HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Februar 2010
11. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes
Wiss. Mitarbeiter Alexander Seidl und Wiss. Mitarbeiterin Katharina Fuchs, Passau *
Der Beitrag liefert einen Gesamtüberblick über die Strafbarkeit des Phishing unter Berücksichtigung der gesetzlichen Neuerungen durch das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität. Dabei wird zwischen der Strafbarkeit des Phishingtäters und der des sog. Finanzagenten differenziert.
I. Einleitung
Unter Phishing versteht man Vorgehensweisen, bei denen der Täter per E-Mail versucht, den Empfänger zur Herausgabe seiner Zugangsdaten für Online-Bankdienste zu bewegen.[1] Dabei beschreitet er verschiedene Wege, wobei die herkömmliche Begehungsform darin besteht, massenhaft E-Mails zu versenden, die ihrer Gestaltung und ihrem Inhalt nach von einer Bank zu stammen scheinen und den Empfänger durch den Hinweis, seine Kontodaten müssten überprüft werden, dazu bewegen, einem in der E-Mail enthaltenen Hyperlink zu folgen. Dieser führt den Betroffenen wiederum auf eine vom Täter erstellte, der Homepage einer Bank zum verwechseln ähnlich sehende Homepage, auf der er aufgefordert wird, in einer scheinbar sicheren Umgebung seine Kontonummer, persönliche Identifikationsnummer (PIN) und Transaktionsnummern (TAN) für die Nutzung von Bankdiensten einzugeben. Teilweise beinhalten aber die E-Mails bereits selbst ein Formularfeld, in das die vertraulichen Daten direkt eingegeben werden sollen.[2] Wenn der Betroffene seine Daten preisgibt, werden diese vom Täter zwischengespeichert und später dazu benutzt, für ihn vorteilhafte Transaktionen durchzuführen.
Mit der erlangten PIN kann der Täter pro erbeuteter TAN eine Überweisung vom Konto des Opfers vornehmen. Da das Opfer auf seinem Kontoauszug erkennen kann, an wen das Geld überwiesen wurde, schicken die Täter das Geld nicht auf ihr eigenes Konto, sondern werben Helfer (sog. Finanzkuriere/Finanzagenten) an, die das Geld für sie ins Ausland transferieren sollen. Diese werden meist ebenfalls über Spam-Mails angeworben. Laut Jobangebot sollen sie Geld, das auf ihr Konto überwiesen wird, bar abheben und per Western Union Bank ins Ausland überweisen.[3] So überweist der Phisher unter Einsatz der erschlichenen Kontodaten das Geld zunächst auf das Konto des Finanzagenten, der sich einen Teil des Geldes als Provision einbehält und den Rest an eine Filiale der Western Union zur Barauszahlung überweist. Dort kann der Phisher das Geld dann "anonym" unter Vorlage gefälschter Ausweispapiere abheben.[4]
Im Folgenden wird sowohl die Strafbarkeit des Phishers selbst, als auch die des von ihm eingesetzten Helfers dargestellt.
II. Strafbarkeit des Phishing-Täters
Bei der Beurteilung der Strafbarkeit des Phishing-Täters sollte zunächst zwischen der Datenbeschaffung und der anschließenden Verwendung der erlangten Daten unterschieden werden.
1. Strafbarkeit der Datenbeschaffung
a) § 202a StGB
Zunächst kommt eine Strafbarkeit nach § 202a StGB in Betracht. Diese Vorschrift stellt das Ausspähen von Daten unter Strafe. Geschützt werden dabei nur solche Daten, die elektronisch, magnetisch oder sonst nicht
unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden (§ 202a Abs. 2 StGB).
Zum Teil wird schon daran gezweifelt, ob es sich bei PIN und TAN um taugliche Tatobjekte i.S.d. § 202a Abs. 2 StGB handle. Die Zugangsdaten, die der irregeführte Bankkunde zunächst in seinen Rechner eingibt, um sie sogleich weiterzusenden, seien zwar nicht mehr "unmittelbar wahrnehmbar", doch befänden sie sich lediglich vorübergehend im Arbeitsspeicher und dies reiche für eine "Speicherung" i.S.v. § 202a Abs. 2 Alt. 1 StGB nicht aus.[5] Auch § 202a Abs. 2 Alt. 2 StGB ("übermitteln") sei nicht erfüllt, denn Daten, die der Berechtigte selbst gezielt an den Täter übermittle, seien hiervon nicht erfasst.[6] Ungeachtet dessen, ob man der dargestellten Meinung folgen möchte, scheitert die Strafbarkeit nach § 202a StGB aber jedenfalls am Tatbestandsmerkmal "unter Überwindung der Zugangssicherung", denn der Kontoinhaber gibt die Daten ja gerade freiwillig an den Täter heraus.[7]
b) § 202b StGB
Denkbar ist auch eine Strafbarkeit nach § 202b StGB. Diese Vorschrift wurde durch das 41. Strafrechtsänderungsgesetz neu eingefügt und bedroht das Abfangen von Daten mit Strafe. Der Täter muss sich oder einem anderen unbefugt nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft haben. Beim herkömmlichen Phishing fehlt es jedoch am "Verschaffen aus einer nichtöffentlichen Datenübermittlung", denn die Daten sind bei einer Übermittlung infolge einer auf Täuschung ausgelegten E-Mail oder einer Fehlleitung über eine Phishing-Site von Anfang an Teil einer Datenübermittlung zwischen Täter und Opfer, werden somit also nicht "abgefangen".[8]
c) § 240 StGB
Eine Strafbarkeit nach § 240 StGB kommt nur dann in Betracht, wenn dem Opfer in der Phishing-E-Mail angedroht wird, dass sein Konto gesperrt werde, sollte es sich weigern, den Anweisungen zu folgen. Darin liegt eine tatbestandsmäßige Drohung mit einem empfindlichen (vorgetäuschten) Übel.[9]
d) § 263 StGB
Umstritten ist, ob das herkömmliche Phishing auch den Tatbestand des § 263 StGB erfüllt, wobei sich allein die Tatbestandsmerkmale "Vermögensverfügung" bzw. "Vermögensschaden" als problematisch erweisen.
