Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht

Durchsicht von elektronischen Speichermedien (§110 StPO)

Anwaltskanzlei Ferner Alsdorf: 02404 92100

Beim Landgericht Koblenz (4 Qs 59/21) ging es um die spannende Frage des Anwendungsbereichs des §110 StPO. Insbesondere um die Aspekte der Abgrenzung von der heimlichen Online-Durchsuchung sowie des Umgangs mit dem Zugriff auf ausländische Datenspeicher. Die Entscheidung offenbart zugleich, warum erfahrene Cybercrime-Verteidiger sofort auf den Aspekt hinweisen, dass Behörden Zugriff auf Account-Daten erhalten können.

Fernab der strafprozessualen Vorgaben sind Gerichte offenkundig bereit, im Nachhinein abzusegnen, wenn Ermittler vom Schreibtisch aus sämtliche Online-Accounts durchsuchen. Warum man da überhaupt noch Ermächtigungsgrundlagen in der Strafprozessordnung braucht, darf durchaus gefragt werden.

Sachverhalt: Zugriff auf Online-Konten

Im Rahmen einer klassischen wurde ein Smartphone beschlagnahmt. Später bemerkte der Betroffene dann, dass von einer fremden IP-Adresse auf seine Konten bei Facebook, Google und LinkedIN zugegriffen wurde. Er vermutete – zu Recht – einen Zusammenhang zu der zuvor erfolgten Durchsuchung. Auf Nachfrage des Verteidigers gab die ermittelnde Steuerfahndung bekannt:

„(…) zu ihrem Schreiben vom 31.08.2020 möchte ich nach Rücksprache mit unserer ITAbteilung nachfolgende Informationen weitergeben:

Das Handy des Beschuldigten (…) wurde am Durchsuchungstag vor Ort mit dem UFED Physical Analyzer gesichert. Dies ist ein Standard-Tool und bei Strafverfolgungsbehörden im Einsatz. Die Software arbeitet forensisch fundiert. Bei dieser Sicherung werden u.a. auch die auf dem Gerät gespeicherten Zugangsdaten zu Online- und Clouddiensten ausgelesen und in einem sog. Account-Package dem IT-Prüfer zur Verfügung gestellt. Was nicht auf dem Gerät gespeichert ist, wird auch nicht in diesem Account Package bereitgestellt.

Dieses Package kann dann mit einem anderen Tool, dem UFED Cloud Analyzer eingelesen werden. Der Cloud Analyzer versucht dann, wie (…) geschehen, sich mit dem Internet zu verbinden und online mit Hilfe der Zugangsdaten weitere, online gespeicherte Daten abzurufen.“

Das ist durchaus Alltag und darf Verteidiger nicht überraschen – Online-Konten sind natürlich Gegenstand einer „Durchsicht“ wenn die Ermittler einmal die Daten in den Fingern haben.

Online-Durchsuchung

Das Landgericht führt nun aus, warum es sich hierbei nicht um eine Online-Durchsuchung gehandelt haben soll. Was sich dabei zuerst eingängig liest ist aber nach meinem Dafürhalten, soviel sei vorweg genommen, schlicht nicht haltbar:

Eine Online-Sichtung nach § 110 Abs. 3 StPO ist dabei abzugrenzen von einem Zugriff auf fremde Computersysteme im Rahmen der (verdeckten) Online-Durchsuchung durch heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und Speichermedien ausgelesen werden können (…). Eine Online-Sichtung wird aber noch nicht dadurch zu einer (verdeckten) Online-Durchsuchung, wenn sie gegenüber dem Gewahrsamsinhaber der online zugänglichen Daten, also aus Sicht des Dritten (vorliegend ebay, Facebook und Google) heimlich erfolgt, solange dieser Zugriff auf Grund der Konfiguration des Computersystems des Betroffenen technisch möglich ist (…).

Bei dem Abruf der Daten der verschiedenen Accounts des Beschuldigten handelte es sich um eine Online-Sichtung nach § 110 Abs. 3 StPO und nicht um eine verdeckte Infiltration eines informatorischen Systems des Beschuldigten. Am 1. April 2019 fand bei dem Beschuldigten eine Durchsuchung statt. Im Rahmen dieser Durchsuchung übergab der Beschuldigte sein Handy und seine Apple Watch den IT Fahndungsbeamten. Mit der Übergabe der Geräte an die Ermittlungsbehörden war erwartbar, dass diese im Rahmen der Sichtung die auf den Geräten gespeicherten Daten abrufen würden. Gleiches gilt für weitere Speicherorte, deren Zugangsdaten sich auf den übergebenen Geräten befanden. Die über das Mobiltelefon erlangten Zugangsdaten wurden daraufhin am 4. und 5. April 2019, mithin an zwei Tagen innerhalb einer Woche ab dem Zeitpunkt der Durchsuchung genutzt, um eine Datensicherung der in den verschiedenen Accounts gespeicherten Daten zu erstellen. Der Zeitrahmen des Zugriffs auf die Speichermedien liegt damit noch innerhalb der im Nachgang zu einer Durchsuchung üblichen Sichtungszeiten.

