EU-Richtlinie will Strafen für Cyberattacken verschärfen

Am gestrigen Donnerstag hat das EU-Parlament dem Entwurf einer Richtlinie in erster Lesung zugestimmt, welcher unter anderem eine Verschärfung des Strafrahmens für Delikte aus dem Spektrum der Cyberkriminalität vorsieht.

Der Richtlinienentwurf zieht neue Strafrahmengrenzen – sowohl bei Mindest- als auch Höchststrafen – für bestimmte Delikte ein, möchte aber auch die Prävention einschlägiger Cyberdelikte begünstigen und die Kooperation von Justiz und Polizei in diesem Bereich der Strafverfolgung fördern.

Es handelt sich dabei im Wesentlichen um sechs Tatbestände, die für den rechtswidrigen Zugang zu Informationssystemen, für das rechtswidrige Eingreifen in Daten bzw. in Systeme oder für das rechtswidrige Abfangen von Daten Straffolgen vorsehen. Selbiges wird auch für die Erstellung, Benutzung oder anderweitig einschlägige Verwendung von Tatwerkzeugen – sei es nun ein Programm oder auch nur ein Passwort – vorgenommen.

Für all diese Fälle sind Mindeststrafen von zwei Jahren vorgesehen. Allerdings sind hierbei Fälle, die einen geringen Handlungsunwert aufweisen, vorerst ausgenommen. Nur wenn ein Mitgliedsstaat ausdrücklich auch diese erfassen möchte, kann er das für sein eigenes Gebiet tun. Darüber hinaus werden bestimmte Deliktsqualifikationen eingeführt, die, wenn sie vorliegen, den Mindeststrafrahmen anheben können.

Darunter fällt etwa die vorsätzliche Verwendungen von Bot-Netzen, wenn diese für Delikte im Sinne der Artikel 4 und 5 (Details im Klapptext am Ende dieser Meldung) verwendet werden. Dafür sind zumindest drei Jahre an Strafe vorgesehen. Wenn jedoch die Delikte der Artikel 4 beziehungsweise 5 im Rahmen einer kriminellen Vereinigung begangen wurden, oder diese Delikte einen veritablen Schaden angerichtet haben, oder gegen kritische Infrastruktur gerichtet waren, so sind fünf Jahre Mindeststrafe vorgesehen. Unter kritischer Infrastruktur fallen etwa Regierungsnetzwerke, Kraftwerke oder Verkehrsnetze.

Zu guter Letzt wird auch eine Verantwortlichkeit von juristischen Personen – also etwa einer Aktiengesellschaft oder einer GmbH – für solche Straftaten eingeführt, wenn diese von einem ihrer Organe (etwa einem Aufsichtsrat, Vorstand oder Geschäftsführer) zu ihrem Vorteil verübt wurde. Als Strafen sind neben Geldbußen oder -strafen auch wuchtige Maßnahmen wie die Schließung von zu Straftatbegehung genutzter Einrichtungen, der Entzug öffentlicher Förderungen oder gar die Eröffnung eines Liquidationsverfahrens vorgesehen.

Dadurch, dass hier die juristische Person selbst sanktioniert wird, wird für diese ein wirtschaftlicher Anreiz und ein inneres Bestreben der Eigner geschaffen, auf derartige Straftaten zu verzichten. Ohne eine solche Bestimmung würden nämlich nur die ausführenden Personen und/oder die Organe der juristischen Person bestraft werden, sie selbst käme aber ungeschoren davon.

Neben den Strafbestimmungen wird auch die zwischenstaatliche Kooperation in dem Entwurf behandelt. Damit diese unter den Ermittlungsbehörden schneller von Statten geht, ist eine operative nationale Kontaktstelle in jedem Mitgliedsstaat zu errichten. Diese muss täglich rund um die Uhr handlungsfähig sein und innerhalb von maximal acht Stunden auf „dringende Bitten“ von Behörden anderer Staaten reagieren, die aufgrund eines Cyberangriffes bei ihr eingehen.

Der Richtlinienentwurf wurde von der EU-Kommission erstellt. Nachdem er nun vom EU-Parlament im Zuge des ordentlichen Gesetzgebungsverfahrens gebilligt wurde, steht nur mehr die Zustimmung des Rates der Europäischen Union aus. Erfolgt auch diese, so gilt die Richtlinie aber noch immer nicht direkt. Vielmehr müssen die Mitgliedsstaaten sie innerhalb von zwei Jahren in innerstaatliches Recht transformieren.

Der Volltext des Entwurfes ist auf der Webseite des Europaparlaments (Doc-Datei, ab Seite 24) abrufbar. Ein Auszug der Tatbestände ist im folgenden Klappentext festgehalten.