Überwiegend wird den Authentifizierungsdaten mangels Verkehrsfähigkeit schon kein Vermögenswert zugebilligt.[10] Ihre Preisgabe wirke sich daher nicht vermögensmindernd aus und stelle folglich keine Vermögensverfügung dar.[11] Bejaht man gleichwohl den Vermögenswert von Zugangsdaten, so ergibt sich als nächstes das Problem der Unmittelbarkeit der Vermögensverfügung. Vom Vorliegen dieser kann nur ausgegangen werden, wenn zum Schadenseintritt keine weiteren deliktischen Zwischenschritte des Täters mehr erforderlich sind. Der Vermögensschaden tritt vorliegend aber erst nach der Verwendung der Daten durch den Phisher ein, mithin erst nach einer selbständigen deliktischen Handlung desselben. Folglich fehlt der Vermögensverfügung die Unmittelbarkeit.[12] Die Gegenmeinung sieht den Tatbestand des § 263 StGB dagegen als verwirklicht an, denn das Phishing-Opfer führe durch die Preisgabe der Zugangsdaten unmittelbar eine konkrete Vermögensgefährdung herbei, die unter wirtschaftlichen Gesichtspunkten einem Vermögensschaden gleichstehe.[13] Diese Ansicht ist jedoch aufgrund folgender Überlegung abzulehnen: Der "Kunstgriff" der schadensgleichen Vermögensverfügung wurde vom BGH zur vorgelagerten Lösung von Konkurrenzproblemen entwickelt. So wurde eine unmittelbare Vermögensgefährdung namentlich in den Fällen bejaht, in denen durch eine sich anschließende Verwertungshandlung kein oder nur ein geringeres Delikt verwirklicht worden wäre. Ein frühzeitiger Schadenseintritt wurde hingegen verneint, wenn andere, gleichwertige Strafvorschriften für die spätere Ausnutzung der erlangten Positionen bereitstanden.[14] Letzteres trifft auch beim Phishing zu, bei dem die der Datenerlangung folgende Datenverwertung als Computerbetrug nach § 263a StGB strafbar ist, wie unten noch aufgezeigt wird.
e) § 263a Abs. 3 StGB
Allerdings könnte mit der Einrichtung der Website bzw. dem Versand der Phishing-E-Mail eine Vorbereitungshandlung zum Computerbetrug gem. § 263a Abs. 3 StGB verwirklicht sein. Die Vorschrift untersagt bestimmte Vorbereitungshandlungen, die im Zusammenhang mit Computerprogrammen stehen, deren Zweck die Begehung eines Computerbetrugs ist. Computerprogramme sind aber nur lauffähige Applikationen, sodass die Phishing-E-Mail dieses Tatbestandsmerkmal nicht erfüllt. Aber auch durch die Einrichtung der Phishing-Site wird § 263a Abs. 3 StGB – selbst dann, wenn man die Homepage als Computerprogramm einstufen würde – nicht verwirklicht, da sie nicht unmittelbar der Durchführung des späteren Computerbetrugs dient.[15]
f) § 269 StGB
Denkbar ist auch eine Strafbarkeit des Phishers wegen Fälschung beweiserheblicher Daten. Dabei ist zwischen der Phishing-E-Mail und der Phishing-Website zu differenzieren.
aa) Die Phishing-E-Mail
Einer Meinung nach macht sich der Phisher mit dem Verschicken der Phishing-E-Mail nach § 269 StGB strafbar[16]: Eine rechtlich relevante und zum Beweis im Rechtsverkehr bestimmte Gedankenerklärung läge vor, denn der Absender erwecke den Eindruck, dass er den Empfänger zu einer vertragsgemäßen Mitwirkung auffordere. Weil in der Nachricht im Namen der Bank gesprochen sowie ihr Logo verwendet wird, in der Unterschriftszeile eine Abteilung der Bank erscheint und zumeist auch die Absenderangabe der E-Mail den Namen der Bank in irgendeiner Form enthält, gehe auch ein konkreter Aussteller aus der E-Mail hervor. Mit dem Senden der E-Mail verwirkliche der Täter dann die Tathandlung des Speicherns, da die Mail auf dem Mail-Server des Empfängers bzw. auf dessen Rechner abgelegt werde.[17] Anderer Ansicht nach ist jedoch bereits zweifelhaft, ob Phishing-Mails mit der Aufforderung, Zugangsinformationen zu übersenden, rechtserhebliche Erklärungen darstellen und damit beweiserhebliche Daten enthalten. Weil die E-Mails zudem üblicherweise millionenfach versendet werden und oft tatsächlich nicht existente Unternehmen als Absender genannt werden (z.B. "Volksbanken Raiffeisenbanken AG"), sei auch der Aussteller nicht erkennbar bzw. fehle es an einem realen Aussteller. Dies gelte auch, wenn als Absender "sparkasse.de" ohne weitere Angabe eines Ortes oder zusätzliche Kennzeichnung sowie ohne jede auch nur formale Unterzeichnung der Mail angegeben sei. Etwas anderes treffe allenfalls bei Phishing-Mails mit dem angeblichen Absender bundesweiter Großbanken (z.B. Postbank, Deutsche Bank usw.) zu, wenn diese zwar ebenfalls in regionale Geschäfts- oder Zweigstellen unterteilt sind, ein Auszahlungsanspruch des Kunden sich jedoch letztlich durchaus gegen die Bank als solche richten würde.[18]
Diese Meinung vermag aber nicht zu überzeugen. Die Beziehung zum Geldinstitut und insbesondere angebliche Sicherheitsprobleme, auf die in den Phishing-Mails häufig als Vorwand zurückgegriffen wird, stellen thematisch eine für ein Rechtsverfahren geeignete Materie dar, sodass es sich bei den Nachrichten um beweiserhebliche Daten handelt.[19] Zudem ist die Erkennbarkeit des Ausstellers gegeben, denn diese setzt seine tatsächliche Existenz nicht voraus.[20] An der Urkundeneigenschaft mangelt es vielmehr nur dann, wenn der Aussteller mit einem Phantasie- oder Decknamen angegeben ist und sich für den Erklärungsempfänger ohne Weiteres ergibt, dass eine Person dieses Namens gar nicht existiert.[21] Im Falle der Kombination von real existierendem Bankennamen und "falschem" Firmenzusatz ist dies jedoch gerade nicht anzunehmen, da der juristisch nicht vorgebildete Bankkunde die Rechtsformen der jeweiligen Unternehmen regelmäßig nicht kennen wird. Auch der Umstand, dass die Phishing-Mail oftmals millionenfach versendet wird, spricht nicht gegen die Ausstellererkennbarkeit, da der Empfänger – auf dessen Verständnis es allein ankommt[22] – schließlich davon ausgeht, eine individuelle Nachricht erhalten zu haben. Das Verschicken von E-Mails unter der Vorspiegelung, Absender der Nachricht sei eine Bank, die die Daten ihrer Kunden überprüfen wolle, erfüllt also den Tatbestand des § 269 StGB.
