HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Juni/Juli 2011
12. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Zur Strafbarkeit des sog. "Skimmings"
Von Wiss. Mitarbeiter Alexander Seidl und Wiss. Mitarbeiterin Katharina Fuchs, Passau
Im Jahr 2008 stieg die betrügerische Geldautomatenkriminalität in Europa gegenüber dem Vorjahr um 149 Prozent an. Zurückzuführen ist diese Entwicklung vor allem auf die dramatische Zunahme sog. Skimming-Attacken, von denen europaweit insgesamt 10.302 nachgewiesene Fälle verzeichnet werden konnten. [1] * 2009 wurden laut dem Bundeskriminalamt (BKA) allein in Deutschland "weit über 100.000 Menschen" Opfer dieser Kriminalitätsform, [2] wobei der Schaden schätzungsweise 40 Millionen Euro betrug. Von Januar bis April 2010 schließlich wurden bereits mehr Skimming-Fälle registriert als im gesamten Jahr 2009. [3] Für das Jahr 2011 ist ein weiterer signifikanter Anstieg zu befürchten. Im Folgenden soll die Strafbarkeit dieser Form der Geldautomatenkriminalität näher beleuchtet werden.
I. Einführung
1. Was ist Skimming?
Skimming ist das "Abschöpfen" von Daten aus einer Bank- oder Kreditkarte durch Auslesen und Kopieren des Inhalts des auf der Karte enthaltenen Magnetstreifens, um die Informationen anschließend auf einen Kartenrohling zu übertragen und diesen in der Folge gemeinsam mit der ebenfalls ausspionierten persönlichen Identifikationsnummer (PIN) für Geldabhebungen im Ausland zu missbrauchen. Namengebend für diese relativ neue Form des "Zahlungskartenbetrugs" sind die dabei zum Einsatz kommenden Kartenlesegeräte, die sog. Skimmer. [4]
Skimming-Angriffe treten in unterschiedlichen Erscheinungsformen auf. So werden nicht nur Geldautomaten mit zusätzlichen Kartenlesegeräten ausgestattet, auch in Tankstellen und anderen Geschäften wurden bereits EC- und Kreditkartenterminals auf diese Weise manipuliert - oft ohne Wissen des jeweiligen Ladeninhabers. Nachdem die Täter anschließend die PIN des jeweiligen Kunden ausgespäht haben – sei es unter Zuhilfenahme einer Kamera, sei es durch einfaches "Über-die-Schulter-Schauen" oder den Einsatz einer Tastenfeld-Attrappe – sind sie in der Lage, mit den zuvor angefertigten Dubletten der von den Kunden benutzten Zahlungskarten, Abhebungen vorzunehmen.
Die folgenden Darstellungen beschränken sich auf den "klassischen" Fall des Skimmings, also das Ausspähen von Zahlungskartendaten an Geldautomaten. Hier wird von den Tätern zunächst ein Miniatur-Kartenleser von außen vor den Leseschlitz des Geldautomaten befestigt oder aber bereits am Türöffner im Eingangsbereich des betroffenen Kreditinstituts angebracht. Die Zahlungskarte des Kunden wird bei der Benutzung von Automat oder Türöffner unbemerkt durch das zusätzliche Lesegerät gezogen, wobei es zum Auslesen des Inhalts des Magnetstreifens kommt. Für das ungeschulte Auge ist die Manipulation kaum zu erkennen, da der Aufsatz von den Tätern in Farbe und Form dem jeweiligen Geldautomaten bzw. Türöffner angepasst wird. Die abgegriffenen Daten werden gespeichert und nach dem Abbau der Skimming-Vorrichtung auf einen PC übertragen oder gleich per Funk an die Täter übermittelt. [5]
Das Ausspähen der PIN des Betroffen kann auf unterschiedliche Weise erfolgen. Meist kommt eine oberhalb des Tastaturfeldes angebrachte Videoleiste zum Einsatz, hinter der sich eine kleine Kamera verbirgt, mittels derer die PIN-Eingabe aufgezeichnet wird. Zum Teil verwenden die Täter auch Nachbildungen der Geldautomatentastaturen, die auf die echte Tastatur geklebt werden. Bei Eingabe der PIN werden die Anschläge an diese durchgereicht und dabei protokolliert. Das Ausspähen kann aber auch schlicht durch ein "Über-die-Schulter-Schauen" eines Täters erfolgen.
Nach erfolgreicher Kartendaten- und PIN-Beschaffung stellen die Skimming-Täter unter Verwendung von leeren Kartenrohlingen (sog. "White-Plastics") Dubletten her, mit
denen sie nunmehr Abhebungen vornehmen können. Diese erfolgen dabei stets im Ausland, da EC-Karten deutscher Ausgabestellen mit einem besonderen Schutzmechanismus, dem sog. moduliert maschinenfähigen Merkmal (MM-Merkmal) ausgestattet sind, das Abhebungen unter Zuhilfenahme billiger Datenträger unmöglich macht. Es handelt sich dabei um unterschiedliche dielektrische Materialien, die in die Karte eingelassen sind und kapazitiv abgetastet werden können. Die Leseeinheit in den deutschen Geldautomaten verknüpft den MM-Code mit den Informationen des Magnetstreifens und bewirkt bei Nichtübereinstimmung die Abweisung der Karte. Im europäischen Ausland dagegen wird auf den Einsatz dieses schwer fälschbaren Schutzmechanismus aus Kostengründen häufig verzichtet. [6]
Zwar sind bei deutschen EC-Karten (bzw. ihren Dubletten) Auslandsabhebungen höhenmäßig limitiert, in der Regel aber nur auf eine bestimmte Summe pro Tag. So kann es sein, dass der Skimming-Täter den täglichen Verfügungsrahmen bereits mehrfach ausgeschöpft hat, noch bevor der Betroffene die Kontobewegungen routinemäßig überprüfen und die irregulären Abhebungen bemerken konnte. [7]
2. Täterprofil
Die Kriminalitätsform des Skimmings bedient sich der aus der Organisierten Kriminalität bekannten Strukturen. Kennzeichnend sind also grenzüberschreitende Arbeitsteilung, Einsatz moderner Technik, eine zentrale Einsatzsteuerung sowie die Einrichtung einheitlicher Absatzwege. Skimming ist zwar auch in der Form denkbar, dass lediglich eine Einzelperson handelt. Diese sähe sich dann aber einem ständigen Wettlauf mit der Zeit ausgesetzt, da ihre Aktivitäten den betroffenen Banken noch vor der Vornahme der Abhebungen auffallen und die Kartendaten gesperrt werden könnten. [8] Aus diesem Grunde werden beim Skimming – zumeist südosteuropäische – kriminelle Banden tätig, die die erforderlichen Arbeitsschritte arbeitsteilig organisieren. So stellt eine Tätergruppe die Skimming-Ausrüstung her, eine andere transportiert sie, bringt sie an den jeweiligen Geldautomaten an, entfernt sie nach dem Angriff wieder und übermittelt die ausgespähten Daten, eine dritte ist für die Herstellung der Dubletten zuständig und die vierte Gruppe schließlich für die Vornahme der Auslandsabhebungen. [9] An der Spitze dieser Banden steht dabei eine sich aus Hintermännern zusammensetzende steuernde Instanz, die die Arbeitsgruppen aufstellt, instruiert, ausstattet und sie schließlich aus der Beute bezahlt. [10]
Da man aufgrund der hohen Fluktuation in den Banden dieselben Täter selten bei mehreren Skimming-Angriffen antreffen wird, geben sie sich weder beim "Skimmen" selbst, noch bei der anschließenden Abhebung im Ausland besondere Mühe, eine Tarnung aufzubauen. Ihrer habhaft zu werden gestaltet sich dabei ohnehin schwer, denn Aufsatzgeräte und Kameras werden meist nach wenigen Stunden wieder entfernt und der nächste Angriff findet sodann in einer anderen Gegend statt. In hoch frequentierten Bankfilialen reichen aber Zeiträume über wenige Stunden bereits aus, um an die Daten dutzender Kunden zu gelangen; [11] pro manipuliertem Geldautomaten werden so ca. 60 Kartendatensätze und PINs abgegriffen. [12]
II. Strafrechtliche Würdigung
Um eine strafrechtliche Würdigung des Skimmings vornehmen zu können, bietet sich eine Aufteilung des Gesamtvorgangs in verschiedene, im Folgenden dargestellte Stadien an:
- Herstellung bzw. Verschaffen der Skimming-Ausrüstung,
- Ausspähen von Magnetstreifen und PIN,
- Herstellung der Dubletten,
- Einsatz der Dubletten,
- Verteilung der Beute.
