Zum Inhalt springen Zur Navigation springen
Cybercrime: § 202a Ausspähen von Daten

Cybercrime: § 202a Ausspähen von Daten

Artikel von Juliane Dannewitz·20. Juli 2021

Ausspähen von Daten gemäß § 202a StGB ist die zweite Strafnorm, die im Rahmen unserer Cybercrime Blogreihe detailliert erläutert werden soll. Neben kurzen Erklärungen zum Straftatbestand werden typische Cyberangriffe sowie mögliche Schutzmaßnahmen aufgezeigt.

Welche Handlungen sind strafbar?

Wie immer, sollte man zunächst einen Blick ins Gesetz werfen. In § 202 a Abs. 1 StGB heißt es:

„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Aus dem ersten Absatz lassen sich die wesentlichen Merkmale der Straftat entnehmen, die erfüllt sein müssen.

1. Daten im strafrechtlichen Sinne

Im zweiten Absatz der Strafnorm wird der Begriff von Daten wie folgt legal definiert:

„Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.“

Einerseits geht der Anwendungsfall also weiter als der Schutz der DSGVO und des BDSG, da nicht nur personenbezogene Daten geschützt werden, sondern alle Datenarten. Es muss sich auch nicht um ein Geheimnis handeln, wie dies beispielsweise § 203 StGB oder § 23 GeschGehG fordert. Andererseits ist es wichtig, dass die Daten nicht physisch unmittelbar wahrnehmbar sind, sondern Hilfsmittel wie Monitore oder Bildschirme benötigt werden. Ausgedruckte Dokumente unterfallen demnach nicht mehr dem Anwendungsbereich.

Gespeichert sind diese Daten, wenn sie digital, optisch und / oder akustisch auf einem Datenträger (z.B. USB-Stick, Festplatte) fixiert werden. Es ist nicht erforderlich, dass die Daten dauerhaft gespeichert werden. Auch die kurzzeitige Speicherung im Arbeitsspeicher genügt. Von der Tatbestandsalternative „Übermittlung“ von Daten werden nur unkörperliche Übertragungen erfasst, wie dies beim Aufrufen von Webseiten oder anderen Fernkommunikationsmitteln der Fall ist. Der (körperliche) Transport von Festplatten, USB-Sticks oder sonstigen Speichermedien fällt also nicht unter den Begriff der Übermittlung des § 202a StGB.

Für die Mehrheit der Strafrechtler ist es im Übrigen irrelevant, ob nur ein Datum, viele Daten oder ganze Computerprogramme ausgespäht werden. Letztere zeichnen sich durch eine Zusammenfügung mehrerer Daten aus und seien daher ebenfalls schützenswert.

2. Nicht für den Täter bestimmt

Zur Vermeidung einer uferlosen Auslegung dieser Strafvorschrift unterliegt der Tatbestand in § 202a StGB einer gewissen Einschränkung: Es werden nur solche Daten geschützt, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind.

Ob Daten für den Täter bestimmt sind oder nicht, ist keine Frage des Eigentums am Datenträger. Maßgeblich ist vielmehr der Wille des Verfügungsberechtigten. So bestimmt grundsätzlich der Arbeitgeber (und nicht der Dokumentenersteller), welche Mitarbeiter Zugriff auf Betriebsdaten erhalten dürfen und in welchen Umfang diese verarbeitet werden dürfen. Bei Anbietern, die Daten gegen ein Entgelt zur Verfügung stellen, dürfen zahlende Kunden diese entsprechend der Nutzungsbedingungen verwenden. Im Internet frei zugänglich bereitgestellte Daten unterfallen nicht mehr dem Schutzbereich von § 202a StGB.

Soweit Unternehmen sich durch IT-Firmen zum Thema IT-Sicherheit beraten lassen, ist es bei der Durchführung von Schwachstellenanalysen und Penetrationstest wichtig, in den Dienstleistungsverträgen genau zu regeln, was für die Beratungsfirma bestimmt bzw. erlaubt wird und was nicht.

