"Ausspähen von Daten" heißt das einschlägige Delikt in Paragraf 202 a Strafgesetzbuch. Dem Hacker, der sich "Orbit" oder "God" nennt, und seinen Mittätern drohen eine Geldstrafe oder Gefängnis bis zu drei Jahren. Die Strafvorschrift gibt es seit dem Zweiten Gesetz zur Bekämpfung der Wirtschaftskriminalität aus dem Jahr 1986. Sie lautet so: "Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."
Geschützt wird auf diese Weise das Recht auf informationelle Selbstbestimmung. Und bestraft wird es bereits, wenn sich ein Täter unbefugt Zugang zu den Daten verschafft; es ist gar nicht erforderlich, dass er sich dann die Daten auch tatsächlich verschafft, dass er sie ab- und aufruft. Bestraft wird also auch schon das bloße Hacking, also das Knacken eines Computersystems ohne Ausspähung von Daten.
Jedwedes Hacking wird bestraft
Das bloße Hacking ohne das Abschöpfen von Daten war ursprünglich nicht sanktioniert worden - um, wie es hieß, eine Überkriminalisierung zu vermeiden. Das wurde freilich bald als Fehler betrachtet, die Gerichte legten das "Sich-verschaffen-von-Daten" weit aus, so dass viele Fälle von Hacking entgegen der eigentlichen Absicht des Gesetzgebers bestraft wurden. Der Gesetzgeber zog nach, angeleitet von einem EU-Rahmenbeschluss über Angriffe auf Informationssysteme: Seit 11. August 2007 wird jedwedes Hacking bestraft. Seitdem heißt es im Gesetz nicht mehr, dass das "Sich-Daten-verschaffen" bestraft wird, sondern das "Sich-Zugang-verschaffen". Die Strafbarkeit ist also vorverlagert.
Die Daten müssen allerdings gegen unberechtigten Zugang besonders gesichert sein - durch Passwörter, Hardware-Sicherungen, elektronische Fingerprints oder biometrische Zugangsverfahren; in Betracht kommen aber auch herkömmliche Sicherungen, zum Beispiel Aufbewahren in verschlossenen Behältnissen. Eine "Überwindung" der Zugangssicherung verlangt das Gesetz. Unter Überwindung wird auch die Umgehung der Zugangssicherung verstanden - so dass die in der Praxis häufigen Fälle (zum Beispiel künstlich herbeigeführte Systemüberlastung) strafrechtlich erfasst werden.
Zweckwidriges Verwenden
Und es muss sich um Daten handeln, die nicht für den Täter bestimmt sind. Das zweckwidrige Verwenden von Daten, die für den Verwender bestimmt sind, erfüllt den Tatbestand nicht: Wenn ein Polizeibeamter Autohalter-Daten für private Zwecke abruft, ist das kein "Ausspähen" nach Paragraf 202 a Strafgesetzbuch.
Nach Paragraf 202 b wird das "Abfangen von Daten" bestraft - wenn also ein Täter unter Anwendung technischer Mittel sich Daten aus einer nicht öffentlichen Datenübermittlung verschafft. Auch das bloße Vorbereiten zum Hacken, Ausspähen oder Abfangen von Daten (zum Beispiel Passwortklau) ist bereits strafbar - mit Gefängnis bis zu einem Jahr oder mit Geldstrafe.
Die Verbreitung und Veröffentlichung der unrechtmäßig erlangten Daten wird als Ordnungswidrigkeit nach dem Bundesdatenschutzgesetz bestraft. Wenn die Veröffentlichung und Verbreitung in der Absicht geschieht, sich zu bereichern oder einen anderen zu schädigen, handelt es sich um eine Straftat - die mit Gefängnis bis zu zwei Jahren oder mit Geldstrafe bestraft wird. Wenn ein Täter sich die Daten, die ein anderer ausgespäht hat, verschafft oder weiterverbreitet, kann - bei Schädigungs- oder Bereicherungsabsicht - auch Datenhehlerei vorliegen nach Paragraf 202 d; darauf steht Geldstrafe oder Gefängnis bis zu drei Jahren.
Antragsdelikte
Bei all diesen Straftaten handelt es sich um Antragsdelikte. Sie werden also nur auf Antrag des Verletzten verfolgt. Beim Ausspähen und Abfangen von Daten und bei der Datenhehlerei kann die Staatsanwaltschaft aber ein besonderes öffentliches Interesse an der Strafverfolgung bejahen und dann auch ohne Strafantrag des oder der Verletzten verfolgen.
Eigenartig ist, dass der Versuch all dieser Straftaten nicht bestraft wird. Der misslungene virtuelle Einbruchsversuch bleibt daher straflos, auch wenn er massenhaft praktiziert wird. Die gesetzliche Systematik stimmt da hinten und vorne nicht - denn das "Vorbereiten des Ausspähens und Abfangens von Daten" (zum Beispiel der schon erwähnte Passwortklaus) nach Paragraf 202 c wird sogar von Amts wegen verfolgt. Allein: Bei Passwörtern und Tools, die im Ausland vorgehalten werden, hilft dieser Paragraf auch nichts - das deutsche Strafrecht gilt grundsätzlich nur für Straftaten, die im Inland begangen werden.
