Modernisierung des Computerstrafrechts

Gesetzentwürfe: 

 

Am 4. November 2024 hat das BMJ einen Referentenentwurf zur Modernisierung des Computerstrafrechts auf den Weg gebracht. Infolge fortschreitender Digitalisierung, müsse der Gesetzgeber darauf achten, das Computerstrafrecht entsprechend zu modernisieren, um den angestrebten Rechtsgüterschutz aufrechtzuerhalten und zu verbessern. Die IT-Sicherheit sei „die Achillesferse der Informationsgesellschaft“, so der Entwurf. Daher habe es größte Bedeutung, Sicherheitslücken zu schließen, um Cyberangriffe abzuwehren. Problematisch sei aber insofern, dass die IT-Sicherheitsforschung beim Aufspüren von Sicherheitslücken regelmäßig den Zugriff auf fremde Informationssysteme und Daten notwendig mache, die sich bereits im praktischen Einsatz befinden würden. Dies berge Strafbarkeitsrisiken, da solche Zugriffshandlungen Straftatbestände erfüllen könnten, die dem Schutz des formellen Datengeheimnisses oder der Unversehrtheit von Daten und IT-Systemen dienten (§§ 202a ff., 303a f. StGB). Des Weiteren bilde das aktuelle Strafrecht die Gefährlichkeit und das hohe Schadenspotential von Computerdelikten nicht mehr ab. Der Entwurf sieht daher vor, eine klare Abgrenzung zwischen nicht zu missbilligendem Handeln der IT-Sicherheitsforschung und strafwürdigem Verhalten zu treffen. So soll bei der Beeinträchtigung kritischer Infrastruktur ein entsprechend höherer Strafrahmen angesetzt und im Rahmen der §§ 202a und 202b StGB Regelbeispiele für besonders schwere Fälle eingefügt werden. 

§ 202a werden die folgenden Absätze 3 und 4 angefügt:

(3) „ Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn

1. sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten und

2. sie zur Feststellung der Sicherheitslücke erforderlich ist.

(4) In besonders schweren Fällen des Absatzes 1 ist die Strafe Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1. einen Vermögensverlust großen Ausmaßes herbeiführt,

2. aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von solchen Taten verbunden hat oder

3. durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur*) oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt.“

 

Bundesjustizminister Dr. Marco Buschmann erklärt dazu:
„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“

 

 

 

 

 

 

 

Strafbarkeit des Betreibens krimineller Handelsplattformen im Internet

Gesetz zur Strafbarkeit des Betreibens krimineller Handelsplattformen vom 12. August 2021: BGBl. I 2021, S. 3544 ff.

Gesetzentwürfe: 

 

Am 27. November 2020 hat das BMJV einen Referentenentwurf zur Änderung des StGB – „Strafbarkeit des Betreibens krimineller Handelsplattformen“ auf den Weg gebracht. Durch das Internet sei der Austausch von Waren und Dienstleistungen stark vereinfacht worden. Leider befänden sich nicht nur Plattformen mit rechtmäßigen Angeboten im Web, sondern es seien vermehrt auch verbotene Gegenstände und Dienstleistungen und er Vergangenheit gehandelt worden. Dabei sei die Ausgestaltung sehr vielfältig. Von Betäubungsmitteln, über Waffen, Kinderpornografie, Falschgeld, gefälschte Ausweise bis hin zu gestohlenen Kreditkarten sei alles denkbar. Problematisch sei, dass letztlich die Strafverfolgungsbehörden auch die Möglichkeiten haben müssten, diesem Phänomen effektiv und konsequent zu begegnen. Zwar gebe es spezialgesetzliche Verbote für den Verkauf solcher Waren und auch derjenige, der einer anderen Person hierzu Hilfe leistet, kann strafrechtlich verfolgt werden. Werde die Verkaufsplattform jedoch vollautomatisiert betrieben, könne nicht jeder Sachverhalt erfasst werden. Daher bedürfe es einer Ergänzung strafrechtlicher Regelungen. 

Der Entwurf sieht daher vor, einen neuen Straftatbestand des Betreibens krimineller Handelsplattformen im Internet in das StGB einzufügen (§ 127 StGB-E, § 127 StGB wird dann zu § 128 StGB). Erfasst werden sollen damit ausschließlich Plattformen, die zweckmäßig darauf ausgerichtet sind, die Begehung von bestimmten Straftaten zu fördern. Die Tat soll mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft werden können. Bei gewerbsmäßigem Handeln soll der Strafrahmen bei sechs Monaten bis zu zehn Jahren Freiheitsstrafe liegen. Parallel sieht der Entwurf vor, effektive Ermittlungsmöglichkeiten zur Aufklärung ebendieser Straftaten zu schaffen. Der Straftatenkatalog der §§ 100a und 100b StPO soll daher um die gewerbsmäßige Begehung des Betreibens krimineller Handelsplattformen ergänzt werden. 

