Dieser Gastbeitrag von Wolfgang Michal erschien zunächst auf seinem Blog. Wir veröffentlichen ihn mit freundlicher Genehmigung.

Im Sommer will der Bundestag ein Gesetz gegen Datenhehlerei verabschieden. Wozu soll das gut sein?

Künftig sollen Leute, die „gestohlene“ Daten erwerben und weiterverwenden, härter bestraft werden.

Künftig sollen Leute, die „gestohlene“ Daten erwerben und weiterverwenden, straffrei bleiben.

Hä?

Das klingt ein bisschen irre, aber exakt so könnte man den Gesetzentwurf zur „Datenhehlerei“ zusammenfassen, der im Sommer gemeinsam mit der Vorratsdatenspeicherung vom Bundestag verabschiedet werden soll.

Der Widerspruch, den der geplante Strafgesetzbuch-Paragraph 202d enthält, löst sich erst auf, wenn man die Bezeichnung „Leute“ etwas ausdifferenziert. Sind damit z.B. Finanzbeamte gemeint, so dürfen diese „gestohlene“ Daten künftig straffrei erwerben und für ihre dienstlichen Aufgaben verwenden, sind dagegen Mitarbeiter von NGOs, Betreiber von Enthüllungsportalen, Blogger oder sonstige Interessierte gemeint, könnten sie wegen Datenhehlerei belangt werden – und dafür gibt’s bis zu fünf Jahre Gefängnis.

Das heißt: Brisante Dateien, die auf dem Schwarzmarkt kursieren, sollen künftig (wenn man einer Strafe entgehen will) nur noch den ordentlichen Dienstweg nehmen dürfen und nicht mehr ungefiltert in die Öffentlichkeit oder sonst wohin gelangen. Zugespitzt könnte man sagen: Staatliche Stellen haben künftig ein gesetzlich verbrieftes „Vorkaufsrecht“ oder das Privileg einer ius primae noctis für Steuer-CDs.

Der Fall Hervé Falciani

Erinnern wir uns: Vor acht Jahren „klaute“ der Bankangestellte Hervé Falciani die Kunden-Dateien der Genfer HSBC-Bank. Zunächst wollte er sie an einen Geschäftsmann verhökern, dann an verschiedene Banken, Geheimdienste und Finanzbehörden – und schließlich an Journalisten. (Auf Falcianis Daten-„Diebstahl“ basieren nicht nur die Swiss Leaks-Enthüllungen, sondern auch die berühmte Lagarde-Liste der griechischen Steuervermeider). Ein schierer Zufall, dass diese Daten nicht 2006 in dunklen Kanälen verschwanden. Die Steuerbehörden konnten sie erst 2009 unter Kontrolle bringen. Ob Geld dafür geflossen ist oder ein anderer Deal zustande kam, weiß man nicht. 2013 wurde Falciani nach einigen Monaten Haft aus der Obhut des Staates entlassen. Aber erst 2014 wurde die Swiss Leaks-Enthüllung zu einem öffentlichen Skandal.

Viele Bankangestellte auf der ganzen Welt wissen inzwischen, wie viel Geld eine Steuer-CD einbringen kann. Von ehrenwerten Whistleblowern ganz zu schweigen. Eine Zeit lang zirkulierten auch einige Daten der Schweizer Bank Vontobel – und gelangten dummerweise in die Hände eines Journalisten. Der Fall Hoeneß erregte die Republik. Nicht auszudenken, wären die Daten in die Hände von Betreibern einer Enthüllungsplattform gelangt! Dort hätte man sich wohl weder an das Schweizer Bankgeheimnis noch an das Steuergeheimnis noch an die Privatsphäre des Betroffenen gehalten.

Kanalisierung des Daten-Schwarzmarkts

In diesen schmutzigen, unübersichtlichen und anarchisch wachsenden Daten-Schwarzmarkt sollte endlich Ordnung gebracht werden. Das ging am besten durch Kanalisierung, also durch eine Kombination von Legalisierung einerseits und Strafandrohung andererseits. Ergebnis ist jener merkwürdige Gesetzentwurf, der ein- und dasselbe Handeln mit Strafe bedroht und straffrei stellt. Missverständnisse sind da geradezu programmiert. Zumal die Formulierungen im Entwurfstext ziemlich ungenau ausfallen.

Nicht-Staatliche Erwerber „gestohlener“ Daten müssen künftig umständlich nachweisen, dass sie berechtigt waren, die Daten zu erwerben und zu verwenden. Ein Enthüllungsportal wie WikiLeaks stünde dann immer mit einem Bein im Gefängnis, investigative Journalisten und NGOs würden sich manches Angebot vielleicht zwei Mal überlegen.

