erhard.rechtsanwälte
Termin 089 215 263 980
Cybercrime 30. Mai 2026 11 Min. Lesezeit

Datenhehlerei nach § 202d StGB – Strafbarkeit beim Umgang mit geleakten Daten und Verteidigung

Datenhehlerei (§ 202d StGB): Wann der Umgang mit geleakten Daten strafbar ist – Tatbestand, Vorsatz, Privilegierung und Verteidigungsstrategien.

Claus Erhard
Claus Erhard
Fachanwalt für IT- und Strafrecht
Datenhehlerei nach § 202d StGB – Strafbarkeit beim Umgang mit geleakten Daten und Verteidigung

Ein Datensatz aus einem Unternehmens-Leak, eine Sammlung von Zugangsdaten aus einem Darknet-Forum, eine angebotene Kundendatenbank zum Schnäppchenpreis – wer mit Daten umgeht, die ursprünglich jemand anderes rechtswidrig erlangt hat, gerät schnell in den Anwendungsbereich der Datenhehlerei nach § 202d StGB. Der Tatbestand ist jung, in der Praxis zunehmend relevant und für Laien wie für IT-Profis voller Fallstricke. Dieser Beitrag erklärt verständlich, wann der Umgang mit geleakten oder gestohlenen Daten strafbar ist, wo die entscheidenden Grenzen verlaufen – und mit welchen Argumenten sich der Vorwurf der Datenhehlerei verteidigen lässt.

Was ist Datenhehlerei? Der Tatbestand des § 202d StGB

Die Datenhehlerei wurde Ende 2015 in das Strafgesetzbuch eingefügt. Sie sollte eine Lücke schließen: Die klassische Hehlerei nach § 259 StGB erfasst nur Sachen, also körperliche Gegenstände. Daten sind keine Sachen. Wer also gestohlene Daten ankaufte oder weiterverkaufte, fiel durch das Raster – obwohl der Handel mit rechtswidrig erlangten Datensätzen längst ein eigener krimineller Markt geworden war. § 202d StGB ist deshalb das digitale Gegenstück zur Sachhehlerei.

Der Kern der Vorschrift lautet:

§ 202d Abs. 1 StGB: „Wer Daten (§ 202a Absatz 2), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."

Aus diesem einen Satz ergeben sich mehrere Voraussetzungen, die alle vorliegen müssen, damit eine Strafbarkeit wegen Datenhehlerei in Betracht kommt. Genau in diesen Voraussetzungen liegen zugleich die Ansatzpunkte der Verteidigung.

Welche Daten erfasst § 202d StGB?

Der Tatbestand verweist auf den Datenbegriff des § 202a Abs. 2 StGB. Erfasst sind danach nur Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Ein ausgedruckter Brief oder eine handschriftliche Notiz fällt nicht darunter; eine Datenbank, ein E-Mail-Archiv, ein Passwort-Dump oder ein kopierter Datenträger hingegen schon.

Zweite Bedingung: Die Daten dürfen nicht allgemein zugänglich sein. Informationen, die ohnehin frei im Internet stehen, jedem zur Verfügung stehen oder breit veröffentlicht wurden, sind keine taugliches Objekt der Datenhehlerei. Das ist ein praktisch wichtiger Punkt: Sind Leak-Daten bereits massenhaft im Netz verteilt und für jedermann auffindbar, lässt sich darüber streiten, ob sie noch „nicht allgemein zugänglich" sind.

Die Vortat: „durch eine rechtswidrige Tat erlangt"

Datenhehlerei ist eine Anschlusstat. Sie setzt – wie die Sachhehlerei – eine Vortat voraus: Ein anderer muss die Daten zuvor durch eine rechtswidrige Tat erlangt haben. Typische Vortaten sind das Ausspähen von Daten (§ 202a StGB), das Abfangen von Daten (§ 202b StGB), aber auch Diebstahl, Computerbetrug oder eine Verletzung von Geschäfts- oder Privatgeheimnissen.