Ein ähnlicher Vorschlag wurde bereits durch den Bundesrat im April 2019 in den Bundestag eingebracht (nähere Informationen dazu finden Sie hier) und auch der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 aus März 2019 enthielt einen entsprechenden Regelungsvorschlag in § 126a StGB-E. Hierzu finden Sie bereits einige Beiträge im Heft: 

  • Prof. Dr. Mark A. Zöller – Strafbarkeit und Strafverfolgung des Betreibens internetbasierter Handelsplattformen für illegale Waren und Dienstleistungen, KriPoZ 5/2019, 274
  • Dr. Anna Oehmichen und Björn Weißenberger – Digitaloffensive im Strafrecht! Verbesserte Bekämpfung von Cyberkriminalität durch das IT-Sicherheitsgesetz 2.0?, KriPoZ 3/2019, 174
  • Nicole Selzer – Bekämpfung der Organisierten Kriminalität in der digitalen Welt – Kritische Betrachtung des Referentenentwurfs zum IT-Sicherheitsgesetz 2.0 unter systematischen Gesichtspunkte, KriPoZ 4/2019, 221 

Auch der Kriminalpolitische Kreis hatte zum Entwurf eines § 126a StGB im März 2020 Stellung genommen (die Stellungnahme finden Sie hier).

Die Bundesregierung teile laut Entwurf zwar die Zielsetzung, die vorgeschlagene Regelung setze dies jedoch besser um. 

„§ 127 – Betreiben krimineller Handelsplattformen im Internet 

(1) Wer eine Handelsplattform im Internet betreibt, deren Zweck darauf ausge-richtet ist, die Begehung von rechtswidrigen Taten im Sinne des Satzes 2 zu ermöglichen oder zu fördern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Rechtswidrige Taten im Sinne des Satzes 1 sind 

1. Verbrechen 

2. Vergehen nach 

a) den §§ 147, 149, 152a, 152b, 176a Absatz 2, § 176b Absatz 2, § 184b Ab-satz 1 Satz 2, § 184c Absatz 1, § 184l Absatz 1 und 3 sowie den §§ 202a, 202b, 202d, 259, 263a, 275, 276, 303a und 303b, 

b) § 95 Absatz 1 und 2 des Arzneimittelgesetzes, 

c) § 29 Absatz 1 Nummer 1 und Absatz 2 des Betäubungsmittelgesetzes, 

d) § 19 Absatz 1 und 2 des Grundstoffüberwachungsgesetzes, 

e) § 52 Absatz 1 Nummer 1, Absatz 2 und 3 Nummer 1 des Waffengesetzes, 

f) § 40 Absatz 1 und 2 des Sprengstoffgesetzes, 

g) den §§ 143, 143a und 144 des Markengesetzes sowie 

h) den §§ 51 und 65 des Designgesetzes. 

(2) Die Strafe darf nicht schwerer sein als die für die Tat im Sinne des Absatzes 1 Satz 2 angedrohte Strafe. 

(3) Mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren wird bestraft, wer die Tat gewerbsmäßig begeht.“ 

 

Die Länder und Verbände können nun bis zum 7. Januar 2021 zu dem Entwurf Stellung nehmen. 

Bundesjustizministerin Christine Lambrecht erklärte:
„Wir brauchen eine effektive und konsequente Strafverfolgung im digitalen Raum. Wenn auf kriminellen Plattformen Geschäfte gemacht werden mit entsetzlichen Bildern von sexualisierter Gewalt gegen Kinder, soll sich niemand herausreden, er habe nur die Plattform bereitgestellt und nichts gewusst. Gleiches gilt für Waffen- oder Drogenhandel, den Verkauf von gehackten Passwörtern oder gestohlenen Kreditkartendaten. All diese Geschäfte sind strafbar. Aber Ermittlungen gegen die Betreiber solcher Plattformen waren bisher oftmals schwierig, wenn diese sich ahnungslos gaben. Deshalb schaffen wir einen neuen Straftatbestand und effektive Ermittlungsmöglichkeiten.“

