Appellationsgericht des Kantons Basel-Stadt Einzelgericht

 

BES.2021.69

 

ENTSCHEID

 

vom 2. November 2021

 

 

Mitwirkende

 

lic. iur. Marc Oser

und Gerichtsschreiber lic. iur. Christian Lindner

 

 

Beteiligte

 

A____                                                                          Beschwerdeführerin

[...]

 

gegen

 

Staatsanwaltschaft Basel-Stadt                             Beschwerdegegnerin

Binningerstrasse 21, 4001 Basel

 

B____                                                                           Beschwerdegegner

[...]                                                                                          Beschuldigter

vertreten durch [...], Rechtsanwältin,

[...]

 

 

Gegenstand

 

Beschwerde gegen eine Verfügung der Staatsanwaltschaft

vom 6. Mai 2021

 

betreffend Verfahrenseinstellung

 

Sachverhalt

 

Auf Anzeige der Advokatin A____ hin eröffnete die Staatsanwaltschaft ein Strafverfahren gegen deren ehemaligen Bürokollegen B____. Der Vorwurf lautete dahingehend, dass der Beschuldigte sich mithilfe der ihm übertragenen Administratorenrechte Zugang zum persönlichen E-Mail-Account der Anzeigestellerin verschaffte habe, um Kenntnis von ihrer Post zu nehmen. Dadurch habe er sich im Zuge der laufenden Verhandlungen um die Auflösung der Bürogemeinschaft einen Wissensvorsprung verschaffen wollen.

 

Mit Verfügung der Staatsanwaltschaft Basel-Stadt vom 6. Mai 2021 (Zustellung am 10. Mai 2021) wurde das Strafverfahren mangels Beweises des Tatbestandes eingestellt. Die Zivilklage wurde auf den Zivilweg verwiesen. Dem Beschuldigten wurden die Verfahrenskosten in Höhe von CHF 231.80 zuzüglich einer Verfahrensgebühr von CHF 250.‒ auferlegt. Seine Entschädigungsforderungen wurden abgewiesen.

 

Mit Schreiben vom 19. Mai 2021 hat A____ (nachfolgend Beschwerdeführerin) Beschwerde gegen diese Einstellungsverfügung erhoben. Sie beantragt, die genannte Verfügung sei aufzuheben und die Sache zum Erlass eines Strafbefehls an die Staatsanwaltschaft zurückzuweisen, unter o/e Kostenfolge. Die Staatsanwaltschaft hat mit Stellungnahme vom 4. Juni 2021 die kostenfällige Abweisung der Beschwerde beantragt. Die Rechtsvertreterin des Beschuldigten hat mit Eingabe vom 17. Juni 2021 mit Verweis auf die Begründung in der Einstellungsverfügung die Abweisung der Beschwerde beantragt. Die Beschwerdeführerin hat am 23. August 2021 repliziert. Die Duplik der Staatsanwaltschaft datiert vom 26. August 2021. Mit Eingabe vom 1. September 2021 hat sich der Beschuldigte den Ausführungen der Staatsanwaltschaft in der Duplik angeschlossen und im Weiteren auf eine Stellungnahme verzichtet.

 

Der Entscheid ergeht unter Beizug der Akten im schriftlichen Verfahren. Die relevanten Einzelheiten der Parteistandpunkte ergeben sich aus den nachfolgenden Erwägungen.

 

 

Erwägungen

 

1.

1.1      Einstellungsverfügungen der Staatsanwaltschaft können innert zehn Tagen mittels Beschwerde bei der Beschwerdeinstanz angefochten werden (Art. 393 Abs. 1 lit. a und Art. 310 Abs. 2 in Verbindung mit Art. 322 Abs. 2 der Strafprozessordnung [StPO, SR 312.0]). Zu deren Beurteilung ist das Appellationsgericht als Einzelgericht zuständig (§ 88 Abs. 1 in Verbindung mit § 93 Abs. 1 Ziff. 1 des Gerichtsorganisationsgesetzes [GOG, SG 154.100]), welches nach Art. 393 Abs. 2 StPO mit freier Kognition urteilt.

