(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, da-durch stört, dass er,
1. eine Tat nach § 303a begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
1. Einleitung
Der Straftatbestand der „Computersabotage“ war Bestandteil des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität (WiKG) und trat ge-meinsam mit § 303a StGB im Jahre 1986 in Kraft.
Während die Vorschrift - der Statistik nach zu urteilen - bisher keine Rolle spielte, dürfte sie in der heutigen Zeit angesichts der immer zahlreicher werdenden (Viren-)Trojaner/ Bots (Bsp.: Sasser-Virus) zunehmend an Bedeutung gewinnen.
§ 303b StGB schützt das Interesse von Wirtschaft und Verwaltung am ungestörten Ablauf ihrer Datenverarbeitung.[1]
Bei Abs. 1 Nr. 1 handelt es sich um eine Qualifikation des § 303a Abs. 1 StGB. Hingegen stellt Nr. 2 eine Qualifikation des § 303 StGB dar, sprich wenn körperliche Sachen (Hardware) i.S.d. § 303 StGB zum Zwecke der Betriebsstörung beeinträchtigt werden. Teilweise wird vertreten, der Tatbestand sei nicht hinreichend bestimmt.[2] Angesichts der Tatsache, dass die Norm einige schwammige Begriffe enthält (z.B. „Datenverarbeitung“, „wesentliche Bedeutung“) und die Strafandrohung sehr hoch ist, sind Zweifel an der Bestimmtheit des Tatbestandes durchaus angebracht. Nur eine enge Auslegung des Wortlauts lässt die Norm verfassungskonform erscheinen.[3]
2. Der objektive Tatbestand des § 303b StGB
a) Begriff der Datenverarbeitung
Da § 303b Abs. 1 StGB im Gegensatz zu § 263a Abs. 1 nicht von einem Datenverarbeitungsvorgang spricht, sondern sich an den weiten Begriff der „Verarbeitung“ hält, ist damit zunächst der gesamte Umgang mit elektronisch gespeicherten Daten (d.h. von ihrer Erhebung bis zu ihrer Verwendung) erfasst.[4] Der Ratio entsprechend können aber nur elektronische Formen des Umgangs gemeint sein, da der Tatbestand ansonsten ausufern würde. § 303b StGB verlangt nicht, dass die Datenverarbeitung bereits aktiv lief. Vielmehr reicht es aus, dass sie geplant war und durch den Eingriff gestört wurde.[5]
b) Merkmale: fremder Betrieb, Unternehmen, Behörde
Hinsichtlich der Begriffe „Betrieb“ und „Unternehmen“ gilt § 14 StGB. Inwieweit diese (juristisch) ausgeprägt sind, ist für § 303b StGB unerheblich. Wichtig ist nur, dass sie für den Täter nach rechtlich-wirtschaftlicher Betrachtung fremd sind. Das bedeutet: Es darf keine wirtschaftliche Identität zwischen dem Täter und dem Betrieb/ Unternehmen bzw. dessen zuständigen Repräsentanten bestehen (z.B. Alleingesellschafter, zuständiges Organ, gesetzlicher Vertreter, Insolvenzverwalter).[6] Demnach können auch Betriebsangehörige Täter sein, solange ihnen keine ausschließliche Verfügungs-gewalt über den Betrieb zusteht. Der Behördenbegriff ist derselbe wie in § 11 Abs. 1 Nr. 7 StGB.
