|
(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugriff besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert oder übermittelt werden.
1. Einleitung
Die Vorschrift des § 202a StGB wurde 1986 mit dem 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität (WiKG) in den Besonderen Teil des Strafgesetzbuches eingefügt. Häufig wird die Norm als eine Art elektronische Erweiterung des Hausfriedensbruchs verstanden. In gewisser Hinsicht ist das auch richtig, da es um den Schutz von Geheimnissen und der persönlichen Privatsphäre geht. Allerdings stellt § 202a StGB im Gegensatz zum Hausfriedensbruch das bloße unerlaubte Eindringen in „fremdes Territorium“ nicht unter Strafe. Die Norm steht im direkten Kontext zu Vorschriften wie dem Briefgeheimnis gem. § 202 StGB und dem Privatgeheimnis gem. § 203 StGB. Dadurch wird das Gewicht des Geheimnisschutzes als Rechts-gut des § 202a StGB hervorgehoben.
§ 202a StGB schützt gespeicherte Informationen vor dem Zugriff durch unbefugte Dritte. Da nicht selten Wirtschafts- oder Industriespionage hinter dem Ausspähen von Daten steckt, müssen auch wirtschaftliche Interessen in das Rechtsgut des § 202a StGB mit einbezogen werden.[1] Mit dem Tatbestand stellt sich der Gesetzgeber schützend vor das Wirtschaftsgut „Informationen und Wissen“.[2] Keinesfalls wollte er bei Einführung des Gesetzes das bloße Eindringen („Hacken“) in ein ungeschütztes fremdes System bestrafen.[3] Da es jedoch beim Überwinden eines Systemschutzes regelmäßig zur Kenntnisnahme interner Systeminformationen kommt, ist die Grenze zur Tatbestandsverwirklichung schnell überschritten.[4]
2. Objektiver Tatbestand
a) Tatobjekt: Daten
Der Tatbestand des § 202a StGB spricht allgemein von „Daten“. Zwar wird der Begriff in Abs. 2 konkretisiert, doch liefert der Wortlaut entgegen weit verbreiteter Ansicht keine Legaldefinition. Der Gesetzgeber tat sich mit der Definition des Datenbegriffs sehr schwer. In der Literatur hat es verschiedene Ansätze zur Bestimmung des Datenbegriffs gegeben. So werden Daten u.a. als „codierte Informationen über eine außerhalb des verwendeten Zeichensystems befindliche Wirklichkeit“ verstanden.[5] In § 3 Abs. 1 BDSG stolpert man über den Begriff der „personenbezogenen Daten“. Darunter sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Das hilft leider nicht viel weiter, da umstritten ist, was unter „Einzelangaben“ (und folglich „Daten“) zu verstehen ist.
Letztlich landet man bei der technischen DIN 44.300 Nr. 19. Danach versteht man unter Daten: „Zeichen oder kontinuierliche Funktionen, die auf Grund bekannter oder unterstellter Abmachungen, vorrangig zum Zweck der Verarbeitung, Informationen darstellen“.
Anders ausgedrückt: (Programmier)sprachen definieren sich über festgelegte Zeichenfolgen (die sog. „Syntax“). Mittels dieses Regelwerks ist es möglich, Informationen (decodiert) darzustellen. Daher sind alle durch ein festes Regelwerk sprachlich interpretierbare Zeichen- und Symbolab-folgen Daten i.S.d. § 202a StGB.
Nun grenzt § 202a StGB den Tatbestand insofern ein, als dass nur „gespeicherte“ und „übermittelte“ Daten vom Schutzbereich erfasst werden.
Daten sind als gespeichert anzusehen, wenn sie ihre Zeichenreihenfolge aus dem flüchtigen Speicher mit einem festen Medium dergestalt verbinden, dass sie in ihrer konkreten Anordnung unverändert bestehen bleiben.
Unter „Übermittlung“ versteht man jede Weiterleitung von Daten.[6] Dabei stellt auch die Übermittlung von Daten aus oder in den flüchtigen (Haupt-)Speicher eine Form von Übermittlung dar. Es spielt keine Rolle, ob die Daten nach außen oder innerhalb des Systems - als Teil des Datenstroms von A nach B - übermittelt werden. Die Daten müssen lediglich zielgerichtet fließen.
