Begriff und rechtliche Einordnung der Datenhehlerei
Datenhehlerei ist ein Begriff des deutschen Strafrechts und bezeichnet den Umgang mit rechtswidrig erlangten Daten in einer Weise, die mit dem Tatbestand des § 202d Strafgesetzbuch (StGB) in Verbindung steht. Sie wurde mit dem Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz) und im Zuge der zunehmenden Digitalisierung als eigenständiger Straftatbestand eingeführt. Die Vorschrift soll insbesondere den Handel mit und den Umgang von illegal beschafften digitalen Daten unter Strafe stellen.
Historie und Einführung in das Rechtsinstitut
Die Datenhehlerei wurde mit dem Gesetz zur Einführung der Strafbarkeit der Datenhehlerei und anderer Maßnahmen (BGBl. I 2015, 368) als § 202d StGB im Jahr 2015 in das Strafgesetzbuch aufgenommen. Ziel war es, eine Strafbarkeitslücke zu schließen, die sich durch die Digitalisierung und die Verbreitung informationstechnischer Systeme ergeben hatte. Insbesondere ging es darum, elektronische Daten, die keinen körperlichen Gegenstand darstellen, aber einem hohen wirtschaftlichen und personenbezogenen Wert entsprechen, effektiv vor missbräuchlicher Aneignung und Weitergabe zu schützen.
Tatbestand der Datenhehlerei (§ 202d StGB)
Objektiver Tatbestand
Der objektive Tatbestand von § 202d StGB setzt voraus, dass ein Täter Daten, die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem Dritten verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Die Vorschrift erfasst dabei sowohl den Erwerb als auch die Weitergabe rechtswidrig erlangter Daten.
Zu den wesentlichen Merkmalen zählen:
- Daten: Erfasst werden Daten im Sinne von § 202a Abs. 2 StGB, also elektronische Daten, die einer Person oder Organisation zugeordnet werden können.
- Nicht allgemein zugänglich: Die erlangten Daten sind nicht bereits öffentlich bzw. allgemein auffindbar.
- Vortat: Die Daten müssen zuvor durch eine rechtswidrige Tat, insbesondere im Wege des Ausspähens (§ 202a StGB) oder einer ähnlichen Strafnorm, erlangt worden sein.
Subjektiver Tatbestand
Auf subjektiver Ebene ist Vorsatz erforderlich. Die handelnde Person muss also wissen, dass die Daten nicht allgemein zugänglich sind und durch eine rechtswidrige Handlung eines anderen erlangt wurden. Eventualvorsatz genügt; eine Absicht auf eigene Bereicherung ist jedoch nicht notwendig.
Abgrenzung und Verhältnis zu anderen Straftatbeständen
Die Datenhehlerei unterscheidet sich wesentlich von anderen Datenschutzdelikten und Eigentumsdelikten im Strafgesetzbuch, insbesondere von der Hehlerei nach § 259 StGB:
- Körperlichkeit: Während die klassische Hehlerei auf körperliche Gegenstände abzielt, erfasst § 202d StGB ausschließlich nicht körperliche, digitale Daten.
- Vorwurf: Die Datenhehlerei betrifft den Umgang mit Daten, die aus einer früheren rechtswidrigen Tat stammen. Ein eigenständiges rechtswidriges Erlangen von Daten (z. B. „Hackerangriffe“) wird hingegen durch andere Normen wie § 202a StGB erfasst.
- Keine Vortatidentität: Der Täter der Vortat kann nicht zugleich wegen Datenhehlerei verfolgt werden, ein sog. Täter- oder Teilnehmerausschluss.
Strafrechtliche Folgen und Rechtsfolgen
Die Datenhehlerei wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe geahndet. Im besonders schweren Fall (z. B. kommerziell organisiertes Handeln oder bandenmäßiges Vorgehen) erhöht sich der Strafrahmen entsprechend. Die Vorschrift ist ein Vergehen.