Wichtig ist die Reihenfolge: § 202d StGB betrifft denjenigen, der mit den schon erbeuteten Daten umgeht – nicht den ursprünglichen Hacker selbst. Wer die Daten eigenhändig durch Überwinden einer Zugangssicherung erlangt, macht sich nach § 202a StGB strafbar; die spätere Verwertung durch einen Dritten ist die Datenhehlerei. Wie das Hacking selbst strafbar ist, erläutern wir im Beitrag zu Hackerangriffen und Datenveränderung nach §§ 303a und 303b StGB.

Die Tathandlungen

Tatbestandsmäßig sind vier Verhaltensweisen:

  • Sich oder einem anderen verschaffen – etwa der Ankauf oder Download eines Datensatzes
  • Einem anderen überlassen – die Weitergabe an eine konkrete Person
  • Verbreiten – das Streuen an einen größeren, unbestimmten Personenkreis
  • Sonst zugänglich machen – jede andere Form, Dritten den Zugriff zu eröffnen, z. B. das Hochladen auf eine Plattform

Schon das bloße Beschaffen für sich selbst genügt also. Es ist nicht erforderlich, dass die Daten weiterverkauft oder tatsächlich genutzt werden.

Der subjektive Tatbestand: Vorsatz und Bereicherungs- oder Schädigungsabsicht

Hier liegt der vielleicht wichtigste – und für die Verteidigung wertvollste – Punkt des gesamten Tatbestands. § 202d StGB ist ein Vorsatzdelikt mit einer zusätzlichen Absicht.

Erstens muss der Täter Vorsatz hinsichtlich aller objektiven Merkmale haben, insbesondere hinsichtlich der rechtswidrigen Herkunft der Daten. Dafür genügt zwar bedingter Vorsatz, also das billigende Inkaufnehmen, dass die Daten aus einer Straftat stammen. Aber: Bloße Leichtfertigkeit oder Fahrlässigkeit reicht nicht aus. Wer schlicht nicht erkannt hat, dass ein Datensatz aus rechtswidriger Quelle stammt, obwohl er es bei genauerem Hinsehen hätte erkennen können, erfüllt den Tatbestand nicht. Das unterscheidet die Datenhehlerei von manchen anderen Anschlussdelikten und ist ein zentraler Entlastungsansatz.

Zweitens verlangt das Gesetz eine Absicht, sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Fehlt diese überschießende Innentendenz, entfällt die Strafbarkeit. Wer Daten etwa aus reiner Neugier, zu Forschungszwecken oder zur Gefahrenabwehr betrachtet, ohne sich bereichern oder jemanden schädigen zu wollen, handelt nicht mit der erforderlichen Absicht. In der Praxis ist genau diese Absicht oft schwer nachzuweisen – und ihr Fehlen ein scharfes Verteidigungsschwert.

Versuch, Teilnahme und die Rolle des Vortäters

Drei weitere Punkte sind in der Praxis bedeutsam:

  • Versuch: Die Datenhehlerei ist ein Vergehen. Der Versuch eines Vergehens ist nur strafbar, wenn das Gesetz dies ausdrücklich anordnet – § 202d StGB tut das nicht. Das bloße, gescheiterte Bemühen, sich Daten zu verschaffen, ist daher nach dieser Vorschrift grundsätzlich straflos.
  • Der Vortäter ist kein Datenhehler: Wer die Daten bereits selbst durch die Vortat – etwa durch Ausspähen nach § 202a StGB – erlangt hat, begeht nach überwiegender Auffassung an denselben Daten keine zusätzliche Datenhehlerei. Wie bei der Sachhehlerei richtet sich § 202d StGB gegen den Anschlusstäter, nicht gegen den Vortäter.
  • Beihilfe und Anstiftung: Wer einen anderen zum Ankauf rechtswidrig erlangter Daten bestimmt oder ihn dabei unterstützt, kann sich wegen Teilnahme strafbar machen – auch ohne die Daten selbst je in Händen zu halten.

Haben Sie Fragen?

