Das Rechtsgut der Datenhehlerei

22. Juli 2025

Untersuchungen zu § 202d StGB

1. Einleitung

Anfang 2025 ist im Verlag Duncker & Humblot meine Dissertation „Das Rechtsgut der Datenhehlerei“ erschienen, deren Inhalt und Ergebnisse ich im Folgenden kurz darstelle.

Zentraler Gegenstand der Arbeit ist der im Dezember 2015 eingeführte Straftatbestand der Datenhehlerei, § 202d StGB. Das Ziel der Arbeit war nicht, eine auf diese Norm beschränkte Kommentierung zu verfassen, sondern anhand der Ermittlung des Rechtsguts zum systematischen Verständnis des Computer-, Daten- und IT-Strafrechts beizutragen.

Der Begriff des Rechtsguts wird dabei in einem hermeneutisch-methodischen Sinne verstanden. Rechtsgutsermittlung bedeutet danach die Ermittlung der ratio legis der Strafnorm. Das so ermittelte Rechtsgut einer Strafnorm kann eine wertvolle Auslegungshilfe darstellen. Mit der Datenhehlerei hat der Gesetzgeber einen (weiteren) Straftatbestand geschaffen, der Kriterien für die Zuordnung von Daten voraussetzt, aber nicht definiert oder festlegt. Unter dem Begriff der Zuordnung von Daten und Informationen wird in der Dissertation die Frage beantwortet, wer von der jeweiligen datenstrafrechtlichen Norm geschützt werden soll, wer konkret also „verfügungsbefugt“ über die tatbestandlich erfassten Daten ist.

Dem deutschen Recht im Allgemeinen und dem Strafrecht im Besonderen fehlt ein einheitliches gesetzliches System zur Zuordnung von Daten. Der Tatbestand der Datenhehlerei fügt der komplexen und andauernden Diskussion weitere Facetten hinzu.

2. Daten und Informationen

Tatobjekt der Datenhehlerei sind „Daten (§ 202a Absatz 2 StGB), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat“.

Unter „Daten“ im Sinne des Strafgesetzbuchs werden grundsätzlich codierte Informationen verstanden. Der Begriff ist vom datenschutzrechtlichen Begriff zu unterscheiden, der sich bekanntlich auf „personenbezogene“ Informationen bezieht.

Für die (Straf-)Rechtswissenschaft ist die Annäherung an die Begriffe der Informationen und Daten mit Blick auf die zu erfassenden Phänomene sinnvoll. Herbert Zech hat in seiner Habilitationsschrift „Information als Schutzgegenstand“ (Mohr Siebeck, 2012) die folgenden Betrachtungsebenen für Informationen entwickelt, die für das Verständnis der datenstrafrechtlichen Normen hilfreich sind:

Informationen können in semantischer, syntaktischer und struktureller Hinsicht betrachtet werden. Auf der semantischen Ebene wird die Bedeutung, also der Inhalt der Information, als Abgrenzungsmerkmal herangezogen (zum Beispiel der Personenbezug im Datenschutzrecht). Die syntaktische Ebene betrachtet Informationen hinsichtlich ihrer Darstellung durch Zeichen (zum Beispiel als Text oder Bilder oder Nullen und Einsen in einer Computerdatei). Strukturelle Informationen hingegen können als Verkörperung der Informationen (zum Beispiel als Buch, Tonträger oder konkrete Speicherung) verstanden werden.

Der Begriff der Daten i. S. v. § 202a Abs. 2 StGB, auf den der Tatbestand der Datenhehlerei verweist, umfasst syntaktisch-strukturelle Informationen – es geht um Daten, die nicht unmittelbar wahrnehmbar und gespeichert sind oder übermittelt werden. In semantischer Hinsicht gibt es durch den Wortlaut der Norm keine Einschränkungen.

3. Zuordnung von Daten

Je nach Blickwinkel kommen unterschiedliche Anknüpfungspunkte der Zuordnung in Betracht. Auf struktureller Ebene kann – da hier die konkrete „Verkörperung“ der Daten ausschlaggebend ist – beispielsweise der Datenträger in den Blick genommen werden, für den bereits ein zivilrechtliches System der Zuordnung besteht. Werden Daten als syntaktische Informationen (originär) neu geschaffen, kommt etwa eine Zuordnung zu deren „Schöpfer“ in Betracht, also demjenigen, der die ursprüngliche Codierung vornimmt. Auf der semantischen Ebene ist – soweit eine Person inhaltlich von der Information betroffen ist – diese Betroffenheit ein mögliches Zuordnungskriterium.

