Persönlich, hochwertig, keine Chatbots mit Kommunikationsstrategie: Bei uns kümmert sich ein persönlich erreichbar Mensch
Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Kategorie: Cybercrime Blog

Cybercrime Blog mit Beiträgen zu Cybercrime, Technologiestrafrecht und Computerstrafrecht von Rechtsanwalt Jens Ferner, der Fachanwalt für IT-Recht und Fachanwalt für Strafrecht ist. Kurze Beiträge, die für den Blog zu kurz sind, erscheinen zudem im Linked-In-Profil von RA JF. 

Gebloggt wird hier speziell in den typischen Cybercrime-Bereichen, vom Ausspähen von Daten, Urheberstrafrecht, Datensabotage über Computerbetrug bis hin zur Wirtschaftsspionage und Wettbewerbsstrafrecht. Im Folgenden finden Sie ausgewählte Beiträge und Urteile zum Thema Cybercrime in unserem Cybercrime Blog.

  • Internationales Strafrecht: Begrifflichkeiten und internationaler Haftbefehl

    Internationales Strafrecht: Begrifflichkeiten und internationaler Haftbefehl

    Nur kurz, angesichts einer aktuellen internationalen Festnahme, ein paar Zeilen zu häufigen Fehlvorstellungen, die beim internationalen Strafrecht leider weit verbreitet sind:

    1. Einen so genannten „internationalen Haftbefehl“ kann es natürlich im eigentlichen Sinne nicht geben, auch wenn die Bezeichnung verbreitet und so auch durchaus vertretbar ist. Tatsächlich ist jeder Staat natürlich autonom und entscheidet durch eigene Gesetze, was in seinem Bereich strafbar ist und welche seiner Besucher und/oder Bürger an andere Staaten ausgeliefert werden. Wer den „Internationalen Haftbefehl“ so versteht, dass jemand der damit gesucht wird überall auf der Welt zwingend festgenommen wird, liegt erst einmal falsch, auch wenn es darauf in der Praxis regelmäßig hinausläuft.
    2. Die „InterPol“ ist, ebenso wie die etwas weniger bekannte „EuroPol„, keine autonome Polizei im üblichen Sinne. Auch das ist der Staaten-Souveränität geschuldet – jeder Staat entscheidet selbst, wie er die ihm (im Idealfall vom Volk) verliehene Gewalt nutzt. Derzeit steht nicht zu erwarten, dass Staaten Behörden unmittelbare Polizeigewalt in ihrem Staatsgebiet zuteilen,die nicht dem eigenen Staatsapparat angehören. Stellen wie „InterPol“ sind insofern nicht mit tatsächlicher Polizeigewalt ausgestattet, können also grundsätzlich weder selbstständig mit Grundrechtseingriffen verbundene Ermittlungsmaßnahmen durchführen, noch selber Festnahmen durchführen. Anders darstellende Filme („The Bank“) sind zwar nett anzusehen, aber unrealistisch. Bei solchen Stellen geht es vielmehr um Koordinationsstellen: Es werden Informationen gesammelt (was bereits ein Grundrechtseingriff ist, das nur am Rande) ausgewertet und an Staaten weitergegeben, Strategien entworfen und natürlich auch Beratungsaufgaben bei Polizeistellen wahr genommen.
    3. Sofern also letztlich ein „internationaler Haftbefehl“ in Rede steht, geht es um die Informationsweitergabe an nationale Polizeistellen, dass jemand in einem Staat per Haftbefehl gesucht wird. Ob der in dem jeweiligen Staat letztlich auch festgenommen wird ist nicht zwingend, wenn auch zu erwarten: Dies ist abhängig vor allem von der Frage, ob die vorgeworfene Tat in diesem Staat ebenfalls eine Straftatdarstellt, ob es um einen eigenen Staatsbürger geht und wie man sich international verpflichtet hat.
    4. Danach ist dann zu fragen, ob nach der eventuellen Festnahme auch an den Staat übergeben wird, in dem er per Haftbefehl gesucht wird. Ausschlaggebend sind hierbei dann die einzelnen vertraglichen Regelungen, denen sich der jeweilige Staat unterworfen hat. Innerhalb der EU gilt etwa mit dem so genannten „EU-Haftbefehl“ („europäischer Haftbefehl„) ein einheitliches „Werkzeug“ das eine grundsätzliche Festnahme und Auslieferung vorsieht (Umsetzung des Rahmenbeschlusses 2002/584/JI). In Deutschland ist bei solchen Fragen immer das „Gesetz über die internationale Rechtshilfe in Strafsachen“ (IRG) zu Rate zu ziehen. Weiterhin ist Artikel 16 GG zu beachten, dort speziell Absatz 2.
  • IT-Strafrecht: 1164 Euro Schadensersatz für beschlagnahmtes Notebook

    IT-Strafrecht: 1164 Euro Schadensersatz für beschlagnahmtes Notebook

    Bei Ermittlungen im Zusammenhang mit IT-Straftaten werden die zugehörigen Rechner der Beschuldigten regelmässig sicher gestellt bzw. beschlagnahmt. Wenn sich am Ende herausstellt, dass der Verdacht sich nicht erhärtet hat und das Verfahren eingestellt wird, erhält der Betroffene sein Gerät natürlich zurück – aber da die Justiz mitunter langsam arbeitet, vergeht hierbei häufig viel Zeit.

    Das Gerät ist dann regelmäßig nicht mehr das, was zeitgemäß ist oder man hatte durch Ersatzgeräte Kosten, die aufgefangen werden müssen. Entschädigungen in diesem Zusammenhang sind noch Neuland – wir haben für einen Mandanten hier Entschädigung geltend machen können. Eine Entscheidung mit Modellcharakter.
    (mehr …)

  • Was ist dran: Strafanzeige gegen den NRW-Finanzminister in Sachen Steuer-CD

    Was ist dran: Strafanzeige gegen den NRW-Finanzminister in Sachen Steuer-CD

    Einige Bürger in NRW haben auf sich Aufmerksam gemacht mit einer Strafanzeige gegen den NRW-Finanzminister. Es geht um den Erwerb der so genannten „Steuer-CDs“ und die Vermutung, dass hierbei Straftatbestände verwirklicht worden sein könnten, da hier eine Form von illegalem Datenhandel vorliegen könnte. Ausweislich der veröffentlichten Strafanzeige geht es den Anzeigenstellern vor allem um die § 44 BDSG, § 17 UWG und § 202a StGB. Im Folgenden möchte ich aus juristischer Sicht kurz anprüfen, ob dies wirklich Relevant sein kann.

