankommen solle. Die Viktimodogmatik kann auch hier nicht erklären, wieso das ungeschützte Opfer keinen staatlichen Schutz bekommen soll, das geschützte ihn hingegen noch „oben drauf“. Diese Theorien können nicht erklären, wieso die besondere Sicherung in § 202a auf diese Weise begründet wird, während andere Sicherungen, die das StGB kennt und die ähnlich umgesetzt werden und wirken, anders begründet werden. Eine Erklärung, wieso auch das seinen Selbstschutz willentlich einschränkende und damit, so könnte man sagen, sein geringes Interesse an seinen Gütern zeigende Opfer erhöhten Schutz genießt, lässt sich ebenfalls vermissen. Andere Begründungen tragen dagegen nicht: Das Verständnis des Tatbestandserfordernisses der besonderen Sicherung als Dokumentation eines Geheimhaltebedürfnisses ist zwar auf den ersten Blick plausibel. Dasselbe gilt für eine viktimodogmatische Begründung. Diese Begründungen, die das Opfer in den Vordergrund stellen, werden aber den tatsächlichen Gegebenheiten um datentechnische Sicherungen nicht gerecht. Hinter technischen Sicherungen stehen nicht stets Geheimhalteinteressen, von der unbeantworteten Frage abgesehen, wieso es auf eine Dokumentation ankommen solle. Die Viktimodogmatik kann ebenfalls nicht erklären, wieso das ungesicherte Opfer keinen staatlichen Schutz bekommen soll, das geschützte ihn hingegen noch zusätzlich zum eigenen Schutz. Diese Theorien können nicht erklären, wieso die besondere Sicherung in § 202a auf diese Weise begründet wird, während andere Sicherungen die das StGB kennt (insb. § 123 Abs. 1 und § 243 Abs. 2 S. 2 Nr. 1 und 2) und die ähnlich umgesetzt werden und wirken, anders begründet werden. Es lässt sich weiter eine Erklärung vermissen, wieso an anderer Stelle gerade das seinen Selbstschutz wil-
388
Teil 2: Begründung des Tatbestandsmerkmals der besonderen Sicherung
lentlich einschränkende Opfer überhaupt noch (§ 202b) oder gar erhöhten Schutz (§ 243 Abs. 1 S. 2 Nr. 6) genießt. Dies dürfte nach den Kategorien der Dokumentationstheorie nicht der Fall sein. Die willentliche Einschränkung der eigenen Schutzmöglichkeiten müsste als Dokumentation des geringen Opferinteresses an seinen Gütern verstanden werden. Strafrechtsschutz wäre ihm dann zu versagen, nicht aber auch noch gesteigert zu gewähren. Versteht man das Tatbestandsdesiderat der besonderen Sicherung dagegen als spezialpräventiv begründet in Form einer antizipierten, generalisierten Festlegung, so werden die oben genannten Unstimmigkeiten beseitigt. Die dogmatische Stimmigkeit schlägt sich in einer klareren Auslegung nieder. Nimmt man an, dass erst der Täter bestraft werden soll, der durch Überwindung einer Schwelle seine erhöhte Gefährlichkeit für den privaten, umgrenzten oder mit anderen Worten; „befriedeten“ Datenbereich zeigt, so wird dies den technischen und sozialen Gegebenheiten des Umgangs mit elektronischen Daten gerecht: Der Täter, der in diesen Datenbereich eindringt, zeigt erhöhte Gefährlichkeit und erhöhte kriminelle Energie, da er beweist, dass er den Willen und die besondere Befähigung hat, sogar in technisch gesicherte Datenbereiche einzudringen. Die Befähigung muss dabei beim Eindringen in gesicherte Datenbereiche aufgrund der technischen Komplexität im Vergleich zum Eindringen in ein umzäuntes Gebäude oder dem Aufreißen eines verschlossenen Schriftstücks besonders erhöht sein. Ein solches Verständnis steht in Entsprechung mit den Begründungen von besonderen Sicherungen an anderer Stelle des StGB, namentlich dem umschlossenen Raum (§ 243 Abs. 1 S. 2 Nr. 1) und der Befriedung des § 123 Abs. 1 StGB in Einklang. Es kann auch erklären, wieso faktisch besonders Geschützte und faktisch besonders Schutzlose (§ 243 Abs. 1 S. 2 Nr. 6) erhöhten Strafrechtsschutz genießen und vermeidet einen Widerspruch zu § 202b.
Literaturverzeichnis Æneas, Tacticus: Aeneas Tacticus, Asclepiodotus, Onasander, Cambridge: Harvard University Press, 1986 (Aeneas). – How to survive under siege/Aineias the Tactician; Oxford: Clarendon, 1990 (Siege). Ahrendts, Rudolf: Christoph Carl Stübels Straftheorie und ihre Wandlung; Leipzig: Weicher, 1937 (Stübels Straftheorie). Albert, Hans: Kritik der reinen Hermeneutik, Tübingen: Mohr, 1994 (Hermeneutik). Alexy, Robert: Theorie der juristischen Argumentation, 2. Aufl. – Frankfurt/M. Suhrkamp, 1991 (Argumentation). Altenhain, Karsten: Die Begründung der Strafe durch Kant und Feuerbach, in: Gedächtnisschrift für Rolf Keller, 2003, S. 1 (GS Keller). Altman, Irwin: The environment and social behavior: privacy, personal space, territory, crowding, Monterey, Calif.: Brooks-Cole, 1975 (Social behavior). Altpeter, Frank: Strafwürdigkeit und Straftatsystem, Frankfurt/M. Lang, 1990 (Strafwürdigkeit). Alwart, Heiner: Strafwürdiges Versuchen, Berlin: Duncker & Humblot, 1982. Amelung, Knut: Irrtum und Zweifel des Getäuschten beim Betrug, GA 1977, S. 1. – Besprechung von: Thomas Hillenkamp, Vorsatztat und Opferverhalten, GA 1984, S. 579. – Der Hausfriedensbruch als Mißachtung physisch gesicherter Territorialität, ZStW 98 (1986), S. 355. – Anmerkung zu OLG Oldenburg, Urt. v. 21.1.1985 – Ss 566/84 = JZ 1986, 246, JZ 1986, S. 247. – Bemerkungen zum Schutz des „befriedeten Besitztums“ in § 123 StGB, NJW 1986, S. 2075. Amelung, Knut/Schall, Hero: Zum Einsatz von Polizeispitzeln: Hausfriedensbruch und Notstandsrechtfertigung, Wohnungsgrundrecht und Durchsuchungsbefugnis – OLG München, DVBl 1973, 221, JuS 1975, S. 545. Amelunxen, Clemens: Das Opfer der Straftat, Hamburg: Kriminalistik, 1970 (Opfer). Andrade, Manuel da Costa: Strafwürdigkeit und Strafbedürftigkeit als Referenzen einer zweckrationalen Verbrechenslehre, in: Bernd Schünemann (Hrsg.): Bausteine des europäischen Strafrechts, Coimbra-Symposium für Claus Roxin, 1995, S. 121 (Coimbra-Symposium).
390
Literaturverzeichnis
Andrzejak, Artur: Kryptoregulierung, in: Thomas Hoeren/Robert Queck (Hrsg.): Rechtsfragen der Informationsgesellschaft, 1999, S. 132 (Hoeren/Queck: Informationsgesellschaft). Arndt, Herbert: Die landesverräterische Geheimnisverletzung, ZStW 66 (1954), S. 41. Artkämper, Heiko: Hausbesetzer, Hausbesitzer, Hausfriedensbruch, Berlin: Springer, 1995 (Hausfriedensbruch). Arzt, Gunther: Der strafrechtliche Schutz der Intimsphäre, Tübingen: Mohr, 1970 (Intimsphäre). – Die Einschränkung des Mordtatbestandes, JR 1979, S. 7. – Viktimologie und Strafrecht, MSchrKrim 1984, S. 105. – Besprechung von: Hassemer, Raimund: Schutzbedürftigkeit des Opfers und Strafrechtsdogmatik, GA 1982, S. 522. Arzt, Gunther/Weber, Ulrich: Strafrecht, Besonderer Teil, Vermögensdelikte – LH 3, Bielefeld: Gieseking, 1986 (Strafrecht BT LH/3). – Strafrecht, Besonderer Teil, Bielefeld: Gieseking, 2000 (Strafrecht BT). Augustinus, Aurelius: Confessiones, S. Aureli Augustini confessionum, Stuttgart: Teubner, 1996. Bachfeld, Daniel: Jedes zweite WLAN in Deutschland steht sperrangelweit offen, c’t 13—2004, S. 92. Bacon, Francis: Essayes, Nachdr. d. Ausg. London 1597 – Amsterdam: Theatrum orbis Terrarum, 1968. Badura, Peter: Stellungnahme in Deutscher Bundestag, Sonderausschuß für die Strafrechtsreform, 6. Wahlperiode (30. Sitzung), 1970, S. 1091 (Prot. SA VI). Baller, Oesten: Informationsgesellschaft – Eine Mogelpackung?, in: Andreas Haratsch/Dieter Kugelmann/Ulrich Repkewitz (Hrsg.): Herausforderungen an das Recht der Informationsgesellschaft, 1996, S. 33 (Informationsgesellschaft). Bär, Wolfgang: Computerkriminalität und EDV-Beweissicherung, in: Heinz-Bernd Wabnitz/Thomas Janovsky (Hrsg.): Handbuch des Wirtschafts- und Steuerstrafrechts, 2000, Kap. 18, S. 1124 (Computerkriminalität). – Wardriver und andere Lauscher – Strafrechtliche Fragen im Zusammenhang mit WLAN, MMR 2005, S. 434. – Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06 – zur verdeckten Online-Durchsuchung, MMR 2007, S. 239. Barrett, Neil: Digital Crime, London: Kogan, 1998. Barton, Dirk: Multimedia-Strafrecht, Neuwied: Luchterhand, 1999. Bauer, Elisabeth/Brauch, Patrick/Rapp, Inga: Zehn Personal Firewalls im Test, c’t 23–2001, S. 174. Baum, Michael: Elektronische Signaturen, Münster, Univ. Diss., 2001, (E-Signaturen).
Literaturverzeichnis
391
Baumann, Jürgen/Weber, Ulrich/Mitsch, Wolfgang: Strafrecht: allgemeiner Teil, 11. Aufl. – Bielefeld: Gieseking, 2003. Beck, Simon Markus/Dornis, W. Tim: „Phishing“ im Marken(straf)recht, CR 2007, S. 642. Behm, Ulrich: Umfassen die Schutzobjekte des § 123 Abs. 1 StGB auch Zubehörflächen?, GA 1986, S. 547. – Zur Auslegung des Merkmals „Wohnung“ im Tatbestand des § 123 und § 244 Abs. 1 Nr. 3 StGB, GA 2002, S. 153. Bell, Paul A./Greene, Th. C./Fisher, J. D./Baum, A.: Environmental psychology, 5. Aufl. – Fort Worth: Harcourt College, 2001. Bergius, Rudolf: Privatheit, in: Friedrich Dorsch et al. (Hrsg.): Psychologisches Wörterbuch, Bern: Huber 1987, S. 505 (Dorsch: Psychologischs Wörterbuch). Beulke, Werner: Anmerkung zu LG Mannheim, Urteil vom 7. 10. 1976 – 2 Ns 98/76 = NJW 1977, 160; „Überlassung eines Appartements an ein Callgirl“, NJW 1977, S. 1073. Beutelspacher, Albrecht/Schwenk, Jörg/Wolfenstetter, Klaus-Dieter: Moderne Verfahren der Kryptographie, 6. Aufl. – Wiesbaden: Vieweg, 2006 (Kryptographie). Binder, Jörg: Strafbarkeit intelligenten Ausspähens von programmrelevanten DV-Informationen, Marburg: Tectum-Verl. 1994 (Ausspähen von DV). Binding, Karl: Die Normen und ihre Übertretung, Leipzig: Engelmann, 1872 (Normen). – Handbuch des Strafrechts, Band 1, Leipzig: Duncker & Humblot, 1885 (Handbuch/1). – Eine Revolution in der Rechtsprechung des Reichsgerichts über den Betrug, DJZ 1911, S. 554. Bizer, Johann: Teilnehmerautonome Verschlüsselung und Innere Sicherheit, in: H. Kubicek/G. Müller/K. H. Neumann/E. Raubold/A. Roßnagel (Hrsg.): Jahrbuch Telekommunikation und Gesellschaft 1995, 1995, S. 214 (Verschlüsselung). – Die Kryptokontroverse. Innere Sicherheit und Sicherungsinfrastrukturen, in: Volker Hammer (Hrsg.): Sicherungsinfrastrukturen, Berlin: 1995, S. 179 (Kryptokontroverse). – Kryptokontroverse – Der Schutz der Vertraulichkeit in der Telekommunikation, DuD 1996, S. 5. Blaze, Matt: Kryptopolitik und Informations-Wirtschaft, Originaltitel: „Cryptography Policy and the Information Economy“, DuD 1997, S. 209. Blei, Hermann: Die „Verletzung des persönlichen Lebens- und Geheimbereiches“ (15. Abschnitt: §§ 201 ff. StGB i. d. F. des EGStGB), JA 1974, S. 601. – Strafschutzbedürfnis und Auslegung, in: Festschrift für Heinrich Henkel, zum 70. Geburtstag, 1974, S. 109 (FS Henkel). – Strafrecht II: besonderer Teil, 12. Aufl. – München: Beck, 1983 (Strafrecht BT).
392
Literaturverzeichnis
– Strafrecht Besonderer Teil/1, Prüfe dein Wissen, 10. Aufl. – München: Beck, 1996 (Strafrecht BT/1 pdW). Bleich, Holger: Lücken im System, c’t 13–2006, S. 146. Bloy, René: Die Beteiligungsform als Zurechnungstypus im Strafrecht, Berlin: Duncker & Humblot, 1985 (Beteiligungsform). – Anmerkung zu OLG Oldenburg v. 21.1.1985 – Ss 566/84, JR 1986, S. 79, JR 1986, 80. Bockelmann, Paul: Vom Sinn der Strafe, in: Heidelberger Jahrbücher V (1961), S. 25. Böckenförde, Thomas: Die Ermittlung im Netz, Tübingen: Mohr Siebeck, 2003 (Ermittlung im Netz). Borchers, Detlef: Programme, die Sie unbemerkt ausspionieren, c’t 15–2002, S. 132. Borges, Georg: Rechtsfragen des Phishing – Ein Überblick, NJW 2005, S. 3313. Borgmann, Matthias: Von Datenschutzbeauftragten und Bademeistern – Der strafrechtliche Schutz am eigenen Bild durch den neuen § 201a StGB, NJW 2004, S. 2134. Bosch, Nikolaus: Der strafrechtliche Schutz vor Foto-Handy-Voyeuren und Paparazzi, JZ 2005, S. 377. Brauch, Patrick: Passwörter richtig auswählen und einsetzen, c’t 17–2002, S. 200. – Personal Firewalls unter Service Pack 2, c’t 21–2004, S. 196. – Fünf Personal Firewalls für Windows, c’t 13–2004, S. 142. Bringewat, Peter: Grundbegriffe des Strafrechts, Baden-Baden: Nomos, 2003 (Grundbegriffe). Brockhaus: Enzyklopädie in 24 Bänden, Band 8. Frit–Goti. 20. Aufl. – Leipzig: Brockhaus, 1997 (Brockhaus). Brockhaus Recht: Brockhaus Recht, 2. Aufl. – Mannheim: Brockhaus, 2005 (Brockhaus Recht). Brossette, Josef: Der Wert der Wahrheit im Schatten des Rechts auf informationelle Selbstbestimmung, Berlin: Duncker & Humblot, 1991 (Wahrheit). Bruns, Hans-Jürgen: Die Befreiung des Strafrechts vom zivilistischen Denken, Berlin: Nicolai, 1938 (Befreiung des Strafrechts). – Strafzumessungsrecht, 2. Aufl. – Köln: Heymann, 1974. Buchala, Kazimierz: Computer Crimes and Other Crimes against Information Technology in Poland, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 377. Buermeyer, Ulf: Der strafrechtliche (WLANs), HRRS 2004, S. 285.
