Das Strafrecht im Lichte des Internets (Teil 2) – Besondere Erscheinungsformen des Cybercrime

Dieser Beitrag wurde von Carsten K. Klang und Christoph K. Klang erstellt und ist der letzte Teil einer zweiteiligen Aufsatzreihe, der Grundlagen des Internetstrafrechts vermittelt und die grundlegenden Probleme veranschaulicht, die mit diesem Gebiet einhergehen.

1. Einleitung

Häufig gehen mit Entwicklungen im IT-Bereich auch spiegelbildlich neue Möglichkeiten der Tatbegehung einher. Die kriminellen Aktivitäten weisen dabei eine enorme Bandbreite auf. Bei der Betrachtung der Internetkriminalität wird allgemein zwischen Cybercrime im engeren Sinne und im weiteren Sinne unterschieden. Angriffe auf informationstechnische Systeme, die mittels hierfür geschaffener Datendelikte sanktioniert werden, werden vom Cybercrime im engeren Sinne erfasst; die Nutzung entsprechender Systeme zur Tatbegehung, sowohl als Tatmittel, wie auch als Angriffsmedium werden vom Cybercrime im weiteren Sinne erfasst.1 Immer wieder werden in diesem Kontext Begriffe für Vorgänge benutzt, wie beispielsweise Phishing, Man-in-the-Middle-Angriff oder (D-)Dos-Angriff benutzt. Was sich hinter diesen Vorgängen verbirgt, wie diese rechtlich einzuschätzen sind und ob sich daraus ein Handlungsbedarf für den Gesetzgeber ergibt, wird im folgenden Beitrag näher beleuchtet werden.

2. Problemaufriss

Das Internet bietet in technischer Hinsicht Vorteile, die die Begehung bestimmter Delikte begünstigen. Die räumliche Distanz zum Opfer, vermeidliche Anonymität des Täters und auch die einfache Gelegenheit an sich, sind Umstände, die sich als förderlich für die Internetkriminalität erweisen. Es werden immer größere Datenvolumen verbreitet und effektivere Möglichkeiten der Auswertung entwickelt. Mit diesem Trend geht auch eine entsprechend zunehmende Komplexität und Größe, gemessen in der Anzahl von Codezeilen, der Software einher. Dies führt dazu, dass bei der Entwicklung neuer Software unvermeidlich Fehler unterlaufen. Die Ausnutzung entsprechender Architektur- und Konfigurations- sowie Implementierungsfehler erleichtern es, den Systemzustand gegen den Willen des Nutzers zu verändern. Die Methoden von Cyber-Kriminellen orientieren sich daher einerseits am technischen Fortschritt und andererseits an den bestehenden Abwehrmaßnahmen.2

Erscheinungsformen der Internetkriminalität befinden sich daher technisch gesehen in einem steten Wandel. Im Zusammenhang mit der wachsenden Bedeutung, die aus der zunehmenden IT-Verknüpfung entsteht, stellt sich daher immer wieder die grundlegende Frage, ob das Strafrecht in seinen aktuellen Kodifizierungen diese Entwicklungen noch abdecken kann oder ob es reformbedürftig ist. Denn materiell-rechtlich darf nur ein gesetzlich geregeltes und bestimmtes Verhalten unter Strafe gestellt werden, Art. 103 Abs. 2 GG.

3. Besondere Vorgänge im Zusammenhang mit dem Internetstrafrecht

Einige Internet-Phänomene, deren Begrifflichkeiten immer wieder in einem Zusammenhang mit dem Internetstrafrecht gebracht werden, sind das Phishing, der Man-in-the-middle-Angriff, das Verbreiten von Spam, das Verbreiten und Handeln mit sog. Maleware, das Filesharing, das Streaming, der (D-)Dos-Angriff und die sog. Online-Demonstrationen.

3.1. Phishing

Der Begriff „Phishing“ ist einem Neologismus aus „Password“ und „Fishing“, der einen Vorgang bezeichnet, bei dem mittels einer Täuschung die Erlangung fremder Identifikationsdaten erreicht werden soll.3 In der Regel kontaktiert der Täter das Opfer, etwa durch eine E-Mail, die vermeintlich von seiner Bank oder einem sonstigen Vertragspartner stammt.4 In dieser E-Mail wird der Empfänger dazu aufgefordert, bestimmte Daten, wie Passwörter oder Kreditkartennummern, zu übermitteln.5 Wird der Forderung nicht schnell genug nachgekommen, werden häufig Sanktionen, wie etwa Kontosperrungen, angedroht. Vielfach wird das Opfer auch auf eine gefälschte Internetseite mittels eines eingefügten Links geführt. Die gefälschte Internetseite ist dann nahezu identisch mit der des entsprechenden Geschäftspartners. Gibt das Opfer seine Daten auf dieser gefälschten Seite ein, werden diese dem Täter direkt übermittelt. Am stärksten vom Phishing ist der Bereich des Online-Bankings betroffen.6 Daher soll hier auch dieser „klassische“ Fall des Phishings, also die Erlangung von Anmeldedaten, Passwörtern und TAN-Nummern untersucht werden. Während die spätere (unbefugte) Verwendung der erlangten Daten regelmäßig den Tatbestand des § 263a StGB (Computerbetrug) erfüllt,7 ist die strafrechtliche Würdigung des Phishings, also des Erlangens der Daten an sich, deutlich schwieriger zu beantworten.

