Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Serverraumgang mit gedämpfter Beleuchtung — IT-Infrastruktur als Tatobjekt und Beweismittel im Wirtschaftsstrafverfahren

IT-Strafrecht, Cybercrime und Datenschutzstrafrecht im Unternehmen

Von

14 Min.

AUF EINEN BLICK

IT-Strafrecht bündelt die Straftatbestände rund um informationstechnische Systeme: das Ausspähen und Abfangen von Daten (§§ 202a–202c StGB), Datenveränderung und Computersabotage (§§ 303a, 303b StGB), Computerbetrug (§ 263a StGB), das Datenschutzstrafrecht (§ 42 BDSG) sowie die straf- und bußgeldrechtlichen Folgen von Verstößen gegen die seit 6. Dezember 2025 geltenden NIS2-Pflichten (§§ 30, 38, 65 BSIG). Unternehmen geraten dabei häufig in einer Doppelrolle ins Visier — als Opfer eines Cyberangriffs und zugleich als Beschuldigte wegen unterlassener IT-Sicherheit, unzulässiger Datenverarbeitung oder rechtswidriger Reaktion auf den Vorfall. Strafrahmen reichen je nach Norm bis zu 5 Jahren Freiheitsstrafe; OWi-Bußgelder können bis zu 10 Mio. Euro oder 2 % des weltweiten Konzernumsatzes erreichen.

IT-Strafrecht erfasst die strafrechtliche Verantwortung rund um informationstechnische Systeme, Daten und digitale Kommunikation. Die Materie umfasst Cybercrime im engeren Sinne — Angriffe auf IT-Systeme — und im weiteren Sinne sämtliche Straftaten, die mittels digitaler Technik begangen werden. Hinzu kommt das Datenschutzstrafrecht nach § 42 BDSG.

Für Unternehmen verschiebt sich die Risikolage seit dem 6. Dezember 2025 erneut. Mit dem Gesetz zur Umsetzung der NIS2-Richtlinie greifen verschärfte Cybersicherheitspflichten direkt in die Verantwortung der Geschäftsleitung. Wer einen Cybervorfall ausschließlich als IT-Problem behandelt, übersieht den strafprozessualen Pfad. Eine Strafanzeige, eine Durchsuchung beim Geschädigten oder eine Aufsichtsmeldung können das Unternehmen in derselben Stunde vom Opfer zum Beschuldigten machen.

Dieser Pillar führt die drei Säulen IT-Strafrecht, Cybercrime und Datenschutzstrafrecht aus Unternehmenssicht zusammen. Die Tiefenanalysen zu den Einzelnormen, zur Lösegeldfrage, zur IT-Beschlagnahme und zur Geschäftsleiterhaftung nach NIS2 finden sich in den verlinkten Cluster-Beiträgen.

Rechtsrahmen: Drei Säulen des IT-Strafrechts

Das IT-Strafrecht im weiteren Sinne ruht auf drei Säulen, die für die Unternehmenspraxis getrennt zu betrachten sind, im konkreten Verfahren jedoch häufig nebeneinander stehen.

Cybercrime im engeren Sinne: §§ 202a–202d, 263a, 303a–303b StGB

Den Kern bildet das Cybercrime im engeren Sinne — Delikte, die sich gegen IT-Systeme richten oder sie als Tatmittel voraussetzen. Das Ausspähen von Daten nach § 202a StGB pönalisiert das unbefugte Verschaffen von Zugang zu besonders gesicherten Daten. Das Abfangen von Daten (§ 202b StGB) erfasst die Telekommunikationsebene; § 202c StGB stellt Vorbereitungshandlungen — das Beschaffen oder Verbreiten sogenannter Hackertools — unter Strafe. Die Datenhehlerei (§ 202d StGB) sanktioniert das Sich-Verschaffen und Weiterverbreiten illegal erlangter Daten.

Auf der Tatobjektsseite stehen die Datenveränderung (§ 303a StGB) und die Computersabotage (§ 303b StGB), die typischerweise bei Ransomware und DDoS-Angriffen einschlägig sind. Der Computerbetrug (§ 263a StGB) deckt den Vermögensschaden durch manipulative Datenverarbeitung ab — von der Phishing-Überweisung bis zum CEO-Fraud.

