Vorbemerkung

Der Tatbestand des Computerbetrugs ist erstmals durch das 2. WiKGZweites Gesetz zur Bekämpfung der Wirtschaftskriminalität vom 15. Mai 1986 (BGBl. 1986 I S. 721 f.). im Jahr 1986 in das StGB eingeführt worden. Er ist als Reaktion auf die zunehmende Verbreitung von elektronischen Datenverarbeitungssystemen im Geschäftsverkehr zu verstehen: Wo früher Menschen darüber entschieden, ob eine bestimmte Ware oder Dienstleistung an den Kunden erbracht wird, setzt man seit Anfang der 1980er-Jahre auch bei Alltagsgeschäften zunehmend Automaten und Computer ein.

Das wohl bekannteste Beispiel für eine solche Automatisierung ist das Aufkommen von Bankautomaten, die in den letzten 50 Jahren das klassische Geschäft am Bankschalter fast vollständig ersetzt haben. Wenn an solchen Bankautomaten von einem Nichtberechtigten Bargeld abgehoben wird (zum Beispiel mit einer gestohlenen EC-Karte), war das Verhalten vor Einführung des § 263a StGB allenfalls als Unterschlagung an dem Geld strafbar. Eine Strafbarkeit wegen Diebstahls scheitert am Tatbestandsmerkmal der „Wegnahme“, weil die Ausgabe des Bargelds durch den Automaten von der hM als tatbestandsausschließendes Einverständnis der Bank in den Gewahrsamswechsel an dem Geld angesehen wird.BGHSt 35, 152 (158 ff.). Näher dazu → § 1 Rn. 55 ff. Eine Strafbarkeit wegen Betrugs scheidet aus, weil bei der Abhebung von Geld am Bankautomaten nicht mehr durch einen Menschen kontrolliert wird, ob der Bediener des Automaten zur Geldabhebung befugt ist. Es fehlt in solchen Fällen folglich an dem für den Betrugstatbestand erforderlichen täuschungsbedingten Irrtum eines Menschen. In die skizzierte Lücke stößt nun der Computerbetrug und ersetzt das in § 263 Abs. 1 StGB enthaltene Merkmal der Täuschung eines Menschen durch vier Varianten der täuschungsäquivalenten Einwirkung auf einen Computer.BT-Drs. 10/318, S. 18; BT-Drs. 10/5058, S. 29 f. Die Auslegung dieser Tathandlungen ist im Detail sehr umstritten und stellt sowohl in der Praxis als auch bei juristischen Prüfungen das größte Problem im Umgang mit dem Tatbestand dar (ausführlich unter → Rn. 12 ff.). Anstelle der menschlichen (irrtumsbedingten) Vermögensverfügung muss die täuschungsäquivalente Einwirkung auf den Computer das Ergebnis eines Datenverarbeitungsvorgangs beeinflussen und zu einer unmittelbaren Vermögensminderung führen (dazu näher → Rn. 76 ff.). Die übrigen Tatbestandsmerkmale des Computerbetrugs sind identisch mit jenen des Betrugs und werfen keine zusätzlichen Probleme auf.

Aufgrund seiner lückenfüllenden Funktion und strukturellen Parallelität zum Betrugstatbestand ist der Tatbestand des Computerbetrugs nach ganz hM betrugsspezifisch bzw. betrugsnah auszulegen (ausführlich unter → Rn. 33 ff.).BGHSt 47, 160 (162 ff.); Rengier, BT I, § 14 Rn. 1. Bei der Auslegung des § 263a Abs. 1 StGB ist daher immer zu überlegen, ob das entsprechende Täuschungsverhalten gegenüber einer natürlichen Person zu einem Betrug führen würde.BGH StV 2014, 684 (685).

Rechtsgut und Deliktsstruktur

Geschütztes Rechtsgut des Computerbetrugs ist – wie beim Betrug – ausschließlich das Individualvermögen.BGHSt 40, 331 (334).

§ 263a Abs. 1 StGB ist ein Erfolgsdelikt. Der objektive Tatbestand setzt voraus, dass der Täter das Ergebnis eines Datenverarbeitungsvorgangs (als Zwischenerfolg) beeinflusst und dadurch das Vermögen eines anderen (als Erfolg) schädigt. Zudem handelt es sich um ein Verletzungsdelikt, da mit dem Vermögensschaden die Verletzung des tatbestandlich geschützten Rechtsguts (Vermögen) einhergeht. Diese Verletzung muss durch eine der in den vier Tatvarianten umschriebenen Verhaltensweisen erfolgen, sodass es sich auch um ein sog. verhaltensgebundenes Delikt handelt.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 2. Im subjektiven Tatbestand wird neben dem Vorsatz bezüglich der objektiven Tatumstände die Absicht stoffgleicher Bereicherung als sog. überschießende Tendenz gefordert. Aus dem Erfordernis der Stoffgleichheit ergibt sich schließlich, dass § 263a StGB – wie auch § 263 StGB – ein sog. Vermögensverschiebungsdelikt ist.

Verwirklichungsphasen

Der Computerbetrug ist vollendet, sobald eine der in § 263a Abs. 1 StGB genannten Manipulationshandlungen das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst und dadurch einen Vermögensschaden bei einem anderen hervorgerufen hat.

Die Phase, in der durch eine Manipulation iSv § 263a Abs. 1 StGB bereits das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst und auch ein Vermögensschaden herbeigeführt wurde, der Täter aber noch keine Bereicherung für sich oder Dritte erreicht hat, wird als sog. Beendigungsphase des Computerbetrugs angesehen.

Diese Beendigungsphase hat der BGH beim sog. Phishing (dazu → Rn. 23) sehr weit gezogen: Wenn das abverfügte Geld zunächst auf das Konto eines sog. Finanzagenten („money mule“) geht, der es als Mittelsmann an die eigentlichen Täter des Computerbetrugs weiterleiten soll, sei der Computerbetrug erst beendet, wenn der Finanzagent das Geld von seinem Konto auf ein Konto der Täter weitergeleitet hat. Alternativ sei der Computerbetrug beendet, wenn das manipulativ abverfügte Buchgeld als Bargeld vom Konto des Finanzagenten abgehoben wird und somit die Nachverfolgung erschwert ist (Abbruch der sog. Papierspur).BGH NStZ-RR 2015, 13 (14). Überträgt man diesen Gedanken auf die typischen „Bankautomaten-Fälle“ (ausführlich unter → Rn. 33 ff.), wo jemand unbefugt Geld von einem Bankautomaten abhebt, ist ein etwaiger Computerbetrug in diesen Konstellationen schon beendet, sobald das Geld abgehoben ist.

Bis wann die Beendigungsphase reicht, ist bedeutsam für die Berechnung der Verjährungsfrist (vgl. § 78a StGB), die Möglichkeit einer Beteiligung in Form einer sog. sukzessiven Mittäterschaft oder Beihilfe (dazu → Rn. 91 ff.), die Qualifikation (→ Rn. 101) sowie auf Ebene der Konkurrenzen (→ Rn. 105 ff.).

Objektiver Tatbestand

Der objektive Tatbestand des § 263a Abs. 1 StGB setzt voraus, dass der Täter das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst

• durch unrichtige Gestaltung des Programms (Var. 1),

• durch Verwendung unrichtiger oder unvollständiger Daten (Var. 2),

• durch unbefugte Verwendung von Daten (Var. 3) oder

• sonst durch unbefugte Einwirkung auf den Ablauf (Var. 4).

Zwischen der Tathandlung und dem Zwischen- bzw. Taterfolg (also der Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs bzw. dem Vermögensschaden) muss ein Kausalitäts- und Zurechnungszusammenhang bestehen.Perron, in: Schönke/Schröder, 30. Aufl. (2019), § 263a Rn. 3.

Tathandlungen

§ 263a Abs. 1 Var. 1 StGB: Unrichtige Programmgestaltung

Die erste Tatvariante des § 263a Abs. 1 StGB erfüllt, wer ein (Computer-)Programm unrichtig gestaltet. Es werden Veränderungen an einem Programm erfasst, die zur Folge haben, dass ein Computer eingegebene Daten unrichtig verarbeitet. Die besondere Gefährlichkeit dieser auch als sog. Programmmanipulation bezeichneten Tatvariante ergibt sich aus ihrer Dauer- und Wiederholungswirkung, da sich bei jedem Einsatz des Programms die täuschungsäquivalente Handlung erneut auswirkt.BT-Drs. 10/5058, S. 30. Der unrichtigen Programmgestaltung kommt nur eine geringe Prüfungsrelevanz zu.

Wann eine Programmgestaltung „unrichtig“ ist, wird nicht einheitlich beurteilt:

Nach hM ist die Unrichtigkeit der Programmgestaltung objektiv zu bestimmen.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 37 ff. mwN. Das Programm ist dann unrichtig gestaltet, wenn es nicht zu einem Ergebnis führt, das dem (objektiven) Zweck der jeweiligen Datenverarbeitung und somit der vertraglichen Beziehung zwischen den Beteiligten und der materiellen Rechtslage entspricht.

Die Gegenauffassung vertritt eine subjektive Bestimmung der Unrichtigkeit.Kindhäuser/Hoven, in: NK-StGB, 6. Aufl. (2023), § 263a Rn. 14. Eine Programmgestaltung ist hiernach unrichtig, wenn sie dem Willen des Verfügungsberechtigten bzw. Systembetreibers zuwiderläuft.

Da auch für die Täuschung iSd § 263 Abs. 1 StGB das Auseinanderfallen von Tatsachenbehauptung und objektiver Wirklichkeit – und nicht der subjektive Wille des Verfügenden – maßgeblich ist, ist es vorzugswürdig, die Unrichtigkeit objektiv zu bestimmen.Altenhain, in: Matt-Renzikowski-StGB, 2. Aufl. (2020), § 263a Rn. 6. Davon abgesehen führen beide Ansichten idR nicht zu unterschiedlichen Ergebnissen, da auch der Systembetreiber an einem (objektiv) zweckmäßigen Programm interessiert sein wird.Kindhäuser/Hoven, in: NK-StGB, 6. Aufl. (2023), § 263a Rn. 15.

§ 263a Abs. 1 Var. 2 StGB: Verwendung unrichtiger oder unvollständiger Daten

Grundlagen

Die zweite Tatvariante des § 263a Abs. 1 StGB verwirklicht, wer unrichtige oder unvollständige Daten verwendet. Erfasst wird die sog. Eingabe- oder Inputmanipulation, bei der (unrichtige oder unvollständige) Daten in einen sonst unbeeinträchtigt ablaufenden Datenverarbeitungsvorgang eingegeben werden. Diese Form der Manipulation ist der (ausdrücklichen und konkludenten) Täuschung des § 263 Abs. 1 StGB am ehesten nachgebildet.Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 32.

