Der Vorwurf wiegt schwer und trifft die meisten Beschuldigten wie ein Schlag aus heiterem Himmel: Datenhehlerei. Vielleicht halten Sie gerade eine Vorladung der Polizei in den Händen oder mussten sogar eine Hausdurchsuchung über sich ergehen lassen. In diesem Moment ist es entscheidend, die Nerven zu bewahren und keine unüberlegten Schritte zu tun. Der Gesetzgeber hat mit dem § 202d StGB einen Straftatbestand geschaffen, der das Handeln und den Umgang mit inkriminierten Informationen unter Strafe stellt – vereinfacht gesagt: die Hehlerei mit digitalen Gütern. Doch anders als bei einem gestohlenen Auto oder Schmuck ist bei digitalen Daten oft für den Laien kaum erkennbar, wann die Grenze zur Strafbarkeit überschritten ist.
Als Strafverteidiger erlebe ich in meiner Praxis regelmäßig Mandanten, denen überhaupt nicht bewusst war, dass ihr Verhalten strafrechtlich relevant sein könnte. Die Materie ist komplex, und die Ermittlungsbehörden greifen oft weit aus. Dieser Artikel soll Ihnen eine erste Orientierung bieten, die juristischen Mechaniken dieses Tatbestands verständlich machen und aufzeigen, wo die strategischen Hebel für Ihre Verteidigung liegen.
Was ist Datenhehlerei nach § 202d StGB?
Um zu verstehen, was Ihnen vorgeworfen wird, müssen wir den Paragraphen in seine Einzelteile zerlegen. Im Kern will der Staat verhindern, dass Hacker oder Datendiebe einen Absatzmarkt für ihre Beute finden. Damit Sie sich wegen Datenhehlerei strafbar machen, müssen allerdings mehrere Voraussetzungen gleichzeitig erfüllt sein. Fehlt auch nur eine dieser Komponenten, bricht der Tatvorwurf in sich zusammen.
Das Tatobjekt: Nicht allgemein zugängliche Daten
Zunächst muss es sich um Daten handeln, die nicht allgemein zugänglich sind. Das Gesetz meint hiermit Informationen, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind. Das ist der erste wichtige Angriffspunkt für Ihre Verteidigung. Wenn Daten für jedermann offen im Internet stehen – etwa weil sie bereits in einem öffentlichen Register veröffentlicht wurden oder durch Medienberichte bekannt sind –, dann greift der Straftatbestand nicht. Denn was bereits öffentlich ist, hat kein Geheimhaltungsinteresse mehr, das geschützt werden müsste.
Komplizierter und juristisch umstritten ist die Situation bei Daten aus dem sogenannten Darknet oder aus Leaks, die zwar im Netz kursieren, aber nicht über Google auffindbar sind. Hier argumentieren Staatsanwaltschaften oft vorschnell, dass diese Daten „nicht allgemein zugänglich“ seien. Die Verteidigung kann hier jedoch oft erfolgreich einhaken: Wenn für den Zugang keine Passwörter gehackt werden müssen und keine technischen Hürden überwunden werden müssen, sondern die Daten faktisch für jeden mit einem Tor-Browser erreichbar sind, lässt sich durchaus argumentieren, dass die Eigenschaft der „Nicht-Zugänglichkeit“ entfallen ist. Eine präzise Prüfung des konkreten Speicherorts und der Zugriffsmodalitäten durch Ihren Anwalt ist hier unerlässlich.
Die rechtswidrige Herkunft: Die „Vortat“
Ein zentrales Element des Vorwurfs ist die sogenannte Vortat. Sie können nur dann wegen Datenhehlerei bestraft werden, wenn die Daten, mit denen Sie umgegangen sind, aus einer anderen rechtswidrigen Tat stammen. Das klassische Beispiel ist der Hackerangriff (Ausspähen von Daten) oder das Abfangen von Datenkommunikation. Aber auch ein Betrug, eine Nötigung oder ein einfacher Diebstahl eines Laptops kann diese Vortat sein, wenn dadurch die Daten in die falschen Hände geraten sind.
Entscheidend für Ihr Verständnis und Ihre Verteidigung ist: Die Datenhehlerei setzt voraus, dass ein anderer die Daten illegal beschafft hat. Wenn die Ermittler Ihnen vorwerfen, Sie hätten die Daten selbst gehackt, dann ist § 202d StGB in der Regel nicht anwendbar. Man kann nicht Hehler seiner eigenen Beute sein. Oft versuchen Ermittlungsbehörden, Beschuldigte wegen Datenhehlerei zu belangen, wenn sie ihnen das eigentliche Hacking nicht nachweisen können. Hier gilt es, die Beweiskette der Staatsanwaltschaft genau zu prüfen.
