HRRS

Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht

April 2010
11. Jahrgang
PDF-Download

Aufsätze und Entscheidungsanmerkungen

Skimming als Ausspähen von Daten gemäß § 202a StGB?

Zugleich Anmerkung zu BGH HRRS 2010 Nr. 173

Von Wiss. Mit. Goya Gräfin Tyszkiewicz, LL.B., Bucerius Law School, Hamburg

I. Einleitung

Der Tatbestand des Ausspähens von Daten gemäß § 202a StGB stellt einen Kerntatbestand des sog. Computerstrafrechts dar, das mit dem 2. WiKG im Jahre 1986 Einzug in das StGB erhalten hat.[1] Die kriminalpolitische Bedeutung des § 202a StGB wird eher als gering eingeschätzt, auch sind höchstrichterliche Entscheidungen rar gesät.[2] Jedoch lässt sich in den vergangenen Jahren ein sehr deutlicher Anstieg in der Anzahl der verfolgten Taten nach § 202a StGB[3] anhand der polizeilichen Kriminalstatistik (PKS)[4] verzeichnen. Sie stieg von 538 im Jahre 2000[5] auf 7.727 im Jahre 2008.[6] Das von § 202a StGB geschützte Rechtsgut liegt nach überwiegender Auffassung im formellen

Verfügungsrecht an den Daten.[7] Es darf jedoch vermutet werden, dass die Verwirklichung des § 202a StGB in der Regel für die Täter mit Interessen verbunden ist, die über die bloße Verletzung fremder Verfügungsrechte hinausgeht. Häufig sind mit Daten auch wirtschaftliche Werte verbunden,[8] so dass deren Erlangung sich eher als Zwischenziel zu einer später angestrebten Bereicherung darstellt. So verwundert es nicht, dass § 202a StGB insbesondere im Zusammenhang mit der illegalen Beschaffung von Bankdaten thematisiert wird. Besondere Aufmerksamkeit hat in der strafrechtlichen Literatur in den letzten Jahren z.B. das sog. Phishing[9] erfahren, in Zuge dessen die Täter mittels e-Mails und gefälschter Webseiten Teilnehmer am Online-Banking dazu veranlassen, ihre Zugangsdaten und TANs (Transaktionsnummern) einzugeben.

Wer jedoch meint, der Zugriff auf fremde Bankdaten und -Konten erfolge allein im virtuellen Bereich, irrt. Der Zugriff auf fremde Bankkonten erfolgt vielfach mittels gefälschter Zahlungskarten, die mit den Daten einer tatsächlich existierenden, von einem Kreditinstitut ausgegebenen Zahlungskarte beschrieben wurden. Dabei können die Täter sich die Daten auf unterschiedliche Weise beschaffen. Zum einen ist denkbar, dem Inhaber der Karte selbige abzunehmen oder ihm die einschlägigen Informationen z.B. durch Drohung zu entlocken. Dies bedeutet für die Täter jedoch notwendigerweise die Herstellung eines Kontakts mit dem Opfer, was nicht nur den Aufwand, sondern auch das Entdeckungsrisiko erhöht. "Durchgesetzt" hat sich daher in der "kriminellen Szene" ein Verfahren, das unter Fachleuten als Skimming bezeichnet wird[10] und im strafrechtlichen Schrifttum bislang kaum Beachtung gefunden hat. Der folgende Beitrag gibt zunächst einen Überblick über die Vorgehensweise beim Skimming. Danach wird er im Rahmen einer kritischen Auseinandersetzung mit der Rechtsprechung des BGH die Frage untersuchen, inwieweit das Skimming vom Tatbestand des Ausspähens von Daten gemäß § 202a StGB und gegebenenfalls vom Vorbereitungsdelikt gemäß § 202c StGB erfasst wird.

II. Der Begriff des sog. Skimming und die klassische Vorgehensweise

Um an die Daten, die auf einer EC-Karte gespeichert sind, heranzukommen, verwenden die Täter (hier als Skimmer bezeichnet) Magnetkartenlesegeräte. Diese sind ohne großen technischen und finanziellen Aufwand im freien Handel zu beschaffen. Die Kartenlesegeräte werden optisch dergestalt verändert, dass sie den Eindruck erwecken, es handele sich um bloße Karteneinzugsvorrichtungen von Geldautomaten oder an Eingangstüren zu Bankfilialen. Anschließend werden die Lesegeräte auf dem Einzug eines Geldautomaten oder einer Eingangstür montiert. Jeder Karteninhaber, der sich unter Einsatz seiner Karte Zutritt zur Filiale verschaffen oder Geld abheben möchte, legt seine Karte in den Einzug. Die Karte wird eingezogen und so, bevor sie in die Datenverarbeitungsanlage der Bank gerät, vom Gerät des Täters ausgelesen und die ausgelesenen Daten vom Täter gespeichert. Einem durchschnittlich aufmerksamen Bankkunden wird die Manipulation am Automaten oder im Eingangsbereich der Bank nicht auffallen.