Schließlich besteht die Möglichkeit einer Zuordnung über den Zugang zu Daten. Der Zugang zu Daten kann beispielsweise durch Sicherungsmaßnahmen wie Passwörter oder Verschlüsselungen begrenzt werden. Durch die Begrenzung des Zugangs zu Daten und Informationen können Geheimnisse entstehen.

Im Strafrecht werden unterschiedliche Informationen insbesondere aufgrund ihres semantischen Inhalts beziehungsweise Kontexts als materielle Geheimnisse geschützt (zum Beispiel Privat- oder Geschäftsgeheimnisse). Darüber hinaus gibt es Normen, die eine Information nicht aufgrund ihres Inhalts, sondern aufgrund einer Geheimsphäre schützen (§§ 202, 202a StGB) und deshalb als formelle Geheimnisschutznormen bezeichnet werden können.

4. Das „formelle Datengeheimnis“

Hier schließt sich nun der Bogen zum Titel der Dissertation. Naheliegenderweise beginnt die Bestimmung eines Rechtsguts bei den Vorstellungen des Gesetzgebers, der schließlich etwas mit der Einführung einer Strafnorm bezweckt. Im Fall der Datenhehlerei finden sich in den Begründungen des Gesetzentwurfs (BT Drs. 18/5088) ausdrückliche Bezeichnungen von Rechtsgütern.

Analog zur sogenannten Perpetuierungstheorie bei der Sachhehlerei soll die Datenhehlerei nach der Begründung des Gesetzentwurfs in erster Linie das durch die Vortat verletzte Rechtsgut des „formellen Datengeheimnisses“ vor einer „Aufrechterhaltung und Vertiefung dieser Verletzung“ schützen. Außerdem sollen „allgemeine Sicherheitsinteressen“ geschützt sein. Auf die allgemeinen Sicherheitsinteressen soll vorliegend aus Platzgründen nicht eingegangen werden, da diese für die Kernfragen nicht ausschlaggebend sind. Hierzu nur so viel: Ein Rechtsgut stellen sie nicht dar.

Bei dem formellen Datengeheimnis handelt es sich nach herrschender Meinung um das Rechtsgut der §§ 202a, 202b und 202c StGB. Der Begriff meint nicht das datenschutzrechtliche Datengeheimnis (§ 53 BDSG).

Die Begründung des Gesetzentwurfs für die Datenhehlerei nimmt explizit Bezug auf § 202a StGB und dessen Kommentierung. Nach § 202a StGB („Ausspähen von Daten“, auch als „Hacking-Paragraf“ bekannt) macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft.

Seine heutige Fassung erhielt der Tatbestand im Jahre 2007. Nach der ursprünglichen Fassung war das unbefugte Verschaffen von Daten tatbestandsmäßig, während nunmehr das unbefugte Verschaffen des Zugangs zu Daten strafbar ist.

Durch das Zugangsverschaffen zu Daten unter Überwindung einer Zugangssicherung betritt der Täter – bildlich gesprochen – eine (formelle) Geheimsphäre. Er wird also – in die körperliche Welt übertragen – für eine Art Hausfriedensbruch bestraft. Ob er im Haus, in das er eindringt, auch etwas Interessantes anzuschauen oder zu stehlen findet (also bildlich auch eine „materielle Geheimsphäre“ betritt), ist nicht relevant. Was der Hacker inhaltlich vorfinden mag – ob beispielsweise das Manuskript dieser Dissertation, Mandatsgeheimnisse aus der Tätigkeit des Autors als Strafverteidiger oder einen bunten Buchstabensalat nach Bearbeitung der Tastatur durch seinen vierjährigen Sohn – ist
nicht relevant. Verhindert werden soll der Akt der Überwindung der Zugangssicherung an sich.

Ob es darüber hinaus auch zu einem „Diebstahl“ an Daten kommt, ist für die Verletzung des formellen Datengeheimnisses bei § 202a StGB nicht relevant.