bb) Die Phishing-Website
Auch im Hinblick auf die Phishing-Website ist umstritten, ob eine Strafbarkeit wegen Fälschung beweiserheblicher Daten gegeben ist. Voraussetzung hierfür ist wiederum eine Gedankenerklärung, deren Inhalt nicht von ihrem angeblichen Aussteller herrührt. Geht man davon aus, dass unter den spezifischen Bedingungen des Internets allein die IP-Adresse für den "Aussteller" der Website stehe, weil er nur durch sie eindeutig namentlich identifiziert werden könne, so fehlt es an der Beeinträchtigung der Garantiefunktion. Denn die angegebene IP-Adresse ist ja richtig, gefälscht ist allein der auf der Benutzerebene verwendete "domain name".[23] Diese Ansicht überzeugt jedoch nicht. Die Website ist – genau wie die Phishing-E-Mail – eine unechte Datenurkunde. Auch sie enthält die beweiserhebliche Aufforderung, im Rahmen der vertraglichen Beziehungen zwischen Bankhaus und Kunde Daten einzugeben und die Tatsache, dass sich versteckt auf der Website die richtige, vom Täter verwendete IP-Adresse befindet, steht dem Merkmal der Unechtheit nicht entgegen. Hierfür reicht aus, wenn für einen durchschnittlichen Empfänger in ausreichendem Maße eine falsche Herkunft vorspiegelt wird, was aufgrund des auf der Website enthaltenen Textes und des falschen Banklogos der Fall ist. Auf die nur für Erfahrene zu deutende URL kommt es insoweit nicht an.[24] Das Erstellen der Phishing-Website erfüllt damit ebenfalls den Tatbestand des § 269 StGB.
g) §§ 303a, b StGB
Des Weiteren ist eine Strafbarkeit des Phishers nach §§ 303a und 303b StGB in Erwägung zu ziehen. § 303a StGB scheitert jedoch daran, dass durch das Versenden von Phishing-E-Mails bzw. das Bereitstellen der Website allein keine von § 303a StGB geschützten Daten gelöscht, unterdrückt, unbrauchbar gemacht oder verändert werden. Für eine Strafbarkeit nach § 303b StGB fehlt es jedenfalls an der hierfür erforderlichen Störung einer Datenverarbeitung.[25]
h) §§ 143, 143a MarkenG und §§ 106 ff. UrhG
Der Phisher macht sich nach §§ 143, 143a MarkenG und §§ 106 ff. UrhG strafbar, wenn er in der E-Mail bzw. auf der Website eingetragene Kennzeichen (z.B. Logos
von Banken) oder geschäftliche Bezeichnungen (z.B. Namen von Banken) verwendet, die markenrechtlich bzw. urheberrechtlich geschützt sind.[26]
i) § 44 Abs. 1 i.V.m § 43 Abs. 2 Nr. 1 BDSG
§ 44 Abs. 1 i.V.m § 43 Abs. 2 Nr. 1 BDSG wird durch den Phisher verwirklicht, wenn er über den Versand der Phishing-Mail tatsächlich die Zugangsdaten zum Online-Banking erhält. Kontonummer, PIN und TAN sind personenbezogene Daten i.S.d. § 3 Abs. 1 BDSG. Mangels wirksamer Einwilligung des Betroffenen handelt der Täter auch unbefugt (vgl. §§ 4 Abs. 1, 4a BDSG, wonach Voraussetzung für eine wirksame Einwilligung ist, dass der Betroffene auf den vorgesehenen Zweck der Erhebung hingewiesen wurde).[27] §§ 44 Abs. 1, 43 Abs. 2 Nr. 4 BDSG – Erschleichen der Datenübermittlung – ist dagegen nicht einschlägig, weil im Hinblick auf § 3 Abs. 4 Nr. 3 BDSG das "Übermitteln" eine vorhergehende Datenerhebung oder -verarbeitung voraussetzt. Dies kann man bei den im Besitz des Kunden befindlichen Daten jedoch nicht annehmen.[28]
2. Strafbarkeit der Datenverwendung
a) § 202a StGB
Indem er die durch Phishing erlangten Zugangsdaten für eine Onlineüberweisung zu Lasten des Kontos des Getäuschten nutzt, könnte sich der Phisher zunächst nach § 202a StGB strafbar machen. Von einem Teil der Literatur wird dies bejaht. Mit den erlangten Daten (PIN und TAN) verschaffe sich der Täter Zugang zu den Konto- oder Depotinformationen (z.B. zu Kontostammdaten oder Kontostand) des Opfers, welche nur für den Kontoinhaber bestimmt sowie durch die vorgeschaltete Abfrage der Zugangsdaten besonders gesichert seien, sodass er den Tatbestand des § 202a StGB folglich verwirkliche.[29] Nach anderer Ansicht scheidet eine Strafbarkeit des Phishers dagegen mangels Vorliegen einer besonderen Zugangssicherung aus. Denn durch die Weitergabe von PIN und TAN an den Phisher werde die Zugangsbeschränkung faktisch aufgehoben, woran auch der Umstand, dass das Phishing-Opfer durch Täuschung zur Herausgabe der Informationen veranlasst wird, nichts ändere.[30] Diese Argumentation überzeugt jedoch nicht. Mit der vorgeschalteten Zugangsdatenabfrage wurde eine Vorkehrung getroffen, die objektiv geeignet und subjektiv nach dem Willen des Berechtigten dazu bestimmt war, den Zugriff auf die Daten auszuschließen[31], sodass de facto ursprünglich eine "besondere Sicherung" i.S.d. § 202a StGB vorlag. Dass diese Sicherung letztlich durch die Mithilfe des Opfers ausgehebelt wird, ändert nichts an der Tatsache, dass sie anfänglich objektiv bestand. Die Auswirkung der Mitwirkungshandlung des Opfers auf die Strafbarkeit des Phishers nach § 202a StGB ist vielmehr erst beim Tatbestandsmerkmal "unter Überwindung der Zugangssicherung" zu diskutieren. Da § 202a StGB auf die Frage, wie der Zugangsschutz letztlich überwunden wird, aber nicht eingeht, steht das "selbstschädigende" Verhalten des Opfers einer Strafbarkeit des Phishers nicht entgegen.[32]
