Das Ausspähen von Daten (Cybercrime) ist auch für Privatpersonen ein zunehmendes Problem und wird strafrechtlich verfolgt. Erfahren Sie hier, ob das Hacking ungesicherter Daten ebenfalls bestraft wird, welche Strafen das Gesetz vorsieht und wie Sie Daten aktiv vor unberechtigtem Zugriff schützen.

‌Wir leben im Datenzeitalter und der Begriff Big Data beschreibt anschaulich, wohin die Entwicklung geht: Aufgrund der zunehmenden Ausweitung von Aktivitäten im Internet wächst die Datenmenge, die nicht nur Unternehmen, sondern auch Privatpersonen produzieren, exponentiell an. Ganze Lebensbereiche haben sich ins Internet verlagert. Bei den Daten handelt es sich sowohl um strukturierte als auch um unstrukturierte Informationen, die teilweise gut gesichert sind, aber häufig auch völlig ungesichert im Internet generiert werden. 
‌
‌Jeder Mensch, der im Internet aktiv ist, produziert Daten. Dabei handelt es sich um E-Mails, Fotos, Posts in den sozialen Netzwerken, Fitnessdaten, Präsentationen, Bankdaten, Sensordaten von SmartHome Anwendungen oder ganz einfach Bestellvorgänge. Mittlerweile wird nahezu alles digital erfasst, getrackt und dokumentiert. Alle zwei Jahre verdoppelt sich das Datenvolumen. 2017 erzeugte jeder Mensch durchschnittlich ein Gigabyte Daten pro Tag und hinterließ damit Spuren im Internet, die Rückschlüsse auf Kaufverhalten, Gesundheit, Beruf, Hobbys, Vorlieben, Abneigungen oder die finanzielle Situation erlauben. Die Vision vom „gläsernen Kunden“, der mit individueller Werbung gezielt zum Kauf animiert wird, ist mittlerweile längst Realität geworden. 
‌
‌Diese Entwicklung weckt Begehrlichkeiten und macht das Ausspähen von Daten zum beliebten „Geschäftsmodell“ krimineller Hacker. Um dem zu begegnen, schuf der Gesetzgeber das Rechtsgebiet des IT-Rechts, das als Querschnittsmaterie wiederum in unterschiedliche Rechtsgebiete eingreift. Das Ausspähen von Daten ist ein Strafrechtstatbestand, der explizit in § 202a des Strafgesetzbuches (StGB) im 15. Abschnitt (Verletzung des persönlichen Lebens- und Geheimbereichs) geregelt ist und das Recht auf informationelle Selbstbestimmung schützt.

‌Experten schätzen, dass bis zum Jahr 2025 die Datenmenge auf unvorstellbare 175 Zettabyte anwachsen wird. Ein Zettabyte ist eine Zahl mit 21 Nullen und entspricht der Speicherkapazität von zwei Billionen Filmen. Ein weiterer Vergleich veranschaulicht die Dimensionen, die das weltweite Datenvolumen mittlerweile angenommen hat. Würde jedes in der Menschheitsgeschichte gesprochene Wort digitalisiert werden, entspräche diese Datenmenge 42 Zettabyte. 
‌
‌Das von einem Menschen produzierte Datenvolumen erlaubt differenzierte Rückschlüsse auf sein Verhalten und die Kaufgewohnheiten. Dadurch werden Daten zum wertvollen Gut und zur Schlüsselressource. Internetgiganten wie Amazon erfassen jeden Klick ihrer Kunden und können auf diese Weise Werbemaßnehmen optimieren. Jeder kennt das Phänomen: Wer sich einmal über Produkte einer Marke informiert hat, erhält immer wieder passende Angebote als Werbebanner im Internet oder sogar direkt per E-Mail. 
‌
‌Anders als andere Ressourcen lassen sich Daten beliebig oft verwenden und beeinflussen das Verhalten, wobei die Aktualität zu einer gewissen zeitlichen Begrenzung des Werts führt. Neben Rohstoffmärkten gibt es inzwischen sogenannte Datenökosysteme mit standardisierten Schnittstellen und Möglichkeiten zum automatisierten Abruf der Daten. 
‌
‌Das Ausspähen von Daten ist ein zunehmendes Problem: In der Polizeilichen Kriminalstatistik (PKS) 2021 wurden 14.918 Fälle im Bereich „Ausspähen, Abfangen von Daten, Datenhehlerei“ erfasst. Das entspricht einer Steigerung von 38,6 Prozent im Vergleich zum Vorjahr.
‌
‌

