Kommentierung: §202b StGB – Abfangen von Daten

Der Wortlaut des §202b StGB

§ 202b – Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Historie & Umstände des Gesetzes

Die Norm ist noch recht jung, sie wurde 2007 im Rahmen des 41. StrÄndG geschaffen [1. BGBl I 2007, S.1786; Dazu die Bundestags-Drucksachen zur Gesetzgebung hier bei mir zu finden]. Rechtsprechung existiert de facto gar nicht [1. Gercke spricht in C&R 5/2010, S.345, 346 zu Recht von “geringer praktischer Relevanz], im Wesentlichen gibt es nur Literatur, dabei vor allem in den StGB-Kommentaren, mit teilweise weit auseinander gehenden Ansichten.

Aufbau des Tatbestandes des §202b StGB

Eine Analyse des Tatbestandes ergibt folgende Tatbestandsmerkmale:

  1. Daten aus (a) nichtöffentlicher Datenübermittlung oder (b) elektromagnetischer Abstrahlung
  2. keine Bestimmung der Daten für den Täter
  3. verschaffen der Daten durch den Täter
  4. mittels technischer Mittel
  5. Handeln des Täters ohne Befugnis
  6. Vorsatz

Tatbestandsmerkmale des §202b StGB

Daten

Gegenstand der Tat sind somit zuerst einmal Daten. Der Begriff der betroffenen Daten ist in §202a II StGB eingeschränkt (und nicht etwa definiert) [1. SK-StGB, §202a, Rn.3]:

Daten […] sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Unter einem Datum ist jede Darstellung einer Information mit Hilfe von konventionell in ihrer Bedeutung festgelegten Zeichen zu verstehen[1. SK-StGB, §202a, Rn.3]. Oder anders: Jede codierte Information ist ein Datum[1. Etwas formeller im SK-StGB, §202b, Rn.3: “Unter einem Datum ist jede Darstellung einer Information mit Hilfe von konventionell in ihrer Bedeutung festgelegten Zeichen zu verstehen”].

Nichtöffentliche Datenübermittlung

Diese Daten können an erster Stelle aus einer nichtöffentlichen Datenübermittlung stammen.

Datenübermittlung ist die Zeitspanne des Transports von Daten zwischen dem Absenden und dem Ankommen zwischen Sender und Empfänger[2. SK-StGB, §202b, Rn.7]. Der Weg, ob leitungsgebunden oder via Funk, spielt keine Rolle[3. SK-StGB, §202b, Rn.7; Fischer, §202b, Rn.3]. Einzig eine postalische Übermittlung (etwa USB-Stick wird mit der Post verschickt, ist ausgenommen[4. SK-StGB, §202b, Rn.7; Fischer, §202b, Rn.3]. Sofern die Daten außerhalb der Übermittlung abgegriffen werden, sind sie nicht mehr nach §202b StGB geschützt[5. Fischer, §202b, Rn.3; Vorausgesetzt ist dann natürlich eine besondere Sicherung der Daten]. Die Übertragung von Daten innerhalb von WLAN ist erfasst[6. Fischer, §202b, Rn.3], wobei der §202b StGB ausdrücklich – anders als der §202a StGB – auf das Merkmal  der besonderen Sicherung verzichtet. Insofern spielt es bei WLAN für den §202b StGB keine Rolle, ob ein verschlüsseltes oder unverschlüsseltes WLAN betroffen ist[7. Fischer, §202b, Rn.3].

Die Datenübermittlung muss nichtöffentlich stattfinden. Hier gibt es nun zwei verschiedene Ansichten: Einmal, dass vom Zweck des Merkmals ,,nichtöffentlich” her maßgeblich sein muss, ob der Übermittler weiß oder zumindest wissen könnte, dass Unbefugte die von ihm übersandten Daten voraussichtlich abfangen werden[8. SK-StGB, §202b, Rn.8]. In diesem Fall hat der Sender seine Daten zu verschlüsseln[9. SK-StGB, §202b, Rn.8]. Diese Auffassung wirkt zwar lebensnah, ignoriert aber, dass der §202b StGB gerade keine besondere Sicherung verlangt – trotz der Nähe zum §202a StGB, der diese vorsieht[10. Siehe oben].

Wohl deswegen verlangt die wohl h.M.[11. Fischer, §202b, Rn4 i.V.m §202 Rn.4] den Übermittlungsvorgang und dessen Ausrichtung zu betrachten. Ein Übermittlungsvorgang, der sich an einen unbestimmten Personenkreis wendet, ist insofern öffentlich – eine direkte Kommunikation, die erkennbar nicht auf Dritte ausgerichtet ist, ist nicht-öffentlich. Somit ist letztlich die Übermittlung von Daten innerhalb eines WLAN-Intranets auch dann geschützt, wenn das WLAN nicht verschlüsselt ist[12. Fischer, §202b, Rn4 i.V.m §202 Rn.4].

