Cybercrime RL
Vorwort/Präambel
Mit dieser Richtlinie werden Mindestvorschriften zur Festlegung von Straftaten und Strafen bei Angriffen auf Informationssysteme festgelegt. Diese Richtlinie soll überdies die Verhinderung derartiger Straftaten erleichtern und die Zusammenarbeit zwischen Justizbehörden und anderen zuständigen Behörden verbessern.
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) „Informationssystem“ eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen, sowie die von ihr oder ihnen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherten, verarbeiteten, abgerufenen oder übertragenen Computerdaten;
b) „Computerdaten“ jede Darstellung von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Informationssystem geeigneten Form, einschließlich eines Programms, das die Ausführung einer Funktion durch ein Informationssystem auslösen kann;
c) „juristische Person“ jedes Rechtssubjekt, das den Status der juristischen Person nach dem anwendbaren Recht besitzt, mit Ausnahme von Staaten oder anderen Körperschaften des öffentlichen Rechts in der Ausübung hoheitlicher Rechte und von öffentlich-rechtlichen internationalen Organisationen;
d) „unbefugt“ ein in dieser Richtlinie genanntes Verhalten, einschließlich Zugang, Eingriff oder Abfangen, das vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder eines Teils des Systems nicht gestattet wurde oder das nach den einzelstaatlichen Rechtsvorschriften nicht zulässig ist.
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass der vorsätzliche unbefugte Zugang zu einem Informationssystem als Ganzem oder zu einem Teil davon, wenn dieser Zugang durch eine Verletzung von Sicherheitsmaßnahmen erfolgt, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass die vorsätzliche und unbefugte schwere Behinderung oder Störung des Betriebs eines Informationssystems durch Eingeben von Computerdaten, durch Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern und Unterdrücken von Computerdaten und durch Unzugänglichmachen von Computerdaten zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das vorsätzliche und unbefugte Löschen, Beschädigen, Beeinträchtigen, Verändern, Unterdrücken von Computerdaten eines Informationssystems und das Unzugänglichmachen solcher Daten zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das vorsätzliche und unbefugte, mit technischen Hilfsmitteln bewirkte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Informationssystem, aus einem Informationssystem oder innerhalb eines Informationssystems einschließlich elektromagnetischer Abstrahlungen aus einem Informationssystem, das Träger solcher Computerdaten ist, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das vorsätzliche und unbefugte Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen folgender Instrumente, das mit der Absicht erfolgt, eine Straftat im Sinne der Artikel 3 bis 6 zu begehen, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt:
a) eines Computerprogramms, das in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine Straftat im Sinne der Artikel 3 bis 6 zu begehen;
b) eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Informationssystem als Ganzem oder zu einem Teil davon ermöglichen.
(1) Die Mitgliedstaaten stellen sicher, dass die Anstiftung oder Beihilfe zur Begehung einer Straftat im Sinne der Artikel 3 bis 7 unter Strafe gestellt wird.
(2) Die Mitgliedstaaten stellen sicher, dass der Versuch der Begehung einer Straftat im Sinne der Artikel 4 und 5 unter Strafe gestellt wird.
(1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass die Straftaten im Sinne der Artikel 3 bis 8 mit wirksamen, angemessenen und abschreckenden Strafen geahndet werden.
(2) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass Straftaten im Sinne der Artikel 3 bis 7 zumindest dann mit Freiheitsstrafen im Höchstmaß von mindestens zwei Jahren geahndet werden, wenn kein leichter Fall vorliegt.
(3) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass die Straftaten im Sinne der Artikel 4 und 5 mit Freiheitsstrafen im Höchstmaß von mindestens drei Jahren geahndet werden, wenn sie vorsätzlich begangen werden und eine beträchtliche Anzahl von Informationssystemen unter Verwendung eines in Artikel 7 genannten Instruments, das in erster Linie dafür ausgerichtet oder hergerichtet wurde, beeinträchtigt wird.
(4) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass Straftaten im Sinne der Artikel 4 und 5 mit Freiheitsstrafen im Höchstmaß von mindestens fünf Jahren geahndet werden, wenn
a) sie im Rahmen einer kriminellen Vereinigung im Sinne des Rahmenbeschlusses 2008/841/JI ungeachtet der dort genannten Strafen begangen wurden;
b) sie einen schweren Schaden verursachen oder
c) sie gegen ein Informationssystem einer kritischen Infrastruktur verübt wurden.
