Da der Betrug gem. § 263 zwingend die Irrtumserregung bei einer natürlichen Person voraussetzt, scheidet diese Vorschrift immer dann aus, wenn Datenverarbeitungen manipuliert werden. Um diese Strafbarkeitslücke zu schließen, hat der Gesetzgeber 1986 § 263a in das StGB aufgenommen. Dabei wurde § 263a betrugsähnlich gestaltet. Die Tathandlung des § 263a besteht zusammengefasst in einer unrichtigen oder unbefugten Datenverwendung, welche zu einer Reaktion des Computers, nämlich der Beeinflussung des Ergebnisses eines Datenverarbeitungsvorganges, führt, auf welcher wiederum ein Vermögensschaden beruhen muss. In subjektiver Hinsicht verlangt § 263a sowohl Vorsatz als auch die rechtswidrige und stoffgleiche Bereicherungsabsicht.

Geschütztes Rechtsgut bei § 263a ist dementsprechend das Vermögen.

Beachten Sie, dass § 263a in Abs. 2 auf § 263 Abs. 2 bis Abs. 7 verweist. Daraus ergibt sich, dass es einen versuchten Computerbetrug, einen Computerbetrug in einem besonders schweren Fall sowie einen qualifizierten Computerbetrug (gewerbsmäßiger Bandenbetrug) gibt. Sofern der angerichtete Schaden geringwertig ist, ist ein Strafantrag gem. §§ 247, 248a i.V.m. §§ 263 Abs. 4, 263a Abs. 2 erforderlich.

Abs. 3 ergänzt den Abs. 1 des § 263a und erfasst Vorbereitungshandlungen. Für die Klausur ist § 263a Abs. 3 nur von geringer Relevanz. Da die Tathandlungen des § 263a Abs. 1 zumeist vertiefte Kenntnisse aus dem Bereich der EDV voraussetzen, werden auch diese – mit Ausnahme der 3. Alternative: unbefugte Verwendung von Daten! – nur selten in der Klausur geprüft. Wir werden uns daher nachfolgend vor allem mit der 3. Begehungsalternative auseinandersetzen.

Der Aufbau des § 263a sieht wie folgt aus:

Der Täter muss durch eine der im Gesetz genannten vier Tatmodalitäten das Ergebnis eines Datenverarbeitungsvorganges beeinflusst und dadurch einen Vermögensschaden herbeigeführt haben. Die Prüfung des objektiven Tatbestands erfolgt mithin in 3 Schritten:

Gegenstand der Tathandlung sind zumeist Daten, auch bei der 1. Alternative, da auch Programme durch Daten fixierte Arbeitsanweisungen an den Computer sind.

Mit dieser Alternative werden Programmmanipulationen erfasst.

Programme sind also z.B. Anwender-, Systemkontroll-, Quell- und Maschinenprogramme. Gestaltet werden diese Programme durch Neuschreiben, Hinzufügen, Verändern oder Löschen einzelner Programmteile oder auch des ganzen Programms.Joecks/Jäger § 263a Rn. 8 f.

Nach h.M. ist die Gestaltung „unrichtig“, wenn sie zu Ergebnissen führt, die nach der zugrunde liegenden Aufgabenstellung und den Beziehungen zwischen den Beteiligten so nicht bewirkt werden dürfen, der materiellen Rechtslage also widersprechen (betrugsspezifische Auslegung).Wessels/Hillenkamp/Schuhr Strafrecht BT/2 Rn. 695. Gelegentlich wird in der Literatur darauf abgestellt, ob das Programm dem Willen des bzw. der Verfügungsberechtigten entspricht. Der Begriff der Unrichtigkeit wird damit subjektiv definiert.Schönke/Schröder-Perron § 263a Rn. 5. Dem wird jedoch entgegengehalten, dass § 263a betrugsähnlich aufgebaut sei, woraus folge, dass auch die Handlungen des § 263a betrugsähnlich sein müssten.

Diese Variante erfasst die sog. Inputmanipulationen.

Diese Begehungsvariante weist damit die stärksten Parallelen zur Täuschungshandlung beim Betrug auf. Da auch hier die Unrichtigkeit betrugsspezifisch auszulegen ist, scheidet § 263a in dieser Variante aus, wenn ein entsprechendes Täuschungsverhalten gegenüber einer natürlichen Person nicht zum Betrug führen würde.

Die unbefugte Verwendung von Daten setzt zunächst einmal voraus, dass diese Daten richtig sind, da andernfalls eine Strafbarkeit nach der 2. Alternative in Betracht kommt.BGH NStZ 2022, 681.

