Mit Beschluss vom 07.04.2020 (Az.: 4 RVs 12/20) hat sich das OLG Hamm mit einer neuen Konstellation aus dem Bereich der extrem klausur- und examensrelevanten EC-Karten-Fälle, namentlich der Strafbarkeit bei der Verwendung einer EC-Karte im Wege kontaktloser Zahlung ohne PIN-Abfrage durch den Nichtberechtigten, befasst. Angesichts der Vielzahl der zu prüfenden Delikte und der sie betreffenden Streitigkeiten sowie der Erforderlichkeit exakter Subsumtion unter zumeist schwer greifbare Definitionen ist eine ausführliche Auseinandersetzung mit der Thematik für jeden Examenskandidaten ohnehin ein Muss. Kommen aktuelle Entscheidungen mit neuen Problemen – wie der Behandlung kontaktloser Zahlungsvorgänge – hinzu, ist der Einzug der Problematik in Klausuren und mündliche Prüfungen umso wahrscheinlicher. Die Entscheidung soll daher im Rahmen des nachfolgenden Beitrags ausführlich besprochen werden.
Anmerkung: Für eine ausführliche Übersicht verschiedener EC-Karten-Konstellationen ist auf unseren Grundlagenbeitrag zu verweisen.
A) Sachverhalt (vereinfacht und leicht abgewandelt)
Der Sachverhalt ist schnell erzählt: Der O verlor in der Stadt sein Portemonnaie, worin sich unter anderem seine EC-Karte befand. Noch am gleichen Tag gelangte der T in den Besitz des Portemonnaies und begab sich – in dem Wissen, dass ihm die Karte nicht gehörte und er zur Nutzung nicht berechtigt war – sogleich zum Supermarkt S. Dort tätigte er an der Kasse beim Mitarbeiter M nacheinander verschiedene Einkäufe, indem er die zuvor aufgefundene EC-Karte auf das Kartenlesegerät zur Bezahlung auflegte. Da alle Einkäufe jeweils einen Warenwert von unter 25,00 Euro aufwiesen, war die Eingabe der PIN nicht erforderlich, was dem T bekannt war und von diesem bewusst ausgenutzt wurde. Die bei den Einkäufen erhaltenen Waren beabsichtigte er für sich zu behalten.
Strafbarkeit des T nach dem StGB?
B) Rechtsausführungen
I. Betrug, §§ 263 Abs. 1, 4, 248a StGB
In Betracht kommt eine Strafbarkeit wegen Betrugs gemäß §§ 263 Abs. 1, 4, 248a StGB.
1. Dies erfordert im objektiven Tatbestand zunächst eine Täuschung über Tatsachen, die kausal einen Irrtum auf Seiten Vermögensverfügenden erregt oder aufrechterhalten hat. Vorliegend könnte der T den Mitarbeiter M konkludent über seine Berechtigung zur Zahlung mit der EC-Karte getäuscht haben, sodass dieser den T irrig für den berechtigten Karteninhaber hielt. Eine Täuschung liegt in der Vorspiegelung falscher oder in der Entstellung oder Unterdrückung wahrer Tatsachen. Dabei genügt jedes Verhalten, durch das im Wege einer Einwirkung auf das intellektuelle Vorstellungsbild eines anderen eine Fehlvorstellung über die Realitäten erregt oder unterhalten werden kann (Schönke/Schröder/Perron, 30. Aufl. 2019, StGB § 263 Rn. 6). Dieses Verhalten müsste kausal zu einem Irrtum, also einem Widerspruch zwischen subjektiver Vorstellung und der Wirklichkeit, geführt haben (BeckOK StGB/Beukelmann, 46. Ed. (Stand: 01.05.2020), StGB § 263 Rn. 23). Nicht ausreichend ist hierfür der Fall, dass sich der Getäuschte überhaupt keine Gedanken macht; dagegen genügt sogenanntes sachgedankliches Mitbewusstsein in Form eines ständigen Begleitwissens (exemplarisch BGH, Urt. v. 09.06.2009 – 5 StR 394/08, NJW 2009, 2900, 2901, Rn. 17; BeckOK StGB/Beukelmann, 46. Ed. (Stand: 01.05.2020), StGB § 263 Rn. 25). Im vorliegenden Fall hat das OLG Hamm indes sowohl das Vorliegen einer Täuschung als auch eines Irrtums vor dem Hintergrund der besonderen Modalität des kontaktlosen Bezahlens ohne PIN-Abfrage verneint:
„Die Berechtigung […] zur Verwendung der ec-Karte war aus der objektiven Perspektive des an den Zahlungsvorgängen beteiligten Betreibers des H-Marktes bzw. den in seinem Lager stehenden Kassenmitarbeitern bei der kontaktlosen ec-Zahlung ohne PIN-Abfrage ohne rechtliche Relevanz, weil der Zahlungsausgleich des Händlers unabhängig von der Berechtigung des Angeklagten durch die [Bank] garantiert war. […] Anders als bei der herkömmlichen Bezahlung im POS-Verfahren, bei welcher die ec-Karte durch ein Lesegerät gezogen wird, muss bei der kontaktlosen Bezahlung mittels near field communication-Technologie („NFC“) die Karte nicht in das Kartenlesegerät eingesteckt, sondern nur in dessen Nähe gehalten werden, um den elektronischen Zahlungsvorgang auszulösen. Zudem kann die kartenausgebende Bank […] bei kontaktlos ausgelösten Transaktionen unter bestimmten Voraussetzungen davon absehen, eine starke Kundenauthentifizierung zu verlangen […]. Das bedeutet, dass die Bank darauf verzichten kann, die zu der ec-Karte gehörige PIN (personal identification number) abzufragen. […] Wird mit einer ec-Karte kontaktlos ein Zahlungsvorgang ausgelöst, werden die Zahlungsdaten an die Autorisierungszentrale der kartenausgebenden Bank übermittelt. Dort überprüft ein Computer der kartenausgebenden Bank, ob die verwendete ec-Karte in keine Sperrdatei eingetragen ist, der Verfügungsrahmen nicht überschritten wird und ob die Voraussetzungen für das Absehen von einer PIN-Abfrage im konkreten Fall vorliegen (vgl. Altenhain JZ 1997, 752). Sind diese Voraussetzungen erfüllt, erteilt der Bankencomputer eine elektronische Autorisierung des Umsatzes, die dem am Zahlvorgang beteiligten Händler […] übermittelt wird. Mit der positiven Autorisierung gibt das kartenausgebende Kreditinstitut zugleich die Erklärung gegenüber dem Händler ab, dass es die Forderung in Höhe des am ec-Terminal autorisierten Betrages begleichen werde (vgl. Nr. 5 der Händlerbedingungen für die Teilnahme am electronic cash-System der deutschen Kreditwirtschaft, Stand Oktober 2016).“ (Rn. 10 ff.)
Kurz zusammengefasst erlangt der Händler bei der kontaktlosen Bezahlung ohne PIN-Abfrage also nach erfolgreicher Autorisierung unmittelbar eine einredefreie Forderung gegen die Bank, sodass für die Entstehung des Zahlungsanspruchs die Berechtigung des kartenvorlegenden Kunden unerheblich ist. Angesichts dessen besteht kein Anlass für die Mitarbeiter, sich Gedanken über die Berechtigung zur Kartenverwendung zu machen. Ebenfalls besteht sowohl für den Betreiber des Supermarktes als auch für die Mitarbeiter keine Pflicht, die Berechtigung des Kunden auf andere Weise – etwa durch Ausweiskontrolle – zu überprüfen. Vor diesem Hintergrund „fehlt es an einer Grundlage für die Annahme, dass der Angeklagte als Kunde seine Berechtigung zur Kartennutzung nach der Verkehrsanschauung fälschlich konkludent erklärt hätte und dass die Kassenmitarbeiter wenigstens im Sinne eines sachgedanklichen Mitbewusstseins einer entsprechenden irrigen Vorstellung unterlegen wären.“ (Rn. 14)
2. Mangels Täuschung und korrespondierenden Irrtums der im Lager des Supermarktinhabers stehenden Angestellten scheidet eine Strafbarkeit wegen Betrugs mithin aus.