 

1.2      Die Beschwerdeführerin hat am 20. März 2020 Strafanzeige gegen den Beschuldigten gestellt und sich als Privatklägerin konstituiert. In dieser Eigenschaft hat sie ein rechtlich geschütztes Interesse an der Aufhebung der zur Diskussion stehenden Verfügung (Art. 382 Abs. 1 StPO). Ihre Beschwerde ist frist- und formgerecht im Sinne von Art. 396 Abs. 1 StPO erhoben worden, so dass darauf einzutreten ist.

 

2.

2.1      Die Staatsanwaltschaft kommt in der angefochtenen Einstellungsverfügung zum Schluss, dass der Beschuldigte mithilfe seines Administrator-Zugangs die Weiterleitung der E-Mail der Beschwerdeführerin an seine eigene Adresse eingerichtet hat. Der Tatbestand des unbefugten Eindringens in ein Datenverarbeitungssystem nach Art. 143^bis Abs. 1 StGB sei jedoch nicht erfüllt, da der Tatbestand das Eindringen in ein fremdes, gegen den Zugriff des Täters besonders geschütztes Datenverarbeitungssystem erfordere. Dies sei nicht der Fall gewesen, da der Beschuldigte über die ihm übertragenen Administratorenrechte Zugang zum System gehabt habe, womit dieses weder fremd noch gegen seinen Zugriff besonders geschützt gewesen sei. Diese Eigenschaften würden auf die einzelnen passwortgesicherten Postfächer zutreffen, zu welchen er sich als Administrator nur durch das Setzen eines neuen Passwortes hätte Zugang verschaffen können, was ihm jedoch nicht nachzuweisen sei. Die erfolgte Einrichtung einer Weiterleitung sei auf Administratorenebene erfolgt und daher nicht tatbestandsmässig, weshalb das Strafverfahren in Ermangelung anderer anwendbarer Strafbestimmungen einzustellen sei. Hingegen stelle das Verhalten des Beschuldigten eine Persönlichkeitsverletzung nach Art. 28 ff. ZGB dar, weshalb ihm in Anwendung von Art. 426 Abs. 2 StPO die Verfahrenskosten auferlegt wurden und er keine Entschädigung zugesprochen erhielt.

 

2.2      Die Beschwerdeführerin argumentiert, bei der Bestimmung von Art. 143^bis Abs. 1 StGB gehe es um die Verletzung der im elektronischen Bereich geschützten Privatsphäre eines anderen. Nach bundesgerichtlicher Rechtsprechung in Entscheid BGE 130 III 28 E. 4.2 und 4.3 liege auch ein Eindringen in ein fremdes und besonders gesichertes E-Mail-Postfach vor, wenn der Passwortschutz umgangen und eine Weiterleitung eingeleitet werde. Auch im vorliegenden Fall sei die Sicherung des persönlichen Mail-Accounts der Beschwerdeführerin mittels Einrichtung einer Weiterleitung umgangen worden, womit der Tatbestand von Art. 143^bis Abs. 1 StGB erfüllt und ein entsprechender Strafbefehl zu erlassen sei.

 

2.3      Dem hält die Staatsanwaltschaft in ihrer Stellungnahme vom 4. Juni 2021 entgegen, der zitierte Bundesgerichtsentscheid der 1. Zivilrechtlichen Abteilung des Bundesgerichts sei nicht einschlägig und setze sich nicht einlässlich mit der Strafbarkeit des Verhaltens des dortigen Beschwerdeführers auseinander. Dass der Tatbestand des «Unbefugten Eindringens in ein Datenverarbeitungssystem» gerade ohne das Eindringen in das gegen den Zugriff Dritter besonders gesicherte Datenverarbeitungssystem erfüllt sei, lasse sich diesem Entscheid nicht entnehmen. Es sei denn in diesem Entscheid auch um das eine fristlose Kündigung begründende zerrüttete Vertrauensverhältnis gegangen und nicht um die Strafbarkeit des an den Tag gelegten Verhaltens. In jedem Fall erfordere das Eindringen in ein Datenverarbeitungssystem, dass sich der Täter unbefugten Zugriff zu einer nicht für ihn bestimmten Ebene verschaffe. Art. 143^bis StGB schütze lediglich die Unversehrtheit des Informatiksystems gegen unbefugtes Eindringen, die Kenntnisnahme vom Inhalt irgendwelcher Daten sei hingegen nicht tatbestandsmässig. Vorliegend sei der Täter mit seinem Vorgehen zwar im geistigen Sinne in die Privatsphäre der Beschwerdeführerin eingedrungen, nicht aber in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem.

