Ahndung von Computerkriminalität bietet immer neuen Diskussionsstoff. Vor allem bei neuen Bestimmungen gegen unbefugtes Eindringen in fremde Systeme und unbefugten Gebrauch scheiden sich die Geister. So warnt Lutz van Raden, Frankfurter Staatsanwalt und Autor des nachfolgenden Artikels vor einer Überbewertung des Computers durch Gesetze, die dem Rechner eine eigene "Rechtspersönlichkeit" verleihen. Fazit seiner Überlegungen: den Computer als das sehen, was er ist - ein der menschlichen Entscheidung unterworfenes Arbeitsmittel.

Der Gesetzgeber erwägt zur Zeit - parallel zu entsprechenden Gesetzgebungsvorhaben in anderen Ländern - zusätzlich zu den bereits seit längerem geplanten gesetzlichen Neuregelungen des zweiten Gesetzes zur Bekämpfung der Wirtschaftskriminalität (Bundestagsdrucksache 10/381), die den sogenannten Computerbetrug (° 263 a) sowie der Urkundenfälschung ähnliche Delikte (° 269) betreffen, weitere Strafbestimmungen einzufahren. Diese sollen sich gegen die Computerspionage, die Computersabotage und den unbefugten Gebrauch von Computern richten.

Zu einigen dieser Gesetzesvorhaben hat sich in jüngster Zeit der Arbeitskreis Juristen der CSU geäußert (CW 22/85, Seite 36). Ihm geht es neben der Regelung von Computersabotage und -manipulation vor allem um die Einführung von neuen Bestimmungen gegen den unbefugten Gebrauch von DV-Anlagen und gegen das unbefugte Eindringen in fremde Systeme.

Was die beabsichtigte Regelung der Computersabotage angeht, so erscheint diese sinnvoll, weil hier der Schutz bestehender Rechtsgüter - Eigentum, Vermögen, Funktionieren öffentlicher und privater Verwaltungen und Betriebe - neuen Möglichkeiten ihrer Gefährdung angepaßt wird. Anderes ist über die weiterhin diskutierten Bestimmungen gegen das unbefugte Eindringen in fremde Systeme - "Hacking" - oder den unbefugten Gebrauch fremder Computer zu sagen.

Überlegungen, den bloßen Gebrauch von Computern - und auch das bloße Eindringen in fremde Systeme - unter Strafe zu stellen, mögen von dem Eindruck bestimmt sein, daß Computer in ihrer Komplexität und Kompliziertheit einerseits und ihrer Bedeutung für Entscheidungen in Wirtschaft und Verwaltung andererseits den bisher bekannten technischen oder intellektuellen Arbeitsmitteln vielfach überlegen sind.

Computer wird mystifiziert oder personifiziert

Angesichts dieser Überlegenheit besteht in der Öffentlichkeit eine gewisse Unsicherheit, die gelegentlich dazu führt, daß der Computer mystifiziert oder personifiziert wird. Ein besonderer strafrechtlicher Schutz gewissermaßen der bloßen Existenz eines Computers würde allenfalls einer solchen irrationalen Mystifizierung beziehungsweise Personifizierung der Computer Vorschub leisten. Es ist aber heute eher erforderlich, den Computer als ein nur in der Leistungsfähigkeit, nicht aber in der Qualität von anderen Arbeitsmitteln zu unterscheidendes technisches Gerät in die gesellschaftliche Realität einzubeziehen. Dazu würde ein überzogener strafrechtlicher Schutz nicht beitragen können.

Man mag hier einwenden, daß das in der Gesellschaft häufig gleichfalls

als technischer Gegenstand mit persönlichem Identifikationswert angesehene Kraftfahrzeug besonderem strafrechtlichen Schutz gegen unbefugten Gebrauch unterstellt ist. Wichtig für diesen Schutz ist aber der Umstand, daß der Gebrauch eines Kraftfahrzeugs eine gefahrgeneigte Tätigkeit ist, die - und sei es nur durch Abnutzung - einen Vermögensschaden nahezu zwangsläufig mit sich bringt. Dies aber, ist beim unbefugt gebrauchten Computer normalerweise nicht der Fall. Hier sind allenfalls mittelbare Vermögensschäden, zum Beispiel möglicherweise entgangener Gewinn oder durch die Benutzung anfallende Gebühren oder sonstige Kosten, zu erwarten. Derartige mittelbare Vermögensschäden spielen aber bisher im Strafrecht üblicherweise keine Rolle. Rechtssystematische Gründe für eine Abweichung von dieser grundsätzlichen Festlegung des Strafrechts im Falle des Betriebs von DV-Anlagen sind nicht ersichtlich. Daß das Strafrecht nicht der erleichterten Durchsetzung von zivilrechtlichen Schadensersatzansprüchen dienen soll, ist bisher unstreitig.

