Bundesgerichtshof, Beschluss vom 13.05.2020, Az. 5 StR 614/19

Das [X.] hat den Angeklagten [X.]  wegen Wohnungseinbruchdiebstahls, Ausspähens von Daten in zwei Fällen und Besitzes kinderpornographischer Schriften zu einer Gesamtfreiheitsstrafe von einem Jahr und elf Monaten verurteilt, deren Vollstreckung zur Bewährung ausgesetzt und fünf Monate der Strafe als vollstreckt erklärt; zudem hat es gegen ihn die Einziehung des Wertes von [X.]n in Höhe von 70.900 Euro angeordnet. Den Angeklagten [X.]    hat es wegen Ausspähens von Daten in zwei Fällen zu einer Gesamtgeldstrafe von 300 Tagessätzen zu jeweils 220 Euro verurteilt, von der 60 Tagessätze als vollstreckt gelten. Die jeweils mit Verfahrens- und der Sachrüge geführten Revisionen der Angeklagten führen beim Angeklagten [X.]  zu einer Reduzierung des Einziehungsbetrages und bei dem Angeklagten [X.]    zu einer Aufhebung des Schuldspruchs; im Übrigen sind sie im Sinne von § 349 Abs. 2 StPO unbegründet (vgl. Antragsschrift des Generalbundesanwalts).

Das Urteil hält insbesondere rechtlicher Überprüfung stand, soweit das [X.] den Angeklagten [X.]  wegen Ausspähens von Daten (§ 202a Abs. 1 StGB) in zwei Fällen verurteilt hat.

1. Das [X.] hat insoweit Folgendes festgestellt:

Der Angeklagte [X.]    lernte den Angeklagten [X.]   kennen, als er im März 2006 dessen sexuelle Dienstleistungen als „Callboy“ in Anspruch nahm. In der Folge kam es 2007 und 2008 zu mehreren solcher Treffen. Im Juli 2007 war [X.]     Leiter der Stabsstelle des Apothekerlobbyverbandes A.    geworden und betrieb daneben das [X.] „a.    -a.     “. Auf diesem Portal wurden regelmäßig Hintergrundinformationen aus dem [X.] veröffentlicht, die in der Pharma- und Apothekerbranche auf große Aufmerksamkeit stießen. Im [X.] gab es 2006 bis 2012 - wie auch schon zuvor - „undichte Stellen“, die unbefugt verwaltungsinterne Informationen weitergaben. Der Angeklagte [X.]  wurde von seinem Arbeitgeber ab Juli 2008 als Systemadministrator am [X.] Standort des [X.]s eingesetzt.

Beide Angeklagte kamen spätestens im Januar 2009 überein, dass [X.]  [X.]     mit internen Informationen aus dem [X.] versorgen werde, die dieser für seine berufliche Tätigkeit nutzen wollte. Dem Angeklagten [X.]  war es als Administrator möglich, nach Anmeldung mit seinem Passwort im zentralen Verzeichnis des Systems Zugriff auf alle darin elektronisch geführten Postfächer und auf den Inhalt gespeicherter E-Mails zu nehmen. Hierbei nutzte er für seine Administratorentätigkeit regelmäßig auch das für Schulungszwecke eingerichtete und in die Gruppe „E.    [X.]  S.     “ eingetragene Benutzerprofil „p.    “, dessen Kennwort unter den Administratoren des [X.]s allgemein bekannt war.

Am 20. Juli 2009 änderte das [X.] die Zugriffsrechte, nachdem die unbeschränkte Zugriffsmöglichkeit der Administratoren auf alle Postfächer als Sicherheitsmangel erkannt worden war. Die Administratoren waren nicht mehr in der Gruppe „E.    [X.]    S.    “ im zentralen Verzeichnis des Systems eingetragen und konnten deshalb ohne weiteres nur noch auf die öffentlichen Postfächer der Abteilungen oder Referate zugreifen. Zunächst konnten sich die Administratoren - was ihnen allerdings verboten war - noch selbst in die Gruppe „E.    [X.]   S.     “ eintragen und dadurch ungehindert Zugriff auf die persönlichen Postfächer nehmen; auch diese Möglichkeit wurde Anfang Oktober 2009 aber beseitigt. Seitdem war für Administratoren der ungehinderte Zugriff eigentlich nur auf öffentliche Postfächer vorgesehen.