Schutz
drahtloser
Computernetzwerke
Buggisch, Walter: Dialer-Progamme – Strafrechtliche Bewertung eines aktuellen Problems, NStZ 2002, S. 178.
Literaturverzeichnis
393
– Fälschung beweiserheblicher Daten durch Verwendung einer falschen E-MailAdresse?, NJW 2004, S. 3519. Bühler, Christoph: Ein Versuch, Computerkriminellen das Handwerk zu legen: Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität, MDR 1987, S. 448. Busch, David-Alexander/Giessler, Oliver S.: SIM-Lock und Prepaid-Bundles – Strafbarkeit bei Manipulationen, MMR 2001, S. 586. Bydlinski, Franz: Juristische Methodenlehre und Rechtsbegriff, 2. Aufl. – Wien: Springer, 1991 (Methodenlehre). Calliess, Rolf-Peter: Der Rechtscharakter der Regelbeispiele im Strafrecht, NJW 1998, S. 929. Cancio Meliá, Manuel: Opferverhalten und objektive Zurechnung, ZStW 111 (1999), S. 357. – Conducta de la víctima e imputación objetiva en derecho penal, 2. Aufl. – Barcelona: J. M. Bosch, 2001 (Víctima). Cattaneo, Mario A.: Karl Grolmans strafrechtlicher Humanismus, Baden-Baden: Nomos, 1998 (Grolmans Humanismus). Cheswick, William R./Bellovin, Steven M./Rubin, Avi: Firewalls und Sicherheit im Internet, 2. Aufl. – München: Addison-Wesley, 2004 (Firewalls). Chou, Neil/Ledesma, Robert/Teraguchi, Yuka/Boneh, Dan/Mitchell, John C.: Client-side defense against web-based identity theft, 11th Annual Network and Distributed System Security Symposium (NDSS 2004), 2004. Clayton, Richard: Insecure Real-World Authentication Protocols (or Why Phishing is so Profitable), Thirteenth Cambridge Protocols Workshop, Sidney Sussex, 2005. Cornelius, Kai: Strafbarkeit des Anbietens von Hackertools, CR 2007, S. 682. Costa, José de Faria: Les crimes informatiques et autres crimes dans le domaine de la technologie informatique au Portugal, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 387. Creß, Ulrike/Hesse, Friedrich-Wilhelm: Wissen teilen im Netz – ein Dilemma?, in: Reinhard Keil-Slawik/Michael Kerres: Education quality forum 2003 – Wirkungen und Wirksamkeit neuer Medien in der Bildung, Münster: Waxmann, 2003, S. 115 (Wissen teilen im Netz). – Knowledge sharing in groups: Experimental findings of how to overcome a social dilemma, in: Y. Kafai/W. Sandoval/N. Enydey/A.S. Nixon/F. Herrera: Proceedings of the Sixth International Conference of the Learning Sciences, Mahwah, NJ: Erlbaum 2004, S. 150 (Knowledge sharing). Dannecker, Gerhard: Strafrecht in der Europäischen Gemeinschaft, JZ 1996, S. 869. – Neuere Entwicklungen im Bereich der Computerkriminalität – Aktuelle Erscheinungsformen und Anforderungen an eine effektive Bekämpfung, BB 1996, S. 1285.
394
Literaturverzeichnis
Debie, Robin O.: IuK-Kriminalität, mehr als nur Cybercrime, JurPC Web-Dok. 214/2004. Dencker, Friedrich/Struensee, Eberhard/Nelles, Ursula/Stein, Ulrich: Einführung in das 6. Strafrechtsreformgesetz 1998, München: Beck 1998 (Einf. 6. StrRG). Dierstein, Rüdiger: Von Viren, trojanischen Pferden und logischen Bomben (I), NJW-CoR 4/1990, S. 8. – Von Viren, trojanischen Pferden und logischen Bomben (II), NJW-CoR 5/1990, S. 26. – Von Viren, trojanischen Pferden und logischen Bomben (III), NJW-CoR 1/1991, S. 26. Dietrich, Ralf: Rechtliche Bewältigung von netzbasiertem Datenaustausch und Verteidigungsstrategien, NJW 2006, S. 809. – Filesharing: Ermittlung, Verfolgung und Verantwortung der Beteiligten, in: Jürgen Taeger/Andreas Wiebe (Hrsg.): Aktuelle Rechtsfragen zu IT und Internet, Oldenburg: OlWiR, 2006, S. 87 (IT-Rechtsfragen). – Rechtsprechungsbericht zur Auskunftspflicht des Access-Providers nach Urheberrechtsverletzungen im Internet: zugl. Anmerkungen zu LG Flensburg, GRUR-RR 2006, 174, GRUR-RR 2006, S. 145. Dodds, P. S./Muhamad, R./Watts, Duncan J.: An Experimental Study of Search in Global Social Networks, Science Magazine, Vol. 301, 2003, S. 827. Dornseif, Maximillian/Gaertner, Felix C./Holz, Thorsten: Ermittlung von Verwundbarkeiten mit elektronischen Ködern, in: Proceedings of the Detection of Intrusions and Malware & Vulnerability Assessment, Tagungsband der Konferenz: DIMVA 2004, Dortmund, 06.–07.07.2004, S. 129 (Verwundbarkeiten). Dornseif, Maximilian/Schumann, Kay H.: Tatsächliche und rechtliche Risiken drahtloser Computernetzwerke, DuD 1998, S. 226. – Probleme des Datenbegriffs im Rahmen des § 269 StGB, JR 2002, S. 52. Drapkin, Israel (Hrsg.): Victimology: a new focus, Lexington, Mass.: Lexington, 1974–1975 (Victimology). Dreier, Thomas/Schulze, Gernot: Urheberrechtsgesetz – Kommentar, 2. Aufl. – München: Beck, 2006 (UrhR-Komm.). Druey, Jean Nicolas: Information als Gegenstand des Rechts, Zürich: Schulthess, 1995 (Information). Ebert, Udo: Verbrechensbekämpfung durch Opferbestrafung?, JZ 1983, S. 633. Ebsen, Ingwer: Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, DVBl 1997, S. 1039. Eckstein, Ken: Europa und der Opferschutz, in: Festschrift für Friedrich-Christian Schroeder zum 70. Geburtstag, 2006, S. 777 (FS F.-C. Schroeder). Eder-Rieder, Maria A.: Die Entwicklung des Opferschutzes als kriminalpolitisches Anliegen, in: Gedächtnisschrift für Heinz Zipf, 1999, S. 35 (GS Zipf).
Literaturverzeichnis
395
Eibl-Eibesfeldt, Irenäus: Die Biologie des menschlichen Verhaltens, 3. Aufl. – München: Piper, 1995 (Humanethologie). – Grundriß der vergleichenden Verhaltensforschung – Ethologie, 8. Aufl. – München: Piper, 1999 (Verhaltensforschung). Eichelberger, Jan: Sasser, Blaster, Phatbot & Co. – alles halb so schlimm? – Ein Überblick über die strafrechtliche Bewertung von Computerschädlingen, MMR 2004, S. 594. – Anmerkung zu OLG Düsseldorf, Urt. v. 7.6.2006 – I-15 U 21/06 = MMR 2006, S. 618, MMR 2006, S. 621. Eisele, Jörg: Strafrechtlicher Schutz vor unbefugten Bildaufnahmen – Zur Einführung eines § 201 a in das Strafgesetzbuch, JR 2005, S. 6. – Die Regelbeispielsmethode: Tatbestands- oder Strafzumessungslösung? JA 2006, S. 309. Eisenberg, Ulrich: Kriminologie, 6. Aufl. – München: Beck, 2005. Ellmer, Manfred: Betrug und Opfermitverantwortung; Berlin: Duncker & Humblot, 1986 (Opfermitverantwortung). Engeln, Wilbert: Das Hausrecht und die Berechtigung zu seiner Ausübung, Berlin: Duncker & Humblot, 1989 (Hausrecht). Engels, Dieter: Hausbesetzung ist kein Hausfriedensbruch, DuR 1981, S. 293. Engisch, Karl: Der Unrechtstatbestand im Strafrecht, in: Festschrift zum Deutschen Juristentag – Hundert Jahre Deutsches Rechtsleben, 1960, S. 401 (FS DJT). – Logische Studien zur Gesetzesanwendung, 3. Aufl. – Heidelberg: Winter, 1963 (Gesetzesanwendung). – Die Strafwürdigkeit der Unfruchtbarmachung mit Einwilligung, in: Festschrift für Hellmuth Mayer zum 70. Geburtstag, 1966, S. 399 (FS H. Mayer). – Einführung in das juristische Denken, 9. Aufl. – Stuttgart: Kohlhammer, 1997 (Juristisches Denken). Erman, Sahir: Les crimes informatiques et autres crimes dans le domaine de la technologie informatique en Turquie, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 481. Ernst, Stefan: Hacker und Computerviren im Strafrecht, NJW 2003, S. 3233. – Wireless Lan und das Strafrecht, CR 2003, S. 898. – Gleichklang des Persönlichkeitsschutzes im Bild- und Tonbereich?, NJW 2004, S. 1277. – Das neue Computerstrafrecht, NJW 2007, S. 2661. – (Hrsg.): Hacker, Cracker & Computerviren, Köln: Otto Schmidt, 2004 (Bearb. in Ernst (Hrsg.): Hacker). Esser, Josef: Vorverständnis und Methodenwahl in der Rechtsfindung, 2. Aufl. – Frankfurt/M. Athenäum Fischer, 1972 (Methodenwahl).
396
Literaturverzeichnis
Fechner, Frank: Medienrecht, 7. – Tübingen: Mohr Siebeck, 2006. Feldmann, Thorsten: Anmerkung zu OLG Hamburg v. 22.08.2006 – 7 U 50/06 = MMR 2006, S. 744; MMR 2006, S. 747. Felten, Edward W./Balfanz, Dirk/Dean, Drew/Wallach, Dan S.: Web Spoofing – An Internet Con Game., Technical Report 540, S. 96, 1997, Princeton. Feuerbach, Paul Johann Anselm von: Aktenmäßige Darstellung merkwürdiger Verbrechen, 2. Aufl. – Frankfurt/M.: Heyer’s, 1849 (Verbrechen). Fischer, Manfred/Stephan, Egon: Kontrolle und Kontrollverlust, in: Lelenis Kruse et al. (Hrsg.): Ökologische Psychologie, S. 166, München: Psychologie Verl.Union, 1990 (in Kruse: Ökologische Psychologie). Fischer, Thomas: Strafgesetzbuch und Nebengesetze: Kommentar, 55. Aufl. – München: Beck, 2008. Fleissner, Peter/Hofkirchner, Wolfgang/Müller, Harald/Pohl, Margit/Stary, Christian (Hrsg.): Der Mensch lebt nicht vom Bit allein – Information in Technik und Gesellschaft, 3. Aufl. – Frankfurt/M. Lang, 1998 (Informationsgesellschaft). Fox, Dirk: Der IMSI-Catcher, DUD 2002, S. 212. Fraenkel, Ernst/Bracher, Karl Dietrich: Das Fischer Lexikon. Band 2. Staat und Politik, Frankfurt am Main: Fischer, 1975. Francés, María Gutiérrez: Computer Crimes and Other Crimes against Information Technology in Spain, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 427. Francillon, Jacques: Les crimes informatiques et autres crimes dans le domaine de la technologie informatique en France, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 171. Frank, Thomas: Zur strafrechtlichen Bewältigung des Spamming, Berlin: Logos, 2003 (Spamming). Friedman, Lawrence M.: Changing Times: Technology and Law in the Modern Era, in: Festschrift für Manfred Rehbinder, 2002, S. 501 (FS Rehbinder). Fromm/Nordemann: Urheberrecht – Kommentar, 9. Aufl. – Stuttgart: Kohlhammer, 1998 (UrhR-Komm.). Frommel, Monika: Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität, JuS 1987, S. 667. Gadamer, Hans-Georg: Wahrheit und Methode, 4. Aufl. – Tübingen: Mohr, 1975. Gallas, Wilhelm: Gründe und Grenzen der Strafbarkeit, Gedanken zum Begriff des Verbrechens, in: Beiträge zur Verbrechenslehre, 1968, S. 1 = Heidelberger Jahrbücher IX (1965), S. 1 (Strafbarkeit). – Der Schutz der Persönlichkeit im Entwurf eines Strafgesetzbuches (E 1962), in: Beiträge zur Verbrechenslehre, 1968, S. 203 (= ZStW 75 (1963), S. 16)/(Persönlichkeit).
Literaturverzeichnis
397
– Zur Struktur des strafrechtlichen Unrechtsbegriffs, in: Festschrift für Paul Bockelmann zum 70. Geburtstag, 1979, S. 155 (FS Bockelmann). Gercke, Marco: Analyse des Umsetzungsbedarfs der Cybercrime Konvention, MMR 2004, S. 728. – Der Rahmenbeschluss über Angriffe auf Informationssysteme, CR 2005, S. 468. – Die Strafbarkeit von „Phishing“ und Identitätsdiebstahl – Eine Analyse der Reichweite des geltenden Rechts, CR 2005, S. 606. Gerhards, Thomas: Computerkriminalität und Sachbeschädigung, Mannheim, Univ. Diss., 1993 (Sachbeschädigung). Giehring, Heinz: Prozeßbetrug im Versäumnis- und Mahnverfahren – zugleich ein Beitrag zur Auslegung des Irrtumsbegriffs in § 263 StGB, GA 1973, S. 1. Gieseler, Kirsten: Unterlassene Hilfeleistung, Baden-Baden: Nomos-Verl.-Ges., 1999. Giesker, Hans: Das Recht des Privaten an der eigenen Geheimsphäre, Zürich: Zürcher & Furrer, 1904. Gietl, Andreas: Störerhaftung für ungesicherte Funknetze – Voraussetzungen und Grenzen, MMR 2007, S. 630. Gifford, Robert: Environmental Psychology, 2. Aufl. – Boston: Allyn and Bacon, 1997. Gola, Peter: Zur Entwicklung des Datenschutzrechts im Jahre 1986, NJW 1987, S. 1675. Göppinger, Hans: Kriminologie, 5. Aufl. – München: Beck, 1997. Gössel, Karl Heinz: Über die Vollendung des Diebstahls, ZStW 85 (1973), S. 591. – Das Rechtsgut als ungeschriebenes strafbarkeitseinschränkendes Tatbestandsmerkmal, in: Festschrift für Dietrich Oehler zum 70. Geburtstag, 1985, S. 97 (FS Oehler). Gössel, Karl Heinz/Dölling, Dieter: Strafrecht, Besonderer Teil, Teilband 1, 2. Aufl. – Heidelberg: Müller, 2004 (Strafrecht BT/1). Grabosky, Peter N.: Virtual Criminality: Old wine in new bottles?, in: Wall, David S.: Cyberspace Crime, S. 243, Dartmouth: Ashgate, 2003 (Virtual Criminality). Grabosky, Peter N./Smith, Russell G./Dempsey, Gillian: Electronic Theft, Cambridge: University Press, 2001. Gradenwitz, Otto/Kuebler, Bernhard/Schulze, Ernst Theodor: Vocabularium iurisprudentiae romanae, Band II, D–G, Berlin: de Gruyter, 1933. Graf, Jürgen-Peter: „Phishing“ derzeit nicht generell strafbar!, NStZ 2007, S. 129. Granderath, Peter: Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität, DB 1986, Beilage 18, S. 1. Grassberger, Roland: Zur Strafwürdigkeit der Sittlichkeitsdelikte, in: Festschrift für Eberhard Schmidt zum 70. Geburtstag, 1961, S. 333 (FS E. Schmidt).
