6B_456/2007 - 2008-03-18 - Infractions - Einstellung der Untersuchung (unbefugtes Eindringen in ein Datenverarbeitungssystem)

Tribunale federale
Tribunal federal

{T 0/2}
6B_456/2007 /bri

Urteil vom 18. März 2008
Strafrechtliche Abteilung

Besetzung
Bundesrichter Schneider, Präsident,
Bundesrichter Wiprächtiger, Favre, Zünd, Mathys,
Gerichtsschreiber Boog.

Parteien
X.________,
Beschwerdeführerin, vertreten durch Rechtsanwalt Andreas Michel,

gegen

A.________,
Beschwerdegegner, vertreten durch Rechtsanwalt Roland Egli-Heine,
Oberstaatsanwaltschaft des Kantons Zürich, Florhofgasse 2, 8001 Zürich,
Beschwerdegegnerin.

Gegenstand
Einstellung der Untersuchung (unbefugtes Eindringen in ein Datenverarbeitungssystem),

Beschwerde gegen den Beschluss des Obergerichts des Kantons Zürich, III. Strafkammer, vom 22. Juni 2007.

Sachverhalt:

A.
Die Staatsanwaltschaft Winterthur/Unterland stellte mit Verfügung vom 12. März 2007 eine von X.________ gegen den von ihr getrennt lebenden Ehemann A.________ beantragte Strafuntersuchung wegen unbefugten Eindringens in ein Datenverarbeitungssystem zufolge Fehlens der Strafantragsberechtigung ein.

Einen gegen diese Einstellungsverfügung erhobenen Rekurs wies das Obergericht des Kantons Zürich mit Beschluss vom 22. Juni 2007 ab.

B.
X.________ führt Beschwerde in Strafsachen an das Bundesgericht, mit der sie beantragt, der angefochtene Beschluss sei aufzuheben und die Sache sei im Sinne der Erwägungen an die Vorinstanz zurückzuweisen.

C.
Das Obergericht und die Oberstaatsanwaltschaft des Kantons Zürich haben auf Vernehmlassung verzichtet. A.________ beantragt die Abweisung der Beschwerde.

Erwägungen:

1.
Die Beschwerde ist unter Einhaltung der gesetzlichen Frist (Art. 100 Abs. 1

BGG) und Form (Art. 42

BGG) von der Strafantragstellerin eingereicht worden und betrifft das Strafantragsrecht als solches (Art. 81 Abs. 1 lit. b Ziff. 6

BGG). Sie richtet sich gegen einen von einer letzten kantonalen Instanz (Art. 80

BGG) gefällten Endentscheid (Art. 90

BGG) in Strafsachen (Art. 80 Abs. 1

BGG). Es ist daher auf sie einzutreten.

2.
Dem zu beurteilenden Fall liegt folgender Sachverhalt zugrunde:

Der Beschwerdegegner drang in das passwortgeschützte E-Mailkonto der Beschwerdeführerin beim Provider B.________ ein. Dabei druckte er ein am 12. Juni 2006 von ihrem Rechtsvertreter an die Beschwerdeführerin gesendetes geschäftliches E-Mail sowie ein am 16. Mai von ihr an ihren Rechtsvertreter gesendetes privates E-Mail aus und deponierte diese Schriftstücke in der Folge vor seinem Büro im Altpapier, wo sie von der Beschwerdeführerin am 30. August 2006 aufgefunden wurden. Grund für dieses Vorgehen war angeblich das Bestreben des Beschwerdegegners herauszufinden, ob die Beschwerdeführerin sein Altpapier durchsuche. Das für den Zugang zum Konto notwendige Passwort erlangte er, indem er die ihm bekannte "Geheimfrage" im B.________-account richtig beantwortete, worauf ihm ein neues Passwort angezeigt wurde (angefochtener Beschluss S. 2 f.; Einstellungsverfügung S. 1/2; Beschwerde S. 4).

3.
3.1
3.1.1 Die Staatsanwaltschaft Winterthur/Unterland hatte das Verfahren wegen fehlender Antragsberechtigung der Beschwerdeführerin eingestellt (Einstellungsverfügung S. 3). In einer Eventualbegründung hatte sie zudem angenommen, der Passwortschutz des E-Mailkontos stelle keine besondere Sicherung im Sinne von Art. 143bis StGB dar. Dem Beschwerdegegner könne daher in rechtlicher Hinsicht kein strafbares Verhalten vorgeworfen werden, weshalb die Untersuchung auch in diesem Punkt ohne Weiterungen einzustellen sei (Einstellungsverfügung S. 4).
3.1.2 Das Obergericht beschränkt sich in seinem Beschluss auf die Frage, ob die Beschwerdeführerin zur Erhebung des Strafantrags wegen unbefugten Eindringens in ein Datenverarbeitungssystem befugt ist (angefochtener Beschluss S. 6). Sie gelangt in dieser Hinsicht zum Schluss, die Antragsberechtigung der Beschwerdeführerin sei zu verneinen. Das Antragsrecht stehe nur derjenigen Person zu, die über das Datenverarbeitungssystem (d.h. über die Hard- und Software) rechtlich verfügen könne. Das Verfügungsrecht über die Datenverarbeitungsanlage stehe allein der Firma B.________ zu. Die Beschwerdeführerin sei lediglich an den darin gespeicherten Daten berechtigt (angefochtener Beschluss S. 5 f.; Einstellungsverfügung S. 3).

