A.- A. erstattete am 23. März 2000 Anzeige gegen Unbekannt, weil ihr am 15./16. Januar 2000 in einem Restaurant in Weinfelden das Mobiltelefon abhanden gekommen war. Die Anzeige erfolgte wegen einer Erkrankung der Geschädigten mehr als zwei Monate nach dem Vorfall. Die von der Swisscom erstellte Liste der Einzelgespräche seit dem Verlust des Telefons führte zu X. Dieser hatte vom 16. Januar 2000 bis zur Sperrung der SIM-Chipkarte am 20. Februar 2000 für mehr als Fr. 3'500.- mit dem Gerät telefoniert.

B.- Das Obergericht des Kantons Thurgau sprach X. am 21. Januar 2003 in zweiter Instanz des betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 1 StGB) sowie einer Reihe von Vergehen und Übertretungen des Strassenverkehrsgesetzes schuldig und verurteilte ihn zu einer unbedingten Gefängnisstrafe von acht Monaten und einer Busse von Fr. 1'800.-. Mit gleichem Urteil stellte es das Verfahren wegen geringfügigen Diebstahls (Art. 139 i.V.m. Art. 172ter StGB) sowie weiterer Delikte infolge Verjährung ein.

C.- X. führt eidgenössische Nichtigkeitsbeschwerde. Er beantragt, es sei das Urteil des Obergerichts des Kantons Thurgau vom 21. Januar 2003 aufzuheben, insbesondere im Schuld-, Straf- und Kostenpunkt sowie in Bezug auf die Zivilforderung von A., und es sei die Sache an die Vorinstanz zur neuen Beurteilung zurückzuweisen.

Das Bundesgericht weist die Beschwerde ab.

1. Die Vorinstanz spricht den Beschwerdeführer in Bezug auf die unrechtmässig geführten Telefongespräche des betrügerischen Missbrauchs einer Datenverarbeitungsanlage gemäss Art. 147 Abs. 1 StGB schuldig. Sie begründet den Schuldspruch zusammengefasst wie folgt: Ein Mobiltelefon diene allein der Informationsvermittlung und sei damit keine Datenverarbeitungsanlage. Allerdings sei der Rechner des jeweiligen Mobiltelefonieanbieters, mit dem die einzelnen Geräte der Abonnenten durch ihre SIM-Chipkarte verbunden seien, eine Datenverarbeitungsanlage im Sinne des Tatbestandes. Der Rechner erfasse die von der SIM-Chipkarte beim Telefonieren übermittelten Signale, berechne die einzelnen Gesprächskosten sowie die fortlaufende Gebührenbelastung und erstelle gestützt darauf die jeweiligen Rechnungen. Der Beschwerdeführer habe das Telefon mit der fremden SIM-Chipkarte unbefugt benutzt. Dadurch seien seine Gespräche der Geschädigten belastet worden. Er habe somit wie bei der unbefugten Verwendung einer Bankkarte im automatisierten Zahlungsverkehr eine Vermögensverschiebung von der berechtigten Person zum rechtswidrigen Benutzer veranlasst. Der objektive Tatbestand des Art. 147 StGB sei somit erfüllt. Angesichts der Aussage des Beschwerdeführers, der Wert des Telefons habe für ihn darin bestanden, die Kosten von Telefongesprächen einzusparen, sei der Tatbestand auch in subjektiver Hinsicht gegeben.

