Gesetzentwurf zur Datenhehlerei: Wider den Schwarzmarkt für digitale Identitäten

Hessen hatte bereits im November 2012 der Justizministerkonferenz einen Vorschlag zur Datenhehlerei vorgelegt, der bis Anfang März in den Bundesrat eingebracht werden soll. Derzeit läuft die Feinabstimmung unter den Ländern. Unterdessen hat sich nun auch die CSU bei ihrem Treffen im oberbayerischen Wildbad Kreuth für einen entsprechenden Straftatbestand ausgesprochen.

Der hessische Gesetzentwurf reagiert auf den Handel mit widerrechtlich erlangten Daten und Sicherungscodes wie Zugangsdaten zu Onlinebanking, E-Mail-Accounts und sozialen Netzwerken über Webportale und Foren, der laut der Gesetzesbegründung nach den Erkenntnissen der nationalen und internationalen Strafverfolgungsorgane deutlich zunimmt.

Geplant ist es, einen § 259a neu in das Strafgesetzbuch (StGB) einzufügen. In Absatz 1 soll das Ankaufen, Verschaffen oder Absetzen von Passwörtern und ähnlichem, in Absatz 2 das Ankaufen, Verschaffen oder Absetzen von Daten unter Strafe gestellt werden. Der Strafrahmen umfasst dabei immerhin bis zu fünf Jahre Haft.

Es gibt gar keine Strafbarkeitslücke

Es ist ein durchaus wünschenswertes Unterfangen, den häufig im dunkel- bis dunkelgrauen Bereich stattfindenden Datenhandel rechtlich in die Schranken zu verweisen. Allerdings bedarf es dazu keiner neuen Strafnorm. Es gibt keine Strafbarkeitslücke, die das Gesetz rechtfertigen könnte. § 202a StGB, der das Ausspähen von Daten unter Strafe stellt, erfasst bei entsprechender Auslegung durchaus auch Fälle von Datenhehlerei. Zudem kann das unrechtmäßige Verschaffen von personenbezogenen Daten über die §§ 43, 44 Bundesdatenschutzgesetz (BDSG) geahndet werden.

Rechtssystematisch spricht allerdings nichts dagegen, die Datenhehlerei ausdrücklich zu regeln, da auch die "gewöhnliche" Hehlerei als Nachtat zum "gewöhnlichen" Diebstahl ausgestaltet ist. Jedoch ist ein Diebstahl ein so genanntes Eigentumsdelikt. An Daten kann man dagegen kein Eigentum erlangen, so dass die juristische Konstruktion, eine Analogie zur "gewöhnlichen" Hehlerei zu ziehen, fragwürdig ist.

Ein Straftatbestand Datenhehlerei vermag außerdem nicht dem Ziel zu dienen, die Aufrechterhaltung einer rechtswidrigen Vermögenslage unter Strafe zu stellen. Schon die Vortat des § 202a StGB ist wegen der Vielzahl der dort befindlichen unbestimmten Rechtsbegriffe umstritten. Für die Nachtat gilt dies in besonderem Maße. Man gelangt also recht schnell an die Grenzen des verfassungsrechtlichen Bestimmtheitsgebotes.

Der Staat bleibt als Datenhehler straflos

Geradezu bizarr mutet Absatz 5 der geplanten Norm an, der die staatliche Datenhehlerei straflos stellt. Die Ausnahmeregelung ist eine Reaktion auf den Ankauf von Steuer-CDs durch deutsche Finanzbehörden, mit der sich auch das Bundesverfassungsgericht (BVerfG) bereits befassen musste.

Die Karlsruher Richter ließen in ihrer Entscheidung allerdings ausdrücklich offen, ob und inwieweit Amtsträger bei der Beschaffung der Daten rechtswidrig oder gar strafbar gehandelt hatten. Die Verwertung der möglicherweise rechtswidrig erlangten Daten im späteren Strafverfahren sei aber jedenfalls nicht zu beanstanden gewesen (BVerfG, Beschl. v. 09.11.2010, Az. 2 BvR 2101/09). Vor dem Hintergrund ist man sich in den Finanzministerien seiner Sache vielleicht doch nicht ganz so sicher.

So wünschenswert eine Eindämmung des rechtswidrigen Datenhandels rechtspolitisch ist, so fraglich ist es, ob der vom Land Hessen vorgelegte Gesetzentwurf das Mittel der Wahl hierzu sein sollte: Rechtstechnisch gerät der Vorschlag zu unbestimmt und der Ausnahmetatbestand für staatliche Datenhehler überzeugt nicht.  

Der Autor Markus Schröder, LL.M. (Informationsrecht), Datenschutzbeauftragter (TÜV) ist Rechtsanwalt und Externer Datenschutzbeauftragter bei der auf Datenschutz spezialisierten Kanzlei Kinast & Partner in Köln sowie Dozent für Datenschutzrecht an der Düsseldorf Law School.