b) § 202b StGB
Wegen Abfangens von Daten macht sich der Phisher durch die Nutzung der "erschlichenen" Daten hingegen nicht strafbar. Hierfür müsste er sich nämlich Daten aus einer nichtöffentlichen Datenübermittlung verschafft haben. Dies ist jedoch nur bei solchen Daten der Fall, die vom Berechtigten an einen Dritten (z.B. eine Bank) übermittelt und vom Täter mitgeschnitten werden. Bei der Datenverwendung durch den Phisher findet der Datenaustausch aber von vornherein zwischen ihm und dem Server der Bank statt, sodass es an einem "Abfangen" fehlt.[33]
c) § 263a StGB
Eine Strafbarkeit nach § 263a StGB kommt in der Tatalternative des unbefugten Verwendens von Daten in Betracht. Das Merkmal "unbefugt" ist dabei nach h.M. betrugsspezifisch auszulegen, d.h. die Handlung des Phishers muss täuschungsäquivalent sein. Die Kreditinstitute vergeben PIN und TAN, um ihren Kunden damit im Rahmen des Online-Banking den Nachweis ihrer Identität zu ermöglichen, weshalb die Verwendung dieser Daten mit der Vorlage eines Ausweises bei persönlichem Geschäftskontakt verglichen werden kann. Die Identität von Anweisendem und Kontoinhaber wird damit zu einer Grundlage des Überweisungsvertrages und würde von einer natürlichen Person als selbstverständlich vorausgesetzt. Somit kommt die Datenverwendung einer Identitätstäuschung gleich.[34] Ein rechtlich relevantes Einverständnis des Geschädigten liegt trotz bewusster Preisgabe der Daten dagegen nicht vor, da dieser die Daten ersichtlich nur innerhalb der von ihm vorgegebenen Zweckrichtung verwendet wissen will.[35] Die Datenverwendung durch den Phisher ist damit unbefugt. Indem der Täter die Passwörter beim kontoführenden Institut einsetzt und sich ins System einloggt, beeinflusst er zudem das Ergebnis eines automatisierten Datenverarbeitungsvorgangs, denn ohne Eingabe könnte er sich keinen Einfluss auf die Transaktionsmöglichkeiten verschaffen.[36] Der Datenverarbeitungsvorgang wirkt sich auch unmittelbar vermögensmindernd aus, da hierfür die Freigabe eines vermögensrelevanten Zugangs ausreicht.[37]
Fraglich ist jedoch, bei wem der Vermögensschaden eintritt. Die Überweisung des Geldbetrages durch den Phisher auf das Zielkonto erfolgt – weil ohne bzw. gegen den
Willen des Kontoinhabers[38]- ohne dessen Autorisierung i.S.d. § 675j Abs. 1 S. 1, 4 BGB, sodass ihm gem. § 675u S. 2 BGB grundsätzlich ein Anspruch gegen die Bank auf Erstattung des Überweisungsbetrages zusteht. Zu beachten ist jedoch die Regelung des § 675v Abs. 1 und 2 BGB, wonach die Bank wiederum einen Schadensersatzanspruch gegen den Kontoinhaber hat, wenn der infolge eines nicht autorisierten Zahlungsvorgangs entstandene Schaden aufgrund der missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments (wozu auch das PIN und TAN-Verfahren beim Onlinebanking zählt[39]) entstanden ist und der Kontoinhaber die personalisierten Sicherheitsmerkmale (d.h. PIN und TAN) nicht sicher aufbewahrt hat (§ 675v Abs. 1 S. 2 BGB) oder der Schaden von Letzterem durch grob fahrlässige Verletzung von Pflichten aus § 675l BGB[40] oder von vereinbarten Bedingungen für die Ausgabe und Nutzung von PIN und TAN herbeigeführt wurde (§ 675v Abs. 2 Nr. 1 und 2 BGB). Im Falle des § 675v Abs. 1 S. 2 BGB ist der vom Kontoinhaber zu ersetzende Schaden dabei höhenmäßig auf maximal 150 Euro begrenzt, der Anspruch der Bank besteht dafür aber unabhängig vom etwaigen Vorliegen eines Verschuldens.[41] Im Falle des § 675v Abs. 2 BGB haftet der Kontoinhaber dagegen unbegrenzt. Ob die hier erforderliche grobe Fahrlässigkeit zu bejahen ist, richtet sich dabei nach den allgemeinen Grundsätzen der §§ 276, 277 BGB sowie den konkreten Umständen des Einzelfalls.[42] Für die Frage, bei wem der Vermögensschaden eintritt, ergibt sich danach Folgendes: Eine – auf maximal 150 Euro begrenzte – Haftung des Kontoinhabers nach § 675v Abs. 1 S. 2 BGB wird beim Phishing aufgrund der Verschuldensunabhängigkeit dieses Schadensersatzanspruchs regelmäßig zu bejahen sein, sodass es sich beim Phishing-Opfer selbst also stets um einen Geschädigten handeln wird. Daneben erleidet aber auch die Bank einen Vermögensschaden, da sie dem Kontoinhaber den Rest des gephishten Betrages gem. § 675u S. 2 BGB zurückerstatten muss. Hat der Kontoinhaber dagegen aufgrund eines grob fahrlässigen Verhaltens nach § 675v Abs. 2 Nr. 1 oder 2 BGB den gesamten Schaden zu ersetzen, so ist allein bei ihm der Vermögensschaden zu verzeichnen.
