Bundesrat: Gesetzesentwurf zur Strafbarkeit der Datenhehlerei am 30.04.2014 erneut in den Bundestag eingebracht.

Am 30.04.2014 ist der - mit Ablauf der 17. Legislaturperiode der Diskontinuität zum Opfer gefallene - Gesetzesentwurf zur Strafbarkeit der Datenhehlerei erneut in den Bundestag eingebracht worden. Der "Fachausschuss Strafrecht" der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) hat sich mit der materiell-rechtlichen und prozess-rechtlichen Seite des Entwurfs befasst (kritische Stellungnahme von Beck/Meinicke, CR 2015, 481 - 484).

Die Bundesregierung hat den Gesetzesentwurf in ihrer Stellungnahme grundsätzlich begrüßt, kündigt aber an, dem Koalitionsvertrag entsprechend, einen eigenen Gesetzentwurf vorlegen zu wollen.  

Verfahrensstand-Anzeiger

Hinweis: Materialien zu diesem Gesetzgebungsvorhaben können am Ende dieser Seite abgerufen werden.

Der Gesetzentwurf sieht vor, nicht nur die rechtswidrige Beschaffung von Daten sondern auch den mit Bereicherungs- oder Schädigungsabsicht erfolgenden An- und Verkauf gestohlener Daten (z.B. Zugangsdaten zum Onlinebanking oder zu Sozialen Netzwerken) unter Strafe zu stellen und damit eine bisher grundsätzlich bestehende Strafbarkeitslücke zu schließen. Amtsträger, die sich allein dienstbezogen bemakelte Daten verschaffen, sollen von einer Bestrafung ausgeschlossen werden, womit insbesondere der Ankauf sogenannter Steuer-CDs vom Anwendungsbereich des neu einzuführenden Straftatbestandes ausgenommen wird.

Im Mittelpunkt des Entwurfes steht die Einführung des § 202d in das Strafgesetzbuch mit folgendem Wortlaut:

§ 202d  Datenhehlerei
(1) Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet  oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen,  wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, an deren Nichtweiterverwendung der Berechtigte ein schutzwürdiges Interesse hat und die nicht aus allgemein zugänglichen Quellen entnommen werden können.
(3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 202a, 202b, 202d, 263 bis 264, 267 bis 269, 303a oder 303b verbunden  hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.
(4) Der Versuch ist strafbar.
(5) Die Absätze 1 bis 4 gelten nicht für Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen. Die Absätze 1 bis 4 gelten ebenfalls nicht für Handlungen von Amtsträgern oder deren Beauftragten, um Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zuzuführen.
(6) In den Fällen des Absatzes 3 ist § 73d anzuwenden.

Der Gesetzesentwurf sieht sich nach wie vor mit der Kritik konfrontiert, dem Problem des Insiderhandels nicht ausreichend Rechnung getragen zu haben.

Häufig werden Daten eben gerade nicht durch einen Hackerangriff von Außen, sondern durch einen "Maulwurf" innerhalb des Unternehmens im Wege seines regelmäßig berechtigten Zugriffs erlangt und erst in der Folge mit Bereicherungsabsicht weitergegeben. Da § 202d StGB-E alternativ ein Ausspähen oder die rechtswidrige Erlangung von Daten erfordert sind Fälle des Insiderhandels von der Norm nicht erfasst. Wenn ein Mitarbeiter im Zuge seines berechtigten Zugriffs Daten erlangt und diese dann weitergibt fehlt es an einer für eine Strafbarkeit nach § 202d StGB-E erforderlichen rechtswidrigen Vortat. Auch Journalisten und Blogger sind nicht vollends überzeugt von der Formulierung des Straftatbestandes und befürchten Unwägbarkeiten hinsichtlich der möglichen Strafbarkeit z.B. wenn durch die Veröffentlichung brisanter Unternehmensdaten auf Missstände aufmerksam gemacht werden soll.

 

Beatrice Goihl - ecambria experts, Köln 

Text der Vorversion(en):


Am 14.3.2014 hat der Bundesrat beschlossen, seinen in die vorangegangene Legislaturperiode ergebnislos eingebrachten Gesetzesentwurf, mit dem Datenhehlerei unter Strafe gestellt werden soll, erneut in den Bundestag einzubringen.  In seiner Begründung weist der  Bundesrat darauf hin, dass die Weitergabe der rechtswidrig erlangten Daten bisher nur in Teilbereichen von bestehenden Strafnormen erfasst werde. Darüber hinaus wird darauf hingewiesen, dass in Webportalen und Foren ein intensiver Handel mit widerrechtlich erlangten Daten aller Art stattfinde. Der mit Beschluss v. 7.6.2013 vom Bundesrat in den Bundestag eingebrachte Gesetzesentwurf stand durch den Grundsatz der Diskontinuität nach der Bundestagswahl im Jahr 2013 nicht mehr zur Verfügung.

