10 Digital Crimes

Unter «Digital Crimes» werden hier Delikte verstanden, die mit digitalen Mitteln oder auf digitalen Wegen begangen werden, d.h. also nicht zwingend gegen oder unter Zuhilfenahme des Internets (s. KAPO ZH, Abteilung Cybercrime).

In der Schweiz gibt es nur wenige strafrechtliche Normen, die sich direkt auf die digitale Welt beziehen, so z.B. die unbefugte Datenbeschaffung nach Art. 143 Strafgesetzbuch (StGB), das unbefugte Eindringen in ein Datenverarbeitungssystem gemäss Art. 143bis StGB sowie die Datenbeschädigung nach Art. 144bis StGB. Es gibt aber auch ausserhalb des StGB Normen, die die digitale Welt betreffen und deren Verletzung auch strafbar ist. Diese finden sich inbesondere im Lauterkeitsgesetz (UWG) (s. dazu im Detail 06 Wettbewerbsrecht in der digitalen Welt), so z.B. das Spamming gemäss Art. 3 Abs. 1 lit. o UWG und die zwingenden Hinweise im E-Commerce gemäss Art. 3 Abs. 1 lit. s UWG, deren Verletzung gemäss Art. 23 UWG strafbar sind.

Auf die meisten Delikte, die in der digitalen Welt verübt werden, können jedoch die herkömmlichen, bereits in der analogen Welt seit langem gebrauchten Normen angewendet werden. So unterscheidet sich ein Betrug nach Art. 146 StGB in der digitalen Welt grundsätzlich nicht von einem Betrug in der analogen. Bei beiden ist ein wesentliches Element die «arglistige Irreführung». Nur für den Fall, dass der Irregeführte nicht ein Mensch, sondern eine Datenverarbeitungsanlage ist, gibt es dafür einen speziellen Tatbestand in Art. 147 StGB.

Es würde den Rahmen dieses Lehrmittels sprengen, hier alle möglichen Delikte, die mit digitalen Mitteln oder auf digitalen Wegen begangen werden, zu erötern. Nachfolgend greifen wir somit einige der häufigsten Delikte in der digitalen Welt auf.

Hacking

Es ist schwierig eine allgemeine, einheitliche Definition von «Hacking» zu finden. Basierend auf dem entsprechenden Verb in der englischen Sprache, to hack, also auf etwas einhacken, auf etwas schlagen, sind wir der Meinung, dass das kriminelle Hacking das unbefugte Eindringen in einen Computer oder ein Netzwerk als primärer Tatbestand umfasst. Zum Eindringen in diesem Sinne gehört, dass ein Computer oder ein Netzwerk besonders gesichert ist.

Das Hacking in diesem Sinne ist u.E. sowohl Tatbestand in Art. 143 StGB (Ungefugte Datenbeschaffung), also auch in Art. 143bis StGB (Unbefugtes Eindringen in ein Datenverarbeitungssystem), obwohl Rechtsprechung und Lehre in der Regel nur von letzterem Artikel vom «Hacking-Tatbestand» oder «Hacking-Artikel» sprechen.

Gemäss Art. 143 StGB (Unbefugte Datenbeschaffung) wird mit Freiheitsstrafe bis zu fünf Jahren  oder Geldstrafe bestraft,  wer in der Absicht, sich oder einen anderen unrechtmässig zu bereichern, sich oder einem anderen elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft,  die nicht für ihn bestimmt und gegen seinen unbefugtem Zugriff besonders gesichert sind. Dabei handelt es sich um ein Offizialdelikt, also ein Delikt, dass von Amtes wegen verfolgt werden muss. Einzig, die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen wird nur auf Antrag verfolgt.