d) §§ 269, 270 StGB
Denkbar ist auch eine Strafbarkeit wegen Fälschung beweiserheblicher Daten. Indem der Phisher die Zugangsdaten des Opfers auf der Website der Bank eingibt und online eine Überweisung tätigt, stellt er einen Datensatz her, den die Bank speichert und dessen Erklärungsinhalt ein Überweisungsauftrag ist. Durch die Verwendung von PIN und TAN erklärt er, Verfügungsberechtigter über das Konto zu sein. Damit speichert der Phisher beweiserhebliche Daten so, dass bei ihrer Wahrnehmung eine unechte Urkunde vorliegen würde. § 269 StGB setzt allerdings voraus, dass der Täter zur Täuschung im Rechtsverkehr gehandelt hat. Beim Online-Banking handelt es sich aber um einen automatisierten Vorgang, bei dem folglich kein Mensch im Rechtsverkehr getäuscht werden kann. Aus diesem Grund muss auf die Regelung des § 270 StGB zurückgegriffen werden, wonach die fälschliche Beeinflussung einer Datenverarbeitung der Täuschung im Rechtsverkehr gleichsteht.[43]
e) § 303a StGB
Da jede TAN nur einmal benutzt werden kann und somit nach der vom Phisher getätigten Onlineüberweisung vom Berechtigten für weitere Transaktionen nicht mehr verwendet werden kann, kommt eine Strafbarkeit nach § 303a StGB in der Tatvariante des "Unbrauchbarmachens" in Betracht. Zu beachten ist jedoch, dass es sich beim Unbrauchbarmachen um das elektronische Pendant zum "Beschädigen" i.S.d. § 303 StGB handelt. Die Verwendung eines Gegenstandes zu dessen bestimmungsgemäßem Ge- oder Verbrauch ist aber gerade keine Sachbeschädigung. Aus diesem Grunde macht auch die bestimmungsgemäße Benutzung eines Zugangscodes diesen nicht unbrauchbar, und zwar auch dann nicht, wenn er anschließend nicht mehr verwendet werden kann.[44]
f) § 303b StGB
Die Tätigung einer Online-Überweisung könnte zwar eine Eingabe bzw. Übermittlung von Daten in der Absicht, einem anderen einen Nachteil zuzufügen, sein. Eine Strafbarkeit nach § 303b Abs. 1 Nr. 2 StGB scheitert aber an der fehlenden Beeinträchtigung einer Datenverarbeitung.[45]
3. Strafbarkeit von VorbereitungsÂhandlungen nach § 202c StGB
Handlungen, die die Datenerlangung vorbereiten, erfüllen den Tatbestand des § 202c StGB nicht, da diese nicht nach §§ 202a, b StGB strafbar ist. Was Vorbereitungshandlungen zur Datenverwendung betrifft, so ist § 202c StGB zwar einschlägig, aber gegenüber dem vom Phisher verwirklichten § 202a StGB subsidiär.[46]
4. Strafbarkeit wegen Anwerbung des Finanzagenten nach § 263 StGB
Indem der Phisher per Spam-Mail einen Finanzkurier anwirbt, könnte er sich wegen Betruges zu dessen Lasten
strafbar machen. Eine Täuschungshandlung liegt vor, da der Phisher die Aufgaben des Kuriers in der E-Mail anders darstellt, als dies seiner tatsächlich vorgesehenen Rolle entspricht. Sieht man Arbeitsleistungen als Bestandteil des rechtlich geschützten Vermögens an, so ist auch eine irrtumsbedingte Vermögensverfügung in Form der vom Finanzkurier erbrachten Dienstleistung gegeben. Aufgrund der Tatsache, dass der Agent der Bank des Kontoinhabers aus Bereicherungsrecht haftet, ist schließlich auch ein Vermögensschaden zu bejahen. Letztlich scheitert eine Betrugsstrafbarkeit jedoch an der fehlenden Stoffgleichheit zwischen dem vom Phisher erstrebten Vermögensvorteil und dem beim Agenten eingetretenen Vermögensschaden.[47]
III. Strafbarkeit des Finanzkuriers
1. §§ 263a, 27 StGB
Denkbar wäre eine Strafbarkeit wegen Beihilfe zum Computerbetrug. Dabei stellt sich zunächst die Frage, worin genau die Gehilfenhandlung zu sehen ist. Zum einen könnte man daran anknüpfen, dass der Finanzkurier das ihm überwiesene Guthaben von seinem Konto abhebt und nach Abzug seiner Provision an den Phisher transferiert. Dann stellt sich jedoch das Problem der sukzessiven Beihilfe, denn mit der Belastungsbuchung auf dem Ausgangskonto ist der vom Phisher begangene Computerbetrug bereits vollendet, d.h. der Finanzkurier leistet seinen Tatbeitrag in der Phase zwischen Vollendung und Beendigung.[48]
Sieht man die Gehilfenhandlung dagegen bereits in der Übermittlung der eigenen Kontodaten des Kuriers an den Phisher, so braucht auf diese Thematik nicht eingegangen zu werden. Fraglich ist jedoch, ob man darin bereits den Tatbeitrag des Gehilfen sehen kann. Gegen diese Annahme wird angeführt, dass der Finanzkurier dem Phisher zwar seine Kontodaten übermitteln müsse, bevor dieser die Abbuchung vornehmen könne, die tatbestandliche Handlung des Haupttäters bestehe aber in der unberechtigten Verwendung der Zugangsdaten für eine Überweisung und für diese sei schließlich jedes Konto – also auch das des Phishers selbst – geeignet. Damit fehle es aber an einem "Fördern oder Erleichtern der Haupttat", was für das Vorliegen einer Gehilfenhandlung jedoch zwingend erforderlich sei.[49] Die Gegenansicht[50] wendet gegen diese Argumentation aber richtigerweise ein, dass es für die Beurteilung, ob ein geeigneter Tatbeitrag des Gehilfen vorliegt oder nicht, auf den wirklichen Geschehensablauf ankommt und ein Hinzudenken von Reserveursachen nicht zulässig ist.[51] Die Herausgabe der Kontodaten ermöglicht die tatbestandliche Handlung erst, sodass objektiv ein Hilfeleisten zur Tat i.S.d. § 27 StGB gegeben ist.
