Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Computerkriminalität

Begriff und Einordnung

Computerkriminalität bezeichnet rechtswidrige Handlungen, die digitale Systeme, Netzwerke oder Daten zum Gegenstand haben, durch sie ermöglicht werden oder auf sie abzielen. Der Begriff umfasst sowohl Taten, die ohne Informationstechnik nicht denkbar wären (etwa das Ausspähen von Zugangsdaten), als auch klassische Delikte, die durch digitale Mittel begangen werden (etwa Betrug über Online-Plattformen). Gemeinsam ist diesen Erscheinungsformen, dass sie schutzwürdige Interessen an Vertraulichkeit, Integrität, Verfügbarkeit von Daten und Systemen sowie Vermögens- und Persönlichkeitsrechte beeinträchtigen.

Schutzgüter

Im Zentrum stehen die Funktionsfähigkeit informationstechnischer Systeme, die Vertraulichkeit und Integrität von Daten, das Vermögen Betroffener, das geistige Eigentum sowie das allgemeine Persönlichkeitsrecht. Je nach Tatbild können auch kollektive Interessen wie die Sicherheit kritischer Infrastrukturen betroffen sein.

Abgrenzungen

Nicht jede Störung eines IT-Systems ist eine Straftat. Technische Defekte, Fehlkonfigurationen oder vertragsrechtliche Streitigkeiten ohne Bezug zu einem verbotenem Verhalten fallen nicht unter Computerkriminalität. Maßgeblich ist ein menschliches, rechtswidriges Handeln mit Vorsatz oder – in bestimmten Bereichen – auch mit Fahrlässigkeit.

Typische Erscheinungsformen

Angriffe auf Systeme und Daten

Unbefugter Zugriff

Damit sind Handlungen gemeint, die auf das Eindringen in fremde Systeme oder Benutzerkonten abzielen. Dazu gehören das Ausnutzen von Schwachstellen, das Erraten oder Abgreifen von Passwörtern sowie der Umgang mit erlangten Zugangsdaten. Rechtswidrig ist das Überschreiten fehlender oder vorhandener Zugangsbeschränkungen mit dem Ziel, Daten zu erlangen oder Systemfunktionen zu steuern.

Schadsoftware und Erpressung

Schadprogramme werden entwickelt, verbreitet oder eingesetzt, um Systeme zu kompromittieren, Daten zu verändern oder zu verschlüsseln, Zugang zu ermöglichen oder Infrastruktur zu missbrauchen. Erpressungshandlungen zielen häufig auf die Wiederherstellung der Verfügbarkeit von Daten oder Diensten gegen Zahlung.

Störung der Verfügbarkeit

Gezielte Überlastung von Diensten oder Netzen kann die Nutzung von Angeboten verhindern. Schon der Versuch, eine solche Störung herbeizuführen, kann strafrechtliche Relevanz entfalten, wenn er auf die Beeinträchtigung fremder Systeme gerichtet ist.

Taten mit Vermögensbezug

Online-Betrug und Täuschungsvarianten

Unter Vorspiegelung falscher Tatsachen werden Vermögensverfügungen herbeigeführt, etwa durch manipulierte Online-Shops, gefälschte Kommunikationskanäle oder vorgetäuschte Identitäten. Der rechtliche Fokus liegt auf Täuschung, Irrtumserregung und Vermögensschaden.

Missbrauch von Zahlungsdaten

Das Erlangen und Verwenden von Zahlungsinformationen zum Zweck unbefugter Transaktionen, etwa durch Abfangen von Daten, Social Engineering oder Kompromittierung von Nutzerkonten, betrifft straf- und zivilrechtliche Normen zum Schutz des Zahlungsverkehrs.

Datenschutzbezogene Taten

Das unbefugte Erheben, Verarbeiten oder Offenlegen personenbezogener Daten ist rechtlich besonders geschützt. Relevanz haben auch Profile, Metadaten und Kommunikationsinhalte. In diesem Bereich treffen strafrechtliche Verbote auf aufsichtsrechtliche Anforderungen mit Bußgeldtatbeständen.