Unsere Fachanwälte beraten Sie vertraulich und kompetent. Vereinbaren Sie jetzt ein Erstgespräch.

Termin buchenKontaktformular

Abgrenzung zu §§ 202a, 202b StGB und zur Sachhehlerei (§ 259 StGB)

Die saubere Abgrenzung entscheidet häufig über die richtige Strafnorm und damit über den Strafrahmen:

  • § 202a StGB (Ausspähen von Daten): betrifft den Täter, der sich selbst unbefugt Zugang zu besonders gesicherten Daten verschafft. Datenhehlerei dagegen knüpft an die bereits erlangten Daten an.
  • § 202b StGB (Abfangen von Daten): erfasst das unbefugte Abfangen von Daten aus einer nichtöffentlichen Übermittlung. Auch dies ist eine mögliche Vortat der Datenhehlerei.
  • § 259 StGB (Sachhehlerei): betrifft ausschließlich körperliche Sachen. Weil Daten keine Sachen sind, wurde § 202d StGB überhaupt erst geschaffen. Die Funktionslogik – Anschlusstat an eine fremde Vortat, Bereicherungsabsicht – ähnelt der Hehlerei jedoch stark. Mehr dazu in unserem Beitrag zur Hehlerei nach § 259 StGB.

Werden die erlangten Daten anschließend eingesetzt, um Geld zu transferieren, können weitere Delikte hinzutreten – etwa Computerbetrug (§ 263a StGB) oder Geldwäsche. Wie Geldflüsse aus Straftaten strafrechtlich bewertet werden, behandelt der Artikel zur Geldwäsche nach § 261 StGB.

Typische Fallkonstellationen der Datenhehlerei

In der Ermittlungspraxis tauchen immer wieder ähnliche Konstellationen auf:

  1. Ankauf von Zugangsdaten im Darknet: „Combolists" aus E-Mail-Adressen und Passwörtern, Kreditkartendaten oder Account-Logins werden gehandelt. Wer solche Datensätze erwirbt, kann sich nach § 202d StGB strafbar machen. Die Strukturen dieses Marktes beleuchtet unser Beitrag zum Darknet-Handel.
  2. Weiterverkauf erbeuteter Kundendatenbanken: Ein ausgeschiedener Mitarbeiter oder ein Hacker bietet einen kompletten Kundenstamm an; der Käufer will damit eigene Geschäfte machen.
  3. Erpressung und Identitätsmissbrauch: Geleakte Daten werden gesammelt, um Personen unter Druck zu setzen oder unter falscher Identität zu handeln. Verwandte Phänomene erklärt der Artikel zu Identitätsdiebstahl und Social Engineering.
  4. Ankauf von Steuerdaten: Der politisch umstrittene Erwerb von „Steuer-CDs" durch Behörden war einer der historischen Auslöser der Debatte um die Datenhehlerei – und Grund für die unten beschriebene Privilegierung.
  5. Prüfung von Leak-Daten durch Sicherheitsdienste: Forscher und Dienste, die geleakte Zugangsdaten sammeln, um Nutzer vor Missbrauch zu warnen oder Sicherheitslücken zu schließen, bewegen sich in einem Graubereich. Hier entscheidet vor allem, ob die Tätigkeit von der Privilegierung gedeckt ist und ob überhaupt eine Bereicherungs- oder Schädigungsabsicht vorliegt.

Gerade weil diese Fälle technisch und rechtlich verschachtelt sind, lohnt sich eine frühe, fachkundige Einschätzung durch einen im IT- und Strafrecht versierten Verteidiger.

Die Privilegierung nach § 202d Abs. 3 StGB: Journalismus, Compliance, IT-Forensik

Der Gesetzgeber hat erkannt, dass ein zu weiter Tatbestand legitime Tätigkeiten kriminalisieren würde. Deshalb stellt § 202d Abs. 3 StGB ausdrücklich klar, dass Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen, nicht erfasst sind. Das Gesetz nennt insbesondere zwei Gruppen:

  • Amtsträger und ihre Beauftragten, die Daten ausschließlich zur Verwertung in einem Besteuerungs-, Straf- oder Ordnungswidrigkeitenverfahren entgegennehmen.
  • Berufsmäßig tätige Personen aus dem Bereich Presse und Rundfunk, die Daten entgegennehmen, auswerten oder veröffentlichen – ein Schutz für die journalistische Recherche.

