Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht

Pflichten des IT-Dienstleisters bei Online-Durchsuchung (§100b StPO)

Das OLG Stuttgart, 2 Ws 75/21, hat klarstellend entschieden, dass die in § 100b StPO vorgesehene Online-Durchsuchung keine Ermächtigungsgrundlage darstellt, um einen IT-Servicedienstleister allein zur Herausgabe von auf seinem Server gespeicherten Daten eines Dritten und zur Verschwiegenheit hierüber zu verpflichten.

§100b StPO: Keine heimliche Mitwirkung

§ 100b StPO regelt den verdeckten Zugriff der Ermittlungsbehörden auf ein vom Beschuldigten genutztes informationstechnisches System mit technischen Mitteln – und sieht keine heimlich auszuübende Mitwirkungsverpflichtung eines Dritten vor. Hierzu führt das OLG aus:

Bereits vor Normerlass war nach der Rechtsprechung des BGH die Beschlagnahme und Auswertung eines Computers und dessen vollständigen Datenbestandes nach §§ 94 ff., 102 ff. StPO mit den entsprechenden Herausgabepflichten aus § 95 StPO möglich; eine verdeckte Online-Durchsuchung war demgegenüber wegen der damit aufgrund der Heimlichkeit der Maßnahme gesteigerten Eingriffsintensität und mangels gesetzlicher Grundlage nicht zulässig (vgl. BGH, Beschluss vom 31.01.2007 – StB 18/06). Mit Einführung der Onlinedurchsuchung gemäß § 100b StPO wollte der Gesetzgeber die diesbezüglich erkannte Regelunglücke schließen und den Ermittlungsbehörden verdeckte Durchsuchungsmaßnahmen unter bestimmten, einschränkenden Voraussetzungen mit technischen Mitteln ermöglichen, wie sich der Gesetzesbegründung (BT-Drucksache 18/12785) entnehmen lässt. Die Gesetzesmotive (aaO, Seite 54) verdeutlichen, dass der Gesetzgeber eine Online-Durchsuchung im Sinne eines verdeckten, d.h. heimlichen, staatlichen Zugriffs auf ein fremdes informationstechnisches System mit dem Ziel, dessen Nutzung zu überwachen und gespeicherte Inhalte auszuleiten, verstanden wissen wollte. Da er nach der damaligen Rechtslage eine „offene“ Durchsuchung und Beschlagnahme der auf informationstechnischen Geräten gespeicherten Daten nach den §§ 94 ff., 102 ff. StPO jedoch bereits als grundsätzlich legitimiert ansah, stellte er mit der Schaffung des § 100b StPO einerseits die Heimlichkeit der Maßnahme in den Mittelpunkt und wollte zur Wahrung derselben den Einsatz technischer Instrumentarien erlauben. Er wollte staatlichen Ermittlungsbehörden ermöglichen, das IT-System eines Beschuldigten ohne dessen Wissen zu infiltrieren. Zwar lässt sich der Gesetzesbegründung nicht entnehmen, wie hiernach zum Einsatz kommende technische Mittel ausgestaltet sein sollten; die Gesetzesbegründung geht jedoch erkennbar davon aus, dass solche Mittel angewendet werden müssen, um die heimliche Datenerhebung zu erreichen. Deutlich wird in den Gesetzesmaterialien auch, dass die Informationsbeschaffung im Rahmen des § 100b StPO deutlich weiter reichen sollte, als dies bis dahin auf Grundlage einer – ausschließlich Kommunikationsinhalte umfassenden – Telekommunikationsüberwachung nach § 100a StPO möglich war; nicht nur neu hinzukommende Kommunikationsinhalte, sondern alle auf einem informationstechnischen System gespeicherten Inhalte sowie das gesamte Nutzungsverhalten einer Person sollten überwacht werden können.