Eine weite Auslegung lässt jede Nutzung von Daten genügen, so z.B. auch das Verwenden von Programminformationen zum Leerspielen von Glücksspielautomaten.Ranft JuS 1997, 19; Otto Strafrecht BT § 52 Rn. 35. Die überwiegende Auffassung legt den Begriff des Verwendens hingegen eng aus und verlangt eine Eingabe dieser Daten in einen Datenverarbeitungsprozess. Dadurch wird der Anwendungsbereich des Auffangtatbestandes gem. § 263a Abs. 1 Alt. 4 ausgedehnt.Fischer § 263a Rn. 8; Lackner/Kühl/Heger § 263a Rn. 12 m.w.N.

Nach der sehr weitgehenden, sog. subjektivierenden Auslegung ist jede Datenverwendung unbefugt, die dem wirklichen oder mutmaßlichen Willen des über die Daten Verfügungsberechtigten zuwiderläuft.Hilgendorf JuS 1997, 130; Popp JuS 2011, 392. Verfügungsberechtigte sind diejenigen, die den Automaten betreiben, also vor allem die Banken, daneben der Kartenaussteller, der Karteninhaber und der Kontoinhaber.Rengier Strafrecht BT I § 14 Rn. 16.

Dieser Auffassung wird entgegengehalten, dass sie insbesondere in den Fällen der missbräuchlichen Verwendung von Kredit- und EC-Karten den Computerbetrug in eine reine Vertragsunrecht einbeziehende, allgemeine Computeruntreue verwandle.Wessels/Hillenkamp/Schuhr Strafrecht BT/2 Rn. 700.

Die engste Definition nimmt die sog. computerspezifische Auslegung vor. Diese stellt darauf ab, ob der einer Datenverwendung entgegenstehende Wille des Betreibers im Computerprogramm festgelegt ist, z.B. durch Abfragen eines PIN um Unberechtigte auszuschließen.Lenckner/Winkelbauer CR 86, 657. Die computerspezifische Auslegung schränkt damit den Anwendungsbereich des § 263a, insbesondere bei der unbefugten Verwendung von Giro- und Kreditkarten, jedoch erheblich ein und widerspricht damit der Intention des Gesetzgebers.

Überwiegend wird – wie bei den anderen Tathandlungen auch – das Merkmal unbefugt betrugsspezifisch ausgelegt. Verlangt wird mithin ein täuschungsäquivalentes Verhalten des Täters. Die Verwendung der Daten ist dann unbefugt, wenn sie gegenüber einem Menschen als fiktiver Vergleichsperson Täuschungscharakter hätte.BGH NStZ 2022, 68147, 160; OLG Köln NJW 1992, 125; OLG Düsseldorf StV 1998, 266; Rengier Strafrecht BT I § 14 Rn. 19.

Innerhalb der Vertreter dieser Auslegung ist jedoch im Einzelfall immer wieder streitig, welche Prüfungskompetenz die fiktive Vergleichsperson hätte. Insbesondere der BGH zeigt eine Tendenz, sich über die eingeschränkte Prüfungskompetenz der computerspezifischen Auslegung anzunähern, indem er deutlich macht, dass die Vergleichsperson nur das prüfe, was auch der Computer prüfe.BGH NStZ 2017, 149 ebenso NStZ-RR 2022, 14. Da sowohl in der Praxis als auch in der Klausur die Fälle der missbräuchlichen Verwendung von Giro- und Kreditkarten hier am häufigsten vorkommen, wollen wir uns diese nachfolgend etwas ausführlicher ansehen.

Der für Ihre Klausur relevanteste Anwendungsfall der 3. Variante besteht in der missbräuchlichen Verwendung von Giro- und Kreditkarten, weswegen wir uns dieses Thema nachfolgend etwas genauer anschauen werden.