Die strafrechtliche Bewertung soll dabei jedoch nicht chronologisch erfolgen. Vielmehr empfiehlt es sich, bei der Prüfung mit dem für das Skimming prägenden Stadium des "Ausspähens von Magnetstreifen und PIN" zu beginnen. Sodann sind die Phasen "Herstellung der Dubletten" und "Einsatz der Dubletten" zu untersuchen. Erst im Anschluss daran kann eine strafrechtliche Würdigung des Stadiums "Herstellung bzw. Verschaffen der Skimming-Ausrüstung" vorgenommen werden. Abschließend ist noch die Phase der Beuteverteilung rechtlich zu beleuchten.
Dabei ist zu beachten, dass sich einige der genannten Stadien ausschließlich im Ausland abspielen - z.B. die Herstellung der Skimming-Ausrüstung und der Dubletten -, wodurch sich in diesen Fällen die Frage nach der Anwendbarkeit des deutschen Strafrechts stellt. Da jedoch für sämtliche Tatbeteiligte Mittäterschaft anzunehmen sein wird, [13] ist aufgrund der hierbei erfolgenden gegenseitigen Anrechnung der Tatbeiträge an jedem Ort, an dem einer der Mittäter gehandelt hat, mithin auch in Deutschland, ein Tatort i.S.d. § 9 Abs. 1 StGB begründet. [14] Damit findet das deutsche Strafrecht gemäß § 3 StGB Anwendung. [15]
1. Strafbarkeit des Ausspähens von Magnetstreifen und PIN
a) Ausspähen der Magnetstreifeninformationen
aa) Strafbarkeit nach § 202a StGB
Im Hinblick auf das Auslesen des sich auf der EC-Karte befindlichen Magnetstreifens ist eine Strafbarkeit nach § 202a Abs. 1 StGB zu diskutieren, der das Ausspähen von Daten unter Strafe stellt. Unter Daten i.S.d. § 202a StGB sind Informationen zu verstehen, die in einer für eine Datenverarbeitungsanlage erkennbaren Form codiert sind, unabhängig davon, ob und in welcher Form sie verarbeitet werden. [16] Gemäß § 202a Abs. 2 StGB müssen die Daten dabei elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sein oder übermittelt werden. Nicht unmittelbar wahrnehmbar sind Daten, wenn sie erst nach einer Transformation mittels technischer Hilfsmittel sinnlich wahrgenommen werden können. [17] Die auf dem Magnetstreifen einer EC-Karte gespeicherten Informationen, unter anderem Kontonummer und Bankleitzahl, erfüllen die genannten Kriterien.
Die Daten sind auch "nicht für den Täter bestimmt". Entscheidend ist hierfür nämlich, ob diese nach dem Willen desjenigen, der zum Zeitpunkt der Tat die formelle Verfügungsberechtigung über die Daten innehat, dem Täter zur Verfügung stehen sollen. [18] Bei Bank- und Kreditkarten mit Bezahlfunktion kommt es dabei auf den Willen des kartenausgebenden Kreditinstituts an. [19] Davon, dass dieses nicht mit dem Ausspähen der Magnetstreifeninformationen einverstanden ist, kann ausgegangen werden.
Eine Strafbarkeit nach § 202a Abs. 1 StGB scheitert jedoch am fehlenden Vorliegen einer besonderen Zugangssicherung beziehungsweise am mangelnden Überwinden einer solchen. Eine besondere Zugangssicherung liegt nur dann vor, wenn Vorkehrungen getroffen sind, um den Zugriff auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Die Zugangssicherung kann dabei sowohl durch mechanische (z.B. Schlösser, Versiegelungen) als auch durch technische, insbesondere systemimmanente Vorkehrungen (z.B. Passwort, biometrische Erkennungsverfahren) erfolgen. [20] Weder die auf dem Magnetstreifen gespeicherte Kontonummer, noch die sich ebenfalls dort befindende Bankleitzahl werden jedoch durch derartige Schutzmechanismen gesichert. Insoweit scheitert eine Strafbarkeit nach § 202a Abs. 1 StGB also bereits am fehlenden Vorhandensein einer Zugangssicherung. [21] Doch selbst wenn sich neben den genannten ungesicherten Informationen auch verschlüsselte Daten auf dem Magnetstreifen befinden sollten, [22] wird der Tatbestand des § 202a Abs. 1 StGB nicht verwirklicht: In diesem Fall ist das Vorliegen einer Zugangssicherung zwar zu bejahen, [23] beim bloßen Auslesen und Abspeichern der auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten wird diese jedoch nicht überwunden. [24] Das Auslesen der Daten ist mittels eines handelsüblichen Lesegeräts und der dazugehörigen, ebenfalls im Handel erhältlichen Software vielmehr ohne Weiteres möglich. Ein Überwinden erfordert dagegen eine Vorgehensweise, durch die die jeweilige Zugangssicherung außer Kraft gesetzt oder umgangen wird. [25] Gerade daran fehlt es jedoch: Die verschlüsselten Daten werden nicht etwa entschlüsselt, sondern in verschlüsseltem Zustand gespeichert. Das Auslesen des Magnetstreifens erfüllt somit nicht den Tatbestand des § 202a Abs. 1 StGB. [26]
bb) Strafbarkeit nach § 263a StGB
Auch eine Strafbarkeit wegen Computerbetrugs durch "unbefugte Verwendung von Daten" (§ 263a Abs. 1 Var. 3 StGB) scheidet aus. Zwar erfasst die dritte Variante – im Gegensatz zu den ersten beiden Tathandlungen (unrichtige Gestaltung des Programmablaufes und Verwendung unrichtiger oder unvollständiger Daten) - gerade die Fälle, in denen der Täter - wie beim Skimming - richtige Daten verwendet. [27] § 263a Abs. 1 Var. 3 StGB scheitert jedoch an der für die Verwirklichung des Tatbestands erforderlichen Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs: Hierfür reicht eine Einflussnahme, die zu keinem abweichenden Ergebnis des Datenverarbeitungsvorgangs führt, nicht aus. Vielmehr muss diese ein Ergebnis hervorgerufen haben, das ohne die Einwirkung entweder überhaupt nicht oder mit anderem Inhalt entstanden wäre. [28] Dies ist hier jedoch gerade nicht der Fall. Nachdem die EC-Karte das zusätzlich angebrachte Kartenlesegerät passiert hat und die auf dem Magnetstreifen enthaltenen Informationen mithilfe des Moduls ausgelesen wurden, läuft der im Geldautomaten stattfindende Datenverarbeitungsprozess "ganz normal" ab, d.h. es kommt zu keinerlei Beeinflussung seines Ergebnisses. Damit ist der Tatbestand des § 263a Abs. 1 Var. 3 StGB nicht erfüllt. [29]
cc) Strafbarkeit nach § 303b StGB
Nichts anderes gilt hinsichtlich § 303b StGB, der die Computersabotage unter Strafe stellt. Ungeachtet der Frage nach dem Vorliegen der übrigen Tatbestandsmerkmale fehlt es jedenfalls an einer "erheblichen Störung" einer Datenverarbeitung. Eine solche liegt nur vor, wenn ihr reibungsloser Ablauf beeinträchtigt wird. [30] Beim Auslesen der Magnetkartendaten durch das zusätzlich angebrachte Kartenlesegerät wird der Ablauf der Datenverarbeitung im Geldautomaten aber gerade nicht beeinträchtigt. Die Datenverarbeitung läuft vielmehr genauso ab "wie immer".
