Cybercrime und Strafrecht in der globalen Informationsgesellschaft

Verletzlichkeit der Informationsgesellschaft

Straftaten im Internet stellen ein existenzielles Risiko für die moderne Informationsgesellschaft dar. Zentrale Bedrohungen sind dabei Angriffe gegen die Integrität von Computersystemen, insbesondere Hacking, Manipulation und Zerstörung von Daten sowie die Verbreitung von Schadsoftware und unberechtigtes Erlangen von Zugangsdaten. Diese Delikte gefährden elementare Grundlagen der Wirtschaft, der Verwaltung und des privaten Sektors, die von einer sicheren Datenverarbeitung und Datenkommunikation abhängen. Die Verlässlichkeit von Informations- und Kommunikationssystemen ist dabei besonders bedroht, da diese wegen konzeptioneller Schwächen der eingesetzten Computersoftware sowie der Nachlässigkeit ihrer Nutzer oft nicht ausreichend gesichert sind. Die informationstechnische Infrastruktur der modernen Gesellschaft kann daher in besonderem Maße von weltweit agierenden Tätern über das Internet angegriffen werden.

Das große Volumen der von Staat und Wirtschaft gespeicherten personenbezogenen Daten, ihr hoher kommerzieller Wert und das enorme Überwachungspotenzial der Informationstechnik bedrohen darüber hinaus die Privatsphäre der Bürger in fundamentaler Weise. Die – oft heimliche – Sammlung, Verknüpfung und De-Anonymisierung personenbezogener Daten zu wirtschaftlichen Zwecken haben inzwischen Bedrohungsszenarien in George Orwells Roman 1984 von der staatlichen Überwachung auf private Datensammlungen verlagert, die aber auch von Sicherheitsbehörden genutzt werden können.

In ähnlicher Weise führen illegale Inhalte im Internet zu erheblichen Risiken: Daten können im Cyberspace schnell, massenhaft und weltweit verbreitet werden, ohne dass eine wirksame nationalstaatliche Kontrolle möglich ist. Dies zeigt sich in der Verbreitung von Kinderpornografie ebenso wie in den massenhaften Urheberrechtsverletzungen im Internet. Große praktische Bedeutung haben zudem klassische Delikte wie der Betrug, bei denen das Internet als Tatwerkzeug dient.

Anonymität und transnationale Deliktsbegehung im globalen Cyberspace erleichtern häufig die Tatbegehung und erschweren die Strafverfolgung. Die Straftäter schützen sich zusätzlich mithilfe von Anonymisierungsdiensten gegen eine Rückverfolgung und setzen auf ihren Rechnern Verschlüsselungen ein, die nicht mehr gebrochen werden können.

Zur Verhinderung und Verfolgung dieser Delikte haben rechtliche Maßnahmen eine erhebliche Bedeutung. Sie müssen die Grenzen des Erlaubten verbindlich klären. Strafrecht und Polizeirecht sind darüber hinaus wichtig, weil nur sie die erforderlichen Zwangsmittel für die Verfolgung und Prävention der Delikte und insbesondere die Rückverfolgung von Angreifern im Internet bereitstellen und dabei auch Amts- und Rechtshilfe für Auslandsermittlungen ermöglichen. Bei eingriffsintensiven staatlichen Sicherheitsmaßnahmen kann auch nur das Recht garantieren, dass die Freiheit der Bürger und ihre Persönlichkeitsrechte nicht unverhältnismäßig eingeschränkt werden.

Forschungsziele und Forschungsmethoden

Der Forschungsschwerpunkt „Cybercrime“ am Max-Planck-Institut für ausländisches und internationales Strafrecht zielt auf eine umfassende Analyse der einschlägigen Delikte und der entsprechenden – vor allem strafrechtlichen – Normen. Auf der Grundlage dieser Analyse sollen die notwendigen Teile des Sicherheitsrechts für den globalen Cyberspace neu bestimmt werden. Dieses Recht muss den einzelnen Bürger und die Gesellschaft gegen kriminelle Bedrohungen schützen, gleichzeitig aber auch die Freiheitsrechte der Bürger gegenüber dem Staat und der Wirtschaft bewahren, die zumindest im Internet den Schlüssel für eine Orwell’sche Totalüberwachung bereits in den Händen halten.

Voraussetzung und Grundlage der Entwicklung aller kriminalpolitischen Reformvorschläge ist zunächst eine empirisch-kriminologische Analyse, die technische Grundlagen sowie einschlägige Bedrohungen analysiert. Zentral ist weiter die rechtsvergleichende Untersuchung, die neben den deutschen Regelungen auch die unterschiedlichen ausländischen und internationalen Lösungsansätze einbezieht. Der Vergleich mit ausländischen Lösungen relativiert den eigenen Standpunkt, vermittelt zahlreiche neue Lösungsansätze und erleichtert die notwendigen Kooperationen in der immer enger zusammenwachsenden globalen Welt. Die Kombination der verschiedenen empirischen, rechtsvergleichenden und rechtsdogmatischen Methoden der Grundlagenforschung bietet einen fruchtbaren Nährboden für eigene Analysen, Ideen und Lösungen.

