Mit Stand vom 14.12.2024 wurde eine neue Stellungnahme zur Modernisierung des nationalen Computerstrafrechts publiziert, u.a. auch zur Novellierung des sog. „Hackerparagrafen“:
Zu begrüßen ist, dass nunmehr eine tatbestandsausschließende Regelung im deutschen Computerstrafrecht geschaffen wird, da diese den Sicherheitsforscher:innen mehr Rechtssicherheit geben dürfte, als dies in der Vergangenheit der Fall gewesen ist, insbesondere weil sich Regelungen, die beim Rechtswidrigkeits- oder Schuldausschluss angesiedelt sind, nicht als praktikabel erwiesen haben und dies auch von Expert:innen vorab festgestellt wurde, worauf der Entwurf auch explizit Bezug nimmt. Grundsätzlich ist der vorliegende Gesetzentwurf deshalb ein wichtiger Schritt nach vorne und in die richtige Richtung. Trotz der damit verbundenen Überarbeitung des Computerstrafrechts dürfte es jedoch nicht möglich sein, eine an sich gewünschte „Rechtssicherheit auch für Laien“ im Vorfeld herzustellen. Das liegt einerseits an der Komplexität der Sachverhalte, andererseits aber auch an der nach wie vor bestehenden Unbestimmtheit des Gesetzentwurfs und dessen Auslegung über Rechtsprechung, die den allermeisten (potenziell) Betroffenen nicht bekannt sein dürfte. Nach gegenwärtigem Stand dürften sich deshalb die praktischen Auswirkungen der Modernisierung des Computerstrafrechts im Sinne einer pauschalen Erleichterung der Cybersicherheitsforschung „für alle“ eher in Grenzen halten, da für Rechtssicherheit weiterhin juristischer Sachverstand im Vorfeld zur Beurteilung herangezogen werden sollte. Dies betrifft vor allem auch den Nachweis eines befugten Handelns von IT-Sicherheitsforscher:innen und den Umgang mit Vorfeldstrafbarkeit und bloßen Zufallsfunden, über die nicht mittels eines systematisierten und geplanten Vorgehens Kenntnis erlangt wurde. Nichtsdestotrotz ermöglicht die vorgeschlagene Modernisierung des Computerstrafrechts auch neue Fälle der Straflosigkeit eines Handelns im Sinne der IT-Sicherheitsforschung, die zuvor nicht abgedeckt gewesen sind – und das ist im Sinne der Sache.
Im Hinblick auf den vorliegenden Gesetzentwurf können weitere Mehrwerte für IT-Sicherheitsforscher:innen generiert werden, indem gemeinsam im Diskurs Best Practices entwickelt und gemeinhin anerkannt werden, wie z.B. Lauterkeitsnachweise für IT-Sicherheitsforscher:innen erbracht werden können, dass sie nicht unbefugt handeln und wie unter diesem Gesichtspunkt auch das Problem einer potenziellen Vorfeldstrafbarkeit adressiert werden kann. Hier sind auch die Forschung und die Zivilgesellschaft aufgefordert, praktikable Lösungsansätze in den öffentlichen Diskurs einzubringen, da hier ein erheblicher Erfahrungsschatz vorhanden ist.
Link zur Stellungnahme mit Stand vom Dezember 2024: https://intrapol.org/wp-content/uploads/2024/12/Dennis-Kenji-Kipker-Stellungnahme-Computerstrafrecht-12-2024.pdf