IT-Strafrecht

E-Evidence-Verordnung: Sinnvolle Harmonisierung des europäischen Strafverfahrens oder Gefährdung des Rechtsstaats?

E-Evidence-Verordnung: Sinnvolle Harmonisierung des europäischen Strafverfahrens oder Gefährdung des Rechtsstaats?

Webdienste, Datenbanken, Clouds und Apps sind nicht an Ländergrenzen gebunden. Sie können überall in der Welt bereitgestellt werden und benötigten nicht zwingend eine physische Infrastruktur. Auch brauchen IT-Dienstanbieter keine Firmenpräsenz in dem Land, in sie Dienstleistungen anbieten. In Ermittlungsverfahren, in denen Beweismittel oder Dienstanbieter außerhalb des hoheitlichen Zugriffsbereichs nationaler Ermittlungsbehörden liegen, sind die Möglichkeiten beweisbezogener Informationsbeschaffung begrenzt.[1] Dies stellt Staatsanwaltschaften und Gerichte in der gesamten europäischen Union häufig vor praktische Schwierigkeiten.

Was ist die E-Evidence-Verordnung?

Die EU-Kommission hat einen Entwurf einer Verordnung vorgelegt, welche hinsichtlich der Gewinnung elektronischer Beweismittel die Rechtshilfe innerhalb der EU effizienter gestalten und die länderübergreifende Zusammenarbeit zwischen Strafverfolgungsbehörden innerhalb der EU-Mitgliedstaaten verbessern soll.[2] Bisherige Kooperationsverfahren innerhalb der EU brachten nicht den erhofften Erfolg, da sie zu kompliziert und träge waren.

Bereits seit 2016 wird gefordert, ein gemeines Konzept zu schaffen, um die Zuständigkeitsfrage im Cyberspace verpflichtend zu regeln. Zu den vorhandenen Instrumenten – wie dem EU-Haftbefehl[3] – soll den Strafermittlern daher ein neues Werkzeug in die Hand gegeben werden, welches die Strafermittlung und Strafverfolgung im Cyberspace vereinfachen soll.[4] Die E-Evidence-Verordnung, die 2018 vorgelegt und im Rahmen der Legislaturperiode 2019-2024 weiter diskutiert wird, soll dies ermöglichen.

Konkret sollen mithilfe der E-Evidence-Verordnung (zu Deutsch: Europäische Herausgabe- und Sicherungsanordnungen für elektronische Beweismittel im Strafrecht) Staatsanwaltschaften aller EU-Mitgliedsländer digitale Beweise unbürokratisch und schnell sichern und abgreifen können.

Nach dem aktuellen Entwurf soll den Behörden eines Mitgliedsstaats künftig ein standardisiertes Verfahren zur Verfügung gestellt werden, mit dem europaweite Auskunftsersuchen an Anbieter informationstechnischer Dienste, wie Webmailanbieter, Messenger-Dienste, Cloud-Betreiber, soziale Netzwerke, Hoster und Provider, gestellt werden können. Das Ersuchen verpflichtet die Dienstanbieter zur Sicherung und Herausgabe von Daten.[5]

Voraussetzungen der E-Evidence-Verordnung

Die Europäischen Herausgabe- und Sicherungsanordnung darf nur für Strafverfahren genutzt werden.[6] Die Maßnahme darf nur während eines laufenden Ermittlungs- oder Gerichtsverfahrens angeordnet werden. [7] Nach rechtskräftigem Abschluss des Strafverfahrens darf das Auskunftsverfahren daher nicht (mehr) eingesetzt werden. Es ist davon auszugehen, dass mit „Gerichtsverfahren“ nach deutschem Recht das Zwischenverfahren (§§ 199 ff. StPO), das Hauptverfahren (§§ 212ff. StPO) sowie das Rechtsmittelverfahren (§§ 312 ff StPO) gemeint sind. Die Anordnungen können somit in jedem Zeitpunkt des deutschen Strafverfahrens angewandt werden.

Konkret wird die Herausgabeanordnung vom Anordnungsstaat, dessen nationale Behörde die Ermittlungen führt, erlassen und anschließend vom Vollstreckungsstaat umgesetzt.

Grundsätzlich darf die Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO für alle Straftaten erlassen werden. Eine Beschränkung auf bestimmte Delikte, wie es bspw. die Telekommunikationsüberwachung nach § 100a Abs. 2 StPO oder die Online-Durchsuchung nach § 100b Abs. 2 StPO vorsehen, ist dem Entwurf nicht zu entnehmen. Ob von der Verordnung auch Ordnungswidrigkeiten nach dem OWiG erfasst sind, bleibt offen.

