„IT-Recht und Geistiges Eigentum
sind seit über 10 Jahren unsere Leidenschaft.“

Jetzt unverbindlich Kontakt aufnehmen:

BGH: Datensätze und PIN einer EC-Karte an Geldautomaten abschöpfen, erfüllt nicht den Tatbestand des „Ausspähens von Daten“, bleibt aber auch nicht straflos / Skimming

veröffentlicht am 3. November 2010

Rechtsanwältin Katrin ReinhardtBGH, Urteil vom 06.07.2010, Az. 4 StR 555/09
§ 202 a Abs. 1 StGB

Der BGH hat entschieden, dass der Straftatbestand des „Ausspähens von Daten“ noch nicht erfüllt ist, wenn der Täter an einem Geldautomaten den Inhaber der Karte beim Eingeben der PIN-Nummer heimlich filmt und gleichzeitig über ein dem Geldautomaten vorgeschaltetes Auslesegerät die Daten der EC-Karte zu späteren Kopierzwecken ausliest (sog. Skimming). Straflos blieb das Verhalten des Täters aber nicht. Er wurde u.a. wegen Fälschung von Zahlungskarten mit Garantiefunktion und Computerbetrugs zu einer Gesamtfreiheitsstrafe von sieben Jahren und sechs Monaten verurteilt. Zum Volltext der Entscheidung:

Bundesgerichtshof

Beschluss

In der Strafsache gegen

wegen gewerbs- und bandenmäßiger Fälschung von Zahlungskarten mit Garantiefunktion u.a.

Der 4. Strafsenat des Bundesgerichtshofs hat nach Anhörung des Generalbundesanwalts und des Beschwerdeführers am 06.07.2010 gemäß § 349 Abs. 2 und 4 StPO beschlossen:

1.
Auf die Revision des Angeklagten wird das Urteil des Landgerichts Münster vom 24.07.2009 im Schuldspruch dahin geändert, dass in den Fällen II. 1 bis 3 der Urteilsgründe jeweils die tateinheitliche Verurteilung wegen Ausspähens von Daten entfällt.

2.
Die weiter gehende Revision wird verworfen.

3.
Der Angeklagte trägt die Kosten seines Rechtsmittels.

Gründe:

Das Landgericht hat den Angeklagten wegen gewerbs- und bandenmäßiger Fälschung von Zahlungskarten mit Garantiefunktion in Tateinheit mit gewerbs- und bandenmäßigen Computerbetrug und mit Ausspähen von Daten in drei Fällen, wegen versuchter gewerbsmäßiger Fälschung von Zahlungskarten mit Garantiefunktion in fünf Fällen, davon in einem Fall auch bandenmäßig handelnd, und wegen gewerbsmäßiger Fälschung von Zahlungskarten mit Garantiefunktion in Tateinheit mit gewerbsmäßigem Computerbetrug zu der Gesamtfreiheitsstrafe von sieben Jahren und sechs Monaten verurteilt. Hiergegen richtet sich die auf eine Verfahrensbeanstandung und die Sachrüge gestützte Revision des Angeklagten. Das Rechtsmittel führt zu der aus der Entscheidungsformel ersichtlichen Änderung des Schuldspruchs; im Übrigen ist es unbegründet im Sinne des § 349 Abs. 2 StPO.

1.
Nach den Feststellungen zu den Fällen II. 1 bis 3 der Urteilsgründe schlossen sich der Angeklagte und die gesondert Verfolgten V. , N. , C. und P. Anfang Februar 2007 als Bande zusammen, um gewerbsmäßig zur Täuschung im Rechtsverkehr in einer Vielzahl von Fällen falsche Zahlungskarten mit Garantiefunktion herzustellen und mit diesen Karten im Ausland an Geldautomaten Geld abzuheben. Um sich die zum Nachmachen echter Zahlungskarten mit Garantiefunktion benötigten Daten zu verschaffen, die auf den Magnetstreifen solcher Karten gespeichert sind, setzten der Angeklagte und seine Mittäter ein mit einem Speichermedium versehenes Kartelesegerät ein, das unauffällig vor den in die Geldautomaten eines bestimmten Typs eingebauten Einzugslesegeräten angebracht werden konnte. Die bei der Benut-zung des Geldautomaten vom Inhaber der Zahlungskarte eingegebene persön-liche Geheimzahl (PIN) erlangten sie mittels eines über der Tastatur des Geldautomaten angebrachten, ebenfalls mit einem Speichermedium versehenen Tastaturaufsatzes. Auf diese Weise verschafften sich der Angeklagte und seine Mittäter am 17. Februar 2007 durch Anbringen solcher Geräte an einem Geld-automaten in einer Bank in Münster 21 Datensätze von Zahlungskarten und die jeweils zugehörige PIN, am 24. Februar 2007 durch Anbringen der Geräte an einem Geldautomaten in einer Bank in Dinslaken 21 Datensätze und am 7. Juli 2007 in Osnabrück weitere 35 Datensätze von Zahlungskarten. Nach dem Ent-fernen der Aufsatzgeräte von dem Geldautomaten las der Angeklagte allein oder mit Hilfe eines Mittäters jeweils die Speichermedien der Geräte aus. Die Datensätze der echten Zahlungskarten wurden anschließend in Amsterdam auf die Magnetstreifen von Payback-Karten übertragen, welche Bandenmitglieder zuvor beschafft hatten. In der Folgezeit hoben Mitglieder der Bande unter Ver-wendung der nachgemachten Karten und der zu diesen Datensätzen jeweils gehörenden PIN an Geldautomaten im Ausland Bargeld ab.