Merke: Eine relevante Täuschung bzw. ein Irrtum fehlen immer dann, wenn sich der Kartenaussteller gegenüber dem Händler verpflichtet, den Rechnungsbetrag zu begleichen, denn dann muss sich der Händler bzw. sein Mitarbeiter keine Gedanken über die Berechtigung des Kartenverwenders machen. Das ist stets der Fall im sog. Drei-Parteien-System bei der Verwendung von Kreditkarten, aber auch in dem angesprochenen Point-of-Sales-Verfahren (POS-Banking, auch electronic cash-System genannt), das hier in Form des kontaktlosen Zahlens ohne PIN-Abfrage vorliegt. Anderes gilt dagegen für das Lastschriftverfahren, denn hier garantiert die Bank nicht die Begleichung der Forderung; vielmehr trägt hier der Händler das Risiko der Lastschriftrückgabe, sodass bei einer Verwendung durch den Nichtberechtigten eine Strafbarkeit nach § 263 StGB in Betracht kommt (Lackner/Kühl/Kühl, StGB, 29. Aufl. 2018, § 263 Rn. 11; Schönke/Schröder/Perron, 30. Aufl. 2019, StGB § 263 Rn. 30).
II. Computerbetrug, §§ 263a Abs. 1, 2, 263 Abs. 4, 248a StGB
Zu prüfen ist ferner eine Strafbarkeit wegen Computerbetrugs gemäß §§ 263a Abs. 1, 2, 263 Abs. 4, 248a StGB.
1. Hierfür ist im Rahmen des objektiven Tatbestandes erforderlich, dass durch unrichtige Gestaltung des Programms, die Verwendung unrichtiger oder unvollständiger Daten, die unbefugte Verwendung von Daten oder durch sonstige unbefugte Einwirkung auf den Ablauf das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst wird. In Betracht kommt vorliegend allein eine unbefugte Verwendung von Daten i.S.v. Var. 3 durch das kontaktlose Zahlen ohne Berechtigung des Verwendenden. Durch das Halten der Karte in die Nähe des Kartenlesegeräts hat T elektronisch den Zahlungsvorgang ausgelöst; eine Verwendung von Daten liegt also vor. Indes müsste es sich aber auch um eine unbefugte Verwendung von Daten handeln. Wie das Merkmal unbefugt zu bestimmen ist, ist in Rechtsprechung und Lehre umstritten.
a) Nach der subjektiven Auslegung ist hierunter das Verwenden gegen den Willen des Berechtigten zu verstehen (so etwa BayOLG, NJW 1991, 438, 440). Unabhängig davon, ob man die kartenausstellende Bank oder den ursprünglichen Karteninhaber O als Berechtigten erachtet, widerspricht eine Zahlung durch einen Nichtberechtigten in jedem Fall dem Willen des Berechtigten. Eine unbefugte Verwendung wäre nach dieser Ansicht gegeben.
b) Nach der computerspezifischen Auslegung ist ein unbefugtes Verwenden dagegen nur dann zu bejahen, „wenn der durch Täterhandeln verletzte Wille in der konkreten Programmgestaltung hinreichend Niederschlag gefunden hat. Aus dem Anwendungsbereich der Norm ausgeschieden werden mit diesem Ansatz insbesondere die Fälle, in denen der Täter den elektronisch gesteuerten Automaten ordnungsgemäß bedient“ (MüKoStGB/Mühlbauer, 3. Aufl. 2019, StGB § 263a 45). Da T den Zahlungsvorgang aus objektiver Perspektive ordnungsgemäß ausgelöst hat – die fehlende Berechtigung also in der Programmgestaltung keinen Niederschlag gefunden hat –, handelt es sich nach der computerspezifischen Auslegung nicht um eine unbefugte Verwendung.