Bestimmte Handlungen sind jedoch straflos gestellt (§ 202d Abs. 3 StGB), sofern sie ausschließlich der Erfüllung gesetzlicher Pflichten dienen, etwa im Rahmen von Strafverfolgung oder durch journalistische Recherchen im öffentlichen Interesse.
Ausnahmen und Privilegierungen („Whistleblower-Schutz“)
§ 202d Abs. 5 StGB sieht Ausnahmen für bestimmte Handlungen im öffentlichen oder berechtigten Interesse vor. Insbesondere Whistleblower und Medienvertreter sind unter bestimmten Voraussetzungen davor geschützt, wegen Datenhehlerei strafrechtlich verfolgt zu werden, wenn sie Daten an Behörden oder Medien weitergeben, um Missstände oder Straftaten aufzudecken. Diese Regelung dient dem Schutz der Meinungs- und Pressefreiheit und der Förderung der Rechtsstaatlichkeit.
Praktische Bedeutung und Anwendungsbereiche
Datenhehlerei gewinnt in der Praxis insbesondere durch die Zunahme von Cyberkriminalität und den wachsenden Handel mit personenbezogenen Daten, Zugangsdaten und digitalen Identitäten an Bedeutung. Der Tatbestand dient vor allem dem Schutz vor Weiterverwertung illegal erlangter Informationen, zum Beispiel in Form von Listen, Passwortsammlungen oder sensiblen Geschäftsdaten.
Typische Fälle, die unter § 202d StGB fallen, umfassen:
- Handel mit Zugangsdaten zu E-Mail-Konten,
- Verkauf von Kundendaten und Kreditkarteninformationen,
- Weiterleitung von Datensätzen aus Hacking-Angriffen.
Kritik und Kontroversen
Die Einführung der Datenhehlerei wurde zum Teil kritisch gesehen, insbesondere in Bezug auf die Reichweite der Strafbarkeit und die Gefährdung presse- und meinungsrechtlicher Interessen. Kritiker argumentieren, die Vorschrift könne zu einer Einschränkung der Arbeit von Journalisten und Aufklärern führen. Der Gesetzgeber hat dem ausdrücklich durch entsprechende Ausnahmen Rechnung getragen, gleichwohl wird an der genauen Abgrenzung von erlaubtem und verbotenem Verhalten weiterhin diskutiert.
Literatur und Quellen
- Strafgesetzbuch (StGB), insbesondere § 202a, § 202d
- Gesetzesbegründungen und Bundestagsdrucksachen zur Einführung von § 202d StGB
- Bundesministerium der Justiz, Erläuterungen zu Cyberkriminalität
- Fachpublikationen zu IT-Strafrecht und Datenschutzrecht
Zusammenfassung
Datenhehlerei (§ 202d StGB) stellt eine zentrale Vorschrift zum Schutz der Vertraulichkeit und Integrität digitaler Daten dar, indem sie den unbefugten Umgang mit rechtswidrig erlangten Daten unter Strafe stellt. Die Norm schließt eine zuvor bestehende Strafbarkeitslücke im deutschen Recht und spielt angesichts zunehmender Cyberangriffe und des Handels mit digitalen Informationen eine bedeutende Rolle im modernen Strafrecht. Privilegierungen für bestimmte Personengruppen und Handlungen dienen der Wahrung von Grundrechten und einer ausgewogenen Anwendung der Vorschrift.
Häufig gestellte Fragen
Was ist der Unterschied zwischen Datenhehlerei und klassischer Hehlerei im Strafrecht?
