-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- I. Allgemeines
- II. Rechtlich geschütztes Gut
- III. Grundlegende Tatbestandsmerkmale
- IV. Zusätzliche fakultative Tatbestandsmerkmale
- V. Vergleich mit dem Schweizer Recht
- Literaturverzeichnis
- Materialienverzeichnis
I. Allgemeines
1 Der illegale Zugang zu einem Computersystem ist das Grunddelikt im Bereich der Cyberkriminalität. Häufig handelt es sich dabei um die notwendige kriminelle Vorleistung für die Begehung einer anderen Computerstraftat, wie z. B. der Verletzung der Integrität von Daten (Art. 4 CCC), der Verletzung der Integrität des Systems (Art. 5 CCC), der Computerfälschung (Art. 7 CCC) oder des Computerbetrugs (Art. 8 CCC). Manche Cyberkriminelle begnügen sich jedoch damit, sich aus Trotz oder allein wegen der damit verbundenen technischen Herausforderung unberechtigten Zugang zu einem Computersystem zu verschaffen, ohne eine nachfolgende Straftat zu begehen. Daher ist es gerechtfertigt, dieses Verhalten als solches unter Strafe zu stellen, anstatt es in den Straftaten aufgehen zu lassen, die in den nachfolgenden Artikeln unter Strafe gestellt werden. So macht sich der Täter allein durch die Tatsache, dass er sich Zugang zu einem Computersystem verschafft, des illegalen Zugangs schuldig. Es ist nicht erforderlich, dass er Daten aus dem Computersystem stiehlt oder verändert.
2 Manche mögen Hacking für eine relativ harmlose, spielerische Aktivität halten, die ein paar Geeks auf der Suche nach neuen Herausforderungen betreiben. Die Realität sieht jedoch ganz anders aus. Dieses Verhalten ist viel weiter verbreitet, als man auf den ersten Blick meinen könnte, und die Täter verfolgen weitaus weniger ehrenwerte Ziele als bloße Unterhaltung.
3 Natürlich ist die Einführung starker Sicherheitsmaßnahmen das wirksamste Mittel, um ein Computersystem vor unberechtigtem Zugriff zu schützen. Angesichts der Bedrohung oder Verletzung der Sicherheit von Computersystemen und -daten, die Hacking darstellt, müssen technische Maßnahmen von gesetzgeberischen Maßnahmen begleitet werden, die Cyberkriminelle von der Tat abhalten oder sie im Falle der Begehung bösartiger Handlungen bestrafen sollen. Auf diese Weise wird das Interesse von Organisationen und Einzelpersonen, ihre Computersysteme ohne Störungen oder Behinderungen jeglicher Art steuern, betreiben und kontrollieren zu können, bestmöglich geschützt.
II. Rechtlich geschütztes Gut
4 Art. 2 CCC schützt die Unverletzlichkeit von Computersystemen. Dieser Schutz durch das Strafrecht ist aus mindestens zwei Gründen geboten.
5 Zum einen kann der illegale Zugriff auf ein Computersystem beim Rechteinhaber erhebliche Instandsetzungskosten verursachen. Die Täter verändern nämlich häufig Daten, um in das Innere des Systems einzudringen. Außerdem bemerken die Opfer den Einbruch oft erst einige Zeit nach dem Geschehen. Daher ist es besonders schwierig, herauszufinden, was von den Tätern verändert wurde und welche neuen Daten das Computersystem als Folge dieser Veränderung erzeugt hat. Sobald diese Daten identifiziert sind, müssen sie in ihren ursprünglichen Zustand zurückversetzt werden. Diese Vorgänge können sehr zeitaufwendig und daher sehr kostspielig sein.