Einige weitere wichtige Definitionen:

Prüfungsrelevante Anwendungsfälle von § 263a Abs. 1 Var. 2 StGB

Eine unrichtige Datenverwendung iSv § 263a Abs. 1 Var. 2 StGB liegt nach der Rechtsprechung des BGH beispielsweise vor, wenn der Täter als (vermeintlicher) Zahlungsempfänger seiner Bank einen Lastschriftenauftrag erteilt und dabei im Online-Banking eine bestimmte Kennziffer verwendet, wonach der (vermeintlich) Zahlungspflichtige seiner eigenen Bank einen Abbuchungsauftrag (heute: SEPA-Firmenlastschrift) zugunsten des Täters erteilt hat. Tatsächlich ist ein solcher Auftrag vom vermeintlich Zahlungspflichtigen aber nie erteilt worden.BGHSt 58, 119 (Rn. 29). Das Gleiche gilt für den Fall, dass der Täter eine „Phantasie-IBAN“ iRd des SEPA-(Basis-)Lastschriftverfahrens (früher: Einzugsermächtigungsverfahren) verwendet.BGH NStZ 2022, 681. Die Unrichtigkeit der Daten ergibt sich jeweils daraus, dass der Täter in täuschungsäquivalenter Weise zum Ausdruck bringt, die (vermeintlich) Zahlungspflichtigen hätten einen entsprechenden Lastschriftauftrag zugunsten des Täters erteilt.

Nicht erfüllt ist § 263a Abs. 1 Var. 2 StGB, wenn der Täter die EC-Karte und PIN des Berechtigten (und damit richtige Daten) an einem Bankautomaten verwendet. Richtige Daten werden auch verwendet beim Einsatz von Kartendubletten, auf die zuvor ausgespähte (richtige) Daten übertragen wurden. Nur im Fall der Verwendung einer gefälschten oder manipulierten Karte könnte Var. 2 bejaht werden.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 70 mwN.

Uneinheitlich werden Fälle beurteilt, in denen der potenzielle Täter sich im automatisierten Mahnverfahren (§ 689 Abs. 1 S. 2 ZPO) auf eine tatsächlich nicht bestehende Forderung beruft. Wird ein solcher Mahnantrag rein maschinell bearbeitet, scheidet ein vollendeter Betrug mangels Täuschung eines Menschen aus. Die Rechtsprechung und ein Teil des Schrifttums bejahen in solchen Fällen § 263a Abs. 1 Var. 2 StGB.BGHSt 59, 68 (Rn. 16) m. abl. Anm. Trüg, NStZ 2014, 157 (158); Kindhäuser/Hoven, in: NK-StGB, 6. Aufl. (2023), § 263a Rn. 18. Es handele sich um ein täuschungsäquivalentes Verhalten, da bei entsprechendem Vorgehen gegenüber einem Rechtspfleger (§ 20 Nr. 1 RPflG) konkludent über die anspruchsbegründenden Tatsachen getäuscht würde. Die prozessuale Wahrheitspflicht (§ 138 Abs. 1 ZPO) gelte auch im Mahnverfahren.BGHSt 59, 68 (Rn. 18); Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 39. Dagegen wendet sich zu Recht die wohl überwiegende Auffassung im Schrifttum.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 65 ff.; Rengier, BT I, 26. Aufl. (2024), § 14 Rn. 13. Wie sich aus § 692 Abs. 1 Nr. 2 ZPO ergebe, werden die anspruchsbegründenden Tatsachen vom Gericht und Rechtspfleger gerade nicht geprüft. Ein (hypothetischer) Rechtspfleger würde sich – worauf es bei betrugsnaher Auslegung des § 263a Abs. 1 Var. 2 StGB ankommt – hinsichtlich der anspruchsbegründenden Tatsachen gerade keine Gedanken machen. Seine Prüfungspflicht beschränke sich lediglich auf Evidenzfälle, um den Zweck des Mahnverfahrens (schnelle Erlangung eines Vollstreckungstitels ohne kontradiktorische Prüfung) nicht zu gefährden.Bei Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 697 ist deshalb von einer „realitätsfernen und angesichts fehlender Prüfungspflicht auch rechtlich nicht schlüssig begründbarer Unterstellung“ durch die Rechtsprechung die Rede.

§ 263a Abs. 1 Var. 3 StGB: Unbefugte Verwendung von Daten

Die Tathandlung des Computerbetrugs mit der größten Prüfungsrelevanz befindet sich in § 263a Abs. 1 Var. 3 StGB. Sie erfasst die sog. Befugnismanipulation. Diese wurde erst kurz vor Verabschiedung des Gesetzes eingefügt, nachdem Zweifel daran aufgekommen waren, ob die anderen Tatvarianten des § 263a Abs. 1 StGB den missbräuchlichen Einsatz von EC-Karten an Bankautomaten erfassen.BT-Drs. 10/5058, S. 29 f. Sie unterscheidet sich von den Var. 1 und 2 insofern, als zwar richtige und vollständige Daten verwendet werden, die Verwendung der Daten aber unbefugt erfolgt.BGH NStZ 2022, 681. Um die Auslegung des Merkmals „unbefugt“ rankt sich ein Streit, der im Folgenden unter → a) näher erörtert wird. Die folgenden Abschnitte → b) und c) stellen dann die praktisch wichtigsten Fallgruppen vor, in denen die Anwendung von Var. 3 diskutiert wird.

Streit um die Auslegung des Begriffs „unbefugt“

Bei der „unbefugten“ Datenverwendung besteht eine „verwirrende Vielfalt“ an Auslegungsansätzen, die sich – für Prüfungszwecke – auf drei Grundlinien zurückführen lassen.Heger, in: Lackner/Kühl/Heger, 30. Aufl. (2023), § 263a Rn. 12.

Subjektive Auslegung

Nach der (weiten) subjektiven Auslegung liegt eine unbefugte Verwendung von Daten vor, wenn diese gegen den ausdrücklichen oder mutmaßlichen Willen des Berechtigten in den Datenverarbeitungsvorgang eingeführt werden.BGHSt 40, 331 (334 f.); Kindhäuser/Hoven, in: NK-StGB, 6. Aufl. (2023), § 263a Rn. 27. Die Vertreter diese Auffassung argumentieren mit dem Wortlaut („unbefugt“) und einem systematischen Vergleich mit dem zeitgleich zu § 263a StGB eingeführten § 17 Abs. 2 UWG (heute: § 23 GeschGehG), bei dem es ebenfalls auf eine subjektive Auslegung ankommt.Hilgendorf, in: SSW-StGB, 5. Aufl. (2021), § 263a Rn. 14. § 263a StGB diene dem Schutz des Individualvermögens, sodass es auf die Perspektive des Rechtsgutsinhabers ankommen müsse.

Eine solche Auslegung ist allerdings abzulehnen, denn sie führt zu einer uferlosen Weite des Tatbestands, da jede vertragswidrige Verwendung eines Computers erfasst sein müsste (zB unerlaubte Nutzung einer fremden Waschmaschine).Rengier, BT I, 26. Aufl. (2024), § 14 Rn. 16. Banken könnten die Grenzen der Strafbarkeit durch Ausgestaltung ihrer AGB bestimmen. Es würde in einer dem Strafrecht fremden Weise Vertragsunrecht pönalisiert und ein allgemeines Vermögensschädigungsdelikt in Form einer Computeruntreue geschaffen.Duttge, in: HK-GS, 5. Aufl. (2022), § 263a Rn. 13.

Computerspezifische Auslegung

Die (enge) computerspezifische Auslegung fordert einen besonderen Bezug zum Datenverarbeitungsvorgang. Eine Datenverwendung ist demnach nur dann unbefugt, wenn sich der entgegenstehende Wille des Berechtigten in der Gestaltung des konkreten Computerprogramms niedergeschlagen hat und dieser Wille vom Täter überwunden wird.OLG Celle NStZ 1989, 367; Arloth, Jura 1996, 354 (357 f.); siehe auch Rengier, BT I, § 14 Rn. 17 zu weiteren (Unter-)Ansichten der computerspezifischen Auslegung. Dies geschieht beispielsweise dadurch, dass der Täter eine speziell eingebaute Missbrauchserkennung umgeht. Diese sehr restriktive Auslegung des Tatbestands führt dazu, dass der missbräuchliche Karteneinsatz am Bankautomaten nicht erfasst wird, weil das Computerprogramm eines Bankautomaten allenfalls prüft, ob die eingeführte Karte echt ist und die korrekte PIN eingegeben wurde. Ob der Bediener des Automaten die von ihm verwendete Karte auch benutzen darf, prüft das Programm dagegen nicht, so dass der Missbrauch (zB einer gestohlenen Karte) nicht als „unbefugt“ qualifiziert werden kann. Dieses Ergebnis wird als historisches Argument gegen die computerspezifische Auslegung gewendet, da der Gesetzgeber mit der Einfügung des § 263a Abs. 1 Var. 3 StGB gerade sicherstellen wollte, dass der missbräuchliche Einsatz fremder EC-Karten in den Anwendungsbereich des Computerbetrugs fällt (→ Rn. 26 ff.).BT-Drs. 10/5058, S. 30. Zudem wird Var. 3 durch die computerspezifische Auslegung ein sinnvoller Anwendungsbereich genommen. Denn bei eingebauter, nicht überwundener Missbrauchserkennung, käme nur eine Versuchsstrafbarkeit in Betracht. Wird diese Missbrauchserkennung überwunden, wäre schon Var. 2 (Verwendung unrichtiger Daten) erfüllt.

Betrugsspezifische Auslegung (hM)

Nach der herrschenden betrugsspezifischen Auslegung ist eine unbefugte Datenverwendung zu bejahen, wenn sie täuschungsähnlichen Charakter aufweist. Im Wege einer hypothetischen Vergleichsbetrachtung wird darauf abgestellt, ob das Täterverhalten gegenüber einer natürlichen Person eine (konkludente) Täuschung oder eine Täuschung durch Unterlassen iSd § 263 Abs. 1 StGB darstellen und zu einem Irrtum eines fiktiven Erklärungsempfängers führen würde.Stdg. Rspr. s. BGHSt 38, 120 (122); BGHSt 47, 160 (162 f.). Für eine solche Auslegung lassen sich die amtliche Überschrift des § 263a StGB als Computerbetrug, dessen systematische Stellung direkt hinter § 263 StGB sowie die Entstehungsgeschichte und lückenschließende Funktion anführen (→ Rn. 1 ff.). Die sich daraus ergebende Struktur- und Wesensgleichheit des § 263a StGB wird nur durch die betrugsspezifische Auslegung gewahrt.

