1. Bei vielen, gerade jungen Menschen, gilt die Urkundenfälschung immer noch als “Kavaliersdelikt”
2. Insbesondere heute ist es durch herausragende günstige Software und Scanner sehr leicht möglich, Urkundenfälschungen zu begehen
3. Viele Laien haben etwas von dem Unterschied “Kopie ./. Urkunde” gehört und glauben fälschlicherweise, durch das Hantieren mit Kopien garnicht erst in den Bereich strafbarer Handlungen zu geraten

Dieser Beitrag soll auf das Problem aufmerksam machen, nicht zuletzt auch Eltern, die mit Ihren Sprösslingen das Gespräch suchen sollten bevor etwas geschieht.

Die Urkundenfälschung sieht eine Straf-Obergrenze von 5 Jahren vor. Das alleine sollte reichen, um dem Mythos vom Kavaliersdelikt ein Ende zu bereiten. Doch auch der Blick auf andere Paragraphen des StGB zeigt die Relationen. Beim §202a StGB geht es um 3 Jahre, beim §202b StGB um 2 Jahre, ebenso beim §303a StGB. Die Urkundenfälschung ist damit im Vergleich das Delikt mit der höchsten Grenze.

Der Eindruck des Kavaliersdelikts entsteht sicherlich, weil man – speziell in einer digitalisierten Welt – schnell und relativ einfach sehr professionelle Fälschungen vornehmen kann. Und was so leicht möglich ist, das kann ja dann kein grösseres Problem sein – aber: Weit gefehlt.

Sehr problematisch ist bei Laien mitunter verbreitetes Halbwissen: So haben erstaunlich viele etwas davon gehört, dass eine “Fotokopie keine Urkunde sein kann”, man somit “keine Urkundenfälschung mit einer Fotokopie begehen könne”. In der Tat ist da auch etwas dran. Aber ganz so einfach, wie viele sich das vorstellen, ist es nun doch nicht. Grundsätzlich ist der Fotokopie die Urkundsqualität zu versagen ¹. Doch abgesehen von dem weiterhin schwelenden Streit, ob man wirklich so pauschal die Urkundsqualität verneinen sollte ², darf man hier nicht leichtfertig auf eine Straflosigkeit schliessen. Sehr wohl wird heute nämlich einer tatsächlichen Fotokopie die Urkundsqualität zugesprochen, sofern diese wie eine Urkunde wirkt³. Insofern wird darauf abgestellt, ob die Fotokopie auch “als Fotokopie erkennbar ist”¹. Diese Grenze ist also dann überschritten, wenn die (technische) Fotokopie objektiv den Eindruck eines Originals erzeugt⁵.

Quasi als Lehrbuchexempel soll hier ein Fall des OLG Nürnberg⁶ herhalten: Jemand legt in einer Apotheke die Farbkopie eines Rezeptes vor, das er zuvor von einem Dritten erhalten hatte (und dabei billigend in Kauf genommen hat, dass die Kopie eine Fälschung des war). Der Vorwurf des OLG ging nun dahin, dass der Angeklagte die Farbkopie als original Rezept verwenden wollte.

Das OLG Nürnberg bringt nun eine griffige Formel in Bezug auf die Fotokpie bzw. den Anschein als Urkunde, den diese setzen kann:

Ein solcher Anschein besteht schon dann, wenn die Reproduktion einer Originalurkunde soweit ähnlich ist, daß die Möglichkeit einer Verwechslung nicht auszuschliessen ist. Denn dann täuscht das gefertigte Schriftstück, auch wenn es sich tatsächlich um eine Abbildung handelt, vor, es werde nicht nur wiedergeben, was in einem anderen Schriftstück verkörpert ist, sondern es enthalte eine eigene Erklärung des angeblichen Ausstellers, für die dieser Einstehen wolle.

Das deckt sich insoweit auch mit der Analyse des OLG Stuttgart⁷:

Dagegen ist eine Kopie dann als Urkunde zu behandeln, wenn der Täter eine fotografische Reproduktion als angeblich vom Aussteller herrührende Urschrift hergestellt hat und mit dieser den Anschein einer Originalurkunde erwecken wollte, an die der Rechtsverkehr das nach § 267 StGB zu schützende Vertrauen auf die Sicherheit und Zuverlässigkeit des Rechtsverkehrs mit Urkunden anknüpft (BayObLG, NJW 1990, 1677 [1679]; NJW 1990, 3221; Zaczyk, NJW 1989, 2515 [2517]). Denn wenn der ursprüngliche Aussteller die Fotokopie im Einzelfall – unstreitig – zum Originalersatz bzw. zur Zweiturkunde autorisieren kann (Gribbohm, in: LK-StGB, 11. Aufl., § 267 Rdnr. 112; Cramer/Heine, in: Schönke/Schröder, StGB, 27. Aufl., § 267 Rdnr. 42b m.w. Nachw.), dann kann im Interesse des Rechtsverkehrs nichts anderes gelten, wenn der Hersteller der Kopie diese zur Täuschung im Rechtsverkehr als Originalersatz herstellt bzw. gebraucht (Zaczyk, NJW 1989, 2515).

Wesentlich dabei ist, dass die Fotokopie als Urkunde erscheinen soll, nicht kann:

“Auf die technische Qualität der Fotokopie und den Grad der Erkennbarkeit der Fälschung kommt es in dem Fall nicht an”⁸

Wo hier die Grenze zu ziehen ist, versucht sodann Rengier zu beantworten:

Eine Reproduktion erlangt dann Urkundsqualität, wenn mit einer – bei durchschnittlicher Aufmerksamkeit nicht erkennbaren – Manipulation gezielt der Anschein einer Originalurkunde erweckt wird⁹

An diesem Punkt ist der bei Laien verbreitete Mythos, dass man sich nicht der Urkundenfälschung strafbar macht sobald man mit Fotokopien hantiert, hoffentlich eindrücklich als falsch erwiesen. Zwar gibt es in der Tat die grundsätzliche Aussage, dass eine Fotokopie keine Urkunde ist – doch verbleibt in jedem Fall die Grenze der Kopie mit dem Anschein der Urkunde. Die obigen Ausführungen haben dabei zweierlei Sinn: Wer sich als Jurist mit dem Thema beschäftigt (bzw. es tun muss), der findet hoffentlich ein paar nützliche Quellen zum arbeiten. Wer als Laie bisher meinte, eine tolle Idee gehabt zu haben, wie man aus der Strafbarkeit entrinnt, der lässt hoffentlich die Finger davon.

Zugleich hat der kurze Beitrag, in Zeiten der Vorratsdatenspeicherung und “spannender” Fragen rund um den §202c StGB hoffentlich auch gemahnt, sich bei dem modernen Thema IT-Recht auch auf Klassiker wie die Urkundenfälschung zu besinnen. Zwar bieten sich hier kaum neue Fragen, aber es ist gerade der digitale Alltag, der einen solchen Klassiker wie die Urkundenfälschung in neuem Licht erblicken lässt.

Link dazu:

• Kurze Analyse des Falls, in dem ein Personalausweis ohne Veränderung fotokopiert wurde – und auf Urkundenfälschung erkannt wurde

Jürgen Seeger, Chefredakteur des IT-Magazins iX, das wie heise online vom Heise Zeitschriften Verlag herausgegeben wird, hat sich heute bei der Staatsanwaltschaft Hannover selbst wegen Vorbereitung des Ausspähens und Abfangens von Daten nach Paragraf 202c StGB angezeigt. Grund ist eine Toolsammlung auf der Heft-DVD des iX Special “Sicher im Netz”, mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann.

