Begriff und Grundlagen der „Störung von Datenverarbeitungsanlagen“
Die „Störung von Datenverarbeitungsanlagen“ ist ein zentraler Begriff im deutschen Strafrecht, der insbesondere die Informations- und Kommunikationstechnologie in den Fokus rückt. Ziel der einschlägigen gesetzlichen Vorschriften ist es, elektronische Systeme und Datenverarbeitungsanlagen gegen Angriffe, unbefugte Störungen oder Manipulationen zu schützen. Die zunehmende Bedeutung digitaler Infrastrukturen im privaten, wirtschaftlichen und staatlichen Bereich hat die Notwendigkeit eines eigenständigen strafrechtlichen Schutzes von Datenverarbeitungsanlagen begründet.
Definition
Unter einer Datenverarbeitungsanlage wird jede technische Einrichtung verstanden, die Daten automatisiert verarbeitet, speichert oder übermittelt. Hierzu zählen insbesondere Computer, Server, Netzwerke, Steuerungsanlagen und andere elektronische Systeme, die der Verarbeitung, Speicherung oder Übermittlung von Daten dienen.
Die „Störung von Datenverarbeitungsanlagen“ umfasst sämtliche rechtswidrige Einwirkungen auf solche Systeme, die geeignet sind, deren ordnungsgemäße Funktion zu beeinträchtigen, zu unterbrechen oder zu sabotieren.
Gesetzliche Regelung
Strafrechtliche Verankerung (§ 303b StGB)
Im deutschen Recht wird die Störung von Datenverarbeitungsanlagen insbesondere durch § 303b Strafgesetzbuch (StGB) geregelt. Diese Norm ist Teil des Abschnitts „Straftaten gegen fremdes Vermögen“, konkret im Kontext der Computerkriminalität angesiedelt.
Gesetzestext (Auszug)
§ 303b Abs. 1 StGB lautet:
„Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch stört, dass er […], wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Tatbestandsmerkmale
Die strafrechtlich relevante „Störung“ setzt nach § 303b StGB folgende Tatbestandsvoraussetzungen voraus:
- Konkret betroffene Datenverarbeitungsanlage: Die Tat muss sich gegen eine konkrete Einrichtung richten, die zur automatisierten Datenverarbeitung bestimmt ist.
- Wesentliche Bedeutung: Die gestörte Datenverarbeitung muss für den Verletzten von wesentlicher Bedeutung sein, beispielsweise für wirtschaftliche Prozesse, sicherheitsrelevante Funktionen oder staatliche Aufgaben.
- Tathandlung: Diese besteht insbesondere im Einwirken auf die Anlage durch Zerstören, Beschädigen, Verändern oder Unbrauchbarmachen von Komponenten, Systemen oder Software.
- Erfolgsunrecht: Die Handlung muss ursächlich zu einer Störung führen, die über bloße Unannehmlichkeiten hinausgeht und die Verarbeitungsprozesse signifikant beeinträchtigt oder unterbricht.
- Vorsatz: Es ist erforderlich, dass die Handlung vorsätzlich, also wissentlich und willentlich, begangen wird.
Typische Erscheinungsformen
Technische Angriffsarten
Zu den häufigsten Erscheinungsformen der Störung von Datenverarbeitungsanlagen gehören:
- Malware-Angriffe: Einschleusen von Schadsoftware (wie Viren, Würmer oder Trojaner), um die Funktionen der Anlage zu stören.
- Denial-of-Service (DoS)-Attacken: Überlastung von Servern und Netzwerken durch massenhafte Anfragen, wodurch die betroffenen Systeme zeitweise oder dauerhaft funktionsunfähig werden.
- Sabotage an Hard- oder Software: Physische oder digitale Zerstörung bzw. Manipulation von Hard- und Softwarekomponenten.
- Manipulation von Steuerungsanlagen: Gezielte Eingriffe in industrielle Steuerungssysteme (z. B. SCADA-Systeme), die Produktionsabläufe stören können.
Betroffene Güter
Opfer können sowohl Privatpersonen, Unternehmen als auch staatliche Stellen sein. Besonders schützenswert sind lebenswichtige Infrastrukturen wie Krankenhäuser, Kraftwerke, Logistikzentren oder staatliche Datenbanken.