Maßstab der betrugsspezifischen Auslegung

Die besondere Herausforderung der betrugsspezifischen Auslegung liegt nun darin, die Täuschungs- und Irrtumslehre des § 263 Abs. 1 StGB auf einen fiktiven Vorgang zu übertragen. Es geht letztlich um die Frage, welches Vorstellungsbild der fiktiven natürlichen Vergleichsperson zugemessen wird. Der BGH stellte bisher auf eine Vergleichsperson ab, die sich nur „mit den Fragen befasst, die auch der Computer prüft“.BGHSt 47, 160 (162 f.); Altenhain, in: Matt-Renzikowski-StGB, 2. Aufl. (2020), § 263a Rn. 12. Die (uneinheitliche) Gegenauffassung orientiert sich an den Grundsätzen der konkludenten Täuschung beim Betrug. Eine Datenverwendung ist dann unbefugt, wenn die Befugnis des Täters nach der Verkehrsanschauung zur Grundlage des betreffenden Geschäftstyps gehört und von einem (fiktiven) Erklärungsempfänger als selbstverständlich vorausgesetzt würde.Hefendehl/Noll, in: MüKo-StGB, 4. Aufl. (2022), § 263a Rn. 80 ff. Dabei wird iS einer zivilrechtsakzessorischen (Unter-)Ansicht zum Teil auch ausschließlich auf die zivilrechtliche Risikoverteilung abgestellt.Dazu Eibach, NStZ 2020, 704 mwN. Ein näheres Verständnis dieser abstrakt dargestellten Ansichten und deren Unterschiede lässt sich am besten anhand der sog. Bankautomaten-Fälle aufbauen, an denen sie maßgeblich entwickelt wurden.

Geldabheben am Bankautomaten

Sowohl in der Verfahrenspraxis als auch in juristischen Prüfungen von großer Bedeutung sind Fälle rund um den missbräuchlichen Einsatz von EC- oder Kreditkarten an Bankautomaten. Dem tatsächlichen Vorgang der Bargeldauszahlung liegt eine komplexe zivilrechtliche Struktur zugrunde, deren Verständnis für die strafrechtliche Betrachtung von Bedeutung ist (dazu → Rn. 35 ff.). Im Anschluss werden die wichtigsten Fallgruppen aus strafrechtlicher Perspektive beleuchtet (→ Rn. 39 ff.).

Zivilrechtliche Vorüberlegungen

Juristische Grundlage für die Nutzung einer EC-Karte ist ein zwischen der Bank und dem Bankkunden bestehender Zahlungsdiensterahmenvertrag iSv § 675f Abs. 2 BGB. Hieraus ist die Bank verpflichtet, für den Kunden auf dessen Weisung hin Zahlungsvorgänge auszuführen. Ein solcher Zahlungsvorgang ist gem. § 675f Abs. 4 S. 1 BGB auch die Auszahlung eines Geldbetrags an einem Automaten. Dazu muss der Bankkunde einen Zahlungsauftrag gem. §§ 675f Abs. 4 S. 2, 675j Abs. 1 S. 1 BGB wirksam autorisieren. Diese Autorisierung erfolgt am Bankautomaten durch die Verwendung der EC-Karte und der dazugehörigen PIN, die (personalisierte) Zahlungsauthentifizierungsinstrumente iSd § 675j Abs. 1 S. 4 BGB darstellen. Die Autorisierung ist nur wirksam, wenn sie durch den Bankkunden (und nicht etwa durch einen Dieb, der die EC-Karte gestohlen hat) erfolgt. Dies ergibt sich aus einem (zusätzlich) zwischen der Bank und ihrem Kunden geschlossenen sog. Bankkartenvertrag. Die Bank führt den (autorisierten) Zahlungsvorgang durch Auszahlung des Geldes aus.Zum Ganzen Haertlein, in: MüKo-HGB, Bd. 6, 5. Aufl. (2023), E. Bankkartenverfahren Rn. 187 ff. Im Gegenzug erhält sie für diese Dienstleistung einen Aufwendungsersatzanspruch iHd ausgezahlten Geldbetrags gem. §§ 675c Abs. 1, 675 Abs. 1, 670 BGB, der in das Konto des Kunden einzustellen ist. Dieser Anspruch steht der Bank gem. § 675u S. 1 BGB nicht bei einem nicht-autorisierten Zahlungsvorgang zu, etwa wenn ein Nichtberechtigter eine gestohlene Karte und PIN am Bankautomaten einsetzt. Vielmehr ist die Bank gem. § 675u S. 2 BGB in solchen Fällen verpflichtet, dem Kunden den Zahlungsbetrag unverzüglich zu erstatten. In Ausnahmefällen, etwa bei grob fahrlässiger Pflichtverletzung des Bankkunden (zB gemeinsame Aufbewahrung von Karte und PIN), kann die Bank gem. § 675v Abs. 3 BGB (iVm § 675l BGB) Schadensersatz von diesem verlangen.Haertlein, in: MüKo-HGB, Bd. 6, 5. Aufl. (2023), E. Bankkartenverfahren Rn. 105 ff. m.w.N.

Aufgrund einer im Inter-Banken-Verhältnis geschlossenen Vereinbarung ist das Geldabheben heutzutage auch an institutsfremden Bankautomaten möglich.Maihold, in: Ellenberger/Bunte, Bankrechts-Handbuch, 6. Aufl. (2022), § 32 Geldautomatensystem Rn. 2 ff. Für eine Strafbarkeit wegen Computerbetrugs ist es aber unerheblich, ob die Abhebung an einem institutseigenen oder -fremden Automaten stattfindet (dazu → Rn. 33 ff.).

Für die strafrechtliche Bewertung sind zuletzt der Verfügungsrahmen und die Überziehungsmöglichkeiten bedeutsam. Ihre Einhaltung wird heutzutage infolge der sog. Online-Autorisierung bei (fast) allen Abhebungen geprüft.Radtke, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 266b Rn. 63. Der (technische) Verfügungsrahmen wird im Bankkartenvertrag festgelegt. Er begrenzt die mit der Karte zugelassenen Bargeldabhebungen in einem bestimmten Zeitraum (zB 1.000 EUR pro Tag).Haertlein, in: MüKo-HGB, Bd. 6, 5. Aufl. (2023), E. Bankkartenverfahren Rn. 80, 196. Für die strafrechtliche Beurteilung spielt er keine Rolle. Daneben existieren zwei Arten von Überziehungsmöglichkeiten bei Abhebungen mit einer EC-Karte: Erstens ist regelmäßig eine eingeräumte Überziehungsmöglichkeit gem. § 504 Abs. 1 BGB vertraglich vereinbart. Die Bank verpflichtet sich im Vorhinein, dem Kunden ein Verbraucherdarlehen in der Weise zu gewähren, dass dieser sein Girokonto bis zu einer bestimmten Höhe überziehen darf (sog. Dispositionskredit). Zweitens ist die Bank berechtigt, dem Kunden eine zusätzliche „Toleranzgrenze“ im Einzelfall zu gewähren. Für dieses Handdarlehen verlangt sie ein höheres Entgelt (sog. geduldete Überziehungsmöglichkeit bzw. Überziehungskredit, § 505 Abs. 1 BGB).Rengier, in: Bruns u. a. (Hrsg.), FS Stürner, 2013, S. 892 ff.

Strafrechtliche Betrachtung

Im Zusammenhang mit Bankautomaten kommen verschiedene, potenziell strafbare Verhaltensweisen in Betracht. Klassischerweise wird zwischen den folgenden vier Fallgruppen unterschieden:

• Fallgruppe 1: Überziehung durch den berechtigten Karteninhaber

• Fallgruppe 2: Geldabhebung durch einen Nichtberechtigten mit im Wege der §§ 240, 242, 246 StGB erlangter oder kopierter, gefälschter, manipulierter Karte

• Fallgruppe 3: Geldabhebung durch einen Nichtberechtigten mit durch Täuschung erlangter Karte

• Fallgruppe 4: abredewidrige Geldabhebung durch den beauftragten Nichtberechtigten

Fallgruppe 1: Überziehung durch den berechtigten Karteninhaber

Bevor unter die betrugsspezifische Auslegung subsumiert wird, ist zunächst der potenzielle Täuschungsgegenstand zu identifizieren. Beim missbräuchlichen Karteneinsatz durch den berechtigten Karteninhaber ist dies idR die aktuelle Zahlungsunfähigkeit (als äußere Tatsache) bzw. Zahlungsunwilligkeit (als innere Tatsache). ISd betrugsspezifischen Vergleichsbetrachtung stellt sich die umstrittene Frage, ob der Karteninhaber einen fiktiven Bankmitarbeiter hierüber täuschen würde.Instruktiv zu dieser Fallgruppe Rengier, BT I, § 14 Rn. 37.

Der BGH verneint diese Frage nach seinem Verständnis der betrugsspezifischen Auslegung und lehnt eine unbefugte Datenverwendung ab. Das „gedankliche Prüfungsprogramm“ des fiktiven Bankmitarbeiters beschränke sich auf solche Tatsachen, „die auch der Computer prüft“.BGHSt 47, 160 (162 ff.); Altenhain, in: Matt-Renzikowski-StGB, 2. Aufl. (2020), § 263a Rn. 15. Der Bankautomat prüft nur die höhenmäßige Einhaltung des Verfügungsrahmens und der Überziehungskredite, nicht aber die Zahlungsfähigkeit/-willigkeit des potenziellen Täters. Ein fiktiver Bankmitarbeiter würde sich diesbezüglich keine Vorstellungen machen und könne daher keinem Irrtum unterliegen. Zudem sei § 266b StGB (dazu → § 16) in systematischer Hinsicht ein auf den berechtigten Karteninhaber beschränktes Sonderdelikt, das in Missbrauchsfällen des berechtigten Karteninhabers lex specialis zu § 263a StGB ist. Andernfalls ergäben sich erhebliche Wertungswidersprüche mit Hinblick auf den unterschiedlichen Strafrahmen der §§ 263a, 266b StGB und der fehlenden Versuchsstrafbarkeit bei § 266b StGB.BGHSt 47, 160 (164 ff.).

Innerhalb der (betrugsspezifischen) Gegenauffassung ist diese Fallgruppe umstritten: Eine (erste) Ansicht bejaht die unbefugte Verwendung mit der Begründung, dass ein fiktiver Bankmitarbeiter über die Zahlungsfähigkeit/-willigkeit des berechtigten Karteninhabers getäuscht würde.Heger, in: Lackner/Kühl/Heger, 30. Aufl. (2023), § 263a Rn. 14. Die Zahlungsfähigkeit gehöre nach der Verkehrsanschauung zu den Grundlagen des Geschäftstyps „Darlehen“. Hinzu kommt, dass § 266b StGB die Vorschrift des § 263a StGB in solchen Fällen nicht verdränge. Denn der berechtigte Karteninhaber würde nicht nur das von § 266b StGB geschützte, von der Bank entgegengebrachte Vertrauen, sondern auch die Sicherungseinrichtung des Bankautomaten angreifen. Dies rechtfertige den höheren Strafrahmen des § 263a StGB. Außerdem sei § 266b StGB nach Abschaffung des Scheckverkehrs zum 1. Januar 2002 schon gar nicht auf EC-Karten anwendbar.Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 703. Zuletzt sei – wie auch beim Betrug – das Argument nicht überzeugend, dass die Banken das Risiko der unzureichenden Bonitätsprüfung auf den Kunden „abwälzen“ könnten (sog. viktimodogmatisches Argument).Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 51 mwN.