Am 10. Februar 2021 hat die Bundesregierung den Entwurf beschlossen und ihren Regierungsentwurf vorgestellt. Im Vergleich zum Referentenentwurf hat § 127 StGB-E einige Änderungen erfahren. Nach § 127 Abs. 1 S. 2 StGB-E soll ebenso bestraft werden, wer absichtlich oder wissentlich eine Server-Infrastruktur für eine Tat nach S. 1 bereitstellt. Die Gleichstellung der Bestrafung rechtfertige sich dadurch, dass es unerheblich sei, ob das kriminelle Handelsgeschäft durch das Bereitstellen der Hardware (Server) oder der virtuellen Plattform ermöglicht oder gefördert werde. Das qualifizierte Vorsatzerfordernis stelle sicher, dass nur Fälle erfasst werden, bei denen der Server Betreiber tatsächliche Kenntnis davon hatten, dass entsprechende Plattformen auf den Servern gehostet wurden. Die Katalogtaten des § 127 Abs. 1 Nr. 2 StGB-E wurden modifiziert. Neu hinzugekommen ist bspw. das Verbreiten von Propagandamitteln (§ 86 StGB), die Anleitung zur Begehung einer schweren staatsgefährdenden Gewalttat (§ 91 StGB), die Förderung sexueller Handlungen Minderjähriger (§ 180 Abs. 2 StGB), der Menschenhandel (§ 232 StGB), die gewerbsmäßige Hehlerei und Bandenhehlerei (§ 260 StGB), der Betrug nach § 263 StGB (im RefE war nur der Computerbetrug enthalten), die Urkundenfälschung (§ 267 StGB) und die Fälschung beweiserheblicher Daten (§ 269 StGB). Insbesondere wurden auch das AntiDopG (§ 4 Abs. 1 bis 3 AntiDopG) und das NpSG (§ 4 Abs. 1 und 2 NpSG) aufgenommen. Außerdem wurde in Abs. 4 eine Verbrechensqualifikation geschaffen, bei der sich die Zweckausrichtung der Handelsplattform auf die Ermöglichung oder Förderung von Verbrechen bezieht und der Täter dies auch beabsichtigen muss. Dadurch soll der Handel mit Verbrechen als Dienstleistung („crime as a service“) erfasst werden oder die Fälle, bei denen der Handel selbst bereits als Verbrechen zu qualifizieren ist, wie bspw. bei der Verbreitung kinderpornografischer Schriften (§ 184b Abs. 1 Nr. 1 StGB). 

Die Unterstreichungen zeigen die inhaltlichen Änderungen des Regierungsentwurfs:

„§ 127 – Betreiben krimineller Handelsplattformen im Internet; Bereitstellen von Server-Infrastrukturen 

(1) Wer eine Handelsplattform im Internet betreibt, deren Zweck darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen oder zu fördern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Ebenso wird bestraft, wer absichtlich oder wissentlich eine Server-Infrastruktur für eine Tat nach Satz 1 bereitstellt. Rechtswidrige Taten im Sinne des Satzes 1 sind 

1. Verbrechen, 

2. Vergehen nach 

a) den §§ 86, 86a, 91, 130, 147 und 148 Absatz 1 Nummer 3, den §§ 149, 152a, 152b und 176a Absatz 2, § 176b Absatz 2, § 180 Absatz 2, § 184b Absatz 1 Satz 2, § 184c Absatz 1, § 184l Absatz 1 und 3, den §§ 202a, 202b, 202c, 202d, 232 und 232a Absatz 1, 2, 5 und 6, § 232b Absatz 1, 2 und 4 in Verbindung mit § 232a Absatz 5 sowie den §§ 233, 233a, 236, 259, 260, 263, 263a, 267, 269, 275, 276, 303a und 303b,

b) § 4 Absatz 1 bis 3 des Anti-Doping-Gesetzes, 

c) § 29 Absatz 1 Satz 1 Nummer 1, auch in Verbindung mit Absatz 6, und Absatz 2 sowie 3 des Betäubungsmittelgesetzes, 

d) § 19 Absatz 1 bis 3 des Grundstoffüberwachungsgesetzes, 

e) § 4 Absatz 1 und 2 des Neue-psychoaktive-Stoffe-Gesetzes, 

f) § 95 Absatz 1 bis 3 des Arzneimittelgesetzes, 

g) § 52 Absatz 1 Nummer 1 und 2 Buchstabe b und c, Absatz 2 und 3 Nummer 1 und 7 sowie Absatz 5 und 6 des Waffengesetzes, 

h) § 40 Absatz 1 bis 3 des Sprengstoffgesetzes, 

i) § 13 des Ausgangsstoffgesetzes, 

j) den §§ 143, 143a und 144 des Markengesetzes sowie 

k) den §§ 51 und 65 des Designgesetzes. 

(2) Handelsplattform im Internet im Sinne dieser Vorschrift ist jede virtuelle Inf-rastruktur im frei zugänglichen wie im durch technische Vorkehrungen zugangsbeschränkten Bereich des Internets, die Gelegenheit bietet, Menschen, Waren, Dienst-leistungen oder Inhalte (§ 11 Absatz 3) anzubieten oder auszutauschen. 

(3) Mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren wird bestraft, wer im Fall des Absatzes 1 Satz 1 gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung solcher Taten verbunden hat. 

(4) Mit Freiheitsstrafe von einem Jahr bis zu zehn Jahren wird bestraft, wer bei der Begehung einer Tat nach Absatz 1 Satz 1 beabsichtigt oder weiß, dass die Handelsplattform im Internet den Zweck hat, Verbrechen zu ermöglichen oder zu fördern. 