b) Merkmal: Unberechtigter Zugang
§ 202a StGB spricht vom „unberechtigten (Daten)zugang“ (sog. „negatives Sonderdelikt“). Wer „berechtigt“ i.S.d. Norm ist, bestimmt derjenige, der die Verfügungsbefugnis über die Daten innehat. Die Verfügungsbefugnis über Daten entsteht mit dem sog. „Skripturakt“. Darunter versteht man die Erschaffung oder auch Erstabspeicherung von Daten.[7] Nach Erschaffung kann die Befugnis vom Schöpfer auf andere übertragen werden. Hingegen spielen Eigentumsverhältnisse an den Speichermedien keine Rolle.[8] Auch ein vom Dateninhalt Betroffener (z.B. abgespeicherte persönliche Daten) kann Unbefugter iSv. § 202a StGB sein. Im Ergebnis handelt immer derjenige unberechtigt, dem die Daten nach dem Willen des Verfügungsberechtigten zum Zeitpunkt der Tathandlung nicht zur Verfügung stehen sollen.[9]
c) Merkmal: Besondere Sicherung
Wer die Tür offen stehen lässt, ist selbst schuld? Die Vorschrift verlangt eine Sicherung der Daten durch den Berechtigten („gegen unberechtigten Zugang besonders gesichert“). Daher werden frei einsehbare Daten vom Tatbestand nicht erfasst. Der Gesetzgeber hat festgelegt, dass der Verfügungsberechtigte ein gewisses Maß an „Geheimhaltungsinteresse“ nach außen dokumentieren muss.[10] Nach Ansicht des Gesetzgebers verleiht der Täter erst durch dieses strafbegründene Merkmal seiner kriminellen Energie besonderen Ausdruck.[11]
Damit stellt sich die Frage, wann Daten gegen unberechtigten Zugang besonders gesichert sind. Nach überwiegender Auffassung ist von einer „besonderen Sicherung“ auszugehen, wenn die Maßnahmen zur Sicherung objektiv geeignet und nach dem Willen des Berechtigten dazu bestimmt sind, einen „Zugang“ durch Unberechtigte zu verhindern oder zu erschweren.[12]
Dabei wird jede Einwirkungsmöglichkeit auf den Datenspeicher und die damit zusammenhängenden Übermittlungsvorgänge (sowohl physischer wie auch psychischer Art) von dem Merkmal „Zugang“ erfasst.[13] Der Berechtigte kann sich zum Schutz seiner Daten sowohl software- wie auch hardwarebasierter Lösungen bedienen. Insbesondere durch die Verschlüsselung seiner Daten bringt der Berechtigte zum Ausdruck, dass ein unbeschränkter Zugriff unerwünscht ist. Gleiches gilt für Firewalls, Logins, Passwörter, IP-Checks, usw.
Allerdings können sich die Sicherungsanforderungen nur bedingt an der Höhe des Sicherungsgrads orientieren. Ansichten, welche die Lösung ausschließlich in der Höhe des Sicherungsgrads suchen, verkennen sowohl die Ratio als auch den gesetzlichen Zusammenhang. Ein verschlossener Brief kann vom Nichtberechtigten nicht ohne weiteres gelesen werden, doch ist es für ihn ein leichtes, den Brief zu öffnen und seinen Inhalt zu Kenntnis zu nehmen. Die Schwierigkeit des Öffnens kann kein Strafbarkeitskriterium sein. Gerade im Softwarebereich werden Sicherungs-maßnahmen häufig von den ständig wachsenden Rechenkapazitäten überholt. Fast täglich tauchen neue Schwachstellen in Programmen oder Be-triebssystemen auf.
Somit reicht es aus, wenn der Berechtigte den Zugang zu seinen Daten derartig behindert, dass für den Verkehr objektiv ersichtlich ist, dass ein regulärer Zugriff vom Willen des Berechtigten abhängig sein soll. Dazu kann schon ein Betriebssystem mit Zugangskonto ohne jegliche Zusatzsoftware ausreichen. Setzt sich der Nichtberechtigte über diese Schwelle hinweg, so manifestiert er damit das geforderte Maß an krimineller Energie. Das „Hindernis“ des Berechtigten verdeutlicht dem Nichtberechtigten, dass sein Zugriff auf die Daten unerwünscht ist.
Strengere Interpretationen bzgl. der „besonderen Sicherung“ kranken an der Tatsache, dass Sicherungsmaßnahmen selten ihrer Zeit voraus sind. Zumeist können sie nur auf schädliche Entwicklungen reagieren. Es wird immer Exploits geben, die über Umwege einen unberechtigten Zugriff auf Daten ermöglichen. Auch der technische Laie muss Möglichkeiten haben, seine Daten dem Schutz des § 202a StGB zu unterstellen.
Übermittelt der Berechtigte seine Daten an ein bestimmtes Ziel im Wege der Datenfernübertragung, so bleibt ihm nur der verschlüsselte Datenversand als besondere Sicherung i.S.d. § 202a StGB, denn an jeder Schnittstelle sind seine Datenpakete frei einsehbar. Das verschlüsselte Datenpaket als solches erfährt keinen Schutz. Nur die enthaltenen Originaldaten, welche sich mit Hilfe des Schlüssels wieder rekonstruieren lassen, werden erfasst.[14] Somit wird der Tatbestand durch den Nichtberechtigten erst verwirklicht, wenn die Verschlüsselung überwunden wird, und die Originaldaten wieder zusammengesetzt werden.
Kompliziert wird es, wenn man sich anschaut, auf wie viele persönliche Daten heutzutage im WWW zugegriffen wird. Eine Strafbarkeit des Nichtberechtigten dürfte in den überwiegenden Fällen daran scheitern, dass der Nutzer dem Zugriff ausdrücklich im Wege der Browserkonfiguration zugestimmt hat (z.B. Erlaubnis zum Setzen und Auslesen von Cookies).[15] Freilich führen sich die wenigsten Surfer vor Augen, was für eine große Bandbreite an Zugriffen sie damit ermöglichen. Hinzu kommt die ständig größer werdende Verbreitung von Spyware.