Datenschutzstrafrecht: § 42 BDSG und Art. 83 DSGVO

Die zweite Säule ist das Datenschutzstrafrecht. § 42 Abs. 1 BDSG stellt das gewerbsmäßige, wissentliche Übermitteln nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen unter Strafe; Abs. 2 erfasst die Erschleichung gegen Entgelt oder mit Bereicherungs-/Schädigungsabsicht. Strafrahmen: bis zu 3 Jahre Freiheitsstrafe (Abs. 1), bis zu 2 Jahre (Abs. 2). Die Norm richtet sich an „Jedermann“ — natürliche und juristische Personen gleichermaßen.

In der Praxis ist § 42 BDSG empirisch ein schmales Instrument: Das Statistische Bundesamt führte für 2019 lediglich 23 Verfahren — Abgeurteilte, Einstellungen und Freisprüche zusammengerechnet, nachzulesen in BT-Drs. 19/28777 vom 20. April 2021. Die Dominanz liegt auf der bußgeldrechtlichen Schiene des Art. 83 DSGVO und der ergänzenden Regelungen in § 43 BDSG. Wer einen Datenschutzvorfall ausschließlich als § 42 BDSG-Risiko denkt, unterschätzt die OWi-Linie und überschätzt die strafrechtliche.

NIS2 und § 38 BSIG: Pflichten der Geschäftsleitung mit Sanktionsanker

Die dritte Säule ist seit 6. Dezember 2025 neu konturiert. Das NIS2-Umsetzungsgesetz hat das BSI-Gesetz grundlegend novelliert. § 30 BSIG verlangt von besonders wichtigen und wichtigen Einrichtungen ein umfassendes Cybersicherheits-Risikomanagement (10 Maßnahmenbereiche), § 32 BSIG regelt das gestufte Meldeverfahren bei erheblichen Sicherheitsvorfällen. § 38 BSIG ordnet die Verantwortung ausdrücklich der Geschäftsleitung zu — sie muss die Maßnahmen billigen, ihre Umsetzung überwachen und an entsprechenden Schulungen teilnehmen.

§ 38 BSIG ist kein Straftatbestand. Die Sanktionsfolgen liegen auf zwei Ebenen: bußgeldrechtlich nach § 65 BSIG (Rahmen bis 10 Mio. Euro oder 2 % des weltweiten Konzernumsatzes bei besonders wichtigen Einrichtungen; 7 Mio. Euro oder 1,4 % bei wichtigen Einrichtungen) und zivilrechtlich über die Innenhaftung. Eine strafrechtliche Dimension entsteht erst über Anknüpfungstaten — Untreue (§ 266 StGB), wenn die unterlassene IT-Sicherheit zu einem Vermögensschaden führt; § 42 BDSG, wenn der Vorfall in einem strafbaren Datenschutzverstoß mündet; § 130 OWiG, wenn die Aufsichtspflichtverletzung greift. Diese Anknüpfungslogik ist die eigentliche neuralgische Stelle: Aus einem rein technischen Vorfall wird über die Pflichtenkonstruktion ein strafrechtlich relevantes Organisationsverschulden.

Den materiellen Pillar zur Strafbarkeit von Organen vertieft der Beitrag [Compliance Officer Haftung](/compliance-officer-haftung-general-counsel/); zur Untreue durch unterlassene Sorgfaltspflichten siehe [Untreue § 266 StGB](/untreue-266-stgb-unternehmen-vorstand-compliance/).

Aktuelle Rechtsprechung: EncroChat-Linie und der digitale Beweisbegriff

Die für die Unternehmensverteidigung wichtigste höchstrichterliche Linie der letzten 24 Monate verläuft über die Verwertbarkeit digitaler Beweise aus dem Ausland — exemplarisch entwickelt am Komplex EncroChat, mit unmittelbarer Tragweite für jeden Cybervorfall, bei dem Daten zwischen Mitgliedstaaten ausgetauscht werden.

