Der kürzlich veröffentlichte Referentenentwurf eines Gesetzes zur Vorratsdatenspeicherung des BMJV sieht neben Änderungen der Strafprozessordnung auch einen neuen Straftatbestand der „Datenhehlerei“ im Strafgesetzbuch vor. Eine erste Einschätzung.
Die vorgeschlagene Regelung lautet wie folgt:
„§ 202d
Datenhehlerei(1) Wer Daten (§ 202a Absatz 2), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe.
(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen.“
Seit etwa drei Jahren wird eine solche Regelung der „Datenhehlerei“ diskutiert, diverse Entwürfe liegen bereits vor. Der neue Entwurf entspricht trotz äußerlicher Unterschiede inhaltlich zu großen Teilen einem zuletzt durch das Land Hessen über den Bundesrat eingebrachten Gesetzesentwurf (BT-Drs. 18/1288), den die Autoren dieses Beitrags bereits ausführlich kritisch betrachtet haben (Golla/von zur Mühlen, JZ 2014, S. 668 ff.).
Gegenüber dem Entwurf des Landes Hessen wurde das Tatobjekt im Entwurf des BMJV ausgeweitet – die Voraussetzung, dass an der Nichtverwendung von Daten ein schutzwürdiges Interesse vorliegen muss, ist entfallen. Zudem wurden ein Qualifikationstatbestand für die gewerbs- oder bandesmäßige Begehung sowie die Strafbarkeit des Versuchs gestrichen. Neu ist schließlich auch eine Reduzierung und Begrenzung des Strafrahmens, ebenso sowie ein Tatbestandsausschluss für Handlungen, die der „Erfüllung rechtmäßiger […] beruflicher Pflichten“ dienen, nachdem zuvor nur entsprechende dienstliche Pflichten privilegiert wurden.
Mit dem neuen Gesetzesentwurf ist die Einführung der “Datenhehlerei“ nun wahrscheinlicher denn je. Zurecht wird das Vorhaben jedoch kritisiert. Der neue § 202d StGB-E ist nicht nur im Hinblick auf seine Auswirkungen auf Presse- und Informationsfreiheit weiterhin problematisch, sondern im derzeitigen System des Informationsstrafrechts nach wie vor nicht notwendig.
Bedenklich ist zunächst der weit gefasste Tatbestand des § 202d StGB-E. Für das Strafrecht gilt ein strenges Bestimmtheitsgebot (Art. 103 Abs. 2 GG), nach dem die Adressaten einer Strafnorm „im Regelfall bereits anhand des Wortlauts der gesetzlichen Vorschrift voraussehen können [müssen], ob ein Verhalten strafbar ist oder nicht“ (BVerfGE 126, 170 [195]). Dass dies für die Normadressaten im Zusammenhang mit § 202d StGB-E schwierig sein wird, liegt in erster Linie an seinem Tatobjekt: „Daten, die nicht allgemein zugänglich sind“ sind zunächst alle erdenklichen Informationen, die nicht bereits ohnehin jedermann zur Nutzung frei stehen. Auf eine bestimmte Qualität oder Schutzwürdigkeit dieser Informationen kommt es dabei nicht an.
Diese Informationen müssen weiter durch eine rechtswidrige Tat erlangt worden sein. Hierfür kommt jedes beliebige Delikt in Betracht, auch wenn es sich tatbestandlich nicht auf den Umgang mit Informationen bezieht. So können etwa Diebstahl oder Nötigung Vortaten der „Datenhehlerei“ sein. In diesem Punkt geht der Tatbestand weiter als jener der „klassischen“ Hehlerei (§ 259 StGB): Hier kommt explizit nur eine Tat, die sich gegen fremdes Vermögen richtet, als Vortat in Betracht. Dass auch bei § 202d StGB-E nur Straftaten als Vortaten in Betracht kommen sollen, die konkret die formelle Verfügungsbefugnis eines Berechtigten über Daten beeinträchtigen, ergibt sich zwar aus der Begründung des Referentenentwurfs, nicht jedoch aus dem Wortlaut des Gesetzes selbst. Die Begründung ist aber bei der Auslegung des Gesetzes nur von untergeordneter Bedeutung.
Eine tatsächliche Beeinträchtigung der formellen Verfügungsbefugnis über Informationen lässt sich zudem praktisch bei der Verwirklichung beliebiger Tatbestände begründen. Für den potentiellen Normadressaten (also jedermann) wird damit im Einzelfall kaum klar sein, wann er eine Datenhehlerei begeht. So könnte (entgegen den Ausführungen in der Gesetzesbegründung) selbst die Verbreitung noch unveröffentlichter urheberrechtlich geschützter Werke durch § 202d StGB-E erfasst werden, sofern die ursprüngliche Erlangung der Daten bereits eine (nach § 106 UrhG strafbewehrte) rechtswidrige Vervielfältigung darstellt.
Es ist nicht abzustreiten, dass es einen Bedarf gibt, den unbefugten Umgang mit Informationen unter gewissen Umständen zu bestrafen – wie etwa „bei Fällen von massiven Angriffen auf Informationssysteme mit einer Vielzahl von Verletzten“ (Referentenentwurf, S. 26). Allerdings sind die bestehenden Strafvorschriften bereits ausreichend, um hier Abhilfe zu leisten: Konkret können die §§ 202c Abs. 1 StGB; 43, 44 BDSG und 17 UWG einschlägig sein.