3.1.1. Strafbarkeit nach § 202a StGB

Für eine Strafbarkeit nach § 202a Abs. 1 StGB (Ausspähen von Daten) scheitert es an dem Überwindenmüssen einer Zugangssicherung. Gemäß § 202a Abs. 1 StGB müssten die Daten vor unberechtigtem Zugang besonders gesichert und diese Zugangssicherung vom Täter überwunden worden sein, wodurch dieser sich oder einem Dritten Zugang zu den Daten verschafft hat. Allerdings kann die bloße Geheimhaltung von Daten nicht als besondere Zugangssicherung angesehen werden.8 Eine technische Zugangssicherung existiert bei Passwörtern und Kreditkartennummern in der Regel nicht.9

3.1.2. Strafbarkeit nach § 263 StGB

Für eine Strafbarkeit nach § 263 StGB (Betrug) fehlt es an der erforderlichen Vermögensverfügung. Eine Vermögensverfügung ist jedes Tun, Dulden oder Unterlassen, das unmittelbar zu einer Vermögensminderung führt.10 Als die ersten Fälle des Phishings aufkamen, wurde teilweise angenommen, dass in der Übergabe von PIN und Kontodaten eine Vermögensverfügung läge, die zwar nicht unmittelbar zum Schaden führe, aber eine schadensgleiche Vermögensgefährdung erzeuge. Die Übermittlung der Informationen stehe dem Schaden gleich, der jederzeit eintreten könne.11 Diese Ansicht ist jedoch abzulehnen. Einerseits ist die Herausgabe der Daten keine Vermögensverfügung, da nicht direkt über das Vermögen verfügt wird. Andererseits entsteht durch die Herausgabe der Daten kein unmittelbarer Schaden.12 Dies ist erst recht der Fall, wenn der Täter die Daten nicht selbst benutzt, sondern etwa Datensätze sammelt, um diese an Dritte zu verkaufen. Das Vermögen mag zwar bedroht sein, ein Schaden entsteht aber erst nach einer weiteren Anschlusshandlung.

3.1.3. Strafbarkeit nach § 267 StGB durch das Versenden von E-Mails

Eine Strafbarkeit nach § 267 StGB (Urkundenfälschung) scheitert am Fehlen einer Urkunde. Urkunden sind verkörperte Gedankenerklärungen, die allgemein oder für Eingeweihte verständlich sind, einen Aussteller erkennen lassen und die zum Beweis einer rechtlich erheblichen Tatsache geeignet und bestimmt sind, gleich ob ihr die Bestimmung schon bei der Ausstellung oder erst später gegeben wird.13 Für die äußere Form der Erklärungsverkörperung ist die Sichtbarkeit notwendig.14 Daher besteht für beispielsweise Audioaufnahmen von Erklärungshandlungen keinen Fälschungsschutz. Dagegen sind auf Datenträgern verkörperte Erklärungen den Urkunden gemäß § 269 StGB gleichgestellt. Daraus folgt im Gegenschluss, dass gespeicherte Daten nicht deshalb das Sichtbarkeitserfordernis erfüllen, weil sie auf dem Bildschirm eines Computers in Klarschrift sichtbar gemacht werden können. Bei E-Mails und Websites handelt es sich somit nicht um verkörperte Gedankenerklärung und somit nicht um Urkunden.

3.1.4. Strafbarkeit nach § 269 StGB hinsichtlich der E-Mails

Dagegen kann in bestimmten Konstellationen das Versenden von Phishing- E-Mails den Tatbestand des § 269 Abs. 1 StGB (Fälschung beweiserheblicher Daten) erfüllen. § 269 Abs. 1 StGB setzt das Speichern oder Verändern beweiserheblicher Daten zur Täuschung im Rechtsverkehr voraus, so dass bei ihrer Wahrnehmung die Merkmale einer unechten oder verfälschten Urkunde vorliegen oder derart gespeicherte oder veränderte Daten gebraucht werden. Voraussetzung dafür ist, dass die Phishing-Mail eine Datenurkunde darstellt, welche eine Erklärung enthält, die nach ihrem Gegenstand und aufgrund der mitperpetuierten Erkennbarkeit des Erklärenden unmittelbare Rechtswirkung entfaltet.15 Der Wortlaut von § 269 StGB erlaubt insoweit, abweichend von § 267 StGB, auch das Erfassen lediglich gespeicherter Daten.16 Maßgeblich ist hier die Erkennbarkeit des Erklärenden. Diese kann nur dann angenommen werden, wenn sich aus der übersandten Erklärung ein eindeutiger und zumindest existenter Austeller ergibt17, also beispielsweise eine Bank, die durch den Täter als Absender suggeriert wird. Auf eine digitale Signatur kommt es dabei nicht an.18 Das Gebrauchen von Daten liegt vor, wenn sie einem anderen zugänglich gemacht werden.19

3.1.5. Strafbarkeit nach § 269 StGB hinsichtlich Websites

Das Erstellen einer Website, auf der das Opfer seine Daten eingibt, kann dementsprechend ebenfalls unter § 269 StGB fallen. Auch hier ist erforderlich, dass die Garantiefunktion beeinträchtigt ist, indem eine Gedankenerklärung abgegeben wurde, die nicht von ihrem angeblichen Aussteller herrührt.20 Teilweise wird vertreten, dass sich der Aussteller über die IP-Adresse des Täters ergibt und diese ja immer richtig sei, denn es werde allein der auf der Benutzerebene verwendete „domain name“ gefälscht.21 Diese Ansicht überzeugt jedoch nicht. So ist es bereits ausreichend, wenn für einen durchschnittlichen Empfänger in ausreichendem Maße eine falsche Herkunft vorgespielt wird, was aufgrund der Gestaltung der Webseite des Täters regelmäßig der Fall sein wird. Auf die nur für technisch versiertere Nutzer zu deutende URL kommt es insoweit nicht an.22

3.1.6. Strafbarkeit nach § 202c Abs. 1 Nr. 1 StGB

Das erfolgreiche Abgreifen von Passwörtern durch Phishing ist zudem von § 202c Abs. 1 Nr. 1 StGB (Vorbereiten des Ausspähens und Abfangens von Daten) erfasst. Jedenfalls dann, wenn der Täter eine Straftat nach § 202a StGB oder § 202b StGB vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Das bloße Absenden einer Phishing-Mail wird nicht vom § 202c Abs.1 Nr. 1 StGB abgedeckt, da insoweit noch keine Passwörter oder sonstigen Sicherungscodes vorliegen und keine Versuchsstrafbarkeit existiert.23 Hat das Opfer aber bereits seine Daten übermittelt, handelt es sich beim Phishing um das Sich-Verschaffen von Passwörtern und sonstigen Sicherungscodes.24 Insofern wird dann eine Straftat nach § 202a Abs. 1 StGB vorbereitet, indem die Daten des Kontos des Opfers ausgespäht werden können.