‌Aufgrund ihres hohen Werts werden Daten immer begehrter und deswegen zum Objekt krimineller Machenschaften. Die Tatsache, dass jede Privatperson täglich unzählige Daten generiert, stellt das Rechtssystem vor neue Herausforderungen. Mit der Strafnorm des § 202a StGB legt der Gesetzgeber fest, dass das Ausspähen von Daten mit Geld- oder Freiheitsstrafen von maximal drei Jahren geahndet wird, wenn es sich dabei um zugangsgeschützte Daten handelt. 
‌
‌Ob eine Strafbarkeit vorliegt, hängt somit von fünf Merkmalen ab: 
‌
‌1) Es handelt sich um Daten im Sinne des Strafrechts
‌
‌2) Diese Daten sind explizit nicht für den Täter bestimmt
‌
‌3) Der Täter musste Zugangssicherungen überwinden
‌
‌4) Die Daten wurden unbefugt beschafft
‌
‌5) Zusätzliche Voraussetzungen der Strafbarkeit sind erfüllt
‌

‌Laut Gesetzestext sind Daten nur dann strafrechtlich relevant, wenn sie nicht direkt wahrnehmbar (z. B. als Ausdruck) vorliegen, sondern elektronisch oder magnetisch gespeichert und übermittelt wurden. 
‌
‌Derartige Daten liegen als kodierte Informationen vor und müssen zunächst mit Hilfsmitteln wie Bildschirmen oder Sensoren in wahrnehmbare Informationen umgewandelt werden. Die Speicherung dieser Daten erfolgt auf einem Datenträger wie einem USB-Stick oder einer Festplatte oder auch kurzfristig auf dem Arbeitsspeicher. Strafrechtlich ist der Umfang der ausgespähten Daten weniger relevant. Es kann sich also um das Ausspähen von Kalenderdaten, größeren Datensätzen oder ganzen Computerprogrammen handeln. 
‌
‌Der Schutz umfasst jedoch nicht nur personenbezogene Daten, wie es das BDSG (Bundesdatenschutzgesetz) und die DSGVO (Datenschutz Grundverordnung) vorsehen, sondern sämtliche Arten von Daten.
‌

‌Dieser Passus bedeutet eine Einschränkung der Schutzwürdigkeit auf Daten, die explizit nicht für den Ausspähenden bestimmt und deswegen gegen einen unberechtigten Zugriff gesichert sind. Für wen Daten bestimmt sind, ist keine eigentumsrechtliche Frage, sondern orientiert sich am Willen desjenigen, der verfügungsberechtigt ist. Im Unternehmenskontext bestimmt beispielsweise der Arbeitgeber und nicht der Ersteller eines Dokuments, welche Mitarbeiter Zugriff auf die Daten erhalten. Sind Daten im Internet frei zugänglich, ist der § 202a des Strafgesetzbuches nicht anwendbar.
‌

‌Daten müssen vor unberechtigtem Zugriff gesichert werden, da ansonsten die Schutzvorschriften des § 202a StGB nicht greifen. Diese Sicherung entspricht der Willenserklärung des Verfügungsberechtigten, dass die Daten der Geheimhaltung unterliegen. 
‌
‌Folgende Zugangssicherungen erfüllen diese Voraussetzungen:
‌

‌Werden Bankdaten auf einem unverschlüsselten Magnetstreifen ausgespäht, ist die Bedingung der Zugangssicherung nicht erfüllt. In diesem Fall handelt es sich also nicht um ein unerlaubtes Ausspähen von Daten. Werden die Daten jedoch genutzt, um Kartendubletten zu produzieren, erfüllt dies den Straftatbestand des Betrugs, der in § 263 StGB geregelt ist.
‌

‌Der Täter macht sich strafbar, wenn er sich (oder einem Dritten) Zugang zu Daten verschafft hat, indem er gegen den Willen des Verfügungsberechtigten handelt. Der Abruf der Daten ist bereits strafbar, auch wenn der Täter diese nicht tatsächlich zur Kenntnis nimmt oder nutzt.
‌