Ich nehme das zum Anlaß, um hier im ersten Artikel auf dieser Seite, den §202c StGB etwas näher zu betrachten.

Hinweis: Diesen Artikel werde ich regelmäßig überarbeiten und auch mit weiteren Fundstellen versehen, um ihn aktuell zu halten. Der Artikel wurde erstmals veröffentlicht am 20.12.2008, zuletzt Aktualisiert am 27.11.2009. Zuletzt eingearbeitet wurden die Aktualisierungen des SK-StGB, 119. Aktualisierungslieferung.

Der Wortlaut des §202c StGB scheint auf den ersten Blick einfach:

§ 202c

Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Doch schon vorab: Der §202c StGB ist in der Anwendung schwierig, was wohl vor allem daran liegt, dass der Wortlaut in einer Gesamtschau mit der Gesetzesbegründung erstmal nahelegt, dass es sich um ein abstraktes Gefährdungsdelikt handelt¹. Diese Deutung wird in der Literatur erstmal auch bestätigt² und ist wohl auch vom Gesetzgeber ursprünglich gewollt gewesen³. Letztlich wird es dann aber vom Gesetzgeber selbst schon wieder durch besondere Anforderungen an den Vorsatz⁴ verwässert⁵, was zu großen Unsicherheiten führt (dazu später weiter unten).

Eine besondere Rechtsunsicherheit ruft der §202c Abs.1 Nr.2 StGB bei Programmierern und Presse hervor, hier besonders die Verbreitung (bzw. der Verkauf) von so genannten “Hackertools”, die unstreitig nicht nur auch zur Erhöhung der Sicherheit genutzt werden können, sondern sogar mitunter auch dringend benötigt werden. Ich möchte meine Darstellung hier (erstmal) auf diese Zielgruppe, auch wegen des aktuellen Bezugs, beschränken.

Es stellen sich für mich, in dieser kurzen Darstellung, folgende Fragen auf die ich eingehen möchte:

1. Was ist ein geeignetes Tatmittel (“Hackertool”) i.S.d. §202c StGB?
2. Welche Anforderungen sind an den Vorsatz zu stellen?
3. Wie steht die Praxis zu dem Thema?

(1) Tatmittel (“Hackertool”)
Der Wortlaut des §202c StGB stellt den Rechtsanwender vor Probleme: Als Tatmittel kommen Computerprogramme in Betracht, deren Zweck die Begehung einer Tat nach den §§202a, 202b StGB sein soll. Doch stellt sich nun die Frage: Muss ein Programm eindeutig alleine einen solchen Zweck verfolgen um davon erfasst zu werden, oder reicht es aus, dass es auch zu diesem Zweck eingesetzt werden kann? Die Frage nach dem geeigneten Tatmittel beherrscht nach meinem Eindruck die Diskussion um den §202c StGB⁶.

Verständlich ist dies vor allem, da es gerade im Bereich IT-Security häufig den Hinweis gab, dass man eben entsprechende Tools zur Prävention benötigt und man durch eine zu weite Fassung die Sicherheit eben schädigt und nicht stärkt⁷. Es erscheint – so die IT-Praxis einhellig – unangebracht, pauschal jedes Programm zu erfassen, das auch nur in diesen Bereich fallen könnte.

Bei der Analyse, was nun als Tatmittel i.S.d. §202c StGB in Frage kommt, wird gerne – und nicht ohne Grund – auf die “Convention on Cybercrime”⁸ verwiesen. Auch wenn in der Convention nicht ausdrücklich enthalten, so ist es doch unstreitig, dass im Rahmen der Convention Programme mit doppelten Verwendungszweck, die also sowohl zur Prävention als auch zum Schädigen genutzt werden können, von der Convention nicht betroffen sein sollten⁹.

Doch: So einfach ist es nicht. Zum einen ist schon fraglich, ob ein Tool überhaupt objektiv nur zur Schädigung eingesetzt werden kann¹⁰. Zum anderen ist es höchst fraglich, wie man überhaupt objektive Kriterien, nur aus der Beschaffenheit eines Programms heraus ableiten möchte¹¹.

Diese Unsicherheit spiegelt sich dann auch in der Gesetzes-Begründung in Deutschland wider, wo zu lesen ist¹²:

Das Programm muss aber nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist¹³.

Der Rechtsausschuss des Bundestages sagt dazu abschliessend¹⁴:

Danach seien nur Computerprogramme betroffen, die in erster Linie dafür ausgelegt oder hergestellt würden, um damit Straftaten nach den §§ 202a, 202b StGB zu begehen. Die bloße Geeignetheit zur Begehung solcher Straftaten begründe keine Strafbarkeit.

Die beiden Aussagen passen nun offensichtlich nicht ganz zu einander. Und der Rechtsausschuss macht es bei der Suche nach objektiven Kriterien nicht besser, wenn er zur Auslegung auf

1. das BVerfG verweist¹⁵, das subjektive Kriterien heranzieht (dazu unten)
2. auf die CCC zur Auslegung, die (wie oben angesprochen) in Ermangelung objektiver Kriterien jedes Doppelt-Funktionelle Tool ausschließt,
3. oder selbst davon spricht, dass es “nicht um Netzwerk-Administratoren gehen soll”¹⁶. Der Rechtsausschuss verwechselt hier offensichtlich sibjektive Merkmale mit objektiven Kriterien.

Alle drei Hinweise des Rechtsausschusses haben also gemeinsam, dass auf eine subjektive Zielrichtung verwiesen oder gar Eigenschaften des Täters (“Netzwerkadministrator”) verwiesen wird. Dies wird daran liegen, dass man ein “legales” und ein “illegales” Programm eben nicht auf Grund rein objektiver Merkmale unterscheiden kann, speziell bei Dual-Use-Programmen wird dies der Fall sein¹⁷.
Am Ende steht nur wenig Klarheit, die in der Literatur ¹⁸wie folgt zusammen gefasst wird:

Es geht um Software deren hauptsächlicher, aber eben nicht ausschließlicher Zweck, die deliktische Verwendung ist.

Mit Blick auf die CCC, bei der doppelt-verwendbare Tools ja nicht erfasst sein sollten, kann man dies kritisieren und nach einer rein deliktischen Verwendungsmöglichkeit fragen, was aber wohl zur Zeit nur eine Mindermeinung¹⁹ tut.

Der Versuch in der Literatur, objektive Kriterien zu erarbeiten, kann als gescheitert erklärt werden, wobei ich an dieser Stelle mit Kritik, auch am BVerfG, nicht spare: Subjektive Elemente und objektive Elemente werden wahllos durcheinander gewürfelt.