Ohne die dazugehörige PIN (Persönliche Identifikationsnummer) sind die Daten für die Täter kaum nutzbar, da sie im sog. EC-Cash-Verfahren zum Abheben von Geld immer erforderlich ist. Sie ermöglicht die Authentifizierung, d.h. erst nach ihrer Eingabe werden die im Netzwerk hinterlegten Kontoinformationen (Kontostand, Abgleich mit dem geforderten Betrag) freigegeben, so dass die Auszahlung möglich wird. Entgegen einer weit verbreiteten Annahme ist die PIN jedoch nicht auf der Karte gespeichert. Sie dient daher gerade nicht dem Schutz der auf der Karte gespeicherten Daten. Beim Skimming wird die PIN in den meisten Fällen über eine kleine Funkkamera ausgespäht, die am Geldautomaten montiert ist und kleiner sein kann als ein Stecknadelkopf.[11] In anderen Fällen werden Tastenfeld-Attrappen eingesetzt, die über das Eingabefeld des Geldautomaten geklebt werden und so die Tastendrücke aufzeichnen. Letztgenannte Variante wird aufgrund des Installationsaufwandes nur selten verwendet und soll in den folgenden Erörterungen außer Betracht bleiben.

Mit einem höchstwahrscheinlich klassischen Fall des Skimming hatte sich in der vorgenannten Entscheidung auch der 4. Strafsenat des BGH zu befassen.[12] Die Angeklagten hatten falsche Zahlungskarten hergestellt (vgl. §§ 152a, 152b StGB). Hierfür hatten sie sich auf fremden Zahlungskarten gespeicherte Daten verschafft, die PIN ausgespäht und anschließend Kartendubletten erstellt. Inhaltlich setzte sich der Senat mit der Frage auseinander, ob bereits das bloße Auslesen der Daten von dem Magnetstreifen der Karte sowie die Erlangung der PIN über eine Videokamera den Tatbestand des § 202a StGB erfüllen. Dieser Frage soll im Folgenden unter Bezugnahme auf den Beschluss nachgegangen werden.

III. Ausspähen der Daten auf dem Magnetstreifen einer EC-Karte gemäß § 202a StGB?

Der Tatbestand des § 202a StGB setzt neben der Dateneigenschaft der Tatobjekte voraus, dass diese Daten nicht für den Täter bestimmt sind und gegen unberechtigten Zugang besonders gesichert sind. Der Täter muss sich unter Überwindung der Zugangssicherung die Daten oder den Zugang zu ihnen verschaffen. Der Tatbestand ist mithin als Erfolgsdelikt ausgestaltet.[13]

1. Besondere Sicherung der Daten auf dem Magnetstreifen

Dem 4. Senat zufolge sind die auf der EC-Karte gespeicherten Daten[14] nicht besonders gegen unberechtigten Zugriff gesichert. Sie müssten lediglich mittels eines handelsüblichen Lesegeräts und entsprechender Software ausgelesen werden. Dass die Informationen ohne derartiges Gerät nicht wahrnehmbar sind, würde lediglich die Dateneigenschaft iSd § 202a II StGB bestätigen, eine besondere Sicherung gegen unberechtigten Zugang sei hiermit nicht verbunden, der Tatbestand des § 202a StGB folglich nicht erfüllt.

Der Begriff des Datums ist im StGB nicht legaldefiniert, sondern wird in § 202a II StGB vorausgesetzt.[15] Einigkeit besteht jedoch in Rechtsprechung und Schrifttum, dass es sich bei Daten um Informationen handeln muss, die in einer Weise codiert sind, dass sie für eine automatische Verarbeitung verwendet werden können.[16] Dieser Begriff des Datums findet im Rahmen des § 202a II StGB eine zweifache Einschränkung: Zum einen dürfen die Daten nicht unmittelbar wahrnehmbar sein.[17] Damit scheiden z.B. manuell erstellte Datensammlungen aus und solche, die unmittelbar visuell wahrnehmbar sind. Zudem müssen Daten im Sinne des § 202a II StGB gespeichert sein oder übermittelt werden, sie müssen damit erfasst, aufgenommen oder aufbewahrt werden.[18]

Der Magnetstreifen einer EC-Karte enthält drei sog. Spuren. Die erste kann mit alphanumerischen Datensätzen, die zweite und dritte nur mit numerischen Datensätzen beschrieben werden. Für den Beschreibungsvorgang ist eine Codierung der Informationen erforderlich. Herangezogen wird dafür ein Code,[19] der einheitlich für Datenspeicherungen auf handelsüblichen Magnetstreifen verwendet wird. Nach der abgeschlossenen Beschreibung enthält der Magnetstreifen der EC-Karte folgende Informationen[20]: Den Benutzernamen und dessen Kontonummer (die gleichzeitig die EC-Kartennummer ist), den Landescode und die Gültigkeitsdauer. Zudem befindet sich auf der dritten Spur eine verschlüsselte Sicherungsnummer. Diese Sicherungsnummer entspricht nicht der PIN. Sie ist jedoch der PIN dergestalt zugeordnet, dass sie als Referenzinformation bei der erforderlichen Authentifizierung am Geldautomaten durch Eingabe der PIN fungiert.

Die auf dem Magnetstreifen gespeicherten Informationen werden bei Einsatz der Karte einem Datenverarbeitungsprozess zugeführt und sind aufgrund ihrer (dauerhaften) Speicherung auf dem Magnetstreifen nicht unmittelbar wahrnehmbar, es handelt sich somit um Daten im Sinne des § 202a II StGB.