Schauen wir und zunächst einmal an, wie Giro- und Kreditkarte verwendet werden können:

• Die Karte kann unter Eingabe eines PIN eingesetzt werden an Geldautomaten der kontoführenden Bank sowie jeder dritten Bank zur Abhebung von Bargeld. Ist die PIN korrekt und das Konto gedeckt, erfolgt eine Auszahlung.
• Die Karte kann im Internet verwendet werden, um kostenpflichtige Transaktionen abzuschließen. In der Regel wird vor Abschluss der Transaktion durch die kartenausgebende Bank die Legitimation durch Anfordern eines PIN o.ä. verlangt. Häufig reicht aber auch nur die Eingabe der auf der Karte abzulesenden Daten aus.
• Die Karte kann eingesetzt werden im sog. POS-Verfahren (point-of-sale-Verfahren). Dieses POS-Verfahren, auch electronic-cash-Verfahren genannt, ermöglicht eine bargeldlose Zahlung unter Verwendung der Karte und der PIN, welche der Kunde in das Kartenlesegerät am Terminal der Kasse des Händlers eingeben muss. Beim POS-Verfahren hat der Händler aufgrund eines Vertrages zwischen ihm und dem Kreditinstitut einen direkten Anspruch gegen das kartenausstellende Kreditinstitut. Die am Terminal eingelesenen Daten werden in einer Autorisierungszentrale bzw. direkt bei dem Kreditinstitut überprüft. Es wird anhand der PIN die Legitimation, ferner eine evtl. Sperrung der Karte sowie die entsprechende Kontendeckung überprüft. Sofern die Überprüfung positiv ist, hat der Kunde mittels dieses Verfahrens seine Waren oder Dienstleistungen bezahlt.
• Im POS-Verfahren ist zudem eine sog. „kontaktlose“ Bezahlung mit der NFC Technik möglich. Hier wird die Karte vor das Lesegerät gehalten, die Eingabe eines PIN ist nicht erforderlich. Der Höchstbetrag beläuft sich in der Regel auf 50 € pro Transaktion, wobei nach einer gewissen Anzahl von Nutzungen ohne PIN-Eingabe erneut die PIN einzugeben ist. Da kein PIN eingegeben werden muss, wird auf die Legitimierung des Verwenders verzichtet. In der Autorisierungszentrale der kartenausgebenden Bank wird lediglich überprüft, ob die Karte gesperrt ist, das Konto entsprechende Deckung aufweist und der Zahlungsvorgang zugelassen ist.
• Die Karte kann schließlich auch eingesetzt werden im sog. POZ-Verfahren (point-of-sale ohne Zahlungsgarantie). Im Gegensatz zum POS-Verfahren gibt der Kunde hier nicht seine PIN ein, sondern unterschreibt lediglich einen vom Händlerterminal ausgedruckten Beleg. Mit dieser Unterschrift erteilt er eine Ermächtigung zum Lastschrifteinzug. Ein Anspruch des Händlers gegen das Kreditinstitut besteht in diesen Fällen jedoch nicht. Auch übernimmt das Kreditinstitut im Gegensatz zum POS-Verfahren keine Garantie für den in Rede stehenden Betrag.

Schauen wir uns nun die klausurrelevantesten Fallgruppen an.

Der klassische Fall des § 263a Abs. 1 Alt. 3 ist das Verwenden einer Karte durch einen nicht berechtigten Kartenbesitzer, der die Karte durch verbotene Eigenmacht erlangt hat. Dieses Verhalten stellt nach allen zuvor dargestellten Auffassungen eine unbefugte Verwendung von Daten dar.

Davon zu unterscheiden ist der Fall, bei welchem der Täter Karte und PIN zuvor aufgrund einer Täuschung gegenüber dem Kontoinhaber von diesem freiwillig übergeben bekommen hat. Der BGH hat ein unbefugtes Verwenden verneint und ist mit seiner Begründung in die Nähe der computerspezifischen Auslegung gerückt, weswegen das Urteil in der Lit. auf Kritik gestoßen ist. Wie Sie nachfolgend erkennen werden, wird die Frage, welche Prüfungskompetenz ein fiktiver Mitarbeiter hat und wie dementsprechend die Täuschungs- und Irrtumsäquivalenz zu bestimmen ist, unterschiedlich beantwortet.

Geschädigt wird in diesen und den vorangegangenen Fällen die Bank, da sie ohne entsprechende Autorisierung an den Nichtberechtigten ausgezahlt hat und die belastende Buchung rückgängig machen muss, § 675u BGB. Die ihr ggfs. zustehenden Ersatzansprüche gegenüber dem Kontoinhaber, z.B. bei grober Fahrlässigkeit, stellen keine Kompensation dar.BGH NStZ 2001, 316; 2008, 396. Da der Kontoinhaber die Belastung allerdings erst entdecken und die Rückbuchung veranlassen muss, kann man auch einen Gefährdungsschaden zu seinen Lasten begründen.Rengier Strafrecht BT I § 14 Rn. 30.  