Die Darstellung bei Leupold/Glossner²⁰ ist zwar als Gesamtschau gelungen, inhaltlich aber durchweg kritikwürdig und wird hier beispielhaft angeführt:

1. So wird als erstes das vom Rechtsausschuss ²¹ herangezogene Urteil des BVerfG analysiert. Hier geht es, im Rahmen des §22b StVG, um Software die sowohl zu legalen als auch illegalen Zwecken eingesetzt werden kann, wobei das BVerfG Kriterien zur Abgrenzung erarbeitet. Als solche Kriterien prüft das BVerfG, ob die Software von “professionellen Anbietern” stammt, die ein “Verhalten unterstützen und daraus Kapitel schlagen”.
   Das aber sind subjektive Kriterien, was auch daran zu merken ist, dass das BVerfG sie im unmittelbaren Umfeld des Vorsatzes prüft²². Es ist sehr fraglich, wie hier die subjektive Zielrichtung des Täters zum objektiven Kriterium des Tatmittels verklärt wird. Vielmehr wird schon jetzt deutlich, dass der Vorsatz Ansatzpunkt sein muss.
2. Weiterhin findet sich ein Hinweis auf die “Any-DVD”-Entscheidung des LG München²³, bei der es um den §95a III Nr.3 UrhG geht. Auch hier geht es um einen doppelten Verwendungszweck (Software kann zu legalen und illegalen Zwecken eingesetzt werden). Doch auch dieses Urteil erscheint problematisch: Hier wird auf die Aussagen des Vertriebs in der Werbung abgestellt. So z.B.: Was sagt der Hersteller selbst über sein Produkt? Welche Zwecke stellt er selbst in den Vordergrund?Auch hier wird wieder offensichtlich ein subjektives Kriterium (vermeintliche Intention des Herstellers) herangezogen. Andererseits, sofern es der Hersteller selbst ist der vertreibt, erscheint es nicht ganz verfehlt, hier auf eine objektive Zielrichtung der Software zu schließen.Aber: Dies kann nur in dem Fall gelten, in dem der Hersteller selbst Aussagen trifft und auch selbst vertreibt. Sobald ein Dritter eine Software vertreibt, ist schon fraglich, ob hier die Aussage des Herstellers noch als objektives Kriterium herangezogen werden kann. So kann der Hersteller durch eine fehlerhafte oder gar verzerrende Darstellung seiner eigenen Software²⁴ die Strafbarkeit Dritter bewirken.

Trotz der Kritik von mir an dieser Stelle muss aufgrund des bisher festgehaltenen davon ausgegangen werden, dass die “objektivierte Zielrichtung” als Merkmal bei der Bewertung der Software dient. Leupold/Glossner²⁵ haben hierzu mehrere Filterstufen herausgearbeitet, die sich wie folgt darstellen²⁶:

1. Ist die Software überhaupt zur Begehung entsprechender Taten geeignet?
2. Ist der deliktische Verwendungszweck ein hauptsächliches, wenn auch nicht alleiniges, Merkmal? Hilfsweise kann dabei gewertet werden, ob sich der Einsatz der Software zur Tatbegehung als Missbrauch der Software darstellt²⁷.
3. Sollen kriminelle Aktivitäten gefördert werden: Heranzuziehen sind Vertriebskonzept und Bewerbung²⁸.
4. Ergänzend ist zu berücksichtigen, dass eine Gewinnerzielungsabsicht alleine keine Aussage zur Bewertung hat. Auch ist eine rein potentielle legale Nutzungsmöglichkeit ausreichend, wobei die tatsächlich überwiegenden Verwendungsmöglichkeiten ebenfalls nicht zu werten sind.²⁹

Spätestens jetzt merkt man, dass nicht nur bei den Anwendern große Unsicherheit besteht, sondern auch in der Rechtswissenschaft. Insofern muss man mit Kritik am Gesetzgeber, der hier offensichtlich nicht sehr glücklich gehandelt hat, nicht sparen³⁰. Klare Grenzen sind nicht auszumachen, jedenfalls allgemeine und unspezifische Programme (Systemtools, allgemeine Ver- und Entschlüsselung, Filterprogramme) sollen definitiv nicht erfasst sein²⁷. Insgesamt aber ist eine Abgrenzung wohl nur auf Grund subjektiver Merkmale möglich³². Als solch subjektives Merkmal zur Abgrenzung muss sodann gelten, dass eine Straftat nach §§202a, 202b StGB vorbereitet werden soll³³.

Gerade angesichts der mitunter erheblichen Schwierigkeiten der Rechtsprechung und Literatur, objektive Kriterien für eine betroffene Software zu erarbeiten³⁴, stelle ich mich auf die folgenden Standpunkte:

1. Die Literatur spricht regelmäßig von einem “illegalen Hackertool”, also setzt sie “legale Hackertools” begrifflich voraus. Es ist, de lege ferenda, dann die Aufgabe des Gesetzgebers, ausdrücklich zu definieren, was ein legales Tool sein soll und somit auch, was nicht. Sollte der §202c StGB in dieser Form längerfristig bestehen beleiben, ist dies eine Aufgabe die sich stellt.
2. Ich sehe, gerade mit Blick auf die Praxis, keinen brauchbaren Weg, rein objektive Kriterien zu entwickeln, um die Software-Produkte einzuteilen. Daher plädiere ich dafür, im Tatbestand mit rein objektiven, notfalls sehr weiten, Kriterien zu hantieren, die dann im Vorsatz korrigiert werden. Hierbei sind dann unbedingt die entsprechenden Grundrechte zu berücksichtigen, wie etwa die Pressefreiheit. Das stößt sich natürlich am §202c StGB als “abstraktes Gefährdungsdelikt”.

(2) Vorsatz
Wenn man den §202c StGB als abstraktes Gefährdungsdelikt versteht³⁵, ist ein besonderer Vorsatz nicht erforderlich³⁶. Doch, und das zeigt nochmal der Blick nach oben, wusste nicht einmal der Gesetzgeber selbst was er will: Einerseits spricht er davon, dass es ein “abstraktes Gefährdungsdelikt” sein sollte. Andererseits verlangte er, dass der Handelnde eine Straftat die begangen werden soll, zumindest in Aussicht genommen hat³⁷:

Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) erfolgen Entscheidend für die Tatbestandserfüllung des § 202c StGB-E ist, dass der Täter eine eigene oder fremde Computerstraftat in Aussicht genommen hat.

Nun spricht gegen die Betrachtung des §202c StGB als abstraktes Gefährdungsdelikt nicht nur der Wortlaut des Gesetzestextes, den man problemlos mit einem Vorsatz in Einklang bringen kann³⁸, auch die Systematik und die ständigen Ausführungen in den Gesetzesbegründungen, dass eine Überkriminalisierung verhindert werden muss und soll, sind hier eindeutig. Ebenfalls verlangt das Bundesjustizministerium einen Vorsatz in Form der “Inaussichtnahme”³⁹.

Vielmehr spricht für die Wertung als abstraktes Gefährdungsdelikt letztlich nur die (widersprüchliche) Ausführung des Gesetzgebers, die man am Ende wohl als Fehler bezeichnen kann⁴⁰.

Fraglich ist natürlich, welche Ansprüche an einen Vorsatz zu stellen sind. Die häufigen Verweise auf den §263a StGB⁴¹, sowie die systematische Nähe, legen ähnlich gerichtete Ansprüche an den Vorsatz voraus. Damit wäre ein direkter Vorsatz nicht nötig, sondern ein Eventualvorsatz reicht aus, wobei aber eine “konkretisierte Computerstraftat in wesentlichen Umrissen erfasst sein muss”⁴².