c) Nach der überwiegend in Rechtsprechung und Literatur vertretenen betrugsspezifischen oder auch täuschungsäquivalenten Auslegung ist entscheidend, ob die Handlung gegenüber einem Menschen eine Täuschung i.S.v. 263 StGB darstellen würde (MüKoStGB/Mühlbauer, 3. Aufl. 2019, StGB § 263a Rn. 44). Das ist dann der Fall, wenn der Täter jedenfalls konkludent seine Berechtigung zur Inanspruchnahme der Leistung vorspiegelt. Legt man – wie auch das OLG Hamm in der vorliegenden Entscheidung – die betrugsspezifische Auslegung zugrunde, ist die Verwendung ebenfalls nicht als unbefugt zu werten:
„Gemessen an diesen Maßstäben fehlt es bei den hier vorliegenden kontaktlosen Einsätzen einer ec-Karte im POS-Verfahren, bei denen die PIN bei der Bezahlung gerade nicht abgefragt wird, an der Betrugsähnlichkeit. Denn anders als in den Fällen, in denen der Bankcomputer die PIN vom Kartenverwender abfragt, wird hierbei die Berechtigung desjenigen, der den elektronischen Zahlungsvorgang durch Vorhalten der Karte vor das Lesegerät auslöst, gerade nicht durch Anwendung einer starken Kundenauthentifizierung im Sinne von § 55 Abs. 1 Nr. 2 ZAG überprüft. […] Gegenüber einem an die Stelle des Bankcomputers in der Autorisierungszentrale tretenden Bankangestellten würden also auch nur die Einhaltung des Verfügungsrahmens, die Nicht-Eintragung in eine Sperrdatei und das Vorliegen der Voraussetzungen für das Absehen von der starken Kundenauthentifizierung erklärt. Nicht erklärt würde hingegen, dass die Voraussetzungen zur vollen Überprüfung der materiellen Berechtigung zur Kartennutzung vorliegen. Damit aber würde ein fiktiver menschlicher Bankangestellter an Stelle des Bankcomputers auch keinem dahingehenden Irrtum bezüglich der Berechtigung unterliegen, womit es an der für die Unbefugtheit erforderlichen Betrugsähnlichkeit fehlt.“ (Rn. 22)
Anmerkung: Das ist also gerade der Unterschied zu dem Fall, dass der Nichtberechtigte ohne Wissen und Wollen des Karteninhabers Zugang zur PIN erhalten hat und bei der Kartenzahlung ebendiese – sich unberechtigt verschaffte – PIN eingibt. Dieser Fall ist nahezu unstreitig von § 263a StGB erfasst (Lackner/Kühl/Heger, StGB, 29. Aufl. 2018, § 263a Rn. 14 m.w.N.; MüKoStGB/Mühlbauer, 3. Aufl. 2019, § 263a Rn. 57).
d) Da die Meinungen zu unterschiedlichen Ergebnissen kommen, muss der Streit entschieden werden. Vorzugswürdig erscheint die betrugsspezifische Auslegung, da nur diese den Sinn und Zweck des 263a StGB, einen Auffangtatbestand für die Fälle zu bilden, in denen gerade kein Mensch getäuscht wird, widerspiegelt. Zudem würde etwa die subjektive Auslegung einen Wertungswiderspruch zu § 266b StGB bedeuten. Denn dieser kennt zum einen keine Versuchsstrafbarkeit, zum anderen hat er einen geringeren Strafrahmen als § 263a StGB. Durch die Anwendung des § 263a StGB auf den berechtigten Karteninhaber würden diese bewussten Wertungen des Gesetzgebers unterlaufen werden. Damit handelt es sich nicht um eine unbefugte Verwendung von Daten.
2. Auch nach § 263a StGB hat sich T nicht strafbar gemacht.
III. Fälschung beweiserheblicher Daten, §§ 269 Abs. 1, 270 StGB
Weiter hat das OLG Hamm eine Strafbarkeit wegen Fälschung beweiserheblicher Daten gemäß §§ 269 Abs. 1, 270 StGB geprüft.