Die (zweite) Ansicht verneint – im Ergebnis gleich wie der BGH, aber mit unterschiedlicher, überzeugender Begründung – die unbefugte Verwendung.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 103 ff.; Rengier, BT I, § 14 Rn. 37 ff. Sie führt an, dass auch der fiktive Bankmitarbeiter überhaupt keine Möglichkeit habe, die Zahlungsfähigkeit/-willigkeit zu prüfen. Im Falle des Dispositionskredits (1.000 EUR) macht der Karteninhaber einen bereits bestehenden Auszahlungsanspruch geltend. Der Bankmitarbeiter würde nur prüfen, ob der Anspruch besteht. Im Falle des Überziehungskredits (500 EUR) kommt der (Hand-)Darlehensvertrag zwar im Zeitpunkt der Auszahlung zustande. Die Entscheidung hierzu hat die Bank aber bereits getroffen. Eine unterschiedliche Behandlung dieser vergleichbaren Fallgruppen scheint daher unangemessen.Rengier, BT I, § 14 Rn. 38 ff. Hinzu kommt, dass das Risiko der Darlehensauszahlung an einen Zahlungsunfähigen nach der Verkehrsanschauung auch bei der Bank gesehen werden kann: Erstens kalkuliert sie das Verlustrisiko durch höhere Zinsen ein.Waßmer, in: Leitner/Rosenau, Wirtschafts- und Steuerstrafrecht, 2. Aufl. (2022), § 263a Rn. 43. Zweitens steht es ihr offen, sich durch eine Bonitätsprüfung zu schützen.Joecks/Jäger, in: Studienkommentar StGB, 13. Aufl. (2021), § 263a Rn. 17.

Fallgruppe 2: Geldabhebung durch einen Nichtberechtigten mit einer im Wege der §§ 240, 242, 246 StGB erlangten oder kopierten, gefälschten oder manipulierten Karte

Vergleichsweise leicht fällt die Beurteilung der Fallgruppe 2. Setzt der Täter eine im Wege der §§ 240, 242, 246 StGB erlangte Karte ein, bejahen sowohl der BGHBGHSt 47, 160 (162); OLG Hamm NZWiSt 2023, 269 m. Anm. Schmidt. als auch die (betrugsspezifische) GegenauffassungRengier, BT I, 26. Aufl. (2024), § 14 Rn. 28 ff.; Schumann/Zivanic, JA 2018, 504, 506 f. mit Falllösung. eine unbefugte Datenverwendung. Ebenso ist Var. 3 erfüllt, wenn der Täter eine kopierte, gefälschte oder manipulierte Karte zur Geldabhebung verwendet.BGHSt 38, 120 (123); BGHSt 47, 160 (162). Auch im Fall des sog. Skimming (dazu → Rn. 23) ist Var. 3 bezüglich des anschließenden Einsatzes der Karten(-dublette) zu bejahen. Zur Begründung wird insbesondere auf den gesetzgeberischen Willen abgestellt. Der Gesetzgeber bezweckte mit Einführung der dritten Tatvariante, die unbefugte Nutzung fremder Karten am Bankautomaten zu erfassen.BGHSt 38, 120, 124 unter Verweis auf BT-Drs. 10/5058, S. 24, 30. Im Sinne der betrugsspezifischen Vergleichsbetrachtung würde der fiktive Bankmitarbeiter über die Identität des Nichtberechtigten bzw. dessen Berechtigung zur Abhebung im Innenverhältnis zum berechtigten Karteninhaber getäuscht.Dies hängt davon ab, ob der Nichtberechtigte die Abhebung im eigenen Namen bzw. im Namen des berechtigten Karteninhabers tätigt. Zum Teil wird im letzteren Fall darauf abgestellt, dass über eine erteilte Vollmacht getäuscht wird. Der Nichtberechtigte wird sich hierüber idR keine Gedanken machen. Dazu nur Waßmer, in: Leitner/Rosenau, Wirtschafts- und Steuerstrafrecht, 2. Aufl. (2020), § 263a Rn. 45.

Fallgruppe 3: Einsatz der durch Täuschung erlangten Karte durch den Nichtberechtigten

Der BGH wertet das (täuschungsbedingte) Erlangen der Karte als Betrug, verneint aber einen Computerbetrug beim anschließenden Einsatz der Karte.BGH NStZ-RR 2022, 14 (16); BGH NStZ 2016, 149 (Rn. 9 ff.).

Er erblickt in der durch Aushändigung von Karte und PIN eröffneten Zugriffsmöglichkeit auf das Konto des Getäuschten eine nicht kompensierte, vermögensmindernde Verfügung in Gestalt eines Gefährdungsschadens iRd § 263 Abs. 1 StGB.Nur ein versuchter Betrug soll vorliegen, wenn das Konto unzureichend gedeckt ist, BGH BeckRS 2020, 11966. S. zur parallelen Frage beim sog. Kontoeröffnungsbetrug → § 11 Rn. 102. Eine unbefugte Datenverwendung iSd § 263a Abs. 1 Var. 3 StGB beim Karteneinsatz lehnt der BGH auf Grundlage seines betrugsspezifischen Verständnisses ab. Die möglichen Täuschungsgegenstände „Identität und Berechtigung des Abhebenden“ seien „mit Eingabe der echten Bankkarte und der zugehörigen PIN hinreichend festgestellt“.BGH NStZ 2016, 149 (Rn. 11). Folglich könne ein fiktiver Bankmitarbeiter, der nur die vom Computer geprüften Tatsachen (also Eingabe der echten Bankkarte und PIN) berücksichtigt, nicht getäuscht werden. Zwar erkennt die Rechtsprechung, dass sich Fallgruppe 3 in dieser Hinsicht nicht von Fallgruppe 2 (Einsatz gestohlener Karte) unterscheidet.Denn auch im Falle des Einsatzes einer gestohlenen Karte werden die echte Bankkarte und die zugehörige Geheimnummer verwendet. „Identität und Berechtigung des Abhebenden“ müssten ebenso hinreichend festgestellt sein und ein fiktiver Bankmitarbeiter hierüber nicht getäuscht werden. Dazu nur Waßmer, in: Leitner/Rosenau, Wirtschafts- und Steuerstrafrecht, 2. Aufl. (2020), § 263a Rn. 39. Um Wertungswidersprüche (scheinbar) zu vermeiden, ergänzt sie die (betrugsspezifische) Vergleichsbetrachtung aber um eine „Gesamtbetrachtung des Geschehens, das zur Erlangung von Bankkarte und Geheimnummer geführt hat, sowie der Geldabhebung“.BGH NStZ 2016, 149 (Rn. 12). Danach gelte das Merkmal der unbefugten Verwendung nicht für denjenigen, der die Karte und PIN vom Berechtigten jeweils mit dessen (auch getäuschten) Willen erlangt hat.

Die Gegenansicht bejaht die unbefugte Datenverwendung in Fallgruppe 3 hingegen (und das zu Recht).Schmidt, in: BeckOK-StGB, 59. Ed. (01.11.2023), § 263a Rn. 27; Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 701. Sie kritisiert die Ansicht der Rechtsprechung in zweierlei Hinsicht: Erstens bezweifelt sie die Annahme eines Betrugs beim Erlangen der Karte. Die Annahme eines Betrugs und damit auch eines Vermögensschadens beim Erlangen der Karte wird den (verfassungsrechtlichen) Anforderungen an einen Gefährdungsschaden nicht gerecht. Insbesondere kann die Höhe des Gefährdungsschadens im Zeitpunkt des Erlangens der Karte nicht hinreichend konkret beziffert werden. Zudem fehlt es an der Unmittelbarkeit der vermögensmindernden Verfügung, da der Täter seinen (deliktischen) Willen zur Vermögensschädigung an einem Bankautomat erneut betätigen muss.Zur Kritik Schmidt, in: BeckOK-StGB, 59. Ed. (01.11.2023), § 263a Rn. 27; Böse, ZJS 2016, 663 (663 ff.). Zweitens wird die Auslegung des Tatbestandsmerkmals „unbefugt“ kritisiert. Es ist nicht ersichtlich, weshalb die Art und Weise des Erlangens über die betrugsspezifische Vergleichsbetrachtung entscheiden soll. § 263a Abs. 1 Var. 3 StGB stellt das unbefugte Verwenden von Daten, nicht das Verwenden von unbefugt erlangten Daten unter Strafe. Über die Art und Weise des Erlangens der Daten würde sich ein fiktiver Bankmitarbeiter keine Vorstellungen machen.Schmidt, in: BeckOK-StGB, 59. Ed. (01.11.2023), § 263a Rn. 27; Jäger, JA 2016, 151 (153). Die (ergebnisorientierte) „Gesamtbetrachtung“ entbehrt jeder gesetzlichen Grundlage (vgl. Art. 103 Abs. 2 GG). Hinzu kommt, dass der Gesetzgeber mit Var. 3 gerade den Einsatz fremder Codekarten erfassen und damit Strafbarkeitslücken schließen wollte, die entstehen, wenn § 263 StGB – hier mangels (bezifferbaren) Vermögensschadens (s. o.) – nicht einschlägig ist. Auch der Vergleich zum „(digitalen) Phishing“ (dazu → Rn. 23), bei dem die Rechtsprechung umgekehrt (erst kein Betrug, dann Computerbetrug) entscheidet, spricht für die Gegenauffassung.Ladiges, wistra 2016, 180 („analoges Phishing“). Auf Grundlage einer (streng) zivilrechtsakzessorischen Betrachtung kann die unbefugte Datenverwendung zuletzt mithilfe zivilrechtlicher Wertungen begründet werden. Da es sich bei der Abhebung durch einen Nichtberechtigten um einen nicht-autorisierten Zahlungsauftrag handelt, verliert die Bank mit Auszahlung ihren Anspruch gegen den Kontoinhaber auf Erstattung des gezahlten Betrages (vgl. §§ 675u, 675v BGB). Da es sich bei der Identität bzw. Berechtigung des Abhebenden um einen für die Bank bedeutenden Umstand handelt, würde sich ein Bankmitarbeiter hierüber Gedanken machen und zumindest konkludent getäuscht werden.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 97 f. mwN.

Fallgruppe 4: Abredewidrige Geldabhebung durch den beauftragten Nichtberechtigten

Ebenso umstritten ist die Fallgruppe 4. Die noch hM stuft die Datenverwendung hier nicht als unbefugt ein.BGH BeckRS 2013, 3329 (Rn. 2); BGH NStZ 2016, 149 (Rn. 12); Perron, in: Schönke/Schröder, 30. Aufl. (2019), § 263a Rn. 12. Der BGH stellt wie in Fallgruppe 3 darauf ab, dass § 263a Abs. 1 Var. 3 StGB bei willentlicher Überlassung der Karte an einen Nichtberechtigten nicht erfüllt ist (dazu → Rn. 49 ff.). Die hL deutet die freiwillige Aushändigung von Karte und PIN an den Nichtberechtigten als Erteilung einer im Außenverhältnis umfassenden Bankvollmacht. Die Begrenzung im Innenverhältnis berühre die Wirksamkeit der Vollmacht im Außenverhältnis nicht (vgl. §§ 172 ff. BGB). Ein fiktiver Bankmitarbeiter könne somit nicht über die – tatsächlich bestehende – Berechtigung getäuscht werden. Zudem handele es sich um eine bloße Vertragswidrigkeit, die allenfalls eine Untreue zulasten des berechtigten Karteninhabers darstellt.

