Das geplante IT-Sicherheitsgesetz 2.0
Netzpolitik.org hat vor ein paar Tagen den Referentenentwurf eines IT-Sicherheitsgesetzes 2.0 veröffentlicht.
Die geplante Neuregelung soll zunächst die Aufgaben und Befugnisse des Bundesamt für Sicherheit in der Informationstechnik durch Änderung des BSIG erweitern.
Außerdem findet sich der bereits vom Bundesrat beschlossene Vorschlag eines neuen § 126a StGB (Zugänglichmachen von Leistungen zur Begehung von Straftaten) der auch als Darknet-Paragraph öffentlich diskutiert wurde, in dem Entwurf wieder.
Auch der ebenfalls bereits häufiger diskutierte Vorschlag eines „digitalen Hausfriedensbruchs“ taucht in dem Entwurf als unbefugte Nutzung informationstechnischer Systeme erneut auf, ebenso wie ein Vorschlag eines neuen § 163g StPO, der folgenden Wortlaut haben soll:
163g
Begründen bestimmte Tatsachen den Verdacht, dass jemand Täter oder Teilnehmer einer Straftat im Sinne von § 100g Absatz 1 StPO ist, so dürfen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations- oder Telemediendienstes dem Verdächtigen zur Verfügung stellt und mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- oder Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen. Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten. Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.
Diese Vorschrift soll es den Ermittlungsbehörden ermöglichen, virtuelle Identitäten zu übernehmen, um künftig verdeckt unter der Identität eines Tatbeteiligten ermitteln zu können. Erstaunlich an der Vorschrift ist u.a., dass der Verdächtigte verpflichtet sein soll, die Zugangsdaten zu seinem Account herauszugeben und die Herausgabe auch zwangsweise mittels Ordnungsgeld und Ordnungshaft durchgesetzt werden soll. Weil das gegen den vielleicht fundamentalsten rechtsstaatlichen Grundsatz des Strafverfahrens, dass niemand als Beweismittel gegen sich selbst dienen muss (nemo tenetur se ipsum accusare), verstoßen würde, beeilt sich die Vorschrift klarzustellen, dass die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Straf- und Ordnungswidrigkeitenverfahren nur mit Zustimmung des Verdächtigen verwendet werden dürfen.
Ob dieses Beweisverwertungsverbot allerdings zu demselben Schutz des Verdächtigen/Beschuldigten führt, als wie wenn er die Preisgabe seiner Zugangsdaten schlicht verweigern könnte, erscheint schon deshalb zweifelhaft, weil es in Deutschland, anders als im US-Recht, keine fruit of the poisonous tree doctrine gibt. Zufallsfunde, die auf andere Straftaten hinweisen, könnten damit verwertet werden. Unklar bleibt auch, inwieweit die Erkenntnisse genutzt werden könnten, um weitere, noch nicht bekannte Tatumstände und -hintergründe zu ermitteln und damit neue Beweismittel zu schaffen, die nicht mehr von dem Beweisverwertungsverbot umfasst wären. Ob diese mittelbare Verwendung dann ebenfalls unzulässig wäre, bleibt offen. Die Vorschrift beinhaltet damit in jedem Fall eine Beschränkung des Grundsatzes „nemo tenetur se ipsum accusare“ und ist deshalb verfassungsrechtlich höchst problematisch.
Auch von dem Vorhaben, ein „Zugänglichmachen von Leistungen zur Begehung von Straftaten“ (§ 126 a StGB) zu regeln, scheint das Innenministerium, trotz mannigfacher Kritik nicht abgerückt zu sein.
Der aktuelle Textvorschlag
(1) Wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
weist allerdings keinerlei Bezug zu Darknet-Sachverhalten mehr auf. Die Vorschrift ist so weitgehend formuliert, dass sich praktisch jede beliebige Tätigkeit eines Internet Services Anbieters darunter subsumieren lässt. Das sieht offensichtlich auch die Gesetzesbegründung so, heißt es doch dort, dass die Vorschrift hinsichtlich ihres sachlichen Anwendungsbereichs auch zur Ermöglichung der Berücksichtigung der weiteren technischen Entwicklung weit gefasst ist und jegliche internetbasierte Zugänglichmachung von Leistungen erfasst. Wie dann die gebotene Eingrenzung des objektiven Tatbestands auf strafwürdige Sachverhalte erreicht werden soll, erschließt sich mir nicht. Denn die Tathandlung ist ja allein das Zugänglichmachen einer internetbasierten Leistung, die in vielen Fällen auch nicht vom Anbieter selbst stammen wird, sondern von einem Dritten. Jeder Access-Provider, jeder Anbieter von User-Generated Content macht zugänglich. Ob Inhalte/Dienste, die aus Sicht des Anbieters häufig fremde internetbasierte Leistungen darstellen, darauf ausgerichtet sind, Straftaten zu ermöglichen, kann der technische Anbieter oder der Plattformbetreiber im Regelfall weder prüfen noch beurteilen. Es stellt sich auch die Frage, wie eine solche Regelung mit den Providerprivilegien der §§ 8 ff. TMG, die auf die E-Commerce-Richtlinie zurückgehen, in Einklang zu bringen sein soll.
Die Regelung bewirkt nichts anderes als, dass in großem Umfang erlaubte und erwünschte Tätigkeiten pauschal dem objektiven Tatbestand einer Strafnorm unterworfen werden. Die Korrektur erfolgt dann nur über den subjektiven Tatbestand oder die allerdings eng begrenzten Ausnahmen.
Die Vorschrift ist in dieser Form nicht nur rechtspolitisch vollständig verfehlt, sondern mangels Bestimmtheit auch nicht verfassungskonform. Wenn der Gesetzgeber nicht dazu in der Lage ist, strafwürdiges Verhalten im objektiven Tatbestand einer Strafnorm konkret zu umschreiben, dann sollte er auch keine Strafvorschriften erlassen. Der Ansatz, mit Blick auf die künftige Entwicklung vorsorglich einfach mal jedwede Zugänglichmachung von Onlinediensten zu pönalisieren, kann in einem Rechtsstaat kein taugliches Mittel der Gesetzgebung sein.