    Hinweis: Es geht hier alleine um eine juristische Bewertung. Eine politische Bewertung findet zu keiner Zeit statt und bleibt hier vollständig außen vor!
    (mehr …)

  • Gestohlene EC-Karte: Nichts neues von der Rechtsprechung

    Das Amtsgericht München (233 C 3757/11) hatte sich letztes Jahr mit einer gestohlenen EC-Karte zu beschäftigen und hat klar gestellt, dass sich an den bisherigen Regeln auch dort nichts ändert. Kurz vorher hatte auch das LG Berlin (10 O 10/09, hier besprochen) klar gestellt, dass die alten Regeln sich nicht geändert haben. Die Aussicht ist damit weiterhin für Verbraucher düster.
    (mehr …)

  • OLG Hamm, 5 Ss 347/08 („Falsche Account-Daten“)

    OLG Hamm, Beschl. v. 18.11.2008 – 5 Ss 347/08
    LG Essen, 30 Ns 13/08

    Die Revision wird mit der Maßgabe verworfen, dass der Angeklagte lediglich des Betruges in sechs Fällen sowie des gewerbsmäßigen Betruges in 17 Fällen schuldig ist und die in 20 Fällen tateinheitlich angenommene Fälschung beweiserheblicher Daten gemäß § 269 StGB entfällt.

    Der Angeklagte hat die Kosten seines Rechtsmittels zu tragen.

    Gründe:
    I.
    Das Landgericht hat die Berufung des Angeklagten gegen das Urteil des Amtsgerichts – Schöffengericht – Gelsenkirchen-Buer vom 17. Januar 2008 mit der Maßgabe verworfen, dass der Angeklagte wegen Betruges in 6 Fällen, gewerbsmäßigen Betruges in 17 Fällen, davon in 20 Fällen tateinheitlich begangen mit der Fälschung beweiserheblicher Daten, zu einer Gesamtfreiheitsstrafe von zwei Jahren und drei Monaten verurteilt wurde.
    Die auf die (nicht näher ausgeführte) Verfahrensrüge und die Rüge der Verletzung materiellen Rechts gestützte Revision des Angeklagten führt zu der aus dem Beschlusstenor ersichtlichen Änderung des Schuldspruchs (§ 349 Abs. 4 StPO); im Übrigen war die Revision als offensichtlich unbegründet im Sinne von § 349 Abs. 2 StPO zu verwerfen, da die Nachprüfung des angefochtenen Urteils insoweit keinen Rechtsfehler zum Nachteil des Angeklagten ergeben hat.
    Der Schuldspruch des angegriffenen Urteils war insoweit fehlerhaft und zu korrigieren, als die Strafkammer bei 20 Fällen des Betruges tateinheitlich die Fälschung beweiserheblicher Daten gemäß § 269 StGB als verwirklicht angesehen hat.

    Nach den – zusammengefasst wiedergegebenen – Feststellungen des Landgerichts schaltete der Angeklagte in der Zeit vom 23. März 2007 bis zum 30. Juli 2007 bzw. bereits zu einem nicht näher feststellbaren Zeitpunkt vor dem 23. März 2007 auf der Internet-Auktionsplattform „F“ mehrere Accounts, unter denen er in der Folgezeit die streitgegenständlichen Waren feilbot, nach Ersteigerung durch die jeweiligen Käufer und Bezahlung der Waren durch diese, die Waren jedoch, wie von Anfang an beabsichtigt, nicht auslieferte, da er gar nicht im Besitz der Waren war und auch nicht beabsichtigt hatte, die Waren noch vor Auslieferung zu beschaffen. Zur Anlegung der Accounts bei der Auktionsplattform „F“ bediente sich der der Angeklagte falscher Personalien, d.h. so nicht existierender Namen und Anschriften, welche er sich ausdachte, da seine eigenen Personalien und damit auch seine eigene Handynummer bereits von der Internet-Auktionsplattform „F“ aufgrund von Unregelmäßigkeiten gesperrt worden war.

    Entgegen der Auffassung des Landgerichts erfüllt das Schalten eines Accounts unter falschen Personalien bei einer Internet-Auktionsplattform nicht den objektiven Tatbestand des § 269 StGB.

    a. Voraussetzung für die Teilnahme an einer „Online-Auktion“ ist die Anmeldung des Internetnutzers und die Angabe bestimmter abgefragter Adressdaten gegenüber dem „Auktionshaus“, die im Falle des Zustandekommens eines Vertrages seitens des Auktionshauses an den jeweiligen Vertragspartner zwecks Abwicklung des Vertrages weitergegeben werden ((Marberth-Kubicki in Computer- und Internetstrafrecht, 2004, Rn. 116). Unter dem zu vergebenden Pseudonym können dann Waren aller Art zum Verkauf angeboten werden.

    § 269 StGB schützt die Sicherheit und Zuverlässigkeit des Rechts- und Beweisverkehrs, soweit er sich im Zusammenhang mit Datenverarbeitungsvorgängen beweiserheblicher Daten bedient (Lackner/Kühl StGB, 26. Aufl., § 269, Rn. 1; Malek in „Strafsachen im Internet“, 2005, Rn. 196; Ernst in Hacker, Cracker & Computerviren, 2004, Rn. 292) und greift ein, wenn in den Computer eingespeiste Daten verändert werden (Marberth-Kubicki, a.a.O., Rn101). Die Vorschrift soll dabei die Lücke schließen, die sich aus dem für § 267 StGB allgemein anerkannten, aus der Perpetuierungsfunktion folgenden Erfordernis ergibt, dass die Urkunde eine visuell wahrnehmbare Erklärung verkörpern muss (LPK StGB, 3. Aufl., § 269, Rn. 1; M-K-Erb, StGB, 1. Auflage, 2006, § 269 StGB, Rn. 5).