Rechtsverletzungen an geistigem Eigentum

Die unbefugte Nutzung, Verbreitung oder öffentliche Zugänglichmachung geschützter Inhalte sowie die Umgehung technischer Schutzmaßnahmen stellen typische digitale Begehungsweisen dar. Betroffen sind Rechte an Werken, Kennzeichen und technischen Schutzrechten.

Rechtliche Rahmenbedingungen

Strafrechtliche Einordnung

Tatbestand, Vorsatz, Versuch, Beteiligung

Strafbare Handlungen setzen in der Regel einen tatbestandlich beschriebenen Angriff auf Systeme, Daten oder Vermögensinteressen voraus. Meist ist Vorsatz erforderlich; teils genügen Eventualvorsatz oder – in bestimmten Konstellationen – Fahrlässigkeit. Der Versuch kann bereits erfasst sein, wenn mit der Tatbestandsverwirklichung begonnen wurde. Teilnahmeformen wie Anstiftung und Beihilfe sind ebenso von Bedeutung, insbesondere bei arbeitsteiligem Vorgehen oder Bereitstellung von Tatmitteln.

Sanktionen und Nebenfolgen

Mögliche Rechtsfolgen reichen von Geld- bis Freiheitsstrafen. Hinzu treten Nebenfolgen wie Verfalls- oder Einziehungsanordnungen, Berufs- oder Tätigkeitsverbote sowie Eintragungen in Register. Bei Tätern unterhalb des Erwachsenenalters gelten besondere Regelungen zur Sanktionierung und Erziehung.

Zivilrechtliche Ansprüche

Schadensersatz und Unterlassung

Betroffene können Ersatz für Vermögensschäden, entgangenen Gewinn oder immaterielle Beeinträchtigungen beanspruchen, soweit gesetzliche Voraussetzungen erfüllt sind. Unterlassungsansprüche dienen der Abwehr weiterer Eingriffe; Auskunftsansprüche können der Bezifferung von Schäden und der Anspruchsdurchsetzung dienen.

Herausgabe, Beseitigung, Rückabwicklung

Unrechtmäßig erlangte Vorteile sind herauszugeben. Rechtsordnungen sehen zudem Beseitigungsansprüche, Löschung unrechtmäßig erhobener Daten sowie Rückabwicklung unwirksamer Verträge vor. Vertragsrechtliche Instrumente wie Anfechtung oder Rücktritt können je nach Fallgestaltung eingreifen.

Öffentlich-rechtliche Pflichten

Aufsicht, Bußgelder und Sanktionen

Neben strafrechtlicher Verfolgung kommen aufsichtsrechtliche Maßnahmen in Betracht. Verstöße gegen datenschutz- oder telekommunikationsrechtliche Pflichten können mit erheblichen Bußgeldern geahndet werden. Maßstab sind unter anderem Sicherheitsanforderungen, Transparenz- und Dokumentationspflichten.

Melde- und Organisationspflichten

In regulierten Sektoren sowie beim Umgang mit personenbezogenen Daten bestehen je nach Rechtsrahmen Pflichten zur Organisation von Sicherheitsprozessen, zur Risikobewertung und zum Umgang mit Sicherheitsvorfällen. Dazu gehören unter bestimmten Voraussetzungen auch Meldungen an Aufsichtsstellen oder Betroffene.

Verfahrensrecht und Beweisfragen

Einleitung von Ermittlungen

Ermittlungen können durch Anzeigen, Hinweise, polizeiliche Erkenntnisse oder Aufsichtsmaßnahmen angestoßen werden. Zuständig sind Strafverfolgungsbehörden am Tatort, am Wohnsitz oder dort, wo Erfolgsfolgen eintreten. Bei grenzüberschreitenden Sachverhalten ist eine Abstimmung zwischen mehreren Behörden üblich.

Digitale Beweise

Digitale Spuren bestehen aus Log-Daten, Konfigurationsständen, Nachrichteninhalten, Metadaten, Netzwerkverkehr oder forensischen Abbildern. Maßgeblich sind Integrität, Authentizität und Nachvollziehbarkeit der Beweismittel. Ketten der Sicherung und Dokumentation spielen eine zentrale Rolle, damit Beweise verwertbar bleiben.