Die Gegenansicht bejaht die unbefugte Datenverwendung in Fallgruppe 4 zu Recht.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 95 ff. Dem scheint auch der 4. Strafsenat des BGH in einem obiter dictum – unter Berücksichtigung eines Urteils des XI. Zivilsenats –zu folgen, sofern die Bevollmächtigung eines Dritten nach dem Bankkartenvertrag ausgeschlossen ist.BGH NZWiSt 2017, 238 unter Rekurs auf BGHZ 208, 331.

So ist bereits fraglich, ob der Aushändigung der Karte und PIN ein so weitgehender Erklärungswert der umfassenden Außenvollmacht zukommt.Rengier, BT I, 26. Aufl. (2024), § 14 Rn. 34. Zudem sind die zivilrechtlichen Wertungen der § 675c ff. BGB zu berücksichtigen. Wie sich aus dem Zahlungsdiensterecht (insb. §§ 675u, 675v BGB) ergibt, trägt die Bank das Risiko eines nicht-autorisierten Zahlungsvorgangs, wenn die Bevollmächtigung eines Dritten nach dem Bankkartenvertrag ausnahmslos ausgeschlossen ist. Auch der Beauftragte kann einen Zahlungsauftrag nicht autorisieren, wenn die Bevollmächtigung Dritter ausgeschlossen ist. Die Bank ist in diesem Fall einem Erstattungsanspruch des Kunden gem. § 675u BGB ausgesetzt und trägt das Risiko der Ausführung einer nicht-autorisierten Auszahlung.Altenhain, in: Matt-Renzikowski-StGB, 2. Aufl. (2020), § 263a Rn. 14. Mithin stellt die Identität des Bankkunden eine für die Bank bedeutende Tatsache dar, über die ein fiktiver Bankmitarbeiter im Wege der Vergleichsbetrachtung getäuscht würde.

Weitere Fallgruppen

Die zum Geldabheben am Bankautomaten entwickelten Grundsätze lassen sich auf zahlreiche weitere Fallgruppen übertragen.

Bezahlen von Waren und Dienstleistungen mittels EC-Karte

Das Bezahlen von Waren und Dienstleistungen an automatisierten Kassen mittels EC-Karte erfolgt heutzutage über das sog. POS-Verfahren („point of sale“), an dem der Karteninhaber, die kartenausstellende Bank sowie der Verkäufer beteiligt sind. Der Karteninhaber autorisiert einen Zahlungsauftrag an die kartenausstellende Bank, indem er die Karte in das Bezahlterminal einführt und die dazugehörige PIN eingibt. Die Bank prüft, ob die eingegebene PIN zur Karte passt und ggf. die Einhaltung eines Verfügungsrahmens, und übernimmt gegenüber dem Verkäufer eine Zahlungsgarantie in Form eines abstrakten Schuldversprechens iSd § 780 BGB.Fest/Simon, JuS 2009, 798 (801 f.). Da eine wirksame Autorisierung des Zahlungsauftrags auch in diesen Fällen nur durch den berechtigten Karteninhaber möglich ist, sind die Grundsätze des Bankautomatenmissbrauchs übertragbar.Hefendehl/Noll, in: MüKo-StGB, 5. Bd., 4. Aufl. (2022), § 263a Rn. 107 ff.; aA Rengier, BT I, 26. Aufl. (2024), § 14 Rn. 45 ff.

Nach hier vertretener Ansicht ist eine unbefugte Datenverwendung zu bejahen, wenn der Nichtberechtigte eine ohne den Willen des Berechtigten (zB im Wege der §§ 240, 242, 246 StGB) erlangte Karte zur Bezahlung einsetzt. Ebenso ist Var. 3 erfüllt, wenn der berechtigte Karteninhaber dem Nichtberechtigten die Karte willentlich (zB aufgrund einer Täuschung) überlasst und dieser sie (abredewidrig) zur Bezahlung einsetzt. Sie ist nicht erfüllt, wenn der berechtigte Karteninhaber selbst seinen Kreditrahmen überzieht.

Eine unbefugte Datenverwendung ist zu verneinen, wenn eine PIN-Abfrage nicht stattfindet und somit ausnahmsweise auf eine Autorisierung durch den Zahlenden verzichtet wird. Dies ist insbesondere bei der kontaktlosen NFC-Bezahlung („near field communication“) bei Beträgen bis zu 50 EUR der Fall.Zu weiteren Fallgruppen, u. a. dem sog. elektronischen Taschendiebstahl Christoph/Dorn-Haag, NStZ 2020, 697. Die Rechtsprechung führt an, dass ein fiktiver Bankmitarbeiter, der sich nur „mit den Fragen befasst, die auch der Computer prüft“ (hier: keine PIN-Abfrage) nicht über die Berechtigung des Bezahlenden getäuscht werden könnte.OLG Hamm NStZ 2020, 673 (Rn. 21 f.) m. Anm. Kudlich, JA 2020, 710. Nach der betrugsspezifischen Gegenansicht fehlt es mangels PIN-Abfrage schon an einer möglichen Erklärung des Bezahlenden. Die Grundsätze des Bankautomatenmissbrauchs, bei denen eine PIN-Abfrage immer erfolgt, können nicht übertragen werden.Hefendehl/Noll, in: MüKo-StGB, 5. Bd., 4. Aufl. (2022), § 263a Rn. 109.

Missbräuchliches Verhalten im Internet (Online-Banking, Online-Shopping)

An eine Strafbarkeit gem. § 263a Abs. 1 Var. 3 StGB ist auch bei missbräuchlichem Verhalten im Internet zu denken. Die Beurteilung iRd Online-Bankings ist anhand der Grundsätze des Automatenmissbrauchs vorzunehmen. Verwendet der Nichtberechtigte eine fremde PIN oder TAN zur Vornahme einer Überweisung, täuscht er in betrugsspezifischer Weise über seine Identität.Hefendehl/Noll, in: MüKo-StGB, 5. Bd., 4. Aufl. (2022), § 263a Rn. 117. Im Fall des Online-Shoppings sind verschiedene Fallgestaltungen zu unterscheiden: Gibt der Täter bei seiner Bestellung unrichtige (Phantasie-)Namen bzw. schlicht fremde Bank- oder Kreditkartendaten an (sog. Carding), so verwendet er unrichtige Daten (Var. 2) bzw. verwendet Daten in unbefugter Weise (Var. 3).BGH NStZ-RR 2021, 214; Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 58. Umstritten ist der Fall, dass der Berechtigte unter Angabe seiner (richtigen) Daten Bestellungen tätigt, ohne zur Bezahlung fähig oder willens zu sein. Da das Computerprogramm die Bonität bzw. Zahlungswilligkeit des Bestellers regelmäßig nicht prüft, wird eine unbefugte Datenverwendung zum Teil verneint.OLG Zweibrücken CR 1994, 241; Altenhain, in: Matt-Renzikowski-StGB, 2. Aufl. (2020), § 263a Rn. 16. Richtigerweise ist aber darauf abzustellen, dass der Täter einer Bestellung gegenüber einer natürlichen Person über seine Zahlungsfähigkeit bzw. -willigkeit konkludent täuschen würde, sodass eine unbefugte Datenverwendung ebenfalls zu bejahen ist.Perron, in: Schönke/Schröder, 30. Aufl. (2019), § 263a Rn. 15.

Weitere Einzelfälle

Zunehmend werden auch Missbrauchsfälle an Selbstbedienungskassen diskutiert (dazu bereits → Rn. 61 ff.).Rengier, BT I, 26. Aufl. (2024), § 14 Rn. 48 ff. mwN.

Ferner stellt sich die Frage nach der unbefugten Datenverwendung, wenn der Täter das Pfandleergut eines Supermarkts zunächst entwendet, um es dann in den Pfandrückgabeautomaten desselben Marktes zurückzugeben.Hinrichs, ZJS 2013, 407 (414 ff.) mit Falllösung.

§ 263a Abs. 1 Var. 4: Sonst unbefugte Einwirkung auf den Ablauf

Grundsätze

Die vierte Tatvariante des § 263a Abs. 1 StGB verwirklicht, wer „sonst durch unbefugte Einwirkung auf den Ablauf“ das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst. Sie hat erkennbar („sonst“) AuffangcharakterZur praktisch unbedeutenden Frage, ob es sich bei Var. 4 auch um den Grundtatbestand des § 263a Abs. 1 StGB handelt Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022); § 263a Rn. 141 f. und soll zukünftige, noch unbekannte sowie von den ersten Tatvarianten nicht erfasste Manipulationshandlungen unter Strafe stellen. Hierzu gehören insbesondere Fälle der Hardware-, Konsol- und Outputmanipulation (zB Verhinderung eines Ausdrucks bei einem Drucker).BT-Drs. 10/318, S. 20; BT-Drs. 10/5058, S. 30. Das Tatbestandsmerkmal der Einwirkung ist entsprechend weit auszulegen und erfasst grundsätzlich jede Beeinflussung eines Datenverarbeitungsvorgangs.BGHSt 40, 331 (334 f.)

Die im Hinblick auf Art. 103 Abs. 2 GG bedenkliche Weite der Tathandlung ist über das Tatbestandsmerkmal „unbefugt“ einzuschränken. Die hM fordert eine betrugsspezifische Auslegung, sodass die Grundsätze zu Var. 3 entsprechend anzuwenden sind (dazu → Rn. 31 ff.).Perron, in: Schönke/Schröder, 30. Aufl. (2019), § 263a Rn. 16; aA Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 63.

Einzelne Anwendungsfälle

Umstritten ist, ob Var. 4 das sog. Leerspielen von Geld- oder Glücksspielautomaten erfasst.Zum Ganzen Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 145 ff.

Die heute hM bejaht eine Strafbarkeit gem. § 263a Abs. 1 Var. 4 StGB. Auch der BGH bejahte „jedenfalls“ eine unbefugte Einwirkung, stützte sein Ergebnis aber noch iSd subjektiven Auslegung auf den entgegenstehenden Willen des Automatenbetreibers.BGHSt 40, 331 (334). Vorzugswürdig ist – entsprechend den Grundsätzen zum Wettbetrug – darauf abzustellen, dass der Täter bei Drücken der Risikotaste konkludent miterklärt, das Spiel nicht aktiv zu seinen Gunsten manipuliert zu haben.Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 18; Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 704. Folglich ist Var. 4 nicht erfüllt, wenn der Automatennutzer auf Wissen zurückgreift, das nicht auf rechtswidrige Weise erlangt wurde, sondern aus allgemein zugänglichen Informationsquellen stammt. Dieser Fall ist vielmehr dem straflosen Ausnutzen eines bestehenden Irrtums iRv § 263 Abs. 1 StGB gleichzustellen.KG NStZ-RR 2015, 111 (112) m. Anm. Hecker, JuS 2015, 756; OLG Stuttgart BeckRS 2016, 12357, Rn. 11, 17; Rengier, BT I, § 14 Rn. 7.

