Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Lexikon

Wiki»Legal Lexikon»Strafrecht»Zerstörung von Datenverarbeitungsanlagen

Zerstörung von Datenverarbeitungsanlagen


Zerstörung von Datenverarbeitungsanlagen

Die Zerstörung von Datenverarbeitungsanlagen bezeichnet im rechtlichen Kontext das vorsätzliche oder fahrlässige Unbrauchbarmachen, Beschädigen oder Zerstören von technischen Einrichtungen, die der automatisierten Datenverarbeitung dienen. Der Begriff spielt insbesondere im Straf-, Zivil- und IT-Recht eine bedeutende Rolle, da der Schutz der elektronischen Infrastruktur für die Informationsgesellschaft von zentraler Wichtigkeit ist. Neben physischen Beschädigungen umfasst die Rechtsentwicklung auch elektronische und softwarebezogene Angriffe auf Datenverarbeitungssysteme.

Begriffliche Abgrenzung und Definition

Unter Datenverarbeitungsanlagen werden sämtliche Geräte, Systeme und Komponenten verstanden, die der elektronischen Erfassung, Speicherung, Verarbeitung oder Übertragung von Daten dienen. Hierzu zählen insbesondere Computer, Server, Netzwerkinfrastrukturen, Speicherlaufwerke, Router, Modems sowie Peripheriegeräte und eingebettete Systeme in Spezialmaschinen.

Zerstörung bedeutet im rechtlichen Sinn jede Handlung, welche die betreffende Anlage so erheblich beeinträchtigt, dass ihre bestimmungsgemäße Verwendung dauerhaft oder zumindest für einen erheblichen Zeitraum nicht mehr möglich ist. Dazu zählen neben der vollständigen physischen Vernichtung u. a.:

  • mechanische Beschädigungen (z.B. Einschlagen von Festplatten)
  • elektrische Überlastung (z.B. Einbringen eines Kurzschlusses)
  • irreversible softwarebasierte Angriffe (z.B. Löschen von Firmware oder Basisbetriebssystemen)
  • das Übertragen von Schadsoftware, die zu einem nicht behebbaren Funktionsverlust führt

Die Begriffe „Unbrauchbarmachen“ und „Beschädigen“ werden häufig ergänzend verwendet und umfassen bereits die teilweise Beeinträchtigung der Funktionsfähigkeit.

Rechtliche Einordnung

Strafrechtliche Vorschriften

Der Schutz von Datenverarbeitungsanlagen ist insbesondere Gegenstand spezieller Straftatbestände im deutschen Recht. Die zentrale Norm hierzu stellt § 303b Strafgesetzbuch (StGB) – „Computersabotage“ – dar. Daneben können weitere Tatbestände einschlägig sein, insbesondere:

  • § 303 StGB (Sachbeschädigung)
  • § 202a StGB (Ausspähen von Daten)
  • § 202b StGB (Abfangen von Daten)
  • § 303a StGB (Datenveränderung)
§ 303b StGB – Computersabotage

§ 303b StGB schützt Datenverarbeitungsvorgänge sowie die dazu verwendeten technischen Geräte vor Angriffen, welche geeignet sind, die ordnungsgemäße Datenverarbeitung und Funktionsfähigkeit zu beeinträchtigen. Geschützt sind ausdrücklich auch Vorrichtungen zur elektronischen Datenverarbeitung. Die Vorschrift erfasst nicht nur die physische Zerstörung, sondern auch die elektronische Beeinflussung, sofern sie zur erheblichen Störung führt.

Der Anwendungsbereich reicht von Angriffen auf einzelne Rechner über Serverfarmen bis hin zu kritischen Infrastrukturen (bspw. Energieversorgung, Telekommunikation). Die Strafandrohung beginnt bei Freiheitsstrafe bis zu drei Jahren oder Geldstrafe, bei schweren Fällen (z. B. Angriff auf lebenswichtige Einrichtungen) bis zu zehn Jahren.