398
Literaturverzeichnis
Gravenreuth, Günter: Computerviren, Hacker, Datenspione, Crasher und Cracker – Überblick und rechtliche Einordnung, NStZ 1989, S. 201. Gröseling, Nadine/Höfinger, Frank Michael: Hacking und Computerspionage – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR 2007, S. 549. – Computersabotage und Vorfeldkriminalisierung – Auswirkungen des 41. StrÄndG zur Bekämpfung der Computerkriminalität, MMR 2007, S. 626. – Der strafbare Umgang mit „Hacker-Tools“ auf dem Prüfstand, MMR 2007, S. XXVIII. Gruter, Margaret/Rehbinder, Manfred (Hrsg.): Der Beitrag der Biologie zu Fragen von Recht und Ethik, Berlin: Duncker & Humblot, 1983. Günther, Hans-Ludwig: Zur Kombination von Täuschung und Drohung bei Betrug und Erpressung, ZStW 88 (1976) S. 960. – Die Genese eines Straftatbestandes, JuS 1978, S. 8. – Strafrechtswidrigkeit und Strafunrechtsausschluß, Köln: Heymann, 1983 (Strafrechtswidrigkeit). – Rechtfertigung und Entschuldigung in einem teleologischen Verbrechenssystem, in: Albin Eser (Hrsg.): Rechtfertigung und Entschuldigung, Freiburg i. Br., M.-P.-I., 1987 – Bd. 1, S. 363 (Rechtfertigung). – Systematische Grundlagen der Strafzumessung, JZ 1989, 1025. – Grade des Unrechts und der Strafzumessung, in: Kriminalität: Persönlichkeit, Lebensgeschichte und Verhalten; Festschrift für Hans Göppinger zum 70. Geburtstag, 1990, S. 453 (FS Göppinger). – Das viktimodogmatische Prinzip aus anderer Perspektive: Opferschutz statt Entkriminalisierung, in: Festschrift für Theodor Lenckner zum 70. Geburtstag, 1998, S. 67 (FS Lenckner). Günther, Ralf: Zur Zusammenarbeit der Strafverfolgung mit Service-Providern, in: Bundeskriminalamt (Hrsg.): Informations- und Kommunikationskriminalität, München: Luchterhand, 2004, S. 53 (Strafverfolgung u. Provider). Haas, Volker: Kausalität und Rechtsverletzung, Berlin: Duncker & Humblot, 2002 (Rechtsverletzung). Habermas, Jürgen: Strukturwandel der Öffentlichkeit: Untersuchungen zu einer Kategorie der bürgerlichen Gesellschaft, 6. Aufl. – Neuwied: Luchterhand, 1974. Haesler, Walter T. (Hrsg.): Viktimologie, Grüsch: Rüegger, 1986. Haft, Fritjof: Das neue Computer-Strafrecht, DSWR 1986, S. 255. – Das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität (2. WiKG) – Teil 2: Computerdelikte, NStZ 1987, S. 6. – Computer können die Rechtsanwendung verändern – nicht nur im Steuerrecht, DSWR 1987, S. 73.
Literaturverzeichnis
399
– Strafrecht, Besonderer Teil I, 8. Aufl. – München: Beck, 2004 (Strafrecht BT/I). – Strafrecht, Besonderer Teil II, 8. Aufl. – München: Beck, 2005 (Strafrecht BT/ II). Haft, Fritjof/Eisele, Jörg: Einführung in die Rechtsfragen des Datenverkehrs im Internet, JuS 2001, S. 112. Halmos, Paul: Solitude and Privacy, London: Routledge and Kegan Paul, 1952. Hamm, Rainer: Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06 – zur verdeckten Online-Durchsuchung, NJW 2007, S. 32. Hardwig, Werner: Über die unterschiedlichen Unrechtsgehalte und die Abgrenzung von Unrecht und Schuld, JZ 1969, S. 459. Harrendorf, Stefan: Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06 – zur verdeckten Online-Durchsuchung, StraFo 2007, S. 149. Harte-Bavendamm, Henning: Wettbewerbsrechtlicher Schutz von Computerprogrammen, CR 1986, S. 615. Harzer, Regina: Die tatbestandsmäßige Situation der unterlassenen Hilfeleistung gemäß § 323c StGB, Frankfurt/M. Klostermann, 1999 (§ 323c StGB). Haß, Gerhard: Der strafrechtliche Schutz von Computerprogrammen, in: Michael Lehmann (Hrsg.): Rechtsschutz und Verwertung von Computerprogrammen, Köln 1988, XII, S. 299 (Computerprogramme). Hassemer, Raimund: Schutzbedürftigkeit des Opfers und Strafrechtsdogmatik, Berlin: Duncker & Humblot, 1981 (Schutzbedürftigkeit). Hassemer, Winfried: Rücksichten auf das Verbrechensopfer, in: Festschrift für Ulrich Klug zum 70. Geburtstag, 1983, S. 217 (FS Klug). – Strafrecht, Prävention, Vergeltung., in: Festschrift für Friedrich-Christian Schroeder zum 70. Geburtstag, 2006, S. 51 (FS F.-C. Schroeder). Haubrich, Edgar: Die unterlassene Hilfeleistung, Frankfurt/M. Lang, 2001. Hefendehl, Roland: Kollektive Rechtsgüter im Strafrecht, Köln: Heymann, 2002 (Rechtsgüter). – (Hrsg.): Die Rechtsgutstheorie: Legitimationsbasis des Strafrechts oder dogmatisches Glasperlenspiel?, Baden-Baden: Nomos, 2003 (Rechtsgutstheorie). Hefermehl, Wolfgang/Köhler, Helmut/Bornkamm, Joachim: Wettbewerbsrecht: Kommentar, 25. Aufl. – München: Beck 2007 (Hefermehl/Köhler/BornkammBearb.). Hegel, Georg Wilhelm Friedrich: Grundlinien der Philosophie des Rechts, Berlin: Akad.-Verl., 1997 (Philosophie des Rechts). Hegemann, Jan: Der strafrechtliche Schutz des Rechts am eigenen Bild und des höchstpersönlichen Lebensbereiches: Anmerkungen zu einer verfehlten Gesetzgebung, in: Festschrift für Peter Raue zum 65. Geburtstag, 2006, S. 445 (FS Raue).
400
Literaturverzeichnis
Heghmanns, Michael: Strafbarkeit des „Phishing“ von Bankkontendaten und ihrer Verwertung, wistra 2007, S. 167. – Besprechung von: Dorothee Krutisch: Strafbarkeit des unberechtigten Zugangs zu Computerdaten und -systeme, ZIS 2007, S. 49. Heidegger, Martin: Sein und Zeit, 11. Aufl. – Tübingen: Niemeyer, 1967. Heidrich, Jörg: Haftung für Internetforen, in: Jürgen Taeger/Andreas Wiebe (Hrsg.): Aktuelle Rechtsfragen zu IT und Internet, Oldenburg: OlWiR, 2006, S. 3 (ITRechtsfragen). Heinrich, Bernd: Die Strafbarkeit der unbefugten Vervielfältigung und Verbreitung von Standardsoftware, Berlin: Duncker & Humblot, 1993 (Standardsoftware). – Strafrecht – Allgemeiner Teil, Stuttgart: Kohlhammer 2005 – Teilband I (Strafrecht AT/1). – Aktuelle Probleme des Internetstrafrechts, Electronic Publishing: HFR 2006, Beitrag 11. Heinz, Stefan: Urheberrechtliche Gleichbehandlung von alten und neuen Medien, München: C. H. Beck, 2006 (Medien). Heinz, Werner: Das Erscheinungsbild der Homosexualität und die Frage der Strafwürdigkeit, Tübingen, Univ. Diss., 1953 (Strafwürdigkeit). Hellbrück, Jürgen/Fischer, Manfred: Umweltpsychologie, Göttingen: Hogrefe, 1999. Hellmann, Uwe/Beckemper, Katharina: Wirtschaftsstrafrecht, Stuttgart: Kohlhammer, 2004. Hellmich, Nicole: Zum „neuen“ Wohnungsbegriff des § 244 I Nr. 3 StGB – OLG Schleswig, NStZ 2000, 479, NStZ 2001, S. 511. Henke, Horst-Eberhard: Die Tatfrage, Berlin: Duncker & Humblot, 1966. Herodotus: Herodutus (Historien), Band III, Cambridge: Harvard University Press, 1998. Herzberg, Amir/Gbar Ahmad: TrustBar: Protecting (even Naïve) Web Users from Spoofing and Phishing Attacks, Cryptology ePrint Archive: Report 2004/155, revised 7 Nov 2004. Herzberg, Rolf Dietrich: Funktion und Bedeutung des Merkmals „Irrtum“ in § 263 StGB, GA 1977, S. 289. Hesse, Albrecht: § 201 a StGB aus Sicht des öffentlich-rechtlichen Rundfunks, ZUM 2005, S. 432. Heusch, Clemens-August: Die elektronische Signatur, Berlin: Tenea, 2004 (E-Signatur). Hilber, Marc D./Frik, Roman: Rechtliche Aspekte der Nutzung von Netzwerken durch Arbeitnehmer und den Betriebsrat, RdA 2002, S. 89. Hilgendorf, Eric: Anm. zu BayObLG v. 24.06.1993 – 5 St RR 5/93 = JR 1994, 476; JR 1994, 478.
Literaturverzeichnis
401
– Grundfälle zum Computerstrafrecht, JuS 1996, S. 509, S. 702, S. 890 und S. 1082. – Die Neuen Medien und das Strafrecht, ZStW 113 (2001), S. 650. – Tendenzen und Probleme einer Harmonisierung des Internetstrafrechts auf Europäischer Ebene, in: Schwarzenegger/Alter/Jörg (Hrsg.): Internet-Recht und Strafrecht, 2005, S. 257. – Internetstrafrecht – Grundlagen und aktuelle Fragestellungen, K&R 2006, S. 541. Hilgendorf, Eric/Frank, Thomas/Valerius, Brian: Computer- und Internetstrafrecht, Berlin: Springer, 2005 (Computerstrafrecht). Hilgendorf, Eric/Wolf, Christian: Internetstrafrecht – Grundlagen und aktuelle Fragestellungen, K&R 2006, S. 541. Hillenkamp, Thomas: Vorsatztat und Opferverhalten, Göttingen: Schwartz, 1981 (Opferverhalten). Hirschberg, Rudolf: Der Vermögensbegriff im Strafrecht, Berlin: Springer, 1934 (Vermögensbegriff). Hobbes, Thomas: Vom Menschen – Vom Bürger, Nachdruck, 3. Aufl. – Hamburg: Meiner, 1994 (Vom Menschen). – Leviathan, Nachdruck, Hamburg: Meiner, 1996. Hobert, Guido: Datenschutz und Datensicherheit im Internet, Frankfurt/M. Lang, 1998 (Datensicherheit). Hoeren, Thomas: Entwurf einer EU-Richtlinie zum Urheberrecht in der Informationsgesellschaft, MMR 2000, S. 515. Hoeren, Thomas/Schüngel, Martin (Hrsg.): Rechtsfragen der digitalen Signatur, Berlin: Schmidt, 1999 (Digitale Signatur). Hoeren, Thomas/Sieber, Ulrich (Hrsg.): Handbuch Multimedia-Recht, München: Beck Losebl.-Ausg., Stand Sept. 2004 (Multimedia-Recht). Hofer, Thomas: Computerviren – Begriff, Herkunft, Eigenschaften, Deliktsformen, JurPC 1991, S. 1367. Holz, Thorsten et al.: Know your enemy: statistics, Honeynet Project, Stand 22. Juli 2001, Electronic Publishing: www.honeynet.org/papers/stats/(Honeynet Stats). – Know your enemy: Tracking Botnets, Honeynet Project, Stand 13. März 2005, Electronic Publishing: www.honeynet.org/papers/bots/(Bots). Holz, Thorsten/Wicherski, Georg: Effektives Sammeln von Malware mit Honeypots, in: Proceedings of 13th DFN-CERT Workshop, S. A 2 (Malware). Hörnle, Tatjana: Tatproportionale Strafzumessung, Berlin: Duncker & Humblot, 1999. – Das 6. Gesetz zur Reform des Strafrechts, Jura 1998, S. 171. Hornung, Gerrit: Zwei runde Geburtstage: Das Recht auf informationelle Selbstbestimmung und das WWW, MMR 2004, S. 3.
402
Literaturverzeichnis
Hortmann, Michael: Kryptoregulierung weltweit – Überblick, DuD 1997, S. 214. Hoyer, Andreas: Strafrechtsdogmatik nach Armin Kaufmann, Berlin: Duncker & Humblot 1997 (Armin Kaufmann). – Zur Differenzierung zwischen Erfolgs-, Handlungs- und Unrechtszusammenhang, GA 2006, S. 298. – Die Verletzung des höchstpersönlichen Lebensbereichs bei § 201a StGB, ZIS 2006, S. 1. Hruschka, Joachim: Die Konstitution des Rechtsfalles, Berlin: Duncker & Humblot, 1965 (Rechtsfall). Hülsdunk, Lutz: Virtual Private Networks, Münster: Lit, 2004 (VPN). Ittelson, William H./Proshansky, H. M./Rivlin, L. G./Winkel, G. H.: Einführung in die Umweltpsychologie, Stuttgart: Klett-Cotta, 1977 (Umweltpsychologie). Iuvenalis, Decimus Iunius: Satirae, München: Artemis & Winkler, 1993. Jakobs, Günther: Schuld und Prävention, Tübingen: Mohr Siebeck, 1976. – Strafrecht, Allgemeiner Teil, 2. Aufl. – Berlin: de Gruyter 1991 (Strafrecht AT). Jakobsson, Markus: Modeling and Preventing Phishing Attacks, Financial Cryptography, 2005. Jakobsson, Markus/Young, Adam: Distributed Phishing Attacks, Cryptology ePrint Archive: Report 2005/091. Jareborg, Nils: Computer Crimes and Other Crimes against Information Technology in Sweden, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 443. Jerouschek, Günter/Kölbel, Ralf: Souveräne Strafverfolgung – Überlegungen zu einem Phänomen „staatsverstärkter“ Wirtschaftskriminalität, NJW 2001, S. 1601. Jescheck, Hans-Heinrich (Hrsg.): Die Vorverlegung des Strafrechtsschutzes durch Gefährdungs- und Unternehmensdelikte, Berlin: de Gruyter, 1987. Jescheck, Hans-Heinrich/Weigend, Thomas: Lehrbuch des Strafrechts – Allgemeiner Teil, 5. Aufl. – Berlin: Duncker & Humblot, 1996 (Strafrecht AT). Jessen, Ernst: Zugangsberechtigung und besondere Sicherung im Sinne von § 202a StGB, Frankfurt/M. Lang, 1994 (Sicherung i. S. v. § 202a). JingQing, Zheng/Wei, Li: Computer Crimes and Other Crimes against Information Technology in the People’s Republic of China, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 143. Joerden, Jan C.: Logik im Recht, Berlin: Springer, 2005 (Logik). Jung, Heike: Das Vierte Internationale Symposium für Viktimologie – Ein Tagungsbericht, MschrKrim 1984, S. 125. Jungermann, Sebastian: Der Beweiswert elektronischer Signaturen, Frankfurt/M. Lang, 2002 (E-Signaturen). Kächele, Andreas: Der strafrechtliche Schutz vor unbefugten Bildaufnahmen (§ 201a StGB), Baden-Baden: Nomos, 2007, (Bildaufnahmen (§ 201a StGB)).