Aber reiche Steuervermeider könnten wieder ruhiger schlafen. Ihre Vergehen würden ganz diskret mit dem Finanzamt geregelt, der öffentliche Pranger bliebe ihnen erspart. (In die gleiche Richtung zielt übrigens die geplante EU-Richtlinie zum Schutz von Geschäftsgeheimnissen).

Idee aus dem Bankenland

Die politische Initiative zur Einführung des Datenhehlerei-Paragraphen wurde übrigens schon 2012 vom Bundesland Hessen ergriffen, jenem Land, in dem die großen Banken ihren Sitz haben. Die Geldinstitute haben seit jeher ein existentielles Interesse daran, dass „gestohlene“ Kundendaten (von der Kreditkarte bis zum Offshore-Konto) nicht frei und gefahrlos auf dem Schwarzmarkt gehandelt werden können. Also brachte Hessen den Gesetzentwurf am 14. März 2014 im Bundesrat ein. Zur Begründung sagte die federführende Staatsministerin Eva Kühne-Hörmann:

Wer einen gestohlenen Computer oder ein gestohlenes iPad verkauft, macht sich wegen Hehlerei strafbar. Wer dagegen nur die Daten aus dem gestohlenen Gerät verkauft, kann nicht nach dem Hehlereitatbestand des § 259 StGB bestraft werden, obwohl die Daten in der Regel wertvoller sind als ein gebrauchter Computer. Hier setzt der hessische Gesetzentwurf zur Einführung eines Straftatbestandes der Datenhehlerei ein. Denn was in der „realen“ Welt selbstverständlich strafbar ist, das sollte auch im Internet strafrechtlich verfolgt werden…

Wenn also Ihre Kreditkarteninformationen bei der Reisebuchung für den heutigen Tag entwendet wurden – was ja möglich sein könnte – und jemand sie im Internet gegen kleines Geld erwirbt, kann es sein, dass er in Asien oder anderswo auf der Welt damit online auf Ihre Kosten einkauft. Wir beobachten in den letzten Jahren einen intensiven Handel mit solchen Daten. In einigen Internetforen dieser „underground economy“ waren bis zu 10 000 deutschsprachige Nutzer registriert. Anders als vielleicht beim gestohlenen Schmuck, den der Gesetzgeber Ende des 19. Jahrhunderts bei der Schaffung des Straftatbestandes der Hehlerei im Blick hatte, ist der Weiterverkauf rechtswidrig erlangter Daten ein Massenphänomen mit einer entsprechend hohen Anzahl Geschädigter. Jüngstes Beispiel ist der im Januar vom Bundesamt für Sicherheit in der Informationstechnik – kurz: BSI – vermeldete Diebstahl von 16 Millionen digitalen Identitäten. Davon sollen über die Hälfte, mehr als 8 Millionen, die Endung „.de“ aufgewiesen haben, was die Betroffenheit von bis zu 8 Millionen in Deutschland lebenden Personen nahelegt. Dies zeigt die Dimensionen, über die wir sprechen, und den dringenden Handlungsbedarf…

Am Ende ihrer Rede fügte die Ministerin noch hinzu:

„Zwar ist es vorrangiges Ziel des Gesetzentwurfs, die sensiblen Daten der Bürger vor Missbrauch zu schützen; er schafft aber auch Rechtssicherheit beim Ankauf von Steuer-CDs. Hier geht es nämlich nicht nur um die Zulässigkeit der Verwertung von Daten im Steuer- und Strafverfahren, sondern auch darum, dass der Dienstherr seine Beamten davor schützt, durch den Ankauf von Steuer-CDs aus dem Ausland strafbare Handlungen vorzunehmen. Der Erwerb dieser Daten ausschließlich in Erfüllung einer gesetzlichen Pflicht wird nun von der Strafbarkeit ausdrücklich ausgenommen.“

Das ist ein wichtiges Signal. Es bedeutet, dass sich Verkäufer von Bank- oder anderen Firmendaten künftig zuerst an staatliche Behörden (an Finanzämter und Geheimdienste) wenden sollen und nicht zuerst an die Öffentlichkeit, an WikiLeaks, an Transparency International oder andere. Der Staat sichert sich auf diese Weise ein Monopol. Er nimmt sich das Recht, zu tun, was andere nicht dürfen.

Siehe zum gleichen Thema auch Thomas Stadler und Bernhard Freund sowie die Zeit und netzpolitik.org.