Die Anordnungsmaßnahme muss, unabhängig davon ob es sich um die Herausgabe- oder Sicherungsanordnung handelt, stets notwendig sein und dem Gebot der Verhältnismäßigkeit entsprechen.[8]

Ferner gilt das sog. Herkunftslandprinzip. Die Anordnungsbehörde bewertet mögliche Straftaten allein nach den inländischen Gesetzen des Herkunftslandes. Das Prinzip der beiderseitigen Strafbarkeit[9], wonach das entsprechende Verhalten in beiden Ländern strafbewehrt sein muss, gilt ausdrücklich nicht. Die E-Evidence-VO sieht für die Herausgabeanordnung lediglich vor, dass in beiden Staaten eine vergleichbare Ermächtigungsgrundlage für die konkret durchzuführende Ermittlungsmaßnahme vorhanden sein muss.[10]

Die Anordnungen können auch in Verfahren erlassen werden, die sich gegen eine juristische Person im Anordnungsstaat richtet.[11] Die Maßnahmen könnten ebenfalls Ordnungswidrigkeitsverfahren – sofern diese erfasst sind – gegen Unternehmen (§ 30 OWiG) betreffen. De lege ferenda wären auch Verfahren nach dem Verbandssanktionengesetz, welches sich derzeit noch im Entwurfsstadium befindet[12], von der E-Evidence-VO erfasst.

Weitere Voraussetzung ist, dass der adressierte IT-Dienstanbieter seine Dienste zumindest innerhalb der EU anbietet.

Umfang der Herausgabepflicht nach der E-Evidence-VO

Die E-Evidence-VO unterscheidet bei der Herausgabepflicht zwischen Teilnehmer- und Zugangsdaten sowie Inhalts- und Transaktionsdaten.

  • Unter Teilnehmerdaten fallen Daten wie das Geburtsdatum, die Postanschrift, die Telefonnummer oder die E-Mail-Adresse des Betroffenen.[13] Zugangsdaten sind Daten, anhand derer festgestellt werden kann, wann der Benutzer den betreffenden Dienst genutzt hat, wie bspw. die Uhrzeit und die IP-Adresse. [14] Die Herausgabe von Teilnehmer- und Zugangsdaten kann laut Entwurf stets erlassen werden.[15] Gleiches gilt für die Sicherungsanordnung.[16]
  • Die Herausgabe von Inhalts- und Transaktionsdaten hingegen kann nur bei Straftaten angeordnet werden, die im Anordnungsstaat im Höchstmaß mit einer Freiheitsstrafe von mindestens drei Jahre sanktioniert werden. [17] Unabhängig vom Strafmaß kann sie auch bei ausgewählten Straftaten, die mittels eines Informationssystems begangen werden, durchgeführt werden.[18] Unter den Begriff der Transaktionsdaten fallen Daten, die im Kontext mit der der vom Dienstanbieter angebotenen Leistung stehen.[19] Hierunter fallen Daten, die vom Dienstanbieter selbst generiert werden, wie bspw. ein vorgeschlagener Routenverlauf bei einem Online-Routenplaner. Inhaltsdaten sind Daten, die in digitalen Formaten gespeichert werden, wie bspw. Videos, Bilder oder Tonaufzeichnungen.[20]

Da Transaktions- und Inhaltsdaten sensibler sind, sieht der Entwurf bei der Anordnung der Herausgabe einen Richtervorbehalt vor.[21] Für Teilnehmer- und Zugangsdaten kann die Anordnung der Herausgabe durch die Staatsanwaltschaft erfolgen. [22] Von besonderer Bedeutung ist der Umstand, dass der Richtervorbehalt nur für die ermittelnden Behörde des Anordnungsstaates gilt, nicht jedoch für den Vollstreckungsstaat. Eine Überprüfung grundrechtsinvasiver Herausgabeanordnungen durch die Judikative des Vollstreckungsstaates fehlt ebenso wie dahingehende Rechtsschutzmöglichkeiten des Betroffenen.

Ablauf der Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO

Der Ablauf des Verfahrens erfolgt in zwei Schritten:

  • In einem ersten Schritt erlässt die Ermittlungsbehörde des Anordnungsstaates eine Sicherungsanordnung. Diese richtet sie direkt an den betroffenen Dienstanbieter. Das Anliegen wird hierbei in Form eines Zertifikats, dem sog. EPOC-PR, an den Dienstanbieter übermittelt.[23] Das Zertifikat verpflichteten ihn zum „Quick Freeze“[24], also zur unverzüglichen Sicherung der angeforderten Daten für einen Zeitraum von 60 Tagen.[25]
  • In einem zweiten Schritt schickt die Behörde eine europäische Herausgabeanordnung (EPOC), die ebenfalls zertifiziert ist, um an die gesicherten Daten zu gelangen. Der Dienstleister muss innerhalb von zehn Tagen nach Erhalt des EPOC-Anfragezertifikats auf die Anordnung reagieren.[26] In eiligen Verfahren ist diese Frist sogar auf 6 Stunden verkürzt.[27] Sobald die Herausgabeanordnung erfolgt, sind die Daten seitens des Dienstanbieters so lange zu sichern, wie dies zur Herausgabe erforderlich ist.[28]

