Die Befürchtung dass private Daten im Internet ohne das eigene Wissen publiziert werden und dadurch einem zum Verhängnis werden könnten, ist ein allgegenwärtiges Problem. Der Beitrag soll anhand des Doxing aufzeigen, inwiefern das Datenschutzstrafrecht der besonderen Schutzwürdigkeit personenbezogener Daten in diesem Fall Rechnung trägt.
Der Inhalt im Überblick
Was ist Doxing?
Das Wort „Doxing“ setzt sich aus den Wörtern „dox“ (documents) und „dropping“ zusammen und bezeichnet nach verbreiteter Auffassung die gezielte Recherche von personenbezogenen Daten, die dann ohne Erlaubnis ins Internet veröffentlicht werden. Andere Ansichten stellen auf die Publikationen personenbezogener Daten im Internet ab, unabhängig von der Erlangung der Daten. Diese gelangen durch verschiedene Wege an den Täter, sei es durch Hacking, einer tiefen Internetrecherche oder durch das Opfer selbst, weil es seine Daten freiwillig dem Täter überlassen hat.
Doxing existiert seit den 90er Jahren und ist damals als eine Vergeltungsstrategie der Hackszene entstanden. Aufgrund der unendlichen Angebote von „Social Media“ verbreitet sich Doxing ins Unermessliche. Es richtet sich nicht mehr nur gegen Politiker oder Prominente, sondern jede/r kann als Zielscheibe fungieren. Dabei werden keineswegs nur politische Ziele verfolgt, vielmehr geht es darum dem Menschen zu Schaden. Zu diesem Zweck erweist Doxing ein erhebliches Schädigungspotenzial auf.
Strafbarkeit
Für die Strafbarkeit des Doxing gilt es zunächst zu definieren welche Normen, welchen Anwendungsbereich abdecken.
§ 202 a ff. StGB hat einen sehr weiten Datenbegriff, mit welchem gewährleistet wird, dass die Tatbestände für möglichst viele informationstechnologischen Entwicklungen offengehalten werden. Im Umkehrschluss ist es letztendlich unerheblich, um welche Arten von Daten es sich handelt, es wird immer gegen den unbefugten Zugriff auf die Daten geschützt. Etwas anderes ergibt sich aus der DSGVO. Hierin ist der ausdrückliche Schutz besonders sensibler Daten verankert, um die es auch beim Doxing geht. Darüber hinaus knüpft der datenschutzrechtliche Begriff an das Merkmal der Personenbezogenheit an. Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten solche, „die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen.“ Im Ergebnis steht also der Schutz des Geheimhaltungsinteresses an sensiblen Informationen im Mittelpunkt.
Erlangung von Daten
Bereits die Erlangung von personenbezogenen Daten kann eine Strafbarkeit begründen. Allerdings können, wie bereits oben genannt, die Daten legal erlangt worden sein.
Gemäß § 202 a StGB ist die unbefugte Zugangsverschaffung zu Daten strafbar. Dabei sind alle Daten gemeint, die nicht für den Täter bestimmt und gegen einen unberechtigten Zugang besonders geschützt sind. Hiermit soll die Strafbarkeit auf das Hacking ausgeweitet werden. Bereits ausreichend ist, wenn der Täter soweit in das System eingedrungen ist, dass für den Datenzugriff kein Hindernis mehr vorhanden ist.
Daneben können für das Doxing relevante Daten durch ein gezieltes Abfangen, während einer Datenübertragung erlangt werden. Auch das Verschaffen von Daten, während einer nicht öffentlichen Übermittlung ist strafbar. Hiervon erfasst sind also nicht nur die klassischen Übertragungsformen wie Telefon, Fax oder E-Mail, sondern auch VoIP Dienste oder VPN-Clients. Auch hier ist nicht entscheidend welche Art oder Inhalt der Daten gegeben ist, sondern lediglich die Auswahl des Übertragungsweges.
Das BDSG sieht ebenfalls eine Strafbarkeit der unberechtigten Erlangung von Daten vor gemäß § 42 Abs. 2 BDSG:
„(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
1.ohne hierzu berechtigt zu sein, verarbeitet oder
2.durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.“
Hier stellt sich allerdings die Frage, ob es sich um ein Jedermannsdelikt handelt oder ob nur „Verantwortliche“ im Sinne des BDSG Täter sein können. Ein Großteil der Täter im Doxing sind in der Regel Privatpersonen, welche den Anforderungen des BDSG nicht unterfallen. Die wohl herrschende Meinung schließt eine Beschränkung auf bestimmte Tätergruppen aus, auf Grund des Wortlauts der Vorschrift („wer“).
