Der Straftatbestand des Ausspähens von Daten ist in § 202 a StGB geregelt. Im Zuge steigender Internetkriminalität gewinnt auch diese Vorschrift seit Jahren zunehmend an Bedeutung. Fälle von "Daten- und Identitätsklau", denen sich der ahnungslose Bürger hilflos ausgeliefert sieht, häufen sich.
Durch § 202 a StGB ist nicht nur der persönliche Geheimbereich geschützt, sondern auch das in der Regel wirtschaftliche Interesse des Verfügungsberechtigten, die in Daten, Dateien oder Datenbanksystemen verkörperten Informationen vor unbefugten Zugriffen zu schützen – insbesondere auch vor Ausbeutung durch (Wirtschafts-)Spionage. Geschützt sind hierbei nur solche Daten, welche elektronisch oder magnetisch verkörpert oder sonst nicht unmittelbar wahrnehmbar entweder gespeichert sind oder übermittelt werden. Auf den Inhalt der Daten kommt es nicht an. Gespeichert sind Daten, wenn sie zum Zweck ihrer Weiterverwendung erfasst, aufgenommen oder aufbewahrt sind, § 3 V Nr. 1 BDSG. Damit sind alle Formen nicht unmittelbar wahrnehmbarer Speicherung, vor allem digital übertragene Informationen, auch optische und akustische Speichermedien umfasst.
Die Tathandlung ist die Beschaffung der Daten durch Unbefugte unter Überwindung einer Sicherung z. B. durch (Raub-)Kopien, wobei unerheblich ist, ob der Inhalt der Daten zur Kenntnis genommen wird. Die berühmt-berüchtigten Trojaner, d. h. versteckte Programme zur Erlangung von Daten, erfüllen diese Tatbestandsvoraussetzung ebenso wie das so genannte "password fishing" durch täuschende Datenabfragen bzw. täuschende Einwirkung auf den Berechtigten.