Das Whistleblower-Regulierungs-Gesetz oder: Staatlich kontrollierte Hehlerei

Dieser Gastbeitrag von Wolfgang Michal erschien zunächst auf seinem Blog. Wir veröffentlichen ihn mit freundlicher Genehmigung.

Im Sommer will der Bundestag ein Gesetz gegen Datenhehlerei verabschieden. Wozu soll das gut sein?

Künftig sollen Leute, die „gestohlene“ Daten erwerben und weiterverwenden, härter bestraft werden.

Künftig sollen Leute, die „gestohlene“ Daten erwerben und weiterverwenden, straffrei bleiben.

Hä?

Das klingt ein bisschen irre, aber exakt so könnte man den Gesetzentwurf zur „Datenhehlerei“ zusammenfassen, der im Sommer gemeinsam mit der Vorratsdatenspeicherung vom Bundestag verabschiedet werden soll.

Der Widerspruch, den der geplante Strafgesetzbuch-Paragraph 202d enthält, löst sich erst auf, wenn man die Bezeichnung „Leute“ etwas ausdifferenziert. Sind damit z.B. Finanzbeamte gemeint, so dürfen diese „gestohlene“ Daten künftig straffrei erwerben und für ihre dienstlichen Aufgaben verwenden, sind dagegen Mitarbeiter von NGOs, Betreiber von Enthüllungsportalen, Blogger oder sonstige Interessierte gemeint, könnten sie wegen Datenhehlerei belangt werden – und dafür gibt’s bis zu fünf Jahre Gefängnis.

Das heißt: Brisante Dateien, die auf dem Schwarzmarkt kursieren, sollen künftig (wenn man einer Strafe entgehen will) nur noch den ordentlichen Dienstweg nehmen dürfen und nicht mehr ungefiltert in die Öffentlichkeit oder sonst wohin gelangen. Zugespitzt könnte man sagen: Staatliche Stellen haben künftig ein gesetzlich verbrieftes „Vorkaufsrecht“ oder das Privileg einer ius primae noctis für Steuer-CDs.

Der Fall Hervé Falciani

Erinnern wir uns: Vor acht Jahren „klaute“ der Bankangestellte Hervé Falciani die Kunden-Dateien der Genfer HSBC-Bank. Zunächst wollte er sie an einen Geschäftsmann verhökern, dann an verschiedene Banken, Geheimdienste und Finanzbehörden – und schließlich an Journalisten. (Auf Falcianis Daten-„Diebstahl“ basieren nicht nur die Swiss Leaks-Enthüllungen, sondern auch die berühmte Lagarde-Liste der griechischen Steuervermeider). Ein schierer Zufall, dass diese Daten nicht 2006 in dunklen Kanälen verschwanden. Die Steuerbehörden konnten sie erst 2009 unter Kontrolle bringen. Ob Geld dafür geflossen ist oder ein anderer Deal zustande kam, weiß man nicht. 2013 wurde Falciani nach einigen Monaten Haft aus der Obhut des Staates entlassen. Aber erst 2014 wurde die Swiss Leaks-Enthüllung zu einem öffentlichen Skandal.

Viele Bankangestellte auf der ganzen Welt wissen inzwischen, wie viel Geld eine Steuer-CD einbringen kann. Von ehrenwerten Whistleblowern ganz zu schweigen. Eine Zeit lang zirkulierten auch einige Daten der Schweizer Bank Vontobel – und gelangten dummerweise in die Hände eines Journalisten. Der Fall Hoeneß erregte die Republik. Nicht auszudenken, wären die Daten in die Hände von Betreibern einer Enthüllungsplattform gelangt! Dort hätte man sich wohl weder an das Schweizer Bankgeheimnis noch an das Steuergeheimnis noch an die Privatsphäre des Betroffenen gehalten.

Kanalisierung des Daten-Schwarzmarkts

In diesen schmutzigen, unübersichtlichen und anarchisch wachsenden Daten-Schwarzmarkt sollte endlich Ordnung gebracht werden. Das ging am besten durch Kanalisierung, also durch eine Kombination von Legalisierung einerseits und Strafandrohung andererseits. Ergebnis ist jener merkwürdige Gesetzentwurf, der ein- und dasselbe Handeln mit Strafe bedroht und straffrei stellt. Missverständnisse sind da geradezu programmiert. Zumal die Formulierungen im Entwurfstext ziemlich ungenau ausfallen.

Nicht-Staatliche Erwerber „gestohlener“ Daten müssen künftig umständlich nachweisen, dass sie berechtigt waren, die Daten zu erwerben und zu verwenden. Ein Enthüllungsportal wie WikiLeaks stünde dann immer mit einem Bein im Gefängnis, investigative Journalisten und NGOs würden sich manches Angebot vielleicht zwei Mal überlegen.