Nun, man stößt erst mal in das Horn, das Verteidiger seit je her blasen: „Selber schuld“ wer Geräte herausgibt und sich dann darauf verlässt, dass Ermittler damit keinen Schindluder treiben. Im Übrigen sind die Ausführungen schlicht an der Sache vorbei: Die Durchsicht bezieht sich nur auf beschlagnahmte Objekte, der gesamte Aufbau des § 110 StPO bezieht sich eindeutig darauf, dass im Rahmen der Durchsuchung bereits gesichtet wird – oder eben die gesicherten Daten in ihrem Bestand (und nicht darüber hinaus) später durchgesehen werden.

Das Landgericht verkennt in seinem Bestreben, das gesamte Vorgehen der Ermittler bloß abzusichern, die Hintergründe der Ermächtigungsgrundlagen: Eine ist eine überraschende, keine heimliche Maßnahme. Sie wird auch nicht zur heimlichen über den dritten Absatz des § 110 StPO. Gerade weil die Online-Durchsuchung von ihrer Natur her eine heimliche Maßnahme ist, musste hier (u.a.) nachgebessert werden in Form des § 100b StPO. Dass ein Betroffener mit irgendwas „rechnen musste“ ist nur Wortakrobatik, die an der Heimlichkeit des späteren Zugriffs nichts ändert.

Warum dies so wichtig ist, und warum hier – mal wieder – ein Landgericht in Verkennung seiner Aufgabe den Rechtsstaat mit Füßen tritt, zeigt der einfache Bezug zu E-Mail: E-Mails können beschlagnahmt werden, was über einen Durchsuchungsbeschluss beim Dritten, etwa im IT-Betrieb, umgesetzt wird. Man kommt also am richterlichen Beschluss nicht vorbei. Anders nun, wenn man mit dem LG Koblenz die spätere Durchsicht generell erlaubt: Dann werden die Zugangsdaten aus dem Handy ausgelesen, Zugriff auf den Mailserver genommen und die gesamte Mailkorrespondenz (heimlich!) gelesen. Dafür wurde der § 110 StPO, der schon von seiner Historie her alleine für die Durchsuchungsmaßnahme vor Ort existiert, nie erfunden oder verändert. Was das LG hier macht, ist nichts Geringeres als einen heimlichen Vollzugriff von Ermittlern ohne richterliche Kontrolle abzusegnen. Denn im ursprünglichen Durchsuchungsbeschluss wird von einem Durchsuchen von eBay oder Facebook sicherlich nichts gestanden haben.

Probleme wegen des Zugriffs auf ausländische Server?

Die Landgerichts-Entscheidung geht dann auch auf die umstrittene Frage ein, wie damit umzugehen ist, dass auf einen ausländischen Server zugegriffen wird. Dies ist heftig umstritten und die aus meiner Sicht ernst zu nehmenden Meinungen haben vollkommen zu Recht erhebliche Bedenken, so etwa MüKo-StPO, der Karlsruher-Kommentar oder die mir bekannten Literatur-Auffassungen. Das Landgericht möchte hier – es ist eine offenkundige Willensentscheidung – auf keinen Fall ein Problem sehen und stellt sich gegen diese Meinungen.

Dies mit zumindest in einem Punkt durchaus hörbaren Argumenten, wenn nämlich darauf verwiesen wird, dass ein Rechtshilfeersuchen dort scheitert, wo Speicherplatz sich ja auch geografisch jederzeit ändern kann. Hier allerdings verkennt das Landgericht, dass dies ein Argument ist, dass gegen ein sprechen kann, weniger gegen die offenkundige Völkerrechtswidrigkeit, wenn auf Datenspeicher in souveränen Staaten zugegriffen wird ohne die Zustimmung der dort originär zuständigen Ermittlungsbehörden:

Der Zugriff auf die (wohl) im Ausland gespeicherten Daten war auch ohne Rechtshilfeersuchen zulässig.

aa) Nach teilweise vertretener Ansicht bietet § 110 Abs. 3 StPO keine ausreichende Ermächtigungsgrundlage für einen Zugriff auf im Ausland gespeicherte Daten. Die Beschränkung der Norm auf im Inland gespeicherte Daten gehe dabei nicht unmittelbar aus deren Wortlaut hervor, werde aber aus der Begründung des Gesetzesentwurfs sowie aus dem Souveränitätsprinzip deutlich (…).