6 Andererseits ermöglicht der illegale Zugang den Tätern, Informationen einzusehen, zu denen sie keinen Zugang haben sollten (z. B. vertrauliche Berichte, Geschäftsgeheimnisse, Kundenlisten, Buchhaltungsunterlagen, Kreditkartennummern, persönliche Daten, ...). Diese Informationen können dann auf dem Schwarzmarkt weiterverkauft werden, was für den Rechteinhaber einen noch viel größeren Schaden verursachen kann als nur die Wiederherstellung des Systemschutzes.
III. Grundlegende Tatbestandsmerkmale
A. Ein Computersystem
7 Nach Art. 1 lit. a CCC "bezeichnet der Ausdruck 'Computersystem' eine einzelne Vorrichtung oder eine Gesamtheit miteinander verbundener oder verwandter Vorrichtungen, die in Ausführung eines Programms eine automatische Datenverarbeitung bewirkt oder von der ein oder mehrere Elemente eine automatische Datenverarbeitung bewirken". Der Begriff Computersystem umfasst somit die gesamte Hardware (Hauptplatine, Prozessor, Festplatte, Bildschirm, Tastatur, Drucker, ...) und Software (BIOS, Betriebssystem, Software, Updates, ...) sowie die Geräte, die die Verbindung dieser verschiedenen Elemente untereinander ermöglichen (Kabel, Router, WiFi-Anschluss, ...).
8 Für weitere Details zu diesem Begriff wird auf die Ausführungen in Art. 1 CCC verwiesen.
B. Ein Zugang zum Computersystem
9 Man könnte versucht sein, den illegalen Zugang zu einem Computersystem mit dem Straftatbestand des Hausfriedensbruchs zu vergleichen. Der Zugang zum Computersystem wäre somit das digitale Äquivalent zum Eindringen in die Wohnung. Diese Analogie hat etwas Beruhigendes an sich, denn man kann sich die Situation intellektuell sehr gut vorstellen. Die virtuelle Welt ist jedoch komplexer als dies und die Konturen der juristischen Begriffe notwendigerweise verschwommener.
10 Es ist kompliziert, eine Analogie zur realen Welt zu ziehen. Wenn man dennoch eine Analogie ziehen müsste, könnte man den Zugang zu einem Computersystem mit dem Betreten einer mittelalterlichen Burg vergleichen. Der Zugang zur Burg ist durch eine Mauer und einen Wassergraben begrenzt. Das Haupteingangstor wird in der Regel von Wachen bewacht. Diese kontrollieren, ob die Personen, die die Festung betreten, auch wirklich dazu berechtigt sind. Sobald sie sich im Inneren befinden, haben die Personen je nach ihrem Rang Zugang zu bestimmten Teilen der Burg und zu anderen nicht. Der Rang wird von dem Herrscher festgelegt, dem die Burg gehört. In jedem Teil des Schlosses befinden sich Gegenstände, die angeschaut, berührt, verändert oder sogar zerstört werden können. Auch bei diesen Gegenständen bestimmt der Burgherr, wer was mit welchem Gegenstand tun kann. Der Burgherr ist der Einzige, der Zugang zu allen Räumen der Burg hat und mit allen Gegenständen in der Burg nach Belieben verfahren kann.
11 In einem Computersystem funktioniert es ähnlich wie in einer Ritterburg. Um auf das Computersystem zugreifen zu können, muss der Nutzer in der Regel einen Benutzernamen und ein Passwort eingeben. Nach der Anmeldung kann der Nutzer je nach seiner Akkreditierungsstufe, die vom Administrator des Computersystems festgelegt wird, auf das gesamte oder einen Teil des Computersystems zugreifen. Diese Akkreditierungsstufe bestimmt auch, was der Nutzer in den Teilen des Computersystems, auf die er Zugriff hat, tun oder nicht tun kann, d. h. nur den Titel der in einem Ordner enthaltenen Dokumente sehen, sie zum Lesen öffnen, bearbeiten oder löschen. Der Administrator ist der einzige, der auf das gesamte Computersystem zugreifen kann und über die Rechte verfügt, die es ihm ermöglichen, alle gewünschten Aktionen mit den darin enthaltenen Daten durchzuführen.