Literaturverzeichnis
403
Kaiser, Günther/Kerner, Hans-Jürgen/Sack, Fritz/Schellhoss, Hartmut (Hrsg.): Kleines kriminologisches Wörterbuch, 3. Aufl. – Heidelberg: Müller, 1993 (Wörterbuch). Kang, Jerry/Buchner, Benedikt: Privacy in Atlantis, Harvard Journal of Law & Technology, Vol. 18, 2004, S. 230. Kant, Immanuel: Metaphysik der Sitten, 2. Aufl. – Teil 1, Hamburg: Meiner, 1998 (Metaphysik). Karat, Clare-Marie/Brodie, Carolyn/Karat, John: Usable Privacy and Security for Personal Information Management, Communications of the ACM (CACM), 2006 (Vol. 49), No. 1, S. 56. Kargl, Walter: Rechtsgüter und Tatobjekte der Strafbestimmung gegen Hausfriedensbruch, JZ 1999, S. 930. Karlsruher Kommentar zur StPO: Karlsruher Kommentar zur Strafprozeßordnung und zum Gerichtsverfassungsgesetz mit Einführungsgesetz, hrsg. von Gerd Pfeiffer, 5. Aufl. – München: Beck 2003. (KK-Bearb.). Karsten, Christian: Die Strafwürdigkeit von Fahrlässigkeitsdelikten, Hamburg, Univ. Diss., 1969 (Strafwürdigkeit). Kaspersen, Henrik W. K.: Computer Crimes and Other Crimes against Information Technology in the Netherlands, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 343. Kaufmann, Armin: Lebendiges und Totes in Bindings Normentheorie, Göttingen: Schwartz, 1954 (Normentheorie). – Die Aufgabe des Strafrechts, Kaufmann, Armin: Strafrechtsdogmatik zwischen Sein und Wert, S. 263, Köln: Heymann, 1982 (Strafrechtsaufgabe). Kaufmann, Arthur: Über den Zirkelschluß in der Rechtsfindung, in: Festschrift für Wilhelm Gallas zum 70. Geburtstag am 22. Juli 1973, 1973, S. 7 (FS Gallas). – Die hermeneutische Spirale, in: Festschrift für Winfried Hassemer zum sechzigsten Geburtstag, 2000, S. 13 (FS Hassemer). Kaufmann, Hilde: Was läßt die Kriminologie vom Strafrecht übrig?, JZ 1962, S. 193. Kelm, Stefan/Kossakowski, Klaus-Peter: Zur Notwendigkeit der Kryptographie, DuD 1997, S. 192. Kerner, Hans-Jürgen: Bibliographie zum Täter-Opfer-Ausgleich und zur Schadenswiedergutmachung, in: Bundesministerium der Justiz (Hrsg.): Täter-Opfer-Ausgleich in Deutschland. Bonn: Godesberg, 1998, S. 495. – Opferrechte, Opferpflichten, 6. Aufl. – Mainz: Weisser Ring, 1999. Kertész, Imre/Pusztai, László: Computer Crimes and Other Crimes against Information Technology in Hungary, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 249. Kessler, Clemens: Zur strafrechtlichen Verantwortlichkeit von Zugangsprovidern, Berlin: Logos, 2003 (Strafrecht u. Provider).
404
Literaturverzeichnis
Kett-Straub, Gabriele: Ist „Flitzen“ über ein Fussballfeld strafbar?, JR 2006, S. 188. Kiefl, Walter/Lamnek, Siegfried: Soziologie des Opfers, München: Fink, 1986. Kiethe, Kurt/Hohmann, Olaf: Der strafrechtliche Schutz von Geschäfts- und Betriebsgeheimnissen, NStZ 2006, S. 185. Kilger, Hans: Über den Begriff des Verletzten im Fünften Buch der StPO, GA 2007, S. 287. Kindhäuser, Urs: Täuschung und Wahrheitsanspruch beim Betrug, ZStW 103 (1991), 398. – Lehr- und Praxiskommentar, 3. Aufl. – Baden-Baden: Nomos, 2006 (LPK-Kindhäuser). Kioupis, Dimitris: Strafrecht und Internet, in: Anagnostopoulos (Hrsg.): Internationalisierung des Strafrechts, Baden-Baden: Nomos, 2003, S. 93. Klaeren, Herbert: Viren, Würmer und Trojaner, Tübingen: Klöpfer & Meyer, 2006. Kloepfer, Michael: Informationsrecht, München: Beck, 2002. Kluge, Friedrich/Seebold, Elmar: Etymologisches Wörterbuch der deutschen Sprache, 24. Aufl. – Berlin: de Gruyter, 2002. Knop, Dirk: Recht sicher, Windows-Zugriffsrechte für störrische Programme, c’t 23–2005, S. 116. Knupfer, Jörg: Phishing for Money, MMR 2004, S. 641. Köbler, Gerhard: Etymologisches Rechtswörterbuch, Tübingen: Mohr Siebeck, 1995. Koch, Arnd: Strafrechtlicher Schutz vor unbefugten Bildaufnahmen – Zur Einführung von § 201a StGB, GA 2005, S. 589. Koch, Frank A.: Internet-Recht, 2. Aufl. – München: Oldenbourg 2005. Kögel, Andreas M.: Die Strafbarkeit des „Finanzagenten“ bei vorangegangenem Computerbetrug durch „Phishing“, – zugl. Besprechung LG Darmstadt, wistra 2006, 468 –, wistra 2007, S. 206. Köhler, Helmut/Piper, Henning: Gesetz gegen den unlauteren Wettbewerb: Kommentar, 3. Aufl. – München: Beck, 2002 (Köhler/Piper-Bearb.). Köhler, Markus/Arndt, Hans-Wolfgang/Fetzer, Thomas: Recht des Internet, 5. Aufl. – Heidelberg: Müller, 2006. Kohler, Josef: Das Autorrecht: Eine zivilistische Abhandlung; Zugleich ein Beitrag zur Lehre vom Eigenthum, vom Miteigenthum, vom Rechtsgeschäft und vom Individualrecht, in: Rudolf von Jherings Jahrbücher – Jahrbücher für die Dogmatik des heutigen römischen und deutschen Privatrechts, Band XVIII, 1880; Jena: Fischer, 1880, S. 129. Kohlmann, Günter/Löffeler, Peter: Wirtschaftskriminalität im Informationszeitalter, BFuP 1990, S. 188.
Literaturverzeichnis
405
Königshofen, Thomas: Zur Zusammenarbeit der Strafverfolgung mit Service-Providern, in: Bundeskriminalamt (Hrsg.): Informations- und Kommunikationskriminalität, München: Luchterhand, 2004, S. 71 (Strafverfolgung u. Provider). Korte, Charles/Milgram, Stanley: Acquaintance networks between racial groups: Application of the small world method, Journal of Personality and Social Psychology, Vol. 15, 1970, S. 101. Krack, Ralf: List als Straftatbestandsmerkmal, Frankfurt/M. Lang, 1994 (List). Kratzsch, Dietrich: Verhaltenssteuerung und Organisation im Strafrecht, Berlin: Duncker & Humblot, 1985 (Verhaltenssteuerung). – Aufgaben- und Risikoverteilung als Kriterien der Zurechnung im Strafrecht, in: Festschrift für Dietrich Oehler: zum 70. Geburtstag, 1985, S. 65 (FS Oehler). Krause, Thomas: Unbefugte Fernabfrage von Anrufbeantwortern als Ausspähen von Daten im Sinne des § 202a StGB?, JurPC 1994, S. 2758. Krauß, Detlef: Erfolgsunwert und Handlungsunwert im Unwert, ZStW 76 (1964), S. 19. Kreß, Claus: Das Sechste Gesetz zur Reform des Strafrechts, NJW 1998, S. 633. Krey, Volker/Heinrich, Manfred: Strafrecht – Besonderer Teil, Band 1, 13. Aufl. – Stuttgart: Kohlhammer, 2005 (Strafrecht BT/I). Kriele, Martin: Theorie der Rechtsgewinnung, 2. Aufl. – Berlin: Duncker & Humblot, 1976 (Rechtsgewinnung). Krüger, Matthias: Die Entmaterialisierungstendenz beim Rechtsgutsbegriff, Berlin: Duncker und Humblot 2000 (Rechtsgutsbegriff). Krumme, Markus: Die Wohnung im Recht, Berlin: Duncker & Humblot, 2004 (Wohnung). Kruse, Lenelis: Privatheit als Problem und Gegenstand der Psychologie, Bern: Huber, 1980 (Privatheit). Krutisch, Dorothee: Strafbarkeit des unberechtigten Zugangs zu Computerdaten und -systemen, Frankfurt/M. Lang, 2004 (Computerdaten). Kudlich, Hans: Das 6. Gesetz zur Reform des Strafrechts, JuS 1998, 468 ff. Kühl, Kristian: Die Bedeutung der kantischen Unterscheidungen von Legalität und Moralität sowie von Rechtspflichten und Tugendpflichten für das Strafrecht, in: Heike Jung et al. (Hrsg): Recht und Moral, 1991, S. 139 (Kant). – Die Bedeutung der Rechtsphilosophie für das Strafrecht, Baden-Baden: Nomos, 2001 (Rechtsphilosophie). – Neues strafrechtliches Sanktionensystem, in: Burkhard Heß (Hrsg.): Wandel der Rechtsordnung, 2003, S. 141 (Sanktionensystem). – Zur Strafbarkeit unbefugter Bildaufnahmen, AfP, 2004, S. 190. – Strafrecht, Allgemeiner Teil, 5. Aufl. – München: Vahlen, 2005. – Strafrechtlicher Persönlichkeitsschutz gegen Bildaufnahmen, in: Roland Hefendehl (Hrsg.): Empirische und dogmatische Fundamente, kriminalpolitischer Im-
406
Literaturverzeichnis
petus: Symposium für Bernd Schünemann zum 60. Geburtstag, 2005, S. 211 (Schünemann-Symposium). – Konsequenzen der Sanktion „Strafe“ für das materielle und formelle Strafrecht, in: Festschrift für Christian Richter II, 2006, S. 341 (FS Richter II). – § 201a StGB – die strafrechtliche Antwort auf neue Techniken der Bildaufnahme, in: Kazushige Asada et al. (Hrsg.): Das Recht vor den Herausforderungen neuer Technologien: deutsch-japanisches Symposium in Tübingen vom 12. bis 18. Juli 2004, Tübingen: Mohr Siebeck, 2006, S. 165 (Deutsch-japanisches Symposium). Kuhlen, Rainer: Informationsethik, Konstanz: UVK, 2004. Kuhlmann, Jan: Kein Rechtsschutz für den Kopierschutz? Standardsoftware in rechtlicher Sicht?, CR 1989, S. 177. Kühn, Christoph: Anmerkung zu BayObLG StV 1999, S. 214, StV 1999, S. 214. Kunsemuller, Carlos: Computer Crimes and Other Crimes against Information Technology in Chile, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 133. Kunstein, Florian: Die elektronische Signatur als Baustein der elektronischen Verwaltung, Berlin: Tenea, 2005 (E-Signatur). Küper, Wilfried: Zur Konkurrenz zwischen Briefgeheimnisverletzung und Unterschlagung, JZ 1977, S. 464. Küpper, Georg: Strafrecht – Besonderer Teil 1, 2. Aufl. – Berlin: Springer, 2001 (Strafrecht BT/1). Kurth, Frowin Jörg: Das Mitverschulden des Opfers beim Betrug, Frankfurt/M. Lang, 1984 (Mitverschulden). Kutscha, Martin: Verdeckte „Online-Durchsuchung“ und Unverletzlichkeit der Wohnung, NJW 2007, S. 1169. Lackner, Karl/Kühl, Kristian: Strafgesetzbuch: Kommentar, 24. Aufl. – München: Beck, 2001 (Lackner/Kühl24), 26. Aufl. – München: Beck, 2007 (Lackner/Kühl). Lagodny, Otto: Strafrecht vor den Schranken der Grundrechte, Tübingen: Mohr Siebeck, 1996 (Grundrechtsschranken). Lampe, Ernst-Joachim: Die strafrechtliche Behandlung der sog. Computer-Kriminalität, GA 1975, S. 1. Langer, Winrich: Das Sonderverbrechen, Berlin: Duncker & Humblot, 1972. – Vorsatztheorie und strafgesetzliche Irrtumsregelung, GA 1976, S. 193. – Die tatbestandsmäßige Strafwürdigkeit, in: Festschrift für Harro Otto zum 70. Geburtstag, 2007, S. 107 (FS Otto). Lanzi, Alessio: Les crimes informatiques et autres crimes dans le domaine de la technologie informatique en Italie, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 297. Larenz, Karl: Methodenlehre der Rechtswissenschaft, 6. Aufl. – Berlin: Springer, 1991 (Methodenlehre).