3.1.7. Ergebnis

Die Erstellung einer Website für Phishing sowie das Erlangen der Daten dadurch oder durch entsprechende E-Mails ist unter Strafe gestellt. Allenfalls um die im Vorfeld der Erlangung der Daten bestehenden Handlungen abzufangen, wäre eine Strafausweitung, etwa die Versuchsstrafbarkeit im § 202a StGB denkbar.

3.2. Man-in-the-Middle-Angriff

Der Man-in-the-Middle-Angriff ist eine spezielle Form eines digitalen Angriffs, der sich häufig gegen Bankkunden richtet, die Online-Banking betreiben. Der Angreifer stellt sich technisch gesehen, „zwischen“ zwei oder mehrere Kommunikationspartner, etwa den Bankkunden und der Bank, und beeinflusst oder verändert den Austausch der beiden so, dass er die Kontrolle über den Datenverkehr erlangt.25 Besondern lukrativ ist der Man-in-the-Middle-Angriffs im Falle der Überweisungsdatenänderung. Wenn der Bankkunde eine Überweisung tätigt, kann der Täter die Überweisungsdaten verändern. Für das Opfer sieht es so aus, als ob er die Überweisung nach seinen Wünschen betätigt. Der Angreifer ändert die Daten (Überweisungshöhe, Empfängerkonto u.s.w.) bevor diese bei der Bank eingehen. Damit kann der Empfänger das Geld auf ein anderes Konto transferieren.

3.2.1. Strafbarkeit nach § 269 StGB

Durch das Abfangen einer Online-Überweisung und das Ändern der Daten, kann der Täter in bestimmten Konstellationen den Tatbestand des Fälschens beweiserheblicher Daten gem. § 269 Abs. 1 StGB verwirklichen. Bei einer Online-Überweisung werden Daten an die Bank übertragen. Eine Überweisung dient auch zum Beweis im Rechtsverkehr. Das Tatbestandsmerkmal des Veränderns meint das inhaltliche Umgestalten von Daten.26 Da der Täter die Transferdaten umgestaltet, verändert er die entsprechenden Daten. In der Regel wird dies mit Bereicherungsabsicht bezüglich sich selbst oder eines Dritten einhergehen, so dass die Veränderung der Daten auch zur Täuschung im Rechtsverkehr dient.

3.2.2. Strafbarkeit nach § 303a StGB

Weiterhin kommt eine Strafbarkeit wegen Datenveränderung gem. § 303a Abs. 1 StGB (Datenveränderung) in Betracht. Demnach müsste der Täter Daten rechtswidrig löschen, unterdrücken, unbrauchbar machen oder verändern. § 303a Abs. 1 StGB verweist bei dem Datenbegriff auf die Definition des § 202a Abs. 2 StGB. Demnach sind Daten solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übertragen werden. Das Übermitteln von Daten ist jedes Weiterleiten, insbesondere innerhalb eines Netzwerks oder über Fernmeldewege.27 Bei einer Online-Überweisung werden elektronische Informationen über ein Netzwerk an die Bank weitergeleitet. Demnach liegen Daten i.S.d. § 202a StGB vor. Das Verändern von Daten meint jede Form inhaltlichen Umgestaltens.28 Gestaltet der Täter Daten entsprechend um, indem er ihnen einen anderen Informationsgehalt gibt, liegt also eine Datenveränderung vor.

3.2.3. Ergebnis

Der Man-in-the-Middle-Angriff wird somit durch die § 269 und § 303a StGB erfasst. Die Vorschriften stehen dann in Tateinheit zueinander.29

3.3. Spam

Als Spam bezeichnet man unbestellte Nachrichten, die massenhaft und ungezielt per E-Mail oder über andere Kommunikationsdienste versendet werden.30 Dabei enthalten diese Nachrichten meist unerwünschte Werbung aber auch häufig Schadprogramme oder Links zu Webseiten, die für Phishing-Angriffe genutzt werden.31 Lediglich das Verschleiern oder Verheimlichen des Absenders oder des kommerziellen Charakters einer Spam-Mail wird als Ordnungswidrigkeit gem. § 6 Abs. 2 TMG angesehen und mit einem Bußgeld von bis zu 50.000 Euro geahndet. Ein eigener Straftatbestand für Spammails gibt es, anders als etwa im US-amerikanischen Recht32, nicht. Jedoch wird auch dort nicht das Versenden einer Werbemail an sich unter Strafe gestellt, sondern lediglich die sanktionswürdigen Begleitumstände geregelt.33 Auch wenn die lästige Zusendung von Spammails zuweilen mit Schadprogrammen und Phishing-Nachrichten einhergeht, erscheint es doch mehr als bedenkenswert, das Versenden von klassischen Werbemails als strafwürdig anzusehen. Ein akuter Handlungsbedarf für den Gesetzgeber ist daher nicht ersichtlich.