Die Tathandlung: Wann wird der Umgang strafbar?
Der bloße Kontakt mit inkriminierten Daten reicht für eine Strafbarkeit oft noch nicht aus. Das Gesetz verlangt aktive Handlungen. Sie müssen sich die Daten verschaffen, sie einem anderen überlassen, sie verbreiten oder sie sonst zugänglich machen.
Das „Verschaffen“ ist dabei der häufigste Vorwurf. Juristisch bedeutet dies, dass Sie die tatsächliche Verfügungsgewalt über die Daten erlangen müssen, und zwar im Einvernehmen mit dem Vortäter. Ein reiner Kaufvertrag über Daten, ohne dass diese tatsächlich an Sie übertragen wurden, genügt im Regelfall noch nicht für eine Strafbarkeit. Auch das bloße Betrachten von Daten auf dem Bildschirm eines anderen, ohne sie selbst abzuspeichern, erfüllt diesen Tatbestand oft noch nicht. Haben Sie die Daten wirklich „besessen“ oder nur angesehen? Hier liegt oft ein wichtiger Hebel für die Einstellung des Verfahrens.
Der subjektive Tatbestand: Ihre Absicht entscheidet
Das vielleicht stärkste Schwert der Verteidigung bei § 202d StGB ist Ihre innere Einstellung zur Tat. Der Gesetzgeber hat die Hürden für eine Strafbarkeit hier bewusst hochgelegt. Es reicht nicht aus, dass Sie wussten, dass die Daten illegal sind. Sie müssen zusätzlich in einer bestimmten Absicht gehandelt haben. Das Gesetz verlangt zwingend entweder eine Bereicherungsabsicht oder eine Schädigungsabsicht.
Das bedeutet konkret: Wenn Sie Daten aus reiner Neugier heruntergeladen haben, um zu sehen, was in einem bekannten „Leak“ steht, handeln Sie in der Regel straflos. Solange Sie nicht vorhatten, die Daten zu verkaufen (Bereicherung) oder sie zu nutzen, um jemanden gezielt bloßzustellen oder zu erpressen (Schädigung), entfällt die Strafbarkeit nach § 202d StGB komplett. Gerade bei IT-Sicherheitsforschern, Journalisten oder einfach nur technisch interessierten Nutzern fehlt es oft an dieser kriminellen Absicht. Die Staatsanwaltschaft muss Ihnen diese Absicht nachweisen – ein bloßes Vermuten reicht nicht.
Welche Strafe droht bei Datenhehlerei nach § 202d StGB?
Der Blick ins Gesetz kann zunächst erschrecken: Wer sich der Datenhehlerei schuldig macht, muss mit einer Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe rechnen. Dieser Strafrahmen entspricht dem des klassischen Hackings.
Es gibt jedoch eine wichtige gesetzliche Besonderheit, die für Ihre Verteidigungsstrategie extrem wertvoll ist: Die sogenannte Akzessorietät der Strafe. Das Gesetz besagt, dass die Strafe für die Datenhehlerei nicht schwerer sein darf als die Strafe, die für die ursprüngliche Vortat angedroht ist. Wurden die Daten beispielsweise durch eine Tat erlangt, die im konkreten Fall milder bestraft würde, sinkt automatisch auch Ihre maximale Strafdrohung.
In der Realität der Strafjustiz enden Verfahren wegen Datenhehlerei bei Ersttätern häufig glimpflich. Statistische Auswertungen zeigen, dass Freiheitsstrafen ohne Bewährung die absolute Ausnahme sind. Der Großteil der Verurteilungen resultiert in Geldstrafen, die sich oft im Bereich von 30 bis 90 Tagessätzen bewegen. Das bedeutet jedoch nicht, dass man den Vorwurf auf die leichte Schulter nehmen sollte. Auch eine Geldstrafe von mehr als 90 Tagessätzen führt zu einem Eintrag im Führungszeugnis und gilt als Vorstrafe. Ziel der Verteidigung ist es daher primär, eine geräuschlose Einstellung des Verfahrens zu erreichen, bevor es überhaupt zu einer öffentlichen Hauptverhandlung kommt.
Häufige Fragen (FAQ) zum Vorwurf der Datenhehlerei
In der Beratungspraxis begegnen mir immer wieder spezifische Konstellationen und Fragen, die zeigen, wie groß die Unsicherheit bei diesem Delikt ist. Im Folgenden beantworte ich die wichtigsten Fragen, die für Ihre Verteidigung relevant sein könnten.
Welche Arten von Daten sind konkret betroffen?