Rechtliche Einordnung und Abgrenzungen
Abgrenzung zu anderen Straftatbeständen
Die Störung von Datenverarbeitungsanlagen ist von anderen Delikten des Computerstrafrechts abzugrenzen, insbesondere:
- Datenveränderung (§ 303a StGB): Hier steht die unerlaubte Veränderung, Löschung oder Unterdrückung von Daten im Vordergrund, ohne dass eine Störung der gesamten Anlage notwendig ist.
- Ausspähen von Daten (§ 202a StGB): Bezieht sich auf das unbefugte Verschaffen von Zugang zu gesicherten Daten, nicht zwingend verbunden mit einer Störung der Verarbeitung.
- Computersabotage (§ 303b StGB): Wird häufig synonym verwendet, bezeichnet jedoch speziell die gezielte Beeinträchtigung funktionaler Abläufe in Unternehmen oder Behörden durch Eingriffe in Computersysteme.
Verhältnis zum IT-Sicherheitsrecht
Die strafrechtliche Regelung zur Störung von Datenverarbeitungsanlagen steht in engem Bezug zum IT-Sicherheitsrecht (etwa dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSI-Gesetz), das die Prävention und Abwehr von Angriffen auf IT-Infrastrukturen regelt, indes jedoch keine strafrechtlichen Sanktionen vorsieht.
Strafrahmen und Rechtsfolgen
Für die Störung von Datenverarbeitungsanlagen sieht § 303b StGB eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe vor. In besonders schweren Fällen, etwa wenn die Tat einen bedeutenden Schaden verursacht oder kritische Infrastrukturen betroffen sind, können weitergehende strafrechtliche Konsequenzen drohen.
Darüber hinaus können zivilrechtliche Ansprüche, wie etwa Schadensersatzforderungen, entstehen. Die betroffenen Unternehmen oder Einzelpersonen haben unter Umständen Anspruch auf Ersatz des eingetretenen Vermögensschadens.
Prozessuale Aspekte
Strafverfolgung und Anzeige
Die Störung von Datenverarbeitungsanlagen ist ein Antragsdelikt, d. h., die Strafverfolgung erfolgt zumeist nur auf Antrag der betroffenen Person oder Organisation. In Fällen von besonderem öffentlichen Interesse kann die Staatsanwaltschaft jedoch von Amts wegen tätig werden.
Beweisproblematik
Die Aufklärung von Straftaten im Bereich der Störung von Datenverarbeitungsanlagen stellt Ermittlungsbehörden zunehmend vor Herausforderungen. Insbesondere die Identifizierung der Täter und die Sicherung digitaler Spuren erfordern spezielle technische Vorgehensweisen.
Internationale Bezüge
Mit der zunehmenden Vernetzung und Internationalisierung digitaler Systeme gewinnen internationale Rechtsnormen und Kollaborationen an Bedeutung. Die Störung von Datenverarbeitungsanlagen ist Gegenstand völkerrechtlicher Abkommen, u. a. der Budapester Übereinkunft über Computerkriminalität (Cybercrime Convention), welche Mindeststandards und Harmonisierungsvorgaben für den Schutz von IT-Systemen etabliert.
Bedeutung in Praxis und Rechtsprechung
Angesichts der wachsenden Bedrohung durch Cyberangriffe nimmt der Schutz von Datenverarbeitungsanlagen einen immer höheren Stellenwert ein. Die praktische Bedeutung des § 303b StGB ist in den vergangenen Jahren erheblich gestiegen. Die Rechtsprechung entwickelt die Anwendung der Tatbestände kontinuierlich fort, insbesondere im Hinblick auf technische Neuerungen und komplexe Angriffsformen.
Literaturhinweise und weiterführende Informationen
Für eine vertiefte Auseinandersetzung mit der Thematik bieten sich einschlägige Fachliteratur zum IT-Strafrecht sowie aktuelle Stellungnahmen und Kommentare zur Entwicklung der Computerkriminalität an. Auch Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben praxisrelevante Einblicke und Hilfestellungen zur Prävention und Bewältigung entsprechender Vorfälle.
Zusammenfassung:
Die Störung von Datenverarbeitungsanlagen ist ein zentraler Tatbestand im deutschen Computerstrafrecht, der weitreichende technische und rechtliche Aspekte umfasst. Er schützt datenverarbeitende Systeme vor gezielten Störungen und Manipulationen, umfasst verschiedene Angriffsformen und ist mit erheblichen strafrechtlichen und zivilrechtlichen Folgen verbunden. Die Praktikabilität und Bedeutung dieser Regelung wird durch die fortschreitende Digitalisierung und Vernetzung kontinuierlich erhöht.