Zu Unrecht bejahte daher das OLG Braunschweig Var. 4 in einem vergleichbaren Fall.OLG Braunschweig NJW 2008, 1464 m. abl. Anm. Niehaus/Augustin, JR 2008, 436 (436 ff.). Der Täter nutzte lediglich den Defekt einer automatisierten Selbstbedienungstankstelle aus, wonach Betankungen für mehr als 70 EUR nicht als Treibstoffentnahme erfasst und dementsprechend auch nicht dem Konto belastet wurden. Ebenso ist Var. 4 zu verneinen, wenn ein Geldwechselautomat mittels eines mit Tesafilm präparierten Geldscheins „überlistet“ wird.OLG Düsseldorf NJW 2000, 158 m. Anm. Kudlich, JuS 2001, 20. Wird ein Automat trotz elektronischen Münzprüfers mit Falschgeld in Gang gesetzt, fehlt es iRd § 263a Abs. 1 StGB jedenfalls an der unmittelbaren Beeinflussung des Datenverarbeitungsvorgangs (dazu → Rn. 76 ff.).OLG Celle NJW 1997, 1518; Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 18. Zuletzt ist eine unbefugte Einwirkung auf den Ablauf zu bejahen, wenn der Inhaber eines Mietkartentelefons eine angewählte Verbindung sofort nach deren Herstellung, aber vor Gebührenabbuchung von der Telefonkarte durch Herausziehen der Karte abbricht, um sich die Gebühr ohne eigene Bezahlung zu sichern.OLG München NJW 2007, 3734 (3736 f.).

Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs (in der Sphäre des Geschädigten)

Die Tathandlungen des § 263a Abs. 1 StGB müssen in kausaler und zurechenbarer Weise dazu führen, dass das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst wird. Es handelt sich um einen (Zwischen-)Erfolg des Computerbetrugs, der die Tathandlungen und den Vermögensschaden miteinander „verbindet“.OLG Hamm NStZ 2014, 275; Kindhäuser/Hilgendorf, in: LPK-StGB, 9. Aufl. (2022), § 263a Rn. 39. Er übernimmt damit die Funktion, die die Tatbestandsmerkmale Irrtum und Vermögensverfügung bei § 263 Abs. 1 StGB haben.S. BT-Drs. 10/318, S. 19 f., wonach das Tatbestandsmerkmal dem „Ergebnis eines Denk- und Entscheidungsvorgangs“ beim Menschen entspricht. Dazu auch Hoyer, in: SK-StGB, 9. Aufl. (2019), § 263a Rn. 48.

Als Datenverarbeitung sind alle technischen Vorgänge anzusehen, bei denen durch Aufnahme von Daten und ihre Verknüpfung nach Programmen Arbeitsergebnisse erzielt werden. Rein mechanische Abläufe sind nicht erfasst (zB nicht-elektronische Münzprüfer an Warenautomaten).BT-Drs. 10/318, S. 21; Kindhäuser/Hoven, in: NK-StGB, 6. Aufl. (2023), § 263a Rn. 12.

Das Ergebnis des Datenverarbeitungsvorgangs ist immer dann beeinflusst, wenn es von dem Ergebnis abweicht, das bei einem ordnungsgemäßen Programmablauf bzw. ohne die Tathandlung erzielt worden wäre. Die Tathandlung muss also zumindest mitursächlich für das Verarbeitungsergebnis sein. BGH NStZ 2016, 338 (339). Zum Teil wurde früher bezweifelt, ob die Beeinflussung auch das „In-Gang-Setzen“ einer Datenverarbeitung erfasst, sodass insbesondere die Geldauszahlung am Bankautomaten als Computerbetrug ausscheiden müsse.LG Wiesbaden NJW 1989, 2551 (2552); Kleb-Braun, JA 1986, 249 (259). Dies überzeugt in zweierlei Hinsicht nicht: Erstens stellt das Ingangsetzen die intensivste Form der Beeinflussung dar und muss erst recht erfasst sein. Zweitens läuft etwa das System des Bankautomaten rund um die Uhr (zumindest im Ruhemodus).BGHSt 38, 120 (121); Schmidt, in: BeckOK-StGB, 59. Ed. (01.11.2023), § 263a Rn. 8.1.

Aus der Wesens- und Strukturgleichheit zu § 263 Abs. 1 StGB ergibt sich ferner, dass der Datenverarbeitungsvorgang „vermögenserheblich“ sein und unmittelbar, d. h. ohne weitere Handlung des Täters, des Opfers oder eines Dritten, zu einer Vermögensminderung führen muss.BGH NStZ 2016, 338 (339); Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 155 ff. Das Unmittelbarkeitserfordernis ist erfüllt, wenn der Datenverarbeitungsvorgang in automatisierter Weise eine Vermögensminderung nach sich zieht (zB Freigabe der Warenversendung beim Online-Shopping etc.).BGH BeckRS 2020, 28985, Rn. 11; Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 692. An der Unmittelbarkeit fehlt es, wenn der Täter durch seine Manipulationshandlung lediglich die Voraussetzungen für eine weitere (deliktische) Handlung aus seiner Sphäre (etwa eine Wegnahme) schafft. So ist derjenige, der durch die Benutzung einer gestohlenen Codekarte ein automatisches Türschloss überwindet, um nunmehr aus den Räumen Geld wegzunehmen, nicht nach § 263a Abs. 1 StGB, sondern allein wegen Diebstahls zu bestrafen.OLG Celle NJW 1997, 1518 (1518 f.); Perron, in: Schönke/Schröder, 30. Aufl. (2019), § 263a Rn. 21. Gleiches gilt für das Einscannen eines anderen Strichcodes an einer Selbstbedienungskasse, um somit für die tatsächlich mitgenommene Ware ein geringeres „Entgelt“ zahlen zu müssen.OLG Hamm NStZ 2014, 275 (276).

Der Unmittelbarkeitszusammenhang zwischen der Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs und dem Eintritt eines Vermögensschadens ist ebenfalls zu verneinen, wenn eine (zwischengeschaltete) natürliche Person das Ergebnis der Datenverarbeitung inhaltlich überprüft und anschließend die Vermögensverfügung veranlasst.OLG Celle NStZ-RR 2017, 80 (81); Hoyer, in: SK-StGB, 9. Aufl. (2019), § 263a Rn. 51. In solchen Fällen ist nicht wegen Computerbetrugs, sondern wegen Betrugs zu bestrafen. Eine Ausnahme ist anerkannt, wenn das Ergebnis des von dem Täter manipulierten Datenverarbeitungsvorgangs von einer Person ohne eigene Entscheidungsbefugnis und ohne inhaltliche Kontrolle lediglich umgesetzt wird.BGHSt 59, 68 (Rn. 20).

Die Grundsätze des Dreiecksbetrugs sind sinngemäß auf § 263a StGB anwendbar (sog. Dreieckscomputerbetrug). Wie auch beim Betrug müssen also Getäuschter und Verfügender, nicht aber Verfügender und Geschädigter identisch sein. Das erforderliche Näheverhältnis ist beim Bankautomaten zwischen Bank und evtl. geschädigtem Bankkunden stets gegeben.Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 71.

Vermögensschaden

Als letztes Merkmal des objektiven Tatbestands setzt der Computerbetrug den Eintritt eines Vermögensschadens voraus. Es handelt sich dabei – neben dem Tatbestandsmerkmal der „Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs“ (→ Rn. 76 ff.) – um den zweiten Taterfolg des § 263a Abs. 1 StGB. Wie beim Betrug ist ein Vermögensschaden die objektive Minderung des Gesamtvermögens des Verletzten infolge der Manipulationshandlung. Nach dem Prinzip der Gesamtsaldierung ist der Unterschied zwischen dem objektiven Gesamtwert des Vermögens vor und nach Ablauf der Datenverarbeitung und der darauffolgenden Vermögensverschiebung zu ermitteln (dazu → § 11 Rn. 157 ff.). Dabei kann auch eine Vermögensgefährdung bereits einen Schaden darstellen, wenn sie bei wirtschaftlich-bilanzieller Betrachtung unter Berücksichtigung der verfassungsrechtlichen Anforderungen als Wertminderung aufzufassen ist (dazu → § 11 Rn. 93 ff.).BGHSt 58, 119 (127); Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 692. Ersatz- oder Kompensationsansprüche des Geschädigten gegen den Täter oder gegen Dritte verhindern grundsätzlich nicht die Annahme eines Vermögensschadens. Dies gilt insbesondere für Schadensersatzansprüche, die die Bank gegen den berechtigten Karteninhaber gem. § 675v Abs. 3 BGB haben kann (dazu → Rn. 35 ff.).BGH NStZ 2001, 316 (317); Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 21. In den Bankautomaten-Fällen (zB jemand stiehlt eine EC-Karte und hebt damit Geld ab) tritt der Schaden grundsätzlich bei der (kartenausstellenden) Bank ein, da sie – mangels autorisierten Zahlungsauftrags – ihren Aufwendungsersatzanspruch gegen den berechtigten Karteninhaber verliert und diesem den abgebuchten Betrag unverzüglich zurückerstatten muss (vgl. § 675u BGB). Allerdings kommt auch ein (Dreiecks-)Computerbetrug zulasten des Kontoinhabers in Betracht. Dieser muss die unberechtigte Abbuchung von seinem Konto nämlich erst erkennen und eine Rückbuchung veranlassen, sodass die Annahme eines Gefährdungsschadens bei ihm naheliegt.BGHSt 58, 119 (126).

Subjektiver Tatbestand

Der subjektive Tatbestand des § 263a Abs. 1 StGB setzt – wie auch der Betrug – Vorsatz bezüglich der objektiven Tatumstände (→ Rn. 85 f.) sowie die Absicht stoffgleicher Eigen- oder Drittbereicherung (→ Rn. 87) voraus. Die beabsichtigte Bereicherung muss (objektiv) rechtswidrig (→ Rn. 88) und die Rechtswidrigkeit der beabsichtigten Bereicherung vom (bedingten) Vorsatz des Täters umfasst sein (→ Rn. 89).