Die Verwirklichung des Tatbestandes § 202a StGB setzt jedoch zusätzlich voraus, dass die einschlägigen Daten gegen unberechtigten Zugang besonders gesichert sind. Dies ist der Fall, wenn Vorkehrungen getroffen sind, die objektiv geeignet und vom Berechtigten dazu bestimmt sind, den Zugriff auf die Daten auszuschließen oder zumindest erheblich zu erschweren. Der Berechtigte muss durch die Sicherung sein besonderes Interesse an der Geheimhaltung dokumentieren.[21]

Da die Beschreibung von EC-Karten nach dem Standard erfolgt, der für alle Magnetstreifen gilt, ist die Auslesung der Daten mittels eines handelsüblichen Lesegeräts in der Tat unproblematisch möglich. Es mangelt damit bereits an einer Eignung der Codierung, den unbefugten Zugriff auszuschließen oder erheblich zu erschweren. Den Daten ist ihre Entschlüsselbarkeit nach der Art ihrer Codierung bereits immanent. Da die Codierung notwendiger Bestandteil des Speichervorgangs ist, beruht auf ihr – wie der BGH zu Recht ausführt – erst die Dateneigenschaft der gespeicherten Informationen. Auch bezüglich der Sicherungsnummer ergibt sich nichts anderes: Im verschlüsselten Zustand kann auch sie durch jedes herkömmliche Kartenlesegerät ausgelesen werden. Da die Entschlüsselung erst im Rahmen der Transaktion, z.B. dem Geldabheben, erfolgt, ist eine Übertragung im verschlüsselten Zustand auf eine Dublette für die Zwecke des Täters ausreichend. Eine Zugangssicherung kann auch nicht darin gesehen werden, dass zum Auslesen des Magnetstreifens erst ein technisches Gerät beschafft

werden muss. Auch hierin liegt keine erheblich zu nennende Erschwerung des Zugriffs. Für die Wahrnehmbarkeit eines Datums im Sinne von § 202 II StGB muss stets ein technisches Gerät beschafft werden, das eine Decodierung leistet. Das zusätzliche Merkmal der besonderen Sicherung würde bei einem anderen Verständnis leerlaufen. Dem BGH ist damit uneingeschränkt beizupflichten, dass die auf dem Magnetstreifen gespeicherten Daten nicht besonders gegen unberechtigten Zugang gesichert sind. Sie sind damit kein taugliches Tatobjekt im Sinne des § 202a StGB.

2. Keine Entscheidung in der Sache

Im Ergebnis hat der 4. Strafsenat jedoch keine Entscheidung in der Sache getroffen. Das Landgericht hatte die Angeklagten u.a. wegen Ausspähens von Daten gemäß § 202a StGB und u.a. wegen Fälschens von Zahlungskarten mit Garantiefunktion gemäß § 152b StGB verurteilt. Der 4. Strafsenat änderte den Schuldspruch dahingehend, dass die Verurteilungen wegen Ausspähens von Daten entfielen, da er die Taten nach § 202a StGB gemäß § 154a I Nr. 1, II StPO von der Verfolgung ausnahm. Da das Landgericht die – mehrfache – Verwirklichung des § 202a StGB ausdrücklich strafschärfend gewürdigt hatte, sah der Senat sich genötigt, den gesamten Strafausspruch aufzuheben und zur neuen Verhandlung und Entscheidung an das Landgericht zurück zu verweisen.

Dies ist bemerkenswert, da sich den Ausführungen des Senats, die ein reines obiter dictum darstellen, eindeutig entnehmen lässt, dass er den Tatbestand des § 202a StGB durch das Verhalten der Angeklagten als nicht verwirklicht ansah. Der Senat erklärt seine Vorgehensweise vor dem Hintergrund einer abweichenden Rechtsprechung zu § 202a StGB des 3. Strafsenats aus dem Jahre 2005.[22] Eine Entscheidung in der Sache des 4. Senats hätte ein Anfrageverfahren gemäß § 132 III GVG sowie unter Umständen eine anschließende Anrufung des Großen Senats gemäß § 132 II GVG erfordert. Dies würde eine erhebliche Verzögerung nach sich ziehen. Darüber hinaus falle die angedrohte Freiheitsstrafe des § 202a von bis zu drei Jahren gegenüber dem Verbrechen des § 152b StGB, der Fälschung von Zahlungskarten mit Garantiefunktion (das durch dieselbe Tat im prozessualen Sinne verwirklicht wurde) nicht beträchtlich ins Gewicht. Aus diesen Gründen habe der Senat von einer Klärung der Rechtsfrage abgesehen.