Häufig gestellte Fragen
Welche rechtlichen Konsequenzen drohen bei einer Störung von Datenverarbeitungsanlagen?
Eine Störung von Datenverarbeitungsanlagen kann im deutschen Recht schwerwiegende straf- sowie zivilrechtliche Konsequenzen nach sich ziehen. Im Strafrecht greift insbesondere § 303b des Strafgesetzbuchs (StGB), der die „Computersabotage“ unter Strafe stellt. Darunter fallen unbefugte Eingriffe, welche die ordnungsgemäße Funktion von Datenverarbeitungsanlagen beeinträchtigen, beispielsweise durch technische Angriffe, das Einschleusen von Schadsoftware oder das Verändern von Systemdaten. Die Strafandrohung reicht von einer Freiheitsstrafe bis zu drei Jahren oder Geldstrafe, in besonders schweren Fällen, etwa wenn ein erheblicher Schaden entsteht oder kritische Infrastrukturen betroffen sind, kann das Strafmaß auch deutlich höher liegen. Zivilrechtlich kann der Geschädigte Schadensersatzansprüche nach § 823 BGB geltend machen, sobald ein wirtschaftlicher oder immaterieller Schaden nachweisbar ist. Unternehmen, die von derartigen Störungen betroffen waren, haben zudem gemäß Art. 82 DSGVO Anspruch auf Schadensersatz bei Datenschutzverletzungen, sofern personenbezogene Daten betroffen sind und Verursacher beziehungsweise Mitverursacher rechtswidrig handelt. Darüber hinaus kann durch Verletzung von besonderen Schutzgesetzen wie dem IT-Sicherheitsgesetz zusätzliche regulatorische Haftung entstehen, insbesondere für Betreiber kritischer Infrastrukturen.
Wann ist das Einwirken auf eine Datenverarbeitungsanlage im Sinne des Gesetzes als „Störung“ einzustufen?
Im rechtlichen Kontext gilt eine Handlung als Störung einer Datenverarbeitungsanlage, wenn der normale, vorgesehene Ablauf des Systems vorsätzlich oder fahrlässig beeinträchtigt wird. Dies umfasst etwa das Blockieren, Verlangsamen, Manipulieren oder vollständige Lahmlegen von Datenverarbeitungssystemen. Typische Beispiele sind Distributed-Denial-of-Service-(DDoS)-Angriffe, das gezielte Löschen oder Verändern von Systemdateien oder das Einführen von Schadsoftware, die zu Fehlfunktionen oder Ausfällen führt. Es bedarf keiner dauerhaften oder vollständigen Unterbrechung, bereits vorübergehende Beeinträchtigungen genügen. Die Rechtsprechung legt besonderen Wert darauf, ob durch das Verhalten die Verfügbarkeit, Vertraulichkeit oder Integrität der betreffenden Systeme erheblich eingeschränkt wurde.
Wer ist im Falle einer Störung haftbar zu machen?
Die Haftung bei einer Störung von Datenverarbeitungsanlagen richtet sich primär gegen den Verursacher, meist die handelnde Person oder gegebenenfalls mehrere Personen, die für den Eingriff verantwortlich sind. In strafrechtlicher Hinsicht kann nur die natürliche Person verfolgt werden, es sei denn, es handelt sich um Straftaten im Rahmen eines Unternehmens, bei denen zudem die Unternehmensleitung wegen Organisationsverschuldens belangt werden kann. Im zivilrechtlichen Bereich kann ebenfalls das Unternehmen, das die Tat entweder durch unzureichende Sicherheitsvorkehrungen begünstigt oder nicht ausreichend organisatorische Maßnahmen getroffen hat, in Anspruch genommen werden. Eine Mithaftung Dritter, wie etwa IT-Dienstleistern oder Verantwortlichen für das Sicherheitsmanagement, ist möglich, wenn grobe Fahrlässigkeit oder Verletzung von Sorgfaltspflichten festgestellt wird.
Welche Beweislast trifft die Parteien im Schadensfall?
Im Falle eines Schadens durch eine Störung einer Datenverarbeitungsanlage trifft den Geschädigten zunächst die Darlegungs- und Beweislast für das Vorliegen eines Schadens sowie einen ursächlichen Zusammenhang zwischen der Störung und dem eingetretenen Schaden. In der Praxis ist dies jedoch besonders anspruchsvoll, da die technische Nachverfolgung von Sabotageakten häufig durch Verschleierungstechniken erschwert wird. Im Datenschutzrecht, insbesondere nach der DSGVO, ergibt sich eine gewisse Beweiserleichterung für den Kläger – hier muss der Betroffene den Eintritt des Schadens und den Verstoß gegen Schutzvorschriften nachweisen, während der Verantwortliche darlegen muss, dass keine Pflichtverletzung seinerseits vorliegt.
