Angeblich ist das Datenschutzniveau in Deutschland so hoch wie in keinem anderen Land. Ein Blick in die vom Bundesinnenministerium im April vorgestellte Polizeiliche Kriminalstatistik (PKS) zeigt jedoch, dass es mit der Rechtsdurchsetzung nicht besonders weit her ist. Obgleich es in den Tätigkeitsberichten der Datenschutz-Aufsichtsbehörden unzählige Fallbeispiele für Datenschutzverstöße gibt und auch diese nur die Spitze des Eisbergs sein dürften, werden nur wenige Fälle als Straftaten gegen das Datenschutzgesetz eingestuft.
IT-Delikte und Aufklärungsquoten von Datenschutz-Aufsichtsbehörden und Polizei im Vergleich
Was vielen nicht bekannt ist: Auch das Bundesdatenschutzgesetz kennt Bußgeld- und Strafvorschriften (§43 und §44 BDSG]. Allerdings ist die Zahl der Straftaten nach §44 BDSG seit Jahren verschwindend gering. Das zeigt der Vergleich mit verwandten Datendelikten, die im Strafgesetzbuch sanktioniert werden, wie das Ausspähen und Abfangen von Daten [§§ 202a bis 202d StGB), die Datenveränderung (§303a StGB) und die Computersabotage (§303b StGB).
70% Aufklärungsquote, wenn Datenschutz-Aufsichtsbehörden aktiv werden
Gleichwohl ist die Aufklärungsquote bei Verstößen gegen die Strafvorschriften aus dem Datenschutzgesetz mit 70 Prozent im 10-Jahresschnitt hoch im Vergleich zu den Delikten aus dem Strafgesetzbuch, wie Ausspähen, Datenveränderung oder Computersabotage. Dies mag daran liegen, dass viele der Fälle von den Datenschutz-Aufsichtsbehörden direkt an die Staatsanwaltschaft weitergegeben werden.
Nur 26% Aufklärungsquote bei polizeilichen Ermittlungen
Ganz anders sieht dies bei den klassischen IT-Sicherheitsdelikten aus: Nur 26 Prozent aller Fälle, die sich auf Datenveränderung und Computersabotage (§202a StGB) beziehen, können aufgeklärt werden, bei den Ausspähen-und-Abfangen-Fällen sind es gar nur 23 Prozent. Betrachtet man den 10-Jahresverlauf fällt auf, dass die Aufklärungsquote gerne dann sinkt, wenn die Zahl der Fälle ansteigt.
Dies deutet darauf hin, dass die Polizei in diesem Bereich hart an den Grenzen des personell Möglichen arbeitet und in Konjunkturjahren rasch überlastet ist. Außerdem gibt es für den Bereich IT-Sicherheit für Unternehmen anders als beim Datenschutz keine behördliche Unterstützung in Sachen Aufklärung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht ausschließlich Bundesbehörden operativ zur Verfügung.
Miserable Verurteilungsquoten bei stravbewehrten Verstößen gegen das Datenschutzgesetz
Vergleicht man die Anzahl der Tatverdächtigen, die die Polizei bis zur Abgabe eines Falls an die Staatsanwaltschaft ermittelt hat, mit der Zahl der von einem Gericht Abgeurteilten [a], so schneiden Fälle nach der Strafvorschrift des BDSG, dem §44, deutlich schlechter als der Durchschnitt ab: Im Verlauf von acht Jahren wird von 45 Tatverdächtigen einer abgeurteilt. Auffallend ist, dass erst seit 2013 etwas mehr Verurteilungen zu Stande kamen, wobei sie pro Jahr nicht einmal Klassenstärke erreicht.
Zu einer Anklageerhebung kommt es fast nie …
Dies lässt sich damit erklären, dass die meisten dieser Delikte bereits vor Anklageerhebung durch die Staatsanwaltschaft eingestellt werden. Dies kann sie dann tun, wenn sie das Delikt als Vergehen bewertet, die Schuld des Täters als gering bewertet oder kein öffentliches Interesse an der Verfolgung erkennen kann. Auch kann sie von einer Klage absehen, wenn der Tatverdächtige Schadensersatz leistet oder einen Geldbetrag entrichtet.
Aus Anwaltskreisen ist zu hören, dass dies regelmäßig der Fall ist, weil die Beweisführung oftmals komplex ist. Thilo Weichert, ehemaliger Leiter der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein, weiß aus eigener Erfahrung, dass die Staatsanwälte „absolut unwillig“ seien, solche Straftaten zu verfolgen, weshalb sie oft das Verfahren einstellen oder an die Datenschutzaufsichtsbehörden zurückgeben.
Die Strafvorschrift des §44 BDSG legt überdies die Latte hoch, da sie eine „vorsätzliche Handlung gegen Entgelt“ oder in Schädigungsabsicht voraussetzt. In der Praxis ist es aber nur schwer nachzuweisen, ob sich ein Täter bereichern wollte, oder auch die Absicht hatte zu schaden. Der Paragraph zeigt in der Praxis nur dann Wirkung, wenn der Verstoß äußerst schwer wiegt und die Beweise von Anfang an auf dem Tisch liegen.
Anders sieht dies bei den IT-Delikten nach Strafgesetzbuch aus. Zwar sind die Aufklärungsquoten im Vergleich zum Datenschutz enttäuschend, dafür sind die Verurteilungsquoten besser. In den letzten acht Jahren wurden nach den §§202a, b StGB (Ausspähen und Abfangen von Daten) im Schnitt der letzten acht Jahren von 30 Tatverdächtigen einer verurteilt. Nach §§303 a, b StGB (Datenveränderung, Computersabotage) wurde sogar von 12 Personen eine verurteilt.
Der Mythos vom ‚jugendlichen Hacker‘
Die PKS bietet auch einen Einblick in die Altersstruktur der Tatverdächtigen. Am Beispiel „Ausspähen und Abfangen von Daten“ lässt sich auf einen Blick erkennen, dass dieses Metier im Jahr 2016 nicht dem ‚jugendlichen Hacker‘, sondern vielmehr berufserfahrenen Personen zwischen 30 und 50 Jahren zuzuordnen ist.
Anmerkung
[a] Der im Februar 2017 vom Statistischen Bundesamt veröffentlichte Band „Statistik Strafverfolgung“ bezieht sich, anders als die PKS, nicht auf das Vorjahr, sondern auf das Vorvorjahr. Zahlen zu 2016 sind also erst Anfang 2018 zu erwarten, womit ein direkter Vergleich immer nur zeitverzögert möglich ist.Quellen
[1] Polizeiliche Kriminalstatistik, Bundeskriminalamt, IM-Berichtsfassung
https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/pks_node.html
[2] Statistik Strafverfolgung, Fachserie / 10 / 3 des Statistischen Bundesamts
https://www.destatis.de/GPStatistik/receive/DESerie_serie_00000107;jsessionid=5163DFF88883AEFEF2AAE0B278775DD8
Copyright und Nutzungsrechte
(C) 2017 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en).