Nach Art. 143bis StGB (Unbefugtes Eindringen in ein Datenverarbeitungssystem) wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft, wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt. Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss dieses Artikels verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Art. 143 und 143bis StGB unterscheiden sich im Wesentlichen darin, dass der Täter beim Tatbestand von Art. 143 StGB eine Bereicherungsabsicht hat, währenddem er beim Tatbestand von Art. 143bis StGB ohne Bereicherungsabsicht in ein Datenverarbeitungssystem eindringt. Letzteres ist denn auch nur ein sogenannter Gefährdungstatbestand, der bei der Anwendung von Art. 143 StGB miterfasst ist (konsumiert) ist. Das zeigt sich auch beim Strafmass, das bei der Bereicherungsabsicht höher sein kann.

Phishing

Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen), bildlich das Angeln nach Passwörtern mit Ködern, anlehnt. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon. Ein Beispiel von Phishing, das es auf Kunden von PostFinance abgehen hat, haben wir hier publiziert. Mit einem gefälschten E-Mail, das im Look von PostFinance daherkommt, fordern die Betrüger die Adressaten unter dem Vorwand, deren Kreditkarte sei gesperrt worden, für eine «Sicherheitsprozedur» die entsprechenden Kreditkarten-Daten zu übermitteln. Typischerweise wird in entsprechenden Phishing-Mails das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Adressat wird in der Regel aufgefordert, Daten von Kreditkarten oder sogar E-Banking-Logis zu übermitteln, mittels derer sich die Betrüger in der Folge an das Vermögen der Adressaten machen. (Quelle: https://de.wikipedia.org/wiki/Phishing).

Prima vista könnte man meinen, dass es sich beim Phishing um einen klassischen Betrug nach Art. 146 StGB handelt, da insbesondere das typische Tatbestandsmerkmal der arglistigen Täuschung offensichtlich erfüllt ist. Art. 146 StGB verlangt jedoch zusätzlich, dass der Betroffene sich basierend auf einem entsprechenden Irrtum selbst und umittelbar am eigenen Vermögen schädigt. Dies ist beim Phishing, inbesondere auf dem Wege von E-Mails oder SMS gerade nicht gegeben, da ja der Täter die entsprechenden Folgehandlungen selber vornimmt.

Gemäss herrschender Lehre und Rechtsprechung wird das Phishing in der Regel als betrügerischer Missbrauch einer Datenverarbeitungsanlage taxiert und die entsprechenden Täter nach Art. 147 StGB verurteilt. Gemäss Art. 147 StGB wird bestraft, wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einem elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführtoder eine Vermögensverschiebung unmittelbar darnach verdeckt.

Password Sharing und Identity Theft

Obwohl niemand darüber spricht, nicht einmal die betroffenen Anbieter, passiert es sehr wahrscheinlich sehr häufig. Insbesondere innerhalb einer Familie und unter Freunden werden die Zugangsdaten von Internetdiensten und damit die entsprechende digitiale Identität getauscht (in den USA bekannt unter dem Begriff des «Password Sharing»). Da fragt sich, ob dies zivilrechtlich, aber auch strafrechtlich überhaupt erlaubt ist. Dafür bestimmend sind die entsprechenden Nutzungsbedigungen. In der Regel verbieten diese die Weitergabe an unbefugte Dritte. Es gibt aber auch Lizenzen bzw. Abos, die eine Nutzung durch mehrere Personen zulassen. Die Anbieter lösen das Problem der Mehrfachnutzung häufig technisch, indem sie z.B. die gleichzeitige Nutzung auf eine bestimmte Anzahl von Geräten beschränken. Ein Login mit einem weiteren Gerät ist damit schon technisch nicht möglich. Werden die Zugangsdaten an unbefugte Dritte weitergegeben, ist dies eine Vertragsverletzung nach Art. 97 des Obligationenrechts (OR) und der Anbieter kann bei Verschulden Schadenersatz verlangen. Die Nutzungsbedigungen sehen für diesen Fall auch regelmässig die Sperrung des Accounts vor. Strafrechtlich ist die unbefugte Nutzung einer digitalen Leistung, die jedermann gegen Entgelt zugänglich ist, ein sogenanntes «Erschleichen einer Leistung» nach Art. 150 des Strafgesetzbuches (StGB) (BSK StGB, Weissenberger, Art. 150 StGB, N 41). Das Delikt befindet sich auf der gleichen strafrechtlichen Stufe, wie das Schwarzfahren bei öffentlichen Verkehrsmitteln (das im gleichen Artikel geregelt ist). Da die Anbieter wohl eine negative Publicity befürchten, kappen sie in einem solchen Fall sicherlich den Account, werden aber wohl eher keine Anzeige erstatten. Mir ist auf jeden Fall kein entsprechender Fall in der Schweiz bekannt. Bestraft wird zudem lediglich derjenige, der die fremde Identität nutzt, jedoch nicht derjenige, der diese weitergegeben hat.

