B. Sachverhalt
A und B sind befreundet. B ist Inhaberin eines Kontos bei der S-Sparkasse. Nach dem zwischen ihr und der S-Sparkasse geschlossenen Bankkartenvertrag bei der Nutzung der Bankkarte (sog. personalisiertes Zahlungsauthentifizierungsinstrument, vgl. § 1 V ZAG) ist eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Als sie sich in stationäre Behandlung begeben muss, übergibt sie A ihre Bankkarte und bittet ihn, von dem Konto einen Betrag in Höhe von 500 Euro abzuheben und mit diesem Betrag eine noch offene Nebenkostenforderung bei ihrem Vermieter bar zu begleichen. Damit A das Geld über einen Geldautomaten abheben kann, teilt B dem A auch ihre PIN-Nummer mit. A hebt unter Verwendung der ihm übergebenen Karte und der ihm mitgeteilten PIN-Nummer 500 Euro ab und übergibt sie dem Vermieter. Weil ihn Geldsorgen plagen, hebt er an einem anderen Geldautomaten weitere 500 Euro und begleicht damit eigene Schulden. Das wurde weder von B gebilligt noch hat A dies der B mitgeteilt.
Hat A sich wegen Computerbetruges gemäß § 263a StGB strafbar gemacht?
B. Die Entscheidung des BGH (Beschl. v. 23.11.2016 – 4 StR 464/16)
A könnte sich wegen Computerbetruges gemäß § 263a I Var. 3 StGB strafbar gemacht haben, indem er ohne Wissen der B ein weiteres Mal 500 Euro unter Einsatz der ihm überlassenen Bankkarte abhob, um das Geld für sich zu verwenden.
I. Objektiver Tatbestand
A müsste das Vermögen eines anderen dadurch beschädigt haben, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unbefugte Verwendung von Daten beeinflusste.
Zunächst müsste er also das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst haben. Der Wortlaut legt zwar nahe, dass ein bereits laufender Datenverarbeitungsvorgang beeinflusst werden muss, während das Ingangsetzen eines solchen Vorgangs nicht genügen würde. Nach ganz h.M. aber ist in der Betriebsbereitschaft des Geldautomaten ein bereits laufender Vorgang zu sehen. Zudem sei das Ingangsetzen die stärkste Form der Beeinflussung. So hat der BGH in einer Entscheidung aus dem Jahr 1991 ausgeführt:
„Der vereinzelt vertretenen Auffassung, eine Beeinflussung eines Datenverarbeitungsvorganges liege in derartigen Fällen nicht vor, weil der Begriff der Beeinflussung die Existenz eines bereits in Gang gesetzten Datenverarbeitungsvorganges voraussetze (vgl. Kleb-Braun JA 1986, 249, 259; Jungwirth MDR 1987, 537, 543), vermag der Senat nicht zu folgen. Einfluß auf ein Ergebnis nimmt gerade auch derjenige, der einen Kausalverlauf unter Verwendung bestimmter Mittel in Gang setzt, die von Dritten geschaffen und bereitgestellt wurden, um ein anderes Ergebnis (nämlich die Auszahlung an den Berechtigten) zu erreichen (vgl. auch Otto JR 1987, 221, 224; Cramer in Schönke/Schröder, StGB 23. Aufl. § 263 a Rdn. 10; Dreher/Tröndle, StGB 45. Aufl. § 263 a Rdn. 8 a; Ehrlicher, Der Bankautomatenmißbrauch 1989 S. 80 ff).“ (BGH Urt. v. 22.11.1991 – 2 StR 376/91)
Zudem müsste A unbefugt Daten (§ 202a II StGB) verwendet haben (§ 263a I Var. 3 StGB). Bekanntlich ist die Auslegung des Merkmals „unbefugt“ umstritten:
Nach der subjektiven Auslegung handelt unbefugt, wer Daten gegen den tatsächlichen oder mutmaßlichen Willen des Berechtigten verwendet. Hiernach hätte A unbefugt gehandelt.