    Die Subsumtion eines Sachverhaltes unter den Tatbestand des § 269 StGB erfolgt dabei im Wege eines hypothetischen Vergleichs: Unter der Voraussetzung, dass die fraglichen Daten in visuell wahrnehmbaren Symbolen (Schriftzeichen) verkörpert wären – z.B. in einem Computerausdruck – müssten alle weiteren Urkundsmerkmale des § 267 StGB gegeben sein. (LPK-StGB a.a.O., Ernst a.a.O., Rn. 293, BGH NStZ-RR 2003, 265, 266). Insbesondere muss ihr Aussteller erkennbar sein, d.h. derjenige dem die Daten zuzurechnen sind (Marberth-Kubicki, a.a.O., Rn. 104) und der den Anschein eines vorhandenen Garantiewillens übernehmen will. Daran fehlt es aber bereits bei der Anmeldung unter falschen Namen beim F-Account. Unabhängig von der Frage, wer Aussteller im Sinne des § 269 StGB ist (vgl. zu dieser Problematik Fischer, StGB, 55. Aufl., § 269 StGB, Rn. 5a), kann aus der Eingabe des (falschen) Namens der geistige Urheber der abgegeben Erklärung nicht erkannt werden. Zwar genügt es, dass die Individualisierung des Ausstellers nach Gesetz, Herkommen oder Parteivereinbarung, sei es auch nur für die unmittelbar Beteiligten, aus der Urkunde möglich ist (Schönke/Schröder-Cramer, StGB, 27. Aufl., § 267, Rn. 17).

    Allein die Angabe eines (falschen) Namens und einer (Schein-) Adresse im Rahmen einer Internet-Anmeldung reicht hierzu jedoch nicht aus, da der Name als solcher keine rechtserhebliche Gedankenerklärung enthält und auch nicht hinreichend geeignet ist, für ein Rechtsverhältnis Beweis zu erbringen. So ist im Bereich des § 267 StGB anerkannt, dass es an einer Ausstellererkennbarkeit dann fehlt, wenn ein Schriftstück bewusst nicht unterzeichnet wird (vgl. hierzu Schönke/Schröder-Cramer § 267, Rn. 18; SK-StGB-Hoyer, § 267 Rn. 52).

    Zwar wird eine Unterschrift im Rahmen eines Datensatzes nicht gefordert (Schönke/Schröder-Cramer § 269, Rn. 20; Münchener Kommentar, a.a.O., Rn. 18). Die bloße Eingabe des Namens und der Adresse geben aber keinen hinreichenden garantierten Rückschluss auf die Authentizität, da es jedem Internet-Nutzer im offenen Medium „Internet“ möglich ist, auch unter einem fiktiven Namen den Zugang zu einer Internet-Plattform zu erlangen. Dem Vertragspartner ist es dabei in der Regel sogar gleichgültig, wer tatsächlicher Verkäufer ist, solange der Vertrag ordnungsgemäß erfüllt wird.
    Sofern bei dem entsprechenden Auktionshaus anlässlich der Anmeldung die sogenannte IP-Adresse – jeder Rechner im Internet erhält beim Zugang zum Internet eine eindeutige Adressierung, bestehend aus einer Netzwerkkennung und einer Hostkennung – gespeichert wird, könnte hierüber seitens des Auktionshauses allenfalls eine hohe Wahrscheinlichkeit der Identifizierung des Rechners vorgenommen werden, von der die Anmeldung erfolgte, nicht aber der Person, die die Daten eingegeben hat. Bei Verwendung eines IP-Spoofing-Programms gibt noch nicht einmal die IP-Adresse die Möglichkeit zur Identifizierung des Rechners.

    Etwas anderes gilt lediglich für den Fall, dass der Täter anlässlich einer Anmeldung einen – wie auch immer erworbenen – fremden Signierschlüssel im Sinne des Signaturgesetztes verwendet (Malek in „Strafsachen im Internet, a.a.O., Rn. 201), der allerdings im Rahmen der Anmeldung bei der Auktionsplattform „F“ ausweislich der getroffenen Feststellungen nicht zur Anwendung kam.
    Soweit vertreten wird (Ernst, a.a.O., Rn. 295, wohl auch M-K-Erb, a.a.O., § 269 StGB, Rn. 18), auch eine einfache elektronische Willenserklärung ohne elektronische Signatur erfülle den Tatbestand des § 269 StGB, wird gleichzeitig zugestanden, dass die Beweiseignung einer solchen Willenserklärung nur sehr schwach ist. Aus diesem Grunde folgt der Senat dieser Auffassung ausdrücklich nicht.
    Unabhängig von dieser Frage führt die Erstellung eines Accounts bei einer Internet-Plattform durch Verwendung komplett oder teilweiser falscher Absenderangaben noch nicht zur Herstellung eines einer unechten Urkunde im Sinne des § 267 StGB vergleichbaren Datenbestandes. Es fehlt hier bei der Anmeldung an der für den Urkundscharakter zusätzlich erforderlichen rechtlich relevanten Gedankenerklärung, da die Einrichtung eines Accounts zunächst ein Vorgang ohne jeden nach außen hin wirkenden Erklärungscharakter ist. Durch die Angabe der Personalien und der Anmeldung erhält der Anmeldende lediglich eine Zugangsberechtigung und ein Pseudonym, die es ihm erlauben, Ware anderen Besuchern auf der Auktionsplattform anzubieten.

    b. Aber auch das jeweilige Einstellen von Waren unter dem Account/Mitgliedsnamen bei einer Internetplattform erfüllt nicht den Tatbestand des Herstellens falscher Daten (a.A. AG Euskirchen, Urteil vom 19.6.2006, 5 Ds 279/05 ). Die Auktionsplattform selbst wird durch das Einstellen nicht getäuscht, da das Online-Auktionshaus allein die Ressourcen für die Anbahnung des rechtsgeschäftlichen Kontakts zwischen Anbieter und Käufer zur Verfügung stellt.