Datenhehlerei unterscheidet sich von der klassischen Hehlerei vor allem dadurch, dass sie sich auf digitale Daten bezieht, die nicht körperlicher Natur sind. Während die klassische Hehlerei (§ 259 StGB) das Verschaffen, Absetzen oder Absetzenhelfen von rechtswidrig erlangten Sachen (also physischen Gegenständen) betrifft, bezieht sich die Datenhehlerei (§ 202d StGB) auf personenbezogene Daten, die nicht öffentlich zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat. Der Gesetzgeber hat damit auf die zunehmende Bedeutung von digitalen Informationen im Wirtschafts- und Privatleben reagiert. Während bei der klassischen Hehlerei die Eigentumsverhältnisse an physischen Gütern im Vordergrund stehen, schützt die Datenhehlerei das Recht auf informationelle Selbstbestimmung und die Integrität von personenbezogenen Daten. Ein weiterer Unterschied liegt auch in der Art der Vortat: Bei der Datenhehlerei ist Voraussetzung, dass die Daten durch eine rechtswidrige Tat, insbesondere einen Datenschutzverstoß, erlangt wurden.
Welche Daten können Gegenstand einer Datenhehlerei sein?
Im Rahmen der Datenhehlerei sind ausschließlich solche Daten relevant, die personenbezogen und nicht allgemein zugänglich sind. Darunter versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie beispielsweise Name, Adresse, Kontodaten, Gesundheitsdaten oder Zugangsdaten zu Online-Konten. Entscheidend ist zudem, dass diese Daten „nicht allgemein zugänglich“ sind, also keiner größeren, nicht individuell bestimmbaren Zahl von Personen offenstehen. Daten, die allgemein bekannt oder offen zugänglich sind (z.B. Telefonnummern aus dem öffentlichen Telefonbuch), können daher nicht Gegenstand der Datenhehlerei sein. Ebenso sind nicht-personenbezogene Daten, wie beispielsweise technische Betriebsgeheimnisse oder anonymisierte Datensätze, vom Tatbestand der Datenhehlerei nicht erfasst.
Wie wird die Strafbarkeit im Bereich der Datenhehlerei festgestellt?
Die Strafbarkeit der Datenhehlerei wird anhand mehrerer Tatbestandsmerkmale geprüft. Zunächst muss festgestellt werden, ob die Daten tatsächlich durch eine rechtswidrige Tat erlangt wurden (Vortatenerfordernis). Es reicht aus, dass der Täter weiß oder zumindest billigend in Kauf nimmt, dass die Daten aus einer entsprechenden Vortat stammen. Anschließend wird untersucht, ob ein objektiver Tatbeitrag vorliegt, also das Sichverschaffen, Verwenden, Überlassen oder Verbreiten der Daten. Subjektiv ist erforderlich, dass der Täter vorsätzlich handelt, wobei zumindest bedingter Vorsatz genügt. Zusätzlich wird abgeklärt, ob nicht besondere Strafbarkeitsausschlüsse greifen, wie etwa die Befugnis zur Verwendung der Daten (z.B. im Rahmen dienstlicher oder beruflicher Tätigkeiten). Die Strafbarkeit entfällt ferner, wenn der Täter lediglich Familienangehöriger des Vortäters ist oder die Tat zugunsten desselben begeht. Es handelt sich insgesamt um ein Offizialdelikt, das von Amts wegen verfolgt wird.
Wer kann sich wegen Datenhehlerei strafbar machen?
Grundsätzlich kann sich jede natürliche Person, die die Tatbestandsvoraussetzungen erfüllt, wegen Datenhehlerei strafbar machen. Täter kann also jedermann sein – unabhängig davon, ob er im privaten oder beruflichen Kontext handelt. Die Strafbarkeit ist nicht auf „klassische“ Kriminelle beschränkt, sondern kann auch etwa IT-Dienstleister, Journalisten oder Mitarbeiter von Unternehmen treffen, sofern diese sich bewusst oder fahrlässig auf den illegalen Handel mit personenbezogenen Daten einlassen. Juristische Personen können nach deutschem Recht grundsätzlich nicht Täter der Datenhehlerei sein, wohl aber können leitende Personen eines Unternehmens persönlich belangt werden, sollten sie entsprechende Handlungen vorgenommen oder zugelassen haben.