Zugriffsmaßnahmen und Grundrechtsschutz

Durchsuchungen, Beschlagnahmen, Überwachungen von Kommunikation oder der Zugriff auf gespeicherte Daten unterliegen strengen Voraussetzungen und gerichtlicher Kontrolle. Es findet eine Abwägung zwischen Effektivität der Strafverfolgung und dem Schutz privater Lebensgestaltung, Betriebs- und Geschäftsgeheimnissen sowie beruflicher Vertrauensverhältnisse statt.

Verjährung

Nach Ablauf gesetzlicher Fristen ist eine Ahndung nicht mehr möglich. Die Fristen richten sich nach der Schwere der Tat. Unterbrechungen oder Ruhen der Verjährung sind bei bestimmten verfahrensrechtlichen Schritten vorgesehen.

Internationale Dimension

Grenzüberschreitende Zuständigkeit

Computerkriminalität überschreitet häufig Landesgrenzen. Zuständigkeit kann sich an Handlungs-, Erfolgs- oder Wohnsitzorten orientieren. Mehrfachzuständigkeiten sind möglich, werden jedoch durch Kooperationsmechanismen und das Verbot doppelter Verfolgung begrenzt.

Rechtshilfe und Auslieferung

Die Sicherung von Beweisen im Ausland, Auskunftsersuchen an Anbieter und die Verfolgung von Tätern erfordern internationale Zusammenarbeit. Rechtsgrundlagen bestehen in zwischenstaatlichen Abkommen und nationalen Rechtshilferegeln. Digitale Provider mit Sitz in anderen Ländern unterliegen ebenfalls solchen Mechanismen, soweit rechtliche Voraussetzungen erfüllt sind.

Beteiligte und Verantwortlichkeit

Tätertypen und Beteiligungsformen

Zu den Beteiligten zählen unmittelbare Ausführende, technische Unterstützer, Organisatoren und Nutznießer. Arbeitsteilige Strukturen sind typisch, etwa bei Bereitstellung von Zugängen, Infrastruktur oder Schadprogrammen. Verantwortlichkeit kann auch bei Versuchen, Vorbereitungshandlungen oder bei geschäftsmäßiger Unterstützung einschlägiger Taten bestehen.

Unternehmens- und Organverantwortung

Rechtliche Verantwortung trifft natürliche Personen. Daneben können Organisationen mit Geldbußen belegt oder sonstigen Maßnahmen unterworfen werden, wenn Leitungspersonen Pflichtenverletzungen begehen oder Aufsichtspflichten verletzt werden. Intern sind klare Zuständigkeiten, Kontrollmechanismen und ein angemessenes Sicherheitsniveau rechtlich relevant.

Rolle von Plattformen und Providern

Dienstanbieter sind an Vorgaben zu Datensicherheit, Mitwirkungspflichten und Lösch- oder Sperrmechanismen gebunden. Haftungsprivilegierungen können bestehen, soweit keine Kenntnis von rechtswidrigen Inhalten vorliegt und bei Kenntnis unverzüglich reagiert wird. Umfang und Grenzen solcher Pflichten richten sich nach dem jeweiligen Rechtsrahmen.

Abwehr, Prävention und Compliance im rechtlichen Kontext

Rechtliche Anforderungen definieren Mindeststandards für Organisation, Technik und Prozesse. Bewertet werden Angemessenheit, Aktualität und Wirksamkeit von Maßnahmen im Verhältnis zum Risiko. Dokumentation, Schulung, Zugriffs- und Berechtigungskonzepte sowie Reaktionsprozesse sind rechtlich bedeutsam, weil sie die Einhaltung von Sorgfaltspflichten belegen und Einfluss auf Verantwortlichkeit, Bußgelder und Haftung entfalten können.

