Begriff und Definition von Skimming
Skimming ist ein Begriff aus dem Bereich der Wirtschaftskriminalität und bezeichnet eine spezielle Form des Ausspähens und der missbräuchlichen Nutzung von Kartendaten, insbesondere im Zusammenhang mit Zahlungskarten wie Debitkarten und Kreditkarten. Ziel des Skimming ist es, Kartendaten illegal auszulesen, zu kopieren und anschließend unbefugt zu verwenden. Dabei werden unterschiedliche technische Hilfsmittel eingesetzt, um sowohl die Daten auf dem Magnetstreifen der Karte als auch die zugehörigen Geheimnummern (PIN) auszuspähen. Im weiteren Sinne ist Skimming eine Methode des Datenmissbrauchs, die in unterschiedlichen rechtlichen Kontexten von Bedeutung ist.
Technische und organisatorische Abläufe beim Skimming
Skimming erfolgt typischerweise an Automaten (z.B. Geldautomaten, Tankstellen, Kassenterminals), indem unbemerkt Geräte angebracht werden, welche den Magnetstreifen der Karte beim Einstecken kopieren. Parallel dazu wird die PIN beispielsweise mittels Minikameras oder manipulierten Tastatureinheiten ausgespäht. Die gesammelten Daten werden anschließend verwendet, um Duplikate der Karte (sogenannte White-Plastic-Karten) herzustellen, mit denen betrügerische Transaktionen vorgenommen werden.
Skimming im rechtlichen Kontext
Strafrechtliche Einordnung des Skimming
§ 152a StGB – Fälschung von Zahlungskarten
In Deutschland ist Skimming gemäß § 152a Strafgesetzbuch (StGB) „Fälschung von Zahlungskarten, Schecks und Wechseln“ strafbar. Die Norm stellt das Herstellen, Verschaffen, Überlassen, Verwenden oder Überlassen an Dritte von gefälschten Zahlungskarten, die nicht mit einer Scheck- oder Wechselgarantie versehen sind, unter Strafe. Die Tatbestandsvoraussetzungen umfassen neben der Herstellung und Verwendung gefälschter Karten auch das bloße Zugänglichmachen der technischen Infrastruktur.
§ 263a StGB – Computerbetrug
Da Skimming typischerweise mit Hilfe von Datenverarbeitungssystemen stattfindet und eine täuschende Einwirkung auf den Computer vorliegt, findet oftmals auch § 263a StGB (Computerbetrug) Anwendung. Das unbefugte Erlangen von Kartenkopien sowie das Sich-Verschaffen von Finanzmitteln durch manipulierte Automaten erfüllen regelmäßig den Tatbestand des Computerbetrugs.
§§ 202a bis 202d StGB – Ausspähen und Abfangen von Daten
Das Auslesen und Übermitteln von Kartendaten kann zudem die Tatbestände nach §§ 202a bis 202d StGB (Ausspähen, Abfangen, Vorbereiten und Datenhehlerei) erfüllen. Hierbei ist entscheidend, ob die Daten „besonders gesichert“ und damit gegen unbefugten Zugriff geschützt waren. Die strafrechtliche Bewertung des Skimming ist daher häufig von den technischen Umständen der Tat abhängig.
Skimming als Ordnungswidrigkeit oder Verstoß gegen Datenschutzrecht
Datenschutzrecht im Kontext des Skimming
Das unbefugte Erlangen und Verarbeiten von personenbezogenen Kartendaten ist regelmäßig auch ein Verstoß gegen Datenschutzbestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Die missbräuchliche Verwendung personenbezogener Zahlungsinformationen kann neben strafrechtlicher Sanktionierung zu erheblichen Geldbußen führen.
Sonstige Ordnungswidrigkeiten
Unabhängig von strafrechtlich relevanten Verhaltensweisen können Verstöße gegen die Sicherungspflicht von Geldautomaten (durch Betreiber) ordnungswidrig sein, sofern nachweislich grobe Sorgfaltspflichtverletzungen vorliegen und dadurch die Tat ermöglicht oder erleichtert wurde.
Zivilrechtliche Aspekte des Skimming
Haftung und Schadensersatz
Im zivilrechtlichen Kontext stellen sich im Anschluss an einen erfolgten Skimming-Vorfall regelmäßig Fragen der Haftung und des Schadensersatzes. Hierbei ist maßgeblich, ob und in welchem Umfang die kartenausgebende Bank, der Karteninhaber oder der Automatenbetreiber für entstandene Vermögensschäden haftet. Bankkunden haften in der Regel nicht für Schäden, sofern ihnen kein grob fahrlässiges Verhalten vorzuwerfen ist (z.B. Weitergabe der PIN). Banken sind verpflichtet, bei Verdacht auf Missbrauch umgehend zu reagieren und Karten zu sperren.
