Netzpolitik.org hat einen Gesetzesentwurf des Landes Hessen zur Schaffung eines Straftatbestandes der “Datenhehlerei” veröffentlicht. Über dieses Vorhaben hatte ich hier bereits berichtet.

Der Entwurf sieht die Einführung eines § 259a StGB vor, der folgenden Regelungsinhalt haben soll:
 

§ 259a. Datenhehlerei

(1) Wer Passwörter oder sonstige Sicherungscodes, welche den Zugang zu Daten (§ 2002a Abs. 2 StGB) ermöglichen und die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat, ankauft oder sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Ebenso wird bestraft, wer Daten (§202a Abs. 2 StGB), die ein anderer ausgespäht oder sonst durch eine rechtswidrige Tat erlangt hat und welche von dem letzten befugten Inhaber durch Passwörter oder sonstige Sicherungscodes gesichert worden waren, ankauft oder sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen.

(3) Die §§ 247, 260, 260a StGB gelten sinngemäß.

(4) Der Versuch ist strafbar.

(5) Die Absätze 1 bis 4 gelten nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen.

 
Die Grundannahme, dass eine Strafbarkeitslücke im Bereich des Handels mit rechtswidrig erlangten Daten besteht, ist grundsätzlich nicht von der Hand zu weisen. Ob dieser neue Straftatbestand allerdings tatsächlich im Abschnitt “Begünstigung und Hehlerei” anzusiedeln ist, kann man bezweifeln. Der Gesetzgeber begründet diese Zuordnung damit, dass er die Tathandlung unter Übernahme der Formulierung aus § 259 StGB bestimmt hat, und der Unterschied zwischen Hehlerei und Datenhehlerei mithin nur im Tatobjekt (Sache – Daten) und in der maßgeblichen Vortat besteht.

Ob man die Datenhehlerei tatsächlich schärfer bestrafen sollte als die Vortat des § 202a StGB, ist ebenfalls diskussionsbedürftig. Das Ausspähen von Daten nach § 202a StGB sieht nur einen Strafrahmen mit einer Freiheitsstrafe von bis zu drei Jahren vor, während die Datenhehlerei bis zu fünf Jahre Freiheitsstrafe ermöglicht. Vermutlich ist der Gesetzgeber hier dem alten Motto “Der Hehler ist schlimmer als der Stehler” gefolgt. Diese Differenzierung ist allerdings insoweit inkonsequent, als Diebstahl und Hehlerei denselben Strafrahmen – Freiheitssrafe bis zu fünf Jahren oder Geldstrafe – aufweisen.

Für bedenklich halte ich die unklare Abgrenzung zur Vortat des Ausspähens von Daten. Während Diebstahl und Hehlerei zwei gänzlich unterschiedliche Tathandlungen beinhalten, sprechen sowohl § 202a StGB als auch der Entwurf des § 259a StGB von einem “sich verschaffen” von Daten.

Der Hinweis bei netzpolitik.org, wonach der neue Straftatbestand als “schwere Straftat” definiert wird, wodurch eine Telekommunikationsüberwachung nach § 100a StPO ermöglicht werden soll, ist zumindest etwas irreführend. Das Gesetz verweist hierzu auf § 260 und § 260a StGB. Die Datenhehlerei unterfällt also nur dann dem Katalog des § 100a StPO, wenn sie gewerbsmäßig erfolgt. Das ist für den Betrug und die Hehlerei aber in gleicher Weise geregelt.

Die Praxis der Strafverfolgung zeigt allerdings, dass Staatsanwaltschaften gerne, in manchmal fast haarsträubender Art und Weise, versuchen eine Gewerbsmäßigkeit zu konstruieren, um eine Anordnung einer TK-Überwachung zu bekommen.
 

Crosspost von Internet Law