Der Beschwerdeführer macht geltend, die objektiven Voraussetzungen des Art. 147 StGB seien nicht erfüllt. Die Norm sei dem Betrugstatbestand nachgebildet und ergänze diesen für den Fall, dass jemand durch Manipulation an oder mit Daten eine unrechtmässige Vermögensverschiebung erreiche, ohne dass dafür ein menschlicher Entscheidungsträger eingeschaltet und irregeführt worden sei. Die Datenmanipulation müsse zu einem unrichtigen Ergebnis des Datenverarbeitungsprozesses führen. Diese Erfordernisse seien hier nicht gegeben. Er habe weder Daten verwendet noch auf eine Datenübermittlung oder Datenverarbeitung eingewirkt bzw. diese manipuliert. In praktischer Hinsicht gehe es beim Tatbestand vor allem um die Verwendung von deliktisch erlangten Code-Karten (Bancomat-, Postomat- und Debit-Karten für bargeldloses Zahlen an Ladenkassen), während blosse Informationsübermittlungsanlagen wie Fernschreiber, Telefax, Telex, digitalisierte Telefonsysteme usw. nicht als Datenverarbeitungsanlagen gelten würden.

2. Gemäss Art. 147 Abs. 1 StGB wird mit Zuchthaus bis zu fünf Jahren oder mit Gefängnis bestraft, "wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt".

2.1 Der Tatbestand wurde geschaffen, um den so genannten "Computerbetrug" unter Strafe zu stellen, der unter anderem mangels Täuschung einer Person nicht unter die Betrugsnorm (Art. 146 StGB) fällt. Beim betrügerischen Missbrauch einer Datenverarbeitungsanlage geht es laut der Botschaft darum, jene "Verhaltensweisen zu erfassen, bei denen zum Zwecke der unrechtmässigen Bereicherung mittels Manipulation von Daten oder Datenverarbeitungsanlagen diese zu einer Vermögensverschiebung veranlasst werden, die bei korrekter Handhabung nicht stattgefunden hätte" (Botschaft über die Änderung des Schweizerischen Strafgesetzbuches [...] vom 24. April 1991, BBl 1991 II 969, S. 1020). Der Gesetzgeber hat sich dabei um eine Symmetrie zum Betrug bemüht und sich an diesen Tatbestand angelehnt. An die Stelle der arglistigen Täuschung und der Irrtumserweckung des Opfers beim klassischen Betrug tritt beim "Computerbetrug" die Manipulation der Datenverarbeitung mittels Daten. Statt der Vermögensdisposition des Opfers beim Betrug verlangt Art. 147 StGB die von der manipulierten Datenverarbeitungsanlage (Computer) vorgenommene Vermögensverschiebung (vgl. Botschaft, S. 1020, 1027 f.).

Als Tathandlungen nennt das Gesetz alternativ (1) die Verwendung unrichtiger Daten, also namentlich Fälle, in denen ein Programm manipuliert wird oder die Zahlen einer vorzunehmenden Überweisung falsch eingegeben werden, (2) die Verwendung unvollständiger Daten, das heisst Vorgänge, bei denen an sich erforderliche Dateneingaben überhaupt nicht oder nur teilweise erfolgen, und (3) den unbefugten Einsatz von Daten, der sich dadurch kennzeichnet, dass der Täter, ohne dazu berechtigt zu sein, "an sich richtige Daten" verwendet und einen formal "richtigen" Datenverarbeitungsvorgang einleitet (vgl. Botschaft, S. 1021).

Mit der Generalklausel "... in vergleichbarer Weise ..." wollte der Gesetzgeber ermöglichen, auch künftige Manipulationsvarianten zu erfassen. Gedacht wurde vor allem an die so genannten "Konsol- und Hardware-Manipulationen", bei denen direkt in die Datenverarbeitungsvorgänge eingegriffen wird (Botschaft, S. 1022; zur Tatvariante "eine Vermögensverschiebung unmittelbar darnach verdeckt" vgl. Botschaft, S. 1023).

Erforderlich ist in objektiver Hinsicht, dass die Datenverarbeitungsanlage wegen der genannten Handlungen (ausgenommen die Verdeckungshandlungen) eine Vermögensverschiebung zu Lasten eines Dritten vornimmt, etwa durch Auszahlung eines Barbetrages, durch eine Gutschrift auf ein Konto oder durch eine unterbliebene "notwendige" Belastung eines Kontos. Die Vermögensverschiebung muss wie beim Betrug einen Schaden bewirken (Botschaft, S. 1022 f.).