Rückbuchung von missbräuchlichen Zahlungen
Nach den Regelungen des Zahlungsdiensteaufsichtsgesetzes (ZAG) und des Bürgerlichen Gesetzbuches (BGB) steht dem Karteninhaber im Falle eines nicht autorisierten Zahlungsvorgangs ein Anspruch auf Rückbuchung zu. Die Bank ist verpflichtet, den Betrag unverzüglich, spätestens bis zum Ende des nächsten Geschäftstags nach Anzeige des Karteninhabers, zu erstatten (§ 675u BGB).
Prävention und rechtliche Verpflichtungen zur Verhinderung von Skimming
Pflichten der Kartenherausgeber und Betreiber
Banken und Zahlungsdienstleister sind aus aufsichtsrechtlicher Sicht verpflichtet, angemessene technische und organisatorische Maßnahmen zu implementieren, um Skimming zu verhindern. Dazu zählen beispielsweise die Sicherung der Kartenlesegeräte, regelmäßige Überprüfungen und der Einsatz von Chip-Technologie, die das Auslesen von Magnetstreifendaten erschwert.
Information und Aufklärung der Karteninhaber
Kartenherausgeber sind ferner verpflichtet, Kunden über mögliche Risiken, sichere Handhabung der Karten und Verhaltensregeln im Umgang mit PIN und Karte zu informieren. Ebenso bestehen Meldepflichten im Falle eines systematischen Betrugs oder einer Datenpanne.
Internationale Dimension
Skimming ist ein weltweit verbreitetes Phänomen und wird vielfach grenzüberschreitend begangen. Die Zusammenarbeit von Strafverfolgungsbehörden auf europäischer und internationaler Ebene (z.B. über Europol und Interpol) ist bei der Bekämpfung von Skimming von zentraler Bedeutung. Internationale Übereinkommen, wie das Budapester Übereinkommen über Computerkriminalität, beinhalten zudem Regelungen zur Harmonisierung der Strafverfolgung im Bereich der Cyberkriminalität.
Fazit
Skimming stellt einen schwerwiegenden Eingriff in die Sicherheit des bargeldlosen Zahlungsverkehrs dar und ist sowohl strafrechtlich als auch zivilrechtlich intensiv geregelt. Die Täter verwenden hochentwickelte technische Mittel, um Zahlungsdaten auszulesen und missbräuchlich zu nutzen. Die rechtlichen Anforderungen an die Prävention, Aufklärung und Sanktionierung von Skimming sind umfassend, wobei sowohl nationale als auch internationale Regelungsmechanismen eine Rolle spielen. Opfer von Skimming haben insbesondere im deutschen Recht weitreichende Ansprüche auf Erstattung und Schadensersatz, sofern ihnen keine grobe Fahrlässigkeit vorzuwerfen ist. Die effektive Bekämpfung des Skimming erfordert ein koordiniertes Vorgehen aller beteiligten Akteure im Straf-, Ordnungs- und Zivilrecht sowie eine stetige Anpassung an neue technische Entwicklungen.
Häufig gestellte Fragen
Welche strafrechtlichen Konsequenzen hat Skimming in Deutschland?
Wer in Deutschland Skimming begeht, macht sich in der Regel wegen verschiedener Straftatbestände gemäß dem Strafgesetzbuch (StGB) strafbar. Insbesondere kommt § 263a StGB („Computerbetrug“) zur Anwendung, da durch manipulierte Geräte unbefugt auf Kontodaten zugegriffen und finanzielle Transaktionen ausgelöst werden. Überdies kann je nach Tatvariante § 202a StGB („Ausspähen von Daten“) einschlägig sein, wenn der Täter unbefugt Zugang zu besonders gesicherten Daten erlangt. Die Strafandrohung variiert je nach Schwere der Tat, beginnt bei Geldstrafe und reicht bis zu Freiheitsstrafen bis zu fünf Jahren, in besonders schweren Fällen (z.B. bandenmäßiges Vorgehen) bis zu zehn Jahren. Neben dem eigentlichen Skimming können auch „Beihilfe“ und „Versuch“ strafbar sein. Ferner kommen weitere Strafnormen in Betracht, etwa bei der Fälschung oder Verwendung von gefälschten Zahlungskarten (§ 152a StGB Alt. Kreditkartenfälschung).
Wie wird Skimming vor Gericht nachgewiesen und welche Beweismittel sind zulässig?
Der Nachweis von Skimming im strafrechtlichen Verfahren erfolgt insbesondere durch technische Beweismittel wie Fotos und Videos der manipulierten Geräte (z.B. Aufzeichnung von Überwachungskameras), durch die Sicherstellung von verwendeten Skimming-Geräten sowie durch die Auswertung digitaler Spuren (z.B. Daten der ausgestellten oder ausgelesenen Karten). Aussagekräftig sind zudem Sachverständigengutachten sowie Zeugenaussagen von Bankangestellten, geschädigten Karteninhabern oder IT-Experten. Die Beweiserhebung erfolgt nach den Regeln der Strafprozessordnung (StPO), wobei alle Beweismittel zugelassen sind, die nicht gegen ein Beweisverwertungsverbot oder gesetzliche Vorschriften verstoßen (z.B. unrechtmäßig erlangte private Daten).
