Begriff und Definition: Ausspähen von Daten
Das Ausspähen von Daten beschreibt das unbefugte Beschaffen oder Verschaffen von elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeicherten oder übermittelten Daten. Der Begriff stammt primär aus dem deutschen Strafrecht und bezieht sich auf den Schutz informationstechnischer Systeme und der darin enthaltenen Daten vor unbefugtem Zugriff. Im weiteren rechtlichen Kontext bezeichnet das Ausspähen sämtliche Handlungen, mit denen Dritte Informationen aus Datenspeichern, Netzwerken oder Kommunikationsvorgängen erlangen, ohne dass der befugte Nutzer hiervon Kenntnis hat oder seine Zustimmung erteilt.
Rechtlicher Hintergrund und gesetzliche Grundlagen
Strafrechtliche Regelung nach § 202a StGB
Das Ausspähen von Daten ist in Deutschland insbesondere durch § 202a Strafgesetzbuch (StGB) unter Strafe gestellt. Der Straftatbestand schützt das sogenannte elektronische Datengeheimnis und stellt das unbefugte Verschaffen von Daten unter Strafe, wenn diese nicht für den Täter bestimmt und gegen unberechtigten Zugriff besonders gesichert sind.
Wortlaut von § 202a StGB
Nach § 202a Abs. 1 StGB macht sich strafbar, wer sich oder einem anderen unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Besonders einschlägig sind Fälle des Hackings, Phishings oder anderer Formen des unautorisierten Zugriffs auf digitale Systeme.
Tatbestandliche Voraussetzungen
Daten im Sinne des Gesetzes
Unter den Begriff Daten im Sinne von § 202a StGB fallen insbesondere elektronische, magnetische oder sonst nicht unmittelbar wahrnehmbare Informationen, die entweder gespeichert oder übermittelt werden. Typische Beispiele sind Passwörter, Zugangsdaten, persönliche Nachrichten, gespeicherte Dokumente oder Kommunikationsinhalte.
Besondere Sicherung
Ein wesentliches Tatbestandsmerkmal des Ausspähens ist die besondere Sicherung der Daten. Erfasst sind nur solche Daten, die durch Zugangshürden – etwa PIN-Codes, Passwörter, Firewalls oder sonstige technische Maßnahmen – gegen unberechtigten Zugriff geschützt sind.
Unbefugtes Handeln
Der Täter handelt unbefugt, wenn er auf die Daten ohne eine entsprechende Erlaubnis oder Berechtigung zugreift. Der Zugang muss sich dabei gegen den Willen des Dateninhabers richten.
Abgrenzung zu anderen Straftatbeständen
Unterschied zu § 202b StGB (Abfangen von Daten)
Anders als beim Ausspähen von Daten (§ 202a StGB) ist das Abfangen von Daten (§ 202b StGB) auf das Mithören oder Mitlesen von laufender Kommunikation, etwa bei der Übertragung im Internet, ausgerichtet. Das Ausspähen bezieht sich hingegen auf gespeicherte oder zu einem bestimmten Zeitpunkt verschlüsselte und abgelegte Daten.
Verhältnis zu § 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten)
§ 202c StGB stellt das Herstellen, Verschaffen, Verkaufen, Überlassen oder Verbreiten von Computerprogrammen oder sonstigen Vorrichtungen unter Strafe, wenn diese zur Begehung des Ausspähens oder Abfangens von Daten bestimmt sind. Die Norm zielt darauf ab, bereits die Vorbereitungshandlungen strafrechtlich zu sanktionieren.
Schutzgut und rechtliche Interessen
Das geschützte Rechtsgut ist das Interesse am privaten und wirtschaftlichen Datengeheimnis. Der Gesetzgeber zielt darauf ab, das Vertrauen in die Sicherheit informationstechnischer Systeme und die Vertraulichkeit digitaler Kommunikation zu gewährleisten. Insbesondere der Schutz personenbezogener und geschäftlicher Daten steht im Fokus.
Prozesstaktische und verfahrensrechtliche Aspekte
Strafverfolgung und Anzeige
Das Ausspähen von Daten wird grundsätzlich von Amts wegen verfolgt (Offizialdelikt). Die Ermittlungsbehörden nehmen Ermittlungen auf, sobald ein Anfangsverdacht besteht. Geschädigte haben die Möglichkeit, Anzeige zu erstatten und Ansprüche auf Schadensersatz oder Unterlassung zivilrechtlich geltend zu machen.