Die Vertreter der computerspezifischen Auslegung verlangen einen besonderen Bezug zum Datenverarbeitungsvorgang. Die unbefugt verwendeten Daten müssen entweder computerspezifische Abläufe selbst betreffen oder der entgegenstehende Wille des Berechtigten muss im Datenverarbeitungsvorgang seinen Niederschlag gefunden haben. Beides liegt hier nicht vor.
Nach der herrschenden betrugsnahen oder –spezifischen Auslegung ist eine Datenverwendung nur dann unbefugt, wenn sie gegenüber einer natürlichen Person Täuschungscharakter hätte. § 263a StGB scheidet danach aus, wenn eine dem § 263 StGB entsprechende Täuschungshandlung fehlt oder ein entsprechendes Täuschungsverhalten gegenüber Personen nicht zum Betrug führen würde. Das folge aus der Struktur- und Wertgleichheit des § 263a StGB mit dem Betrugstatbestand. Der BGH hat dazu in einer Entscheidung aus dem Jahr 2015 ausgeführt:
„Dies folgt aus der verfassungsrechtlich gebotenen einschränkenden Auslegung des Tatbestands des Computerbetrugs (vgl. Heger in Lackner/Kühl, StGB, 28. Aufl., § 263a Rn. 12). Danach handelt nicht schon derjenige „unbefugt“, der Daten entgegen dem Willen des Berechtigten verwendet oder die verwendeten Daten rechtswidrig erlangt hat (vgl. BGH, Beschluss vom 29. Juni 2005 – 4 StR 550/04, BGHSt 50, 174, 179; a. A. SSW/Hilgendorf, StGB, 2014, § 263a Rn. 14; NK/Kindhäuser, StGB, 4. Aufl., § 263a Rn. 27). Aus der im Verhältnis zum berechtigten Karteninhaber missbräuchlichen Verwendung der Bankkarte mit der Geheimzahl folgt auch keine fehlerhafte Beeinflussung der automatisierten Abläufe (so die „computerspezifische Auslegung“). Nach der Rechtsprechung des Bundesgerichtshofs ist der Anwendungsbereich des § 263a Abs. 1 Var. 3 StGB unter Berücksichtigung des Zwecks der Vorschrift durch Struktur- und Wertgleichheit mit dem Betrugstatbestand bestimmt. Mit § 263a StGB sollte lediglich die Strafbarkeitslücke geschlossen werden, die dadurch entstanden war, dass der Tatbestand des Betrugs menschliche Entscheidungsprozesse voraussetzt, die beim Einsatz von EDV-Anlagen fehlen (vgl. Senat, Beschluss vom 21. November 2001 – 2 StR 260/01, BGHSt 47, 160, 162). Das Tatbestandsmerkmal „unbefugt“ erfordert daher eine betrugsspezifische Auslegung (vgl. Senat, Urteil vom 22. November 1991 – 2 StR 376/91, BGHSt 38, 120, 124; Beschluss vom 21. November 2001 – 2 StR 260/01, BGHSt 47, 160, 163; LK/Tiedemann, StGB, 12. Aufl., § 263a Rn. 16a).“ (BGH Beschl. v. 16.7.2015 – 2 StR 16/15)
Bei der Prüfung, ob die Verwendung der Bankkarte durch den A den erforderlichen Täuschungscharakter aufweist, ist ein fiktiver Prüfvorgang eines Bankmitarbeiters zu untersuchen, wobei nur diejenigen Aspekte zu berücksichtigen sind, die auch der Geldautomat abarbeitet.