12 Die Analogie zur realen Welt endet hier jedoch. Der Begriff des "Zugriffs" in der virtuellen Welt kann nicht mit dem Begriff des "Eindringens" in der realen Welt verglichen werden. In der Informatik bedeutet "Zugang", dass es dem Täter gelingt, eine Verbindung zu einem ganzen oder einem Teil eines Computersystems herzustellen. Es gibt also streng genommen keine physische Bewegung des Täters von einem Ort zu einem anderen.
13 Bei der einfachen Form der Straftat ist es unerheblich, auf welche Weise der Täter eine Verbindung zum Computersystem herstellt. Der Täter kann also eine Verbindung mittels eines lokalen Zugangs oder eines Fernzugriffs herstellen. Wenn der Täter eine lokale Verbindung zu einem Computersystem herstellt, zu dem er physischen Zugang hat, wird er dies mithilfe einer - materiellen oder virtuellen - Tastatur und einer Maus tun, bei Tablets und Smartphones sogar einfach mit den Fingern. Er kann auch ein Terminal verwenden, um sich mit einem zentralen Computersystem zu verbinden. Entscheidet sich der Autor stattdessen, eine Fernverbindung herzustellen, kann er dies über jedes beliebige Telekommunikationsnetz tun. Die Art des Netzwerks (lokal, öffentlich, privat, ...) sowie die Art der Verbindung (drahtgebunden oder drahtlos) sind unerheblich.
14 Auch das Ausmaß des Zugriffs ist für die Verwirklichung der Straftat nicht entscheidend. Der Zugriff kann vollständig sein, in diesem Fall erstreckt er sich auf das gesamte Computersystem. Er kann auch nur partiell sein. In diesem Fall betrifft er nur einen Teil des Computersystems. Dies ist beispielsweise der Fall, wenn der Täter nur auf die Sitzung eines Nutzers oder auf einen Teil der auf einem Server gespeicherten Daten zugreift.
15 Die Straftat ist vollendet, sobald die Verbindung mit dem Computersystem hergestellt ist. Dann hindert den Täter nichts mehr daran, sich Kenntnis von den im Computersystem enthaltenen Computerdaten zu verschaffen. Für die Vollendung der Straftat ist es jedoch nicht erforderlich, dass der Täter von den Daten Kenntnis erlangt. In der Praxis fallen diese beiden Ereignisse jedoch meist zusammen, da zu dem Zeitpunkt, an dem der Zugriff festgestellt wird, die Daten auf dem Bildschirm angezeigt werden.
16 Der Begriff des Zugriffs im Sinne von Art. 2 CCC ist klar von der Verletzung der Integrität der Daten in Art. 4 CCC zu unterscheiden. Um die Straftat zu verwirklichen, reicht es aus, dass sich der Täter Zugang zu einem Computersystem verschafft. Auch wenn die Einrichtung eines illegalen Zugangs in der Praxis regelmäßig zur Veränderung von Daten führt, sind solche Beeinträchtigungen für die Begehung der Straftat nicht erforderlich.
17 Schließlich ist nur die Herstellung eines illegalen Zugangs strafbar. Die Aufrechterhaltung eines rechtmäßig eingerichteten Zugangs, nachdem der Rechteinhaber des Computersystems dem Nutzer mitgeteilt hat, dass er nicht mehr berechtigt ist, auf das System zuzugreifen, ist nicht strafbar. Zu denken ist hier insbesondere an einen Arbeitnehmer, der während seiner beruflichen Tätigkeit seinen privaten Computer nutzt, um sich mit dem Firmennetzwerk zu verbinden, und der nach seiner Entlassung weiterhin Dateien des Unternehmens aufruft. Die fehlende Strafbarkeit dauert jedoch nur so lange, wie die Verbindung besteht. Wenn er die Verbindung unterbricht und eine neue herstellt, macht er sich der Straftat schuldig. Diese Straffreiheit stellt unserer Meinung nach eindeutig eine unzutreffende Lücke dar, da die Parteien diese Möglichkeit bei der Ausarbeitung des Textes wahrscheinlich einfach nicht in Betracht gezogen haben.
