Bundesrat winkt verschärften Hacker-Paragrafen durch
Für Kritik sorgt vor allem die Einführung des § 202c StGB "Vorbereiten des Ausspähens und Abfangens von Daten". Demnach macht sich strafbar, wer "Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder [...] Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht" und riskiert bis zu ein Jahr Freiheitsstrafe.
Dabei gilt als Straftat nach § 202b, wenn jemand "sich oder einem anderen unbefugt unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft" . Der geänderte § 202a stellt unter Strafe, sich oder einem anderen unbefugt "Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung" zu verschaffen.
Diese Formulierung kritisierte unter anderem die Gesellschaft für Informatik (GI), weil Programme darin nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Es würde also nicht mehr zwischen Anwendungen zur Begehung von Straftaten und solchen für legale Zwecke unterschieden. So führe der gewählte Wortlaut zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen. Dies betreffe also Programme und Tools, die zur Absicherung gegen Angriffe unverzichtbar seien.
Der Chaos Computer Club (CCC) hatte bereits im September 2006 gewarnt , der Gesetzentwurf stelle die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe, da eben bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen strafbar wären. Die Arbeit der Sicherheitsexperten sei damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.
CCC-Sprecher Andy Müller-Maguhn hatte die Pläne harsch kritisiert: "Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen. [...] Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten."
Der Bundesrat hatte in seiner Stellungnahme vom 3. November 2006 auf die Gefahr hingewiesen, dass durch eine weite Tatbestandsfassung auch Handlungen unter Strafe gestellt werden könnten, bei denen dies gar nicht beabsichtigt sei. Beispielsweise würde sich nach dem Entwurf wohl strafbar machen, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschafft, um die darauf gespeicherten Musikstücke anzuhören, so der Bundesrat damals.
Die Bundesregierung aber sah dies anders und erklärte, die vom Bundesrat angesprochenen Fälle der bloßen Ingebrauchnahme von gesicherten elektronischen Geräten gegen den Willen des Berechtigten würden durch das Tatbestandsmerkmal der "besonderen Zugangssicherung" aus dem Anwendungsbereich des § 202a StGB herausgefiltert, die nicht geändert werde.
Auch die Befürchtung des Bundesrats, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werde und damit strafbar sein könnte, sei nicht begründet, so die Bundesregierung damals. Sie ist der Meinung, der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen sei nicht erfasst. So sei ausgeschlossen, dass Computerprogramme erfasst werden, die beispielsweise der Überprüfung der Sicherheit oder Forschung in diesem Bereich dienen.
Vielmehr werden lediglich das Herstellen, Verschaffen und Verbreiten von Programmen unter Strafe gestellt, "denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind" . Bei Programmen, deren funktionaler Zweck nicht eindeutig ein krimineller sei und die erst durch ihre Anwendung zu einem Tatwerkzeug eines Kriminellen oder zu einem legitimen Werkzeug werden, sei der "objektive Tatbestand des § 202c StGB-E nicht erfüllt" . IT-Experten sehen dies anders und hatten die Regelungen bis zuletzt kritisiert.