    Der potenzielle Käufer wird bei Abgabe eines Gebotes ebenfalls nicht hinsichtlich der Identität des Verkäufers getäuscht. Für den Käufer ist lediglich das Pseudonym des Verkäufers erkennbar, ohne dass sich für ihn der tatsächliche Anbieter der Ware erkennen lässt. Auf den Fall bezogen, wussten die Geschädigten z.B. lediglich, dass „meister200708“ eine SD-Speicherkarte zum Verkauf anbot. Für den potentiellen Käufer der Ware handelt es sich bei dem für ihn sichtbaren „Bildschirmangebot“ damit nicht um eine Urkunde im Sinne des § 267 StGB und damit auch nicht im Sinne des § 269 StGB, da in ihr jeder Hinweis auf den Aussteller der Urkunde fehlt und die teilnehmenden Personen bei der Auktionsplattform wissen, dass Anbieter und Bieter jeweils unter „Decknamen“ auftreten. Die Anonymität ist für jeden, sei es Käufer oder Verkäufer, ohne Weiteres erkennbar und von der Internetplattform auch bezweckt. Insoweit handelt es sich um einen Fall der offenen Anonymität (vgl. Schönke/Schröder-Cramer § 267, Rn. 18).
    Unabhängig davon handelt es sich bei der Einstellung eines Angebotes nicht um einen unechten Datenbestand im Sinne des § 269 StGB, da scheinbarer und tatsächlicher Aussteller – vorliegend z.B. „meister200708“ – identisch sind. Soweit das Angebot inhaltlich falsch ist, handelt es sich um eine Datenlüge, vergleichbar einer schriftlichen Lüge im Sinne des § 267 StGB.

    c. Soweit schließlich ein Kaufvertrag durch das Höchstgebot des Bieters wirksam zustande kommt und infolgedessen seitens der Auktionsplattform die Personalien des Anbieters zur Abwicklung des Kaufvertrags an den Käufer übermittelt werden, handelt es sich weder um ein Speichern, Verändern oder Gebrauchmachen von unechten Daten seitens des Angeklagten, da er insoweit auf den übermittelten Datensatz keinerlei Einfluss hat.

    Eine Strafbarkeit gemäß § 269 StGB ist daher nicht gegeben.

    § 265 Abs. 1 StPO steht der Schuldspruchberichtigung nicht entgegen, weil sie allein zugunsten des Angeklagten wirkt und dieser sich nicht anders als geschehen hätte verteidigen können.
    Der Wegfall der tateinheitlich verwirklichten Fälschung beweiserheblicher Daten lässt die für die Betrugsfälle verhängten Einzelstrafen und die Gesamtstrafe unberührt. Der Senat kann hier ausschließen, dass das Landgericht bei zutreffender rechtlicher Würdigung mildere Strafen ausgeurteilt hätte. Insbesondere hatte die Strafkammer im Rahmen der Strafzumessung nicht strafschärfend berücksichtigt, dass – aus Sicht der Strafkammer – der Angeklagte neben den jeweiligen Betrugshandlungen tateinheitlich einen weiteren Straftatbestand erfüllt hat.

    Die Kostenentscheidung folgt aus § 473 Abs. 1. und 4 StPO. Der Erfolg des Rechtsmittels war so gering, dass er kostenmäßig nicht zu berücksichtigen war.

  • OLG Karlsruhe, 3 Ss 100/08 („Phishing“)

    OLG Karlsruhe, Beschl. v. 21.11.2008 – 3 Ss 100/08

    Auf die Revision des Angeklagten wird das Urteil des Landgerichts … vom 29. Februar 2008 mit den Feststellungen aufgehoben, soweit der Angeklagte verurteilt worden ist.
    Der Angeklagte wird freigesprochen.
    Die Kosten des Verfahrens und die notwendigen Auslagen des Angeklagten trägt die Staatskasse.

    Gründe

    I.
    Das Amtsgericht … verurteilte den Angeklagten mit Urteil vom 11.12.2007 wegen leichtfertiger Geldwäsche in drei Fällen zu der Gesamtgeldstrafe von 60 Tagessätzen zu je 30,– €. Auf die Berufung des Angeklagten hat das Landgericht das amtsgerichtliche Urteil abgeändert, den Angeklagten wegen „eines Vergehens der leichtfertigen Geldwäsche“ zu der Geldstrafe von 25 Tagessätzen zu je 25,– € verurteilt und ihn im Übrigen freigesprochen. Mit seiner auf die Rüge der Verletzung materiellen Rechts gestützten Revision wendet sich der Angeklagte gegen seine Verurteilung.
    Die zulässige Revision hat Erfolg.