Den Grundstein legte der BGH mit Beschluss vom 2. März 2022 — 5 StR 457/21 (BGHSt 67, 29). Der 5. Strafsenat bejahte die Verwertbarkeit der von französischen Behörden erhobenen und über eine Europäische Ermittlungsanordnung (RL 2014/41/EU) nach Deutschland übermittelten EncroChat-Daten in Verfahren wegen schwerer Drogendelikte. Er griff zur Wahrung der Verhältnismäßigkeit auf § 100e Abs. 6 StPO zurück und ließ den Erkenntnisstand zum Zeitpunkt der Verwertung genügen.

Mit Urteil vom 30. April 2024 — C-670/22 (M.N.) hat der EuGH dieser Linie eine wichtige Schranke gezogen: Art. 31 RL EEA hat individualschützenden Charakter; die Beweisverwertung selbst bleibt aber Sache des nationalen Rechts. Das BVerfG hat in der Folge mit BVerfG, Beschl. v. 01.11.2024 – 2 BvR 684/22 eine Verfassungsbeschwerde gegen die EncroChat-Verwertung nicht zur Entscheidung angenommen — wegen Substantiierungsmängeln, nicht inhaltlicher Unbedenklichkeit. Ausdrücklich räumte die 1. Kammer des Zweiten Senats ein, eine EuGH-Vorlage wäre durchaus in Betracht gekommen.

Der vorläufige Schlusspunkt ist BGH, Urt. v. 30.01.2025 – 5 StR 528/24. Der 5. Strafsenat hat einen Freispruch des LG Berlin I aufgehoben, der mit der Cannabis-Teillegalisierung begründet war. Entscheidend für die Verwertbarkeit der EncroChat-Daten sei die Rechtslage zum Zeitpunkt der Datenanforderung 2020 — nicht das mildere Recht nach Inkrafttreten des KCanG am 1. April 2024. In dieser Entscheidung hat der BGH zugleich eine Teil-Abkehr von BGHSt 67, 29 vollzogen: Maßstab für die Datenanforderung ist nunmehr Art. 6 Abs. 1 Buchst. b RL EEA in Verbindung mit § 161 Abs. 1 StPO und nicht mehr unmittelbar § 100e Abs. 6 StPO analog. Bestätigt und vertieft wurde diese Linie durch BGH, Urt. v. 13.02.2025 – 5 StR 491/23.

Praktische Folge für Unternehmen mit internationalem IT-Bezug: Die Verteidigungsangriffe auf grenzüberschreitend erhobene digitale Beweise sind enger geworden, aber nicht verschlossen. Der Hebel verlagert sich auf die konkrete Substantiierung der Rechtshilfe-Defekte, den Nachweis einer gezielten Umgehung von Anordnungsvoraussetzungen sowie auf die EuGH-Vorlagepflicht — Ansätze, die der EuGH in C-670/22 prozedural anerkannt hat.

Typische Ermittlungs-Szenarien im Unternehmen

Die Praxis kennt vier Konstellationen, in denen Cybercrime-, IT- und Datenschutzstrafrecht im Unternehmen zusammenlaufen.

Ransomware-Angriff mit Lösegeldforderung. Die Geschäftsleitung steht zwischen Betriebsfortführungsinteresse, möglichen Strafbarkeitsrisiken nach §§ 129, 89c, 261 StGB sowie § 18 AWG bei Bezahlung an sanktionierte Empfänger und der zivilrechtlichen Innenhaftung. Die Datenpannenmeldung nach Art. 33 DSGVO und die NIS2-Meldung nach § 32 BSIG laufen parallel, mit jeweils eigenen Fristen. Eine Selbstanzeige als Modus existiert nicht; die Anzeige durch das geschädigte Unternehmen löst regelmäßig ein Verfahren gegen Unbekannt aus — mit dem Unternehmen als Zeuge, nicht selten aber zugleich als latentem Beschuldigten in einem Parallelverfahren.