Abhebungen an einem Geldautomaten mit einer fremden Bankkarte werden daher nur dann von § 263a I Var. 3 StGB erfasst, wenn sie von einem Nichtberechtigten vorgenommen werden, wenn eine gefälschte, manipulierte oder mittels verbotener Eigenmacht erlangte Karte verwendet wird. Das war hier nicht der Fall. B hat A die Karte freiwillig – unter Nennung der PIN – übergeben. Für den Fall, dass der Kontoinhaber dem Täter die Karte überlässt und der Täter nur absprachewidrig einen höheren Betrag oder mehrfach Geld abhebt, wurde bislang eine „unbefugte“ Datenverwendung verneint. So hat das OLG Köln in einer Entscheidung aus dem Jahr 1991 ausgeführt:
„Ebenfalls keine täuschungsgleiche Handlung begeht der Dritte, dem die Karte überlassen wurde, der also rechtmäßiger Besitzer der Karte ist, der aber absprachewidrig einen höheren Betrag abhebt (so: Cramer, in: Schönke-Schröder, § 263a Rdnrn. 11 und 19). Bei der Verwendung der “Daten”, nämlich beim Einschieben der Scheckkarte und bei der Eingabe der PIN-Nr., hält er sich im Rahmen des ihm vom Karteninhaber erteilten Auftrags, er täuscht also keine fehlende Befugnis vor. Das Abweichen vom erteilten Auftrag beginnt erst mit der Eingabe eines höheren Geldbetrags. Die Eingabe des auszuzahlenden Geldbetrags ist aber keine Verwendung von “Daten” i. S. des § STGB § 263a StGB; denn Daten sind “codierte, auf einem Datenträger fixierte Informationen über ein außerhalb des verwendeten Zeichensystems befindliche Wirklichkeit” (Haft, NStZ 1987, NSTZ Jahr 1987 Seite 8; Dreher-Tröndle, StGB, 45. Aufl., § 268 Rdnr. 4), nicht aber andere Eingaben, mit denen bei der Benutzung eines Automaten der gewünschte Erfolg erreicht wird.
Ebenfalls keine täuschungsgleiche Handlung begeht derjenige, der die ihm überlassene Scheckkarte absprachewidrig mehrfach benutzt, ehe er sie zurückgibt oder zur Rückgabe aufgefordert wird, also sein Recht zum Besitz verliert. Auch in diesem Fall ist der Dritte rechtmäßiger Besitzer der Karte, er hat vom Karteninhaber grundsätzlich die Befugnis zur Geldabhebung unter Benutzung der Karte erhalten, so daß er über das Recht, die Karte zu benutzen, auch nicht konkludent täuscht. Darüber, ob er im Innenverhältnis zwischen Konto- und Karteninhaber seine Befugnis einhält oder überschreitet, kann seinem Verhalten keine konkludente Erklärung entnommen werden. Wer einem Dritten Codekarte und Geheimnummer überläßt, stellt diesen hinsichtlich der Zugriffsmöglichkeit auf sein Konto jemandem gleich, dem Bankvollmacht erteilt ist. Wer aufgrund einer ihm erteilten Bankvollmacht treuwidrig Geld für eigene Zwecke abhebt, täuscht nicht die Bank, sondern begeht allenfalls eine Untreue gegenüber dem Kontoinhaber. So wenig wie dem Auftreten eines Bevollmächtigten konkludente Erklärungen über seine Befugnisse im Innenverhältnis zu entnehmen sind, so wenig kann über das Innenverhältnis dem Handeln desjenigen entnommen werden, dem mit der Übergabe von Karte und Mitteilung der Geheimnummer die faktische Verfügungsbefugnis über das Konto eingeräumt worden ist. Das Verhalten desjenigen, der rechtmäßig in den Besitz der Codekarte und in die Kenntnis der Geheimnummer gelangt ist, hat somit keinen Täuschungscharakter, auch nicht, wenn er seine Verfügungsbefugnis mißbraucht.“ (OLG Köln Urt. v. 9.7.1991 – Ss 624/90, NJW 1992, 125)
Dem hatte sich im Jahr der BGH im Jahr 2002 ohne nähere Begründung angeschlossen; stattdessen komme ein Betrug gemäß § 263 StGB gegenüber und zulasten des Kontoinhabers in Betracht, wenn der Täter – anders als hier – unter Täuschung des Berechtigten in den Besitz von EC-Karte und PIN gelangt:
„Hebt jemand an einem Geldautomaten vom Konto eines anderen mit dessen Codekarte und der Geheimnummer Geld ab, so liegt ein Computerbetrug durch unbefugte Verwendung von Daten dann nicht vor, wenn ihm die Daten vom Kontoinhaber überlassen wurden und er lediglich absprachewidrig handelt.