Geschützt wird nach der in der Arbeit vorgeschlagenen Lösung derjenige, der über den Geheimbereich verfügen darf, also gewissermaßen der Inhaber des „Hausrechts“.

Sobald Daten in diesem Geheimbereich liegen, werden sie geschützt. Und das nicht wegen ihres Inhalts, sondern aufgrund des Geheimbereichs.

5. Die Datenhehlerei als inhaltsbezogene Schutznorm:
Materielles Datengeheimnis

Hierin liegt nun der ausschlaggebende und kategoriale Unterschied zwischen der Datenhehlerei auf der einen und der Hehlerei mit Sachen auf der anderen Seite. Während bei der Hehlerei eine Sache „weitergereicht“ wird und damit die ursprüngliche Besitzentziehung als „aufrechterhalten und vertieft“, also perpetuiert, verstanden werden kann, ist dies bei dem formellen Datengeheimnis gerade nicht der Fall.

Bei einem Wohnungseinbruchsdiebstahl „perpetuiert“ die Weitergabe der gestohlenen Sache nicht einen begangenen Hausfriedensbruch, sondern den rechtswidrigen Besitz an der Sache aufgrund des Diebstahls.

Wenn bei der Datenhehlerei nun die Verletzung des formellen Datengeheimnisses vor einer Aufrechterhaltung und Vertiefung geschützt werden soll, würde dies – im übertragenen Sinne – bedeuten, dass bei der Hehlerei das beim Wohnungseinbruchsdiebstahl verletzte Hausrecht und nicht der Besitz an der Sache geschützt würde.

Die Verletzung eines Geheimbereichs kann allerdings nicht durch die Weitergabe einer im Zuge der Verletzung des Geheimbereichs gestohlenen Sache perpetuiert werden. Ein Geheimbereich kann nur durch erneute Verletzung des Geheimbereichs erneut verletzt werden. Werden Daten aus diesem Geheimbereich „entfernt“, berührt ihre Weitergabe nicht mehr den Geheimbereich. Die Weitergabe von Daten betrifft darüber hinaus den jeweils von ihrem Inhalt Betroffenen und nicht denjenigen, der einmal eine formelle Position zu diesen hatte.

Dies zeigt folgender Fall: A speichert auf seinem passwortgeschützten PC eine Datei mit den Kreditkarteninformationen seiner Ehefrau E. Die Datei wird von dem Hacker H ausgespäht und kopiert. H verkauft die kopierte Datei an den Datenhehler D.

Ein schützenswertes Interesse an der kopierten Datei hat A nun nicht mehr, da diese weder seinen Geheimbereich noch ihn selbst inhaltlich betrifft. Seine Ehefrau E hingegen, deren Kreditkarteninformationen weitergereicht werden, ist von der Weitergabe sehr wohl betroffen. Ihr drohen nun Nachteile, wenn mit diesen Informationen Zahlungen veranlasst werden.

Mozart wurde einmal vorgeworfen, er habe eine Stelle bei Gluck gestohlen. Darauf soll Mozart geantwortet haben: „Wieso? Es steht doch alles noch dort.“

Ähnlich liegt die Sache hier: A hat weiterhin Zugriff auf seinen Geheimbereich und die darin gespeicherten Daten.

Als „Kehrseite“ der Ablehnung eines formellen Schutzkonzepts wird in der Dissertation dargestellt, dass die Datenhehlerei tatsächlich in semantischer Hinsicht Daten schützt, deren Inhalt nicht allgemein zugänglich ist. Diese Schutzrichtung des Tatbestands wird in der Arbeit als „materielles Datengeheimnis“ bezeichnet. Die Datenhehlerei schützt die Vertraulichkeit von als Daten (i. S. v. § 202a Abs. 2 StGB) codierten semantischen Informationen, die nicht allgemein zugänglich sind. Das Tatbestandsmerkmal der „Daten“ macht dabei aus einer allgemeinen Informationshehlerei eine Datenhehlerei.

Dass hier eine entsprechende Begrenzung auf nicht unmittelbar wahrnehmbare Daten erfolgt und nicht jedwede Information geschützt wird – mag sie inhaltlich auch noch so schützenswert sein – ist als Entscheidung des Gesetzgebers zu akzeptieren. Sie ist insoweit nachvollziehbar, als gerade digitalen Computerdaten in Zeiten des Internets und „Darknets“ ein erhebliches Eskalationspotenzial innewohnt.