Vermittelnd versuchte zumindest am Anfang eine dritte Ansicht[13. Schumann in NStZ 2007, S.675, 677] eine Lösung zu finden, in dem eine Verschlüsselung eines Funknetzes nicht als besondere Sicherung i.S.d §202a StGB angesehen wurde, womit einer entsprechenden Forderung im Rahmen des §202b StGB nichts im Wege steht. Allerdings erscheint dieser Ansatz allzu willkürlich: Warum sollte gerade eine Maßnahme, deren einziger Sinn die Sicherung vor Zugriff durch Dritte ist, nicht als besondere Sicherung gesehen werden?

Elektromagnetische Abstrahlung

Bei der elektromagnetischen Abstrahlung als zweite Quelle der Daten ist es in der Literatur etwas schwierig. Meistens wird die Rekonstruktion von Daten genannt[14. Sk-StGB, §202b, Rn.9]. Zu denken ist aber auch an die Möglichkeit, auf einem (Röhren-)Monitor angezeigte Bilder mittels EM-Abstrahlung aus Entfernung “abzufangen”.

Nicht für den Täter bestimmt

Weiterhin müssen die Daten nicht für den Täter bestimmt sein. Die Bestimmung der Daten obliegt der an den Daten berechtigten Person, dies wird der Erstabspeicherer bzw. Ersteinspeiser sein[15. Fischer, §202a, Rn.7; SK-StGB, §202b, Rn.11]. Tatbestandsausschliessend ist insofern alleine das Einverständnis des Rechteinhabers mit der Kenntnisnahme durch den Dritten[16. SK-StGB, §202b, Rn.11].

Verschaffen

Ein Verschaffen liegt nicht schon vor, wenn nur die Möglichkeit des Zugriffs besteht[17. Fischer, §202b, Rn.5]. Das Laden in den Arbeitsspeicher – etwa zur Anzeige auf dem Monitor – reicht aber aus, somit dann auch das direkte kopieren der Daten auf einen Datenträger[18. Fischer, §202b, Rn.5]. Letztlich lassen sich zwei Alternativen des Verschaffens denken: Die Inbesitznahme und die Kenntnisnahme[18. Sk-StGB, §202b, Rn.5]. Inbesitznahme liegt vor, wenn die Daten z.B. kopiert wurden[18. Sk-StGB, §202b, Rn.5]. Eine Kenntnisnahme ist nicht nötig, muss aber möglich sein[18. Sk-StGB, §202b, Rn.5]. Bei der Kenntnisnahme muss der Täter sich die Daten gerade in der Absicht verschafft haben, um die mit deren Hilfe ausgedrückten Informationen in Erfahrung zu bringen[18. Sk-StGB, §202b, Rn.6].

mittels technischer Mittel

Dass das Vorgehen des Täters mittels technischer Mittel erfolgen muss, erscheint zuerst zwingend und überrascht als explizite Erwähnung[18. SK-StGB, §202b, Rn.10]. Allerdings muss hier ein Blick in die Gesetzesmaterialien[19. BT-Drks 16/3656, S.11] geworfen werden: Auch Software, Codes und Passwörter sollen als “technisches Mittel” gelten[20. SK-StGB, §202b, Rn.10; Fischer, §202b, Rn.6]. Dies hat zur Folge, dass schon das Aufspüren und Einloggen unverschlüsselter WLAN an dieser Stelle erfasst sein kann[20. Fischer, §202b, Rn.6].

unbefugtes Handeln

Das unbefugte Handeln entfällt bei den bekannten Rechtfertigungsgründen, insbesondere ist hier an eine Einwilligung des Rechteinhabers zu denken[21. Fischer, §202a, Rn.12; SK-StGB, §202b, Rn.11]. Daneben dann an Ermächtigungsklauseln für Strafverfolgungsbehörden[22. Fischer, §202a, Rn.12].

Subjektiver Tatbestand

Beim benötigten Vorsatz ist dolus eventualis ausreichend[23. Fischer, §202b, Rn.8]. Ein zielgerichtetes Handeln ist also nicht nötig. Hat sich der Täter durch Kopieren Besitz an den Daten verschafft, so braucht sich sein Vorsatz nur auf die entstandene Kenntnisnahmemöglichkeit, nicht auf die Kenntnisnahme der Daten selbst zu erstrecken[24. Sk-StGB, §202b, Rn.12].

