1. Die Zugangssicherung i.S.v. § 202a I StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.
  2. Darunter fallen insbesondere Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer  Zugangsart zwingen, die der Verfügungsberechtigte erkennbar verhindern wollte.

BGH; Beschluss vom 21.07.20151 StR 16/15

Relevante Rechtsnormen: §§ 202a, 263a StGB, § 362a StGB, § 269 I StGB

Prüfungswissen: „Prüfungswissen: Der Computerbetrug, § 263a StGB“ findet Ihr im Blog von heute morgen!

Fall: Anfang des Jahres 2012 schloss sich der Angekl. mit dem […] anderweitig verurteilten Heranwachsenden R. zusammen, um ein sog. Botnetzwerk – d.h. ein der Ressourcengewinnung dienendes Netzwerk jeweils missbräuchlich durch automatisierte Computerprogramme zusammengeschlossener Rechner – aufzubauen und dieses dann ebenfalls missbräuchlich zum Generieren von Bitcoins zu nutzen. Zu diesem Zweck entwickelte er gemeinsam mit dem gesondert Verurt. R. eine spezielle Schadsoftware, die unerkannt über das Usenet – ein selbstständig neben dem Internet bestehendes Netzwerk, welches überwiegend zum Download illegal gefertigter Kopien von Filmen oder Musikdateien genutzt wird – verbreitet werden sollte. Der Angekl. stellte zu diesem Zweck im Zeitraum v. 01.01.2012 bis zum 04.10.2013 diverse Dateien im Usenet zum Download bereit. An diese war die programmierte Schadsoftware für den Anwender nicht wahrnehmbar angekoppelt, die sich nach dem Download einer infizierten Datei automatisch auf dem betroffenen Computer installierte. Die Schadsoftware, ein Trojaner, war für die Betriebssysteme ab Windows XP bis Windows 7 bestimmt, „welche standardmäßig eine „Firewall“ aktiviert haben, um derartige Angriffe abzuwehren“. Diese Firewall „wurde durch den Trojaner umgangen« und das jeweilige Betriebssystem des Computers verändert. An späterer Stelle in den Urteilsgründen findet sich die Feststellung, dass in vielen Fällen der Trojaner „durch Virenprogramme der Nutzer nicht erkannt wurde“. Detaillierte Feststellungen zu den auf den betroffenen Computern installierten Schutzprogrammen hat das LG nicht, auch nicht exemplarisch, getroffen. Die Schadsoftware führte dazu, dass jede Eingabe an dem infizierten Rechnersystem, darunter Zugangsdaten zu diversen Accounts nebst Passwörtern, an eine von dem Angekl. und R. eingerichtete Datenbank übertragen wurde. Sie hatte außerdem die Eigenschaft, bei einer Inaktivität ab 120 Sekunden die Rechenleistung des Computers für die Lösung komplexer Rechenaufgaben zu nutzen, wofür dem Angekl. und R. Bitcoins gutgeschrieben werden konnten.
Im Zeitraum zwischen dem 19.11.2012 und dem 17.03.2013 mietete der Angekl. oder von ihm beauftragte „Spreader“ in insgesamt 18 Fällen aufgrund jeweils neuen Tatentschlusses für den Betrieb ihres Netzwerks und die Verbreitung der Schadsoftware unter missbräuchlicher Verwendung zuvor ausgespähter Personaldaten Server an. Die Freischaltung der Server erfolgte nach Übermittlung der Zugangsdaten automatisiert. Der Angekl. wollte eine Zurückverfolgbarkeit von Datenströmen zu ihm ausschließen und sich die durch den jeweiligen Vertragsschluss anfallenden Anschluss- und Nutzungsgebühren ersparen. Dies gelang ihm durch die Verwendung ausgespähter Daten, wodurch den Anbietern jeweils ein entsprechender Schaden, insgesamt in einer Größenordnung von 7.000 €, entstand.
Das LG (JugK) hat den Angekl. wegen Ausspähens von Daten in Tateinheit mit Datenveränderung sowie wegen Computerbetruges in 18 Fällen jeweils tateinheitlich mit Fälschung beweiserheblicher Daten zu einer Gesamtfreiheitsstrafe von 3 J. verurteilt. Zu Recht?

I. Strafbarkeit wegen des Ausspähens von Daten (§ 202a I StGB)
Nach § 202a I StGB macht sich strafbar, wer sich oder einem anderen unbefugten Zugang zu Daten unter Überwindung der Zugangssicherung verschafft, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind. Hierbei sind Daten im Sinne des Paragrafen 200 2a nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

1. Anforderungen an die Zugangssicherung
Es sind nur solche Daten vom Schutz des § 202a StGB erfasst, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BGH, Beschl. v. 06.07.2010 – 4 StR 555/09, NStZ 2011, 154 [= StV 2011, 17]).
„Die Zugangssicherung i.S.v. § 202a I StGB muss darauf angelegt sein, den Zugriff Dritter auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BGH aaO.; LK-StGB/Hilgendorf, § 202a Rn. 30; MüKo-StGB/Graf, § 202a Rn. 35; Rübenstahl/Debus NZWiSt 2012, 129 [131]). Darunter fallen insbes. Schutzprogramme, welche geeignet sind, unberechtigten Zugriff auf die auf einem Computer abgelegten Daten zu verhindern, und die nicht ohne fachspezifische Kenntnisse überwunden werden können und den Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (vgl. BT-Drs. 16/3656, S. 10). Schließlich muss der Zugangsschutz auch gerade im Zeitpunkt der Tathandlung bestehen (vgl. Graf aaO., Rn. 20).“ (BGH aaO.)