In den vorgenannten Fällen macht es keinen Unterschied, ob der Täter am Bankautomaten eine Giro-Karte oder eine Kreditkarte verwendet. Auch mit einer Kreditkarte kann unter Eingabe des PIN Geld abgehoben werden. Darüber hinaus ermöglicht die Kreditkarte aber auch Online-Einkäufe von Waren, Eintrittskarten etc. Zunehmend wird bei diesen Einkäufen eine Authentifizierung des Karteninhabers verlangt, z.B. durch Eingabe einer per SMS übersandten TAN oder durch Freigabe einer PhotoTAN mittels einer App. Ist es dem Täter möglich, sich derartig zu identifizieren, dann gelten dieselben Grundsätze wie beim Abheben von Bargeld unter Verwendung einer PIN. Gelegentlich kann es aber auch noch vorkommen, dass beim Online-Einkauf nur die Daten abgefragt werden, die unmittelbar der Karte zu entnehmen sind. Dazu nachfolgendes Beispiel:

Problematisch ist, ob § 263a Abs. 1 Alt. 3 auch einschlägig ist, wenn dem Täter vom Kontoinhaber Karte und PIN anvertraut wurden mit der Bitte, Geld von dessen Konto abzuheben, dann jedoch die eingeräumte Befugnis überschreitet.

Dieses Verhalten widerspricht zwar grundsätzlich der zwischen der Bank und dem Kunden getroffenen vertraglichen Abrede, wonach ebendiese Übergabe untersagt ist. Überwiegend wird aber zwischen der abredegemäßen und der abredewidrigen Abhebung unterschieden.

Die abredegemäße Abhebung wird nicht als unbefugtes Verwenden verstanden, da keine Befugnis vorgespiegelt werde, der Verwender der Karte vielmehr mit Zustimmung des Kontoinhabers handele und als dessen Vertreter das Übereignungsangebot der Bank bezüglich des ausgezahlten Gelds annehmen könne. Das Verbot, die Codekarte Dritten zu überlassen, diene der Verhinderung ihrer missbräuchlichen Benutzung, hindere den Karteninhaber aber nicht, durch einen Dritten rechtswirksam Geld von seinem Konto abheben zu lassen. Das an den Kontoinhaber gerichtete Übereignungsangebot der Bank könne von einem Beauftragten des Kontoinhabers als bevollmächtigtem Vertreter in dessen Namen angenommen werden.BayOLG NJW 1987, 665; Rengier Strafrecht BT I § 14 Rn. 32.

Streitig ist, ob die abredewidrige Abhebung ein unbefugtes Verwenden darstellen kann. Dazu folgendes Beispiel:

Fraglich ist, ob § 263a Abs. 1 Alt. 3 auch vorliegt, wenn der Kontoinhaber selbst unter Verwendung seiner eigenen Karte Geld am Geldautomaten abhebt, obwohl seine Kreditlinie überschritten ist, die Bank aber die Überziehung duldet.

Nach h.M. sollen in den Fällen, in denen der Nichtberechtigte eine Karte im POS-Verfahren nebst PIN zur Zahlung einer Vertragsschuld einsetzt, dieselben Grundsätze gelten wie in den zuvor geschilderten Verfahren vor einem Bankautomaten.Joecks/Jäger § 263a Rn. 35.

Hat also der Täter die Karte durch verbotene Eigenmacht erlangt, liegt nach der betrugsspezifischen Auslegung ein unbefugtes Verwenden vor.

Allerdings wird nicht der Mitarbeitende an der Kasse getäuscht, da dessen Arbeitgeber aufgrund des Garantieversprechens der Bank gegenüber dem Händler als Vertragspartner keinen Schaden erleidet. Entsprechend kann es ihm auch gleichgültig sein, ob der Berechtigte oder ein Nichtberechtigter die Karte verwendet. Der Schaden entsteht erneut bei der Bank, so das auf einen fiktiven Bankmitarbeiter abzustellen ist, der im Fall der PIN-Eingabe die Berechtigung überprüfen würde. Über eben diese Berechtigung wird getäuscht.LK-Tiedemann-Valerius § 263a Rn. 52; BeckOK StGB-Schmidt § 263a Rn. 29, a.A. Rengier Strafrecht BT I § 14 Rn. 45.