dd) Strafbarkeit nach § 303a StGB
Auch eine Strafbarkeit wegen Datenveränderung nach § 303a Abs. 1 StGB kommt nicht in Betracht. Als einzige der vier Begehungsformen käme ein "Verändern" der auf dem Magnetstreifen enthaltenen Daten der Originalbankkarte in Betracht. Ein solches ist jedoch nur dann gegeben, wenn eine inhaltliche Umgestaltung der Daten erfolgt und sie deshalb einen anderen Informationsgehalt aufweisen. Das bloße unbefugte Kopieren von Daten wird dagegen nicht vom Tatbestand umfasst. [31]
ee) Strafbarkeit nach § 202b StGB
Eine Strafbarkeit nach § 202b StGB scheitert daran, dass der Skimming-Täter die auf dem Magnetstreifen enthaltenen Informationen - bei denen es sich unzweifelhaft um nicht für ihn bestimmte Daten i.S.d. § 202b StGB handelt - nicht aus einer nichtöffentlichen Datenübermittlung abfängt. [32] Eine solche nichtöffentliche Datenübermittlung findet beim Abhebungsvorgang zwar statt, die Magnetstreifendaten werden aber noch im Vorfeld des zwischen Bankkunde und Kreditinstitut stattfindenden Datenübertragungsvorgangs, der erst mit Einlesen der EC-Karte durch den Originalkartenleser beginnt, vom Täter abgeschöpft. Im Zeitpunkt des Abgreifens der Informationen stammen die Daten also gerade nicht aus einer nichtöffentlichen Datenübertragung. Vielmehr wird eine eigene Datenübertragung durch den Täter initiiert, deren Adressat der Täter ist. [33]
ff) Strafbarkeit nach §§ 269 Abs. 1 Alt. 1, 25 Abs. 1 Alt. 2 StGB
Indem der unwissende Bankkunde seine EC-Karte in den am Bankautomaten angebrachten Skimming-Aufsatz einführt, macht sich der Täter jedoch wegen Fälschung beweiserheblicher Daten in mittelbarer Täterschaft strafbar. Der vorsatzlos handelnde Bankkunde erfüllt die Tatbestandsvoraussetzungen des § 269 Abs. 1 Alt. 1 StGB, denn er speichert beweiserhebliche Daten so, dass bei ihrer Wahrnehmung eine unechte Urkunde vorliegen würde. Daten sind beweiserheblich, wenn sie dazu bestimmt sind, bei einer Verarbeitung im Rechtsverkehr als Beweisdaten für rechtlich erhebliche Tatsachen benutzt zu werden. [34] Bei Codekartendaten im Bankautomatenverkehr ist dies der Fall. [35] Ein Speichern der Daten ist gegeben, wenn sie auf einem Datenträger erfasst oder aufbewahrt oder auf ihn kopiert bzw. aufgenommen werden. Durch das Speichern muss ein Falsifikat entstehen, das - von der Wahrnehmbarkeit abgesehen - die Merkmale einer falschen Urkunde aufweist. [36] Die auf dem Magnetstreifen einer EC-Karte gespeicherten Daten beinhalten eine Garantieerklärung der Ausstellerbank zugunsten des berechtigten Karteninhabers. Wer den Magnetstreifen einer solchen Karte kopiert, erzeugt den falschen Anschein einer weiteren Gedankenerklärung der Ausstellerbank und verwirklicht dadurch § 269 StGB. [37] Dieser vom Bankkunden unvorsätzlich herbeigeführte strafrechtlich verbotene Erfolg wird vom Skimming-Täter vorsätzlich bewirkt, sodass ein klassischer Fall der mittelbaren Täterschaft vorliegt. [38] Der Skimming-Täter handelt darüber hinaus auch mit dem Willen, die erlangten
Daten zur fälschlichen Beeinflussung einer Datenverarbeitung zu verwenden, welche gem. § 270 StGB der Täuschung im Rechtsverkehr gleichsteht. Eine Strafbarkeit ist mithin zu bejahen, wobei regelmäßig der Qualifikationstatbestand des § 267 Abs. 4 StGB, auf den § 269 Abs. 3 StGB verweist und der eine verschärfte Sanktionierung für die gewerbsmäßige Begehung als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 263 bis 264 oder 267 bis 269 StGB verbunden hat, vorsieht, verwirklicht sein wird. [39]
gg) Strafbarkeit nach § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 und Nr. 3 BDSG
Ferner macht sich der Täter nach §§ 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 und Nr. 3 Alt. 2 BDSG wegen unbefugten Erhebens oder Verarbeitens nicht öffentlich zugänglicher personenbezogener Daten (Nr. 1) bzw. wegen Sichverschaffens derselben aus einer automatisierten Datenverarbeitung (Nr. 3 Alt. 2) in Bereicherungsabsicht strafbar. Bei der auf dem Magnetstreifen gespeicherten Kontonummer des Bankkunden handelt es sich um ein personenbezogenes Datum, [40] das aufgrund der Tatsache, dass sich keine unbeschränkt große Anzahl von Personen ohne besondere Sachkunde und Anstrengung über sie unterrichten kann, auch nicht öffentlich zugänglich ist. [41] Unter "erheben" versteht man gem. § 3 Abs. 3 BDSG das Beschaffen von Daten über den Betroffenen, mithin die Zusammenstellung von Daten durch zielgerichtetes systematisches Sammeln in jeder Form zum Zwecke der weiteren Verfügungsmöglichkeit. [42] Das "Verarbeiten" erfasst gem. § 3 Abs. 4 Nr. 1 BDSG u.a. das Speichern von personenbezogenen Daten auf einem Datenträger zum Zwecke der weiteren Nutzung. Beide Handlungsvarianten werden durch das Auslesen des Magnetstreifens der Originalkarte erfüllt. Darüber hinaus verwirklicht der Täter auch § 43 Abs. 2 Nr. 3 BDSG in der Form des Sichverschaffens nicht öffentlich zugänglicher personenbezogener Daten aus einer automatisierten Datenverarbeitung. Weil er zudem ohne Erlaubnis - mithin unbefugt - sowie in der Absicht handelt, sich oder einen anderen (die übrigen Bandenmitglieder) zu bereichern, ist eine Strafbarkeit nach § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 und Nr. 3 Alt. 2 BDSG daher zu bejahen. Die Tat wird gem. § 44 Abs. 2 BDSG nur auf Antrag verfolgt.
hh) Strafbarkeit nach § 152b Abs. 5 i.V.m. § 149 Abs. 1 Nr. 1 StGB
Schließlich ist auch eine Strafbarkeit des Täters nach § 152b Abs. 5 i.V.m. § 149 Abs. 1 Nr. 1 StGB wegen Vorbereitung der Fälschung von Zahlungskarten mit Garantiefunktion zu bejahen. § 149 Abs. 1 Nr. 1 StGB beschreibt bestimmte Vorrichtungen zur Herstellung von Falsifikaten, die ihrer Art nach zur Begehung der Tat geeignet sein müssen. Neben den explizit erwähnten (wie z.B. Drucksätze, Negative, Matrizen) fallen darunter auch solche, denen schon ihrer Art nach eine spezifische Verwendbarkeit zur Ausführung von Fälschungen innewohnt. [43] Erforderlich ist auch, dass diese "ähnlichen Vorrichtungen" gebrauchsfertig und zum unmittelbaren Einsatz im eigentlichen Fälschungsvorgang geeignet sind. [44] Seit der Aufnahme des Begriffs "Computerprogramme" in den Tatbestand des § 149 Abs. 1 Nr. 1 StGB, [45] mit dem zum Ausdruck kommt, dass sich der Anwendungsbereich der Vorschrift nicht prinzipiell auf körperliche Tatobjekte beschränkt, steht darüber hinaus fest, dass auch nichtkörperliche Vorlagen der Vervielfältigungstechnik als "ähnliche Vorrichtungen" von der Vorschrift erfasst werden. [46] Damit fallen auch die mithilfe des Skimmers ausgelesenen Datensätze, die im Anschluss auf die Magnetstreifen der Kartendubletten kopiert werden können und dabei unmittelbar zur Entstehung unechter Zahlungskarten mit Garantiefunktion führen, unter diesen Begriff. [47]
b) Strafbarkeit des Ausspähens der PIN
aa) Strafbarkeit nach § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 BDSG
Indem der Täter die PIN des Bankkunden ausspäht, macht er sich auch diesbezüglich nach § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 BDSG strafbar. Wie bei der Kontonummer handelt es sich auch bei der PIN um ein nicht öffentlich zugängliches personenbezogenes Datum i.S.d. § 3 Abs. 1 BDSG. [48] Da unter den Begriff des "Erhebens" - wie bereits erwähnt - jede Form des Beschaffens zum Zwecke der weiteren Verfügungsmöglichkeit fällt, kann darunter sowohl das Ausspähen im Wege des bloßen "Über-die-Schulter-Schauens", als auch jenes unter Zuhilfenahme einer Tastaturattrappe bzw. einer Videokamera subsumiert werden. Beim Ausspähen mit Hilfe einer Videokamera ist zudem die Begehungsform des "Verarbeitens" erfüllt, weil auch das Erfassen auf einem Videofilm ein "Speichern" i.S.d. § 3 Abs. 4 Nr. 1 BDSG darstellt. [49]
bb) Strafbarkeit nach § 202c Abs. 1 Nr. 1 i.V.m. § 202a Abs. 1 StGB