2. Anwendung auf den Fall
Eine Verurteilung wegen des ausspähen von Daten setzt voraus, dass die Wirkweise der von dem Angeklagten bereitgestellten Schadsoftware hinreichend genau dargestellt wird und die im konkreten Einzelfall umgangenen Zugangssicherung benannt wird.
“Der pauschale Verweis auf deren Bestehen reicht dafür ohne nähere Darlegung nicht aus, denn eine revisionsgerichtliche Kontrolle der eingangs genannten Voraussetzungen ist nur auf der Grundlage einer ausreichend deskriptiven Darlegung der konkreten tatsächlichen und technischen Umstände möglich. Die insoweit bestehende Lücke lässt sich durch die Feststellungen auch in ihrer Gesamtheit nicht schließen.
Hinzu kommt, dass das LG zwischen den Begrifflichkeiten der Firewall und des Virenschutzprogrammes nicht erkennbar differenziert hat, wodurch unklar bleibt, ob es die technischen Voraussetzungen der Zugangssicherung in tatsächlicher Hinsicht zutreffend bewertet hat. Während es zunächst nämlich darauf abstellt, der Trojaner sei so konzipiert gewesen, die vorinstallierte Firewall bestimmter Betriebssysteme zu umgehen, findet sich im Widerspruch dazu an späterer Stelle der Urteilsgründe die Feststellung und Wertung, die vom Angekl. bereitgestellte Schadsoftware sei durch die Virenprogramme der 327.379 Nutzer nicht erkannt worden. Unter Zugrundelegung der zu der Schadsoftware zuletzt getroffenen Feststellungen käme eine Firewall als tatbestandsmäßige Schutzvorrichtung bereits dem Grunde nach nicht in Betracht.
Die aufgezeigten Mängel haben die Aufhebung auch der tateinheitlich angenommenen Datenveränderung gem. § 303a I StGB zur Folge (§ 353 I StPO; vgl. BGH, Urt. v. 20.02.1997 – 4 StR 642/96, BGHR StPO § 353 Aufhebung 1; Beschl. v. 02.07.2015 – 2 StR 134/15). Ob sich der Tatbestand – wofür einiges spricht – auch auf Programmdaten wie hier die Registrierung der von der Schadsoftware befallenen Computer erstreckt, braucht der Senat deshalb nicht zu entscheiden.“ (BGH aaO.)

II. Strafbarkeit wegen Computerbetruges (§ 263a StGB) in Tateinheit mit Fälschung beweiserheblicher Daten (§ 269 I StGB)
Nach § 263a I Var. 3 StGB macht sich strafbar, wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unbefugte Verwendung von Daten beeinflusst. Nach § 269 I StGB macht sich strafbar, wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde oder derart gespeicherte oder veränderte Daten gebraucht.
„Schon auf der Grundlage der bisher getroffenen Feststellungen besorgt der Senat, dass das LG das konkurrenzrechtliche Verhältnis des Ausspähens von Daten (in Tateinheit mit Datenveränderung) zu dem Tatbestand der Fälschung beweiserheblicher Daten (§ 269 StGB) nicht zutreffend bewertet hat. Das LG hat nicht erkennbar bedacht, dass sich die betroffenen Tatzeiträume v. 01.01.2012 bis zum 17.03.2013 überschneiden. Abhängig von den konkreten Umständen des Handlungs- und Tatablaufs kann dies die Annahme von Tateinheit (§ 52 I StGB) zur Folge haben (vgl. auch Fischer, StGB, 62. Aufl., § 269 Rn. 12 und § 303a Rn. 18). Da nach den Feststellungen nahe liegt, dass die 18 […] namentlich benannten Computernutzer bereits zu den 327.379 Geschädigten […] und Feststellungen zum Vorliegen möglicherweise automatisierter technischer Abläufe fehlen, kann der Senat eine (Teil-)Überschneidung von Handlungseinheiten und
damit einer einheitlichen Tat im Rechtssinne jedenfalls nicht sicher ausschließen.“
(BGH aaO.)

III. Ergebnis
Die dargelegten Rechtsfehler führen insgesamt zur Aufhebung des Urteils.
„Auf Grund des aufgezeigten Widerspruchs und um dem neuen Tatrichter zu ermöglichen, umfassend stimmige eigene Feststellungen treffen zu können, waren auch die Feststellungen aufzuheben (§ 353 II StPO).
Das neue Tatgericht wird Gelegenheit haben, sich mit den Handlungsabläufen in technischer und zeitlicher Hinsicht umfassender als bislang auseinanderzusetzen. Erst die hinreichend genaue Feststellung der technischen Gegebenheiten ermöglicht die strafrechtliche Bewertung der in Frage kommenden – als solche bereits zutreffend erkannten – Straftatbestände.“ (BGH aaO.)

Veröffentlicht in der Zeitschriftenauswertung (ZA) August 2016