Mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität wurde § 202c in das Strafgesetzbuch eingefügt. Nach Abs. 1 Nr. 2 dieser Vorschrift wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Die Vorschrift geht auf das Übereinkommen des Europarates über Computerkriminalität (Convention on Cybercrime) vom 23. November 2001 zurück.
Die drei Beschwerdeführer üben verschiedene Tätigkeiten im Umgang mit Programmen aus, die nach ihrer Auffassung von der Vorschrift des § 202c StGB erfasst werden:
Der Beschwerdeführer zu 1) ist in einem Unternehmen tätig, das Dienstleistungen im Bereich der Sicherheit von Informations- und Kommunikationstechnologien anbietet und in diesem Rahmen nicht autorisierte Zugriffsversuche simuliert. Hierbei kommen zum einen so genannte dual use tools zum Einsatz; das sind Programme, die sowohl vom berechtigten Nutzer eines Computersystems zu dessen bestimmungsgemäßer Wartung und Pflege als auch ohne oder gegen den Willen des Berechtigten zum Zwecke des Ausspähens von Schwachstellen verwendet werden können. Verwendet werden aber auch Programme, bei denen zu vermuten ist, dass es sich um so genannte malware oder Schadsoftware handelt, also Software, die von ihren Urhebern zum Zwecke des illegalen Eindringens in EDV-Systeme konzipiert wurde. Der Beschwerdeführer zu 2) ist in der akademischen Lehre tätig und macht seinen Studenten zu Lehrzwecken regelmäßig Programme zugänglich, die sowohl zum Zweck der Sicherheitsanalyse, als auch für Zwecke des unerlaubten Zugangs zu fremden Rechnern und Netzwerken eingesetzt werden können. Der Beschwerdeführer zu 3) setzt im Rahmen der Nutzung des Computerbetriebssystems Linux ebenfalls derartige Programmkomponenten ein.
Die 2. Kammer des Zweiten Senats hat die unmittelbar gegen die gesetzliche Vorschrift des § 202c StGB erhobenen Verfassungsbeschwerden der drei Beschwerdeführer nicht zur Entscheidung angenommen, weil sie unzulässig sind. Die Beschwerdeführer werden von der Strafvorschrift nicht unmittelbar betroffen.
Der Entscheidung liegen im Wesentlichen folgende Erwägungen zugrunde:
Nach der ständigen Rechtsprechung des Bundesverfassungsgerichts setzt die Zulässigkeit einer Verfassungsbeschwerde unmittelbar gegen ein Gesetz voraus, dass der Beschwerdeführer selbst, gegenwärtig und unmittelbar durch die angegriffenen Rechtsnormen in seinen Grundrechten betroffen ist. Das wäre z.B. dann der Fall, wenn der Beschwerdeführer zunächst das Risiko eines Bußgeld- oder Strafverfahrens eingehen müsste, um Rechtsschutz vor den Fachgerichten erwirken zu können. Auf der Grundlage des Vorbringens der Beschwerdeführer lässt sich aber nicht feststellen, dass die von ihnen beschriebenen Tätigkeitsfelder von § 202c Abs. 1 StGB erfasst werden. Das Risiko strafrechtlicher Verfolgung ist mithin nicht gegeben.
Die von den Beschwerdeführern eingesetzten Programme sind überwiegend keine tauglichen Tatobjekte der Strafvorschrift in den Grenzen ihrer verfassungsrechtlich zulässigen Auslegung. Tatobjekt in diesem Sinn kann nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) gerichtet ist. Das Programm muss mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass ein Programm – wie das für das so genannte dual use tools gilt – für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist.
Soweit der Beschwerdeführer zu 1) auch Schadsoftware einsetzt, die ein taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen kann, fehlt dem Beschwerdeführer jedenfalls der zusätzlich erforderliche Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und somit im Einverständnis mit den über die überprüften Computersysteme Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des „unbefugten“ Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem insofern eindeutigen und durch die Entstehungsgeschichte wie die einschlägige Bestimmung des Übereinkommens des Europarats über Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB grundsätzlich auch Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt, beschafft oder weitergegeben werden. Ein Strafbarkeitsrisiko entsteht hier erst, sobald die betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder anderweitig auch Personen zugänglich gemacht werden, von deren Vertrauenswürdigkeit nicht ausgegangen werden kann.
BVerfG, Beschluss vom 18. Mai 2009 – 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08