Die nicht mehr zu ignorierende Bedeutung von Kryptowerten stellt das Strafrecht vor Herausforderungen, für die es bisher weder terminologische noch konzeptionelle Klarheit gibt. Besonders der Umgang mit sogenannten „Kryptodiebstählen“ erweist sich als juristische Nagelprobe: Was bedeutet es, digitale Vermögenswerte zu „stehlen“, wenn die Entziehung allein auf dem Zugriff mittels eines privaten Schlüssels beruht?
Mit seinem Beschluss vom 18. September 2024 (Az. 1 Ws 185/24) hat das OLG Braunschweig – soweit ersichtlich erstmals – eine grundlegende Klärung dieses Spannungsverhältnisses versucht – mit bemerkenswerter Konsequenz, wobei ich recht skeptisch bin ob man das so halten kann. Die Entscheidung verweigert dem strafrechtlichen Zugriff auf bestimmte Konstellationen der unbefugten Token-Übertragung konsequent die Grundlage und lehnt eine Kriminalisierung bloßer Vertragsuntreue ab.
Hinweis: Eine fachliche Besprechung von mir zu dieser Entscheidung erschien im Juris Praxisreport IT-Recht! Hier im Blog stelle ich, wie üblich, das ganze nur mit ein wenig Tiefgang vor. Beachten Sie auch, dass die Entscheidung – unter Bezug auf meine Besprechung – bei „heise online“ aufgegriffen wurde.
Sachverhalt und Verfahrensgang
Ausgangspunkt war ein Ermittlungsverfahren gegen einen Beschuldigten, der einem Dritten im Rahmen eines Token-Projekts bei der Einrichtung einer Wallet geholfen und dabei Zugriff auf die für den Zugang erforderlichen 24-Passwort-Seedphrases behalten hatte. Später übertrug der Beschuldigte rund 25 Millionen „A-Coins“, die dem Geschädigten zugeordnet waren, auf zwei von diesem unabhängige Wallets.
Die Staatsanwaltschaft sah darin unter anderem einen Verstoß gegen § 202a StGB (Ausspähen von Daten), ferner einen Computerbetrug (§ 263a StGB) sowie eine strafbare Datenveränderung im Sinne des § 303a StGB. Zur Sicherung einer möglichen Wertersatzeinziehung wurde ein Arrest in Höhe von knapp 2,5 Millionen Euro angeordnet. Nach Beschwerde des Beschuldigten hob das LG Göttingen die Arrestanordnung auf – zu Recht, wie nun das OLG Braunschweig bestätigte.
Juristische Analyse
Kein Ausspähen im Sinne von § 202a StGB
Zentraler Prüfstein war § 202a Abs. 1 StGB, dessen Tatbestandsmerkmal des „Überwindens einer besonderen Zugangssicherung“ im Mittelpunkt stand. Zwar lag eine solche Zugangssicherung objektiv vor – die Wallet war durch ein 24-Wort-Recovery-Passwort geschützt. Das OLG verneinte jedoch eine „Überwindung“, weil der Beschuldigte die Passwörter bereits kannte und diese lediglich in der vorgesehenen Weise benutzte. Anders als etwa in der Entscheidung des BGH vom 13. Mai 2020 (5 StR 614/19) sei der Zugangsschutz nicht umgangen oder manipuliert, sondern im Rahmen seiner Funktionsweise verwendet worden. Die Strafbarkeit nach § 202a StGB setzt aber voraus, dass der Täter die Schutzvorkehrung aktiv ausschaltet oder umgeht – nicht, dass er sie schlicht benutzt, obwohl ihm dies zivilrechtlich nicht zusteht.
Keine täuschungsäquivalente Handlung im Sinne des § 263a StGB
Auch der Computerbetrug gemäß § 263a StGB scheiterte, weil im Kontext der Blockchain kein täuschungsäquivalenter Datengebrauch vorliegt. Eine auf einer Token-Transaktion beruhende Erklärung impliziert keine (konkludente) Berechtigung, weil das System selbst keine normative Identifikation vornimmt. Der Gebrauch eines privaten Schlüssels erlaubt technisch den Zugriff – unabhängig davon, ob dem Verwender eine materielle Berechtigung zukommt. Die Blockchain kennt keine Verfügungsrechte im rechtlichen Sinne, sondern nur kryptographisch verifizierte Verfügungsfähigkeit. Eine „Täuschung“ über eine Berechtigung kann daher im Rahmen des Blockchain-Protokolls gar nicht erfolgen – was § 263a StGB die Tatbestandsgrundlage entzieht.
Datenveränderung gemäß § 303a StGB?
Besonders ausführlich setzt sich der Senat mit § 303a StGB auseinander, der etwa eine rechtswidrige Datenveränderung unter Strafe stellt. Zwar erkennt das OLG an, dass die Zuordnung von Token in der Blockchain durch eine Transaktion technisch gesehen eine Veränderung von Daten darstellt. Diese werde jedoch nicht durch den Beschuldigten selbst, sondern durch die konsensbasierte Handlung der Netzwerk-Betreiber vorgenommen. Auch eine mittelbare Veranlassung reiche nicht, da die Verfügungsberechtigung über die Blockchain-Einträge bei den Netzwerk-Teilnehmern selbst liege – eine persönliche Verantwortlichkeit des Verwenders sei daraus nicht abzuleiten.