C. Die Rechtswidrigkeit
18 Um strafbar zu sein, muss der Täter unrechtmäßig gehandelt haben. Dies bedeutet, dass zunächst festgestellt werden muss, ob das Computersystem öffentlich - d. h. für jedermann zugänglich - oder nur beschränkt zugänglich ist, oder ob es sich um eine Kombination aus beidem handelt. Wenn das Computersystem öffentlich ist, kann der Zugang keinesfalls unrechtmäßig sein und eine Straftat ist ausgeschlossen. Ist der Zugang zum gesamten oder einem Teil des Computersystems hingegen beschränkt, macht sich derjenige strafbar, der unbefugt darauf zugreift.
19 Wer auf welchen Teil des Computersystems zugreifen darf, bestimmt der Berechtigte des Computersystems. Strafbar sind somit nicht nur Personen, denen der Zugriff auf das Computersystem nicht gestattet wurde, sondern auch Personen, denen der Zugriff auf einen Teil des Computersystems gestattet wurde, die aber auf einen anderen Teil des Computersystems zugreifen, zu dem ihnen der Zugriff nicht gestattet wurde. Nicht strafbar sind hingegen Personen, denen der Zugriff auf das Computersystem von seinem Rechtsinhaber gestattet wurde und die sich an die Beschränkungen dieses Zugriffs halten.
20 Der Berechtigte des Computersystems ist nicht immer auch der Administrator. Dies ist insbesondere bei mittleren und großen Computersystemen der Fall. In diesen Situationen wird die Verwaltung des Computersystems von seinem Rechtsinhaber an einen Drittverwalter delegiert. Dieser Administrator kann entweder eine natürliche Person oder eine juristische Person sein. In beiden Fällen ermächtigt der Rechtsinhaber des Computersystems den Administrator, zur Erfüllung seiner Aufgaben auf das System zuzugreifen. Der Administrator greift also nicht unberechtigt auf das Computersystem zu, solange er dies zum Zweck der Erfüllung seiner Aufgabe tut. Unberechtigt ist der Zugriff hingegen, wenn er zu einem anderen Zweck erfolgt, z. B. um private oder vertrauliche Informationen abzurufen, die nicht für ihn bestimmt sind.
21 Wenn die Verwaltung des Computersystems an ein Unternehmen delegiert wird, sind alle natürlichen Personen, die in diesem Unternehmen mit dieser Aufgabe betraut sind, zum Zugriff auf das System berechtigt. Dies ist hingegen nicht der Fall für natürliche Personen innerhalb dieser juristischen Person, denen diese Aufgabe nicht zugewiesen wurde. Wenn diese Personen auf das Computersystem zugreifen, tun sie dies unrechtmäßig, da sie dies nicht tun, um die Aufgabe zu erfüllen, die der juristischen Person übertragen wurde.
22 Eine Person, die speziell beauftragt wurde, die Sicherheit des Computersystems zu testen, und der es gelingt, sich Zugang zum Computersystem zu verschaffen, indem sie die eingerichteten Schutzmaßnahmen umgeht, handelt nicht unrechtmäßig, da sie von ihrem Rechtsinhaber dazu ermächtigt wurde.
