Durchsicht informationstechnischer Systeme: § 110 Abs. 3 StPO im Lichte des IT-Grundrechts. Dissertationsschrift 9783161613159, 9783161613166, 3161613155

Table of contents :
Cover
Titel
Vorwort
Inhaltsverzeichnis
Einleitung
A. Einführung
I. Die konkreten Fragestellungen dieser Arbeit
1. Übergeordnete Fragestellungen
2. Einzelfragen im Überblick
3. Nicht beantwortete Fragen / Grenzen der Untersuchung
II. Methodik der Untersuchung
B. Staatlicher Zugriff auf elektronisch gespeicherte Daten vor dem Hintergrund zweier Grundsatzurteile des BVerfG
C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV
I. Offenheit und Heimlichkeit der Durchsuchung
II. Gesetzesbegründung der Bundesregierung zu § 110 Abs. 3 StPO (a. F.)
III. Änderungsbegründung des Rechtsausschusses zu § 110 Abs 3 StPO
IV. Weitere Verheimlichung durch Zurückstellung der Benachrichtigung des Beschuldigten gem. § 110 Abs. 4 i. V. m. § 95a StPO
V. Zusammenfassung / Problemaufriss
D. Begriffe
I. Online-Durchsuchung in Abgrenzung zur Netzwerkdurchsicht
1. Exkurs: Gesetzgebungsgeschichte des § 100b StPO
2. Vielgestaltigkeit der „Online-Durchsuchung“
3. Abgrenzung des § 110 Abs. 3 S. 2 StPO zu anderen Formen der „Online-Durchsuchung“
4. § 110 Abs. 3 S. 2 StPO: Die „Netzwerkdurchsicht“
II. Heimliche Maßnahmen, Verdeckte Maßnahmen / Offene Maßnahmen
III. Begriffe aus der Informationstechnik und Informationstechnologie
1. EDV und IT
2. Daten und Informationen
a) Der Unterschied zwischen Daten und Informationen
b) Personenbezogene Daten
c) Bestandsdaten; Verkehrsdaten; Inhaltsdaten; Metadaten
3. Speichermedium; Computersystem; Informationstechnisches System
E. Weiterer Gang der Untersuchung
F. Zitierweise der Normen (§ 110 Abs. 1 und Abs. 3 S. 1, 2 StPO)
Kapitel 1: Einordnung des § 110 Abs. 3 S. 2 StPO im Gefüge zwischen physischem und virtuellem Raum
Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO
A. Durchsuchung als Ausgangspunkt für die Durchsicht informationstechnischer Systeme
I. Erscheinungsformen der Durchsuchung
II. Abgrenzung zwischen § 102 StPO und § 103 StPO
1. Gewahrsam und Mitgewahrsam
2. Überwiegende Ansicht: Mitgewahrsam Verdächtiger als „Schlüssel“ zu § 102 StPO
3. Gegenansicht: Mitgewahrsam Unverdächtiger als Sperre des § 102 StPO
4. Folgerungen mit Blick auf die Durchsicht informationstechnischer Systeme
B. Durchsicht eines lokalen informationstechnischen Systems gemäß § 110 Abs. 3 S. 1 StPO
I. Allgemeines zur Durchsicht gemäß § 110 Abs. 1 StPO
II. Mitnahme zur Durchsicht
1. „Vorläufige Sicherstellung“
2. Anfertigung von Datenkopien bei der Mitnahme zur Durchsicht
a) Ausmaß und Umfang der Datenkopien
b) Komplettsicherung der Daten zur Erhaltung des Beweiswerts
c) Rückgriff auf den Datenträger oder das gesamte informationstechnische System
d) Zwischenergebnis und Ausblick zur Problematik von (vollständigen) Datenkopien
3. Anwesenheitsrecht und drohende Heimlichkeit der Maßnahme bei der Mitnahme zur Durchsicht
4. Rechtsgrundlage der Mitnahme zur Durchsicht
a) Bedeutung des § 110 Abs. 2 S. 2 StPO
b) Bedeutung des § 110 Abs. 3 S. 3 StPO
c) Bedeutung des § 110 Abs. 4 StPO
d) Bedeutung der §§ 94 ff. StPO
e) Annexkompetenz zu § 110 Abs. 1 StPO und Abs. 3 S 1 StPO als Grundlage für Grundrechtseingriffe?
III. Betroffene Grundrechte bei der Durchsicht informationstechnischer Systeme
1. Unverletzlichkeit der Wohnung
a) Art. 13 GG als spezielles Datenschutzrecht
b) Art. 13 GG – Kein ausschließlicher Maßstab für Datenerhebungen innerhalb der Wohnung
2. IT-Grundrecht
a) Allgemeines
b) Vertraulichkeit und Integrität informationstechnischer Systeme
aa) Informationstechnisches System
bb) Vertraulichkeit und Integrität
cc) Zwischenergebnis
c) Einsatz von Spionagesoftware im Gegensatz zu einfachen Zugriffen auf das System
aa) Ausgangspunkt des Urteils zur Online- Durchsuchung
bb) Persönlichkeitsschutz als Leitlinie des IT- Grundrechts
cc) Einschub: Integritätsverletzung als Intensivierung des Eingriffs
dd) Kein Eingriff in den Schutzbereich bei Datenerhebungen „auf dem technisch dafür vorgesehenen Weg“?
ee) Zusätzliches Argument aus dem E-Mail-Beschluss des BVerfG (BVerfGE 124, 43)?
ff) Zwischenergebnis
d) Heimliche Zugriffe im Gegensatz zu offenen Zugriffen auf das System
aa) Ausgangspunkt beim Urteil zur Online- Durchsuchung
bb) Die Formulierung „insbesondere“ als Argument für die Annahme eines Eingriffs in das IT-Grundrecht auch bei offenen Zugriffen auf informationstechnische Systeme
cc) Grundrechtsdogmatik: Schutz durch IT-Grundrecht unabhängig von Eingriffsmodalität
dd) Nochmal: Der E-Mail-Beschluss des BVerfG (BVerfGE 124, 43)
ee) Zwischenergebnis
e) Längerfristige Überwachung im Gegensatz zu einmaligem Zugriff auf das System
f) Präventives Staatshandeln im Unterschied zu repressivem Staatshandeln
g) Spätere Rechtsprechung des BVerfG: Keine Anwendung des IT-Grundrechts?
h) Zwischenergebnis & Folgerungen aus der Anwendbarkeit des IT-Grundrechts
3. Das Recht auf informationelle Selbstbestimmung im Verhältnis zum IT-Grundrecht
4. Fernmeldegeheimnis
5. Eigentum
6. Pressefreiheit und Rundfunkfreiheit
7. Berufsfreiheit
8. Wissenschaftsfreiheit
9. Religionsfreiheit
10. Schutz von Ehe und Familie
11. Zusammenfassend: Anwendbare Grundrechte und Konkurrenzen
12. Zwischenergebnis
IV. Kriterien zur Bestimmung der Verhältnismäßigkeit und der Eingriffsintensität von Durchsichten informationstechnischer Systeme
1. Legitimer Zweck von Durchsichten informationstechnischer Systeme
2. Geeignetheit von Durchsichten informationstechnischer Systeme
3. Erforderlichkeit von Durchsichten informationstechnischer Systeme
a) Mitnahme / Umfang der mitgenommenen und gesichteten Daten
b) Dauer der Durchsicht
c) Erforderlichkeit der Durchsicht informationstechnischer Systeme im Einzelfall
4. Angemessenheit / Verhältnismäßigkeit im engeren Sinne von Durchsichten informationstechnischer Systeme
a) Datenmenge
b) Art und Vielfalt der Daten
c) Dauer der Ausforschung
d) Heimlichkeit des Zugriffs
e) Streubreite
f) Anzahl der beeinträchtigten Grundrechte
g) Einschüchterung & Gesamtgesellschaftliche Auswirkungen
5. Zwischenergebnis und Bewertung
V. Kernbereich privater Lebensgestaltung
1. Schutzgehalt des unantastbaren Kernbereichs privater Lebensgestaltung
2. Das zweistufige Schutzkonzept des BVerfG
a) Erste Stufe: Vermeidung von Kernbereichsberührungen in der Erhebungsphase
b) Zweite Stufe: Schutz in der Auswertungsphase durch Verfahrensvorschriften
c) Relevanz für die Durchsicht nach § 110 Abs. 3 S. 1 StPO
d) Ist eine Gefährdung des Kernbereichs privater Lebensgestaltung nur zum Schutz überragend wichtiger Rechtsgüter zulässig?
3. Bewertung des zweistufigen Schutzkonzepts
a) Unschärfe und Relativierung des Kernbereichs durch einzelfallabhängige Zuordnungnen von Inhalten als kernbereichsrelevant
b) Zweistufigkeit des Schutzes als Schwächung und Aufweichung des Kernbereichs privater Lebensgestaltung
4. Verstoß gegen die Pflicht zur gesetzlichen Regelung des Kernbereichsschutzes?
5. Analoge Anwendung des Kernbereichsschutzkonzepts aus § 100d Abs. 1 bis Abs. 3 StPO auf Durchsichten informationstechnischer Systeme
6. Zwischenergebnis
VI. Rundumüberwachung / Totalausforschung / Persönlichkeitsprofile
VII. Begleitmaßnahmen zur Durchsicht informationstechnischer Systeme
1. Inbetriebnahme des informationstechnischen Systems
2. Passwörter, Verschlüsselungen und staatliches Hacking
a) Herausgabeverlangen und Zeugnispflicht bezüglich Passwörter
b) Knacken des Passworts; Hacking; Aufspielen von Software
VIII. Zufallsfunde gemäß § 108 Abs. 1 StPO und das Problem der systematischen Suche nach Zufallsfunden (fishing expeditions)
IX. Eingriffe in Rechte Dritter bei der Durchsicht lokaler informationstechnischer Systeme
X. Reformvorschläge zur Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO
1. Grundrechtssensitivität: Zusammenfassung der Probleme
2. Einordnung des § 110 Abs. 3 S. 1 StPO als echte Eingriffsgrundlage
3. Reformvorschläge zu tatbestandlichen Eingriffsschwellen und Schutzvorschriften
a) Schaffung eines Anlasstatenkatalogs
b) Übertragung der Schwellen des § 103 Abs. 1 S. 1 StPO
c) Einfügen einer Subsidiaritätsklausel
d) Ausdrückliche Regelung der Mitnahme zur Durchsicht
4. Gesetzliche Regelung des Kernbereichsschutzes
5. Ausdrückliche Regelung des Anwesenheitsrechts bei Mitnahme zur Durchsicht?
6. Ermächtigung zur Installation forensischer Software bzw. zur Überwindung von Verschlüsselungen
7. Spezielle gesetzliche Regelung zur Löschung nicht mehr benötigter Daten
8. Einschränkung des § 108 Abs. 1 S. 1 StPO?
XI. Zusammenfassung der wichtigsten Ergebnisse zu § 110 Abs. 3 S 1 StPO
Kapitel 3: Die Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO
A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO
I. Ausgangspunkte und Zielobjekte der Durchsicht: „Speichermedien“ / „Computersysteme“ / Informationstechnische Systeme
1. Webspace, Filehosting, Server: Der Grundfall von Speicherplatz im Netz
2. Cloud Computing
a) Definition
b) Erscheinungsformen
c) Private Clouds und Public Clouds
d) Virtualisierung: Verstreutheit der Daten
e) Synchronisierung der Cloud-Inhalte mit dem lokalen informationstechnischen System
f) Zwischenergebnis
3. E-Mail-Konten
a) Anwendbarkeit des § 110 Abs. 3 S. 2 StPO vor dem Hintergrund der Rechtsprechung des BVerfG zu Eingriffen in das Fernmeldegeheimnis (BVerfGE 124, 43)
b) Grundrechtlicher Maßstab: IT-Grundrecht oder Fernmeldegeheimnis?
c) Eingriff in das IT-Grundrecht durch Zugriff auf Ausgangssystem des Beschuldigten
4. Profile auf Social-Media-Plattformen und ähnlichen Angeboten
5. Ergebnisse
II. Tatbestandsvoraussetzung: Faktische Möglichkeit des Zugriffs auf externe Systeme
1. Die (fehlende) Bedeutung der Zugriffsberechtigung des Durchsuchten
2. Möglichkeit des Zugriffs durch Vernetzung zweier Systeme
a) Herstellen der Netzwerkverbindung erst durch die Ermittler
b) Überwindung von Zugangssperren, Passwörtern und Verschlüsselungen / Brute Force
III. Tatbestandsvoraussetzung: Befürchtung des Verlustes der gesuchten Daten
IV. Zulässigkeit der Überwachung oder des mehrmaligen Zugriffs auf das externe System?
V. Transnationale Datenzugriffe (transborder searches)
1. § 110 Abs. 3 S. 2 StPO als Ermächtigung zu transnationalen Ermittlungen?
2. Zulässigkeit der Netzwerkdurchsicht bei Zweifeln über den Standort des Systems?
3. Ausblick: Erweiterung der Convention on Cybercrime?
4. Ausblick: e-evidence
B. Weitere Besonderheiten der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO
I. Kein physischer Zugriff auf die Hardware des externen Systems möglich
II. Verhältnismäßigkeit: Schwächerer Grundrechtsschutz für vernetzte Systeme?
C. Eingriffe in Rechte Dritter bei der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO
I. Betroffene Grundrechte des Dritten
1. Unverletzlichkeit der Wohnung
2. IT-Grundrecht
3. Fernmeldegeheimnis in Konkurrenz zum IT-Grundrecht
II. Netzwerkdurchsicht als Durchsuchung beim Dritten?
III. Heimlichkeit des Zugriffs gegenüber dem Dritten
IV. Zwischenergebnis
D. Reformvorschläge zur Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO
I. Grundrechtssensitivität: Zusammenfassung der Probleme
II. § 110 Abs. 3 S. 2 StPO als Eingriffsgrundlage und Spezialfall des § 110 Abs. 3 S. 1 StPO
III. Anlasstatenkatalog: Übernahme des § 100b Abs. 2 StPO?
IV. Subsidiaritätsklausel: Möglichkeiten zur Übernahme des § 100b Abs. 3 S. 2 StPO per Gesetzesreform de lege ferenda und per verfassungskonformer Auslegung de lege lata
V. Einschränkung des § 108 Abs. 1 S. 1 StPO zum Schutz unbeteiligter Dritter
VI. Pflicht zur Regelung des Kernbereichsschutzes aufgrund heimlicher Durchsicht?
E. Zusammenfassung der wichtigsten Ergebnisse zu § 110 Abs. 3 S 2 StPO
Kapitel 4: Ergebnis und Ausblick
A. Zusammenfassung der Ergebnisse
B. Ausblick: Offene Fragen und ungelöste Probleme
I. Die Frage nach dem „richtigen“ Grundrecht
1. Anwendung des IT-Grundrechts auf offene Durchsichten
2. Verhältnis zwischen IT-Grundrecht und informationeller Selbstbestimmung
3. Verhältnis zwischen IT-Grundrecht und Fernmeldegeheimnis
II. Das Dilemma über den Umfang der Datensicherung und -auswertung
III. Die Revelanz des Standorts des externen Speichermediums
IV. Der Umgang mit elektronisch gespeicherten Daten allgemein
V. Individueller Grundrechtsschutz vs. Effektive Strafverfolgung
Literaturverzeichnis
Sachregister

Citation preview

Veröffentlichungen zum Verfahrensrecht Band 187 herausgegeben von

Rolf Stürner

Christian Rühs

Durchsicht informationstechnischer Systeme § 110 Abs. 3 StPO im Lichte des IT-Grundrechts

Mohr Siebeck

Christian Rühs, geboren 1991; Studium der Rechtswissenschaft an der Ruhr-Universität Bochum; Wissenschaftlicher Mitarbeiter am Lehrstuhl für Strafrecht, Strafprozessrecht und Internationales Strafrecht der Ruhr-Universität Bochum; 2021 Promotion; Rechtsreferendar am Landgericht Bochum. orcid.org/0000-0001-9296-6926

ISBN 978-3-16-161315-9 / eISBN 978-3-16-161316-6 DOI 10.1628/978-3-16-161316-6 ISSN 0722-7574 / eISSN 2568-7255 (Veröffentlichungen zum Verfahrensrecht) Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National­ bibliographie; detaillierte bibliographische Daten sind über http://dnb.dnb.de abrufbar. © 2022 Mohr Siebeck Tübingen. www.mohrsiebeck.com Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außer­halb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für die Verbreitung, Vervielfältigung, Übersetzung und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das Buch wurde von Gulde Druck in Tübingen auf alterungsbeständiges Werkdruckpapier gedruckt und von der Buchbinderei Nädele in Nehren gebunden. Printed in Germany.

Vorwort Die vorliegende Monographie ist der im Wesentlichen unveränderte Text, der im Sommersemester 2021 von der Juristischen Fakultät der Ruhr-Universität Bochum als Dissertation angenommen wurde. Die wichtigsten Entwicklungen in Gesetzgebung, Rechtsprechung und Literatur konnten vor Veröffentlichung noch bis einschließlich November 2021 berücksichtigt werden. Das betrifft insbesondere das „Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften“ vom 25. Juni 2021, durch das unter anderem § 110 Abs. 3 StPO reformiert wurde. Für das Gelingen meiner Promotion habe ich an erster Stelle Frau Prof. Dr. Sabine Swoboda zu danken. Sie hat mir nicht nur als Doktormutter, sondern auch in ihrer Eigenschaft als meine Chefin Zeit und Gelegenheit zur Promotion gegeben. Dass sie sich sogar in den Weihnachtsferien ausführlich mit meiner Dissertation befasste, dürfte Zeugnis genug dafür sein, mit wie viel Einsatzbereitschaft sie das Promotionsvorhaben von Anfang bis Ende betreut hat. Dank gebührt auch Herrn Prof. Dr. Jörg Ennuschat. Er hat als Professor für Öffentliches Recht die Zweitbegutachtung dieser – im Kern strafprozessrechtswissenschaftlichen – Dissertation übernommen und konnte mir auf diesem Wege wertvolle Hinweise insbesondere zu den verfassungsrechtlichen Aspekten meiner Arbeit geben. Aus dem außeruniversitären Umfeld habe ich natürlich vor allem meinen Eltern zu danken: Studium, Promotion und vieles andere in meinem Leben wäre ohne ihre Unterstützung nicht möglich gewesen. Ich danke außerdem allen anderen, die mich während meines Studiums und meiner langen Promotionsphase unterstützt haben, sei es aus dem Familien-, Freundes- oder Kollegenkreis, sei es fachbezogen oder in privaten Angelegenheiten, sei es direkt oder indirekt, mittelbar oder unmittelbar, wissentlich oder unwissentlich. Bochum, im November 2021

Christian Rühs

Inhaltsverzeichnis Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

V

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die konkreten Fragestellungen dieser Arbeit . . . . . . . . . . . . . . . . . 1. Übergeordnete Fragestellungen . . . . . . . . . . . . . . . . . . . . . . . . . 2. Einzelfragen im Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Nicht beantwortete Fragen / Grenzen der Untersuchung . . . . II. Methodik der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 1 2 3 4

B. Staatlicher Zugriff auf elektronisch gespeicherte Daten vor dem Hintergrund zweier Grundsatzurteile des BVerfG . . . . . . . . . . . . . .

5

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV . . . . . . I. Offenheit und Heimlichkeit der Durchsuchung . . . . . . . . . . . . . . . II. Gesetzesbegründung der Bundesregierung zu § 110 Abs. 3 StPO (a. F.) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Änderungsbegründung des Rechtsausschusses zu § 110 Abs. 3 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Weitere Verheimlichung durch Zurückstellung der Benachrichtigung des Beschuldigten gem. § 110 Abs. 4 i. V. m. § 95a StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Zusammenfassung / Problemaufriss . . . . . . . . . . . . . . . . . . . . . . . . D. Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Online-Durchsuchung in Abgrenzung zur Netzwerkdurchsicht 1. Exkurs: Gesetzgebungsgeschichte des § 100b StPO . . . . . . . . . 2. Vielgestaltigkeit der „Online-Durchsuchung“ . . . . . . . . . . . . . . 3. Abgrenzung des § 110 Abs. 3 S. 2 StPO zu anderen Formen der „Online-Durchsuchung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. § 110 Abs. 3 S. 2 StPO: Die „Netzwerkdurchsicht“ . . . . . . . . . . II. Heimliche Maßnahmen, Verdeckte Maßnahmen / Offene Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Begriffe aus der Informationstechnik und Informationstechnologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8 12 16 20

24 26 30 31 32 35 37 40 42 46

VIII

Inhaltsverzeichnis

1. EDV und IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Daten und Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Der Unterschied zwischen Daten und Informationen . . . b) Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Bestandsdaten; Verkehrsdaten; Inhaltsdaten; Metadaten 3. Speichermedium; Computersystem; Informationstechnisches System . . . . . . . . . . . . . . . . . . . . . . . . .

47 47 47 50 52

E. Weiterer Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . .

58

F. Zitierweise der Normen (§ 110 Abs. 1 und Abs. 3 S. 1, 2 StPO)

60

Kapitel 1: Einordnung des § 110 Abs. 3 S. 2 StPO im Gefüge zwischen physischem und virtuellem Raum . . . . . . . . . . . . . . . . .

61

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO . . . . . . . . . . . . . . . . . . . . . .

67

A. Durchsuchung als Ausgangspunkt für die Durchsicht informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Erscheinungsformen der Durchsuchung . . . . . . . . . . . . . . . . . . . . . II. Abgrenzung zwischen § 102 StPO und § 103 StPO . . . . . . . . . . . . . 1. Gewahrsam und Mitgewahrsam . . . . . . . . . . . . . . . . . . . . . . . . . 2. Überwiegende Ansicht: Mitgewahrsam Verdächtiger als „Schlüssel“ zu § 102 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Gegenansicht: Mitgewahrsam Unverdächtiger als Sperre des § 102 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Folgerungen mit Blick auf die Durchsicht informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . B. Durchsicht eines lokalen informationstechnischen Systems gemäß § 110 Abs. 3 S. 1 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Allgemeines zur Durchsicht gemäß § 110 Abs. 1 StPO . . . . . . . . . II. Mitnahme zur Durchsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. „Vorläufige Sicherstellung“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anfertigung von Datenkopien bei der Mitnahme zur Durchsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Ausmaß und Umfang der Datenkopien . . . . . . . . . . . . . . . b) Komplettsicherung der Daten zur Erhaltung des Beweiswerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Rückgriff auf den Datenträger oder das gesamte informationstechnische System . . . . . . . . . . . . . . . . . . . . . . d) Zwischenergebnis und Ausblick zur Problematik von (vollständigen) Datenkopien . . . . . . . . . . . . . . . . . . . . . . . .

55

68 68 70 72 73 75 80 81 82 85 87 88 89 95 99 101

Inhaltsverzeichnis

3. Anwesenheitsrecht und drohende Heimlichkeit der Maßnahme bei der Mitnahme zur Durchsicht . . . . . . . . . . . . . 4. Rechtsgrundlage der Mitnahme zur Durchsicht . . . . . . . . . . . . a) Bedeutung des § 110 Abs. 2 S. 2 StPO . . . . . . . . . . . . . . . . . b) Bedeutung des § 110 Abs. 3 S. 3 StPO . . . . . . . . . . . . . . . . . c) Bedeutung des § 110 Abs. 4 StPO . . . . . . . . . . . . . . . . . . . . d) Bedeutung der §§ 94 ff. StPO . . . . . . . . . . . . . . . . . . . . . . . . e) Annexkompetenz zu § 110 Abs. 1 StPO und Abs. 3 S. 1 StPO als Grundlage für Grundrechtseingriffe? . . . . . . . . . III. Betroffene Grundrechte bei der Durchsicht informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Unverletzlichkeit der Wohnung . . . . . . . . . . . . . . . . . . . . . . . . . a) Art. 13 GG als spezielles Datenschutzrecht . . . . . . . . . . . . b) Art. 13 GG – Kein ausschließlicher Maßstab für Datenerhebungen innerhalb der Wohnung . . . . . . . . . . . . 2. IT-Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . aa) Informationstechnisches System . . . . . . . . . . . . . . . . . . bb) Vertraulichkeit und Integrität . . . . . . . . . . . . . . . . . . . . cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Einsatz von Spionagesoftware im Gegensatz zu einfachen Zugriffen auf das System . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Ausgangspunkt des Urteils zur OnlineDurchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Persönlichkeitsschutz als Leitlinie des ITGrundrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Einschub: Integritätsverletzung als Intensivierung des Eingriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Kein Eingriff in den Schutzbereich bei Datenerhebungen „auf dem technisch dafür vorgesehenen Weg“? . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Zusätzliches Argument aus dem E-Mail-Beschluss des BVerfG (BVerfGE 124, 43)? . . . . . . . . . . . . . . . . . . . . . . ff) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Heimliche Zugriffe im Gegensatz zu offenen Zugriffen auf das System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Ausgangspunkt beim Urteil zur OnlineDurchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Die Formulierung „insbesondere“ als Argument für die Annahme eines Eingriffs in das IT-Grundrecht auch bei offenen Zugriffen auf informationstechnische Systeme . . . . . . . . . . . . . . . . . .

IX 104 107 109 110 111 112 114 119 119 120 122 127 129 131 131 140 144 145 146 148 153

155 160 162 163 164

165

X

Inhaltsverzeichnis

cc) Grundrechtsdogmatik: Schutz durch IT-Grundrecht unabhängig von Eingriffsmodalität . . . . . . . . . . . . . . . dd) Nochmal: Der E-Mail-Beschluss des BVerfG (BVerfGE 124, 43) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Längerfristige Überwachung im Gegensatz zu einmaligem Zugriff auf das System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) Präventives Staatshandeln im Unterschied zu repressivem Staatshandeln . . . . . . . . . . . . . . . . . . . . . . . . . . g) Spätere Rechtsprechung des BVerfG: Keine Anwendung des IT-Grundrechts? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . h) Zwischenergebnis & Folgerungen aus der Anwendbarkeit des IT-Grundrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Das Recht auf informationelle Selbstbestimmung im Verhältnis zum IT-Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Eigentum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Pressefreiheit und Rundfunkfreiheit . . . . . . . . . . . . . . . . . . . . . 7. Berufsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Wissenschaftsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9. Religionsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10. Schutz von Ehe und Familie . . . . . . . . . . . . . . . . . . . . . . . . . . . 11. Zusammenfassend: Anwendbare Grundrechte und Konkurrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Kriterien zur Bestimmung der Verhältnismäßigkeit und der Eingriffsintensität von Durchsichten informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Legitimer Zweck von Durchsichten informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . 2. Geeignetheit von Durchsichten informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . 3. Erforderlichkeit von Durchsichten informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . a) Mitnahme / Umfang der mitgenommenen und gesichteten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Dauer der Durchsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Erforderlichkeit der Durchsicht informationstechnischer Systeme im Einzelfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Angemessenheit / Verhältnismäßigkeit im engeren Sinne von Durchsichten informationstechnischer Systeme . . . . . . . . . . . . a) Datenmenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

168 170 171 171 173 178 182 183 190 194 197 199 202 204 205 205 207

207 208 210 212 212 213 214 214 216

Inhaltsverzeichnis

b) c) d) e) f) g)

Art und Vielfalt der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . Dauer der Ausforschung . . . . . . . . . . . . . . . . . . . . . . . . . . . Heimlichkeit des Zugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . Streubreite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzahl der beeinträchtigten Grundrechte . . . . . . . . . . . . . Einschüchterung & Gesamtgesellschaftliche Auswirkungen . . . . . . . . . . . . . . . 5. Zwischenergebnis und Bewertung . . . . . . . . . . . . . . . . . . . . . . . V. Kernbereich privater Lebensgestaltung . . . . . . . . . . . . . . . . . . . . . 1. Schutzgehalt des unantastbaren Kernbereichs privater Lebensgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Das zweistufige Schutzkonzept des BVerfG . . . . . . . . . . . . . . . a) Erste Stufe: Vermeidung von Kernbereichsberührungen in der Erhebungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zweite Stufe: Schutz in der Auswertungsphase durch Verfahrensvorschriften . . . . . . . . . . . . . . . . . . . . . . . c) Relevanz für die Durchsicht nach § 110 Abs. 3 S. 1 StPO d) Ist eine Gefährdung des Kernbereichs privater Lebensgestaltung nur zum Schutz überragend wichtiger Rechtsgüter zulässig? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Bewertung des zweistufigen Schutzkonzepts . . . . . . . . . . . . . . . a) Unschärfe und Relativierung des Kernbereichs durch einzelfallabhängige Zuordnungnen von Inhalten als kernbereichsrelevant . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Zweistufigkeit des Schutzes als Schwächung und Aufweichung des Kernbereichs privater Lebensgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Verstoß gegen die Pflicht zur gesetzlichen Regelung des Kernbereichsschutzes? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Analoge Anwendung des Kernbereichsschutzkonzepts aus § 100d Abs. 1 bis Abs. 3 StPO auf Durchsichten informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . 6. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Rundumüberwachung / Totalausforschung / Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII. Begleitmaßnahmen zur Durchsicht informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Inbetriebnahme des informationstechnischen Systems . . . . . . 2. Passwörter, Verschlüsselungen und staatliches Hacking . . . . . a) Herausgabeverlangen und Zeugnispflicht bezüglich Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Knacken des Passworts; Hacking; Aufspielen von Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

XI 217 219 220 222 224 226 229 230 230 234 234 235 236

237 243

243

246 250

254 256 257 262 262 264 265 268

XII

Inhaltsverzeichnis

VIII. Zufallsfunde gemäß § 108 Abs. 1 StPO und das Problem der systematischen Suche nach Zufallsfunden (fishing expeditions) IX. Eingriffe in Rechte Dritter bei der Durchsicht lokaler informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . X. Reformvorschläge zur Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO 1. Grundrechtssensitivität: Zusammenfassung der Probleme . . . 2. Einordnung des § 110 Abs. 3 S. 1 StPO als echte Eingriffsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Reformvorschläge zu tatbestandlichen Eingriffsschwellen und Schutzvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Schaffung eines Anlasstatenkatalogs . . . . . . . . . . . . . . . . . b) Übertragung der Schwellen des § 103 Abs. 1 S. 1 StPO . . . c) Einfügen einer Subsidiaritätsklausel . . . . . . . . . . . . . . . . . . d) Ausdrückliche Regelung der Mitnahme zur Durchsicht 4. Gesetzliche Regelung des Kernbereichsschutzes . . . . . . . . . . . . 5. Ausdrückliche Regelung des Anwesenheitsrechts bei Mitnahme zur Durchsicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Ermächtigung zur Installation forensischer Software bzw. zur Überwindung von Verschlüsselungen . . . . . . . . . . . . . . . . . . . . . 7. Spezielle gesetzliche Regelung zur Löschung nicht mehr benötigter Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8. Einschränkung des § 108 Abs. 1 S. 1 StPO? . . . . . . . . . . . . . . . . XI. Zusammenfassung der wichtigsten Ergebnisse zu § 110 Abs. 3 S. 1 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO . . . . . . . . . . . . . . . . . . . . . . A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO . . . . . . . . . . . . . . . I. Ausgangspunkte und Zielobjekte der Durchsicht: „Speichermedien“ / „Computersysteme“ / Informationstechnische Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Webspace, Filehosting, Server: Der Grundfall von Speicherplatz im Netz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Private Clouds und Public Clouds . . . . . . . . . . . . . . . . . . . d) Virtualisierung: Verstreutheit der Daten . . . . . . . . . . . . . . e) Synchronisierung der Cloud-Inhalte mit dem lokalen informationstechnischen System . . . . . . . . . . . . . . . . . . . . .

272 274 276 276 278 279 280 286 286 291 292 295 296 296 300 301

305 306

307 311 318 319 320 321 323 324

Inhaltsverzeichnis

II.

III. IV. V.

f) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. E-Mail-Konten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Anwendbarkeit des § 110 Abs. 3 S. 2 StPO vor dem Hintergrund der Rechtsprechung des BVerfG zu Eingriffen in das Fernmeldegeheimnis (BVerfGE 124, 43) b) Grundrechtlicher Maßstab: IT-Grundrecht oder Fernmeldegeheimnis? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Eingriff in das IT-Grundrecht durch Zugriff auf Ausgangssystem des Beschuldigten . . . . . . . . . . . . . . . . . . . 4. Profile auf Social-Media-Plattformen und ähnlichen Angeboten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tatbestandsvoraussetzung: Faktische Möglichkeit des Zugriffs auf externe Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die (fehlende) Bedeutung der Zugriffsberechtigung des Durchsuchten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Möglichkeit des Zugriffs durch Vernetzung zweier Systeme a) Herstellen der Netzwerkverbindung erst durch die Ermittler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Überwindung von Zugangssperren, Passwörtern und Verschlüsselungen / Brute Force . . . . . . . . . . . . . . . . . . . . . Tatbestandsvoraussetzung: Befürchtung des Verlustes der gesuchten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zulässigkeit der Überwachung oder des mehrmaligen Zugriffs auf das externe System? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Transnationale Datenzugriffe (transborder searches) . . . . . . . . . . 1. § 110 Abs. 3 S. 2 StPO als Ermächtigung zu transnationalen Ermittlungen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Zulässigkeit der Netzwerkdurchsicht bei Zweifeln über den Standort des Systems? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Ausblick: Erweiterung der Convention on Cybercrime? . . . . . 4. Ausblick: e-evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

XIII 326 327

327 333 341 342 347 348 349 353 354 355 359 361 366 368 373 375 377

B. Weitere Besonderheiten der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO I. Kein physischer Zugriff auf die Hardware des externen Systems möglich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Verhältnismäßigkeit: Schwächerer Grundrechtsschutz für vernetzte Systeme? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

380

C. Eingriffe in Rechte Dritter bei der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO I. Betroffene Grundrechte des Dritten . . . . . . . . . . . . . . . . . . . . . . . .

385 390

378 379

XIV

Inhaltsverzeichnis

1. Unverletzlichkeit der Wohnung . . . . . . . . . . . . . . . . . . . . . . . . . 2. IT-Grundrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Fernmeldegeheimnis in Konkurrenz zum IT-Grundrecht . . . . II. Netzwerkdurchsicht als Durchsuchung beim Dritten? . . . . . . . . . III. Heimlichkeit des Zugriffs gegenüber dem Dritten . . . . . . . . . . . . . IV. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

390 395 397 402 408 418

D. Reformvorschläge zur Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO . . . . . . . . . . . . . . . . . . . . . . I. Grundrechtssensitivität: Zusammenfassung der Probleme . . . . . . II. § 110 Abs. 3 S. 2 StPO als Eingriffsgrundlage und Spezialfall des § 110 Abs. 3 S. 1 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Anlasstatenkatalog: Übernahme des § 100b Abs. 2 StPO? . . . . . . IV. Subsidiaritätsklausel: Möglichkeiten zur Übernahme des § 100b Abs. 3 S. 2 StPO per Gesetzesreform de lege ferenda und per verfassungskonformer Auslegung de lege lata . . . . . . . . . . . . . . . . V. Einschränkung des § 108 Abs. 1 S. 1 StPO zum Schutz unbeteiligter Dritter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Pflicht zur Regelung des Kernbereichsschutzes aufgrund heimlicher Durchsicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

432

E. Zusammenfassung der wichtigsten Ergebnisse zu § 110 Abs. 3 S. 2 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

435

Kapitel 4: Ergebnis und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . .

439

A. Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . .

439

B. Ausblick: Offene Fragen und ungelöste Probleme . . . . . . . . . . . . . . I. Die Frage nach dem „richtigen“ Grundrecht . . . . . . . . . . . . . . . . . 1. Anwendung des IT-Grundrechts auf offene Durchsichten . . . 2. Verhältnis zwischen IT-Grundrecht und informationeller Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . 3. Verhältnis zwischen IT-Grundrecht und Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Das Dilemma über den Umfang der Datensicherung und -auswertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Die Revelanz des Standorts des externen Speichermediums . . . . IV. Der Umgang mit elektronisch gespeicherten Daten allgemein . . . V. Individueller Grundrechtsschutz vs. Effektive Strafverfolgung

442 443 443

419 420 421 423

426 430

443 444 444 446 448 448

Inhaltsverzeichnis

XV

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

451

Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

473

Einleitung A. Einführung Die vorliegende Arbeit untersucht die strafverfahrensrechtlichen Vorschriften zur Durchsicht aus § 110 Abs. 1 und Abs. 3 StPO darauf, inwieweit sie in ihrer jetzigen Gestalt geeignete Rechtsgrundlagen für die Durchsicht informationstechnischer Systeme sind. § 110 Abs. 1 StPO ermächtigt die Strafverfolgungsbehörden im Rahmen einer strafprozessualen Durchsuchung allgemein zur Durchsicht von „Papieren“, gemäß § 110 Abs. 3 S. 1 StPO ist auch die Durchsicht von „elektronischen Speichermedien“ zulässig, worunter lokale informationstechnische Systeme wie PCs, Laptops und Smartphones bzw. deren Datenträger und die in ihnen gespeicherten elektronischen Daten fallen. § 110 Abs. 3 S. 2 StPO erweitert diese Befugnis speziell auf „räumlich getrennte Speichermedien“, also auf externe informationstechnische Systeme wie zum Beispiel über das Internet angeschlossene Fileserver und CloudSpeicher. Die Untersuchung konzentriert sich vorrangig auf die Frage, ob § 110 Abs. 3 StPO die massiven Grundrechtseingriffe, die mit einer Durchsicht informationstechnischer Systeme einhergehen, hinreichend einhegen und begrenzen. Im Vordergrund steht dabei die Auswertung der verfassungsgerichtlichen Rechtsprechung zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht). In den einzelnen Untersuchungsschritten werden die verfassungsrechtlichen, aber auch einfachrechtlichen und ermittlungspraktischen Probleme der Durchsicht informationstechnischer Systeme herausgearbeitet. Hieraus werden Erkenntnisse zum gesetzlichen Reformbedarf der Rechtsgrundlagen zur Durchsicht informationstechnischer Systeme gewonnen.

I. Die konkreten Fragestellungen dieser Arbeit 1. Übergeordnete Fragestellungen Das oben geschilderte Untersuchungsinteresse lässt sich durch die folgenden Fragestellungen weiter präzisieren: 1. Sind die Durchsuchungsvorschriften der §§ 102 ff. StPO, zu denen die Vorschriften zur Durchsicht gemäß § 110 StPO in systematischer Hinsicht

2

Einleitung

gehören, angesichts ihres Zuschnitts auf Gegebenheiten des physisch-realen Raums in der Lage, den neuartigen Formen der elektronischen Datenspeicherung und Datenverarbeitung im virtuellen Raum angemessen zu begegnen? Sind sie in der Lage, die dadurch bedingten neuartigen Ermittlungsmethoden hinreichend einzuhegen und zu begrenzen? 2. Wie wirkt sich die jüngere verfassungsgerichtliche Rechtsprechung zu modernen technikgestützten Maßnahmen wie der Online-Durchsuchung auf die vergleichbare Maßnahme der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO aus? Sind auch Maßnahmen auf Grundlage des § 110 Abs. 3 StPO an den diesbezüglichen Vorgaben des Bundesverfassungsgerichts zu messen? Wenn ja, genügt § 110 Abs. 3 StPO diesen Vorgaben? Und inwieweit ist die Durchsicht informationstechnischer Systeme, insbesondere nach § 110 Abs. 3 S. 2 StPO, mit einer Online-Durchsuchung im Sinne des § 100b StPO vergleichbar? 3. Inwieweit müssen die Vorschriften zur Durchsicht nach § 110 StPO reformiert und ergänzt werden, damit die Durchsicht informationstechnischer Systeme auf taugliche, d. h. insbesondere verfassungskonforme Rechtsgrundlagen gestützt werden kann? 2. Einzelfragen im Überblick Aus den oben geschilderten übergeordneten Fragestellungen leiten sich unter anderem folgende Einzelfragen ab, die im Laufe der folgenden Untersuchung aufgeworfen und nach Möglichkeit beantwortet werden sollen: 1. Erlaubt § 110 Abs. 3 S. 2 StPO auch den heimlichen Zugriff auf informationstechnische Systeme Dritter? Werden dadurch die in § 100b StPO für heimliche Online-Durchsuchungen normierten Hürden umgangen? 2. Schützt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) auch vor offen durchgeführten Durchsichten informationstechnischer Systeme, greift also eine Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO in das IT-Grundrecht ein? 3. Wie tiefgreifend sind die Grundrechtseingriffe bei einer Durchsicht informationstechnischer Systeme? Nach welchen Kriterien ist die Eingriffsintensität einer Durchsicht informationstechnischer Systeme im Einzelfall zu bewerten? 4. Kann eine Durchsicht informationstechnischer Systeme in ihrer praktischen Durchführung überhaupt zuverlässig auf verfahrensrelevante Daten begrenzt werden? Können und müssen Strafverfolgungsbehöden Alternativen zur Komplettdurchsicht eines informationstechnischen Systems ergreifen? 5. Inwieweit läuft eine Durchsicht informationstechnischer Systeme Gefahr, den unantastbaren Kernbereich der privaten Lebensgestaltung zu be-

A. Einführung

3

rühren und damit die Menschenwürde aus Art. 1 Abs. 1 GG zu verletzen? Bedarf es für Maßnahmen nach § 110 Abs. 3 StPO eines eigenen gesetzlichen Kernbereichsschutzkonzepts? Können oder müssen die Schutzvorschriften aus § 100d Abs. 1 bis Abs. 3 StPO de lege ferenda oder sogar bereits de lege lata auf die Durchsicht informationstechnischer Systeme übertragen werden? 6. Kommt es bei einer (Komplett-)Durchsicht eines informationstechnischen Systems in vielen Fällen nicht zwangsläufig zur Bildung eines vollständigen Persönlichkeitsprofils des Systeminhabers, mit der Folge einer Verletzung der Menschenwürde aus Art. 1 Abs. 1 GG? 7. Kann vermieden werden, dass die Durchsicht eines informationstechnischen Systems und aller in ihm gespeicherten Daten zu einer unzulässigen systematischen Suche nach Zufallsfunden (fishing expedition) gerät? 8. Auf welche Speichermedien darf über § 110 Abs. 3 S. 2 StPO zugegriffen werden? Zählen dazu auch E-Mail-Konten? Wie sind hierbei Eingriffe in nach Art. 10 GG geschützte Kommunikationsdaten einerseits von Eingriffen in nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschützte nicht kommunikationsbezogene Datenbestände andererseits zu unterscheiden? In welchem Verhältnis stehen hierbei Fernmeldegeheimnis und IT-Grundrecht? 9. Dürfen Strafverfolgungsbehörden bei einem Zugriff gemäß § 110 Abs. 3 S. 2 StPO auch Hacking-Software zur Überwindung von Passwortsperren einsetzen? 10. Ermächtigt § 110 Abs. 3 S. 2 StPO zu Zugriffen auf im Ausland gespeicherte Daten (transborder searches)? 11. Werden bei einem Zugriff über § 110 Abs. 3 S. 2 StPO die Grundrechte unbeteiligter Dritte, insbesondere von Mitinhabern externer informationstechnischer Systeme, hinreichend geschützt? 12. Unter Berücksichtigung der obenstehenden Fragen: Inwiefern unterscheidet sich die Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO in ihren Eingriffswirkungen überhaupt von einer Online-Durchsuchung im Sinne des § 100b StPO? Können oder müssen die in § 100b StPO normierten rechtlichen Hürden de lege ferenda oder sogar bereits de lege lata auf Maßnahmen nach § 110 Abs. 3 S. 2 StPO übertragen werden? 3. Nicht beantwortete Fragen / Grenzen der Untersuchung Nicht alle der oben vorgestellten Fragen können in dieser Arbeit erschöpfend beantwortet werden. Manche Fragen und Probleme werden hier zudem gar nicht untersucht. Insbesondere liefert die vorliegende Arbeit keine umfassende Untersuchung zur Frage, ob die Strafprozessordnung insgesamt in ihrer jetzigen Form dazu geeignet ist, den Umgang mit elektronisch gespeicherten Daten

4

Einleitung

im Ermittlungsverfahren hinreichend und in angemessener Weise zu regeln. Der Fokus der Untersuchung liegt auf der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO. Überlegungen zur Reform anderer Rechtsgrundlagen oder gar einer Gesamtreform der StPO finden in der vorliegenden Arbeit nicht statt.1 Verfassungsrechtliche Fragen zum Umgang mit elektronisch gespeicherten Daten werden ebenfalls nur in Bezug zu § 110 Abs. 1 und Abs. 3 StPO behandelt. Die vorliegende Arbeit bezieht das einschlägige Verfassungsrecht zwar notwendigerweise in die Untersuchung ein und behandelt Inhalt und Grenzen des IT-Grundrechts, des Rechts auf informationelle Selbstbestimmung, des Fernmeldegeheimnisses und anderer Grundrechte und bearbeitet auch grundrechtsübergreifende Themen wie den Schutz des Kernbereichs privater Lebensgestaltung; dies aber nur so weit, wie es für den Untersuchungsgegenstand relevant ist. Eine umfassende Untersuchung zu den genannten Grundrechten oder zu anderen verfassungsrechtlichen Fragen leistet diese Arbeit nicht. Trotz starker verfassungsrechtlicher Bezüge ist die vorliegende Arbeit eine strafprozessrechtswissenschaftliche Untersuchung. Auch Fragen des ermittlungspraktischen und technischen Umgangs mit elektronisch gespeicherten Daten werden hier nur so weit aufgeworfen und beantwortet, wie sie zur Untersuchung der Vorschriften zur Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO relevant sind. Erkenntnisse und Problemlagen aus dem Gebiet der IT-Forensik werden hier nur zur Illustration von Rechtsproblemen dargestellt. Eine vertiefte Auseinandersetzung mit Methoden der IT-Forensik ist damit nicht Bestandteil der vorliegenden rechtswissenschaftlichen Arbeit.

II. Methodik der Untersuchung Ausgangspunkt der Untersuchung sind § 110 Abs. 1 und Abs. 3 StPO, also Vorschriften aus dem Strafprozessrecht. Neben allgemeiner Literatur zum strafrechtlichen Ermittlungsverfahren (z. B. zu den §§ 94 ff. und §§ 102 ff. StPO) wertet diese Arbeit vorrangig Literatur zu den technik- und datengestützten Zwangseingriffen der Strafprozessordnung aus. Literatur zu speziellen Ermittlungsmaßnahmen wie insbesondere der Online-Durchsuchung wird hierbei ebenso herangezogen wie überblicksmäßige Literatur zum Umgang mit elektronisch gespeicherten Daten im Ermittlungsverfahren. Auch die einschlägige strafgerichtliche Rechtsprechung wird ebenso wie die Rechtsprechung des Bundesverfassungsgerichts ausgewertet, soweit sie Zugriffe

1 Ausführlich zum Reformbedarf Sieber, Gutachten zum 69. Deutschen Juristentag, C 9 ff. mit einzelnen Vorschlägen auf S. C 155 f.; vgl. auch den Überblick bei Vogel, ZIS 2012, 480 ff.

B. Staatlicher Zugriff auf elektronisch gespeicherte Daten

5

auf elektronisch gespeicherte Daten im Ermittlungsverfahren betrifft. Die Untersuchung blickt auch über die Normen der StPO hinaus und bezieht die Convention on Cybercrime als maßgeblichen völkerrechtlichen Vertrag zum Umgang der Strafverfolgungsbehörden mit elektronisch gespeicherten Daten ein, insbesondere hinsichtlich § 110 Abs. 3 S. 2 StPO. Zur Klärung der verfassungsrechtlichen Fragen wertet diese Arbeit vorrangig die Rechtsprechung des Bundesverfassungsgerichts aus, insbesondere die Urteile zur Online-Durchsuchung2 und zum Bundeskriminalamtsgesetz3, aber auch die Entscheidungen zur Beschlagnahme von Daten aus lokalen Datenträgern4 und von E-Mails aus einem E-Mail-Konto5. Zentral ist hierbei die Übertragung der in diesen Entscheidungen getroffenen Aussagen auf die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO. Hinzu tritt die Auswertung verfassungsrechtlicher Literatur, insbesondere zu Grundrechtsfragen, aber auch zu grundrechtsübergreifenden Themen wie z. B. dem Schutz des Kernbereichs privater Lebensgestaltung. Die Durchsicht informationstechnischer Systeme ist eine technikgestützte Ermittlungsmaßnahme. Folglich werden zur Illustration und Klärung der Rechtsfragen immer auch technische Sachverhalte dargestellt. Zur Erklärung der technischen Vorgänge wird ergänzend auf entsprechende Literatur aus dem Bereich der IT-Forensik zurückgegriffen.

B. Staatlicher Zugriff auf elektronisch gespeicherte Daten vor dem Hintergrund zweier Grundsatzurteile des BVerfG Bereits 1983 erkannte das BVerfG in seinem Urteil zur Volkszählung6, dass staatliche Sammlungen von personenbezogenen Daten die freie Entfaltung der Persönlichkeit hemmen und gefährden können. In Reaktion auf die gestiegene Bedeutung der elektronischen Datenverarbeitung sowohl für die Staatsverwaltung als auch für die gesamte Gesellschaft formulierte das BVerfG das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Hiermit wollte das BVerfG auf grundrechtlicher Ebene den „Gefahren der automatischen Datenverarbeitung“7 begegnen, die nach Auffassung des Gerichts daraus resultierten, dass „personenbezogene Daten […] technisch ge-

2

BVerfGE 120, 274 („Online-Durchsuchung“). BVerfGE 141, 220 („Bundeskriminalamtsgesetz“). 4 BVerfGE 113, 29 („Anwaltsdaten“). 5 BVerfGE 124, 43 („E-Mail-Beschluss“). 6 BVerfGE 65, 1. 7 BVerfGE 65, 1 (46). 3

6

Einleitung

sehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entferungen in Sekundenschnelle abrufbar“8 seien. Bei Formulierung des Rechts auf informationelle Selbstbestimmung hatte das BVerfG aber noch nicht so moderne Technologien wie das Cloud Computing9 im Blick. Anlass zur Entwicklung des informationellen Selbstbestimmungsrechts war vielmehr eine geplante Volkszählung, bei der die Bürger mittels Erhebungsbögen in Papierform dazu aufgefordert waren, einzelne statistisch verwertbare Daten über ihr Leben preiszugeben, z. B. zu Alter, Familienstand und Wohnverhältnissen, Ausbildung und Berufstätigkeit oder auch Staatsangehörigkeit und Religionszugehörigkeit.10 Die hierbei erhobenen Daten waren in ihrer Vielfalt und Menge vergleichsweise überschaubar und auf bestimmte Themengebiete begrenzt. Zudem behielt jeder einzelne Bürger bei der Befragung zumindest teilweise die faktische Kontrolle darüber, welche Daten erhoben werden: Die Bürger waren zwar rechtlich zur wahrheitsgemäßen Auskunft über die eigenen Lebensdaten verpflichtet, faktisch aber konnten sie bei der Befragung Informationen zurückhalten oder schlicht lügen. Aus heutiger Sicht wirkt die damals geplante Volkszählung samt anschließender staatlicher Datenverarbeitung, die das BVerfG zur Formulierung eines Grundsatzurteils veranlasste, vergleichsweise harmlos. Inzwischen hat sich nicht nur die Menge der durch den Staat potentiell nutzbaren Daten drastisch vergrößert, sondern auch ihre Qualität und ihre Aussagekraft. Während sich das BVerfG im Volkszählungsurteil vorrangig um den Schutz personenbezogener Daten sorgte, die einzeln und begrenzt beim Bürger abgefragt wurden, stehen den Behörden heutzutage umfangreiche Datenbestände zur Verfügung, die nicht aus einzelnen Befragungen stammen, sondern von den Bürgern selbst im Alltag massenweise produziert und bevorratet werden. Mit der weiten Verbreitung von Computern, Laptops und Smartphones im privaten Lebensbereich, dem nicht mehr hinwegzudenkenden und geradezu allgegenwärtigen Internet11 und der fortschreitenden Vernetzung und Speicherung von Daten in einer Vielzahl von informationstechnischen Systemen spiegelt sich potentiell der gesamte Alltag des Bürgers auch in elektronischen Daten wider. Das private und soziale Leben wird längst

8

BVerfGE 65, 1 (42). „Cloud Computing“ bezeichnet die Speicherung von Daten oder die Nutzung von Diensten über das Internet oder andere Netzwerke, wobei die tatsächliche physische Hardware auf der ganzen Welt verteilt sein kann und durch Vernetzung dem Nutzer flexibel und virtuell als Einheit zur Verfügung gestellt wird. Dazu noch ausführlich unter Kap. 3 A.I.2.a) dieser Arbeit. 10 Siehe zum damaligen Volkszählungsgesetz BVerfGE 65, 1 (4 ff.). 11 Im Jahr 2019 waren 91 % aller deutschen Haushalte mit einem Internetanschluss samt passendem Gerät (Computer, auch Smartphone) ausgestattet; siehe Statistisches Bundesamt, Fachserie 15, Reihe 4, IKT 2019, Tabelle H1, S. 9. 9

B. Staatlicher Zugriff auf elektronisch gespeicherte Daten

7

nicht mehr nur im physisch-realen Raum, sondern auch im „virtuellen Raum“12 gelebt und hinterlässt entsprechende Datenspuren. Diese vom Bürger selbst und geradezu beiläufig auf ihren technischen Geräten und Speichern im Netz erzeugten Daten dienen einerseits der eigenen Persönlichkeitsentfaltung und -darstellung.13 Andererseits sind sie auch für den Staat interessant, insbesondere für die Sicherheits- und Strafverfolgungsbehörden, welche diese Datenbestände zur Aufklärung von Straftaten und gleichermaßen zur Ausforschung der Bürger benutzen können. Die vom Bürger selbst auf seinen Computersystemen angehäuften Datensammlungen können somit auch zur Gefahr für die ungehemmte Persönlichkeitsentfaltung werden.14 Ein einziger Zugriff auf den Datenbestand eines privat genutzten Computers kann umfassende und tiefgreifende Einblicke in die Privatsphäre des Bürgers liefern, ohne dass dieser dabei noch zuverlässig steuern und kontrollieren könnte, welche einzelnen Daten zur Kenntnis der Strafverfolgungsbehörden gelangen.15 Der Nutzer kann in diesem Augenblick keine einzelnen Daten mehr zurückhalten, und er hat auch keine Möglichkeit zur Lüge mehr. Die staatlichen Behörden müssen den Bürger hierbei nicht mehr nach bestimmten Informationen ausfragen. Vielmehr erzeugt der Bürger durch die alltägliche Nutzung der modernen Informationstechnik einen Datenpool, den die Behörden bei Gelegenheit nur noch abzuschöpfen brauchen.16 Der Staat hat damit potentiell Zugriff auf das in elektronischer Form „ausgelagerte Gehirn“17 des Bürgers. Unter diesen gewandelten Voraussetzungen und um diesen neuartigen Gefährdungen für die Privatsphäre des Einzelnen zu begegnen, schuf das BVerfG im Jahr 2008 in seinem Urteil zur Online-Durchsuchung eine weitere Ausprägung des allgemeinen Persönlichkeitsrechts: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (auch IT-Grundrecht genannt).18 Das BVerfG sah hierbei die Notwendigkeit, den Bürger nicht nur vor einzelnen Erhebungen personenbezogener Daten aus beliebigen Quellen zu schützen, sondern 12

Zu diesem Begriff s. noch Kapitel 1 dieser Arbeit. BVerfGE 120, 274 (304). 14 BVerfGE 120, 274 (305 f.). 15 BVerfGE 120, 274 (313). 16 Vgl. BVerfGE 120, 274 (313); Basar, FS Wessing 2015, 635 (639 – Fn. 22); Hauser, ITGrundrecht, 2015, S. 69. 17 So formuliert von Burkhard Hirsch, s. Der Spiegel 6/2007, S. 18, abrufbar unter htt p://magazin.spiegel.de/EpubDelivery/spiegel/pdf/50424594 [zuletzt abgerufen am 04.11.2021]. Zuweilen wird dieser Ausspruch auch Winfried Hassemer zugeschrieben, siehe Prantl, Süddeutsche.de vom 22. Juni 2017, abrufbar unter http://www.sueddeutsche.de/dig ital/ueberwachung-der-staatstrojaner-ist-ein-einbruch-ins-grundgesetz-1.3555917 [zuletzt abgerufen am 04.11.2021]; Hoffmann-Riem, JZ 2008, 1009 (1012 – Fn. 22) zitiert Hassemer dagegen mit dem Ausspruch: „Der Computer ist ein ausgelagerter Teil des Körpers.“ 18 BVerfGE 120, 274. 13

8

Einleitung

auch und gerade die vom Bürger genutzten Computer und Datenspeicher als persönliche virtuelle Schutzräume anzuerkennen.19 Allein anhand der beiden maßgeblichen Grundsatzurteile des BVerfG zum grundrechtlichen Datenschutz lässt sich einerseits der technische und gesellschaftliche Fortschritt bei der elektronischen Datenverarbeitung und -nutzung erkennen. Andererseits illustrieren die Urteile die damals wie heute bestehende Notwendigkeit, auf diese technischen Möglichkeiten auch in rechtlicher Hinsicht zu reagieren. Diese Notwendigkeit lässt sich dabei zum einen aus grundrechtlicher Perspektive, also aus Perspektive des Bürgers formulieren: Da immer mehr Menschen immer mehr Daten mit Persönlichkeitsbezug mittels elektronischer Geräte erzeugen, verbreiten, speichern, vernetzen und nutzen, muss die Privatsphäre dieser Nutzer rechtlichen Schutz vor den daraus entstehenden Gefährdungen genießen. Zum anderen lässt sich die Notwendigkeit, auf technische Entwicklungen mit Mitteln des Rechts zu reagieren, aus Perspektive der Sicherheits- und Strafverfolgungsbehörden und damit aus der Perspektive des Polizeirechts im weitesten Sinne sowie des Strafprozessrechts bestimmen: Gerade weil immer mehr Menschen weite Teile ihres Lebens in den sogenannten virtuellen Raum verlagern und dort elektronische Daten ablegen, die Auskunft über Lebensverhältnisse und Persönlichkeit geben, besteht bei polizeirechtlichen wie strafprozessualen Ermittlungen das Bedürfnis, auf eben diese elektronischen Daten zuzugreifen20 – was aus Perspektive des Bürgers wiederum als neuartige Gefährdung seiner Privatsphäre beschrieben werden kann, der mittels angepasstem Grundrechtsschutz begegnet werden muss.

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV Will man dem Bedürfnis nachkommen, den neuartigen Formen der elektronischen Datenspeicherung und Datenverarbeitung mit ebenso neuartigen Ermittlungsmethoden zu begegnen, so ist dies – zumindest in rechtlicher Hinsicht – mit passenden Rechtsgrundlagen zu tun.21 Im Strafprozessrecht

19

Vgl. nur BVerfGE 120, 274 (312 f.). Bäcker, Kriminalpräventionsrecht, 2015, S. 64 ff.; Bär, Zugriff auf Computerdaten, 1992, S. 1 ff., 455; Beulke/Meininghaus, FS Widmaier 2008, 63; Denkowski, Kriminalistik 2007, 177, 180; Hie´ramente/Pfister, StV 2017, 477 f.; Hofmann, NStZ 2005, 121; Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 1 f.; Vogel, ZIS 2012, 480 (481 f.). 21 Damit ist nicht gemeint, dass einem solchen Bedürfnis auch immer entsprochen werden muss oder sollte, was zum Beispiel Beulke/Meininghaus, FS Widmaier 2008, 63 (71 f.) vor allem bezüglich heimlicher Online-Durchsuchungen treffend in Frage stellen und schließlich verneinen. 20

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

9

sind dies vor allem die Eingriffsgrundlagen zu Eingriffen in die persönliche Sphäre des Beschuldigten während des Ermittlungsverfahrens. Dazu gehören auch die Vorschriften über Durchsuchungen (§§ 102 ff. StPO) sowie über Sicherstellung und Beschlagnahme (§§ 94 ff. StPO). Diese Vorschriften aber sind seit der Urfassung der Strafprozessordnung aus dem Jahre 1877 weitgehend unverändert und somit auch weitgehend unbeeindruckt von den modernen Entwicklungen der Informationstechnik geblieben.22 Bisher wurde zumeist versucht, neu aufkommende technologiegestützte Ermittlungsmethoden unter bereits bestehende Eingriffsnormen zu subsumieren.23 Das ist zum Beispiel lange Zeit hinsichtlich des Zugriffs auf elektronisch gespeicherte Daten so geschehen. Allein aufgrund ihres Alters sind die §§ 94 ff. StPO sowie die §§ 102 ff. StPO vom Gesetzgeber nicht auf Anwendungsfälle wie das Sichten und Kopieren von elektronischen Daten einer Festplatte oder das Herunterladen von Dateien von einem Internetserver zugeschnitten,24 mag es mit § 110 Abs. 3 S. 1 und S. 2 StPO mittlerweile auch ausdrückliche Rechtsgrundlagen zur Sichtung elektronischer Speichermedien geben, die aber weiterhin nur in das überkommene und ansonsten weitgehend unveränderte Regelungsgefüge der Durchsuchungs- und Beschlagnahmevorschriften eingefügt worden sind. Die Rechtsprechung wandte die §§ 94 ff. und § 102 ff. StPO schon früher – teils mit Billigung, teils mit Kritik aus dem rechtswissenschaftlichen Schrifttum – in ihrer unveränderten Gestalt an, um Zugriffe der Ermittler auf elektronisch gespeicherte Daten zu legitimieren.25 Ein weitergehendes, noch nicht lange zurückliegendes Beispiel dafür ist eine Entscheidung des BVerfG, nach der die §§ 94 ff. StPO taugliche Rechtsgrundlage zum Kopieren von E-Mails von einem Internetserver sein sollen.26 Das aber ist eine Ermittlungsmethode, die 1877 bei Verkündung der StPO27 höchstwahrscheinlich nicht einmal in der Fantasie des Gesetzgebers Platz hatte, geschweige denn bei den Beratungen zur damaligen Gesetzgebung berücksichtigt wurde. 22

BVerfGE 113, 29; zu dieser Einschätzung schon Bär, Zugriff auf Computerdaten, 1992, S. 3; ders., in: Wabnitz/Janovsky (Hrsg.), Handbuch Wirtschafts- und Steuerstrafrecht, Kap. 28 Rn. 6; Kudlich, JA 2000, 227 (228) und Matzky, Zugriff auf EDV im Strafprozeß, 1999, S. 3; aus neuerer Zeit Ludewig, KriPoZ 2019, 293 (296); Schilling/Rudolph/ Kuntze, HRRS 2013, 207 (209); Zerbes/El-Ghazi, NStZ 2015, 425; Zimmermann, JA 2014, 321. 23 Vgl. zu diesem Vorgehen – auch aus kritischer Sicht – Bär, Zugriff auf Computerdaten, 1992, S. 51 ff., 455 ff. und passim; kritisch auch Roggan, NJW 2015, 1995 ff.; Valerius, Ermittlungen der Strafverfolgungsbehörden, 2004, 26 f. 24 BVerfGE 113, 29 (32); vgl. dazu auch Matzky, Zugriff auf EDV im Strafprozeß, 1999, S. 3 f.; Roggan, NJW 2015, 1995 (1996 f.); Vogel, ZIS 2012, 480 (482); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 427. 25 Vgl. nur BGH StV 1988, 90; BGH NJW 1997, 1934. 26 BVerfGE 124, 43 (sog. E-Mail-Beschluss). 27 RGBl. 1877, S. 253.

10

Einleitung

Der Rechtsanwender ist allerdings nicht in jedem Fall moderner Ermittlungsmethoden auf die Auslegung bereits bestehender Rechtsgrundlagen verwiesen. Für bestimmte moderne, technikgestützte Ermittlungsmaßnahmen hat der Gesetzgeber im Laufe der Jahre eigene, neue Eingriffsgrundlagen geschaffen. Eine davon ist § 110 Abs. 3 StPO: § 110 StPO: Durchsicht von Papieren und elektronischen Speichermedien […] (3) Nach Maßgabe der Absätze 1 und 2 ist auch die Durchsicht von elektronischen Speichermedien bei dem von der Durchsuchung Betroffenen zulässig. Diese Durchsicht darf auch auf hiervon räumlich getrennte Speichermedien erstreckt werden, soweit auf sie von dem elektronischen Speichermedium aus zugegriffen werden kann, wenn andernfalls der Verlust der gesuchten Daten zu besorgen ist. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gesichert werden. […]

§ 110 Abs. 3 StPO wurde zuletzt durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021 geändert.28 § 110 Abs. 3 StPO wurde hierbei in die Sätze 1, 2 und 3 aufgeteilt. Satz 1 regelt die allgemeine Befugnis zur Durchsicht (lokaler) elektronischer Speichermedien erstmals ausdrücklich. Satz 2 enthält nun die Befugnis zur Durchsicht räumlich getrennter Speichermedien, die bereits vorher im ursprünglichen § 110 Abs. 3 S. 1 StPO a. F. aus dem Jahr 2008 enthalten war: § 110 StPO a. F. (2008) […] (3) Die Durchsicht eines elektronischen Speichermediums bei dem von der Durchsuchung Betroffenen darf auch auf hiervon räumlich getrennte Speichermedien, soweit auf sie von dem Speichermedium aus zugegriffen werden kann, erstreckt werden, wenn andernfalls der Verlust der gesuchten Daten zu besorgen ist. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gesichert werden; § 98 Abs. 2 gilt entsprechend.

§ 110 Abs. 3 StPO a. F. wurde zum Jahr 2008 im Zuge des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“ neu in die StPO eingefügt.29 Dies diente auch der Umsetzung des von Deutschland ratifizierten Übereinkommens über Computerkriminalität des Europarats („Convention on Cybercrime“, „Cybercrime Convention“)30, namentlich der Umsetzung dessen Art. 19 Abs. 2.31 In systematischer Hinsicht ist die 28

BGBl. 2021 I, S. 2099 ff. BGBl. 2007 I, S. 3198 ff. 30 In deutscher Übersetzung abrufbar unter http://conventions.coe.int/Treaty/GER/T reaties/Html/185.htm [zuletzt abgerufen am 04.11.2021]. 31 Art. 19 Abs. 2 des Übereinkommens über Computerkriminalität lautet in deutscher Sprache: „Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um sicherzustellen, dass ihre Behörden, wenn sie ein bestimmtes Computer29

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

11

Norm – sowohl in ihrer alten Fassung, als auch in ihrer neuen Fassung seit 2021 – innerhalb der Regelungen zur „Durchsicht von Papieren und elektronischen Speichermedien“ in § 110 StPO eingeordnet und kann damit als Spezialfall zur allgemeinen Durchsichtsbefugnis nach § 110 Abs. 1 StPO angesehen werden.32 § 110 Abs. 3 S. 2 erlaubt im Rahmen von Durchsuchungen nach §§ 102 ff. StPO die Durchsicht von elektronischen Speichermedien über die durchsuchten Räumlichkeiten hinaus, sofern sie von einem in den durchsuchten Räumlichkeiten befindlichen Speichermedium aus erreichbar sind. Die Möglichkeit der Durchsicht von lokalen Speichermedien, die schon früher nach § 110 Abs. 1 StPO anerkannt war und seit 2021 ausdrücklich in § 110 Abs. 3 S. 1 StPO festgeschrieben ist,33 wird somit um die Befugnis zu einem Fernzugriff auf externe Speichermedien erweitert34.35 Neben den allgemeinen Voraussetzungen zur Durchführung einer Durchsuchung ist zusätzliche Voraussetzung, dass ohne einen solchen Fernzugriff der Verlust der gesuchten Daten zu besorgen ist. § 110 Abs. 3 Satz 3 der Norm erlaubt die vorläufige Sicherung von potentiell verfahrensrelevanten Daten, die sich an die Durchsicht anschließt, Absatz 4 regelt das weitere Verfahren bei der Sicherung dieser Daten. Mit dem Begriff „Speichermedien“ in § 110 Abs. 3 S. 2 StPO ist ausweislich der Gesetzesbegründung zum insoweit inhaltsgleichen § 110 Abs. 3 StPO a. F. unter Bezug auf die Convention on Cybercrime jeweils ein „Computersystem“ gemeint.36 Es geht also um einen Zugriff von einem lokalen „(Comsystem oder einen Teil davon nach Absatz 1 Buchstabe a durchsuchen oder in ähnlicher Weise darauf Zugriff nehmen und Grund zu der Annahme haben, dass die gesuchten Daten in einem anderen Computersystem oder einem Teil davon im Hoheitsgebiet der betreffenden Vertragspartei gespeichert sind, und diese Daten von dem ersten System aus rechtmäßig zugänglich oder verfügbar sind, die Durchsuchung oder den ähnlichen Zugriff rasch auf das andere System ausdehnen können.“ 32 Dazu auch unten Kap. 2 B. 33 Dazu ausführlich unten Kap. 2 B. 34 Vgl. BT-Drs. 16/5846, S. 27. Allerdings gingen bereits vor Inkrafttreten des § 110 Abs. 3 StPO a. F. im Jahr 2008 vereinzelte Stimmen im Schrifttum davon aus, dass ein solcher Zugriff im Rahmen einer Durchsuchung unter bestimmten Bedingungen erlaubt sei, so z.B. Kudlich, JA 2000, 227 (230); bestätigend ders., JA 2007, 391 (392); in diese Richtung auch Wicker, Cloud Computing und staatlicher Strafanspruch, 2016, S. 353 ff.,; dagegen beispielsweise Bär, Zugriff auf Computerdaten, 1992, S. 217 ff.; differenzierend Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 462. 35 Außerhalb des Strafprozessrechts regelt beispielsweise Art. 22 Abs. 2 S. 1 des Bayerischen Polizeiaufgabengesetzes in ausdrücklicher Anlehnung an § 110 Abs. 3 StPO (vgl. LT-Drs. 17/20425, S. 44) einen entsprechenden Fernzugriff zum Zwecke der Gefahrenabwehr. Um Normen des Gefahrenabwehrrechts soll es in dieser strafprozessrechtlich orientierten Arbeit jedoch nicht gehen, zumal die zugehörigen Gesetzesbegründungen keine weiteren Erkenntnisse für die hiesige Untersuchung bieten. 36 BT-Drs. 16/5846, S. 27, 63.

12

Einleitung

puter-)System“ auf externe „Systeme“, welche, um derartige Zugriffe überhaupt ermöglichen zu können, technisch notwendigerweise über das bloße Dasein als Speichermedium (zum Beispiel in Form einer Festplatte oder eines USB-Sticks) hinausgehen müssen.37 Nach der insoweit maßgeblichen Definition des Art. 1 a) der Convention on Cybercrime ist ein Computersystem „eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms automatische Datenverarbeitung durchführen“. Ein Computersystem in diesem Sinne kann daher auch als „informationstechnisches System“ bezeichnet werden.38 Solche Systeme sind beispielsweise einzelne Rechner oder Netzwerke in Form des Zusammenschlusses mehrerer Rechner und Cloud-Dienste sowie andere Arten des Speicherplatzes im Internet, wie es zum Beispiel bei der Anmietung von „Webspace“ zum Betrieb einer Homepage oder zum Speichern von Daten (Filehoster) der Fall ist.39 Betrachtet man diese Anwendungsfälle, so liegt die Bezeichnung der in § 110 Abs. 3 S. 2 StPO geregelten Maßnahme als „Online-Durchsuchung“ nahe – was sowohl in der Gesetzesbegründung (dort freilich davon abgrenzend)40 wie auch im rechtswissenschaftlichen Schrifttum seinen Niederschlag gefunden hat.41 Jedenfalls ist § 110 Abs. 3 S. 2 StPO somit als Reaktion auf die eingangs vorgestellten modernen technischen Entwicklungen in der vernetzten Speicherung und Nutzung von elektronischen Daten einerseits und die damit korrespondierenden Begehrlichkeiten der Ermittlungsbehörden zum Zugriff auf solche extern gespeicherten Daten andererseits zu sehen.42 Auch das wird in der Gesetzesbegründung deutlich.43

I. Offenheit und Heimlichkeit der Durchsuchung Durch die Einordnung in den Regelungskomplex der Durchsuchung und ausweislich der Gesetzesbegründung ist die Durchsicht nach § 110 Abs. 3 S. 2 StPO grundsätzlich als offene und nicht als heimliche Maßnahme ausgestal37 Braun, PStR 2012, 86 (87); Brodowski/Eisenmenger, ZD 2014, 119 (122); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 53; Schlegel, HRRS 2008, 23 (27). 38 Dazu noch ausführlich unten Einl. D.III.3. 39 LR/Tsambikakis, § 110 Rn. 8; Weichert, DuD 2010, 679 (684). 40 BT-Drs. 16/5846, S. 64. 41 Henrichs, Kriminalistik 2008, 169 (172): „Offene Online-Durchsuchung“; vgl. auch Michalke, StraFo 2014, 89 (91), „Kleine Online-Durchsuchung“, wobei der Autor aber die Vergleichbarkeit mit einer Online-Durchsuchung durch Spionagesoftware verneint; ähnlich Dralle´, Grundrecht auf Gewährleistung, 2010, S. 86 f.; Kochheim, Cybercrime, Rn. 2018 – Fn. 2951 und Schlegel, HRRS 2008, 23: „Online-Durchsuchung light“; vgl. auch Kohlmann, Online-Durchsuchungen, 2012, S. 94. 42 Obenhaus, NJW 2010, 651 f. 43 BT-Drs. 16/5846, S. 27, 63.

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

13

tet.44 Für den Inhaber desjenigen Systems, durch das auf ein anderes System zugegriffen wird, ist dies einleuchtend: Er ist – in der Regel – gleichzeitig der Inhaber der nach § 102 StPO durchsuchten Räumlichkeiten und ist in diesem Rahmen nach § 106 Abs. 1 S. 1 StPO grundsätzlich während der Ermittlungsmaßnahme als Anwesender hinzuzuziehen.45 Dem Durchsuchten gegenüber agieren die Ermittler also offen; den Zugriff von seinem Computersystem auf ein anderes Computersystem wird er in der Regel vor Ort mitverfolgen können. Anders liegt es lediglich bei der nach § 110 Abs. 1, Abs. 3 StPO gestatteten „Mitnahme zur Durchsicht“46, bei der die Ermittler den Datenbestand zunächst sichern und dann außerhalb der Räumlichkeiten des Betroffenen auswerten. Diese Auswertung, welche erst den eigentlichen Akt der Beweiserhebung darstellt, geschieht dann nicht mehr im Beisein des Betroffenen.47 Allerdings weiß der Betroffene zumindest, dass seine Daten durchgesehen werden. Insofern ist ihm im Wesentlichen offenbart, was mit den Daten passieren wird.48 Auch die „Mitnahme zur Durchsicht“ und die anschließende Beweiserhebung ist damit grundsätzlich als offene, nicht verdeckte oder heimliche Maßnahme zu bewerten, mag sie sich auch je nach konkreter Durchführung einer heimlichen Maßnahme annähern.49 Die Offenheit der Maßnahme dem Inhaber der durchsuchten Räumlichkeiten gegenüber macht die Maßnahme jedoch nicht zu einer offenen Maßnahme per se.50 So können schon bei der herkömmlichen, das heißt rein physischen Durchsuchung in den Räumlichkeiten des Beschuldigten Dokumente Dritter von der Durchsicht nach § 110 Abs. 1 StPO berührt werden, die aus welchen Gründen auch immer in den Räumlichkeiten eines anderen lagern.51 Der Dritte weiß in diesem Augenblick aber nichts von dieser Durchsuchung, sodass sich die Maßnahme im Verhältnis zu ihm als eine heimliche Maßnahme darstellt.52 Diese Konstellation der heimlichen Drittbetroffenheit tritt beim Zugriff auf nicht physisch in den Räumlichkeiten des Beschuldig44

BT-Drs. 16/5846, S. 64. Zum möglichen Ausgangspunkt einer Durchsuchung bei anderen Personen nach § 103 StPO siehe noch ausführlich unten Kap. 2 A.II. 46 Zur „Mitnahme zur Durchsicht“ noch ausführlich Kap. 2 B.II. dieser Arbeit. 47 Kritisch zu diesem Vorgehen wegen mangelnder Offenheit Szesny, WiJ 2012, 228 (231 f.). 48 Zerbes/El-Ghazi, NStZ 2015, 425 (431). 49 Dazu noch ausführlich unten Kap. 2 B.II.3. 50 Vgl. allgemein Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 7. 51 So schon speziell mit Blick auf Datenträger Bär, Zugriff auf Computerdaten, 1992, S. 222 ff.; vgl. hinsichtlich der Drittbetroffenheit auch Wicker, Cloud Computing, 2016, S. 303, 357 f. 52 Die Durchsicht von Papieren, die eindeutig allein einem unbeteiligten Dritten zuzuordnen sind, muss allerdings von vornherein unterbleiben, vgl. SK-StPO/Wohlers/Jäger, § 110 Rn. 7. 45

14

Einleitung

ten vorhandene Systeme gemäß § 110 Abs. 3 S. 2 StPO ebenso auf. Denn an einer Speicherung von Daten in vernetzten Speicherplätzen – zum Beispiel über das Internet – sind nicht selten mehrere Personen beteiligt, die diesen Speicherplatz – im Gegensatz zu einer fremden Wohnung – auch als ganz eigenen, vertraulichen Speicherplatz ansehen und nutzen.53 Der Speicherplatz kann zum Beispiel gemeinsam bei einem kommerziellen Anbieter angemietet worden sein, um dort Urlaubsfotos zu teilen. Auch in beruflichen Zusammenhängen („Unternehmenscloud“, „Cloud Collaboration“54) ist eine gemeinsame Nutzung von zugangsgesicherten externen Speicherplätzen längst keine Seltenheit mehr. Der gegenüber dem Durchsuchten offen erfolgende Zugriff auf so gespeicherte Daten trifft etwaige dritte Nutzer daher – wenn sie nicht vorher benachrichtigt werden – ohne deren Kenntnis, mithin heimlich.55 Von einer Durchsicht eines vernetzten Speicherplatzes gemäß § 110 Abs. 3 S. 2 StPO kann neben dem Beschuldigten bzw. Durchsuchten auch der Anbieter des durchsuchten Speicherplatzes betroffen sein. Dieser Anbieter stellt zum Beispiel die nötige technische Infrastruktur des Speichersystems bereit. Das kann auf Ebene der Hardware geschehen, also in Form der Bereitstellung von Servern oder Festplatten in eigenen, physischen Räumlichkeiten (z. B. Serverräume). Auch kann dies auf Ebene der Software geschehen, zum Beispiel in Form der Bereitstellung und Wartung von Betriebssystemen oder anderen Programmen zur Verwaltung des Speicherplatzes. Wird auf einen solchen Speicherplatz per § 110 Abs. 3 S. 2 StPO im Rahmen einer Durchsuchung beim Beschuldigten zugegriffen, so stellt sich dieser Zugriff aus Sicht des Anbieters des Speicherplatzes ebenso als heimliche Maßnahme dar.56 Der Anbieter selbst wird das bereitgestellte System für gewöhnlich jedoch nicht als eigenen Speicherplatz benutzen. Zumindest eine Berührung sensibler Daten des Speicherplatzanbieters wird bei einem Zugriff nach § 110 Abs. 3 S. 2 StPO daher in der Regel nicht zu befürchten sein.57 Auf die Rolle des 53 Gegen die Einschätzung, dass das Risiko der Drittbetroffenheit bei vernetzten, insbesondere Cloud-Speicherplätzen höher ist, allerdings Wicker, Cloud Computing und staatlicher Strafanspruch, 2016, S. 303. 54 von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 384. 55 Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 413; Brodowski/ Eisenmenger, ZD 2014, 119 (121 f., 125); Eisenberg, Beweisrecht, Rn. 2449b – Fn. 320; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 462; Puschke/Singelnstein, NJW 2008, 113 (115); Sieber, Gutachten zum 69. Deutschen Juristentag, C 114; Singelnstein, NStZ 2012, 593 (598); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 385; Warken, NZWiSt 2017, 329 (338); Zerbes/El-Ghazi, NStZ 2015, 425 (429). Diese Konstellation erkennend, wenn auch nicht mit den Worten „heimlich“ oder „verdeckt“ belegend BVerfGE 122, 63 (79 f.). 56 Zimmermann, JA 2014, 321 (322). 57 Vgl. Wicker, Cloud Computing, 2016, S. 302, 354 f.

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

15

Speicherplatzanbieters soll in dieser Arbeit daher nicht vertieft eingegangen werden.58 Anders aber liegt es auf Seiten der Benutzer der Speicherplätze: Nicht selten wird der Speicherplatz im Internet nicht nur von einer Person allein, sondern von mehreren Personen benutzt, welche ihre Daten gemeinsam an diesem Ort sammeln. Das tun die Nutzer häufig sogar ohne diese Daten mit einer nach außen erkennbaren persönlichen Kennzeichnung zu versehen. Nur eines von vielen Beispielen für eine solche Konstellation ist die Nutzung von Cloud- und anderweitigen Internetdiensten, wie der Speicherdienst von Dropbox oder das vom Unternehmen Alphabet bzw. Google bereitgestellte Online-Angebot zur gemeinsamen Textverarbeitung namens Google Docs. Diese Dienste sind darauf ausgerichtet, gespeicherte Daten mehreren Nutzern parallel zur Verfügung zu stellen, sodass ein gemeinsamer Datenpool entsteht. An diesem haben dann für gewöhnlich mehrere Personen Rechte. Wird also gegenüber einem der Nutzer ermittelt und ihm gegenüber offen auf dieses Datensystem zugegriffen, so kann und wird in diesem Zugriff gleichzeitig eine Berührung der Daten bzw. Rechte dritter Mitbenutzer liegen. Diese aber wissen im Moment des Zugriffs nichts davon, sodass sich die Maßnahme ihnen gegenüber als ein heimlicher Eingriff darstellt. Diese heimliche Drittbetroffenheit kann, wie weiter oben angedeutet, bereits bei einer physischen Durchsicht von Papieren nach § 110 Abs. 1 StPO auftreten, zum Beispiel bei der Durchsicht von Aktenbeständen. Bei der physischen Aufbewahrung von Dokumenten ist es allerdings noch eher üblich und möglich, die Papiere bereits nach außen hin zu trennen und unterschiedlichen Personen zuzuordnen. Das kann einerseits der Inhaber der Räumlichkeiten selbst tun, indem er die Papiere getrennt aufbewahrt oder entsprechend kennzeichnet. Die Ermittler andererseits können diese deutliche Trennung zur Kenntnis nehmen und ihre Ermittlungen danach ausrichten. Die Besonderheit von Speichersystemen bzw. von darin elektronisch gespeicherten Daten als den maßgeblichen Zugriffsobjekten im Rahmen des § 110 Abs. 3 StPO ist nun, dass diese eindeutige Trennung der Dokumente gerade nicht üblich und technisch auch nicht immer möglich ist. Die technischen Gegebenheiten wie auch die übliche Nutzungspraxis – ein gemeinsames Speichersystem als unsortierter „Datenpool“ für mehrere Nutzer – unterscheiden sich in diesem Punkt von einer herkömmlichen Aufbewahrung physischer Papiere. Dieser Unterschied ist es, der die besonders erhöhte Gefahr begründet, dass bei einem Zugriff auf ein externes Speichersystem nach § 110 Abs. 3 S. 2 StPO Daten und damit Rechte von am Verfahren unbeteiligten Dritten berührt werden.59 58

Ergänzend unten Kap. 3 C. Davon geht mittlerweile auch der Gesetzgeber aus, vgl. BT-Drs. 19/27654, S. 61 f. Zur Gegenmeinung, die kein im Vergleich zu lokalen physischen Konstellationen erhöhtes Risiko einer Drittbetroffenheit sieht vgl. erneut Wicker, Cloud Computing, 2016, S. 303. 59

16

Einleitung

II. Gesetzesbegründung der Bundesregierung zu § 110 Abs. 3 StPO (a. F.) Die Gefahr der Berührung von Rechten unbeteiligter Dritter hat auch der Gesetzgeber erkannt, ebenso wie er auch die Nähe des § 110 Abs. 3 S. 2 StPO zu einer „heimlichen Online-Durchsuchung“ im Blick hatte.60 Daraus lässt sich bereits der Schluss ziehen, dass Maßnahmen nach § 110 Abs. 3 S. 2 StPO nach dem Willen des Gesetzgebers auch mit Wirkung eines heimlichen Eingriffs zulasten des Dritten durchgeführt werden dürfen. Allerdings soll der Gesetzesbegründung zu § 110 Abs. 3 StPO a. F. zufolge ein Online-Zugriff im Wege einer „heimlichen Online-Durchsuchung“ oder „staatlichen Hackings“ gleichwohl ausgeschlossen sein. Dabei wird in der ursprünglichen Gesetzesbegründung betont, dass nur auf Speichermedien zugegriffen werden dürfe, auf die der Betroffene wiederum überhaupt Zugriff zu gewähren befugt sei. Die Gesetzesbegründung nimmt damit Bezug auf die Bestimmung des Art. 19 Abs. 2 der Convention on Cybercrime, welche für einen entsprechenden Datenzugriff voraussetzt, dass die Zieldaten vom Ausgangssystem „rechtmäßig“ zugänglich sind.61 Artikel 19 – Durchsuchung und Beschlagnahme gespeicherter Computerdaten […] (2) Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um sicherzustellen, dass ihre Behörden, wenn sie ein bestimmtes Computersystem oder einen Teil davon nach Absatz 1 Buchstabe a durchsuchen oder in ähnlicher Weise darauf Zugriff nehmen und Grund zu der Annahme haben, dass die gesuchten Daten in einem anderen Computersystem oder einem Teil davon im Hoheitsgebiet der betreffenden Vertragspartei gespeichert sind, und diese Daten von dem ersten System aus rechtmäßig zugänglich oder verfügbar sind, die Durchsuchung oder den ähnlichen Zugriff rasch auf das andere System ausdehnen können.62 60

S. BT-Drs. 16/5846, S. 64. A. A. Beulke/Meininghaus, FS Widmaier 2008, 63 (75), die aus der Formulierung „rechtmäßig zugänglich oder verfügbar“ in Art. 19 Abs. 2 des Übereinkommens über Computerkriminalität herauslesen, dass die Berechtigung des Durchsuchten nicht zwingend Voraussetzung sein muss bzw. nach dem Übereinkommen gar nicht sein darf. Ob diese Lesart zweier Varianten – entweder „rechtmäßig zugänglich“ oder einfach nur „verfügbar“ – von den Unterzeichnerstaaten wirklich so gewollt war, ist höchst zweifelhaft. Näher läge ein Verständnis „rechtmäßig zugänglich“ oder „rechtmäßig verfügbar“, also in dem Sinne, dass sich das „rechtmäßig“ im Wortlaut auch auf das „verfügbar“ beziehen muss. Dahin tendiert auch der Gesetzentwurf der Bundesregierung zur Umsetzung des Übereinkommens über Computerkriminalität, der die entsprechende Formulierung als „rechtmäßig zugänglich und verfügbar“ paraphrasiert, siehe BT-Drs. 16/7218, S. 49. Bei ihrer eigenen Lesart kommen Beulke/Meininghaus jedenfalls konsequenterweise zu dem Schluss, dass der damalige Gesetzentwurf des § 110 Abs. 3 StPO mit seinem einschränkenden Tatbestandsmerkmal der Zugriffsberechtigung des Durchsuchten hinter den Forderungen des Übereinkommens über Computerkriminalität zurückblieb. 62 Abgedruckt in BT-Drs. 16/7281, S. 20. In deutscher Übersetzung auch abrufbar unter 61

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

17

Diese Gesetzesbegründung der Bundesregierung war zum Zeitpunkt der Verabschiedung des § 110 Abs. 3 StPO a. F. allerdings bereits nicht mehr aktuell. § 110 Abs. 3 StPO-E stellte die Voraussetzung der rechtmäßigen Zugänglichkeit durch den von der Durchsuchung unmittelbar Betroffenen zwar in der Tat noch im Wortlaut auf: § 110 Abs. 3 StPO-E Die Durchsicht elektronischer Speichermedien darf auf räumlich getrennte Speichermedien, auf die der Betroffene den Zugriff zu gewähren berechtigt ist, erstreckt werden. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gespeichert werden, wenn bis zur Sicherstellung der Datenträger ihr Verlust zu besorgen ist; sie sind zu löschen, sobald sie für die Strafverfolgung nicht mehr erforderlich sind.63

Im schließlich 2008 verabschiedeten § 110 Abs. 3 StPO (a. F.) fehlt diese Voraussetzung jedoch: § 110 StPO (a. F., 2008) […] (3) Die Durchsicht eines elektronischen Speichermediums bei dem von der Durchsuchung Betroffenen darf auch auf hiervon räumlich getrennte Speichermedien, soweit auf sie von dem Speichermedium aus zugegriffen werden kann, erstreckt werden, wenn andernfalls der Verlust der gesuchten Daten zu besorgen ist. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gesichert werden; § 98 Abs. 2 gilt entsprechend.64

Statt auf die Berechtigung des Betroffenen zur Gewährung des Zugriffs stellt die Norm nun – auch in ihrer aktuellen Fassung des § 110 Abs. 3 S. 2 StPO von 2021 – nur noch darauf ab, ob vom Computersystem des Betroffenen aus faktisch auf ein externes Computersystem zugegriffen werden „kann“. Im Ergebnis wurde das Erfordernis der Berechtigung des Betroffenen zur Zugriffsgewährung also aus dem Wortlaut der Norm gestrichen. Angesichts des klaren Bezugs zu Rechtsverhältnissen durch die Formulierung „Zugriff zu gewähren berechtigt ist“ kann diese Änderung nicht als bloß redaktionelle Korrektur von minderer Bedeutung begriffen werden. Vielmehr wurde ein den Eingriff begrenzendes Tatbestandsmerkmal entfernt.65 Es fällt schwer, vor dem Hintergrund dieser Entstehungsgeschichte die Berechtigung des Betroffenen, den Zugriff zu gewähren, als ungeschriebene Eingriffsvoraussetzung in den aktuell gültigen § 110 Abs. 3 S. 2 StPO hineinzulesen oder sie auch nur als Argumentations- und Auslegungshilfe bei Bestimmung des Anwendungsbereichs der Norm zu verwenden.

http://conventions.coe.int/Treaty/GER/Treaties/Html/185.htm [zuletzt abgerufen am 04.11.2021]. 63 BT-Drs. 16/5846, S. 15 (Hervorhebung nicht im Original). 64 BGBl. 2007 I, S. 3204. 65 Vgl. Heinson, IT-Forensik, 2015, S. 255; Puschke/Singelnstein, NJW 2008, 113 (115); SK-StPO/Wohlers/Jäger, § 110 Rn. 9; Sieber, Gutachten zum 69. Deutschen Juristentag, C 114.

18

Einleitung

Die Gesetzesbegründung der Bundesregierung bezieht sich somit auf einen wesentlich anderen Normtext als den später in Kraft getretenen und insoweit auch heute noch gültigen. Oder anders gewendet: Es wurde ein anderes Gesetz verkündet, als vom ursprünglichen Gesetzentwurf vorgesehen, weshalb auch die ursprüngliche Gesetzesbegründung nicht mehr in allen Teilen greift. Konkret: Der Unterschied der Maßnahme nach § 110 Abs. 3 S. 2 StPO zu einer heimlichen Online-Durchsuchung, den die damalige Bundesregierung darin sehen wollte, dass den Ermittlern nur der zwischen den Systemnutzern als rechtmäßig angesehene Zugriff erlaubt sei, ist so schon seit dem erstmaligen Inkrafttreten des § 110 Abs. 3 StPO nicht mehr vorhanden. Bereits durch diese schrankenlosere Zugriffsmöglichkeit rückt § 110 Abs. 3 StPO wieder mehr in die Nähe dessen, was auch die Bundesregierung selbst bei Verabschiedung des Gesetzes als heimliche Online-Durchsuchung verstanden hatte. Der Gang der Gesetzgebung war wie folgt: Vor dem von der Bundesregierung beschlossenen Gesetzentwurf vom 27.06.200766 unter Federführung des Ministeriums für Justiz äußerte sich der Bundesrat in seiner Stellungnahme vom 08.06.2007 ausweislich der Gesetzesmaterialien nicht zu § 110 Abs. 3 StPO-E.67 Dementsprechend ging auch die Gegenäußerung der Bundesregierung nicht mehr auf diese Norm ein.68 Auch in einem späteren Gesetzentwurf der Bundesregierung betreffend das „Gesetz zu dem Übereinkommen des Europarats vom 23. November 2001 über Computerkriminalität“ vom 16.11.2007 wird auf die ursprüngliche Entwurfsfassung des § 110 Abs. 3 StPO-E Bezug genommen, die das Erfordernis der Berechtigung des Betroffenen zur Gewährung des Zugriffs noch enthielt.69 Einige Tage vorher jedoch, am 07.11.2007, wurde in einer Beschlussempfehlung des Rechtsausschusses die Änderung des § 110 Abs. 3 StPO-E vorgeschlagen.70 Begründet wurde die Streichung des Erfordernisses der Berechtigung des Betroffenen zur Zugriffsgewährung mit den praktischen Schwierigkeiten, die bei der Aufklärung derartiger Absprachen des Betroffenen mit Dritten entstünden. Ferner solle nicht eine solche interne Absprache der Nutzer über die Zulässigkeit des Zugriffs durch Strafverfolgungsbehörden entscheiden dürfen, da sonst derartige beschränkende Vereinbarungen zwischen den Beteiligten in der Folge gezielt und standardmäßig getroffen würden, um einen Zugriff der Strafverfolgungsbehörden rechtlich unzulässig werden zu lassen. Die Ermächtigung des § 110 Abs. 3 StPO liefe damit leer. Zum Schutz Drittbetroffener solle daher lediglich § 98 Abs. 2 StPO angewandt werden, also eine 66

Zu entnehmen BT-Drs. 16/5846, S. 1. BT-Drs. 16/5846, S. 80 ff.; BR-Drs. 275/07. 68 BT-Drs. 16/5846, S. 92 ff. 69 BT-Drs. 16/7218, S. 50. 70 BT-Drs. 16/6979, S. 19. 67

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

19

nachträgliche gerichtliche Überprüfung der Sicherung von Daten verpflichtend sein.71 Ausweislich des Änderungsvorschlags und der begleitenden Begründung bezieht sich diese nachträgliche gerichtliche Prüfung nicht auf Fälle, in denen Daten nach § 110 Abs. 3 S. 2 StPO (§ 110 Abs. 3 S. 1 StPO a. F.) zwar gesichtet wurden, die Sicherung dieser Daten nach § 110 Abs. 3 S. 3 StPO (§ 110 Abs. 3 S. 2 StPO) a. F. aber unterblieben ist. Diese Änderungsempfehlung des Rechtsausschusses wurde ausweislich der entsprechenden Mitteilung im Bundesrat vom Bundestag übernommen und das Gesetz schließlich zwei Tage später am 09.11.2007 in der vom Rechtsausschuss vorgeschlagenen Form beschlossen.72 Verkündet wurde das Gesetz in dieser Form am 31.12.2007, wonach es schließlich direkt am 01.01.2008 in Kraft getreten ist.73 Es zeigt sich also, dass sich die Gesetzesbegründung der Bundesregierung tatsächlich auf einen anderen Normtext bezieht als auf den schließlich in Kraft getretenen. Die ursprüngliche Gesetzesbegründung kann somit nicht mehr zur einschränkenden Auslegung des § 110 Abs. 3 StPO fruchtbar gemacht werden. Selbst wenn man jedoch die – obsolete – Argumentation der Gesetzesbegründung der Bundesregierung zugrunde legte, so trüge sie nicht zur Begrenzung des Risikos einer heimlichen Online-Durchsuchung zulasten mitbetroffener Dritter bei Anwendung des § 110 Abs. 3 S. 2 StPO bei. Denn die in Rede stehenden Absprachen der Systemnutzer bei der Zugriffsberechtigung sollten sich dem gesetzlichen Leitbild nach auf Telearbeitsplätze beziehen, bei dem der Arbeitnehmer von zu Hause aus auf Systeme des Arbeitgebers zugreift. In diesem Falle hat der Arbeitnehmer als Systemnutzer keine Berechtigung, Dritten den Zugang zu gewähren.74 In der Masse der Anwendungsfälle stellt dieser Fall aber nur einen Teil der Nutzungsrealität von externen Speicherplätzen dar. Häufig wird auch die gemeinsame Nutzung von externen Speichermedien abseits von Arbeitsverhältnissen im eher informellen Bereich ohne Absprachen und mit unüberschaubarem Personenkreis vorkommen. Gerade in solchen Fällen aber, in dem es dem Benutzer grundsätzlich freigestellt ist, auch Dritten den Zugang zu seinem externen Speicherplatz zu eröffnen, sollte das begrenzende Merkmal der Berechtigung zur Gewährung des Zugriffs nach Auffassung der Bundesregierung ohnehin nicht gelten.75 Dementsprechend wäre auch durch diese Konstruktion die Betroffenheit Dritter mit Wirkung einer heimlichen Online-Durchsuchung nicht effektiv verringert worden.76 71

BT-Drs. 16/6979, S. 44 f. BR-Drs. 798/07, S. 1, 7. 73 BGBl. 2007 I, S. 3198, 3211. 74 BT-Drs. 16/5846, S. 64. 75 BT-Drs. 16/5846, S. 64. 76 Vgl. Zerbes/El-Ghazi, NStZ 2015, 425 (429 f.). 72

20

Einleitung

Ohnehin bleibt fraglich, warum das einschränkende Erfordernis der Befugnis des Beschuldigten zum Datenzugriff oder zur Datenweitergabe überhaupt geeignet sein sollte, dem eigentlichen Problem des § 110 Abs. 3 S. 2 StPO zu begegnen, nämlich der Möglichkeit, dass staatliche Behörden ohne Wissen des Dritten auf dessen Datenspeicher zugreifen dürfen. Die Heimlichkeit oder Offenheit des Systemzugriffs durch staatliche Behörden hat nichts mit privaten Absprachen zwischen mehreren Nutzern zu tun; private Zugriffs- und Weitergabebefugnisse beseitigen die Heimlichkeit eines staatlichen Zugriffs nicht. Die gesamte Argumentation der Bundesregierung zeigt damit, dass sie bei Schaffung des § 110 Abs. 3 StPO die wesentlichen rechtlichen und tatsächlichen Probleme rund um Heimlichkeit und Drittwirkung von Datenzugriffen nur unzureichend erfasst hat.

III. Änderungsbegründung des Rechtsausschusses zu § 110 Abs. 3 StPO Da der damalige § 110 Abs. 3 StPO-E in seiner ursprünglichen Form, auf welche die Gesetzesbegründung Bezug nimmt, niemals geltendes Recht geworden ist, ist hier nun stattdessen die Änderungsbegründung des Rechtsausschusses genauer in den Blick zu nehmen. Wie die Bundesregierung befasste sich auch der Rechtsausschuss in seinen Beratungen mit dem Problem, dass die Durchsicht räumlich getrennter Speichermedien Ähnlichkeiten zu einer heimlichen Online-Durchsuchung aufweist. Der Rechtsausschuss kam im Wesentlichen aber zu keinem anderen Schluss als die Bundesregierung: Die nach § 110 Abs. 3 StPO zulässige Durchsicht von externen Speichermedien sei Drittbetroffenen gegenüber keine heimliche Online-Durchsuchung, weil die Offenheit der Maßnahme durch die Gewährung nachträglichen Rechtsschutzes gemäß § 98 Abs. 2 S. 1 StPO in Verbindung mit der in diesem Zuge stattfindenden Anhörung des (Dritt-)Betroffenen nach § 33 Abs. 2, 3 StPO77 sichergestellt sei.78 Diese von Bundesregierung und Rechtsausschuss bemühte Abgrenzung der Maßnahme des § 110 Abs. 3 S. 2 StPO zu einer heimlichen Online-Durch-

77 Siehe auch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 385, der eine Benachrichtungspflicht über § 110 Abs. 3 S. 2 StPO a. F. (heute: § 110 Abs. 4 StPO) i. V. m. § 98 Abs. 2 S. 5 StPO aus der Pflicht zur Belehrung des Betroffenen konstruiert. 78 BT-Drs. 16/6979, S. 45. Diesen Gedanken greift auch BVerfGE 122, 63 (79 f.) auf. Dem BVerfG ging es dabei allerdings nicht um die Beurteilung der Natur der Maßnahme als offen oder heimlich, sondern darum, ob die Beschwerdeführer gegen § 110 Abs. 3 StPO a. F. den Grundsatz der Subsidiarität von Verfassungsbeschwerden beachtet hatten. Das BVerfG verweist hierbei auf die Normen zum nachträglichen Rechtsschutz und befand, dass die Beschwerdeführer zeitnah fachgerichtlichen Rechtsschutz hätten erlangen können, wodurch die Beschwerde gegen § 110 Abs. 3 StPO a. F. mangels Rechtswegerschöpfung unzulässig war.

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

21

suchung leidet an zwei wesentlichen Mängeln. Der erste Mangel: Die vom Rechtsauschuss angeführte nachträgliche gerichtliche Überprüfung sowie nachträgliche Benachrichtigung des (Dritt-)Betroffenen gemäß § 110 Abs. 4 StPO (§ 110 Abs. 3 S. 2 StPO a. F.) i. V. m. § 98 Abs. 2 S. 1 und § 33 Abs. 2, 3 StPO ist nur für den Fall vorgesehen, dass Daten im Rahmen eines Fernzugriffs auch tatsächlich nach § 110 Abs. 3 S. 3 StPO gesichert werden. Geschieht dies nicht und bleibt es bei einer bloßen Sichtung der Daten nach § 110 Abs. 3 S. 2 StPO ohne ihre anschließende Sicherung, kommen § 98 Abs. 2 S. 1 und § 33 Abs. 2, 3 StPO nicht zur Anwendung.79 § 110 Abs. 3 S. 2 StPO, der die bloße Durchsicht des externen Speichermediums regelt, verweist nicht auf die entsprechenden Normen zur Beschlagnahme und § 110 Abs. 4 StPO verweist nur für solche Fälle auf die Regelung des § 98 Abs. 2 StPO, in denen Daten gesichert wurden. Die Maßnahme der Durchsicht des externen Speichermediums nach § 110 Abs. 3 S. 2 StPO muss also nicht zwingend gerichtlich überprüft werden. In diesem Fall muss auch der betroffene dritte Inhaber des Speichermediums nicht nachträglich über den Zugriff in Kenntnis gesetzt werden. Diese Regelungssystematik entspringt auch keinem Redaktionsversehen. In der Änderungsbegründung des Rechtausschusses wird die Verpflichtung zur nachträglichen gerichtlichen Überprüfung sowie Benachrichtigung des Drittbetroffenen ausdrücklich an die Sicherung der Daten vom externen Speichermedium geknüpft – und damit nicht bereits an die bloße Durchsicht des Speichermediums ohne Sicherung der Daten.80 Im Ergebnis wird der Dritte nicht in allen Fällen nachträglich über den Zugriff auf sein Speichermedium informiert und er erhält nicht zwangsläufig Kenntnis davon, dass in seine Grundrechte eingegriffen wurde. Denn ein Eingriff in die Grundrechte des Dritten findet nicht erst statt, wenn die im Speichermedium eingesehenen Daten gesichert werden. Bereits die bloße Durchsicht der Daten, also ihre Kenntnisnahme durch die Ermittler als Mittel staatlicher Informationserhebung, berührt eigenständig grundrechtliche Belange des Dritten – jedenfalls dessen Recht auf informationelle Selbstbestimmung, nach hier vertretener Auffassung auch sein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.81 Damit ist es nicht erst die heimliche Sicherung von Daten eines Dritten, welche die Maßnahme in die Nähe einer heimlichen Online-Durchsuchung rückt, sondern bereits die heimliche Sichtung dieser Daten. Da Ermittler bei einer bloßen Sichtung wie gezeigt aber nicht die gerichtliche Nachprüfung des Eingriffs beantragen müssen und der 79 Wicker, Cloud Computing, 2016, S. 358; das übersieht Bunzel, Zugriff auf IT-Systeme, 2015, S. 376 f. 80 BT-Drs. 16/6979, S. 45; siehe auch BT-Drs. 19/27654, S. 74. 81 Zu den betroffenen Grundrechten des Durchsuchten einerseits und des Dritten andererseits ausführlich unten Kap. 2 B.III. und Kap. 3 C.I.

22

Einleitung

Dritte somit nicht nachträglich informiert werden muss, eignet sich die durch den Rechtsausschuss eingefügte Änderung in § 110 Abs. 3 S. 2 Hs. 2 StPO a. F. (heute § 110 Abs. 4 StPO) nicht dazu, die Maßnahme des § 110 Abs. 3 S. 2 StPO von einer heimlichen Online-Durchsuchung abzugrenzen. Der zweite Mangel, an dem die bemühte Abgrenzung der Maßnahme nach § 110 Abs. 3 StPO von einer heimlichen Online-Durchsuchung leidet: Der Rechtsausschuss meint, dass die nachträgliche Benachrichtigung des heimlich Drittbetroffenen die Offenheit der Maßnahme wahrt.82 Nach dieser Argumentation soll eine nachträgliche Offenlegung des ursprünglich heimlichen Eingriffs dessen Heimlichkeit beseitigen. Das ist nicht logisch: Maßgeblicher Zeitpunkt für die Beurteilung der Heimlichkeit einer Maßnahme kann nur der Zeitpunkt ihrer Durchführung sein. Wenn die Maßnahme dem Betroffenen gegenüber erst nachträglich, d. h. nach Abschluss ihrer Durchführung offengelegt wird, dann beinhaltet die Nachträglichkeit der Offenlegung ja gerade, dass die Maßnahme zum Zeitpunkt ihrer Durchführung ohne Wissen des Betroffenen, mithin heimlich erfolgt ist. Man kann hieraus nicht den genau gegenteiligen Schluss ziehen, dass die nachträgliche Benachrichtigung über eine Maßnahme diese Maßnahme zu einer offenen machte. Auch gibt es weder in der StPO noch in der Rechtsprechung einen Rechtssatz, der besagt, dass die nachträgliche Offenbarung eines heimlich vorgenommenen Eingriffs dessen Heimlichkeit ex tunc beseitigt. Im Gegenteil zeigt § 101 Abs. 4 StPO, der eine Pflicht zur nachträglichen Benachrichtigung Betroffener bei heimlichen Ermittlungsmaßnahmen regelt, dass eine nachträgliche Offenlegung der Ermittlungsmaßnahme diese nicht im Nachhinein zur offenen Maßnahme werden lassen soll oder kann. Ein Eingriff, von dem der Betroffene zum Zeitpunkt der Vornahme keine Kenntnis hatte, ist und bleibt ein heimlicher Eingriff.83 Das gilt unabhängig davon, was nach Beendigung dieses heimlich vorgenommenen Eingriffs geschieht. 82 Davon geht der Gesetzgeber auch weiterhin aus, vgl. BT-Drs. 19/27654, S. 74. So offenbar auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 376. 83 Vgl. Heinson, IT-Forensik, 2015, S. 250 f.; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 462; MüKo-StPO/Hauschild, § 110 Rn. 16; Puschke/Singelnstein, NJW 2008, 113 (115); Singelnstein, NStZ 2012, 593 (598); Zerbes/El-Ghazi, NStZ 2015, 425 (430, 433); so implizit auch Bär, TK-Überwachung, § 100a StPO Rn. 72; ders., ZIS 2011, 53 (54), der offenbar – ganz logisch – von einer heimlichen Wirkung auf andere Gewahrsamsinhaber der Daten ausgeht, diese Eingriffswirkung aber zumindest durch den nachträglichen Rechtsschutz kompensiert sieht, a. A. HK-GS/Hartmann, § 110 StPO Rn. 5; wohl auch Obenhaus, NJW 2010, 651 (653), der offenbar davon ausgeht, dass es gerade die nachträgliche Benachrichtigung des Betroffenen ist, die über Heimlichkeit und Offenheit des Eingriffs entscheidet; Radtke/Hohmann/Ladiges, § 110 Rn. 17; anders außerdem SKStPO/Wohlers/Jäger, § 110 Rn. 9, sowie sich anschließend Joecks, StPO, § 110 Rn. 11; die in nicht nachvollziehbarer Weise zwischen einem verdeckten Online-Zugriff und einem (bloß) nachträglichen offen zu legenden Online-Zugriff unterscheiden. Grundsätzlich nachträglich offen zu legen sind aber ohnehin alle verdeckten strafprozessualen Maßnahmen, was

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

23

Damit kann man den Hinweis des Rechtsauschusses auf die vorzunehmende nachträgliche Benachrichtigung nur noch dahingehend verstehen, dass diese Benachrichtigung, wenn sie schon nicht die Heimlichkeit des Eingriffs beseitigt, dann doch zumindest die Intensität des heimlichen Eingriffs mindern oder kompensieren könne. Tatsächlich wird erwogen, dass grundrechtsschützende Verfahrensvorschriften wie eben die Pflicht zum nachträglichen Rechtsschutz und zur nachträglichen Benachrichtigung des Betroffenen die Eingriffswirkung eines heimlichen Eingriffs auf den Betroffenen zumindest teilweise kompensieren können, indem das Grundrecht auf effektiven Rechtsschutz gem. Art. 19 Abs. 4 GG sowie das Grundrecht auf rechtliches Gehör aus Art. 103 Abs. 1 GG gestärkt werden.84 Die Folge wäre, dass ein heimlicher Eingriff im Rahmen einer Verhältnismäßigkeitsprüfung durch derartige verfahrensmäßige Sicherungen der Rechte des Betroffenen an Gewicht verlöre bzw. einfacher aufgewogen werden könnte. Eine solche Kompensationswirkung insbesondere einer nachträglichen Benachrichtigung und des nachträglich gewährten Rechtsschutzes kann jedoch auch mit guten Gründen bezweifelt werden. Wenn der Betroffene erst nach Abschluss des Eingriffs – konkret also erst nach Sicherung der Daten gemäß § 110 Abs. 3 S. 3 StPO – von diesem Eingriff erfährt, so wird dem Betroffenen die entscheidende Möglichkeit genommen, den Eingriff zu verhindern, einzugrenzen oder zumindest das Vorgehen der Ermittler zu überwachen und dafür rechtlichen Beistand heranzuziehen. Damit bleiben die Möglichkeiten des Betroffenen, sich gegen die Maßnahme zu wehren, deutlich hinter seinen Kontrollmöglichkeiten bei einem auch ihm gegenüber offenen Vorgehen der Ermittler während der Maßnahme zurück.85 Allenfalls kann eine nachträgliche gerichtliche Überprüfung der Datensicherung und eine nachträgliche Benachrichtigung des Betroffenen den heimlichen Eingriff in seiner Intensität geringfügig abmildern. Nicht aber können diese Verfahrenssicherungen den wesentlichen Unterschied der Maßnahme des § 110 Abs. 3 S. 2 StPO zu einer heimlichen Online-Durchsuchung begründen.

nicht nur aus Art. 19 Abs. 4 GG folgt, sondern sich bereits aus einfachem Recht ergibt, so zum Beispiel aus § 101 Abs. 4 StPO; vgl. dazu Puschke/Singelnstein, NJW 2008, 113 (116). 84 So BT-Drs. 16/5846, S. 57 zum Zweck des § 101 StPO; vgl. aus der verfassungsgerichtlichen Rechtsprechung BVerfGE 118, 168 (207 f.); 120, 274 (298, 350); 133, 277 (369); 141, 220 (282 ff.). Skeptisch hinsichtlich dieser Kompensationswirkung in Bezug auf § 110 Abs. 3 StPO HK-StPO-Gercke, § 110 Rn. 34. 85 Vgl Brodowski, JR 2009, 402 (408); Puschke/Singelnstein, NJW 2008, 113 (115). Ausführlich zu den Defiziten des nachträglichen Rechtsschutzes betreffend Durchsuchungen Weiler, GS Meurer 2002, 395 (407 ff.). Gegen die vollständige Kompensationswirkung nachträglichen Rechtsschutzes – bezogen auf TKÜ-Maßnahmen, aber allgemein formuliert – auch Meyer-Mews, StraFo 2016, 133 (140).

24

Einleitung

Die in der Änderungsbegründung des Rechtsausschusses bemühte Abgrenzung des grundsätzlich offenen Fernzugriffs nach § 110 Abs. 3 S. 2 StPO von einer heimlichen Online-Durchsuchung schlägt somit fehl. Ein heimlicher Zugriff auf Computersysteme und Datenbestände eines Dritten über § 110 Abs. 3 S. 2 StPO ist durch den Gesetzgeber gebilligt. Gerade dieser heimliche Zugriff auf Speichersysteme ist es jedoch, der gemeinhin als „Online-Durchsuchung“ verstanden wird oder zumindest den Wesenskern der Maßnahmen ausmacht, die unter dieser Bezeichnung zusammengefasst werden.86 Daher liegt es nicht fern, § 110 Abs. 3 S. 2 StPO als zumindest teilweise Umsetzung der heimlichen strafprozessualen Online-Durchsuchung zu bezeichnen.87 An all dem vermag auch die abschließende Aussage in der Änderungsbegründung des Rechtsausschusses, dass mit § 110 Abs. 3 StPO keine verdeckte Online-Durchsuchung erlaubt werde,88 nichts zu ändern. Dieser als Klarstellung gemeinte Passus hat eher den Charakter einer bloßen Beteuerung.

IV. Weitere Verheimlichung durch Zurückstellung der Benachrichtigung des Beschuldigten gem. § 110 Abs. 4 i. V. m. § 95a StPO Durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 202189 wurde dem oben beschriebenen heimlichen Charakter der Durchsicht (nicht nur) externer Speichermedien nach § 110 Abs. 3 S. 2 StPO weiter Vorschub geleistet. Zwar gilt über § 110 Abs. 4 i. V. m. § 98 Abs. 2 und § 33 Abs. 2, 3 StPO eine grundsätzliche Benachrichtigungs- und Anhörungspflicht des von der Durchsicht Betroffenen, wenn Gegenstände zur Durchsicht mitgenommen oder Daten vorläufig gesichert werden. Wenn die zugrunde liegende Maßnahme, also die Durchsuchung und Durchsicht samt anschließender Datensicherung, bei einer nicht beschuldigten Person durchgeführt wird (Fall des § 103 StPO, s. dazu noch unten Kap. 2 A.II.)), so kann die Benachrichtigung des noch unwissenden Beschuldigten unter den Voraussetzungen des § 110 Abs. 4 i. V. m. § 95a Abs. 1, Abs. 3 StPO zurückgestellt werden. Voraussetzung da86

Zum Begriff der „Online-Durchsuchung“ noch ausführlich unten Einl. D.I. Vgl. Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 413 ff., Puschke/Singelnstein, NJW 2008, 113 (115); Zerbes/El-Ghazi, NStZ 2015, 425 (429); Ziebarth, Online-Durchsuchung, 2013, S. 176; a. A. unter ausdrücklicher Verneinung der Heimlichkeit des Zugriffs Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 156; Schlegel, HRRS 2008, 23 (26). 88 BT-Drs. 16/6979, S. 45. 89 BGBl. 2021 I, S. 2099; Überblick über die enthaltenen Änderungen bei Bohn, KriPoZ 2021, 350. 87

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

25

für ist, dass der Beschuldigte gemäß § 95a Abs. 1 Nr. 1 StPO einer Straftat von auch im Einzelfall erheblicher Bedeutung qualifiziert verdächtigt wird (insb. Katalogtaten des § 100a Abs. 2 StPO) und gemäß § 95a Abs. 1 Nr. 2 StPO die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. Liegen diese Voraussetzungen vor, darf dem Beschuldigten die ihn betreffende Maßnahme so lange verheimlicht werden, wie eine Benachrichtigung den Untersuchungszweck gefährden würde (§ 95a Abs. 1, Abs. 4 S. 1 StPO). Die Anordnung zur Zurückstellung der Benachrichtigung trifft das Gericht, sie ist auf höchstens sechs Monate zu befristen, kann aber stückweise um jeweils drei Monate verlängert werden (§ 95a Abs. 2 StPO). Darüber hinaus eröffnet § 95a Abs. 6 StPO dem Gericht und in Eilfällen sogar der Staatsanwaltschaft und ihren Ermittlungspersonen die Möglichkeit, dem Durchsuchten (also nicht dem Beschuldigten) gegenüber anzuordnen, dass er die Durchsuchung und die damit verbundene Maßnahme der Beschlagnahme bzw. Mitnahme oder vorläufiger Datensicherung dem Beschuldigten oder Dritten gegenüber nicht offenbaren darf. Diese Möglichkeit soll laut Gesetzesbegründung insbesondere in Fällen bestehen, in denen elektronische Daten lediglich kopiert werden (statt z. B. physische Speichermedien mitzunehmen).90 Ein Verstoß gegen das Offenbarungsverbot kann gemäß § 95a Abs. 7 i. V. m. § 95 Abs. 2 S. 1 und § 70 StPO mit einem Ordnungsgeld oder sogar Ordnungshaft geahndet werden. Die potentielle Heimlichkeit einer Maßnahme nach § 110 Abs. 3 S. 2 StPO, aber auch anderer Maßnahmen im Zusammenhang mit Durchsuchung, Durchsicht und Beschlagnahme wird mit diesen Regelungen noch weiter vertieft. Zudem wird der oben (III.) dargestellten Begründung des Rechtsausschusses des Bundestags zur angeblichen Offenheit der Durchsicht externer Speichermedien ein weiteres Stück Boden entzogen, indem nicht mehr in allen Fällen der Datensicherung eine unverzügliche nachträgliche Benachrichtigung und Anhörung des heimlich betroffenen Beschuldigten erfolgen muss. Stattdessen ermöglicht § 110 Abs. 4 i. V. m. § 95a StPO nun explizit eine Verheimlichung der Maßnahme dem Beschuldigten gegenüber und schiebt die Benachrichtungs- und Anhörungspflichten, durch die der Rechtsausschuss noch die Offenheit der Maßnahme des § 110 Abs. 3 S. 2 StPO gewahrt sah, unter bestimmten Umständen auf, zwar nicht einem unverdächtigten Dritten, aber immerhin dem Beschuldigten gegenüber. Dass der unverdächtige Dritte, in dessen Kenntnis die Maßnahme stattfindet, dann auch noch – repressiv im Sinne einer strafähnlichen Sanktion –91 unter Androhung bzw. im Falle des Verstoßes unter Vollstreckung von Ordnungsgeldern und

90 91

BT-Drs. 19/27654, S. 66. BT-Drs. 19/27654, S. 66.

26

Einleitung

sogar Ordnungshaft gemäß §§ 95a Abs. 6 S. 1 und Abs. 7 mit in die Pflicht zur Verheimlichung genommen werden kann, erweckt weniger den Eindruck eines offen und transparent betriebenen Ermittlungsverfahrens. Vielmehr werden auf diesem Wege die im Grundsatz als offen ausgestalteten Ermittlungsmaßnahmen geradezu aggressiv verheimlicht. Das Gleichgewicht zwischen dem Bedürfnis möglichst effektiver strafrechtlicher Ermittlungen und effektivem Rechtsschutz des Beschuldigten ist damit nunmehr deutlich zugunsten des Ermittlungsinteresses verlagert. Bei Schaffung des § 95a StPO hatte der Gesetzgeber ausdrücklich Ermittlungen mit Bezug zu elektronisch gespeicherten Daten insbesondere in Cloud-Speichern und E-Mail-Konten, mithin Fälle des § 110 Abs. 3 S. 2 StPO im Blick.92 Dabei ist die Bundesregierung in ihrer Gesetzesbegründung, wie schon bei Schaffung des ursprünglichen § 110 Abs. 3 StPO a. F. 2007/2008 erkennbar bemüht, die so heimlich ermöglichten Zugriffe auf externe Speichermedien rhetorisch von einer Online-Durchsuchung im Sinne des § 100b StPO abzugrenzen, z. B. indem sie beteuert, dass die höheren Voraussetzungen der §§ 100a, 100b StPO in der Praxis nicht dadurch unterlaufen werden dürften, dass während der Zurückstellung der Benachrichtigung des Beschuldigten wiederholt auf das externe Speichermedium zugegriffen wird.93 Entgegen dieser Beteuerungen und Wünsche in der Gesetzesbegründung hat die nunmehr tatsächlich geschaffene Gesetzeslage derartigem Rechtsmissbrauch allerdings eher Vorschub geleistet als ihn zu verhindern, und die Grenze zwischen der Durchsicht externer Speichermedien gemäß § 110 Abs. 3 S. 2 StPO und einer echten heimlichen OnlineDurchsuchung im Sinne des § 100b StPO ist dadurch noch einmal dünner geworden.

V. Zusammenfassung / Problemaufriss Man mag die Gesetzesbegründung der Bundesregierung und die Änderungsbegründung des Rechtsausschusses zu § 110 Abs. 3 a. F. als damaliges politisches Bemühen dahingehend verstehen, die Schaffung einer Rechtsgrundlage für strafprozessuale heimliche Online-Durchsuchungen noch zu verhindern. Die rechtlichen Weichen indes wurden wie gezeigt in eine ganz andere Richtung gestellt: Nicht erst seit Schaffung des neuen § 100b StPO, sondern bereits seit der damaligen Verabschiedung des § 110 Abs. 3 StPO a. F. ist den Strafverfolgungsbehörden der heimliche Zugriff auf online gespeicherte Daten erlaubt.94 Mit dem neuen § 110 Abs. 4 i. V. m. § 95a StPO wird diesem 92

Siehe BT-Drs. 19/27654, S. 61 ff.; BeckOK-StPO/Gerhold, § 95a Rn. 2. BT-Drs. 19/27654, S. 64. 94 Bär, ZIS 2011, 53 (54); Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 413 ff.; HK-StPO-Gercke, § 110 Rn. 34; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 462; Park, Durchsuchung, Rn. 825 (am Beispiel von E-Mail-Servern); 93

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

27

heimlichen Vorgehen weiter Vorschub geleistet. § 110 Abs. 3 S. 2 StPO erscheint somit – entgegen den Beteuerungen des Gesetzgebers – als erhebliche Erweiterung von Ermittlungsbefugnissen über die offene Situation einer Durchsuchung hinaus. Damit ist der Aufhänger der geplanten Untersuchung herausgearbeitet: Es geht um die Möglichkeit einer Drittbetroffenheit bei einem Zugriff nach § 110 Abs. 3 S. 2 StPO, und vor allem auch um die Möglichkeit der heimlichen Drittbetroffenheit. Es ist zu klären, ob das, was sich gegenüber dem Durchsuchten als offene Maßnahme darstellt, gegenüber dem heimlich mitbetroffenen Dritten tatsächlich eine Form der heimlichen Online-Durchsuchung ist, die – „eigentlich“, könnte man sagen – erst seit der Schaffung des neuen § 100b StPO und nur unter bestimmten Voraussetzungen zulässig sein sollte. Dabei soll es nicht darum gehen, begrifflich darüber zu streiten, ob nur die Maßnahme aus § 100b StPO „Online-Durchsuchung“ genannt werden darf oder auch § 110 Abs. 3 S. 2 StPO diesen Namen verdient. Vielmehr soll untersucht werden, wie die Norm des § 110 Abs. 3 S. 2 StPO (und auch des § 110 Abs. 3 S. 1 StPO, dazu sogleich) vor dem Hintergrund der einschlägigen verfassungsgerichtlichen Rechtsprechung zu bewerten ist. Zur Regelung und Durchführung einer heimlichen Online-Durchsuchung hat das BVerfG vielfältige und strenge verfassungsrechtliche Vorgaben entwickelt und hat in diesem Zuge sogar ein neues Grundrecht geschaffen (das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informtionstechnischer Systeme), das den Bürger vor staatlichen Eingriffen in von ihm genutzte Computersysteme schützen soll.95 Der Normtext des § 110 Abs. 3 StPO wie auch die ihn einfassenden Durchsuchungsvorschriften aber schweigen sich zu den im Online-Durchsuchungs-Urteil erwähnten Aspekten aus: Zum Schutz des Kernbereichs privater Lebensgestaltung96, zu notwendigen Anlasstaten bzw. den zulässigen Schutzgütern97, zu erhöhten EingriffsPuschke/Singelnstein, NJW 2008, 113 (115); Sieber, Gutachten zum 69. Deutschen Juristentag, C 114; Zerbes/El-Ghazi, NStZ 2015, 425 (429, 433); Zimmermann, JA 2014, 321 (325); a. A. Braun, PStR 2012, 86; Burhoff, EV, Rn. 1737; Herrmann/Soine´, NJW 2011, 2922 (2925); Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 259, ohne dies weiter zu vertiefen oder gar die hier angesprochene Problemkonstellation im Blick zu haben; Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 156; Michalke, StraFo 2014, 89 (92); Schlegel, HRRS 2008, 23 (26); SK-StPO/Wohlers/Jäger, § 110 Rn. 9; Wicker, Cloud Computing und staatlicher Strafanspruch, 2016, S. 357 f. Vgl. auch LR/Tsambikakis, § 110 Rn. 8, der jedoch die Drittbetroffenheit unabhängig von Erwägungen zur Heimlichkeit der Maßnahme wegen Umgehung des Richtervorbehalts als problematisch ansieht; vgl. dazu auch das Vorbringen der Verfassungsbeschwerdeführer in BVerfGE 129, 208 (221 f.) sowie Beulke/Meininghaus, FS Widmaier 2008, 63 (74). 95 Im bereits erwähnten Urteil zur Online-Durchsuchung: BVerfGE 120, 274. Ausführlich dazu unten Kap. 2 B.III.2. 96 BVerfGE 120, 274 (335 ff.). 97 Im Urteil wurde, aus präventiv-polizeilicher Sicht, auf Gefahren für bestimmte

28

Einleitung

schwellen im Sinne von bestimmten Verdachtsgraden98 bei heimlichen Zugriffen sowie allgemein zur Behandlung heimlicher Eingriffswirkungen99 und zu Eingriffen in Rechte Dritter100 trifft § 110 Abs. 3 StPO keine Regelungen. Mit anderen Worten: Vieles, was das BVerfG zur verfassungskonformen Regelung von Online-Durchsuchungen gefordert hat, fehlt bei § 110 Abs. 3 StPO. Das liegt freilich auch daran, dass das maßgebliche Online-Durchsuchungs-Urteil des BVerfG erst nach Schaffung des § 110 Abs. 3 StPO und natürlich ohnehin erst nach Schaffung der restlichen Durchsuchungsvorschriften verkündet wurde: Das Urteil des BVerfG zur Online-Durchsuchung datiert auf den 27.02.2008. § 110 Abs. 3 StPO a. F. trat am 01.01.2008 in Kraft. Gleichwohl ist § 110 Abs. 3 StPO nicht von dem Erfordernis befreit, den Vorgaben der Verfassung, so wie sie das BVerfG erarbeitet hat, zu genügen – zumal viele der Einzelaspekte dieses Urteils, zum Beispiel die Vorgaben zum Kernbereichsschutz, bereits in älteren Entscheidungen des BVerfG thematisiert wurden.101 Da die Norm des § 110 Abs. 3 StPO in ihrem Wortlaut aber in keinem Punkt auf dieses Verfassungsrecht Bezug nimmt, ist zu prüfen, inwieweit sie vor diesem Verfassungsrecht Bestand haben kann. Diese Überprüfung steht vor allem deshalb noch aus, weil das BVerfG eine (unter anderem) gegen § 110 Abs. 3 StPO a. F. gerichtete Verfassungsbeschwerde insoweit als unzulässig verworfen hat.102 Da sich das BVerfG inhaltlich noch nicht mit § 110 Abs. 3 StPO befasst hat, ist es zwar schwierig, eindeutige Schlüsse zur Verfassungsmäßigkeit oder Verfassungswidrigkeit der Norm zu ziehen, zumal das BVerfG das Grundrecht auf Gewährleistung und Vertraulichkeit informationstechnischer Systeme bisher noch überhaupt nicht als Maßstab für Durchsichten nach § 110 Abs. 3 StPO angewandt hat.103 Die bisherige verfassungsrechtliche Rechtsprechung zur Durchsicht von Da-

Schutzgüter abgestellt, BVerfGE 120, 274 (328), was zumindest im Sinne der hiesigen Argumentation als Pendant zu strafrechtlichen Anlasstaten gesehen werden kann, 98 Aus präventiv-polizeilicher Sicht waren nicht Verdachtsgrade in Bezug auf Straftaten, sondern Gefahrprognosen angesprochen, BVerfGE 120, 274 (328 f.). 99 BVerfGE 120, 274 (325 f.). 100 BVerfGE 120, 274 (323). 101 Vgl. nur BVerfGE 109, 279 (313 ff. – Kernbereich der Persönlichkeit); 113, 29 (54 – Schutz von Rechten Dritter bei Zugriffen auf Datenbestände); 115, 320 (353 f. – Heimlichkeit von Eingriffen; 360 ff. – Verdachts- und Gefahrenschwellen; 365 ff. – Bestimmtheit von Normen). 102 Die Beschwerde wurde im Rahmen der Ablehnung eines entsprechenden Antrags auf Erlass einer einstweiligen Anordnung in ihrem gegen § 110 Abs. 3 StPO a. F. gerichteten Teil aber als unzulässig verworfen, weil die Antragssteller mangels unmittelbarer Betroffenheit durch das Gesetz nicht beschwerdebefugt waren, siehe BVerfGE 122, 63 (78 ff.). Diese Entscheidung wurde später im Hauptsacheverfahren bestätigt, BVerfGE 129, 208 (236). 103 Dazu unten Kap. 2 B.III.2.g).

C. § 110 Abs. 3 StPO als Reaktion auf neue Formen der EDV

29

tenträgern und Computersystemen taugt aber immerhin als Folie, um die Eingriffsintensität der Durchsicht informationstechnischer Systeme zu betrachten und zu bewerten. Ziel dieser Arbeit ist daher vor allem, umfassend darzustellen, welche tiefgehenden Grundrechtseingriffe auf Grundlage des § 110 Abs. 1, Abs. 3 StPO möglich sind,104 um im Anschluss an diese Darstellung Reformvorschläge zu präsentieren105. Wenn die heimliche Drittbetroffenheit des Mitbenutzers eines nach § 110 Abs. 3 S. 2 StPO gesichteten Speichermediums zum Aufhänger der Untersuchung gemacht wird, so bedeutet das nicht, dass die Betroffenheit des primären Maßnahmeadressaten keine Rolle in dieser Untersuchung spielen soll. Die Eingriffswirkungen, die ein von einem offenen Zugriff nach § 110 Abs. 3 S. 2 StPO Betroffener erdulden muss, sollen hier als Regelfall der Maßnahme Ausgangspunkt der rechtlichen Überlegungen sein. Auch diesbezüglich ist zu prüfen, ob § 110 Abs. 3 S. 2 StPO den verfassungsrechtlichen Anforderungen an Zugriffe auf Computersysteme genügt. So eröffnet § 110 Abs. 3 S. 2 StPO zwar die Möglichkeit, in vernetzten Computersystemen Daten zu sichten. Die Norm selbst wie auch die restlichen Durchsuchungsvorschriften treffen dabei jedoch keine weiteren Vorkehrungen, um den vom BVerfG hervorgehobenen besonderen Persönlichkeitsgefährdungen, die ein Ausforschen von vernetzten Datenbeständen mit sich bringt,106 zu begegnen. Auch insoweit bestehen also Lücken im System der Durchsuchungsvorschriften, die auf deren veralteten Zuschnitt zurückzuführen sind. Die Normen zur Durchsuchung hatten Zugriffe auf elektronische Datenbestände ursprünglich nicht berücksichtigt. Deshalb ist nicht nur hinsichtlich heimlicher Eingriffe in die Grundrechte Dritter, sondern insgesamt eine Überprüfung und Bewertung des § 110 Abs. 3 S. 2 StPO anhand der neueren Rechtsprechung des BVerfG zu Datenzugriffen, insbesondere zum IT-Grundrecht, veranlasst. Auch ist die Regelung des § 110 Abs. 1, Abs. 3 S. 1 StPO als Grundnorm der Durchsicht elektronischer Speichermedien in den Blick zu nehmen. Bereits auf ihrer Grundlage können lokale Computersysteme des Durchsuchten durchgesehen werden (Der PC in der Wohnung, der Laptop, das Smartphone107 usw.), was einen ebenso schweren Grundrechtseingriff bewirken

104

Ausführlich unten Kap. 2 B.III. und Kap. 3 C.I. Zum Anpassungsbedarf der §§ 102 ff. StPO und § 110 Abs. 3 StPO allgemein Böckenförde, JZ 2008, 925 (930 f.; 935); s. auch Heinson, IT-Forensik, 2015, S. 200 ff., 252; Peters, NZWiSt 2017, 465 (472); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 428; Ziebarth, Online-Durchsuchung, 2013, S. 233 f. Eigene Reformvorschläge unten Kap. 2 B.X. und Kap. 3 D. 106 Auf diese Gefährdungen wird im Urteil zur Online-Durchsuchung durchgängig abgestellt, s. BVerfGE 120, 274 (303 f., 311, 313 f., 322 f., 335 f.). 107 Zur Bedeutung der Auswertung von Smartphones bei der Strafverfolgung s. Ludewig, KriPoZ 2019, 293 ff.; Wenzel, NZWiSt 2016, 85 (89). 105

30

Einleitung

kann wie die Durchsicht eines externen Speichermediums gemäß § 110 Abs. 3 S. 2 StPO. Die Befassung mit § 110 Abs. 3 S. 2 StPO (und der Grundnorm der allgemeinen Durchsicht, § 110 Abs. 1 StPO) ist daher nicht nur notwendige Grundlage für die Überprüfung des § 110 Abs. 3 S. 2 StPO, sondern ein eigenständiger Teil der vorliegenden Arbeit.108 Bei der Untersuchung sind mit zu berücksichtigen: der neu geschaffene § 100b StPO zur Online-Durchsuchung und die ihn umgebenden Verfahrensund Zuständigkeitsnormen (§§ 100d, 100e, 101 StPO). Diese echte OnlineDurchsuchung ist einerseits von der Maßnahme nach § 110 Abs. 3 S. 2 StPO abzugrenzen. Andererseits sind aber auch die Gemeinsamkeiten der beiden Maßnahmen zu beachten. Viele der rechtlichen Probleme bei der Datenerhebung durch Strafverfolgungsbehörden, die nun mit der Schaffung des § 100b StPO wieder breit diskutiert wurden, werden auch bei Maßnahmen nach § 110 Abs. 3 S. 2 StPO (und auch § 110 Abs. 3 S. 1 StPO) virulent: Es geht insbesondere um Fragen des Grundrechtsschutzes, die sich aus dem OnlineDurchsuchungs-Urteil des BVerfG ergeben. Aber auch tatsächliche Probleme innerhalb der Ermittlungspraxis (Umfang der Durchsicht und Datensicherung, Umgang mit zu sichernden Daten, Auswertung großer Datenmengen) stellen sich bei beiden Maßnahmen. Die Untersuchung wird an Stellen, an denen sich die Probleme von § 110 Abs. 3 StPO einerseits und § 100b StPO andererseits überschneiden, darauf hinweisen und die vom Gesetzgeber für die Online-Durchsuchung präsentierten Lösungen daraufhin bewerten, ob sie ebenso für die Maßnahme nach § 110 Abs. 3 StPO gelten sollten. Konkret betrifft das zum Beispiel die Fragen, ob das Kernbereichsschutzkonzept aus § 100d StPO auch für § 110 StPO gelten sollte109 oder eine Übernahme des Anlasstatenkatalogs aus § 100b Abs. 2 StPO110 oder der drittschützenden Klausel aus § 100b Abs. 3 S. 2 StPO111 für § 110 Abs. 3 S. 2 StPO angezeigt ist.

D. Begriffe Als Grundlage für die folgende Untersuchung sind einige Begriffe zu klären, die in dieser Arbeit verwendet werden. Die Begriffsklärung wird teilweise auch inhaltliche Fragen zu § 110 Abs. 3 S. 2 StPO aufwerfen und vorwegnehmen. Ferner soll der Untersuchungsgegenstand insbesondere durch Abgrenzung des § 110 Abs. 3 S. 2 StPO zur Online-Durchsuchung präzisiert werden.

108

Dazu und zum weiteren Gang der Untersuchung unten Einl. E. und Kap. 2 B. Unten Kap. 2 B.X.4. 110 Unten Kap. 3 D.III. 111 Unten Kap. 3 D.IV. 109

D. Begriffe

31

I. Online-Durchsuchung in Abgrenzung zur Netzwerkdurchsicht Es wurde bereits dargelegt, warum § 110 Abs. 3 S. 2 StPO im rechtswissenschaftlichen Schrifttum als teilweise Umsetzung der strafprozessualen Online-Durchsuchung bezeichnet wird.112 Bei diesem Befund soll die Untersuchung aber nicht stehenbleiben. § 110 Abs. 3 S. 2 StPO darf nicht pauschal mit einer Online-Durchsuchung gleichgesetzt werden, vielmehr müssen die Maßnahmen voneinander abgegrenzt werden. Daher ist Klarheit über den Begriff der „Online-Durchsuchung“ zu schaffen, soweit dies möglich ist – ein einheitliches Begriffsverständnis zur „Online-Durchsuchung“ bestand in der rechtswissenschaftlichen Diskussion nämlich lange Zeit nicht, ebenso wenig in Rechtsprechung und Gesetzgebung.113 Mit der Schaffung des neuen § 100b StPO zur strafprozessualen OnlineDurchsuchung ist die Begriffslage nun allerdings deutlich klarer geworden. Der Beginn des ersten Absatzes der Norm lautet: § 100b StPO: Online-Durchsuchung (1) Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung) […]

Damit ist die Maßnahme des § 100b StPO eindeutig benannt; die in seinem ersten Absatz beschriebene Vorgehensweise ist per Legaldefinition (Klammerdefinition) als Inhalt des Begriffs „Online-Definition“ festgelegt. Kennzeichnend für die Online-Durchsuchung sind damit drei Elemente: Erstens geht es um den Eingriff in ein „informationstechnisches System“114 und die Erhebung der dort gespeicherten Daten. Zweitens erfolgt dies „mit technischen Mitteln“. Drittens geschieht dies „ohne Wissen des Betroffenen“, also verdeckt oder heimlich.115 Dazu ist zu bemerken, dass der Zugriff ohne Wissen des Betroffenen nach dem Wortlaut des § 100b StPO nicht zwingend ist („Auch ohne Wissen des Betroffenen“). Die Maßnahme, die sich „Online-Durchsuchung“ nennen darf, erfolgt also nicht zwangsläufig heimlich – auch wenn eine Online-

112

Oben Einl. C.III. Zu diesem Befund Beulke/Meininghaus, FS Widmaier 2008, 63 (70); Böckenförde, JZ 2008, 925; Buermeyer, HRRS 2007, 154; Gudermann, Online-Durchsuchung, 2010, S. 13; Hauck, Heimliche Strafverfolgung, 2014, S. 420 – Fn. 789; Hornung, DuD 2007, 575 (576); ders., JZ 2007, 828 (Fn. 2); Käß, BayVBl. 2010, 1 (4); Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 461.; Petri, DuD 2008, 443; Roggan, in: Roggan (Hrsg.), OnlineDurchsuchungen, 2008, S. 97; Schlegel, GA 2007, 648 (650); Wissenschaftliche Dienste des Deutschen Bundestages (N.N.), WD 3 – 161/07, S. 4; Ziebarth, Online-Durchsuchung, 2013, S. 51. 114 Zum Begriff „informationstechnisches System“ unten Einl. D.III.3. 115 Zu den Begriffen „heimlich“ und „verdeckt“ unten Einl. D.II. 113

32

Einleitung

Durchsuchung im Sinne des § 100b StPO in der Ermittlungspraxis kaum jemals gezielt mit Wissen des Betroffenen durchgeführt werden wird.116 Die Formulierung „mit technischen Mitteln“ ist ein Blankett-Merkmal: Zwar stand in der öffentlichen Diskussion vor allem der Einsatz von Spionagesoftware, sogenannter „Trojaner“, in Rede. Auf dieses technische Mittel beschränkt ist die Norm des § 100b Abs. 1 StPO allerdings nicht, ebensowenig wie eine bestimmte technische Variante des Trojaners selbst oder der Methode seiner Einschleusung in das Zielsystem festgelegt wäre.117 Der Wortlaut ist technikoffen118, und damit ist es auch der Begriff der „Online-Durchsuchung“. Folglich umfasst § 100b StPO und damit der Begriff „Online-Durchsuchung“ mehrere Varianten des Eingriffs in informationstechnische Systeme und ist nicht auf einen bestimmten Eingriffsmodus festgelegt. Das soll freilich nicht darüber hinwegtäuschen, dass mit „Online-Durchsuchung“ spätestens seit der Schaffung des § 100b StPO in aller Regel das heimliche Aufspielen einer Spionagesoftware zum Ausforschen eines informationstechnischen Systems gemeint sein wird. Von diesem Grundbegriff der Online-Durchsuchung soll deshalb auch in dieser Arbeit ausgegangen werden. Gleichwohl sollen im Folgenden auch abweichende Begriffsverständnisse und technische Varianten der „Online-Durchsuchung“ angesprochen werden, innerhalb derer die Maßnahme des § 110 Abs. 3 S. 2 StPO einzusortieren ist. 1. Exkurs: Gesetzgebungsgeschichte des § 100b StPO Die überwiegende Auffassung in Rechtsprechung und Literatur hielt die sogenannte strafprozessuale Online-Durchsuchung lange Zeit mangels Rechtsgrundlage für unzulässig.119 Zum 24.08.2017 wurde daher mit dem neuen § 100b StPO eine spezielle Rechtsgrundlage für strafprozessuale Online-

116

SSW-StPO/Eschelbach, § 100b Rn. 1; vgl. auch Ziebarth, Online-Durchsuchung, 2013, S. 41. 117 Vgl. Roggan, StV 2017, 821 (822, 824); SSW-StPO/Eschelbach, § 100b Rn. 27. 118 Derin/Golla, NJW 2019, 1111 (1111 f.); zur „Technikoffenheit“ von Ermittlungsmaßnahmen allgemein (und kritisch) Roggan, NJW 2015, 1995 ff.; Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 79 ff. und passim. 119 BGHSt 51, 211; Beukelmann, NJW 2012, 2617 (2621); Bratke, Die Quellen-Telekommunikationsüberwachung, 2013, S. 53; Braun/Roggenkamp, K&R 2011, 681 f.; Burhoff, EV, Rn. 2950; Denkowski, Kriminalistik 2007, 177; Fezer, NStZ 2007, 535; B. Gercke, GA 2012, 474 (485); Hamm, NJW 2007, 932; Hie´ramente/Fenina, StraFo 2015, 365 (372); Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 797; Jahn/Kudlich, JR 2007, 57 ff.; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 506; Ruhmannseder, JA 2009, 57 (61); Sieber, Gutachten zum 69. Deutschen Juristentag, C 108; Spatscheck, FS Hamm 2008, 733 (737); Stadler, MMR 2012, 18 (20); Zimmermann, JA 2014, 321 (323); a. A. noch Hofmann, NStZ 2005, 121 ff.

D. Begriffe

33

Durchsuchungen geschaffen.120 Die neue Eingriffsgrundlage wurde im Rahmen des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens vom 17.08.2017 in die Strafprozessordnung eingefügt. Parallel dazu wurde § 100a StPO erweitert, um die mit der Online-Durchsuchung technisch verwandte Quellen-Telekommunikationsüberwachung zu erlauben.121 Das Gesetzgebungsverfahren wurde von der rechtswissenschaftlichen Literatur wie auch in der allgemeinen Medienöffentlichkeit scharf kritisiert, weil die entsprechenden Änderungen des Gesetzentwurfs zu den Rechtsgrundlagen von Online-Durchsuchung und Quellen-TKÜ erst kurz vor Schluss des Verfahrens vom Bundestag beschlossen und somit einer ausführlichen Diskussion im Parlament entzogen worden waren.122 Genauer gesagt wurde der Gesetzentwurf der Bundesregierung zur „Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze“123 kurz vor Abschluss des Gesetzgebungsverfahrens per Änderungsantrag124 mit dem „Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“125 verbunden und bei dieser Gelegenheit noch um Vorschläge für Rechtsgrundlagen zu Online-Durchsuchung und Quellen-TKÜ ergänzt, obwohl weder der eine, noch der andere

120

Für den präventiv-polizeilichen Bereich existierte bereits seit 2007 mit § 20k BKAG a. F. eine Rechtsgrundlage für die Online-Durchsuchung (BGBl. 2008 I, S. 3083), die auch im ab dem 25.05.2018 neustrukturierten BKAG in § 49 wieder ihren Platz gefunden hat (BGBl. 2017 I, S. 1354). 121 BGBl. 2017 I, S. 3202. 122 Aus dem rechtswissenschaftlichen Schrifftum beispielsweise Blechschmitt, StraFo 2017, 361; Beukelmann, NJW-Spezial 2017, 440; Burhoff, EV, Rn. 2952; Freiling/Safferling/ Rückert, JR 2018, 9 f.; Großmann, GA 2018, 439 (456); Knierim/Oehmichen, in: Gesamtes Strafrecht aktuell, Kap. 20 Rn. 3; Momsen/Bruckmann, KriPoZ 2019, 20 (22); Park, Durchsuchung, Rn. 803; Roggan, StV 2017, 821; Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 234 f.; Stoklas/Wendorf, ZD-Aktuell 2017, 05725; aus der reichhaltigen Medienberichterstattung siehe nur Greis, ZEIT-Online via golem.de vom 18. Mai 2017, abrufbar unter http://www.zeit.de/digital/datenschutz/2017-05/strafverfolgung-staatstroja ner-polizei-sicherheitsgesetz/komplettansicht [zuletzt abgerufen am 04.11.2021]; Meister, netzpolitik.org vom 17.05.2017, unter Wiedergabe von Stimmen unter anderem aus den damaligen Bundestagsfraktionen, abrufbar unter https://netzpolitik.org/2017/wir-veroeff entlichen-den-gesetzentwurf-der-grossen-koalition-zum-massenhaften-einsatz-von-staat strojanern [zuletzt abgerufen am 04.11.2021]; Prantl, Süddeutsche.de vom 22. Juni 2017, abrufbar unter http://www.sueddeutsche.de/digital/ueberwachung-der-staatstrojaner-ist-e in-einbruch-ins-grundgesetz-1.3555917 [zuletzt abgerufen am 04.11.2021]. Vgl. auch die Kritik in der Stellungnahme des DAV, Stellungnahme Nr. 44/2017, S. 3 f. Zur deutlichen Kritik der damaligen Oppositionsfraktionen im Bundestag Bündnis 90/Die Grünen und Die Linke siehe BT-Drs. 18/12785, S. 42. 123 BT-Drs. 18/11272. 124 BT-Drs. 18/12785. 125 BT-Drs. 18/11277.

34

Einleitung

ursprüngliche Gesetzentwurf einen hinreichenden Sachzusammenhang zu diesen strafprozessualen Ermittlungsmaßnahmen aufwies. Darin liegt möglicherweise ein Verstoß gegen § 82 Abs. 1 GO BT,126 der mangels Verletzung zwingenden Verfassungsrechts aber freilich nicht zur formellen Verfassungsmäßigkeit der in diesem Verfahren verabschiedeten Gesetze führen würde.127 Kritikwürdig ist auch, dass die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, damals Andrea Voßhoff, entgegen §§ 24 Abs. 4, 26 Abs. 3 BDSG und § 21 GGO (Gemeinsame Geschäftsordnung der Bundesministerien) nicht vom federführenden Bundesministerium für Justiz und Verbraucherschutz über den Änderungsantrag informiert wurde, sondern davon erst durch Medienberichte erfuhr.128 Zwar macht auch dieser Verfahrensfehler die Gesetze mangels Verstoß gegen Verfassungsrecht nicht formell verfassungswidrig. Bemerkenswert ist dieser Ablauf aber dennoch. Neben der berechtigten Kritik am Ablauf des Gesetzgebungsverfahrens wurde auch die seit langem bestehende inhaltliche Kritik an den beiden Ermittlungsmaßnahmen erneuert.129 Dabei bestehen vor allem erhebliche Zweifel an der Verfassungsmäßigkeit der nun geschaffenen Normen.130 Aber auch der Umstand, dass durch die Erlaubnis zum Einsatz von Staatstrojanern die allgemeine IT-Sicherheit (nicht nur) in Deutschland geschwächt wird, ist unter IT-Fachleuten auf deutliche Kritik gestoßen.131 Unter anderem die Ver-

126

So Roggan, StV 2017, 821 im Anschluss an DAV, Stellungnahme Nr. 44/2017, S. 3. Vgl. BVerfGE 1, 144 (151); Degenhart, Staatsrecht I, Rn. 221; Heynckes, ZParl 2008, 459 (459 f.). 128 Voßhoff, Stellungnahme zu BT-Drs. 18/11272 und A-Drs. 18(6)334, A-Drs. 18(6)346, S. 2. 129 Siehe nur Blechschmitt, StraFo 2017, 361 (362 ff.); dies., MMR 2018, 361 (365); Großmann, JA 2019, 241 (244 f.); Knierim/Oehmichen, in: Gesamtes Strafrecht aktuell, Kap. 20 Rn. 3; Kruse/Grzesiek, KritV 2017, 331 (338 f.); Momsen/Bruckmann, KriPoZ 2019, 20 (22 f.); Roggan, StV 2017, 821 ff.; Singelnstein/Derin, NJW 2017, 2646 ff.; befürwortend aber beispielsweise Neuhaus, DRiZ 2017, 192 f. 130 Vgl. vor allem die offiziellen Stellungnahme von Buermeyer zum Gesetzentwurf bzw. der zugrunde liegenden „Formulierungshilfe“ vom 29. Mai 2017, abrufbar unter https://w ww.bundestag.de/blob/508848/bdf7512e32578b699819a5aa33dde93c/buermeyer-data.p df [zuletzt abgerufen am 04.11.2021], siehe auch Blechschmitt, StraFo 2017, 361 (364 f.); Burhoff, EV, Rn. 2966; Grözinger, StV 2019, 406 (411 f.); Kruse/Grzesiek, KritV 2017, 331 (344 ff.); Petri, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 635; Riebel, Verdeckte OnlineDurchsuchung, 2019, S. 210 ff.; Singelnstein, VerfBlog 2017/7/02, S. 3 f., abrufbar unter htt p://verfassungsblog.de/hacken-zur-strafverfolgung-gefahren-und-grenzen-der-strafproz essualen-online-durchsuchung/ [zuletzt abgerufen am 04.11.2021]; Voßhoff, Stellungnahme zu BT-Drs. 18/11272 und A-Drs. 18(6)334, A-Drs. 18(6)346, S. 2 ff.; weniger skeptisch Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 254 ff. 131 Siehe insbesondere Pohlmann/Riedel, DuD 2018, 37 ff. 127

D. Begriffe

35

bände Digitalcourage e.V.132 und Gesellschaft für Freiheitsrechte e.V.133 haben Verfassungsbeschwerde gegen die neuen §§ 100a, 100b StPO eingelegt. 2. Vielgestaltigkeit der „Online-Durchsuchung“ Ein Großteil der Teilnehmer der Diskussion in Rechtswissenschaft und allgemeiner Öffentlichkeit setzt den Begriff der Online-Durchsuchung mit dem heimlichen Ausforschen eines Computers mittels Spionagesoftware gleich,134 weil es eine solche Maßnahme war, über die der BGH135 sowie später das BVerfG136 ursprünglich zu befinden hatten und die auch Sicherheitspolitikern und -beamten137 vorschwebte. Dieser Typus von Maßnahme ist schließlich auch im neuen § 100b StPO Gesetz geworden, mag der Wortlaut des § 100b Abs. 1 StPO auch Maßnahmen ohne den heimlichen Einsatz von Spionagesoftware abdecken. Gleichwohl zeigen viele Autoren aus dem Bereich der Rechtswissenschaft, aber auch aus dem Bereich der Informationstechnik ganz unterschiedliche Maßnahmen auf, die sich ebenfalls unter den Begriff der „Online-Durchsuchung“ fassen lassen. Zwar umfassen die meisten dieser Möglichkeiten zur Durchführung einer Online-Durchsuchung auf die ein oder andere Art die Anwendung einer Spionagesoftware: Manuelle Installation der Software auf dem Rechner der Zielperson durch Ermittler vor Ort,138 Versenden der Software als Virus per E-Mail an die Zielperson139 oder Manipulation der Inter132

https://digitalcourage.de/blog/2017/wir-klagen-gegen-die-staatstrojaner-verfassun gsbeschwerde-unterstuetzen [zuletzt abgerufen am 04.11.2021]. 133 https://freiheitsrechte.org/staatstrojaner/ [zuletzt abgerufen am 04.11.2021]. 134 Aus dem rechtswissenschaftlichen Schrifttum Abate, DuD 2011, 122; Beukelmann, StraFo 2008, 1 ff.; Beulke/Meininghaus, StV 2007, 63 (64); Bratke, Die Quellen-Telekommunikationsüberwachung, 2013, S. 48 f.; Cornelius, JZ 2007, 798 ff.; Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 792; Kudlich, JA 2008, 475 (476); Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 239; Pötters/Werkmeister, Jura 2013, 5; Warntjen, Jura 2007, 581. Aus der Presse vgl. nur Bornhöft/Gebauer/Rosenbach, Spiegel vom 12.02.2007, online abrufbar unter http://www.spiegel.de/spiegel/print/d-50503691.h tml [zuletzt abgerufen am 04.11.2021]; Steinhäuser, ZEIT online vom 31.08.2007, http://w ww.zeit.de/online/2007/36/bundestrojaner-experte [zuletzt abgerufen am 04.11.2021]; aus neuerer Zeit Kreutzer, Frankfurter Allgemeine Zeitung Online vom 15.08.2014, http://w ww.faz.net/-gsb-7srrd [zuletzt abgerufen am 04.11.2021], allerdings mit Bezug auf die entsprechende Befugnis im damaligen § 20k BKAG a. F. (jetzt § 49 BKAG). 135 BGH-Ermittlungsrichter wistra 2007, 28; BGH-Ermittlungsrichter MMR 2007, 174; BGHSt 51, 211. 136 BVerfGE 120, 274. 137 Vgl. die Nachweise über Aussagen des damaligen Bundesinnenministers Schäuble und des damaligen BKA-Chefs Ziercke bei Beukelmann, StraFo 2008, 1. 138 Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 131 (135). 139 Fox, DuD 2007, 827 (829); an der Effektivität dieser Methode zweifelnd Buermeyer, HRRS 2007, 154 (164).

36

Einleitung

netseitenaufrufe der Zielperson, sodass diese beim Surfen im Internet auf eine Seite weitergeleitet wird, welche die Spionagesoftware automatisch auf dem Computer installiert.140 Daneben sind aber auch Varianten möglich, bei denen Sicherheitslücken von im Handel erhältlicher Antivirensoftware, Betriebssystemen oder anderer Programme ausgenutzt („Zero-Day-Exploits“ oder „Less-than-zero-Day-Exploits“)141 oder gar gezielt von Behörden mit Herstellern der Software verabredet werden142 – so müssen die Behörden nicht eigens ein Spionageprogramm auf dem Rechner der Zielperson einschleusen.143 Schließlich gibt es auch Wege des Online-Zugriffs, die bis auf das Betriebssystem des Rechners der Zielperson und entsprechender Internetanbindung gar keine weiteren Programme auf deren Rechner erfordern, so zum Beispiel das Abfangen von Daten durch Abhörschnittstellen beim Provider („Man-in-the-Middle-Angriff“).144 All diese Varianten weisen technisch unterschiedliche Funktions- und Vorgehensweisen auf, werden aber unterschiedlos mit dem Namen „Online-Durchsuchung“ belegt.145 Wenn überhaupt, dann lässt sich als kleinster gemeinsamer Nenner dieser Varianten der Zugriff über ein Netzwerk auf ein informationstechnisches System zur Datenerhebung ausmachen.146 Aber auch eine solche allgemein gehaltene Definition führt nicht weiter, da sie verschiedene Varianten der technischen Umsetzung dieser Maßnahme zusammenfasst, welche bedeutsame Unterschiede aufweisen und somit potentiell an unterschiedlichen verfassungsrechtlichen Vorgaben zu messen sind.147 140

Auflistungen bei Beukelmann, StraFo 2008, 1 f. und mit technischem Schwerpunkt bei Fox, DuD 2007, 827 (829) sowie Hansen/Pfitzmann, in: Roggan (Hrsg.), Online Durchsuchungen, 2008, S. 131 (132 ff.); weitere technische Details bei Heinson, IT-Forensik, 2015, S. 40 f. 141 S. dazu BVerfG NVwZ 2021, 1361 (1363), wo eine entsprechende Verfassungsbeschwerde zurückgewiesen, dabei aber grundsätzlich anerkannt wurde, dass den Staat eine grundrechtliche Pflicht trifft, die Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme zu schützen. 142 Speziell zu dieser Möglichkeit Buermeyer, HRRS 2007, 154 (163); Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 131 (136). 143 Beukelmann, StraFo 2008, 1 (2); Hansen/Pfitzmann, in: Roggan (Hrsg.), OnlineDurchsuchungen, 2008, S. 131 (135 f.); krit. Derin/Golla, NJW 2019, 1111 (1114 f.). 144 Beukelmann, StraFo 2008, 1; siehe zur technischen Funktionsweise eines solchen Angriffs Fischer/Hofer, Lexikon der Informatik, Stichwort „Attacke, Man-in-theMiddle-“, S. 70 f. 145 Zur Problematik dieser Vielgestaltigkeit auch Buermeyer, HRRS 2007, 154: Jahn/ Kudlich, JR 2007, 57 (58). 146 Vgl. die 2006 vom Bundesinnenministerium gegebene Definition, BT-Drs. 16/3231, S. 11. Siehe auch Hofmann, NStZ 2005, 121, Hornung, DuD 2007, 575 und Käß, BayVBl. 2010, 1 (4), die jedoch die Verdecktheit der Maßnahme in die Definition mit aufnehmen, Hornung dabei im Widerspruch zu seinen späteren Ausführungen auf den Seiten 577 f., dass der Begriff „Durchsuchung“ die Offenheit der Maßnahme voraussetze. 147 Hornung, DuD 2007, 575; Jahn/Kudlich, JR 2007, 57 (58). Auflistungen und Erläu-

D. Begriffe

37

Es soll in dieser Arbeit nun nicht darum gehen, den Begriff der „OnlineDurchsuchung“ in all seinen Facetten zu definieren. Für die hiesige Untersuchung aber müssen die verschiedenen Maßnahmen oder Varianten von Maßnahmen, die unter dem Begriff „Online-Durchsuchung“ firmieren, auseinandergehalten werden. Nur unter dieser Voraussetzung ist es möglich, auch die von Wissenschaft und Praxis erarbeiteten (verfassungs-)rechtlichen Vorgaben auseinanderzuhalten und differenziert anzuwenden. Erst dadurch ergibt sich, welche dieser Vorgaben für die hier zu besprechende Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO relevant sind. Wenn also ein Autor oder ein Gericht oder eine Gesetzesbegründung davon spricht, „die Online-Durchsuchung“ mache das anvisierte informationstechnische System anfällig für Angriffe nichtstaatlicher, unautorisierter Dritter, so ist genau zu prüfen, welche Variante der Online-Durchsuchung in diesem Zusammenhang gemeint ist. Für eine technische Infiltration des Systems mittels einer „Backdoor“, also einer bewusst offengelassenen Schutzlücke in einer Software, oder das Aufspielen einer eigenen Spionagesoftware, mag der Befund der erhöhten Anfälligkeit des Systems gegenüber Angriffen Dritter zutreffen.148 Auf die hier zu besprechende Maßnahme des § 110 Abs. 3 S. 2 StPO, bei der lediglich eine bestehende Internetverbindung ohne weitere technische Manipulation ausgenutzt wird, ist diese Diagnose aber nicht übertragbar. An diesem Beispiel wird deutlich: Gemeinsamkeiten und Unterschiede der verschiedenen Varianten der „Online-Durchsuchung“ müssen insbesondere bei der verfassungsrechtlichen Diskussion bewusst gemacht werden, damit gewisse Leitlinien entstehen können, anhand derer die Durchsicht informationstechnischer Systeme nach § 110 Abs. 3 StPO beurteilt werden kann.149 3. Abgrenzung des § 110 Abs. 3 S. 2 StPO zu anderen Formen der „OnlineDurchsuchung“ Die grundsätzliche Vergleichbarkeit der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO zur Online-Durchsuchung im Sinne des § 100b StPO wurde hier nun schon mehrfach angesprochen. Vergleichbarkeit darf aber nicht zu einer pauschalen Gleichsetzung führen. Eine Abgrenzung der beiden Maßnahmen ist erforderlich. terungen zu den vielfältigen technischen Möglichkeiten finden sich bei Buermeyer, HRRS 2007, 154 (161 f.); Fox, DuD 2007, 827 (829 f.); Gudermann, Online-Durchsuchung, 2010, S. 19 ff.; Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 131 ff.; Riebel, Verdeckte Online-Durchsuchung, 2019, S. 49 ff. 148 Vgl. Chaos Computer Club, Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern; 2015, S. 3 f.; Michalke, StraFo 2008, 287 (290); Roggan, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 97 (99 f.). 149 Vgl. zum Erfordernis der sauberen Unterscheidung der verschiedenen technikgestützten Durchsuchungsvarianten schon Beulke/Meininghaus, StV 2007, 63 (64).

