Wer eine Vorladung der Polizei, einen Strafbefehl oder gar einen Durchsuchungsbeschluss mit dem Vorwurf des „Ausspähens von Daten“ (§ 202a StGB) in den Händen hält, fühlt sich oft in die Ecke gedrängt. Der Begriff suggeriert hochkriminelle Energie, Kapuzenpullover und dunkle Kellerräume – das klassische Hacker-Klischee. Doch die Realität in deutschen Gerichtssälen sieht oft ganz anders aus.
Dieser Tatbestand trifft im digitalen Zeitalter längst nicht mehr nur Computer-Freaks. Er trifft den eifersüchtigen Partner, der heimlich Nachrichten liest, den Systemadministrator, der seine Kompetenzen überschreitet, oder den Schüler, der Sicherheitslücken im Schulnetzwerk testet. Die Situation ist für Sie als Beschuldigten ernst, da der Staat den Schutz digitaler Privatsphäre zunehmend strenger verfolgt. Doch Panik ist der falsche Ratgeber. § 202a StGB ist ein technisch und juristisch hochkomplexer Paragraf, der für die Ermittlungsbehörden zahlreiche Stolpersteine bereithält. Oftmals lassen sich Vorwürfe entkräften, weil die strengen Voraussetzungen des Gesetzes – etwa die „besondere Sicherung“ der Daten – bei genauer technischer Prüfung gar nicht erfüllt sind.
Dieser Artikel erklärt Ihnen verständlich und ohne juristisches Kauderwelsch, was genau hinter dem Vorwurf steckt, welche Strafen realistisch drohen und wie wir Sie effektiv verteidigen können.
Was ist das Ausspähen von Daten?
Der Gesetzgeber schützt mit § 202a StGB das formelle Geheimhaltungsinteresse an Daten. Man kann die Vorschrift vereinfacht als „digitalen Hausfriedensbruch“ verstehen. So wie es verboten ist, eine verschlossene Tür aufzubrechen, um in eine Wohnung zu gelangen, ist es verboten, digitale Barrieren zu überwinden, um an Informationen zu kommen. Damit Sie sich strafbar machen, müssen jedoch mehrere Bedingungen gleichzeitig erfüllt sein. Fehlt auch nur ein einziges Merkmal, liegt keine Straftat nach dieser Norm vor.
Der digitale Tresor: Was sind „Daten“ und wie müssen sie gesichert sein?
Zunächst müssen überhaupt taugliche Daten betroffen sein. Das Gesetz versteht darunter Informationen, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind. Das umfasst E-Mails, Chatverläufe, Fotos in der Cloud, aber auch PIN-Codes oder Unternehmensbilanzen. Der entscheidende Punkt für Ihre Verteidigung ist jedoch fast immer die Zugangssicherung. § 202a StGB greift nur, wenn die Daten „gegen unberechtigten Zugang besonders gesichert“ sind.
Das bedeutet im Umkehrschluss:
Das Lesen offener Daten ist nicht strafbar. Wenn Sie Daten finden, die frei zugänglich im Netz stehen, oder wenn Sie sich in ein unverschlüsseltes WLAN einloggen („Schwarz-Surfen“), begehen Sie kein Ausspähen von Daten. Der Verfügungsberechtigte muss durch eine technische Vorkehrung erkennbar gemacht haben, dass er niemanden an diese Daten lassen will. Klassische Sicherungen sind Passwörter, Firewalls, Verschlüsselungsprogramme oder biometrische Sperren (Fingerabdruck, Face-ID). Aber Vorsicht: Die Rechtsprechung, etwa das Landgericht Aachen, wertet teilweise schon das Dekompilieren von Passwörtern oder rudimentäre Schutzmechanismen als Sicherung. Es kommt nicht darauf an, ob der Schutz „perfekt“ ist, sondern ob er ein Hindernis darstellt, das nicht ohne weiteres überwunden werden kann.