‌Eine weitere Voraussetzung für die Anwendbarkeit von § 202a StGB ist der Vorsatz. Ein vorsätzliches Handeln liegt vor, wenn der Täter davon ausgehen musste, dass der Verfügungsberechtigte nicht mit der Weitergabe der Daten einverstanden war, sondern ein Geheimhaltungswille bestand. Dieser Geheimhaltungswille muss sich wiederum durch die Generierung von Zugriffsbeschränkungen äußern. Die irrtümliche Annahme, dass es sich um Daten handelt, die für den eigenen Zugriff bestimmt waren, schließt eine Strafbarkeit aufgrund eines Tatbestandsirrtums (§ 16 Absatz 1 StGB) ebenfalls aus. 
‌
‌Ihnen wird vorgeworfen, dass Sie Daten ausgespäht haben, obwohl Sie sich keiner Schuld bewusst sind? Dann sollten Sie unbedingt schnellstmöglich einen Anwalt für Strafrecht mandatieren, der sich zusätzlich auf das Gebiet des IT-Rechts spezialisiert hat.
‌
‌

‌

‌Damit § 220a StGB angewendet werden kann, ist zwingend erforderlich, dass die Daten durch eine Zugangssicherung geschützt waren. Auf welche Weise die Zugangssicherung erfolgen muss, ist allerdings gesetzlich nicht definiert. Wurde ausschließliche eine mechanische Datensicherung durchgeführt und der Datenträger in einem Schrank oder Aktenkoffer verschlossen, sind die Bedingungen jedoch bereits erfüllt. Gleiches gilt für die Nutzung von Software zum Datenschutz, die Installierung einer Firewall oder die Beschränkung des Zugangs mittels eines Passworts. 
‌
‌Ob eine Straftat vorliegt, wird stets im Einzelfall entschieden, wobei die genauen Umstände berücksichtigt werden. Sie haben den Verdacht, dass Ihre Daten ausspioniert wurden? Wenden Sie sich in diesem Fall zunächst an einen im Strafrecht erfahrenen Rechtsanwalt, um sich eingehend beraten zu lassen. Der Anwalt wird Sie dabei unterstützen, einen Strafantrag zu stellen und Ihnen helfen, straf- und zivilrechtliche Ansprüche durchzusetzen.
‌
‌

‌Es herrscht bislang keine Einigkeit unter den Juristen, ob das sogenannte Hacking ein Straftatbestand gemäß § 202a StGB ist. Aus diesem Grund wird jeder Fall von Hacking einer Einzelfallprüfung unterzogen. Oft erfolgt das Ausspähen der Daten, um damit Betrugsdelikte zu begehen und unbefugt Bestellungen aufzugeben oder sich andere Vermögensvorteile zu verschaffen.
‌

‌Hacking bezeichnet das unberechtigte Eindringen in fremde Datensätze oder den Vorgang der Datenübermittlung. Für die strafrechtliche Bewertung ist entscheidend, ob ein Vorsatz vorhanden war. Ohne diesen Vorsatz wird die Handlung aktuell als straffrei beurteilt. Wusste der Täter also nicht, dass die Daten zweckbestimmt waren, ist ein Vorsatz ausgeschlossen. Das gilt auch, wenn der Täter irrtümlich der Auffassung war, selbst datenberechtigt zu sein. Der Gesetzgeber trägt damit der Tatsache Rechnung, dass es möglich ist, in Foren oder per E-Mail unbeabsichtigt in den Besitz fremder Daten zu gelangen. Das bedeutet jedoch, dass jeder, der das Internet nutzt, zum potenziellen Straftäter werden würde. Gleiches gilt, wenn man versehentlich einen USB-Stick, den ein Kollege auf dem eigenen Schreibtisch vergessen hat, mit dem PC verbindet. Die Rechtsprechung wird in diesen Fällen keine Strafen aussprechen. 
‌
‌Bei der Beurteilung von Einzelfällen kommt erschwerend hinzu, dass es noch nicht viele Urteile zum Thema Ausspähen von Daten gibt, an denen sich die Rechtsprechung orientieren kann. Bei diesen Delikten handelt es sich außerdem um Antragsdelikte, die nur dann strafrechtlich verfolgt werden, wenn der Geschädigte einen entsprechenden Antrag stellt. Bejaht die Staatsanwaltschaft bei einem Fall von Datenhehlerei in großem Ausmaß jedoch ein öffentliches Interesse, ist eine Strafverfolgung auch ohne Strafantrag möglich.
‌
‌