Teilweise wird vertreten, ein Rechtshilfeersuchen sei nur erforderlich, wenn die Daten zugangsgeschützt sind (…). Teilweise wird selbst von Vertretern dieser Auffassung ein Rechtshilfeersuchen jedoch dann nicht für erforderlich gehalten, wenn nicht bekannt ist, in welchem Ausland die Daten gespeichert werden (…) bzw. nicht klar ist, ob die Daten überhaupt im Ausland gespeichert sind und ein Zugriff auf die Daten vom Computer des Beschuldigten (bzw. mit dessen Zugangsdaten) aus möglich ist (…).

bb) Jedenfalls der letzten Auffassung ist insoweit zuzustimmen, dass der Abruf von Daten in sozialen Netzwerken oder ähnlichem über die – im Rahmen einer Durchsuchung erlangten – Benutzerkennung keines zusätzlichen Rechtshilfeersuchens bedarf.

Der Wortlaut der Norm enthält keine Einschränkung dahingehend, dass der Zugriff auf im Inland gespeicherte Daten beschränkt ist. Auch war die heutige Situation, in der Daten über Drittanbieter (soziale Netzwerke, E-Mail Systeme o.ä.) dezentral in Clouds gespeichert werden, dem historischen Gesetzgeber nicht vor Augen. Im Gegenteil, in der Begründung zum Gesetzesentwurf (im Jahr 2007) war noch von „dem Zugriff auf vom Zugangsgerät (z.B. Personal Computer) räumlich getrennte Teile eines Computersystems (z.B. Netzwerkrechner im Intra- oder Internet“ (BT-Drucks. 16/5846, S. 27) die Rede.

Gegen das Erfordernis eines Rechtshilfeersuchens spricht auch, dass der Staat, an den ein derartiges Ersuchen zu richten wäre, entweder nicht feststellbar ist oder sich durch eine Neuordnung des Speicherplatzes (durch den Dritten, nicht den Beschuldigten) jederzeit ändern könnte. So unterhält allein Google Rechenzentren auf 4 Kontinenten, Facebook hat bereits im Jahr 2011 neben Servern in den USA einen großen Serverpark in Schweden errichtet.

Zudem entspricht es dem Geschäftsmodell der Drittanbieter, dass über eigene Serverkapazitäten hinaus erhebliche Serverleistungen „fremd“ eingekauft werden, so dass der Standort der tatsächlich genutzten Server nicht mit denen der Drittanbieter übereinstimmen muss. Das Erfordernis, sich vor einem Zugriff auf die Daten zuerst im Wege eines Rechtshilfeersuchens an den – unbekannten oder wechselnden – Staat zu wenden, auf dessen Hoheitsgebiet (gerade) der zur Speicherung der Daten genutzte Server steht, würde die Norm des § 110 Abs. 3 StPO für alle Cloud basierten Dienste ad absurdum führen.

cc) Mit einem Abruf der Daten über im Rahmen einer Durchsuchung erlangte Nutzerdaten greifen deutsche Ermittlungsbehörden auch nicht völkerrechtswidrig in Hoheitsrechte von Drittstaaten ein. Zwar ist nach Art. 32 des Übereinkommens über Computerkriminalität des Europarats vom 23.11.2001 ein Zugriff auf in einem fremden Staat gespeicherte Daten bei offenen Quellen oder mit Einverständnis des Verfügungsberechtigten möglich. Hieraus abzuleiten, dass ein darüber hinausgehender Zugriff völkerrechtswidrig ist und es daher an einer Rechtsgrundlage fehlt (…), geht jedoch fehl.