3.4. Herstellung und Handel mit Malware

Malware ist der Oberbegriff für alle Arten von Schadprogrammen.34 Erfasst wird alles von Viren, trojanischen Pferden über Würmer und Spyware. Ist ein System erst einmal mit einem Schadprogramm infiziert, können, je nach Schadsoftware unterschiedlichste Folgen auftreten. Mittlerweile stellen viele Straftäter im Internet die von ihnen benötigte Software gar nicht mehr selbst her. Stattdessen floriert der Handel mit Malware, und die eigentlichen Hersteller der Software haben auf die Ausführung der Angriffe nach ihrem Verkauf keinen weiteren Einfluss.35 Der Gesetzgeber reagierte darauf, indem die Vorbereitung des Ausspähens und Abfangens von Daten unter Strafe gestellt wurde, gem. § 202c StGB. Demnach wird bestraft, wer eine Straftat nach § 202a StGB oder § 202b StGB vorbereitet, indem er Passwörter oder sonstige Sicherheitscodes, die den Zugang zu Daten ermöglichen oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Eine weitergehende Einschränkung erscheint dagegen nicht zielführend, da Malware nicht nur produziert wird, um anderen zu schaden. Viele Unternehmen lassen Malware herstellen und sie bewusst kontrolliert ihre Server angreifen. So können etwaige Sicherheitslücken in den Systemen entdeckt und beseitigt werden. Da die meisten Serveranbieter die Malware zur Sicherheitsüberprüfung nicht selber herstellen, sondern anfertigen lassen oder kaufen, wäre es unzweckmäßig den Handel mit solcher Software pauschal zu verbieten. Diese Problematik wurde auch vom Gesetzgeber erkannt. So sollte nach dem Willen des Gesetzgebers, die Vorschrift des § 202c Nr. 2 StGB nur die sogenannten „Hacker-Tools“ erfassen.36 Dies umfasst unter anderem Computervirus-Basis-Kits, DOS-Tools, Software zum Knacken von Passwörtern, Portscanner und Hackersoftware, also durchweg Programme, die die Begehung von Straftaten vorbereiten können.37 Dagegen soll der Einsatz von Programmierungs-Tools durch Systemadministratoren zur Prüfung der Sicherheit von eigenen oder fremden Netzwerken nicht zur Strafbarkeit nach § 202c Nr. 2 StGB führen.38 Die bloße Eignung der Software zur Begehung einer Tat wird vom § 202c StGB nicht gefordert, da es allein auf die Zweckbestimmung ankommt.39 Technisch gesehen unterscheiden sich die Hacker-Tools von den Programmierungs-Tools allerdings wenig bis gar nicht. Auch wenn die Eignung einer Software zur Begehung von Straftaten zur Tatbestandserfüllung nicht genügen soll, so ist doch ein Computerprogramm, das „auch“ diesen Zweck hat (sogenannte „Dual-Use-Tools“), bereits erfasst.40 Dies ist insofern problematisch, da Sicherheitstests im eigenen Netzwerk nur mit Programmen möglich sind, die auch für einen echten Angriff eingesetzt werden können.41 Derzeit wird der objektive Tatbestand auch durch Netzwerkadministratoren erfüllt, die sich eines derartigen Tools zur Überprüfung ihres Systems bedienen. Im Falle eines Ermittlungsverfahrens müsste dann die Verteidigung auf der (schwierigen) subjektiven Seite agieren und den Vorsatz ausschließen können. Dies ist dann eine schlichte Bewertungs- und Glaubwürdigkeitsfrage.42 Das ist freilich ein sehr unbefriedigendes Ergebnis und zeigt, dass der Tatbestand des § 202c StGB unter Umständen zu weit formuliert ist. Die Problematik, dass § 202c StGB im objektiven Tatbestand auch Sicherheitstests umfasst und die Abgrenzung der Strafbarkeit damit nur durch mangelnden Vorsatz und Vorbereitungsabsicht einer anderen Straftat ermöglicht wird, ist schwierig zu lösen. Objektiv festzustellen, ob eine Software zur Begehung einer Straftat hergestellt, verkauft, überlassen oder verschafft wird, wird kaum möglich sein. Einen abstrakten Tatbestand zu schaffen, der sämtliche Fälle von Maleware richtig erfasst, erscheint schlechterdings nicht möglich. Ein Handeln des Gesetzgebers ist daher auch hier nicht geboten.

3.5. Filesharing und Streaming

Urheberrechtsverletzungen im Internet stehen, wie kaum eine andere Straftat, die im Internet begangen werden kann, immer wieder im öffentlichen Fokus. Schon seit 2003 warnt die deutsche Filmindustrie: „Raubkopierer sind Verbrecher“, während die später vom Netz genommene Video-on-Demand-Webseite kino.to, im Juni 2011 sogar auf Rang 50 der weltweit am häufigsten aufgerufenen Webseiten gewesen sein soll.43 Nahezu jeder Film, jede Serie und jedes Musikstück ist heutzutage im Internet abrufbar. Täglich werden neue Filme ohne die Berechtigung durch die Produzenten hochgeladen und jedem Internetnutzer zur Verfügung gestellt.

3.5.1. Filesharing

Beim sogenannten Filesharing werden Daten, größtenteils urheberrechtlich geschützte Werke, die ohne Erlaubnis nicht ausgetauscht werden dürfen, in Tauschbörsen über das Internet ausgetauscht. Dies funktioniert in der Regel über das sogenannte Peer-to-Peer-Prinzip. Die Besonderheit dabei ist, dass die Dateien nicht auf einem Server hochgeladen werden, sondern die beiden Tauschenden ihre Computer miteinander verbinden und der Austausch der Daten ohne eine dritte Instanz, wie etwa ein weiterer Server, funktioniert. Der Filesharing-Dienst übernimmt also lediglich die Aufgabe, die Tauschenden zu vernetzen. Derjenige, der also eine Datei weitergeben möchte, übermittelt diese direkt seinem Tauschpartner, der diese ohne eine Zwischenspeicherung auf einem Server empfangen und auf seinem Rechner speichern kann.
Rechtlich ist dabei zwischen dem Einstellen der Datei (Upload) und dem Herunterladen der Datei (Download) differenzieren.