In der Tat hatte sich der 3. Strafsenat im Jahre 2005 ebenfalls mit einem klassischen Fall des Skimming zu befassen und die rechtliche Würdigung der Vorinstanz, dass hierdurch der Tatbestand des § 202a StGB verwirklicht sei, nicht beanstandet. Er hat sie durch seine Ausführungen zu den Konkurrenzen zu anderen Tatbeständen sogar bestätigt. Eine Divergenz, wie sie von § 132 GVG gefordert wird,[23] ließe sich damit feststellen. Dass ein Anfrageverfahren und ggf. die Anrufung des Großen Senats eine erhebliche Verzögerung nach sich gezogen hätte, soll hier ebenso wenig bestritten werden, wie die Erwägungen des Senats, dass § 202a StGB gegenüber dem Verbrechen des § 152b StGB nicht erheblich ins Gewicht fällt. Der 4. Senat hat durch die Anwendung des § 154a StPO aber immerhin den Strafausspruch aufgehoben und die Sache an das Landgericht zurück verwiesen, ohne einen entscheidungserheblichen Rechtsfehler feststellen zu können. Ein klassischer Revisionsgrund gemäß § 337 StPO lag damit nicht vor. Angesichts der erheblichen Verzögerungen, die mit einem Anfrageverfahren und den daraus entstehenden Nachteilen für den Angeklagten verbunden gewesen wären, erscheint die Entscheidung des Senats zwar nachvollziehbar. Offenbar bestehen grundsätzlich weder in der Rechtsprechung[24] noch im Schrifttum[25] Bedenken gegen eine derartige Vorgehensweise. In der Sache werden damit allerdings die Befugnisse des Revisionsgerichts zu Lasten des Tatgerichts nicht unerheblich ausgedehnt. Dem Angeklagten wird hierdurch die Möglichkeit eines Freispruchs von der vorgeworfenen Gesetzesverletzung (seine Zustimmung ist bei einer Ausnahme nach § 154a II StPO gerade nicht erforderlich) genommen. Zudem hat die eindeutige inhaltliche Positionierung des 4. Senats ein hohes Maß an Rechtsunsicherheit geschaffen, da auch die anders tendierende Entscheidung des 3. Senats weiterhin im Raume steht. Diese Unsicherheit wird langfristig nur durch ein Anfrageverfahren bzw. eine Anrufung des Großen Senats beseitigt werden können, in der sich nach der obigen Analyse die Auffassung des 4. Senats durchsetzen sollte. Zuletzt ist anzumerken, dass § 132 GVG in den Fällen, in denen ein Senat von der Rechtsprechung eines anderen Senats abweichen will, eine Vorlagepflicht (und eine vorherige Anfragepflicht) statuiert.[26] Die Lösung, den einschlägigen Tatbestand gemäß § 154a StPO von der Verfolgung auszunehmen vermeidet eine Abweichung im engeren Sinne, wie sie für ein Verfahren nach § 132 GVG erforderlich ist. Damit sprechen zwar gute Gründe im vorliegenden Fall gegen eine Vorlagepflicht. Stellte man sich jedoch auf den gegenteiligen Standpunkt, weil man § 154a StPO für überdehnt hält, so könnte man in dem Vorgehen des 4. Senats eine Umgehung dieser Pflicht erblicken, die den Angeklagten seinem gesetzlichen Richter, Art. 101 I 2 GG, entzieht.[27]

IV. Ausspähen der Kontodaten durch Erlangung der Informationen auf dem Magnetstreifen der Karte

Der 4. Strafsenat hat sich in seinem Beschluss ausschließlich auf die Frage konzentriert, ob der Tatbestand des § 202a StGB durch das Auslesen der Daten auf dem Magnetstreifen erfüllt sei und sich in seinen Ausführungen auf die auf der Karte gespeicherten Daten als in Frage kommende Tatobjekte beschränkt. Erweitert man das Blickfeld auf die Einsatzmöglichkeiten der erlangten

Daten, kommt eine Verwirklichung des Tatbestandes durch das Auslesen auch unter einem anderen Aspekt in Betracht.

In dem Augenblick, in dem der Skimmer die Karten-Daten und die PIN durch das Auslesen/Filmen erhält, verfügt er über alle nötigen Voraussetzungen, um an Kontoinformationen zu gelangen, die ausschließlich dem Kontoinhaber und seiner Bank zustehen. Der Täter muss lediglich die Kartendaten auf einen Kartenrohling (sog. White Plastic) überspielen, um Geld abheben zu können[28] – ein Vorgang, der nur Minuten dauert. Jeder Vorgang des Geldabhebens erfordert einen Datenaustausch. Sobald die EC-Karte (oder die Dublette) durch den Kartenleser in das Terminal gezogen wird, baut der Geldautomat über die Kopfstellen der Verbände eine Verbindung zum Autorisierungssystem der Kundenbank auf. Im Rahmen dieses Autorisierungssystems wird die Karte gegen eine Sperrdatei und die eingegebene PIN (anhand der Sicherungsnummer) auf Plausibilität geprüft. Schließlich wird der vom Benutzer eingegebene Zahlbetrag dem Kontostand (Guthaben und Dispokredit) des Kontoinhabers gegenübergestellt. [29] Fällt die Prüfung eines Punktes negativ aus, wird die Zahlung abgewiesen. Insbesondere die Gegenüberstellung des Kontostandes mit dem eingegebenen Zahlbetrag könnte mit Blick auf § 202a StGB Relevanz erlangen. Denn in dem Augenblick, in dem die Zahlung freigegeben wird, erhält der Täter automatisch die Information, dass sein gewünschter Zahlbetrag vom Konto des Karteninhabers gedeckt war. Bei unbefangener Betrachtung könnte man daher geneigt sein, das Auslesen der Daten vom Magnetstreifen und das Filmen der PIN als Zugangsverschaffung zu den Kontoinformationen zu werten, denn damit könnten die PIN und die Daten auf dem Magnetstreifen als besondere Sicherung gegen unberechtigten Zugang überwunden worden sein.