Daneben macht sich der Täter durch das Ausspähen der PIN wegen Vorbereitens des Ausspähens von Daten nach § 202c Abs. 1 Nr. 1 i.V.m. § 202a Abs. 1 StGB strafbar, und zwar in der Form des Sichverschaffens eines Passworts. Unter einem Passwort versteht man jede Zeichenkombination, die im Rahmen einer Sicherungsabfrage den Zugang zu Daten ermöglicht, mithin nicht nur Wörter. [50] Ein Sichverschaffen ist gegeben, wenn der Täter in irgendeiner Form eigene Verfügungsgewalt am Tatobjekt begründet. [51] Unabhängig davon, ob das Ausspähen der PIN durch bloßes "Über-die-Schulter-Schauen" oder mithilfe einer Tastaturattrappe bzw. Videokamera erfolgt, sind diese beiden Voraussetzungen damit erfüllt. [52] Zu beachten ist, dass hinsichtlich der Frage, ob eine Straftat nach § 202a Abs. 1 StGB vorbereitet wird, nicht auf die auf dem Magnetstreifen befindlichen Daten abzustellen ist, da hinsichtlich derer eine Strafbarkeit wegen Ausspähens von Daten - wie bereits erwähnt - ausscheidet. Vielmehr ist der Fokus auf die weiteren Kontodaten, insbesondere auf den Kontostand, zu richten. Auch bei diesem handelt es sich um ein Datum i.S.d. § 202a Abs. 2 StGB, welches zudem nur für den Kontoinhaber bestimmt und durch die vorgeschaltete PIN-Abfrage am Geldautomaten darüberhinaus besonders gesichert ist. [53] Mithilfe der erspähten PIN ist es dem Täter später in Kombination mit den manipulierten Kartendubletten nicht nur möglich, Geld abzuheben, sondern auch, den Kontostand am Geldautomaten einzusehen. Für ein Verschaffen des Zugangs reicht diese bloße Möglichkeit der Kenntnisnahme aus. [54]
2. Herstellung der Dubletten
a) Strafbarkeit nach § 152b Abs. 1 i.V.m. § 152a Abs. 1 Nr. 1 StGB
Die Herstellung der Kartendubletten erfüllt den Tatbestand des § 152b Abs. 1 i.V.m. § 152a Abs. 1 Nr. 1 StGB - Fälschung von Zahlungskarten mit Garantiefunktion - in der Form des "Nachmachens". [55] Bei herkömmlichen EC-Karten handelt es sich um Zahlungskarten mit Garantiefunktion i.S.d. § 152b Abs. 4 StGB. [56] Unter "nachmachen" versteht man sowohl Manipulationen an bereits verfälschten Tatobjekten, als auch das Herstellen von Totalfälschungen. Der Täter muss dabei zur Täuschung im Rechtsverkehr oder aber zur Ermöglichung einer solchen Täuschung handeln. Aufgrund dieses Erfordernisses wurde früher die Herstellung falsch codierter Magnetstreifen auf unbedruckten Karten - mangels Eignung dieser zur Täuschung - für die Verwirklichung des Tatbestandes als nicht ausreichend angesehen. Heute stellt sich die Rechtslage im Hinblick auf § 270 StGB, der die Täuschung im Rechtsverkehr mit der fälschlichen Beeinflussung einer Datenverarbeitung im Rechtsverkehr gleichstellt, dagegen anders dar: Soweit es - wie bei Geldautomaten - für die Möglichkeit täuschungsgleicher Beeinflussung von Datenverarbeitungsanlagen allein auf die Codierung und äußere Form der Karte, nicht aber auf Aufdrucke o.Ä. ankommt, reicht die Herstellung unbeschrifteter Plastikstücke mit codiertem Magnetstreifen zur Tatbestandsverwirklichung aus. [57] Eine Strafbarkeit nach § 152b Abs. 1 i.V.m. § 152a Abs. 1 Nr. 1 StGB ist damit zu bejahen. Regelmäßig wird dabei auch die Qualifikation des § 152b Abs. 2 StGB, der die Strafandrohung bei gewerbsmäßig oder als Bandenmitglied begangenen Straftaten nach § 152b Abs. 1 StGB auf nicht unter zwei Jahre anhebt, erfüllt sein.
b) Strafbarkeit nach § 269 StGB
Schließlich erfüllt der Täter noch den Tatbestand des § 269 Abs. 1 StGB, und zwar in der Begehungsform des "Speicherns". Bei den ausgelesenen Magnetstreifeninformationen der Original-EC-Karte handelt es sich um beweiserhebliche Daten i.S.d. § 269 Abs. 1 StGB (s.o.). Der Täter speichert diese Daten auch, da er sie zum Zwecke der weiteren Verwendung auf einen Datenträger - den Kartenrohling - kopiert. Durch diese Speicherung entsteht sodann ein Falsifikat, das - außer der Wahrnehmbarkeit - alle Merkmale einer falschen Urkunde aufweist: Die auf dem Magnetstreifen enthaltenen Kontodaten verkörpern die Erklärung der ausstellenden Bank, der Karteninhaber sei zur Benutzung der Geldautomaten berechtigt. Der Datensatz ist auch geeignet und dazu bestimmt, für die Befugnis des Karteninhabers Beweis zu erbringen, und als Aussteller ist in dem Datensatz die kartenausgebende Bank erkennbar, obwohl nicht diese, sondern der Täter die Daten auf das Blankett übertragen hat. [58] Der Täter macht sich daher nach § 269 Abs. 1 i.V.m. § 270 StGB strafbar, wobei regelmäßig die Qualifikation des über § 269 Abs. 3 StGB anzuwendenden § 267 Abs. 4 StGB verwirklicht sein wird. [59]
3. Einsatz der Dubletten
a) Strafbarkeit nach § 152b Abs. 1 i.V.m. § 152a Abs. 1 Nr. 2 StGB
Der Einsatz der Dubletten zusammen mit den erspähten PINs zur Abhebung von Geldbeträgen ist nach § 152b i.V.m. § 152a Abs. 1 Nr. 1 StGB in der Tatvariante des
"Gebrauchens" strafbar. Bei den Dubletten handelt es sich um nachgemachte Zahlungskarten mit Garantiefunktion (s.o.). Gebrauchen meint die Verwendung der gefälschten Zahlungskarte im Zahlungsverkehr [60] und erfasst damit auch den Einsatz am Geldautomaten. Regelmäßig wird dabei der Qualifikationstatbestand des § 152b Abs. 2 StGB (gewerbsmäßige Begehung bzw. Handeln als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach § 152b Abs. 1 StGB verbunden hat) erfüllt sein.
b) Strafbarkeit nach § 263a StGB
Durch die Verwendung der Kartendubletten wird zudem der Tatbestand des § 263a Abs. 1 StGB in der Begehungsform "unbefugte Verwendung von Daten" verwirklicht. [61] Von dieser Variante ist neben der Verwendung einer im Wege verbotener Eigenmacht erlangten Originalkarte durch einen nichtberechtigten Dritten [62] auch die Verwendung von kopierten, gefälschten oder manipulierten Codekarten erfasst, und zwar unabhängig davon, ob die Herstellung bzw. Manipulation durch den Täter selbst oder durch einen Dritten erfolgt ist. [63] Durch die Tathandlung muss es jedoch auch zu einer Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs gekommen sein. [64] Eine Beeinflussung des Ergebnisses liegt vor, wenn das Ergebnis des Datenverarbeitungsvorgangs ohne die Manipulationshandlung entweder anders hätte lauten müssen oder überhaupt nicht hätte ergehen dürfen. Das Ergebnis kann also bereits inhaltlich unzutreffend oder zwar an sich richtig, aber unbefugterweise herbeigeführt sein. [65] Zudem muss die Manipulationshandlung für das Ergebnis zumindest mitursächlich sein und das Ergebnis hat unmittelbar zu einer Vermögensminderung zu führen. [66] Letzteres ist der Fall, wenn die Vermögensminderung ohne weitere wesentliche Zwischenschritte einer natürlichen Person herbeigeführt wird. [67] Die genannten Voraussetzungen sind bei der Verwendung der Dubletten zur Geldabhebung sämtlich erfüllt: Das Ergebnis des im Geldautomaten ablaufenden Datenverarbeitungsvorgangs ist zwar inhaltlich richtig, wurde vom Skimming-Täter aber unbefugterweise herbeigeführt. Die Verwendung der Dubletten - mithin die Manipulationshandlung - ist zudem mitursächlich für dieses Ergebnis, welches sich schließlich in Form der automatisch erfolgenden Geldausgabe auch unmittelbar vermögensmindernd auswirkt.
Problematisch gestaltet sich die Antwort auf die Frage, bei wem der Vermögensschaden eintritt. [68] Die Abhebung des Geldbetrages durch den Skimming-Täter erfolgt - weil ohne bzw. gegen den Willen des Kontoinhabers - ohne dessen Autorisierung i.S.d. § 675j Abs. 1 S. 1, 4 BGB, sodass ihm gem. § 675u S. 2 BGB grundsätzlich ein Anspruch gegen die Bank auf Erstattung des Überweisungsbetrages zusteht. Zu beachten ist jedoch die Regelung des § 675v Abs. 1 und Abs. 2 BGB, wonach die Bank wiederum einen Schadensersatzanspruch gegen den Kontoinhaber hat, wenn der infolge eines nicht autorisierten Zahlungsvorgangs entstandene Schaden aufgrund der missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Kontoinhaber die personalisierten Sicherheitsmerkmale (insbes. die PIN) nicht sicher aufbewahrt hat (§ 675v Abs. 1 S. 2 BGB) oder der Schaden von Letzterem durch grob fahrlässige Verletzung von Pflichten aus § 675l BGB oder von vereinbarten Bedingungen für die Ausgabe und Nutzung von Codekarte und PIN herbeigeführt wurde (§ 675v Abs. 2 Nr. 1 und 2 BGB). [69] Im Falle des § 675v Abs. 1 S. 2 BGB ist der vom Kontoinhaber zu ersetzende Schaden dabei höhenmäßig auf maximal 150 Euro begrenzt und der Anspruch der Bank besteht nach h.M. nur bei Vorliegen eines Verschuldens. [70] Im Falle des § 675v Abs. 2 BGB haftet der Kontoinhaber dagegen unbegrenzt.