1. Die Strafbarkeit setzt im objektiven Tatbestand zunächst voraus, dass eine Datenurkunde vorliegt. Bereits dies hat das Gericht verneint:
„Ein Speichern oder Verändern beweiserheblicher Daten gemäß § 269 Abs. 1 StGB erfordert nämlich, dass beweiserhebliche Daten so manipuliert werden, dass im Falle ihrer visuellen Wahrnehmbarkeit im Sinne des § 267 StGB eine unechte oder verfälschte Urkunde vorliegen würde (Fischer StGB, 67. Aufl. 2020, § 269 Rn. 5; Heger in Lackner/Kühl-StGB, 29. Aufl. 2018, § 269 Rn. 2). Die betroffenen Daten müssen also bis auf das Erfordernis der visuellen Wahrnehmbarkeit alle Merkmale des Urkundenbegriffs aufweisen. Die hier insofern allein in Frage kommenden Transaktionsdaten erfüllen aber nicht alle Urkundenvoraussetzungen. Zwar werden bei dem Einsatz einer ec-Karte im POS-Verfahren am Kartenlesegerät die Transaktionsdaten (z.B. Kontonummer und Gültigkeitsdatum der ec-Karte) als Gedankenerklärung in das Autorisierungssystem eingelesen. Allerdings ist in Bezug auf die Transaktionsdaten bei den hier vorliegenden kontaktlosen Zahlungen mittels ec-Karte ohne PIN-Abfrage die Garantiefunktion des Urkundenbegriffs nicht erfüllt. Diese erfordert, dass der vermeintliche Aussteller der Gedankenerklärung erkennbar ist. An einer solchen eindeutigen Identifikationsmöglichkeit fehlt es aber mangels PIN-Abfrage.“ (Rn. 26 f.)
Anders die Eingabe der PIN, die nur dem berechtigten Karteninhaber mitgeteilt wird, erlaube der kontaktlose Bezahlvorgang ohne PIN-Eingabe also keinen Rückschluss darauf, dass der Verwender der berechtigte Karteninhaber sei. Der bloße unmittelbare Besitz könne hierfür nicht genügen. Insofern fehle es an einer Zuordnung der Gedankenerklärung zu dem berechtigten Karteninhaber als Aussteller.
2. Mangels Datenurkunde scheitert also auch eine Strafbarkeit nach §§ 269 Abs. 1, 270 StGB.
IV. Scheck- und Kreditkartenmissbrauch, § 266b Abs. 1 StGB
Eine Strafbarkeit wegen Scheck- und Kreditkartenmissbrauchs nach § 266b Abs. 1 StGB kommt nicht in Betracht, da T kein berechtigter Karteninhaber ist und daher kein tauglicher Täter sein kann.
V. Ausspähen von Daten, § 202a Abs. 1 StGB
Ebenso wenig ergibt sich eine Strafbarkeit wegen Ausspähens von Daten gemäß § 202a Abs. 1 StGB. Denn hierfür ist erforderlich, dass sich der Täter die auf der Karte gespeicherten Daten unter Überwindung einer Zugangssicherung verschafft (hierzu Lackner/Kühl/Heger, 29. Aufl. 2018, StGB, § 202a Rn. 5). Zum einen sind die Daten indes schon nicht besonders gesichert, soweit sie auf der ec-Karte mittels herkömmlichen Lesegeräts auslesbar sind. Jedenfalls hat sich der T aber keinen Zugang zu etwaig gesicherten Daten unter Überwindung einer Sperre verschafft.
VI. Urkundenunterdrückung, § 274 Abs. 1 Nr. 2 StGB
Bleibt als letzter Straftatbestand die Unterdrückung beweiserheblicher Daten als Unterfall der Urkundenunterdrückung gemäß § 274 Abs. 1 Nr. 2 StGB zu prüfen.