(5) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass der Missbrauch der personenbezogenen Daten einer anderen Person mit dem Ziel, das Vertrauen eines Dritten zu gewinnen, wodurch dem rechtmäßigen Identitätseigentümer ein Schaden zugefügt wird, im Einklang mit dem nationalen Recht als erschwerender Umstand bei der Begehung von Straftaten nach den Artikeln 4 und 5 eingestuft werden kann, soweit der betreffende Umstand nicht bereits eine andere Straftat im Sinne des nationalen Rechts darstellt.
(1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass eine juristische Person für eine Straftat im Sinne der Artikel 3 bis 8 verantwortlich gemacht werden kann, die zu ihren Gunsten von einer Person begangen wurde, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt hat und die eine Führungsposition innerhalb der juristischen Person innehat, aufgrund
a) einer Befugnis zur Vertretung der juristischen Person,
b) einer Befugnis, Entscheidungen im Namen der juristischen Person zu treffen oder
c) einer Kontrollbefugnis innerhalb der juristischen Person.
(2) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass eine juristische Person verantwortlich gemacht werden kann, wenn mangelnde Überwachung oder Kontrolle seitens einer in Absatz 1 genannten Person die Begehung einer Straftat nach den Artikeln 3 bis 8 zugunsten der juristischen Person durch eine ihr unterstellte Person ermöglicht hat.
(3) Die Verantwortlichkeit der juristischen Personen nach den Absätzen 1 und 2 schließt die strafrechtliche Verfolgung natürlicher Personen als Täter, Anstifter oder Gehilfen bei einer Straftat im Sinne der Artikel 3 bis 8 nicht aus.
(1) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass gegen eine im Sinne von Artikel 10 Absatz 1 verantwortliche juristische Person wirksame, verhältnismäßige und abschreckende Sanktionen verhängt werden können, zu denen Geldstrafen oder Geldbußen gehören und zu denen andere Sanktionen gehören können wie etwa:
a) Ausschluss von öffentlichen Zuwendungen oder Hilfen,
b) vorübergehendes oder ständiges Verbot der Ausübung einer Handelstätigkeit,
c) richterliche Aufsicht,
d) richterlich angeordnete Eröffnung des Liquidationsverfahrens oder
e) vorübergehende oder endgültige Schließung von Einrichtungen, die zur Begehung der Straftat genutzt wurden.
(2) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass gegen eine im Sinne von Artikel 10 Absatz 2 verantwortliche juristische Person wirksame, angemessene und abschreckende Sanktionen oder andere Maßnahmen verhängt werden können.
(1) Jeder Mitgliedstaat begründet seine Zuständigkeit für die in den Artikeln 3 bis 8 genannten Straftaten, wenn diese
a) ganz oder teilweise in seinem Hoheitsgebiet oder
b) von einem seiner Staatsangehörigen begangen wurden, zumindest in den Fällen, in denen die Tat an dem Ort, an dem sie begangen wurde, eine Straftat darstellt.
(2) Bei der Begründung seiner Zuständigkeit gemäß Absatz 1 Buchstabe a stellt jeder Mitgliedstaat sicher, dass sich seine Zuständigkeit auch auf Fälle erstreckt, in denen
a) sich der Täter bei der Begehung der Straftat physisch in seinem Hoheitsgebiet aufhält, unabhängig davon, ob sich die Straftat gegen ein Informationssystem innerhalb oder außerhalb seines Hoheitsgebiets richtet, oder
b) sich die Straftat gegen ein Informationssystem in seinem Hoheitsgebiet richtet, unabhängig davon, ob sich der Täter bei der Begehung der Straftat physisch im Hoheitsgebiet dieses Mitgliedstaats aufhält.