c) Merkmal: von wesentlicher Bedeutung
Das Tatbestandsmerkmal „von wesentlicher Bedeutung“ muss eng ausgelegt werden; andernfalls ist das Merkmal zu unbestimmt. Dazu ist erforderlich, dass der Betrieb, das Unternehmen oder die Behörde ganz oder überwiegend aufgrund seiner organisatorischen Ausprägung von der ungestörten Datenverarbeitung abhängig ist.[7]
Es ist unerheblich, ob die Störung einfach oder schwer zu beheben ist. Angesichts der Komplexität unserer heutigen Datenverarbeitung liegt die eigentliche Leistung der Fehlerbehebung letztlich darin, den Fehler zu finden. Gerade im Zeitalter des Internets bzw. der großen Intranets spielt 24h-„Uptime“ eine wirtschaftlich wichtige Rolle. Jede Störungssekunde kann wirtschaftliche Einbußen zu Folge haben. Wenn z.B. Fernsehsender (Bsp.: CNN) ihren Betrieb einstellen müssen, weil ihr Intranet von Bots lahmgelegt wird, dann wird deutlich, wie drastisch die Auswirkungen sein können. Daher ist auch die Ansicht[8] unzeitgemäß, dass bei einem möglichen (kostengünstigen) Rückgriff auf Sicherungskopien die Beeinträchtigung i.d.R. als unerheblich anzusehen ist. Außerdem wäre es unbillig, würde man die Strafbarkeit von möglichen Schadensbeseitigungsvorkehrungen des Opfers abhängig machen. Folglich reicht es aus, wenn der von der Datenverarbeitung abhängige Betrieb für eine nicht unerheblich kurze Zeitspanne überhaupt nicht oder nur noch sehr eingeschränkt funktionierte und dadurch wirtschaftliche Einbußen erlitten hat.
Fraglich ist, inwieweit mittelbare Auswirkungen auf andere Betriebe, Unternehmen oder Behörden noch von der „Wesentlichkeit“ des § 303b StGB erfasst sind. Die Grenze ist wie folgt zu ziehen: Eine Störung ist immer dann wesentlich, wenn der mit der Datenverarbeitung beauftragte Betrieb seine Arbeit für den Auftraggeber nicht mehr (oder nur noch sehr eingeschränkt) ordnungsgemäß durchführen kann. Davon können im Einzelfall sogar Inhalte erfasst sein, die von dem gestörten Betrieb an Dritte weitergegeben werden, wenn die Leistung der Datenverarbeitung gerade in dem Verschaffen fehlerfreier Inhalte besteht. In jedem Fall muss sich ein nicht unerheblicher wirtschaftlicher Schaden bei dem unmittelbar Gestörten niederschlagen, ansonsten würde der Tatbestand hinsichtlich mittelbarer Auswirkungen auf Dritte ausufern.
d) Tathandlung: Störung
Die Störung kann in der Beeinflussung der technischen Rechenfunktionen, des Datenflusses oder der Verursachung inhaltlich falscher Ergebnisse liegen. Es ist nicht erforderlich, dass die Datenverarbeitung bereits begonnen hat. Eine Störung liegt auch dann vor, wenn eine Datenverarbeitung aufgrund des Eingriffs nicht beginnen kann.[9] Hingegen ist keine Störung gegeben, wenn z.B. ein eingeschleuster Virus noch nicht aktiviert wurde (a.A.: SK- Hoyer, § 303b, Rdnr. 10). Die Tathandlung ist mit dem bloßen Einschleusen noch nicht vollendet; eine derartige Vorverlagerung der Vollendung widerspricht eindeutig dem Wortlaut sowie der Ratio des § 303b StGB.[10]
aa) Tathandlung nach Abs. 1 Nr. 1: Datenveränderung
Wie bereits in der Einleitung erwähnt, handelt es sich bei Abs. 1 Nr. 1 StGB um eine Qualifikation des § 303a Abs. 1 StGB. An dieser Stelle sei auf die Ausführungen zu § 303a Abs. 1 StGB verwiesen. Zu beachten ist, dass auch der Eigentümer einer Datenverarbeitungsanlage Täter i.S.d. Nr. 1 sein kann, sofern seine Anlage fremde Daten im Auftrag eines Dritten verarbeitet.[11]
bb) Tathandlung nach Abs. 1 Nr. 2: Hardwarebeeinträchtigung
Die Störung der Datenverarbeitung kann nach Abs. 1 Nr. 2 auch durch Einwirkung auf die Hardware erfolgen.
Hardware ist zerstört, wenn sie ihren Zweck nicht mehr erfüllen kann.
