Im Februar 2010 wurden mehrere Entscheidungen des BGH veröffentlicht, die Bezug zum Skimming haben. Sie haben dazu geführt, dass ich alle verfügbare Zeit auf die Überarbeitung des Arbeitspapiers zum Skimming verwendet habe und der Cyberfahnder im übrigen in Agonie verfiel.

Das Ergebnis ist eine vollständige Überarbeitung des Positionspapiers, das jetzt als -Dokument 42 Seiten umfasst. Sein rechtlicher Teil wurde weitgehend neu gefasst. Hinzu gekommen ist eine Rechtsprechungsübersicht, deren Stichwörter auf einschlägige Entscheidungen verweist.

Zu den Themen:

Die wichtigste noch immer offene Frage ist die, ob das Ausspähen der Kartendaten bereits zum Versuch des Fälschens von Zahlungskarten gehört oder noch nicht. Im Zusammenhang mit der Beschaffung von nicht individualisierten Kartenrohlingen hat das der BGH - in diesem Fall zu recht - verneint (1). Auf das arbeitsteilige Skimming ist diese Entscheidung nach der BGH-Rechtsprechung über den Versuchsbeginn bei vorangehenden Handlungen aber nicht zwingend anzuwenden.
  

 
Die Magnetstreifen von Zahlungskarten haben keinen Zugangsschutz. Der BGH folgert daraus, dass ihr Auslesen kein Ausspähen von Daten im Sinne von § 202a Abs. 1 StGB ist (2).

Dem kann man wenig entgegnen. Nur das: Die Erreichbarkeit der Kartendaten hängt von einer willentlichen Entscheidung des Karteninhabers ab. Er muss die Karte in ein Lesegerät einschieben und dabei darf er darauf vertrauen, keiner manipulierten Technik ausgesetzt zu sein. Das verlangt das BVerfG jedenfalls von staatlichen Eingriffen, die die Vertraulichkeit und Integrität informationstechnischer Systeme beachten müssen (3). Im Wege einer verfassungskonformen Auslegung hätte das auch zur Folge haben können, den Zugangsschutz zu Kartendaten in der willentlichen Entscheidung über den Einsatz ihrer Inhaber zu sehen.

Darum hat sich der entscheidende Senat gedrückt und aus verfahrensökonomischen Gründen - unter Mitwirkung des GBA - auf das vorgesehene Anhörungsverfahren bei den anderen Senaten verzichtet.

 
Das Arbeitspapier unterscheidet jetzt genauer zwischen den Ausspähgeräten und der Strafbarkeit des Umgangs mit ihnen im Vorbereitungsstadium.

Noch keine klare Aussage gibt es zu den Kartenlesegeräten (Skimmer). Sie sind dazu präpariert, die Kartendaten von den Magnetstreifen auszuspähen und dienen damit zum Nachmachen von Zahlungskarten. Die Meinungen scheinen sich darauf zu konzentrieren, dass Skimmer "Programme oder ähnliche Vorrichtungen" im Sinne von § 149 Abs. 1 StGB sind. Das bedeutet, dass ihre Herstellung und der Verkehr mit ihnen mit Geldstrafe oder mit Freiheitsstrafe bis zu 5 Jahren bedroht sind.

Tastaturaufsätze sind ebenfalls besondere zum Zweck des Ausspähens konstruierte Geräte. Das Ausspähen der PIN dient jedoch nicht der Fälschung von Zahlungskarten, sondern ihrem Gebrauch (Cashing). Sie werden von § 149 Abs. 1 StGB nicht erfasst, weil dieser Straftatbestand nur Rohstoffe und Fälschungswerkzeuge bezeichnet.

Der Gebrauch gefälschter Zahlungskarten ist immer auch ein Computerbetrug ( § 263a StGB). Von § 263a Abs. 3 StGB wird auch der Umgang mit Computerprogrammen unter Strafe gestellt, die ausdrücklich dem Computerbetrug dienen. Das umfasst zwar nicht die Ausspähgeräte, wohl aber die Computerroutinen, die ihre Komponenten steuern, um die ausgespähten PIN zu speichern. Der Umgang mit ihnen ist mit Geldstrafe oder Freiheitsstrafe bis zu 3 Jahren bedroht.
 

 
 Bei den Kameras zum Ausspähen der PIN muss weiter differenziert werden.

Handelt es sich um Geräte, deren Steuerung aus einzelnen Komponenten zusammen gebaut wird, sind sie wie Tastataturaufsätze zu behandeln. Der Umgang mit dem Computerprogramm zum Speichern der ausgespähten PIN ist nach § 263a Abs. 3 StGB strafbar.

Das gilt nicht für die Kameraleisten und Rauchmelder, in denen handelsübliche Mobiltelefone mit Kamerafunktion oder digitale Kameras verbaut werden. Sie werden mit den Standardprogrammen gesteuert, mit denen sie ausgeliefert werden, und diese sind als Dual Use-Programme straffrei (4).

Aber die Verwendung von solchen Dual Use-Komponenten kann dann zur Strafbarkeit führen, wenn mit ihnen mindestens 2 PIN erfolgreich ausgespäht werden. Dafür sorgen § 303b Abs. 5 in Verbindung mit § 202c Abs. 1 StGB. Danach ist die Beschaffung von Passwörtern oder sonstigen Sicherungscodes mit Freiheitsstrafe bis zu einem Jahr bedroht. Immerhin.
 

 
Die Sicherheitsmerkmale, die von § 152a Abs. 4 Nr. 2 StGB in Bezug auf Zahlungskarten und von § 152b Abs. 4 Nr. 2 StGB wegen der Garantiefunktion verlangt werden, müssen unterschieden werden nach ihrer optischen Wahrnehmbarkeit und der digitalen Maschinenlesbarkeit (5). Sie müssen nicht gleichzeitig nachgemacht werden, so dass als Fälschung auch eine schlichte WhiteCard anerkannt wird, die nur über einen Magnetstreifen verfügt, der mit ausgespähten Daten beschrieben wird.

Die optischen Merkmale sind vor allem das Druckbild, die Hologramme, der Schrifttyp, die besondere Kartennummer und das Unterschriftsfeld. Wegen der Garantiefunktion kommt der Label hinzu, der die Karte als eine solche ausweist, die Autorisierungs- und Genehmigungsverfahren teilnimmt.

Die digitalen Sicherungen sind besonders das Maschinenlesbare Merkmal, der EMV-Chip und der Magnetstreifen, der besondere Prüfwerte für die PIN und die Codierung des Maschinenlesbaren Merkmals enthält.
 

 
... erfahren Sie in der neuen Auflage des

Arbeitspapiers Skimming #2

 
(1) BGH, Urteil vom 13.01.2010 – 2 StR 439/09, Rn 9.

(2) BGH, Beschluss vom 14.01.2010 - 4 StR 93/09

(3) Gestalt und Grenzen des neuen Grundrechts

(4) Klarstellungen zum Hackerstrafrecht

(5) BGH, Urteil vom 13.01.2010 – 2 StR 439/09, Rn. 11