3.5.1.1. Upload

Das Bereithalten zum Download von urheberrechtlich geschützten Dateien in File-Sharing-Ordnern ist wegen der unerlaubten öffentlichen Wiedergabe von geschützten Werken von § 106 UrhG erfasst.44 Wer urheberrechtlich geschützte Daten zum Download anbietet, macht diese technisch einer Vielzahl von Personen, die der Öffentlichkeit angehören, zugänglich. Gemäß § 15 Abs. 3 Satz 2 UrhG gehört jeder zur Öffentlichkeit, der nicht mit demjenigen, der das Werk verwertet, oder mit den anderen Personen, denen das Werk in unkörperlicher Form wahrnehmbar oder zugänglich gemacht wird, durch persönliche Beziehung verbunden ist. Bei Tauschbörsen besteht in der Regel keine persönliche Verbindung zwischen den Tauschenden, der Vorgang ist anonymisiert. Dementsprechend werden die Dateien nicht privat, sondern „öffentlich“ ausgetauscht. Das öffentliche Zugänglichmachen wiederum ist ausreichend, um das Tatbestandsmerkmal der Wiedergabe zu erfüllen.45

3.5.1.2. Download

Das bloße Recherchieren nach Dateien ist straflos. In dem Moment des Downloads eines urheberrechtlich geschützten Werkes wird jedoch eine weitere Kopie dieser Datei hergestellt, was zunächst eine tatbestandliche Vervielfältigung i.S.v. § 106 UrhG darstellt.46 Einschränkend dürfen gem. § 53 Abs. 1 S. 1 UrhG Privatkopien erstellt werden, wenn die Vorlage nicht offensichtlich rechtswidrig ist. Zur Offensichtlichkeit reicht die objektive Rechtswidrigkeit der Entstehung der Kopie allerdings nicht aus. Vielmehr müssen noch weitere von außen erkennbare Umstände auf eine rechtswidrige Herstellung der Datei hindeuten.47 Die Tatsache, dass eine Datei in einem peer-to-peer-System zum Download angeboten wird, ist für sich keine endgültige Offenbarung der Rechtswidrigkeit, da der Anbieter auch rechtmäßiger Besitzer der Datei sein kann, etwa wenn er sie zuvor erworben hat.48 In der Praxis bleibt dadurch das Downloaden im Regelfall straffrei.

3.5.1.3. Zwischenergebnis Filesharing

Während der Upload urheberrechtlich geschützter Werke strafbar ist, steht der Download nur unter der offensichtlichen Rechtswidrigkeit eine Straftat dar. Sollte hier eine weitergehende Strafbarkeit gesetzgeberisch gewünscht sein, müsste eine Auflockerung des Erfordernisses der Offensichtlichkeit erfolgen. Somit könnten auch vollumfänglich diejenigen sanktioniert werden, die sich urheberrechtlich geschützte Werke widerrechtlich herunterladen. Gegen eine solche Praxis spricht allerdings, dass damit auch diejenigen in die Gefahr der Strafverfolgung gebracht würden, die die Rechtswidrigkeit des Vorgangs als solchen zunächst nicht erkannt haben. In der Praxis ist die Strafbarkeit der meisten Nutzer von Peer to Peer Systemen ohnehin gegeben, da die Dateien, welche der Nutzer downloadet, im Regelfall auch von ihm automatisch zum Upload angeboten werden.49 Eine Notwendigkeit die bestehenden Regelungen zu verändern, erscheint daher unzweckmäßig und nicht erforderlich.

3.5.2. Streaming

Beim Streaming werden Datenpakete im laufenden Programm so an den Abrufenden übertragen, dass dieser die Datenpakete auf seinem Computerbildschirm wahrnehmen kann, sie aber nur kurzzeitig zwischenspeichert.50 Über entsprechende Webseiten können etwa Videos kostenlos angesehen werden, ohne dass ein Download der entsprechenden Datei vollumfänglich erforderlich ist. In aller Regel fehlt dabei die Genehmigung der Urheberrechtsinhaber. Daher ist wie beim Upload des Filesharing-Nutzers das Uploaden eines Streams ohne die entsprechende Genehmigung strafbar gemäß § 106 UrhG. Auf der anderen Seite stellt sich die Frage, nach der Strafbarkeit der Konsumenten. Grundsätzlich kommt auch bei dem Streaming-Nutzer eine Strafbarkeit nach § 106 UrhG wegen unerlaubter Vervielfältigung in Betracht.

3.5.2.1. Strafrechtliche Würdigung des Konsumverhaltens

Während des Streamings des urheberrechtlich geschützten Werkes werden die Daten des Werkes im sogenannten Buffer und im Cache zwischengespeichert. Der Vorgang ist technisch zwingend erforderlich für die Wiedergabe. Diese Zwischenspeicherung des Werkes ist als Vervielfältigung i.S.d. § 106 UrhG anzusehen. Die Zwischenspeicherung könnte jedoch zulässig sein im Sinne von § 44a Nr. 2 UrhG. Nach der Vorschrift ist eine vorübergehende Vervielfältigungshandlung zulässig, wenn diese flüchtig oder begleitend ist, einen integralen und wesentlichen Teil eines technischen Verfahrens darstellen und deren alleiniger Zweck es ist, eine rechtmäßige Nutzung eines Werkes oder sonstigen Schutzgegenstands zu ermöglichen, und die keine eigenständige wirtschaftliche Bedeutung haben.

Vorrübergehend meint dem Wortlaut nach also nicht dauerhaft, so wie es beim Zwischenspeichern im Cache üblicherweise der Fall ist. In der Regel kommt es zu automatischen Löschungen der im Cache befindlichen Dateien, etwa beim Schließen des Browsers. Nur in wenigen Ausnahmen, wenn der Nutzer die entsprechenden Einstellungen geändert hat, wird der Cache nicht automatisch gelöscht. Möglicherweise kann dann eine Anwendung des § 44a UrhG ausgeschlossen sein, dies ist jedoch im Einzelfall zu bestimmen. Grundsätzlich ist davon auszugehen, dass das Werk beim Streaming nur vorübergehend vervielfältigt wird.51

Da der eigentliche Hauptzweck des Streaming-Nutzers der Stream selbst ist, stellt das Speichern der Dateien im Cache lediglich eine technische Begleiterscheinung dar. Die Daten die dafür dann im Cache gespeichert werden können daher als den Stream begleitend betrachtet werden.52 Die Vervielfältigung ist für das Streaming zumindest momentan technisch unabdingbar und ist somit integraler und wesentlicher Bestandteil des technischen Verfahrens.53