D. Die Absicht
23 Der illegale Zugriff muss vorsätzlich erfolgen. Der Vorsatz muss sich auf alle objektiven Elemente der Straftat beziehen. Der Täter muss sich also bewusst sein, dass er sich unrechtmäßig Zugang zu einem Computersystem verschafft, und er muss den Willen dazu haben. Eventualvorsatz reicht aus. Wenn der Täter ahnt, dass er auf ein Computersystem, auf das er keinen Zugriff haben sollte, ganz oder teilweise zugreift, aber trotzdem eine Verbindung herstellt, macht er sich des unrechtmäßigen Zugriffs schuldig. Begeht der Täter hingegen einen Bedienungsfehler und stellt wider besseres Wissen eine nicht autorisierte Verbindung her, fehlt es an Vorsatz und der Straftatbestand ist nicht erfüllt.
24 Die Norm stellt nur die Herstellung des illegalen Zugangs unter Strafe, nicht aber die Aufrechterhaltung des Zugangs gegen den Willen des Rechteinhabers. Wer sich also versehentlich Zugang zu einem Computersystem verschafft, aber nach dem Einloggen den Inhalt des Systems erforscht, ist nicht strafbar.
25 Wenn der Täter irrtümlich annimmt, dass das Computersystem, auf das er zugreift, öffentlich ist, oder wenn er irrtümlich annimmt, dass er aus einem anderen Grund berechtigt ist, auf das System zuzugreifen, begeht er einen Tatsachenirrtum.
IV. Zusätzliche fakultative Tatbestandsmerkmale
26 Zum Zeitpunkt der Ausarbeitung des Übereinkommens über Computerkriminalität wollte eine Mehrheit der Vertragsparteien das reine Hacken unter Strafe stellen. Andere hingegen waren gegen eine generelle Strafbarkeit des Hackens mit der Begründung, dass das bloße Eindringen nicht unbedingt Schaden anrichtet und dass durch Hackinghandlungen in manchen Fällen sogar Sicherheitslücken entdeckt und geschlossen werden können. Um diesen Überlegungen Rechnung zu tragen und da die nationalen Gesetze vieler Länder bereits Bestimmungen enthielten, die das Hacken in verschiedenen Formen unter Strafe stellten, wurde den Vertragsparteien die Möglichkeit eingeräumt, die Strafbarkeit des illegalen Zugangs einzuschränken, indem sie die Erfüllung eines oder mehrerer zusätzlicher Tatbestandsmerkmale verlangten.
A. Zugriff unter Verletzung von Sicherheitsmaßnahmen
27 Die Cybercrime-Konvention gibt den Vertragsparteien zunächst die Möglichkeit, den illegalen Zugriff nur dann zu bestrafen, wenn er unter Verletzung von Sicherheitsmaßnahmen erfolgt. Deutschland, Finnland, Japan, Litauen, Peru, die Slowakische Republik, die Tschechische Republik und die Schweiz haben von dieser Möglichkeit Gebrauch gemacht.
28 Diese zusätzliche Anforderung bedeutet, dass das Computersystem vor unberechtigtem Zugriff geschützt werden muss. Mit anderen Worten: Wenn sich der Täter unberechtigt Zugang zu einem Computersystem verschafft, das nicht geschützt ist, ist er nicht strafbar.
29 Der Begriff der Sicherheitsmaßnahmen ist weit zu verstehen. Er umfasst sowohl physische als auch virtuelle Sicherheitsmaßnahmen. Was die physischen Sicherheitsmaßnahmen betrifft, kann sich das Computersystem beispielsweise in einem abgeschlossenen Raum befinden, zu dem man nur mit einem Schlüssel, einer Magnetkarte, einem Fingerabdruck, einem Retina- oder Stimmabdruck Zugang hat. Auf virtueller Ebene können die Sicherheitsmaßnahmen insbesondere in einem Schutz durch Firewall, PIN-Code, Passwort oder auch in einer doppelten oder sogar dreifachen Authentifizierung bestehen.