    II.
    Nach den Feststellungen des Landgerichts stieß der Angeklagte im Verlauf des Jahres 2006 auf der Suche nach einer Verdienstmöglichkeit zur Aufbesserung seiner Rente im Internet auf das Angebot für eine Tätigkeit als Finanzagent. Als Anbieter trat eine Firma „blitz-Soft“ bzw. „Applied Cash International“ mit Hauptsitz in Sankt Petersburg auf. Im Verlauf der sich anschließenden ausschließlich über E-Mail abgewickelten Korrespondenz teilte der Angeklagte u.a. seine persönlichen Daten sowie seine Bankverbindung bei der Sparkasse … mit und unterschrieb einen ihm zugesandten Arbeitsvertrag. Nachdem er verschiedene Unterlagen über seine bevorstehende Tätigkeit als Finanzagent erhalten hatte, wurde dem Angeklagten schließlich mitgeteilt, dass in nächster Zeit Geldbeträge per Überweisung auf seinem Konto eingehen werden. Diese solle er bar abheben und nach folgenden Anweisungen bei einer Western Union Filiale an einen „Oleg Gorbonis“ in Kiew/Ukraine absenden. Von den Geldbeträgen könne er fünf Prozent als Provision für sich behalten.
    Tatsächlicher Hintergrund der Anwerbung des Angeklagten als Finanzagent war die Absicht der unbekannt gebliebenen Hintermänner, bei Banküberweisungen im „online-banking“ Verfahren eingegebene Daten durch Eingriffe in den Datenverarbeitungsvorgang mittels eingeschleuster Schadprogramme der Art zu manipulieren, dass – von den Auftraggebern unbemerkt – Überweisungen auf das Bankkonto des Angeklagten veranlasst werden. Diesem sollte die Aufgabe zukommen, die eingehenden Überweisungsbeträge bar abzuheben und anschließend an die Hintermänner weiterzuleiten.
    Der Angeklagte, der mit den Anbietern zusammenarbeiten wollte und seine Bankverbindung bewusst zur Verfügung stellte, um die versprochenen Provisionen zu verdienen, hätte bei gehöriger Anstrengung erkennen können und müssen, dass die angekündigten Gelder, die auf seinem Konto eingehen sollten und eingingen, aus Straftaten stammten. Ihm musste sich angesichts der geführten Korrespondenz aufdrängen, dass es hierbei nicht mit rechten Dingen zugehen konnte. Über solche Bedenken setzte sich der Angeklagte um des von ihm erwarteten Gewinns leichtfertig hinweg.
    Nachdem am 24.11.2006, einem Freitag, der Versuch, zu Lasten eines Bankkunden in Lichtenberg eine Überweisung auf das Konto des Angeklagten in Höhe von 10 000,– € zu veranlassen, gescheitert war, weil der Kunde während des Überweisungsvorgangs Unregelmäßigkeiten bemerkt und daraufhin sein „online-banking“ Konto sofort hatte sperren lassen, wurde die Sparkasse … über diesen Vorgang informiert. Die Sparkasse ihrerseits setzte den Angeklagten noch am selben Tag davon in Kenntnis, dass der Verdacht des „Phishings“ bestehe und sein Konto nun überwacht werde. Am Montag, dem 27.11.2006, zeigte der Angeklagte den Sachverhalt beim Polizeiposten in an und wirkte anschließend aktiv an der Aufklärung mit.
    Ebenfalls am 27.11.2006 kam es auf Grund der Manipulationen der Hintermänner zu der Überweisung eines Betrags von 4393,98 €, welcher von dem Konto des betroffenen Bankkunden abgebucht und mit Wertstellung vom 27.11.2006 dem Konto des Angeklagten bei der Sparkasse … gutgeschrieben wurde. Da der Sparkasse … seit dem 24.11.2006 bekannt war, dass der Angeklagte sein Konto kriminellen Hinterleuten zur Verfügung gestellt hatte, und das Konto deshalb überwacht wurde, konnte der Betrag umgehend wieder zurück überwiesen werden.

    III.
    Durch das festgestellte Verhalten hat sich der Angeklagte weder wegen leichtfertiger Geldwäsche gem. § 261 Abs. 5 StGB i.V.m. § 261 Abs. 1 und 2 StGB, noch nach § 54 Abs. 1 Nr. 2 KWG strafbar gemacht.

    1.
    Der leichtfertigen Geldwäsche in der vom Landgericht angenommenen Gefährdungsalternative des § 261 Abs. 1 Satz 1 4. Alt., Abs. 5 StGB schuldig macht sich derjenige, der die Herkunftsermittlung, das Auffinden, den Verfall, die Einziehung oder die Sicherstellung eines aus einer Katalogtat nach § 261 Abs. 1 Satz 2 StGB herrührenden Gegenstandes gefährdet, wobei in subjektiver Hinsicht für das Herrühren aus einer Katalogtat Leichtfertigkeit ausreicht, während die weiteren Tatbestandsmerkmale zumindest bedingt vorsätzlich verwirklicht werden müssen. Zur Erfüllung des objektiven Tatbestandes erforderlich ist eine konkrete Gefährdung der in der Vorschrift genannten staatlichen Maßnahmen (vgl. BT-Drucks. 12/3533 S. 11; BT-Drucks. 12/989 S. 27). Die Tathandlung muss dazu führen, dass der tatsächliche Zugriff auf den Gegenstand konkret erschwert wird (vgl. BGH wistra 1999, 24; OLG Hamm wistra 2004, 73, 74; Lackner/Kühl StGB 26. Aufl. § 261 Rdnr. 7). Der Versuch der leichtfertigen Geldwäsche ist nicht strafbar (Altenhain in NK-StGB 2. Aufl. § 261 Rdnr. 135). Zum Einen handelt es sich bei der leichtfertigen Geldwäsche nach § 261 Abs. 5 StGB angesichts der Verbindung von Vorsatz- und Fahrlässigkeitselementen im subjektiven Tatbestand, auf welche die Vorschrift des § 11 Abs. 2 StGB keine Anwendung findet, nicht um ein Vorsatz-, sondern um ein Fahrlässigkeitsdelikt (vgl. Duttge in MünchKomm z. StGB § 15 Rdnr. 22; Schenck Kriminalistik 2007, 610, 613; zu § 283 Abs. 4 Nr. 1 StGB Fischer StGB 56 Aufl. § 283 Rdnr. 34), zum Anderen bezieht sich die Anordnung der Versuchstrafbarkeit in § 261 Abs. 3 StGB nach ihrer systematischen Stellung innerhalb der Norm nicht auf die in § 261 Abs. 5 StGB geregelte leichtfertige Geldwäsche (vgl. Schenck aaO).Nach den Sachverhaltsfeststellungen liegt eine vollendete leichtfertige Geldwäsche gem. § 261 Abs. 1 Satz 1 4. Alt., Abs. 5 StGB nicht vor. Das Zurverfügungstellen der Bankverbindungsdaten durch den Angeklagten verbunden mit der Zusage, auf das Konto eingehende Überweisungsbeträge weisungsgemäß weiterzuleiten, erfüllt den Tatbestand nicht, weil zu diesem Zeitpunkt noch kein aus einer Katalogtat herrührender Vermögensgegenstand vorhanden war. Die konkrete Gefährdung der in § 261 Abs. 1 Satz 1 4. Alt. StGB genannten staatlichen Maßnahmen setzt aber – ebenso wie die übrigen Tatvarianten der Geldwäsche – schon begrifflich die Existenz eines tauglichen Tatobjekts voraus (vgl. Neuheuser NStZ 2008, 492, 495; Goeckenjan wistra 2008, 128, 134). Auch die kurzzeitige Gutschrift des Überweisungsbetrages auf dem Konto des Angeklagten führte nicht zur Tatvollendung. Dabei kann der Senat offen lassen, ob eine solche rechtliche Wertung schon deshalb ausscheidet, weil durch das Zurverfügungstellen der Kontodaten und die Zusage der Weiterleitung erst die Begehung der Vortat ermöglicht wurde und es deshalb an einer der Vortat nachfolgenden Geldwäschehandlung durch den Täter fehlt (vgl. Altenhain aaO Rdnr. 92; Goeckenjan aaO), oder weil die bloße Kontogutschrift regelmäßig keine Gefährdung des staatlichen Zugriffs zur Folge hat (vgl. Neuheuser aaO 495f; a.A. LG Darmstadt wistra 2006, 468; Biallaß ZUM 2006, 879). Denn jedenfalls unter den vom Landgericht festgestellten tatsächlichen Umständen des Einzelfalls war mit der kurzzeitigen Gutschrift des Überweisungsbetrages keine konkrete Gefahr für den staatlichen Zugriff verbunden. Nach den Sachverhaltsfeststellungen war der Sparkasse … bereits seit dem 24.11.2006 bekannt, dass der Angeklagte sein Konto kriminell agierenden Hinterleuten zur Verfügung gestellt hatte. Das Konto des Angeklagten wurde deshalb von der Sparkasse überwacht, was dazu führte, dass der eingehende Betrag umgehend an das Ausgangskonto zurück überwiesen wurde. Bei dieser Sachlage bestand nur die fern liegende Möglichkeit eines Scheiterns staatlicher Ermittlungs- oder Zugriffsmaßnahmen. Soweit die Strafkammer in diesem Zusammenhang auf mögliche Fehler oder Unachtsamkeiten der Bankangestellten abstellt, wird lediglich eine zur Tatbestandsverwirklichung nicht ausreichende abstrakte Gefahrenlage dargetan.Der Angeklagte hat sich auch nicht nach anderen Tatvarianten des § 261 Abs. 1 und 2, Abs. 5 StGB wegen leichtfertiger Geldwäsche strafbar gemacht. Mit Blick auf die nur kurzzeitige Gutschrift des Überweisungsbetrages auf dem von der Sparkasse überwachten Konto erlangte der Angeklagte weder tatsächliche Verfügungsgewalt über den überwiesenen Betrag, noch wurde das gutgeschriebene Giralgeld vom Angeklagten im Sinne des § 261 Abs. 2 Nr. 2 1. Alt StGB verwahrt (vgl. Neuheuser aaO 496; Biallaß aaO 880).

