Im neu gefassten Aufsatz über das Skimming aus dem Mai 2008 habe ich das arbeitsteilige Skimming als die Abarbeitung eines Gesamtplans betrachtet, dessen Ziel die Realisierung kriminellen Gewinns durch den Missbrauch von gefälschten Zahlungskarten mit Garantiefunktion ist. Dadurch erscheint diese Form der Kriminalität als das Handeln einer Bande mit einer steuernden Instanz im Hintergrund, dem Kopf der Bande.

Betrachtet man die einzelnen Stufen des Tatplans (siehe Tabelle links) wegen ihrer Strafbarkeit, so bereiten sie durchaus Schwierigkeiten im Detail ( Grafik).

Der Handwerker, der sich darauf beschränkt, unauffällige Überwachungskameras, Lesegeräte oder ganze Fassaden von Geldautomaten herzustellen, begeht damit noch keine selbständige Straftat. Auch die vorverlagerte Strafbarkeit wegen der Hackertools gemäß § 202c StGB greift bei ihm nicht, weil sie sich im wesentlichen auf Computerprogramme, Passwörter und Sicherungscodes beschränkt. Sein Handeln erfolgt so betrachtet im Vorbereitungsstadium und ist im Hinblick auf das Ausspähen von Daten ( § 202a StGB) straflos.

Dasselbe gilt bei isolierter Betrachtung auch für die Läufer im "Außendienst", die die Überwachungstechnik in einer Bankfiliale installieren. Solange noch keine Daten ausgespäht sind, befinden sie sich im Versuchsstadium und der Versuch ist gemäß § 202a StGB nicht strafbar.
 

 
Die öffentlichen Einsätze im Zusammenhang mit Skimming (Arbeitsschritte 1. und 5.) sollen näher betrachtet werden. Dabei bereitet das reine Ausspähen von Daten die meisten Schwierigkeiten bei der rechtlichen Beurteilung.

Das (erfolgreiche) Ausspähen der Daten auf den Zahlungskarten ist ein typischer Anwendungsfall des § 202a StGB, der mit Freiheitsstrafe bis zu 3 Jahren droht ( mittlere Kriminalität). Das Ausspähen der PIN bei ihrer Eingabe im Tastenfeld ist davon jedoch nicht erfasst.

Das folgt aus der gesetzlichen Definition in § 202a Abs. 2 StGB. Danach sind Daten nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Geschützt werden somit nur die Daten, die bereits elektronisch verarbeitet werden und sich dazu auf einem Speichermedium befinden oder im Zuge des Verarbeitungsprozesses übermittelt werden. Das gilt jedoch noch nicht während der Eingabe der PIN. Sie ist ein manueller Vorgang, an dessen Anschluss erst die elektronische Verarbeitung ansetzt.

Dieses Ergebnis steht im Einklang mit dem Wortlaut und dem Schutzziel des § 202c Abs. 1 Nr. 1 StGB, der auf die Vorbereitung des Ausspähens von Daten anspricht und dazu auch das Sichverschaffen von Passwörtern mit dem Ziel des Ausspähens von Daten mit Strafe bedroht. Das ist jedoch nicht das Ziel der Täter bei diesem Arbeitsschritt des Skimmings: Sie verschaffen sich zwar Passwörter, aber nicht, um sie zum Ausspähen von Daten zu verwenden, sondern sie anderweitig zu missbrauchen.
 

 
Der spätere Einsatz der gefälschten Zahlungskarte mit den ausgespähten Kontozugangsdaten und somit auch der PIN ist ein Computerbetrug ( § 263a StGB) und eine Fälschung beweiserheblicher Daten ( § 269 StGB) (1).

Auch § 263a Abs. 3 StGB enthält einen vorverlagerten Gefährdungstatbestand: Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft ...

Computerprogramme bestehen aus Kommandos und logischen Operationen zur Steuerung eines elektronischen Verarbeitungsprozesses. Passwörter sind hingegen Variablen, die in einen Verarbeitungsprozess eingespeist werden. Ich habe ernste Schwierigkeiten damit, Passwörter als Programme zu verstehen.

Im Hinblick auf die Fälschung beweiserheblicher Daten ist die fälschliche Beeinflussung einer Datenverarbeitung im Rechtsverkehr ( § 270 StGB) der Täuschung im Rechtsverkehr gleichgestellt. Vorbereitungshandlungen sind danach jedoch nicht strafbar.

Einschlägig ist allenfalls die Datenveränderung ( § 303a StGB). Sie betrifft, wie schon die Überschrift zum Ausdruck bringt, auch die rechtswidrige Veränderung von Daten (Definition wie in § 202a Abs. 2 StGB). Welche Daten davon betroffen sind, ist nicht so ganz einfach zu bestimmen.