Mit dieser Einschränkung wird man bei strikter Anwendung auch der grundgesetzlichen Vorgabe der Pressefreiheit gerecht: So kann ein Redakteur, der sich für die Verteilung einer CD mit entsprechenden Tools verantwortlich zeichnet, sicherlich nicht ausschließen, dass damit illegale Aktivitäten vorgenommen werden. Er hat aber keine konkrete Tat vor Augen, will diese auch nicht fördern und strebt vielmehr die Unterstützung von Netzwerk-Administratoren an, die ihr System schützen wollen. Schon wegen letzterem bewegt er sich ausdrücklich im Rahmen dessen, was der Rechtsausschuss festgestellt hat⁴³:

Der Gesetzentwurf kriminalisiere nicht den branchenüblichen Einsatz von Hacker-Tools durch Netzwerkadministratoren, insbesondere wenn diese nur die Sicherheit des eigenen Datennetzes prüfen wollten.

Eine solche enge Auslegung der Anforderungen an den Eventualvorsatz sind zumindest in diesem Fall, einmal mit Blick auf die Pressefreiheit nicht nur gerechtfertigt, sondern geradezu zwingend.

Zu denken ist aber auch an das neue “IT-Grundrecht”, das Grundrecht auf die Integrität informationstechnischer Systeme. Mit Blick auf die Ausführungen des BVerfG hierzu hat der Anwender nicht nur einen Anspruch auf eben diese Integrität, vielmehr ist zu fragen, ob sich nicht auch ein Anspruch auf die Sicherstellung der Prüfung der Sicherheit eines solchen Systems.

So wäre es undenkbar, dass der Staat durch entsprechende Strafgesetze seinen Bürgern verbietet, die Integrität ihrer informationstechnischen Systeme zu prüfen und zu sichern, etwa in dem ein (auch) gefährliches Produkt, das im konkreten Fall zur effektiven Sicherung eingesetzt wurde, dem Bürger nicht mehr zugänglich gemacht wird. Das Integritäts-Grundrecht würde vor diesem Hintergrund leer laufen. Es erscheint daher vor diesem Hintergrund geradezu zwingend, hohe Anforderungen an den Vorsatz zu stellen, nicht nur was das Verbreiten, sondern auch das Beschaffen im Einzelfall angeht.

(3) Praxis
In der Praxis ist mir bisher nur ein Fall bekannt: Im Jahr 2007 hat der TecChannel Chefredakteur Strafanzeige gegen das BSI wegen der Verbreitung von Hackertools gestellt⁴⁴. Die Schreiben der StA Bonn⁴⁵ liegen mir im Volltext vor. Ich möchte sie nur kurz zusammenfassen (es sind 5 Seiten):

• Die StA Bonn sieht den §202c StGB zuerst unproblematisch als abstraktes Gefährdungsdelikt
• Die StA Bonn macht es sich einfach und stellt fest, dass jedenfalls beim BSI die Intention zur Weitergabe ganz klar nur in der Vermeidung von Straftaten liegen kann, daher scheidet eine Strafbarkeit aus
• Die StA Bonn führt aus, dass Programme geeignet, aber zumindest auch dazu bestimmt sein müssen, entsprechende Taten zu begehen. Auf der Dritten Seite stellt die StA Bonn auf den Willen des Programmierers ab. Wenn ihm zu Folge die Software nur “gutwillig” ist, aber auch böswillig eingesetzt werden kann, entlastet dies bei der Verbreitung. Letztlich soll es aber auf eine objektive Gesamtbetrachtung ankommen.
• Die StA Bonn verweist letztlich ebenfalls auf den Eventualvorsatz und dass es hierbei nicht ausreicht “irgendeine Tat”, sondern eine zumindest grob umrissene grobe Tat vor Augen zu haben.

Im Fazit bleibt eines: Es bleibt unklar. Dass “prominente” Betroffene wie das BSI oder wahrscheinlich auch der Heise-Verlag schon augenscheinlich nicht Ziel der Norm sind⁴⁶ und somit auch im Fall des Heise-Verlages eine Antwort ähnlich der der StA Bonn bzgl. des BSI zu erwarten ist, liegt auf der Hand.

Für den “kleinen” Anwender und Programmierer ist dies aber nicht hilfreich. Gerade mit Blick auf die breite Masse der Betroffenen Programmierer und Nutzer können daher die bisherigen Erkenntnisse nicht befriedigend wirken. Es bleibt die Hoffnung auf eine Verbesserung der Norm oder ein höchstrichterliches Urteil.

Die Verfasser der Anmerkung weisen als erstes darauf hin, dass das Gericht in technischer Hinsicht nicht ausreichend differenziert zwischen “dem Cache” und dem “Browser-Cache”. Dabei bleiben die Autoren leider Erklärungen schuldig, was unter “dem Cache” zu verstehen sein soll: Zwar spielen sie auf die CPU und den damit verbundenen Hardware-Cache an. Das alleine darf aber – wenn man es schon genau nehmen will – nicht ausreichen. So gibt es heute üblicherweise zumindest den Level1 und Level2 Cache, die sich nicht nur dem direkten Zugriff selbst erfahrener Benutzer nicht ohne weiteres entziehen und von flüchtiger Speicherdauer gekennzeichnet sind. Vielmehr ist zu bedenken, dass beim Level1-Cache Speichergrößen bis zu 256kbit das Maximum darstellen, was mit Blick auf Bilder als eher nicht geeigneter Ort des Besitzes erscheint.

Doch neben dem L1- und L2-Cache gibt es weitere Hardware-Cache-Bereiche, zu denken ist nur an den eingebauten Cache-Speicher von Festplatten, der bei modernen Festplatten im Consumer-Bereich schon heute problemlos bis zu 16MB umfasst. Hinzu kommen exotischere, aber nicht abwegige, Orte wie die Grafikkarte.

Dem Aufruf der Autoren, mehr technische Sorgfalt in dieser Hinsicht walten zu lassen, kann ich mich nur anschließen – doch muss man dies auch konsequent beibehalten. So unterscheiden beide Autoren weiterhin zwischen “dem Arbeitsspeicher” und “dem Cache”, bleiben aber schuldig, warum. Man mag – aus technischer Sicht – problemlos an Hand der Arbeitsweise und des Zwecks der Hardware diese beiden Bereiche unterscheiden können, doch das angesprochene Kriterium “dem Nutzerzugriff entzogen” macht für mich bei beiden Systemkomponenten keinen Unterschied. Warum auch sollte in dieser Hinsicht der System-Arbeitsspeicher etwas anderes sein, als etwa der Grafikkarten-Arbeitsspeicher?

Die Diskussion ist nicht nur begrifflicher Art, sondern führt zum eigentlichen Kern des Problems: Beide Autoren bemängeln, dass bei “dem Cache” (gemeint ist der Hardwareseitige Cache) nicht die Problematik besteht, dass ein Besitz vorliegen könnte – denn hier steht dem User gar nicht der Zugriff auf den Inhalt offen. Nun stellt sich die Frage: Sieht das beim Arbeitsspeicher anders aus? Denn selbst wer das bejaht, muss sich der Frage stellen, ob und warum es dann etwas anderes ist, wenn (zumindest teilweise) der Grafikkarten-Speicher als Erweiterung des Arbeitsspeichers vom System herangezogen wird. Genau hier liegt dann die spannende Frage: Ist zwischen dem Hardware-Cache und dem Arbeitsspeicher wirklich – aus Nutzersicht, denn es geht ja um den individuellen Vorsatz – der große Unterschied, der hier einfach behauptet wird?

