A. Gesetzeswortlaut
Der Straftatbestand der Datenhehlerei ist in § 202d Strafgesetzbuch (StGB) kodifiziert und besteht aus drei Absätzen, die im Einzelnen lauten:
(1) Wer Daten (§ 202a Absatz 2 StGB), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe.
(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere
1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie
2. solche beruflichen Handlungen der in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen, ausgewertet oder veröffentlicht werden.
B. Schutzgut der Datenhehlerei nach § 202d StGB
Die Datenhehlerei schützt das formelle Datengeheimnis, welches durch eine entsprechende Vortat – zum Beispiel das Ausspähen von Daten – verletzt worden ist, vor einer Aufrechterhaltung und Vertiefung dieser Verletzung.[1]
Der Berechtigte verliert mit der Vortat die Möglichkeit, zu entscheiden, wem seine Daten zugänglich sein sollen. Diese Rechtsgutsverletzung wird aufrechterhalten und vertieft, wenn sich im Anschluss daran ein Dritter die gestohlenen Daten verschafft und damit die Daten weiterverbreitet werden. Durch diese Perpetuierung der dolosen Verfügungsmacht erhält ein Dritter die Möglichkeit, über die Zugänglichmachung der Daten zu entscheiden, wodurch es für diesen schwieriger wird, seine Daten nachzuverfolgen und die alleinige Verfügungsbefugnis wiederzuerlangen.[2]
In der Gegenüberstellung mit der (Sach-) Hehlerei (§ 259 StGB) lassen sich einige Aspekte diskutieren. So kann die Frage aufgeworfen werden, ob das Sich-Verschaffen von Daten und die Wegnahme von Objekten hinsichtlich der Überwindung eines fremden Herrschaftsbereichs miteinander vergleichbar sind; ergo denselben Unrechtscharakter besitzen.[3]
Während das „Opfer“ beim Diebstahl zumindest die Sachherrschaft über das Diebesgut verliert, bleibt bei der Datenhehlerei oftmals eine Kopie der Daten vorhanden. Jedenfalls scheint bei der Datenhehlerei neben der Verfügungsberechtigung auch das „allgemeine Sicherheitsinteresse“ erfasst zu sein.[4]
C. Deliktsaufbau
I. Tatbestand des 202d Abs. 1 StGB
1. Objektiver Tatbestand
a. Daten als Tatobjekt der Datenhehlerei
Angriffsobjekt des Tatbestands sind in Übereinstimmung mit § 202a II StGB „Daten“. Der Begriff wird nicht legaldefiniert, sondern lediglich durch bestimmte Merkmale eingegrenzt. Hierdurch hat der Gesetzgeber dem Anwender des Gesetztes die Möglichkeit offengehalten auf neue Entwicklungen innerhalb der Informationstechnologie schnell und flexibel reagieren zu können.[5] Daten sind nach dem technischen Datenbegriff der Norm DIN 44300 „Zeichen oder kontinuierliche Funktionen aufgrund bekannter oder unterstellter Abmachungen zum Zwecke der Verarbeitung dargestellte Informationen“; kurzum die Darstellung einer Information mithilfe bestimmter Codes.[6] Hierunter fallen auch Musik- , Video- und Filmdateien sowie andere Media-Daten.
Es werden nur nicht öffentlich zugängliche Daten vom Tatbestand erfasst. Öffentlich zugänglich sind Daten, die jedermann ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts nutzen kann (§ 10 V S. 2 BDSG a.F. und nunmehr Art. 4 DSGVO).[7]
Abgestellt wird somit darauf, ob die Informationsquelle technisch geeignet und bestimmt ist, einem individuell nicht bestimmbaren Personenkreis Informationen zu verschaffen. Aus diesem Grund sind insbesondere veröffentlichte, urheberrechtlich geschützte Werke auch dann allgemein zugänglich, wenn für ihre Nutzung bezahlt werden muss.[8]
Als allgemein zugängliche Quellen kommen damit beispielhaft in Frage: Rundfunk, Fernsehen, Printmedien, Aushänge, Datenbanken und das Internet (hier sicherlich nur das Visible Net und nicht das Darknet). In all diesen Fällen kann eine Beeinträchtigung der formellen Verfügungsbefugnis des Berechtigten nicht gegeben sein. Der Umkehrschluss verdeutlicht, dass die Datenverwendung jedermann aus öffentlichen Quellen offensteht.