Gibt es Ausnahmen von der Strafbarkeit im Rahmen der Datenhehlerei?
Ja, das Gesetz sieht in § 202d Abs. 3 und 4 StGB mehrere Ausnahmen vor. Besonders relevant ist die sogenannte „Berufsprivilegierung“: Wer im Rahmen seiner beruflichen Tätigkeit, insbesondere als Angehöriger von Presse, Rundfunk, Wissenschaft, Forschung oder Lehre, in den Besitz von entsprechenden Daten gelangt und diese für die Ausübung seines Berufs benötigt, ist nicht wegen Datenhehlerei strafbar, sofern kein Verbrechen vorliegt. Ziel ist der Schutz der Pressefreiheit und der Freiheit von Wissenschaft und Lehre. Daneben bestehen auch Ausnahmen für Familienangehörige sowie für Handlungen, die ausschließlich dem Wohl des Dateninhabers dienen. Zudem schließt eine ggf. bestehende Einwilligung der betroffenen Person die Strafbarkeit aus.
Wie hoch ist das Strafmaß bei einer Verurteilung wegen Datenhehlerei?
Das Strafmaß für Datenhehlerei ist im StGB geregelt und sieht Freiheitsstrafe bis zu drei Jahren oder Geldstrafe vor. In besonders schweren Fällen – insbesondere bei bandenmäßig oder gewerbsmäßig begangener Datenhehlerei – kann die Strafe auch höher ausfallen, da in solchen Konstellationen der Strafrahmen dem der schweren Hehlerei angepasst wird. Die genaue Strafzumessung erfolgt anhand der Umstände des Einzelfalls, wobei insbesondere die Schädigung der betroffenen Personen, das Ausmaß und die Bedeutung der Daten, die Intensität des eigenen Beitrags sowie mögliche Vorstrafen zu berücksichtigen sind.
Welche Rolle spielt die Einwilligung des Betroffenen bei der Datenhehlerei?
Eine wirksame Einwilligung des Betroffenen schließt von vornherein die Strafbarkeit wegen Datenhehlerei aus. Die Einwilligung muss frei, informiert und ausdrücklich erteilt worden sein und sich konkret auf die jeweilige Verarbeitung oder Weitergabe der Daten erstrecken. Fehlt eine solche Einwilligung, ist das Handeln grundsätzlich als Datenhehlerei strafbar, sofern auch die anderen Tatbestandsmerkmale vorliegen. Von besonderer Bedeutung ist die Aktualität und Nachweisbarkeit der Einwilligung. Im Streitfall trägt der vermeintliche Täter die Darlegungs- und Beweislast für das Vorliegen einer gültigen Einwilligung.
Welche prozessualen Besonderheiten gibt es bei Ermittlungen wegen Datenhehlerei?
Ermittlungen wegen Datenhehlerei unterliegen besonderen prozessualen Anforderungen, da sie regelmäßig den Zugriff auf IT-Systeme, Kommunikationsdaten und Netzwerke erfordern. Ermittlungsbehörden nutzen hierfür spezialisierte IT-Forensik, um Herkunft, Umfang und Verbreitungswege der Daten zu identifizieren. Wegen des Eingriffs in das Grundrecht auf informationelle Selbstbestimmung ist bei Durchsuchungen und Beschlagnahmen eine strenge Verhältnismäßigkeitsprüfung geboten. Zudem ist bei möglichen Berufsgeheimnisträgern (z.B. Journalisten, Rechtsanwälten) deren Zeugnisverweigerungsrecht und der Schutz vertraulicher Daten besonders zu beachten, sodass etwaige Ermittlungsmaßnahmen besonderen richterlichen Prüfungen unterliegen. Auch internationale Rechtshilfeersuchen spielen eine zunehmende Rolle, da Datenhehlerei häufig grenzüberschreitend begangen wird.