Der Dienstanbieter kann eine Erstattung seiner Kosten durch den Anordnungsstaat geltend machen.[29] Sofern der adressierte Dienstanbieter seinen Verpflichtungen aus der Anordnung nicht nachkommt, muss er mit finanziellen Sanktionen, wie bspw. einem Bußgeld, rechnen. Zur Höhe der finanziellen Sanktion schweigt die E-Evidence-VO. Dem Entwurf ist lediglich zu entnehmen, dass die Sanktion wirksam, verhältnismäßig und abschreckend sein muss.[30]

Anmerkungen und Kritik zum Entwurf der E-Evidence-VO

Die zunehmende Digitalisierung und Internationalisierung, die beinahe jeden Lebensbereich zu erfassen scheint, betrifft auch das Strafrecht. Die Gewinnung elektronischer Daten, die sich innerhalb einer Cloud befinden, die nicht selten auf einem ausländischen Server gehostet wird, führt im Rahmen von Strafermittlungen zu faktischen und juristischen Schwierigkeiten.

Dass die E-Evidence-VO diesem Problem begegnen will und zur Effektivität und Praxistauglichkeit im Rahmen grenzüberschreitender elektronischer Ermittlungstätigkeit beitragen möchte, ist verständlich und nachvollziehbar. Jedoch birgt die Harmonisierung des europäischen Strafverfahrens, insbesondere wenn sie übereilt erfolgt, untrügliche Gefahren.

Mit der E-Evidence-VO wird eine EU-weite Erweiterung einzelner Ermittlungsbefugnisse angestrebt, obwohl innerhalb der EU weder ein gleichwertiger Mindeststandard an Bürgerrechten besteht noch ein einheitliches europäisches Strafrecht vorhanden ist. Insbesondere die EU-weiten Unterschiede im materiellen Strafrecht, also der Strafgesetze, die ein konkretes Verhalten mit Strafe sanktionieren, können zu perfiden Situationen führen. Als Beispiel wird die Abtreibung genannt. Auf Malta kann der durchführende Arzt mit einer Freiheitsstrafe von bis zu vier Jahren sowie einem Berufsverbot bestraft werden. In Deutschland ist die Durchführung der Abtreibung grundsätzlich straflos. Sollte der betroffene maltesische Arzt ein E-Mail-Konto bei einem deutschen Anbieter unterhalten, so kann die Maßnahme der Sicherung und Herausgabe bei diesem vollstreckt werden, obwohl nach deutschem Recht nicht einmal ein Anfangsverdacht im Sinne von § 152 Abs. 2 StPO vorliegt.

Der Vorschlag der Europäischen Kommission mag zwar gut gemeint sein, er zäumt das Pferd aber von hinten auf. In der Bundesrepublik genießen wir einen vergleichsweise hohen Grundrechtsschutz. Anderen Mitgliedsstaaten der EU, die keinen gleichwertigen Standard garantieren, unmittelbare Eingriffsbefugnisse zu gestatten, bringt den Verzicht an Hoheitsrechten und staatlichen Souveränität mit sich. Die europäische Generalermächtigung in Form der E-Evidence-VO führt gleichzeitig dazu, dass nationales Verfassungsrecht umgangen wird, was unweigerlich zu einem Verlust an Rechtsstaatlichkeit führt.

Sinnvoller erscheint es, zunächst ein grundrechtlicher Mindeststandard innerhalb der EU zu etablieren, bevor eine grundrechtsinvasive Verordnung, wie die E-Evidence-VO, in Kraft tritt.

Des Weiteren sollten zunächst eine unabhängige Institution geschaffen werden, welche die Einhaltung der Rechtmäßigkeit und Verhältnismäßigkeit der Europäischen Herausgabe- und Sicherungsanordnungen EU-weit überprüfen soll und an die sich der Adressat der Maßnahme wenden kann. Der Entwurf sieht weder einheitliche Rechtsschutzmöglichkeiten für den Betroffenen vor, noch lässt sich dem Entwurf entnehmen, wohin sich der Betroffene im Bedarfsfall wenden soll. Auch thematisiert der Entwurf nicht, ob der Vollstreckungsstaat, der nicht einmal konkrete Kenntnis von der Durchführung der Maßnahme erhält, die Maßnahme des Anordnungsstaates im Zweifelsfall überprüfen darf. Der Grundrechtsschutz soll allein durch das vorherige Einschalten einer Justizbehörde beim Erlass der Anordnung gewährleistet sein. Nach Ansicht des Deutschen Richterbundes führt dies jedoch zu einer weitestgehenden Rechtslosigkeit für die Betroffenen.[31]

Strafverfolgungsbehörden weitere internationale Eingriffsbefugnisse zu geben, ohne die Einhaltung des Grundrechtsschutzes für die Betroffenen Bürger zu garantieren, ist aus rechtsstaatlicher Sicht nicht vertretbar. Ebenso ist rechtsstaatlich unvertretbar, ausländische Gerichte und Ermittlungsbehörden mit hoheitlichen Befugnissen auszustatten, ohne den eigenen Institutionen Machtmittel in die Hand geben, um die exterritorialen angeordneten Maßnahmen erkennen und überprüfen zu können.