1. Vorliegen müssen dafür beweiserhebliche Daten, über die der Täter nicht ausschließlich verfügen darf. Entsprechend der Legaldefinition in § 202a Abs. 2 StGB werden ausschließlich elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeicherte oder übermittelte Daten erfasst (Schönke/Schröder/Heine/Schuster, 30. Aufl. 2019, StGB, § 274 Rn. 22c m.w.N.). Hier bestehen die beweiserheblichen Daten nach den Ausführungen des OLG Hamm in der Höhe des Verfügungsrahmens sowie den Umständen der bisherigen Karteneinsätze seit der letzten PIN-Abfrage (Anzahl der bisherigen Einsätze im kontaktlosen Bezahlverfahren ohne PIN-Abfrage und Höhe der jeweiligen Zahlbeträge nach den Vorgaben von Art. 11 lit. b), c) der Technischen Regulierungsstandards), die im Computer der Autorisierungszentrale bzw. auf dem Chip der ec-Karte gespeichert werden.
Anmerkung: Ob die Daten wie i.R.d. § 269 StGB urkundengleich sein müssen, hat das OLG Hamm offen gelassen; nach seinen Ausführungen ist hier Urkundengleichheit jedenfalls anzunehmen, denn der Verfügungsrahmen sowie die Umstände der bisherigen Kartennutzung seit der letzten PIN-Abfrage würden Gedankenerklärungen darstellen, die durch die Speicherung hinreichend perpetuiert seien. Weiterhin seien diese Daten beweiserheblich, weil sie für die Autorisierung weiterer Bezahlvorgänge mit der Karte Relevanz erlangen würden. Im Gegensatz zu den Transaktionsdaten (s.o.) ergebe sich eindeutig die kartenausstellende Bank als Aussteller der Daten, sodass auch die Garantiefunktion gegeben sei (ausführlich Rn. 37).
2. Mit der Verwendung der Karte hat der T diese Daten überschrieben, also gelöscht bzw. verändert i.S.d. Norm, sodass der objektive Tatbestand vorliegt.
3. T handelte auch wissentlich und willentlich, mithin vorsätzlich. Darüber hinaus handelte er nach den Feststellungen des Gerichts auch in dem Bewusstsein, dass die notwendige Folge seines Handels der Nachteil des Berechtigten ist, mit der Urkunde keinen Beweis mehr erbringen zu können (s. hierzu auch BGH, Urt. v. 08.10.1953 – 4 StR 395/53, NJW 1953, 1924).
4. Er handelte auch rechtswidrig und schuldhaft.
5. T hat sich nach § 274 Abs. 1 Nr. 2 StGB strafbar gemacht.
Anmerkung: Ebenfalls schuldig gemacht hat sich der T wegen Datenveränderung gemäß § 303a Abs. 1 StGB. Die Datenveränderung tritt aber im Wege der Gesetzeskonkurrenz hinter dem ebenfalls verwirklichten § 274 Abs. 1 Nr. 2 StGB zurück (Schönke/Schröder/Hecker, StGB, 30. Aufl. 2019, § 303a Rn. 14).
C) Fazit
Kurz zusammengefasst gilt nach der Entscheidung des OLG Hamm also:
- Wer als Nichtberechtigter mit einer EC-Karte kontaktlos ohne PIN-Abfrage bezahlt, der macht sich mangels Täuschung und Irrtums nicht nach § 263 StGB und mangels unbefugten Verwendens auch nicht nach § 263a StGB strafbar. Denn anders als in Fällen, in denen die PIN abgefragt wird, wird bei der kontaktlosen Zahlung die Berechtigung des Kunden nicht durch Anwendung einer starken Kundenauthentifizierung überprüft – und damit fehlt es in dieser Konstellation an der Betrugsähnlichkeit.
- Ebenso scheitert eine Strafbarkeit nach § 269 Abs. 1, 270 StGB sowie nach § 266b Abs. 1 StGB.
- Ein solches Verhalten kann aber als Urkundenunterdrückung gemäß § 274 Abs. 1 Nr. 2 StGB sowie nachrangig als Datenveränderung gemäß § 303a Abs. 1 StGB strafbar sein.