30 Wenn es dem Täter nicht gelingt, die Sicherheitsmaßnahmen zu überwinden, oder wenn er spontan beschließt, seine Aktivität zu beenden, bevor er die Sicherheitsmaßnahmen überwunden hat, ist nur ein Versuch denkbar. Dies ist jedoch problematisch, da man bei der Lektüre von Art. 11 Abs. 2 CCC feststellt, dass von den Vertragsparteien nicht verlangt wird, den Versuch des illegalen Zugangs unter Strafe zu stellen. Es steht also jedem Staat frei, diesen Aspekt so zu behandeln, wie er es für richtig hält, so dass dieses Verhalten nach dem nationalen Recht der Vertragsstaaten möglicherweise überhaupt nicht strafbar ist.
B. Die Absicht, Computerdaten zu erlangen oder eine andere besondere Absicht.
31 Eine weitere Möglichkeit für die Vertragsparteien besteht darin, zu verlangen, dass der Täter in einer besonderen Absicht gehandelt hat. Mehrere Staaten haben von dieser Möglichkeit Gebrauch gemacht.
32 Die Vereinigten Staaten von Amerika haben beschlossen, zu verlangen, dass der Täter in der Absicht gehandelt hat, Daten zu erlangen. Obwohl diese Möglichkeit den Vertragsparteien eingeräumt wurde, ist ihre Nutzung bedauerlich, da sie die Norm weitgehend ihrer Substanz beraubt. Die Bestimmung wurde nämlich speziell entwickelt, um die Handlungen von Hackern zu bestrafen, die sich aus Mutwillen Zugang zu Computersystemen verschaffen, ohne sich jedoch für die darin enthaltenen Daten zu interessieren. Die Forderung nach dieser speziellen Absicht scheint daher dem Geist der Norm zu widersprechen.
33 Belgien erklärte seinerseits, dass es den illegalen Zugang nur dann unter Strafe stellt, wenn er in betrügerischer Absicht oder in der Absicht, Schaden anzurichten, begangen wird. Die betrügerische Absicht scheint sich auf die Absicht zu beziehen, einen ungerechtfertigten Vorteil für sich selbst oder für andere zu erlangen. Was die Schädigungsabsicht betrifft, so handelt es sich wahrscheinlich um die Absicht, anderen in irgendeiner Form Schaden zuzufügen.
34 Das Fürstentum Andorra und die Slowakische Republik haben beschlossen, den unrechtmäßigen Zugang nur dann zu verfolgen, wenn er mit dem Ziel begangen wird, sich unrechtmäßig Daten zu verschaffen, diese zu beschädigen (nur im Fall des Fürstentums Andorra) oder in einer anderen strafbaren Absicht. Mit dieser Formulierung soll verhindert werden, dass Täter einer Verurteilung entgehen, weil sie einen anderen Zweck als die Beschaffung oder Beschädigung von Daten verfolgten. Unserer Ansicht nach muss sie jedoch im Lichte der in Art. 2 CCC aufgeführten besonderen Absichten interpretiert werden und diesen sowohl hinsichtlich des vom Täter verfolgten Zwecks als auch hinsichtlich ihrer deliktischen Intensität ähneln. Am 1. Januar 2021 wurde das slowakische Strafgesetzbuch geändert und der Vorbehalt der Slowakischen Republik angepasst. Der § 247 wurde neu gefasst. In seiner einfachen Form verlangt diese Bestimmung keinen besonderen Vorsatz mehr (§ 247 Abs. 1). In § 247 Abs. 2 ist hingegen eine qualifizierte Form vorgesehen, wenn der Täter einen erheblichen Schaden verursacht.
35 Schließlich hat Kanada angegeben, dass es den illegalen Zugang nur dann verfolgen würde, wenn er mit krimineller Absicht begangen wird. Der letztgenannte Begriff ist besonders unpräzise und führt daher zu erheblicher Rechtsunsicherheit. Darüber hinaus scheint er sich mit dem Begriff des Vorsatzes zu überschneiden. Er sollte daher unserer Ansicht nach restriktiv ausgelegt werden.
