“Man könnte darüber nachdenken, ob man einen Straftatbestand des virtuellen Diebstahls einführt, um diese Ungleichheit zu beseitigen.”

Der Jurist Maximilian Meier (26) forscht an der Julius-Maximilians-Universität Würzburg u.a. zum IT-Strafrecht und beschäftigt sich hauptsächlich mit Kryptowährungen. Wir haben mit ihm darüber geredet, was das Strafrecht zum Diebstahl von Bitcoins sagt.

Hallo Maximilian. Womit genau beschäftigst du dich?

Hallo Christoph! Schwerpunktmäßig untersuche ich, inwieweit der Entzug von Kryptowährungen durch das geltende Strafrecht abgedeckt wird.

Entzug bedeutet so etwas wie Diebstahl?

Umgangssprachlich, ja. Es geht um verschiedene Varianten des Entwendens, also etwa im Wege eines Diebstahls, einer Erpressung oder eines Betrugs.

Sind Bitcoins denn durch das Strafrecht geschützt?

Das ist das, was ich mir, im Lichte der jeweiligen Straftatbestände, anschaue. § 242 StGB (Strafgesetzbuch) beispielsweise, also der klassische Diebstahl, setzt eine „fremde bewegliche Sache“ voraus. Problematisch ist in diesem Zusammenhang allerdings, dass man unter Sachen nur körperliche Gegenstände versteht. Nach herkömmlichem Begriffsverständnis sind Kryptowährungen daher mangels Körperlichkeit nicht von § 242 StGB erfasst.

Bei anderen Delikten wie Erpressung oder Betrug ist es dagegen weniger problematisch. Das Gesetz setzt hier keine „fremde bewegliche Sache“ voraus, entscheidend ist, dass es zu einem Vermögensschaden kommt. Der Vermögensbegriff erfasst hierbei im Ausgangspunkt sämtliche geldwerten Positionen. Mitunter wird er dadurch eingeschränkt, dass man verlangt, dass die entsprechende Position von der Rechtsordnung geschützt ist oder jedenfalls nicht missbilligt wird.

Soweit ersichtlich, erfährt Bitcoin derzeit keine solche Missbilligung. Das könnte sich allerdings, etwa im Falle eines Totalverbots, ändern.

Aber es gibt ja auch so etwas wie einen Datendiebstahl?

Den gibt es eben nicht. Jedenfalls nicht als eigenen Straftatbestand.

Wie wird das gewöhnlich geregelt, wenn jemand Daten stiehlt?

Im Rahmen des § 242 StGB lässt sich diskutieren, ob man den Sachbegriff erweiternd auslegt, also über körperliche Gegenstände hinaus auch unkörperliche erfasst sein sollten, sodass auch der nur virtuell existente Bitcoin unter § 242 StGB fiele. Äußerste Grenze dieser Auslegung ist jedoch mit Blick auf das strafrechtliche Analogieverbot aus Art. 103 Abs. 2 GG (Grundgesetz) der Wortsinn. Von diesem auch unkörperliche Gegenstände als erfasst anzusehen, ist allerdings schwierig.

In der Schweiz ist die Rechtslage ähnlich, da wird für einen Diebstahl ebenfalls eine fremde bewegliche Sache vorausgesetzt. Dass es auch anders geht, zeigen die Niederlande. Hier verlangt der Tatbestand nur ein „Gut“, worunter man auch virtuelle Güter und damit Kryptowährungen verstehen kann.

Um die Frage nochmal zu stellen: Datendiebstahl ist ja nichts neues. Das wird ja sicherlich im deutschen Strafrecht trotz §242 geahndet, oder?

Ja, aber nicht unter dem Begriff des Diebstahls. Man greift hier auf Behelfskonstruktionen wie etwa die Datendelikte zurück, die u.a. eingeführt wurden, um Hackerangriffe verfolgen zu können. Auch im Bereich der Hehlerei hat der Gesetzgeber dem herkömmlichen Tatbestand mittlerweile einen eigenen Tatbestand der Datenhehlerei an die Seite gestellt.

Greifen diese Konstrukte bei Bitcoin und Kryptowährungen?

Je nach Begehungsweise kann es auch bei Bitcoin zur Tatbestandsverwirklichung kommen. Man muss hier natürlich unterscheiden, weil die Straftatbestände an verschiedene Handlungen gebunden sind. Klassische Begehungsweisen sind z.B. das Erlangen der privaten Schlüssel im Wege des Phishing oder des Hacking. Auch Erpressungen durch das Androhen von DoS-Angriffen kommen in Betracht.

Im Bereich des Hacking gelangt man regelmäßig zu einer Strafbarkeit nach den Datendelikten. Diese schützen vor allem die Verfügungsbefugnis und das Geheimhaltungsinteresse an den Daten, während beim Diebstahl das Eigentum oder der Gewahrsam an einer Sache geschützt wird. Hier sind also unterschiedliche Schutzgüter betroffen.

Dementsprechend divergieren auch die Strafrahmen. Der klassische Diebstahl wird mit Geldstrafe oder Freiheitsstrafe bis zu 5 Jahren bestraft, in besonders schweren Fällen bis zu zehn Jahren. Bei den Datendelikten hat man es vergleichsweise mit Bagatell-Delikten zu tun, die mit einer Geld- oder Freiheitsstrafe bis zu drei Jahren bestraft werden.

Das heißt, wenn jemand Bitcoins hackt, wird das milder bestraft, als wenn jemand Bargeld oder Güter im selben Wert stiehlt?

