16.3.2005   

DE

Amtsblatt der Europäischen Union

L 69/67

(1)

Dieser Rahmenbeschluss stellt darauf ab, durch Angleichung der einzelstaatlichen Strafrechtsvorschriften für Angriffe auf Informationssysteme die Zusammenarbeit zwischen den Justiz- und sonstigen zuständigen Behörden, einschließlich der Polizei und anderer spezialisierter Strafverfolgungsbehörden der Mitgliedstaaten, zu verbessern.

(2)

Es finden nachweislich — und insbesondere im Rahmen der organisierten Kriminalität — Angriffe auf Informationssysteme statt, und es wächst die Besorgnis über das Potenzial an Terroranschlägen auf Informationssysteme, die Teil der kritischen Infrastruktur der Mitgliedstaaten sind. Das Ziel des Aufbaus einer sichereren Informationsgesellschaft und eines Raumes der Freiheit, der Sicherheit und des Rechts wird hierdurch gefährdet; daher bedarf es Gegenmaßnahmen auf Ebene der Europäischen Union.

(3)

Um diesen Gefahren wirksam begegnen zu können, ist ein umfassender Ansatz zur Gewährleistung der Sicherheit der Netze und Informationen erforderlich, wie dies im Aktionsplan „eEurope“, in der Mitteilung der Kommission „Sicherheit der Netze und Informationen: Vorschlag für einen europäischen Politikansatz“ und in der Entschließung des Rates vom 28. Januar 2002 zu einem gemeinsamen Ansatz und spezifischen Maßnahmen im Bereich der Netz- und Informationssicherheit (2) hervorgehoben wurde.

(4)

Das Europäische Parlament hat in seiner Entschließung vom 5. September 2001 auf die Notwendigkeit einer stärkeren Sensibilisierung für die Probleme der Informationsgesellschaft und der Gewährung von praktischer Hilfe hingewiesen.

(5)

Die Bekämpfung der organisierten Kriminalität und des Terrorismus könnte durch beträchtliche Unterschiede und Diskrepanzen zwischen den einschlägigen Rechtsvorschriften der Mitgliedstaaten behindert werden, die eine wirksame polizeiliche und justizielle Zusammenarbeit beim Abwehren von Angriffen auf Informationssysteme erschweren könnten. Der länder- und grenzübergreifende Charakter moderner Informationssysteme führt dazu, dass Angriffe auf solche Systeme häufig eine grenzüberschreitende Dimension annehmen, was den dringenden Bedarf an weiteren Maßnahmen zur Angleichung der einschlägigen Strafrechtsvorschriften unterstreicht.

(6)

Der Aktionsplan des Rates und der Kommission zur bestmöglichen Umsetzung der Bestimmungen des Amsterdamer Vertrags über den Aufbau eines Raumes der Freiheit, der Sicherheit und des Rechts (3), der Europäische Rat (Tampere, 15./16. Oktober 1999 und Santa Maria da Feira, 19./20. Juni 2000), die Kommission im „Anzeiger der Fortschritte“ und das Europäische Parlament in seiner Entschließung vom 19. Mai 2000 haben legislative Maßnahmen (einschließlich gemeinsamer Definitionen, Tatbestandsmerkmale und Sanktionen) gegen die Hightech-Kriminalität genannt oder gefordert.

(7)

Die von internationalen Organisationen und insbesondere vom Europarat geleisteten Arbeiten zur Angleichung des Strafrechts sowie die Arbeiten der G8 zum Thema grenzüberschreitende Zusammenarbeit im Bereich der Hightech-Kriminalität müssen durch einen gemeinsamen Ansatz der Europäischen Union für diesen Bereich ergänzt werden. Diese Anforderung wurde in der Mitteilung der Kommission an den Rat, das Europäische Parlament, den Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen zur „Schaffung einer sichereren Informationsgesellschaft durch Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der Computerkriminalität“ näher ausgeführt.

(8)

Das Strafrecht im Bereich der Angriffe auf Informationssysteme sollte angeglichen werden, um eine möglichst effiziente polizeiliche und justizielle Zusammenarbeit bei Straftaten in Verbindung mit Angriffen auf Informationssysteme sicherzustellen und einen Beitrag zur Bekämpfung der organisierten Kriminalität und des Terrorismus zu leisten.

(9)

Alle Mitgliedstaaten haben das Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ratifiziert. Die im Zusammenhang mit der Umsetzung dieses Rahmenbeschlusses verarbeiteten Daten sollten gemäß den Grundsätzen des Übereinkommens geschützt werden.

(10)

Gemeinsame Definitionen in diesem Bereich und insbesondere Definitionen von Informationssystemen und Computerdaten sind im Hinblick auf einen einheitlichen Ansatz in den Mitgliedstaaten für die Umsetzung dieses Rahmenbeschlusses von großer Bedeutung.

(11)

Es gilt, gemeinsame Strafbestände des rechtswidrigen Zugangs zu Informationssystemen, des rechtswidrigen Systemeingriffs und der rechtswidrigen Bearbeitung von Daten vorzusehen, um so zu einem gemeinsamen Ansatz im Hinblick auf die Tatbestandsmerkmale von Straftaten zu gelangen.

