Kategorien
Cybercrime & IT-Strafrecht

Unberechtigte kontaktlose Zahlung mit EC-Karte – Strafbar?

Das Oberlandesgericht Hamm, 4 RVs 12/20, hat sich in der mir ersten bekannten Entscheidung zur Frage des Betruges bei kontaktloser Zahlung mit einer EC-Karte geäußert und – durchaus überraschend – festgestellt, dass im Regelfall kein Betrug vorliegen wird, wenn jemand (unberechtigt) die EC-Karte eines Dritten zur kontaktlosen Zahlung einsetzt:

  • Löst ein Nichtberechtigter mit einer ec-Karte kontaktlos einen elektronischen Zahlungsvorgang aus und fragt das kartenemittierende Kreditinstitut im Zuge der Abwicklung des Zahlungsvorgangs im „Point-of-sale-Verfahren“ die zu der Karte gehörende Geheimnummer (PIN) nicht ab, verwirklicht dieses Verhalten mangels Täuschung nicht den Betrugstatbestand gemäß § 263 Abs. 1 StGB.
  • Ein solches Verhalten verwirklicht auch nicht – mangels Betrugsähnlichkeit – die Tatbestände des Computerbetruges gemäß § 263a Abs. 1 StGB und – mangels Vorliegens einer „Datenurkunde“ – der Fälschung beweiserheblicher Daten gemäß §§ 269 Abs. 1, 270 StGB.
  • Ein solches Verhalten kann aber als Urkundenunterdrückung gemäß § 274 Abs. 1 Nr. 2 StGB sowie nachrangig als Datenveränderung gemäß § 303a Abs. 1 StGB strafbar sein. Insbesondere für die Verwirklichung des § 274 Abs. 1 Nr. 2 StGB ist allerdings in subjektiver Hinsicht zumindest eine laienhafte Vorstellung von den technischen Abläufen einer kontaktlosen Zahlung im POS-Verfahren erforderlich.

Die Entscheidung kann auch durchaus kritisch hinterfragt werden. Wer sich zum Betrug bei Lastschriftverfahren interessiert, sollte die grundlegende Entscheidung des OLG Hamm von vor gut 10 Jahren kennen. Ich selber habe schon 2012 überlegt, wo rechtliche Probleme beim kontaktlosen Beahlen liegen könnten

Betrug scheidet aus …

Beim Betrug an sich ist es noch relativ simpel: Vor dem Hintergrund der Zahlungsmodalitäten bei kontaktloser Zahlung haben Kassenkräfte regelmäßig keinen Anlass, sich Vorstellungen über die Berechtigung zur Kartenverwendung zu machen. Insoweit ist nur kurz daran zu erinnern, dass bei elektronischer Autorisierung durch die kartenausgebende Bank der Händler unmittelbar eine einredefreie Forderung gegen die Bank in Höhe des autorisierten Betrages erwirbt. Und dies ja gerade auch dann, wenn ein Nichtberechtigter die ec-Karte verwendet hat – und auch, wenn die kartenausgebende Bank zuvor auf die Abfrage der PIN verzichtet hat. Bei dem gesamten Prozedere zu einer Täuschung oder gar einen Irrtum beim Kassenpersonal zu kommen, ist durchaus zu schwierig.

Ablehnung des Computerbetruges

Der erste dogmatisch spannende Teil ist der Computerbetrug: Das OLG kommt zu dem Ergebnis, dass die Datenverwendung im Zuge des EC-Karteneinsatzes nicht unbefugt im Sinne des § 263a Abs. 1 StGB war. Zwar werden bei dem kontaktlosen Einsatz der ec-Karte im POS-Verfahren Daten in einem Datenverarbeitungsvorgang im Sinne des § 263a Abs. 1 Var. 3 StGB verwendet. Insofern gilt für das OLG ausdrücklich nichts anderes als bei einem Einsatz einer ec-Karte in Verbindung mit der PIN im POS-Verfahren. Aber: Die Auslegung des Merkmals der „unbefugten” Datenverwendung ist umstritten, wobei das OLG hierzu nun ausführt

