Page - 344 - in Das materielle Computerstrafrecht

344 Christian Bergauer Christian Bergauer • Das materielle Computerstrafrecht¶ Eine genaue Tatplankenntnis wird nicht verlangt werden kön- nen.1691 Sollte in weiterer Folge eines der ( Haupt- ) Delikte versucht oder gar vollendet werden, tritt § 126 c als Vorbereitungsdelikt aufgrund ma- terieller Subsidiarität hinter dieses Delikt zurück. 11. Sonderproblem: IT-Sicherheitsexperten Interessant wird die Beurteilung, wenn es sich um Unternehmen han- delt, die sich darauf spezialisiert haben, gegen Bezahlung die Sicher- heit von IT-Einrichtungen ihrer Kunden zu testen. Derartige Firmen, deren Bedeutung in der Praxis zunehmend größer wird, benützen ebenso Computerprogramme iSd § 126 c Abs 1 Z 1, die jedenfalls zur Verwirklichung des Tatbildes der in Z 1 genannten Delikte geschaf- fen oder adaptiert werden, weshalb der objektive Tatbestand idR er- füllt sein wird. Der ( Tat- ) Vorsatz der Personen 1692, die Sicherheitstests durchführen, richtet sich jedenfalls auf sämtliche objektiven Tatbe- standsmerkmale des § 126 c Abs 1. Ob auch die geforderte überschie- ßendende Innentendenz zum Tatzeitpunkt gegeben ist, müsste jeden- falls mühevoll geprüft werden. Richtig ist, dass hierbei ein Programm hergestellt oder besessen wird, das in weiterer Folge auch den Web- dienst eines Servers des Kunden durch eine » DoS «-Attacke im Zuge von sog » Penetrationstests « lahmlegen und zum Absturz bringen soll. In einer derartigen Fallkonstellation wird möglicherweise die straf- rechtliche Prüfung aufgrund eines ( tatbestandsausschließenden ) Ein- verständnisses bereits auf Tatbestandsebene der ( Haupt- ) Delikte schei- tern. Denn üblicherweise hat der Kunde ( = Alleinverfügungsberechtigter über die Daten im Fall des § 126 a bzw Alleinverfügungsberechtigter über das Computersystem bei § 126 b ) bereits vertraglich seine Zustimmung erklärt, sodass das IT-Sicherheitsunternehmen von vornherein » verfü- gungsberechtigt « iSd genannten Strafbestimmungen agiert. Doch wie ist der Sachverhalt zu beurteilen, wenn ( noch ) kein Ein- verständnis bzw zivilrechtlicher Vertrag vorliegt ? 1693 Das Sicherheitsun- 1691 Siehe Reindl-Krauskopf in WK 2 § 126 c Rz 15. 1692 Auf eine nahe liegende Verantwortlichkeit des IT-Sicherheitsunternehmens im Lichte des Verbandsverantwortlichkeitsgesetzes ( VbVG ) wird hier nicht eingegan- gen. 1693 In diesem Zusammenhang könnte auch die umstrittene Form der Kundenakqui- rierung ein Thema werden, bei der ein User während des Surfens im Internet un- bemerkt Sicherheitsüberprüfungen unterzogen wird und auch zB unaufgefordert