36 Chile hatte ursprünglich einen Vorbehalt eingelegt, der mit dem Kanadas identisch war. Es änderte jedoch seine Gesetzgebung im Jahr 2022. Nach der neuen Fassung ist der acceso ilícito strafbar, wenn er vorsätzlich begangen wird. Eine besondere Absicht ist nicht mehr erforderlich. Wenn der illegale Zugang jedoch mit dem Ziel begangen wird, die im Computersystem enthaltenen Daten zu erlangen oder zu nutzen, wird das Strafmaß erhöht.
C. Ein Computersystem, das mit einem anderen Computersystem verbunden ist
37 Die Cybercrime-Konvention ermöglicht es den Vertragsparteien schließlich, die Strafbarkeit des illegalen Zugangs auf Verbindungen zu beschränken, die unrechtmäßig über ein anderes Computersystem mit einem Computersystem hergestellt werden. Indem sie von dieser Möglichkeit Gebrauch machen, können die Vertragsparteien Fälle ausschließen, in denen sich der Täter physischen Zugang zu dem Computersystem verschafft, gegen das er sich richtet, ohne über ein Netzwerk zu gehen.
38 Die einzigen Staaten, die von dieser Möglichkeit Gebrauch gemacht haben, sind die Slowakische Republik und Japan. Das slowakische Strafgesetzbuch wurde inzwischen geändert. Die Neufassung des § 247, die am 1. Januar 2021 in Kraft trat, sieht dieses Erfordernis in der aktuellen Fassung nicht mehr vor, sodass der Vorbehalt der Slowakischen Republik angepasst wurde.
V. Vergleich mit dem Schweizer Recht
39 Im Schweizer Recht wird Hacking durch Art. 143bis StGB unter Strafe gestellt. Diese Bestimmung stellt den unberechtigten Zugriff auf ein fremdes, besonders gegen Zugriff geschütztes Computersystem mittels einer Datenübertragungsvorrichtung unter Strafe. Diese Norm entspricht jedoch in dreierlei Hinsicht nicht den Anforderungen von Art. 2 CCC.
40 Erstens unterscheidet die Konvention nicht zwischen Computersystemen. Es schützt die Integrität aller Computersysteme, unabhängig von ihrer Zugehörigkeit. Art. 143bis Abs. 1 StGB hingegen stellt nur den unberechtigten Zugang zu einem Computersystem, das "einem anderen gehört", unter Strafe. Angesichts der Tatsache, dass sich diese Bestimmung im zweiten Titel des Strafgesetzbuches, d. h. Straftaten gegen das Vermögen, befindet, muss diese Formulierung im Hinblick auf die dinglichen Rechte ausgelegt werden. Das Computersystem muss also einer anderen Person als dem Urheber gehören. Wenn der Täter der Eigentümer oder Miteigentümer des Computersystems ist, ist dieser Tatbestand nicht erfüllt, da es nicht einer anderen Person gehört. Wenn also mehrere Sitzungen in demselben Computersystem eröffnet wurden, ist der Täter, der (Mit-)Eigentümer des Computersystems ist und auf eine andere Sitzung als seine eigene zugreift, nicht strafbar. Die Mehrheitsmeinung in der Lehre ist dagegen der Ansicht, dass unter "fremdbesitzend" zu verstehen ist, dass eine andere Person als der Urheber berechtigt ist, auf das Computersystem oder ein Computeruntersystem zuzugreifen und darüber zu verfügen. Eine solche Auslegung würde jedoch dazu führen, dass der Begriff "einem anderen gehörend" redundant mit dem Tatbestandsmerkmal der Rechtswidrigkeit des Zugangs ist. Wenn der Gesetzgeber diese beiden Elemente getrennt erwähnt hat, so deshalb, weil es sich um zwei Begriffe handelt, die unabhängig voneinander analysiert werden müssen. Um der Konvention zu entsprechen, sollte daher der Begriff "andere" in Art. 143bis Abs. 1 StGB gestrichen werden.
