Bayern und Nordrhein-Westfalen wollen härter gegen Hacking-Straftaten vorgehen, mit höheren Haftstrafen und Staatstrojanern. Ihre Vorschläge konnten sich im Bundesrat nicht durchsetzen, vom Tisch sind die Forderungen trotzdem nicht.

Härtere Strafen, neue Straftatbestände und mehr Ermittlungsbefugnisse im digitalen Raum: Das will nicht nur Bundesinnenminister Horst Seehofer, das wollten auch Bayern und Nordrhein-Westfalen im Bundesrat. Beide Länder haben dazu Gesetzesvorschläge erarbeitet, doch das Ländergremium lehnte heute beide Vorstöße ab.

Die Vorschläge beider Länder ähnelten teils stark einigen Passagen aus dem Entwurf für ein neues IT-Sicherheitsgesetz, der in Seehofers Innenministerium erarbeitet wurde. Sie flankierten damit die Forderung nach härterem Durchgreifen, unter anderem bei Angriffen auf IT-Systeme oder beim Abfangen und Veröffentlichen persönlicher Daten.

Bayern und Nordrhein-Westfalen brachten ähnliche Entwürfe ein

Der Entwurf Bayerns wollte die „unangemessene Bagatellisierung der Computer- und Datendelikte“ beseitigen, schreibt der Freistaat. Das bedeutet zunächst: höhere Strafen. Beim Ausspähen von Daten beispielsweise sollte die maximale Strafe von drei auf fünf Jahre steigen. Außerdem sollte bereits der Versuch strafbar gemacht werden.

Bayern stört sich daran, dass „virtuelle Einbruchsversuche“ straflos blieben – „gleichgültig ob der Erfolg aus Unfähigkeit des Täters oder aufgrund der Effektivität der Zugangssicherung ausbleibt“. Als Beispiel nennt die Gesetzesbegründung Tools, die automatisiert Passwörter ausprobieren. Im Entwurf Nordrhein-Westfalens fehlte diese Versuchsstrafbarkeit.

In „besonders schweren Fällen“ sah Bayern Haftstrafen bis zu zehn Jahren vor. Besonders schwer heißt für das CSU-regierte Land unter anderem, dass der Täter Mitglied einer Bande ist, eine „große Menge“ Daten oder solche aus dem „höchstpersönlichen Lebensbereich“ ausspäht. Ähnliche Änderungen sollten für das Abfangen von Daten, die Vorbereitung einer dieser Tatbestände oder Datenveränderung gelten.

Mit dem höheren Strafmaß könnten auch Staatstrojaner eingesetzt werden

Die vorgesehenen Strafverschärfungen hätten nicht nur bedeutet, dass man im Zweifel für längere Zeit in Haft sein würde. Sie hätten auch Konsequenzen für die Ermittlungsbefugnisse der Behörden gehabt. Denn damit wären nach dem Willen von Bayern viele Hacker-Paragrafen auf der Liste derjenigen Taten gelandet, bei denen Telekommunikationsüberwachung und Staatstrojaner eingesetzt werden dürften sowie Verkehrsdaten abgefragt werden könnten.

Nordrhein-Westfalen wollte nicht ganz so weit gehen. Das Bundesland schlug vor, die Hacking-Straftaten nur in den Katalog derjenigen Taten aufzunehmen, der eine Telekommunikationsüberwachung zulässt. Das hätte zwar immer noch den Einsatz von Staatstrojanern bedeutet, ihn aber auf Quellen-Telekommunikationsüberwachung beschränkt – also das Abhören laufender Kommunikation und nicht die Online-Durchsuchung auch zurückliegender Inhalte auf einem Gerät. Laut IT-Experten etwa vom Chaos Computer Club ist diese Trennung generell fragwürdig. Software, die das eine kann, sei technisch auch immer zum anderen in der Lage.

Die abgelehnten Gesetzesvorschläge sind nicht vom Tisch

Noch ist in elf Bundesländern die SPD mit in der Regierung. Die Unionsparteien CDU und CSU bestimmen in zehn Ländern mit, davon in fünf zusammen mit den Sozialdemokraten. Das heutige Abstimmungsverhalten ist noch nicht veröffentlicht, manche Länder veröffentlichen aber im Nachhinein ihre Position.

Doch auch wenn die beiden Entwürfe sich aufgrund der fehlenden Mehrheit nicht durchsetzen konnten, die Verschärfungen sind noch nicht vom Tisch. Sie sind, in noch härterer Form – mit höheren Strafen und neuen Straftatbeständen – in Seehofers Entwurf für ein neues IT-Sicherheitsgesetz enthalten.

Es ist nicht ungewöhnlich, dass Gesetzesvorhaben sowohl von Ländern im Bundesrat als auch der Bundesregierung lanciert werden. Im März brachte der Bundesrat das sogenannte Darknet-Gesetz auf den Weg, das „internetbasierte Leistungen“, die eine „Begehung von rechtswidrigen Taten“ ermöglichen oder fördern, strafbar machen soll. Kurz darauf fand sich ein sehr ähnlicher Vorschlag in Seehofers geplantem IT-Sicherheitsgesetz.

Auch der dort enthaltene Straftatbestand des „digitalen Hausfriedensbruchs“, der es unter Strafe stellt, IT-Systeme unbefugt zu nutzen, kam zuerst – bereits in der letzten Legislatur – aus dem Bundesrat. Nun hängt es davon ab, ob sich die Groko-Regierung auf Seehofers Entwurf einigen kann, der dann in den Bundestag geht.