In der Begründung wird unter Verweis auf eine einzelne Literaturmeinung vertreten, dass beim An- und Verkauf von Zugangsdaten § 202c Abs. 1 Nr. 1 StGB nicht erfüllt sei, da kein hinreichend konkreter Vorsatz hinsichtlich der Vorbereitung einer Tat nach §§ 202a, 202b StGB bestehen würde. Außer Acht gelassen werden dabei eine Vielzahl anderer Auffassungen, die geringere Anforderungen an die Konkretisierung des Vorsatzes stellen und nach denen es für die Verwirklichung des Tatbestandes bereits ausreicht, wenn der Täter oder ein Dritter die Taten grob in Aussicht genommen hat und die Tatausführungsmodalitäten noch offen sind. Dass diese Auffassung auch in der Praxis geteilt wird, dürfte nicht zuletzt das Vorgehen gegen 111 Käufer der Spähsoftware Blackshades im letzten Jahr gezeigt haben, bei denen auf Grundlage des umstrittenen sogenannten „Hackerparagrafen“ (§ 202c Abs. 1 Nr. 2 StGB) Durchsuchungen und Beschlagnahmen durchgeführt wurden. Auch hier wird es für die Erlangung der entsprechenden Beschlüsse ausgereicht haben, dass die Tatverdächtigen sich die Spähsoftware verschafft haben, ohne dass eine qualifizierte Konkretisierung des Vorsatzes zur Begehung weiterer Taten vorgelegen haben wird.
Sofern im Detail noch Strafbarkeitslücken bestehen sollten, wäre eine punktuelle Ergänzung dieser Vorschriften ausreichend, um diese zu schließen – etwa durch eine Erweiterung des Tatbestandes, der Handlungen im Vorfeld eines Computerbetruges erfasst (§ 263a Abs. 3 StGB) auf entsprechende Zugangsdaten. Was § 202d StGB-E scheinbar präzedenzlos als „Datenhehlerei“ beschreibt, ist von den bestehenden Tatbeständen jedoch an sich bereits umfassend abgedeckt. Vor allem die §§ 43, 44 BDSG erfassen den unbefugten Umgang mit personenbezogenen Daten noch weitreichender als § 202d StGB-E.
Dem hält die Begründung des Referentenentwurfes zwar entgegen, dass Regelungen wie in §§ 43, 44 BDSG „nicht den besonderen Unrechtsgehalt des Handels mit Daten erfassen, die von einem Vortäter ausgespäht oder abgefangen oder sonst durch eine rechtswidrige Tat erlangt worden sind“. Mit Blick auf die tatsächliche Anwendung der einschlägigen Straftatbestände ist dies jedoch ein fadenscheiniges Argument. In der Gerichtspraxis jedenfalls ist kein Bedürfnis nach höheren Strafen für Datenschutzdelikte zu erkennen. So wurde nach der Strafverfolgungsstatisik seit 2007 kein einziger Täter wegen einer Straftat nach dem Bundesdatenschutzgesetz zu einer Haftstrafe verurteilt, auch wenn das Gesetz dies zulassen würde. Selbst zu Geldstrafen wurden seit der Erfassung der Strafvorschrift in der Statistik jährlich nie mehr als elf Personen verurteilt.
Vor dem Hintergrund der bestehenden Regelungen und deren praktischer Anwendung liegt die Vermutung nahe, dass die Einführung des Tatbestandes der „Datenhehlerei“ symbolischen Charakter haben könnte. Dies mindert jedoch nicht die Problematik seiner Unbestimmtheit. Anstelle der vorgesehenen Einführung des § 202d StGB-E wäre es angebracht, den bestehenden Straftatbeständen mehr Beachtung zu schenken und ihre Anwendung zu erleichtern (etwa durch Abschaffung des Antragserfordernisses in seiner jetzigen Form).
Dies gilt auch nicht zuletzt aufgrund der Gefahren, die ein allzu unspezifisches, strafbewehrtes Verbot der Verschaffung und Verbreitung von Daten für die Presse-, Meinungs- und Informationsfreiheit mit sich bringt. Der Tatbestandsausschluss in Abs. 3 des Gesetzesentwurfes für solche Handlungen, die der Ausübung „rechtmäßiger dienstlicher oder beruflicher Pflichten“ dienen, dürfte sich insoweit als wenig tauglich erweisen. Denn worin genau diese Pflichten bestehen und in welchen Fällen Ausnahmetatbestände einschlägig sind, wird durch das Gesetz nicht weiter konkretisiert. Die Gelegenheit, einen entsprechenden Ausnahmetatbestand beispielsweise an der detaillierten Regelung des § 353b Abs. 3a StGB i.V.m. § 53 Abs. 1 S. 1 Nr. 5 StPO, die explizit auch der „Meinungsbildung dienende Informations- und Kommunikationsdiensten“ erfasst, zu orientieren, wurde leider nicht ergriffen.