Literaturverzeichnis
407
Larenz, Karl/Canaris, Klaus-Wilhelm: Methodenlehre der Rechtswissenschaft, 3. Aufl. – Berlin: Springer, 1995. Lege, Joachim: Pragmatismus und Jurisprudenz, Tübingen: Mohr Siebeck, 1999. Leicht, Armin: Computerspionage – Die „besondere Sicherung gegen unberechtigten Zugang“ (§ 202a StGB), iur 1987, S. 45. Leipold, Klaus: Die Online-Durchsuchung, NJW-Spezial 2007, S. 135. Leipziger Kommentar: Strafgesetzbuch: Kommentar, Band 5: 10. Aufl. 1989, hrsg. von Hans-Heinrich Jescheck et al. (LK10-Bearb.), Band 1, 5 bis 8: jew. 11. Aufl. 1992–2006, hrsg. von Burkhard Jähnke et al.; Band 2, 4: jew. 12. Aufl. 2006, hrsg. von Heinrich Wilhelm Laufhütte et al. (LK-Bearb.) Lekschas, John: Über die Strafwürdigkeit von Fahrlässigkeitsverbrechen, Berlin: Deutscher Zentralverlag, 1958 (Strafwürdigkeit). Lenckner, Theodor: Strafe, Schuld und Schuldfähigkeit, Berlin: Springer, 1972 (Schuld). – Anm. zu BGH Urt. v. 9.12.1976 – 4 StR 582/76 = JR 1978, 423, JR 1978, S. 424. Lenckner, Theodor/Winkelbauer, Wolfgang: Computerkriminalität – Möglichkeiten und Grenzen des 2. WiKG (I), CR 1986, S. 483. Libertus, Michael: Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Verbreitung von Computerviren, MMR 2005, S. 507. Linkens, Christina: Der strafrechtliche Schutz vor unbefugten Bildaufnahmen: eine Betrachtung des neuen § 201a StGB, Bonn: Univ. Diss., 2005 (Bildaufnahmen). Lippert, Pascal: Neue sicherheitsbezogene IT-Dienstleistungen, CR 2002, S. 458. Liszt, Franz von: Der Zweckgedanke im Strafrecht, ZStW 3 (1883), S. 1. – Lehrbuch des Deutschen Strafrechts, 25. Aufl. – Berlin: de Gruyter 1927 (Lehrbuch25), 26. Aufl. – Berlin: de Gruyter, 1932 (Lehrbuch26). Locke, John: Zwei Abhandlungen über die Regierung, 4. Aufl. – Frankfurt/M. Suhrkamp, 1989, (Über die Regierung). Lorenz, Konrad/Leyhausen, Paul: Antriebe tierischen und menschlichen Verhaltens, München: Piper, 1968 (Verhalten). Lorenz, Wolfram: Strafzumessung beim Bankraub, Stuttgart: Enke, 1972 (Strafzumessung). Löwe-Rosenberg: Die Strafprozeßordnung und das Gerichtsverfassungsgesetz: Großkommentar, Hrsg. von Peter Rieß. 25. Aufl., Bd. 2, 1997–2004 (LR-Bearb.). Luzón Pena, Diego-Manuel: Die Beziehung von Strafwürdigkeit und Strafbedürftigkeit zum Verbrechensaufbau, in: Bausteine des europäischen Strafrechts, Coimbra-Symposium für Claus Roxin. Hrsg. v. Bernd Schünemann, 1995, S. 97 (Coimbra-Symposium). Mack, Holger: Single Sign in im Internet, DuD 2002, S. 472.
408
Literaturverzeichnis
MacLean, Paul D.: Die drei Dimensionen der Entwicklung des Gehirns und des Rechts, in: Gruter, Margarete/Rehbinder, Manfred: Der Beitrag der Biologie zu Fragen von Recht und Ethik, 1983, S. 112. Macpherson, Crawford B.: The political theory of possessive individualism: Hobbes to Locke, 10. Aufl. – Oxford: Oxford Univ. Press, 1985 (Possessive individualism). – Die politische Theorie des Besitzindividualismus: von Hobbes bis Locke, 3. Aufl. – Frankfurt a./M. Suhrkamp, 1990 (Besitzindividualismus). Maeck, Manfred: Opfer und Strafzumessung, Stuttgart: Enke, 1983 (Opfer). Maihofer, Werner: Der Unrechtsvorwurf, in: Festschrift für Theodor Rittler zu seinem 80. Geburtstag, 1957, S. 141 (FS Rittler). Maiwald, Manfred: Zum Fragmentarischen Charakter des Strafrechts, in: Festschrift für Reinhart Maurach, 1972, S. 9 (FS Maurach). – Bestimmtheitsgebot, tatbestandliche Typisierung und die Technik der Regelbeispiele, in: Festschrift für Wilhelm Gallas zum 70. Geburtstag, 1973, S. 173 (FS Gallas). – Besprechung von: Hassemer, Raimund: Schutzbedürftigkeit des Opfers und Strafrechtsdogmatik, ZStW 96 (1984), S. 70. Malek, Klaus: Strafsachen im Internet, Heidelberg: Müller, 2005. Malmberg, Torsten: Human territoriality, The Hague: Mouton, 1980. Manoledakes, Ioannis: „Menschenwürde“: Rechtsgut oder absolute Grenze der Gewaltausübung?, in: Festschrift für Günter Bemmann zum 70. Geburtstag, 1997, S. 67 (FS Bemmann). Marberth-Kubicki, Annette: Computer- und Internetstrafrecht, München: Beck, 2005 (Computerstrafrecht). Margulis, Stephen T.: Conceptions of Privacy, Journal of Social Issues (JSI), 33/3 (1977), S. 5. Martin, Sigmund P.: Qualifikationstatbestand des Wohnungseinbruchsdiebstahls, JuS 2001, S. 1231. Maschke, Andreas: Gerechtigkeit durch Methode: zu Karl Engischs Theorie des juristischen Denkens, Heidelberg: Winter, 1993 (Engisch). Maslow, Abraham H.: Motivation and Personality, New York: Harper, 1954. Matsumoto, Tsutomu/Matsumoto, Hiroyuki/Yamada, Koii/Hoshino, Satoshi: Impact of Artificial „Gummy“ Fingers on Fingerprint Systems, DuD 2002, S. 464. Maume, Philipp: Bestehen und Grenzen des virtuellen Hausrechts, MMR 2007, S. 620. Maurach, Reinhart/Schroeder, Friedrich-Christian/Maiwald, Manfred: Strafrecht – Besonderer Teil, Teilband 1, 9. Aufl. – Heidelberg: C. F. Müller, 2003 (Strafrecht BT/1).
Literaturverzeichnis
409
Maurach, Reinhart/Zipf, Heinz: Strafrecht: allgemeiner Teil – Teilbd. 1, 8. Aufl. – Heidelberg: Müller, 1992 (Strafrecht AT/1). Mayer, Hellmuth: Kant, Hegel und das Strafrecht, in: Festschrift für Karl Engisch zum 70. Geburtstag, 1969, S. 54 (FS Engisch). Mayer, Max Ernst: Rechtsnormen und Kulturnormen, Darmstadt: Wissenschaftliche Buchges., 1965 (Kulturnormen). McDonald, William F.: Die Rolle des Opfers in der nordamerikanischen Strafrechtspflege: einige Entwicklungen und Ergebnisse, in: Hans Joachim Schneider (Hrsg.): Das Verbrechensopfer in der Strafrechtspflege, Berlin: de Gruyter, 1982, S. 422 (in Schneider: Verbrechensopfer). Mehrings, Josef: Der Rechtsschutz computergestützter Fachinformationen, BadenBaden: Nomos, 1990. (Informationsrechtsschutz). Meidinger, Andrea: Viktimogene Bedingungen als Auslösereize bei Raub und Vergewaltigung, Neuried: Ars Una, 1999 (Viktimogene Bedingungen). Meier, Bernd-Dieter: Softwarepiraterie – eine Straftat?, JZ, 1992, S. 657. Mennicken, Axel: Das Ziel der Gesetzesauslegung, Bad Homburg v. d. H.: Gehlen, 1970. Merwe, D. P. van der: Computer Crimes and Other Crimes against Information Technology in South Africa, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 421. Meurer, Dieter: Die Bekämpfung der Computerkriminalität in der Bundesrepublik Deutschland, in: Festschrift für Zentaro Kitagawa zum 60. Geburtstag, 1992, S. 971 (FS Kitagawa). Meyer, Lena: DRM und die Zukunft von Verwertungsgesellschaften im digitalen Zeitalter, in: Jürgen Taeger/Andreas Wiebe (Hrsg.): Aktuelle Rechtsfragen zu IT und Internet, Oldenburg: OlWiR, 2006, S. 116 (IT-Rechtsfragen). Meyer-Goßner, Lutz: Strafprozessordnung: Gerichtsverfassungsgesetz, Nebengesetze und ergänzende Bestimmungen – Kommentar, 50. Aufl. – München: Beck, 2007 (Meyer-Goßner, § 100i StPO). Milgram, Stanley: The Small World Problem, Psychology Today, Vol. 2, 1967, S. 60. Miller, Arthur R.: The Assault on Privacy – Computers, Data Banks, and Dossiers, (deutscher Titel: Der Einbruch in die Privatsphäre), Ann Arbor: Univ. of Mich. Pr., 1971 (The Assault on Privacy). Miller, Rudolf: Territorialität, in: Lenelis Kruse et al. (Hrsg.): Ökologische Psychologie, S. 333., München: Psychologie Verl.-Union, 1990 (in Kruse: Ökologische Psychologie). Mitsch, Wolfgang: Rechtfertigung und Opferverhalten, Hamburg: Kovac, 2004 (Opferverhalten). Mittenzwei, Ingo: Teleologisches Rechtsverständnis, Berlin: Duncker & Humblot, 1987 (Teleologie).
410
Literaturverzeichnis
Mogel, Hans: Umwelt und Persönlichkeit, Göttingen: Hogrefe, 1990 (Umwelt). Möhrenschlager, Manfred: Das neue Computerstrafrecht, wistra 1986, S. 128. Möhring, Philipp/Nicolini, Käte: Urheberrechtsgesetz – Kommentar, 2. Aufl. – München: Vahlen, 2000 (Möhring/Nicolini-Bearb., UrhR-Komm.). Morgenstern, Henrike: Unterlassene Hilfeleistung, Solidarität und Recht, Frankfurt/M. Lang, 1997 (Unterlassene Hilfeleistung). Moritz, Hans-Werner/Dreier, Thomas (Hrsg.): Rechts-Handbuch zum E-Commerce, 2. Aufl. – Köln: Schmidt, 2005 (E-Commerce). Mühle, Kerstin: Hacker und Computer-Viren im Internet – eine strafrechtliche Beurteilung, Passau, Univ., Diss., 1998 (Hacker und Strafrecht). Münchener Kommentar zum Strafgesetzbuch: Hrsg. von Wolfgang Joecks und Klaus Miebach, Band 1., 2003; Band 2.2, 2005; Band 3 – 2003 (MüKo-Bearb.). Münz, Stefan/Nefzger, Wolfgang: HTML & Web-Publishing Handbuch, Poing: Franzis, 2002 (HTML). Mürbe, Manfred: Die „Selbstbedienungstankstelle“, Jura 1992, S. 324. Murmann, Uwe: Die Selbstverantwortung des Opfers im Strafrecht, Berlin: Springer, 2005 (Selbstverantwortung). Murray, Henry Alexander: Explorations in personality, 2. Aufl. – New York: Oxford University Press, 1963. Naucke, Wolfgang: Kant und die psychologische Zwangstheorie Feuerbachs, Hamburg: Hansischer Gildenverl., 1962 (Kant u. Feuerbach). – Der Kausalzusammenhang zwischen Täuschung und Irrtum beim Betrug, in: Festschrift für Karl Peters zum 70. Geburtstag, 1974, S. 109 (FS Peters). Nelles, Ursula: Untreue zum Nachteil von Gesellschaften, Berlin: Duncker & Humblot, 1991 (Untreue). Nett, Alexander: Computer Crimes and Other Crimes against Information Technology in Czechoslovakia, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 149. Newman, Graeme R./Clarke, Ronald V.: Superhighway Robbery, Cullompton: Willan, 2003. Noetzel, Nicole/Dunst, Dieter/Völker, Jörg: Elf Personal Firewalls im Test, c’t 20–2000, S. 126. Nolde, Malaika: Heimlicher Zugriff auf Computerdaten bei strafrechtlichen Ermittlungen, CR 2007, S. R135. Noll, Peter: Tatbestand und Rechtswidrigkeit: Die Wertabwägung als Prinzip der Rechtfertigung, ZStW 77 (1965), S. 1. Nomos Kommentar: Strafgesetzbuch Kommentar, Hrsg. von Urs Kindhäuser et al., 1. Aufl. – Loseblatt, Band IV 1995 (NK1-Bearb.), 2. Aufl. – 2005, Band 1 und 2 (NK-Bearb.).
Literaturverzeichnis
411
Olizeg, Robert: Hausrecht und Hausfriedensbruch (§ 123 StGB) in Gerichtsgebäuden, Frankfurt/M. Lang, 2001 (Hausfriedensbruch). Ostendorf, Heribert: Strafbarkeit und Strafwürdigkeit von Hausbesetzungen, JuS 1981, S. 640. Otto, Harro: Strafwürdigkeit und Strafbedürftigkeit als eigenständige Deliktskategorien?, in: Gedächtsnisschrift für Horst Schröder, 1978, S. 53 (GS Schröder). – Grundkurs Strafrecht: Allgemeine Strafrechtslehre, 7. Aufl. – Berlin: de Gruyter, 2004 (Grundkurs Strafrecht AT). – Grundkurs Strafrecht: Die einzelnen Delikte, 7. Aufl. – Berlin: de Gruyter, 2005 (Grundkurs Strafrecht BT). Pawlik, Michael: Das unerlaubte Verhalten beim Betrug, Köln: Heymann, 1999 (Betrug). Pease, Ken: Crime futures and foresight: challenging criminal behaviour in the information age, in: Wall, David S., Crime and the Internet, London: Routledge, 2001, S. 18 (Crime futures). Petitcolas, Fabein A. P./Anderson, Ross J./Kuhn, Markus G.: Information Hiding – A Survey Proceedings of the IEEE, special issue on protection of multimedia content, 87(7), Juli 1999, S. 1062. Pfeiffer, Gerd: StPO Kommentar, 5. Aufl. – München: Beck, 2005. Pihlajamäki, Antti: Computer Crimes and Other Crimes against Information Technology in Finland, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 157. Piragoff, Donald K.: Computer Crimes and Other Crimes against Information Technology in Canada, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 85. Pitschas, Rainer/Ehmann, Horst: Vorwort, in: Brossette, Josef, Der Wert der Wahrheit im Schatten des Rechts auf informationelle Selbstbestimmung, Berlin: Duncker & Humblot, 1991 (in Brossette: Wahrheit). Plato: Protagoras, in: Lambert Schneider, Sämtliche Werke, Bd. I. 1940 (Protagoras). Pontin, Jason: In Praise of Print, Technology Review (TR), Nov/Dec 2006, S. 10. Pool, Ithiel de Sola/Kochen, Manfred: Contacts and Influence, Social Networks, Vol. 1, 1978, S. 5. Popitz, Heinrich: Die normative Konstruktion von Gesellschaft, Tübingen: Mohr Siebeck, 1980 (Normative Gesellschaft). Popp, Andreas: Von „Datendieben“ und „Betrügern“ – Zur Strafbarkeit des so genannten „phishing“, NJW 2004, S. 3517. – „Phishing“, „Pharming“ und das Strafrecht, MMR 2006, S. 84. Popper, Karl Raimund: Logik der Forschung, 9. Aufl. – Tübingen: Mohr Siebeck, 1989.