Wenn überhaupt, dann sollte daher allenfalls ein solcher unbefugter Gebrauch unter Strafe gestellt werden, der zu einer unmittelbaren Schädigung des Berechtigten führt. Es ist allerdings kaum vorstellbar, wo hierfür mögliche Anwendungsfälle liegen sollten.

Die bisherigen gesetzlichen Grundlagen sind zweifellos nicht geeignet, alle Fälle des Eindringens in fremde EDV-Systeme und des unbefugten Zugangs zu fremden Daten zu erfassen.

In einem gegenwärtig diskutierten Entwurf eines neuen ° 202a StGB ("Ausspähen von Computerdaten") ist die grundlegende Entscheidung enthalten, auch in Zukunft nicht alle derartigen Fälle im Strafrecht regeln zu wollen. Die Strafbarkeit soll vielmehr auf Fälle der Überwindung spezieller Sicherheitsmaßnahmen durch Anwendung technischer Mittel beschränkt werden. Dies erscheint sinnvoll, denn nur in diesen Fällen besteht beim Täter eine kriminelle Energie, die die Anwendung des vor gesehenen Strafrahmens rechtfertigen kann.

Der strafrechtliche Schutz soll also nur, dem Berechtigten zukommen, der seine Daten so sichert, daß sie erst durch besondere Anwendung unlauterer Mittel einem Abrufen, Aufzeichnen oder sich Verschaffen zugänglich sind.

Neue Strafbestimmung würde zu weit führen

Das Strafrecht hat eine Ordnungsfunktion sowohl im Bereich des Schutzes individueller Rechtsgüter als auch eines abstrakten staatlichen Ordnungsgefüges. Gerade der letztere Bereich legt es nahe, im Interesse der Einheit der Rechtsordnung Gesichtspunkte bestehender gesetzlicher Bestimmungen bei neu zu treffenden Regelungen zu berücksichtigen. Aus dem Bundesdatenschutzgesetz ergibt sich die Verpflichtung der Anwender (im weitesten Sinne) von elektronischer Datenverarbeitung, Schutzmaßnahmen einzusetzen, die Unbefugte von der Kenntnisnahme bestimmter Informationen fernhalten.

Die Orientierung des °202a StGB-E an °41 BDSG ist daher eine konsequente Weiterentwicklung bereits eingeführter gesetzgeberischer Entscheidungen.

Jedes "Hacking", also das bloße Eindringen in fremde Systeme, unter Strafe zu stellen, würde dagegen ebenso wie, die diskutierte Einführung einer neuen Strafbestimmung gegen den unbefugten Gebrauch von Computern zu weit führen. Die Bedeutung des Hackin scheint in der gegenwärtigen Diskussion ohnehin mehr durch das Spektakuläre seiner denkbaren Möglichkeiten als durch sein tatsächliches Auftreten bewertet zu werden. Daß es eine "Art neuen Vokssports" (so der Arbeitskreis Juristen der CSU in CW 22/85, Seite 37) zu werden drohte, ist kaum zu erwarten. Es sei denn, unter dem Eindruck einer strafrechtlichen Sanktionsdrohung entschlössen sich die Betreiber von DV-Systemen, auf Sicherungsmaßnahmen weitgehend zu verzichten, etwa nach dem Motto: "Diebstahl ist ja strafbar, weshalb sollte ich da mein Haus abschließen!" So einfach, wie es in der Öffentlichkeit manchmal dargestellt wird, ist das über die Passwortanfrage hinausgehende Eindringen aber nun keineswegs. Die Häuser sind in der Regel abgeschlossen.

Eine andere Sachlage ergäbe sich jedoch, wenn es erklärte - oder stillschweigende - Absicht der Betreiber wäre, Sicherungsmaßnahmen zu unterlassen, weil zu aufwendig und zu kostenintensiv. Üblicherweise wird dergleichen mit dem fragwürdigen Wort von der "wirtschaftlichen Unmöglichkeit" bemängelt. Sollte sich also hinter den Bestrebungen, strafrechtlichen Bestandsschutz von Datenverarbeitungssystemen, beispielsweise des Btx-Systems, durchzusetzen, eine an der Kostenersparnis für die Betreiber orientierte Interessenlage verbergen, so wäre diesen Vorhaben energisch zu widersprechen.

Wer ein Datenverarbeitungs- oder Übertragungssystem verwendet, dessen Sicherheit zweifelhaft ist, wird diese Unsicherheit dann billigend in Kauf nehmen, wenn ihm das System einen Nutzen bringt, der den Aufwand für Sicherung und Kontrolle sowie gelegentliche Schadensbehebung überwiegt. So ist es beispielsweise erklärte Absicht von Handel und Banken, ein Kundenabrechnungssystem im Einzelhandel auf Basis von Magnetstreifenkarten - ähnlich der Scheckkarte - einzuführen und durchzusetzen, obwohl die mangelnde Sicherheit bekannt ist. Der Kostenvorteil überwiegt hier das Risiko (vergleiche dazu Frankfurter Rundschau vom 8. Juni 1985, Seite 5).

