Persilschein für staatlichen Datenklau aus Unternehmen – Gastbeitrag über eine Bundesratsinitiative

André-M. Szesny und Laura Görtz, Criminal-Compliance-Experten bei der Kanzlei Heuking Kühn, über eine Bundesratsinitiative als Anstiftung zum Datenklau.

André-M. Szesny, Partner bei Heuking Kühn

André-M. Szesny, Partner bei Heuking Kühn

Persilschein für heisse Informationen aus den Unternehmen: Datenhehlerei

Der Bundesrat hat einen Gesetzesentwurf verabschiedet, der die sogenannte Datenhehlerei in Zukunft unter Strafe stellen soll. Für staatliche Zwecke enthält der geplante Straftatbestand hingegen einen Persilschein für den Ankauf von Daten. Dies betrifft nicht nur Steuerdaten, sondern auch andere Informationen. Für die Unternehmen hätte so ein Gesetz weitreichende Konsequenzen: Denn eine Legalisierung des staatlichen Ankaufs gestohlener Daten ist ein Anreizsystem für Datendiebstahl in der Wirtschaft. Der Mitarbeiter kann sich wegen des Entwendens der Daten strafbar machen, der ankaufende Amtsträger soll hingegen straffrei sein. Diese Straftat des Mitarbeiters wird durch die Beamten, die Geld für die Daten bezahlen, gefördert.

Stiehlt ein Mitarbeiter eines Unternehmens oder ein Hacker datenmäßig erfasste Dokumente, dürften staatliche Stellen sich dann diese Daten verschaffen:

Beispiel Bestechung:

Ein Mitarbeiter des Vertriebs erfährt  dass ein anderer Vertriebsmitarbeiter seinem Kunden eine verdeckte Bestechungszahlung hat zukommen lassen. Anstatt dies der Geschäftsleitung mitzuteilen, sammelt er in den kommenden Wochen datenmäßig erfasste Unterlagen, die seinen Verdacht belegen. Gemeinsam mit einer Liste weiterer Kunden, die von dem korrupten Mitarbeiter betreut wurden, bietet er die Unterlagen der Polizei anonym zum Kauf an.

Beispiel Kartell:

Ein Hacker verschafft sich Zugang zu dem Mail-Server eines Unternehmens. Wie erhofft, erhält er Kenntnis von regelmäßigen Treffen des Geschäftsführers mit Wettbewerbern. Auch die Preispolitik war Gegenstand dieser Treffen. Der Hacker kopiert sich die entsprechenden Daten und bietet diese den Kartellbehörden zum Kauf an.

Laura Görtz, Anwältin bei Heuking Kühn

Laura Görtz, Anwältin bei Heuking Kühn

Beispiel Steuerfahndung:

Ein Lebensmittelhandelsunternehmen weist auf seinen Rechnungen den reduzierten Umsatzsteuersatz von sieben Prozent für Lebensmittel aus. Beim Einkauf der Ware hat das Unternehmen hingegen zu Unrecht den normalen Steuersatz von 19 Prozent zum Vorsteuerabzug gebracht. Das Unternehmen möchte seine Umsatzsteuererklärung nun berichtigen. Hierzu werden im Unternehmen mit den relevanten Abteilungen und den beratenden Rechtsanwälten diverse Mails ausgetauscht. Ein eingebundener Mitarbeiter des Finanzcontrollings sammelt diese Mails auf einem USB-Stick. Er bietet die Daten der Steuerfahndung des Landes Hessen für 10.000 Euro zum Kauf an. Die Steuerfahndung weiß, dass Steuernachzahlungen, Geldstrafen gegen Verantwortliche und eine Geldbuße gegen das Unternehmen diesen Kaufpreis deutlich übersteigen werden und entschließt sich zum Ankauf der Daten.