3.2 Die Beschwerdeführerin macht geltend, geschütztes Rechtsgut von Art. 143bis StGB sei die Freiheit des Berechtigten zu bestimmen, wer Zugang zu einem Datenverarbeitungssystem bzw. zu den Daten haben solle und wer nicht. Es gehe um die Unverletzlichkeit des eigenen Computers, d.h. darum, andere Personen von den eigenen Computersystemen und den Datenbeständen fernzuhalten. Die Bestimmung von Art. 143bis StGB unterscheide nicht zwischen den Datenbeständen des Eigentümers und denjenigen Dritter. Berechtigt im Sinne der Strafbestimmung sei, wer Anspruch darauf habe, ungestört und nach seinem Willen über die Datenverarbeitungsanlage zu verfügen. Das gelte auch für den Benutzer eines E-Mailkontos auf einer fremden Anlage mit Bezug auf seine darauf gespeicherten Daten, da nur er auf diese Zugriff habe (Beschwerde S. 5 f.).

4.
4.1 Gemäss Art. 143bis Abs. 1 StGB wird auf Antrag mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt.

Der Tatbestand schützt Datenverarbeitungssysteme vor Eindringlingen (Hackern), die darauf aus sind, Sicherungen zu durchbrechen und in gesicherte Datensysteme einzudringen, ohne damit weitere, insbesondere wirtschaftliche Zwecke zu verfolgen (Botschaft über die Änderung des Schweizerischen Strafgesetzbuches [Strafbare Handlungen gegen das Vermögen und Urkundenfälschung], vom 24. April 1991, BBl 1991 II, S. 1011; Weissenberger, Basler Kommentar, Strafrecht II, 2. Aufl. Basel 2007, Art. 143bis N 2; Schmid, Computer- sowie Check- und Kreditkarten-Kriminalität, Zürich 1994, § 5/Art. 143bis N 1: Trechsel, Schweizerisches Strafgesetzbuch, Kurzkommentar, 2. Aufl. Zürich 1997, Art. 143bis N 1). Angriffsobjekt sind das Datenverarbeitungssystem bzw. die Datenverarbeitungsanlage, nicht die darin gespeicherten Daten (Schmid, a.a.O., § 5/Art. 143bis N 16).

4.2 Gemäss Art. 30 Abs. 1 StGB steht, wenn eine Tat nur auf Antrag strafbar ist, das Antragsrecht jeder Person zu, die durch sie verletzt worden ist. Verletzt ist, wer Träger des unmittelbar betroffenen Rechtsguts ist. Dieser ergibt sich durch Auslegung des betreffenden Tatbestandes (BGE 118 IV 209 E. 2; 128 IV 81 E. 3a; vgl. auch Riedo, Der Strafantrag, Diss. Freiburg 2004, S. 149; ders., Basler Kommentar, Strafrecht I, 2. Aufl. Basel 2007, Art. 30 N 10).

Der Tatbestand des unbefugten Eindringens in ein Datenverarbeitungssystem im Sinne von Art. 143bis StGB schützt den Anspruch des Betreibers einer Datenverarbeitungsanlage darauf, dass sein System als technische Anlage, aber auch die damit abgewickelte Datenverarbeitung und Datenübermittlung ungestört von Eingriffen Unberechtigter betrieben werden kann (Schmid, a.a.O., § 5/Art. 143bis N 11). Geschützt wird mithin die Freiheit des Berechtigten, darüber zu entscheiden, wem der Zugang zu einer gesicherten Datenverarbeitungsanlage und den dort gespeicherten Daten gewährt wird (Weissenberger, a.a.O., Art. 143bis N 3 [Computerfrieden]; Hurtado Pozo, Droit pénal, partie spéciale I, 3. Aufl. Zürich 1997, N 913; BGE 130 III 28 E. 4.2 [violation du domicile informatique d'autrui]; Moreillon, Nouveaux délits informatiques sur Internet, Medialex 2001, S. 22; Günter Stratenwerth/ Guido Jenny, Schweizerisches Strafrecht, Bes. Teil I, 6. Aufl. Bern 2003, § 14 N 38; vgl. auch Trechsel, Art. 143bis N 2 [Schutz der Privatsphäre]).