Dass letztlich vom OLG nur der Browser-Cache gemeint ist, wird so oder so deutlich: Wenn das OLG nämlich ausführt, dass die Daten selbst nach einem Ausschalten noch verfügbar sind. Ob also an dieser Stelle der Vorwurf der sachlich falschen Darstellung (wie von den Autoren erhoben) wirklich so greift oder nicht vielmehr ein deklaratorischer Fehler vorliegt, ist so klar gar nicht. Vor diesem Hintergrund würde ich vielmehr dem OLG ankreiden, nicht sauber zwischen den verschiedenen Software-Caches zu unterscheiden, etwa dem Windows-Pagefile und evt. vorhandenen Offline-Proxys (wie z.B. wwwoffle).

Auch bei der zweiten Anmerkung stolpern die Autoren dann über ein technisches Detail, was jedenfalls für mich die gesamten Ausführungen hinfällig werden lässt. Bei den Überlegungen, wann nun genau Vorsatz vorliegt, fällt dieser Satz:

Es ist dem Nutzer dagegen i.d.R. nicht möglich, die Funktion des Browser-Caches zu deaktivieren [...]

Ja, ist es das? Sowohl Chrome, Firefox als auch InternetExplorer bieten diese Funktion. Und auch hier ist es nicht nur eine technische Feinheit, sondern ein Problem, das sich beim Vorsatz gleich zu beginnt stellt: Wenn es diese Möglichkeit nämlich gibt, muss man sich fragen, ob nicht von jedem Nutzer zu erwarten ist, dass er sie aktiviert, sobald er entsprechende Webseiten aufruft. Wer das nämlich verlangt, der wird ggfs. auch dann einen Vorsatz sehen (müssen), wenn der Benutzer “ganz fest vorhatte” sofort nach der Sitzung den Cache manuell zu löschen. Jegliche Überlegung, wann genau die Absicht gefasst sein muss den Browser-Cache zu löschen, kann man sich damit ersparen.

Und hier schließt sich sodann der Kreis: Vor diesem Hintergrund, bei deaktiviertem Cache – den man eventuell zwingend verlangt um den Vorsatz zu verneinen – verbleibt nur noch der Arbeitsspeicher als Anknüpfungspunkt. Und somit die Diskussion, inwiefern der Arbeitsspeicher – was den Zugriff des Nutzers an geht – sich vom (sonstigen) Hardware-Cache unterscheidet.

Dabei lehnt das OLG rigide die Meinung in der Literatur, die es anders sieht, ab:

Soweit in der Literatur vertreten wird, bei einem Telefax spreche zumindest der Anschein für eine Informationsherrschaft des Erklärenden und es liege deshalb eine Urkunde vor (vgl. Hoyer in SK, 7. Aufl. § 267 Rn. 19 ff.), bzw. das Telefax enthalte anders als die Fotokopie eine Kurzbezeichnung des Absenders und die Angabe der Faxnummer und damit eine Garantieerklärung für die originalgetreue Wiedergabe des gefaxten Schriftstücks, das Telefax sei einer beglaubigten Kopie gleichzusetzen (vgl. Schönke-Schröder-Cramer-Heine, StGB, 27. Aufl. § 267 Rn. 43 m. w. N.) kann dem jedenfalls für den hier vorliegenden Fall, dass Absender und Aussteller des Schriftstücks offensichtlich nicht identisch sind, nicht gefolgt werden (vgl. Beckemper. JuS 2000, 123 ff.).

Urkundencharakter hat im Übrigen bei der beglaubigten Kopie auch nur der Beglaubigungsvermerk, der Inhalt der Kopie wird davon nicht erfasst. Erst recht ist die Ansicht, mit der Anerkennung des Faxes als urkundliche Verkörperung des Erklärungsinhalts habe die herrschende Leere auf die Erkennbarkeit der Autorisierung des Originals verzichtet, das Telefax habe im Rechtsverkehr die Funktion des früheren Schriftstückes / Briefes übernommen (Joecks in Studienkommentar, StGB, 6. Aufl. § 267 Rn. 45 m. w. N.), abzulehnen. Der Bundesgerichtshof hat in seiner Entscheidung vom 11.05.1971 (BGHst 24, 140) zutreffend darauf hingewiesen, dass der Umstand, dass im Rechts- und Geschäftsverkehr der Gebrauch von Fotokopien zunehmend Bedeutung erlangt, zwar eine erhöhte Schutzbedürftigkeit bedingen mag, eine allgemeine Einbeziehung der Fotokopie in den Strafschutz des jetzt geltenden § 267 StGB aber dem Begriff der Urkunde das wesentliche Kriterium der Erkennbarkeit des Ausstellers entziehen und damit zu einer nicht zulässigen Rechtsfortbildung führen würde.

Es sei Sache des Gesetzgebers der Entwicklung durch eine Änderung der gesetzlichen Bestimmungen Rechnung zu tragen. Für die Ablehnung von Telefaxen als Urkunden gelten die gleichen Argumente.

Eine Entscheidung des HansOLG (1-53/08, Fundstelle: StraFo 4/09, S.165) bringt nun etwas Lebensnähe in das scheinbar uferlose Urteil des BGH: So ist ausdrücklich ein Besitzwille des Betroffenen festzustellen. Dies ist insbesondere zu verneinen, wenn die Daten umgehend gelöscht werden, sei es manuell durch den Betroffenen oder auch systembedingt. Hierzu verweist das HansOLG auf den Beschluss des BGH, der die Strafbarkeit des Betroffenen begründet,

weil es ihm möglich ist, jederzeit diese Dateien wieder aufzurufen, solange sie nicht manuell oder systembedingt automatisch gelöscht wurden.

Das heißt erst einmal, ob man einen Cache ganz ausschaltet oder (wie beim Firefox möglich) mit dem Schließen des Browsers den Cache löschen lässt, kommt aufs gleiche raus – solange auch wirklich gelöscht wird. Interessant sind vor diesem Zusammenhang Fragen nach dem Löschvorgang: Wie sieht es etwa aus, wenn Dateien zwar gelöscht sind, aber problemlos mit “undelete”-Tools wiedergeholt werden können? Das reine verschieben in den Papierkorb dürfte im übrigen nicht unter “Löschen” fallen, da die Dateien ja noch da sind, nur an einem anderen Ort des Systems.

Alles in allem ein bisher wenig beachtetes Urteil, das durchaus mehr Beachtung verdient.

Der Beschwerdeführer zu 1) ist in einem Unternehmen tätig, das
Dienstleistungen im Bereich der Sicherheit von Informations- und
Kommunikationstechnologien anbietet und in diesem Rahmen nicht
autorisierte Zugriffsversuche simuliert. Hierbei kommen zum einen so
genannte dual use tools zum Einsatz; das sind Programme, die sowohl vom
berechtigten Nutzer eines Computersystems zu dessen bestimmungsgemäßer
Wartung und Pflege als auch ohne oder gegen den Willen des Berechtigten
zum Zwecke des Ausspähens von Schwachstellen verwendet werden können.
Verwendet werden aber auch Programme, bei denen zu vermuten ist, dass es
sich um so genannte malware oder Schadsoftware handelt, also Software,
die von ihren Urhebern zum Zwecke des illegalen Eindringens in
EDV-Systeme konzipiert wurde. Der Beschwerdeführer zu 2) ist in der
akademischen Lehre tätig und macht seinen Studenten zu Lehrzwecken
regelmäßig Programme zugänglich, die sowohl zum Zweck der
Sicherheitsanalyse, als auch für Zwecke des unerlaubten Zugangs zu
fremden Rechnern und Netzwerken eingesetzt werden können. Der
Beschwerdeführer zu 3) setzt im Rahmen der Nutzung des
Computerbetriebssystems Linux ebenfalls derartige Programmkomponenten
ein.