Nach der betrugsspezifischen Auslegung ist eine Verwendung von Daten nur dann „unbefugt”, wenn sie gegenüber einer natürlichen Person Täuschungscharakter hätte (BGH NJW 2013, 2608, 2610; OLG Hamm NStZ 2014, 275, 276). Um die Vergleichbarkeit sicherzustellen, ist für die Täuschungsäquivalenz dabei nicht auf einen fiktiven Bankangestellten abzustellen, der die Interessen der Bank im Autorisierungsverfahren einer ec-Zahlung umfassend wahrzunehmen hat, sondern auf das Vorstellungsbild eines Schalterangestellten, der sich nur mit den Fragen befasst, die auch der Computer prüft bzw. für die sich auch im Computerprogramm Ansätze zur Kontrolle finden (BGH NJW 2002, 905, 906; OLG Hamm NStZ 2014, 275, 276; Altenhain JZ 1997, 752, 758; Fischer StGB, 67. Aufl. 2020, § 263a Rn. 11).

Oberlandesgericht Hamm, 4 RVs 12/20

Nun, ernsthaft umstritten ist diese Ansicht nun aber nicht, mit die beste Kommentierung zu dieser Frage findet man ausgerechnet im Schönke/Schröder, der ebenfalls darauf verweist, dass es einer betrugsähnlichen Auslegung bedarf (dazu bei §263a, Rn.9).

Und das OLG ist nun der Auffassung, dass es bei den hier vorliegenden kontaktlosen Einsätzen einer ec-Karte im POS-Verfahren, bei denen die PIN bei der Bezahlung gerade nicht abgefragt wird, an der Betrugsähnlichkeit fehlt. Denn anders als in den Fällen, in denen der Bankcomputer die PIN vom Kartenverwender abfragt, wird hierbei die Berechtigung desjenigen, der den elektronischen Zahlungsvorgang durch Vorhalten der Karte vor das Lesegerät auslöst, gerade nicht überprüft. Das OLG führt dann abschliessend dazu aus: “Damit aber würde ein fiktiver menschlicher Bankangestellter an Stelle des Bankcomputers auch keinem dahingehenden Irrtum bezüglich der Berechtigung unterliegen, womit es an der für die Unbefugtheit erforderlichen Betrugsähnlichkeit fehlt.”

Genau diesen Aspekt kann man durchaus kritisch sehen, denn anders als das OLG es sich offensichtlich vorstellt, genügt gerade nicht das kurze Vorhalten der Karte. Um einen bewussten (!) Einsatz zu erzwingen und gerade versehentliche Kontaktzahlungen zu vermeiden, sehen die Gerät vor, dass man die Karte in eine unmittelbare Nähe bringen und mehrere Sekunden vorhalten muss, wobei dieser Vorgang im Regelfall von piependen Tönen begleitet wird. Diesen – erzwungen – bewussten Einsatz der EC-Karte sollte man nicht einfach übergehen und vielmehr fragen, ob in dieses andauernde Vorhalten eine Täuschungs-äquivalente Handlung subsumiert werden kann.

avatar

Jens Ferner

Strafverteidiger

Fälschung beweiserheblicher Daten

Auch dies lehnt das OLG ab, denn ein Speichern oder Verändern beweiserheblicher Daten gemäß § 269 Abs. 1 StGB erfordert, dass beweiserhebliche Daten so manipuliert werden, dass im Falle ihrer visuellen Wahrnehmbarkeit im Sinne des § 267 StGB eine unechte oder verfälschte Urkunde vorliegen würde. Die betroffenen Daten müssen also bis auf das Erfordernis der visuellen Wahrnehmbarkeit alle Merkmale des Urkundenbegriffs aufweisen. Dies aber sieht das OLG gerade nicht:

Zwar werden bei dem Einsatz einer ec-Karte im POS-Verfahren am Kartenlesegerät die Transaktionsdaten (z.B. Kontonummer und Gültigkeitsdatum der ec-Karte) als Gedankenerklärung in das Autorisierungssystem eingelesen. Allerdings ist in Bezug auf die Transaktionsdaten bei den hier vorliegenden kontaktlosen Zahlungen mittels ec-Karte ohne PIN-Abfrage die Garantiefunktion des Urkundenbegriffs nicht erfüllt. Diese erfordert, dass der vermeintliche Aussteller der Gedankenerklärung erkennbar ist. An einer solchen eindeutigen Identifikationsmöglichkeit fehlt es aber mangels PIN-Abfrage (…)

Bei den hier vorliegenden kontaktlosen Bezahlvorgängen ohne PIN-Abfrage fehlt es dagegen an einer vergleichbaren Identifikationsmöglichkeit des Anweisenden. Denn der für die Anweisung hier allein erforderliche unmittelbare Besitz an der ec-Karte garantiert gerade nicht genauso wie die gleichzeitige Abfrage der herkömmlicherweise nur dem Berechtigten bekannten PIN, dass derjenige, der die Karte einsetzt, auch der berechtigte Karteninhaber ist. Die Eingabe der Transaktionsdaten ist damit nicht in einer von dem Urkundenbegriff vorausgesetzten Weise einer Person eindeutig zuzuordnen. Weil der Aussteller der Erklärung nicht hinreichend erkennbar ist, fehlt es an der für § 269 Abs. 1 StGB notwendigen Datenurkunde.

Oberlandesgericht Hamm, 4 RVs 12/20

Auch hier mag man vorsichtig sein: Wenn das Terminal nämlich – wie in hiesigen Fällen – die individuelle EC-Kartennummer speichert und dem Bezahlvorgang zuordnet, liesse sich auf dem Wege sehr wohl ein Aussteller ermitteln. Denn diese individuelle Kartennummer ist einem individuellen Karteninhaber zuzuordnen.

avatar

Jens Ferner

Strafverteidiger

Urkundenunterdrückung

Allerdings – wohl sehr bemüht das gesamte Verhalten nicht straflos werden zu lassen – sieht das OLG am Ende dann eine Urkundenunterdrückung. Aus Sicht des OLG werden in einem Fall wie dem vorliegenden durch die Verwendung der ec-Karte beweiserhebliche Daten, über die ein anderer beweisführungsbefugt ist, gelöscht bzw. verändert:

Die erforderlichen beweiserheblichen Daten ergeben sich in diesem Kontext aus der Höhe des Verfügungsrahmens sowie den Umständen der bisherigen Karteneinsätze seit der letzten PIN-Abfrage (Anzahl der bisherigen Einsätze im kontaktlosen Bezahlverfahren ohne PIN-Abfrage und Höhe der jeweiligen Zahlbeträge nach den Vorgaben von Art. 11 lit. b), c) der Technischen Regulierungsstandards), die im Computer der Autorisierungszentrale bzw. auf dem Chip der ec-Karte gespeichert werden (…) Denn die hier relevanten Daten des Verfügungsrahmens und der Umstände der bisherigen Karteneinsätze weisen jedenfalls Urkundengleichheit auf (…)

Der noch bestehende Verfügungsrahmen sowie die Umstände der bisherigen Kartennutzung seit der letzten PIN-Abfrage stellen Gedankenerklärungen dar, die durch die Speicherung im Autorisierungssystem bzw. auf dem Chip der ec-Karte perpetuiert sind. Weiterhin sind diese Daten auch beweiserheblich, weil sie für die Autorisierung weiterer Bezahlvorgänge mit der ec-Karte relevant sind. Nur wenn der Verfügungsrahmen noch nicht ausgeschöpft ist (…) erteilt die kartenausgebende Bank im POS-Verfahren die Autorisierung der Zahlung (ohne PIN-Abfrage). Anders als im Hinblick auf die Transaktionsdaten ist in Bezug auf den Verfügungsrahmen und die Umstände der bisherigen Kartennutzung auch die Garantiefunktion des Urkundenbegriffs erfüllt. Es ist nämlich die kartenausstellende Bank als Aussteller dieser Daten ohne Weiteres erkennbar.