Von Beschädigung spricht man, wenn die Hardware in ihrer Substanz nicht unerheblich verletzt wird. Unter Beseitigen versteht man, dass die Hardware aus dem räumlichen Verfügungsbereich des Berechtigten entfernt wird, so dass dieser nicht mehr auf sie zugreifen kann (z.B. Verstecken, Unkenntlichmachen, etc.).[12]
Die Hardware ist unbrauchbar gemacht, wenn sie nicht mehr zur ordnungsgemäßen Anwendung taugt. Der Begriff der Veränderung soll offensichtlich als Auffangbecken dienen. Er ist in Anbetracht der anderen Varianten nichts sagend.
2. Der subjektive Tatbestand des § 303b StGB
Der Täter muss (mindestens) bedingten Vorsatz (dolus eventualis) bzgl. aller objektiven Tatbestandsmerkmale aufweisen. Er muss zum Zeitpunkt seiner Sabotagehandlung die Möglichkeit einer wesentlichen Betriebsstörung durch Beeinträchtigung einer Datenverarbeitung erkannt und trotzdem gehandelt haben. Die Kenntnis der maßgeblichen Umstände reicht dabei aus. Bewertet der Täter die Situation falsch, so stellt dies einen Sub-sumtionsirrtum dar.[13]
4. Rechtswidrigkeit
Zum Merkmal der Rechtswidrigkeit gilt grundsätzlich das zu § 303a StGB Gesagte. Einwilligungen des Berechtigten schließen bereits die Tatbestandsverwirklichung aus.
5. Konkurrenzen
Bei täterfremder Hardware wird § 303 StGB durch § 303a Abs. 1 Nr. 2 StGB im Wege der Gesetzeskonkurrenz verdrängt. § 303b Abs. 1 Nr. 1 StGB verdrängt § 303a StGB. Werden sowohl Nr. 1 als auch Nr. 2 des § 303b Abs. 1 StGB verwirklicht, so ist nur eine Tat gegeben.[14]
Tateinheit kommt in Betracht mit:
· §§ 88, 109e, 263a; 316b, 317 StGB.
6. Sonstiges
Von einem Versuch i.S.d. Abs. 2 ist auszugehen, wenn ein zunächst inaktiver Trojaner/ Virus/ Bot zum Zweck der späteren Störung installiert wird. Mit dieser Handlung hat der Täter bereits i.d.R. zur unmittelbaren Tatverwirklichung (§ 22 StGB) angesetzt.
Bei § 303a StGB handelt es sich um ein relatives Antragsdelikt, d.h. eine Strafverfolgung findet nur auf Antrag oder bei Bejahung des öffentlichen Interesses statt. Antragsberechtigt sind die von der Vorschrift geschützten Unternehmen, Betriebe und Behörden. Betroffene können auch antrags-berechtigt sein, wenn sie fremde Daten im Auftrag verarbeiten.
[1] Vgl. Lackner/ Kühl, § 303b, Rdnr. 1.
[2] So: NK- Zaczyk, § 303b, Rdnr. 2.
[3] Vgl. Tröndle/ Fischer, § 303b, Rdnr. 2.
[4] Vgl. BT-Drucks., 10/5058, S. 35; Dreher/Tröndle, § 303b, Rdnr. 4; Sch/ Sch – Stree, § 303b, Rdnr. 3; Lackner/ Kühl, § 303b, Rdnr. 2.
[5] Vgl. Dreher/Tröndle, § 303b, Rdnr. 5, 12.
[6] Vgl. Killian/ Heussen - Scheffler, CompRHdb, 102, Rdnr. 180; Tröndle/ Fischer, § 303b, Rdnr. 8.;
[7] Vgl. NK-Zaczyk, § 303b, Rdnr. 6.
[8] LK – Tolksdorf, § 303b, Rdnr. 11 ff.
[9] Vgl. Tröndle/ Fischer, § 303b, Rdnr. 12.
[10] Vgl. LK – Tolksdorf, § 303b, Rdnr. 20; Tröndle/ Fischer, § 303b, Rdnr. 12.
[11] Lackner/ Kühl, § 303b, Rdnr. 4; Vgl. Tröndle/ Fischer, § 303b, Rdnr. 13.
[12] Vgl. Tröndle/ Fischer, § 303b, Rdnr. 14.
[13] Tröndle/ Fischer, § 303b, Rdnr. 16.