Die Tatbestandsvariante der Zugangsverschaffung wurde erst 2007 in die Vorschrift des § 202a StGB aufgenommen.[30] Dies geschah in erster Linie in Umsetzung EG-rechtlicher Vorgaben.[31] Die Zugangsverschaffung zu Daten unterscheidet sich von der Variante der Verschaffung von Daten dahingehend, dass eine tatsächliche Herrschaftserlangung z.B. durch Speicherung oder Kenntnisnahme der Daten nicht erforderlich ist. Insbesondere soll mit dieser Variante das sog. Hacking erfasst werden, das der Gesetzgeber bei Schaffung des § 202a StGB a.F. im Jahre 1986[32] bewusst straflos stellte.[33] Ob durch Einführung der zusätzlichen Variante, die auch als "elektronischer Hausfriedensbruch"[34] bezeichnet wird, tatsächlich deutlich mehr Verhaltensweisen erfasst werden, ist fraglich und wird im Schrifttum zu Recht bestritten.[35] Zum einen war bereits vor der Novelle ein Großteil der Hacker-Tätigkeiten erfasst, da das Hacken in ein System in den allermeisten Fällen mit einer (unbefugten) Datenverschaffung einhergeht.[36] Zum anderen setzt § 202a StGB voraus, dass die Zugangsverschaffung unter Überwindung der Zugangssicherung stattfindet.[37] Eine Zugangssicherung im Sinne des § 202a StGB ist eine Vorkehrung, die objektiv dazu geeignet und subjektiv nach dem Willen des Berechtigten dazu bestimmt ist, den Zugriff auf die Daten auszuschließen oder zumindest nicht unerheblich zu erschweren. Nicht erforderlich ist, dass die Sicherung hauptsächlich dem Schutz der in Rede stehenden Daten dient, solange ihr Schutz nicht von gänzlich untergeordneter Bedeutung ist.[38] Als Zugangssicherung gegen den unberechtigten Zugriff auf die Kontoinformationen kommen zwar die Daten auf der EC-Karte gemeinsam mit der PIN in Betracht.[39] Denn diese sollen sicher stellen, dass nur die Bank selbst und der Karteninhaber, dem als Einzigem die PIN auch mitgeteilt wird, Zugriff auf das Konto und die einschlägigen Informationen erlangen. Jedoch ist zweifelhaft, ob bereits mit Erlangung der PIN und Kartendaten die Zugangssicherung als "überwunden" gelten kann oder ob dies erst im Zeitpunkt des Einsatzes von Dublette und PIN der Fall ist. Die Überwindung der Zugangssicherung setzt nach allgemeiner Auffassung einen nicht unerheblichen zeitlichen oder technischen Aufwand voraus.[40] Technisch gesehen birgt der Verschaffungsvorgang der einschlägigen "Zugangsdaten" (Kartendaten und PIN) den größten Aufwand. Hiergegen stellt sich der Einsatz der Dublette und der PIN fast schon als unwesentlicher Zwischenschritt dar. Dies könnte für die Annahme einer Überwindung sprechen.

Mit der Einführung der Variante der Zugangsverschaffung war seitens des Gesetzgebers eine bedeutsame Vorverlagerung der Strafbarkeit jedoch gerade nicht bezweckt.[41] Erfasst werden sollten vornehmlich die Fälle, in denen Hacker sich Zutritt zu einem System verschaffen, ohne dabei jedoch eine Herrschaftsgewalt über Daten zu erlangen.[42] Vorausgesetzt wird damit jedenfalls eine Systempenetration[43], die einen unmittelbaren Zugriff auf die Daten ermöglicht.[44] Ein derartiger Zugriff besteht jedoch erst nach Einsatz der Dublette und der PIN. Eine Verwirklichung des Tatbestandes des § 202a StGB durch Skimming kommt daher auch unter dem Aspekt der Zugangsverschaffung zu Kontoinformationen nicht in Betracht.

V. Verwirklichung weiterer Tatbestände durch Skimming

Zeitgleich zur Änderung des § 202a StGB hat der Gesetzgeber die neuen Tatbestände der §§ 202b, 202c geschaffen. § 202b stellt das sog. Abfangen von Daten unter Strafe. Demnach wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft wer sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a II StGB) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft. Auch dieser Tatbestand könnte geeignet sein, das Skimming zu erfassen. § 202b StGB aber setzt voraus, dass die abgefangenen Daten sich zum Zeitpunkt der Tat bereits in einem Übermittlungsvorgang befinden.[45] In dem Zeitpunkt, in dem die EC-Karten vom Gerät des Skimmers ausgelesen werden, findet eine Datenübermittlung jedoch (noch) nicht statt, da die Lesegeräte vor dem Einzug des Automaten installiert werden. Auch kommt eine Parallele zu den zu § 263a StGB entwickelten Grundsätzen, die in der Initiierung eines Datenverarbeitungsvorgangs auch eine Beeinflussung desselbigen erblicken, nicht in Betracht.[46] Denn das Auslesen der Karte durch das Gerät erfolgt ebenfalls vor der Initiierung des Datenübermittlungsvorgangs durch den Geldautomaten.

