Eindringen in ein fremdes E-Mail-Konto
Nach einem heute publizierten Urteil des Bundesgerichts ist das unbefugte Eindringen in ein passwortgeschütztes fremdes E-Mail-Konto strafbar, und zwar unabhängig davon, wie der Täter in den Besitz des Passworts gekommen ist (BGE 6B_1207/2018 vom 17.05.2019, Publikation in der AS vorgesehen; s. auch die Medienmitteilung von heute).
Im zu beurteilenden Fall hatte eine Frau das Passwort zum Gmail-Konto ihres von ihr getrennt lebenden Ehemanns zufällig gefunden und mehrfach benützt. Mit dem Obergericht AG hält auch das Bundesgericht dafür, dass sie sich damit strafbar gemacht hat.
2.2.2. Zu entscheiden ist indes, ob die Beschwerdeführerin, indem sie das zufällig aufgefundene Passwort zum Einloggen in den Account des Beschwerdegegners missbraucht hat, im Sinne der Strafbestimmung von Art. 143bis Abs. 1 StGB in ein fremdes, gegen unberechtigten Zugriff besonders gesichertes Datenverarbeitungssystem eingedrungen ist. Soweit die Vorinstanz dies bejaht, verletzt sie kein Bundesrecht.
Die Tathandlung des Eindringens umschreibt die Überwindung von Zugangsschranken zur Datenverarbeitung wie Codes oder Verschlüsselungen mittels drahtverbundener Wege oder drahtloser Kanäle der Datenfernübermittlung, welche den Täter von den Daten fernhalten sollen (…). Die Verwendung eines Zugangscodes oder eines Passwortes gilt als ausreichender Schutz im Sinne der Strafbestimmung (…). Ohne Bedeutung ist grundsätzlich, auf welche Weise die elektronische Sicherung ausgeschaltet wird (…). Als Angriff genügt, gleichsam analog zum Tatbestand des Hausfriedensbruchs gemäss Art. 186 StGB (BGE 130 III 28 E. 4.2; Botschaft 1991, 1011), jede Handlung, die geeignet ist, die jeweilige Sicherung auszuschalten, ohne dass ein besonderer zeitlicher oder technischer Aufwand erforderlich wäre.
Im vorliegenden Fall ist die Beschwerdeführerin in ein fremdes E-Mailkonto eingedrungen, indem sie die ihr nicht zustehende E-Mailadresse angewählt und das zugehörige Passwort über die Tastatur in den Computer eingegeben hat, über das zu verfügen sie nicht berechtigt war. Damit hat sie die elektronische Sicherung des Accounts des Beschwerdegegners umgangen und die Zugangsschranken des Datenverarbeitungssystems überwunden. Dass die Beschwerdeführerin das Passwort nicht durch aktives, auf die Überwindung der Zugangsschranken des Datenverarbeitungssystems gerichtetes Handeln erlangt, sondern dieses im früheren gemeinsamen Büro bloss zufällig aufgefunden hat, ändert daran nichts. Auf die Art und Weise, wie der Täter sich das Passwort für einen unbefugten Zugang zu einer Datenverarbeitungsanlage verschafft hat, ist für die Würdigung der Tat als Hackerangriff ohne Bedeutung. So werden von der Strafbestimmung auch Fälle erfasst, in denen sich der Täter einen Zugangscode von einem Dritten beschafft (…). Es liegt hier insofern gleich, wie in den Fällen, in denen der Täter die Zugangshürden durch Täuschung oder List überwindet, namentlich etwa, indem er das für den Zugang zum Konto notwendige Passwort dadurch erlangt, dass er die ihm bekannte “Geheimfrage” im Account richtig beantwortet und ihm anschliessend ein neues Passwort angezeigt wird (Urteil 6B_456/2007 vom 18. März 2008 E. 2 und 4.3, in: Pra 2008 Nr. 96 S. 610 [zur Antragsberechtigung]; …). Es verhält sich hier nicht wie beim blossen Missbrauch eines Passwortes im Sinne einer Datenveruntreuung (…).
Der Schuldspruch der Vorinstanz verletzt daher kein Bundesrecht. Die Beschwerde erweist sich in diesem Punkt als unbegründet (E. 2.2.2).
Das erscheint mir klar, verständlich und richtig. Es schafft zudem Rechtssicherheit.
Nur noch ein pikantes und einigermaßen erstaunliches Detail: Die Beschwerdeführerin machte eventualiter entschuldbaren Verbotsirrtum (Art. 21 StGB) geltend: Da ihr Zweifel bezüglich der Rechtmässigkeit ihres Vorgehens gekommen seien, habe sie ihren Schwager konsultiert, der seit vielen Jahren in den Strafverfolgungsbehörden eines anderen Kantons tätig sei, mittlerweile als leitender Staatsanwalt. Dieser habe ihr attestiert, ihr Vorgehen sei nicht rechtswidrig. Das Bundesgericht sah es indessen anders. Der Beschwerdeführerin wurde zum “Verhängnis”, dass sie auch nach dieser Auskunftserteilung weiterhin zweifelte und weitere Abklärungen bei ihrem Anwalt sowie im Internet tätigte. Mit dem Herrn Staatsanwalt ging das Gericht milde um:”Es handelt sich bei seiner Stellungnahme lediglich um eine auf der Konsultation des Gesetzestextes beruhende, in guten Treuen geäußerte Rechtsansicht, nicht um eine verbindliche Auskunft einer zuständigen Behörde. Dies gilt umso mehr, als die zur Diskussion stehenden Rechtsfragen nicht vollends geklärt sind und in der Lehre kontrovers diskutiert werden.” Fazit: Auf die Rechtsauffassung eines leitenden Staatsanwaltes darf man sich nicht einfach so verlassen. Und: Es ist zu hoffen, dass der Würdenträger bei seinen angestammten täglichen Verrichtungen nicht nur “den Gesetzestext in guten Treuen konsultiert”, sondern auch mal etwas weiter recherchiert ….