412
Literaturverzeichnis
– Gegen die Wissenssoziologie, in: David Miller (Hrsg.): Popper, Lesebuch – ausgewählte Texte zur Erkenntnistheorie, Philosophie der Naturwissenschaften, Metaphysik, Sozialphilosophie, Tübingen: Mohr Siebeck, 1995 (Gegen die Wissenssoziologie). Power, Richard: Tangled Web – Tales of Digital Crime from the Shadows of Cyberspace, Indianapolis: Que, 2000 (Digital Crime). Rapp, Christiane: Rechtliche Rahmenbedingungen und Formqualität elektronischer Signaturen, München: Beck, 2002 (E-Signaturen). Rehbinder, Manfred: Urheberrecht, 12. Aufl. – München: Beck, 2002. Rengier, Rudolf: Strafrecht – Besonderer Teil II, 7. Aufl. – München: Beck, 2006 (Strafrecht BT/II). – Neues zum Konkurrenzverhältnis zwischen schweren Diebstahlsfällen und §§ 123, 303 StGB – BGH, NJW 2002, 150, JuS 2002, S. 850. Renzikowski, Joachim: Die Unterscheidung von primären Verhaltens- und sekundären Sanktionsnormen in der analytischen Rechtstheorie, in: Festschrift für Karl Heinz Gössel zum 70. Geburtstag, 2002, S. 3 (FS Gössel). – Normentheorie und Strafrechtsdogmatik, in: Robert Alexy (Hrsg): Juristische Grundlagenforschung, Stuttgart: Steiner, 2004, S. 114 (in Alexy: Grundlagenforschung). Riechmann, Thomas: Sicherheit in verteilten, objektorientierten Systemen, Erlangen: Univ. Diss., 1999 (Sicherheit). Riehm, Thomas: Die Brandschutzmauer, NJW-CoR 1997, S. 337. Rinker, Mike: Strafbarkeit und Strafverfolgung von „IP-Spoofing“ und „Portscanning“, MMR 2002, S. 663. Röger, Michael: Karl Ludwig Wilhelm von Grolman, Gießen: Univ. Diss., 1995 (Karl Grolman). Röhrs, Stefanie: Vergewaltigung von Frauen in Südafrika, Frankfurt/M. Lang, 2005 (Vergewaltigung). Romano, Mario: „Strafwürdigkeit“, „Strafbedürftigkeit“ und Verbrechenslehre, in: Bernd Schünemann (Hrsg.): Bausteine des europäischen Strafrechts, CoimbraSymposium für Claus Roxin, 1995, S. 107 (Coimbra-Symposium). Rosenfelder, Andreas: Und jedermann ging, daß er sich schröpfen ließe, F.A.Z., 22.12.2006, Nr. 298, S. 33. Roßnagel, Alexander/Banzhaf, Jürgen/Grimm, Rüdiger: Datenschutz im Electronic Commerce, Heidelberg: Verl. Recht und Wirtschaft, 2003 (E-Commerce). Rössner, Dieter: Die unverzichtbaren Aufgaben des Strafrechts im System der Verhaltenskontrolle, in: Gedächtnisschrift für Rolf Keller, 2003, S. 213 (GS Keller). Roth, Robert: Les crimes informatiques et autres crimes dans le domaine de la technologie informatique en Suisse, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 459.
Literaturverzeichnis
413
Roth, Wolf-Dieter: Von Phishern und Jägern, Electronic Publishing, Telepolis (www.heise.de/tp), 16.11.2006, Art. r4, 23–23964–1. Roush, Wade: What Comes After Web 2.0?, Technology Review (TR), Nov/Dec 2006, http://www.technologyreview.com/Infotech/17845/. Roxin, Claus: Strafrechtliche Grundlagenprobleme, Berlin: de Gruyter, 1973. – Rechtsgüterschutz als Aufgabe des Strafrechts?, in: Empirische und dogmatische Fundamente, kriminalpolitischer Impetus: Symposium für Bernd Schünemann zum 60. Geburtstag, 2005, S. 135–150, (Schünemann-Symposium). – Strafrecht – Allgemeiner Teil, Band 1, 4. Aufl. – München: Beck, 2006 (Strafrecht AT/1). Rudolphi, Hans-Joachim: Die verschiedenen Aspekte des Rechtsgutsbegriffs, in: Festschrift für Richard M. Honig zum 80. Geburtstag, 1970, S. 151 (FS Honig). – Inhalt und Funktion des Handlungsunwertes im Rahmen der Personalen Unrechtslehre, in: Festschrift für Reinhart Maurach zum 70. Geburtstag, 1972, S. 51 (FS Maurach). – Der Zweck staatlichen Strafrechts und die strafrechtlichen Zurechnungsformen, in: Bernd Schünemann (Hrsg.): Grundfragen des modernen Strafrechtssystems, Berlin: de Gruyter, 1984, S. 69 (Strafrechtszweck). – Inhalt und Funktion des Handlungsunwertes im Rahmen der personalen Unrechtslehre, in: Festschrift für Reinhart Maurach, 1972, S. 51 (FS Maurach). Rüping, Hinrich: Tatausgleich und Strafwürdigkeit, in: Festschrift für Heinz MüllerDietz zum 70. Geburtstag, 2001, S. 717 (FS Müller-Dietz). Salewski, Heinz: Zur Soziologie und Strafwürdigkeit der Sachbeschädigung, Breslau-Neukirch: Kurtze, 1935 (Strafwürdigkeit). Sander, Günther M./Hohmann, Olaf: Sechstes Gesetz zur Reform des Strafrechts (6. StrRG): Harmonisiertes Strafrecht?, NStZ 1998, S. 273. Samson, Erich: Das Verhältnis von Erfolgsunwert und Handlungsunwert im Strafrecht, in: Festschrift für Gerald Grünwald zum siebzigsten Geburtstag, 1999, S. 585 (FS Grünwald). Sauer, Wilhelm: Allgemeine Strafrechtslehre, 3. Aufl. – Berlin: de Gruyter, 1955 (Strafrechtslehre). Sax, Walter: Grundsätze der Strafrechtspflege, in: Karl August Bettermann/Hans Carl Nipperdey/Ulrich Scheuner (Hrsg.): Die Grundrechte, Band III, 2. Halbband, 1972, S. 909 (Strafrechtspflege). – „Tatbestand“ und Rechtsgutsverletzung (I), JZ 1976, S. 9. – „Tatbestand“ und Rechtgutsverletzung (II), JZ 1976, S. 80. Schaar, Peter/Landwehr, Sebastian: Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06 – zur verdeckten Online-Durchsuchung, K&R 2007, S. 202.
414
Literaturverzeichnis
Schack, Haimo: Urheber- und Urhebervertragsrecht, 3. Aufl. – Tübingen: Mohr Siebeck, 2005 (Urheberrecht). Schaffstein, Friedrich: Soziale Adäquanz und Tatbestandslehre, ZStW 72 (1960), S. 369. Schall, Hero: Die Schutzfunktionen der Strafbestimmung gegen den Hausfriedensbruch: ein Beispiel für die soziologisch fundierte Auslegung strafrechtlicher Tatbestände, Berlin: Duncker & Humblot, 1974 (Hausfriedensbruch). – Hausbesetzungen im Lichte der Auslegung des § 123 StGB, NStZ 1983, S. 241. Schall, Hero/Amelung, Knut: Zum Einsatz von Polizeispitzeln: Hausfriedensbruch und Notstandsrechtfertigung, Wohnungsgrundrecht und Durchsuchungsbefugnis – OLG München, DVBl 1973, 221, JuS 1975, S. 565. Scheider, Gerhard: Sperren und Filtern im Internet, MMR 2004, S. 18. Schertz, Christian: Der neue § 201 a StGB: Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen, in: Festschrift für Renate Damm zum 70. Geburtstag, 2005, S. 214 (FS Damm). Scheuerle, Wilhelm A.: Rechtsanwendung, Nürnberg: Stoytscheff, 1952. Schild, Wolfgang: Die staatliche Strafmaßnahme als Symbol der Strafwürdigkeit – zur Verbrechens- und Strafphilosophie von Immanuel Kant, in: Festschrift für E. A. Wolff zum 70. Geburtstag, 1998, S. 429 (FS Wolff). Schlüchter, Ellen: Zweites Gesetz zur Bekämpfung der Wirtschaftskriminalität, Heidelberg: C. F. Müller, 1987 (2. WiKG). – Zweckentfremdung von Geldspielgeräten durch Computermanipulationen, NStZ 1988, S. 53. Schmachtenberg, Daniel: Überwindung „besonderer Zugangssicherungen“ nach § 202a StGB, DuD 1998, S. 401. Schmid, Pirmin: Computerhacken und materielles Strafrecht – unter besonderer Berücksichtigung von § 202a StGB, Konstanz: Univ. Diss. 2001 (Computerhacken). Schmidhäuser, Eberhard: Vom Sinn der Strafe, Nachdr. d. 2. Aufl. (1971) – Berlin: Logos Berlin, 2004 (Sinn der Strafe). – Strafrecht, allgemeiner Teil: Lehrbuch, 2. Aufl. – Tübingen: Mohr Siebeck, 1975 (Strafrecht AT Lehrbuch). – Strafrecht, Allgemeiner Teil: Studienbuch, 2 Aufl. – Tübingen: Mohr Siebeck, 1984 (Strafrecht AT Studienbuch). – Vom Sinn der Strafe, Berlin: Logos, 2004. Schmidl, Michael: Zum virtuellen Hausrecht als Abwehrrecht, K&R 2006, S. 563. Schmidt, Eberhard: Die Kriminalpolitik Preußens unter Friedrich Wilhelm I. und Friedrich II., Berlin: Guttentag, 1914 (Kriminalpolitik Preußens). Schmidt, Frank-Herrmann: Verhaltensforschung und Recht, Berlin: Duncker & Humblot, 1982.
Literaturverzeichnis
415
Schmitz, Martin: Die Funktion des Begriffs Unglücksfall bei der unterlassenen Hilfeleistung unter Berücksichtigung spezieller inhaltlicher Problemfelder, Frankfurt/M. Lang, 2006 (Unglücksfall). Schmitz, Roland: Ausspähen von Daten, § 202a StGB, JA 1995, S. 478. Schneider, Gerhard: Sperren und Filtern im Internet, MMR 2004, S. 18. Schneider, Hans Joachim: Viktimologie, Tübingen: Mohr Siebeck, 1975. – (Hrsg.): Das Verbrechensopfer in der Strafrechtspflege, Berlin: de Gruyter, 1982 (Verbrechensopfer). Schneier, Bruce: MySpace Passwords Aren’t So Dumb, Electronic Publishing: Wired Magazine, www.wired.com, 14.12.2006. – Angewandte Kryptographie – Protokolle, Algorithmen und Sourcecode in C, München: Pearson Studium, 2006 (Kryptographie). Schoch, Friedrich: Öffentliche-rechtliche Rahmenbedingungen einer Informationsordnung, in: Herbert Bethge/Beatrice Weber-Dürler, Der Grundrechtseingriff, Berlin: de Gruyter, 1998 (Informationsordnung). Schönke, Adolf/Schröder, Horst: Strafgesetzbuch: Kommentar, 18. Aufl. – München: Beck, 1976 (Sch/Sch18), 26. Aufl. – München: Beck, 2001, (Sch/Sch26), 27. Aufl. – München: Beck, 2006 (Sch/Sch-Bearb.). Schopenhauer, Arthur: Parerga und Paralipomena II, In: Sämtliche Werke, Bd. 6, Leipzig: Brockhaus, 1939 (Parerga). – Preisschrift über die Grundlage der Moral, Hrsg. v. Hans Ebeling, Hamburg: Felix Meiner, 1979 (Moral). Schott, Gaspar: Schola steganographica, Nürnberg: Herbipol. 1666. Schricker, Gerhard: Urheberrecht – Kommentar, 3. Aufl. – München: Beck, 2006 (Schricker-Bearb., UrhR-Komm.). Schroeder, Friedrich-Christian: Die Bestimmtheit von Strafgesetzen am Beispiel des groben Unfugs, JZ 1969, S. 775. – Die Herbeiführung einer Unterschrift durch Täuschung oder Zwang, GA 1974, S. 225. – Besprechung von BayObLG Urt. v. 17.12. – RReg 3 St 250/79 = NJW 1981, 772, JuS 1981, S. 417. – Der Schutz staatsbezogener Daten im Strafrecht, NJW 1981, S. 2278. – Begriff und Rechtsgut der „Körperverletzung“, in: Festschrift für Hans Joachim Hirsch zum 70. Geburtstag, 1999, S. 725 (FS Hirsch). – Neuartige Absichtsdelikte, in: Hoyer (Hrsg.): Friedrich-Christian Schroeder – Beiträge zur Gesetzgebungslehre und zur Strafrechtsdogmatik, 2001, S. 90. – Notstandslage bei Dauergefahr, in: Hoyer (Hrsg.): Friedrich-Christian Schroeder – Beiträge zur Gesetzgebungslehre und zur Strafrechtsdogmatik, 2001, S. 169.
416
Literaturverzeichnis
– Genugtuung für die Opfer – Reemtsma und der Sinn der Strafe, in: Hoyer (Hrsg.): Friedrich-Christian Schroeder – Beiträge zur Gesetzgebungslehre und zur Strafrechtsdogmatik, 2001, S. 1991. – Missglückte Metaphern im Strafrecht, in: Festschrift für Günther Jakobs, 2007, S. 627 (FS Jakobs). – Das Strafgesetz zwischen Tatvergeltung und Verhaltensverbot, In: Festschrift für Harro Otto, 2007, S. 165 (FS Otto). Schüler, Peter: Werkzeug zur Beseitigung unerwünschter Software, c’t 10–2005, S. 142. Schultz-Gambard, Jürgen: Persönlicher Raum, in: Lenelis Kruse et al. (Hrsg.): Ökologische Psychologie, München: Psychologie Verl.-Union, 1990, S. 325 (in Kruse: Ökologische Psychologie). – Dichte und Enge, in: Lenelis Kruse et al. (Hrsg.): Ökologische Psychologie, München: Psychologie Verl.-Union, 1990, S. 339 (in Kruse: Ökologische Psychologie). Schulz, Lorenz: Strafrecht als Rechtsgüterschutz – Probleme der Mediatisierung am Beispiel „ökologischer“ Güter, in: Klaus Lüderssen (Hrsg.): Aufgeklärte Kriminalpolitik oder Kampf gegen das Böse? Band 1: Legitimationen, 1998, S. 208 (Rechtsgüterschutz). Schulze-Heiming, Ingeborg: Der strafrechtliche Schutz der Computerdaten gegen die Angriffsformen der Spionage, Sabotage und des Zeitdiebstahls, Münster: Waxmann, 1995 (Computerdaten). Schulzki-Haddouti, Christiane: Das globale Abhör-Puzzle; Interview mit Gerhard Schmid, Electronic Publishing, Telepolis (www.heise.de/tp), 20.04.2001, Art. r4, 7–7428–1. Schumann, Kay H.: Das 41. StrÄndG zur Bekämpfung der Computerkriminalität, NStZ 2007, S. 675. Schünemann, Bernd: Der strafrechtliche Schutz von Privatgeheimnissen, ZStW 90 (1978), S. 11. – Methologische Prolegomena zur Rechtsfindung im Besonderen Teil des Strafrechts, in: Festschrift für Paul Bockelmann zum 70. Geburtstag, 1979, S. 117 (FS Bockelmann). – Besondere persönliche Verhältnisse und Vertreterhaftung im Strafrecht, ZSchwR Bd. 97 (1979), S. 131. – Einige vorläufige Bemerkungen zur Bedeutung des viktimologischen Ansatzes in der Strafrechtsdogmatik, in: Hans Joachim Schneider (Hrsg.): Das Verbrechensopfer in der Strafrechtspflege, Berlin: de Gruyter, 1982 S. 407 (Schneider: Verbrechensopfer). – Die Zukunft der Viktimo-Dogmatik: die viktimologische Maxime als umfassendes regulatives Prinzip zur Tatbestandseingrenzung im Strafrecht, in: Festschrift für Hans Joachim Faller, 1984, S. 357 (FS Faller).
