Kommentierung: §202b StGB – Abfangen von Daten

Der Wortlaut des §202b StGB

§ 202b – Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Historie & Umstände des Gesetzes

Die Norm ist noch recht jung, sie wurde 2007 im Rahmen des 41. StrÄndG geschaffen 1. Rechtsprechung existiert de facto gar nicht 2, im Wesentlichen gibt es nur Literatur, dabei vor allem in den StGB-Kommentaren, mit teilweise weit auseinander gehenden Ansichten.

Aufbau des Tatbestandes des §202b StGB

Eine Analyse des Tatbestandes ergibt folgende Tatbestandsmerkmale:

  1. Daten aus (a) nichtöffentlicher Datenübermittlung oder (b) elektromagnetischer Abstrahlung
  2. keine Bestimmung der Daten für den Täter
  3. verschaffen der Daten durch den Täter
  4. mittels technischer Mittel
  5. Handeln des Täters ohne Befugnis
  6. Vorsatz

Tatbestandsmerkmale des §202b StGB

Daten

Gegenstand der Tat sind somit zuerst einmal Daten. Der Begriff der betroffenen Daten ist in §202a II StGB eingeschränkt (und nicht etwa definiert) [1. SK-StGB, §202a, Rn.3]:

Daten […] sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Unter einem Datum ist jede Darstellung einer Information mit Hilfe von konventionell in ihrer Bedeutung festgelegten Zeichen zu verstehen3. Oder anders: Jede codierte Information ist ein Datum4.

Nichtöffentliche Datenübermittlung

Diese Daten können an erster Stelle aus einer nichtöffentlichen Datenübermittlung stammen.

Datenübermittlung ist die Zeitspanne des Transports von Daten zwischen dem Absenden und dem Ankommen zwischen Sender und Empfänger5. Der Weg, ob leitungsgebunden oder via Funk, spielt keine Rolle6. Einzig eine postalische Übermittlung (etwa USB-Stick wird mit der Post verschickt, ist ausgenommen7. Sofern die Daten außerhalb der Übermittlung abgegriffen werden, sind sie nicht mehr nach §202b StGB geschützt8. Die Übertragung von Daten innerhalb von WLAN ist erfasst9, wobei der §202b StGB ausdrücklich – anders als der §202a StGB – auf das Merkmal  der besonderen Sicherung verzichtet. Insofern spielt es bei WLAN für den §202b StGB keine Rolle, ob ein verschlüsseltes oder unverschlüsseltes WLAN betroffen ist10.

Die Datenübermittlung muss nichtöffentlich stattfinden. Hier gibt es nun zwei verschiedene Ansichten: Einmal, dass vom Zweck des Merkmals ,,nichtöffentlich” her maßgeblich sein muss, ob der Übermittler weiß oder zumindest wissen könnte, dass Unbefugte die von ihm übersandten Daten voraussichtlich abfangen werden11. In diesem Fall hat der Sender seine Daten zu verschlüsseln12. Diese Auffassung wirkt zwar lebensnah, ignoriert aber, dass der §202b StGB gerade keine besondere Sicherung verlangt – trotz der Nähe zum §202a StGB, der diese vorsieht13.

Wohl deswegen verlangt die wohl h.M.14 den Übermittlungsvorgang und dessen Ausrichtung zu betrachten. Ein Übermittlungsvorgang, der sich an einen unbestimmten Personenkreis wendet, ist insofern öffentlich – eine direkte Kommunikation, die erkennbar nicht auf Dritte ausgerichtet ist, ist nicht-öffentlich. Somit ist letztlich die Übermittlung von Daten innerhalb eines WLAN-Intranets auch dann geschützt, wenn das WLAN nicht verschlüsselt ist15.

Vermittelnd versuchte zumindest am Anfang eine dritte Ansicht16 eine Lösung zu finden, in dem eine Verschlüsselung eines Funknetzes nicht als besondere Sicherung i.S.d §202a StGB angesehen wurde, womit einer entsprechenden Forderung im Rahmen des §202b StGB nichts im Wege steht. Allerdings erscheint dieser Ansatz allzu willkürlich: Warum sollte gerade eine Maßnahme, deren einziger Sinn die Sicherung vor Zugriff durch Dritte ist, nicht als besondere Sicherung gesehen werden?

Elektromagnetische Abstrahlung

Bei der elektromagnetischen Abstrahlung als zweite Quelle der Daten ist es in der Literatur etwas schwierig. Meistens wird die Rekonstruktion von Daten genannt17. Zu denken ist aber auch an die Möglichkeit, auf einem (Röhren-)Monitor angezeigte Bilder mittels EM-Abstrahlung aus Entfernung “abzufangen”.

