Das „Ausspähen von Daten“ (§ 202a StGB) ist das klassische „Hackerdelikt„: Hiernach macht sich strafbar, wer sich oder einem anderen unbefugt Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Das Schutzgut des Delikts ist dabei bis heute wohl vorwiegend das Geheimhaltungsinteresse des Berechtigten, so liest sich in den originalen Unterlagen aus der Gesetzgebung:
Geschützt werden damit nicht alle Daten vor Ausspähung, sondern nur
aus BT-Drs. 10/5058, Seite. 29
diejenigen, die „besonders gesichert sind“, d.h. solche, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der „Geheimhaltung“ dokumentiert.
So weitgreifend der § 202a StGB in seinem Tatbestand auch ist, so lohnt es sich doch, eventuelle Vorwürfe sauber zu prüfen – für erfahrene Verteidiger steckt hier viel Verteidigungspotential im Einzelfall.
Tatbestand beim Ausspähen von Daten (§ 202a StGB)
Der Tatbestand des Ausspähens von Daten hat insgesamt fünf Merkmale, die es sauber am Sachverhalt zu prüfen gilt:
Daten
Der Begriff der „Daten“ ist im zweiten Absatz durch das Gesetz definiert:
Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Die Form der Verarbeitung spielt dabei gar keine Rolle, wichtig ist allerdings die mangelnde unmittelbare Wahrnehmbarkeit, was bedeutet, dass erst nach einem weiteren Verarbeitungsvorgangs („Transformation“) eine Wahrnehmungsmöglichkeit besteht. „Daten“ sind also nicht zu verwechseln mit „Informationen“, sondern es geht tatsächlich um einen digital vorgehaltenen Datenbestand. Eine Beschränkung auf Computerdaten lässt sich dem Gesetz mit dem BGH nicht entnehmen. Unter den so bestimmten Datenbegriff fallen nach ganz einhelliger Meinung auch Programmdaten, da sie aus einer Vielzahl von Daten zusammengefügt sind und nicht unmittelbar wahrnehmbare Informationen enthalten.
Nicht für den Täter bestimmt
Ob die Daten für den Täter bestimmt sind, orientiert sich beim Ausspähen von Daten an dem Willen desjenigen, der zum Zeitpunkt der Tat die Verfügungsgewalt über die Daten hat, die Daten dem Täter zur Verfügung stehen sollen. Es geht also nicht um faktische Verfügungsgewalt über den Datenträger, auf dem die Daten gespeichert sind; auch dass der Täter selber inhaltlich von den Daten betroffen ist, ist ohne Relevanz! Letztlich kommt es hier auf den Einzelfall an, eine schlicht vertragswidrige Verwendung von Daten, nachdem eine Berechtigung eingeräumt wurde, ist für die Bestimmung nicht ausschlaggebend. Man muss also eventuell gewährte Lizenzen und Nutzungsberechtigungen sauber prüfen.
Daten besonders gesichert
Eine besondere Sicherung liegt mit dem BGH vor, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Geschützt sind Daten durch die Vorschrift mit dem BGH aber nur dann, wenn der Verfügungsberechtigte das Interesse an ihrer Geheimhaltung durch besondere Sicherungsvorkehrungen dokumentiert hat.
Der Einschränkung auf solche Daten, die gegen unberechtigten Zugang besonders gesichert sind, kommt für den Gesetzgeber eine besondere Bedeutung für die Eingrenzung des Tatbestandes zu: Daten sind gegen unberechtigten Zugang besonders gesichert, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.
Durch die Sicherung muss der Berechtigte dabei also sein spezielles Interesse an der Geheimhaltung dokumentieren. Um von einer Dokumentation an der Geheimhaltung der Daten ausgehen zu können, bedarf es einer zum Tatzeitpunkt bestehenden Zugangssicherung, die darauf angelegt sein muss, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.
Nicht erfasst werden daher Fälle, in denen dem Angreifer die Durchbrechung des Schutzes ohne weiteres möglich ist. Erforderlich ist vielmehr, dass die Überwindung der Zugangssicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert – hier steckt Verteidigungspotential!