(3) Ein Mitgliedstaat unterrichtet die Kommission über seine Entscheidung, eine gerichtliche Zuständigkeit für Straftaten nach den Artikeln 3 bis 8, die außerhalb seines Hoheitsgebiets begangen wurden, zu begründen, einschließlich in Fällen, in denen
a) der gewöhnliche Aufenthalt des Straftäters in seinem Hoheitsgebiet liegt oder
b) die Straftat zugunsten einer in seinem Hoheitsgebiet niedergelassenen juristischen Person begangen wird.
(1) Zum Zweck des Informationsaustauschs über Straftaten nach den Artikeln 3 bis 8 stellen die Mitgliedstaaten sicher, dass sie über eine operative nationale Kontaktstelle verfügen, und das bestehende Netz der operativen Kontaktstellen, die an sieben Wochentagen 24 Stunden täglich zur Verfügung stehen, nutzen. Die Mitgliedstaaten sorgen ferner dafür, dass Verfahren vorhanden sind, mit denen die zuständige Behörde bei dringenden Ersuchen um Unterstützung binnen höchstens acht Stunden nach Eingang des Ersuchens zumindest mitteilen können, ob das Ersuchen beantwortet wird und in welcher Form und wann dies voraussichtlich erfolgen wird.
(2) Die Mitgliedstaaten teilen der Kommission ihre in Absatz 1 genannte Kontaktstelle mit. Die Kommission leitet diese Informationen an die anderen Mitgliedstaaten und die spezialisierten Agenturen und Einrichtungen der Union weiter.
(3) Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass geeignete Meldekanäle zur Verfügung stehen, damit die Meldung der in den Artikeln 3 bis 6 aufgeführten Straftaten an die zuständigen nationalen Behörden unverzüglich erfolgen kann.
(1) Die Mitgliedstaaten sorgen dafür, dass ein System für die Aufzeichnung, Erstellung und Bereitstellung statistischer Daten zu den Straftaten im Sinne der Artikel 3 bis 7 bereitsteht.
(2) Die statistischen Daten gemäß Absatz 1 umfassen zumindest die vorhandenen Daten über die Anzahl der in den Mitgliedstaaten erfassten Straftaten im Sinne der Artikel 3 bis 7 und die Anzahl der Personen, die wegen einer Straftat im Sinne der Artikel 3 bis 7 verfolgt und verurteilt worden sind.
(3) Die Mitgliedstaaten übermitteln der Kommission die nach Maßgabe dieses Artikels erfassten Daten. Die Kommission sorgt dafür, dass eine konsolidierte Zusammenfassung dieser statistischen Berichte veröffentlicht und den spezialisierten Agenturen und Einrichtungen der Union zugeleitet wird.
Der Rahmenbeschluss 2005/222/JI wird in Bezug auf die Mitgliedstaaten ersetzt, die sich an der Annahme dieser Richtlinie beteiligen, unbeschadet der Pflichten der Mitgliedstaaten im Zusammenhang mit den Fristen für die Umsetzung des Rahmenbeschlusses in innerstaatliches Recht.
In Bezug auf die Mitgliedstaaten, die sich an der Annahme dieser Richtlinie beteiligen, gelten Verweise auf den Rahmenbeschluss 2005/222/JI als Verweise auf die vorliegende Richtlinie.
(1) Die Mitgliedstaaten setzen die erforderlichen Rechts- und Verwaltungsvorschriften in Kraft, um dieser Richtlinie bis zum 4. September 2015 nachzukommen.
(2) Die Mitgliedstaaten übermitteln der Kommission den Wortlaut der innerstaatlichen Maßnahmen zur Umsetzung ihrer Verpflichtungen aus dieser Richtlinie.
(3) Bei Erlass dieser Vorschriften nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.
Die Kommission legt dem Europäischen Parlament und dem Rat bis zum 4. September 2017 einen Bericht darüber vor, inwieweit die Mitgliedstaaten die zur Einhaltung dieser Richtlinie erforderlichen Maßnahmen ergriffen haben, und unterbreitet erforderlichenfalls Gesetzgebungsvorschläge. Die Kommission berücksichtigt auch die technischen und rechtlichen Entwicklungen im Bereich der Cyberkriminalität, insbesondere hinsichtlich des Anwendungsbereichs dieser Richtlinie.
Amtsblatt der Europäischen Union
Diese Richtlinie ist gemäß den Verträgen an die Mitgliedstaaten gerichtet.