Ein weiteres Problem ergibt sich im Hinblick auf den erforderlichen doppelten Gehilfenvorsatz, denn in der Regel wird der Finanzagent über die wahren Absichten des Phishers getäuscht oder zumindest im Unklaren gelassen. Allein das Wissen oder die Vermutung, dass das Geld aus irgendeiner Straftat herrührt, kann aber für den Gehilfenvorsatz nicht ausreichen. Vielmehr muss die Haupttat zumindest ihrer Art nach umrissen sein.[52] Der Finanzagent handelt daher allenfalls dann vorsätzlich, wenn er auf Grund der weit verbreiteten Informationen über Phishing oder auf Grund von vorangehenden Kontakten mit Bankangestellten oder Polizeibeamten davon ausgeht oder weiß, dass das ihm überwiesene Geld aus einem Computerbetrug stammt. In den meisten Fällen wird man allerdings in Ermangelung von Beweisen zu Gunsten des schweigenden Finanzagenten annehmen müssen, dass er sich eine ganz andere rechtswidrige Tat als den begangenen Computerbetrug als Vortat vorgestellt hat. Sofern der Finanzagent von einer anderen, nicht vergleichbaren Haupttat ausgeht, ist sein Handeln lediglich als Versuch der Beihilfe zu der von ihm vorgestellten Haupttat zu werten und daher straflos.[53]
2. § 261 StGB
Eine Strafbarkeit wegen Geldwäsche kommt ausschließlich in den Fällen in Betracht, in denen der Finanzagent nicht wegen Beteiligung an der Vortat bestraft wird. Andernfalls scheidet die Strafbarkeit infolge des persönlichen Strafausschließungsgrundes in § 261 Abs. 9 S. 2 StGB aus.[54]
Da der Phisher in der Regel durch wiederholte Computerbetrügereien für sich oder einen Dritten eine fortlaufende Einnahmequelle von nicht unerheblicher Dauer und einigem Umfang verschaffen will, liegt eine taugliche Katalogtat in Form des gewerbsmäßigen Computerbetrugs vor (§ 261 Abs. 1 S. 2 Nr. 4 lit. a StGB).[55] Zudem stellt das durch die unberechtigte Überweisung des Phishers entstandene Guthaben auf dem Konto des Finanzagenten einen "Gegenstand" i.S.d. § 261 Abs. 1 StGB dar, da hiervon neben Bargeld auch alle weiteren Vermögenswerte wie Buchgeld und andere Forderungen erfasst werden.[56] Auch die Geldscheine, die der Finanzkurier erhält, wenn er sich das Guthaben auszahlen lässt, stellen noch Gegenstände dar, die aus einer Straftat nach § 261 Abs. 1 S. 2 StGB herrühren.[57]
Fraglich ist jedoch, worin die tatbestandsmäßige Handlung besteht. Das LG Darmstadt[58] sieht die Geldwäschehandlung i.S.d. § 261 Abs. 1 StGB bereits in dem Moment als verwirklicht an, in dem der Finanzagent seine Kontoverbindungen an den Phisher mitteilt. Dabei verkennt es jedoch, dass zu diesem Zeitpunkt noch gar kein Gegenstand existiert, der aus einer Katalogtat herrührt, denn der Finanzagent muss ja zuerst einmal seine Kontonummer und Bankleitzahl an den Phisher weitergeben,
bevor dieser einen Computerbetrug begehen kann. Damit handelt es sich bei der Angabe der Kontoverbindung lediglich um eine tatbestandlich noch nicht erfasste Vorbereitungshandlung zur Geldwäsche.[59]
Aus demselben Grund ist – entgegen der Ansicht des AG Neunkirchen[60] – zu diesem Zeitpunkt auch kein "Verwahren" (§ 261 Abs. 2 Nr. 2 Var. 1 StGB) gegeben.[61] Vereinzelt[62] wird die Geldwäschehandlung in der "Entgegennahme" der transferierten Summe auf dem Konto des Finanzagenten gesehen. Bei der "Entgegennahme auf dem Konto" handelt es sich aber um nichts anderes als die Gutschrift des Betrages auf dem Zielkonto durch die jeweilige Bank. Diese liegt jedoch nicht im Einflussbereich des Finanzkuriers, sodass es an einer rechtlich relevanten Handlung des Finanzkuriers fehlt.[63] Damit kommen als Tathandlungen des Finanzagenten nur das Abheben der gutgeschrieben Summe von seinem Konto sowie die Transferierung des Geldes ins Ausland in Betracht. Bezüglich des Abhebens ist dabei eine Subsumtion unter mehrere Tatbestandsvarianten denkbar[64], wobei es aufgrund der Tatsache, dass der Finanzkurier dadurch die tatsächliche Verfügungsgewalt über die Geldscheine erlangt, am überzeugendsten erscheint, ein "Verschaffen" i.S.d. § 261 Abs. 2 Nr. 1 StGB anzunehmen. Ein Ausschluss der Strafbarkeit nach § 261 Abs. 6 StGB kommt dabei nicht in Betracht, denn beim bemakelten Gegenstand handelt es sich letztlich um den Auszahlungsanspruch des Agenten gegenüber seiner Bank und diese Forderung erwirbt niemand anderer als der Finanzkurier selbst.[65] Auch was die Transferierung des Geldes ins Ausland betrifft, stellt sich die Frage, welche der Tatbestandsvarianten einschlägig ist.[66] Ein "Vereiteln" i.S.d. § 261 Abs. 1 StGB scheidet aus, denn der Zugriff der Strafverfolgungsbehörden auf die Geldsumme wird durch die Transferierung zumindest noch nicht unmöglich gemacht. Für ein "Gefährden" fehlt es an der erforderlichen Konkretheit der Gefahr, welche nur dann gegeben sein dürfte, wenn die jeweilige Ermittlungsmaßnahme zum Tatzeitpunkt bereits eingeleitet ist. Dies wird zumeist jedoch nicht der Fall sein. Der Begriff des "Verbergens" erfasst nur körperlich-gegenständliche Akte, die das Auffinden des konkreten Gegenstands ganz verhindern und damit seine Existenz leugnen sollen. Durch die Transferierung wird aber nicht der Vermögenswert an sich, sondern nur sein deliktischer Ursprung der Sichtbarkeit entzogen. Es liegt vielmehr ein "Verschleiern der Herkunft" vor, weil die Übermittlung des inkriminierten Geldes ins Ausland es den Behörden erschweren wird, dessen Herkunft zurückzuverfolgen.[67]