Eine Nutzung kann dann angenommen werden, wenn sie vom Rechtsinhaber zugelassen, beziehungsweise nicht durch das Gesetz beschränkt ist.54 Der bloße Genuss eines urheberrechtlich geschützten Werkes ist nicht unter Strafe gestellt. So ist beispielsweise das Betrachten eines Bildes nicht strafbar, selbst dann, wenn das Bild illegal verschafft oder reproduziert wurde. Da die Vervielfältigungen des Streamings nicht bestehen bleiben, das Streaming also einen flüchtigen Charakter hat, ist die Vergleichbarkeit mit traditionellen, beziehungsweise analogen Werken gegeben. Daher kann davon ausgegangen werden, dass die Vervielfältigung im Streaming-Prozess eine rechtmäßige Nutzung ermöglichen soll.55

§ 44a UrhG setzt ferner voraus, dass die Vervielfältigung keine eigenständige wirtschaftliche Bedeutung zukommt, also keine neue Nutzungsmöglichkeit eröffnet.56 Eigenständig ist die wirtschaftliche Bedeutung der Vervielfältigung nur, wenn sie über den mit der Wiedergabe als „rechtmäßiger Nutzung“ ohnehin verbundenen wirtschaftlichen Vorteil hinausgehe.57 Beim Streaming findet zwar eine Zwischenspeicherung statt, die weitere Verwertung dieser zwischengespeicherten Datenpakete ist üblicherweise aber nicht möglich, insbesondere keine dauerhafte Speicherung.58 Dementsprechend ist ein wirtschaftlicher Vorteil, der über den mit der rechtmäßigen Nutzung verbundenen Vorteil hinausgeht, nicht gegeben.

3.5.2.2. Europäische Rechtsprechung

Der EuGH urteilte im Jahr 2017 gegen eine niederländische Firma, die explizit mit einem Produkt warb, dass über spezielle Websites auch das Streaming geschützter Werke ohne Erlaubnis der Urheberrechtsinhaber ermöglichte.59 In diesem Zusammenhang stellte der EuGH fest, dass die Streamingbenutzung urheberrechtlich geschützter Werke, die aus einer rechtswidrigen Quelle stammten, keine „rechtmäßige Nutzung“ im Sinne von Art. 5 der Richtlinie 2001/29/EG (Geistiges und gewerbliches Eigentum) sei.60 Zu einem großen Paradgimenwechsel in der deutschen Rechtsprechung führte dies bisher indes nicht. Das Urteil bezog sich lediglich auf das gewerbliche Anbieten von Geräten, die den Nutzern bewusst den Zugriff auf illegale Streaming-Angebote erleichtern. Zudem ist die Wirkung von Urteilen des Europäischen Gerichtshofes auf jeweils nationale Gerichte nicht ausdrücklich geregelt. Ausgehend vom Zweck des Artikel 177 bindet das Urteil bloß das vorlegende Gericht und alle weiteren Gerichte, die in derselben Rechtsfrage zu entscheiden haben.61

3.5.2.3. Ergebnis und Resümee zum Streaming

Das Streaming wird von der Erlaubnisschranke des § 44a UrhG erfasst und ist folglich erlaubt, wenn keine dauerhafte Speicherung der Daten erfolgt. Dies stellt eine Wertung des Gesetzgebers da, die rechtlich nicht zu beanstanden ist. Würde das Streaming unter Strafe gestellt werden, würde mit jeder neuen Quelle, die im Internet auftaucht, die erheblich rechtliche Unsicherheit des Konsumenten eintreten, ob etwa das Betrachten gerade eine Straftat darstellt oder legal ist. Daher ist eine weitergehende gesetzliche Einschränkung nicht ratsam.

3.6. (D-)DoS Angriff

Der Denial-of-Service-Angriff ist die mutwillig herbeigeführte Überlastung eines Servers, eines Rechners oder eines ähnlichen Teils eines Datennetzes. Dazu werden beispielsweise die Server einer Internetseite mit mehr Anfragen zur Datenverarbeitung belastet, als diese verarbeiten können. Dies geschieht meist auf zwei verschiedene Arten. Bei dem DoS-Angriff erstellt der Angreifer zunächst eine Software, die seine Anfragenanzahl stark erhöht, sodass von seiner IP-Adresse tausende Anfragen kommen. Der (Distributed-) Denial of Service Angriff ist als Sonderform des DoS-Angriffs in der Vorbereitung schwieriger, aber dafür wesentlich effektiver. Damit eine entsprechend große Anzahl an Anfragen gesendet werden kann, baut der Täter im Vorfeld der Tat ein sogenanntes Botnetz auf. Dazu werden im Vorfeld viele fremde Rechner oder auch andere internetfähige Geräte so manipuliert, dass diese gleichzeitig auf Abruf des Täters, häufig ohne Wissen des eigentlichen Inhabers, Anfragen an den Server des Opfers senden. Die Folge der DoS-Attacken ist, dass die Anfragen anderer Personen, welche den Server nutzen wollen, langsamer oder gar nicht beantwortet werden. Im Extremfall können die angegriffenen Server ganz ausfallen. Gerade bei Online-Shops oder Online-Dienstleistungsanbietern entstehen durch solche Ausfälle hohe finanzielle Schäden. Nicht selten werden Unternehmen auch erpresst Schutzgeld zu zahlen, da man sonst ihre Seiten mit DoS-Angriffen attackieren werde. Aber ein DoS-Angriff kann nicht nur die gesamte Webseite für andere Nutzer unzugänglich machen, sondern kann auch als Verschleierung für weitere Angriffe auf das System dienen, die aufgrund der Menge der Anfragen nicht bemerkt werden.