 

2.4      Die Beschwerdeführerin hat in ihrer Replik zunächst angeführt, der französische und der italienische Gesetzestext seien mit den Formulierungen «introdursi» bzw. «s’introduire» weiter gefasst und würden zwar ebenfalls «eindringen» bedeuten, in erster Linie jedoch «sich einschleichen» oder «sich Zutritt verschaffen». Das Verhalten des Beschuldigten sei mit jenem eines Hauswarts zu vergleichen, der sich um den Umschwung der Villa des Eigentümers kümmere. Er nutze den Schlüssel zum Tor und schalte damit die Alarmanlage aus. Dies gebe ihm aber nicht das Recht, die Villa zu betreten und die dort aufliegenden Briefe zu lesen. Ebenso wenig sei es dem Beschuldigten gestattet gewesen, die Mails der Beschwerdeführerin zu lesen, nachdem er durch die Benutzung des Administratorenpassworts sozusagen die Alarmanlage ausgeschaltet habe. Die Beschwerdeführerin führt weiter den Bundesgerichtsentscheid BGE 145 IV 185 an, in welchem die strafrechtliche Abteilung die Verurteilung einer Frau geschützt habe, die das Passwort für den Mail-Account ihres Mannes gefunden und unberechtigt benutzt habe. Hätte sie ein Administratorenpasswort gefunden und damit eine Umleitung der Mails eingerichtet, hätte dies zu keinem anderen Ergebnis führen können.

 

2.5      Mit Duplik vom 26. August 2021 hat die Staatsanwaltschaft erwidert, die Beschwerdeführerin verkenne im zuletzt genannten Bundesgerichtsentscheid den massgeblichen Unterschied zum vorliegenden Fall. Wenn sich ein Täter mit einem aufgefundenen Passwort einlogge, dringe er in einen gegen unbefugten Zugang gesicherten Datenbereich ein. Ebendies sei aber nicht der Fall, wenn der Täter mit den Rechten, die er als Administrator erhalten habe, ausserhalb eines Mail-Accounts eine Weiterleitung aktiviere.

 

3.

3.1      Der Beschuldigte hat vorliegend die ihm übertragenen Administratorenberechtigung genutzt, um auf die für Mailumleitungen erforderliche Systemebene zu gelangen. Dieser Systembestandteil war ihm weder im Sinne des Tatbestandes fremd, noch musste er für den Zugang Sicherheitsvorkehrungen überwinden, da ihm vom vormaligen Administrator die erforderlichen Zugangscodes übergeben worden waren. Nicht berechtigt war er hingegen zum Zugriff auf das Postfach der Beschwerdeführerin, welches durch ein individuelles Passwort gesichert war. Dieses Passwort war dem Beschuldigten nicht bekannt und er unternahm ‒ soweit ersichtlich ‒ auch keinen Versuch, dieses erhältlich zumachen oder für seine Zwecke zurückzusetzen. Hingegen war es dem Beschuldigten als Administrator auch ausserhalb des passwortgeschützten Postfaches möglich, die eingehenden Mails der Beschwerdeführerin ‒ für Sender und Empfängerin unbemerkt ‒ an seine eigene Mailadresse weiterzuleiten. Im Ergebnis konnte er so den als Sicherheitsdispositiv bestehenden Passwortschutz umgehen und die eingehende Post der Beschwerdeführerin lesen. Es ist zu klären, ob diese Handlung im Sinne von Art. 143^bis Abs. 1 StGB tatbestandsmässig ist.