Legalisierung von Datenankäufen

Solche Datenkäufe sollen durch die Gesetzesinitiative des Bundesrates legalisiert werden. Zwar verfolgt der Gesetzesentwurf das zustimmungswürdige Anliegen, Strafbarkeitslücken im Bereich des Datenhandels zu beseitigen. Für staatliche Stellen wird jedoch eine diskussionswürdige Ausnahmeregelung getroffen. Im Einzelnen:

1. Gesetzesinitiative des Bundesrates schließt Gesetzeslücke

Zukünftig soll auch die Hehlerei von Daten unter Strafe stehen: Wer sich oder einem anderen rechtswidrig erlangte Daten verschafft oder diese weitergibt, soll mit Geld- oder Freiheitsstrafe bis zu fünf Jahren bestraft werden. So liest es sich in dem Gesetzesentwurf des Bundesrates zur Einführung des neuen Straftatbestandes Datenhehlerei in Paragraf  202d Strafgesetzbuch (BR-Drucksache 284/13).

Der Gesetzentwurf soll dem Bundestag noch im Herbst zur Entscheidung vorgelegt werden. An sich ist das eine gute Sache. Denn derzeit ist nur die Hehlerei mit Sachen – also körperlichen Gegenständen – strafbar. Wer sich gestohlene Daten verschafft, bleibt derzeit straflos. Nur wenn es sich um Betriebs- und Geschäftsgeheimnisse handelt, sieht das Gesetz gegen unlauteren Wettbewerb schon heute eine Sanktion vor.

Das soll sich ändern. Die Initiative des Bundesrates will eine Gesetzeslücke schließen, die durch die fortschreitende Technisierung insbesondere bei der Informationsverarbeitung in den letzten Jahren entstanden ist. Vor allem im Bereich der Nutzung von illegal erlangten Kreditkartendaten sollen Strafbarkeitslücken geschlossen werden. Zudem sieht der Bundesrat eine Schutzpflicht des Staates im Hinblick auf das vom Bundesverfassungsgericht erst jüngst neuformulierte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“.

2. Persilschein für öffentliche Stellen

Der Staat selbst soll diese Integrität allerdings nicht vollumfänglich schützen. Für staatliche Stellen statuiert Absatz 5 vielmehr eine bemerkenswerte Ausnahme von dem geplanten Straftatbestand: Danach soll der neue Straftatbestand nämlich nicht für Amtsträger oder deren Beauftragte gelten, die ausschließlich zur Erfüllung ihrer gesetzlichen Pflichten handeln oder die Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zuführen.

Gestohlene Daten kaufen – länger praktiziert und bald legitim?

 

Verschaffen sich also staatliche Stellen gestohlene Daten, sollen sie straflos bleiben.  Hintergrund dieser Regelung ist der seit längerem praktizierte Ankauf so genannter Steuer-CDs durch den Bund und die Länder. Es soll in Zukunft kein Zweifel mehr bestehen, dass der in der Wissenschaft heftig umstrittene Kauf und die Nutzung von Schweizer Bankkundendaten in legaler Weise für die Strafverfolgung von Steuerhinterziehern genutzt werden dürfen.

Novum im deutschen Strafrecht

Dies ist ein Novum im deutschen Strafrecht: Der Staat darf sonst keine Straftaten begehen, um sich Beweismaterial für eine Tat zu verschaffen. Das soll sich nun ändern: Der Staat – beziehungsweise das jeweilige Bundesland – belohnt mit dem Ankauf gestohlener Bankkundendaten den Datendieb und setzt damit dessen Straftat fort.

Gleichzeitig begründet er einen Anreiz für zukünftige Datendiebe, die Informationen zu stehlen, um sie dann – in der Hoffnung auf eine hübsche Summe – dem deutschen Fiskus zu verkaufen. Obwohl sich in den Datensätzen immer auch Informationen über unbescholtene Steuerpflichtige befinden, wird dieses Vorgehen mit dem staatlichen Interesse am Steueraufkommen gerechtfertigt.