Ja, genau. Bitcoins haben mittlerweile einen erheblichen wirtschaftlichen Wert, und daher kann man sich durchaus die Frage stellen, wie der Unrechtsgehalt beim normalen Diebstahl, der durch die Strafandrohung von bis zu 5 Jahren abgebildet wird, höher sein kann, als bei einem Datendelikt, wo man im Grundsatz nur mit bis zu drei Jahren zu rechnen hat. Daher kann man die Frage aufwerfen, ob hier nicht eine gesetzliche Neuregelung erforderlich ist.

Meinst du, dass die verfügbaren strafrechtlichen Konstrukte bei allen Arten von Bitcoin-Diebstahl greifen? Wenn mir jetzt jemand z.B. den USB-Stick stiehlt?

In dem Fall kann man auch zu einem normalen Diebstahl kommen. Daten sind nämlich insoweit als Sache anzusehen, als sie auf einem Datenträger gespeichert, also verkörpert sind.

Und wenn jemand die Daten von meinem Computer kopiert?

Beim Datendelikt des § 202a StGB etwa ist die Frage, ob man sich unter Überwindung von besonderen Zugangssicherungen den Zugang verschafft. Das bedeutet, es kommt auf den konkreten Fall an, sprich: Musste sich der Täter vor dem Kopieren der Daten z.B. einhacken?

Was wäre, wenn ich mein Smartphone ohne Passwortschutz herumliegen habe, und jemand macht eine Überweisung?

Das Überweisen ist wieder eine andere Handlung. Bleiben wir zunächst beim Kopieren. Sagen wir, jemand kopiert die privaten Schlüssel von deinem PC ohne Überwindung einer Zugangssicherung. Das ist an sich erstmal keine strafbare Handlung. Wird dann aber im Anschluss eine Transaktion durchgeführt, sieht das ganze schon ein wenig anders aus. Dann kommt z.B. ein Urkundsdelikt in Betracht, und zwar könnte sich das dann als eine Täuschung im Rechtsverkehr bei der Datenverarbeitung darstellen, was zur Folge hätte, dass man sich nach §§ 269, 270 StGB strafbar machen könnte. Hier sind wir im Bereich einer Freiheitsstrafe von bis zu 5 Jahren, also wie beim Diebstahl.

Hintergrund des § 269 StGB ist, dass bei der klassischen Urkundenfälschung nach § 267 StGB die Urkunde stofflich verkörpert sein muss. Daran fehlt es bei einer Bitcoin-Transaktion. Daneben kommt es entscheidend darauf an, dass eine unechte Urkunde entsteht. Das „unecht“ bezieht sich auf die Garantiefunktion der Urkunde, das bedeutet, dass die Urkunde ihren Aussteller erkennen lassen muss. Das steht als solches aber nicht in einer Bitcoin-Transaktion.

Der § 269 StGB ist nun eine Behelfskonstruktion für nicht-stoffliche Urkunden. Er setzt voraus, dass die Daten, um die es geht, eine Urkunde im Sinne von § 267 StGB darstellen würden, wenn sie stofflich vorlägen. Strittig ist nun, ob das auch auf Bitcoin-Transaktionen zutrifft. Dazu sind verschiedene Ansätze denkbar. Da wir bei Bitcoin keine echte Anonymität, sondern vielmehr eine Pseudoynmität haben, ist es mitunter möglich, unter Zuhilfenahme spezieller Programme zum Auslesen der Blockchain auf die hinter einer Bitcoin-Adresse stehende natürliche Person zu schließen. Das würde dafürsprechen, eine Garantiefunktion zu bejahen. Andererseits ist es im Bitcoin-System grundsätzlich nicht vorgesehen, die Identität der Teilnehmer offenzulegen und je nach Geschicklichkeit der Betroffenen wohl auch nicht in allen Fällen möglich, in jedem Fall aber sehr aufwendig. Demnach müsste man die Strafbarkeit mangels Garantiefunktion eher verneinen.

Also, wenn es für Dritte nicht einsehbar ist, dass eine Bitcoin-Adresse zu mir gehört, greift die Garantiefunktion nicht?

Ja, wenn eine Adresse von dir bekannt ist, und ich nehme deine Schlüssel und schreibe eine Transaktion, dann sagt die effektiv aus: „Christoph Bergmann will X Bitcoins überweisen.“ In dem Fall greift die Garantiefunktion, und es handelt sich um eine Art „Fälschung“. Umgekehrt kann etwas, das keinen Aussteller erkennen lässt, mangels Garantiefunktion auch keine unechte Urkunde sein.

Sagen wir, ich habe eine anonyme Adresse und erwische dich vor Zeugen, wie du von meinem Handy aus eine Transaktion machst – wäre das dann nicht strafbar? Selbst dann, wenn du es zugibst?

Das ist natürlich eine eher ungewöhnliche Konstellation. Nachdem ich auf diese Weise gegenüber dem Miner, der die Transaktion in seinem Blockkandidaten verarbeitet, meine Berechtigung vortäusche, kommt ein Computerbetrug (§ 263a StGB) gegenüber dem Miner zu deinem Nachteil in Betracht. Auch eine Strafbarkeit wegen Computersabotage gem. § 303b StGB wäre denkbar.

Was meinst du müsste das Strafrecht machen, um sich auf die Realität von Bitcoin einzustellen?

Es ist schon so, dass wir viele relevante Begehungsmöglichkeiten durch die Datendelikte erfasst haben. Ein Problem sehe ich aber z.B. in den unterschiedlichen Strafrahmen, die den Eindruck einer gewissen Bagatellisierung von Straftaten an virtuellen Gütern wie den Kryptowährungen erweckt. Ich denke, man könnte hier durchaus darüber nachdenken, ob man einen Straftatbestand des virtuellen Diebstahls einführt, um diese Ungleichheit zu beseitigen.