Rechtlich weitaus problematischer ist die Weitergabe, der Diebstahl (Identity Theft) und das unbefugte Verwenden von Login-Daten zu digitalen Dienstleistungen und Datenbanken, die nur einem beschränkten Kreis von Nutzern zur Verfügung stehen. Dies trifft generell auf E-Mail-Server zu (insb. BGer 6B_615/2014, 6B_456/2007), m.E. aber auch auf Socialmedia-Plattformen, wie Facebook und Instagram, wie auch auf Zugänge zu Systemen von Arbeitgebern, bei denen sich sich Mitarbeitende einloggen können. Falls eine Bereicherungsabsicht besteht, ist dieses Verhalten m.E. nach Art. 143 StGB strafbar, und zwar von Amtes wegen, zum Nachteil von Angehörigen nur auf Antrag. Besteht keine Bereicherungsabsicht, kann die Tat nach Art. 143bis StGB (auch sog. Hacker-Tatbestand) nur auf Antrag bestraft werden. In diesem Kontext kann auch die Weitergabe von Login-Daten strafbar sein, und zwar von Amtes wegen.

Datenfälschung

Werden Daten in digitaler Form gefälscht, kann dies eine Urkundenfälschung nach Art. 251 StGB sein. Gemäss diesem Artikel wird bestraft, wer in der Absicht, jemanden am Vermögen oder an andern Rechten zu schädigen oder sich oder einem andern einen unrechtmässigen Vorteil zu verschaffen, eine Urkunde fälscht oder verfälscht, die echte Unterschrift oder das echte Handzeichen eines andern zur Herstellung einer unechten Urkunde benützt oder eine rechtlich erhebliche Tatsache unrichtig beurkundet oder beurkunden lässt oder eine Urkunde dieser Art zur Täuschung gebraucht. Gemäss Art. 110 Abs. 4 StGB sind Urkunden im Sinne dieses Artikels Schriften, die bestimmt und geeignet sind, eine Tatsache von rechtlicher Bedeutung zu beweisen. Dabei stehen der Schriftform Aufzeichnungen auf Bild- und Datenträgern gleich, sofern sie demselben Zweck dienen. Urkunden im Sinne von Art. 251 StGB sind damit u.a. auch PDF-Dokumente und E-Mails (BGE 137 IV 168 ff.; BGE 6B_130/2012, Erw. 5.4).

Verbotene Gewaltdarstellungen und verbotene Pornografie

Verbotene Gewaltdarstellungen

Gemäss Art. 135 StGB wird bestraft, wer Ton- oder Bildaufnahmen, Abbildungen, andere Gegenstände oder Vorführungen, die, ohne schutzwürdigen kulturellen oder wissenschaftlichen Wert zu haben, grausame Gewalttätigkeiten gegen Menschen oder Tiere eindringlich darstellen und dabei die elementare Würde des Menschen in schwerer Weise verletzen, herstellt, einführt, lagert, in Verkehr bringt, anpreist, ausstellt, anbietet, zeigt, überlässt oder zugänglich macht, erwirbt, sich über elektronische Mittel oder sonst wie beschafft oder besitzt. Besitz liegt auch vor, wenn der Herrschaftswillen durch Download einschlägiger Daten auf einen Datenträger zum Ausdruck gebracht wird, da bzw. soweit der User ddamit zu erkennen gibt, dass er auf diese Bilder wieder zurückgreifen will. Richtigerweise ist jedoch die Annahme eines Besitzes von Bildern im Cache-Speicher ausgeschlossen. Beschaffen ist nach der bundesgerichtlichen Rechtsprechung zu Art. 197 Ziff. 3bis StGB z.B. das Verschaffen eines dauernden und unbeschränkten Zugangs zu einer Website mit verbotenen Darstellungen, sodass der Täter über die Daten frei verfügen kann, oder das Belassen eines auf Täterinitiative zugesandten E-Mails mit strafbaren Datenanhang im Eingangsspeicher. Gezieltes abspeichern illegaler Dateien ist hingegen herstellen (BGE 131 IV 20 ff., zu Art. 197 Ziff. 3bis StGB; Andreas Donatsch, OFK-StGB, StGB 135 N 11 f.).

