IT-Strafrecht

Rechtswörterbuch

 Normen 

§ 202a StGB

§ 202b StGB

§ 202c StGB

§ 303a Abs. 3 StGB

§ 303b StGB

 Information 

1. Allgemein

Das IT-Strafrecht beinhaltet Straftaten, bei denen die IT als Tatmittel eingesetzt wird oder selbst Gegenstand der strafbaren Handlungen ist.

Im Wesentlichen berühren die Straftaten des IT-Strafrechts folgende Strafrechtsbereiche:

2. Ausspähen von Daten - § 202a StGB

Rechtsgrundlage ist § 202a StGB.

Der Schutzbereich der Norm erfasst den persönlichen Geheimbereich des Verfügungsberechtigten der Daten vor einem unbefugtem Zugriff, also das Recht, darüber zu entscheiden, wer Zugang zu den Daten bzw. den in ihnen enthaltenen Informationen hat. Dabei ist es irrelevant, ob geschäftliche oder private Daten ausgespäht werden.

3. Abfangen von Daten - § 202b StGB

Gemäß § 202b StGB ist ein mit technischen Hilfsmitteln bewirktes unbefugtes Abfangen nichtöffentlicher Computerdatenübermittlungen an, aus oder innerhalb eines Computersystems strafbar.

Die Vorschrift ist das elektronische Pendant zur Strafbarkeit des Abhörens und Aufzeichnens von Telefongesprächen. Die Vorschrift erfasst alle Formen der elektronischen Datenübermittlung einschließlich Fax, Mail und Telefon.

Der Tatbestand bezieht sich nur auf Daten, die sich zur Zeit der Tat in einem Übertragungsvorgang befinden. Gespeicherte Daten werden nicht erfasst.

Entscheidend für die Nichtöffentlichkeit einer Datenübermittlung ist nicht die Art oder der Inhalt der übertragenen Daten, sondern die Art des Übertragungsvorgangs.

§ 202b StGB ist subsidiär zu anderen Vorschriften, insbesondere § 202a StGB und § 201 StGB.

4. Vorbereiten des Ausspähens und Abfangens von Daten - § 202c StGB

Ziel des § 202c StGB ist es, besonders gefährliche Vorbereitungshandlungen strafrechtlich zu erfassen.

Insbesondere die Herstellung, das Anbieten, die Überlassung, das Sichverschaffen, die Verbreitung oder Zugänglichmachung von sogenannten Hacker-Tools soll bestraft werden. Diese Hackertools dienen ausschließlich illegalen Computerhandlungen und können im Internet anonym heruntergeladen werden.

5. Datenhehlerei - § 202d StGB

Zum 18.12.2015 wurde mit § 202d StGB der neue Straftatbestand der Datenhehlerei in das StGB eingefügt.

Nach der Vorschrift macht sich strafbar, wer Daten, die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Der Straftatbestand erfasst nur nicht öffentlich zugängliche Daten. Die Regelung nimmt dabei auf die Legaldefinition von Daten in § 202a Abs. 2 StGB Bezug. Daten sind demnach nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Die Daten müssen von einem anderen durch eine rechtswidrige Tat erlangt worden sein. Damit kommen als Vortat der Datenhehlerei alle Taten in Betracht, die ein Strafgesetz verwirklichen, unabhängig von der Schuld des Täters oder vom Vorliegen eines Strafantrages, so wie dies auch bei der "normalen" Hehlerei (Sachhehlerei) der Fall ist.

Die Vortat muss sich (auch) gegen die formelle Verfügungsbefugnis des Berechtigten richten. Berechtigter ist derjenige, der über die Daten verfügen darf, also grundsätzlich derjenige, der die Daten gesammelt und abgespeichert hat oder auf dessen Veranlassung die Speicherung erfolgt ist. Das Eigentum und der Besitz am Datenträger sind nach der Gesetzesbegründung (BT-Drs. 18/5088) dafür nicht entscheidend. Die Berechtigung ist von der datenschutzrechtlichen Betroffenheit zu unterscheiden. Betroffener ist die bestimmte oder bestimmbare natürlichen Person, zu der die Daten Einzelangaben über persönliche oder sachliche Verhältnisse enthalten. Die formelle Berechtigung und die datenschutzrechtliche Betroffenheit können in einer Person zusammenfallen.