Auch die praktische Handhabung der Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO wirft viele Fragen auf. Wie beschrieben soll die Herausgabenanordnung in bestimmten Fällen innerhalb von 6 Stunden nach Erhalt der Anfrage erfolgen. Dienstanbieter werden bereits Schwierigkeiten damit haben, die angeforderten Daten innerhalb dieses kleinen Zeitfensters ausfinding zu machen, zu isolieren und zu sichern. Wie sie gleichzeitig überprüfen sollen, ob die von einer ausländischen Behörde angefragten Daten überhaupt herausgeben werden dürfen, bleibt fraglich. Viele kleinere IT-Dienstleister verfügen jedenfalls nicht über die hierfür notwendige rechtliche Kompetenz oder eine eigene Rechtsabteilung. Sie müssten sich daher zunächst extern um Rechtsrat bemühen. [32] Dienstanbieter können sich zwar um Kostenerstattung bemühen. Ob hierbei auch die Erstattung von Rechtsberatungskosten umfasst ist, bleibt unklar. Eine rechtliche Unterstützung (bspw. im Falle rechtlicher Unklarheiten) durch inländische Institutionen ist jedenfalls vorgesehen. Auch bleiben Haftungsfragen im Falle der unberechtigten Herausgabe von Daten ungeklärt.

Sollten die Institutionen der EU weiter an ihrem Plan der Umsetzung der Verordnung festhalten wollen, sind noch viele Fragen zu klären. Es lohnt sich für den Praktiker in jedem Fall die E-Evidence-VO weiter im Blick zu behalten.

Fußnoten

[1] Vgl. Begründung der E-Evidence-VO vom 17.4.2018.

[2] Der Entwurf ist abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52018PC0225&from=EN

[3] Vgl. zum EU-Haftbefehl bspw. Gaede, NJW 2013, 1279f.

[4] S. 3 d. Entwurfs.

[5] Vgl. Begründung der E-Evidence-VO vom 17.4.2018.

[6] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[7] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[8] Vgl. Art. 5 Abs. 2 und Art. 6 Abs. 2 E-Evidence-VO vom 17.4.2018.

[9] Das Prinzip gilt bei internationalen Auslieferungsersuchen. Vgl. Grundsatz der Grundsatz der Gegenseitigkeit nach § 5 IRG.

[10] Vgl. Art. 5 Abs. 2 E-Evidence-VO vom 17.4.2018.

[11] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[12] Vgl. zum aktuellen Referentenentwurf zum Verbandssanktionengesetz: Gercke/Grözinger auf LTO https://www.lto.de/recht/hintergruende/h/verbandssanktionengesetz-entwurf-bmjv-compliance-interne-untersuchungen-trennung-strafverteidigung-gastkommentar/

[13] Vgl. Art. 2 Nr. 7 E-Evidence-VO vom 17.4.2018.

[14] Vgl. Art. 2 Nr. 8 E-Evidence-VO vom 17.4.2018.

[15] Vgl. Art. 5 Abs. 3 E-Evidence-VO vom 17.4.2018.

[16] Vgl. Art. 6 Abs. 2 a. E. E-Evidence-VO vom 17.4.2018.

[17] Hiermit sind Straftaten im Sinne der Artikel 3, 4 und 5 des Rahmenbeschlusses 2001/413/JI des Rates gemeint.

[18] Hiermit sind Straftaten im Sinne der Artikel 3, 4 und 5 des Rahmenbeschlusses 2001/413/JI des Rates gemeint.

[19] Vgl. Art. 2 Nr. 9 E-Evidence-VO vom 17.4.2018.

[20] Vgl. Art. 2 Nr. 10 E-Evidence-VO vom 17.4.2018.

[21] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[22] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[23] Vgl. Art. 10 Abs. 1 E-Evidence-VO vom 17.4.2018.

[24] Zu technischen Hintergründen: Bleich, ct magazin Heft Nr. 16 2019, S. 166f.

[25] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[26] Vgl. Art. 9 Abs. 1 E-Evidence-VO vom 17.4.2018.

[27] Vgl. Art. 9 Abs. 2 E-Evidence-VO vom 17.4.2018.

[28] Vgl. Art. 10 Abs. 2 E-Evidence-VO vom 17.4.2018.

[29] Vgl. Art. 12 E-Evidence-VO vom 17.4.2018.

[30] Vgl. Art. 13 E-Evidence-VO vom 17.4.2018.

[31] Siehe: https://www.drb.de/positionen/stellungnahmen/stellungnahme/news/618/

[32] Bleich, ct magazin Heft Nr. 16 2019, S. 166f.