Datenleck und Aufsichtsmeldung. Die Datenpannenmeldung an die Landesdatenschutzaufsicht nach Art. 33 DSGVO triggert keine Strafanzeige automatisch. Die Aufsichtsbehörde prüft jedoch eine Anzeigepflicht oder ein Anzeigerecht; bei Verdacht eines § 42 BDSG-Sachverhalts erfolgt die Abgabe an die Staatsanwaltschaft. In der Praxis bleibt der bußgeldrechtliche Pfad nach Art. 83 DSGVO dominant; die Strafverfolgung greift bei Insider-Konstellationen mit Bereicherungs- oder Schädigungsabsicht.

Insider-Datenabfluss beim Ausscheiden. Mitarbeitende kopieren Kundendatenbanken vor dem Wechsel zum Wettbewerber. Hier laufen § 202a StGB (besondere Zugangssicherung überwunden?), § 42 BDSG (Übermittlung an Dritte), § 17 UWG / § 23 GeschGehG sowie die zivilrechtliche Unterlassungsachse parallel. Verteidigungsrelevant ist die Vorsatzebene: § 42 BDSG verlangt Wissentlichkeit; bedingter Vorsatz reicht für die qualifizierten Tatbestände nicht.

Sicherheitsforschung außerhalb klarer Autorisierung. Pentesting, Bug-Bounty-Programme und Responsible Disclosure operieren in der Grauzone der §§ 202a, 202c StGB. Die Reformdiskussion im Bundesjustizministerium läuft seit 2024; bis zur gesetzlichen Klarstellung gilt die strenge Linie, die das LG Aachen in 60 Qs 16/23 fortgeschrieben hat: Auch eine kompilierte Speicherung kann „besondere Zugangssicherung“ sein.

Verteidigungsperspektive: Wo das Verfahren entschieden wird

Wirtschaftsstrafverfahren mit IT-Bezug werden selten in der Hauptverhandlung gewonnen oder verloren. Die Weichen werden im Ermittlungsverfahren gestellt — bei der ersten Durchsuchung, bei der Auswertung digitaler Beweismittel und bei der frühen Kommunikation mit den Strafverfolgungsbehörden.

Die Doppelrolle aktiv steuern. Ein Unternehmen, das sich nach einem Cyberangriff bei der Polizei meldet, agiert in zwei Rollen zugleich: als Anzeigeerstatter gegen Unbekannt und als potenzieller Beschuldigter aufgrund eigener Pflichtverletzungen. Die Aktenführung, die Reihenfolge der Berichte und die Adressatensteuerung (Aufsicht, BSI, Staatsanwaltschaft, Datenschutzaufsicht) entscheiden darüber, ob beide Verfahren parallel laufen oder ob eine Ermittlungsausweitung beginnt. Wer die NIS2-Meldung nach § 32 BSIG ohne Abstimmung mit der strafrechtlichen Verteidigungslinie absetzt, schafft Akten, die später in einem Untreue-Verfahren gegen die Geschäftsleitung verwendet werden können.

Die Datenpannenmeldung nach Art. 33 DSGVO und die NIS2-Meldung nach § 32 BSIG entstehen unter Druck weniger Stunden — sie binden das Unternehmen aber für die gesamte Lebensdauer eines möglichen Strafverfahrens. Der frühe Wortlaut wird zum späten Beweismittel.

Beweisverwertung digitaler Beweismittel. Die EncroChat-Linie bildet den allgemeinen Maßstab für jeden grenzüberschreitenden Datenfluss in Strafverfahren. Verteidigungsrelevant sind drei Konstellationen: Erstens die Rechtshilfe-Defekte (Substantiierung der EEA, Anordnungsvoraussetzungen im Erlassstaat, Benachrichtigungspflicht nach Art. 31 RL EEA). Zweitens die Verhältnismäßigkeit der Sichtung nach § 110 StPO bei umfangreichen Datenbeständen — Pauschalzugriffe verletzen Art. 13 GG und das Recht auf informationelle Selbstbestimmung. Drittens die EuGH-Vorlagepflicht nach Art. 267 AEUV, deren Unterlassen das BVerfG in 2 BvR 684/22 ausdrücklich als rügbar bezeichnet hat.