Der strafrechtliche Datenbegriff ist technisch und weit gefasst. Es geht nicht um ausgedruckte Aktenordner, sondern um Informationen, die elektronisch gespeichert oder übermittelt werden. Das können Kundendatenbanken, private Chatverläufe, intime Fotos in einer Cloud, Passwörter oder Konstruktionspläne eines Unternehmens sein. Entscheidend ist der Status als „nicht allgemein zugänglich“. Ein Foto, das das Opfer selbst öffentlich auf Instagram gepostet hat, ist kein tauglicher Gegenstand einer Datenhehlerei. Handelt es sich jedoch um passwortgeschützte Bereiche, interne Firmennetzwerke oder verschlüsselte Kommunikation, ist diese Voraussetzung meist erfüllt.
Macht man sich strafbar, wenn man die Daten an den Eigentümer zurückverkauft?
Diese Frage ist besonders relevant für IT-Dienstleister, Sicherheitsfirmen oder sogenannte „White-Hat-Hacker“, die Sicherheitslücken aufdecken und die Datenbestände sichern. Die herrschende juristische Meinung geht davon aus, dass der Rückverkauf oder die Rückgabe an den Berechtigten (also das Opfer des Datendiebstahls) keine Datenhehlerei darstellt. Der logische Grund dafür: Das Gesetz schützt das Geheimhaltungsinteresse des Opfers. Wenn das Opfer seine eigenen Daten zurückerhält, wird das Geheimnis nicht vertieft verletzt, sondern die Kontrolle wiederhergestellt. Aber Vorsicht ist geboten: Wer vom Opfer aggressiv Geld für die Rückgabe verlangt, bewegt sich sehr schnell im Bereich der Erpressung oder Nötigung. Ein solches Vorgehen ist ein juristisches Minenfeld und sollte niemals ohne vorherige anwaltliche Absicherung erfolgen.
Wie unterscheidet sich Datenhehlerei von der Beschaffung der Daten?
Die Unterscheidung ist essenziell, um die richtige Verteidigungsstrategie zu wählen. Die „Beschaffung“ (z. B. durch Hacking gemäß § 202a StGB) ist die Vortat. Der Datenhehler ist derjenige, der diese bereits illegal beschafften Daten übernimmt, um sie zu verwerten. Wenn Sie selbst derjenige waren, der das Passwort geknackt hat, werden Sie wegen des Ausspähens von Daten bestraft, aber nicht zusätzlich wegen Datenhehlerei an der eigenen Beute. Das ist wichtig, weil die Beweislage für das Hacking oft viel schwieriger ist als für den bloßen Besitz der Daten. Wenn die Staatsanwaltschaft Ihnen das Hacking nicht nachweisen kann und auf Datenhehlerei umschwenkt, muss sie wiederum beweisen, dass ein anderer die Vortat begangen hat. Diese Schnittstelle bietet oft Raum für erfolgreiche Verteidigungsanträge.
Gibt es Ausnahmen für Journalisten oder berufliche Tätigkeiten?
Ja, und diese sind sehr wichtig. Der Gesetzgeber hat erkannt, dass der Umgang mit „geleakten“ Daten für die Pressefreiheit oder behördliche Ermittlungen notwendig sein kann. § 202d Absatz 3 StGB regelt ausdrücklich, dass Handlungen nicht rechtswidrig sind, wenn sie ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Das betrifft vor allem Journalisten, die über Datenlecks (wie die Panama Papers) berichten, oder Behördenmitarbeiter. Doch Vorsicht: Diese Ausnahme („Whistleblower-Klausel“) ist kein Freifahrtschein für jedermann. Es wird genau geprüft, ob das Handeln tatsächlich journalistisch war. Für Blogger, freie Aktivisten oder private „Aufklärer“ ist die Rechtslage oft unsicherer als für Redakteure etablierter Medienhäuser. Wenn Sie sich auf diese Ausnahme berufen wollen, müssen wir detailliert darlegen, dass Ihr Handeln einem legitimen journalistischen Zweck diente und nicht etwa der bloßen Sensationslust oder Neugier.
Abschließender Rat: Sollten Sie Beschuldigter in einem Verfahren wegen Datenhehlerei sein, gilt die goldene Regel des Strafrechts: Schweigen ist Gold. Machen Sie keine Aussagen bei der Polizei, geben Sie keine Passwörter heraus und lassen Sie sich nicht in „informelle Gespräche“ verwickeln. Kontaktieren Sie umgehend einen auf IT-Strafrecht spezialisierten Verteidiger, der Akteneinsicht beantragt und prüft, ob die Vorwürfe überhaupt haltbar sind. In vielen Fällen lassen sich die Voraussetzungen der Strafbarkeit – insbesondere die Bereicherungs- oder Schädigungsabsicht – erfolgreich angreifen.