Die 2. Kammer des Zweiten Senats hat die unmittelbar gegen die
gesetzliche Vorschrift des § 202c StGB erhobenen Verfassungsbeschwerden
der drei Beschwerdeführer nicht zur Entscheidung angenommen, weil sie
unzulässig sind. Die Beschwerdeführer werden von der Strafvorschrift
nicht unmittelbar betroffen.

Der Entscheidung liegen im Wesentlichen folgende Erwägungen zugrunde:

Nach der ständigen Rechtsprechung des Bundesverfassungsgerichts setzt
die Zulässigkeit einer Verfassungsbeschwerde unmittelbar gegen ein
Gesetz voraus, dass der Beschwerdeführer selbst, gegenwärtig und
unmittelbar durch die angegriffenen Rechtsnormen in seinen Grundrechten
betroffen ist. Das wäre z.B. dann der Fall, wenn der Beschwerdeführer
zunächst das Risiko eines Bußgeld- oder Strafverfahrens eingehen müsste,
um Rechtsschutz vor den Fachgerichten erwirken zu können. Auf der
Grundlage des Vorbringens der Beschwerdeführer lässt sich aber nicht
feststellen, dass die von ihnen beschriebenen Tätigkeitsfelder von §
202c Abs. 1 StGB erfasst werden. Das Risiko strafrechtlicher Verfolgung
ist mithin nicht gegeben.

Die von den Beschwerdeführern eingesetzten Programme sind überwiegend
keine tauglichen Tatobjekte der Strafvorschrift in den Grenzen ihrer
verfassungsrechtlich zulässigen Auslegung. Tatobjekt in diesem Sinn kann
nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach
§ 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten)
gerichtet ist. Das Programm muss mit der Absicht entwickelt oder
modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten
einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert
haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass
ein Programm – wie das für das so genannte dual use tools gilt – für die
Begehung der genannten Computerstraftaten lediglich geeignet oder auch
besonders geeignet ist.

Soweit der Beschwerdeführer zu 1) auch Schadsoftware einsetzt, die ein
taugliches Tatobjekt im Sinne des § 202c Abs. 1 Satz 2 StGB darstellen
kann, fehlt dem Beschwerdeführer jedenfalls der zusätzlich erforderliche
Vorsatz, eine Straftat nach § 202a oder § 202b StGB vorzubereiten. Da
das Unternehmen, für das der Beschwerdeführer arbeitet, im Auftrag und
somit im Einverständnis mit den über die überprüften Computersysteme
Verfügungsberechtigten tätig wird, fehlt es am Tatbestandsmerkmal des
„unbefugten“ Handelns im Sinne des § 202a oder § 202b StGB. Vielmehr
liegt ein Handeln zu einem legalen Zweck vor; hierbei dürfen nach dem
insofern eindeutigen und durch die Entstehungsgeschichte wie die
einschlägige Bestimmung des Übereinkommens des Europarats über
Computerkriminalität bekräftigten Wortlaut des § 202c Abs. 1 Nr. 2 StGB
grundsätzlich auch Schadprogramme, deren objektiver Zweck in der
Begehung von Computerstraftaten liegt, beschafft oder weitergegeben
werden. Ein Strafbarkeitsrisiko entsteht hier erst, sobald die
betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder
anderweitig auch Personen zugänglich gemacht werden, von deren
Vertrauenswürdigkeit nicht ausgegangen werden kann.

Der Bundesgerichtshof hat die Revision des Angeklagten als unbegründet verworfen. Auch wenn sich der Angeklagte und die fünf Kinder nicht in unmittelbarer räumlicher Nähe zueinander befunden haben, so konnten die Opfer, die mit dem Angeklagten in einer Interaktion standen, dessen entblößtes Glied und die Onanierbewegungen aufgrund der simultanen Bildübertragung mittels Webcam und Internet am Bildschirm ihres Computers unmittelbar wahrnehmen. Die Strafkammer ist deshalb zu Recht von einer Strafbarkeit des Angeklagten nach § 176 Abs. 4 Nr. 1 StGB ausgegangen, da im Hinblick auf den Willen des Gesetzgebers kein Zweifel daran besteht, dass Kinder zum Schutz ihrer ungestörten Gesamtentwicklung vor solchen Wahrnehmungen umfassend bewahrt werden sollen.

Beschluss vom 21. April 2009 – 1 StR 105/09

Ich möchte in diesem Beitrag das Thema tiefgehend analysieren. Dazu stelle ich auf die verschiedenen Stufen der Tat ab und unterscheide nach den Handelnden:

1. Ggfs. Betrieb einer Webseite auf der Daten eingegeben werden sollen
2. Versenden einer Mail die zur Angabe von Daten auffordert, entweder via Link zu einer Webseite nach (1) oder als Antwort-Mail
3. Das Erlangen der Daten
4. Die Nutzung der Daten, etwa in Form der Veranlassung einer Überweisung via PIN/TAN, wobei nochmals differenziert wird nach
   1. Dem eigentlichen Täter, der die Überweisung veranlasst
   2. Evt. einem Dritten, der sein Konto als Zwischenstation für den Geldtransfer zur Verfügung stellt (so genannter Finanz-Agent)

Diese Punkt möchte ich im folgenden analysieren. Dabei ist zu bemerken, dass ich das so genannte “Pharming”, also das bereithalten gefälschter Webseiten³ rechtlich im Rahmen des Phishings behandle. Da bei der juristischen Subsumtion auf das Verhalten abgestellt wird, unabhängig von Begrifflichkeiten, möchte ich mich hier nicht in unnötigen Detailfragen verlieren.

Hinweis: In diesem Rahmen spielt die Frage eine Rolle, ob deutsches Strafrecht überhaupt anwendbar ist – etwa wenn die betreffenden Webseiten auf ausländischen Servern bereit gehalten werden oder Mails aus dem Ausland veschickt werden. Für den Moment soll der Hinweis genügen, dass dies generell kein Problem darstellt⁴, wobei es natürlich sehr abstrakte Ausnahmen gibt. Ich möchte später zum Thema der “Geltung deutschen Strafrechts” einen eigenen Artikel schreiben.

1. Betrieb einer Webseite zur Eingabe von Daten

Wer eine Webseite bereit hält, die z.B. der einer Bank täuschend ähnlich sieht wenn nicht gar identisch gleicht, in der Hoffnung dass potentielle Opfer hier ihre Login-Daten eingeben (um diese Daten abzufangen) könnte sich wie folgt strafbar machen.

1.1 §269 I 1. Alt StGB

Im objektiven Tatbestand könnte die erste Alternative des §269 I StGB vorliegen: “Beweiserhebliche Daten” werden so gespeichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt.