Verwendet ein Nichtberechtigter eine Karte im POS-Verfahren kontaktlos ohne PIN, dann scheidet nach h.M. eine Strafbarkeit gem. § 263a ausOLG Hamm NStZ 2020, 673.. Bei diesem Verfahren wird auf eine Authentifizierung des Berechtigten verzichtet. Dementsprechend würde auch ein fiktiver Bankangestellter sich über die Berechtigung keine Gedanken machen. Der Händler denkt aufgrund des erneut abgegeben Garantieversprechens ebenfalls nicht über die Berechtigung nach, so dass eine unbefugte Verwendung nicht in Betracht kommt. Zu demselben Ergebnis gelangt auch die computerspezifische Auslegung. Lediglich die subjektive Auslegung könnte zu einem anderen Ergebnis gelangen. 

Im POZ-Verfahren fehlt es an dem Garantieversprechen, weswegen der Händler keinen Anspruch gegenüber der Bank erhält. Hier täuscht der Täter durch Unterschreiben der an der Kasse gefertigten Einzugsermächtigung bereits über seine Berechtigung, sofern es nicht der Kontoinhaber ist bzw. wenn es der Kontoinhaber ist über die Deckung seines Kontos und damit über seine Zahlungsfähigkeit respektive -willigkeit. Kann die Lastschrift nicht eingelöst werden, trägt der Händler das Risiko der Uneinbringbarkeit, weswegen die Mitarbeitenden an der Kasse auch eine entsprechend Vorstellung bzgl. der Berechtigung und der Kontendeckung haben.

Es liegt damit eine Strafbarkeit gem. § 263 Abs. 1 vor.Rengier Strafrecht BT I § 14 Rn. 47. Eine Strafbarkeit gem. § 263a Abs. 1 scheidet aus, da nicht das Verwenden der Daten, sondern zuvor die Erteilung einer (nicht gedeckten) Lastschriftermächtigung den Schaden verursacht.

Anders hat das OLG Rostock aber den Fall beim Bezahlen an einer SB-Kasse beurteilt:

Diese Variante des § 263a Abs. 1 soll nach Auffassung des Gesetzgebers einen Auffangtatbestand darstellen. Daraus folgt, dass ihr Anwendungsbereich begrenzt wird durch den Anwendungsbereich der übrigen drei Varianten. Als wichtigstes Beispiel kann in diesem Zusammenhang das Leerspielen von Geldautomaten mittels auf dem „Schwarzmarkt“ erworbener Programmierungsinformationen angeführt werden. Wie bereits ausgeführt, liegt nach h.A. kein unbefugtes Verwenden von Daten vor, so dass eine Strafbarkeit nach der 3. Alternative nicht in Betracht kommt. Überwiegend wird jedoch eine damit vergleichbare, unbefugte Einwirkung auf den Ablauf angenommen.BGHSt 40, 331; BayObLG NStZ 1990, 595.

Dieses Erfordernis ist vergleichbar mit dem Irrtum und der Vermögensverfügung bei § 263.

So wie die Beeinflussung des Ergebnisses eines Datenverarbeitungsvorganges auf den Tathandlungen beruhen muss, so muss unmittelbare Folge dieser Beeinflussung die Beschädigung des fremden Vermögens sein. Der Vermögensschaden ist bei § 263a genauso zu bestimmen wie beim Betrug.

In subjektiver Hinsicht wird § 263a genauso geprüft wie § 263. Der Täter muss also zunächst vorsätzlich hinsichtlich des objektiven Tatbestandes handeln, wobei dolus eventualis genügt. Darüber hinaus braucht er die Absicht einer rechtswidrigen und stoffgleichen Bereicherung. Diese ist identisch mit der Bereicherungsabsicht in § 263, so dass auf die dortigen Ausführungen verwiesen wird.

Es gibt keine deliktspezifischen Besonderheiten, so dass auf die allgemeinen Grundsätze verwiesen wird.

Innerhalb des Tatbestandes bildet die 4. Alternative einen Auffangtatbestand, der gegenüber den ersten drei Alternativen subsidiär ist. Verwirklicht der Täter mehrere Tathandlungen der 1.–3. Alternative, so liegt nur ein Computerbetrug vor. Im Verhältnis zum Betrug gem. § 263 ist § 263a subsidiär. Hinsichtlich des Diebstahls an der Codekarte, die später zur Abhebung des Geldes verwendet wird, bejaht der BGH Tatmehrheit, da sich beide Taten gegen verschiedene Rechtsgutsträger richten.BGH NJW 2001, 1508. Entwendet der Täter hingegen eine Geldkarte, ist der Nachteil bereits mit dem Diebstahl eingetreten, so dass der Computerbetrug mitbestrafte Nachtat ist.Vgl. insgesamt Joecks/Jäger § 264 Rn. 62 ff.