Das Internet erfreut sich als Plattform für den Absatz von Waren und Dienstleistungen großer Beliebtheit. Die strafrechtlich relevante Kehrseite dieser Entwicklung besteht darin, dass persönliche Daten - mehr oder weniger geschützt - Eingang in das Netzt der Netze finden. Dies geschieht beispielsweise dadurch, dass ein Kunde seine Kreditkartennummer eintippt, um im Internet online bestellte Ware zu bezahlen, oder sein Kennwort eingibt, um seine Legitimation für bestimmte Verfügungen nachzuweisen. Auch bei online abgewickelten Bankgeschäften fallen Daten an, wenn der Kunde sich durch eine PIN identifiziert und per TAN ein Bankgeschäft in Auftrag gibt.
Für den Begriff des Abfangens oder auch "Abfischens" dieser Daten hat sich der Begriff des "Phishings" herausgebildet. Geht der Datenklau soweit, dass der Dieb (beispielsweise durch Verwendung der Personalausweisnummer des Opfers) praktisch als das Opfer selbst auftritt, so wird dies als "Identity Theft", also Identitätsdiebstahl, bezeichnet. Das "Abfischen" geschieht meistens dadurch, dass der Täter vor die eigentliche Eingabeaufforderung eine von ihm erstellte Eingabemaske schaltet. Vergleichbar ist dies mit dem widerrechtlichen Anbringen von Kartenlesern am Eingang von Banken, mit denen Kunden zur Preisgabe ihrer PIN veranlasst werden.
Obwohl es sich bei Phishing und Identity Theft um relativ neue kriminelle Phänomene handelt, lassen sie sich unter die bestehenden Straftatbestände fassen:
Durch das "Abfischen" der Daten verwirklicht der Täter zunächst das Delikt des "Ausspähens von Daten" nach § 202a StGB; denn danach macht sich strafbar, wer sich unbefugt Daten verschafft, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind.
Durch das spätere Verwenden der Daten, also beispielsweise die Bestellung von Waren mit Hilfe der Kreditkartennummer des Opfers oder das Verfügen über Kontenguthaben durch Eingabe der PIN und der TANs des Opfers begeht der Täter einen Computerbetrug nach § 263a StGB: Mit der Eingabe der Daten täuscht der Täter vor, er sei der Verfügungsberechtigte; dadurch veranlasst der Täter das Computersystem zur Vornahme der beabsichtigten Handlung (Annahme der Bestellung, Verfügung über das Konto).