Am 7.6.2013 hatte der Bundesrat einen Gesetzesentwurf, mit dem Datenhehlerei unter Strafe gestellt werden soll, beschlossen. In der Begründung hatte der Bundesrat darauf hingewiesen, dass die Weitergabe der rechtswidrig erlangten Daten bisher nur in Teilbereichen von bestehenden Strafnormen erfasst wird. Darüber hinaus wird darauf hingewiesen, dass in Webportalen und Foren ein intensiver Handel mit widerrechtlich erlangten Daten aller Art stattfindet.

 

1. Relevanz der Diskussion

a) Identitätsdiebstahl
Die im Gesetzesentwurf v. 7.6.2013 angesprochenen Probleme des Handels mit rechtswidrig erlangten Daten beschreiben zutreffend eine Herausforderung für die Inhaber entsprechender Daten. Auch der Umstand, dass der Gesetzesentwurf sowohl auf reguläre Daten, wie identitätsbezogene Daten ("digitale Identitäten") eingeht, spiegelt die aktuelle Entwicklung wider. Was in der Vergangenheit der klassische "Identitätsdiebstahl" in Form der Fälschung von Ausweisen war, wird heute aufgrund der Bedeutung digitaler Identitäten durch neue Deliktsformen erfasst. In Zeiten, in denen viele Internetnutzer eine E-Mail-Adresse als Benutzernamen für den Zugriff auf unterschiedlichste Online-Plattformen nutzen, ermöglicht der Ankauf dieser Adresse samt des bzw. der dazugehörigen Passwörter die Nutzung der fremden Identität.

b) Kontrollverlust über erlangte Daten
Im Hinblick auf reguläre Daten ist zu berücksichtigen, dass diese, wenn sie einmal erlangt wurden, sich im Regelfall verlustfrei vervielfältigen und über Datennetze verbreiten lassen. Im Hinblick auf Daten, die der Öffentlichkeit nicht zugänglich gemacht werden sollten (wie beispielsweise Betriebsgeheimnisse), stellt sich in diesem Zusammenhang das Problem, dass in dem Moment, wo die Daten veröffentlicht wurden, eine Rückgewinnung der Hoheit über sie fast ausgeschlossen ist. Dies wurde durch die Veröffentlichung von der Geheimhaltung unterliegenden Dokumenten auf der Internetplattform Wikileaks eindrucksvoll unter Beweis gestellt.

2. Beschlüsse von Justizminsterkonferenz und Juristentag
Dem Gesetzesentwurf v. 7.6.2013 ging ein Beschluss der 83. Konferenz der Justizministerinnen und Justizminister aus dem Juli 2012 voraus, in dem Strafbarkeitslücken im Bereich der Datenhehlerei festgestellt und das Anliegen zur Schließung der Lücken unterstützt wurde. Das Thema war auch Gegenstand der Diskussionen auf dem im September 2012 stattfindenden 69. Deutschen Juristentag. Im Bereich des materiellen Strafrechts wurde dort ein Beschluss verabschiedet, der einen Tatbestand der Datenhehlerei fordert (69. Deutscher Juristentag München 2012 - Beschlüsse, Abteilung Strafrecht, Ziffer II.3. auf Seite 9).

Die Diskussion um die Notwendigkeit einer Kriminalisierung erhielt durch die Bezugnahme auf den Ankauf von Steuerdaten aus dem Ausland politische Brisanz. Tatsächlich weist der Ankauf von Steuerdaten deutliche Bezüge zur Problematik der "Datenhehlerei" auf. Um der Diskussion die politische Brisanz zu nehmen, enthielt sowohl der Beschluss der 83. Konferenz der Justizministerinnen und Justizminister als auch der Beschluss des Juristentags einen entsprechenden Ausschluss. Die Ansätze, die im Hinblick auf den Ausschluss von Steuerdaten verfolgt wurden, unterscheiden sich nur insofern, als der Beschluss der Justizminister explizit auf Steuerdaten ("zum Beispiel der Ankauf von Steuerdaten") verwies.