Was ich mich bei dem Urteil frage ist, wann denn lediglich ein “gesichertes” System vorliege und nicht bereits ein “besonders gesichertes” System.
Das wird sich der konsultierte Leitende Staatsanwalt (s. den wichtigen Beitrag von Jürg Fehr) bestimmt auch fragen.
Hätte die Frau sich denn zuerst in den entsprechenden Kanton / Bezirk / Kreis ihres bekannten leitenden Staatsanwalts begeben müssen und sich dann von dort einloggen?
Ich dachte immer, das StGB sei einheitlich für die Schweiz anwendbar und dass Staatsanwälte (ausser dem kantonalen Verwaltungsstrafrecht) auch das StGB einheitlich anwenden sollten… es scheint für mich etwas weit hergeholt zu sein zu sagen, dass der Leitende Staatsanwalt nicht “eine zuständige Behörde” sein soll…
Der Gedankengang des Bundesgerichtes zum Thema Verbotsirrtum scheint mir in diesem Fall reichlich abstrakt bzw. weltfremd. Hätte der Herr leitende Staatsanwalt seine unrichtige Rechtsauffassung im Rahmen einer „verbindlichen Auskunft einer zuständigen Behörde“ abgegeben, dann wäre der Verbotsirrtum offenbar anzunehmen gewesen. Nun hat er seine unrichtige Rechtsauffassung aber – zum Leidwesen der Beschwerdeführerin – „nur“ familienintern, von Schwager zu Schwägerin, geäussert. Und damit ist alles gaaanz gaaanz anders. Jetzt ist es plötzlich nur noch eine „auf der Konsultation des Gesetzestextes beruhende, in guten Treuen geäusserte Rechtsansicht“; und damit darf sie offenbar unbeschadet und ohne jede Konsequenz auch kreuzfalsch sein. Verbotsirrtum: Nada. Ich frage mich einfach, in welchen Fällen denn, wenn nicht in diesem, Art. 21 StGB überhaupt noch zur Anwendung gelangt. Aber mich fragt ja niemand.
@Jürg Fehr: vielleicht hat das Bundesgericht hier den Verbotsirrtum mit der Lehre zu falschen amtlichen Rechtsauskünften verwechselt?
“Die Verwendung eines Zugangscodes oder eines Passwortes gilt als ausreichender Schutz im Sinne der Strafbestimmung. (E2.2.2)” Nein, wenn dass Passwort offengelegt ist, nicht.
Das Urteil ist m.E. daher bundesrechtswidrig, weil die Strafandrohung in StGB 143 bis1 gegen unbefugten Zugriff nur für “besonders gesicherte” Datenverarbeitungsanlagen gilt, sie müssen also qualifiziert gesichert sein, nicht nur gesichert. Das Eindringen in nicht gesicherte Datenverarbeitungsanlagen ist nicht erfasst. Aber hier lag das Passwort so herum, dass es zufällig im ehemals gemeinsamen Büro gefunden werden konnte, was dann nach der für das Gericht verbindlichen Sachverhaltsfeststellung der Vorinstanz auch geschah. Die Anlage, hier das Email-Konto des Ex der Beschwerdeführerin, war also überhaupt nicht gesichert, sondern im Gegenteil für die Beschwerdeführerin (und jeden anderen Bürobenutzer) zugänglich wie die spichwörtliche Scheune mit offenem Tor.
Zweitens, und m.E. wichtiger: Online-Accounts sind heute üblicherweise so eingerichtet, dass sie direkt einloggen. Weder Login noch Passwort müssen also in einem heute realistischen Szenario noch eingegeben werden. Bei Google und Gmail ist dies der Fall. Findet die Beschwerdeführerin etwa einen gemeinsamen Laptop oder Arbeitsplatz, kann sie mit ein Paar Klicks unbefugt eindringen. Der Unrechtsgehalt ist der gleiche, aber kann man hier wirklich noch von einem “besonders gesicherten” Account sprechen?
Meiner Ansicht nach ist der Entscheid richtig. Vom Wesen her bleibt das passwortgeschützte Email-Account auf vom Täter wahrnehmbare Weise “besonders gesichert”, selbst wenn im Einzelfall leicht eingedrungen werden kann, weil der Geschädigte einen mit dem Passwort beschrifteten Zettel, offenbar aus Vergesslichkeit, hat herumliegen lassen.
Sobald die Daten vom Wesen her “besonders gesichert” sind, darf kein Zugang sein. Ähnlich: Hausfriedensbruch bleibt Hausfriedensbruch, selbst wenn der Täter seinen Schlüssel aus Vergesslichkeit auf dem Aussenschloss der Türe hängen gelassen hat.
Anders wäre vielleicht zu entscheiden gewesen, wenn der Geschädigte das Passwort auf den Rahmen seines Computerbildschirms geheftet hätte!