Wie sieht es mit dem § 269, Fälschung beweiserheblicher Daten, aus, wird der durch § 75a IfSG verdrängt? Der 269 scheint mir sonst auf den Fall geradezu zugeschnitten zu sein. Der § 75a IfSG ist dagegen eigentlich an diejenigen gerichtet, die die ursprüngliche Bescheinigung ausstellen, mittels derer man dann an der Apotheke das digitale Zertifikat erhalten kann.
Die Tatbestände der §§ 303a und 303b, Datenveränderung und Computersabotage, sind wohl auch nicht erfüllt. Beim ersten fehlt es an der Veränderung von Daten, beim zweiten fehlt es an der Störung der Anlage. Die ging ja weiterhin. Die Anlage nachts für die Ausstellung von falschen Zertifikaten zu verwenden, erzeugt ja keine Störung. Vielleicht indirekt, wenn dann das Zertifikat für die Apotheke entzogen wird (aber das ist meines Wissens noch nicht mal vorgesehen).
Man bräuchte einen separaten Tatbestand der Gefährdung oder Störung von Vertraulichkeit und Sicherheit von Datenverarbeitungsanlagen. Haben wir halt nicht. Neuland ...
§ 202a, Ausspähen von Daten - naja, da fehlt's an der Sicherung, da war ja anscheinend keine Zugangssperre zu überwinden.
§ 202b, Abfangen von Daten, könnte interessant werden. Die Signaturen für das Ausstellen der Zertifikate sind ja solche Daten, der Remote-Zugang ist ein technisches Mittel, und die Signaturen waren nicht für ihn bestimmt, da sie diese nicht anfordern hätten dürfen.
Disclaimer: Ich hab mich mit den ganzen Datenstraftatbeständen nicht wirklich im Detail beschäftigt. Hatte ich schon erwähnt, dass dieses Semester Strafrecht anfängt?
Ich find's faszinierend, wie wir auf der einen Seite höchst unklare Tatbestände wie "Nötigung" schon lange Zeit im Programm haben, aber alles neuere dermaßen eng formuliert wird, dass es am Ende den Zweck nicht erreicht.