Durch das unbefugte Eindringen in eine Datenverarbeitungsanlage verletzt und somit zum Antrag berechtigt ist, wer über die Datenverarbeitungsanlage bzw. über den Zugang zu ihr rechtlich verfügen kann, d.h. wer berechtigt ist, über den Zugang zur Anlage und damit zu den dort gespeicherten Daten zu bestimmen (Weissenberger, a.a.O., Art. 143bis N 27; Riedo, Der Strafantrag, S. 169; Trechsel, a.a.O., Art. 143bis N 11). Massgebend ist die Berechtigung zum Zugriff auf das Datenverarbeitungssystem, nicht die Verfügungsberechtigung über die Daten (Weissenberger, a.a.O., Art. 143bis N 27; Riedo, Der Strafantrag, S. 169; Schmid, a.a.O., § 5/Art. 143bis N 51).

4.3 Im zu beurteilenden Fall ist Betreiberin des Datenverarbeitungssystems die Firma B.________, bei welcher die Beschwerdeführerin ein E-Mailkonto eingerichtet hat. Der Zugriff auf dieses Konto erfolgt über eine Benutzer-ID und ein Passwort. Wer sich über ein Passwort in ein E-Mailkonto einloggt, dringt gleichzeitig auch in das Datenverarbeitungssystem als solches ein. Das Passwort gibt dem Inhaber somit nicht nur die Befugnis über den Zugang zum geschützten E-Mailkonto, sondern auch über den Zugang zur Datenverarbeitungsanlage als solcher zu bestimmen (vgl. Weissenberger, a.a.O., Art. 143bis N 10). Daraus folgt, dass die Beschwerdeführerin im zu beurteilenden Fall berechtigt war, die Bestrafung des Beschwerdegegners wegen unbefugten Eindringens in ein Datenverarbeitungssystem gemäss Art. 143bis StGB zu beantragen.

Das angefochtene Urteil verletzt daher Bundesrecht. Die Beschwerde erweist sich somit als begründet.

5.
Aus diesen Gründen ist die Beschwerde gutzuheissen. Die bundesgerichtlichen Kosten von Fr. 2'000.-- sind zur Hälfte dem unterliegenden Beschwerdegegner aufzuerlegen (Art. 66 Abs. 1 BGG), während dem Kanton Zürich keine Kosten auferlegt werden dürfen (Art. 66 Abs. 4 BGG). Der Beschwerdegegner und der Kanton Zürich haben der Beschwerdeführerin deren Parteikosten je zur Hälfte zu ersetzen (Art. 68 Abs. 2 BGG).

Demnach erkennt das Bundesgericht:

1.
Die Beschwerde wird gutgeheissen, der Beschluss des Obergerichts des Kantons Zürich vom 22. Juni 2007 aufgehoben und die Sache zu neuer Entscheidung an die Vorinstanz zurückgewiesen.

2.
Die reduzierten Gerichtskosten von Fr. 1'000.-- werden dem Beschwerdegegner auferlegt.

3.
Der Kanton Zürich und der Beschwerdegegner haben die Beschwerdeführerin für das bundesgerichtliche Verfahren mit je Fr. 1'500.-- zu entschädigen.

4.
Dieses Urteil wird den Parteien und dem Obergericht des Kantons Zürich, III. Strafkammer, schriftlich mitgeteilt.
Lausanne, 18. März 2008
Im Namen der Strafrechtlichen Abteilung
des Schweizerischen Bundesgerichts
Der Präsident: Der Gerichtsschreiber:

Schneider Boog

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 143^bis - 1 Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
¹	Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
²	Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu'ils doivent être utilisés dans le but de commettre une infraction visée à l'al. 1 est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 143^bis - 1 Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
¹	Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
²	Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu'ils doivent être utilisés dans le but de commettre une infraction visée à l'al. 1 est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 143^bis - 1 Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
¹	Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
²	Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu'ils doivent être utilisés dans le but de commettre une infraction visée à l'al. 1 est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 143^bis - 1 Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
¹	Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
²	Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu'ils doivent être utilisés dans le but de commettre une infraction visée à l'al. 1 est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 143^bis - 1 Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
¹	Quiconque s'introduit sans droit, au moyen d'un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, est, sur plainte, puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
²	Quiconque met en circulation ou rend accessible un mot de passe, un programme ou toute autre donnée dont il sait ou doit présumer qu'ils doivent être utilisés dans le but de commettre une infraction visée à l'al. 1 est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.

SR 311.0 Code pénal suisse du 21 décembre 1937 CP Art. 30 - 1 Si une infraction n'est punie que sur plainte, toute personne lésée peut porter plainte contre l'auteur.
¹	Si une infraction n'est punie que sur plainte, toute personne lésée peut porter plainte contre l'auteur.
²	Si le lésé n'a pas l'exercice des droits civils, le droit de porter plainte appartient à son représentant légal. Si l'ayant droit est sous tutelle ou sous curatelle de portée générale, le droit de porter plainte appartient également à l'autorité de protection de l'adulte.19
³	Le lésé mineur ou placé sous curatelle de portée générale a le droit de porter plainte s'il est capable de discernement.20
⁴	Si le lésé meurt sans avoir porté plainte ni avoir expressément renoncé à porter plainte, son droit passe à chacun de ses proches.
⁵	Si l'ayant droit a expressément renoncé à porter plainte, sa renonciation est définitive.