§ 303 StGB – Sachbeschädigung

Kommt die Spezialvorschrift des § 303b StGB nicht zur Anwendung, ist je nach Fallkonstellation auch eine Strafbarkeit nach § 303 StGB möglich, sofern die Datenverarbeitungsanlage als „Sache“ im Sinne der Vorschrift gilt und eine rechtswidrige Zerstörung oder Beschädigung erfolgt.

Schadensersatz- und Haftungsrecht

Die Zerstörung von Datenverarbeitungsanlagen kann im Zivilrecht erhebliche Schadensersatzansprüche nach sich ziehen. Nach §§ 823 Abs. 1, 826 Bürgerliches Gesetzbuch (BGB) haftet der Schädiger bei vorsätzlicher oder fahrlässiger Handlung auf Ersatz des entstandenen materiellen Schadens. Neben dem Sachwert der beschädigten Anlage können weitere Folgeschäden, wie Betriebsunterbrechungen oder Datenverluste, geltend gemacht werden.

Für Arbeitnehmer gelten im Arbeitsrecht unter Umständen besondere Haftungserleichterungen (Haftungsprivilegierung bei leichter Fahrlässigkeit). Im Rahmen der Produkthaftung können Hersteller verantwortlich sein, wenn durch fehlerhafte Systeme ungewollte Zerstörungen von Anlagen erfolgen.

Öffentlich-rechtliche Regelungen und Compliance-Anforderungen

In sensiblen Branchen (Energieversorgung, Gesundheitswesen, Finanzsektor) gibt es zusätzliche gesetzliche und regulatorische Anforderungen zum Schutz von Datenverarbeitungsanlagen:

  • IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber sogenannter Kritischer Infrastrukturen zu besonderen Vorkehrungen für die Integrität und Verfügbarkeit der Systeme.
  • Datenschutzrechtliche Vorschriften (insbesondere aus der DSGVO) fordern technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten auf IT-Systemen.
  • Branchenspezifische Richtlinien und technische Standards (bspw. BSI IT-Grundschutz) konkretisieren Schutzziele und präventive Maßnahmen gegen Zerstörungsvorfälle.

Tatmodalitäten und Angriffsmethoden

Physische Zerstörung

Hierbei handelt es sich um direkte Angriffe auf die Hardware, wie das Zerschlagen, Verbrennen, Schneiden oder sonstiges Unbrauchbarmachen von Systemen und Komponenten.

Digitale Sabotage

Virtuelle Angriffe umfassen das Einführen von Schadsoftware, Verschlüsselungstrojaner (Ransomware), die gezielte Löschung oder Manipulation von Systemdaten bis hin zu Distributed-Denial-of-Service-Attacken, die eine Überlastung und Funktionsausfall von Servern provozieren.

Kombinierte Angriffe

In einigen Fällen erfolgt die Zerstörung in einer Kombination physischer und digitaler Mittel, etwa wenn Schadsoftware eine Überhitzung von Hardwarekomponenten auslöst, welche anschließend physisch zerstört werden.

Strafantrag, Strafverfolgung und Verfahrensfragen

Ermittlungsverfahren werden in der Regel von Amts wegen eingeleitet, bei geringfügigen Delikten kann ein Strafantrag der/​des Geschädigten erforderlich sein (§ 303c StGB). Im Rahmen der Beweisführung sind IT-forensische Gutachten und die Sicherung von elektronischen Spuren von erheblicher Bedeutung.

Internationale Rechtslage und Harmonisierung

Auch auf europäischer und internationaler Ebene existieren Normen zum Schutz von IT-Infrastrukturen:

  • Die Budapester Konvention (Übereinkommen über Computerkriminalität, Cybercrime Convention) definiert Mindeststandards für die Strafverfolgung einschlägiger Delikte.
  • Die EU-Richtlinie 2013/40/EU über Angriffe auf Informationssysteme harmonisiert die Strafbarkeit innerhalb der Europäischen Union.

Präventive Schutzmaßnahmen

Gesetzgeber und Unternehmen setzen auf umfangreiche Prävention, etwa durch Zugangskontrollen, Segmentierung von Netzwerken, Einsatz von Firewalls und Intrusion-Detection-Systemen sowie Backups zur Wiederherstellung nach Zerstörungsvorfällen. Versicherungen gegen IT-Risiken bieten zusätzlichen finanziellen Schutz.