Vorsatz bzgl. der objektiven Tatumstände

Der Täter muss hinsichtlich der objektiven Tatumstände vorsätzlich handeln. Es genügt dolus eventualis. Dabei muss der Täter es für möglich halten und billigend in Kauf nehmen, dass infolge seiner Handlung das Ergebnis eines Datenverarbeitungsvorgangs verändert wird und dadurch ein Vermögensschaden eintritt.Perron in: Schönke/Schröder, 30. Aufl. (2019), § 263a Rn. 27. Nimmt der Täter fälschlicherweise an, er würde einen Menschen täuschen und zur Vermögensverfügung veranlassen, obwohl die Vermögensverfügung unmittelbar auf einem Datenverarbeitungsvorgang beruht (bzw. umgekehrt), liegt – wegen der Gleichwertigkeit von §§ 263, 263a StGB – nur ein unwesentlicher Irrtum über den Kausalverlauf vor.BGH NJW 2008, 1394 (1395).

Bei § 263a Abs. 1 Var. 3 und Var. 4 StGB muss der Täter die Bewertung seiner Tathandlung als „unbefugt“ zumindest in seinem Bedeutungsgehalt erfasst haben (sog. Parallelwertung in der Laiensphäre), da es sich insofern um ein normatives Tatbestandsmerkmal handelt. Wähnt der Täter sich zur Verwendung der Daten bzw. zur Einwirkung auf den Ablauf berechtigt, so ist zu unterscheiden: Ein Irrtum des Täters über tatsächliche Voraussetzungen, etwa über das Vorliegen einer Einwilligung des Inhabers der von ihm benutzten EC-Karte, schließt als Tatumstandsirrtum seinen Vorsatz aus. Nimmt er dagegen in Kenntnis aller tatsächlichen Umstände rechtsirrig an, befugt zu handeln, weil er etwa glaubt, jedermann dürfe fremde EC-Karten benutzen, wenn man nur die Geheimnummer wisse, so liegt darin ein Verbotsirrtum nach § 17 StGB.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 183.

Absicht stoffgleicher Eigen- bzw. Drittbereicherung

Es bedarf im subjektiven Tatbestand zudem der Absicht des Täters, sich oder einem Dritten einen dem Vermögensschaden entsprechenden („stoffgleichen“) Vermögensvorteil zu verschaffen. An der geforderten Stoffgleichheit zwischen Vorteil und Schaden fehlt es, falls es dem Täter bei seinen schädigenden Eingriffen zB um die Belohnung durch einen Konkurrenten des geschädigten Unternehmens geht. Sie ist zu bejahen, wenn der Nichtberechtigte eine Karte zur Bezahlung im POS-System einsetzt (dazu → Rn. 61 ff.). Zwar kommt es dem Täter in dieser Fallkonstellation primär auf das Erlangen der zu bezahlenden Ware oder Dienstleistung an, die aus dem Vermögen des Verkäufers stammt und damit nicht „stoffgleich“ mit dem der kartenausstellenden Bank entstehenden Schaden ist. Der Erhalt der Ware oder Dienstleistung ist jedoch nur möglich, weil die kartenausstellende Bank dem Verkäufer ein abstraktes Schuldversprechen gibt. Der Erhalt dieses Schuldversprechens ist für sich genommen ein tauglicher Bereicherungsgegenstand, der zudem mit dem Schaden der Bank „stoffgleich“ ist. Das Schuldversprechen zu erhalten, stellt für den Täter – was für die Annahme von dolus directus 1. Grades iSd Bereicherungsabsicht genügt – ein notwendiges Zwischenziel dar.Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 76.

Rechtswidrigkeit der beabsichtigten Bereicherung

Dieses Tatbestandsmerkmal ist wie beim Betrug auszulegen (dazu → § 11 Rn. 198 ff.).

Vorsatz bzgl. der Rechtswidrigkeit der beabsichtigten Bereicherung

Dieses Tatbestandsmerkmal ist wie beim Betrug auszulegen (dazu → § 11 Rn. 207 ff.).

Rechtswidrigkeit und Schuld

Es gelten die allgemeinen Grundsätze.

Täterschaft und Teilnahme

§ 263a Abs. 1 StGB stellt kein Sonderdelikt dar, sodass jedermann Täter eines Computerbetrugs sein kann. Es finden die allgemeinen Regeln zur Täterschaft und Teilnahme (§§ 25 ff. StGB) Anwendung.

Eine mittelbare Täterschaft kommt bspw. in Betracht, wenn sich der Täter – was insbesondere bei der Verwendung unrichtiger oder unvollständiger Daten (Var. 2) in Betracht kommt – eines vorsatzlosen Dritten (zB Sekretär:in) bedient. Dies gilt auch für den Fall, dass der Dritte einer Prüfungspflicht hinsichtlich der Daten unterliegt.Kindhäuser/Hoven, in: NK-StGB, 6. Aufl. (2023), § 263a Rn. 41; aA Hoyer, in: SK-StGB, 9. Aufl. (2019), § 263a Rn. 13.

In der Praxis stellen sich Beteiligungsfragen, wenn sog. Finanzagenten („money mules“) zum Einsatz kommen. Hierbei handelt sich um Inhaber von Konten, die ihr Konto zur Entgegennahme von Geld zur Verfügung stellen, das andere durch einen Computerbetrug erlangt haben, und dieses Geld dann – ggf. über Umwege – an die Täter des Computers weiterleiten.Zum Ganzen Goeckenjan, wistra 2008, 128, 133. Eine Strafbarkeit des Finanzagenten wegen Mittäterschaft an dem Computerbetrug wird mangels Tatherrschaft und ausreichendem Tatbeitrag idR ausscheiden.BGH wistra 2018, 254 (255). In Betracht kommt jedoch eine Beihilfestrafbarkeit. Dabei kann grundsätzlich an zwei Handlungen des Finanzagenten angeknüpft werden: Erstens könnte man eine Beihilfehandlung darin sehen, dass der Finanzagent seine Kontodaten an den Haupttäter übermittelt. Es handelt sich idR um einen Fall der sog. „neutralen Beihilfe, der eine besondere Prüfung des hinreichend konkretisierten Gehilfenvorsatzes im Zeitpunkt der Beihilfehandlung erforderlich machtGaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 25. Zweitens könnte die Beihilfehandlung in der Entgegennahme und Weiterleitung des Geldes an die Haupttäter liegen. Da der Computerbetrug zu diesem Zeitpunkt bereits vollendet ist, kommt eine Strafbarkeit lediglich in Form der sog. sukzessiven Beihilfe in Betracht.AG Hamm CR 2006, 70 (71); Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 208.

Versuch und strafbare Vorbereitungshandlungen

Versuch des § 263a Abs. 1 StGB

Durch die in § 263a Abs. 2 StGB enthaltene Verweisung auf § 263 Abs. 2 StGB hat der Gesetzgeber den Versuch des Computerbetrugs unter Strafe gestellt (zum versuchten Betrug → § 11 Rn. 212). Beim Missbrauch von Bankautomaten setzt der zum Gebrauch einer Debit- oder Kreditkarte nicht befugte Täter unmittelbar an, wenn er die Karte in den Automaten einführt.BGH BeckRS 2003, 344; BayObLGSt 1993, 86 (88). Hat der Täter Daten durch Skimming oder Phishing erlangt, liegt ein unmittelbares Ansetzen erst mit der späteren Verwendung der erbeuteten Daten vor.KG JuS 2012, 1135 m. Anm. Jahn.

Strafbare Vorbereitungshandlungen nach § 263a Abs. 3 StGB

Zur Umsetzung unionsrechtlicher Vorgaben stellt Abs. 3 Vorbereitungshandlungen des Computerbetrugs unter Strafe.Siehe Art. 7 der EU-Richtlinie 2019/713, der den zuvor einschlägigen Art. 4 Abs. 2 des EU-Rahmenbeschlusses 2011/413/JI ersetzt hat.

Die durch das 35. StrÄndG eingeführte Nr. 1 erfasst das Herstellen, Sich oder einem anderen Verschaffen, Feilhalten, Verwahren oder einem anderen Überlassen von (Computer-)Programmen, deren Zweck die Begehung einer Straftat nach Abs. 1 ist. Die Herausforderung bei der Auslegung dieses Tatbestands besteht darin, den Zweck eines Computerprogramms zu bestimmen. Dabei bereitet der Umgang mit sog. Dual-Use-Software, die sowohl legalen Zwecken als auch der Begehung eines Computerbetrugs dienen kann, erhebliche Probleme. Ein praxisrelevantes Beispiel sind sog. penetration tests, die im Auftrag des Systembetreibers dazu benutzt werden, Sicherheitslücken im System aufzudecken. Solche Tools können ebenso gut für Computermanipulationen verwendet werden. Die Gesetzesbegründung, die lediglich auf den „objektive[n] Zweck“ des Computerprogramms abstellt, greift zu kurz, weil der „Zweck“ als (subjektives) Merkmal erst durch den jeweiligen Verwender dem Programm zugewiesen wird.So aber BT-Drs. 15/1720, S. 10 f. Vorzugswürdig ist die in der Literatur verbreitete Auffassung, den „Zweck“ subjektiv zu bestimmen und von einer „spezifischen Widmung“ des Programms zur Begehung eines Computerbetrugs durch den Verwender abhängig zu machen. Die bloße Eignung zum Computerbetrug oder ein hohes Missbrauchspotential des Programms genügen diesen Anforderungen nicht.Zur Kritik an der Gesetzesbegründung Hilgendorf, in: SSW-StGB, 5. Aufl. (2021), § 263a Rn. 38. Zum parallelen § 202c Abs. 1 Nr. 2 StGB auch BVerfG JR 2010, 79 (82) m. Anm. Valerius.

Im Jahr 2021 wurde Abs. 3 um die Tatobjekte „Passwörter und sonstige Sicherungscodes“ in Nr. 2 ergänzt. Ihre Auslegung orientiert sich nach dem Willen des Gesetzgebers an den gleichlautenden Tatbestandsmerkmalen des § 202c Abs. 1 Nr. 1 StGB. Bei Nr. 2 kommt auf die Geeignetheit zur Begehung eines Computerbetrugs an. Es werden insbesondere das Skimming und das Phishing erfasst.BT-Drs. 19/25631, S. 23; Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 195 ff.

Die in Nr. 1 und Nr. 2 übereinstimmenden Tathandlungen entsprechen denen des § 149 Abs. 1 StGB.Im Einzelnen Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 34.

Hinsichtlich der objektiven Tatumstände des Abs. 3 genügt bedingter Vorsatz, wobei der Täter auch den vorbereiteten Computerbetrug zumindest in Umrissen nachvollzogen haben muss.Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 35.

Abs. 4 verweist auf den persönlichen Aufhebungsgrund der tätigen Reue in § 149 Abs. 2 und Abs. 3 StGB und wirkt auf diese Weise der bedenklichen Vorverlagerung der Strafbarkeit entgegen. In juristischen Prüfungen kommt Abs. 3 und Abs. 4 im Normalfall keine Relevanz zu.

Qualifikation

Der Qualifikationstatbestand des § 263 Abs. 5 StGB (dazu → § 11 Rn. 226) ist über die Verweisung in § 263a Abs. 2 StGB anwendbar für Fälle der gewerbsmäßigen Begehung des Computerbetrugs als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach den §§ 263 bis 264 oder §§ 267 bis 269 StGB verbunden hat.

