Brauchen wir einen digitalen Waffenschein?
Gegen den neu eingeführten § 202c StGB läuft bereits wenige Wochen nach seiner Einführung die erste Verfassungsbeschwerde.
Viele Vertreter aus der IT-Sicherheitsbranche halten das Gesetz für wenig sinnvoll, weil es ihre eigentlich notwendige Tätigkeit kriminalisiert: Nicht nur Computerkriminellen wird der Umgang mit Hacking-Software verboten, sondern auch denjenigen, die sich mit der Hacking-Abwehr beschäftigen.
Weil sich, dem Wortlaut nach, selbst Mitarbeiter von Bundesbehörden strafbar machen würden, reagiert auch die Strafrechtspflege mit einer extrem restriktiven Auslegung.
Ein IT-Dienstleister hat nun Verfassungsbeschwerde gegen das Gesetz erboben. In einer Pressemeldung beruft sich RA Thomas Feil, Anwalt des Beschwerdeführers, auf die Berufsfreiheit seines Mandanten:
Das Anbieten von Dienstleistungen im Bereich ITK-Security, zum Beispiel das Überprüfen der IT- und Tk-Infrastruktur auf Sicherheitsrisiken sowie das Aufspüren von Schwachstellen und deren Beseitigung, ist eine erlaubte Tätigkeit, die der IT-Sicherheit dient. Die Strafbarkeit der in § 202 c StGB beschriebenen Handlungen verbietet dem Beschwerdeführer (…) allerdings das Anbieten seiner bisherigen Dienstleistungen und stellt damit seine wirtschaftliche Existenz in Frage. Auch zahlreiche andere Anbieter von Produkten und Services in diesem Umfeld sind von dem Hackerparagrafen betroffen.
Das mag für die Klagebefugnis ausreichen; den Kern des Rechtsproblems bildet aber eine andere Frage. Hier dreht es sich grundsätzlich darum, wie weit der Staat den Umgang mit gefährlichen Gegenständen einschränken darf. Hacker-Software ist, wie jedes gefährliche Werkzeug, immer nur so gefährlich wie derjenige, der es anwendet. In vielen anderen Fällen hat der Gesetzgeber das anerkannt: Waffen dürfen getragen werden, wenn der Waffenführer einen Waffenschein besitzt; Sprengstoff darf verwendet werden, wenn der Verwender eine entsprechende Ausbildung absolviert hat; Betäubungsmittel darf verkaufen, wer die dazugehörige Erlaubnis bekommen hat.
Nur bei Hacking-Software hat der Gesetzgeber anders entschieden. Die Wertung des § 202 StGB ist folgende: „Hackerprogramme sind per se gefährlich, egal in wessen Händen.“ Das Bundesverfassungsgericht wird zu überprüfen haben, ob diese Wertung verhältnismäßig ist, also folgenden Kriterien enspricht:
• sie dient einem legitimen Zweck;
• sie ist geeignet, diesem Zweck zu dienen;
• es liegt kein milderes (gleich effektives) Mittel vor;
• das Gesetz ist in Abwägung mit den Rechten, die es beschränkt, angemessen.
Beim Hacker-Paragraphen drängen sich in mehrerlei Hinsicht Zweifel auf. Bereits bei der Geeignetheit wird es eng: Ein Gesetz, das auch den legitimen Umgang mit Schadsoftware kriminalisiert, kann seinem eigentlichen Ziel nicht mehr dienen. Genauso wie es keinen Sinn macht, wenn man Waffen für Polizeibeamte verbietet, macht es auch das Internet nicht sicherer – sondern unsicherer – wenn man den Umgang mit Hackerprogrammen ohne Ausnahme strafbar macht. Denn so nimmt man auch den „Good Guys“ ihre Werkzeuge aus der Hand.
Spätestens beim milderen Mittel ist endgültig Schluss: Das Gesetz verliert kein Quentchen Effektivität, wenn der Gesetzgeber einen Ausnahmetatbestand für registrierte Anwender und Entwickler von Schadsoftware aufnimmt. Diese Regelungstechnik ist bekannt und erprobt, und allein die Tatsache, dass eine Aufsicht über den Bereich die Staatskassen belasten würde, kann hier nicht den Ausschlag geben. Ein Staat, der selbst Atomreaktoren und biologische Kampfstoffe in private Hände gibt, kann auch IT-Sicherheitsunternehmen regulieren.
Daraus folgt: Wenn die Verfassungsbeschwerde zulässig ist, hat sie nach der hier vertretenen Ansicht gute Aussicht auf Erfolg. Und möglicherweise gibt es dann bald den „digitalen Waffenschein“.