Am 26. März 2021 beschäftigte sich der Bundesrat erstmals mit dem Entwurf und nahm entsprechend der Empfehlungen der Ausschüsse dazu Stellung (BR Drs. 147/1/21). 

Am 16. April 2021 hat der Bundestag in erster Lesung den Regierungsvorschlag beraten. Er wurde im Anschluss an den federführenden Rechtsausschuss überwiesen. Dort fand am 3. Mai 2021 eine öffentliche Anhörung statt. Eine Liste der Sachverständigen und deren Stellungnahmen finden Sie hier. Ob die Einführung eines neuen Straftatbestandes erforderlich ist, darüber waren sich die Experten uneinig. Prof. Dr. Matthias Jahn sah in erster Linie die Gefahr einer Überkriminalisierung. Strafbarkeitslücken seien derzeit in diesem Bereich nicht vorhanden. Einzelfalllösungen fänden sich bereits in den Deliktsbereichen des Betäubungsmittel-, Waffen- oder Arzneimittelrechts. Gleicher Ansicht war auch Prof. Dr. Mark A. Zöller. Darüber hinaus sei auch der Straftatenkatalog des § 127 StGB-E zu weit geraten und verstoße damit gegen den Grundsatz der Verhältnismäßigkeit. Dem schloss sich ebenfalls Dr. Christian Rückert an. Mit dem Entwurf des § 127 StGB verlagere man die Strafbarkeit in das sog. Vorfeld einer Rechtsgutsverletzung. So könnte schließlich auch ein Anfangsverdacht gegen legale Plattformen begründet werden. Prof. Dr. Jörg Eisele zog das Beispiel des Attentats beim Münchner Olympia-Einkaufszentrum im Juli 2016 heran um zu zeigen, wo im deutschen Recht Strafbarkeitslücken bestünden. Er kam zu dem Ergebnis, dass es vertretbar sei, eine Strafbarkeit rein an das Betreiben einer Platform zu knüpfen, die kriminellen Zwecken diene. Jun.-Prof. Dr. Dominik Brodowski gab allgemein zu bedenken, dass die derzeitige hohe Taktung von Änderungen in der Strafgesetzgebung eine rechtswissenschaftliche Auseinandersetzung erschwere und es nicht verwundere, dass über die Ausgestaltung des Entwurfs Streit bestehe. Prof. Ulrich Kelber (BfDI) griff in seiner Stellungnahme an den Rechtsausschuss einen ähnlichen Aspekt auf. Es solle wieder eine neue Überwachungsmöglichkeit geschaffen werden, ohne dass ein Bedarf geprüft worden sei. 

Dr. Oliver Piechaczek vom DRB begrüßte den Entwurf. Hinzukommen sollte jedoch eine entsprechende Aufstockung der personellen Ressourcen bei den Ermittlungs- und Strafverfolgungsbehörden. Dem widersprach auch OStA Thomas Goger nicht. So würden Nachweisschwierigkeiten aufgegriffen und rechtssicher gelöst. Verbesserungsbedarf bestehe aber bspw. in der Aufnahme des Tatbestandes der Erpressung in den Straftatenkatalog sowie in der Anhebung des Strafrahmens im Zusammenhang mit Kinderpornografie. Dem schloss sich OStA Thomas Wullrich an. Er empfahl, den Tatbestand der Geldwäsche ebenfalls zusätzlich in den Straftatenkatalog aufzunehmen sowie die Möglichkeit zur TKÜ zu erweitern. 

Am 24. Juni 2021 nahm der Bundestag den Gesetzentwurf in der vom Ausschuss geänderten Fassung (BT Drs. 19/30941/BT Drs. 19/31108) mit den Stimmen der Fraktionen CDU/CSU und SPD und gegen die Stimmen der FDP, Linke und Grüne an. Die AfD enthielt sich ihrer Stimme. Bereits einen Tag später passierte das Gesetz den Bundesrat, der auf eine Anrufung des Vermittlungsausschusses verzichtete. 

Das Gesetz zur Strafbarkeit des Betreibens krimineller Handelsplattformen im Internet wurde am 19. August 2o21 im Bundesgesetzblatt verkündet (BGBl. I 2021, S. 3544 ff.). Es tritt am 1. Oktober 2021 in Kraft. 

 

 

 

 

Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

Hier finden Sie folgende Stellungnahmen:

Zum Referentenentwurf vom 27. März 2019:

Zum Referentenentwurf vom 7. Mai 2020: 

Zum Referentenentwurf vom 1. Dezember 2020:

Zum Regierungsentwurf BT Drs. 19/26106: 

Öffentliche Anhörung im Ausschuss für Inneres und Heimat am 1. März 2021: 

 

 

Gesetz zur effektiveren Verfolgung der Computerkriminalität

Gesetzentwürfe

 

Das Land Nordrhein-Westfalen hat am 28. Mai 2019 einen Gesetzesantrag zur effektiveren Verfolgung der Computerkriminalität (BR Drs. 248/19) in den Bundesrat eingebracht, wo er am 7. Juni 2019 vorgestellt wird. 