Die Tat: Überwindung der Hürde
Strafbar ist nur das aktive Überwinden dieser Sicherung. Sie müssen also quasi den digitalen Schlüssel umdrehen oder das Schloss knacken. Wer ein Passwort errät, eine Sicherheitslücke (Exploit) nutzt oder Hacking-Tools wie Keylogger einsetzt, erfüllt dieses Merkmal. Ein wichtiger Sonderfall in der Verteidigungspraxis ist das sogenannte Skimming an Geldautomaten. Werden Kartendaten am Schlitz des Automaten abgegriffen, liegt oft gar kein Verstoß gegen § 202a StGB vor. Der Grund ist juristisch fein, aber entscheidend: Die Daten auf dem Magnetstreifen der Karte sind oft gar nicht gegen das Auslesen gesichert, sondern nur gegen die Nutzung ohne PIN. Da beim bloßen Auslesen keine „Zugangssicherung“ im Sinne der Norm überwunden wird, scheidet dieser Vorwurf häufig aus – was den Weg zu milderen Tatbeständen oder einer Einstellung ebnen kann.
Unbefugt und „nicht für Sie bestimmt“
Ein weiteres mächtiges Verteidigungsargument ist die Frage der Berechtigung. Die Daten dürfen „nicht für Sie bestimmt“ sein und Sie müssen „unbefugt“ handeln. Dies klingt banal, ist aber in der Praxis oft der Rettungsanker. Wenn Sie beispielsweise das Passwort von Ihrem Partner oder Arbeitgeber in der Vergangenheit freiwillig erhalten haben, besitzen Sie eine Zugangsberechtigung. Nutzen Sie diese später entgegen einer internen Absprache (z.B. nach der Trennung oder Kündigung), handeln Sie zwar vielleicht moralisch fragwürdig oder zivilrechtlich vertragswidrig, aber nicht zwingend strafbar nach § 202a StGB. Solange die technische Zugangsberechtigung (das Passwort) nicht entzogen oder geändert wurde, fehlt es oft an der Überwindung einer Sicherung.
Welche Strafe droht bei § 202a StGB?
Das Gesetz sieht für das Ausspähen von Daten eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe vor. Das klingt bedrohlich, doch ein Blick in die Strafverfolgungsstatistik gibt Grund zur Beruhigung, insbesondere für Ersttäter.
Die Realität vor Gericht Statistische Auswertungen der letzten Jahre zeigen, dass die absolute Mehrheit der Verurteilungen (oft über 90 %) mit einer Geldstrafe endet. Diese bewegt sich häufig im Bereich von 30 bis 90 Tagessätzen. Das ist wichtig für Ihre Zukunft: Bleibt die Strafe bei maximal 90 Tagessätzen (und sind Sie nicht vorbestraft), taucht diese Verurteilung nicht in Ihrem polizeilichen Führungszeugnis auf. Sie gelten offiziell weiterhin als nicht vorbestraft.
Freiheitsstrafen sind die Ausnahme und werden meist nur verhängt, wenn erhebliche kriminelle Energie im Spiel war – etwa bei gewerbsmäßigem Handeln, massivem Identitätsdiebstahl oder wenn das Ausspähen nur die Vorbereitung für schwere Betrugsdelikte oder Erpressungen war. Selbst dann werden Freiheitsstrafen unter zwei Jahren bei einer positiven Sozialprognose fast immer zur Bewährung ausgesetzt.
Unterschätzen Sie jedoch nicht die Nebenfolgen:
Einziehung:
Die Polizei beschlagnahmt in der Regel die Tatmittel. Das bedeutet, Ihr teurer Gaming-PC, das Smartphone oder der Laptop werden eingezogen und vernichtet – auch wenn die darauf befindlichen Daten gar nichts mit der Tat zu tun haben.
Berufliche Folgen:
Für Berufsgruppen wie Systemadministratoren, IT-Sicherheitsberater oder Beamte kann schon eine Geldstrafe zum Verlust des Arbeitsplatzes oder Disziplinarverfahren führen.