Ein weiteres Problem stellt sich im Hinblick auf den subjektiven Tatbestand. Denn regelmäßig werden zwar viele Anhaltspunkte dafür vorliegen, dass das Geld illegaler Herkunft ist (Auftrag von unbekannt bleibender Person, gleichwohl Anvertrauen einer nicht unerheblichen Geldsumme, hohe Provision für nur geringen Arbeitsaufwand), für den Vorsatz ist jedoch erforderlich, dass sich der Finanzagent in groben Zügen eine Katalogtat vorstellt.[68] Dies wird meist aber nicht der Fall sein, da auch hierfür die Vorstellung, dass das Geld aus einem "illegalen Geschäft" stamme, nicht ausreicht. In Betracht kommt dafür aber eine leichtfertige Begehung nach § 261 Abs. 5 StGB, wenn der im Übrigen vorsätzlich Handelnde in grober Unachtsamkeit oder besonderer Gleichgültigkeit nicht bedenkt, dass der Gegenstand aus einer in § 261 Abs. 1 S. 2 StGB bezeichneten Tat herrühren könnte, obwohl sich die Herkunft aus einer Katalogtat geradezu aufdrängt.[69] Dies ist etwa dann der Fall, wenn sich ein Finanzkurier, dessen Konto nach einer vorangegangenen unberechtigten Überweisung bereits gesperrt wurde und der daraufhin Informationen über mögliche vorausgegangene Phishingangriffe erlangt, in der Hoffnung, bei dem nächsten Auftrag handele es sich um eine legale Überweisung, erneut auf eine solche Transaktion einlässt.[70]
3. § 31 Abs. 1 Nr. 2 i.V.m. § 8 Abs. 1 S. 1 i.V.m. § 1 Abs. 2 Nr. 6 ZAG
Indem sich der Finanzagent dazu bereiterklärt, gegen eine Provision Beträge aus Überweisungen, die auf einem eigens eingerichteten Girokonto eingehen, in bar abzuheben und an ein Western-Union-Konto zu transferieren, besorgt er Zahlungsdienste i.S.d. § 1 Abs. 2 Nr. 6 ZAG. Eine Strafbarkeit nach § 31 Abs. 1 Nr. 2 ZAG ist jedoch nur dann gegeben, wenn er seine Dienste "gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, (…) als Zahlungsinstitut" erbringt, da die Zahlungsdienstleistung nur dann gem. § 8 Abs. 1 S. 1 ZAG erlaubnispflichtig ist.[71]
IV. Zusammenfassung
Der Phishingtäter macht sich schon bei der Datenbeschaffung durch das Verschicken der Phishing-E-Mail nach § 269 StGB strafbar. Auch das Erstellen der Phishing-Website erfüllt diesen Straftatbestand. Darüber
hinaus sind die Tatbestände der §§ 143, 143a MarkenG bzw. §§ 106 ff. UrhG verwirklicht, wenn er markenrechtlich bzw. urheberrechtlich geschützte Kennzeichen oder Bezeichnungen verwendet. Durch die anschließende Datenverwendung macht sich der Phisher zunächst nach § 202a StGB strafbar, indem er sich durch die "gephishten" Daten Zugang zu den Konto- und Depotinformationen verschafft. Zugleich macht er sich durch die Verwendung der Daten für die Onlineüberweisung nach § 263a StGB und §§ 269, 270 StGB strafbar. Der neu eingeführte § 202c StGB greift zwar hinsichtlich der Vorbereitungshandlungen für die Datenverwendung ein, ist jedoch gegenüber dem vom Phisher verwirklichten § 202a StGB subsidiär. Eine Strafbarkeit des Finanzagenten nach §§ 263a, 27 StGB wird häufig am Gehilfenvorsatz scheitern, denn allein das Wissen oder Vermuten, dass das Geld aus irgendeiner Straftat herrührt reicht für den Gehilfenvorsatz nicht aus. Auch § 261 Abs. 1 StGB wird häufig am Vorsatz scheitern, denn hierfür ist erforderlich, dass sich der Finanzagent in groben Zügen eine Katalogtat vorstellt. In diesen Fällen kommt dann jedoch eine leichtfertige Begehung nach § 261 Abs. 5 StGB in Betracht. Des Weiteren verwirklicht der gewerbsmäßig handelnde Finanzkurier § 31 Abs. 1 Nr. 2 i.V.m. § 8 Abs. 1 S. 1 i.V.m. § 1 Abs. 2 Nr. 6 ZAG.
* Der Autor Seidl ist Assessor und wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau; die Autorin Fuchs ist Diplom-Juristin (Univ.) und wissenschaftliche Mitarbeiterin an diesem Lehrstuhl.
[1] Vgl. zur Vorgehensweise ausführlich Goeckenjan wistra 2008, 128, 128 f.
[2] Goeckenjan wistra 2008, 128, 129.
[3] Biallaß ZUM 2006, 876, 879.
[4] Marberth-Kubicki DRiZ 2007, 212, 213.
[5] Popp MMR 2006, 84, 85.
[6] Stuckenberg ZStW 118 (2006), 878, 884.
[7] Popp MMR 2006, 84, 85; Marberth-Kubicki DRiZ 2007, 212.
[8] Goeckenjan wistra 2009, 47, 51.
[9] Stuckenberg ZStW 118 (2006), 878, 905.
