Das Bundesgericht hat mit dem Urteil 6B_615/2014 vom 02.12.2014 die Nichtanhandnahmeverfügung einer Staatsanwaltschaft geschützt. Ein Beschuldigter wurde wegen Widerhandlung gegen das Fernmeldegesetz, Verletzung des Schriftgeheimnisses, unbefugten Eindringens in ein Datenverarbeitungssystem sowie Hausfriedensbruchs angezeigt und die Staatsanwaltschaft entschied, dass die fraglichen Straftatbestände eindeutig nicht erfüllt seien.
Nichtanhandnahmeverfügungen sind nur dann zulässig, wenn beispielsweise rein zivilrechtliche Streitigkeiten vorliegen oder der Sachverhalt tatsächlich und rechtlich liquide ist. Der Sachverhalt darf unter keinen Straftatbestand fallen; im Zweifelsfall ist eine Untersuchung zu eröffnen.
Im konkreten Fall verfügte die beschuldigte Person über Zugangsdaten des Anzeigestellers, genauer, über seine Emailadresse bei Gmail und ein Passwort, wobei die beschuldigte Person wusste, dass sich diese Kombination von Zugangsdaten für den Googledienst “Google Analytics” benutzen liess. Die Beschuldigte habe sich mit diesen Zugangsdaten nun nicht nur bei Google Analytics eingeloggt, sondern vielmehr auch bei Gmail. Dadurch habe die Beschuldigte Zugriff auf Emails erhalten, die sie dann gegen den Anzeigesteller in einem Strafprozess wegen Ehrverletzungsdelikten verwendete.
Diskutiert wurde vom Bundesgericht unter anderem, ob das Einloggen in eine Mailbox mit einem Passwort unter StGB 179 fällt, also, ob eine Verletzung des Schriftgeheimnisses vorliegt. Es verneint dies nach sehr kurzer Begründung, die ausschliesslich aus Hinweisen auf die seines Erachtens bestehenden herrschenden Lehrmeinungen bestand. Es führt zusätzlich aus, dass nach gewissen Lehrmeinungen mit einem blossen Passwort kein “Verschluss” im Sinne von StGB 179 vorliege und beim Versand eines Emails im Klartext keine verschlossene Sendung vorliegen könne.
Bei beidem habe ich erhebliche Zweifel: Ein Passwort kann ohne Weiteres als Verschluss betrachtet werden. Nimmt man Bezug auf das OSI-Modell, kann man im Couvert eines Briefs zwanglos eine Protokollschicht annehmen, die den Inhalt quasi durch den Pöstler (=Router oder Switch) vom Absender zum Empfänger transportiert. Ein Email ist für Normalsterbliche nicht einsehbar, solange es im Internet unterwegs ist. Es verhält sich hier nicht anders, als bei analogen Postsendungen.
Vor Bundesgericht brachte der Beschwerdeführer (der seinerzeitige Anzeigesteller) leider nichts in Bezug auf die Strafbarkeit nach StGB 143bis mehr vor (vgl. Erwägung 6), womit es für das Bundesgericht sein Bewenden hatte. In einer Abgrenzung von FMG 50 zu StGB 143bis führt es aber aus:
4.3. Der vom Beschwerdeführer beanstandete Zugriff auf das E‑Mail-Konto wird im schweizerischen Recht als Eindringen in ein Datenverarbeitungssystem im Sinne von Art. 143bis StGB geahndet (von Ins/Wyder, in: Basler Kommentar, Strafrecht II, 2. Aufl. 2013, N. 27 zu Art. 179 StGB; Christian Schwarzenegger, Die internationale Harmonisierung des Computer- und Internetstrafrechts durch die Convention on Cybercrime vom 23. November 2001, am Beispiel des Hackings, der unrechtmässigen Datenbeschaffung und der Verletzung des Fernmeldegeheimnisses, in: Strafrecht, Strafprozessrecht und Menschenrechte, Festschrift für Stefan Trechsel zum 65. Geburtstag, 2002, S. 322; Gilles Monnier, Du courrier au courriel, in: 300 ans d’enseignement du droit à Lausanne, 2010, S. 196 ff.; siehe auch Urteil 6B_456/2007 vom 18. März 2008 E. 4).
Den Tatbestand von Art. 143bis Abs. 1 StGB erfüllt, wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt. Die Tat ist ein Antragsdelikt. Strafantrag stellen kann, wer berechtigt ist, über den Zugang zur Anlage und damit zu den dort gespeicherten Daten zu bestimmen. Dies ist beim unbefugten Zugriff auf ein mit einem Passwort geschütztes E‑Mail-Konto in einem Datenverarbeitungssystem auch dessen Inhaber (Urteil 6B_456/2007 vom 18. März 2008 E. 4). Der Gesetzgeber machte die Strafbarkeit nach Art. 143bis Abs. 1 StGB bewusst davon abhängig, ob eine Zugangssicherung überwunden werden muss (vgl. Botschaft vom 18. Juni 2010 über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, BBl 2010 4703 sowie den Vorbehalt der Schweiz zu Art. 2 des Übereinkommens vom 23. November 2001 über die Cyberkriminalität, SR 0.311.43).
Das Bundesgericht erachtet also das Benutzen von Emailadresse und Passwort auf dem Gmail-Konto als tatbestandsmässig nach StGB 143bis. Die Nichtanhandnahmeverfügung hob es aber mangels einschlägiger Vorbringen des Beschwerdeführers nicht auf.
Ich bin mir nicht sicher, ob eine Verurteilung nach StGB 143bis am Ende wirklich richtig gewesen wäre. Schliesslich stellt StGB 143bis das unbefugte Eindringen in ein fremdes System unter Strafe, das vor diesem unbefugten Zugriff besonders gesichert ist.
Wenn sich die beschuldigte Person auf dem Gmail-Account einloggt und neben den Google Analytics-Diensten auch auf die Mailbox zugreifen kann, dann befindet sich die beschuldigte Person bereits im System, hat aber auf dieses System nicht unbefugt zugegriffen. Für die Google Analytics-Dienste und die Mailbox hat es offenbar keine unterschiedliche Zugriffssicherungen gegeben. Einmal eingeloggt, konnte die beschuldigte Person ohne Weiteres auch auf die Mailbox zugreifen. Im Endeffekt hat die beschuldigte Person klar ihre Kompetenzen und die zwischen den Parteien geltende Abmachung überschritten; sie durfte ja eigentlich nur die Google Analytics-Dienste benutzen. Eine strafrechtliche Erfassung dieses Verhaltens unter dem Titel von StGB 143bis erscheint mir aber nicht gesetzeskonform.
Rechtsanwalt Roman Kost ist Spezialist für Informationssicherheit und Datenschutz. Als Anwalt vertritt er Sie unter anderem im Bereich des Hackerstrafrechts, sämtlichen Belangen der IT und der Informationssicherheit sowie des Datenschutzes.
Tel: 041 440 33 43 Signal: 041 440 33 43 Email:
Web: https://ra-kost.ch LinkedIn Xing