Den Pillar zur Verfahrensdimension der Unternehmensdurchsuchung vertieft [Durchsuchung im Unternehmen](/durchsuchung-unternehmen-rechte-pflichten/); zur IT-Beschlagnahme und § 110 StPO im digitalen Kontext siehe [Beschwerde gegen Durchsuchung und Beschlagnahme](/beschwerde-durchsuchung-beschlagnahme-rechtsschutz/).

Strafbarkeit der Lösegeldzahlung. Die Frage gehört zu den meistdiskutierten und am seltensten verfolgten in der deutschen Wirtschaftsstrafrechtspraxis. In Betracht kommen die Unterstützung einer kriminellen Vereinigung (§ 129 Abs. 1 S. 2 StGB), die Terrorismusfinanzierung (§ 89c StGB), die Geldwäsche (§ 261 StGB) und — bei sanktionierten Empfängern — der Verstoß gegen das Bereitstellungsverbot (§ 18 AWG). Soweit publik, ist bislang kein Fall einer Anklage gegen einen Lösegeld zahlenden Geschäftsführer in Deutschland bekannt. Das Restrisiko bleibt; entscheidend ist die Dokumentation der Notlage, der Abwägung und der Abstimmung mit BSI und Strafverfolgungsbehörden. Zum geldwäscherechtlichen Pfad vertieft der Pillar [Geldwäsche und AML-Compliance](/geldwaesche-vo/).

Strafrahmen-Hebel. § 263a StGB bietet bei großen Tatbeständen den qualifizierten Strafrahmen des § 263 Abs. 3 StGB (gewerbsmäßig, Bande, Vermögensverlust großen Ausmaßes). § 202a StGB ist mit 3 Jahren Strafrahmen vergleichsweise milde; der Hebel verlagert sich auf die Tateinheit zu §§ 263a, 269 StGB. Die Verteidigung setzt früh an der Tatbestandsqualifikation an — nicht erst an der Strafzumessung.

Praktisches Vorgehen nach einem Cybervorfall

Die erste Stunde nach Bekanntwerden eines Cybervorfalls entscheidet die strafrechtliche Verfahrensspur mit. Drei Linien laufen parallel und müssen koordiniert werden.

Erstens die forensische Linie: Beweissicherung in einer Weise, die spätere strafprozessuale Verwertung nicht ausschließt. Eigenständige interne IT-Auswertungen sind zulässig; sie ersetzen aber keine behördliche Sicherung und können bei späterer Beschlagnahme zum Aktenstück werden.

Zweitens die Meldelinie: Die DSGVO-Frist von 72 Stunden nach Art. 33 DSGVO und die abgestufte NIS2-Frist nach § 32 BSIG (Frühwarnung 24 Stunden, Vorfallsmeldung 72 Stunden, Abschlussbericht 1 Monat) sind nicht verhandelbar. Die inhaltliche Tiefe ist es schon. Sparsame, faktenbasierte Meldungen ohne rechtliche Selbstbewertung schaffen die geringsten späteren Bindungswirkungen.

Drittens die strafrechtliche Verteidigungslinie: Frühe Klärung der Organrollen, der Vertretungsverhältnisse und der Frage, ob das Unternehmen Anzeige erstattet. Eine Vorladung der Geschäftsleitung als Zeuge kann sich nach Aktenlage in eine Beschuldigtenvernehmung verwandeln; die anwaltliche Begleitung schon im Zeugenstadium ist deshalb die Regel, nicht die Ausnahme. Den Verfahrensrahmen des Beschuldigtenstatus erläutert [Beschuldigtenrechte im Strafverfahren](/beschuldigtenrechte-strafverfahren/).

Kommt es zur Durchsuchung beim geschädigten Unternehmen — etwa zur Beweissicherung in einem Verfahren gegen Unbekannt —, gelten die Anforderungen an § 102 StPO bzw. § 103 StPO weiter. In Verfahren wegen unterlassener IT-Sicherheit gegen Organe greift § 102 StPO; bei der Verschränkung mit Verfahren gegen Unbekannt nach §§ 202a ff. StGB stellt sich die Konkurrenzfrage. Die Sichtung großer Datenbestände nach § 110 StPO ist der eigentliche neuralgische Punkt: Pauschalzugriffe verletzen den Verhältnismäßigkeitsgrundsatz; die Differenzierung zwischen relevantem und überschießendem Datenmaterial muss bereits bei der Sicherung dokumentiert werden.