    2.
    Eine Strafbarkeit nach § 54 Abs. 1 Nr. 2 2. Alt KWG wegen unerlaubten Erbringens von Finanzdienstleistungen in Gestalt der Besorgung von Zahlungsaufträgen gem. § 1 Abs. 1a Satz 2 Nr. 6 KWG scheidet ebenfalls aus, weil sich der Angeklagte zwar zur Abwicklung von Zahlungsaufträgen bereit erklärte und diese durch die Übermittlung seiner Kontodaten vorbereitete, es aber nicht zur tatsächlichen Durchführung von Finanztransfergeschäften kam.
    Der Schuldspruch wegen leichtfertiger Geldwäsche hat somit keinen Bestand. Der Senat entscheidet nach § 354 Abs. 1 StPO in der Sache selbst und spricht den Angeklagten unter Aufhebung des landgerichtlichen Urteils aus Rechtsgründen frei.

    IV.
    Die Kosten- und Auslagenentscheidung ergibt sich aus § 467 Abs. 1 StPO.
    Die Entscheidung ergeht einstimmig gem. § 349 Abs. 4 StPO.

  • Neuer Straftatbestand der Datenhehlerei?

    Aktuell wird darüber diskutiert, einen neuen Straftatbestand in das Strafgesetzbuch einzuführen, der die Datenhehlerei unter Strafe stellen soll. Der hessische Justizminister wird dabei mit den folgenden Worten zitiert, die eine Strafbarkeitslücke suggerieren:

    „Wenn man die persönlichen Daten anderer für seine eigenen finanziellen Interessen missbraucht und massiv in ihre Persönlichkeitsrechte eingreift, dann muss dies unter Strafe stehen“

    Aber: Existiert hier wirklich eine Strafbarkeitslücke? Ich sehe das eher skeptisch.
    (mehr …)

  • Datenschutzerklärung von Google in Teilen rechtswidrig

    Google hat seine Datenschutzerklärung seit dem 01.03.2012 geändert. Registrierte Nutzer mussten dieser Erklärung zwingend zustimmen. Im Folgenden eine Analyse der Datenschutzerklärung von Google, was beispielhaft auch anderen Datenschutzerklärungen eine Hilfestellung sein soll. Der Artikel ist auf dem Stand der zum 01.03.2013 gefassten Datenschutzerklärung von Google.

    Update: Das Landgericht Berlin (15 O 402/12) erkannte inzwischen, dass einige der Klauseln in der Datenschutzerklärung von Google tatsächlich rechtswidrig sind.

    (mehr …)

  • Shop-Blackmailing als Cybercrime

    Shop-Blackmailing: Es gibt – nicht erst seit gestern – einen „Trend“, der durchaus besorgniserregend ist, in vielfacher Hinsicht: Betreiber von Webseite, vornehmlich Shops, erhalten aus heiterem Himmel eine Mail, in der sie aufgefordert werden, eine bestimmte Summe zu zahlen. Wenn nicht, wird ihr Geschäft nachhaltig beschädigt, entweder

    1. durch gezielte Denial-of-Service-Angriffe, die die Seite lahm legen und Umsätze gefährden (so ein Fall lag Landgericht Düsseldorf, 3 KLs 1/11 zu Grunde, hier besprochen), oder
    2. durch eine zielgerichtete „Anti-Suchmaschinenoptimierung„, die nachhaltig die Platzierug des Shops gefährdet und Konsumenten auf Dauer fernhält.