Vor diesem Hintergrund setzt sich die Gesetzesbegründung auch intensiv mit der Frage auseinander, dass die Ausforschung und Untersuchung aller Daten und Aktivitäten eines IT-Systems über die reinen Kommunikationsinhalte hinaus den von Art. 1 i.V.m. Art. 2 Abs. 2 GG verfassungsrechtlich besonders geschützten Kernbereich der privaten Lebensführung betreffen kann. Dementsprechend hat der Gesetzgeber sich hinsichtlich der Eingriffsvoraussetzungen und der verfahrensrechtlichen Sicherungen des § 100b StPO an den Regelungen zur akustischen Wohnraumüberwachung orientiert. Nach den Vorstellungen des Gesetzgebers sollte von der Online-Durchsuchung den verfassungsrechtlichen Vorgaben folgend restriktiv Gebrauch gemacht werden, was auch durch die Subsidiaritätsklausel in § 100b Abs. 1 Nr. 3 StPO zum Ausdruck kommt.

Diesem gesetzgeberischen Willen und den verfassungsrechtlichen Anforderungen entsprechend ist bei der Anwendung und Auslegung der Norm nach Ansicht des Senats Zurückhaltung geboten. Die vom Gesetzgeber vorgenommene Typisierung der einzelnen Ermittlungsmaßnahmen und der ihnen jeweils innewohnende Charakter muss im Blick behalten werden: Im Ausgangspunkt erfährt daher eine Onlinedurchsuchung gemäß § 100b StPO im Gegensatz zur Durchsuchung und Beschlagnahme nach §§ 94 ff., 102 ff. StPO ihre spezifische Prägung durch die Heimlichkeit der Maßnahme. Daher sind in § 100b StPO anders als bei der Telefonüberwachung nach § 100a StPO, der Bestandsdatenauskunft nach § 100j StPO oder der Erhebung von Nutzungsdaten bei Telemediendiensten gem. § 100k StPO gerade keine Mitwirkungspflichten von Providern vorgesehen. Das Fehlen einer vergleichbaren Ermächtigungsnorm im Bereich des § 100b StPO zeigt, dass der Fall einer offenen Maßnahme gegenüber dem Diensteanbieter gerade nicht geregelt ist.

Die Anordnung einer Onlinedurchsuchung durch das Gericht erlaubt den Ermittlungsbehörden, ein bestimmtes IT-System des Beschuldigten oder eines Dritten, dessen IT-System der Beschuldigte nutzt, zu infiltrieren, um Daten aus diesem System zu erheben. Die Ausführung der Maßnahme obliegt zwar der Staatsanwaltschaft und ihren Ermittlungspersonen. Dabei ist es nach allgemeinen Grundsätzen grundsätzlich auch denkbar, dass die Staatsanwaltschaft als „Herrin des Ermittlungsverfahrens“ eine gerichtlich angeordnete Ermittlungsmaßnahme nicht oder nur teilweise ausführen lässt, etwa, wenn der Vollzug der angeordneten Maßnahme aufgrund von aktuellen Entwicklungen nicht (mehr) zweckmäßig erscheint. Auch ist es zulässig, eine gerichtlich angeordnete Maßnahme nur teilweise auszuführen, wenn sich eine in der Anordnung vorgesehene Zwangsmaßnahme durch die freiwillige Mitwirkung der betroffenen Person erübrigt.

Für nicht zulässig hält es der Senat allerdings, im Wege eines Erst-Recht-Schlusses – wie die Staatsanwaltschaft in ihrer Beschwerde argumentiert – die Verpflichtung eines Dritten zur Mitwirkung als vermeintlich milderes Mittel gegenüber einer technischen Infiltration auf Grundlage von § 100b StPO anzuordnen; hierin ist kein Minus, sondern vielmehr ein Aliud zu sehen. Die Vorschrift des § 100b StPO behandelt nämlich nur das Verhältnis von staatlichen Ermittlungsbehörden gegenüber Beschuldigten und nicht auch gegenüber Dritten. Hätte der Gesetzgeber über das in § 100b Abs. 3 S. 2 StPO bereits vorgesehene Maß hinaus in Rechte Dritter eingreifen und sie etwa zur Mitwirkung verpflichten wollen, hätte dies bereits aus verfassungsrechtlichen Gründen einer ausdrücklichen Regelung bedurft.