In dem Moment, in dem beim Skimming die PIN des Bankkunden vom Skimming-Täter ausgespäht wird, wird diese von Ersterem, der von der am Geldautomaten vorgenommenen Manipulation nichts ahnt, ordnungsgemäß verwendet. Davon, dass er die PIN zu diesem Zeitpunkt "nicht sicher aufbewahrt", kann daher nicht die Rede sein, sodass eine (begrenzte) Haftung des Bankkunden nach § 675v Abs. 1 S. 2 BGB also nicht in Betracht kommen dürfte. Auch die (unbegrenzte) Haftung nach § 675v Abs. 2 Nr. 1 und 2 BGB scheidet aus: Nach § 675l S. 1 BGB ist der Bankkunde nur dazu verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Zumutbar sind dabei nur solche Vorkehrungen, die die Nutzung des Zahlungsauthentifizierungsinstruments nicht derart einschränken, dass es seine praktische Brauchbarkeit für die mit ihm bezweckten Einsatzmöglichkeiten verliert. Das Gebot, bei der PIN-Eingabe am
Geldautomaten stets die Tastatur abzudecken, um ein mögliches Ausspähen zu verhindern, stellt aber gerade eine solche einschränkende und damit unzumutbare Vorkehrung dar. [71] Kommt es also zu einem Ausspähen der PIN, weil der Skimming-Täter oder die von ihm installierte Kamera mangels Verdecken der Geldautomatentastatur "freie Sicht" auf das Eingabefeld hatte, so ist der Schaden nicht auf eine Pflichtverletzung des Bankkunden zurückzuführen, eine Haftung dessen nach § 675v Abs. 2 Nr. 1 BGB scheidet mithin aus. Dies gilt erst recht in den Fällen, in denen das Ausspähen mittels einer Tastaturattrappe erfolgt, weil hier ein Verdecken bei der PIN-Eingabe ohnehin zwecklos ist. Daneben dürfte eine Haftung nach § 675v Abs. 2 BGB zudem am fehlenden Vorliegen der erforderlichen groben Fahrlässigkeit des Bankkunden scheitern: Wie eingangs bereits erwähnt wurde, ist es für einen Laien praktisch unmöglich, von Skimming-Tätern an Geldautomaten vorgenommene Manipulationen ohne Weiteres zu erkennen. Davon, dass ein argloser Bankkunde bei der Geldabhebung daher die im Verkehr erforderliche Sorgfalt in einem ungewöhnlich hohen Maß verletzt, kann im Regelfall also nicht die Rede sein. Eine Haftung des Kunden kommt folglich regelmäßig nicht in Betracht, sodass der Vermögensschaden aufgrund der Rückerstattungspflicht aus § 675u S. 2 BGB bei der Bank eintritt. [72]
In der Regel wird auch der Qualifikationstatbestand des über § 263a Abs. 2 StGB anwendbaren § 263 Abs. 5 StGB erfüllt sein.
c) Strafbarkeit nach § 269 StGB
Der Skimming-Täter macht sich durch die Benutzung der Dubletten zudem wegen Fälschung beweiserheblicher Daten nach § 269 Abs. 1 StGB in der Begehungsform des "Gebrauchens" strafbar, [73] wobei auch hier die Qualifikation des über § 269 Abs. 3 StGB anzuwendenden § 267 Abs. 4 StGB erfüllt sein wird. [74]
d) Strafbarkeit nach § 202a Abs. 1 StGB
Schließlich ist auch noch der Tatbestand des § 202a Abs. 1 StGB erfüllt. Mithilfe der zuvor erspähten PIN sowie der angefertigten Kartendubletten ist es dem Täter möglich, am Geldautomaten den Kontostand des jeweiligen Kontoinhabers einzusehen. Darin ist ein Sichverschaffen des Zugangs zu nicht für den Täter bestimmten sowie gegen unberechtigten Zugang besonders gesicherten Daten zu sehen, das unter Überwindung einer Zugangssicherung erfolgt. [75]
4. Strafbarkeit der Herstellung bzw. des Verschaffens der Skimming-Ausrüstung
a) Strafbarkeit des Sichverschaffens bzw. der Herstellung des Magnetstreifenlesers nach § 152b Abs. 5 i.V.m. § 149 Abs. 1 Nr. 1 StGB
Für das Skimming greifen die Täter auf legal erhältliche, [76] vorgefertigte Magnetstreifen(durchzugs- oder -einsteck)lesegeräte aus dem Handel zurück, die sie vor ihrer Verwendung jedoch noch bearbeiten und verändern müssen. Erforderlich ist neben dem Einbau der Geräte in spezielle (zur Tarnung benötigte) Gehäuse die Erweiterung um eine Batterie als Stromquelle für den mobilen Einsatz sowie das Hinzufügen eines Speicher- oder Sendemoduls, um ein Zwischenspeichern bzw. das Versenden der ausgelesen Magnetstreifeninformationen zu ermöglichen. [77] Durch die Vornahme dieser Manipulationen wird der Tatbestand des § 152b Abs. 5 i.V.m. § 149 Abs. 1 Nr. 1 StGB in der Begehungsform des Herstellens einer "ähnlichen Vorrichtung" verwirklicht. Die veränderten Kartenlesegeräte erfüllen bei der Herstellung unechter Zahlungskarten mit Garantiefunktion die gleiche Funktion wie Platten, Formen, Druckstöcke etc. für die Herstellung von falschem Geld. [78] Nach Vornahme der genannten Manipulationen wohnt ihnen darüber hinaus auch eine spezifische Eignung zur deliktischen Verwendung inne. Gleichwohl wurde ihre Subsumtion unter § 149 Abs. 1 Nr. 1 StGB früher abgelehnt. Begründet wurde dies damit, dass durch sie die Herstellung von Falsifikaten nicht "unmittelbar ins Werk gesetzt" wird. [79] Das Kriterium der Eignung zur unmittelbaren Herstellung der Falsifikate ist jedoch auf die traditionellen Herstellungsverfahren mit Druckplatten o.Ä. zugeschnitten und bezieht dort seine Berechtigung daraus, dass diese Gegenstände typischerweise erst auf einer sehr späten Stufe des Produktionsprozesses ihre spezifische Tauglichkeit für Fälschungen erlangen. [80] Bei den von den Tätern hergestellten "Skimmern" ist dies jedoch gerade nicht der Fall, da bereits das auf einer frühen Stufe angesiedelte Auslesen der Magnetstreifen zu den hochspeziellen Fälschungsfunktionen gehört. [81] Aus diesem Grunde
sind sie unter § 149 Abs. 1 Nr. 1 StGB zu subsumieren, eine Strafbarkeit ist mithin zu bejahen. [82]
b) Strafbarkeit des Sichverschaffens des Schreib-/Codiergeräts samt Software
aa) Strafbarkeit nach § 152b Abs. 5 i.V.m. § 149 Abs. 1 Nr. 1 StGB
Wie die Lesegeräte sind auch die Schreibgeräte, mit denen die Dubletten beschrieben werden, frei im Handel verfügbar. [83] Damit fehlt auch ihnen grundsätzlich die spezifisch deliktische Eignung, da sie gleichermaßen für legale Zwecke eingesetzt werden können. Im Unterschied zu den Lesegeräten werden die Codiergeräte auch nicht weiterverarbeitet oder irgendwo eingebaut, sie behalten also ihr ursprüngliches Aussehen und erlangen somit auch nicht auf diese Art die erforderliche ausschließlich deliktische Verwendbarkeit. Damit scheidet hinsichtlich der Magnetstreifencodiergeräte eine Strafbarkeit nach § 152b Abs. 5 i.V.m. § 149 Abs. 1 Nr. 1 StGB aus.
bb) Strafbarkeit nach § 202c Abs. 1 Nr. 2 i.V.m. § 202a Abs. 1 StGB
Auch eine Strafbarkeit nach § 202c Abs. 1 Nr. 2 i.V.m. § 202a Abs. 1 StGB in der Form des Sichverschaffens eines Computerprogramms, dessen Zweck die Begehung einer Tat nach § 202a Abs. 1 StGB ist, kommt nicht in Betracht. Durch die spätere Benutzung der mit Hilfe des Codiergeräts hergestellten Kartendubletten wird zwar der Tatbestand des § 202a Abs. 1 StGB verwirklicht. [84] Bei der in Kombination mit dem Codiergerät zum Beschreiben der Magnetstreifen der Dubletten verwendeten Software handelt es sich zudem unzweifelhaft um ein Computerprogramm, welches sich die Täter im Zuge des Erwerbs des Geräts verschafft haben. Eine Strafbarkeit nach § 202c Abs. 1 Nr. 2 StGB setzt aber auch voraus, dass das Computerprogramm mit der Absicht entwickelt oder modifiziert wurde, es zur Begehung der genannten Straftaten einzusetzen und dass sich diese Absicht auch objektiv manifestiert hat. [85] Die bloße Eignung zur Straftatenbegehung reicht dagegen nicht aus. Bei der in Kombination mit dem Magnetstreifencodierer zu verwendenden Software fehlt es jedoch gerade an der erforderlichen deliktischen Zweckbestimmung.
cc) Strafbarkeit nach § 263a Abs. 3 StGB
Auch eine Strafbarkeit nach § 263a Abs. 3 StGB scheitert bereits an der hierfür erforderlichen deliktischen Zweckbestimmung, an der es der verwendeten Software fehlt.