Literaturverzeichnis
417
– Zur Stellung des Opfers im System der Strafrechtspflege, NStZ 1986, S. 193 und S. 439. – Strafrechtssystem und Kriminalpolitik, in: Festschrift für Rudolf Schmitt zum 70. Geburtstag, 1992, S. 117 (FS R. Schmitt). – Das System des strafrechtlichen Unrechts: Rechtsgutsbegriff und Viktimodogmatik als Brücke zwischen dem System des Allgemeinen Teils und dem Besonderen Teil, in: Bernd Schünemann (Hrsg.): Strafrechtssystem und Betrug, Herbolzheim: Centaurus, 2002, S. 51 (System). – Das Rechtsgüterschutzprinzip als Fluchtpunkt der verfassungsrechtlichen Grenzen der Straftatbestände und ihrer Interpretation, in: Roland Hefendehl, Andrew von Hirsch, Wolfgang Wohlers (Hrsg.): Die Rechtsgutstheorie, Baden-Baden: Nomos, 2003, S. 133 (Rechtsgüterschutzprinzip). Schwind, Hans-Dieter: Kriminologie, 17. Aufl. – Heidelberg: Kriminalistik-Verl., 2007. Seck, Claudia von: Die elektronische Signatur im Hinblick auf die Haftung der Zertifizierungsdiensteanbieter, Marburg: Univ. Diss., 2003 (E-Signatur). Seebode, Manfred: Zur Berechenbarkeit der strafrechtlichen Hilfspflicht (§ 323c StGB), in: Festschrift für Günter Kohlmann zum 70. Geburtstag, 2003, S. 279 (FS Kohlmann). Seier, Jürgen: „Instandbesetzung – Hausherrschaft“, JA 1982, S. 232. Seiler, Robert: Die Bedeutung des Handlungsunwertes im Verkehrsstrafrecht, in: Festschrift für Reinhart Maurach zum 70. Geburtstag, 1972, S. 75 (FS Maurach). Shakespeare, William: Othello, Julie Hankey (Hrsg.): Bristol: Bristol Class. Pr., 1987. Sieber, Ulrich: Computerkriminalität und Strafrecht, Köln: Heymann 1980 (Computerkriminalität). – Informationstechnologie und Strafrechtsreform, Köln: Heymann, 1985 (Informationstechnologie). – Der strafrechtliche Schutz der Information, ZStW 103 (1991), S. 297. – The international emergence of criminal information law, Köln: Heymann, 1992 (International IT-Law). – Rechtsinformatik und Informationsrecht, Jura 1993, S. 561. – Commentary and Preparatory Questions for the National Reports, in: Ulrich Sieber (Hrsg.): Information Technology Crime, S. 5, Köln: Heymann, 1994 (Questions). – Computerkriminalität und Informationsstrafrecht, CR 1995, S. 100. – Verantwortlichkeit im Internet, München: Beck, 1999 (Verantwortlichkeit). – Der strafrechtliche Schutz des Arzt- und Patientengeheimnisses unter den Bedingungen der modernen Informationstechnik, in: Festschrift für Albin Eser zum 70. Geburtstag, 2005, S. 1155 (FS Eser).
418
Literaturverzeichnis
– (Hrsg.): Information Technology Crime, Köln: Heymann, 1994. Sieg, Rainer: Strafrechtlicher Schutz gegen Computerkriminalität, Jura 1986, S. 352. Simmel, Arnold: Privacy is not an Isolated Freedom, in: J. R. Pennock/J. W. Chapman (Hrsg.): Privacy, New York: Atherton, 1971, S. 71 (Privacy). Sommer, Robert: Personal Space, Englewood: Prentice-Hall, 1969. Sonnen, Bernd-Rüdeger: Besprechung von BayObLG Urt. v. 17.12. – RReg 3 St 250/79 = NJW 1981, 772, JA 1981, 367. – Strafrecht, Besonderer Teil, Heidelberg: C. F. Müller, 2005 (Strafrecht BT). Spindler, Gerald: Europäisches Urheberrecht in der Informationsgesellschaft, GRUR 2002, S. 105. – Anmerkung zu OLG Hamburg v. 22.08.2006 – 7 U 50/06 = MMR 2006, S. 744, jurisPR-ITR 9/2006, Anm. 2. Spinelles, Dionysios D.: Das Rechtsgut der Ehre, in: Festschrift für Hans Joachim Hirsch zum 70. Geburtstag, 1999, S. 739 (FS Hirsch). Spreutels, Jean P.: Les crimes informatiques et autres crimes dans le domaine de la technologie informatique en Belgique, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 49. Stasiukonis, Steve: Social Engineering, the USB Way, Electronic Publishing, www. darkreading.com, 2006 (Social Engineering). Stoll, Benno Luthiger: Spass und Software-Entwicklung, Zur Motivation von OpenSource-Programmierern, Electronic Publishing: Zürich: Univ. Diss., 2006 (Software-Entwicklung). Streng, Franz: Schuld, Vergeltung, Generalprävention, ZStW, 92 (1980), S. 637. Strobel, Stefan: Firewalls und IT-Sicherheit, 3. Aufl. – Heidelberg: dpunkt, 2003 (Firewalls). Strömer, Tobias H.: Online-Recht, 4. Aufl. – Heidelberg: dpunkt, 2006. Stuckenberg, Carl-Friedrich: Zur Strafbarkeit von „Phishing“, ZStW 118 (2006), S. 878. Sun Tsu: Über die Kriegs-Kunst, Leibnitz, Klaus (Bearb.), Karlsruhe: Info, 1989. – Wahrhaft siegt, wer nicht kämpft, Cleary, Thomas, Fischer-Schreiber, Ingrid (Bearb.), Freiburg im Breisgau: Bauer, 1990. Suppert, Hartmut: Studien zur Notwehr und „notwehrähnlichen Lage“, Bonn: Röhrscheid, 1973 (Notwehr). Systematischer Kommentar zum Strafgesetzbuch: Hrsg. und Bearb. von Hans-Joachim Rudolphi; Eckhard Horn; Hans-Ludwig Günther; Erich Samson et al., Loseblatt, Band 2, 24. Lfg., 4. Aufl., Stand Jan. 1989, (SK24-Bearb.); Band 2, 39. Lfg. 5. Aufl., Stand Dez. 1996 (SK39-Bearb.); Band 2, 49. Lfg., 7. Aufl., Stand Okt. 1999 (SK49-Bearb.); Band 1 und Band 2: 110. Lfg., Stand Sept. 2007, (SKBearb.). Taeger, Jürgen: Softwareschutz durch Geheimnissschutz, CR 1991, S. 449.
Literaturverzeichnis
419
Taylor, Paul: Hacktivism: in search of lost ethics?, in: Wall, David S.: Crime and the Internet, S. 59, London: Routledge, 2001 (Hacktivism). Tiedemann, Klaus: Die Bekämpfung der Wirtschaftskriminalität durch den Gesetzgeber, JZ 1986, S. 865. – Wettbewerb als Rechtsgut des Strafrechts, in: Festschrift für Heinz Müller-Dietz zum 70. Geburtstag, 2001, S. 905 (Wettbewerb). TKG-Kommentar: Beck’scher TKG-Kommentar, hrsg. von Martin Geppert, 3. Aufl. – München: Beck, 2006, (Bearb., TKG-Ko.). Trithemius, Johannes: Steganographia, Moguntiae: Zubrodt, 1676. Tröndle, Herbert/Fischer, Thomas: Strafgesetzbuch und Nebengesetze: Kommentar, 54. Aufl. – München: Beck, 2007 (Tröndle/Fischer54). Ursin, Rupert/Tiefenbacher, Felix/Schmitt-Manderbach, Tobias et al.: Entanglement-based quantum communication over 144 km, Nature Physics 2007, Vol. 3), No. 7, S. 481. Valerius, Brian: Ermittlungen der Strafverfolgungsbehörden in den Kommunikationsdiensten des Internet, Berlin: Logos, 2004 (Internetermittlung). – Ermittlungsmaßnahmen im Internet, wistra 2007, S. 275. Van den Haag, Ernest: On Privacy, in: J. Roland Pennock/John. W. Chapman (Hrsg.): Privacy, New York: Atherton, 1971, S. 149. Vassilaki, Irini E.: Computer Crimes and Other Crimes against Information Technology in Greece, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 235. – Kriminalität im World Wide Web – Erscheinungsformen der „Post-Computerkriminalität“ der zweiten Generation, MMR 2006, S. 212. Velecky, Lubor C.: The Concept of Privacy, in J. B. Young (Hrsg.): Privacy Chichester: John Wiley & Sons, 1978, S. 13 (Privacy). Vetter, Jan: Gesetzeslücken bei der Internetkriminalität, Hamburg: Kovac, 2003 (Internetkriminalität). Viefhues, Wolfram: Das Gesetz über die Verwendung elektronischer Kommunikationsformen in der Justiz, NJW 2005, S. 1009. Violka, Karsten: Zugriffsrechte unter Windows gezielt vergeben, c’t 13—2006, S. 220. Vogel, Joachim: Strafrechtsgüter und Rechtsgüterschutz durch Strafrecht im Spiegel der Rechtsprechung des Bundesverfassungsgerichts, StV 1996, S. 110. – Strafgesetzgebung und Strafrechtswissenschaft, in: Festschrift für Claus Roxin zum 70. Geburtstag, 2001, S. 105. – Legitimationsprobleme beim Betrug: Eine entstehungszeitliche Analyse, in: Bernd Schünemann (Hrsg.): Strafrechtssystem und Betrug, Herbolzheim: Centaurus, 2002, S. 89 (Legitimationsprobleme).
420
Literaturverzeichnis
– Betrug durch konkludente Täuschung: „Recht auf Wahrheit“ oder kommunikative Verkehrssicherungspflichten?, in: Gedächtnisschrift für Rolf Keller, 2003, S. 313 (GS Keller). – Harmonisierung des Strafrechts in der Europäischen Union, GA 2003, S. 314. Volesky, Karl-Heinz: Hacking – Strafbarkeit und Strafwürdigkeit nach englischem Recht, CR 1991, 553. Volesky, Karl-Heinz/Scholten, Hansjörg: Computersabotage – Sabotageprogramme – Computerviren, IuR 1987, S. 280. Volk, Klaus: Entkriminalisierung durch Strafwürdigkeitskriterien jenseits des Deliktsaufbaus, ZStW 97 (1985), S. 871. Walde, Alois/Hofmann, Johann Baptist: Lateinisches etymologisches Wörterbuch, Erster Band, A–L, 3. Aufl. – Heidelberg: Winter, 1938. Wall, David S.: Cybercrimes and the Internet, in: Wall, David S.: Crime and the Internet, London: Routledge, 2001, S. 1 (Cybercrimes and the Internet). – Cybercrime: New wine, no bottles?, in: Wall, David S.: Cyberspace Crime, S. 105, Dartmouth: Ashgate, 2003 (Cybercrime). Walter, Michael: Läßt sich der Handlungsunwert an der aufgewendeten „kriminellen Energie“ ermessen?, GA 1985, S. 197. – Die Bestimmung der Tatschuld und Bemessung der Strafe nach der vom Täter entwickelten „kriminellen Energie“, in: Gedächtnisschrift für Hilde Kaufmann, 1986, S. 493 (GS Kaufmann). Wandtke, Artur-Axel/Bullinger, Winfried: Urheberrecht – Praxiskommentar, 2. Aufl. – München: Beck, 2006 (Wandtke/Bullinger-Bearb. UrhR-Komm.). Wang, Huaiqing/Wang, Shuozhong: Cyber warfare: steganography vs. steganalysis, Communications of the The Association for Computing Machinery (ACM) Vol. 47, No. 10, 2004. Wasik, Martin: Crime and the Computer, Oxford: Clarendon, 1991 (Computercrime). – Computer Crimes and Other Crimes against Information Technology in the United Kingdom, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 489. Watts, Duncan J./Strogatz, Steven H.: Collective dynamics of ‚small-world‘ networks, Nature (Vol. 393), 1998, S. 440. Weber, Ulrich: Die Vorverlegung des Strafrechtsschutzes durch Gefährdungs- und Unternehmensdelikte, in Jescheck, Hans-Heinrich: Die Vorverlegung des Strafrechtsschutzes durch Gefährdungs- und Unternehmensdelikte, 1987, S. 1. Weck, Gerhard: Sicherheit von Rechensystemen, CR 1986, S. 839. Weizsäcker, Carl Friedrich: Aufbau der Physik, München: Hanser, 1985. – Zeit und Wissen, München: Hanser, 1992. Welp, Jürgen: Datenveränderung (§ 303 a StGB), iur 1988, S. 443. Welzel, Hans: Studien zum System des Strafrechts, ZStW 58 (1939), S. 491.
Literaturverzeichnis
421
– Das deutsche Strafrecht, 11. Aufl. – Berlin: de Gruyter, 1969 (Strafrecht). Werner, Dennis: Anm. zu AG Hamm Urt. v. 5.9.2005 – 10 Ds 101 Js 244/05, CR 2006, 71. Wesel, Uwe: Geschichte des Rechts, 2. Aufl. – München: Beck 2001. Wessels, Johannes: Zur Problematik der Regelbeispiele für „schwere“ und „besonders schwere Fälle“, in: Festschrift für Reinhart Maurach zum 70. Geburtstag, 1972, S. 295 (FS Maurach). Wessels, Johannes/Beulke, Werner: Strafrecht, Allgemeiner Teil, 36. Aufl. – Heidelberg: Müller, 2006 (Strafrecht AT). Wessels, Johannes/Hettinger, Michael: Strafrecht, Besonderer Teil/1, 30. Aufl. – Heidelberg: Müller, 2006 (Strafrecht BT/1). Wessels, Johannes/Hillenkamp, Thomas: Strafrecht, Besonderer Teil/2, 29 Aufl. – Heidelberg: Müller, 2006 (Strafrecht BT/2). Westin, Alan F.: Privacy and Freedom, New York: Atheneum, 1970 (Privacy). Wicherski, Georg/Knop, Dirk: Viren am Verhalten erkannt, c’t, 14–2006, S. 222. Wiener, Norbert: Cybernetics or Control and Communication in the Animal and the Machine, 2. Aufl. – Cambridge, MA: MIT Press, 1961. Willer, Christoph/Hoppen, Peter: Computerforensik – Technische Möglichkeiten und Grenzen, CR 2007, S. 610. Wilkins, John: Mercury: or the secret and swift messenger, Nachdruck d. dritten Auflage – Amsterdam: Benjamin, 1984 (Mercury). Wise, Edward M.: Computer Crimes and Other Crimes against Information Technology in the United States, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 509. Wöbker, Richard H.: Selbstmord und Selbstmordversuch als Unglücksfall im Sinne des Paragraphen 323c StGB, Köln: Univ. Diss., 1981 (Unglücksfall). Wolfe, Maxine/Laufer, Robert: The Concept of Privacy in Childhood and Adolescence, in: D. H. Carson (Hsrg.), Man-Environment Interaction: Evaluations and Applications Part II, Stroudsburg: Dowden, Hutchinson & Ross 1974, Unit 6, S. 29 (Privacy). Wolski, Sabine: Soziale Adäquanz, München: VVF, 1990. Wolter, Jürgen: Strafwürdigkeit und Strafbedürftigkeit in einem neuen Strafrechtssystem, in: 140 Jahre Goltdammer’s Archiv für Strafrecht: eine Würdigung zum 70. Geburtstag von Paul-Günter Pötz, Heidelberg: v. Decker, 1993, S. 269 (Strafwürdigkeit). – Objektive Zurechnung und modernes Strafrechtssystem: ein normtheoretischer Beitrag zum „Risikoprinzip“ von Claus Roxin und zur „Wesentlichkeit von Kausalabweichungen“, in: Internationale Dogmatik der objektiven Zurechnung und der Unterlassungsdelikte/ein Spanisch-Deutsches Symposium zu Ehren von Claus Roxin, Heidelberg: Müller, 1995, S. 3 (Deutsch-Spanisches Symposium).
