Einleitung
Die fortschreitende Digitalisierung wirtschaftlicher Tätigkeiten, öffentlicher Dienstleistungen und sozialer Interaktion hat das Umfeld, in dem schwere und organisierte Kriminalität operiert, grundlegend verändert. Kriminelles Verhalten verlagert sich zunehmend in den digitalen Raum, stützt sich auf digitale Infrastrukturen und nutzt die enormen Datenmengen, die in modernen Gesellschaften erzeugt und gespeichert werden. Infolgedessen hat sich Cyberkriminalität von einer Ansammlung technisch geprägter Delikte zu einem strukturierten, transnationalen und marktorientierten Kriminalitätsphänomen entwickelt.
Jüngste europäische Lagebilder unterstreichen, dass personenbezogene und unternehmensbezogene Daten in das Zentrum dieses Ökosystems gerückt sind – nicht mehr lediglich als beiläufige Angriffsziele, sondern als zentrale Ressource, welche kriminelle Aktivitäten ermöglicht. Diese Entwicklung wird in der jüngsten europäischen Analyse ausdrücklich anerkannt, wonach „Daten die zentrale Handelsware der Cyberkriminalitätsökonomie darstellen – begehrt, entwendet, gekauft und von einer Vielzahl von Tätern ausgebeutet“.
Aus strafrechtlicher Perspektive ist diese Entwicklung von erheblicher Bedeutung. Die geltenden Rechtsrahmen sind weiterhin weitgehend in deliktsbezogenen Modellen verankert, die auf unmittelbare Rechtsgutsverletzungen, identifizierbare Opfer und lineare Kausalverläufe ausgerichtet sind. Datengetriebene Cyberkriminalität hingegen ist durch Fragmentierung, Delegation und die wiederholte Nutzung rechtswidrig erlangter Ressourcen gekennzeichnet und stellt damit traditionelle Annahmen zur Zurechnung und Verantwortlichkeit in Frage.
Daten jenseits des Delikts: Tatobjekt, Tatmittel und Handelsware
Daten nehmen in der zeitgenössischen Cyberkriminalität eine multifunktionale Rolle ein. Zum einen sind sie häufig unmittelbares Tatobjekt krimineller Angriffe. Ransomware-Operationen, großangelegte Datenpannen sowie spionageorientierte Intrusionen zielen auf die unbefugte Erlangung von Informationen ab, die anschließend monetarisiert, zur Erpressung genutzt oder strategisch verwertet werden können.
Zum anderen fungieren personenbezogene Daten als Tatmittel zur Begehung weiterer Straftaten. Entwendete Zugangsdaten und persönliche Identifikatoren ermöglichen Betrug, Kontoübernahmen, Identitätsanmaßungen und Social-Engineering-Handlungen. Diese instrumentelle Nutzung von Daten ist auf internationaler Ebene seit Langem als strukturelles Merkmal cybergestützter Kriminalität anerkannt.
Von besonderer Bedeutung ist schließlich, dass Daten zu einer eigenständigen Handelsware geworden sind. Illegale Märkte handeln mit Zugangsdaten, Zugriffen auf kompromittierte Systeme und personenbezogenen Datensätzen, häufig über verschlüsselte Plattformen und zugangsbeschränkte Foren. Diese Märkte bilden das Rückgrat einer dienstleistungsbasierten kriminellen Ökonomie, die durch Outsourcing, Effizienzsteigerung und Risikodiversifikation geprägt ist. Aus rechtlicher Sicht führt die Zirkulation rechtswidrig erlangter Daten zu kumulativen und systemischen Schäden, die weit über den ursprünglichen Akt des unbefugten Zugriffs hinausgehen.
Spezialisierung, Outsourcing und fragmentierte Verantwortlichkeit
Ein prägendes Merkmal der gegenwärtigen Cyberkriminalitätslandschaft ist die funktionale Spezialisierung. Täter agieren zunehmend in lose verbundenen Wertschöpfungsketten anstelle stabiler, vertikal integrierter Gruppierungen. Sogenannte Initial-Access-Broker veranschaulichen dieses Modell: Ihre Tätigkeit besteht in der Erlangung und dem Verkauf von Zugriffen auf kompromittierte Systeme, die sodann von anderen Akteuren für den Einsatz von Ransomware, Betrug oder Datendiebstahl genutzt werden.
Diese Trennung zwischen Zugangserlangung und späterer Ausbeutung steigert zwar die kriminelle Effizienz, erschwert jedoch zugleich die strafrechtliche Zurechnung. Akteure auf vorgelagerten Ebenen können zeitlich und geografisch erheblich vom Enddelikt entfernt sein, obwohl ihr Beitrag für dessen Begehung unerlässlich ist. Europäische Cybersicherheitsanalysen beschreiben diese Struktur als ein ausgereiftes „Crime-as-a-Service“-Ökosystem, in dem kriminelle Rollen zunehmend legitimen digitalen Märkten ähneln.
Traditionelle Konzepte der Täterschaft und Teilnahme stoßen hier an ihre Grenzen. Soweit strafrechtliche Verantwortlichkeit maßgeblich von der Nähe zur unmittelbaren Tathandlung abhängt, besteht die Gefahr, dass Ermöglicher wie Access-Broker oder Datenhändler trotz ihrer zentralen Rolle bei der Schadensverursachung außerhalb des strafrechtlichen Verantwortungsbereichs verbleiben.