Wenn Hacktivisten sich eigenverantwortlich Zugang zu fremden Systemen verschaffen, sind diese Daten auch nicht für diese bestimmt. Da kann der Anlass noch so nobel und ehrenhaft sein. Im Falle einer Anklage kann der Rechtsanwalt aber versuchen die Verteidiung auf Vorliegen von Rechtfertigungs- und/ oder Entschuldigungsgründe zu stützen.

3. Überwinden besonderen Zugangssicherungen

Der Täter muss besondere Zugangssicherungen überwinden, d.h. der Zugriff Dritter auf diese Daten muss nicht unerheblich erschwert sein. Nur so drückt der Verfügungsberechtigte seinen Geheimhaltungswillen hinreichend aus. Zu den besonderen Zugangssicherungen gehören insbesondere:

  • Passwörter
  • Firewall
  • Magnetkarten
  • biometrische Erkennungsverfahren
  • verschlüsselte kabellose Netze
  • Datenverschlüsselungen
  • hardwareunabhängige Sicherungen (z. B. das Einschließen des Rechners in einen Schrank).

Ob ein unerlaubtes Kopieren einer Software immer den Straftatbestand von § 202a StGB erfüllt oder vielmehr auch eine straffreie zweckwidrige Verwendung der (teilweise auch nur befristet) zur Nutzung überlassenen Daten darstellt, ist zwischen Juristen – wie so vieles – umstritten.

Beim Auslesen von Daten auf einer Bankkarte, die unverschlüsselt auf dem Magnetstreifen der Karte gespeichert sind, fehlt es allerdings an einer besonderen Zugangssicherung. Auch wenn der Täter später mit Betrugsabsicht Kartendubletten anfertigt, liegt also kein unerlaubtes Ausspähen von Daten nach § 202a StGB vor.

Wenn sich Unternehmen nicht um technische und organisatorische Maßnahmen ihrer IT-Systeme bemühen und dadurch Opfer eines Hackerangriffs werden, kann die also Strafbarkeit nach § 202a StGB mangels besonderer Zugangssicherungen ausscheiden. Es können dann aber noch andere Strafvorschriften erfüllt sein.

4. sich oder einem Dritten unbefugt verschaffen

Der Täter muss sich oder einem Dritten gegen den Willen des Verfügungsberechtigten Zugang zu den Daten verschaffen. Es genügt insoweit die Möglichkeit, die Daten abzurufen. Eine tatsächliche Kenntnisnahme ist demnach nicht erforderlich.

5. Weitere Strafvoraussetzungen

Nur vorsätzliches Handeln ist unter Strafe gestellt. Der Täter muss also zum Zeitpunkt der Tatbegehung mindestens davon ausgehen, dass der Verfügungsberechtigte einen Geheimhaltungswillen hat und daher besondere Zugangssicherungsmaßnahmen ergriffen hat.

Falls der Täter irrig davon ausgeht, dass die Daten für seinen Zugriff bestimmt sind und er sie daher nutzen darf, handelt er nicht vorsätzlich. Eine Strafbarkeit scheidet gemäß § 16 Abs. 1 StGB aus (sog. Tatbestandsirrtum).

Aus § 205 Abs. 1 StGB folgt, dass die Tat grundsätzlich nur auf Antrag des Berechtigten verfolgt wird. In § 77 StGB ist sodann geregelt, wer antragsberechtigt ist. Dies ist zunächst der Verletzte, also im Falle des Ausspähens von Daten der Verfügungsberechtigte. Im Falle von Betriebs- und Geschäftsdaten ist dies also der Arbeitgeber bzw. das betroffene Unternehmen. Dies kann insbesondere dann interessant sein, wenn Hacker digital geführte Personalakten ausspähen. Auch in diesem Falle bleibt der Arbeitgeber antragsberechtigt. Die betroffenen Mitarbeiter sind in der Regel nicht antragsbefugt, da diese nicht über die Personalakte verfügen.

Da es sich um ein relatives Antragsdelikt handelt, kann die die Strafverfolgungsbehörde bei besonderen öffentlichen Interessen an der Strafverfolgung ausnahmsweise von Amts Wegen ermitteln.

Was sind typische Anwendungsfälle?

