Password Sharing – Identity Theft

10 Digital Crimes

Obwohl niemand darüber spricht, nicht einmal die betroffenen Anbieter, passiert es sehr wahrscheinlich sehr häufig. Insbesondere innerhalb einer Familie und unter Freunden werden die Zugangsdaten von Internetdiensten und damit die entsprechende digitiale Identität getauscht (in den USA bekannt unter dem Begriff des «Password Sharing»). Da fragt sich, ob dies zivilrechtlich, aber auch strafrechtlich überhaupt erlaubt ist. Dafür bestimmend sind die entsprechenden Nutzungsbedigungen. In der Regel verbieten diese die Weitergabe an unbefugte Dritte. Es gibt aber auch Lizenzen bzw. Abos, die eine Nutzung durch mehrere Personen zulassen. Die Anbieter lösen das Problem der Mehrfachnutzung häufig technisch, indem sie z.B. die gleichzeitige Nutzung auf eine bestimmte Anzahl von Geräten beschränken. Ein Login mit einem weiteren Gerät ist damit schon technisch nicht möglich. Werden die Zugangsdaten an unbefugte Dritte weitergegeben, ist dies eine Vertragsverletzung nach Art. 97 des Obligationenrechts (OR) und der Anbieter kann bei Verschulden Schadenersatz verlangen. Die Nutzungsbedigungen sehen für diesen Fall auch regelmässig die Sperrung des Accounts vor. Strafrechtlich ist die unbefugte Nutzung einer digitalen Leistung, die jedermann gegen Entgelt zugänglich ist, ein sogenanntes «Erschleichen einer Leistung» nach Art. 150 des Strafgesetzbuches (StGB) (BSK StGB, Weissenberger, Art. 150 StGB, N 41). Das Delikt befindet sich auf der gleichen strafrechtlichen Stufe, wie das Schwarzfahren bei öffentlichen Verkehrsmitteln (das im gleichen Artikel geregelt ist). Da die Anbieter wohl eine negative Publicity befürchten, kappen sie in einem solchen Fall sicherlich den Account, werden aber wohl eher keine Anzeige erstatten. Mir ist auf jeden Fall kein entsprechender Fall in der Schweiz bekannt. Bestraft wird zudem lediglich derjenige, der die fremde Identität nutzt, jedoch nicht derjenige, der diese weitergegeben hat.

Rechtlich weitaus problematischer ist die Weitergabe, der Diebstahl (Identity Theft) und das unbefugte Verwenden von Login-Daten zu digitalen Dienstleistungen und Datenbanken, die nur einem beschränkten Kreis von Nutzern zur Verfügung stehen. Dies trifft generell auf E-Mail-Server zu (insb. BGer 6B_615/2014, 6B_456/2007), m.E. aber auch auf Socialmedia-Plattformen, wie Facebook und Instagram, wie auch auf Zugänge zu Systemen von Arbeitgebern, bei denen sich sich Mitarbeitende einloggen können. Falls eine Bereicherungsabsicht besteht, ist dieses Verhalten m.E. nach Art. 143 StGB strafbar, und zwar von Amtes wegen, zum Nachteil von Angehörigen nur auf Antrag. Besteht keine Bereicherungsabsicht, kann die Tat nach Art. 143bis StGB (auch sog. Hacker-Tatbestand) nur auf Antrag bestraft werden. In diesem Kontext kann auch die Weitergabe von Login-Daten strafbar sein, und zwar von Amtes wegen.

10 Digital Crimes