Welche zivilrechtlichen Ansprüche haben die Opfer von Skimming?
Opfer von Skimming, zumeist Kontoinhaber, haben gegenüber ihrer Bank grundsätzlich einen Anspruch auf Rückerstattung der widerrechtlich abgehobenen oder überwiesenen Beträge gemäß § 675u BGB (Bürgerliches Gesetzbuch), da es sich bei Skimming Transaktionen in der Regel um eine „ungenehmigte Zahlung“ handelt. Die Bank trägt nach § 675w BGB die Beweislast dafür, dass eine Autorisierung erfolgt ist. Bei grober Fahrlässigkeit des Kunden, etwa bei Weitergabe der PIN, kann eine Haftungsbeteiligung des Kunden von maximal 50 Euro gemäß § 675v Abs. 2 BGB infrage kommen. Sind dem Kunden hingegen Verstöße gegen die Sorgfaltspflicht nachweisbar, kann ein Anspruch auf vollständigen Schadensersatz entfallen.
Welcher Unterschied besteht zwischen Skimming und anderen Straftaten im Zusammenhang mit Bankkarten?
Im rechtlichen Kontext unterscheidet sich Skimming von anderen Straftaten mit Bankkarten vor allem durch die Art und Weise der Erlangung von Kartendaten und PIN: Skimming erfordert den manipulativen Einsatz technischer Geräte zur Datenabschöpfung, wohingegen etwa der „klassische Diebstahl“ von Karten oder das „Phishing“ (Betrug durch Täuschung im Internet) andere Handlungsmuster darstellen. Während für Skimming vorrangig §§ 263a, 202a StGB und § 152a StGB (Kreditkartenfälschung) relevant sind, fallen der Diebstahl einer Karte unter § 242 StGB (Diebstahl) und der Betrug mit einer echten Karte unter § 263 StGB (Betrug) oder § 266b StGB (Missbrauch von Scheck- und Kreditkarten).
Gibt es besondere Vorschriften zur Strafverfolgung von Skimming, wenn die Täter aus dem Ausland agieren?
Das deutsche Strafrecht findet gemäß § 7 StGB grundsätzlich auch Anwendung, wenn sich Tatfolgen in Deutschland verwirklichen, selbst wenn die Täter sich im Ausland aufhalten. Polizei und Justiz arbeiten dabei mit internationalen Behörden, insbesondere im Rahmen von Rechtshilfeabkommen und über Institutionen wie Interpol oder Europol, zusammen. Die Strafverfolgung kann allerdings durch unterschiedliche Rechtslagen, Auslieferungshindernisse und die praktische Umsetzung von Rechtshilfemaßnahmen erschwert werden. Dennoch werden Skimming-Taten mit Deutschlandbezug regelmäßig strafrechtlich verfolgt, wenn der Angriff auf Bankkunden oder -institute in Deutschland erfolgt.
Welche Rolle spielen Datenschutzrecht und Bankgeheimnis bei der Aufklärung von Skimming-Fällen?
Im Rahmen strafrechtlicher Ermittlungen zu Skimming wird das Auskunftsverlangen der Ermittlungsbehörden häufig mit dem Interesse am Datenschutz der Kunden und dem Bankgeheimnis abgewogen. Nach den Vorschriften der Strafprozessordnung (§§ 100 ff. StPO) und des Bundesdatenschutzgesetzes (BDSG) sind Banken verpflichtet, im Rahmen eines Ermittlungsverfahrens Daten herauszugeben, sofern ein berechtigtes Interesse vorliegt und ein richterlicher Beschluss oder ein Antrag der Staatsanwaltschaft vorliegt. Das Bankgeheimnis stellt in diesem Zusammenhang kein absolutes Hindernis für die Datenweitergabe dar, sondern kann im Interesse der Strafaufklärung durchbrochen werden. Die Datenweitergabe ist jedoch zu dokumentieren und beschränkt sich auf das für das Ermittlungsverfahren erforderliche Maß.
Wie ist die Haftung der Banken bei versäumten Sicherheitsmaßnahmen gegen Skimming geregelt?
Banken unterliegen umfangreichen gesetzlichen Pflichten zur Sicherung von Zahlungsverkehrssystemen, Art. 25 und 32 DSGVO sowie den Vorgaben des Zahlungsdiensteaufsichtsgesetzes (ZAG) und den Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Kommt eine Bank diesen Pflichten nicht nach – etwa beim Unterlassen der Wartung oder dem Einsatz veralteter Technik – und ermöglicht dies einen Skimming-Fall, können zivilrechtliche Schadensersatzansprüche der Kunden aus § 280 BGB in Verbindung mit dem Zahlungsdiensterahmenvertrag bestehen. Die Beweislast für ein Organisationsverschulden liegt allerdings beim Kunden. Die Haftung kann bei grober Pflichtverletzung der Bank sogar über die Erstattungsverpflichtung hinausgehen.