 

3.2      Nach Art. 143^bis Abs. 1 StGB handelt tatbestandsmässig, wer unbefugterweise in ein fremdes, gegen seinen Angriff besonders gesichertes Datenverarbeitung­ssystem eindringt. Umstritten ist in der Lehre, ob sich die besondere Sicherung des Systems auf das System selbst beziehen muss. Dies wird teilweise angenommen mit der Konsequenz, dass das «Knacken» von Zugangssicherungen zu Daten oder Funktionen innerhalb dieses Systems nicht strafbar sei, wenn der Täter einen anderen Teil der Rechnerfunktionen und -daten benutzen dürfe. Diese Lehrmeinung ist jedoch abzulehnen. Wie Weissenberger im Basler Kommentar zum Strafgesetzbuch überzeugend darlegt, bestehen Grossrechner nicht aus einem homogenen Raum bzw. System, sondern können höchst komplexe Strukturen mit differenzierten Verfügungsberechtigungen und Zugangsschranken aufweisen. Demzufolge haben auch Subsysteme, Dateien oder Funktionsebenen eines Computers, die einem Benutzer des Hauptsystems nicht zur Verfügung gestellt wurden und vor Missbrauch besonders geschützt sind, für den nur beschränkt Nutzungsberechtigten als fremd im Sinne der Norm zu gelten (Weissenberger, in: Basler Kommentar StGB, 3. Auflage 2013, Art. 143^bis N13). Nicht gefolgt werden kann dem Autor jedoch, wenn er als Beispiel für eine Tatbegehung nimmt, dass der Täter die gesamte elektronische Post seines Vorgesetzten oder Untergebenen, deren Zugang passwortgeschützt ist, ohne dessen Wissen durch Eingriff in die Informatik in seinen eigenen elektronischen Briefkasten umleitet. Er verweist dabei ‒ wie auch die Beschwerdeführerin ‒ auf Bundesgerichtsentscheid 130 III 28. Es ist dem Staatsanwalt beizupflichten, dass dieser Entscheid der 1. Zivilrechtlichen Abteilung des Bundesgerichts sich nicht detailliert damit auseinandersetzt, ob das dort vorliegende Verhalten sämtliche Tatbestandsmerkmale von Art. 143^bis StGB erfüllt. Weissenberger nennt denn auch als zusätzliche Voraussetzung, welche den Straftatbestand stark einschränke, dass das Datenverarbeitungssystem gegen den unberechtigten Zugriff des Täters besonders gesichert sein muss. Die Zugriffssicherung muss unter den Umständen des jeweiligen konkreten Falles üblicherweise ausreichen, um Unbefugte von der Datenverarbeitungsanlage und damit von darin gespeicherten Daten fernzuhalten (Weissenberger, a.a.O., N 14). Ob das Einrichten einer solchen Weiterleitung tatbestandsmässig ist, muss demnach davon abhängen, ob das betroffene Subsystem gegen dieses Vorgehen geschützt war und der Täter diese Schranke überwinden musste. Dies war vorliegend nicht der Fall, da die Weiterleitung der E-Mails nicht im passwortgeschützten Bereich des Postfachs eingerichtet werden musste, sondern dies bereits auf Administratorenebene möglich war. Der Beschuldigte nutzte damit auch keine unbewusste Sicherheitslücke, sondern die vorgesehene Möglichkeit, dass der Systemadministrator Weiterleitungen auf andere Mailadressen einrichten kann. Das Administratorenpasswort verhinderte, dass ein firmenfremder Dritter von dieser Funktion Gebrauch machen konnte. Hätte ein Aussenstehender diesen Passwortschutz überwinden können, hätte er sich des unbefugten Eindringens in ein Datenverarbeitungssystem strafbar gemacht. Gegen eine solches Fehlverhalten des eigenen Mailserver-Administrators bestand indes kein Sicherheitsdispositiv. Der Beschuldigte musste daher nicht in ein gegen seinen Angriff besonders gesichertes Datenverarbeitungssystem eindringen, womit der objektive Tatbestand von Art. 143^bis Abs. 1 StGB nicht erfüllt wurde.