Besonders instruktiv ist die Auseinandersetzung mit der Frage, ob § 303a StGB zumindest dann einschlägig sein könnte, wenn – wie hier – ein faktisches Entziehen von Zugriffsmöglichkeiten vorliegt. Doch auch diese Sichtweise verwirft das OLG mit klarer dogmatischer Argumentation: Eine Strafbarkeit könne nicht auf bloßen Vertragsverletzungen beruhen. Die vom Beschuldigten gesetzten Transaktionen berührten keine fremden Verfügungsrechte, sondern allenfalls schuldrechtliche Pflichten, deren Verletzung außerhalb des Schutzbereichs des Strafrechts liege.
Dogmatische und systematische Bedeutung
Die Entscheidung des OLG Braunschweig reiht sich in eine zunehmende Zahl ober- und höchstgerichtlicher Entscheidungen ein, die der Versuchung widerstehen, mit schlichten analogen Argumenten neue technische Realitäten strafrechtlich zu erfassen. Vielmehr wird mit hoher Präzision an der Trennung zwischen zivil- und strafrechtlichen Schutzgütern festgehalten. Die faktische Entziehung von Kryptowerten ist – so die konsequente Linie – straflos, wenn sie technisch auf regulärem Weg erfolgt und keine normativ geschützten fremden Rechtspositionen verletzt. Auch wenn ich die Analyse des OLG inhaltlich nicht teile ist ihr nicht zu verwehren, wie klar und auch zugänglich die Argumentation ist.
Knackpunkt in der ganzen Nummer ist die Anwendung des § 303a StGB, speziell die „fremde Datenverfügungsbefugnis“, wobei das OLG darauf abstellt, dass die Datenveränderung durch “das Netzwerk” verursacht wird:
Die Protokollierung einer Transaktion in der Blockchain und die damit verbundene datenmäßige Veränderung der Zuordnung der Kryptowerte (hier: A-Coins) beinhaltet zwar eine Veränderung – und zugleich auch ein teilweises Unbrauchbarmachen – von Daten; denn mit der Zuweisung der Coins zu einem anderen Public Key ist eine Änderung des Informationsgehalts bzw. Aussagewertes des zuvor die Zuweisung dokumentierenden Datensatzes verbunden.
Diese Datenveränderung ist aber nicht durch den Beschuldigten, sondern durch die Netzwerk-Betreiber und damit durch die diesbezüglich Verfügungsberechtigten selbst vorgenommen worden: Wie ausgeführt, wird die Blockchain durch ein dezentrales Netzwerk von Servern (sog. Knoten = “Nodes”) verwaltet und gesteuert. Die in der Blockchain gespeicherten Daten werden in identischer Form auf allen teilnehmenden Rechnern gespeichert. Skribent der Blockchain-Daten sind mithin die Netzwerk-Betreiber in ihrer Gesamtheit, denn (nur) diese bewirken die Speicherung der Daten unmittelbar selbst. Die “Inhaber” der Kryptowerte speichern die Blockchain-Daten hingegen weder unmittelbar selbst noch sind sie zu diesbezüglichen Veränderungen schuldrechtlich berechtigt (…)
Dass die Protokollierung einer Transaktion die Folge einer Verfügung des Nutzers unter Verwendung des zutreffenden öffentlichen und privaten Schlüssels ist und er diese damit – kausal – veranlasst hat, rechtfertigt keine andere Beurteilung. Denn hieraus folgt lediglich eine – gerade dem vorgesehenen Betrieb des Systems entsprechende – mittelbare Bewirkung der die Veränderung auslösenden Datenspeicherung. Dies genügt für den das Verfügungsrecht begründenden Skripturakt nicht. Wollte man auf die mittelbare Verursachung der Protokollierung der Transaktion abstellen, wäre im Übrigen zunächst auch (nur) der Nutzer des verwendeten Private und Public Keys als Datenverfügungsberechtigter in den Blick zu nehmen. Denn es kann nicht außer Betracht bleiben, dass Transaktionen innerhalb der Blockchain bewusst und gewollt anonym durchgeführt werden und die Zuordnung der Kryptowerte deshalb auch nicht zu Personen, sondern nur zu “Schlüsseln” erfolgt. Zur Ausführung einer Transaktion betreffend die einem öffentlichen Schlüssel zugeordneten Kryptowerte befugt ist im Verhältnis zur Blockchain nach deren Regeln damit zunächst jede Person, die über den zutreffenden Private Key verfügt. Ob dies anders zu beurteilen wäre, wenn diese Person den zutreffenden Private Key durch rechtswidriges Handeln erlangt hätte, braucht hier nicht entschieden zu werden. Denn dem Beschuldigten wird (lediglich) zur Last gelegt, er habe den Zugriff auf den Private Key des Anzeigeerstatters durch Verwendung der ihm bereits bekannten Passwörter erlangt und mithin eine schuldrechtliche Nebenpflicht – die von ihm erstellten Passwörter nicht (mehr) zu verwenden – verletzt. Eine Kriminalisierung von (bloßen) Vertragsverletzungen wird von § 303a StGB jedoch nicht erfasst (…).
