Modifizierung des „Hacker-Paragraphen“ 202 a-c StGB
Beschluss:
Der UB-Parteitag möge beschließen:
Die SPD-Bundestagsfraktion wird aufgefordert, sich für eine Modifizierung des „Hacker-Paragraphen“ 202 a-c StGB in dem Sinne einzusetzen, dass Sicherheitsexperten, die in seriöser und verantwortungsvoller Weise Sicherheitslücken oder Datenmissbrauch entdecken und melden, von strafrechtlicher Verfolgung freizustellen sind.
Begründung:
Am 11. August 2007 ist in der Bundesrepublik Deutschland eine Rechtsnorm zur Bestrafung der Herstellung und Verbreitung von sog. Hackertools in Kraft getreten. Was im Prinzip richtig und sinnvoll ist, kann in Einzelfällen aber auch schwerwiegende Folgen für die Arbeit seriöser und verantwortungsbewusster IT-Sicherheitsexperten haben. Dies mögen die zwei folgenden Beispiele aufzeigen:
1.
Im September 2021 hat die CDU Strafanzeige nach Paragraph 202 StGB gegen die Expertin Lilith Wittmann gestellt, nachdem diese schon im Mai 2021 in verantwortungsvoller Art und Weise das BSI (Bundesamt für Sicherheit in der Informationstechnik), den Berliner Datenschutzbeauftragten und die CDU selbst auf Sicherheitslücken der Applikation „CDU connect“ aufmerksam gemacht hat. Durch die App und in einer Datenbank der CDU wurden über Jahre hinweg persönliche Daten und politische Neigungen von Bürgern in illegaler Weise dokumentiert. Die CSU und die österreichische Volkspartei verwendeten baugleiche IT-Systeme. Anstatt aber den sachdienlichen technischen Hinweisen von Frau Wittmann Rechnung zu tragen und die Sicherheitslücken zu schließen, hat die CDU Anzeige erstattet.
2.
Durch ein „Datenleck“ bei der Firma Modern Solution sind ca. 700.000 Kunden geschädigt worden. Das Unternehmen bietet Dienstleistungen für große Internet-Plattformen wie Otto, Check24 und Kaufland an. Namen, Anschriften, Email-Adressen und bestellte Waren der Betroffenen ließen sich seit Sommer 2018 abrufen. Außerdem sind in mehreren Tausend Fällen sogar die Bankverbindungen offen sichtbar gewesen. Auch hier hat sich der Programmierer vorbildlich verhalten, in dem er zunächst das Unternehmen mehrfach angemahnt hat, die Sicherheitslücke zu schließen. Anstatt dem Programmierer zu danken und das Sicherheitsloch zu schließen, wurde nach Anzeige eines Whistleblowers die Wohnung des Programmierers durchsucht und sämtliches IT-Equipment beschlagnahmt.
In beiden Fällen wurden also nicht die Schadensverursacher belangt, sondern diejenigen, die den Schaden aufgedeckt haben!
Im Jahr 2007 wurde der § 202 StGB, der die Verletzung des Briefgeheimnisses unter Strafe stellt, den Erfordernissen der Digitalisierung Rechnung tragend um die §§ 202 a-c erweitert. Damit hat der Gesetzgeber auch strafrechtlich klargestellt, dass digitale Daten den gleichen Schutz wie postalische genießen.
In einer sich rasch weiter digitalisierenden Welt stößt der Schutz vor Daten aber immer stärker an Grenzen, wo aus Unkenntnis, Sparzwängen oder anderen Gründen nicht ausreichend in die entsprechende IT-Sicherheit investiert wird oder gar vorsätzlich bzw. mit krimineller Energie gehandelt wird. Hieraus kann – wie aus o.g. Beispielen deutlich wird – enormer Schaden für viele Menschen resultieren. Schon im Bereich der digitalen Kriminalität ist der Staat technisch und personell oft überfordert; in der Wirtschaft und im privaten Bereich wird er bei fehlender strafrechtlicher Relevanz oder fehlender Kenntnis über vorhandene Probleme erst gar nicht tätig. Insofern ist das Engagement privater Experten für eine Erkennung/Aufdeckung von Sicherheitslücken, Datenlecks etc. geradezu unabdingbar. Wer jedoch befürchten muss, strafrechtlich verfolgt zu werden, wird solche Erkenntnisse künftig aber wohl kaum mehr zur Meldung bringen – mit unabsehbaren Folgen für unzählige betroffene Menschen. Die Bestimmungen des § 202 a-c StGB sind daher so zu modifizieren, dass eine Abwägung zwischen dem datenschutzrechtlichen Verstoß einerseits und dem hieraus resultierenden Nutzen für die Allgemeinheit andererseits Berücksichtigung findet und entsprechendes Handeln von strafrechtlicher Verfolgung freigestellt wird, sofern
- der Verstoß nachvollziehbar nicht zu eigenem Vorteil, sondern zur Aufdeckung von Sicherheitsproblemen und letztlich dem Allgemeinwohl dienend begangen wird
- hierbei erlangte Kenntnisse über Daten oder diese selbst nicht missbräuchlich verwendet oder an Dritte weitergegeben werden.