3. Konsequenzen für Unternehmen: Datendiebstahl gegen Belohnung als legales System

Die geplante Neuregelung würde das bereits praktizierte staatliche Anreiz- und Belohnungssystem für Datendiebstahl in Beton gießen – allerdings nicht nur in Bezug auf Steuerdaten. Der Ausschluss soll vielmehr für sämtliche Daten gelten, welche zur Verfolgung von Straftaten und Ordnungswidrigkeiten erworben werden. Der Ankauf von illegal beschafften Unternehmensdaten könnte demnach bald zur zulässigen Ermittlungsmethode auch über die Verfolgung von Steuerhinterziehern hinaus avancieren. Stiehlt der Mitarbeiter eines Unternehmens oder ein Hacker datenmäßig erfasste Dokumente wie etwa Mail-Verkehr, Personalunterlagen, Gesundheitszeugnisse, Verträge, Kundenlisten, Buchhaltungsunterlagen undsoweiter, dürften staatliche Stellen sich diese Daten folgenlos verschaffen. Gerade in laufenden Ermittlungsverfahren kann dies für die Strafverfolgungsbehörden interessant sein.

Wenn durch staatliche Ermittlungsmaßnahmen – wie im Falle des Ankaufs von Daten – in ein Grundrecht (hier: das Grundrecht auf informationelle Selbstbestimmung) eingegriffen wird, muss das staatliche Handeln im deutschen Recht auf eine entsprechende Ermächtigungsgrundlage gestützt werden. In diesen, beispielsweise in der Strafprozessordnung niedergelegten, Befugnisnormen erfolgt eine genaue Festlegung der Voraussetzungen für den staatlichen Grundrechtseingriff. Durch diese Begrenzung des staatlichen Handelns wird der Eingriff mit den entgegenstehenden Grundrechten in Ausgleich gebracht.

Legalisierter Ankauf illegal beschaffter Unternehmensdaten

 

Eine solche Begrenzung etwa durch einen Richtervorbehalt will der Bundesrat nicht vornehmen. Dies führt dazu, dass der Ankauf von illegal beschafften Daten durch die Hintertür und an strafprozessualen Grundsätzen vorbei legalisiert werden soll.

Ausforschung ohne jeden Verdacht

Zudem verträgt sich die Konstruktion des Bundesrats auch aus einem anderen Gesichtspunkt heraus nicht mit der Strafprozessordnung: Diese setzt in der Regel zureichende tatsächliche Anhaltspunkte für ein staatliches Tätigwerden voraus. Beim Ankauf von Unternehmensdaten vom Datendieb dürfte es sich oft um eine Ausforschung handeln, also eine Vor-Ermittlungstätigkeit ohne jeden Verdacht – ansonsten wäre der Weg der – mutmaßlich effektiveren – Durchsuchung eröffnet.

Einzige Gegenwehr der Unternehmen: Datensicherheit aufrüsten

Abseits dieser dogmatischen Bedenken besteht für Unternehmen ein ganz praktisches Problem: Wollen sie verhindern, dass sich das ohnehin schon bestehende Problem des Datendiebstahls durch das staatliche Anreizsystem im geplanten § 202d Strafgesetzbuch verstärkt, müssen sie bei der Datensicherheit aufrüsten. Nur so würde verhindert, zumindest aber erschwert, dass Unternehmensmitarbeiter oder auch Hacker gezielt nach belastendem Material suchen, um dieses Ermittlungsbehörden anzubieten.

 

André-M. Szesny ist Partner der Kanzlei Heuking Kühn Lüer Wojtek und Lehrbeauftragter für Wirtschaftsstrafrecht an der Hochschule Fresenius in Köln. Laura Görtz ist Anwältin bei Heuking Kühn. Beide sind in den Bereichen Criminal Compliance und Wirtschafts- und Steuerstrafrecht tätig, beraten und verteidigen Unternehmen und Personen präventiv und in Wirtschaftsstrafverfahren: wirtschaftsstrafrecht@heuking.de.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*