Wenn nun das Strafrecht eingesetzt werden sollte, um hier die Berechnungsgrundlagen einseitig zugunsten der Systembetreiber zu verändern, wäre dies eine zweifelhafte Entscheidung.

Wer sich nicht schützt, muß Folgen tragen

Um zu verhindern, daß das sprichwörtliche Kind in den Brunnen fällt, ist es allemal sinnvoller, den Brunnenbesitzer zum Abdecken des Brunnens zu verpflichten, als das Spielen in Brunnennähe zu verbieten (zumal bekanntlich verbotene Spiele ungemein reizvoll sind). Bedenkt man weiterhin die Folge - um im Beispiel zu bleiben -, daß womöglich noch dem Brunnenbesitzer ein Ersatzanspruch (gemäß ° 823 BGB in Verbindung mit der Strafbestimmung) wegen Brunnenverunreinigung zustünde, so wird einsichtig, daß hier die Interessen der Betreiber allzu einseitig berücksichtigt wären. Schützenswert kann nur der Betrieb sein, bei dem die vom Benutzer vorgesehenen - und geeigneten - Sicherungen vorsätzlich umgangen werden.

Die gesetzgeberische Entscheidung sollte also lauten: Wer als Benutzer eines DV-Systems mögliche Schutzmaßnahmen nicht trifft oder ein System betreibt, das nicht ausreichend zu schützen ist, hat die Folgen, die sich aus der Unsicherheit des Systems ergeben, selbst zu tragen. Der Ruf nach dem Staatsanwalt, wenn es darum geht, Probleme der Sicherheit von DV-Systemen zu überspielen, ist fehl am Platz.

Den Computer als das sehen, was er ist

Bei allen gesetzlichen Neuregelungen, die veränderte äußere Lebensbedingungen zum Gegenstand haben, ist folgende Frage zu stellen:

Soll eine neue Bestimmung, sei es im Strafrecht, sei es in anderen Rechtsgebieten, nur diesen neuen äußeren Verhältnissen gerecht werden, die bestehenden Ordnungs- und Wertsysteme aber unangetastet lassen, oder neue Realitäten schaffen, indem Rechtsgüter neu geschaffen oder bewertet werden, was gleichzeitig zu einer Änderung oder Neubewertung bestehender Werte führen kann?

Neue Strafrechtsbestimmungen im Zusammenhang mit Computern können die besonderen Auswirkungen der elektronischen Datenverarbeitung auf bestehende Rechtsgüter, gesellschaftliche Vereinbarungen und Lebensbedingungen berücksichtigen und dabei gleichzeitig den bestehenden, von Rechtsprechung und Gesellschaft mehr oder weniger einvernehmlich akzeptierten und bewältigten Wertentscheidungen gerecht werden. Dies ist beispielsweise dann der Fall, wenn die Strafbarkeit bisher geahndeter Rechtsgutverletzungen neu entstandenen Vorgehensweisen angepaßt wird, wenn also zum Betrug einer Person der "Betrug" des Computers, zur Urkundenfälschung die Fälschung gespeicherter Daten kommt.

Neue Strafbestimmungen in bezug auf Computer können aber auch Normen und Werte verändern, wenn beispielsweise dem Computer im Gegensatz zu anderem technischen Gerät eine eigene "Rechtspersönlichkeit" verliehen wird, die allein schon durch unbefugten Gebrauch tangiert werden kann.

Wenn sich der Gesetzgeber für die letztere Alternative entschieden so würde dies bedeuten, daß durch den besonderen Schutz einer einzigen Gruppe von technischen Geräten und damit derer, die diese Geräte besitzen, ein Teil des bestehenden Rechts- und Wertsystems geändert wird. Ein Bedürfnis hierfür ist aber nicht ersichtlich, vielmehr besteht die Notwendigkeit, den Computer im Bewußtsein der Gesellschaft als das zu verankern, was er ist. Nämlich ein äußerst leistungsfähiges, aber doch stets der menschlichen Entscheidung unterworfenes Arbeitsmittel.

Sinnvoll erscheinen daher Regelungen wie die der beabsichtigten Normentwürfe, die sich an der bestehenden Rechts- und Wertordnung orientieren und neue Sachverhalte flexibel analog den bereits geregelten bewältigen. Ohne Sinn bleiben die Vorhaben oder Überlegungen, die in systemfremder Weise den Computer und damit mittelbar die, die ihn herstellen oder anwenden überbewerten würden.

Ein strafrechtlicher Schutz des Computers "an sich" würde nicht zuletzt die Motivation der Hersteller und Anwender verringern, die durchaus möglichen systemimmanenten (hardware- und softwarebezogenen) Vorrichtungen zum Schutz der Computer vor unbefugtem Gebrauch weiter zu vervollkommen. Versuche, den hierfür erforderlichen Aufwand durch Einsatz des Strafrechts zu ersparen, sollte der Gesetzgeber abwehren.