Allerdings ergab sich für die Administratoren zur Erfüllung einzelner Aufträge (etwa Wiederherstellung versehentlich gelöschter E-Mail-Nachrichten, Einrichtung neuer Postfächer für neue Mitarbeiter) verschiedentlich die Notwendigkeit, auf den Inhalt einzelner persönlicher Postfächer zugreifen zu müssen. Hierfür war ein kompliziertes Prozedere vorgesehen, wonach die Administratoren unter dem Blick des jeweiligen [X.]sbediensteten nach dessen Anmeldung mit seinem Kennwort im System entweder mit ihm vor Ort oder durch „Fernaufschalten“ auf dessen Arbeitsplatz agieren sollten. Wenn das Aufschalten nicht gelang oder - was häufiger geschah - Mitarbeiter darum baten, die Behebung einzelner Probleme in der Mittagspause oder in Zeiten sonstiger Abwesenheit vorzunehmen, kam das Einloggen des Administrators mittels eines zentral hinterlegten [X.] in Frage, was indes sehr aufwändig war. Deshalb äußerten mehrere Administratoren bald nach dem 20. Juli 2009 den Wunsch nach einer einfacheren Lösung.

Der leitende Systemadministrator des [X.]s, der Zeuge [X.], wies die Administratoren darauf hin, dass sie sich unter Umgehung der kurz zuvor eingeführten Einschränkungen mit wenig Aufwand selbst Zugriff auf einzelne persönliche Postfächer von [X.]smitarbeitern verschaffen könnten. Hierfür mussten sich die Administratoren unter Aufruf des dienstlichen Profils der einzelnen Nutzer und Anklicken von „Allgemein“, „Eigenschaften“, „Exchange - Erweitert“ und dann „Postfachberechtigung“ selbst in die Liste der Zugriffsberechtigten eintragen, Optionen wie „Leseberechtigung“ oder „Vollständiger Postfachzugriff“ anklicken und diese Einstellungen über ein „[X.]“ bestätigen. Anschließend konnten sie das Postfach des jeweiligen Mitarbeiters im [X.] aufrufen und hatten so die Möglichkeit zum Ausführen der notwendigen Operationen. Diese mit wenigen Mausklicks und in wenigen Minuten zu bewerkstelligenden Handlungen eröffneten anschließend die Möglichkeit, den Inhalt einzelner Ordner wie „Posteingang“ und „Gesendete Nachrichten“ zu kopieren.

Spätestens von Ende 2009 bis zum 6. November 2012 griff der Angeklagte [X.]  in 33 Fällen auf öffentliche und jeweils auch private Postfächer zu, die ihm zuvor der Angeklagte [X.]    bezeichnet hatte. Anschließend kopierte er [X.], speicherte sie auf einer [X.] und übergab diese für 600 bzw. später 400 Euro an [X.]    oder dessen Mitarbeiterin. Der Angeklagte [X.]  ging dabei wie oben beschrieben vor, wobei er das Benutzerprofil „p.   “ nutzte. Nach Kopieren der E-Mails löschte er „p.   “ wieder aus der Liste der Zugriffsberechtigten. Dem Angeklagten [X.]     war die Art und Weise des Zugriffs auf die von ihm begehrten Daten zwar nicht bekannt; er hielt es aber für möglich, dass der Angeklagte [X.]  würde „tricksen“ müssen, um an die Daten zu kommen. [X.]      war insbesondere an E-Mails der jeweiligen Minister, Staatssekretäre und von bestimmten Abteilungs- und Referatsleitern (Abteilung Gesundheitsversorgung, Krankenversicherung, Pflegeversicherung, Referate Arzneimittelversorgung sowie Grundsatzfragen, [X.], Pharmaberufe) und der Leiterin des Leitungsstabes des [X.]s interessiert und übermittelte [X.]  die entsprechenden Namen.