(12)

Zum Zwecke der besseren Bekämpfung der Cyber-Kriminalität sollte jeder Mitgliedstaat eine wirksame justizielle Zusammenarbeit bei Straftaten, die auf den in den Artikeln 2, 3, 4 und 5 beschriebenen Vorgehensweisen beruhen, gewährleisten.

(13)

Eine Überkriminalisierung insbesondere von Bagatellfällen ist zu vermeiden; ebenso gilt es zu verhindern, dass Rechteinhaber und Zugangsberechtigte als Kriminelle eingestuft werden.

(14)

Die Mitgliedstaaten müssen Angriffe auf Informationssysteme mit Sanktionen bedrohen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

(15)

Schwerere Strafen sollten für Fälle vorgesehen werden, in denen ein Angriff auf ein Informationssystem im Rahmen einer kriminellen Vereinigung im Sinne der Gemeinsamen Maßnahme 98/733/JI vom 21. Dezember 1998 betreffend die Strafbarkeit der Beteiligung an einer kriminellen Vereinigung in den Mitgliedstaaten der Europäischen Union (4) begangen wurde. Es ist ferner angemessen, schwerere Strafen vorzusehen, wenn ein solcher Angriff schwere Schäden verursacht oder wesentliche Interessen beeinträchtigt hat.

(16)

Ferner sind Maßnahmen zur Zusammenarbeit zwischen den Mitgliedstaaten im Hinblick auf eine wirksame Vorgehensweise gegen Angriffe auf Informationssysteme vorzusehen. Die Mitgliedstaaten sollten daher das bestehende Netz der operativen Kontaktstellen für den Informationsaustausch, auf das in der Empfehlung des Rates vom 25. Juni 2001 über Kontaktstellen mit einem rund um die Uhr erreichbaren Dauerdienst zur Bekämpfung der Hightech-Kriminalität (5) verwiesen wird, nutzen.

(17)

Da die Ziele dieses Rahmenbeschlusses, nämlich Angriffe auf Informationssysteme in allen Mitgliedstaaten mit wirksamen, verhältnismäßigen und abschreckenden strafrechtlichen Sanktionen zu ahnden und die justizielle Zusammenarbeit durch Beseitigung möglicher Hemmnisse in ausreichendem Maße zu verbessern und zu fördern, auf Ebene der Mitgliedstaaten nicht ausreichend erreicht werden können, und — da es dazu gemeinsamer, miteinander zu vereinbarender Regeln bedarf — besser auf Unionsebene zu erreichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags niedergelegten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht dieser Rahmenbeschluss nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(18)

Dieser Rahmenbeschluss wahrt die Grundrechte und achtet die Grundsätze, die in Artikel 6 des Vertrags über die Europäische Union und in der Charta der Grundrechte der Europäischen Union, vor allem in den Kapiteln II und VI, anerkannt werden —

a)

„Informationssystem“ eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen sowie die von ihr oder ihnen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherten, verarbeiteten oder übertragenen Computerdaten;

b)

„Computerdaten“ die Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Informationssystem geeigneten Form, einschließlich eines Programms, das die Ausführung einer Funktion durch ein Informationssystem auslösen kann;

c)

„juristische Person“ jedes Rechtssubjekt, das diesen Status nach geltendem Recht besitzt, mit Ausnahme von Staaten oder anderen Körperschaften des öffentlichen Rechts in der Ausübung ihrer hoheitlichen Rechte, und von öffentlich-rechtlichen internationalen Organisationen;

d)

„unbefugt“ einen Zugang oder Eingriff, der vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder eines Teils des Systems nicht gestattet wurde, oder der nach den einzelstaatlichen Rechtsvorschriften nicht zulässig ist.

a)

einer Befugnis zur Vertretung der juristischen Person oder

b)

einer Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

c)

einer Kontrollbefugnis innerhalb der juristischen Person.

a)

Ausschluss von öffentlichen Zuwendungen oder Hilfen,

b)

vorübergehendes oder ständiges Verbot der Ausübung einer Handelstätigkeit,

c)

richterliche Aufsicht oder

d)

richterlich angeordnete Eröffnung des Liquidationsverfahrens.

a)

ganz oder teilweise in seinem Hoheitsgebiet oder

b)

von einem seiner eigenen Staatsangehörigen oder

c)

zugunsten einer juristischen Personen, deren Hauptsitz sich im Hoheitsgebiet dieses Mitgliedstaats befindet,

a)

der Täter die Straftat begeht, während er sich physisch im Hoheitsgebiet dieses Staates aufhält, unabhängig davon, ob sich die Straftat gegen ein Informationssystem in seinem Hoheitsgebiet richtet, oder

b)

sich die Straftat gegen ein Informationssystem in seinem Hoheitsgebiet richtet, unabhängig davon, ob der Täter die Straftat begeht, während er sich physisch im Hoheitsgebiet dieses Staates aufhält.

—

es handelt sich um den Mitgliedstaat, in dessen Hoheitsgebiet die Straftat begangen wurde, nach Maßgabe von Absatz 1 Buchstabe a) und Absatz 2;

—

es handelt sich um den Mitgliedstaat, dessen Staatsangehöriger der Täter ist;

—

es handelt sich um den Mitgliedstaat, in dem der Täter ergriffen wurde.