Die zunehmende Digitalisierung habe zwar einen Innovationsschub gebracht und die Lebensqualität verbessert, andererseits aber auch neue Verletzbarkeiten und Schutzbedürfnisse als Kehrseite der Vorzüge begründet. Dies haben die bekannt gewordenen Datenleaks der letzten Jahre verdeutlicht. Cyberkriminalität habe ein Ausmaß erreicht, das das Sicherheitsgefühl der Menschen, sowie die Grundlagen von Demokratie, Staat und Wirtschaft bedrohe.  

Aufgabe des Strafrechts sei es, die verantwortlichen Personen zügig zu ermitteln und schuldangemessen zu bestrafen. Auf Basis der aktuellen Rechtslage sei dies aber nur bedingt möglich. Es fehle weitgehend an spezifischen Qualifikationstatbeständen und Regelbeispielen mit erhöhten Strafdrohungen, um auf schwerwiegende Taten angemessen reagieren zu können. Bandenmäßig organisierte Hacker haben derzeit lediglich eine Freiheitsstrafe von maximal drei Jahren oder eine Geldstrafe zu befürchten. 

„Beim Verdacht einer Straftat aus dem Bereich des Cybercrime können derzeit häufig die Täter nicht ermittelt und überführt werden, weil den Strafverfolgungsbehörden auch unter Berücksichtigung der Beschuldigtenrechte angemessene strafprozessuale Befugnisse für erfolgversprechende Ermittlungen in der digitalen Welt nicht oder nur eingeschränkt zur Verfügung stehen.“

Der Entwurf soll daher die unangemessene Bagatellisierung der Computer- und Datendelikte beseitigen. Spezifische Qualifikationstatbestände und Regelbeispiele mit erhöhten Strafdrohungen sollen den differenzierten Unrechtsgehalt der in Betracht kommenden Fallgestaltungen sachgerecht erfassen. Zur Verbesserung der Aufklärungsmöglichkeiten soll der Straftatenkatalog des § 100a Abs. 2 StPO um bestimmtem schwerwiegende Begehungsweisen der Cybercrime-Delikte ergänzt werden und so den Anwendungsbereich der TKÜ zu erweitern. In einer digitalen Welt seien auch die Strafverfolgungsbehörden darauf angewiesen, digital ermitteln zu können. 

Am 07. Juni 2019 wurde der Gesetzesantrag im Bundesrat vorgestellt und zusammen mit einem Entschließungsantrag Hamburgs (BR Drs. 264/19) zur federführenden Beratung an den Rechtsausschuss überwiesen. Dr. Till Steffen (Hamburg) von den Grünen forderte unterdessen eine vollständige Überarbeitung des gesamten Internetstrafrechts, das noch aus dem analogen Zeitalter stamme.

Im Ergebnis der Beratung empfehlen die Ausschüsse (BT Drs. 248/1/19) dem Bundesrat, den Gesetzentwurf zur effektiveren Verfolgung der Computerkriminalität in den Bundestag einzubringen. Der Antrag des Landes Nordrhein-Westfalen stand am 28. Juni 2019 erneut auf der Tagesordnung, fand in der Abstimmung aber nicht die erforderliche Mehrheit und wurde damit abgelehnt. 

 

 

 

 

 

Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18. Mai 2021: BGBl. I 2021, S. 1122 ff. 

 

Gesetzentwürfe: 

 

Cyberangriffe werden immer ausgefeilter und stellen für den Staat, die Wirtschaft und die Gesellschaft, aber auch für die Individualinteressen eine große Gefahr dar, wenn z.B. persönliche Daten aus sozialen Netzwerken ohne Einverständnis der Betroffenen weiter verbreitet werden. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft die Lage, da sie regelmäßig nicht unter Sicherheitsaspekten entwickelt werden. Ohne großen Aufwand können sie zu Bot-Netzen zusammengeschaltet werden. Da Cybersicherheit nicht statisch sein kann, bedarf es einer ständigen Anpassung und Weiterentwicklung an Schutzmechanismen. 

Daher soll mit einem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ein ganzheitlicher Ansatz verfolgt werden, mit dem Maßnahmen zum Schutz der Gesellschaft bzw. der Bürger, zur Stärkung des Staates bzw. zum Schutz der öffentlichen Informationstechnik und für eine resiliente Wirtschaft getroffen werden. 

Insbesondere zum Schutz der Bürger soll ein IT-Sicherheitskennzeichen ins Leben gerufen werden, mit dem die IT-Sicherheit einzelner Produkte für den Endnutzer transparent wird.