Dagegen erfasst § 202c StGB das Vorbereiten des Ausspähens und Abfangens von Daten. Gemäß § 202c I Nr. 1 StGB[47] wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a oder § 202b StGB vorbereitet, in dem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a II StGB ermöglichen, sich oder einem anderen verschafft.

Sieht man im Vorgang des Geldabhebens mittels der Dublette ein tatbestandsmäßiges Verhalten im Sinne des § 202a StGB (vgl. oben IV.), könnte die Beschaffung der Kartendaten und der PIN eine Vorbereitungshandlung im Sinne des § 202c StGB darstellen. Taugliche Tatgegenstände des § 202c I Nr. 1 StGB sind Passwörter, Zugangscodes und ähnliche Daten. Diese müssen lediglich den Zugang zu einem Computersystem als Ganzem oder eines Teils davon ermöglichen.[48] Nicht erforderlich ist, dass die Tatgegenstände ihrerseits bereits Daten im Sinne von § 202a II StGB sind. Die auf der Karte gespeicherte Sicherungsnummer ermöglicht durch die Authentifizierung den Zugriff auf die Kontoinformationen sofern die dazugehörige PIN eingegeben wird. In ihr wird man einen Sicherungscode erblicken können, den sich der Täter durch das Auslesen der Karte verschafft und dadurch § 202c I Nr. 1 StGB verwirklicht. Entsprechend wird auch im Abfilmen der PIN, deren Eingabe ebenfalls notwendige Bedingung für den Zugang zum Netzwerk der Bank darstellt, ein tatbestandsmäßiges Verschaffen eines Sicherungscodes gemäß § 202c I Nr. 1 StGB liegen.[49]

VI. Schlussbemerkungen und Ausblick

Skimming stellt kein tatbestandliches Verhalten im Sinne des § 202a StGB dar, sondern kann lediglich als Vorbereitungshandlung für ein späteres Ausspähen gemäß § 202c StGB gewertet werden. Für die Zukunft ist jedoch zu beachten, dass die klassische EC-Karte mit Magnetstreifen in absehbarer Zeit durch Karten ersetzt wird, die mit einem sog. EMV-Chip versehen sind.[50] Es handelt sich hierbei nicht um ein reines Speichermedium, sondern um einen Mikroprozessor, der eigene Rechenleistungen erbringen kann. Auf ihm können die Daten, die derzeit auf dem Magnetstreifen gesichert sind, nicht nur gespeichert, sondern auch derart verschlüsselt werden, dass sie nicht kopiert werden können. Dabei kann der sog. Entschlüsselungswert nicht vom Chip ausgelesen werden.[51] Der EMV-Chip soll Sicherheit gegen unbefugtes Kopieren von Kartendaten und den Einsatz von Dubletten bieten und wird länderübergreifend eingesetzt.[52]

Bereits im Jahre 2009 waren zwischen 60 – 70 % aller Zahlungskarten mit einem EMV-Chip ausgestattet.[53] In Deutschland sind ca. 92% aller aufgestellten Geldautomaten bereits EMV kompatibel. Die Gesamtumstellung auf das EMV-System soll bis Ende 2010 erfolgen. Zweck des EMV-Chips ist, erhöhte Sicherheit gegen unbefugtes Kopieren von Kartendaten und den Einsatz von Dubletten zu bieten. Zwar wird der Sicherheitsstandard z.T. in Zweifel gezogen.[54] Festzuhalten bleibt jedoch, dass ein Auslesen der Daten von diesem Chip nunmehr nur noch unter Überwindung von Zugangssicherungen möglich sein wird und im Zuge dessen § 202a StGB in Zukunft größere Bedeutung erlangen kann.


[1] BT-Drucks. 10/5058.

[2] Vgl. MüKo-Graf, StGB, Band 3 (2003), § 202a Rn. 4.

[3] Seit 2007 einschl. der neu eingefügten §§ 202b, 202c.

[4] Abrufbar unter www.bka.de ab 1997, eingeschränkt ab 1987.

[5] http://www.bka.de/pks/pks2000/index2.html .

[6] http://www.bka.de/pks/pks2008/download/pks2008_imk_kurzbericht.pdf .

[7] Vgl. BGH NStZ 2005, 566; Lenckner, in: Schönke/Schröder, StGB, 27. Aufl. (2006), § 202a Rn. 1; SK-Hoyer, StGB, 56. Lfg., 7 Aufl. (2003), § 202a Rn. 1; Lackner/Kühl, StGB, 26. Aufl. (2007) Rn. 1; LK-Schünemann, StGB, 11. Aufl. (2000), § 202a Rn. 2.

[8] Hieraus ergibt sich auch die Uneinigkeit, die bez. des Rechtsguts des § 202a herrscht. Haft NStZ 1987, 6, 9 f. sieht z.B. das Vermögen als von § 202a geschütztes Rechtsgut und beschränkt dadurch den Tatbestand von vorne herein auf Daten, denen ein wirtschaftlicher Wert zukommt. Zum Streitstand NK-Kargl 3. Auflage (2010) § 202a Rn. 3 f.