Sollte der Täter von einer bestehenden Seite vorthandene Designs (etwa CSS etc.) kopieren und selbst verwenden, läge eine veränderung vor, jedenfalls liegt problemlos im Vorhalten der Daten auf einem Server eine Speicherung vor⁵.

Ein Datum i.S.d §269 StGB ist jede in einem technischen Gerät auf optisch nicht wahrnehmbare Weise gespeicherte, codierte Information⁶. Eine Webseite ist eine solche Information, also ein Datum i.S.d. §269 StGB.

Dieses Datum muss auch “beweiserheblich” sein, was es dann ist, wenn es zur Überzeugungsbildung über eine rechtlich erhebliche Tatsache beitragen kann⁷. Die Frage, wer der Betreiber einer Webseite ist, ist schon für sich rechtlich erheblich. Hinzu kommen verschiedene Aspekte, wie die Tatsache dass ein Bankkunde schon nur gegenüber seiner Bank Online-Zugangsdaten gebrauchen möchte und heute sogar teilweise über AGB verpflichtet ist, Dritten den Zugang nicht zu ermöglichen. Alles in allem handelt es sich bei den Angaben zu dem Betreiber einer Webseite um eine rechtlich erhebliche Tatsache, die der Überzeugungsbildung dient.

Nun müssen diese Daten auch so beschaffen sein, dass bei ihrer potentiellen Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt. Ohne Bedeutung ist es, dass sie überhaupt wahrgenommen wurden⁸, es reicht, wenn die Möglichkeit dazu bestanden hat⁹.

Da im vorliegenden Fall über den Aussteller getäuscht wird, würde wenn, dann eine unechte Urkunde vorliegen¹⁰. Fraglich, ob überhaupt eine “hypotethische Urkunde” angenommen werden darf. Es ist in 5 Stufen vorzugehen¹¹:

1. Gedankenerklärung
   Es muss der Anschein einer Gedankenerklärung vorliegen¹², was hier der Fall ist, da das Formular eine Art Garantieerklärung ähnlich dem auf einer Scheckkarte hinterlegten Magnetstreifen hat¹³.
2. Dauerhafte Verkörperung
   Die Wahrnehmung muss optisch¹⁴ und dauerhaft¹⁵ möglich sein. Die Webseite wird optisch wahrgenommen. Für die Dauerhaftigkeit ist eine Speicherung auf einer Festplatte ausreichend¹⁶. Die Daten der Webseite sind zudem auf einem Server, genauer auf dessen Festplatte, hinterlegt, somit dauerhaft wahrnehmbar.
3. Beweiseignung- und Bestimmung
   Die Daten müssen zum Beweis einer rechtserheblichen Tatsache beitragen. Dies ist hier anzunehmen¹⁷, zudem lebt die Webseite bzw. die geplante Schädigung ja gerade davon, dass das potentielle Opfer von der Tatsache, dass es sich um die eigene Bank handelt, überzeugt ist. Wäre es zum Beweis weder geeignet noch bestimmt, würde die Idee dahinter gar nicht funktionieren.
4. Ausstellererkennbarkeit
   Wie unter (3) festgehalten macht die Webseite nur Sinn, gerade weil sie einen bestimmten Aussteller (die Hausbank des potentiellen Opfers) suggeriert. Eine Meinung¹⁸ möchte dies stringend sehen, und verlangt, dass zumindest das passende Logo (und nicht ein übergordnetes) eingesetzt wird. Im Regelfall ergeben sich hier aber keine Probleme. Im Zweifelsfall muss im Einzelfall entschieden werden, wobei eine schlechte Leistung des Täters nicht zu Ungunsten (evt. dummer) potentieller Opfer eingewendet werden darf.
5. Unechtheit
   Unecht ist die (hypothetische¹⁹) Urkunde wenn sie nicht von dem stammt, der angeblicher Aussteller ist²⁰. Angeblicher Aussteller (Verfasser de Webseite) ist die Hausbank, in Wirklichkeit ist es aber der Täter.

Der objektive Tatbestand des §269 I 1. Alt StGB ist also beim Vorhalten gefälschter Webseiten anzunehmen. Subjektiv muss die entsprechende Webseite bereitgehalten werden, um zur Täuschung im Rechtsverkehr zu handeln²¹, was im Regelfall angenommen werden kann.

Insgesamt ist somit beim Vorhalten gefälschter Webseiten zur Erlangung von Zugangsdaten eine Strafbarkeit nach §269 I 1.Alt StGB anzunehmen²².

1.2 Regelbeispiele

Der Vollständigkeit halber der Hinweis, dass die Regelbeispiele der §§269 III, 267 III Nr.1 und 3 StGB normalerweise vorliegen müssten, was aber alleine Auswirkungen auf die Strafzumessung hat.

2. Versand der Email

2.1 §269 I 1. Alt StGB

Grundsätzlich wird hier auf 1.1 oben verwiesen, denn §269 I 1. Alt. StGB kann bei Phishing-Mails, die einen existenten Absender wie eine Bank, vortäuschen grundsätzlich angewendet werden²³.

Ich gehe daher nur auf die Streitpunkte ein, die es in der Tat zahlreich gibt:

1. Ein Teil der Literatur fordert, dass eine Authentizität, also die Erkennbarkeit des Ausstellers, nur vorliegt, wenn die Mail auch signiert ist²⁴. Ansatzpunkt ist hier die Beweiseignung der Urkunde, die mit Beweiskraft gleichgesetzt wird, was bei fehlender Signatur in der Tat zu verneinen wäre. Diese Meinung verkennt aber, dass es im Rahmen von §269 StGB alleine um die Möglichkeit geht, in einem Verfahren in einem Verfahren Überzeugensbildend zu wirken²⁵. Das erfordert keinesfalls das Formerfordernis im Sinne des §126a BGB. Vielmehr ist Sinn der Beweiseignung, gänzlich irrelevantes auszuschliessen²⁶. Die hier herangezogene Fälschungssicherheit ist nicht nur unnütz sondern war noch nie Teil der Betrachtung der §§267, 269 StGB²⁷. Die fehlende Signatur ist also kein Problem.
2. Eine andere Ansicht²⁸ verlangt zwar keine Signatur, aber zumindest strenge Anforderungen an die Erkennbarkeit des Ausstellers. Wenn etwa Mails als “sparkasse.de” versendet und “unterschrieben” sind, wird ein nicht existenter Aussteller vorgegaukelt, womit die Garantiefunktion nicht vorliegt²⁹. Jedenfalls dann, wenn nicht zusätzlich eine Webseite nach 1.1 zum Einsatz kommt, die dann das entsprechende Logo der existierenden Hausbank nutzt, ist dies ein mitunter starkes Argument, da nun fraglich ist, ob nicht vielmehr nur eine schriftliche Lüge vorliegt. So wird bei Verwendung nicht existenter Namen teilweise eine schriftliche Lüge angenommen³⁰. Dies sieht die h.M.³¹ insgesamt aber anders: Die vorgetäuschte Person muss nicht existieren. Dies macht auch insofern Sinn, da der Schutz des Rechtsverkehrs gerade von dem Gedanken lebt, dass man sich auf Urkunden verlassen kann. Ob man dies bei evidenten Sachverhalten (Absender ist etwa “Spasskasse.de”) noch aufrecht erhält, ist dann im Einzelfall abzuwägen.

2.2 §269 I 3. Alt StGB

Sofern per Mail Links zu Webseiten nach 1.1 verschickt werden, liegt ein “gebrauchen” im Sinne der 3. Alternative vor³².