Aber reiche Steuervermeider könnten wieder ruhiger schlafen. Ihre Vergehen würden ganz diskret mit dem Finanzamt geregelt, der öffentliche Pranger bliebe ihnen erspart. (In die gleiche Richtung zielt übrigens die geplante EU-Richtlinie zum Schutz von Geschäftsgeheimnissen).

Idee aus dem Bankenland

Die politische Initiative zur Einführung des Datenhehlerei-Paragraphen wurde übrigens schon 2012 vom Bundesland Hessen ergriffen, jenem Land, in dem die großen Banken ihren Sitz haben. Die Geldinstitute haben seit jeher ein existentielles Interesse daran, dass „gestohlene“ Kundendaten (von der Kreditkarte bis zum Offshore-Konto) nicht frei und gefahrlos auf dem Schwarzmarkt gehandelt werden können. Also brachte Hessen den Gesetzentwurf am 14. März 2014 im Bundesrat ein. Zur Begründung sagte die federführende Staatsministerin Eva Kühne-Hörmann:

Wer einen gestohlenen Computer oder ein gestohlenes iPad verkauft, macht sich wegen Hehlerei strafbar. Wer dagegen nur die Daten aus dem gestohlenen Gerät verkauft, kann nicht nach dem Hehlereitatbestand des § 259 StGB bestraft werden, obwohl die Daten in der Regel wertvoller sind als ein gebrauchter Computer. Hier setzt der hessische Gesetzentwurf zur Einführung eines Straftatbestandes der Datenhehlerei ein. Denn was in der „realen“ Welt selbstverständlich strafbar ist, das sollte auch im Internet strafrechtlich verfolgt werden…

Wenn also Ihre Kreditkarteninformationen bei der Reisebuchung für den heutigen Tag entwendet wurden – was ja möglich sein könnte – und jemand sie im Internet gegen kleines Geld erwirbt, kann es sein, dass er in Asien oder anderswo auf der Welt damit online auf Ihre Kosten einkauft. Wir beobachten in den letzten Jahren einen intensiven Handel mit solchen Daten. In einigen Internetforen dieser „underground economy“ waren bis zu 10 000 deutschsprachige Nutzer registriert. Anders als vielleicht beim gestohlenen Schmuck, den der Gesetzgeber Ende des 19. Jahrhunderts bei der Schaffung des Straftatbestandes der Hehlerei im Blick hatte, ist der Weiterverkauf rechtswidrig erlangter Daten ein Massenphänomen mit einer entsprechend hohen Anzahl Geschädigter. Jüngstes Beispiel ist der im Januar vom Bundesamt für Sicherheit in der Informationstechnik – kurz: BSI – vermeldete Diebstahl von 16 Millionen digitalen Identitäten. Davon sollen über die Hälfte, mehr als 8 Millionen, die Endung „.de“ aufgewiesen haben, was die Betroffenheit von bis zu 8 Millionen in Deutschland lebenden Personen nahelegt. Dies zeigt die Dimensionen, über die wir sprechen, und den dringenden Handlungsbedarf…

Am Ende ihrer Rede fügte die Ministerin noch hinzu:

„Zwar ist es vorrangiges Ziel des Gesetzentwurfs, die sensiblen Daten der Bürger vor Missbrauch zu schützen; er schafft aber auch Rechtssicherheit beim Ankauf von Steuer-CDs. Hier geht es nämlich nicht nur um die Zulässigkeit der Verwertung von Daten im Steuer- und Strafverfahren, sondern auch darum, dass der Dienstherr seine Beamten davor schützt, durch den Ankauf von Steuer-CDs aus dem Ausland strafbare Handlungen vorzunehmen. Der Erwerb dieser Daten ausschließlich in Erfüllung einer gesetzlichen Pflicht wird nun von der Strafbarkeit ausdrücklich ausgenommen.“

Das ist ein wichtiges Signal. Es bedeutet, dass sich Verkäufer von Bank- oder anderen Firmendaten künftig zuerst an staatliche Behörden (an Finanzämter und Geheimdienste) wenden sollen und nicht zuerst an die Öffentlichkeit, an WikiLeaks, an Transparency International oder andere. Der Staat sichert sich auf diese Weise ein Monopol. Er nimmt sich das Recht, zu tun, was andere nicht dürfen.

Siehe zum gleichen Thema auch Thomas Stadler und Bernhard Freund sowie die Zeit und netzpolitik.org.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

13 Ergänzungen

  1. Tja, hier zeigt sich wieder einmal sehr deutlich:
    Die Beste Demokratie die man für Geld kaufen kann!
    Wenn Kriminelle Gesetze machen werden sie zwangsläufig zu „Ehrbaren“ Gestalten!