Darunter fallen insbesondere Schutzprogramme, die geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingen, die der Verfügungsberechtigte erkennbar verhindern wollte. Letztlich kommt es hier auf Details an, wie unsere Kanzlei schon vor Jahren klären konnte anlässlich des damals umstrittenen „Schwarz-Surfens“, wo am Ende die Strafbarkeit verneint wurde.
Tathandlung „Ausspähen“
Es geht darum, dass man sich beim Ausspähen von Daten „Zugang“ zu Daten verschafft, womit der Gesetzgeber in einer neu gewählten Formulierung im Jahr 2007 ausdrücklich auch das Hacking erfassen möchte. Dabei stellt der Gesetzgeber in seiner Begründung klar, dass Tools wie „Key-Logging-Trojaner, Sniffer oder Backdoorprogramme“ ausdrücklich auch erfasst sein sollen, was zugleich dann konturiert, worum es geht bei der Tathandlung.
Der Zugang soll dabei unter Überwindung einer/der Zugangssicherung erfolgen. Durch dieses Erfordernis der Überwindung sollen nach der Vorstellung des Gesetzgebers Handlungen aus dem Tatbestand ausgegrenzt werden, bei denen besonders gesicherte Daten auf andere Weise erlangt werden. Zum einen sollen damit Bagatellfälle aus dem Anwendungsbereich der Strafnorm ausgeschieden werden, zum anderen soll das Merkmal der Zugangssicherung dem Täter eine deutliche Schranke setzen, deren Überwindung die strafwürdige kriminelle Energie manifestiert.
Es sollen Fälle erfasst sein, bei denen der Täter zu einer Zugangsart gezwungen ist, die der Verfügungsberechtigte erkennbar verhindern wollte; dies betrifft allerdings nicht die bloße Verletzung oder Umgehung von organisatorischen Maßnahmen oder Registrierungspflichten (siehe BT-Drucks. 16/3656, dort S. 10).
Beachten Sie dazu in jedem Fall auch: Suchen nach Sicherheitslücken ist nicht strafbar
Unbefugtes Handeln beim Ausspähen
Die Verschaffung des Zugangs zu Daten unter Verletzung von Sicherheitsmaßnahmen ist aber nur strafbewehrt, wenn der Täter unbefugt handelt. Nicht strafbar ist daher z. B. das Aufspüren von Sicherheitslücken im EDV-System eines Unternehmens, soweit der „Hacker“ vom Inhaber des Unternehmens mit dieser Aufgabe betraut wurde. Dabei soll es nicht erforderlich sein, dass es sich bei den geschützten Daten um Computerdaten handelt, also solche, die in einer EDV-Anlage gespeichert oder in eine solche oder aus einer solchen übermittelt werden.
Beachten Sie dazu in jedem Fall auch: Rechtliche Probleme bei Bug-Bounty-Programmen
Beispiele für das Ausspähen von Daten
Mit Blick auf den Tatbestand ist es doch ganz einfach, Beispiele für das Ausspähen von Daten sind insbesondere
- Installation eines Keyloggers
- Installation von Ransomware
- Installation von Bakcdoor-Trojaner
- Beschaffen von Zugangsdaten die ausgedruckt versteckt sind und Nutzung dieser Daten
Verteidigungspotential beim Ausspähen von Daten (§ 202a StGB)
Beim Vorwurf „Ausspähen von Daten“ gibt es enormes Verteidigungspotential – angefangen von einem eventuellen Irrtum über die Bestimmung der Daten bis hin zu lizenzrechtlichen Fragen der Nutzungsberechtigung. Der Trick ist, vorsichtig zu sein: Im Rahmen einer Hausdurchsuchung neigen Betroffene bereits zum „plappern“, hinzu kommt eine oft verquere rechtliche Wahrnehmung von Programmierern und „Hackern“, die ihre eigene Überzeugung davon, was sinnvoll ist, gleichsetzen mit dem, was rechtlich erlaubt ist. Wie immer gilt auch hier: Wer an professioneller Beratung geizt, riskiert seine (berufliche) Zukunft.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.