[10] Goeckenjan wistra 2008, 128, 130; Graf NStZ 2007, 129, 130; mit anderer Begründung Weber HRRS 2004, 406, 408.
[11] Goeckenjan wistra 2008, 128, 130.
[12] Stuckenberg ZStW 118 (2006), 878, 899; Buggisch/Kerling Kriminalistik 2006, 531, 534.
[13] Weber HRRS 2004, 406, 408 f.
[14] Heghmanns wistra 2007, 167, 168.
[15] Gercke CR 2005, 606, 608.
[16] Stuckenberg ZStW (118) 2006, 878, 886 ff.; Goeckenjan wistra 2008, 128, 130; ohne Differenzierung Knupfer MMR 2004, 641, 642; Heghmanns wistra 2007, 167.
[17] Stuckenberg ZStW 118 (2006), 878, 886.
[18] Graf NStZ 2007, 129, 131 f.
[19] Gercke CR 2005, 606, 609.
[20] BGHSt 5, 149.
[21] OLG Koblenz NStZ-RR 2008, 120 (120 f.).
[22] Fischer, StGB, 57. Aufl. (2010), § 267 Rn. 7.
[23] Popp MMR 2006, 84, 85.
[24] Heghmanns wistra 2007, 167, 168.
[25] Goeckenjan wistra 2009, 47, 52.
[26] Goeckenjan wistra 2008, 128, 130; Beck/Dornis CR 2007, 642, 644.
[27] Goeckenjan wistra 2008, 128, 130; Heghmanns wistra 2007, 167, 169.
[28] Heghmanns wistra 2007, 167, 169, Fn. 25.
[29] Stuckenberg ZStW 118 (2006), 878, 906; Heghmanns wistra 2007, 167, 169.
[30] Graf NStZ 2007, 129, 131.
[31] Fischer (Fn. 22), § 202 a Rn. 8.
[32] Knupfer MMR 2004, 641, 642.
[33] Goeckenjan wistra 2009, 47, 51.
[34] Weber HRRS 2004, 406, 407; Goeckenjan wistra 2008, 128, 132.
[35] Beck/Dornis CR 2007, 642, 642 Fn. 8.
[36] Weber HRRS 2004, 406, 407.
[37] Fischer (Fn. 22), § 263a Rn. 20.
[38] Palandt, BGB, 69. Aufl. (2010), § 675l Rn. 6.
[39] Palandt (Fn. 38), § 675j Rn. 7.
[40] Nach § 675l BGB ist der Kontoinhaber dazu "verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen" (S. 1) sowie "dem Zahlungsdienstleister (…) den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat" (S. 2).
[41] Palandt (Fn. 38), § 675v Rn. 3; anders aber die Gesetzesbegründung BT-Drs. 16/11643 S. 113, die von einem Verschuldenselement spricht.
[42] Palandt (Fn. 38), § 675v Rn. 5.
[43] Stuckenberg ZStW 118 (2006), 878, 906; Goeckenjan wistra 2008, 128, 132.
[44] Goeckenjan wistra 2009, 47, 53.
[45] Goeckenjan wistra 2009, 47, 53.
[46] Heghmanns wistra 2007, 167, 170.
[47] Goeckenjan wistra 2008, 128, 132 f.
[48] Goeckenjan wistra 2008, 128, 133.
[49] Kögel wistra 2007, 206, 207.
[50] Goeckenjan wistra 2008, 128, 133.
[51] Lenckner, in: Schönke/Schröder, StGB, 27. Aufl. (2007), Vor § 13 Rn. 80.
[52] Goeckenjan wistra 2008, 128, 133; Heghmanns wistra 2006, 167, 169.
[53] Neuheuser NStZ 2008, 492, 494.
[54] Neuheuser NStZ 2008, 492, 494.
[55] Neuheuser NStZ 2008, 492, 494.
[56] Fischer (Fn. 22), § 261 Rn. 6.
[57] Goeckenjan wistra 2008, 128, 134.
[58] LG Darmstadt ZUM 2006, 876, 878; Popp jurisPR-ITR 6/2008 Anm. 4.
[59] Goeckenjan wistra 2008, 128, 134; Neuheuser NStZ 2008, 492, 495.
[60] AG Neunkirchen Urt. v. 13.3.2007 – 11 Ds 33 Js 1148/06 (27/07).
[61] Goeckenjan wistra 2008, 128, 134.
[62] Kögel wistra 2007, 206, 209.
[63] Goeckenjan wistra 2008, 128, 134.
[64] Nach Popp jurisPR-ITR 6/2008 Anm. 4, wird durch das Abheben des Geldes das Auffinden eines aus der Vortat herrührenden Gegenstandes vereitelt oder wenigstens gefährdet (§ 261 Abs. 1 S. 1 StGB). Subsidiär komme § 261 Abs. 2 StGB zur Anwendung, da sich der Finanzagent das Geld zunächst verschafft und anschließend verwendet.
[65] Goeckenjan wistra 2008, 128, 134.
[66] Neuheuser NStZ 2008, 492, 495 f. sieht im Überweisen in einen fremden Statt ein "Verbergen", im Abheben und Barüberweisen ins Ausland ein "Verschleiern". Zudem käme es zu einer "Vereitelung" bzw. "Gefährdung" der staatlichen Zugriffsmaßnahmen i.S.v. § 261 Abs. 1 StGB (so auch Popp jurisPR-ITR 6/2008 Anm. 4).
[67] Goeckenjan wistra 2008, 128, 134.
[68] Goeckenjan wistra 2008, 128, 135.
[69] Stree, in: Schönke/Schröder, 27. Aufl. (2006), § 261 Rn. 19.
[70] LG Darmstadt wistra 2006, 468, 470; Goeckenjan wistra 2008, 128, 135.
[71] Zu § 54 Abs. 1 Nr. 2 i.V.m. § 32 Abs. 1 S. 1 i.V.m. § 1 Abs. 1a 2 Nr. 6 KWG a.F.: AG Überlingen Urt. v. 1.6.2006 – 1 Cs 60 Js 26466/05 – AK 183/06; Heghmanns wistra 2007, 167, 170.