Häufige Fragen

Häufige Fragen

Macht sich die Geschäftsleitung bei einem Cyberangriff strafbar?
Nicht der Cyberangriff selbst löst die Strafbarkeit aus, sondern eine unterlassene oder unzureichende IT-Sicherheit, die zu einem Vermögensschaden des Unternehmens führt. In Betracht kommen § 266 StGB (Untreue durch Pflichtverletzung) und § 42 BDSG bei vorsätzlich-rechtswidriger Datenverarbeitung. Bußgeldrechtlich greift seit dem 6. Dezember 2025 § 65 BSIG mit Rahmen bis 10 Mio. Euro oder 2 % des weltweiten Konzernumsatzes. Die zivilrechtliche Innenhaftung nach § 38 BSIG und § 93 AktG tritt selbständig daneben.
Ist die Zahlung von Lösegeld nach einem Ransomware-Angriff strafbar?
Ein generelles gesetzliches Verbot der Lösegeldzahlung besteht in Deutschland nicht. Im Einzelfall kommen § 129 Abs. 1 S. 2 StGB (Unterstützung einer kriminellen Vereinigung), § 89c StGB (Terrorismusfinanzierung), § 261 StGB (Geldwäsche) und § 18 AWG (Bereitstellungsverbot bei sanktionierten Empfängern) in Betracht. Eine Anklage gegen ein Lösegeld zahlendes Unternehmen ist in Deutschland soweit publik bislang nicht ergangen. Entscheidend sind die Dokumentation der Abwägung und die frühzeitige Abstimmung mit BSI und Strafverfolgungsbehörden.
Wann führt ein Datenleck zu einem Strafverfahren nach § 42 BDSG?
§ 42 Abs. 1 BDSG verlangt das wissentliche, unberechtigte Übermitteln nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen — und Gewerbsmäßigkeit. Abs. 2 erfasst die Verarbeitung gegen Entgelt oder mit Bereicherungs-/Schädigungsabsicht. Empirisch ist die Strafverfolgung schmal: BT-Drs. 19/28777 verzeichnet für 2019 lediglich 23 Verfahren. Dominant ist der bußgeldrechtliche Pfad über Art. 83 DSGVO. Strafrechtlich relevant werden vor allem Insider-Konstellationen, nicht Standard-Datenpannen.
Wie unterscheiden sich IT-Strafrecht, Cybercrime und Datenschutzstrafrecht?
IT-Strafrecht ist der Oberbegriff für Straftaten mit Bezug zu informationstechnischen Systemen. Cybercrime im engeren Sinne erfasst Delikte gegen IT-Systeme (§§ 202a ff., 303a, 303b StGB), im weiteren Sinne auch Delikte mittels IT (z. B. § 263a StGB). Das Datenschutzstrafrecht (§ 42 BDSG) ist eigenständig und schützt personenbezogene Daten. Die drei Felder überschneiden sich regelmäßig: Ein Cyberangriff mit Datenabfluss aktiviert in der Regel mehrere Tatbestände parallel.
Sind Daten aus EncroChat, Sky ECC oder ANOM in deutschen Strafverfahren verwertbar?
Grundsätzlich ja. Der BGH hat die Verwertbarkeit der EncroChat-Daten in BGHSt 67, 29 bejaht und mit Urteil vom 30. Januar 2025 (5 StR 528/24) bestätigt — auch nach Inkrafttreten des KCanG. Das BVerfG hat in 2 BvR 684/22 keine Verfassungswidrigkeit festgestellt, aber Anforderungen an die EuGH-Vorlagepflicht offen gehalten. Der EuGH hat in C-670/22 (M.N.) den individualschützenden Charakter von Art. 31 RL EEA anerkannt. Verteidigungsansätze liegen bei der konkreten Substantiierung von Rechtshilfe-Defekten und der Verhältnismäßigkeit der Sichtung.
Welche Bußgelder drohen Unternehmen bei NIS2-Verstößen?
§ 65 BSIG sieht Bußgeldrahmen bis zu 10 Mio. Euro oder 2 % des weltweiten Konzernumsatzes für besonders wichtige Einrichtungen und bis zu 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen vor — jeweils der höhere Betrag. Hinzu treten zivilrechtliche Innenhaftung der Geschäftsleitung nach § 38 BSIG sowie strafrechtliche Anknüpfungstaten bei Vermögensschaden (§ 266 StGB) oder Datenschutzverstoß (§ 42 BDSG). Die Pflichten gelten ohne Übergangsfrist seit dem 6. Dezember 2025.
Was ist bei einer Durchsuchung des Unternehmens nach einem Cybervorfall zu beachten?
Maßgeblich ist die Rolle: Bei Verfahren gegen das Unternehmen oder seine Organe greift § 102 StPO, bei Durchsuchungen als unverdächtiger Dritter § 103 StPO mit höheren Konkretisierungsanforderungen. Die Sichtung digitaler Datenbestände nach § 110 StPO unterliegt dem Verhältnismäßigkeitsgrundsatz; Pauschalzugriffe sind rechtswidrig. Der Beschlagnahmeschutz (§§ 97, 160a StPO) erstreckt sich auf Kommunikation mit der Verteidigung. Frühe Aktivitäten zur Trennung relevanter und überschießender Daten sind verfahrensentscheidend.