Literatur

  • Fischer, Thomas: Strafgesetzbuch und Nebengesetze, Kommentar, aktuelle Auflage
  • Bock, Stefan: Computerstrafrecht, C.H. Beck, 2019
  • U. Sieber (Hrsg.): Cyberkriminalität und Computerstrafrecht, 2012

Weblinks

Häufig gestellte Fragen

Welche rechtlichen Konsequenzen drohen bei der vorsätzlichen Zerstörung von Datenverarbeitungsanlagen?

Die vorsätzliche Zerstörung von Datenverarbeitungsanlagen ist in Deutschland strafrechtlich relevant und kann insbesondere nach § 303b Strafgesetzbuch (StGB) – Computersabotage – verfolgt werden. Wer vorsätzlich eine Datenverarbeitungsanlage, die einem anderen gehört oder die dem öffentlichen Nutzen dient, zerstört, beschädigt, unbrauchbar macht, verändert oder beseitigt, kann mit einer Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft werden. Bei Zerstörung von Anlagen, welche für einen fremden Betrieb, ein Unternehmen, eine Behörde oder für die öffentliche Versorgung von erheblicher Bedeutung sind, liegt eine Qualifikation vor und das Strafmaß erhöht sich entsprechend. Daneben gibt es (je nach Schwere der Tat) zivilrechtliche Schadensersatzansprüche des Geschädigten, etwa nach §§ 823 ff. BGB. Außerdem können im arbeitsrechtlichen Kontext arbeitsrechtliche Sanktionen, bis hin zur fristlosen Kündigung, drohen, wenn die Tat von einem Arbeitnehmer im Rahmen seines Beschäftigungsverhältnisses begangen wurde.

Ist der Versuch der Zerstörung von Datenverarbeitungsanlagen ebenfalls strafbar?

Ja, gemäß § 303b Absatz 3 StGB ist bereits der Versuch der Computersabotage strafbar. Das bedeutet, dass strafrechtliche Konsequenzen auch dann drohen, wenn jemand zwar Handlungen zur Zerstörung oder Beschädigung einer Datenverarbeitungsanlage unternimmt, das Endziel aber nicht erreicht wird – die Tat also im Versuchsstadium stecken bleibt. In diesen Fällen kann das Strafmaß gemildert werden, aber eine Strafbarkeit als solche besteht. Die Voraussetzungen für den Versuch liegen vor, wenn der Täter nach seiner Vorstellung zur Tat unmittelbar ansetzt, unabhängig davon, ob der Schaden tatsächlich eintritt.

Wie definiert das Gesetz eine „Datenverarbeitungsanlage“ im juristischen Kontext?

Der Begriff der Datenverarbeitungsanlage wird im Gesetz nicht abschließend definiert; jedoch versteht man darunter alle technischen Systeme, die zur automatisierten Verarbeitung von Daten eingesetzt werden. Hierzu zählen Einzelcomputer, Server, Netzwerke, Speichersysteme, und andere Hardware-Komponenten. Auch entsprechende Cloud-Infrastrukturen sowie mobile Endgeräte können darunterfallen, sofern sie in der Lage sind, automatisiert Daten zu verarbeiten. Maßgeblich ist, dass die Anlage dazu bestimmt und geeignet ist, Daten selbsttätig nach bestimmten Programmen zu verarbeiten. Die Rechtsprechung stellt strenge Anforderungen an den technischen Zusammenhang und die Funktionalität.

Welche Besonderheiten gelten bei öffentlich-rechtlichen Eigentümern von Datenverarbeitungsanlagen?