Nicht für den Täter bestimmt

Weiterhin müssen die Daten nicht für den Täter bestimmt sein. Die Bestimmung der Daten obliegt der an den Daten berechtigten Person, dies wird der Erstabspeicherer bzw. Ersteinspeiser sein18. Tatbestandsausschliessend ist insofern alleine das Einverständnis des Rechteinhabers mit der Kenntnisnahme durch den Dritten19.

Verschaffen

Ein Verschaffen liegt nicht schon vor, wenn nur die Möglichkeit des Zugriffs besteht20. Das Laden in den Arbeitsspeicher – etwa zur Anzeige auf dem Monitor – reicht aber aus, somit dann auch das direkte kopieren der Daten auf einen Datenträger21. Letztlich lassen sich zwei Alternativen des Verschaffens denken: Die Inbesitznahme und die Kenntnisnahme22. Inbesitznahme liegt vor, wenn die Daten z.B. kopiert wurden22. Eine Kenntnisnahme ist nicht nötig, muss aber möglich sein22. Bei der Kenntnisnahme muss der Täter sich die Daten gerade in der Absicht verschafft haben, um die mit deren Hilfe ausgedrückten Informationen in Erfahrung zu bringen25.

mittels technischer Mittel

Dass das Vorgehen des Täters mittels technischer Mittel erfolgen muss, erscheint zuerst zwingend und überrascht als explizite Erwähnung26. Allerdings muss hier ein Blick in die Gesetzesmaterialien27 geworfen werden: Auch Software, Codes und Passwörter sollen als “technisches Mittel” gelten28. Dies hat zur Folge, dass schon das Aufspüren und Einloggen unverschlüsselter WLAN an dieser Stelle erfasst sein kann29.

unbefugtes Handeln

Das unbefugte Handeln entfällt bei den bekannten Rechtfertigungsgründen, insbesondere ist hier an eine Einwilligung des Rechteinhabers zu denken30. Daneben dann an Ermächtigungsklauseln für Strafverfolgungsbehörden31.

Subjektiver Tatbestand

Beim benötigten Vorsatz ist dolus eventualis ausreichend32. Ein zielgerichtetes Handeln ist also nicht nötig. Hat sich der Täter durch Kopieren Besitz an den Daten verschafft, so braucht sich sein Vorsatz nur auf die entstandene Kenntnisnahmemöglichkeit, nicht auf die Kenntnisnahme der Daten selbst zu erstrecken33.

Verhältnis des §202b StGB zu anderen Normen

  • Der §202b StGB enthält eine Subsidiaritätsklausel. Insbesondere die §§201, 202a StGB verdrängen den §202b StGB
  • Die §§89, 148 TKG treten gegenüber §202b StGB zurück.

Aufsätze zu §202b StGB

  • Schumann in NStZ 2007, S.675ff.
  • Eisele: “Ausspähen von Daten; Skimming”, CR 2011, 131
  • Höfinger: “Zur Straflosigkeit des sogenannten Schwarz-Surfens”, ZUM 2011, 212
  • Kusnik: “Abfangen von Daten – Straftatbestand des § 202b StGB auf dem Prüfstand”, MMR 2011, 720

Beiträge im Blog zu §202b StGB:

Nachweise:

  1. BGBl I 2007, S.1786; Dazu die Bundestags-Drucksachen zur Gesetzgebung hier bei mir zu finden
  2. Gercke spricht in C&R 5/2010, S.345, 346 zu Recht von “geringer praktischer Relevanz
  3. SK-StGB, §202a, Rn.3
  4. Etwas formeller im SK-StGB, §202b, Rn.3: “Unter einem Datum ist jede Darstellung einer Information mit Hilfe von konventionell in ihrer Bedeutung festgelegten Zeichen zu verstehen”
  5. SK-StGB, §202b, Rn.7
  6. SK-StGB, §202b, Rn.7; Fischer, §202b, Rn.3
  7. SK-StGB, §202b, Rn.7; Fischer, §202b, Rn.3
  8. Fischer, §202b, Rn.3; Vorausgesetzt ist dann natürlich eine besondere Sicherung der Daten
  9. Fischer, §202b, Rn.3
  10. Fischer, §202b, Rn.3
  11. SK-StGB, §202b, Rn.8
  12. SK-StGB, §202b, Rn.8
  13. Siehe oben
  14. Fischer, §202b, Rn4 i.V.m §202 Rn.4
  15. Fischer, §202b, Rn4 i.V.m §202 Rn.4
  16. Schumann in NStZ 2007, S.675, 677
  17. Sk-StGB, §202b, Rn.9
  18. Fischer, §202a, Rn.7; SK-StGB, §202b, Rn.11
  19. SK-StGB, §202b, Rn.11
  20. Fischer, §202b, Rn.5
  21. Fischer, §202b, Rn.5
  22. Sk-StGB, §202b, Rn.5
  23. Sk-StGB, §202b, Rn.5
  24. Sk-StGB, §202b, Rn.5
  25. Sk-StGB, §202b, Rn.6
  26. SK-StGB, §202b, Rn.10
  27. BT-Drks 16/3656, S.11
  28. SK-StGB, §202b, Rn.10; Fischer, §202b, Rn.6
  29. Fischer, §202b, Rn.6
  30. Fischer, §202a, Rn.12; SK-StGB, §202b, Rn.11
  31. Fischer, §202a, Rn.12
  32. Fischer, §202b, Rn.8
  33. Sk-StGB, §202b, Rn.12

