Was besagt § 202a StGB?

§ 202a StGB (Ausspähen von Daten) stellt das unbefugte Verschaffen von Zugang zu Daten unter Strafe, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Das Strafmaß beträgt bis zu drei Jahre Freiheitsstrafe oder Geldstrafe.

Was ist eine besondere Zugangssicherung im Sinne von § 202a?

Besondere Zugangssicherungen sind technische Maßnahmen wie Passwortschutz, Verschlüsselung, Firewalls, Zugangskontrollen oder biometrische Sicherungen. Auch organisatorische Maßnahmen wie Zugangsberechtigungen können als besondere Sicherung gelten.

Welche Strafe droht bei Verstoß gegen § 202a StGB?

Das Ausspähen von Daten wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Bei gewerbsmäßigem Handeln oder besonders schweren Fällen können verwandte Tatbestände wie § 202b (Abfangen von Daten) oder § 303a StGB (Datenveränderung) zusätzlich greifen.

Wie unterscheiden sich § 202a, § 202b und § 202c StGB?

§ 202a betrifft das Ausspähen von Daten (unbefugter Zugang), § 202b das Abfangen von Daten (Abhören von Übertragungen) und § 202c das Vorbereiten des Ausspähens (Herstellen oder Beschaffen von Hacking-Tools). Zusammen bilden sie den strafrechtlichen Schutz gegen Cyberkriminalität.

§ 202a StGB – Ausspähen von Daten: Strafbarkeit und Schutz

Q: Wann macht man sich nach § 202a StGB strafbar?

Strafbar macht sich, wer sich oder einem Dritten unbefugt Zugang zu Daten verschafft, die nicht für ihn bestimmt sind und die gegen unberechtigten Zugang besonders gesichert sind. Die besondere Sicherung ist ein zentrales Tatbestandsmerkmal — ungesicherte Daten fallen nicht unter § 202a.

Wann macht sich ein Hacker strafbar? Der komplette Leitfaden zu § 202a StGB und verwandten Computerstraftaten

Kostenlose Erstberatung anfragen

✓ TÜV-zertifiziert ✓ BSI-zertifiziert ✓ IHK-zertifiziert ✓ Über 500 Mandanten in Sachsen ✓ Seit 2019

§ 202a StGB (Ausspähen von Daten) ist eine der zentralen Strafvorschriften im Bereich der Computerkriminalität in Deutschland. Der Paragraph stellt das unbefugte Verschaffen von Zugang zu Daten unter Strafe, die besonders gegen unberechtigten Zugang gesichert sind. In einer zunehmend digitalisierten Wirtschaft wird diese Vorschrift immer relevanter — sowohl für die Strafverfolgung von Hackern als auch für den Schutz von Unternehmensdaten.

Für Unternehmen hat § 202a StGB eine doppelte Bedeutung: Einerseits schützt er vor Datenausspähung, andererseits setzt er voraus, dass angemessene Sicherungsmaßnahmen getroffen werden — denn ohne Zugangssicherung greift der strafrechtliche Schutz nicht. Die DATUREX GmbH unterstützt Unternehmen als externer Datenschutzbeauftragter bei der Implementierung wirksamer Schutzmaßnahmen.

§ 202a StGB — Wortlaut und Erklärung

Der vollständige Wortlaut von § 202a StGB (Ausspähen von Daten):

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Die Tatbestandsmerkmale im Detail

Unbefugt — Ohne Erlaubnis des Berechtigten. Wer eine Zugangsberechtigung hat, handelt nicht unbefugt
Sich oder einem anderen Zugang verschaffen — Auch das Verschaffen für Dritte ist strafbar
Daten, die nicht für den Täter bestimmt sind — Eigene Daten fallen nicht unter den Schutz
Besonders gegen unberechtigten Zugang gesichert — Es muss eine Zugangssicherung vorhanden sein (Passwort, Verschlüsselung, Firewall)
Unter Überwindung der Zugangssicherung — Der Täter muss die Sicherung aktiv überwinden

Wann greift § 202a StGB?

Typische Fälle

Hacking — Unbefugtes Eindringen in ein Computersystem durch Ausnutzen von Schwachstellen
Phishing — Erschleichen von Zugangsdaten durch gefälschte E-Mails oder Websites
Brute-Force-Angriffe — Systematisches Durchprobieren von Passwörtern
Keylogger — Aufzeichnen von Tastatureingaben zur Erlangung von Passwörtern
SQL-Injection — Manipulation von Datenbankabfragen zur Datenexfiltration
Man-in-the-Middle — Abfangen verschlüsselter Kommunikation durch Kompromittierung der Verschlüsselung
Social Engineering — Wenn durch Täuschung Zugangsdaten erlangt werden, die dann zum Zugriff genutzt werden

Wann greift § 202a NICHT?