An einer gegen die formelle Verfügungsbefugnis gerichteten Vortat fehlt es insbesondere, wenn das Delikt nur gegen öffentliche Interessen verstößt, wie beispielsweise § 184d StGB (Verbreitung pornographischer Darbietung durch Rundfunk, Medien- oder Teledienste). Dies gilt auch, wenn der Vortäter Daten selbst erstellt und sich dabei nach dem Bundesdatenschutzgesetz strafbar macht, da eine Beeinträchtigung der formellen Verfügungsbefugnis voraussetzt, dass die Daten zuvor der Verfügungsmacht des Berechtigten unterlagen.

Nicht durch eine rechtswidrige Tat erlangt sind Daten, die dem Vortäter bereits zur Verfügung stehen und die er unter Verletzung des Urheberrechts vervielfältigt. Ebenso wenig erlangt der Vortäter Daten durch eine rechtswidrige Tat, wenn er lediglich eine Vertragsverletzung, ein Disziplinarvergehen oder eine Ordnungswidrigkeit begeht. Als Vortat ist es daher nicht ausreichend, wenn in einem berechtigt genutzten System Daten lediglich unter Verletzung von vertraglichen Zugriffsbeschränkungen erlangt werden. Wie sich aus der Formulierung "erlangt hat" ergibt, muss die Vortat entsprechend der Regelung bei der Sachhehlerei bereits vollendet sein, wenn der Täter die Daten sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Nicht tatbestandsmäßig ist es daher beispielsweise, wenn die Vortat erst durch die Übermittlung der Daten an den Hehler begangen wird.

Wie bei der Sachhehlerei ist ein einverständliches Zusammenwirken zwischen Täter und Vortäter erforderlich. Der Täter muss die vom Vortäter durch seine rechtswidrige Tat geschaffene Möglichkeit, Zugriff auf die Daten nehmen zu können, im Einvernehmen mit dem Vortäter nutzen. Eine Strafbarkeit wegen Datenhehlerei scheidet aus, wenn der Täter zwar Kenntnis von der Vortat hat, er aber nicht den Vortäter als Quelle der Daten nutzt, sondern auf andere Weise darauf zugreift. Nicht ausreichend ist damit, dass der Täter nur mit einem anderen zusammenwirkt, der die Daten nicht durch eine eigene rechtswidrige Tat, sondern nur infolge der rechtswidrigen Tat eines Dritten (zum Beispiel durch Verletzung des Dienstgeheimnisses) erlangt hat. Ein unmittelbarer Kontakt zwischen Täter und Vortäter ist nicht erforderlich, sodass die Strafbarkeit nicht wegen des Einsatzes von Mittelsmännern ausscheidet.

Eine Strafbarkeit scheidet nach der Gesetzesbegründung (BT-Drs. 18/5088) auch aus, wenn der durch die Vortat verletzte Berechtigte die ihm gestohlenen Daten zurückkauft.

Der Täter muss vorsätzlich handeln. Von seinem Vorsatz muss insbesondere der Umstand erfasst sein, dass die Daten von einem anderen durch eine rechtswidrige Tat erlangt worden sind. Wie bei der Sachhehlerei ist dafür erforderlich, dass der Täter die als möglich und nicht ganz fernliegend erkannte Tatbestandsverwirklichung billigend in Kauf nimmt oder sich um des erstrebten Zieles willen wenigstens mit ihr abfindet. Allein das Bewusstsein, dass die Daten aus irgendeiner rechtswidrigen Tat stammen, reicht zur Vorsatzbegründung nicht aus. Die genauen Einzelheiten der Vortat, d.h. ihre Art, die Umstände ihrer Begehung oder die Person des Vortäters müssen nicht bekannt sein. Auch den Umstand, dass es sich um nicht öffentlich zugängliche Daten handelt, hat der Täter in seinen Vorsatz aufzunehmen. Der Vorsatz muss zum Zeitpunkt der Tathandlung gegeben sein. Erfährt der Täter nachträglich von der illegalen Herkunft der Daten, so erfüllt er den Tatbestand nur, wenn er im Anschluss daran tatbestandliche Handlungen vornimmt wie beispielsweise das Verbreiten der inkriminierten Daten.