2.
Die Verurteilung wegen tateinheitlich begangenen Ausspähens von Daten hält einer rechtlichen Prüfung nicht stand. Das bloße Auslesen der auf dem Magnetstreifen einer Zahlungskarte mit Garantiefunktion gespeicherten Daten, um mit diesen Daten Kartendubletten herzustellen, erfüllt nicht den Tatbestand des § 202 a Abs. 1 StGB.

a)
Die Strafvorschrift des § 202 a Abs. 1 StGB sowohl in ihrer zur Tatzeit geltenden, als auch in der durch das 41. Strafrechtsänderungsgesetz zur Be-kämpfung der Computerkriminalität vom 7. August 2007 (BGBl. I 1786) neu gestalteten Fassung setzt voraus, dass die Angriffshandlung des Täters sich auf solche Daten im Sinne des § 202 a Abs. 2 StGB bezieht, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Bereits nach der alten Fassung der Norm war darüber hinaus erforderlich, dass bei dem damals tatbestandsmäßigen Verschaffen der Daten die besondere Zu-gangssicherung überwunden wird (vgl. MünchKomm StGB/Graf § 202 a Rdn. 48; Hoyer in SK-StGB 7. Aufl. § 202 a Rdn. 12; Lenckner in Schön-ke/Schröder, StGB 27. Aufl. § 202 a Rdn. 10). Hieran anknüpfend (vgl. BTDrucks. 16/3656 S. 10) verlangt § 202 a Abs. 1 StGB n.F. nunmehr aus-drücklich, dass der Täter sich oder einem anderen den Zugang zu Daten unter Überwindung der Zugangssicherung verschafft.

Diese Strafbarkeitsvoraussetzungen werden beim Auslesen der auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten mittels eines am Ein-zugslesegerät eines Geldautomaten angebrachten weiteren Lesegeräts (sog. Skimming), um mit den erlangten Daten in der ursprünglichen Form den Mag-netstreifen einer Kartendublette zu beschreiben, nicht erfüllt (Senatsbeschluss vom 14. Januar 2010 – 4 StR 93/09; NStZ 2010, 275). Bei den unverschlüsselt auf dem Magnetstreifen gespeicherten Daten fehlt es bereits an einer besonde-ren Sicherung gegen unberechtigten Zugang, sodass diese Taten als taugliches Tatobjekt im Sinne des § 202 a Abs. 1 StGB ausscheiden. Soweit beim Ausle-sen die zur Berechnung der PIN verschlüsselt gespeicherten Daten in ver-schlüsselter Form erlangt werden, wird die in der Verschlüsselung liegende Zu-gangssicherung nicht überwunden.

aa)
Dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt keine besondere Sicherung gegen unberechtigten Zugang dar. Vielmehr handelt es sich gemäß § 202 a Abs. 2 StGB nur bei Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespei-chert oder übermittelt werden, um Daten im Sinne des ersten Absatzes dieser Vorschrift. Demgemäß schützt § 202 a Abs. 1 StGB nur diejenigen nicht unmit-telbar wahrnehmbar gespeicherten Daten im Sinne des § 202 a Abs. 2 StGB, die darüber hinaus besonders gesichert sind. Das sind nur solche Daten, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BTDrucks. 10/5058, S. 29 zu § 202 a StGB a.F.; BTDrucks. 16/3656, S. 10). Erforderlich ist, dass der Verfü-gungsberechtigte – hier das Unternehmen, das die Zahlungskarte mit Garantiefunktion ausgegeben hat (vgl. BGH, Urt. vom 10. Mai 2005 – 3 StR 425/04, NStZ 2005, 566) – Vorkehrungen getroffen hat, um den Zugriff auf die auf dem Magnetstreifen der Zahlungskarte gespeicherten Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren (vgl. BTDrucks. 16/3656 aaO; Fischer StGB 57. Aufl. § 202 a Rdn. 8 jeweils m.w.N.). Eine Schutzvorkehrung ist jedoch nur dann eine Zugangssicherung im Sinne des § 202 a Abs. 1 StGB, wenn sie jeden Täter zu einer Zugangsart zwingt, die der Verfügungsberechtigte erkennbar verhindern wollte (BTDrucks. 16/3656 aaO; Fischer aaO Rdn. 9). Der Überwindung einer solchen Zugangssicherung bedarf es jedoch nicht, wenn die auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten lediglich ausgelesen werden. Dies ist ohne Weiteres mittels eines handelsüblichen Lesegeräts undder ebenfalls im Handel erhältlichen Software möglich.