Zudem sieht der Referentenentwurf vor, die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik sowie der Strafverfolgungs- und Sicherheitsbehörden zum Schutz der Bundesverwaltung und der Gesellschaft zu erweitern. Dazu sollen u.a. ergänzende Anpassungen am materiellen Strafrecht und am Strafverfahrensrecht erfolgen: 

  • Änderung von § 99 Abs. 2 StGB
  • Einführung eines § 126a StGB – Zugänglichmachen von Leistungen zur Begehung von Straftaten 
  • Änderung des Strafrahmens der §§ 202a Abs. 1, 202b Abs. 1, 202c Abs. 1, 202d Abs.1, 303a Abs. 1, 303b Abs. 1 StGb auf bis zu 5 Jahren Freiheitsstrafe
  • Änderung des Strafrahmens in § 303b Abs. 2 StGB auf 6 Monate bis zu fünf Jahren Freiheitsstrafe (die Geldstrafe entfällt)
  • Einführung eines § 200e StGB – Unbefugte Nutzung informationstechnischer Systeme
  • Einführung eines § 202f StGB – Besonders schwerer Fall einer Straftat gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme 
  • Erweiterung des Katalogs in § 100a Abs. 2 Nr. 1 StPO (Telekommunikationsüberwachung) um die Begehung von Straftaten nach § 126a StGB und die Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach §§ 202a, 202b, 202c, 202d, 202e, 202f Abs. 2 und 3, §§ 303a, 303b StGB
  • Erweiterung des Katalogs in § 100b Abs. 2 Nr. 1 StPO (Online-Durchsuchung) um die Begehung von Straftaten nach § 126a Abs. 3 StGB und um Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach § 202f Abs. 2 und 3 StGB
  • Erweiterung des Katalogs in § 100g Abs. 2 Nr. 1 StPO (Erhebung von Verkehrsdaten) um § 126a StGB und um die Begehung von Straftaten nach § 126a Abs. 3 StGB und um Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach § 202f Abs. 2 und 3 StGB
  • Einführung eines § 163g StPO: 

„Begründen bestimmte Tatsachen den Verdacht, dass jemand Täter oder Teilnehmer einer Straftat im Sinne von § 100g Absatz 1 StPO ist, so dürfen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations- oder Telemediendienstes dem Verdächtigen zur Verfügung stellt und mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- oder Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen. Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten. Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.“

 

Da bei der rechtswidrigen Verbreitung illegal erlangter Daten die Provider eine erhebliche Rolle spielen, sollen diese mit dem Gesetzentwurf zur Löschung, Meldung und zu Bestandsauskünften bei Cybercrime-Vorfällen verpflichtet werden.

Am 7. Mai 2020 gab das BMI einen neuen Referentenentwurf zum IT-Sicherheitsgesetz 2.0. in die Ressortabstimmung. Er enthält insbesondere Regelungen, die dem Bundesamt für Sicherheit mehr Kompetenzen einräumen und mehr Personalstellen zusprechen. Der neue Entwurf enthält elf neue Paragrafen und viele kleine Wortlautänderungen im Vergleich zum ersten Referentenentwurf. Die wichtigste Neuerung dürfte aber sein, dass alle Änderungen des StGB und der StPO gestrichen wurden. Den Forderungen zur Einführung des digitalen Hausfriedensbruchs, des Zugänglichmachen von Leistungen im Darknet zur Begehung von Straftaten (§ 126a StGB-E) und zur Verpflichtung zur Herausgabe von Passwörtern (§ 163g StPO-E) wurde demnach nicht mehr nachgekommen. 

Im November 2020 wurde ein weiterer Referentenentwurf des BMI mit Bearbeitungsstand vom 19. November 2020 öffentlich. Laut Entwurf sind schwerpunktmäßig folgende Änderungen vorgesehen: 

  • „Verbesserung des Schutzes der IT der Bundesverwaltung u.a. durch weitere Prüfund Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das BSI. 
  • Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze.
  • Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdienstleistungen, um Betroffene über Sicherheitslücken zu informieren.
  • Befugnis für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden.
  • Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit.
  • Ausweitung der Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse.
  • Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten.
  • Pflicht der Telemediendiensteanbieter, Fälle von rechtswidrig verbreiteten Daten an das BKA als Zentralstelle zu melden.
  • Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI.
  • Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, das die IT-Sicherheit der Produkte sichtbar macht.
  • Überarbeitung des Bußgeldregimes.“

Am 27. Januar 2021 brachte die Bundesregierung Ihren Entwurf zum IT-Sicherheitsgesetz 2.0 in den Bundestag ein (BT Drs. 19/26106). Die geplanten Neuregelungen zur Bestandsdatenauskunft (BT Drs. 19/25294) wurde nun auch hier im Entwurf umgesetzt. 