b. Vortat einer Datenhehlerei
Die Daten müssen durch eine rechtswidrige (Vor-) Tat (§ 11 Abs. 1 Nr. 5 StGB) erlangt worden sein. Als Vortat der Datenhehlerei kommen – wie auch bei der Sachhehlerei – demzufolge alle Straftaten in Betracht, die ein Strafgesetz verwirklichen, unabhängig von der Schuld des Täters oder dem Vorliegen eines Strafantrages.[9] Eine taugliche Vortat liegt damit nicht nur in dem Abfangen und Ausspähen von Daten (§§ 202a, 202b StGB) vor, sondern auch in einem Diebstahl (§ 242 StGB), (Computer-) Betrug (§§ 263, 263a StGB) oder einer Nötigung (§ 240 StGB). Voraussetzung bleibt, dass sich die Tat im Einzelfall auch gegen die formelle Verfügungsbefugnis des Berechtigten richtet und der Täter kausal Daten erlangt hat. Die Vortat muss zum Zeitpunkt des abgeleiteten Erwerbs abgeschlossen sein.[10] Nicht erfasst sind mithin Vertragsverletzungen, Disziplinarvergehen oder Ordnungswidrigkeiten. Ebenfalls vermag eine Urheberrechtsverletzung keine Vortat zu begründen.
Berichtigter im Sinne der Vorschrift ist, wer über die Daten verfügen darf, im Regelfall derjenige, der die Daten gesammelt und abgespeichert hat oder auf dessen Veranlassung die Speicherung erfolgt ist. Eigentum oder Besitz spielen dabei keine Rolle. Datenschutzrechtlich Betroffener kann auch eine andere Person sein, wenn die Daten Einzelangaben über seine persönlichen oder sachlichen Verhältnisse enthält.[11]
c. Tathandlung der Datenhehlerei
Tatbestandshandlung ist das „Sich- (oder einem anderen) Verschaffen“, „Überlassen“, „Verbreiten“ oder „sonst zugänglich machen“. Die Regelung folgt damit dem § 202 c I StGB. Auf die dort zu findende Variante des „Verkaufens“ ist bewusst verzichtet worden. Der Gesetzgeber hat sich in dem Gesetzesentwurf somit darauf festgelegt, dass der Täter durch die Tathandlung die tatsächliche Verfügungsgewalt erlangen muss; unabhängig von dem Schließen eines Kaufvertrags.[12]
Es ist ein einverständliches Zusammenwirken zwischen Täter und Vortäter erforderlich. Die vom Vortäter geschaffene Möglichkeit, Zugriff auf die Daten nehmen zu können, muss vom Täter im Einvernehmen mit dem Vortäter genutzt werden.[13]
Hat der Täter zwar Kenntnis von der Vortat, nutzt aber den Vortäter nicht als Quelle, scheidet eine Strafbarkeit wegen Datenhehlerei aus. Damit ist nicht ausreichend, dass der Täter nur mit einem anderen zusammenwirkt, der die Daten nicht durch eine eigene rechtswidrige Tat, sondern nur infolge der rechtswidrigen Tat eines Dritten erlangt hat.[14] Täter und Vortäter müssen keinen unmittelbaren Kontakt haben. Die Strafbarkeit scheitert nicht schon wegen des Einsatzes von Mittelmännern.[15]
2. Subjektiver Tatbestand der Datenhehlerei
Im Hinblick auf das Tatobjekt und die rechtswidrige Vortat ist gem. § 15 StGB Vorsatz erforderlich. Hierbei genügt Eventualvorsatz.
Der Täter muss den Umstand in seinen Vorsatz aufnehmen, dass die Daten nicht öffentlich zugänglich sind. Die konkrete Umsetzung der Vortat muss er nicht kennen. Es genügt das bloße Bewusstsein, dass die Daten aus irgendeiner rechtswidrigen Tat stammen. Demzufolge braucht keine nähere Kenntnis in Form von Ort und Zeit der Tatbegehung, Person des Vortäters oder Art und Weise des Vorgehens vorzuliegen. Bei nachträglich erlangter Kenntnis des Datenhehlers von der illegalen Herkunft der Daten kommt es auf seine Reaktion an: Eine Strafbarkeit besteht nur dann, wenn nach Erlangung der Kenntnis tatbestandliche Handlungen vorgenommen werden.[16]
Weiterhin muss der Täter in der Absicht handeln, sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Bereicherungsabsicht ist gegeben, wenn es dem Täter darauf ankommt durch die Tat einen Vermögensvorteil zu erlangen. Schädigungsabsicht liegt vor, sofern das Handeln des Täters darauf gerichtet ist, einer anderen Person einen Nachteil zuzufügen. Dieser kann auch immaterieller Natur sein, wie etwa Datenhandel im Internet zum Zweck öffentlicher Bloßstellung oder politischer Agitation.[17]
II. Strafrahmenlimitierung nach § 202 Abs. 2 StGB