Nach [X.] gemäß § 154 Abs. 2 StPO sind insoweit noch die [X.] und 40 verfahrensgegenständlich. Im Fall 28 kopierte der An-geklagte [X.]  wenige Tage vor dem 10. Februar 2012 bzw. an diesem Tag selbst zahlreiche E-Mails auf Bitten des Angeklagten [X.]    aus den privaten Postfächern des Ministers [X.]  (55 Nachrichten), des [X.] [X.](634 Nachrichten), der Staatssekretärin [X.](195 Nachrichten), der Leiterin des [X.](699 Nachrichten), des Juristen [X.](302 Nachrichten), des [X.] [X.](184 Nachrichten) und der Referatsleiterin [X.]      (167 Nachrichten). Anschließend brannte er die Daten auf eine [X.] und übergab sie am Abend gegen Zahlung von 600 Euro an [X.]    . In den E-Mails ging es insbesondere um die Novellierung der Apothekenbetriebsordnung, den Entwurf eines auch Fragen der Apothekervergütung betreffenden Arzneimittelneuordnungsgesetzes und Ergebnisse vertraulicher Verhandlungen um die Höhe von Erstattungsbeiträgen für Arzneimittel mit neuen Wirkstoffen. Im Fall 40 kopierte der Angeklagte [X.]  wenige Tage vor dem 6. November 2012 bzw. an diesem Tag selbst wiederum zahlreiche E-Mails der oben genannten Personen (insgesamt 2.378) aus dem Zeitraum Anfang Oktober bis 5. November 2012. Dabei ging es u.a. um aktuelle Honorarverhandlungen mit der [X.] und den gesetzlichen Krankenversicherungen („Bitte streng vertraulich behandeln“) und um eine Ministervorlage zur Einführung einer Pauschalvergütung für die Nacht- und Notdienste der Apotheken. Die [X.] mit den Daten übergab [X.]  am Morgen des 6. November 2012 an [X.]     gegen Bezahlung von 400 Euro.

[X.]    wertete die ihm übergebenen Daten als Hintergrundinformationen für sein Online-Portal „a.    -a.   “ aus. Hierdurch wollte er möglichst hohe Besucherzahlen erreichen, um Kunden zur Buchung zahlungspflichtiger Anzeigen zu bewegen; damit erzielte das Portal seine Einnahmen. Der Angeklagte [X.]   war in seinem Arbeitsvertrag mit seinem Arbeitgeber [X.]     auf das Datengeheimnis verpflichtet worden, die Weitergabe von [X.] war ihm untersagt. Eine Verpflichtung nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen erfolgte gegenüber dem [X.] nicht.

2. Das [X.] hat die beiden Taten hinsichtlich der in privaten Postfächern gespeicherten E-Mails als gemeinschaftliches Ausspähen von Daten nach § 202a StGB gewertet. In der manuellen Manipulation der Zugriffsrechte auf die einzelnen E-Mail-Konten hat es eine Überwindung der Zugangssicherung nach § 202a Abs. 1 StGB gesehen. Bei der [X.] hat es auch die Einnahmen des Angeklagten [X.]  aus den nach § 154 Abs. 2 StPO eingestellten Fällen eingerechnet.

1. Die Revision des Angeklagten [X.]  erzielt lediglich hinsichtlich der [X.] einen Teilerfolg, ist aber im Übrigen unbegründet.

a) [X.] bestehen nicht. Durch die Anklage der verfahrensgegenständlichen Taten nach § 202a StGB hat die Staatsanwaltschaft zumindest konkludent das besondere öffentliche Interesse an der Strafverfolgung im Sinne von § 205 Abs. 1 StGB bejaht (vgl. [X.], Beschluss vom 20. April 2017 - 2 StR 79/17, [X.], 251, 252 mwN), so dass es auf die Frage der Wirksamkeit des [X.] vom 14. September 2012 nicht ankommt.

b) Die auf [X.] Beweiswürdigung beruhenden Feststellungen tragen die Verurteilung des Angeklagten [X.]  wegen Ausspähens von Daten in zwei Fällen.

Nach § 202a Abs. 1 StGB in der ab 11. August 2007 geltenden Fassung ([X.] I 1786) macht sich strafbar, wer sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft.

aa) Indem der Angeklagte [X.]  Zugriff auf die Inhalte der elektronisch gespeicherten E-Mails aus den persönlichen Postfächern der [X.]smitarbeiter genommen und diese kopiert hat, hat er sich nicht nur den Zugang zu Daten (vgl. § 202a Abs. 2 StGB) verschafft, die nicht für ihn bestimmt waren, sondern sogar die Daten selbst. Dass die Daten nicht für den Angeklagten bestimmt waren, folgt aus seinen begrenzten Zugriffsrechten als Administrator. Diese umfassten gerade nicht das aufgabenunabhängige Lesen und Kopieren von E-Mails aus den persönlichen E-Mail-Postfächern der [X.], sondern sein Zugriffsrecht war auf rein technische Aufgaben zur Verwaltung des Netzwerks beschränkt (vgl. auch [X.]/[X.], 3. Aufl., § 202a Rn. 24 f.).

bb) Diese Daten waren gegen unberechtigten Zugang besonders gesichert.