  2. Der Artikel bezieht sich auf den ersten, geleakten Entwurf und ist nicht mehr aktuell. Der von offizieller Seite vorgelegte Entwurf enthält in § 202d StGB-E … ausgenommen sind … „Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikationsdiensten berufsmäßig mitwirken oder mitgewirkt haben“. Wegen der bekanntlich guten Drähte der Verlage gibt es wahrscheinlich dieses „berufsmäßig“, ansonsten ist eine Einschränkung der Presse durch den neuen Paragrafen nicht zu erwarten.

    1. Das verstößt in meinen Augen gegen den Gleichbehandlungsgrundsatz. Warum sollte diese Ausnahme auf berufsmäßig journalistisch Tätige beschränkt sein? „Berufsmäßig“ streichen, dann passt’s.

    2. Doch doch, die Entwurfsänderung ist mit einbezogen. Ich habe deshalb zwischen Bloggern/Enthüllungsplattformen und Redaktionen unterschieden, es wird künftig Auslegungssache sein, ob sich jemand auf Journalismus berufen kann, der diesen Job nicht hauptberuflich ausübt.

      Verhindert werden soll mit dem Gesetzentwurf vor allem, dass Daten UNGEFILTERT in die Öffentlichkeit gelangen. Und Redaktionen filtern.

      Insofern handelt es sich um ein Anti-WikiLeaks-Pro-Hoeneß-Gesetz.

      1. Ach nett, dass die Ministerin auch die BSI Sache vom Vorjahr zur Sprache bringt. Wette um Hoeneß Berufsethos, dass die NSA sich gleich mal eine Kopie dieser 16 Mio. Daten abgegfriffen hat. (Und nicht nur die allein).
        Man oh man war das eine Stinkmorchelnummer vom BSI wie sie das sauber aufgelöst haben. Hey wir haben ihre Daten. Geben sie uns jetzt all ihre Mailkonten damit wir sagen können OB sie betroffen sind.
        Leck mich fett. Dann geh ich doch selber hin und ändere alle Passwörter. Paypal kündigen und neu aufmachen, Shop accounts löschen und mit Pseudonym neu aufmachen. Konto migrieren lassen bei der Bank. Die meißten Leute tun schon das mit den PW nicht.

  3. Ergibt ja auch Sinn.
    Man nehme mal an, die Daten eines korrupten oder kriminellen Regierungsbeamten oder Polizisten würde auf so einer Liste stehen… dann kann man diese, wenn die Daten zuerst durch staatliche Filter laufen, ausselektieren. Die Daten waren dann halt einfach nicht lesbar an der Stelle.
    Würden die Daten direkt an die Öffentlichkeit gehen, würde vielleicht viel zu viel Schmutz ans Tageslicht geraten, das kann man doch dem Bürger nicht zumuten. Denn der Bürger soll ja stets an die Rechtschaffenheit des Systems glauben und die Vergangenheit hat schon zuviel wachgerüttelt, das nur zu gerne unter dem Staub der Trivialitäten bedeckt geblieben wäre.
    *
    Lasst mich raten: Da steckt auch wieder der Maas dahinter?

  4. Die VDS wird gegen Straftäter eingesetzt.

    Die VDS wird nicht gegen Straftäter eingesetzt.

    ?

    Satz 1 gilt zB für Ingenieure, Programmiererinnen und Bandarbeiter.

    Satz 2 gilt zB für Ärzte und Apothekerinnen.

    Quelle: Vorratsdatenspeicherung: Wir kontern die Argumente, mit denen der SPD-Parteivorstand das Gesetz durchdrücken will – netzpolitik org / SPD-Infoanschreiben „Die Daten von allen Berufsgeheimnisträgern dürfen ausdrücklich nicht abgerufen werden.“

      1. kann ich nicht, aber wir treffen uns dennoch, denn mein erster Gedanke zur VDS war: Der Zweck heiligt nicht alle Mittel.

  5. „[…] wichtiges Signal. Es bedeutet, dass sich Verkäufer von Bank- oder anderen Firmendaten künftig zuerst an staatliche Behörden […]“

    Na Klasse, (Teile von) Generationen haben sich abgekämpft, dass der kleine Mann seinen „Beherrschern“, seinen Bwana Massas, auf Augenhöhe begegnen kann, und kaum hat er es in etwa erreicht, wählt er sich freiwillig dieses undemokratische Gekrabbel,Gebeiße und Getrete mit Freuden wieder selbst an die Backe.
    Die oben angeführte „Freiwilligkeit“ beruht zwar meist auf einer ausgeprägt asymetrischen Informationslage, das macht es aber nicht besser.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.