Hiergegen lässt sich ausführen, dass diese Auslegung gegen die Systematik des Datenschutzrechts geht. Gemäß dem Bestimmtheitsgrundsatz, sollen nur diejenigen den datenschutzrechtlichen Sanktionen unterfallen, die auch die Regelungen des BDSG zu befolgen haben. Darunter fallen neben den in § 1 Abs. 1 BDSG genannten öffentlichen Stellen auch nicht-öffentliche Stellen, wenn sie Daten entweder über Datenverarbeitungsanlagen ganz oder teilweise automatisiert verarbeiten oder im Fall von nicht-automatisierter Datenverarbeitung, sofern es zu einer Speicherung personenbezogener Daten in einem Dateisystem kommt. Nach Absatz 1 Satz 2 soll das BDSG allerdings bei persönlichen und familiären Tätigkeiten keine Anwendung finden. Dies würde wiederum die Anwendung vieler Fälle des Doxing ausschließen.
Auch Daten, die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, stehen unter Strafe gemäß § 202 d StGB. Als Vortaten kommen die §§ 202 a, 202 b StGB und § 42 BDSG in Frage. Eine Unterscheidung in Bezug auf die Arten von Daten findet sich hier nicht. Vielmehr wird auf das Merkmal des „Verschaffens“ fokussiert. Es stellt sich die Frage, inwiefern das Ankaufen von illegal erlangten, personenbezogener Daten im Darknet, wegen der allgemeinen Zugänglichkeit unter Strafe zu stellen ist.
Veröffentlichung von Daten
Das StGB erfasst die Veröffentlichung von Daten nur in Ausnahmekonstellationen. § 202 d StGB stellt die Veröffentlichung von nicht allgemein zugänglichen Daten unter Strafe. Die Verbreitung ist jedoch nur strafbar, wenn die Daten zuvor von einem anderen durch eine rechtswidrige Tat erlangt wurden, was nicht immer der Fall ist.
Abgesehen davon, wird das Doxing im StGB nur unter bestimmten Voraussetzungen adressiert. Die Verbreitung von Bildaufnahmen gemäß § 201 a Abs. 1 Nr. 3 StGB ist nur dann strafbar, wenn die Aufnahme unbefugt hergestellt worden ist. Wird dagegen ein Bild unbefugt verbreitet, das mit Zustimmung der Person aufgenommen wurde, ist dies nur dann strafbar, wenn dadurch der „höchstpersönliche Lebensbereich der abgebildeten Person“ verletzt wird (Nr. 4). Darunter fallen Nacktfotos, aber nicht solche Bilder die am Ort privater Lebensführung aufgenommen wurden. Solche Aufnahmen können auch zum Doxing verwendet werden, wenn es sich zum Beispiel um Bilder von dem Ehegatten mit seiner Affäre handelt. Allerdings sind Aufnahmen aus dem Alltag nicht geeignet, um dem Ansehen der abgebildeten Person erheblich zu schaden.
Auch § 42 BDSG beinhaltet Veröffentlichungstatbestände. Gemäß Abs. 1 Nr. 1 ist derjenige strafbar, der ohne Berechtigung gewerbsmäßig nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen an einen Dritten übermittelt. Aber auch hier ist es fraglich, ob der Täter im Falle des Doxing überhaupt gewerbsmäßig handelt, da dieser oftmals nicht mit der Intention handelt, sich eine fortlaufende Einnahmequelle zu generieren und folglich auch nicht gewerbsmäßig. Zumal sich auch hier die Frage stellt, wer letzendlich Normadressat ist, da es sich im Doxing oftmals um Privatpersonen handelt und diese nicht von § 42 BDSG erfasst werden.
Novellierungsbedarf?
Doxing bleibt ein brisantes Thema, dass mit seinen Facetten zeigt, dass das Strafrecht der besonderen Schutzwürdigkeit personenbezogener Daten nicht hinreichend Rechnung trägt. Es nimmt keine Unterscheidung der Daten vor, sondern konzentriert sich vermehrt auf die Art der Erlangung der Daten. Im BDSG findet sich die zentrale Vorschrift gegen die unerlaubte Publikation von personenbezogenen Daten, allerdings ist diese nicht insgesamt passend. Eine grundlegende Überarbeitung des Datenschutzstrafrechts wäre zu empfehlen, um das Doxing in seinen möglichen Ausgestaltungen hinreichend Rechnung zu tragen.