Einordnung und Verfahrens-Ausblick

Das IT-Strafrecht ist kein eigenes Rechtsgebiet im klassischen Sinne, sondern eine Querschnittsmaterie. Es verbindet die klassischen Cybercrime-Tatbestände mit dem Datenschutzstrafrecht und — seit Dezember 2025 — mit der NIS2-bedingten Pflichtenarchitektur des BSIG. Für Unternehmen verschiebt sich der Schwerpunkt der Risikolage von der Tat selbst zur Organisationsverantwortung der Geschäftsleitung.

Drei Entwicklungen prägen die nächsten 24 Monate: erstens die Konsolidierung der EncroChat-Linie und ihre Übertragung auf andere grenzüberschreitende Datenkomplexe (Sky ECC, ANOM, künftige Cloud-Beschlagnahmen); zweitens die Reform der Hackerparagrafen mit Entkriminalisierung legitimer Sicherheitsforschung; drittens die ersten Bußgeldverfahren nach § 65 BSIG, die den praktischen Maßstab der NIS2-Pflichten konturieren werden. Die strafrechtliche Beratung gehört in dieser Konstellation nicht ans Ende, sondern an den Anfang der Vorfallsreaktion — zur frühen Trennung der Opfer-Linie von der Beschuldigten-Linie und zur Steuerung der Aktenführung.

Quellen

  • BGH, Beschl. v. 02.03.2022 – 5 StR 457/21, BGHSt 67, 29
  • BGH, Beschl. v. 08.02.2022 – 6 StR 639/21, NJW 2022, 1539
  • EuGH, Urt. v. 30.04.2024 – C-670/22 (M.N.), EU:C:2024:372, NJW 2024, 1723
  • BVerfG, Beschl. v. 01.11.2024 – 2 BvR 684/22 (bundesverfassungsgericht.de PM Nr. 104/2024)
  • BGH, Urt. v. 30.01.2025 – 5 StR 528/24 (bundesgerichtshof.de PM Nr. 021/2025)
  • BGH, Urt. v. 13.02.2025 – 5 StR 491/23 (dejure.org)
  • LG Aachen, Beschl. v. 27.07.2023 – 60 Qs 16/23
  • BT-Drs. 19/28777 vom 20. April 2021 (§ 42 BDSG-Empirie)
  • §§ 202a–202d, 263a, 303a, 303b StGB; § 42 BDSG; Art. 83 DSGVO; §§ 30, 32, 38, 65 BSIG; §§ 100b, 100e, 110 StPO — gesetze-im-internet.de

Stand: Mai 2026 | Kein Ersatz für Rechtsberatung im Einzelfall.

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Newsletter

Compliance & Wirtschaftsstrafrecht

Neue Beiträge direkt in Ihr Postfach.

Kein Spam. Abbestellbar. Datenschutz

Zum Inhalt springen