Bei Datenverarbeitungsanlagen im Eigentum von Behörden oder Einrichtungen von erheblichem öffentlichen Interesse gelten in der Regel strengere Maßstäbe und ein erhöhtes öffentliches Interesse am strafrechtlichen Schutz. Die Strafverschärfung des § 303b Abs. 4 StGB (schwerer Fall der Computersabotage) setzt unter anderem voraus, dass der Täter durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Diensten gefährdet oder eine erhebliche Störung der öffentlichen Sicherheit und Ordnung herbeiführt. Im Falle des Angriffs auf Anlagen kritischer Infrastrukturen, wie sie beispielsweise in der KRITIS-Verordnung aufgelistet sind, können zudem weitere strafrechtliche Vorschriften, wie § 317 StGB (Störung öffentlicher Betriebe), Anwendung finden. In diesen Fällen wird das öffentliche Interesse durch vorrangige Strafverfolgung und teils höhere Strafzumessung geschützt.

Welche zivilrechtlichen Ansprüche können Geschädigten im Falle der Zerstörung von Datenverarbeitungsanlagen zustehen?

Erleidet eine Person oder ein Unternehmen durch die Zerstörung ihrer Datenverarbeitungsanlage einen Schaden, stehen dem Geschädigten regelmäßig zivilrechtliche Ansprüche zu, insbesondere aus den §§ 823 Abs. 1 (unerlaubte Handlung) bzw. Abs. 2 BGB i.V.m. einem Schutzgesetz (z.B. § 303b StGB). Der Geschädigte kann Ersatz seines materiellen Schadens verlangen: Darunter fallen die Kosten für Reparatur, Neuanschaffung der Hard- und Software, die Wiederherstellung von Daten, eventuelle Nutzungsausfallentschädigungen, sowie Folgeschäden durch Betriebsunterbrechungen. Je nach individuellem Fall sind auch Ansprüche auf Schmerzensgeld (bei betroffenen natürlichen Personen) oder Ersatz entgangenen Gewinns möglich. Voraussetzung ist stets ein nachweisbarer Kausalzusammenhang zwischen Handlung, Schaden und Rechtswidrigkeit.

Welche Rolle spielt das Tatmotiv beziehungsweise der Vorsatz in der strafrechtlichen Bewertung?

Das strafrechtliche Haftungsmaß richtet sich im Wesentlichen nach dem Grad des Vorsatzes. Für eine Strafbarkeit nach § 303b StGB ist Vorsatz erforderlich, d.h. der Täter muss die Zerstörung der Datenverarbeitungsanlage bewusst und gewollt herbeiführen oder zumindest billigend in Kauf nehmen. Fahrlässige Handlungen sind grundsätzlich nicht erfasst und werden strafrechtlich nicht verfolgt, es sei denn, das Gesetz stellt solche explizit unter Strafe. Allerdings können fahrlässige Zerstörungen unter spezialgesetzlichen Normen oder im Zivilrecht (Schadensersatz wegen Fahrlässigkeit gem. § 823 Abs. 1 BGB) relevant werden. Tritt die Zerstörung im Rahmen anderer Delikte (z.B. Sabotage mit politischem, wirtschaftlichem oder ideologischem Hintergrund) auf, kann sich das Motiv strafschärfend oder strafmildernd auf die Sanktion auswirken.

Gibt es verjährungsrechtliche Besonderheiten im Zusammenhang mit der Zerstörung von Datenverarbeitungsanlagen?

Bei der strafrechtlichen Verfolgung der vorsätzlichen Zerstörung einer Datenverarbeitungsanlage gelten grundsätzlich die allgemeinen Verjährungsfristen nach §§ 78 ff. StGB. Für die Tatbestände des § 303b StGB beträgt die Verjährungsfrist in der Regel fünf Jahre (vgl. § 78 Abs. 3 Nr. 4 StGB), in besonders schweren Fällen gemäß § 303b Abs. 4 StGB kann sie bis zehn Jahre betragen. Im Zivilrecht beträgt die regelmäßige Verjährungsfrist für Schadensersatzansprüche nach § 195 BGB drei Jahre ab dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Geschädigte von Person und Umstand des Schadens Kenntnis erlangt hat oder ohne grobe Fahrlässigkeit erlangen müsste. In besonderen Konstellationen (z. B. bei vorsätzlichem sittenwidrigen Verhalten) kann die Frist auf zehn Jahre verlängert sein.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen