Kategorien
Cybercrime Blog IT-Recht & Technologierecht Strafprozessrecht

Telekommunikationsüberwachung beim E-Mail Provider

Ein E-Mail-Provider kann verpflichtet werden, Verkehrsdaten zu erheben und diese an die Strafverfolgungsbehörden zur Verfügung zu stellen – auch wenn er bisher bewusst solche Daten nicht erhebt. Dieses Ergebnis steht seit der grundlegenden Entscheidung des Bundesverfassungsgerichts im Raum und es war vorhersehbar, dass die Staatsanwaltschaften dies forcieren werden.

Inzwischen hat sich das LG München I (9 Qs 15/19) mit der Frage beschäftigt und konnte die aktuelle Rechtsprechung des EUGH mit einfliessen lassen. Am Ende verbleibt es dabei, dass Provider zur Datenerhebung verpflichtet werden können – und wer keine Folge leistet, dem droht die Verhängung eines Ordnungsgeldes.

Update: Der Bundesgerichtshof hat diese Rechtsprechung nunmehr ausdrücklich gebilligt und sich ihr angeschlossen!

Einsatz eines TCP-Relays

In technischer Hinsicht ging es um einen Mail-Provider, der nach eigenem Vorbringen einen „TCP-Relay“ einsetzt, wodurch Informationen zur IP-Adresse eines Nutzers samt Zugriff auf Postfächer nicht erhoben werden.

TCP-Relay

Ein TCP-Relay kann als Proxy zwischen zwei verschiedenen Netzwerken eingesetzt werden. So wird verhindert, dass eigene Server im internen Netzwerk dem öffentlichen Internet ausgesetzt sind. Zugleich aber sind Clients außerhalb des internen Netzwerks in der Lage, sich mit einer Anwendung auf diesen internen Rechnern zu verbinden, also etwa so dass eine DMZ über den TCP-Relay die TCP-Verbindung von außen akzeptiert, wobei für den externen Client der TCP-Relay als Anwendungsserver in Erscheinung tritt – mit dem Ergebnis, dass der „eigentliche“ Anwendungsserver die Daten des Clients wie insbesondere die IP-Adresse gar nicht erhält und auch nicht benötigt.

Nun führt der Erlass eines Beschlusses dahingehend, dass alle Verkehrsdaten im Sinne von § 96 Abs. 1 TKG von ausgehenden und eingehenden Verbindungen zu erfassen sind, aber genau dazu, dass man erheben soll was nicht da ist. Hier wird dann darauf verwiesen, dass zwar für die Vergangenheit nichts mitgeteilt werden kann – für die Zukunft diese Daten aber zu erheben sind.

LG München sind wirksamen Beschluss

Rechtsgrundlage ist § 100a Abs. 4 S. 1 StPO i.V.m. § 101a Abs. 1 S. 1 StPO demzufolge jeder, der Telekommunikationsdienste erbringt oder daran mitwirkt, verpflichtet ist, auf Grund einer Anordnung der Erhebung von Verkehrsdaten, dem Gericht, der Staatsanwaltschaft und ihren im Polizeidienst tätigen Ermittlungspersonen diese Maßnahmen zu ermöglichen und die erforderlichen Auskünfte unverzüglich zu erteilen. Hier kann dann – gerade unter Berücksichtigung der aktuellen Rechtsprechung des EUGH zu Mail-Diensten – diskutiert werden, ob der Mail-provider überhaupt an der Erbringung von Telekommunikationsdiensten mitwirkt. Dies erkennt auch das LG München I, das dazu festhält:

Mit Urteil vom 13.06.2019 hat der Europäische Gerichtshof entschieden, dass der Begriff des „elektronischen Kommunikationsdienstes“ in der Richtlinie 2002/21/EG dahingehend auszulegen ist, dass ein internetbasierter E-Mail-Dienst, der keinen Internetzugang vermittelt, nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht und daher keinen „elektronischen Kommunikationsdienst“ im Sinne dieser Bestimmung darstellt. (EuGH, NVwZ 2019, 1118).

Dem Fazit, dass damit eine Überwachung wegfällt, versperrt sich das LG München I allerdings. Denn mit dessen Lesart kann aus dem Urteil gerade nicht der Schluss gezogen werden, dass die internetbasierte Kommunikation mittels E-Mail generell nicht Gegenstand eines „elektronischen Kommunikationsdienstes“ ist. Vielmehr ging es alleine darum, dass dieser nicht vom Anbieter des internetbasierten E-Mail Dienstes vollzogen wird. Dabei setzt das Gericht bei der Begrifflichkeit der „Mitwirkung“ in §100a StPO an:

Die Regelung in § 100a Abs. 4 StPO setzt ihrem klaren Wortlaut nach nicht voraus, dass der Verpflichtete selbst Erbringer von Telekommunikationsdiensten ist, es genügt eine Mitwirkung daran.

Wie der Begriff der Mitwirkung konkret auszulegen ist, wurde von der Rechtsprechung bislang soweit dies der Kammer ersichtlich ist, noch nicht entschieden. Der Gesetzesbegründung lässt sich entnehmen, dass der Gesetzgeber im Sinne einer effizienten Umsetzung der strafprozessualen Maßnahmen einen möglichst weiten Umfang der Verpflichteten erreichen wollte, so sollten beispielsweise bewusst auch solche Anbieter verpflichtet werden können, die ihre Dienste nicht geschäftsmäßig erbringen (BR-Drs. 275/07, S. 104/105). Dem trägt auch der Wortlaut Rechnung, denn gerade die zusätzliche Aufnahme des Begriffs der Mitwirkung in den Wortlaut zeigt auch, dass nicht lediglich die originären Erbringer der Telekommunikationsdienste als Verpflichtete angesehen werden sollten. Entsprechend dieser Zielsetzung ist der Begriff der Mitwirkung weit auszulegen.

Die Kammer sieht demnach vom Begriff der Mitwirkung sämtliche Tätigkeiten erfasst, die aktiv an den – auch von Dritten erbrachten – Telekommunikationsdienstleistungen mitwirken und bei welchen der Verpflichtete in einer Art und Weise Zugriff auf die von den Strafverfolgungsbehörden auf Grundlage der gesetzlichen Vorgaben zu erhebenden Daten hat, die es ihm ermöglicht, diese an die Behörden auszuleiten.


Keine europarechtliche Einschränkung

Und die europarechtliche Sichtweise? Die sieht das LG München I schon gar nicht betroffen, da die EUGH-Entscheidungen das betreffen, aber nicht in das Strafrecht hinein ausstrahlen können:

Eine europarechtlich gebotene Einschränkung dieser Auslegung vermag die Kammer nicht zu erkennen. Die in der StPO getroffenen Regelungen beruhen auch ausweislich der Gesetzesbegründung, die ein solches nicht erkennen lässt, nicht auf der Umsetzung diesbezüglich ergangener Rechtsakte der Europäischen Union, die bei der Auslegung der nationalen Normen der StPO zu berücksichtigen wären. Regelungsgegenstand der Richtlinie 2002/21/EG sind im Übrigen keine Vorgaben die das Strafrecht der Mitgliedsstaaten betreffen, vielmehr geht es um die Regulierung der Telekommunikationsdienste.

Dies ergibt sich bereits daraus, dass in der Richtlinie die Kompetenzgrundlage (Art. 83 AEUV) auf welcher die Europäische Union in – äußerst begrenzten Fällenim Bereich des Strafrechts gesetzgebend tätig werden kann, nicht genannt ist. Auswirkungen auf die strafrechtlichen Vorschriften der Mitgliedsstaaten können damit nur solche Rechtsakte haben, die auf Grundlage der Ermächtigung in Art. 83 AEUV ergangen sind.

Dazu auch: Landgericht Köln, 118 Qs 7/20

Die Beschwerdeführerin ist gemäß § 100a Abs. 4 StPO als Betreiberin eines internetbasierten E-Mail-Dienstes (sog. Over-the-Top-Dienst oder OTT) auch zur Umsetzung dieser Anordnung verpflichtet. Gemäß § 100a Abs. 4 Satz 1 StPO hat jeder, der Telekommunikationsdienste erbringt oder daran mitwirkt, dem Gericht, der Staatsanwaltschaft und ihren im Polizeidienst tätigen Ermittlungspersonen (§ 152 GVG) diese Maßnahmen zu ermöglichen und die erforderlichen Auskünfte unverzüglich zu erteilen. Diese Voraussetzungen liegen vor, denn die Beschwerdeführerin wirkt jedenfalls an der Erbringung von Telekommunikationsdiensten mit. Insofern ist die Beschwerdeführerin zur Mitwirkung verpflichtet, auch wenn sie unter Zugrundelegung des Urteils des EuGH vom 13.06.2019 (Az. C-193/18, juris) als Anbieter eines sog. „Over-the-Top-Dienstes“, der lediglich E-Mail-Dienste ohne gleichzeitige Vermittlung eines Internetzugangs anbietet, nicht als Erbringerin von Telekommunikationsdienstleistungen i.S.v. § 3 Nr. 24 TKG anzusehen ist. Denn Adressat der Mitwirkungspflicht gemäß § 100a Abs. 4 Satz 1 StPO ist nicht nur derjenige, der (eigenständig) Telekommunikationsdienste erbringt, sondern dem Wortlaut nach auch derjenige, der lediglich daran mitwirkt. Auch wenn der Dienst eines OTT-Anbieters nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht (i.S.v. Art. 2 Buchst. c der Richtlinie 2002/21/EG), ist zu berücksichtigen, dass der Erbringer eines internetbasierten E-Mail-Dienstes gleichwohl eine Übertragung von Signalen vornimmt, indem er den E-Mail-Adressen die IP-Adressen der entsprechenden Endgeräte zuordnet oder die versendeten und empfangenen, in Datenpakete zerlegten E-Mails über seine E-Mail-Server in das offene Internet einspeist und aus diesem empfängt (EuGH, Urt. v. 13.06.2019 – C-193/18, juris, dort Tz. 34, 37). Insofern wirkt der OTT-Anbieter zugleich an der Erbringung (fremder) Telekommunikationsdienste mit, weshalb er gemäß § 100a Abs. 4 Satz 1 StPO zur Mitwirkung verpflichtet ist (so auch LG München I, Beschluss vom 04.12.2019 – 9 Qs 15/19, MMR 2020, 336; LG Köln, Beschluss vom 19.02.2020 – 323 Qs 10/20; a.A. LG Hannover, Beschluss vom 04.06.2020, 46 Qs 26/20 und 46 Qs 27/20).

Hierfür spricht neben dem Wortlaut des § 100a Abs. 4 Satz 1 StPO, der den Kreis der Adressaten nicht allein auf die Erbringer von Telekommunikationsdiensten beschränkt, auch der Gesetzeszweck der Vorschrift, eine möglichst effiziente Umsetzung der Überwachungsmaßnahme zu gewährleisten (vgl. BT-Drucks. 16/5846, S. 47). Insofern dient die Vorschrift, welche – gleichlautend – zunächst als § 100b Abs. 3 Satz 1 StPO eingeführt worden ist, der Umsetzung des „Übereinkommens über Computerkriminalität“ vom 23.11.2001, dessen Vertragsparteien sich in Art. 17 (i.V.m. Art. 16) in Bezug auf Verkehrsdaten verpflichten, die erforderlichen (gesetzgeberischen) Maßnahmen zur umgehenden Sicherung und (teilweisen) Weitergabe von Verkehrsdaten durch die Dienstanbieter zu treffen. Der Begriff des Dienstanbieters umfasst hier gemäß Art. 1 Buchst. c. des Übereinkommens nicht nur jede öffentliche oder private Stelle, die es Nutzern ihres Dienstes ermöglicht, mit Hilfe eines Computersystems zu kommunizieren, sondern darüber hinaus auch jede andere Stelle, die für einen solchen Kommunikationsdienst oder für seine Nutzer Computerdaten verarbeitet oder speichert. Auf die Beschwerdeführerin als Erbringerin eines internetbasierten E-Mail-Dienstes, welche für ihre Nutzer Computerdaten auf ihren Servern verarbeitet und speichert, trifft letzteres zu (vgl. LG Köln, Beschluss vom 19.02.2020 – 323 Qs 10/20).


Wie ist damit umzugehen?

Es bleibt dabei: Mail-Diensteanbieter haben Verkehrsdaten zumindest zwingend ab dem Zeitpunkt zu erheben, zu dem ein solcher Beschluss in der Welt ist. Wenn die technische Infrastruktur bewusst so aufgestellt ist, dass man solche Daten gar nicht erst erhebt, muss man eben dafür sorgen, dass das geändert wird. Das Geschäftsmodell eines tatsächlichen, garantiert anonymen Mail-Dienstes dürfte damit in Deutschland gar nicht umsetzbar sein.

Die Entscheidung des LG München I hat bisher überraschend wenig Echo erfahren, einzig in der MMR 2020, S.336ff. habe ich die Entscheidung samt Anmerkung gefunden. Die Anmerkung kommt dabei zu dem – durchaus naheliegenden – Schluss, dass die ausdifferenzierte Entscheidung des LG München I nachvollziehbar und überzeugend ist. Gerade der Bezugspunkt, über das Merkmal „Mitwirkung“ im §100a StPO eine Lösung zu suchen (wo dann Art. 83 AEUV einschlägig wäre) um damit einen Weg fernab der TK-Richtlinien eingeschlagen zu haben macht die Entscheidung durchaus nachvollziehbar.

Allerdings muss man zugleich feststellen, dass sich Europa zu einem Rechtsraum entwickelt, in dem die Grundlagen zu vollüberwachter Infrastruktur gelegt werden – wenn auf der einen Seite anonyme Internetbezogene Dienste durch gerichtlich angeordnete Überwachung wie vorliegend eliminiert werden, zugleich sichere verschlüsselte Kommunikation aber ebenso unmöglich gemacht werden soll, bleibt kein (digitaler) Raum für sichere Kommunikation mehr. Auch dieser Aspekt sollte Rechtspolitisch durchaus skeptisch zur Kenntnis genommen werden.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Auf Strafverteidigung & Wirtschaftsstrafrecht spezialisiert übernehmen wir ausschließlich Strafverteidigungen, Ordnungswidrigkeiten und Strafvollstreckungssachen.
Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr Profi in Strafverteidigung, speziell in Cybercrime, Wirtschaftsstrafrecht und Arbeitsstrafrecht sowie bei Unternehmens-Bußgeldern