In der Praxis stellt sich die Privilegierung darüber hinaus für weitere Berufsgruppen, deren Tätigkeit den Umgang mit fremden Daten erfordern kann:

  • Compliance-Abteilungen und interne Ermittler, die im Rahmen von Internal Investigations Datensätze prüfen
  • IT-Sicherheitsforscher und Forensiker, die Leak-Daten analysieren, um Betroffene zu warnen oder Sicherheitslücken zu schließen
  • Rechtsanwälte, die im Mandat mit potenziell rechtswidrig erlangten Daten konfrontiert werden

Ob die Privilegierung im Einzelfall greift, hängt stark von der konkreten Zweckrichtung ab – „ausschließlich" beruflichen Pflichten dienend ist eine enge Voraussetzung. Wer hier sicher agieren will, sollte die Grenzen vorab anwaltlich klären lassen, statt sich im Nachhinein auf den Ausnahmetatbestand zu berufen.

Strafrahmen, Verjährung und verfassungsrechtliche Diskussion

Der Strafrahmen der Datenhehlerei reicht von Geldstrafe bis zu Freiheitsstrafe von drei Jahren. Eine wichtige Begrenzung enthält § 202d Abs. 2 StGB: Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe. Ist die zugrunde liegende Tat mit einer milderen Höchststrafe bedroht, wirkt sich das auf die Datenhehlerei aus (sogenannte Akzessorietätsbegrenzung).

Bei einer Höchststrafe von drei Jahren beträgt die Verfolgungsverjährung regelmäßig fünf Jahre. Da es sich nicht um eines der antragsabhängigen Delikte handelt, wird die Datenhehlerei grundsätzlich von Amts wegen verfolgt – ein Strafantrag des Betroffenen ist nicht erforderlich.

§ 202d StGB ist seit seiner Einführung verfassungsrechtlich umstritten. Kritisiert wird vor allem, dass der weite Tatbestand die Presse- und Informationsfreiheit beeinträchtigen könne, weil journalistische Recherche mit geleaktem Material in den Anwendungsbereich gerät und die Reichweite der Privilegierung in Absatz 3 nicht in jedem Fall klar ist. Diese Diskussion ist für die Auslegung der Norm – und damit für die Verteidigung – von erheblicher Bedeutung.

Verteidigungsstrategien bei dem Vorwurf der Datenhehlerei

Der Vorwurf der Datenhehlerei ist selten so eindeutig, wie die Ermittlungsakte zunächst suggeriert. Erfolgversprechende Ansätze sind unter anderem:

  • Fehlender Vorsatz zur Herkunft: Lässt sich nicht beweisen, dass der Beschuldigte zumindest billigend in Kauf nahm, dass die Daten aus einer Straftat stammen, scheidet die Strafbarkeit aus. Reine Unachtsamkeit genügt nicht.
  • Fehlende Bereicherungs- oder Schädigungsabsicht: Ohne die überschießende Absicht ist der Tatbestand nicht erfüllt. Privates Interesse, Forschung oder Gefahrenabwehr sind keine Bereicherung.
  • Daten waren allgemein zugänglich: War der Datensatz bereits breit veröffentlicht, fehlt es am Tatobjekt.
  • Keine nachweisbare rechtswidrige Vortat: Bleibt offen, ob die Daten überhaupt durch eine rechtswidrige Tat erlangt wurden, fehlt eine zentrale Voraussetzung.
  • Eingreifen der Privilegierung (Abs. 3): Bei beruflicher oder dienstlicher Veranlassung kann die Strafbarkeit von vornherein entfallen.
  • Akzessorietätsbegrenzung (Abs. 2): Eine milde Vortat begrenzt das Strafmaß.
  • Beweisverwertung: Häufig stützt sich die Anklage auf die Auswertung beschlagnahmter Datenträger. Ob Durchsuchung und Sicherstellung rechtmäßig waren und die gewonnenen Beweise verwertbar sind, ist sorgfältig zu prüfen. Welche Ermittlungsmethoden den Behörden zur Verfügung stehen, zeigt unser Beitrag zu digitalen Ermittlungsmaßnahmen – TKÜ und Online-Durchsuchung.