Bereits im Jahr 2010 wurde von der Economic Crime Division des Europarats ein Diskussionspapier (Project on Cybercrime, Discussion Paper, Cloud Computing and cybercrime investigations: Territoriality vs. the power of disposal, Version 31. August 2010, abrufbar https://rm.coe.int/16802fa3df) vorgelegt, welches sich explizit mit dem „Loss of Location“, dem Problem, dass bei Cloud Computing der Speicherort der Daten nicht (sicher und längerfristig) festgestellt werden kann, auseinandersetzt. Als Anknüpfungspunkt für hoheitliches Tätigwerden schlug die Economic Crime Division daher die Verfügungsberechtigung über die Daten anstelle (wie bisher) den Speicherort vor. Zugriff auf gespeicherte Daten sollte danach unabhängig vom Speicherort möglich sein, wenn folgende Voraussetzungen vorlägen: (1) Aufgrund der Nutzung von Cloud-Speichern ist der Speicherort unbekannt oder unsicher, (2) der Abruf der Daten ist aufgrund eines authorisierten Zugriffs (Benutzername und Kennwort) möglich, (3) die Zugriffsdaten gehören dem Beschuldigten oder werden von diesem verwendet, (4) die Zugriffsdaten wurden rechtmäßigerweise von den Strafverfolgungsbehörden erlangt, (5) es erging kein Auskunftsersuchen an den cloud service provider (Drittanbieter) und (6) der Beschuldigte befindet sich auf dem Hoheitsgebiet des handelnden Staates oder ist dessen Staatsbürger.

Im Fall des Beschuldigten liegen alle bereits im Jahr 2010 von der Economic Crime Division des Europarats als Anknüpfungspunkt für (völker-)rechtmäßiges Handeln vorgeschlagenen Voraussetzungen vor.

Entsprechende Ansätze finden sich zudem in der Folgezeit in höchstrichterlicher Rechtsprechung als einer Quelle des Völker(gewohnheits)rechts. So hat der belgische Kassationshof im Jahr 2015 entschieden, dass für die Herausgabe von in Cloud-Systemen gespeicherten Daten durch ein in den Vereinigten Staaten ansässiges Unternehmen durch belgische Behörden ein hinreichender territorialer Anknüpfungspunkt bestehe, da das Unternehmen in Belgien eine Webpräsenz unterhalte und dort am Wirtschaftsleben teilnehme. Dieser territoriale Anknüpfungspunkt sei ausreichend, die Maßnahme selbst erfordere weder die Anwesenheit von belgischen Polizeibeamten oder Richtern im Ausland noch die Vornahme einer wesentlichen Handlung im Ausland (Hof van Cassatie van Belgie, Arrest, 1. Dezember 2015, Nr. P.13.2082.N, Rz. 6, 9). In einer Entscheidung des United States Court of Appeal wurde in einem obiter dictum ausgeführt, der Standort von elektronischen Dokumenten sei grundsätzlich virtuell. Im Ausland gespeicherte Unterlagen könnten innerstaatlichen Stellen vorgelegt werden, ohne dass der Bearbeiter „seinen Schreibtisch verlassen müsse“. Würde von einer amerikanischen Firma die Vorlage von E-Mails eines amerikanischen, sich dort aufhaltenden Staatsbürgers verlangt, welche zwar in Irland gespeichert, aber durch Knopfdruck abrufbar seien, so erscheine es als bemerkenswert formalistisch, dies als extraterritorial anzusehen und nicht als innerstaatlichen Vorgang (Microsoft v. United States, United States Court of Appeal, Decision 14. Juli 2016, Az. 14-2985, Concurring Judgement S. 13, 15).

Fazit

Die Entscheidung tut sich selbst keinen Gefallen, da man hier bereit war, verbindliche rechtsstaatliche Vorgaben um des Ergebnis willens zu unterlaufen – bis zur Abschwächung des Richtervorbehalts insgesamt. Die Entscheidung überzeugt nicht, dürfte aber schnell viel Anklang bei übereifrigen Ermittlern finden. Betroffene einer Hausdurchsuchung wiederum sehen hier nun schwarz auf weiß, warum zu viel Blauäugigkeit gefährlich ist: Ermittler nehmen auf alles Zugriff und das Risiko, dass weitere Straftaten erkannt werden ist immanent. Der Zugriff auf Online-Accounts und deren Auslesen muss auf jeden Fall als zwingend nach einer Hausdurchsuchung erkannt werden.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Rechtsanwalt Jens Ferner ist Strafverteidiger und Fachanwalt für IT-Recht. Spezialgebiete von RA JF: Cybercrime, IT-Sicherheit, Softwarerecht, BTM-Strafrecht, Jugendstrafrecht und Wirtschaftsstrafrecht. Er ist Autor und hält Fach-Vorträge als Dozent zu den Themen Cybercrime, Strafprozessrecht, DSGVO, Cybersecurity und digitale Beweismittel inkl. Darknet- und Encrochat.

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht und IT-Recht, speziell bei Softwarerecht, DSGVO & IT-Vertragsrecht - mit ergänzender Tätigkeit im Arbeitsrecht sowie im digitalen gewerblichen Rechtsschutz.

Sie möchten unseren News folgen:  Wir bieten einen Telegram Kanal sowie ein LinkedIn-Profil.