Straftatbestand der Datenbeschädigung (§ 126a StGB)
Nach § 126a StGB macht sich strafbar, wer einen anderen dadurch schädigt, dass er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht, sonst unbrauchbar macht oder unterdrückt.
Der Tatbestand schützt nicht „Daten als solche“, sondern das Vermögen und die Dispositionsfreiheit jener Person, die über die Daten verfügen darf. Es geht also um die Frage, ob jemand durch die Manipulation von Daten wirtschaftlich oder in seiner rechtlichen Herrschaft über diese Daten beeinträchtigt wird.
Das Eigentum an den Daten oder an dem Datenträger, auf dem die Daten gespeichert sind, spielen bei einer Prüfung der Strafbarkeit nach § 126a StGB keine Rolle.
Welche Daten sind geschützt?
§ 126a StGB betrifft ausschließlich Daten, die
- automationsunterstützt verarbeitet werden (also maschinell/programmgesteuert gespeichert, verändert, verknüpft, vervielfältig oder gelöscht werden),
- automationsunterstützt übermittelt werden (maschinelle/programmgesteuerte Weitergabe einer Datenverarbeitungsanlage ein einen Empfänger, zB in Netzwerken, E-Mails, Cloud-Systemen),
- oder automationsunterstützt überlassen werden (maschinelle/programmgesteuerte Weitergabe zwischen zwei Empfängern, zB Datenzugang in einem Unternehmenssystem oder Cloud-Account).
Damit fallen praktisch alle modernen digitalen Informationen darunter – etwa:
- Dateien am Firmenserver (egal ob Word, Excel, PDF, Buchhaltungsunterlagen, CRM usw)
- Datenbanken (Kunden-, Mitarbeiter-, Patientendaten)
- Quellcode, Software-Repositories
- Cloud-Inhalte (Google Drive, Microsoft 365, SharePoint, AWS)
- E-Mail-Postfächer und Archivsysteme
- Logfiles, Zugangsdaten, Systemkonfigurationen
Die Daten müssen einen messbaren wirtschaftlichen Wert haben, weil Datenbeschädigung das Vermögen des Datenberechtigten schützt.
Wann liegt eine Datenbeschädigung vor?
Der Tatbestand des § 126a StGB nennt vier Arten der Tathandlung der Datenbeschädigung:
- Verändern: Daten werden manipuliert oder inhaltlich verfälscht (zB Überweisungsdaten, Buchhaltungseinträge, Kundenlisten).
- Löschen: Daten werden entfernt oder „wegformatiert“ (zB Löschung von Ordnern, Mails, Projektdokumentationen). Sie müssen derart unkenntlich sein, dass eine Wiederherstellung aus ihnen selbst nur durch Spezialisten mit finanziellem Aufwand möglich ist oder durch programmtechnische Maßnahmen der Zugriff gesperrt ist.
- Sonst unbrauchbar machen: Daten bleiben zwar vorhanden, sind aber faktisch nicht wie ursprünglich nutzbar (zB Verschlüsselung durch Ransomware, beschädigte Datenstruktur, beschädigte Backup-Ketten).
- Unterdrücken: Daten werden vorenthalten oder bewusst dem Berechtigten nicht zugänglich gemacht (zB Sperren eines Accounts, Entfernen von Zugriffsrechten, Zurückhalten von Passwörtern oder Schlüsseldateien).
Entscheidend ist, dass durch die Handlung ein Schaden entsteht. Maßgeblich ist nur der unmittelbare Schaden an den Daten, nicht ein allfälliger mittelbarer Schaden (als Folge der Datenbeschädigung. Zu den hier relevanten Schäden zählen zB Wiederherstellungskosten. Bei nicht wiederherstellbaren Daten kann auf den Affektionswert (zB bei gespeicherten Privatfotos) des Opfers abgestellt werden.
Vorsatz erforderlicher – keine fahrlässige Datenbeschädigung
Die Datenbeschädigung nach § 126a StGB ist – wie die Sachbeschädigung (§ 125 StGB) – ein Vorsatzdelikt. Das bedeutet, der Täter muss es zumindest ernstlich für möglich halten und sich damit abfinden, dass er Daten beeinträchtigt, über die er keine alleinige Verfügungsberechtigung hat. Daher ist ein versehentliches Löschen etwa durch Fehlbedienung, Irrtum oder eine ungeschickte Migration grundsätzlich nicht strafbar.
Gleichzeitig bedeutet dies nicht, dass solche Handlungen keine zivilrechtlichen oder arbeitsrechtlichen Folgen nach sich ziehen können. In der Praxis ist im IT-Bereich die Abgrenzung zwischen einem bloßen „Fehler“ und einer bewussten Manipulation häufig besonders umstritten und daher nicht selten Gegenstand intensiver strafrechtlicher Ermittlungen.