Posted by Dr. Mathias A. Grzesiek in Internationalisierung des Strafrechts, IT-Strafrecht
Unverwertbarkeit von TKÜ-Ergebnissen bei Täuschung des Ermittlungsrichters

Unverwertbarkeit von TKÜ-Ergebnissen bei Täuschung des Ermittlungsrichters

Rechtsprechungshinweis: Urteil des AG München v. 15.11.2018 – Aktenzeichen: 1117 Ls 364 Js 10664618

Hat die Ermittlungsbehörde einen Beschluss des Ermittlungsrichters zur Anordnung der Telekommunikationsüberwachung nach § 100a StPO dadurch herbeigeführt, dass sie den Sachverhalt unrichtig darstellt, um den erforderlichen Tatverdacht gegen den Beschuldigten zu begründen, so sind die Ergebnisse der Telekommunikationsüberwachung unverwertbar.

Anmerkung: Die Durchführung der „klassischen“ Telekommunikationsüberwachung nach § 100a StPO wird von der Staatsanwaltschaft beantragt. Sie setzt gem. § 100e Abs. 1 StPO grundsätzlich eine richterliche Anordnung voraus (Richtervorbehalt). Bei Gefahr im Verzug kann die Anordnung auch allein durch die Staatsanwaltschaft getroffen werden. Sie tritt jedoch außer Kraft, sofern sie nicht binnen drei Werktagen gerichtlich bestätigt wird. Im hiesigen Fall hat die Ermittlungsbehörde den Sachverhalt, welcher Grundlage der Entscheidung des Ermittlungsrichters ist, falsch dargestellt. Hierdurch kam es zu einer gerichtlichen Entscheidung, die auf unrichtigen Tatsachen beruhte. Das Amtsgericht München erblickte hierin einen Verfahrensverstoß (Beweiserhebungsverbot), der zu einem Beweisverwertungsverbot führte. Die Entscheidung des AG München ist aus rechtsstaatlicher Sicht begrüßenswert. Da § 100e Abs. 1 StPO sich auf alle Maßnahmen nach den §§ 100a bis 100c StPO bezieht, gilt die Unverwertbarkeit von Ermittlungsergebnisse, die auf einer irrtumgsbedingten richterlichen Anordnung beruhen, ebenso für die Quellen-TKÜ nach § 100a Abs. 1 S. 2 u. 3 StPO sowie für die Online-Durchsuchung nach § 100b StPO.

 

Posted by Dr. Mathias A. Grzesiek in IT-Strafrecht, Rechtsprechung
Datenhehlerei nach § 202d StGB

Datenhehlerei nach § 202d StGB

A. Gesetzeswortlaut

Der Straftatbestand der Datenhehlerei ist in § 202d Strafgesetzbuch (StGB) kodifiziert und besteht aus drei Absätzen, die im Einzelnen lauten:

(1) Wer Daten (§ 202a Absatz 2 StGB), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe.

(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere

1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie

2. solche beruflichen Handlungen der in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen, ausgewertet oder veröffentlicht werden.

B. Schutzgut der Datenhehlerei nach § 202d StGB

Die Datenhehlerei schützt das formelle Datengeheimnis, welches durch eine entsprechende Vortat – zum Beispiel das Ausspähen von Daten­ – verletzt worden ist, vor einer Aufrechterhaltung und Vertiefung dieser Verletzung.[1]

Der Berechtigte verliert mit der Vortat die Möglichkeit, zu entscheiden, wem seine Daten zugänglich sein sollen. Diese Rechtsgutsverletzung wird aufrechterhalten und vertieft, wenn sich im Anschluss daran ein Dritter die gestohlenen Daten verschafft und damit die Daten weiterverbreitet werden. Durch diese Perpetuierung der dolosen Verfügungsmacht erhält ein Dritter die Möglichkeit, über die Zugänglichmachung der Daten zu entscheiden, wodurch es für diesen schwieriger wird, seine Daten nachzuverfolgen und die alleinige Verfügungsbefugnis wiederzuerlangen.[2]

In der Gegenüberstellung mit der (Sach-) Hehlerei (§ 259 StGB) lassen sich einige Aspekte diskutieren. So kann die Frage aufgeworfen werden, ob das Sich-Verschaffen von Daten und die Wegnahme von Objekten hinsichtlich der Überwindung eines fremden Herrschaftsbereichs miteinander vergleichbar sind; ergo denselben Unrechtscharakter besitzen.[3]

Während das „Opfer“ beim Diebstahl zumindest die Sachherrschaft über das Diebesgut verliert, bleibt bei der Datenhehlerei oftmals eine Kopie der Daten vorhanden. Jedenfalls scheint bei der Datenhehlerei neben der Verfügungsberechtigung auch das „allgemeine Sicherheitsinteresse“ erfasst zu sein.[4]