Mit nur einem Mausklick kann eine Information buchstäblich jedem Menschen auf der Welt zugänglich gemacht werden. Die unzutreffende Bezeichnung des Rechtsguts in der Begründung des Gesetzentwurfs der Datenhehlerei hat auf dieses Ergebnis keinen Einfluss. Es spricht nämlich vieles dafür, dass der Gesetzgeber mit der Datenhehlerei tatsächlich eine Norm des materiellen, inhaltlichen Schutzes von Informationen schaffen wollte.

So geht es beispielsweise bei § 202d StGB um Daten, die nicht allgemein zugänglich sind (Präsens). Insbesondere aus der Gesetzgebungshistorie zeigt sich, dass hierbei die allgemeine Zugänglichkeit mit Blick auf die semantische Information gemeint ist – es soll um den Ausschluss von, so die Begründung, „Alltagsdaten“ gehen, die man aus allgemein zugänglichen Quellen wie Zeitungen oder dem Fernsehen entnehmen kann. Gemeint ist somit eindeutig ein semantisches Verständnis.

Zur Auslegung des Begriffs der allgemeinen Zugänglichkeit wird zudem ausdrücklich auf das Datenschutzrecht verwiesen (BT Drs. 18/5088, S. 25). Das Datenschutzrecht bezieht sich aber auf semantische Kriterien, nämlich den Personenbezug und Fragen des allgemeinen Persönlichkeitsrechts.

6. Anwendungsbeispiel

Bei der Sachhehlerei wird von der herrschenden Meinung die „Sachidentität“ zwischen dem Tatobjekt der Vortat und dem des Anschlussdelikts gefordert. Die Weitergabe von Surrogaten, also Gegenständen, die der Vortäter nicht unmittelbar durch die Vortat in seinen Besitz genommen hat, wird bei der Hehlerei als straflos angesehen.

Bei der Computerkriminalität ist eine solche Vorgehensweise gerade typisch. Daten werden regelmäßig kopiert, wodurch neue (strukturelle) Informationen entstehen. Ist nun eine Datenhehlerei an kopierten Daten möglich?

Müsste der Hacker eine Datei also nur einmal kopieren, nur einmal duplizieren und könnte das Duplikat weiterreichen, ohne dass hieran eine Datenhehlerei möglich wäre?

Das materielle Datengeheimnis gibt die Antwort: Bei der Datenhehlerei geht es nicht um die strukturelle Information, also die konkrete „Verkörperung“, sondern um syntaktisch-semantische Informationen.

Versteht man die Datenhehlerei wie in der Dissertation vorgeschlagen, müssen Daten bei § 202d StGB nicht in erster Linie in einem strukturellen Sinne verstanden werden. Ausschlaggebend ist die semantische Ebene. Dann aber gibt es keinen Grund, duplizierte Dateien als mögliche Tatobjekte auszuschließen. Das ist auch ganz im Sinne des Gesetzgebers.

7. Schluss

In der Dissertation wird gezeigt, dass die Datenhehlerei als Schutznorm semantischer Informationen, die als Daten gespeichert sind, funktioniert und einen Anwendungsbereich hat. Aus der Untersuchung zeigt sich außerdem, dass das Rechtsgut des materiellen Datengeheimnisses tatsächlich für die Auslegung der Norm tauglich ist. Es wird außerdem gezeigt, dass etwa Fragen der „Ersatzhehlerei“ zufriedenstellend beantwortet werden können.

Zum Buch:

Niklas Kindhäuser, Das Rechtsgut der Datenhehlerei – Untersuchungen zu § 202d StGB, Duncker & Humblot 2025, 191 Seiten, 64,90 Euro, ISBN 978-3-428-19339-4.

Über den Autor

Dr. Niklas Kindhäuser


hat Rechtswissenschaften an den Universitäten Bonn, Leeds (Großbritannien) und Tübingen studiert und ist Rechtsanwalt bei Feigen Graf Rechtsanwälte Partnerschaftsgesellschaft mbB in Köln. Er verteidigt und berät Einzelpersonen, Unternehmen und Behörden in allen Bereichen des Wirtschafts- und Steuerstrafrechts.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.