3. Erlangen der Daten

3.1 §§44, 43 BDSG

Ein Bussgeld erscheint zumindest nach §43 I Nr.4,8; II Nr. 1 BDSG angebracht. Somit liegt dann auch die VOrraussetzung zur STrafbarkeit nach §44 I BDSG vor.

3.2 §202b StGB

Der §202b StGB setzt vorraus, dass der Täter sich Daten “aus” einer nicht-öffentlichen Datenübermitlung verschafft. Dies liegt beim Phishing gerade nicht vor, denn der Täter verschafft sich hier die Daten durch eine an ihn gerichtete Übermittlung. Das “aus” spricht für ein “Abfangen”, jedenfalls für ein Eingreifen in den Übermittlungsprozess³³. §202b StGB scheidet beim Phishing aus³⁴.

Kritische Anmerkung: Ich werde durch die Argumentation bei Leupold/Glossner nicht überzeugt. Vielmehr ist die Frage, ob die Daten für den Täter bestimmt sind (siehe sogleic, beim §202a StGB), ich sehe aber sprachlich kein Problem, anzunehmen, dass der Täter die Daten aus einer Datenübermittlung erhält (woher hat er sie denn sonst?).
Letztlich aber sei darauf hingewiesen, dass hier analog auf die Argumentation zum §202a StGB verwiesen werden kann (siehe sogleich).

3.3 §202c I Nr.1 StGB

Der §202c I 1. Alt. StGB liegt wohl unproblematisch vor, sobald das Opfer seine Daten eingegeben und abgeschickt hat, und diese den Täter erreichen³⁵. Man kann kritisch hinterfragen, inwiefern beim Phishing (die Daten sollen ja zu Transaktionen genutzt werden) eine Vorbereitung einer Tat nach §§202a, 202b StGB vorliegen soll – vielmehr wird ja eine Tat nach §263 a StGB vorbereitet. Dies aber nur als kritische Anmerkung von mir.

3.4 §202a StGB

Die Zugangsdaten, etwa zu einem Konto, sind zweifelsohne Daten im Sinne des §202a I StGB³⁶. Absatz 2 verlangt aber, dass die Daten gespeichert sind oder übermittelt werden. Abgestellt wird also darauf, dass die Daten beim Zugriff entweder gespeichert sind oder sich im Übermittlungsstadium befinden³⁷. Damit sollen nur Daten gemeint sein, auf die während eines Übermittlungsvorgangs zugegriffen wird³⁸, während beim Phishing die Daten gerade durch die Übertragung übermittelt werden³⁹. Somit liegt schon kein taugliches Tatobjekt vor⁴⁰.

Kritische Anmerkung: Diese Auslegung verkennt die Änderung des §202a StGB im Jahr 2007; Nach seiner Änderung ist der §202a StGB eindeutig ein Geheimnisschutzdelikt⁴¹, deswegen wurde ja das Verschaffen des Zugangs zu den Daten überhaupt aufgenommen. Dass der Täter hier privilegiert werden soll, weil er besonders trickreich arbeitet und das Opfer auch noch mitwirken lässt, mag bei der Frage nach einer Einwilligung berücksichtigt werden, aber schliesst eben nicht schon das Tatobjekt aus.
Auch der Hinweis von Stuckenberg auf die BT-Drucks. 10/5058 (S.28) überzeugt nicht, da hier gerade die Strafbarkeit des Verschaffens von Zugangsdaten ohne Übermittlung (Suchen von Pay-TV-Passwörtern durch Kinder bei den Eltern) festgestellt wird. Offensichtlich sollte alleine das Suchen von Zugangsdaten ausgeschlossen werden, wobei ohne jegliche elektronische Mittel gearbeitet wird.

Wer meiner Kritik folgt und doch ein taugliches Tatobjekt annimmt, kann noch fragen ob die besondere Zugangssicherung überhaupt vorhanden ist⁴². – die aber wird ja gerade umgangen durch die erschlichene Eingabe.

Einzig der Hinweis darauf, dass eventuell ein den tatbestand ausschliessendes Einverständnis vorliegt⁴³ vermag im Ansatz zu überzeugen und ist nicht von der Hand zu weisen. Hier ist dann zu prüfen, wie man mit einem erschlichenen Einverständnis umgeht, was ich nicht im weiteren erörtere, da es typischer StGB AT Stoff ist. Es muss aber zu dieser Klärung sehr wohl erörtert werden, ob die Fragen evt. für den Täter bestimmt sind. Nicht für den Täter bestimmt sind die Daten, wenn der Berechtigte nicht will, dass sie in den Herrschaftsbereich des Täters gelangen⁴⁴.Das will das potentielle Opfer hier zweifelsohne, dennoch argumentiert z.B. Popp⁴³ wie folgt:

Freilich sind Daten wie PIN und TAN regelmäßig auch gegenüber der Bank geheim. Wenn und soweit das Opfer sich dessen bewusst ist, erfolgt die Preisgabe des Geheimnisschutzes als solche sehenden Auges. Das Opfer unterliegt einem Irrtum dann nur im Hinblick auf Motivation und Identität seines Gegenübers, nicht aber im Hinblick auf seinen Rechtsgutsverzicht. Ein solcher Irrtum jedoch steht dem Tatbestandsausschluss kraft Einverständnis nicht im Wege.

Es soll also davon abhängen, ob das potentielle Opfer sich im Klaren ist, dass auch die Bank die Daten weder kennt noch erfragen würde. Wäre es aber nicht sauberer, dann direkt ehrlich zu fragen, ob man dem potentiellen Opfer einen dolus eventualis hinsichtlich der Kenntnisnahme durch Dritte unterstellt? Wieder wird die Dummheit des potentiellen Opfers zur Privilegierung des Täters herangezogen, der ja immerhin schon Arbeitsaufwand betrieben hat, um das Vertrauen des – wenn auch dummen oder zumindest unerfahrenen – Opfers zu erschleichen.

Im Ergebnis lehnt die h.M. zwar wohl den §202a StGB ab, ich selbst möchte das hier aber nochmals kritisch hinterfragen. Denn letztlich ergibt die Gesamtbetrachtung:

1. Sind die Daten besonders gegen Zugang gesichert (der Zugang wird ja gerade erschlichen),
2. sie sind nicht für den Täter bestimmt (es kann nicht entlastent wirken, dass der Täter Erfolg hat, das ist ja gerade der Tatbestand),
3. werden sie dem Täter durch ein trickreiches Vorgehen verschafft,
4. wobei das verschaffen durch eine Übermittlung i.S.d. §202a II StGB stattfindet.

Ich kann die Angst vor einer Anwendung des §202a StGB beim Phishing daher nicht teilen.

Hinweis: Der erste Teil endet hier. Im Zweiten Teil des Beitrags geht es dann um den noch ausstehenden §263a StGB sowie die dritte Ausführungsstufe: Das Abfangen des Geldes und die Strafbarkeit so genannter “Finanzagenten”.

Auch ab Januar 2009 gibt es hier dann aber nicht täglich neue Inhalte, sondern vielmehr sporadisch ausgewählte News – das Ziel ist nicht, hier ein Nachrichten-Magazin aufzubauen, sondern das Thema “Daten-Strafrecht” zielgerichtet zu behandeln.