Auf der Spur 3 des Magnetstreifens einer Zahlungskarte wird auch die Anzahl der fehlgeschlagenen PIN-Eingaben vermerkt. Der Schutz des § 303a StGB richtet sich jedoch auf die Original-Hardware und nicht auf die gefälschte Zahlungskarte, so dass die Änderungen der Daten auf diesen Karten bei ihrem missbräuchlichen Einsatz nicht gemeint sein können.
 

 
Bei dem Missbrauch werden jedoch auch die Kontodaten der Bank, bei der das Bargeld bezogen wird, und anschließend auch bei der Bank verändert, die das Konto für die Originalkarte führt. Diese "Fernwirkungen" dürften auch noch von § 303a StGB umfasst sein.

Gemäß § 303a Abs. 3 StGB gelten für die Vorbereitung der Datenveränderung auch die Strafbarkeitsvoraussetzungen des § 202c StGB. Somit ist auch das Sichverschaffen von Passwörtern zum Zweck der Datenveränderung im Zusammenhang mit dem Missbrauch gefälschter Zahlungskarten als Vorbereitungshandlung strafbar.

Fazit

Das Ausspähen der PIN im Zusammenhang mit dem Skimming mit Überwachungskameras oder aufgesetzten Tastaturen ist isoliert betrachtet ein strafbares Sichverschaffen von Passwörtern als Vorbereitungshandlung zur Datenveränderung gemäß § 303a Abs. 3 in Verbindung mit § 202c Abs. 1 Nr. 1 StGB. Zu diesem Ergebnis gelangt man nur nach mehreren Anläufen, wie sich gezeigt hat.

Das erst 2007 aktualisierte Hackerstrafrecht zeigt damit, dass es in der Praxis nur unter Schwierigkeiten anzuwenden ist und ihm eine klare Struktur fehlt.

Die Definition von Daten hätte dazu in den § 11 StGB eingebunden werden können und allein die Gefährdungstatbestände hätten einen eigenen Abschnitt im Besonderen Teil des Strafgesetzbuches verdient. Das hätte die Rechtspraxis erleichtert und das Verständnis bei den Bürgern erst ermöglicht. Diese Chance ist vertan.
 

 
In dem Aufsatz über die Kriminalität aus dem Baukasten habe ich die Ergebnisse aus den Überlegungen zur modularen Cybercrime verallgemeinert und dazu zwischen Rüst-, Erwerbs- und Absatztaten unterschieden. Eine Rüsttat ist danach im Vorbereitungsstadium angesiedelt und kann aufgrund von Gefährdungstatbeständen einer selbständigen Strafbarkeit unterliegen.

Nach dem von der Rechtsprechung ausgeformten Begriff der Bande macht sich auch der Gehilfe strafbar, wenn er seinen Tatbeitrag als Beteiligung an verschiedenen Erwerbstaten versteht oder sich gleichbleibend an verschiedenen Erwerbstaten als Nebentäter beteiligen will. Sein Tatbeitrag kann sich dabei auf Unterstützungsleistungen beschränken, die im Rüststadium verbleiben. In Bezug auf arbeitsteilige Banden verweist der Bundesgerichtshof insoweit besonders auf die Bandenmitglieder, die sich mit ihrer besonderen Ortskenntnis nur an der Tatplanung beteiligen oder die erforderlichen Vorbereitungen treffen (2).

Die Strafbarkeit des Gehilfen ( § 27 StGB) unterliegt der Akzessorietät. Das bedeutet, dass sein Tatbeitrag tatsächlich Teil einer (jedenfalls rechtswidrigen) vollendeten Tat werden muss. Unterlässt der Haupttäter die Ausführung der Tat, entfällt auch die Strafbarkeit des Gehilfen.
 

Auf die üblichen Skimming-Fälle wird die Strafverfolgung dadurch aufmerksam, dass ein Missbrauch von Kontozugangsdaten durch gefälschte Zahlungskarten (im Ausland) stattgefunden hat. Aufgrund der dabei verwendeten Kontodaten lässt sich rückverfolgen, wann und wo sie ausgespäht wurden. Dabei steht zur Gewissheit fest, dass das Ausspähen von Daten zum Tatbeitrag des Missbrauchs von Zahlungskarten mit Garantiefunktion ( § 152b StGB) geworden ist, also auch eine Beihilfe zu diesem Verbrechen darstellt (3). Dabei sind die inländischen Tatbeiträge auch strafbar, wenn die Haupttat (das Nachmachen oder Gebrauchen) im Ausland begangen wird.
 

Der Bandenbegriff kann nicht grundsätzlich und zwingend auf die modulare Kriminalität übertragen werden. Sie ist nach dem Vorbild des Projektmanagements organisiert, ohne dass sich die Gehilfen bei den einzelnen Arbeitsschritten einem Bandenziel unterwerfen müssen. Ihre Beteiligung kann sich auch auf einen Einzelfall beschränken, so dass sie als Bandenmitglieder ausscheiden.