    Ich sehe hier, in diesem „Shop-Blackmailing“ vor allem wegen der Nachlässigkeit von Google, einen Trend mit erheblichem Potential für die Zukunft.

    (mehr …)

  • Cookie-Richtlinie: Gesetzentwurf im Bundestag gescheitert

    Zur der viel gescholtenen „Cookie-Richtlinie“ (dazu hier bei uns) wurde in einem Gesetzentwurf der SPD (BT-Drs 17/8454, hier als PDF) ein Ansatz zur Umsetzung in Deutschland aufgegriffen. Letztlich wurde der Gesetzentwurf nicht beschlossen.

    Im Folgenden die Besprechung dieses Entwurfs, vielleicht auch auf Ausblick auf weitere Gesetzentwürfe. Insoweit war der Entwurf der SPD eine gute Vorlage für eine Besprechung: Er sich nach meinem Eindruck alle Mühe, möglichst alles falsch zu machen, was es falsch zu machen galt:

    1. Es wird wirklich nur die Richtlinie umgesetzt, keiner der überfälligen Handgriffe am Telemediengesetz wird zusätzlich getan. Das vermurkste Gesetz wird also lieber weiter „rumgemurkst“, anstelle endlich ein alltagstaugliches Regelwerk aufzustellen. Das heisst auch weiterhin: Unsicherheiten bei Shop-Betreibern und Webseitenbetreibern, wenn sie etwa IP-Adressen der Nutzer speichern wollen. Das kürzlich in der NJW ein Aufsatz mit dem Inhalt „Datenschutzrechtliche Probleme bei Shop-Bestätigungsmails“ erschienen ist, soll hier nur als Verdeutlichung des Problems dienen.
    2. Ein schlechter Scherz ist, dass man so tun will, als würde man hier dem Verbraucher einen Gefallen tun: Cookies sind heute weder zwingend ein datenschutzrechtliches Problem, noch ist dem User gedient, wenn er auf jeder Webseite unverständliche Popups wegklicken muss, nur weil der Shopbetreiber seinen Cookie mit der Session-ID (die zur Führung des Warenkorbs notwendig ist) absichern muss. Oder wenn man sich in jedem Shop erst einmal registrieren muss, um einen Warenkorb befüllen zu können. Über so etwas denkt man nur nach, wenn man die praktischen Probleme kennt.
    3. Zu guter Letzt ist leider festzuhalten, dass die Macher dieses Entwurfs offensichtlich selber nicht einmal wissen, was sie da tun: In der Begründung zum Entwurf liest man durchweg nur etwas von „Cookies“. Wie ich schon früher klar gestellt habe: Je nachdem, wie man es formuliert (und die Richtlinie ist da eine schlechte Vorlage) geht es gerade nicht nur um Cookies. Der Gesetzentwurf nimmt Bezug auf „die Speicherung von Daten im Endgerät des Nutzers“. Das sind sicherlich Cookies. Aber auch jegliche andere Daten, die etwa innerhalb von Apps in Smartphones oder Tablets gespeichert werden. Jede Anwendung, die Daten in einem Endgerät des Nutzers speichert, wird sich darum bemühen müssen, dies mit einer sauberen Einwilligung vor der Speicherung abzusichern. Und immer daran denken: Die Einwilligung muss protokolliert werden. Andernfalls, man kennt es schon, werden Abmahnungen drohen. Immerhin hätte der Gesetzgeber es dann endlich geschafft: Abmahnwellen im Bereich der App-Shops fehlen bisher.

    Der Entwurf kam zum Glück nicht als Gesetz – gleichwohl mögen die Kritikpunkte dieses Entwurfs als Ansatz dienen.

    Dazu bei uns:

  • Phishing-Angriff: Zum grob fahrlässigen Verhalten eines Phishing-Opfers bei Überweisungen

    Das Landgericht Landshut (24 O 1129/11) hat sich mit der Frage beschäftigt, wann ein Phishing-Opfer „grob fahrlässig“ handelt. Die Frage ist bei der Rückabwicklung ungewollter Zahlungen von Bedeutung: Grundsätzlich legt §675u BGB fest, dass der „Zahler“ (hier: Kontoinhaber) gegen seinen „Zahlungsdienstleister“ (hier: Bank) einen Rückzahlungsanspruch hinsichtlich nicht autorisierter Zahlungen hat. Phishing-Opfer haben damit also grundsätzlich einen Rückzahlungsanspruch gegenüber der Bank. Aber: §675v II BGB sieht vor, dass im Falle grob fahrlässiger (oder gar vorsätzlicher) Verletzung von Pflichten der Kontoinhaber ggfs. zum Ersatz des vollen Schadens verpflichtet sein kann (sonst „nur“ bis zu 150 Euro, §675v I BGB). Die Bank kann dem Kontoinhaber daher ggfs. entgegenhalten, dass dieser für den Schaden aufkommen muss (diesbezüglich wird dann „Aufrechnung“ erklärt).

    Interessant ist aber, wie weit das LG Landshut zu gehen bereit ist.
    (mehr …)

  • Neuregelung strafprozessualer verdeckter Ermittlungsmaßnahmen verfassungsgemäß (§100a StPO)

    Das Bundesverfassungsgericht hat mit seinem Beschluss vom 12. Oktober 2011( BVerfG, 2 BvR 236/08) entschieden, dass die Neuregelung bzw. Änderung einzelner Vorschriften der Strafprozessordnung durch Art. 1 und 2 des Gesetzes zur Neuregelung der Telekommunikationsüberwachung vom 21. Dezember 2007 mit dem Grundgesetz im Einklang steht.

    (mehr …)

  • Autokauf bei eBay: Die Masche mit dem Vertrag

    Als ich den Auszug aus dem Sachverhalt einer Streitigkeit vor dem AG München (122 C 6879/09) gelesen hatte, dachte ich an ein dèjá vu:

    Anfang Februar 2009 ersteigerte jemand für 3100 Euro dieses Fahrzeug. Anschließend wurde zusätzlich zwischen beiden ein schriftlicher Kaufvertrag mittels eines ADAC-Kaufvertragsformulars geschlossen.