(D-)DoS-Angriffe werden von § 303b Abs. 1 Nr. 2 StGB (Computersabotage) erfasst. Die Vorschrift erfordert unteranderem die Störung einer Datenverarbeitung, die für einen anderen von erheblicher Bedeutung ist. Der Begriff der Datenverarbeitung umfasst die Gesamtheit aller Verarbeitungsvorgänge, also neben der Erhebung von Daten auch den weiteren Umgang und die Verwertung.62 Erheblich ist die Bedeutung dann, wenn die jeweilige Aufgabenstellung oder Organisation von der Funktionalität abhängig ist.63 Die erhebliche Störung einer Datenverarbeitung ist bei Webserver regelmäßig anzunehmen, da diese grundsätzlich die Kernaufgabe haben, auf eine Anfrage in Form eines ankommenden Datenpaketes eines Dritten mit dessen Verarbeitung und dem Zurücksenden der angeforderten Daten zu reagieren.64 Bei einem (D-)DoS-Angriff kommt es in der Regel zu einer Überlastung der Server, sodass diese nicht oder nur noch langsam reagieren können und damit die Funktionalität erheblich beeinträchtigt ist. An die erforderliche Nachteilszufügungsabsicht werden keine hohen Anforderungen gestellt. Ein Nachteil ist jede ungünstige Folge oder Beeinträchtigung rechtmäßiger Interessen, wobei zur Absicht das Bewusstsein ausreicht, dass der Nachteil die notwendige Folge der Tat ist.65 Durch den Angriff auf den Server wird das rechtmäßige Interesse des Betreibers der Seite an deren ordnungsgemäßer Funktion beeinträchtigt.

3.7. Online-Demonstrationen

Technisch betrachtet ähnelt die Online-Demonstration dem DoS-Angriff. Ähnlich wie bei diesem wird eine Vielzahl von Anfragen an einen Server geschickt, um diesen zu überlasten. Im Rahmen der Online-Demonstration wird aber keine fremden Computer für die Anfragen genutzt. Vielmehr verabreden sich eine hohe Anzahl an Menschen dazu, den Zielserver mit Anfragen ihrer eigenen Computer zu belasten. Das Ergebnis ist dasselbe wie bei dem oben beschriebenen DoS-Angriff. Da das Anrufen des Servers an sich nicht unter Strafe steht, stellt sich die Frage der Strafwürdigung allenfalls im Hinblick auf die beabsichtigte gemeinschaftliche Erfolgsherbeiführung.

3.7.1. Die Lufthansa-Blockade

Im Juni 2001 rief ein politischer Aktivist zur Blockade der Internetseite der Lufthansa auf. Damit sollte gegen die Abschiebungen von ausländischen Personen protestiert werden, deren Transport die Lufthansa im staatlichen Auftrag übernahm. Zu diesem Zweck stellte der Initiator der Online-Demonstration eine Software zur Verfügung, die die Zugriffsfrequenz eines jeden Online-Demonstranten auf die Server der Lufthansa auf eine Geschwindigkeit erhöhte, die ohne Software nicht möglich gewesen wäre. Insgesamt erfolgten von 13.614 verschiedenen IP-Adressen aus 1.262.000 Zugriffe auf die Webseite der Lufthansa. Dies führte für ungefähr zwei Stunden zu erheblichen Verlangsamungen der Webseite und vorübergehenden Ausfällen. Da über diese Seite auch Flugbuchungen und Stornierungen erfolgen, erlitt die Lufthansa AG durch diese Online-Demonstration einen Schaden in Höhe von 47.867,19 Euro.66 Erstinstanzlich wurde der Veranstalter der Online-Demonstration durch das Amtsgericht Frankfurt a.M. wegen eines öffentlichen Aufrufs zu Straftaten gem. § 111 StGB verurteilt. Die Blockade selbst wurde als eine Nötigung gem. § 240 StGB gewürdigt. Der Mausklick der den Vorgang der Blockade in Gang setzte, ist nach Auffassung des Gerichts als Gewalt i.S.d. Nötigung anzusehen. Einerseits wirkte die Gewalt gegenüber den Verantwortlichen der Lufthansa AG, indem der Kontakt zu den Kunden über die Webseite unterbunden wurde, andererseits wirkte die Gewalt auch gegenüber den Besuchern der Webseite, da ein Besuch der Seite nicht mehr möglich war.67 In der Revision hob das OLG Frankfurt a.M. das Urteil auf. Es handele sich nach der Sicht des OLG Frankfurt bei der Beeinträchtigung der Webseite gerade nicht um eine physische Einwirkung und folglich nicht um Gewalt i.S.d. § 240 StGB.68 Die Online-Demonstration wurde mit dieser Entscheidung als nicht strafbewehrt angesehen.

3.7.2. Strafbarkeit nach § 303b StGB

Die Strafbarkeit für ein solches Vorgehen könnte sich nunmehr durch den, im Jahr 2007 in Kraft getretenen, § 303b StGB (Computerbetrug) ergeben. Durch die hohe Anfragenanzahl werden die Datenverarbeitungsvorgänge des Servers gestört. Gerade bei Online-Shops oder Online-Dienstanbietern erfolgt durch den Ausfall der Seite ein wirtschaftlicher Verlust, da Kunden keine Möglichkeit haben, die Angebote des Betreibers wahrzunehmen. Dementsprechend wird in solchen Fällen die Erheblichkeit der Datenverarbeitungsvorgänge für den Betreiber zu bejahen sein und auf Seiten der Demonstranten eine Nachteilszufügungsabsicht angenommen werden können. Daher könnte die Online-Demonstration vom § 303b gedeckt sein. In diesen Fällen scheint jedoch eine eher restriktive Rechtsanwendung angebracht zu sein und eine weitergehende Differenzierung vorzunehmen zwischen Demonstrationen mit Hilfsmitteln, wie eine Software zur Anfragenfrequenzerhöhung, und Demonstrationen ohne Hilfsmittel. So kann eine effektive Strafverfolgung gewährleistet werden. Wäre es nämlich nicht erforderlich, eine zusätzliche Software zu benutzen, um den Straftatbestand zu erfüllen, könnte der Zugriff eines Demonstranten nicht von dem Zugriff einer Person unterschieden werden, die die Webseite besucht, um sie ihrem eigentlichen Zweck entsprechend zu nutzen.69 Bei der Verwendung von Hilfsmitteln, wie entsprechenden Programmen lässt sich anhand der auf dem Webserver gespeicherten Zugriffsprotokolle feststellen, von welcher IP-Adresse eine so hohe Anzahl von Anfragen auf die Webseite einging, wie sie bei „ordnungsgemäßer“ Verwendung, also manuellem Nachladen der Internetseite, nicht möglich gewesen wäre.70 Die Person, die die Seite also ohne Hilfsmittel zur Anfragenerhöhung besucht, verwendet die Webseite also so, wie vom Betreiber der Seite vorgesehen. Dass durch den „ordnungsgemäßen“ aber zahlreichen Besuch der Seite die Webseite zeitweise verlangsamt oder eingeschränkt wird, fällt in den Risikobereich des Webseitenbetreibers. Dieser muss in seinem eigenen Interesse für entsprechende Serverkapazitäten sorgen. Würde der Tatbestand des § 303b StGB auch auf Online-Demonstranten ohne Hilfsmittel ausgeweitet werden, würde es dazu führen, dass auch derjenige dem Risiko einer Strafverfolgung ausgesetzt ist, der Seiten mit geringen Serverkapazitäten besucht. Daher ist der § 303b StGB restriktiv auszulegen, sodass nur der Online-Demonstrant zu verfolgen ist, der durch die Benutzung von Software, die Gefährlichkeit seines Webseitenbesuchs zusätzlich erhöht.71