3. Arbeitsentwurf des Lands Hessen von Januar 2013
Im Januar 2013 wurde auf der Internetseite Netzpolitik.org eine Arbeitsfassung eines Gesetzesentwurfs veröffentlicht. Die Verfasser des Entwurfs verweisen auf die Bedeutung gespeicherter Daten sowie das Risiko strafbarer Handlungen. Dabei sehen sie insbesondere die Gefahr des Handels mit rechtswidrig erlangten elektronischen Identitäten. Sie verweisen darauf, dass entsprechende Daten nicht nur ausgespäht und zu kriminellen Handlungen missbraucht, sondern im Internet auch zum Kauf angeboten werden. Dabei gehen Täter arbeitsteilig vor. Handlungsbedarf sehen sie insoweit, als das Strafgesetzbuch weiterhin primär auf materielle Güter und eben nicht immaterielle Daten zugeschnitten ist. Sie erwähnen, dass durch das 41. Strafrechtsänderungsgesetz zwar eine Stärkung des strafrechtlichen Schutzes gegen den Missbrauch von Informationstechnologie stattgefunden hat. In diesem Zusammenhang verweisen die Verfasser aber darauf, dass seit Inkrafttreten des 41. Strafrechtsänderungsgesetzes zwar der unberechtigte Zugang zu Daten strafbar ist - nicht aber der Handel mit entsprechenden rechtswidrig erlangten Daten.

Entsprechend dem Beschluss der 83. Konferenz der Justizministerinnen und Justizminister schlugen sie die Einführung eines neuen Straftatbestands vor:

a) Ursprünglicher Arbeitsentwurfstext für § 259a StGB Datenhehlerei:
 

"(1) Wer Passwörter oder sonstige Sicherungscodes, welche den Zugang zu Daten (§ 202a Abs. 2) ermöglichen und die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, ankauft oder sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
  
(2) Ebenso wird bestraft, wer Daten (§ 202a Abs. 2), die ein anderer ausgespäht der sonst durch eine rechtswidrige Tat erlangt hat und welche von dem letzten befugten Inhaber durch Passwörter oder sonstige Sicherungscodes gesichert worden waren, ankauft oder sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen.
 
(3) Die §§ 247, 260, 260a gelten sinngemäß."
 

b) Kritische Auseinandersetzung
Dem Arbeitsentwurf war insofern zuzustimmen, als tatsächlich Strafbarkeitslücken bestehen. So ist das widerrechtliche Verschaffen des Zugangs zu Daten zwar gemäß § 202a StGB strafbar, der spätere Handel mit den Daten aber nicht. Der Einwand, dass dies doch insofern unerheblich sei, als der Gesetzgeber im Hinblick auf die Kriminalisierung zum frühestmöglichen Zeitpunkt, nämlich der Verschaffung der Daten ansetzt, ist zwar zutreffend, führt aber bei einer Arbeitsteilung, die außerhalb der Rechtsfigur der Mittäterschaft erfolgt, zu einer Straflosigkeit der Täter, die nach der Verschaffung der Daten tätig werden.

Auch im Hinblick auf Strafbarkeitslücken bei der Erfassung des Identitätsdiebstahls ist der Einschätzung der Verfasser des Arbeitsentwurfs zuzustimmen. Trotz ernstzunehmender Berichte über steigende Fallzahlen, trotz der Einführung von Strafnormen in vielen Ländern und trotz der Empfehlungen von internationalen Organisationen zur die Kriminalisierung von Identitätsdiebstahl hat sich der deutsche Gesetzgeber bislang des Problems nicht angenommen. Konsequenz ist eine nur fragmentarische Kriminalisierung.
 
Problembereich 1: Kein umfassender Ansatz
Obwohl die Entwurfsbegründung zutreffend auf zahlreiche grundlegende Probleme im Zusammenhang mit Datenkriminalität hinwies, war es erstaunlich, dass sich der präsentierte Lösungsansatz in Gestalt des § 259a StGB-Arbeitsentwurf isoliert auf das Problem der Datenhehlerei konzentriert. Dies war auch insofern bemerkenswert, als selbst das isolierte Phänomen nicht mit der Einführung eines § 259a StGB-Arbeitsentwurf lösen ließ. Durch § 259a StGB-Arbeitsentwurf wäre zwar der Handel mit Daten, nicht aber die widerrechtliche Verschaffung von Daten durch eine Person, die berechtigten Zugang zu den Daten hat, strafbar. Ebenfalls völlig ausgeklammert blieb die im Arbeitsentwurf gleichwohl angesprochene Thematik des Identitätsdiebstahls. 
 