C. Deliktsaufbau

I. Tatbestand des 202d Abs. 1 StGB

1. Objektiver Tatbestand

a. Daten als Tatobjekt der Datenhehlerei

Angriffsobjekt des Tatbestands sind in Übereinstimmung mit § 202a II StGB „Daten“. Der Begriff wird nicht legaldefiniert, sondern lediglich durch bestimmte Merkmale eingegrenzt. Hierdurch hat der Gesetzgeber dem Anwender des Gesetztes die Möglichkeit offengehalten auf neue Entwicklungen innerhalb der Informationstechnologie schnell und flexibel reagieren zu können.[5] Daten sind nach dem technischen Datenbegriff der Norm DIN 44300 „Zeichen oder kontinuierliche Funktionen aufgrund bekannter oder unterstellter Abmachungen zum Zwecke der Verarbeitung dargestellte Informationen“; kurzum die Darstellung einer Information mithilfe bestimmter Codes.[6] Hierunter fallen auch Musik- , Video- und Filmdateien sowie andere Media-Daten.

Es werden nur nicht öffentlich zugängliche Daten vom Tatbestand erfasst. Öffentlich zugänglich sind Daten, die jedermann ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts nutzen kann (§ 10 V S. 2 BDSG a.F. und nunmehr Art. 4 DSGVO).[7]

Abgestellt wird somit darauf, ob die Informationsquelle technisch geeignet und bestimmt ist, einem individuell nicht bestimmbaren Personenkreis Informationen zu verschaffen. Aus diesem Grund sind insbesondere veröffentlichte, urheberrechtlich geschützte Werke auch dann allgemein zugänglich, wenn für ihre Nutzung bezahlt werden muss.[8]

Als allgemein zugängliche Quellen kommen damit beispielhaft in Frage: Rundfunk, Fernsehen, Printmedien, Aushänge, Datenbanken und das Internet (hier sicherlich nur das Visible Net und nicht das Darknet). In all diesen Fällen kann eine Beeinträchtigung der formellen Verfügungsbefugnis des Berechtigten nicht gegeben sein. Der Umkehrschluss verdeutlicht, dass die Datenverwendung jedermann aus öffentlichen Quellen offensteht.

b. Vortat einer Datenhehlerei

Die Daten müssen durch eine rechtswidrige (Vor-) Tat (§ 11 Abs. 1 Nr. 5 StGB) erlangt worden sein. Als Vortat der Datenhehlerei kommen ­– wie auch bei der Sachhehlerei – demzufolge alle Straftaten in Betracht, die ein Strafgesetz verwirklichen, unabhängig von der Schuld des Täters oder dem Vorliegen eines Strafantrages.[9] Eine taugliche Vortat liegt damit nicht nur in dem Abfangen und Ausspähen von Daten (§§ 202a, 202b StGB) vor, sondern auch in einem Diebstahl (§ 242 StGB), (Computer-) Betrug (§§ 263, 263a StGB) oder einer Nötigung (§ 240 StGB). Voraussetzung bleibt, dass sich die Tat im Einzelfall auch gegen die formelle Verfügungsbefugnis des Berechtigten richtet und der Täter kausal Daten erlangt hat. Die Vortat muss zum Zeitpunkt des abgeleiteten Erwerbs abgeschlossen sein.[10] Nicht erfasst sind mithin Vertragsverletzungen, Disziplinarvergehen oder Ordnungswidrigkeiten. Ebenfalls vermag eine Urheberrechtsverletzung keine Vortat zu begründen.

Berichtigter im Sinne der Vorschrift ist, wer über die Daten verfügen darf, im Regelfall derjenige, der die Daten gesammelt und abgespeichert hat oder auf dessen Veranlassung die Speicherung erfolgt ist. Eigentum oder Besitz spielen dabei keine Rolle. Datenschutzrechtlich Betroffener kann auch eine andere Person sein, wenn die Daten Einzelangaben über seine persönlichen oder sachlichen Verhältnisse enthält.[11]

c. Tathandlung der Datenhehlerei

Tatbestandshandlung ist das „Sich- (oder einem anderen) Verschaffen“, „Überlassen“, „Verbreiten“ oder „sonst zugänglich machen“. Die Regelung folgt damit dem § 202 c I StGB. Auf die dort zu findende Variante des „Verkaufens“ ist bewusst verzichtet worden. Der Gesetzgeber hat sich in dem Gesetzesentwurf somit darauf festgelegt, dass der Täter durch die Tathandlung die tatsächliche Verfügungsgewalt erlangen muss; unabhängig von dem Schließen eines Kaufvertrags.[12]

Es ist ein einverständliches Zusammenwirken zwischen Täter und Vortäter erforderlich. Die vom Vortäter geschaffene Möglichkeit, Zugriff auf die Daten nehmen zu können, muss vom Täter im Einvernehmen mit dem Vortäter genutzt werden.[13]