Obschon der deutsche Gesetzestext dies nicht zum Ausdruck bringt, setzt der objektive Tatbestand nach den Materialien und den romanischen Texten ("par le biais du résultat inexact ainsi obtenu"; "per mezzo dei risultati erronei così ottenuti") sodann voraus, dass die manipulierte Datenverarbeitung zu einem unzutreffenden Ergebnis führt. Die Tathandlung muss mit anderen Worten eine Vermögensverschiebung auslösen, die der Sach- und Rechtslage im Zeitpunkt der Datenverarbeitung widerspricht (in diesem Sinne Botschaft, S. 1022; so oder ganz ähnlich auch die herrschende Lehre, für viele GÜNTER STRATENWERTH/GUIDO JENNY, Schweizerisches Strafrecht, Besonderer Teil I, 6. Aufl., Bern 2003, § 16 N. 4 und 6 mit Hinweisen).

2.2 Gemäss den tatsächlichen Feststellungen der Vorinstanz hat der Beschwerdeführer mit dem von ihm rechtswidrig angeeigneten Mobiltelefon ausschliesslich telefoniert. Irgendwelche Sperren musste er dafür nicht überwinden. Auch hat er das Gerät oder andere Einrichtungen nicht sonst wie manipuliert. In Betracht kommt deshalb nur die Tatvariante der unbefugten Verwendung von Daten. Die Generalklausel dagegen ist auf Fälle wie den hier zu beurteilenden offensichtlich nicht zugeschnitten (oben E. 2.1 dritter Absatz). Eine Verdeckung einer erfolgten Vermögensverschiebung liegt hier nicht vor.

2.2.1 Die Tatvariante der unbefugten Verwendung von Daten soll nach der Botschaft Fälle erfassen, in denen der "Unberechtigte" durch die an sich "richtige" Verwendung von Daten in die Datenverarbeitung eingreift (Botschaft, S. 1021). Es solle in erster Linie jeder Einsatz von Check- und Kreditkarten im automatisierten Zahlungsverkehr durch Unberechtigte, die wie etwa der Dieb, Finder oder auch Fälscher das Tatmittel durch eine strafbare Tat erlangt haben, unter Art. 147 StGB fallen (vgl. Botschaft, S. 1022 mit Hinweis auf die im Vordergrund stehenden Code-Karten [Bankomat- und Postomatkarten usw.] sowie auf die so genannten Debit-Karten zur bargeldlosen Bezahlung an Ladenkassen).

Nach der den Materialien folgenden Rechtsprechung des Bundesgerichts handelt es sich bei der Verwendung einer Bankomatkarte durch den Nichtberechtigten um einen typischen Anwendungsfall des Art. 147 StGB. Entscheidend sei dabei nicht, ob die Verwendung der Daten unbefugt bzw. unberechtigt erscheine, sondern ob sie zu einem im Ergebnis unzutreffenden Datenverarbeitungs- oder Datenübermittlungsvorgang führe. Deshalb erfülle den Tatbestand des betrügerischen Missbrauchs einer Datenverarbeitungsanlage auch, wer infolge einer falschen Adressmutation der Bank die Kontonummer eines Namensvetters zugestellt erhalte, gestützt darauf der Bank vorspiegle, der berechtigte Kontoinhaber zu sein, dadurch die Bank veranlasse, ihm eine entsprechende Code-Karte für das fremde Konto auszustellen, und damit innerhalb weniger Tage insgesamt Fr. 80'000.- an Bankomaten abhebe (Urteil des Bundesgerichts 6S.247/2001 vom 10. Mai 2001, E. 2a und 2b unter Berufung auf PIERRE SCHNEIDER, La fraude informatique au sens de l'article 147 CPS, Diss. Lausanne/Basel 1995, S. 65 ff. und GÜNTER STRATENWERTH, Schweizerisches Strafrecht, Besonderer Teil I, 5. Aufl., Bern 1995, § 16 N. 7; ebenso nunmehr STRATENWERTH/JENNY, Besonderer Teil I, 6. Aufl., a.a.O., § 16 N. 7).

