Rechtssicherheit für die Erforschung von IT-Sicherheitslücken: Bundesjustizministerium veröffentlicht Gesetzentwurf zum Computerstrafrecht

Berlin 04.11.2024

Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz eine Anpassung des Computerstrafrechts vor. Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computer­strafrecht strafbar sind. Einen entsprechenden Gesetzentwurf hat das Ministerium heute veröffentlicht. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang. 

Bundesjustizminister Dr. Marco Buschmann erklärt dazu:

„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“

Der Gesetzentwurf eines Gesetzes zur Änderung des Strafgesetzbuches – Modernisierung des Computerstrafrechts sieht mehrere Anpassungen im Computerstrafrecht vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen. Konkret sind folgende Änderungen vorgesehen:

• Tatbestandsausschluss für das Aufspüren von Sicherheitslücken: Es soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von sog. „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. Dabei geht es um Handlungen, die in der Absicht vorgenommen werden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll § 202a Strafgesetzbuch (StGB) ergänzt werden. Nach dieser Strafnorm macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschafft. Ein neuer Absatz 3 soll klarstellen, unter welchen Umständen eine solche Handlung nicht „unbefugt“ und damit nicht strafbar ist. Der dadurch neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).