    Klar natürlich: Während in der Auktion noch ein „gebrauchter, aber gut erhaltener Zustand“ zugesichert wurde, war es letztlich eine Möhre. Doch warum kam mir das so bekannt vor? Weil ich kürzlich beim Landgericht Aachen auf einen ähnlichen Fall gestoßen bin und hier an eine Masche glaube: Man verkauft zuerst etwas bei eBay, später wird dann dem Käufer ein schriftlicher Vertrag angedient. In dem sind dann man bestimmte Felder gar nicht ausgefüllt (beim LG Aachen z.B. die Auswahlfelder ob der Wagen Unfallfrei ist) oder eben es steht was ganz anderes drin (etwa ein Gewährleistungsausschluss wie nun beim AG München).

    Nun stellen sich im (vorprogrammierten) Streitfall die Verkäufer gerne auf den Standpunkt, dass man ja einen einen schriftlichen Vertrag geschlossen hätte und dieser an die Stelle des eBay-Vertrages getreten sei. Und ich finde, man darf Laien, die sich hier verunsichern lassen, nicht böse sein. Dennoch ist es ein nutzloser Versuch.

    (mehr …)

  • Informationen der Bundesregierung zum Einsatz von Ermittlern in sozialen Netzen

    Mit der Drucksache 17/6587 (hier als PDF) liegt eine Stellungnahme der Bundesregierung zu verschiedenen Fragen rund um den Einsatz von (verdeckten) Ermittlern (u.a. des BKA) in sozialen Netzwerken vor. Zusammengefasst lässt sich festhalten:

    1. Es wird auf öffentlich zugängliche Daten von Ermittlern längst zugegriffen (was wenig überraschen darf), wobei auf Bundesebene BKA, Bundespolizei und Zollfahndung darauf zugreifen. (Des Weiteren sollte bekannt sein, dass auch die Steuerfahndung im Internet sucht, etwa bei eBay).
    2. Genaue Statistiken über die Datenerhebung in diesem Bereich gibt es aber nicht.
    3. Es gibt keine ausdrückliche rechtliche Regelung für ein derartiges Vorgehen, was u.a. vom Bundesdatenschutzbeauftragten schon moniert wurde. Die Bundesregierung teilt diese Bedenken aber nicht und sieht auch keinen Regelungsbedarf.
    4. Namentlich benannt werden die sozialen Netzwerke Facebook, Wer-kennt-wen und Studi-VZ, wobei die Bundesregierung darauf verweist, dass es durchaus möglich ist, Zugriff auf Bestandsdaten und nicht öffentliche Profile zu verlangen. In vier Fällen soll ein solcher Zugriff bereits stattgefunden haben, wobei hier wohl auch auf „Nachrichten“ zugegriffen wurde.
    5. Interessant und sehr Bemerkenswert ist, dass auf die Frage, ob Ermittler in der Vergangenheit zu Straftaten aufgerufen haben, keine Antwort erfolgt: Die „JA/Nein“-Frage würde in der Beantwortung angeblich die Sicherheit der Bundesrepublik Deutschland gefährden. Mit dem gleichen „Argument“ wird die Antwort verweigert, ob solche Ermittler eigene Blogs unter ihrer Legende erstellt haben. (Frage 6b ff, ab Seite 6 im Dokument). Nun lässt sich sicherlich vermuten, dass die Antwort in beiden Fällen „Ja“ lauten würde, da die Informationsverweigerung sonst sinnlos wäre – dennoch ein interessanter Punkt.
    6. Eine automatisierte Recherche findet (derzeit) seitens BKA, Bundespolizei und Zoll angeblich in sozialen Netzen gar nicht statt. Auch werden keine speziellen Ermittlungsprogramme eingesetzt.
    7. Es gibt wohl Zugriff auf eventuell vorhandene Geo-Daten. Das dürfte durchaus interessant sein, da viele nicht daran denken, dass in hoch geladenen Bilddateien mitunter GPS-Koordinaten und Zeitstempel vorhanden sind. Damit lassen sich natürlich angebliche Aufenthaltsorte gezielt belegen bzw. widerlegen.
    Das Ergebnis: Zum einen kann man feststellen, dass wohl tatsächlich nur einzelfallbezogen Informationen beschafft werden, insbesondere keine automatisierte „Rasterfahndung“ der Bundesbehörden derzeit stattfindet. Zugleich aber ist die staatliche Informationsbeschaffung in sozialen Netzen heute längst Realität und jeder Anwender muss sich zwingend darüber im Klaren sein. Interessant ist, was für ein Geheimnis um die provozierende Tätigkeit von Ermittlungsaktivitäten („agent provokateur“) gemacht wird, wobei es m.E. hanebüchen ist, unter Verweis auf die Sicherheit der Bundesrepublik Deutschland allgemeine (und m.E. allgemein bekannte) Informationen zu verweigern, wie etwa dass gezielt Blogs betrieben werden.
    Jedenfalls empfiehlt es sich vor dem Hintergrund dieser Informationen, nicht zu blauäugig den digitalen Alltag zu bewältigen. Insbesondere sind Nachrichten die man über soziale Netze schickt nicht „sicher“ und man sollte zwingend davon absehen, sensible Informationen hier weiter zu geben. 

  • AG Aachen zur Strafbarkeit von „Finanzagenten“

    Das Amtsgericht Aachen (556 Ds-703 Js 236/11-102/11) hatte sich mit zwei Finanzagenten zu beschäftigen: Um Finanzagenten handelt es sich, wenn jemand sein Konto „zur Verfügung“ stellt, um hier Geld aus erfolgreichen Phishing-Attacken eingehen zu lassen. Das Geld wird sodann abgehoben und den – meist unbekannten – Hintermännern an verabredeten Orten persönlich übergeben.

    Vorliegend ergibt sich wenig neues: Es wurde eine Strafbarkeit wegen Beihilfe zum gewerbsmäßigen bandenmäßigen Computerbetrug erkannt. Interessant ist, dass das Gericht sich alleine dazu geäußert hat und eine Geldwäsche gar nicht erst thematisiert.

    Zu Finanzagenten auch bei uns:

    (mehr …)