Am 12. Februar 2021 debattierte der Bundesrat über den Gesetzentwurf und verwies ihn im Anschluss zur weiteren Beratung an die Ausschüsse. 

Im Bundestag fand im Ausschuss für Inneres und Heimat am 1. März 2021 eine öffentliche Anhörung statt. Eine Liste der Sachverständigen und deren Stellungnahmen finden Sie hier. Die Experten bewerteten den vorliegenden Gesetzentwurf als ungenügend. Sebastian Artz äußerte, dass der Entwurf mehr zurück als nach vorn blicke. Das BSI sei durch die schnellen Innovationszyklen im IT-Bereich gar nicht in der Lage, mit der Entwicklung der Technik Schritt zu halten. Daher sei ein „dynamisches Regelwerk“ notwendig, das nicht versuche lediglich die Vergangenheit zu regulieren. Manuel Atug betonte, dass einmal mehr die Gelegenheit vertan wurde, das BSI unabhängig aufzustellen. Es sei „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ geworden. Als Grund dafür sah er insbesondere die Befugnis, erkannte Sicherheitslücken für die Strafverfolgung offenzuhalten und zu nutzen. Dies bemängelte ebenfalls Linus Neumann vom Chaos Computer Club: „Dadurch verlieren wir die einzige vertrauenswürdige Institution. Das ist ein herber Verlust für die Bürger.“  Prof. Dr. Klaus Gärditz nahm insbesondere die Regelung zur Überprüfung der sicherheitspolitischen Vertrauenswürdigkeit ausländischer IT-Technologie in den Blick und äußerte diesbezüglich verfassungsrechtliche und verwaltungsrechtliche Bedenken. Die Eingriffsvoraussetzungen seien zu unbestimmt. Ebenso fehle die Möglichkeit einer rechtlichen Überprüfung. Von der praktischen Umsetzbarkeit der Regelung abgesehen, laufe der Bundestag Gefahr seine Glaubwürdigkeit zu beschädigen, wenn er eine solche „Placebo-Norm“ verabschiede. Dr. Sven Herpig bemängelte genauso wie Manuel Atug die fehlende Evaluierung des bestehenden Gesetzes. Er sah trotz der geplanten Änderungen die Möglichkeit, unsichere IT-Produkte in Deutschland auf den Markt zu bringen. Damit werde besonders dem Verbraucherschutz durch den Entwurf nicht genüge getan. Martin Schallbruch drang im Interesse der Wirtschaft auf eine Verbesserung des Entwurfs. 

Am 23. April 2021 wurde der Regierungsentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme nach einer halbstündigen Aussprache mit den Stimmen der Koalitionsfraktionen in der geänderten Fassung des Innenausschusses (BT Drs. 19/28844) angenommen. Die Oppositionsfraktionen stimmten gegen den Entwurf. 

Am 7. Mai 2021 beschäftigte sich der Bundesrat abschließend mit dem Regierungsentwurf und verzichtete auf eine Vermittlungsverfahren. Das Gesetz wird nun dem Bundespräsidenten zur Ausfertigung vorgelegt. Zusätzlich fasste der Bundesrat eine Entschließung, in der er kritisiert, dass der Bund der Forderung nach einer stärkeren Einbindung der Länder nicht nachgekommen sei. Außerdem übt er Kritik daran, dass gerade eine Unterrichtungspflicht der Länder nicht berücksichtigt wurde. Die Bundesregierung sei daher aufgefordert, hierfür eine normative Grundlage zu schaffen. 

Am 27. Mai 2021 wurde das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18. Mai 2021 im Bundesgesetzblatt verkündet (BGBl. I 2021, S. 1122 ff.). Es tritt vorbehaltlich des Absatzes 2 am Tag nach seiner Verkündung in Kraft. Art. 1 Nr. 4, 6 und 12 treten am 1. Dezember 2021 in Kraft. 

 

 

 

IT-Sicherheit stärken

Hier finden Sie folgende Gesetzentwürfe: 

 

Am 15. Februar 2019 debattierte der Bundestag über einen Antrag der FDP (BT Drs. 19/7698) zur Stärkung der IT-Sicherheit. Darin stellt die Fraktion fest, dass die IT-Sicherheit „die Achillesferse des Informationszeitalters“ sei. Ihre Gewährleistung sei eine Kernherausforderung, der sich die Bundesregierung nicht annehme. Zu viele Ministerien und Ämter seien gleichzeitig für die Organisation der It-Sicherheit zuständig. Dabei dürften aber Vorfälle, wie die Veröffentlichung personenbezogener Daten von Politikern nicht zum Anlass gereichen, die staatlichen Ermittlungsbefugnisse auszuweiten. Eine Föderalismus-Kommission III soll sich in Zusammenarbeit von Bund und Ländern um eine Konzeption bemühen. Dabei sollen auch datenschutzrechtliche Straftatbestände in das Kernstrafrecht überführt werden. 