Beweisfragen und forensische Anforderungen
Für die strafrechtliche Verfolgung ist die nachvollziehbare Dokumentation der Zugriffswege und relevanten Sicherungsmaßnahmen von zentraler Bedeutung. Digitale Forensik und Auswertung elektronischer Spuren spielen dabei eine entscheidende Rolle.
Internationale Aspekte und unionsrechtliche Einflüsse
Europarechtliche Vorgaben
Auf EU-Ebene verpflichten Richtlinien wie die Richtlinie 2013/40/EU über Angriffe auf Informationssysteme die Mitgliedstaaten zur Einführung strafrechtlicher Sanktionen für das unbefugte Ausspähen von Daten. Ziel ist die Harmonisierung der Strafvorschriften in den EU-Staaten und der Schutz vor grenzüberschreitender Cyberkriminalität.
Internationale Rechtsverfolgung und Zusammenarbeit
Auf globaler Ebene erleichtern Kooperationsabkommen wie das Budapester Übereinkommen über Computerkriminalität die grenzüberschreitende Strafverfolgung beim Ausspähen von Daten.
Sanktionen und Rechtsfolgen
Im Falle einer Verurteilung drohen Freiheitsstrafen bis zu drei Jahren oder Geldstrafen. Bei besonders schweren Fällen (etwa bei gewerbsmäßigem Handeln oder erheblichem Ausmaß des Schadens) kann das Strafmaß weiter erhöht werden.
Daneben sind zivilrechtliche Schadensersatzansprüche und Maßnahmen zur Sicherung oder Löschung der ausgespähten Daten möglich. Verletzte Rechte können zudem die Geltendmachung von Unterlassungs- und Beseitigungsansprüchen legitimieren.
Maßnahmen zur Verhinderung des Ausspähens
Zur effektiven Verhinderung des Ausspähens von Daten empfiehlt sich der Einsatz technischer Sicherungsmaßnahmen wie Verschlüsselung, Firewalls und Zugangskontrollen sowie die regelmäßige Sensibilisierung und Schulung der Nutzer im Umgang mit personenbezogenen und sensiblen Daten.
Rechtspolitische Bewertungen und Entwicklungstendenzen
Die zunehmende Digitalisierung und die Zunahme von Cyberkriminalität führen zu einer stetigen Weiterentwicklung der gesetzlichen Grundlagen und fortlaufenden Anpassungen an neue technische Herausforderungen. Die Rechtsprechung konkretisiert fortlaufend die Anforderungen an die Auslegung des Tatbestands sowie an die Sicherungsmaßnahmen.
Zusammenfassung:
Das Ausspähen von Daten ist ein zentrales Delikt im Bereich des IT-Strafrechts und umfasst das unbefugte Verschaffen geschützter elektronischer Daten. Neben der klaren gesetzlichen Regelung in Deutschland ist das Thema von hoher europäischer und internationaler Relevanz. Zunehmende Cyberbedrohungen und die rasante technische Entwicklung verlangen nach kontinuierlicher Anpassung des Gesetzesrahmens sowie effektiven Maßnahmen zur Datensicherung und Prävention.
Häufig gestellte Fragen
Wer ist nach deutschem Recht für das Ausspähen von Daten strafrechtlich verantwortlich?
Strafrechtlich verantwortlich für das Ausspähen von Daten ist nach § 202a StGB (Strafgesetzbuch) grundsätzlich jede natürliche Person, die sich unbefugt Zugang zu besonders gesicherten, nicht öffentlich zugänglichen Daten verschafft. Die Verantwortlichkeit setzt voraus, dass der Täter vorsätzlich und ohne Berechtigung handelt. Bei juristischen Personen, wie etwa Unternehmen, kann eine Verantwortlichkeit über § 130 OWiG (Ordnungswidrigkeitengesetz) für Aufsichtspflichtverletzungen der Geschäftsleitung bestehen, jedoch richtet sich die primäre strafrechtliche Verantwortlichkeit stets gegen handelnde natürliche Personen. Besonders zu beachten ist, dass auch der Versuch strafbar ist und fahrlässiges Handeln nicht ausreicht. Zusätzlich können Mittäter, Anstifter oder Gehilfen zur Verantwortung gezogen werden, sofern sie einen Beitrag zur Tat geleistet haben.
Welche Voraussetzungen müssen für eine Strafbarkeit nach § 202a StGB („Ausspähen von Daten“) erfüllt sein?