5. Strafbarkeit nach § 261 Abs. 2 Nr. 1, Abs. 1 S. 2 Nr. 4a StGB durch Verteilung der Beute
Das Verteilen der Beute erfüllt den Tatbestand der Geldwäsche nach § 261 Abs. 2 Nr. 1, Abs. 1 S. 2 Nr. 4a StGB, weil sich die Täter Gegenstände verschaffen, die aus der Katalogtat des § 263a StGB herrühren und diese auch gewerbsmäßig bzw. von einem Mitglied einer Bande, die sich zur fortgesetzten Begehung solcher Taten verbunden hat, begangen worden ist. Allerdings ist § 261 Abs. 9 S. 2 StGB zu beachten, wonach eine Bestrafung von Personen ausscheidet, die wegen Beteiligung an der Vortat strafbar sind. Dieser persönliche Strafausschließungsgrund wird regelmäßig bei allen Bandenmitgliedern, bei denen - wie bereits erwähnt - grundsätzlich Mittäterschaft anzunehmen ist, einschlägig sein.
III. Maßnahmen zur Vermeidung von Skimming-Attacken
Viele der großen Bankhäuser treffen mittlerweile Maßnahmen, um Manipulationen an ihren Geldautomaten zu erkennen und ihnen entgegenzuwirken. So werden die Geräte je nach Hersteller mit verschiedenen "Anti-Skimming-Techniken" ausgerüstet. Teilweise kommen Induktionsspulen zum Einsatz, um ein im Bereich des Karteneinzugs montiertes Skimming-Modul aufzuspüren. Im Verdachtsfalle wird der Geldautomat dann außer Betrieb genommen. Eine weitere Methode zur Vereitelung von Skimming-Angriffen ist das sog. "Jittering": Die EC-Karte wird dabei beim Einzug ruckartig hinein- und herausbewegt, was die Synchronisierung des EC-Kartenlesers im Skimming-Modul auf den Magnetstreifen verhindert. Dies funktioniert jedoch nur bei solchen Modulen, die die Daten in Binärform auslesen und auf der Karte speichern, nicht dagegen bei Modulen, die den Verlauf des Magnetfelds in Rohform speichern, da sich der "Jitter" in diesem Fall später herausfiltern lässt. Bei manchen Geräten wird mittels eines Wechselmagnetfeldes der Magnetkopf eines aufgesetzten Skimming-Moduls gestört. Schließlich behilft man sich auch schlicht mit Kameras, die das Aussehen der Geräte überwachen. Das Kamerabild wird dabei meist von einem Bankangestellten beobachtet, der den Geldautomaten im Falle einer Veränderung außer Betrieb setzt. [86]
Neben diesen von den Kreditinstituten zu treffenden Vorkehrungsmaßnahmen können auch die Bankkunden selbst die meisten Skimming-Angriffe wirksam abwehren, indem sie die folgenden, von den Landeskriminalämtern Niedersachsen [87] und Nordrhein-Westfalen [88] empfohlenen Präventionstipps berücksichtigen:
- Die Nutzung von Geldautomaten, an denen etwas ungewöhnlich erscheint (sich also bei-
- spielsweise Veränderungen des Karteneinzugsschachts oder der Tastatur erkennen lassen), sollte unbedingt unterbleiben. Es ist jedoch davon abzuraten, an Tastatur oder hervorstehenden Elementen zu rütteln, da sich einer der Skimming-Täter möglicherweise noch in der Nähe befindet und seine Reaktion auf dieses Verhalten schwer vorherzusagen ist.
- Kein Geldinstitut verlangt für die Türöffnung im Eingangsbereich zu den Geschäftsräumen die Eingabe der PIN. Wird man vom Kartenlesegerät gleichwohl hierzu aufgefordert, so sollte man unbedingt das Geldinstitut oder die Polizei informieren. Ein vollständiger Einzug der EC-Karte am Türöffnungsmodul deutet auf Skimming hin.
- Falls vorhanden, sollte man stets unterschiedliche EC-Karten für die Türöffnung und den Geldautomaten benutzen. Trotz Manipulation des Türöffners ist es den Skimming-Tätern dann nicht möglich, die PIN für Geldabhebungen zu nutzen.
- Die Sicht auf die Tastatur des Geldautomaten sollte stets mit der freien Hand oder einem Gegenstand (bspw. einer Zeitung) verdeckt werden. Dies erschwert ein Ausspähen der PIN durch einen Täter oder eine verdeckt angebrachte Videokamera. Zugleich ist für einen angemessenen Sicherheitsabstand zum nächsten Kunden zu sorgen.
- Auch wenn man von dritten Personen dazu aufgefordert wird, so darf die PIN niemals mehrfach eingegeben werden.
- Neben der regelmäßigen Kontrolle der Kontobewegungen und dem sofortigen Melden etwaiger Unregelmäßigkeiten beim Geldinstitut sollten EC-Karte und PIN stets getrennt aufbewahrt und niemals dritten Personen überlassen werden.
IV. Zusammenfassung und Ausblick
Je nach Tatfortschritt und verwirklichtem Tatstadium ergibt sich eine unterschiedliche Strafbarkeit der Täter. Ist die Tat so weit fortgeschritten, dass bereits das Geld abgehoben und verteilt wurde, sind sämtliche in Betracht kommende Delikte verwirklicht und ihr Verhältnis zueinander ist letztlich auf Konkurrenzebene zu entscheiden.
Seit 01.01.2011 müssen alle europäischen EC- und Kreditkarten mit der sog. EMV-Chip-Technologie ausgestattet werden und sollen dadurch für mehr Sicherheit sorgen. EMV steht für "Europay International (heute MasterCard Europe), MasterCard und Visa" und ist ein internationaler technischer Standard zur Abwicklung von Chipkartenzahlungen. [89] Bei dem auf der Vorderseite von EC- und Kreditkarten integrierten EMV-Chip handelt es sich dabei nicht um ein reines Speichermedium. Der Chip besitzt vielmehr einen Mikroprozessor, der das Auslesen oder Verändern der auf dem Chip gespeicherten Kartendaten verhindern soll. So ist es nach Ansicht der Kreditinstitute mit den heute zur Verfügung stehenden technischen Mitteln nahezu unmöglich und wegen des hohen Aufwands wirtschaftlich unrentabel, die Daten auf dem EMV-Chip auszulesen oder zu kopieren. [90] Weil eine Umsetzung des EMV-Standards in diversen außereuropäischen Staaten - wie beispielsweise in den USA - nicht geplant ist, wird sich aber auch auf neu ausgegebenen Karten wieder ein Magnetstreifen befinden, um die internationale Einsatzfähigkeit dieser zu sichern. Die auf dem Magnetstreifen gespeicherten Daten können zwar nach wie vor kopiert werden, an den neuen EMV-kompatiblen Geldautomaten - in Deutschland und Europa waren dies Mitte 2009 bereits 92 Prozent der Geräte [91] - werden jedoch nur die EMV-Chips ausgelesen. Ist also auf einer Karte kein Chip enthalten, so wird sie von dem Terminal als Fälschung entlarvt. [92] Ein Abheben mittels Kartendubletten ist innerhalb Europas somit nicht mehr möglich. Zu einem Versiegen der Skimming-Kriminalität wird dies jedoch nicht führen; vielmehr wird sich diese wohl lediglich ins außereuropäische Ausland, in dem mangels Einsatzes EMV-kompatibler Geldautomaten weiterhin Abhebungen mit Kartendubletten vorgenommen werden können, verlagern. Wünschenswert wäre also eine weltweite Einführung des EMV-Standards und die damit einhergehende Abschaffung der Magnetstreifen. Denkbar wäre aber auch eine "europäische Lösung", wonach die Karten innerhalb Europas nur mehr mit EMV-Chips versehen werden, im außereuropäischen Raum dagegen eine zweite, mit Magnetstreifen ausgestattete Karte zum Einsatz kommt.