Verbotene Pornografie

Nach Art. 197 StGB wird u.a. bestraft, wer pornografische Schriften, Ton- oder Bildaufnahmen, Abbildungen, andere Gegenstände solcher Art oder pornografische Vorführungen einer Person unter 16 Jahren anbietet, zeigt, überlässt, zugänglich macht oder durch Radio oder Fernsehen verbreitet. Wer die Besucher von Ausstellungen oder Vorführungen in geschlossenen Räumen im Voraus auf deren pornografischen Charakter hinweist, bleibt straflos. Ebenfalls wird bestraft, wer eine minderjährige Person anwirbt, damit diese an einer pornografischen Vorführung mitwirkt, oder wer sie zur Mitwirkung an einer derartigen Vorführung veranlasst. Zudem wird bestraft, wer Gegenstände oder Vorführungen im genannten Sinne, die sexuelle Handlungen mit Tieren oder mit Gewalttätigkeiten unter Erwachsenen oder nicht tatsächliche sexuelle Handlungen mit Minderjährigen zum Inhalt haben, herstellt, einführt, lagert, in Verkehr bringt, anpreist, ausstellt, anbietet, zeigt, überlässt, zugänglich macht, erwirbt, sich über elektronische Mittel oder sonst wie beschafft oder besitzt. Schlussendlich wird bestraft, wer Gegenstände oder Vorführungen im genannten Sinne, die sexuelle Handlungen mit Tieren oder mit Gewalttätigkeiten unter Erwachsenen oder nicht tatsächliche sexuelle Handlungen mit Minderjährigen zum Inhalt haben, konsumiert oder zum eigenen Konsum herstellt, einführt, lagert, erwirbt, sich über elektronische Mittel oder sonst wie beschafft oder besitzt. Minderjährige von mehr als 16 Jahren bleiben straflos, wenn sie voneinander einvernehmlich Gegenstände oder Vorführungen im genannten Sinne herstellen, diese besitzen oder konsumieren. Gegenstände oder Vorführungen im genannten Sinne sind nicht pornografisch, wenn sie einen schutzwürdigen kulturellen oder wissenschaftlichen Wert haben.

[Weitere Erörterungen folgen]

Persönlichkeitsverletzungen

[Text folgt]

Verletzung von Immaterialgüterrechten

[Text folgt]

Strafverfolgung in der digitalen Welt

Die Achillesferse der Verfolgung von Delikten in der digitalen Welt ist die Strafverfolgung selber. Denn diese obliegt in der Schweiz im Wesentlichen den Kantonen. Strafverfolgung in der digitalen Welt verlangt aber nach ganz spezifischem Know-how sowie entsprechender technischer Mittel. Zudem haben viele Delikte in der digitalen Welt typischerweise einen Auslandbezug. Diesbezüglich sind insbesondere kleinere Kantone überfordert, auch wenn auch diese in diesem Bereich laufend aufrüsten. Immerhin erhalten sie vom Bundesamt für Polizei fedpol (s. auch www.fedpol.admin.ch/fedpol/de/home/kriminalitaet/cybercrime.html), insbesondere auch von deren Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) sowie von der Melde- und Analysestelle Informationssicherung MELANI des Bundes Unterstützung.