Verhältnis des §202b StGB zu anderen Normen

  • Der §202b StGB enthält eine Subsidiaritätsklausel. Insbesondere die §§201, 202a StGB verdrängen den §202b StGB
  • Die §§89, 148 TKG treten gegenüber §202b StGB zurück.

Aufsätze zu §202b StGB

  • Schumann in NStZ 2007, S.675ff.
  • Eisele: “Ausspähen von Daten; Skimming”, CR 2011, 131
  • Höfinger: “Zur Straflosigkeit des sogenannten Schwarz-Surfens”, ZUM 2011, 212
  • Kusnik: “Abfangen von Daten – Straftatbestand des § 202b StGB auf dem Prüfstand”, MMR 2011, 720

Beiträge im Blog zu §202b StGB:

Kategorien
Cybercrime allgemein

Ermittlungsverfahren wegen Droidjack-Käufe

Der Pressesprecher der Generalstaatsanwaltschaft Frankfurt am Main hat eine Pressemitteilung herausgegeben, die den unscheinbaren Titel trägt:

“Europaweite Durchsuchungen gegen Abnehmer der Smartphone Schadsoftware „DroidJack“ wegen des Verdachts des Ausspähens von Daten und des Computerbetruges”

Dahinter steht allerdings viel mehr – wobei hier nicht nur das (wohl umfangreichere) Ermittlungsverfahren zu sehen ist, sondern vielmehr eine allgemeine Entwicklung, die vielleicht Anlass zur Sorge gibt.

Kategorien
Cybercrime allgemein

Zur Strafbarkeit des Jackpotting

Es war der 2013 tragsich viel zu früh verstorbene “Barnaby Jack”, der auf der Black Hat Konferenz 2010 das Jackpotting vorstellte: Man greift einen Geldautomaten dadurch an, dass man einen Steckplatz für Flashspeicher freilegt und ein eigenes Rootkit (“Schadsoftware”) installiert, damit der Geldautomat – ohne ein Konto zu belasten – seinen Inhalt schlicht ausgibt.

Nunmehr gibt es erste Fälle dieser Angriffsmethode in Deutschland und man kann sich die Frage stellen, wonach ist das strafbar – welcher Tatbestand wird beim Jackpotting verwirklicht?

Kategorien
Cybercrime allgemein

Bug-Bounty-Programme: Vorsicht ist geboten!

Inzwischen mehren sich die so genannten “Bug-Bounty-Programme”, aktuell etwa von PayPal. Hierbei handelt es sich um Aufrufe von Anbietern, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu “hacken”. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld “belohnt”. Aber: Es ist Vorsicht geboten.

Kategorien
Cybercrime allgemein

Deutsche Spionagesoftware fürs Ausland: Strafbar?

Die Aufregung ist gross: Ein deutsches Unternehmen soll ägyptischen Sicherheitsbehörden eine “Spionagesoftware” angeboten haben. Und natürlich ist gleich die Frage da: Ist das strafbar, wenn ein deutsches Unternehmen eine solche Software für ausländische Staaten erstellt?

Kategorien
IT-Strafrecht Kommentar

Hackerparagraph – §202c StGB näher beleuchtet

Mit einer Aktion des iX-Chefredakteurs wurde das Thema “Hackerparagraph” plötzlich in den Mittelpunkt der öffentlichen Wahrnehmung gerückt:

Jürgen Seeger, Chefredakteur des IT-Magazins iX, das wie heise online vom Heise Zeitschriften Verlag herausgegeben wird, hat sich heute bei der Staatsanwaltschaft Hannover selbst wegen Vorbereitung des Ausspähens und Abfangens von Daten nach Paragraf 202c StGB angezeigt. Grund ist eine Toolsammlung auf der Heft-DVD des iX Special “Sicher im Netz”, mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann.

Ich hatte dies zum Anlaß genommen, um hier im Blog den §202c StGB näher zu betrachten und zu analysieren.

Hinweis: Diesen Artikel werde ich regelmäßig überarbeiten und auch mit weiteren Fundstellen versehen, um ihn aktuell zu halten. 

Kategorien
Cybercrime allgemein

Strafbarkeit von Phishing in Deutschland – Teil 1

Das “Phishing” – Ich verwende den Begriff, wie noch gezeigt wird, sehr weit – bereitet den Juristen in Deutschland manche Kopfschmerzen, jedenfalls ist bis heute heftigst umstritten, inwiefern das Phishing an sich strafbar sein soll (Ebenso in der Analyse der Meinungen GRaf in NStZ 2007, S.129).

Ich möchte in diesem Beitrag das Thema tiefgehend analysieren. Dazu stelle ich auf die verschiedenen Stufen der Tat ab und unterscheide nach den Handelnden.