[1] Angaben entnommen aus dem ATM Crime Paper der European Network and Information Security Agency (ENISA), abrufbar unter: http://www.enisa.europa.eu/act/ar/deliverables/2009/atmcrime-de.
* Der Autor Seidl ist Assessor und wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau; die Autorin Fuchs ist Diplom-Juristin (Univ.) und wissenschaftliche Mitarbeiterin am Lehrstuhl für Öffentliches Recht, IT-Recht und Rechtsinformatik (Prof. Dr. Gerrit Hornung), ebenfalls an der Universität Passau.
[2] http://wirtschaft.t-online.de/bka-2009-ueber-100-000-opfer-von-skimming/id_41434792/index.
[3] Vgl. Präsentation des BKA zur Payment Card Crime Conference: http://www.bka.de/lageberichte/zk/100526_praesentation_internationale_tagung.pdf.
[4] Kochheim Arbeitspapier Skimming – Hintergründe und Strafrecht, Fassung 2.2, 2011, S. 4, abrufbar unter: http://www.cyberfahnder.de/.
[5] Bachfeld c’t 25/2007, 76, 77.
[6] Bachfeld c’t 25/2007, 76, 78.
[7] Bachfeld c’t 25/2007, 76, 78.
[8] Kochheim, http://www.cyberfahnder.de/nav/them/phish/skimming.htm.
[9] Vgl. Bachfeld c’t 25/2007, 76, 78 ff.
[10] Kochheim, http://www.cyberfahnder.de/nav/them/phish/skimming.htm.
[11] Bachfeld c’t 25/2007, 76, 78.
[12] Vgl. Präsentation des BKA zur Payment Card Crime Conference: http://www.bka.de/lageberichte/zk/100526_praesentation_internationale_tagung.pdf.
[13] Braun/Heidberg StRR 2010, 89, 93.
[14] Eser in: Schönke/Schröder, StGB, 28. Aufl. (2010), § 9 Rn. 10.
[15] Sollte eine Anwendbarkeit deutschen Strafrechts nach diesen Vorschriften ausnahmsweise nicht in Betracht kommen, kann sie sich aus § 6 StGB ergeben. Diese Vorschrift nennt Taten (u.a. § 152b und § 149 StGB, s. § 6 Nr. 7 StGB), die nach dem Weltrechtsprinzip ohne Rücksicht auf Tatort, Recht des Tatorts und Staatsangehörigkeit des Täters dem deutschen Strafrecht unterliegen.
[16] Weidemann in: BeckOK StGB, Stand: 01.02.2011, § 202a Rn. 3; Graf in: Münchener Kommentar zum StGB, 1. Aufl. (2003), § 202a a.F. Rn. 8.
[17] Lackner/Kühl StGB, 27. Aufl. (2011), § 202a Rn. 2; Popp jurisAnwZert ITR 21/2009 Anm. 2.
[18] Lenckner in: Schönke/Schröder (Anm. 14), § 202a Rn. 6.
[19] BGH, Urteil vom 10.05.2005 – 3 StR 425/04 = HRRS 2005 Nr. 513; Graf in: MüKo StGB (Anm. 16), § 202a a.F. Rn. 22.
[20] Weidemann in: BeckOK StGB (Anm. 16), § 202a Rn. 13.
[21] Dass die Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt keine besondere Sicherung gegen unberechtigten Zugang dar, sondern ist gem. § 202a Abs. 2 StGB vielmehr Voraussetzung dafür, dass es sich überhaupt um Daten im Sinne des Abs. 1 handelt. Daran zeigt sich, dass nicht schon die Art der Speicherung eine besondere Sicherung im Sinne des § 202a Abs. 1 StGB darstellt, sondern dass darüber hinaus Vorkehrungen getroffen sein müssen, die den unbefugten Zugriff auf Daten ausschließen oder zumindest erheblich erschweren, vgl. BGH, Beschluss v. 14.01.2010 – 4 StR 93/09 = HRRS 2010 Nr. 173 und BGH, Beschluss v. 06.07.2010 – 4 StR 555/09 = HRRS 2010 Nr. 742. So auch Eisele CR 2011, 131, 132.
[22] Vgl. Richter CR 1989, 303, 305; im Beschluss des BGH v. 18.03.2010 – 4 StR 555/09 = HRRS 2010 Nr. 452 wird die Frage, ob sich auf dem Magnetstreifen auch verschlüsselte Daten befinden, ausdrücklich offen gelassen.
[23] Nach h.M. stellen auch Datenverschlüsselungen Sicherungen im Sinne von § 202a StGB dar, Fischer StGB, 58. Aufl. (2011), § 202a Rn. 9a.
[24] BGH, Beschluss v. 14.01.2010 – 4 StR 93/09 = HRRS 2010 Nr. 173, BGH, Beschluss v. 18.03.2010 – 4 StR 555/09 = HRRS 2010 Nr. 452 und BGH, Beschluss v. 06.07.2010 – 4 StR 555/09 = HRRS 2010 Nr. 742; Seidl/Fuchs jurisPR-ITR 9/2010 Anm. 6; i.E. auch Tyszkiewicz HRRS 2010, 207, 209, die jedoch trotz Bejahung des Vorhandenseins verschlüsselter Daten weniger auf das Überwinden, als vielmehr auf das Fehlen einer ausreichenden Zugangssicherung abstellt; a.A. dagegen Braun/Heidberg StRR 2010, 89, 91, die ohne nähere Erläuterung das Vorhandensein von Schutzvorkehrungen und deren Überwindung bejahen.
[25] Weidemann in: BeckOK (Anm. 16), § 202a StGB, Rn. 17; eine Datenverschlüsselung schützt nur vor der Erfassung des Bedeutungsgehalts (kryptierter) Daten, nicht aber vor dem bloßen Auslesen und Abspeichern der verschlüsselten Daten auf einem Datenträger des Täters, vgl. BGH, Beschluss v. 18.03.2010 – 4 StR 555/09 = HRRS 2010 Nr. 452.
[26] Vgl. auch BGH, Beschluss vom 14.01.2010 – 4 StR 93/09 = HRRS 2010 Nr. 173 und BGH, Beschluss v. 18.03.2010 – 4 StR 555/09 = HRRS 2010 Nr. 452; a.A. dagegen noch BGH, Urteil vom 10.05.2005 – 3 StR 425/04 = HRRS 2005 Nr. 513, die jedoch auf Anfragebeschluss aufgegeben wurde, vgl. BGH, Beschluss v. 06.07.2010 – 4 StR 555/09 = HRRS 2010 Nr. 742.
[27] "Verwenden" meint in diesem Zusammenhang die Einführung der Daten in den Datenverarbeitungsprozess, wobei über die Fälle der eigenhändigen Eingabe hinaus auch diejenigen erfasst sind, in denen der Täter sich – wie beim Skimming – für den unmittelbaren Akt der Eingabe einer anderen Person bedient, vgl. Wohlers in: Münchener Kommentar zum StGB, 1. Aufl. (2006), § 263a Rn. 29.
[28] Wohlers in: MüKo StGB (Anm. 27), § 263a Rn. 17.
[29] Im Ergebnis ebenso, aber mit anderer Begründung Eisele CR 2011, 131, 134.
[30] Hilgendorf JuS 1996, 1082, 1083.
[31] Weidemann in: BeckOK StGB (Anm. 16), § 303a Rn. 13.
[32] Ebenso Eisele CR 2011, 131, 132.
[33] Vgl. zur ähnlichen Problematik beim Phishing Seidl/Fuchs HRRS 2010, 85, 86.
[34] Fischer (Anm. 23), § 269 Rn. 4.
[35] Vgl. Lackner/Kühl (Anm. 17), § 269 Rn. 2
[36] Fischer (Anm. 23), § 269 Rn. 7
[37] Hoyer in: SK-StGB, 45. EL, § 269 Rn. 16.
[38] Joecks in: MüKo StGB (Anm. 16), § 25 Rn. 74.
[39] Auf Konkurrenzebene dürfte § 269 StGB jedoch von § 152b StGB verdrängt werden, vgl. Erb in: MüKo StGB (Anm. 27), § 269 Rn. 41.
[40] Seidl/Fuchs HRRS 2010, 85, 88.
[41] Ambs in: Erbs/Kohlhaas, Strafrechtliche Nebengesetze, 179. EL (2010), § 43 BDSG Rn. 17.
[42] Ambs in: Erbs/Kohlhaas (Anm. 41), § 3 BDSG, Rn. 16.
[43] Erb in: Münchener Kommentar zum StGB, 1. Aufl. (2005), § 149 Rn. 3.
[44] Erb in: MüKo StGB (Anm. 43), § 149 Rn. 3.
[45] Gesetz vom 22. August 2002, BGBl. I 3387.