‌Beim Phishing versenden die Täter E-Mails im Namen von tatsächlich existierenden Kreditinstituten, Zahlungsdienstleistern oder anderen Unternehmen, die sich kaum von Original-Mails unterscheiden. Der Empfänger soll dazu motiviert werden, einen Link anzuklicken. Daraufhin öffnet sich eine Website, die wiederum nicht von der Website der Bank oder des Unternehmens zu unterscheiden ist und auf der das Opfer seine Daten eigenständig eingeben soll. Phishing fällt aufgrund des aktiven Eingebens der Daten durch das Opfer nicht unter den § 202a StGB, erfüllt jedoch die Voraussetzungen der Vorbereitung eines Internetbetrugs und ist deshalb strafbar.
‌
‌

‌Das Landesarbeitsgericht Berlin-Brandenburg urteilte 2011, dass Arbeitgebern der Zugriff auf einen dienstlichen E-Mail-Account gestattet sei. Ein Mitarbeiter hatte seinen Arbeitgeber auf Unterlassung verklagt und war damit gescheitert. Da sich diese E-Mails nicht an den Mitarbeiter als Privatperson richteten, besteht laut Auffassung des Gerichts kein Unterlassungsanspruch gemäß § 202a StGB. 
‌(Landesarbeitsgericht Berlin-Brandenburg, Urteil vom 16.02.2011 – 4 Sa 2132/10) 
‌
‌Hacker von Musikdateien wurden vom Amtsgericht Duisburg 2011 aufgrund der Verstöße gegen § 202a StGB und das Urheberrechtsgesetz zu einer Jugendstrafe von 18 Monaten ohne Bewährung und einer Freiheitsstrafe von 18 Monaten mit Bewährung verurteilt. Den beiden Angeklagten wurde in 98 Fällen das Ausspähen von Daten nachgewiesen. 
‌(Amtsgericht Duisburg, Urteil vom 16.06.2011) 
‌
‌Das Amtsgericht Düren verurteilte 2010 einen Hacker, der Kinderzimmer mittels einer Webcam ausspioniert hatte, zu einer Bewährungsstrafe von einem Jahr und zehn Monaten. Der Täter nutzte Trojaner, um sich in die PCs von Kindern und Jugendlichen zu hacken. Die Spionagesoftware verschickte er unauffällig über das bei Schülern beliebte Chatprogramm ICQ. Die Urteilsbegründung erläuterte, dass der Mann sowohl gegen § 202a StGB als auch gegen § 201 a StGB (Besitz unerlaubter Bildaufnahmen) verstoßen hatte. 
‌(Amtsgericht Düren, Urteil vom 10.12.2010 – 10 Ls 275/10)
‌
‌

‌Das Ausspähen von Daten wird von Kriminellen genutzt, um sich zu bereichern und den Opfern großen Schaden zuzufügen. Schlimmstenfalls werden Sie Opfer eines Identitätsdiebstahls und büßen nicht nur bares Geld, sondern auch Ihre Reputation ein. Täter verwenden erspähte Daten, um im Internet auf Rechnung ihrer Opfer Bestellungen zu tätigen oder um Cybermobbing zu betreiben. Experten schätzen, dass bereits jeder vierte Internetnutzer in Deutschland von kriminellem Datenmissbrauch betroffen war. Handeln Sie im Verdachtsfall umgehend und schalten Sie einen Anwalt sowie die Polizei ein. 
‌
‌Besser ist es jedoch zweifellos, die eigenen Daten präventiv zu schützen. Sichern Sie jeden im Internet angelegten Account mit einem unterschiedlichen, sicheren Passwort und installieren Sie einen aktuellen Virenschutz auf Ihrem PC, Notebook, Tablet und Smartphone. Das Einloggen über einen seriösen Identitätsdienst mit Zwei-Faktor-Authentifizierung erhöht die Sicherheit entscheidend. 
‌
‌Nach jedem Surfen im Internet sollte Sie sich von den Websites abmelden. Darüber hinaus ist äußerste Vorsicht, besser noch Misstrauen, gerechtfertigt, wenn Sie aufgefordert werden, sensible Daten (Kontonummer, Kreditkartennummer, PINs, TANs oder Passwärter) zu übermitteln. E-Mails unbekannter Herkunft sollten konsequent ignoriert werden. Klicken Sie außerdem niemals auf Anhänge oder Links in derartigen E-Mails. Mit dem Eintrag als Opfer in die Datenbank der SCHUFA können Sie nach einem bereits erfolgten Datenklau weiteren Datenmissbrauch in vielen Fällen unterbinden.
‌
‌