Die Einführung der Datenhehlerei in das Strafgesetzbuch scheint beschlossene Sache. Dies geht auch aus dem jüngst veröffentlichten Eckpunktepapier zur Vorratsdatenspeicherung des BMJV hervor. Ziel ist es, Strafbarkeitslücken zu schließen und den Online-Schwarzmarkt für Daten ins Visier zu nehmen. Doch bei Licht betrachtet gibt es weniger Bedarf für den Tatbestand als behauptet. Zudem birgt die weite Entwurfsfassung die Gefahr, legitimes Verhalten etwa von Presseorganen und Whistleblowern unnötig zu kriminalisieren.

UPDATE: Dieser Beitrag bezieht sich auf den Gesetzentwurf in der ursprünglich veröffentlichten und im Bundestag beratenen Fassung. Mittlerweile hat das BMJV einen eigenen, im Hinblick auf die Ausnahmen abweichenden Entwurf erarbeitet. Dieser ist mit dem Referentenentwurf zur Vorratsdatenspeicherung bekannt geworden und hier zu finden (PDF Stand 15.05.2015). Hierzu empfehle ich ergänzend die Beiträge der Kollegen Jens Ferner und Niko Härting sowie die kritische Stellungnahme auf netzpolitik.org.

Der Gesetzentwurf

Der Gesetzentwurf des Bundesrates aus 2013, der im Bundestag beraten wird, sieht folgende neue Strafvorschrift vor:

§ 202d StGB – Datenhehlerei

(1) Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, an deren Nichtweiterverwendung der Berechtigte ein schutzwürdiges Interesse hat und die nicht aus allgemein zugänglichen Quellen entnommen werden können.

(3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 202a, 202b, 202d, 263 bis 264, 267 bis 269, 303a oder 303b verbunden hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.

(4) Der Versuch ist strafbar.

(5) Die Absätze 1 bis 4 gelten nicht für Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen. Die Absätze 1 bis 4 gelten ebenfalls nicht für Handlungen von Amtsträgern oder deren Beauftragten, um Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zuzuführen.

(6) In den Fällen des Absatzes 3 ist § 73d anzuwenden.

Die Vorgeschichte

Für den 69. Deutschen Juristentag 2012 hatte Prof. Dr. Dr. hc. mult. Ulrich Sieber ein Gutachten zu Straftaten und Strafverfolgung im Internet angefertigt und darin zahlreiche Reformvorschläge unterbreitet. Die Forderung nach einer allgemeinen Kriminalisierung der Datenhehlerei lehnte er allerdings entschieden ab – u.a. aus den unten dargestellten Gründen. Insofern sah er lediglich Bedarf für einen neuen “Vorfeldtatbestand”, um unter anderem den Schutz von Passwörtern, Zugangssicherungen und Berechtigungsdaten zu stärken.

Entgegen der Empfehlung des Gutachters befürwortete der 69. Juristentag in seinen Beschlüssen die Einführung einer allgemeinen Strafvorschrift zur Datenhehlerei. Wenig später sprach sich auch die 83. Konferenz der Justizminister der Bundesländer für die zeitnahe Einführung der Strafnorm aus.

Kritik

Ein gefährlich weiter Tatbestand

Laut der Begründung zum Gesetzentwurf zielt die Datenhehlerei vor allem auf den Handel mit Daten, die durch Hacking oder Phishing, z.B. mittels Schadsoftware, über das Internet ausgespäht worden sind. Genannt werden Kreditkartendaten und Zugangsdaten zu Online-Banking, E-Mail oder sozialen Netzwerken. Die Aktivitäten, die bekämpft werden sollen, beziehen sich demnach auf (1) eine bestimmte Art von Internetkriminalität und (2) bestimmte Arten von Daten.

Das demnach eigentlich eng umgrenzte Zielfeld ist jedoch im Entwurf nicht zum Ausdruck gekommen. Vielmehr ist § 202d Abs. 1 StGB-E weder im Hinblick auf die Vortaten (“eine rechtswidrige Tat”) noch auf die Art der Daten (“Daten im Sinne von § 202a Abs. 2 StGB”, also sämtliche) beschränkt worden.

Kollateralschäden – Whistleblowing und Pressearbeit könnten kriminalisiert werden

Schon der Grundgedanke, Daten strafrechtlich wie Diebesgut zu behandeln, überzeugt kaum. Denn Daten lassen sich im Gegensatz zu körperlichen Gegenständen beliebig vervielfältigen; die Bedrohungslage und die Tathandlungen sind also völlig anders gelagert als bei der “normalen” Hehlerei. UPDATE: Die Kollegin Diana Nadeborn hat dies in ihrem lesenswerten Blogbeitrag “Äpfel, Birnen und andere Daten” auf den Punkt gebracht.

Ein derart unkonturierter Tatbestand wie im Entwurf erfasst daher notwendig viele Handlungen, um die es eigentlich “nicht geht”. So wird etwa der Betrieb von Whistleblowing-Portalen, der durch Geheimschutzvorschriften bereits jetzt reglementiert ist, durch die Datenhehlerei quasi unmöglich gemacht. Auch die investigative Arbeit von Presseorganen kann durch die Vorschrift in ihrer jetzigen Form erschwert werden.

Explizit ausgenommen sind lediglich durch Abs. 5 des Entwurfes Handlungen von Amtsträgern in Erfüllung ihrer Pflichten. Dies dient insbesondere dazu, den Ankauf von Steuer-CDs weiterhin zu ermöglichen.

Datenweitergabe ist vielfach bereits strafbar

Nicht überzeugend sind auch die im Entwurf genannten Beispiele für angebliche Strafbarkeitslücken. In wesentlichen Bereichen ist die “Hehlerei” mit Daten nämlich bereits strafbar. Soweit Geschäftsgeheimnisse betroffen sind, greift § 17 UWG. Und soweit es sich um personenbezogene Daten handelt – was gerade bei Zugangsdaten und Kreditkartendaten grundsätzlich der Fall ist – wäre jede Weitergabe datenschutzwidrig und eine “Hehlerei” somit bereits nach § 44 BDSG strafbar. Zwar wird § 44 BDSG in der Praxis fast nie angewendet (zum bekanntesten Fall s. BGH, Urt. v. 04.06.2013, Az. 1 StR 32/13), dies heißt aber nicht, dass insofern eine Strafbarkeitslücke besteht.

Die im Entwurf enthaltene Strafdrohung ist deutlich höher als die in § 17 UWG und § 44 BDSG (bis zu 5 Jahre Freiheitsstrafe gegenüber 3 Jahren bzw. 2 Jahren). Wenn es aber nur um eine Erhöhung des Strafmaßes geht, könnten die bestehenden Delikte leicht angepasst werden.

Wirkliche Strafbarkeitslücken bestehen daher nur begrenzt. Neue Delikte sollten diese passgenau schließen (z.B. in Bezug auf Zugangsdaten), statt auf eine Generalnorm zu setzen.

 

UPDATE: Kollege Thomas Stadler hat in seinem etablierten Blog diesen Beitrag aufgegriffen und stimmt der Kritik am Gesetzentwurf zu. Bedenkenswert ist sein Vorschlag, ein Handeln zum Zwecke der Berichterstattung vom Tatbestand auszunehmen (so wie Abs. 5 des Entwurfes Handlungen von Amtsträgern straffrei stellt). Er argumentiert überzeugend, dass ein solches Presseprivileg zur Wahrung der verfassungsmäßigen Meinungs-, Presse- und Informationsfreiheit geboten scheint.