Der Einsatz von Key-Logging-Trojanern, Sniffern und Backdoorprogrammen durch Hacker stellen typische Anwendungsfälle dieser Strafvorschrift dar. Aber auch Portscanning, bei dem das Zielsystem nach laufenden Programmen und nach offenen Ausgängen abgetastet wird, kann hierunter fallen. Dies wird insbesondere dann zum Problem, wenn die Lücken ausgenutzt und Daten „abgeschöpft“ werden. Wichtig ist, dass der Verfügungsberechtigte durch geeignete Schutzmaßnahmen deutlich macht, dass er seine Daten geheim halten will.

Derzeit liest man auch viele Beiträge über die vielfach kritisierte Spyware Pegasus des israelischen Unternehmens NSO Group. Mit dieser Software werden gezielt iOS- und Android-Geräte ausspioniert. NSO Group bietet nach eigenen Angaben das Tool nur Regierungen und staatlichen Geheimdiensten zu legitimen Kriminaluntersuchungen an. Es stellt sich hier bereits die Frage, wie ein Privatunternehmen dies weltweit rechtsfehlerfrei prüfen will. Amnesty International berichtet nun, dass im Rahmen einer Zusammenarbeit mit Forbidden Stories festgestellt wurde, dass die Überwachungssoftware „Pegasus“

„weltweit eingesetzt [wird], um Medienschaffende, Menschenrechtsverteidiger_innen und Aktivist_innen systematisch zu überwachen.“

Als potenzielle NSO-Kunden wurden folgende elf Länder identifiziert: Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Togo und den Vereinigten Arabischen Emiraten (VAE). Nun ist zwar Ungarn Mitgliedstaat der EU, sodass auch dort u.a. die strengen Vorgaben der DSGVO theoretisch greifen. Bei den restlichen Ländern dieser Liste assoziiert man aber nicht unbedingt als Erstes „Pressefreiheit“, „Demokratie“ und „Datenschutz“.

Grundsätzlich wäre der Einsatz einer solchen Software durch eine private Personen nach § 202a StGB strafbar. Wenn aber Regierungen diese nun gezielt einsetzen, ist die Bejahung der Strafbarkeit nicht ganz so leicht. Ein Staat selber kann strafrechtlich nicht sanktioniert werden, da sich die Vorschriften des StGB nur gegen natürliche Personen richten. Bei den Beamten und sonstigen Mitarbeitern einer Regierung, die die Spyware weisungsgebunden ausführen, ist die strafrechtliche Beurteilung durchaus komplexer. Es kann sich eine Gehorsamspflicht ergeben, soweit eine Weisung nicht rechtswidrig ist. Die Weisung ist dann nicht rechtswidrig, wenn die Voraussetzungen einer Befugnisnorm über den Einsatz solcher staatlichen Ermittlungsmaßnahmen erfüllt ist. Zugunsten strafrechtlicher Ermittlungen in Deutschland könnte im Einzelfall insbesondere §§ 100a ff. StPO greifen. Eine detaillierte Auseinandersetzung mit dieser Thematik übersteigt leider den Rahmen dieses Blogbeitrages und soll an dieser Stelle den Strafrechtlern vorbehalten bleiben.

Welche präventiven Vorsichtsmaßnahmen können Privatpersonen und Unternehmen ergreifen?

Auch wenn der Mensch selber oftmals das Einfallstor für kriminelle Machenschaften ist, gibt es einige Maßnahmen, die man zum Selbstschutz ergreifen kann. Man sollte es den Tätern so schwer wie möglich machen.

1. Als Privatperson

2. Zusätzliche Maßnahmen als Unternehmen

Und wie sollte man sich im Falle eines Hackerangriffs verhalten?

Trotz bester Vorkehrungen kann man dennoch Opfer einer solchen Cyber-Straftat werden. Sobald Sie dies bemerken, sollten Sie den Kopf nicht in den Sand stecken, sondern handeln.

1. Als Privatperson

2. Zusätzliche Maßnahmen als Unternehmen

Auch Unternehmen können von solchen Attacken betroffen sein. Folgende Maßnahmen können helfen, den Schaden für das Unternehmen gering zu halten:

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.