Da der Angeklagte hier dem Geschädigten vorgetäuscht hatte, er wolle ihm eine Schuld zurückzahlen und benötige dazu seine - des Geschädigten - Geldautomatenkarte, dieser ihm glaubte und ihm Karte wie PIN-Nummer überließ, hat der Angeklagte allerdings einen Betrug begangen; denn er hat mit Hilfe der Karte sowie der Codezahl vorgefaßter Absicht entsprechend mehrmals an verschiedenen Geldautomaten Geld abgehoben. Gleiches gilt, soweit er sich unter demselben Vorwand vom Geschädigten “uno actu” auch die VISA-Karte nebst PIN-Nummer erschwindelt und diese ebenfalls - wie von vornherein geplant - zu Abhebungen gebraucht hat.“ (BGH Beschl. v. 17.12.2002 – 1 StR 412/02)
Nunmehr macht der BGH deutlich, dass „gegen die bisherige Rechtsprechung Bedenken bestehen könnten“. Dazu stellt er auf die zivilrechtliche Lage ab und insbesondere darauf, dass der B nach dem Bankkartenvertrag eine Bevollmächtigung des A unter Weitergabe der personengebundenen Karte untersagt war. Daraus folge, dass der Zahlungsauftrag (das Abheben des Geldes) nicht wirksam autorisiert wurde:
„Die Zahlungskarte und die zugehörige Geheimzahl sind ein personalisiertes Zahlungsauthentifizierungsinstrument, das von dem Bankkunden im Rahmen der Bestimmungen des zugrunde liegenden Bankkartenvertrags (§ 675j Abs. 1 Satz 4 BGB) dazu eingesetzt werden kann, der Bank einen Zahlungsauftrag (§ 675f Abs. 3 BGB) zu erteilen (vgl. Maihold in: Schimansky/Bunte/Lwowski, Bankrechts-Handbuch Bd. I, 4. Aufl. § 54 Rn. 12). Ist nach dem zwischen dem Bankkunden und der Bank geschlossenen Bankkartenvertrag bei der Nutzung des personalisierten Zahlungsauthentifizierungsinstruments, das ohnehin nach § 675l BGB geheim zu halten ist, eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen, kann die Verwendung von Karte und Geheimzahl durch einen Dritten einen Zahlungsauftrag auch dann nicht autorisieren und damit im Sinne von § 675j Abs. 1 Satz 1 BGB wirksam machen, wenn deren Einsatz mit Zustimmung des Kontoinhabers erfolgt. Soll ein Bevollmächtigter das Recht erhalten, für den Kontoinhaber mit einem Zahlungsauthentifizierungsinstrument Zahlungsvorgänge zu autorisieren, muss ihm ein eigenes Zahlungsauthentifizierungsinstrument einschließlich gesonderter personalisierter Sicherheitsmerkmale zugewiesen werden (vgl. BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14, BGHZ 208, 331 = NJW 2016, 2024, 2029 f.).“
Diese Erwägungen könnten es – so der BGH - rechtfertigen, in Fällen der hier in Rede stehenden Art das Tatbestandsmerkmal der unbefugten Verwendung von Daten gemäß § 263a I Var. 3 StGB als verwirklicht anzusehen. Er musste die Frage aber nicht entscheiden, weil das Verfahren insoweit nach § 154 II StPO eingestellt wurde. Weitere Ausführungen zur Täuschungsäquivalenz macht der BGH daher nicht. Zu beachten ist, dass schon das OLG Köln in der o. g. Entscheidung einen Sachverhalt zu beurteilen hatte, in dem die Überlassung der Karte an einen Dritten vertragswidrig war. Damals hatte es - vor Inkrafttreten des heute geltenden Zahlungsdiensterechts - eine täuschungsgleiche Handlung verneint:
„Keine täuschungsgleiche Handlung begeht aber der Dritte, der mit der ihm vom Kontoinhaber überlassenen Karte und Geheimzahl auftragsgemäß Geld abhebt, wenngleich die Überlassung der Karte und die Mitteilung der Geheimzahl an Dritte vertraglich verboten ist (vgl. Cramer, in: Schönke-Schröder, § 263a Rdnr. 19). Die Vertragswidrigkeit, die in der Überlassung besteht, macht die Verwendung der fremden Daten bei der Geldabhebung noch nicht zu einer “unbefugten” Verwendung (Cramer, in: Schönke-Schröder, § 263a Rdnr. 19). Die Handlung hat keinen Täuschungswert, da keine Befugnis vorgespiegelt wird, der Verwender der Karte vielmehr mit Zustimmung des Kontoinhabers handelt und als dessen Vertreter das Übereignungsangebot der Bank bezüglich des ausgezahlten Gelds annehmen kann. Die Annahme, die Bank sei in einer solchen Situation nicht mit der Auszahlung des Geldes und dem Verlust ihres Eigentums an dem Geld einverstanden, weil der Karteninhaber nicht persönlich das Geld entgegennimmt, wäre lebensfremd. Das Verbot, die Codekarte Dritten zu überlassen, dient der Verhinderung ihrer mißbräuchlichen Benutzung, hindert den Karteninhaber aber nicht, durch einen Dritten rechtswirksam Geld von seinem Konto abheben zu lassen. Das an den Kontoinhaber gerichtete Übereignungsangebot der Bank kann von einem Beauftragten des Kontoinhabers als bevollmächtigtem Vertreter in dessen Namen angenommen werden (BayObLG, NJW 1987, NJW Jahr 1987 Seite 665).“
Folgt man dem neuen Ansatz des BGH, müsste B oder die Sparkasse auch einen Vermögensschaden erlitten haben.
Zwar könnte man auf der Grundlage der o. g. Ausführungen des BGH annehmen, dass – da es sich um einen nicht autorisierten Zahlungsauftrag gehandelt hat – der Bank kein Aufwendungserstattungsanspruch zusteht (§ 675u S. 1 BGB); dann wäre nicht B die Geschädigte, sondern die Sparkasse. Allerdings steht der Sparkasse gegen B ein Schadensersatzanspruch in Höhe von 500 Euro (wegen der zweiten Abhebung) aus § 675v II BGB zu. B hat vorsätzlich gegen die vertragliche Pflicht verstoßen, Dritten die PIN nicht zugänglich zu machen.
II. Subjektiver Tatbestand
A handelte vorsätzlich und mit der Absicht der rechtswidrigen Bereicherung.
III. Rechtswidrigkeit und Schuld
Rechtfertigungs- oder Schuldausschließungsgründe sind nicht ersichtlich.
IV. Ergebnis
Nach der bisher h. M. scheidet ein Computerbetrug aus. Auf der Grundlage der neuen Überlegung des BGH wäre ein Computerbetrug zu bejahen.
C. Fazit
Bislang verneint der BGH bei einem absprachewidrigen Einsatz der Bankkarte – ebenso wie in den Fällen des Handelns eines berechtigten Karteninhabers (siehe dazu unseren Klassiker „EC-Karten-Fall III“) – eine „unbefugte“ Datenverwendung im Sinne von § 263a I Var. 3 StGB. Der vorliegende Beschluss ist ein recht deutliches Zeichen, dass jedenfalls der 4. Strafsenat demnächst anders entscheiden könnte. Das macht die Fallkonstellation prüfungsrelevant – deswegen wird Jura Online über die weitere Entwicklung berichten!