4. Resümee

Auch wenn die Internetkriminalität mit variantenreicher und technischer Komplexität einhergeht, bleibt zusammenfassend festzuhalten, dass bisher ein grundlegender materieller Reform- und Handlungsbedarf nicht besteht. Offenere Tatbestände könnten Strafbarkeitslücken bereits im Ansatz vermeiden, weil die abstraktere Gesetzesformulierung Grundsätze aufstellt, die über den konkreten Einzelfall hinausgehen. Die konkrete Anwendung – auch bei neuen Lebenssachverhalten – erfolgt dann mittels der klassischen juristischen Auslegungsmethoden. Eine Grenze bei der Normabfassung für diese offenen Tatbestände ergibt sich dabei jedoch aus dem Bestimmtheitsgrundsatz als Konkretisierung des Rechtsstaatsprinzips.72 In dieser Hinsicht sind die offenen Tatbestände des Internetstrafrechts unter dem Aspekt der Nachhaltigkeit vergleichbar mit anfänglichen und heute noch gültigen Normen des BGB oder des GG. Diese blieben im Wesentlichen über Jahrzehnte unverändert und regeln heute noch Sachverhalte, die zur Zeit der Normsetzung noch nicht existent waren.73 Im Ergebnis sollte der Versuch, durch eine Vielzahl von Tatbeständen konkrete Fälle zu regeln, vermieden werden. Dabei bestünde die Gefahr wie in anderen Rechtsgebieten (etwa im Sozialrecht) durch eine Normenflut genau das Gegenteil zu erreichen und eine erhebliche Unübersichtlichkeit zu verursachen. Das Internetstrafrecht sollte sich daher auch zukünftig durch weitgefasste Tatbestände auszeichnen. Sollten Strafbarkeitslücken im Ausnahmefall gleichwohl auftreten, müssen diese durch die Setzung konkreterer Normen aufgefangen werden. Letztlich bleibt als legislative Daueraufgabe die stetige technische Fortentwicklung im Auge zu behalten und gegebenenfalls die strafrechtliche Würdigung bei neuen Entwicklungen zu prüfen.

Literaturverzeichnis
Zitierte Literatur: 
  • Bundeskriminalamt: Cybercrime Bundeslagebild 2018
  • Bortloff, Nils, GRUR Int 2003, S. 669 - 686
  • Ceffinato, Tobias, JuS 2019, S. 337 - 343
  • Cornelius, Fraud, MMR 2007, S. 218 - 221
  • Dreier, Thomas/Gernot, Schulze Urheberrechtsgesetz, Verwertungsgesellschaftsgesetz, Kunsturhebergesetz Kommentar, 6. Auflage, 2018 München
    Zit.: Bearbeiter in Dreier/Schulze Urheberrechtsgesetz Kommentar § … Rn. …
  • Ernst, Stefan, NJW 2007, S. 2661 - 2666
  • Fischer, Thomas: Strafgesetzbuch mit Nebengesetzen, 66. Auflage, 2019 München
  • Galetzka, Christian/Stamer, Erik, MMR 2014, S. 292 - 298
  • Heghmanns, Michael, MMR 2004, S. 14 - 18
  • Hilgendorf, Eric/ Frank, Thomas/ Vaerius, Brian: Computer- und Internetstrafrecht - Ein Grundriss, 2005 Heidelberg
  • Hoffmanns, Sebastian, ZIS 8-9/2012, S. 409 - 414
  • Kindhäusser, Urs/Holgendorf, Eric Strafgesetzbuch Lehr- und Praxiskommentar, 2020 Baden-Baden
    Zit.: LPK-StGB, § … Rn. …
  • Knupfer, Jörg, MMR 2004, S. 641 - 642
  • Kochheim, Dieter: Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik,
    2015 München
  • Marberth-Kubicki, Annette: Computer- und Internetstrafrecht, 2. Auflage, 2010 München
  • Popp, Andreas, MMR 2006, S. 84 - 86
  • Schönke, Adolf/Schröder, Horst: Strafgesetzbuch Kommentar 30. Auflage, 2019 München
    Zit.: Bearbeiter in Schönke/Schröder, §… Rn. …
  • Seidl, Alexander/Fuchs, Katharina, HRRS 2/2010, S. 85 - 92
  • Stieper, Malte, MMR 2012, S. 12 - 17
  • Sachs, Michael, Grundgesetz Kommentar, 8. Auflage, 2018 München
    Zit.: Sachs/Bearbeiter, GG, Art. … Rn. …
  • Wagner, Kristina, GRUR 2016, S. 874 - 882
  • Wandtke, Arthur-Axel/von Gerlach, Felix-Tessen, GRUR 2013, S. 676 - 683