bb)
Der Umstand, dass sich der Angeklagte und seine Mittäter mittels des an den jeweiligen Geldautomaten angebrachten Lesegeräts den Zugriff auch auf jene Daten verschafften, die in Verbindung mit der über eine Tastatur gesondert einzugebenden PIN vor der unbefugten Verwendung einer Zahlungskarte schützen sollen, führt entgegen der Auffassung des Generalbundesan-walts zu keinem anderen Ergebnis. Die Autorisierung bei der Verwendung einer Zahlungskarte mit Garantiefunktion erfolgt ausschließlich über die Eingabe der PIN (vgl. Gößmann in Schimansky/Bunte/Lwowski Bankrechts-Handbuch § 54 Rdn. 14 b). Diese wird nicht durch Lesen der Daten aus dem Magnetstreifen ermittelt, sondern mit dem Triple-DES-Algorithmus, einem 128-Bit-Schlüssel, aus der auf dem Magnetstreifen gespeicherten Kontonummer, der Kartenfolgenummer und der jeweiligen Bankleitzahl des Karten ausgebenden Instituts – nunmehr ausschließlich online (vgl. Gößmann aaO) – errechnet und mit der vom Benutzer des Geldautomaten eingegebenen PIN verglichen (vgl. BGH, Urt. vom 05.10.2004 – XI ZR 210/03, BGHZ 160, 308, 311; Gößmann aaO; Koch/Vogel in Langenbucher/Gößmann/Werner Zahlungsverkehr § 5 Rdn. 10). Die für die Berechnung der PIN erforderlichen Daten sichern die auf dem Mag-netstreifen einer Zahlungskarte gespeicherten Daten aber lediglich vor unbefug-ter Verwendung der Daten beim Benutzen der Karte, nicht jedoch vor dem un-berechtigten Zugang zu den Daten durch Auslesen mit einem Lesegerät.

cc)
Die Sicherung der der Berechnung der PIN zugrunde liegenden Daten durch Verschlüsselung mittels kryptografischer Schlüssel (Koch/Vogel aaO) stellt zwar nach wohl herrschender Meinung (vgl. Fischer aaO Rdn. 9 a) eine besondere Zugangssicherung dar, die aber ausschließlich vor der Erfassung des Bedeutungsgehalts der Daten schützt (MünchKomm StGB/Graf aaO Rdn. 40). Beim bloßen Auslesen und Abspeichern der verschlüsselten Daten auf einen Datenträger des Täters bleibt die Verschlüsselung indes unangetastet, sodass mangels Überwindung der Zugangssicherung der Tatbestand des § 202 a Abs. 1 StGB nicht erfüllt ist (vgl. MünchKomm StGB/Graf aaO Rdn. 46; Bosch in Satzger/Schmitt/Widmaier StGB § 202 a Rdn. 6; Gröseling/Höfinger MMR 2007, 549, 551). Gleiches gilt für sonstige möglicherweise in verschlüsselter Form auf dem Magnetstreifen einer Zahlungskarte gespeicherte Daten.

b)
Auf Anfragebeschluss des Senats hat der 3. Strafsenat seine entge-genstehende, dem Urteil vom 10.05.2005 – 3 StR 425/04 (NStZ 2005, 566) zu Grunde liegende Rechtsprechung aufgegeben. Der 2. Strafsenat ist der hier vertretenen Rechtsansicht beigetreten, der 1. und 5. Strafsenat haben mitgeteilt, an möglicherweise entgegenstehender Rechtsprechung nicht festzuhalten.

3.
Der Wegfall der tateinheitlichen Verurteilungen wegen Ausspähens von Daten in den Fällen II. 1 bis 3 der Urteilsgründe lässt den Strafausspruch unberührt. Der Senat kann ausschließen, dass der Tatrichter auf der Grundlage einer zutreffenden rechtlichen Bewertung auf mildere Einzelstrafen erkannt hätte. Die Strafkammer, die die Einzelstrafen jeweils dem – Freiheitsstrafe nicht unter zwei Jahre vorsehenden – Regelstrafrahmen des § 152 b Abs. 2 StGB entnommen hat, hat die jeweiligen Verurteilungen wegen Ausspähens von Daten – anders als die tateinheitliche Verwirklichung des Verbrechenstatbestandes des § 263 a Abs. 2 StGB i.V.m. § 263 Abs. 5 StGB – weder bei der Prüfung des Vorliegens eines minder schweren Falles nach § 152 b Abs. 3 StGB im Zuge der Strafrahmenwahl, noch bei der Strafzumessung im engeren Sinne zum Nachteil des Angeklagten berücksichtigt.

4.
Der nur geringfügige Teilerfolg der Revision rechtfertigt es nicht, den Angeklagten nach § 473 Abs. 4 StPO teilweise von den durch das Rechtsmittel entstandenen Kosten und Auslagen frei zu stellen.