Gemäß § 202 d II wird der Strafrahmen der Datenhehlerei durch denjenigen der Vortat begrenzt. Der Gesetzesentwurf der Bundesregierung begründet das damit, dass die Rechtsgutsverletzung der Hehlerei nicht schwerer wiegen würde als die der Vortat und infolgedessen auch nicht schwerer bestraft werden sollte.[18]
III. Tatbestandsausschluss nach § 202 Abs. 3 StGB
202d Abs. 3 StGB sieht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen, einen Tatbestandsausschluss vor. Privilegiert werden insbesondere Handlungen von Amtsträgern (§ 11 II Nr. 2 StGB). Aber auch behördenexterne Personen können aufgrund eines privatrechtlichen Auftrages von einem Amtsträger beauftragt werden. Zu einer dienstlichen Pflicht gehört etwa die Verpflichtung zu Einleitung eines Ermittlungsverfahrens im Falle des Anfangsverdachts einer Straftat durch die Staatanwaltschaft (§ 152 II StPO) und Polizeibehörden (§ 163 I StPO).[19] Die Handlung darf nur ausschließlich der rechtmäßigen Pflichterfüllung dienen.[20]
Durch die Tatbestandsausschlussregelung soll sichergestellt werden, dass Daten zum Zwecke von Ermittlungen und für journalistische Tätigkeiten verwendet werden dürfen.[21]
Die berufliche Pflicht soll dabei insbesondere auch journalistische Tätigkeiten in Vorbereitung einer konkreten Veröffentlichung umfassen. Nur die spezifische Aufgabenerfüllung kann dabei einziger Grund für die Verwendung der Daten sein (Ausschließlichkeitskriterium).[22] § 202 Abs. 3 S. 2 Nr. 2 StGB bezieht sich auf den Ankauf von steuerrechtlich relevanten Daten (Steuer CDs, s.o.). Aber auch die freie Entscheidung des Journalisten, im Rahmen seiner beruflichen Tätigkeit über eine Sache zu berichten, wird erfasst.[23] Zu den in § 53 Abs. 1 S. 1 Nr. 5 StPO genannten Personen gehört, wer bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikationsdiensten berufsmäßig mitwirkt oder mitgewirkt hat.[24]
Dem entgegen merkt Weidmann zutreffend an, dass es „unklar und sehr zweifelhaft“ sei, ob alleine durch die Bezugnahme auf § 53 StPO neue Betätigungsfelder zur Meinungsbildung wie beispielsweise Blogger, Podcaster und Whistleblower- Plattformen mit einem etwaigen redaktionellen Bezug vom Tatbestandsausschluss erfasst sind oder an dieser Stelle nicht vielmehr eine nicht unerhebliche Beschränkung der Pressefreiheit zu befürchten ist.[25]
D. Kritik und rechtliche Einschätzung
Der Tatbestand der Datenhehlerei nach § 202d StGB hat seit seinem Inkrafttreten Ende 2015 für viel Wirbel gesorgt. Der Gesetzgeber musste sich schon seit dem Bekanntwerden des Gesetzesvorhabens mit ihm gegenüber stark entgegengebrachter Kritik auseinandersetzen.
Kritiker befürchten durch die neue Regelung eine Bedrohung der grundrechtlich geschützten Presse- und Wissenschaftsfreiheit (Art. 5 Abs. 1 S. 2 GG).[26]
Daneben wird die „geschaffene Rechtsunsicherheit“ bemängelt.[27] Blogger, Twitter-User und Whistleblower sowie Personen, die im IT-Bereich tätig sind, fühlen sich durch den Straftatbestand in ihrer Tätigkeit eingeschränkt.[28] Auch wird die Bezugnahme auf den Ankauf von „Steuer- CDs“ kritisiert. Der Gesetzgeber hat hier möglicherweise nur gehandelt, um eben jenes Verhalten eindeutig straffrei zu stellen. Kargl sieht hierin eine „kaum verhohlenen Absicht, einen Privilegierungstatbestand zu schaffen.“[29]
Gegen die Vorschrift des § 202d StGB, die durch das das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten aus 2015 geschaffen wurde, ist bereits Verfassungsbeschwerde eingelegt worden. Beschwerdeführer ist ein Verbund aus Journalisten, Freiheitsorganisationen und Juristen.[30] Im Rahmen der Verfassungsbeschwerde wird primär die Verletzung der Pressefreiheit gerügt. Beim Umgang mit Daten unbekannter oder unklarer Herkunft besteht für Journalisten die Gefahr einer Strafbarkeit. Des Weiteren kommt dem Tatbestand eine allgemeine Einschüchterungswirkung zu, da sich Journalisten der Gefahr von repressiven Ermittlungseingriffen wie einer Durchsuchung von Redaktionsräume ausgesetzt sehen.[31]
- Stärkung der Cybersicherheit in Unternehmen: Das neue NIS-2-Umsetzungsgesetz - Mai 25, 2023
- Landgericht Ravensburg: Nutzung von Fingerabdrücken zur Entsperrung beschlagnahmter Mobiltelefone ist rechtmäßig - Mai 15, 2023
- EU Cyber Resilience Act: Ein Schritt in Richtung stärkere digitale Sicherheit - April 5, 2023