Abgrenzung zu verwandten Feldern

IT-Sicherheitsvorfall ohne Straftat

Nicht jedes Ereignis mit Sicherheitsbezug ist ein Delikt. Technische Fehlfunktionen, unbeabsichtigte Fehlbedienung oder Vertragsverstöße ohne strafrechtlichen Kern fallen unter andere Rechtsgebiete, etwa Gewährleistungs- oder Haftungsrecht.

Zulässige Sicherheitsforschung

Die Prüfung von Systemen zur Verbesserung der Sicherheit bewegt sich in einem regulierten Rahmen. Zulässigkeit hängt von Einverständnis, Zweck und Vorgehen ab. Unbefugtes Eindringen bleibt rechtswidrig, selbst wenn Sicherheitslücken aufgezeigt werden. Rechtskonforme Forschung orientiert sich an klaren Erlaubnissen und Schonung fremder Rechtsgüter.

Häufig gestellte Fragen

Was umfasst der Begriff Computerkriminalität?

Er umfasst rechtswidrige Handlungen, die sich gegen Computersysteme, Netzwerke oder Daten richten, diese missbrauchen oder durch digitale Mittel begangen werden. Dazu zählen unbefugter Zugriff, Datenmanipulation, Störung von Diensten, Betrugsformen im Netz, Datenschutzverstöße und Verletzungen geistigen Eigentums.

Wann wird ein Verhalten im digitalen Raum strafbar?

Strafbarkeit setzt ein tatbestandlich beschriebenes, rechtswidriges und schuldhaftes Verhalten voraus. Maßgeblich ist, ob geschützte Rechtsgüter wie Vertraulichkeit, Integrität, Verfügbarkeit, Vermögen oder Persönlichkeitsrechte gezielt oder in Kenntnis der Möglichkeit verletzt werden.

Welche Folgen drohen bei Computerkriminalität?

In Betracht kommen Geld- oder Freiheitsstrafen, Einziehung von Tatmitteln und Erträgen sowie Nebenfolgen wie Tätigkeitsverbote. Zivilrechtlich können Schadensersatz, Unterlassung, Auskunft und Herausgabe verlangt werden. Aufsichtsrechtlich sind Bußgelder möglich.

Wie wird die Zuständigkeit bei grenzüberschreitenden Taten bestimmt?

Maßgeblich sind Orte der Handlung und des Erfolgs sowie Aufenthalts- oder Sitzorte. Mehrere Staaten können zuständig sein. Koordinationsmechanismen und Rechtshilfe sollen widersprüchliche Verfahren vermeiden und Beweiserhebung ermöglichen.

Welche Rolle spielen digitale Beweise?

Digitale Beweise sind zentral. Es kommt auf Integrität, Authentizität und lückenlose Dokumentation an. Verfahrensrecht regelt, unter welchen Voraussetzungen Daten erhoben, gesichert und verwendet werden dürfen.

Gibt es zivilrechtliche Ansprüche bei Schäden durch Computerkriminalität?

Ja. Möglich sind Ansprüche auf Ersatz materieller und immaterieller Schäden, Unterlassung weiterer Eingriffe, Auskunft zur Bezifferung, Herausgabe von Vorteilen sowie Löschung unrechtmäßig erlangter Daten, jeweils im Rahmen der gesetzlichen Voraussetzungen.

Worin liegt der Unterschied zwischen einem IT-Sicherheitsvorfall und Computerkriminalität?

Computerkriminalität setzt ein rechtswidriges menschliches Handeln voraus. Ein IT-Sicherheitsvorfall kann auch ohne rechtswidrige Handlung entstehen, etwa durch technische Fehler oder Naturereignisse, und unterliegt dann anderen rechtlichen Regelungen.

Ist Sicherheitsforschung im rechtlichen Sinne zulässig?

Sicherheitsforschung ist zulässig, wenn sie sich im Rahmen ausreichender Erlaubnisse bewegt, fremde Systeme nicht unbefugt beeinträchtigt und schutzwürdige Interessen wahrt. Unbefugtes Eindringen bleibt verboten, auch zu Testzwecken.

Auf dieser Seite

Weitere Begriffserklärungen