Über diese Daten durfte der Angeklagte auch nicht verfügen. Das Tatbestandsmerkmal der Verfügungsbefugnis bezieht sich im § 274 Abs. 1 Nr. 2 StGB auf das Recht, mit den Daten im Rechtsverkehr Beweis zu erbringen (Heine/Schuster in Schönke/Schröder-StGB, 30. Aufl. 2019, § 274 Rn. 22d; Hoyer in SK-StGB, 7. Aufl. 2004, § 274 Rn. 19). Dieses Recht stand dem Angeklagten als Nichtberechtigtem nicht zu, sondern vielmehr dem Zeugen A als berechtigtem Karteninhaber bzw. der Sparkasse F als kartenausgebendem Kreditinstitut.

Oberlandesgericht Hamm, 4 RVs 12/20

Fazit zur Strafbarkeit bei unberechtigter kontaktloser Zahlung

Es kann nicht sein, was nicht sein darf – getreu dem Motto stellt das OLG zuerst – einem Laien sicherlich schwer vermittelbar – richtig fest, dass die Betrugstatbestände nicht vorliegen. Verwickelt sich im weiteren Fortgehen dann aber durchaus in Wertungswidersprüche: Warum etwa die Außerhalb der Sphäre des Nutzers liegenden Datenverarbeitungen, die bestimmungsgemäß (!) durch die Kartennutzung ausgelöst werden plötzlich die Strafbarkeit begründen sollen, erscheint schwerlich nachvollziehbar – nicht zuletzt, wenn man daran denkt, dass der unberechtigte Nutzer diesbezüglich beim besten Willen mangels Vorstellung keinen Vorsatz haben wird.

Der Vorwurf liegt eindeutig in dem Bereich, dass unberechtigt eine Fremde Karte genutzt wird, dadurch dann ein Zahlungsprozess mit Garantiefunktion ausgelöst wird, an dessen Ende entweder Bank oder der Karteninhaber Geschädigte sind. Letzteren sollte man nicht vergessen: Wenn er die Abbuchung nämlich nicht bemerkt, tritt der Schaden bei ihm ein und bei keinem anderen. Dahin stehen kann, ob man dies als Aufhänger nutzen kann, über einen Dreiecksbetrug zu diskutieren, um dann doch noch in den §263 StGB zu kommen (so mag man fragen, ob nicht am Ende der Karteninhaber der Getäuschte und Geschädigte in Personenidentität ist, bei dem der Verwender möglicherweise gerade die Unsicherheit über die unbekannte Zahlung ausnutzen wollte – das alleine wäre einen eigenen Beitrag wert).

Wenn man aber die Betrugstaten weiterhin ausklammert, ist der Tatbestand der Fälschung beweiserheblicher Daten schlicht überzeugender – weil er für diese Fälle geschaffen wurde. Die Perpetuierungsfunktion mag man darin erkennen, dass die Kartennummer erfasst wird (was das OLG offenkundig nicht weiss) und durch das bewusste längerfristige Vorhalten konkludent behauptet wird, der berechtigte Karteninhaber (der über die Kartennummer eindeutig zu identifizieren ist) möchte gerade zahlen. Wenn man in den Gedankengängen des OLG verharrt, dann ist der §269 StGB aus hiesiger Sicht die passendere Lösung.


Bessere Lösung: Diebstahl

Eine persönliche Anmerkung: Aus meiner Sicht liegt dem ganzen “gekrückten” Vorgehen des OLG ein falsches Verständnis der BGH-Rechtsprechung zu Grunde. Juristen werden schon bei der Überschrift gestutzt haben, denn der BGH hat vor Jahrzehnten klargestellt, dass die Verwendung einer EC-Karte kein Diebstahl ist. Doch hier liegt der Teufel im Detail, ich zitiere:

Die Auffassung des vorlegenden Oberlandesgerichts, mit der Wegnahme der eurocheque-Karte habe sich die Angeklagte deren spezifischen Funktionswert (lucrum ex re) auch bei Rückgabewillen zugeeignet, wird der dogmatischen Struktur des § 242 StGB nicht gerecht. Diebstahl ist (…) auf die Erlangung einer eigentümerähnlichen Verfügungsgewalt an einer bestimmten Sache gerichtet, (…) und zwar ohne Rücksicht auf deren wirtschaftlichen Wert (…). Selbst sichere Erwerbsaussichten, die nur durch den Einsatz der wegzunehmenden Sache zu verwirklichen sind, können daher nicht Gegenstand eines Diebstahls sein. Die sichere Aussicht, durch die Benutzung von codierter Karte und Geheimnummer in der programmierten Höhe Geld aus dem Automaten zu erlangen, kann somit von § 242 StGB nur erfaßt sein, wenn der wirtschaftliche Wert dieser tatsächlichen Erwerbschance schon in der entwendeten Sache selbst verkörpert ist (…). Die Rechtsprechung hat dies z.B. für Sparkassenbücher (…) bejaht.

Ein vergleichbarer Fall liegt bei der codierten Scheckkarte aus folgenden Gründen nicht vor: Der Berechtigte kann ohne Vorlage der Scheckkarte über sein Girokonto verfügen. Die Scheckkarte besagt auch nichts über den Guthabensstand des Kontos oder die Höhe des eingeräumten Dispositionskredits, so daß sie – anders als Sparkassenbücher, Biermarken pp. – keinen bestimmten Vermögenswert verlautbart. Sie verschafft allerdings die tatsächliche Möglichkeit, den von den Kreditinstituten garantierten Höchstbetrag aus den Geldautomaten abheben zu können, sofern zugleich die zugehörige Geheimnummer eingegeben wird. Da diese Zahl nicht auf der Karte vermerkt werden darf (…) verkörpert die Scheckkarte als solche, d.h. ohne die zugehörige Identifikationsnummer, nicht einmal eine (…) tatsächliche Erwerbschance. 

BGHSt 35, 1523 StR 209/87

Aus meiner Sicht lag schon beim ersten Aufarbeiten des Sachverhalts viel näher, die Fälle kontaktlosen Zahlens mit den Sparbuch-Fällen zu vergleichen: Der Täter sieht mit einem Blick auf der Karte, ob die Karte für kontaktloses Zahlen geeignet ist. Er verwendet sie wie ein Legitimiationspapier und am Ende greift er nur auf den durch die Möglichkeit kontaktloser Zahlung verkörperten und unmittelbar zugänglichen Weg bis zu 25 Euro (manchmal 50 Euro) zu. Der Hinkefuss ist unleugbar, dass der Täter nicht weiss, ob das Konto gedeckt ist, also die Zahlung funktioniert. Das aber kann man weniger als Argument gegen den Diebstahl nutzen als vielmehr den Weg zu einem strafbaren Versuch. Dass bei kontaktloser Zahlmöglichkeit ein Wert bis zu einem definierten Betrag bereits in der Karte an sich verkörpert ist, lässt sich jedenfalls durchaus heute vertreten – und damit auch die notwendigen Erwerbsaussichten.

Im Übrigen hätte die Lösung den für die Praxis durchaus netten Charme, dass zum einen diese Auffassung dem Rechtsverständnis der Täter entsprechen wird (die an Datendelikte kaum denken werden), zum anderen gerade bei den Bagatellbeträgen bis 25 Euro die Diebstahlsdelikte samt §248a StGB einen breiten Blumenstrauß für die Strafzumessung bilden. Insgesamt mag man überlegen, ob die für EC-Karten mit PIN entwickelte Rechtslage überhaupt etwas mit kontaktloser Zahlung zu tun hat – oder man dann die Delikte nicht schlicht unterscheiden muss.

Rechtsanwalt & Strafverteidiger bei Anwaltskanzlei Ferner Alsdorf
Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.
Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht (Alle anzeigen)

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht

Von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht

Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime sowie Arbeitsrecht und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.