Der Rechtsausschuss hatte in seiner 64. Sitzung am 23. Mai 2007 den Gesetzesentwurf beraten und bezüglich des § 202c StGB angemerkt, dass der Gesetzgeber die Auswirkung der neuen Strafvorschriften genau zu beobachten hat. Wenn Programmentwickler und Firmen, die ohne kriminelle Energie im Markt für IT-Sicherheit agieren, in Ermittlungsverfahren einbezogen werden, muss nach Auffassung des Rechtsausschusses auf solche Entwicklungen zeitnah reagiert werden. Die Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie ist sicherlich ein erstes Signal in diese Richtung. Hier sollte der Gesetzgeber mit seinen Äußerungen ernst genommen werden. Auch die bereits zum Teil erfolgten Selbstanzeigen sind ein guter Weg, Klarheit in Hinsicht der strafrechtlichen Bewertung bestimmter Handlungen zu erlangen. Es ist wohl nicht zu erwarten, dass der Einsatz von Hacker-Tools zur Entwicklung von Abwehrstrategien beziehungsweise die Beteiligung an entsprechenden Diskussionen straffrei bleiben wird. In der Vergangenheit hat sich jedoch gezeigt, dass bestimmte rechtliche Entwicklungen durchaus überraschende Wendungen nehmen können. Daher bleibt zunächst nur abzuwarten, wie die Strafverfolgungsbehörden auf entsprechende Anzeigen reagieren. Es ist den Beteiligten anzuraten, bei einer Zurückweisung der Strafanzeige, aus welchen rechtlichen Gründen auch immer, die weitergehenden Rechtsmittel auszuschöpfen, um die Strafverfolgungsbehörden in die Ermittlungen und Verfolgung entsprechender Straftaten hineinzuzwingen. So wird die Branche Sicherheit im Umgang mit den neuen Gesetzen erlangen.
Ein weiterer rechtlicher Ansatzpunkt, der bisher noch nicht intensiv verfolgt wurde, ist unter dem Stichwort "Verfassungsbeschwerde" zusammenzufassen. Die strafrechtlichen Regelungen führen faktisch für viele Unternehmen, die sich mit dem Thema IT-Sicherheit beschäftigen, zu erheblichen Einschränkungen ihrer beruflichen Tätigkeit. Artikel 12 GG formuliert die Berufsfreiheit wie folgt:
"Alle Deutschen haben das Recht, Beruf, Arbeitsplatz und Ausbildungsstätte frei zu wählen. Die Berufsausübung kann durch Gesetz oder aufgrund eines Gesetzes geregelt werden."
Die Strafbarkeit von "dual-use-Programmen" führt faktisch dazu, dass bestimmte Tätigkeiten im Umfeld der IT-Sicherheitsmaßnahmen nicht mehr möglich sind. Hierin liegt ein weiterer Weg, mit Hilfe der grundrechtlichen Vorschriften Einfluss auf die Strafgesetzgebung zu nehmen. Sicherlich ist auch dieser Weg steil und dornig. In Anbetracht der wenigen Lösungsstrategien sollte jegliche Möglichkeit genutzt werden, die gesetzliche Regelung in § 202c StGB in ihrem Anwendungsbereich einzuschränken. Anderenfalls bestehen doch erhebliche Bedenken, dass die von vielen befürchteten Schreckensszenarien doch Wirklichkeit werden.
Der Zulässigkeit der Verfassungsbeschwerde könnte der Grundsatz der so genannten Subsidiarität entgegenstehen. Danach ist zunächst der Rechtsweg vor den ordentlichen Gerichten auszuschöpfen. Der Grundsatz der Subsidiarität verlangt nach der Rechtsprechung des Bundesverfassungsgerichts allerdings nicht, dass ein Betroffener vor der Erhebung der Verfassungsbeschwerde gegen eine straf- oder bußgeldbewehrte Rechtsnorm zunächst eine Zuwiderhandlung begeht und dann im Straf- oder Bußgeldverfahren die Verfassungswidrigkeit der Norm geltend macht (Beschluss vom 14. November 1989, 1 BvL 14/85).