(1) Dies ist der Fall, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Durch die Sicherung muss der Berechtigte sein spezielles Interesse an der Geheimhaltung dokumentieren (vgl. BT-Drucks. 16/3656 [X.]; [X.], Beschlüsse vom27. Juli 2017 - 1 [X.], [X.], 401, 403; vom 21. Juli 2015 - 1 StR 16/15, [X.], 339, 340; vom 6. Juli 2010 - 4 [X.], [X.], 154, jeweils mwN).

(2) Im vorliegenden Fall war der Zugang zu dem jeweiligen EDV-Arbeitsplatz des einzelnen [X.]s und damit auch zu seinen nicht öffentlich zugänglichen persönlichen Dienst-E-Mails - wie allgemein üblich - durch Passwörter gesichert (vgl. UA [X.], 49). Dies reicht als Zugangssicherung aus (vgl. [X.]/[X.]/[X.], StGB, 30. Aufl., § 202a Rn. 14; [X.], StGB, 67. Aufl., § 202a Rn. 9a; [X.], aaO Rn. 46).

Für das Vorliegen einer Zugangssicherung ist auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können (vgl. [X.] in [X.]/[X.]/Wittig, Wirtschaftsstrafrecht, 2. Aufl., § 202a StGB Rn. 26). Es ist auch nicht erforderlich, dass die Sicherung gerade gegenüber dem Täter wirkt (vgl. [X.], aaO Rn. 27). Dass dem Angeklagten als Administrator der tatsächliche Zugriff auf die Daten möglich war, ist deshalb unerheblich (vgl. [X.], aaO Rn. 47; [X.]/[X.], 5. Aufl., § 202a Rn. 11).

cc) Der Angeklagte [X.]   hat sich den Zugang zu den Daten auch unter Überwindung dieser Zugangssicherung verschafft.

(1) Durch dieses Erfordernis sollen nach der Vorstellung des Gesetzgebers Handlungen aus dem Tatbestand ausgegrenzt werden, bei denen besonders gesicherte Daten auf andere Weise erlangt werden. Zum einen sollen damit Bagatellfälle aus dem Anwendungsbereich der Strafnorm ausgeschieden werden, zum anderen soll das Merkmal der Zugangssicherung dem Täter eine deutliche Schranke setzen, deren Überwindung die strafwürdige kriminelle Energie manifestiert. Es sollen Fälle erfasst sein, bei denen der Täter zu einer Zugangsart gezwungen ist, die der Verfügungsberechtigte erkennbar verhindern wollte; dies betrifft allerdings nicht die bloße Verletzung oder Umgehung von organisatorischen Maßnahmen oder Registrierungspflichten (BT-Drucks. 16/3656, [X.]).

Soweit es in den Gesetzesmaterialien heißt, die Überwindung der Zugangssicherung müsse einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordern, weshalb vom Tatbestand solche Fälle nicht erfasst würden, in denen die Durchbrechung des Schutzes ohne weiteres möglich sei (aaO), versteht der [X.] dies dahingehend, dass die Überwindung der Zugangssicherung typischerweise - also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten [X.] - einen nicht unerheblichen Aufwand erfordern muss. Unter Überwinden ist diejenige Handlung zu verstehen, die geeignet ist, die jeweilige Sicherung auszuschalten oder zu umgehen (vgl. [X.], aaO Rn. 11a). Auch wenn eine Zugangssicherung aufgrund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden wird, ist der Tatbestand erfüllt. Für das geschützte Rechtsgut - das formelle Geheimhaltungsinteresse des Verfügungsberechtigten ([X.], Beschluss vom27. Juli 2017 - 1 [X.], aaO; vgl. zum Schutzzweck auch [X.], [X.], 337, 338 mwN) - ist es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden wird. Der Gesetzgeber wollte nach Auffassung des [X.]s aus dem Tatbestand neben Bagatelltaten lediglich solche Fälle ausschließen, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung aufgrund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird. Nur eine solche abstrakt-generelle Betrachtungsweise lässt sich mit dem Schutzzweck der Norm vereinbaren.