Problembereich 2: Offene Fragen im Hinblick auf die konkrete Ausgestaltung des Tatbestands
Der in der Arbeitsfassung vorgestellte § 259a StGB-Arbeitsentwurf wies zahlreiche Unklarheiten auf Tatbestandsseite auf. Die Norm umfasste beispielsweise als Tathandlungen den Ankauf, das Verschaffen, den Absatz sowie die Absatzhilfe. Obwohl die Verfasser kritisierten, dass das Strafgesetzbuch weiterhin primär auf materielle Güter und eben nicht immaterielle Daten zugeschnitten sei, übernahmen sie die Tathandlungen vollständig aus § 259 StGB. In der Praxis wäre dies mit erheblichen Einschränkungen einher gegangen. So erfordert ein Absetzen die wirtschaftliche Verwertung des delinquenten Gegenstands durch entgeltliche rechtsgeschäftliche Weitergabe. Übersendet der Täter die erlangten Daten zum Zwecke der Aufarbeitung an einen Dienstleister und erhält diese von diesem später zurück, ist fraglich, ob die Rückübertragung an den Dateninhaber von der Tathandlung umfasst würde. 
 
Problembereich 3: Fehlende Bereitschaft zur Partizipation in der globalen Harmonisierung von Strafvorschriften
Der Arbeitsentwurf enthält keine Ansätze zur dringend erforderlichen grenzüberschreitenden Harmonisierung von Strafnormen als Verbesserung gegenüber grenzüberschreitender Kriminalität. Dabei wird deutlich, dass die Notwendigkeit von den Verfassern erkannt wurde, da der Arbeitsentwurf die Cybercrime Konvention des Europarats erwähnte mit dem Hinweis, dass Deutschland diese mit dem 41. Strafrechtsänderungsgesetz umgesetzt habe. Bereits diese Aussage erscheint fraglich, da die Umsetzung nur teilweise erfolgt ist. So wurde beispielsweise bislang das in Art. 16 der Cybercrime Konvention vorgesehene "quick freeze" Verfahren nicht eingeführt. Fast 12 Jahre nach Unterzeichnung der Cybercrime Konvention lässt dies gewisse Zweifel an der Entschlossenheit Deutschlands zur Umsetzung der Cybercrime Konvention aufkommen.

Die Cybercrime Konvention des Europarats enthält keine Vorgaben zum Identitätsdiebstahl. Zahllose Forderungen nach einer Aktualisierung der mehr als 11 Jahre alten Cybercrime Konvention, zu der beispielsweise eine Ergänzung um eine Strafvorschrift zur Erfassung des Identätsdiebstahls zählen könnte, waren bislang erforderlich. Der Text des Arbeitsentwurfs lässt den Schluss zu, dass die Verfasser daraus gefolgert haben dürften, in der Formulierung der Norm frei von internationalen Vorgaben zu sein. Dies ließe aber insbesondere die Vorgaben der bereits erwähnten UNODC core group of experts on identity-related crime außer Acht. Vor dem Hintergrund, dass Tätergruppen nicht nur arbeitsteilig, sondern auch international agieren, wäre eine Harmonisierung zur Effektivierung der Strafverfolgung wünschenswert. Doch nicht nur Vorgaben der UN hätten im Arbeitsentwurf berücksichtigt werden können. Als Teil des Arbeitsprogramms der Europäischen Kommission prüft diese derzeit die Notwendigkeit und Auswirkungen einer Harmonisierung von Strafnormen im Hinblick auf Identitätsdiebstahl. In dem zugrundeliegenden Plan erörtert die EU-Kommission, ob die Strafrechtssysteme vieler Mitgliedstaaten spezielle Straftatbestände enthalten, die Identitätsdiebstahl unter Strafe stellen. Unter Verweis auf die Zunahme illegaler Aktivitäten in diesem Bereich und die in Art. 83 AEUV enthaltene Rechtsgrundlage für die Harmonisierung sieht das Konzept eine Studie vor, um eine Grundlage für Beratungen über eine einheitliche Definition von Identitätsdiebstahl und EU-weite Harmonisierung der Strafvorschriften zu prüfen. Soweit ersichtlich, waren die bisherigen Ergebnisse der EU in dem Arbeitsentwurf nicht berücksichtigt.  
 