422
Literaturverzeichnis
– Der Schutz des höchstpersönlichen Lebensbereichs in § 201 a StGB: ein Kommentar zu Kristian Kühl, in: Empirische und dogmatische Fundamente, kriminalpolitischer Impetus: Symposium für Bernd Schünemann zum 60. Geburtstag hrsg. von Roland Hefendehl, Köln: Heymann, 2005, S. 225 (Schünemann-Symposium). Wong, Pak Chung/Wong, Kwong-Kwok/Foote, Harlan: Organic Data Memory – Using the DNA Approach, Communications of the ACM (CACM), 2003 (Vol. 46), No. 1, S. 95. Wülfing, Thomas: Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06 – zur verdeckten Online-Durchsuchung, ITRB 2007, S. 79. Wüllrich, Philipp: Das Persönlichkeitsrecht des Einzelnen im Internet, Jena: Jenaer Wiss. Verl.-Ges., 2006. Würtenberger, Thomas: Das System der Rechtsgüterordnung in der deutschen Strafgesetzgebung, Aalen: Scientia, 1973 (Rechtsgüterordnung). Yan, Jianxin/Anderson, Ross/Blackwell, Alan/Grant, Alasdair: The memorability and security of passwords, in: Lorrie Faith Cranor/Simson Garfinkel (Hrsg.): Designing secure systems that people can use, Peking: O’Reilly, 2005, S. 129 (Security of passwords). Yamaguchi, Atsushi: Computer Crimes and Other Crimes against Information Technology in Japan, in: Sieber, Ulrich: Information Technology Crime, 1994, S. 305. Ye, Eileen Zishuang/Yuan, Yougu/Smith, Sean, W.: Web Spoofing Revisited: SSL and Beyond., Computer Science Technical Report (CSTR) 2002, S. 417. Young, John B.: Introduction: A look at privacy, in: J. B. Young (Hrsg.): Privacy, Chichester: John Wiley & Sons, 1978, S. 1 (Privacy). Zielinski, Diethart: Der strafrechtliche Schutz von Computersoftware, in: Wolfgang Kilian/Peter Gorny (Hrsg.): Schutz von Computersoftware, S. 115 (Computersoftware). Zilahi-Szabó, Miklós Géza: Kanzleiportal gegen Informationschaos, DStR 2007, S. 38. Zipf, Heinz: Die mangelnde Strafwürdigkeit der Tat, Salzburg: Pustet, 1975 (Strafwürdigkeit). – Dogmatische und kriminalpolitische Fragen bei § 243 Abs. 2 StGB, in: Festschrift für Eduard Dreher zum 70. Geburtstag, 1977, S. 389 (FS Dreher). Alle Onlinequellen dieser Arbeit wurden am 03.01.2008 letztmalig abgefragt.
Sachwortverzeichnis Seitenzahlen beziehen sich auf die erste Seite des jeweiligen Stichwortthemas. Abwehrtechniken – Antivirenprogramme (Virenscanner), s. a. dort 272 – Daten(fern)übertragung 80 – Firewall, s. a. dort 269 – Kombination von Abwehrtechniken 315 – Kopierschutz, s. a. dort 277 – Kryptographie, s. a. dort 303 – Meinungsstand 184 – Passwort, s. a. dort 180 – Sonstige Sicherungsmaßnahmen im weiteren Sinne 280 – Sonstige, nicht-digitale physische Maßnahmen 282 – Steganographie, s. a. dort 299 – Systematischer Vergleich von Sicherungserfordernissen, s. a. Systematik und § 237 – TrueCrypt 315 – Verschlüsselung, s. a. Kryptographie 287 – Verstecken, s. a. Steganographie u. Kryptographie 287 – Wirkungsweise, Anwendung, Zielrichtung 180 Antivirenprogramme 272, 329 – Technik, Anwendungsgebiete 272 – Wertung 276 Auktionshaus, s. a. Onlineauktionshaus 225 Ausspähen, s. a. Ausspähtechniken 89 Ausspähtechniken 103 – Ablesen notierter Zugangsdaten 114
– Ausnutzen transitiven Vertrauens 148 – Backdoors 146 – Beispiele 108 – Bots 135 – Brute Force 117 – Dialer 144 – Dictionary Attack 117 – Exploiting 131 – Footprinting 132 – Guessing 117 – Internetspezifische 120 – Keylogging 116 – Man-in-the-Middle 149 – Mapping 132 – Passwortdiebstahl, s. a. Passwort 112 – Pharming 130 – Phishing 126 – Ping-Scanning 133 – Port Scanning 133 – Raten 117 – Session Hijacking 152 – Social Engineering 114 – Spyware 141 – Tarnung 152 – Masquerading 153 – Rootkits 155 – Spoofing 154 – Trapdoors 146 – Trojanische Pferde 137 – Verknüpfung der 156 – Viren 144 – Würmer 135 – Zusammenfassung 157
424
Sachwortverzeichnis
Backdoors 146 Begründungsmodi – Dokumentationstheorie (h. M.), s. a. dort 160 – Handlungsunrecht, s. a. dort 357, 365 – Praktische Folgen 382 – Prävention, s. a. dort 357, 369 – Vertiefung der Rechtsgutsverletzung, s. a. Rechtsgutsverletzung 357, 367 Besondere Sicherung, s. a. Sicherung, besondere 96 Bestimmung der Daten, s. a. Daten 85 Bots 135, 217, 270 Brute-Force 117 Dateizugriff 220 Daten 70 – als Tatobjekt 70 – Bestimmung der 85 – Trennung von Zugangssicherung und Bestimmung 88 – Daten(fern)übertragung 78 – Gruppenspezifische Wahrnehmbarkeit 82 – Information, s. a. Information 70 – Information als Gegenstand strafrechtlichen Schutzes 166 – Speicherarten 73 – Syntax 75 – Wahrnehmbarkeit (nicht-unmittelbare) 73 Datenfernübertragung 80 Dialer 144 Dictionary Attack 117 Diebstahl (von Daten), s. a. Identitätsdiebstahl 32 Dokumentationstheorie (h. M.) 98, 112, 160, 164, 179, 313 – am Beispiel der Passwortabfrage 180 – Einleitung 184 – in chronologischer Folge 188
– Inhaltliche Kritik an der 216 – Literaturansichten 188 – In chronologischer Folge 188 – Onlinedienste 222 – Sozialpsychologie, s. a. Privatheit 165 – Systematische Kritik 237 – Zusammenfassung 212, 236 Erfolgsunrecht, s. a. Handlungsunrecht 366 Exploiting 131 Firewall 133, 149, 269 – Rechtliche Wertung 270 – Ziel, Wirkungsweise, Anwendung 269 Footprinting 132 Foren, s. a. Onlineforen 223 Geheimnis 21, 49, 54, 100, 160, 166, 217, 221, 264, 312 – Formelles 34, 39, 44 – Geheimnisschutzdelikte 334 – Materielles 33, 38, 43 – Materielles – de lege ferenda 54 Guessing 117 Hacking 20, 25, 52, 89, 368, 398, 420 Handlungsunrecht – Erfolgsunrecht 366 – Intentionsunwert 366 Herrschende Meinung, s. a. Dokumentationstheorie 96, 160 Identitätsdiebstahl 111, 224 identity theft 111, 224 Information, s. a. Daten 30, 70, 166 Intentionsunwert 366 Internet – Ausnutzen transitiven Vertrauens 148
Sachwortverzeichnis – Ausspähtechniken im, s. a. Ausspähtechniken 126 – Historie 120 – Identifikation im 224 – Sicherheitsarchitektur 120 Keylogging 116 Kopierschutz 277, 384 Kriminologie 20, 165, 324, 364 – Tätergruppen 104 – Tatmotive 106 Kryptographie 75, 93, 99, 102, 139, 150, 184, 190, 263, 279 – Anwendungsgebiete 292 – Einordnung 287 – Historie und Zielrichtung 288 – Kombination mit anderen Sicherungstechniken 315 – Kombination mit Steganographie 315 – Kurzglossar 287 – Rechtliche Wertung 309 – Technik 303 – TrueCrypt 315 – Verschaffen von verschlüsselten Daten 93 Man-in-the-Middle 149 Mapping 132 Masquerading 153 Online s. a. Internet 120 Onlineauktionshaus 225 Onlinebanking 116, 152 Onlinedienste 222 Onlineforen 222 Onlinehändler 222, 224 Passwort – Einleitung 184 – Identifikation gleich Schutz? 223 – Onlinedienste 222 – Schutz gleich Zugangsschutz? 219
425
– Technik 180 – Wirkungsweise 180 – Zugangsschutz gleich Geheimnisschutz? 217 – Zusammenfassung 212 – Zusammenfassung der h. M. zum 212 – Zwecke 217 Passwortdiebstahl, s. a. Ausspähtechniken 112 Pharming 130 Phishing 23, 126, 154 Ping-Scanning 133 Port-Scanning 133 Prävention 357, 369 – als anerkannter Strafzweck 369 – Begründungskonkordanz von Bereichssicherungen 378 – besond. Gefährlichkeit wegen Sicherungsbruchs 372 – Praktische Folgen 382 – Systematische Passung 377 – mit § 202 StGB, s. a. dort 378 – mit § 202b StGB, s. a. dort 378 – mit § 243 Abs. 1 S. 2 Nr. 1 StGB, s. a. dort 378 – mit § 243 Abs. 1 S. 2 Nr. 2 StGB, s. a. dort 378 – mit § 243 Abs. 1 S. 2 Nr. 6 StGB, s. a. dort 379 – mit § 244 Abs. 1 Nr. 3 StGB, s. a. dort 379 – mit § 323c StGB, s. a. dort 380 – Vorverlagerung 374 – Zusammenfassung 382 Privatheit 22, 33, 41, 50, 105, 160, 165, 239, 247, 261, 282, 339, 348, 358, 372, 379, 388 – als Gegenstand des (Straf-)Rechts 166 – Sozialpsychologie 165, 168, 175 Psychologie 165
426
Sachwortverzeichnis
Raten, s. a. Guessing 117 Rechteverwaltung 220 Rechtsgut 27, 160, 162, 192, 206, 238, 245, 248, 251, 254, 335, 339, 346, 348, 355, 357, 367, 372 – Alternativen de lege ferenda 54 – Ansichten zum 30 – Formelles Geheimnis als 34, 39, 44, 48–49 – Information als, s. a. Information 30, 49 – Materielles Geheimnis als 33, 38, 43, 46, 49 – Rechtsgutsbegriff 27 – Rechtsgutsträger, s. a. dort 60 – Rechtsgutsverletzung 367 – Vermögen als 32, 38, 40, 47, 49 Rechtsgutsträger 60, 196, 336, 340, 344, 399 – Derivativer Erwerber 66 – Inhaber 67 – kupierte Datenüberlassungen 86 – Speichernder 62 – Urheber 64 Reform, 41. StrÄndG 24–25, 43, 89, 93, 148, 159, 263, 311, 333 Ressourcendiebstahl 218 Rootkits 155 Session Hijacking 152 Sicherung, besondere 160 – Abwehrtechniken, s. a. dort 180, 267 – Antivirenprogramme/-scanner, s. a. Antivirenprogramme 272 – Ausspähtechniken, s. a. dort 103 – Derzeitiges Verständnis, s. a. Dokumentationstheorie (h. M.) 96 – Dokumentationstheorie (h. M.), s. a. Dokumentationstheorie 164 – Firewall, s. a. dort 269 – Kopierschutz 277 – Kryptographie, s. a. dort 287
– Passwortabfrage, s. a. dort 180 – Sonstige Maßnahmen 280 – Sozialpsychologie, s. a. Privatheit 165 – Steganographie, s. a. dort 287 – Verschlüsselung, s. a. Kryptographie 287 – Verstecken, s. a. Steganographie 287 Social Engineering 114, 157, 206 Sozialpsychologie 165 Spam 272 Spionage, s. a. Ausspähtechniken, Geheimnis, Privatheit 107 Spoofing 154 Spyware 111, 141, 143, 272 Steganographie – allg. Technik 295 – Anwendungsgebiete 292 – Einordnung 287 – Kombination mit anderen Sicherungstechniken 315 – Kurzglossar 287 – Steg. i. e. S. – Rechtl. Wertg. 301 – Steg. i. e. S. – Technik 299 – Steg. i. w. S. (Verstecken) – Rechtl. Wertg. 295 – Steg. i. w. S. (Verstecken) – Technik 295 – TrueCrypt 315 Syntax 75 Systematik, Vergleich mit – § 123 StGB, s. a. dort 245 – § 202 StGB, s. a. dort 238 – § 202b StGB, s. a. dort 263 – § 202c, s. a. dort 89 – § 243 Abs. 1 S. 2 Nr. 1 und 2 StGB, s. a. dort 253 – § 243 Abs. 1 S. 2 Nr. 6 StGB, s. a. dort 377, 388 – § 244 StGB, s. a. dort 261 – § 323c StGB, s. a. dort 380 – Überblick 237
Sachwortverzeichnis Tarnung 152, 290 – masquerading 153 – Rechtliche Wertung 156 – Rootkits 155 – Spoofing 154 Tätergruppen 104 Tathandlung, s. a. Verschaffen und Ausspähtechniken 89 Tatmotive 104, 106 Tatobjekt, s. a. Daten 70 Technik, s. a. Ausspähtechniken und Abwehrtechniken 112 Territorialität, s. a. Privatheit 52, 170, 247, 249, 361 Trapdoors 146 Trojanische Pferde 137, 272 TrueCrypt 315
– Literatur zu § 202a StGB 332, 344 – Meinungsstand 324, 336 Viren 110, 140, 144, 271 Wahrnehmbarkeit, s. a. bei Daten 75 WLAN 80, 158, 295 Würmer 135, 272 Zeitdiebstahl 131, 218 Zugangsverschaffen, s. a. Verschaffen und Ausspähtechniken 89 § § § § –
Verschaffen (des Zugangs), s. a. Ausspähtechniken 89 Verschaffen verschlüsselter Daten, s. a. Kryptographie 93 Verschlossenes Behältnis 240, 242, 244, 258, 260, 276, 359 Verschlüsselung, s. a. Kryptographie 287 Verstecken, s. a. Steganographie u. Kryptographie 287 Viktimodogmatik 188, 192, 195, 204, 208, 215, 245, 256, 321 – Einführung 321 – Gesetzgeberische Motivlage 327
427
§ § –
–
– § § §
17 UWG 31, 89 123 StGB 245, 261, 360 202 StGB 237, 260, 359 202b StGB 78, 84, 110, 263, 266, 295, 312, 332, 378 Absenz des Sicherungserfordernisses des § 202b StGB 263 202c StGB 90, 110 243 StGB 253, 362, 379 Abs. 1 S. 2 Nr. 1 253, 259, 266, 286, 358, 362, 365, 369, 378, 383, 388 Abs. 1 S. 2 Nr. 2 102, 240, 253, 259, 266, 276, 298, 326, 345, 358, 362, 364, 378 Abs. 1 S. 2 Nr. 6 331, 354, 357, 377, 379, 381, 388 244 StGB 261, 379 248c StGB 32 323c StGB 380