Gleichzeitig beriet der Bundestag über einen Antrag der Fraktion Die Linke (BT Drs. 19/7705) zur „Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors“ und über einen Antrag der AfD (BT Drs. 19/7723) zum „Schutz der Kritischen 5G-Infrastruktur vor staatsnahen Netzwerkausrüstern“. Nach Vorstellung der Linken soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) in eine eigenständige Behörde umgewandelt werden, die sich mit der Erhöhung der digitalen Sicherheit beschäftigt. Ferner soll der Einsatz von Staatstrojanern unterbunden werden. Die AfD fordert die Bundesregierung auf, das 5G-Netzt als kritische Infrastruktur einzustufen. In diesem Zuge soll das Telekommunikationsgesetz an Gefährdungsanalysen angepasst werden. 

Alle drei Anträge wurden im Anschluss an die Sitzung zur federführenden Beratung an den Ausschuss für Inneres und Heimat überwiesen. Dort fand zu dem Antrag der FDP, der Linken und der Grünen am 8. April 2019 eine öffentliche Anhörung statt. Eine Liste der Sachverständigen und deren Stellungnahmen finden Sie hier. Die Experten betonten, dass es ihrer Ansicht nach an einer klaren Strategie im Hinblick auf die IT-Sicherheit fehle. Insbesondere der Bereich der vernetzten Geräte sei eine besondere Herausforderung. Belastbares Datenmaterial zu vergangenen IT-Strategiemaßnahmen seien nicht vorhanden. Klaus Rieger vom Chaos Computer Club Berlin sprach sich für eine „rein defensive“ gesetzliche Ausrichtung aus, da sich der Staat sonst in einem Konflikt befinden könne. Würden alle Sicherheitslücken geschlossen, stünde dies den Wünschen der Geheimdienste entgegen. Dr. Alexandra Sowa erklärte, dass die vielen guten Ideen der Anträge bereits besprochen worden seien. Nun sei der Bundestag an der Reihe grundsätzliche Entscheidungen zu treffen. Entweder entscheide er sich, neue Techniken zu fördern, die neue Lebens- und Arbeitsweissen ermöglichen oder er entscheide sich für Techniken zur Überwachung.

Die Anträge von FDP und DIE LINKE wurden abgelehnt.

 

 

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015: BGBl I 2015 Nr. 31, S. 1324

 

Gesetzgebungsverfahren:

Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung – Drucksache 18/4096 –: BT Drs. 18/5121

Anlagen:

 

 

Entwurf eines Gesetzes zur Strafbarkeit der Datenhehlerei

Gesetzentwürfe:

Diese Gesetzentwürfe wurden nicht weiterverfolgt. Vielmehr ist die Datenhehlerei nach § 202d StGB durch das Gesetz zur Einführung einer Speicherfrist und einer Höchstspeicherfrist für Verkehrsdaten am 18.12.2015 (BGBl. I, S. 2218) in Kraft getreten.

Am 13. Januar 2017 haben Journalisten und Bürgerrechtler Verfassungsbeschwerde gegen § 202d StGB eingelegt. Die Klage wurde organisiert  von der Gesellschaft für Freiheitsrechte (GFF). Durch den Datenhehlerei-Paragrafen sei die Presse- und Rundfunkfreiheit, das allgemeinen Gleichheitsgebot, die Freiheit der Berufsausübung und der strafrechtliche Bestimmtheitsgrundsatz gefährdet, weil die journalistische Nutzung illegal erworbener Daten, wie zB von Whistleblowern, unter Strafe gestellt ist.

§ 202d StGB – Datenhehlerei
(1) Wer Daten (§ 2o2a Abs. 2), die nicht allgemein zugänglich sind und ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Ausgenommen sind nach Absatz 3 nur Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen.
Das Gesetz sollte ursprünglich den Handel mit gestohlenen Kreditkarten- oder Internetnutzerdaten unter Strafe stellen. Nach den Beschwerdeführern schaffe das Gesetz durch seine schlampige Formulierung jedoch ein strafrechtliches Minenfeld für Whistleblower, investigativ arbeitende Journalisten und deren Helfer. Schon bevor es zu konkreten Recherchen komme, greife die einschüchterne Wirkung.
Durch die Möglichkeit von Durchsuchungen und Beschlagnahme versiegen für Journalisten die Informationsquellen.

 

Unsere Webseite verwendet sog. Cookies. Durch die weitere Verwendung stimmen Sie der Nutzung von Cookies zu. Informationen zum Datenschutz

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen.
Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Weitere Informationen zum Datenschutz entnehmen Sie bitte unserer Datenschutzerklärung. Hier können Sie der Verwendung von Cookies auch widersprechen.

Schließen