Welche Strategie trägt, hängt vom Einzelfall ab. Entscheidend ist die genaue Analyse der Ermittlungsakte – möglichst frühzeitig, bevor Festlegungen getroffen werden, die sich später nicht mehr korrigieren lassen.

Was tun bei Vorladung oder Durchsuchung?

Wer eine Vorladung als Beschuldigter wegen Datenhehlerei erhält oder von einer Durchsuchung betroffen ist, sollte einige Grundregeln beachten:

  1. Schweigen. Sie sind nicht verpflichtet, sich zur Sache zu äußern. Machen Sie von Ihrem Schweigerecht Gebrauch – spontane Erklärungen schaden in IT-Strafverfahren fast immer mehr, als sie nutzen.
  2. Keine Datenträger freiwillig herausgeben oder entsperren. Geben Sie keine Passwörter oder PINs preis und stimmen Sie keiner „freiwilligen" Durchsicht zu.
  3. Nichts unterschreiben außer dem Hinweis, dass Sie der Sicherstellung widersprechen.
  4. Sofort einen Strafverteidiger einschalten, der Akteneinsicht beantragt und die Verteidigung auf Grundlage der tatsächlichen Beweislage aufbaut.

Diese Themen verbindet die Kanzlei erhard.rechtsanwälte mit ihrer besonderen Ausrichtung auf das Schnittfeld von IT und Strafrecht. Eine erste vertrauliche Einschätzung erhalten Sie über unser Kontaktformular.

Fazit

Die Datenhehlerei nach § 202d StGB kriminalisiert den Umgang mit Daten, die ein anderer zuvor rechtswidrig erlangt hat – vom Ankauf einer Leak-Datenbank bis zur Weitergabe gestohlener Zugangsdaten. Der Tatbestand ist weit, aber keineswegs grenzenlos: Er verlangt nicht allgemein zugängliche Daten, eine rechtswidrige Vortat, eine der vier Tathandlungen, Vorsatz hinsichtlich der Herkunft und zusätzlich eine Bereicherungs- oder Schädigungsabsicht. Bloße Leichtfertigkeit genügt nicht, und die Privilegierung in Absatz 3 schützt legitime berufliche Tätigkeit in Journalismus, Compliance und IT-Forensik.

Für Beschuldigte bedeutet das: Der Vorwurf der Datenhehlerei lässt sich an vielen Punkten angreifen. Wer frühzeitig anwaltliche Hilfe in Anspruch nimmt, schweigt und die Beweislage professionell prüfen lässt, hat gute Chancen, das Verfahren zu seinen Gunsten zu beeinflussen. Warten Sie nicht, bis sich Festlegungen verfestigt haben – lassen Sie Ihren Fall einschätzen, bevor Sie reagieren.

Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Die rechtliche Bewertung hängt stets vom konkreten Einzelfall ab. Kontaktieren Sie uns für eine vertrauliche Ersteinschätzung Ihres Falls.

Datenhehlerei § 202d StGB Leak-Daten Cybercrime Vorsatz
Weitere Artikel

Das könnte Sie auch interessieren

Wirtschaftsstrafrecht
Bankrott (§ 283 StGB): Wenn das Vermögen verschleiert wird
19. August 2025
Strafrecht
Störung des öffentlichen Friedens durch Androhung von Straftaten (§ 126 StGB)
14. Juni 2025
Wirtschaftsstrafrecht
Insolvenzverschleppung (§ 15a InsO) – Pflicht zur Insolvenzantragstellung, Risiken und Verteidigung in München
2. Oktober 2025