4. Gesetzesentwurf des Bundesrates
Der vom Bundesrat beschlossene Gesetzesentwurf unterscheidet sich substantiell vom ursprünglichen Arbeitsentwurf des Landes Hessen. So wurde zunächst die neu einzuführende Strafnorm § 259a StGB-E inhaltlich vollständig überarbeitet, von § 259 StGB abgekoppelt und nunmehr als § 202d StGB-E vorgestellt. Darüber hinaus sieht der Gesetzgebungsentwurf nunmehr auch die Einführung von Qualifikationstatbeständen zu § 202a und § 202b StGB vor:

a) Entwurfstext v. 7.6.2013 für § 202d StGB-E Datenhehlerei:
 

"(1) Wer Daten (§ 202a Abs. 2), die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
 
(2) Daten im Sinne des Absatzes 1 sind nur solche, an deren Nichtweiterverwendung der Berechtigte ein schutzwürdiges Interesse hat und die nicht aus allgemein zugänglichen Quellen entnommen werden können.
 
(3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 202a, 202b, 202d, 263 bis 264, 267 bis 269, 303a oder 303b verbunden hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.
 
(4) Der Versuch ist strafbar.
 
(5) Die Absätze 1 bis 4 gelten nicht für Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen.
 
(6) In den Fällen des Absatzes 3 ist § 73d anzuwenden."
 

b) Kritische Auseinandersetzung
Der Bundesrat hat sich entschieden, die starke Ausrichtung der neuen Strafnorm an § 259 StGB aufzuheben. Waren im Arbeitsentwurf des Landes Hessen die Tathandlungen wie "absetzen" oder "absetzen hilft" noch von § 259 StGB entliehen, sind sie nun durch neutralere Handlungen wie "überlassen", "verbreiten" oder "zugänglichmachen" ersetzt. Die Norm folgte darüber hinaus nicht mehr § 259 StGB, sondern § 202c StGB. Diese Korrekturen sind durchaus geeignet, einige der oben angeführten Probleme im Hinblick auf die Ausgestaltung des Tatbestands zu lösen.

Gleichwohl erfolgt die Abkoppelung von § 259 StGB nicht konsequent genug: § 202d StGB-E baut ebenso wie § 259 StGB auf einer rechtswidrigen Vortat auf. Ein Hauptproblem ist in diesem Zusammenhang, dass zahlreiche Angriffe, bei denen Daten erlangt und sodann verbreitet werden, durch sog. "Insider" ausgeführt werden, die regelmäßig berechtigterweise Zugriff auf die Daten haben und nur nicht berechtigt sind, sie zu vervielfältigen, aus dem Gebäude zu verbringen und Dritten zu übergeben. § 202a StGB erfasst aber gerade diese Form der Insiderkriminalität nicht. In Ermangelung einer strafbaren Vortat ist in diesen Fällen auch die Weitergabe nicht strafbar.  

 

RA Prof. Dr. Marco Gercke, Cybercrime Research Institute, Köln.

 



Drucksache 18/1288

Beschluss des Bundesrats v. 14.3.2014, Bundesrat-Ds. 70/14(B) über Gesetzentwurf zur Strafbarkeit der Datenhehlerei

Gesetzesantrag der Länger Bayern und Rheinland-Pfalz v. 13.3.2014, Bundesrat-Ds. 70/1/14

Gesetzesantrag des Landes Hessen v. 21.2.2014, Bundesrat-Ds. 70/14

Gesetzentwurf des Bundesrats (Ds. 284/13) v. 7.6.2013 zur Strafbarkeit von Datenhehlerei

Empfehlungen der Ausschüsse v. 27.5.2013 zum Gesetzentwurf zur Strafbarkeit von Datenhehlerei

Gesetzesantrag des Landes Hessen v. 16.4.2013 zur Strafbarkeit von Datenhehlerei

Diskussionspapier des Hessischen Ministeriums der Justiz für Gesetzesentwurf zur Strafbarkeit der Datenhehlerei veröffentlicht auf netzpolitik.org

"Neuer Straftatbestand der 'Datenhehlerei': Wir veröffentlichen den Gesetzentwurf des Landes Hessen", Netzpolitik.org v. 15.1.2013



Verlag Dr. Otto Schmidt vom 26.04.2016 12:29

zurück zur vorherigen Seite