Hat der Täter zwar Kenntnis von der Vortat, nutzt aber den Vortäter nicht als Quelle, scheidet eine Strafbarkeit wegen Datenhehlerei aus. Damit ist nicht ausreichend, dass der Täter nur mit einem anderen zusammenwirkt, der die Daten nicht durch eine eigene rechtswidrige Tat, sondern nur infolge der rechtswidrigen Tat eines Dritten erlangt hat.[14] Täter und Vortäter müssen keinen unmittelbaren Kontakt haben. Die Strafbarkeit scheitert nicht schon wegen des Einsatzes von Mittelmännern.[15]

2. Subjektiver Tatbestand der Datenhehlerei

Im Hinblick auf das Tatobjekt und die rechtswidrige Vortat ist gem. § 15 StGB Vorsatz erforderlich. Hierbei genügt Eventualvorsatz.

Der Täter muss den Umstand in seinen Vorsatz aufnehmen, dass die Daten nicht öffentlich zugänglich sind. Die konkrete Umsetzung der Vortat muss er nicht kennen. Es genügt das bloße Bewusstsein, dass die Daten aus irgendeiner rechtswidrigen Tat stammen. Demzufolge braucht keine nähere Kenntnis in Form von Ort und Zeit der Tatbegehung, Person des Vortäters oder Art und Weise des Vorgehens vorzuliegen. Bei nachträglich erlangter Kenntnis des Datenhehlers von der illegalen Herkunft der Daten kommt es auf seine Reaktion an: Eine Strafbarkeit besteht nur dann, wenn nach Erlangung der Kenntnis tatbestandliche Handlungen vorgenommen werden.[16]

Weiterhin muss der Täter in der Absicht handeln, sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Bereicherungsabsicht ist gegeben, wenn es dem Täter darauf ankommt durch die Tat einen Vermögensvorteil zu erlangen. Schädigungsabsicht liegt vor, sofern das Handeln des Täters darauf gerichtet ist, einer anderen Person einen Nachteil zuzufügen. Dieser kann auch immaterieller Natur sein, wie etwa Datenhandel im Internet zum Zweck öffentlicher Bloßstellung oder politischer Agitation.[17]

II. Strafrahmenlimitierung nach § 202 Abs. 2 StGB

Gemäß § 202 d II wird der Strafrahmen der Datenhehlerei durch denjenigen der Vortat begrenzt. Der Gesetzesentwurf der Bundesregierung begründet das damit, dass die Rechtsgutsverletzung der Hehlerei nicht schwerer wiegen würde als die der Vortat und infolgedessen auch nicht schwerer bestraft werden sollte.[18]

III. Tatbestandsausschluss nach § 202 Abs. 3 StGB

202d Abs. 3 StGB sieht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen, einen Tatbestandsausschluss vor. Privilegiert werden insbesondere Handlungen von Amtsträgern (§ 11 II Nr. 2 StGB). Aber auch behördenexterne Personen können aufgrund eines privatrechtlichen Auftrages von einem Amtsträger beauftragt werden. Zu einer dienstlichen Pflicht gehört etwa die Verpflichtung zu Einleitung eines Ermittlungsverfahrens im Falle des Anfangsverdachts einer Straftat durch die Staatanwaltschaft (§ 152 II StPO) und Polizeibehörden (§ 163 I StPO).[19] Die Handlung darf nur ausschließlich der rechtmäßigen Pflichterfüllung dienen.[20]

Durch die Tatbestandsausschlussregelung soll sichergestellt werden, dass Daten zum Zwecke von Ermittlungen und für journalistische Tätigkeiten verwendet werden dürfen.[21]

Die berufliche Pflicht soll dabei insbesondere auch journalistische Tätigkeiten in Vorbereitung einer konkreten Veröffentlichung umfassen. Nur die spezifische Aufgabenerfüllung kann dabei einziger Grund für die Verwendung der Daten sein (Ausschließlichkeitskriterium).[22] § 202 Abs. 3 S. 2 Nr. 2 StGB bezieht sich auf den Ankauf von steuerrechtlich relevanten Daten (Steuer CDs, s.o.). Aber auch die freie Entscheidung des Journalisten, im Rahmen seiner beruflichen Tätigkeit über eine Sache zu berichten, wird erfasst.[23] Zu den in § 53 Abs. 1 S. 1 Nr. 5 StPO genannten Personen gehört, wer bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikationsdiensten berufsmäßig mitwirkt oder mitgewirkt hat.[24]

Dem entgegen merkt Weidmann zutreffend an, dass es „unklar und sehr zweifelhaft“ sei, ob alleine durch die Bezugnahme auf § 53 StPO neue Betätigungsfelder zur Meinungsbildung wie beispielsweise Blogger, Podcaster und Whistleblower- Plattformen mit einem etwaigen redaktionellen Bezug vom Tatbestandsausschluss erfasst sind oder an dieser Stelle nicht vielmehr eine nicht unerhebliche Beschränkung der Pressefreiheit zu befürchten ist.[25]

D. Kritik und rechtliche Einschätzung

Der Tatbestand der Datenhehlerei nach § 202d StGB hat seit seinem Inkrafttreten Ende 2015 für viel Wirbel gesorgt. Der Gesetzgeber musste sich schon seit dem Bekanntwerden des Gesetzesvorhabens mit ihm gegenüber stark entgegengebrachter Kritik auseinandersetzen.