Ermittlungsverfahren wegen Droidjack-Käufe

Der Pressesprecher der Generalstaatsanwaltschaft Frankfurt am Main hat eine Pressemitteilung herausgegeben, die den unscheinbaren Titel trägt:

“Europaweite Durchsuchungen gegen Abnehmer der Smartphone Schadsoftware „DroidJack“ wegen des Verdachts des Ausspähens von Daten und des Computerbetruges”

Dahinter steht allerdings viel mehr – wobei hier nicht nur das (wohl umfangreichere) Ermittlungsverfahren zu sehen ist, sondern vielmehr eine allgemeine Entwicklung, die vielleicht Anlass zur Sorge gibt.
„Ermittlungsverfahren wegen Droidjack-Käufe“ weiterlesen

Zur Strafbarkeit des Jackpotting

Es war der 2013 tragsich viel zu früh verstorbene “Barnaby Jack”, der auf der Black Hat Konferenz 2010 das Jackpotting vorstellte: Man greift einen Geldautomaten dadurch an, dass man einen Steckplatz für Flashspeicher freilegt und ein eigenes Rootkit (“Schadsoftware”) installiert, damit der Geldautomat – ohne ein Konto zu belasten – seinen Inhalt schlicht ausgibt.

Nunmehr gibt es erste Fälle dieser Angriffsmethode in Deutschland und man kann sich die Frage stellen, wonach ist das strafbar – welcher Tatbestand wird beim Jackpotting verwirklicht?
„Zur Strafbarkeit des Jackpotting“ weiterlesen

Bug-Bounty-Programme: Vorsicht ist geboten!

Inzwischen mehren sich die so genannten “Bug-Bounty-Programme”, aktuell etwa von PayPal. Hierbei handelt es sich um Aufrufe von Anbietern, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu “hacken”. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld “belohnt”. Aber: Es ist Vorsicht geboten.
„Bug-Bounty-Programme: Vorsicht ist geboten!“ weiterlesen

Deutsche Spionagesoftware fürs Ausland: Strafbar?

Die Aufregung ist gross: Ein deutsches Unternehmen soll ägyptischen Sicherheitsbehörden eine “Spionagesoftware” angeboten haben. Und natürlich ist gleich die Frage da: Ist das strafbar, wenn ein deutsches Unternehmen eine solche Software für ausländische Staaten erstellt?
„Deutsche Spionagesoftware fürs Ausland: Strafbar?“ weiterlesen

Hackerparagraph – §202c StGB näher beleuchtet

Mit einer Aktion des iX-Chefredakteurs wurde das Thema “Hackerparagraph” plötzlich in den Mittelpunkt der öffentlichen Wahrnehmung gerückt:

Jürgen Seeger, Chefredakteur des IT-Magazins iX, das wie heise online vom Heise Zeitschriften Verlag herausgegeben wird, hat sich heute bei der Staatsanwaltschaft Hannover selbst wegen Vorbereitung des Ausspähens und Abfangens von Daten nach Paragraf 202c StGB angezeigt. Grund ist eine Toolsammlung auf der Heft-DVD des iX Special “Sicher im Netz”, mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann.

Ich hatte dies zum Anlaß genommen, um hier im Blog den §202c StGB näher zu betrachten und zu analysieren.

Hinweis: Diesen Artikel werde ich regelmäßig überarbeiten und auch mit weiteren Fundstellen versehen, um ihn aktuell zu halten. 
„Hackerparagraph – §202c StGB näher beleuchtet“ weiterlesen

Strafbarkeit von Phishing in Deutschland – Teil 1

Das “Phishing” – Ich verwende den Begriff, wie noch gezeigt wird, sehr weit – bereitet den Juristen in Deutschland manche Kopfschmerzen, jedenfalls ist bis heute heftigst umstritten, inwiefern das Phishing an sich strafbar sein soll (Ebenso in der Analyse der Meinungen GRaf in NStZ 2007, S.129).

Ich möchte in diesem Beitrag das Thema tiefgehend analysieren. Dazu stelle ich auf die verschiedenen Stufen der Tat ab und unterscheide nach den Handelnden.

„Strafbarkeit von Phishing in Deutschland – Teil 1“ weiterlesen