Ergebnisse der Grundlagenforschung als Basis für praktische Reformfragen

Die Ergebnisse der Grundlagenforschung zu den Besonderheiten des Informationsrechts kommen auch der Lösung von Reformfragen zugute. Von zentraler Bedeutung ist hierbei die immaterielle Natur von Daten. Diese weisen wesentliche Besonderheiten gegenüber den klassischen körperlichen Rechtsobjekten auf, die im 19. und 20. Jahrhundert dominierten und die Rechtsregeln prägten. Aufgrund dieser Spezifika können informationsrechtliche Fragestellungen nicht einfach dadurch gelöst werden, dass die für körperliche Gegenstände entwickelten Normen unreflektiert auf Daten und Informationen angewandt werden.

Herausragende Bedeutung für die dogmatische Konzeption des damit entstehenden eigenständigen Informationsrechts sowie für die praktische Regulierung von Information und Daten haben – besonders im Bereich des Internets – daneben auch der globale Charakter des Cyberspace, die damit gegebenen einfachen Möglichkeiten der weltweiten Datenübermittlung und die hieraus resultierende transnationale Kriminalität. Staatsgrenzen spielen bei Internetstraftaten eine sehr viel geringere Rolle als im Bereich der klassischen Kriminalität, da territoriale Grenzen und entsprechende Kontrollen im weltweiten Datennetz nur schwer durchsetzbar sind.

Entwicklung neuer anwendungsorientierter Lösungskonzepte

Die Charakteristika von Information sind nicht nur für die dogmatischen Grundlagenfragen, sondern auch für die anwendungsorientierten Lösungen des neuen Informationsstrafrechts relevant. Im materiellen Strafrecht hat der Gesetzgeber deswegen zu Recht Spezialtatbestände geschaffen, die eine illegale Weitergabe von Geschäftsgeheimnissen mit Strafe bedrohen. Entsprechendes gilt für den neu geschaffenen Straftatbestand des unbefugten Sich-Verschaffens von zugriffsgesicherten Daten, der unter anderem auch die Integrität von Computersystemen gegen Hacking schützt.

Im Strafprozessrecht erfolgen Durchsuchungen, Beschlagnahmen und Herausgabeverlangen von Datenbeständen dagegen heute noch immer nach den klassischen Vorschriften für Sachen, die viele Besonderheiten von Daten nicht berücksichtigen. Anders als bei der Herausgabe von körperlichen Gegenständen stellt sich beim staatlichen Zwangszugriff auf Daten zum Beispiel die Frage nach den Möglichkeiten einer Datenkopie (statt der Wegnahme der körperlichen Datenträger), nach der eventuellen Verpflichtung von Zeugen zum Ausdruck verschlüsselter Daten im Klartext oder – noch viel eingriffsintensiver – zur Bekanntgabe oder Aushändigung von Passwörtern und Zugriffsschlüsseln, die den Ermittlungsbehörden einen vollständigen Zugriff auf das Datensystem gibt.

Fragwürdig und wohl verfassungswidrig ist die gegenwärtige Praxis, bei verschlüsselter Datenübertragung unter Berufung auf die Vorschriften zur Überwachung der Telekommunikation heimlich in miteinander kommunizierende Rechner einzudringen und die Daten dort an der noch unverschlüsselten Quelle abzugreifen. Eine solche „Quellentelekommunikationsüberwachung“ stellt in der Sache eine „kleine Online-Durchsuchung“ dar, die in der Strafprozessordnung zur Strafverfolgung – anders als im BKA-Gesetz zur Gefahrenabwehr – nicht vorgesehen ist und für die das Bundesverfassungsgericht spezielle rechtliche und technische Schutzmaßnahmen gefordert hatte, die in der Bestimmung über die Telekommunikationsüberwachung jedoch nicht enthalten sind.

Noch weniger geklärt sind die Fragen, die aus der globalen Natur des Cyberspace resultieren. Hier ist ungeregelt und auch noch weitgehend ungeklärt, inwieweit die Ermittlungsbehörden im globalen Cyberspace auf ausländischen Servern agieren können. Nach herrschender Meinung verstößt dies zumindest bei nicht öffentlichen Informationsangeboten gegen die Souveränität des Staates, auf dessen Territorium der Server steht. Für das Cloud-Computing werden sich hier noch zahlreiche Probleme ergeben.

Umsetzung der Ergebnisse in die praktische Rechtspolitik

Das Freiburger Max-Planck-Institut untersucht diese neuen Fragen des Informationsrechts nicht nur in der Theorie. Die Grundlagenforschung des Instituts unterstützt in vielfältiger Weise auch die Lösung von praktischen Problemstellungen. Dies galt etwa bei den Anhörungen des Bundesverfassungsgerichts zur Online-Durchsuchung und zur Vorratsdatenspeicherung, bei den Beratungen verschiedener Bundestagsausschüsse zu Internetsperren und zu den neuen Vorfelddelikten gegen terroristische Propaganda sowie bei der internationalen Abstimmung des Europarats über die Verhinderung von Cyberterrorismus oder bei den neuen Ansätzen der Vereinten Nationen zur Entwicklung von weltweiten Gesetzesstandards im Bereich des Cybercrime. Die im Institut erarbeiteten jüngsten Vorschläge für eine Gesamtreform des deutschen Informationsstrafrechts werden nunmehr auch den Ausgangspunkt für die Beratungen des Deutschen Juristentages im September 2012 in München bilden.