Als Angriffsobjekte der unbefugten Verwendung von Daten werden neben den Geldautomaten und den Systemen zur bargeldlosen Bezahlung (wie z.B. ec-direct, Postcard) insbesondere das Home- und Telebanking, das Videotext-Verfahren, das Telepostcheckkonto, das automatisierte Lastschriftenverfahren sowie die nur über Codes zugänglichen kostenpflichtigen Datenbanken genannt. Erfasst seien zudem Fälle der ungetreuen Datenverwendung durch Angestellte, Organe usw. zum Nachteil des eigenen Unternehmens sowie des unrechtmässig hergestellten Zugangs zu kostenpflichtigen Telefondiensten, wie dies namentlich über Eingriffe in Verrechnungscodes bzw. anderen Dateien in Rechnern von Fernmeldegesellschaften oder durch Einsatz fremder Codes und Kartennummern möglich sei; allerdings verwischten sich hier die Bereiche strafbaren und gerade noch straflosen Verhaltens (vgl. NIKLAUS SCHMID, Computer- sowie Check- und Kreditkartenkriminalität, Zürich 1994, § 7 N. 61 ff.).

2.2.2 Fraglich ist zunächst, ob der Beschwerdeführer mit der Eingabe von Telefonnummern auf der Tastatur des Mobiltelefons und der anschliessend geführten Telefonate im Sinne des Art. 147 StGB Daten verwendet und auf einen Datenverarbeitungs- oder Datenübermittlungsvorgang eingewirkt bzw. diese "manipuliert" hat. Das Gesetz enthält keine Definition der Begriffe der "Daten" (vgl. Art. 143, 144bis, 147 StGB), der "Datenverarbeitungsanlage" (Art. 147 StGB) bzw. "Datenverarbeitungssysteme" (Art. 143bis StGB) sowie des "Datenübermittlungsvorgangs" (Art. 147 StGB). Der Gesetzgeber hat auf eine Umschreibung dieser Begriffe bewusst verzichtet (Botschaft, S. 986).

Zahlenreihen können nach der Rechtsprechung des Bundesgerichts (vgl. oben E. 2.2.1 Abs. 2) grundsätzlich Daten im Sinne von Art. 147 StGB sein. Darauf ist nicht zurückzukommen. Diese generelle Eignung bedeutet jedoch nicht ohne weiteres, dass der Beschwerdeführer mit der Eingabe von Telefonnummern und den hergestellten Telefonverbindungen Daten im Sinne des Art. 147 StGB verwendet hat. Wie die Botschaft ausführt, kommen als Tatobjekte nur Informationen in Frage, die von einer Datenverarbeitungsanlage verarbeitet, gespeichert und weitergegeben werden (Botschaft, S. 986 f.). Der Datenbegriff nach Art. 147 StGB ist somit abhängig von jenem der Datenverarbeitungsanlage (vgl. nur SCHMID, a.a.O., § 2 N. 9 ff., § 7 N. 34).

2.2.3 Zu untersuchen ist somit, ob der von Art. 147 StGB geforderte Bezug zu einer Datenverarbeitung bzw. Datenverarbeitungsanlage gegeben ist. Unter Datenverarbeitung sind elektronische oder vergleichbare technische Vorgänge zu verstehen, bei denen durch Eingabe von Daten bzw. Arbeitsbefehlen und ihre Verknüpfung nach Programmen, die eine Kodierung der Daten voraussetzen, automatisierte Arbeitsergebnisse erzielt werden (vgl. KARL LACKNER/KRISTIAN KÜHL, Strafgesetzbuch mit Erläuterungen, 24. Aufl., München 2001, § 263a dStGB N. 4 mit Hinweisen; ferner SCHMID, a.a.O., § 2 N. 9 ff.). Es geht dabei um Computer und deren Programme.