Kritiker befürchten durch die neue Regelung eine Bedrohung der grundrechtlich geschützten Presse- und Wissenschaftsfreiheit (Art. 5 Abs. 1 S. 2 GG).[26]

Daneben wird die „geschaffene Rechtsunsicherheit“ bemängelt.[27] Blogger, Twitter-User und Whistleblower sowie Personen, die im IT-Bereich tätig sind, fühlen sich durch den Straftatbestand in ihrer Tätigkeit eingeschränkt.[28] Auch wird die Bezugnahme auf den Ankauf von „Steuer- CDs“ kritisiert. Der Gesetzgeber hat hier möglicherweise nur gehandelt, um eben jenes Verhalten eindeutig straffrei zu stellen. Kargl sieht hierin eine „kaum verhohlenen Absicht, einen Privilegierungstatbestand zu schaffen.“[29]

Gegen die Vorschrift des § 202d StGB, die durch das das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten aus 2015 geschaffen wurde, ist bereits Verfassungsbeschwerde eingelegt worden. Beschwerdeführer ist ein Verbund aus Journalisten, Freiheitsorganisationen und Juristen.[30] Im Rahmen der Verfassungsbeschwerde wird primär die Verletzung der Pressefreiheit gerügt. Beim Umgang mit Daten unbekannter oder unklarer Herkunft besteht für Journalisten die Gefahr einer Strafbarkeit. Des Weiteren kommt dem Tatbestand eine allgemeine Einschüchterungswirkung zu, da sich Journalisten der Gefahr von repressiven Ermittlungseingriffen wie einer Durchsuchung von Redaktionsräume ausgesetzt sehen.[31]

Fußnoten

[1] MüKoStGB/ Graf § 202d Rn. 2a.

[2] BeckOK StGB/ Weidemann § 202d Rn. 2; NK- StGB/ Kargl, § 202d Rn. 5;

MüKoStGB/ Graf § 202d Rn. 2a.

[3] NK- StGB/ Kargl, § 202d Rn. 5.

[4] MüKoStGB/ Maier § 259 Rn. 3.

[5] NK- StGB/ Kargl, § 202a, Rn. 4.

[6] BT-Drucks. V/4094; Fischer § 268 Rn. 4; MüKoStGB/ Graf § 202a Rn. 8.

[7] BeckOK StGB/Weidemann § 202d Rn. 4.

[8] BR-Drs. 249/15; MüKoStGB/ Graf Rn. 12; NK-StGB/ Kargl Rn. 6.

[9] BeckOK StGB/ Weidemann, § 202d Rn. 6;

[10] Berghäuser, JA 2017, S. 247; MüKoStGB/ Graf Rn. 13; NK-StGB/ Kargl Rn. 8.

[11] BeckOK StGB/ Weidemann, § 202d Rn. 7.

[12] BT-Drucks. 18/5088; NK-StGB/ Kargl Rn. 8.

[13] MüKoStGB/ Graf, § 202d Rn. 24.

[14] BeckOK StGB/ Weidemann, § 202d Rn. 12 (f.).

[15] BR- Drs. 249/15.

[16] NK-StGB/ Kargl, Rn. 10.

[17] NK- StGB/ Kargl, § 202d Rn. 2.

[18] BT-Drucks. 18/5088, S. 47.

[19] Nk- StGB/ Kargl, Rn. 13.

[20] MüKoStGB/ Graf, § 202d Rn. 31.

[21] BeckOK StGB/ Weidemann, § 202d Rn. 16.

[22] BT-Drucks. 12/4883, S. 8.

[23] BT-Drucks. 18/5088, S. 48.

[24] MüKoStGB/ Graf, § 202d Rn. 34.

[25] BeckOK StGB/ Weidemann, § 202d Rn. 17; Stam, StV 2017, S. 490.

[26] Stuckenberg, ZIS 8/2016, S. 530.

[27] Franck, RDV 2015, S. 182.

[28] Nk- StGB/ Kargl, Rn. 18.

[29] Nk- StGB/ Kargl, Rn. 18.

[30] https://netzpolitik.org/2017/netzpolitischer-wochenrueckblick-kw-2-wir-klagen-gegen-die-datenhehlerei/

[31]Verfassungsbeschwerde gegen die „Datenhehlerei“ vom 16.12.2016

Posted by Dr. Mathias A. Grzesiek in Cybercrime, Glossar, IT-Strafrecht