[46] Erb in: MüKo StGB (Anm. 43), § 152a Rn. 13.
[47] Erb in: MüKo StGB (Anm. 43), § 152a Rn. 13; Rudolphi/Stein in: SK-StGB, 67. EL, § 149 Rn. 2; Puppe in: NK-StGB, 3. Aufl. (2010), § 149 Rn. 9; vgl auch Eisele CR 2011, 131, 134.
[48] Seidl/Fuchs HRRS 2010, 85, 88.
[49] Ambs, in: Erbs/Kohlhaas (Anm. 41), § 3 BDSG, Rn. 18. Die Strafbarkeit nach § 44 Abs. 1 i.V.m. § 43 Abs. 2 Nr. 1 BDSG wird von Braun/Heidberg StRR 2010, 89, 92, welche bei "einer weiten Auslegung der Begriffe Computerprogramme und ähnliche Vorrichtungen i.S.d. § 149 Abs. 1 Nr. 1 StGB" allenfalls von einer Strafbarkeit nach dieser Vorschrift (wohl in Verbindung mit § 152b Abs. 5 StGB) ausgehen, "weil die PIN als anderer Bestandteil, der der Sicherung gegen Fälschungen dient (§ 149 Abs. 1 Nr. 3 StGB), angesehen werden dürfte", übersehen.
[50] Weidemann in: BeckOK StGB (Anm. 16), § 202c Rn. 4.
[51] Stree/Sternberg-Lieben in: Schönke/Schröder (Anm. 14), § 146 Rn. 15.
[52] Die Tatbestandsmäßigkeit bejaht auch Eisele CR 2011, 131, 134, der aber das Vorbereiten einer Straftat nach § 202a bzw. § 202b StGB ablehnt.
[53] Seidl/Fuchs HRRS 2010, 85, 88.
[54] Schumann NStZ 2007, 675, 676.
[55] Vgl. auch Braun/Heidberg StRR 2010, 89, 92.
[56] Fischer (Anm. 23), § 152b Rn. 4 f.
[57] Ausführlich hierzu Eisele CR 2011, 131, 134; Fischer (Anm. 23), § 152a Rn. 11; Braun/Heidberg StRR 2010, 89, 92; a.A. Stree/Sternberg-Lieben in: Schönke/Schröder (Anm. 14), § 152a Rn. 5.
[58] Meier JuS 1992, 1017, 1018; Freund JuS 1994, 207, 209 f.; Hilgendorf JuS 1997, 130, 134; Weidemann in: BeckOK StGB (Anm. 16), § 269 Rn. 9.
[59] Auf Konkurrenzebene wird § 269 StGB jedoch von § 152b StGB verdrängt werden, vgl. Erb in: MüKo StGB (Anm. 27), § 269 Rn. 41 und Eisele CR 2011, 131, 134.
[60] Erb in: MüKo StGB (Anm. 43), § 152a Rn. 11.
[61] Zum Meinungsstreit bzgl. des Merkmals "unbefugt" vgl. ausführlich Eisele CR 2011, 131, 135.
[62] BGHSt 47, 160, 162.
[63] BGHSt 38, 120, 123; BGHSt 47, 160, 162; Wohlers in: MüKo StGB (Anm. 27), § 263a Rn. 27 subsumiert diesen Fall dagegen unter "Verwendung unrichtiger oder unvollständiger Daten" (Var. 2), Ranft wistra 1987, 78, 84 unter "unrichtige Programmgestaltung" (Var. 1).
[64] BGHSt 38, 120, 124; Ob die Einleitung eines Datenverarbeitungsvorgangs schon für sich gesehen als Beeinflussung des Ergebnisses eingestuft werden kann, ist umstritten, richtigerweise aber zu bejahen, da mit dem Auslösen eines Prozesses auf diesen schließlich sogar besonders intensiv Einfluss genommen wird, vgl. BGHSt 38, 120, 121; OLG Köln, Urteil vom 09.07.1991 – Ss 624/90; Berghaus JuS 1990, 981 f.; Lackner/Kühl (Anm. 17), § 263a Rn. 22; Cramer/Perron in: Schönke/Schröder (Anm. 14), § 263a Rn. 18; Fischer (Anm. 23), § 263a Rn. 20.
[65] BGHSt 38, 120, 124.
[66] Valerius in: BeckOK StGB (Anm. 16), § 263a Rn . 37.
[67] Valerius in: BeckOK StGB (Anm. 16), § 263a Rn. 39.
[68] Vgl. zur ähnlichen Problematik beim sog. Phishing Seidl/Fuchs HRRS 2010, 85, 88 f.
[69] Nach § 675l BGB ist der Kontoinhaber dazu "verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen" (S. 1) sowie "dem Zahlungsdienstleister (…) den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat" (S. 2).
[70] Palandt BGB, 70. Aufl. (2011), § 675v Rn. 3; so auch die Gesetzesbegründung BT-Drs. 16/11643 S. 113, die von einem Verschuldenselement spricht.
[71] Palandt (Anm. 70), § 675l Rn. 2.
[72] Vgl. auch Eisele CR 2011, 131, 136.
[73] Hoyer in: SK-StGB (Anm. 37), § 269 Rn. 16; vgl. auch Eisele CR 2011, 131, 134, der weniger auf die Daten der Dublette als vielmehr auf die Eingabe der PIN abstellt.
[74] Auf Konkurrenzebene dürfte § 269 StGB jedoch von § 152b StGB verdrängt werden, vgl. Erb in: MüKo StGB (Anm. 27), § 269 Rn. 41.
[75] Siehe oben unter II. 1. b) bb); vgl. auch Tyszkiewicz HRRS 2010, 207, 212; a.A. Eisele CR 2011, 131, 136.
[76] A.A. Puppe in: NK-StGB (Anm. 47), § 149 Rn. 7: Legal verfügbare Lesegeräte, die auch von Händlern im Rahmen des POS- oder POZ-Verfahrens eingesetzt werden, seien zum "skimmen" nicht geeignet, da sie vom Zentralausschuss für das Kreditwesen (ZAK) auf Sicherheit hin geprüft würden und autorisiert seien. Bei den von den Skimming-Tätern verwendeten Geräten müsse es sich deshalb um "illegal" erworbene handeln. Dabei wird jedoch verkannt, dass es sich bei den beim Skimming zum Einsatz kommenden Gerätschaften um einfache Durchzugsleser für Magnetstreifen handelt, die in jedem Elektronikfachversand frei erhältlich sind.
[77] Eckart/Guggenbühl/Pfefferli/Fluri Kriminalistik 2003, 547, 551; Braun/Heidberg StRR 2010, 89, 90.
[78] Puppe in: NK-StGB (Anm. 47), § 149 Rn. 7.
[79] BGH, Urteil v. 16.12.2003 – 1 StR 297/03; Husemann NJW 2004, 104, 109.
[80] Rudolphi/Stein in: SK-StGB (Anm. 47), § 149 Rn. 2.
[81] Rudolphi/Stein in: SK-StGB (Anm. 47), § 149 Rn. 2.
[82] Fischer (Anm. 23), § 149 Rn. 3; Puppe in: NK-StGB (Anm. 47), § 149 Rn. 7f.; Rudolphi/Stein in: SK-StGB (Anm. 47), § 149 Rn. 2; a.A. Eisele CR 2011, 131, 134. Eine Strafbarkeit nach § 202c Abs. 1 Nr. 2 StGB scheidet entgegen der Ansicht von Braun/Heidberg StRR 2010, 89, 91 mangels Strafbarkeit des Auslesens der Magnetstreifeninformationen nach § 202a StGB dagegen grundsätzlich aus.
[83] A.A. Puppe in: NK-StGB (Anm. 47), § 149 Rn. 7.
[84] Siehe oben unter II. 3. d).
[85] BVerfG, Beschl. v. 18.05.2009, ZUM 2009, 745, 749.
[86] Bachfeld c’t 25/2007, 76, 80.
[87] Abrufbar unter: http://www.lka.niedersachsen.de/praevention/infomaterial/skimming1.pdf.
[88] Abrufbar unter: http://www.polizei-nrw.de/lka/stepone/data/downloads/2e/01/00/broschuere-din-a4-skimming_webv3.pdf.
[89] http://de.wikipedia.org/wiki/EMV_%28Kartenzahlungsverkehr%29.
[90] http://www.hanseaticbank-magazin.de/aktuell/kreditkarten-sicherer-durch-emv-chip/; http://www.n-tv.de/ratgeber/immobilienkredite/Kreditkarten-werden-sicherer-article644179.html.
[91] http://de.wikipedia.org/wiki/EMV_%28Kartenzahlungsverkehr%29; Eine Gesamtumstellung auf das EMV-System sollte bis Ende 2010 erfolgen.
[92] http://www.hanseaticbank-magazin.de/aktuell/kreditkarten-sicherer-durch-emv-chip/.