§ 202d Abs. 3 StGB sieht einen Tatbestandsausschluss für Handlungen vor, die ausschließlich zu dem Zwecke der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere Handlungen von Amtsträgern, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen.

6. Computerbetrug

Der in § 263a StGB geregelte Computerbetrug ist eine Sonderform des Betruges. Der Tatbestand des Computerbetruges besteht aus folgenden Tatbestandsmerkmalen:

  • Beeinflussen des Ergebnisses eines Datenverarbeitungsvorgangs durch

    • unrichtige Gestaltung des Programms

    • durch Verwendung unrichtiger oder unvollständiger Daten

    • durch unbefugte Verwendung von Daten

    • oder sonst durch unbefugte Einwirkung auf den Ablauf

  • Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen

  • Eintritt eines Vermögensschadens

Wer unter Benutzung eines ihm zugeteilten Passwortes im Internet in der Absicht, das Entgelt nicht zu bezahlen, Leistungen über ein vollautomatisch ablaufendes Computerprogramm in dem Wissen bestellt, dass dies keine Bonitätsprüfung umfasst, begeht keinen Computerbetrug (OLG Karlsruhe 21.01.2009 - 2 Ss 155/08).

7. Datenveränderung - § 303a StGB

Gemäß § 303a Abs. 3 StGB wird, wer rechtswidrig Daten (s. § 202a Abs. 2 StGB) löscht, unterdrückt, unbrauchbar macht oder verändert, mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Daten sind codierte, auf einem Datenträger fixierte Informationen. Der Tatbestand kann durch folgende Handlungen erfüllt werden:

  • Löschen ist das vollständige und unwiederbringliche Unkenntlichmachen der Speicherung.

  • Ein Unterdrücken liegt vor, wenn dem Verfügungsberechtigten der Zugriff entzogen wird.

  • Unbrauchbarmachen ist die Zerstörung der Wirkungsweise.

  • Verändern ist das Herbeiführen eines anderen Zustandes.

Gemäß § 303a Abs. 3 StGB ist auch die Vorbereitung der Datenveränderung strafbar.

8. Computersabotage - § 303b StGB

Gemäß § 303b StGB wird, wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, durch eine der in § 303b Abs. 1 Nr. 1 -3 StGB aufgeführten Handlungen erheblich stört, mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Die Beschränkung des Grundtatbestandes auf fremde Betriebe, fremde Unternehmen oder eine Behörde wurde im August 2007 aufgegeben. Vielmehr werden mit der jetzigen Fassung des § 303b StGB auch Datenverarbeitungssysteme von Privatpersonen erfasst, die nicht selten ebenfalls das Ziel einer Computersabotage werden.

Datenverarbeitungen, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung sind, werden nun von der Qualifizierung gemäß § 303b Abs. 2 StGB erfasst.

Bei der Beurteilung der wesentlichen Bedeutung der Datenverarbeitung für die Privatperson ist nach der Gesetzesbegründung darauf abzustellen, ob die Datenverarbeitungsanlage für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt. Dies soll u.a. dann der Fall sein, wenn die Datenverarbeitung zur Erwerbstätigkeit der Person genutzt wird, nicht jedoch bei einer reinen Nutzung zur Kommunikation oder von Computerspielen.

 Siehe auch 

Ernst: Das neue Computerstrafrecht; Neue Juristische Wochenschrift - NJW 2007, 2661

Haurand: Schutz gegen Computerkriminalität. Verschärfung und Ergänzung des materiellen Strafrechts; Neue Wirtschafts-Briefe 2007, 3553