Eben den Aspekt sehe ich anders (im Detail dazu in meiner Besprechung bei Juris): Ich habe den Eindruck, das OLG sieht ein autonom agierendes Netzwerk, während ich nur ein (notwendiges) Werkzeug sehe, mit dem die Tat unter Tatherrschaft umgesetzt wird. Insbesondere die digital signierte Order, mit welcher am Ende zwingend und mit absoluter Sicherheit vorhersehbar die Datenänderung duchgeführt wird, ist für mich ein Aufhänger der Zurechnung. Darüber hinaus sehe ich eine Strafbarkeit nach § 274 Abs.1 Nr.2 StGB, dies auch unter Berücksichtigung der Rechtsprechung zum kontaktlosen Einsatz von Geldkarten, wo sich parallelen aufdrängen – und ebenfalls ein externer (scheinbar autonom arbeitende) Buchungsautomatismus ausgenutzt wird.
Mein Vorhalt geht dann auch dahin, dass das OLG fehlerhaft von einer im Gesetz nicht vorgesehenen Eigenhändigkeit der Datenänderung im Rahmen des § 303a StGB ausgeht und damit Fragen der (objektiven) Tathandlung mit denen der Zurechnung des Erfolges vermengt.
Praktische Auswirkungen
So oder so wird deutlich, dass das geltende Strafrecht keine hinreichenden Instrumente bereithält, um bestimmte faktische Vermögensverschiebungen eindeutig zu erfassen, sofern keine technische Manipulation oder Täuschung hinzukommt. Ob und in welchem Umfang das Gesetz hier nachgebessert werden sollte, ist eine kriminalpolitische Frage und keine Frage der Auslegung.
Für die Praxis bedeutet das obergerichtliche Urteil eine durchaus überraschende Zäsur: Ermittlungsbehörden, die reflexartig auf § 202a oder § 303a StGB zurückgreifen würden, um Token-Transfers strafrechtlich zu sanktionieren, müssen künftig (erst einmal) verstärkt mit Freisprüchen oder der Einstellung von Verfahren rechnen. Auch präventiv betrachtet verschiebt sich der Fokus: Wer mit der Verwaltung fremder Private Keys betraut ist, sollte künftig klare vertragliche Regelungen über Nutzung, Aufbewahrung und Löschung treffen und im Ernstfall zivilrechtliche Schritte einleiten. Exemplarisch zur zivilrechtlichen Vollstreckung siehe hier von mir eine Besprechung einer Entscheidung des OLG Köln!
Die Entscheidung macht deutlich, dass ein technischer Zugriff allein nicht genügt, um strafrechtlich relevante „Verfügungen“ über Kryptowerte zu konstruieren. Gleichwohl warne ich dringend davor, diese Entscheidung zu verallgemeinern und sie als Vorbild für das eigene Handeln zu nehmen – zumal hier der Sonderfall bereits bekannter „Passwörter” vorlag. Wer sich Zugang zu einer Wallet erschleicht, bewegt sich in jedem Fall im strafbaren Umfeld. Meiner Ansicht nach wird ein „virtueller Diebstahl“ im Zweifelsfall ohnehin von § 303a StGB erfasst sein. Die jetzt im Krypto-Umfeld ergangene OLG-Entscheidung sollte keine Sicherheit geben, sondern aufzeigen, wie umstritten diese Frage sein kann.
Schlussfolgerung
Die Entscheidung des OLG Braunschweig markiert eine notwendige dogmatische Klärung in einem Feld, das vom technisch Machbaren, nicht vom rechtlich Zulässigen bestimmt ist – die aber eben auch sehr umstritten sein wird. Sie zeigt eindrucksvoll, dass sich auch im digitalen Zeitalter strafrechtliche Wertungen nicht nach medialem Empörungspotenzial, sondern nach rechtssatzmäßiger Präzision und systematischer Kohärenz richten müssen. Der vermeintlich „virtuelle Diebstahl“ bleibt – jedenfalls in dieser Konstellation mit dieser Entscheidung – eine zivilrechtliche, nicht jedoch eine strafbare Handlung. Die Quintessenz lautet daher: Strafrecht ist keine Allzweckwaffe gegen jede Form der digitalen Illoyalität – und sollte es auch nicht sein. Wobei ich skeptisch bin, ob sich die Sichtweise des OLG auf Dauer durchsetzt.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Rechtsfragen des GPS-Jamming - 24. Januar 2026
- OLG FFM: Öffentliches Interesse an chinesischer Einflussnahme - 23. Januar 2026
- Staatsanwaltschaft darf Presseanfrage nicht an Verteidiger weitergeben - 23. Januar 2026