[9] Vgl. Zur Strafbarkeit des Phishing Weber HRRS 2004, 406 ff.; Graf NStZ 2007, 129 ff.; Goeckenjan, wistra 2009, 47 ff.; Seidl/Fuchs HRRS 2010, 85 ff.

[10] Zur Funktionsweise des Skimming http://www.heise.de/security/artikel/Manipulierte-Geld-automaten-270934.html, sehr detailliert www.cyberfahnder.de; auch LG Hannover Urteil vom 17.11.2009 – 33 Kls 14/09.

[11] http://www.mt-online.de/lokales/polizeiticker_minden/3359231_Mit_Spionage-Kamera_Bankdaten_ausgespaeht_Foto.html .

[12] Vgl. BGH Beschluss vom 14. Januar 2010 – 4 StR 93/09 = HRRS 2010 Nr. 173.

[13] In der Variante des Verschaffens von Daten sogar als Verletzungsdelikt, vgl. MüKo-Graf (Fn. 2), § 202a Rn. 3; auch SK-Hoyer (Fn. 3), § 202a Rn. 11 ff. Zu bemerken ist noch, dass der Gesetzgeber mit der Einführung des § 202a eine Lücke für die Fälle schließen wollte, in denen wegen fortschreitender Technisierung § 202 ff. nicht mehr zum Zuge kommen konnten. Die Einordnung in den 15. Abschnitt des StGB ("Verletzung des persönlichen Lebens- und Geheimnisbereichs") erscheint unter diesem Aspekt zwar konsequent, war aber, wie ein Blick auf andere Rechtsordnungen zeigt, keineswegs zwingend. Im Schweizerischen StGB findet sich der entsprechende Tatbestand in Art. 143 in unmittelbarer Nähe zum Diebstahl (Art. 139) und anderen Vermögensdelikten.

[14] Die PIN stellt im Übrigen auch kein Datum iSd § 202a II StGB dar, da sie im Augenblick ihrer Eingabe nicht in der erforderlichen Weise gespeichert ist.

[15] Lenckner, in: Schönke/Schröder (Fn. 7), § 202a Rn. 2.

[16] Vgl. SSW-Hilgendorf, StGB, (2009), § 268 Rn. 5, Fischer, StGB, 57. Aufl. (2009), § 268 Rn. 4; LK-Schünemann (Fn. 7), § 202a Rn. 3.

[17] Vgl. statt vieler Lenckner, in: Schönke/Schröder (Fn. 7), § 202a Rn. 4.

[18] Lenckner, in: Schönke/Schröder (Fn. 7), § 202a Rn. 4.

[19] Ein sog. Zweiphasenmarkierungscode (auch Biphase-Mark-Code), vgl. http://de.wikipedia.org/wiki/Biphase-Mark-Code . Zum Erfordernis einer Codierung NK-Kargl, StGB, 3. Aufl. (2010), § 202a Rn. 4.

[20] http://www.itwissen.info/definition/lexikon/EC-Karte-EC-smartcard.html .

[21] BT-Drucks 10/5058, S. 29; Fischer (Fn. 16), § 202a Rn. 9; LK-Schünemann (Fn. 7), § 202a Rn. 14 f.

[22] Vgl. BGH Urteil vom 10. Mai 2005 – 3 StR 425/04, HRRS 2005 Nr. 513 = NStZ 2005, 566.

[23] Vgl. zu den Voraussetzungen einer Abweichung MüKo-Zimmermann, ZPO, 3. Aufl. (2007), § 132 GVG Rn. 8.

[24] Vgl. z.B. BGH 4 StR 172/03; den Hinweis bei Rieß NStZ 1982, 49, 51 (Fn. 19).

[25] Vgl. KK-Schoreit, StPO, 6. Aufl. (2008), § 154a Rn. 14; Pfeiffer, StPO, 5. Aufl. (2005), § 154a Rn 11.

[26] Vgl. KK-Hannich (Fn. 26), § 132 GVG Rn. 4; auch Müko-Zimmermann (Fn. 24), § 132 GVG Rn. 6.

[27] Vgl. BVerfGE 3, 359, 364; auch jüngst BVerfG NStZ 2009, 560 = HRRS 2009 Nr. 558.

[28] An dieser Stelle sei kurz bemerkt, dass das Geld abheben mittels der Dubletten in Deutschland nicht möglich ist, da jede EC-Karte über ein sog. "MM-Merkmal" (moduliertes Merkmal). Hierbei handelt es sich um eine geheime und damit – noch (!) – sichere maschinenlesbare Substanz, die sich im Kartenkörper befindet. In jedem Deutschen Geldautomaten befindet sich eine sog. MM-Box, die das MM-Merkmal jeder eingegebenen Karte überprüft und nur bei positiver Prüfung eine Transaktion zulässt. Vgl. https://www.kartensicherheit.de/ww/de/pub/oeffentlich/sicherheitsprodukte/mm_merkmal.php .

[29] Zum Auflauf der EC-Transaktion: http://www.eurocheques.de/electronic-cash.html.