Mobiltelefone verfügen über verschiedene automatisierte Arbeitsfunktionen. Sie sind zudem über die SIM-Chipkarte mit den Antennen und Rechnern des jeweiligen Mobiltelefonanbieters verbunden. Beim Telefonieren mit einem Mobiltelefongerät findet nicht nur ein mündlicher Informationsaustausch zwischen den Gesprächspartnern statt, sondern es erfolgt auch ein bedeutsamer Datenverarbeitungsvorgang. Die Daten der SIM-Chipkarte werden dem Computer der Telefongesellschaft übermittelt und dort verarbeitet. Die Rechner der Telefongesellschaft sammeln, verarbeiten und speichern eine ganze Reihe von Informationen über Telefonate, etwa die angewählte Telefonnummer, die Gesprächsdauer und -kosten sowie die benutzten Antennen. Diese Daten dienen den Telefongesellschaften unter anderem dazu, periodisch in automatisierter Form Rechnungen auszufertigen und an die Kunden zu versenden. Angesichts dieser Abläufe hat die Vorinstanz zutreffend angenommen, dass der Anrufer beim mobilen Telefonieren im Sinne von Art. 147 StGB auf einen Datenverarbeitungsvorgang einwirkt. Das gilt unabhängig davon, ob die SIM-Chipkarte mit einem Code gesperrt ist oder das Mobiltelefon von jeder beliebigen Person verwendet werden kann.

Wie dargelegt, hat der Beschwerdeführer mit der Anwahl von Telefonnummern Daten im Sinne von Art. 147 StGB verwendet. Dies erfolgte gegen den Willen der Eigentümerin des Mobiltelefons, die zugleich Abonnentin der Swisscom war. Die Kosten der Telefonate des Beschwerdeführers wurden der Abonnentin automatisch belastet bzw. in Rechnung gestellt. Der Beschwerdeführer löste folglich mit seinen Anrufen jeweils eine Vermögensverschiebung zum Schaden der Eigentümerin des Mobiltelefons aus, da diese vertraglich verpflichtet war, der Telefongesellschaft die Anrufkosten zu bezahlen. Auf Grund seiner fehlenden rechtlichen Befugnis, die fremde SIM-Chipkarte zu benutzen, führten die von der Gesellschaft verarbeiteten Daten der ohne Recht durchgeführten Telefonate zu einem unzutreffenden Ergebnis. Hätte die Berechtigte die Telefongesellschaft vom Verlust des Telefons informiert, wäre die SIM-Chipkarte gesperrt worden. Das Verhalten des Beschwerdeführers war damit unbefugt im Sinne von Art. 147 StGB. Wohl wird dadurch die Parallele zum Betrug verlassen, weil der Beschwerdeführer weder einen Code eingeben noch eine Identitätskontrolle über sich ergehen lassen musste, um das Mobiltelefon benutzen zu können, doch entspricht dies dem Willen des Gesetzgebers, den Anwendungsbereich der Norm über die Tatvariante der unbefugten Verwendung von Daten auf Sachverhalte im Bereich der Geschäftsherrendelikte auszudehnen (vgl. GERHARD FIOLKA, Basler Kommentar, StGB II, Art. 147 N. 10 mit Hinweisen; STRATENWERTH/JENNY, Besonderer Teil I, 6. Aufl., a.a.O., § 16 N. 7; JÖRG REHBERG/NIKLAUS SCHMID/ANDREAS DONATSCH, Strafrecht III, 8. Aufl., Zürich 2003, S. 206).

2.2.4 Aus dem Gesagten ergibt sich, dass die Vorinstanz den Beschwerdeführer zu Recht wegen betrügerischen Missbrauchs einer Datenverarbeitungsanlage verurteilt hat.