Zugangserlangung: Ausnutzung menschlicher Verwundbarkeit
Obwohl technische Schwachstellen weiterhin relevant sind, ist menschliches Verhalten zur primären Eintrittspforte für cyberkriminelle Aktivitäten geworden. Social-Engineering-Techniken, einschließlich Phishing und Vishing, nutzen Vertrauen, Autorität und Routine aus, anstatt Programmierfehler oder Systemlücken.
Diese Dynamik hat sich durch den Einsatz generativer künstlicher Intelligenz weiter intensiviert. Automatisierte Werkzeuge ermöglichen es Tätern, täuschende Kommunikation in großem Maßstab zu personalisieren, wodurch Erfolgsquoten steigen und zugleich Zugangshürden sinken. Europäische Analysen betonen, dass die Nutzung großer Sprachmodelle „die Wirksamkeit von Social-Engineering-Techniken durch individualisierte Ansprache der Opfer und Automatisierung krimineller Prozesse gesteigert hat“.
Aus strafrechtlicher Sicht erschwert die Automatisierung von Täuschungshandlungen die Beurteilung von Vorsatz und Vorhersehbarkeit. Wird schädigendes Verhalten durch technologische Systeme vermittelt, lockert sich die traditionelle Verbindung zwischen individueller Willensbetätigung und tatbestandlichem Erfolg zunehmend.
Künstliche Intelligenz und die Ausweitung krimineller Handlungskapazitäten
Über den Bereich des Social Engineering hinaus unterstützt künstliche Intelligenz die Identitätsfälschung, die Stimmimitation sowie die automatisierte Auswahl potenzieller Opfer. Untersuchungen zum missbräuchlichen Einsatz von KI zeigen, dass diese Technologien als Multiplikatoren wirken und es einzelnen Akteuren ermöglichen, cyberkriminelle Aktivitäten mit bislang unerreichter Geschwindigkeit und Reichweite zu skalieren.
Diese Ausweitung krimineller Kapazitäten hat unmittelbare Auswirkungen auf die Strafverfolgung. Ermittlungs- und Anklagemodelle, die auf einzelne Fälle und identifizierbare Täter zugeschnitten sind, stoßen bei Delikten, die durch hohe Geschwindigkeit, großes Volumen und transnationale Streuung gekennzeichnet sind, an strukturelle Grenzen. Das Strafrecht, traditionell reaktiv ausgestaltet, tut sich schwer mit Systemen, die auf kontinuierliche und adaptive Delinquenz angelegt sind.
Strafrechtliche Reaktionen und internationale Zusammenarbeit
Die transnationale Struktur von Datenmärkten offenbart die Begrenztheit territorial gebundener Rechtsordnungen. Täter, Infrastruktur, Opfer und Beweismittel sind häufig über mehrere Jurisdiktionen verteilt, wodurch Vollzugsdefizite entstehen, die durch nationales Recht allein nicht geschlossen werden können. Europäische Behörden betonen daher die Bedeutung nachrichtendienstlich gestützter Kooperation und koordinierter Störungsstrategien.
Auch internationale Forschung hebt die Notwendigkeit hervor, ermöglichende und vorbereitende Handlungen stärker in den Blick zu nehmen. Das Büro der Vereinten Nationen für Drogen- und Verbrechensbekämpfung hat festgestellt, dass Cyberkriminalität häufig aus miteinander verflochtenen Handlungen besteht und nicht aus isolierten Einzeldelikten, weshalb Rechtsrahmen erforderlich sind, die Beihilfehandlungen und marktbasierte Schadensbeiträge adäquat erfassen.
Schlussfolgerung
Die gegenwärtige Cyberkriminalitätslandschaft spiegelt einen strukturellen Wandel der organisierten Kriminalität wider. Personenbezogene Daten sind nicht länger bloßes Schutzobjekt, sondern das ökonomische Rückgrat eines kriminellen Ökosystems, das auf Wiederverwendung, Outsourcing und Skalierung beruht. Der wiederholte Diebstahl, die Zirkulation und die Ausbeutung von Daten erzeugen einen sich selbst verstärkenden Kreislauf, in dem einmal erlangter Zugang fortlaufende kriminelle Opportunitäten schafft.
Diese Entwicklung stellt das Strafrecht vor grundlegende Herausforderungen. Für territorial gebundene, linear strukturierte Delikte konzipierte Zurechnungsmodelle vermögen kumulative, verteilte und durch digitale Märkte vermittelte Schäden nur unzureichend abzubilden. Vorgelagerte Ermöglicher – Access-Broker, Datenhändler und Dienstleistungsanbieter – erzeugen systemische Risiken, bleiben jedoch formal vom Enddelikt distanziert.
Wie Europol prägnant feststellt, ist „der Zugang zu einem Konto oder System des Opfers der entscheidende Bestandteil der meisten Cybercrime-Kill-Chains“. Die Anerkennung dieser Zentralität erfordert eine Neujustierung des strafrechtlichen Fokus hin zu ermöglichendem Verhalten und strukturellen Schadensbeiträgen.
Letztlich ist die Bewältigung der Kommodifizierung von Daten nicht lediglich eine Frage der Cybersicherheitspolitik, sondern ein Prüfstein für die Anpassungsfähigkeit des Strafrechts an digitale Ökonomien unter Wahrung der Grundprinzipien der Gesetzmäßigkeit, Verhältnismäßigkeit und individuellen Verantwortlichkeit.
Eine Fassung dieses Beitrags wurde auf der Website der International Bar Association veröffentlicht und ist abrufbar unter: https://www.ibanet.org/The-commodification-of-personal-data