Keine Zugangssicherung vorhanden — Ungeschützte Daten auf einer öffentlich zugänglichen Website fallen nicht unter § 202a
Autorisierter Zugang — Wer eine gültige Zugangsberechtigung hat, macht sich nicht strafbar (auch wenn er die Daten zweckentfremdet — dann greifen ggf. andere Vorschriften)
Eigene Daten — Zugriff auf die eigenen Daten ist nicht strafbar
Zufällig gefundene Daten — Wer zufällig auf ungesicherte Daten stößt, ohne eine Sicherung zu überwinden, handelt nicht nach § 202a

Strafmaß und Konsequenzen

Strafrahmen — Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe
Antragsdelikt — Grundsätzlich nur auf Strafantrag des Geschädigten verfolgbar (§ 205 StGB), es sei denn, die Strafverfolgungsbehörde bejaht ein besonderes öffentliches Interesse
Versuch — Der Versuch ist strafbar (§ 202a Abs. 1 i.V.m. § 23 StGB)
Verjährung — 5 Jahre (Vergehen)

Zivilrechtliche Folgen

Neben der strafrechtlichen Verfolgung können Geschädigte Schadensersatz geltend machen — sowohl materiell (z.B. Kosten für IT-Forensik, Reputationsschäden) als auch immateriell (Schmerzensgeld bei Verletzung des Persönlichkeitsrechts).

§ 202a StGB und Datenschutz (DSGVO)

Die strafrechtliche und die datenschutzrechtliche Dimension überlappen sich erheblich:

Zugangssicherung als Pflicht

§ 202a StGB schützt nur Daten, die besonders gegen unberechtigten Zugang gesichert sind. Die DSGVO verpflichtet in Art. 32 DSGVO ohnehin zu technischen und organisatorischen Maßnahmen. Wer keine Zugangssicherung implementiert, verliert nicht nur den strafrechtlichen Schutz nach § 202a, sondern verstößt auch gegen die DSGVO.

Meldepflichten bei Datenausspähung

Wenn durch einen § 202a-Vorfall personenbezogene Daten betroffen sind, greifen die DSGVO-Meldepflichten:

Art. 33 DSGVO — Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden
Art. 34 DSGVO — Benachrichtigung der betroffenen Personen bei hohem Risiko

Strafanzeige und Datenschutz

Bei einem Cyberangriff stellt sich die Frage: Strafanzeige erstatten? In den meisten Fällen ist es empfehlenswert:

Aufsichtsbehörden werten eine Strafanzeige positiv bei der Bewertung der Reaktion
Für Cyber-Versicherungsansprüche ist oft eine Strafanzeige erforderlich
Die Strafverfolgungsbehörden (LKA Sachsen, ZAC) verfügen über spezialisierte Cybercrime-Einheiten

Schutzmaßnahmen — § 202a-Schutz durch IT-Sicherheit

Um den strafrechtlichen Schutz nach § 202a zu aktivieren UND die DSGVO-Anforderungen zu erfüllen, sollten Unternehmen mindestens folgende Maßnahmen implementieren:

Starke Passwörter und MFA — Zugangssicherung ist Voraussetzung für § 202a-Schutz
Verschlüsselung — Daten in Ruhe und Transit verschlüsseln
Firewalls und Netzwerksegmentierung — Technische Zugangssicherung
Regelmäßige Schwachstellenscans — Sicherheitslücken vorausschauend schließen
SIEM-Monitoring — Unbefugte Zugriffe erkennen
Incident Response Plan — Vorbereitet sein für den Ernstfall
Logging — Zugriffe protokollieren für Forensik und Strafverfolgung

DATUREX GmbH — Schutz vor Datenausspähung

Sicherheitsberatung — Implementierung wirksamer Zugangssicherungen (§ 202a-konform + DSGVO Art. 32)
Datenschutz-Audit — Prüfung Ihrer Schutzmaßnahmen und Identifikation von Lücken
Website-Sicherheitscheck — Technische Prüfung Ihrer Online-Präsenz
Incident Response — Unterstützung bei Cyberangriffen (Forensik, Meldepflichten, Strafanzeige)
Datenschutzberatung — Umfassende DSGVO-Compliance als externer DSB

Schutz vor Datenausspähung — Datenschutz und IT-Sicherheit

Die DATUREX GmbH schützt Ihr Unternehmen vor Datenausspähung und Cyberangriffen — mit technischen Maßnahmen, Datenschutzberatung und Incident-Response-Konzepten.

Sicherheitsberatung anfragen

Oder rufen Sie uns direkt an: 0351 / 795 935 13