Denn eine offene, den Diensteanbieter verpflichtende Maßnahme nach § 100b StPO würde neben dem Eingriff in den Schutzbereich des Grundrechts auf Integrität und Vertraulichkeit informationstechnischer Systeme und dem Eingriff in das Fernmeldegeheimnis auch einen Eingriff in die Berufsausübungsfreiheit des Diensteanbieters darstellen, der nach Art. 12 Abs.1 S.2 GG einer besonderen gesetzlichen Grundlage bedürfte (vgl. BGH, Beschluss vom 20. August 2015 – StB 7/15 –, juris zu § 100a und 100b Abs. 3 S.1 a.F.). Insoweit stellt auch § 95 StPO mit der dort normierten Herausgabepflicht keine ausreichende Ermächtigungsgrundlage dar, da dieser allein die Herausgabe von (beschlagnahmefähigen) Gegenständen betrifft, worunter zwar grds. die vorliegend zu erhebenden (Bestands-) Daten fallen, nicht aber die auch dem § 100b StPO unterfallende laufende Kommunikation nebst Überwachung des Nutzungsverhaltens.

Eine gegenüber dem Diensteanbieter – und nicht einem Beschuldigten – als Eingriffsadressaten nach § 100b Abs. 3 S. 2 StPO offene Maßnahme nach § 100b StPO käme darüber hinaus vor dem Hintergrund der Subsidiaritätsklausel des § 100b Abs. 1 Nr. 3 StPO nicht in Betracht. Insoweit stellt die im vorliegenden Fall zur Erhebung von Bestandsdaten ausreichende analoge Durchsuchung und Beschlagnahme nach §§ 102 ff., 94 ff. StPO den geringeren Eingriff bei gleichem Erfolg der Maßnahme (einmalige Erhebung der zum Zeitpunkt der Durchsuchung vorhandenen Daten) dar.

Keine Verschwiegenheitspflicht

Darüber hinaus ergibt sich mit dem OLG aus § 100b i.V.m. § 101 Abs. 4 S. 3 u. 4 StPO, genauso wenig wie (bislang) aus den §§ 94 ff. StPO, eine Ermächtigung, den betroffenen Diensteanbieter zur Verschwiegenheit gegenüber seinem Kunden, dem Beschuldigten, zu verpflichten:

Die durch § 101 Abs. 4 S. 3 u. 4 StPO ermöglichte Zurückstellung der Benachrichtigung des Betroffenen stellt lediglich eine Ausnahme von der ansonsten nach § 35 StPO spätestens mit Beginn einer Maßnahme durch die staatlichen Organe vorzunehmende Benachrichtigung dar; keinesfalls kann hierüber ein Dritter – noch dazu in Bezug auf seine Berufsausübung – zum Stillschweigen verpflichtet werden.

Eine Stillschweigeverpflichtung ergibt sich für (deutsche) Diensteanbieter allein aus § 113 Abs. 6 S. 2 TKG (bzw. § 17 G 10), der aber seinerseits keine Ermächtigungsnorm für die Strafverfolgungsbehörden darstellt und dessen Reichweite sich überdies auf den Anwendungsbereich des TKG beschränkt, das auf den vorliegend in Rede stehenden Anbieter von Cloud-Diensten keine Anwendung findet.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht sowie Beratung von Unternehmen im IT-Recht. Rechtsanwalt Jens Ferner ist Strafverteidiger und Fachanwalt für IT-Recht, im Strafrecht spezialisiert auf Cybercrime, Wirtschaftsstrafrecht und BtMG sowie im IT-Recht auf Softwarerecht, Datenschutzrecht und IT-Sicherheitsrecht.

Strafverteidiger-Notruf: 01579-2374900