Welche Rolle spielen Compliance und IT-Sicherheitsmaßnahmen im rechtlichen Kontext?
Im rechtlichen Kontext sind Compliance und angemessene IT-Sicherheitsmaßnahmen zentrale Anforderungen zur Vermeidung rechtlicher Haftung und zur Reduzierung betrieblicher Risiken. Betreiber von Datenverarbeitungsanlagen, insbesondere Unternehmen, sind verpflichtet, dem Stand der Technik entsprechende Schutzmaßnahmen zu ergreifen, wie es unter anderem § 8a BSI-Gesetz für kritische Infrastrukturen und Art. 32 DSGVO für personenbezogene Daten vorschreiben. Verstöße gegen diese gesetzlichen Vorgaben können nicht nur zu Schadensersatzpflichten, sondern auch zu Bußgeldern oder aufsichtsrechtlichen Maßnahmen führen. Die lückenlose Dokumentation und Aktualisierung von IT-Sicherheitskonzepten, die regelmäßige Schulung der Mitarbeitenden sowie das Implementieren von Incident-Response-Plänen werden als grundlegende Vorkehrungen betrachtet, um im Falle eines Vorfalls Compliance-konformes Handeln nachweisen zu können.
Gibt es meldepflichtige Vorfälle bei Störungen von Datenverarbeitungsanlagen?
Ja, in bestimmten Fällen besteht eine gesetzliche Meldepflicht für Störungen von Datenverarbeitungsanlagen. Nach Art. 33 DSGVO müssen Verantwortliche Verletzungen des Schutzes personenbezogener Daten binnen 72 Stunden an die zuständige Aufsichtsbehörde melden, sofern ein Risiko für Rechte und Freiheiten natürlicher Personen besteht. Betreiber kritischer Infrastrukturen unterliegen zusätzlich nach dem BSI-Gesetz Meldepflichten bei erheblichen IT-Sicherheitsvorfällen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Werden Meldepflichten versäumt, drohen empfindliche Bußgelder und der dauerhafte Verlust des Vertrauens bei Geschäftspartnern und Kunden.
Wie verhält es sich mit internationaler Zuständigkeit bei Störungen über Ländergrenzen hinweg?
Bei Störungen von Datenverarbeitungsanlagen, die grenzüberschreitend stattfinden – etwa, wenn Täter, Opfer oder Systeme sich in verschiedenen Ländern befinden -, stellt sich die Frage der internationalen Zuständigkeit und Anwendbarkeit nationaler Gesetze. Grundsätzlich bestimmt sich die Strafverfolgung nach dem Territorialprinzip (§§ 3, 9 StGB), ergänzt durch internationale Abkommen wie die Budapest-Konvention zur Cyberkriminalität. Im Datenschutzrecht regelt die DSGVO als europaweit geltende Verordnung die Zuständigkeiten der Aufsichtsbehörden über das One-Stop-Shop-Prinzip und legt fest, welches Recht im jeweiligen Fall Anwendung findet. Die internationale Zusammenarbeit der Ermittlungsbehörden und die Geltendmachung von Schadensersatz gestalten sich allerdings praktisch oft komplex und sind von der jeweiligen Konstellation abhängig.
Sind auch versuchte Störungen strafbar?
Auch der Versuch einer Störung von Datenverarbeitungsanlagen kann im deutschen Strafrecht strafbar sein. Nach § 303b Abs. 3 StGB wird bereits der Versuch der Computersabotage unter Strafe gestellt. Dies bedeutet, dass bereits beim bloßen Versuch eines Eingriffs in ein Computersystem – etwa durch vorbereitende Handlungen wie das Einschleusen einer Schadsoftware, die noch keinen Schaden verursacht hat – ein strafbarer Tatbestand gegeben sein kann. Voraussetzung sind konkrete Vorbereitungshandlungen, die unmittelbar zur Ausführung führen sollen. Die Strafandrohung kann im Versuch deutlich unter derjenigen der vollendeten Tat liegen, gleichwohl ist auch der Versuch für den Rechtsfrieden und insbesondere für Unternehmen mit erheblichen Risiken verbunden.
