1 StR 16/15

Aufhebung wegen unzureichender Feststellungen zu Zugangssicherungen bei Ausspähen von Daten • Zur Verurteilung wegen Ausspähens von Daten nach § 202a StGB bedarf es konkreter Feststellungen, dass eine gegen unberechtigten Zugriff besonders wirkende Zugangssicherung bestanden und überwunden wurde. • Pauschale Darstellungen zur Wirkungsweise von Schadsoftware und allgemeine Hinweise auf bestehende Schutzprogramme genügen nicht; das Revisionsgericht muss anhand hinreichend beschriebener technischer Umstände die Tatbestandsmäßigkeit prüfen können. • Fehlerhafte oder widersprüchliche Feststellungen zur technischen Schutzsituation führen zur Aufhebung auch tateinheitlich angenommener weiterer Delikte (§ 303a, § 263a, § 269 StGB) und zu Zurückverweisung zur neuen Verhandlung. Der Angeklagte betrieb zusammen mit einem Mittäter ein Botnetz zur Erzeugung von Bitcoins. Dafür verbreiteten sie über Usenet-Dateien eine Schadsoftware (Trojaner), die sich heimlich installierte, Eingaben und Zugangsdaten übermittelte und in Phasen der Inaktivität Rechenleistung nutzte. Im Zeitraum Jan. 2012 bis Okt. 2013 stellte der Angeklagte entsprechende Dateien bereit; zwischen Nov. 2012 und März 2013 mietete er in 18 Fällen Server unter Verwendung ausgespähter Personaldaten. Das Landgericht verurteilte ihn wegen Ausspähens von Daten, Datenveränderung, Computerbetruges in 18 Fällen und Fälschung beweiserheblicher Daten zu drei Jahren Haft sowie Verfall und Wertersatzmaßnahmen. Der Angeklagte legte Revision ein, die der BGH vollumfänglich stattgab. • Revisionsgerichtliche Prüfung ergab erhebliche Mängel und Widersprüche in den Feststellungen zur technischen Wirkungsweise der Schadsoftware und zur konkreten Beschaffenheit der jeweiligen Zugangssicherungen. Nach § 202a Abs.1 StGB schützt die Norm nur Daten, die durch eine gegen unberechtigten Zugriff besonders gerichtete Sicherung vom Zugriff Dritter sichtbar geschützt sind; hierzu gehören etwa wirksame Firewall- oder Virenschutzlösungen, die ohne spezifisches Fachwissen nicht überwunden werden können. Das Landgericht hat jedoch nicht hinreichend dargelegt, welche Schutzvorrichtungen bei den betroffenen Rechnern konkret vorhanden waren, ob diese gerade zur Tatzeit bestanden und in welcher Weise der Trojaner diese überwunden haben soll. Zudem enthält das Urteil widersprüchliche Aussagen (zunächst: Firewall wurde umgangen; später: Virenschutzprogramme erkannten die Schadsoftware nicht), sodass nicht klar ist, welche technische Schutzvorrichtung als überwunden gelten soll. Wegen dieser Tatsachenlücken ist eine revisionsgerichtliche Überprüfung der Tatbestandsvoraussetzungen nicht möglich, weshalb auch die tateinheitlich angenommenen Delikte der Datenveränderung (§ 303a StGB), des Computerbetrugs (§ 263a Abs.1 Var.3 StGB) und der Fälschung beweiserheblicher Daten (§ 269 StGB) mangels verlässlicher Feststellungen nicht gehalten werden können. Ferner ist zu prüfen, ob sich Tatzeiträume und Handlungseinheiten überschneiden, was Tateinheit nach § 52 StGB beeinflussen kann. Damit waren die Feststellungen nach § 353 Abs.2 StPO aufzuheben und die Sache zur neuen Verhandlung an eine allgemeine Strafkammer zurückzuverweisen. • Die Rechtsfehler rechtfertigen die Aufhebung des Urteils insgesamt; das neue Tatgericht muss die technischen und zeitlichen Abläufe detailliert feststellen, damit eine belastbare rechtliche Würdigung möglich ist. Der BGH hebt das Urteil des Landgerichts Kempten vom 29.10.2014 auf und verweist die Sache zu neuer Verhandlung und Entscheidung an eine allgemeine Strafkammer. Die Revision des Angeklagten hatte in vollem Umfang Erfolg, weil die Feststellungen zur technischen Wirkungsweise der Schadsoftware und zu den konkreten Zugangssicherungen lückenhaft und widersprüchlich sind. Ohne konkrete, deskriptive Feststellungen darüber, welche Schutzvorrichtungen vorhanden waren und wie sie überwunden wurden, lässt sich der Tatbestand des Ausspähens von Daten (§ 202a StGB) nicht tragen; daraus folgt die Aufhebung auch der tateinheitlich angenommenen Delikte (§ 303a, § 263a, § 269 StGB). Das neue Gericht muss nun die technischen Gegebenheiten und den zeitlichen Ablauf umfassend aufklären und darauf basierend neu entscheiden; es sind auch die Kosten des Rechtsmittels neu zu entscheiden.