Unterlassen

Die Tathandlungen des § 263a Abs. 1 StGB können durch Unterlassen begangen werden, sofern der Täter eine Garantenstellung gem. § 13 Abs. 1 Hs. 1 StGB innehat. Bei der Verwendung unvollständiger Daten (Var. 2) ist darauf zu achten, dass das Unterlassen (der Eingabe vollständiger Daten) tatbestandlich als aktives Tun erfasst ist.

Die Begehung von § 263a Abs. 1 StGB durch Unterlassen setzt voraus, dass ein Datenverarbeitungsvorgang vorliegt und dessen Ergebnis beeinflusst wird. Findet ein solcher Vorgang nicht statt, scheidet eine Unterlassungsstrafbarkeit aus.Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 57 ff.

Strafzumessung

Der Strafrahmen des Abs. 1 sieht eine Freiheitsstrafe bis zu fünf Jahren oder eine Geldstrafe vor. Der in Abs. 2 enthaltene Verweis auf § 263 Abs. 3 StGB hat zur Folge, dass der Strafrahmen sich in besonders schweren Fällen auf mindestens sechs Monate bis zu zehn Jahren Freiheitsstrafe erhöht (dazu → § 11 Rn. 214 ff.). Wenn sich die Tat auf einen geringwertigen Vermögensvorteil bezieht, ist ein besonders schwerer Fall gem. § 263a Abs. 2 StGB iVm §§ 263 Abs. 4, 243 Abs. 2 StGB ausgeschlossen.

Konkurrenzen und Abgrenzung zu anderen Tatbeständen

Wird derselbe Vermögensschaden durch verschiedene Manipulationshandlungen iSd Abs. 1 hervorgerufen, liegt eine natürliche Handlungseinheit vor. Innerhalb des Abs. 1 ist Var. 1 als lex specialis vorrangig zu Var. 2 (dazu → Rn. 17). Der Auffangtatbestand der Var. 4 ist als lex generalis subsidiär zu allen anderen Tathandlungen des Abs. 1.Joecks/Jäger, in: Studienkommentar StGB, 13. Aufl. (2021), § 263a Rn. 62. Eine natürliche Handlungseinheit ist auch anzunehmen, wenn der Nichtberechtigte dieselbe Karte am selben Bankautomaten „innerhalb kürzester Zeit“ mehrfach zur Abhebung einsetzt.BGH BeckRS 2008, 1816, Rn. 4; Hefendehl/Noll, in: MüKo-StGB, Bd. 5, 4. Aufl. (2022), § 263a Rn. 217.

Eine Vorbereitungshandlung des Abs. 3 tritt hinter einem vollendeten oder versuchten Computerbetrug nach Abs. 1 zurück.AA für den versuchten Computerbetrugs Heger, in: Lackner/Kühl/Heger, 30. Aufl. (2023), § 263a Rn. 27.

Für das Verhältnis zu Eigentumsdelikten (§§ 242, 246 StGB) ist bei Bankautomaten-Fällen hinsichtlich der eingesetzten Karte und dem abgehobenen Bargeld zu unterscheiden: Entwendet der Täter eine fremde Karte in Zueignungsabsicht und setzt sie anschließend in unbefugter Weise ein, stellt sich die Frage, wie sich der vorangegangene Diebstahl an der Karte zum anschließenden Computerbetrug verhält. Ein Teil des Schrifttums lässt § 242 StGB als mitbestrafte Vortat hinter § 263a StGB zurücktreten.Hoyer, in: SK-StGB, 9. Aufl. (2019), § 263a Rn. 64. Die Rechtsprechung nimmt zutreffend Tatmehrheit an. Dies überzeugt, da sich die Delikte gegen verschiedene Rechtsgüter (Eigentum/Gewahrsam und Vermögen) und Rechtsgutsträger (Karteninhaber und Bank) richten.Instruktiv BGH NStZ 2001, 316 (316 ff.) m. zust. Anm. Wohlers, NStZ 2001, 539, (539 f.). Hinsichtlich des abgehobenen Geldes besteht ein tatbestandliches Exklusivitätsverhältnis zwischen §§ 242, 263a StGB. Wird die Vermögensminderung unmittelbar durch den Täter (mittels Wegnahme) bewirkt, liegt nur § 242 StGB vor. Ist die Vermögensminderung hingegen – wie in den Bankautomaten-Fällen – unmittelbare Folge der Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs, ist lediglich § 263a StGB verwirklicht.BGHSt 38, 120 (124 f.); Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 30. Nachträgliche Verhaltensweisen (zB Bezahlung mit abgehobenem Bargeld) stellen eine sog. Zweitzueignung, sodass § 246 StGB tatbestandlich nicht erfüllt ist oder als mitbestrafte Nachtat zurücktritt (dazu → § 4 Rn. 78).BGHSt 38, 120 (125); Tiedemann/Valerius, in: LK-StGB, Bd. 9/1, 12. Aufl. (2012), § 263a Rn. 98.

Das Verhältnis zwischen § 263 StGB und § 263a StGB ist – ähnlich wie das Verhältnis zwischen Eingehungs- und Erfüllungsbetrug – umstritten. Nach einer Ansicht tritt § 263a StGB aufgrund der historischen Auffangfunktion gegenüber § 263 StGB als subsidiär zurück.Wessels/Hillenkamp/Schuhr, BT II, 46. Aufl. (2023), Rn. 706. Vorzugswürdig ist erneut die Annahme eines tatbestandlichen Exklusivitätsverhältnisses. Ist die Vermögensminderung unmittelbare Folge einer menschlichen Vermögungsverfügung, liegt nur ein Betrug gem. § 263 StGB vor, da § 263a StGB schon tatbestandlich nicht erfüllt ist. Nur § 263a StGB ist erfüllt, wenn die Vermögensminderung unmittelbare Folge einer „Computerverfügung“ ist.Gaede, in: AnwK-StGB, 3. Aufl. (2020), § 263a Rn. 28.

Lässt sich nicht mehr aufklären, ob die Vermögensminderung unmittelbare Folge einer menschlichen oder computertechnischen Verfügung ist, kommt nach Rechtsprechung des BGH eine wahlweise Verurteilung wegen Betrugs oder Computerbetrugs in Betracht (sog. Wahlfeststellung).BGH NJW 2008, 1394 (1395). Ebenso ist Wahlfeststellung zwischen schwerem Bandendiebstahl (§ 244a Abs. 1 iVm § 243 Abs. 1 S. 2 Nr. 3 StGB) und gewerbs- und bandenmäßigen Computerbetrug (§ 263a Abs. 2 und Abs. 5 StGB) möglich.BGH StV 2020, 759. Wenn feststeht, dass der Angeklagte einen Computerbetrug begangen hat, es aber ungewiss ist, ob er auch Täter eines vorangegangenen Betrugs ist, bleibt es bei der Anwendung des § 263a StGB nach den Grundsätzen der sog. Postpendenzfeststellung.BGH NStZ 2008, 396 (Rn. 7).

Prozessuales / Wissen für die Zweite Juristische Prüfung

Zur Verfolgung eines Computerbetrugs ist gem. § 263a Abs. 2 iVm §§ 263 Abs. 4, 247 StGB ein Strafantrag erforderlich, wenn der Computerbetrug zulasten eines Angehörigen, Vormunds, Betreuers oder Hausgenossen begangen wird (sog. absolutes Antragsdelikt). Führt der Computerbetrug zu einem geringwertigen Vermögensschaden (max. 25, 30 oder 50 EUR) wird von § 263a Abs. 2 iVm §§ 263 Abs. 4, 248a StGB ebenfalls ein Strafantrag verlangt, sofern nicht ein besonderes öffentliches Interesse an der Strafverfolgung besteht (sog. relatives Antragsdelikt).

Das Gericht kann gem. § 263a Abs. 2 iVm § 263 Abs. 6 StGB Führungsaufsicht (§ 68 Abs. 1 StGB) anordnen.

Funktional kann für die Aburteilung von Taten nach § 263a StGB unter den Voraussetzungen des § 74c Abs. 1 S. 1 Nr. 6 lit. a) GVG die Wirtschaftsstrafkammer am Landgericht sein.

Aufbauschema zu § 263a Abs. 1 StGB

1. Tatbestand

   1. Objektiver Tatbestand

      1. Tathandlung

         Var. 1 Unrichtige Programmgestaltung

         Var. 2: Verwendung unrichtiger oder unvollständiger Daten

         Var. 3: Unbefugte Verwendung von Daten

         Var. 4: Sonstige unbefugte Einwirkung auf den Ablauf

      2. Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs

      3. Vermögensschaden

   2. Subjektiver Tatbestand

      1. Vorsatz bzgl. der objektiven Tatumstände

      2. Absicht stoffgleicher Bereicherung

      3. Objektive Rechtswidrigkeit der erstrebten Bereicherung

      4. Vorsatz bzgl. der Rechtswidrigkeit der erstrebten Bereicherung

2. Rechtswidrigkeit

3. Schuld

4. Strafzumessung: Besonders schwerer Fall gem. § 263a Abs. 2 StGB iVm §§ 263 Abs. 3, Abs. 4 StGB

Im Anschluss ist ggf. eine Qualifikation gem. § 263a Abs. 2 StGB iVm § 263 Abs. 5 StGB zu prüfen.

Nicht zu vergessen ist das Strafantragserfordernis gem. § 263a Abs. 2 StGB iVm §§ 263 Abs. 4, 247, 248a StGB.

Studienliteratur und Übungsfälle

Studienliteratur

• Kraatz, Der Computerbetrug (§ 263a StGB), JURA 2010, 36

• Wachter, Zur betrugsäquivalenten Auslegung beim Computerbetrug, NStZ 2018, 241

• Oğlakcıoğlu, Die Karten in meiner Brieftasche, JA 2018, 279 (Teil 1) und 338 (Teil 2)

• Eibach, Zivilrechtsakzessorietät des Computerbetrugs? – Gedanken zur betrugsäquivalenten Auslegung des BGH, NStZ 2020, 704

Übungsfälle

• Kraatz, Aktuelle examensrelevante Fälle des Computerbetrugs (§ 263a StGB), Jura 2016, 875

• Wachter, Grundfälle zum Computerbetrug, JuS 2017, 723

• Lenk, Girocard, Sparbuch, Bankautomat – Fallkonstellationen in der strafrechtlichen Klausur, JuS 2020, 407

• Rehmet/Ströle, Fortgeschrittenenklausur – Strafrecht: Kontoeröffnungsbetrug, Computerbetrug, Überweisungsbetrug, JuS 2021, 338

• Schrott, Fortgeschrittenenklausur – Strafrecht: Digitales Kleinvieh im kontaktlosen Nahfeld, JuS 2022, 138

• Burghardt/Bardowicks, Fortgeschrittenenklausur – Kontaktloses Bezahlen, ZJS 2023, 593 (Open access)