Eine Strafbarkeit nach § 202a StGB setzt voraus, dass der Täter sich unbefugt Zugang zu Daten, insbesondere solchen, die nicht für ihn bestimmt und gegen unbefugten Zugang besonders gesichert sind, verschafft. Die Daten müssen elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden. Wesentlich ist das Vorliegen einer Zugangssicherung, welche nach technischem oder organisatorischem Standard gegen Zugriffsversuche von Nichtberechtigten schützt, wie z. B. Passwörter, Verschlüsselungen oder Zugriffskontrollsysteme. Der Täter muss diese Sicherung zumindest umgehen oder überwinden. Eine Strafbarkeit entfällt, wenn der Datenzugriff im Rahmen einer Befugnis, wie z. B. einer behördlichen Erlaubnis, erfolgt.
Welche Strafen drohen bei einer Verurteilung wegen Ausspähens von Daten nach § 202a StGB?
Beim Ausspähen von Daten gemäß § 202a StGB droht im Falle einer Verurteilung eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe. Die konkrete Strafzumessung ergibt sich aus dem Einzelfall, insbesondere aus dem Umfang der Tat, dem verursachten Schaden, der Motivation des Täters sowie etwaigen Vorstrafen. Bei gewerbsmäßiger Begehung oder Begehung als Mitglied einer Bande kann eine höhere Strafe im Rahmen des § 202b StGB (Abfangen von Daten) oder weiterer Tatbestände drohen. Darüber hinaus können zivilrechtliche Schadenersatzansprüche und arbeitsrechtliche Konsequenzen, wie etwa eine Kündigung, hinzukommen.
Inwieweit ist der Versuch des Ausspähens von Daten strafbar?
Nach § 202a Abs. 2 StGB ist der Versuch des Ausspähens von Daten ausdrücklich strafbar. Das bedeutet, dass bereits das unmittelbare Ansetzen zur Tat, wie z. B. der Versuch, eine Passwortsicherung zu umgehen oder Schadsoftware gezielt zu platzieren, auch dann strafbar ist, wenn der Erfolg – also der tatsächliche Zugriff auf die Daten – nicht eintritt. Voraussetzung ist, dass der Täter mit dem Vorsatz handelt, sich tatsächlich Zugang zu den geschützten Daten zu verschaffen. Die Versuchsstrafbarkeit dient insbesondere der Vorbeugung und dem besonderen Schutz der digitalen Integrität.
Wie unterscheiden sich das Ausspähen und das Abfangen von Daten rechtlich?
Das Ausspähen von Daten (§ 202a StGB) und das Abfangen von Daten (§ 202b StGB) sind zwei unterschiedliche Straftatbestände im deutschen Strafrecht. Beim Ausspähen steht das unbefugte Verschaffen von Zugang zu bereits gespeicherten, nicht öffentlichen Daten im Vordergrund. Abfangen von Daten hingegen bezieht sich auf das unbefugte Erhalten von Daten während deren Übertragung, z. B. durch „Mithören“ oder „Mitlesen“ von Datenströmen im Internet oder anderen Netzwerken. Beide Tatbestände überschneiden sich in Teilen, schließen sich aber gegenseitig nicht aus und können in bestimmten Fällen nebeneinander Anwendung finden, falls beide Handlungen begangen werden.
Welche Rolle spielt die „besondere Sicherung“ der Daten bei der Anwendbarkeit des § 202a StGB?
Der Tatbestand des § 202a StGB setzt zwingend das Vorliegen einer „besonderen Sicherung“ voraus. Daten gelten daher nur dann als strafrechtlich geschützt, wenn sie durch besondere technische oder organisatorische Maßnahmen (wie Passwörter, Firewalls, physische Zugangskontrollen) gegen unbefugten Zugriff gesichert sind. Fehlt es an einer solchen Sicherung, so greift der Strafschutz nach § 202a StGB nicht, selbst wenn die Daten vertraulich sind. Die Ausgestaltung und das Schutzniveau der Sicherung müssen dem Stand der Technik entsprechen und effektiv vor unbefugtem Zugriff schützen.
Wer ist Geschädigter in Strafverfahren wegen Ausspähens von Daten und welche Rechte hat er?
Geschädigt im Sinne eines Strafverfahrens ist grundsätzlich derjenige, dessen Daten ausgespäht wurden, also meist der rechtmäßige Inhaber oder Nutzer der betroffenen Daten (z. B. Unternehmen, Privatperson). Diese Geschädigten haben gemäß Strafprozessordnung (StPO) das Recht, als Nebenkläger im Strafverfahren aufzutreten, sich Akteneinsicht zu verschaffen und Schadenersatz- oder Unterlassungsansprüche zivilrechtlich geltend zu machen. Darüber hinaus kann bei schweren Verstößen auch eine Meldung an die Aufsichtsbehörden (z. B. Datenschutzbeauftragte) erforderlich sein, insbesondere wenn personenbezogene Daten betroffen sind.