41 Art. 143bis Abs. 1 StGB verlangt, dass sich der Täter mit Hilfe einer Datenübertragungsvorrichtung Zugang zum Computersystem verschafft hat. Dies hat beispielsweise zur Folge, dass ein Täter, der die Abwesenheit seines Opfers nutzt, um in dessen Büro einzudringen und sich direkt mit dessen Computer zu verbinden, sich nicht des unberechtigten Zugriffs auf ein Computersystem schuldig macht, da er keine Datenübertragungsvorrichtung verwendet. Art. 2 Abs. 2 CCC erlaubt es den Vertragsparteien, die Strafverfolgung auf den unrechtmäßigen Zugang zu beschränken, der mittels eines Computersystems begangen wird, das mit einem anderen Computersystem verbunden ist. Die Schweiz hat jedoch nicht erklärt, von dieser Möglichkeit Gebrauch zu machen. Folglich sollte das Tatbestandsmerkmal des Zugriffs mittels einer Datenübertragungsvorrichtung gestrichen werden.
42 Schliesslich ist in Art. 143bis StGB eine Straftat verankert, die nur auf Antrag verfolgt wird. Wenn eine Straftat nur auf Antrag verfolgt wird, kann eine Strafbehörde nicht selbst tätig werden. Da ein Lehrstreit darüber besteht, ob ein im ersuchenden Staat gestellter Strafantrag ausreicht, um die internationale Zusammenarbeit in Gang zu setzen, wäre es klug, den unberechtigten Zugriff auf ein Computersystem von Amts wegen zu verfolgen.
43 Angesichts der vorstehenden Ausführungen muss festgestellt werden, dass das Schweizer Recht nicht mit Art. 2 CCC übereinstimmt. Art. 143bis StGB sollte daher geändert werden.
Die in diesem Beitrag enthaltenen Fachbegriffe der Informatik wurden mit Hilfe von Herrn Yannick Jacquey, eidgenössisch diplomierter ICT-Manager, verfasst. Ihm sei an dieser Stelle herzlich gedankt.
Literaturverzeichnis
Dupuis Michel / Geller Bernard / Monnier Gilles / Moreillon Laurent / Piguet Christophe / Bettex Christian / Stoll Daniel (éditeurs), Code pénal - Petit commentaire, 2. éd., Bâle 2017
Pfister Christa, Hacking in der Schweiz, Diss., Zürich, 2008
Schmid Niklaus, Computer- sowie Check- und Kreditkartenkriminalität, Zurich 1994
Schwarzenegger Christian, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime, in : Strafrecht, Strafprozessrecht und Menschenrechte, Festschrift Trechsel, Zurich 2002
Stratenwerth Günter / Bommer Felix, Schweizerisches Strafrecht, Besonderer Teil I: Straftaten gegen Individualinteressen, 8. éd., Berne, 2022
Trechsel Stefan / Crameri Dean, in : Trechsel Stefan / Pieth Mark (éditeurs), Schweizerisches Strafgesetzbuch, Praxiskommentar, 4. éd., Zurich 2021
Weissenberg Philippe, in : Niggli Marcel Alexander / Wiprächtiger Hans (éditeurs), Basler Kommentar, Strafrecht II, 4. éd., Bâle 2018
Materialienverzeichnis
Conseil de l’Europe, Explanatory Report to the Convention on Cybercrime, Budapest 23.11.2001, disponible sous https://rm.coe.int/16800cce5b, visité le 21.1.2024 (cité : Rapport explicatif de la Convention sur la cybercriminalité)
Message concernant la modification du code pénal suisse et du code pénal militaire (Infractions contre le patrimoine et faux dans les titres) ainsi que la modification de la loi fédérale sur l'approvisionnement économique du pays (Dispositions pénales) du 24 avril 1991, FF 1991 II 933, disponible sous https://www.fedlex.admin.ch/eli/fga/1991/2_969_933_797/fr, visité le 21.1.2024