Wissenshäppchen

Gilt Datenklau als Diebstahl?

„Größtes Datenleck aller Zeiten: 16 Milliarden Zugangsdaten im Netz entdeckt“. Unter dieser Schlagzeile berichtet CHIP online am 23. Juni 2025, dass Cyberkriminellen die Benutzernamen und Passwörter für zahllose Accounts bei sozialen Netzwerken, Cloud-Diensten und Portalen aller Art in die Hände gefallen seien. Empfehlung für die Nutzer: neue Passwörter setzen, Zwei-Faktor-Authentifizierung einrichten und sensible Accounts wie den Online Banking-Account auf Unregelmäßigkeiten prüfen.

Strafrechtlich geht es beim Abschöpfen von Daten, anders als die Bezeichnung Informationsdieb suggeriert, allerdings nicht um Diebstahl im Sinne des Strafgesetzbuchs.

— Ken Eckstein

Die Zugangsdaten wurden vermutlich mit einer Schadsoftware erbeutet, die bildhaft als InfoStealer-Malware bezeichnet wird, wobei InfoStealer übersetzt Informationsdieb bedeutet. „Strafrechtlich geht es beim Abschöpfen von Daten, anders als die Bezeichnung Informationsdieb suggeriert, allerdings nicht um Diebstahl im Sinne des Strafgesetzbuchs“, sagt Prof. Dr. Ken Eckstein, Professor für Strafrecht und Strafprozessrecht an der Ruhr-Universität Bochum.

Denn Diebstahl ist ein sogenanntes Eigentumsdelikt. Es bezieht sich auf den Eigentumsbegriff des Bürgerlichen Rechts. Der Diebstahlstatbestand schützt das Eigentum an körperlichen Gegenständen wie beispielsweise Büchern, Kleidung oder Fahrrädern. Dazu zählen auch IT-Geräte wie Mobiltelefone und Notebooks. „Datenträger sind also eigentumsfähig und können gestohlen werden. Die auf einem Datenträger gespeicherten Daten jedoch sind für sich genommen körperlos, also keine körperlichen Gegenstände und folglich nicht eigentumsfähig. Deshalb können sie nicht gestohlen werden“, so Ken Eckstein.

Daten werden kopiert, nicht gestohlen

Das mag spitzfindig erscheinen. Dahinter steht aber folgende Überlegung: Eine InfoStealer-Malware erbeutet zwar Zugangsdaten. Sie tut das aber, ohne dass der Berechtigte diese Zugangsdaten verliert. Vielmehr werden die Daten kopiert, also vervielfältigt. Das unterscheidet Daten von körperlichen Gegenständen: Ein Buch, das gestohlen wird, erlangt der Dieb auf Kosten des Eigentümers. Denn der Eigentümer büßt die Möglichkeit ein, sein Buch zu benutzen. Die vom InfoStealer erbeuteten Zugangsdaten dagegen werden grundsätzlich durch Herstellung eines Duplikats erbeutet und stehen auch dem Berechtigten weiterhin zur Verfügung.

Ein Datendiebstahl bleibt dennoch nicht straflos. „Das Strafgesetzbuch kennt Straftatbestände zum Schutz von Daten vor rechtswidriger Veränderung, zum Schutz von Vermögenswerten aller Art und zum Schutz von Geheimnissen. So wird nach Paragraph 202c und Paragraph 263a Absatz 3 Strafgesetzbuch unter näher umschriebenen weiteren Voraussetzungen bestraft, wer sich oder einem anderen Passwörter oder sonstige Sicherungscodes verschafft und dadurch bestimmte andere Straftaten vorbereitet, was wir als Phishing kennen“, so Ken Eckstein.

Und wenn Geld vom Online-Bankkonto verschwindet?

Der Albtraum jedes Onlinebanking-Kunden: Der Onlinebanking-Account wird kompromittiert und Geld verschwindet. „Dann kommt strafrechtlicher Vermögensschutz durch den Tatbestand des Computerbetrugs nach Paragraph 263a Strafgesetzbuch in Betracht“, erklärt Ken Eckstein. Außerdem bleiben Bankkunden nicht unbedingt auf dem erlittenen Schaden sitzen. Vielmehr sehen Gesetze eine weitgehende Haftung der Bank vor, es sei denn, der Kunde hat seine Sorgfaltspflichten grob fahrlässig oder sogar vorsätzlich verletzt. Diese kundenfreundliche Regelung beruht auf der Zahlungsdiensterichtlinie der Europäischen Union.

Spezielle Straftatbestände, die moderne Phänomene der Computerkriminalität erfassen, hat der Gesetzgeber erstmals 1986 ins Strafgesetzbuch eingefügt. Die Anpassung des Gesetzes an neue Phänomene ist eine rechtspolitische Daueraufgabe. Aktuell wird diskutiert, ob der Schutz für Kryptowerte wie Bitcoin Lücken aufweist. Die Blockchain-Technik soll Datensätze eindeutig und ausschließlich zuordnen. „Das sind charakteristische Eigenschaften auch des zivilrechtlichen Eigentums und das wiederum führt zu Forderungen nach einem Daten-Diebstahlstatbestand“, so Ken Eckstein.