(2) Nach diesen Maßstäben hat der Angeklagte [X.]  die Zugangssicherung überwunden. Den Passwortschutz der persönlichen E-Mail-Accounts hat er dadurch umgangen, dass er sich als Administrator in verbotener Weise und unter Manipulation des Ordners „Zugriffsberechtigung“ den Zugriff auf die E-Mail-Daten der [X.] verschafft hat. Diese Zugangsart wollte der Verfügungsberechtigte erkennbar durch die klare Beschränkung der Administratorenrechte und die Vorgabe eines bestimmten Prozederes beim Zugriff auf einen E-Mail-Account verhindern. Dass dem Angeklagten die Überwindung des Passwortschutzes mit wenigen „Maus-Clicks“ möglich war, hindert seine Strafbarkeit nach § 202a Abs. 1 StGB nicht.

dd) Dies geschah auch unbefugt (vgl. zu dieser Voraussetzung BT-Drucks. 16/3656 [X.]), denn dem Angeklagten [X.]   war ein derartiger Zugriff auf E-Mail-Inhalte ausdrücklich verboten.

c) Allerdings kann die [X.] nur in Höhe von 53.300 Euro bestehen bleiben. Zu Recht weist der Angeklagte [X.]  mit seiner Revision darauf hin, dass es vorliegend nicht möglich ist, hinsichtlich der nach § 154 Abs. 2 StPO eingestellten Taten den Wert der [X.] einzuziehen (vgl. [X.], Beschluss vom 18. Dezember 2018 - 1 [X.], NStZ-RR 2019, 153 mwN). Der [X.] hat den dafür angesetzten Betrag entsprechend § 354 Abs. 1 StPO von der im Übrigen zutreffend berechneten Summe (52.300 Euro durch den Wohnungseinbruchdiebstahl und 1.000 Euro für die Taten 28 und 40 erlangt) in Abzug gebracht.

d) Der nur geringfügige Erfolg seines Rechtsmittels lässt es nicht unbillig erscheinen, den Angeklagten [X.]  mit dessen gesamten Kosten zu belasten (vgl. § 473 Abs. 4 Satz 1 StPO).

1. Die Auffassung des [X.]s, der Angeklagte [X.]    sei Mittäter dieser Taten gewesen, hält revisionsgerichtlicher Überprüfung nicht stand (vgl. zum Prüfungsmaßstab [X.], Beschlüsse vom 6. August 2019 - 3 StR 189/19, [X.], 22, und vom 19. November 2019 - 4 StR 449/19, jeweils mwN).

Auf die konkrete Tatbegehung, das Ausspähen von Daten, hatte der Angeklagte [X.]    keinen Einfluss und konnte auch keinen nehmen. Ihm war auch nicht bekannt, wie [X.]  eine mögliche Zugangssicherung überwinden würde; er nahm allein an, dass dieser dabei möglicherweise würde „tricksen“ müssen. Zwar hatte er ein erhebliches Interesse am [X.] und durch das Versprechen einer Bezahlung sowie die Nennung der konkret auszuspähenden Postfächer auch Einfluss auf das Tätigwerden von [X.]  . Damit unterscheidet er sich aber nicht von anderen Fällen am [X.] interessierter Anstifter, denen es an der Einflussnahme auf die konkrete Tathandlung fehlt (vgl. zur Abgrenzung von Mittäterschaft und Anstiftung bei vergleichbaren Fällen der Einfuhr von Betäubungsmitteln etwa [X.], Beschluss vom 15. Mai 2019 - 4 StR 591/18 mwN).

2. Die Feststellungen sind von diesem [X.] nicht betroffen und können deshalb bestehen bleiben (vgl. § 353 Abs. 2 StPO). Insoweit bleibt die Revision des Angeklagten [X.]    erfolglos.

3. Der [X.] hat erwogen, ob er auf der Grundlage der [X.] Feststellungen entsprechend § 354 Abs. 1 StPO selbst den Schuldspruch auf Anstiftung zum Ausspähen von Daten in zwei Fällen ändert. Dem stünde nicht entgegen, dass der Angeklagte [X.]  möglicherweise allgemein zur Begehung entsprechender Taten bereit war und diese Bereitschaft auch aufgezeigt oder sogar selbst die Initiative zu den Taten ergriffen hat (vgl. [X.], Urteil vom 25. Oktober 2017 - 1 [X.], NStZ-RR 2018, 80, 81 mwN); ausreichend dafür wäre, dass [X.]    - wie festgestellt - in ihm jeweils durch Benennung der auszuspähenden Postfächer den konkreten Entschluss zur Tatbegehung geweckt hat. An einer solchen Schuldspruchänderung sieht sich der [X.] allerdings durch § 265 Abs. 1 StPO gehindert, denn es erscheint nicht gänzlich ausgeschlossen, dass sich der Angeklagte [X.]    gegen diesen Vorwurf anders - und zwar erfolgreicher - als bislang geschehen verteidigt hätte.