Für die modulare Kriminalität ist kennzeichnend, dass ein Koordinator das kriminelle Projekt plant, durchführt und steuert. Er kalkuliert dazu die einzelnen Arbeitsschritte nach Maßgabe des finanziellen Aufwands, des (kriminellen) Ertrags und seines Entdeckungsrisikos (4).

In Bezug auf das Ausspähen von Daten muss der Koordinator entscheiden, ob es sich lohnt, eigene Leute dazu einzusetzen, eine Operating Group damit zu beauftragen, die sich darauf beschränkt, die ausgespähten Daten abzuliefern, oder bereits angebotene Daten zu kaufen.

Solche Überlegungen ziehen sich bis zur Vollendung des Projektziels durch. Lässt man die Zahlungskarten selber fälschen oder kauft man bereits gefälschte einfach ein? Lässt man die Karten von eigenen Leuten einsetzen oder beauftragt man eine Operating Group?
 

 
Diese Art der Arbeitsteilung entzieht sich dem Bandenbegriff, obwohl sie nicht minder gefährlich ist als die Kriminalität klassischer Banden.

Selbstzitat: Die modulare Kriminalität steht der Gefährlichkeit der Bandenkriminalität in nichts nach. Mit dem Instrumentarium der Bandenkriminalität lässt sie sich hingegen nicht greifen, wenn nicht der Koordinator einen permanenten Stab um sich herum aufbaut oder anstelle eines Projektes ein auf Dauer angelegtes Programm auflegt. Bei einem solchen Programm handelt es sich um einen organisatorischen Überbau, der immer wieder neue Projekte einrichtet. Ein Projekt ist immer durch Dauer und Ziel begrenzt. Ein Programm hingegen verfolgt langfristige und allgemein beschriebene Ziele. Das Ziel des modularen Programms ist die Gewinnerwirtschaftung durch kriminelle Projekte. (5)

 
Aufgrund der Akzessorietät der Beihilfe kann die Strafbarkeit des "Ausspähers" ganz entfallen, wenn sein Einsatz scheitert.

Nehmen wir an, die Täter installieren das Lesegerät und die Kamera und ziehen sich dann zurück. Das Lesegerät funktioniert jedoch nicht. Am Ende des Einsatzes verfügen der Täter über PIN, aber über keine Kartendaten, so dass die PIN nutzlos sind.

Der Einsatz der Täter kann in diesem Fall nicht in einen Missbrauch von Zahlungskartendaten münden, so dass auch ihre Beihilfe zu dieser qualifizierten Tat straflos bleibt.

Allein die erfolglose Installation des Lesegerätes ist ebenso straflos, weil § 202a StGB keine Strafbarkeit des Versuchs kennt ( § 22 StGB).

Als strafbares Handeln bleibt nur das oben angesprochene Ausspähen der PIN mit der Überwachungskamera als ein Sichverschaffen von Passwörtern als Vorbereitungshandlung zur Datenveränderung gemäß § 303a Abs. 3 in Verbindung mit § 202c Abs. 1 Nr. 1 StGB. Die Strafdrohung beschränkt sich auf Geldstrafe oder Freiheitsstrafe bis zu einem Jahr.
 

 
Werden die Täter bei der Installation gestört und brechen sie sie ab oder werden sie dabei festgenommen, haben sie sich überhaupt nicht strafbar gemacht, weil sie sich noch beim Versuch befunden haben und auch der § 202c StGB keine Strafbarkeit des Versuchs kennt.

Ganz anders ist es zu beurteilen, wenn die gefälschten Zahlungskarten eingesetzt werden. Dabei handelt es sich um ein Gebrauchen im Sinne von § 152a Abs. 1 Nr. 2 StGB, dessen Versuch strafbar ist ( § 152a Abs. 2 StGB). Bei einer Strafdrohung mit bis zu 5 Jahren Freiheitsstrafe oder Geldstrafe im Grunddelikt kann sie sich beim Versuch auf eine Höchststrafe von 3 Jahren 9 Monate Freiheitsstrafe verringern ( §§ 23 Abs. 2, 49 Abs. 1 Nr. 2 StGB). Es handelt sich dabei um eine Kann-Vorschrift, so dass die Milderung den Regelfall darstellt.
 

(1) Skimming. Strafrecht

(2) BGH, Beschluss vom 22.03.2001 - GSSt 1/00, S. 17;
weitere Einzelheiten zur Banden-Rechtsprechung.

(3) Skimming. Strafrecht

(4) die Messlatte des Koordinators;
siehe auch neue Erkenntnis: modulare Kriminalität.

(5) modulare Kriminalität