Spyware hat sich geradezu krakenartig im Laufe der Jahre im Internet verbreitet. Sie installiert sich heimlich im Hintergrund als eigenständiges Programm oder Skript, sammelt Daten des Nutzers, und übermittelt diese zu Marktforschungszwecken an Dritte. Spyware wird gezielt in das System integriert, da es dem Datensammler ansonsten nicht möglich wäre, auf die gewünschten Daten derartig umfassend zuzugreifen. Erkennt man bereits ein nicht frei zugängliches Betriebssystem als ausreichende Sicherung i.S.d. § 202a StGB an, so dürfte der Nichtberechtigte in den meisten Fällen durch die Datenübermittlung mittels heimlich installierter Spyware den objektiven Tatbestand des § 202a StGB erfüllen.
d) Tathandlung: Verschaffen
Tathandlung i.S.d. § 202a StGB ist das „Verschaffen“ von Daten für sich oder einen anderen. Die h.M. geht davon aus, dass es ausreicht, wenn der Täter die Daten zu Kenntnis nimmt bzw. einem Dritten die Kenntnisnahme ermöglicht.[16] Jedenfalls liegt ein „Verschaffen“ immer dann vor, wenn der Täter sich oder einem anderen den Besitz an (besonders gesicherten) Datenträgern verschafft bzw. die Daten erneut – außerhalb des beschränkten Zugriffs durch den Berechtigten - abspeichert.
3. Subjektiver Tatbestand
Der Täter muss (mindestens) bedingten Vorsatz (dolus eventualis) bzgl. der objektiven Tatbestandsmerkmale aufweisen. Ein Tatbestandsirrtum gem. § 16 Abs. 1 StGB ist möglich, wenn der Täter irrtümlich davon ausgeht, dass die Daten für ihn bestimmt sind.
4. Rechtswidrigkeit
Nach § 202a StGB muss der Täter „unbefugt“, d.h. rechtswidrig handeln. Als Rechtfertigungsgründe kommen gesetzliche Erlaubnisse, bei Zugriff durch Strafverfolgungsorgane, die §§ 94 und 100a StPO in Betracht.[17] In diesem Zusammenhang ist äußerst streitig, ob auch Zugriffe von Ermittlern mit fremden Zugangskennungen gerechtfertigt sein können.[18] Bei präventiven Eingriffen kann die polizeirechtliche Generalklausel (NRW: § 14 Abs. 1 PolG NW) als Rechtfertigungsgrund nicht herangezogen werden.[19]
5. Konkurrenzen
Tateinheit ist möglich mit:
· §§ 96, 123, 242, 246, 263a, 303a, 303b StGB
· § 17 UWG
· § 43 BDSG
· §§ 106, 108a UrhG
6. Sonstiges
Bei § 202a StGB handelt es sich um ein Antragsdelikt, d.h. eine Strafverfolgung findet nur auf Antrag statt. Antragsberechtigt ist ausschließlich der formell Verfügungsberechtigte. Das Antragsrecht kann gem. § 205 Abs. 2 S. 1 StGB nicht auf Angehörige übertragen werden.
[1] Vgl. Tröndle/Fischer, § 202a, Rdnr. 2.
[2] Vgl. BT-Drucks. 10/5058, S. 28 f.
[3] BT-Drucks. 10/5058, S. 28 f.
[4] Vgl. Sch/ Sch – Lenckner, § 202a, Rdnr. 10.
[5] Haft, NStZ 1987, 6 (8).
[6] Tröndle/ Fischer, § 202a, Rdnr. 6.
[7] Vgl. Hilgendorf, JuS 1996, 892 f.; Schmitz, JA 1995, 478.
[8] Tröndle/ Fischer, § 202a, Rdnr. 7.
[9] Vgl. Sch/ Sch – Lenckner, § 202a, Rdnr. 6; LK – Schünemann, § 202a, Rdnr. 9.
[10] BT-Drucks. 10/5058, S. 29.
[11] Vgl. LK – Schünemann, § 202a, Rdnr. 7.
[12] Ähnlich: Sch/ Sch – Lenckner, § 202a, Rdnr. 7.
[13] Ähnlich: Tröndle/ Fischer, § 202a, Rdnr. 8; Leicht, iur 87, 46.
[14] Vgl. Sch/ Sch – Lenckner, § 202a, Rdnr. 8.
[15] Vgl. Killian/ Heussen - Scheffler, CompRHdb, 102, Rdnr. 40.
[16] Tröndle/ Fischer, § 203a, Rdnr. 10.
[17] Tröndle/ Fischer, § 203a, Rdnr. 12.
[18] Vgl. KK- Nack, 100a, Rdnr. 8 ff.
[19] Tröndle/ Fischer, § 203 a, Rdnr. 12. » Zurück zur BT-Übersicht «
|