Strafdrohungen und Qualifikation: Wann ist eine Datenbeschädigung als „schwer“ zu beurteilen?
Wer eine Datenbeschädigung gemäß § 126a Abs 1 StGB begeht, ist mit einer Freiheitsstrafe von bis zu sechs Monaten oder mit einer Geldstrafe von bis zu 360 Tagessätzen zu bestrafen.
§ 126a StGB enthält jedoch Qualifikationen, die den Strafrahmen deutlich erhöhen können.
1) Schaden über 5.000 Euro
Wer durch die Tat an den Daten einen Schaden von über 5.000 Euro herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren zu bestrafen (§ 126a Abs 2 StGB).
2) Beeinträchtigung vieler Computersysteme (zB „Malware“, massenhafter Angriff)
Wer durch die Datenbeschädigung viele Computersysteme unter Verwendung eines Computerprogramms, eines Computerpassworts, Zugangscodes oder vergleichbarer Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, sofern diese Mittel nach ihrer besonderen Beschaffenheit ersichtlich dafür geschaffen oder adaptiert wurden, beeinträchtigt, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen.
Davon sind beispielsweise Tathandlungen im Zusammenhang mit Malware, Botnet, „Hacking-Tools“ usw erfasst. Als „viele“ Computersysteme gelten jedenfalls 30 oder mehr Computersysteme.
3) Besonders schwere Fälle (hohe Schäden, kritische Infrastruktur und kriminelle Vereinigung)
In besonders gravierenden Konstellationen sieht § 126a StGB nochmals deutlich höhere Strafrahmen vor – etwa dann, wenn der Angriff wesentliche Bestandteile der kritischen Infrastruktur (lebensnotwendige Bereiche wie Energie, Wasser, Gesundheit, Verkehr oder Ernährung) beeinträchtigt, als Teil einer kriminellen Vereinigung ausgeführt wird oder außergewöhnlich hohe Schäden (über 300.000 Euro) verursacht. In derartigen Fällen ist eine Strafdrohung von 6 Monaten bis zu 5 Jahren Freiheitsstrafe vorgesehen (§ 126a Abs 4 StGB).
Tätige Reue: Gibt es eine Chance auf Straffreiheit?
Bei Datenbeschädigung kann – je nach Sachverhalt – auch die tätige Reue (§ 167 StGB) ein wesentliches Thema sein. Wer den gesamten Schaden rechtzeitig und freiwillig gutmacht, kann unter bestimmten Voraussetzungen straffrei werden.
Wichtig ist dabei, dass die Wiedergutmachung erfolgt, bevor die Strafverfolgungsbehörden Kenntnis von den Geschehnissen erlangen. Außerdem muss die Schadenswiedergutmachung vollständig und freiwillig erfolgen. Gerade in IT-Fällen ist eine „volle Gutmachung“ aber nicht immer einfach, weil die konkrete Schadensbezifferung nicht sofort eindeutig eruiert werden kann.
Anwaltliche Unterstützung bei Datenbeschädigung
Ein auf IT-Strafsachen spezialisierter Strafverteidiger kann bei einem Vorwurf wegen Datenbeschädigung helfen, indem er früh Akteneinsicht nimmt, die vorliegenden Beweismittel rechtlich und faktisch prüft und klärt, welche Verteidigungsstrategie am zielführendsten ist. Beispielsweise wird geprüft, ob die Tat tatsächlich dem Beschuldigten zurechenbar ist bzw überhaupt ein „Schaden“ eingetreten ist.
Gleichzeitig sorgt ein Strafverteidiger dafür, dass keine voreiligen Aussagen gegenüber Polizei oder Staatsanwaltschaft gemacht werden, und bereitet gemeinsam mit dem Mandanten oftmals eine schriftliche Stellungnahme vor, um den eigenen Standpunkt überzeugend und nachvollziehbar darzustellen.
In Unternehmenskonstellationen unterstützt ein Rechtsanwalt außerdem bei der Koordination interner Untersuchungen (etwa mit IT-, Compliance- oder Forensik-Abteilungen), bei der Sicherung relevanter Beweise und bei der Kommunikation mit betroffenen Vertragspartnern und Behörden, um Risiken zu reduzieren. Ziel ist es, frühzeitig eine belastbare Strategie zu entwickeln, die – abhängig von Sachlage und Rolle des Rechtsanwalts – entweder auf eine rasche Entkräftung der Vorwürfe oder auf eine unkomplizierte Schadensgutmachung mittels Durchsetzung von Schadenersatzansprüchen ausgerichtet ist.