 

Dass der französisch- und italienischsprachige Gesetzestext nach Ansicht der Beschwerdeführerin weiter gefasst ist, ändert hieran nichts, und auch die von der Beschwerdeführerin angeführten Entscheide und Beispiele führen zu keinem anderen Ergebnis. Der Bundesgerichtsentscheid 130 III 28 wurde bereits thematisiert. In BGE 145 IV 185 wurde die Strafbarkeit der Ehefrau bejaht, welche sich mithilfe des aufgefundenen Passworts ihres Ehemanns Zugang zu dessen Mailbox verschaffte. Das Bundesgericht führt in diesem Entscheid aus, die Art und Weise, wie der Täter sich das Passwort für einen unbefugten Zugang zu einer Datenverarbeitungsanlage verschaffe, sei für die Würdigung der Tat als Hackerangriff ohne Bedeutung. Der entscheidende Unterschied zur vorliegenden Konstellation ist jedoch, dass die Täterin dort mit einem ihr nicht freiwillig überlassenen Passwort unbefugt in ein Datenverarbeitungssystem eingedrungen ist. Der Beschuldigte hat sich hingegen lediglich auf einer Ebene der Datenverarbeitungsanlage bewegt, für welche er den erforderlichen Administratorenzugang erhalten hatte. Auch das herangezogene Beispiel eines Pförtners, der nach Ausschalten der Alarmanlage das Haus betritt und dort die Post liest, ist keine treffende Analogie, hat sich der Beschuldigte doch keinen Zutritt zum Postfach der Beschwerdeführerin verschafft.

 

Nach dem Gesagten hat der Beschuldigte zwar die Persönlichkeitsrechte der Beschwerdeführerin verletzt, was die Staatsanwaltschaft mit der Kostenauflage und Verweigerung einer Parteientschädigung berücksichtigt hat, den Tatbestand des unbefugten Eindringens in ein Datenverarbeitungssystem jedoch nicht erfüllt. Das Strafverfahren wurde demnach zu Recht eingestellt, und die vorliegende Beschwerde gegen die Einstellungsverfügung der Staatsanwaltschaft ist abzuweisen.

 

4.

Die Beschwerdeführerin trägt bei diesem Ausgang des Verfahrens die ordentlichen Kosten mit einer Entscheidgebühr von CHF 800.‒ (Art. 428 Abs. 1 StPO in Verbindung mit § 21 Abs. 2 des Gerichtsgebührenreglements [GGR, SG 154.810]).

 

 

Demgemäss erkennt das Appellationsgericht (Einzelgericht):

 

://:        Die Beschwerde wird abgewiesen.

 

Die Beschwerdeführerin trägt die Kosten des Verfahrens mit einer Entscheidgebühr von CHF 800.‒ (inkl. Auslagen).

 

Mitteilung an:

-       Beschwerdeführerin

-       Staatsanwaltschaft Basel-Stadt

-       Beschuldigter

 

APPELLATIONSGERICHT BASEL-STADT

 

Der Präsident                                                            Der Gerichtsschreiber

 

 

lic. iur. Marc Oser                                                      lic. iur. Christian Lindner

 

 

 

 

Rechtsmittelbelehrung

 

Gegen diesen Entscheid kann unter den Voraussetzungen von Art. 78 ff. des Bundesgerichtsgesetzes (BGG) innert 30 Tagen seit schriftlicher Eröffnung Beschwerde in Strafsachen erhoben werden. Die Beschwerdeschrift muss spätestens am letzten Tag der Frist beim Bundesgericht (1000 Lausanne 14) eingereicht oder zu dessen Handen der Schweizerischen Post oder einer diplomatischen oder konsularischen Vertretung der Schweiz im Ausland übergeben werden (Art. 48 Abs. 1 BGG). Für die Anforderungen an den Inhalt der Beschwerdeschrift wird auf Art. 42 BGG verwiesen. Über die Zulässigkeit des Rechtsmittels entscheidet das Bundesgericht.