[30] 41. StrÄndG (BGBl I, 1786), hierzu Ernst NJW 2007, 2661 ff.

[31] Übereinkommen des Europarates über Computerkriminalität vom 23.11.2001, ETS 185 sowie den Rahmenbeschluss des Rates der Europäischen Union über Angriffe auf Informationssysteme (EU-Rahmenbeschluss) vom 24. Februar 2005 (ABl. EU Nr. L 69, S. 67).

[32] § 202a StGB wurde durch das 2. WiKG vom 14.5.1986 (BGBl. I S. 721) zur Bekämpfung der Computer- und Datenkriminalität in das StGB eingeführt.

[33] Vgl. BT-Drucks. 10/5058, S. 28. Aus Sicht des damaligen Gesetzgebers würde mit dem Ausschluss (entgegen der Anregung der damaligen Bundesregierung) des bloßen "Eindringens" in fremde System der Gefahr der Überkriminalisierung vorgebeugt. Eine strafwürdige Rechtsgutsverletzung könne erst in der Verletzung fremder Verfügungsrechte erblickt werden, die erst mit einem "Verschaffen" der Daten eintrete, während die Zugangsverschaffung mit Blick hierauf lediglich als – wenn auch potentiell gefährliche – Vorbereitungshandlung zu erkennen sei. Eingehend hierzu NK-Kargl (Fn. 20), § 202a Rn. 1.

[34] NK-Kargl (Fn. 20), § 202a Rn. 1.

[35] Vgl. Fischer (Fn. 16), § 202a Rn. 10; Ernst NJW 2007, 2661.

[36] Vgl. BT-Drucks. 16/3656, 9 f. darauf abstellend, dass nach herrschender Auslegung des § 202a StGB a.F. das Hacking vielfach erfasst war und der Neufassung überwiegend klarstellende Bedeutung zukomme.

[37] Diese Einschränkung ist durch Art. 2 S. 2 EU-Rahmenbeschlusses ausdrücklich vorgesehen, S. BT-Drucks. 16/3656, S. 10.

[38] Lenckner, in: Schönke/Schröder (Fn. 7), § 202a Rn. 7.

[39] Sofern man dem Schutz der Kontoinformationen keine absolut nachrangige Bedeutung zusprechen möchte.

[40] Vgl. BT-Drucks. 16/3656, S. 10; NK-Kargl (Fn. 20), § 202a Rn. 14; Fischer (Fn. 16), § 202a Rn. 11b.

[41] Vgl. BT-Drucks. 16/3656, S. 9.

[42] Vgl. BT-Drucks. 16/3656, S. 10.

[43] Kudlich, Stellungnahme zum Gesetzesentwurf der Bundesregierung zu einem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BT-Drucks. 16/3656) zur Vorbereitung der öffentlichen Anhörung im Rechtsausschuss am 21.3.2007, S. 3. http://www.bundestag.de/bundestag/ausschuesse/a06/anhoerungen/Archiv/15_Computerkriminalitaet/ 04_Stellungnahmen/Stellungnahme_Kudlich.pdf .

[44] Auf das Unmittelbarkeitskriterium stellt auch SSW-Bosch (Fn. 16), § 202a Rn. 6 ab.

[45] BT-Drucks. 16/3656, S. 11; vgl. auch NK-Kargl (Fn. 20), § 202b Rn. 4 unter Verweis auf Grömeling/Höfinger MMR 2007, 549; Fischer (Fn. 16),§ 202b Rn. 3;

[46] Vgl. zum Meinungsstand Müko-Wohlers, StGB, Band 4 (2006), § 263a Rn. 18.

[47] Eingehend zum geschichtlichen Hintergrund von § 202c StGB und insb. zu § 202c I Nr. 2 StGB (Computerprogramme) Popp, GA 2008, 375 ff.

[48] BT-Drucks. 16/3656, S. 11.

[49] Vgl. auch NK-Kargl (Fn. 20), § 202c Rn. 4.

[50] "EMV" steht hierbei nicht als Kürzel für ein technisches Verfahren, sondern für die Gesellschaften, die den Chip entwickelt haben (Europay International[heute: Mastercard Europe], Mastercard und Visa).

[51] Darüber hinaus kann anhand des Chips die "Kartenechtheit" überprüft werden. Dies kann – ebenso wie die PIN-Prüfung – dank des Verschlüsselungsverfahrens offline erfolgen.

[52] Hierzu wurde ein sog. EMV-Standard entwickelt, der den Bedürfnissen aller Länder gerecht wird.

[53] Vgl. die Angaben unter http://www.kartensicherheit.de/ww/de/pub/oeffentlich/sicherheitsprodukte/emv_chip.php (60%) und http://de.wikipedia.org/wiki/EMV_%28Kartenzahlungsverkehr%29 (70%). Dem Entwicklungsunternehmen EVMco LLP zufolge, waren 2009 etwa 944 Millionen Zahlungskarten mit EMV-Chip weltweit im Einsatz. Vgl. http://www.emvco.com/default.aspx .

[54] http://www.cl.cam.ac.uk/research/security/banking/relay/ Vgl. dazu auch http://www.handelsblatt.com/technologie/forschung/sicherheitsluecke-forscher-knacken-neuen-chip-auf-kreditkarten;2530576 .