38

Einleitung

Die vielbeachteten Entscheidungen des BGH150 und des BVerfG151 zur „Online-Durchsuchung“ betrafen Maßnahmen, bei denen heimlich Spionagesoftware auf einem informationstechnischen System installiert werden sollte. Diese Maßnahmen wurden in den Entscheidungen mit dem Begriff der Online-Durchsuchung belegt, und so sind sie schließlich in § 100b StPO Gesetz geworden. Diese Begriffswahl wurde allerdings schon damals zu Recht kritisiert. Eine herkömmliche Durchsuchung nach den §§ 102 ff. StPO ist eine offene Ermittlungsmaßnahme152, also eine solche, bei der die Ermittler dem Betroffenen offen als staatliche Ermittler gegenübertreten und die Maßnahme offen, also beobachtbar und von außen kontrollierbar durchführen (vgl. §§ 105 Abs. 2, 106, 107 StPO).153 Die oben angeführten Spionagemaßnahmen aber sind heimlicher Art und verdienen allein deshalb den Namen „Durchsuchung“ nicht.154 Diesen Umstand zog auch der BGH selbst in seinem oben erwähnten Beschluss heran, um zu begründen, warum eine solche Online-Durchsuchung gerade nicht auf die §§ 102 ff. StPO zu stützen ist.155 Ferner wird im rechtswissenschaftlichen Schrifttum zutreffend darauf hingewiesen, dass eine Online-Durchsuchung, wie sie nun in § 100b StPO geregelt ist, nicht wie eine herkömmliche Duchsuchung zeitlich begrenzt, punktuell und einmalig durchgeführt wird, sondern typischerweise in Form einer länger andauernden, fortlaufenden Überwachung eines Computersystems erfolgt, sodass auch deshalb die Bezeichnung „Durchsuchung“ irreführend 150

BGHSt 51, 211. BVerfGE 120, 274. 152 Zum Begriff der „offenen“ Maßnahme und zur Abgrenzung zu „heimlichen“ und „verdeckten“ Maßnahmen siehe sogleich unten Einl. D.II. 153 Ganz h. M., siehe nur AnwK-StPO/Löffelmann, § 102 Rn. 1; Beulke/Meininghaus, StV 2007, 63 (64); Cornelius, JZ 2007, 798 (799); Fezer, NStZ 2007, 535; Hamm, NJW 2007, 932; Herrmann/Soine´, NJW 2011, 2922 (2923); Hornung, DuD 2007, 575 (576); HK-StPOGercke, § 102 Rn. 5; Jahn/Kudlich, JR 2007, 57 (59); KK/Bruns, § 102 Rn. 1; LR/Tsambikakis, § 102 Rn. 1; Meyer-Goßner/Schmitt/Köhler, § 102 Rn. 1; MüKo-StPO/Hauschild, § 102 Rn. 2; Müller/Römer, NStZ 2012, 543 (544); Radtke/Hohmann/Ladiges, § 102 Rn. 6; Rux, JZ 2007, 285 (290); SK-StPO/Wohlers/Jäger, § 102 Rn. 2; Walther, JA 2010, 32 (33); Weiler, GS Meurer 2002, 395 (398); a. A. Hofmann, NStZ 2005, 121 (123 f.). 154 Denkowski, Kriminalistik 2007, 177 (178); Fezer, NStZ 2007, 535; Freiling/Safferling/ Rückert, JR 2018, 9 (16); Gudermann, Online-Durchsuchung, 2010, S. 14, 33 f.; Kutscha, NJW 2007, 1169; Roggan, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 97; Schlögel, ZfP 2012, 85 (88); Wissenschaftliche Dienste des Deutschen Bundestages (N.N.), WD 3 – 161/07, S. 5. Böckenförde, JZ 2008, 925 (929) will in der Wahl des Begriffs „Durchsuchung“ unter Voranstellung des Wortes „Online“ sogar Kalkül sehen: Da die Durchsuchung innerhalb der StPO von allen Zwangsmaßnahmen die niedrigsten Eingriffsschwellen habe, wolle man (gemeint offenbar: die Strafverfolger und/oder sicherheitspolitische Kreise) durch eben diese Begriffswahl von diesen niedrigen Hürden profitieren; ähnlich Kant/Busch, CILIP 098 (1/2011): „verharmlosende[r] Begriff“. 155 BGHSt 51, 211 (212 ff.). 151

D. Begriffe

39

ist.156 Da sich die Online-Durchsuchung gemäß § 100b StPO von einer herkömmlichen Durchsuchung damit deutlich unterscheidet, insbesondere in der Intensität des durch sie bewirkten Grundrechtseingriffs, wird deshalb „Überwachung von informationstechnischen Systemen“ als treffendere Bezeichnung vorgeschlagen.157 Die hier zu besprechende Ermittlungsmaßnahme nach § 110 Abs. 3 S. 2 StPO ist von einer Online-Durchsuchung im Sinne des § 100b StPO insofern verschieden, als bei ihr nicht heimlich Spionagesoftware auf einem informationstechnischen System installiert wird. Stattdessen wird lediglich eine bereits bestehende, technisch nicht manipulierte Netzwerkverbindung eines lokalen informationstechnischen Systems (z. B. der PC in der Wohnung) zu einem externen informationstechnischen System (z. B. ein Cloud-Speicher) ausgenutzt. Dies geschieht zwar nicht offen gegenüber etwaigen Drittbetroffenen der Maßnahme (also Mitinhabern des externen Systems), aber doch zumindest in der Regel offen gegenüber dem Inhaber des lokalen Ausgangssystems. Damit wäre bei einer solchen offen vorgenommenen Maßnahme der Begriff „Online-Durchsuchung“ sogar noch viel eher gerechtfertigt als bei ihrem heimlich vorgenommenen Pendant nach § 100b StPO. Deshalb und um die in einigen entscheidenden Rechtsfragen bestehende Verwandtschaft zur Online-Durchsuchung im Sinne des § 100b StPO hervorzuheben, wird in der hiesigen Untersuchung für den Zugriff nach § 110 Abs. 3 S. 2 StPO die Bezeichnung „Online-Durchsuchung“ zumindest als Oberbegriff anerkannt.158 Damit ist aber keine Aussage über ein etwaiges systematisches Verhältnis zwischen der „echten“, „großen“ Online-Durchsuchung nach § 100b StPO und der Maßnahme nach § 110 Abs. 3 S. 2 StPO getroffen. Innerhalb der Systematik der StPO stehen diese beiden Normen vollkommen unabhängig von- und nebeneinander. Abgesehen vom Wesensmerkmal der grundsätzlichen Offenheit der Maßnahme des § 110 Abs. 3 S. 2 StPO gibt es noch eine weitere Eigenschaft, die sie von der Online-Durchsuchung gemäß § 100b StPO und auch anderen Ermittlungsmaßnahmen unterscheidet. Diese Eigenschaft liegt nicht in der techni-

156

Freiling/Safferling/Rückert, JR 2018, 9 (13). Knierim/Oehmichen, in: Gesamtes Strafrecht aktuell, Kap. 20 Rn. 1, 59 ff. 158 Deutlich Henrichs, Kriminalistik 2008, 169 (172): „Offene Online-Durchsuchung“; sowie Böckenförde, JZ 2008, 925 (929); auch Brodowksi/Eisenmenger, ZD 2014, 119; Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 445, 461 f.; Michalke, StraFo 2014, 89 (91) und Zimmermann, JA 2014, 321 (323): „Kleine Online-Durchsuchung“; sowie Kochheim, Cybercrime, Rn. 2018 – Fn. 2951; Schlegel, HRRS 2008, 23 und sich anschließend Bär, ZIS 2011, 53 (54); Zerbes/El-Ghazi, NStZ 2015, 425 (429) und Ziebarth, OnlineDurchsuchung, 2013, S. 176: „Online-Durchsuchung light“. Vgl. auch Puschke/Singelnstein, NJW 2008, 113 (115): „Teilumsetzung der heimlichen Online-Durchsuchung“; dagegen aber wiederum ausdrücklich Bär, MMR 2008, 215 (221). 157

40

Einleitung

schen Gestalt der Maßnahme, sondern in ihrer gesetzlichen Konzeption bzw. in ihrer systematischen Verankerung im Gesetz begründet. § 110 Abs. 3 S. 2 StPO ist gesetzessystematisch nicht als Eingriffsmaßnahme eigenständigen Typs geregelt, wie es zum Beispiel bei der Überwachung der Telekommunikation nach § 100a StPO, dem Einsatz eines IMSI-Catchers nach § 100i StPO oder eben der Online-Durchsuchung nach § 100b StPO der Fall ist. Vielmehr beinhaltet § 110 Abs. 3 S. 2 StPO eine unselbstständige Zusatzermächtigung im Rahmen einer Durchsuchung nach §§ 102, 103 StPO.159 Diese Ermächtigung ist dem § 110 Abs. 1 StPO angegliedert, welcher die Durchsicht von Papieren – und in § 110 Abs. 3 S. 1 StPO mittlerweile160 auch ausdrücklich von Datenträgern und Computersystemen – erlaubt. Die Durchsicht dient der Sichtung der aufgefundenen Papiere am Durchsuchungsort, um danach entscheiden zu können, welche Gegenstände gemäß § 94 Abs. 1 StPO sichergestellt werden sollen.161 § 110 Abs. 3 S. 2 StPO ist seiner Konzeption nach eine Erweiterung dieser Befugnis zur Durchsicht über die Räumlichkeiten des von der Durchsuchung Betroffenen hinaus. Flankierend stellt § 110 Abs. 3 S. 3 StPO klar, dass auch die bei dieser erweiterten Durchsicht aufgefundenen Gegenstände gesichert werden dürfen (wie auch bei der Durchsicht lokaler Speichermedien und Systeme gemäß § 110 Abs. 3 S. 1 StPO). 4. § 110 Abs. 3 S. 2 StPO: Die „Netzwerkdurchsicht“ Angesichts der systematischen Einordnung des § 110 Abs. 3 S. 2 StPO als spezielle Form der Durchsicht nach § 110 Abs. 1, Abs. 3 S. 1 StPO könnte man diese Maßnahme „Online-Durchsicht“ nennen.162 Allerdings hat das Bundesministerium des Inneren den Begriff „Online-Durchsicht“ bereits anders belegt und geprägt. Es nutzt ihn zur Unterscheidung von Varianten innerhalb von Online-Durchsuchungen (im Sinne des § 100b StPO): Zum einen gibt es den einmaligen, punktuellen Online-Zugriff auf ein System, zum anderen eine längerfristige Online-Überwachung, welche Aktivitäten des Zielsystems auf längere Sicht protokolliert. Nach Terminologie des Bundes-

159

Zur Kritik an dieser Systematik unten Kap. 3 D.II. Vor Inkrafttreten des Gesetzes zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021 (BGBl. 2021 I, S. 2099) und damit des neuen § 110 Abs. 3 S. 1 StPO wurde die Durchsicht elektronischer Speichermedien und informationstechnischer Systeme auf die Grundnorm der Durchsicht in § 110 Abs. 1 StPO gestützt, s. Park, Durchsuchung, Rn. 818 m.w.N.; kritisch damals allerdings noch aufgrund fehlender Vergleichbarkeit von Daten und körperlichen Gegenständen Kemper, NStZ 2005, 538 (542). Ergänzend dazu unten Kap. 2 B.I. 161 Herrmann/Soine´, NJW 2011, 2922 (2925); Schlegel, HRRS 2008, 23 (25 f.). 162 Ähnlich BeckOK-StPO/Hegmann, § 110 Rn. 14 und Zerbes/El-Ghazi, NStZ 2015, 425 (428): „Onlinesichtung“. 160

D. Begriffe

41

ministeriums des Inneren ist der einmalige, punktuelle Zugriff die „OnlineDurchsicht“.163 Man kann diese Begriffswahl ebenso wie die Begriffswahl „Online-Durchsuchung“ auch für heimliche Maßnahmen kritisieren. Unabhängig davon wäre es aber verwirrend, die Maßnahme nach § 110 Abs. 3 S. 2 StPO ebenfalls „Online-Durchsicht“ zu nennen. Deshalb eignet sich der Begriff „Online-Durchsicht“ nicht als abkürzendes Schlagwort für die Durchsicht räumlich getrennter Speichermedien im Sinne des § 110 Abs. 3 S. 2 StPO. Um die hier besprochene Maßnahme des § 110 Abs. 3 S. 2 StPO zwar begrifflich von anderen Maßnahmen im Bereich „Online-Durchsuchung“ zu trennen, aber trotzdem die Verwandtschaft zu ihnen zu kennzeichnen, soll deshalb der Begriff „Netzwerkdurchsicht“ gewählt werden.164 Das ist inhaltlich insofern präzisierend, als § 110 Abs. 3 S. 2 StPO zwar typischerweise auf die Durchsicht externer Speichermedien im Internet abzielt,165 die Regelung aber ausweislich ihres offenen Wortlauts nicht auf Speichermedien im Internet beschränkt ist. Der Begriff „online“ wird zwar nicht ausschließlich mit Vorgängen im Internet in Verbindung gebracht (auch auf andere, lokale Netzwerke trifft der Begriff „online“ in technischer Hinsicht zu166), aber jedenfalls in der Alltagssprache wird der Begriff „online“ überwiegend so verstanden.167 Die Maßnahme nach § 110 Abs. 3 S. 2 StPO aber erfasst jedwede Art von Netzwerk, welches informationstechnische Systeme miteinander

163 Bundesministerium des Innern, Antwort auf den Fragenkatalog des Bundesministeriums der Justiz zur Novellierung des BKA-Gesetzes, 22.08.2007, Vorbemerkung, S. 1 f.; sich anschließend beispielsweise Henrichs, Kriminalistik 2008, 438 (439). 164 In Anschluss an Bär, TK-Überwachung, § 100a StPO Rn. 72 und Knierim, StV 2009, 206 (211). 165 Wobei der Anwendungsbereich sich nicht auf das weltweite Internet erstrecken kann, s. unten Kap. 3 A.V. 166 Vgl. die technische Definition bei Fischer/Hofer, Lexikon der Informatik, Stichwort „online“, S. 633, die jede Verbindung eines Peripheriegeräts oder Computers mit einem „Host“ erfasst, also dem Computersystem, dem eine steuernde, koordinierende Funktion im Netzwerk zukommt (Fischer/Hofer aaO., Stichwort „Host“, S. 399). 167 Vgl. nur www.duden.de [zuletzt abgerufen am 04.11.2021], Stichwort „online“: „1. in direkter Verbindung mit der Datenverarbeitungsanlage arbeitend, direkt mit dieser gekoppelt; 2. ans Datennetz, ans Internet angeschlossen; innerhalb des Datennetzes, des Internets“. In der 25. Auflage des Duden-Druckwerks „Die deutsche Rechtschreibung“ von 2009 ist lediglich die 2. der beiden Bedeutungen aufgeführt, sodass der Begriff „online“ tendenziell auf Zusammenhänge mit dem Internet verengt wird.

42

Einleitung

verbindet, zum Beispiel auch Local Area Networks (LAN)168, Einrichtungen des Intranet169 oder Verbindungen über Bluetooth170.171

II. Heimliche Maßnahmen, Verdeckte Maßnahmen / Offene Maßnahmen Oben172 war hinsichtlich der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO, aber auch hinsichtlich der Online-Durchsuchung nach § 100b StPO mehrmals von „heimlichen“ Ermittlungsmaßnahmen (in Abgrenzung zu „offenen“ Maßnahmen) die Rede. Zuweilen wird die Maßnahme des § 100b StPO aber auch „verdeckte“ Online-Durchsuchung genannt.173 Gemeint ist dabei stets, dass der betroffene Grundrechtsinhaber (nicht immer, aber in der Regel der Beschuldigte im Strafverfahren) nicht weiß, dass er Adressat einer Ermittlungsmaßnahme ist oder dass anderweitig in seine Grundrechte eingegriffen wird. Diese Unkenntnis des Grundrechtsinhabers kann aber unterschiedlicher Art sein. Aus Perspektive der Ermittlungsbehörden lässt sich dies anhand zweier unterschiedlicher Typen von Ermittlungsmaßnahmen beschreiben. Maßnahmen, die für den Betroffenen vor Anordnung und während ihrer Durchführung nicht zu erkennen sind oder jedenfalls nach dem Willen der Ermittler für den Betroffenen nicht zu erkennen sein sollen, sind als „heimliche Maßnahmen“ zu bezeichnen.174 In diesem Sinne wurde der Begriff „heimlich“ auch bereits in den vorangegangenen Ausführungen innerhalb 168 Von einem Local Area Network (LAN) spricht man heutzutage, wenn sich die vernetzten Bestandteile (Computer, Drucker, sonstige Arbeitsstationen) erstens physisch auf einem eher überschaubaren Raum befinden (im Gegensatz zum weltumspannenden Internet) und zweitens unter der Kontrolle eines Betreibers stehen (im Gegensatz zum dezentralisierten Internet mit verschiedenen Betreibern), vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „LAN“, S. 510. 169 KMR/Hadamitzky, § 110 Rn. 22. Mit „Intranet“ werden hausinterne und beschränkte, nicht aber unbedingt lokal gebundene Netzwerke z.B. einer Behörde oder eines Unternehmens bezeichnet, welche sich der technischen Funktionsweise des Internets bedienen, aber nicht an dem grundsätzlich für jedermann offenstehenden Verkehr des Internets teilnehmen, vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „Intranet“, S. 444. 170 Bluetooth ist eine Technologie für die drahtlose (Daten-)Kommunikation über Funkwellen zwischen zwei oder mehreren Geräten im (räumlichen) Nahbereich, vgl. htt ps://www.bluetooth.com/learn-about-bluetooth/tech-overview/ [zuletzt abgerufen am 04.11.2021]. 171 Tendenziell zu eng daher der von BeckOK-StPO/Hegmann, § 110 Rn. 14 und Zerbes/ El-Ghazi, NStZ 2015, 425 (428) gewählte Begriff der „Onlinesichtung“. 172 Einl. C. 173 S. nur KK/Bruns, § 100b Rn. 1; Meyer-Goßner/Schmitt/Köhler, § 100b Rn. 1. 174 Lammer, Verdeckte Ermittlungen, 1992, S. 13; Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 7; Zöller, ZStW 124 (2012), 411 (419).

D. Begriffe

43

dieser Arbeit verwendet. Ein klassisches Beispiel für eine heimliche Ermittlungsmaßnahme ist die Telekommunikationsüberwachung gemäß § 100a StPO: Hier soll und wird es für den Adressaten der Maßnahme nicht erkennbar sein, dass das scheinbar vertraulich geführte Telefongespräch durch einen externen Dritten (hier von einer Strafverfolgungsbehörde) mittels technischer Einrichtungen abgehört wird. Ebenso liegt es aber auch bei einer Maßnahme wie der Rasterfahndung gemäß § 98a StPO, bei der keine neuen Daten bzw. Informationen gesammelt, sondern bereits vorhandene Datenbestände automatisiert miteinander abgeglichen werden, um auf diese Weise weitere Ermittlungsansätze gegen Personen zu gewinnen oder auszuschließen.175 Dies geschieht regelmäßig ohne das Wissen der betroffenen Personen, sodass auch hier von einer heimlichen Maßnahme gesprochen werden kann.176 Auch die Online-Durchsuchung nach § 100b StPO ist eine heimliche Maßnahme. Von „verdeckten Maßnahmen“ ist dagegen zu sprechen, wenn der Betroffene sich – im Gegensatz zur Unkenntnis bei heimlichen Ermittlungssituationen – zwar bewusst ist, dass er grundrechtsrelevante Informationen an einen bestimmten Adressaten preisgibt, er aber nicht weiß, dass dieser Adressat für die Strafverfolgungsbehörden tätig ist.177 Hier irrt sich der Grundrechtsinhaber also vor allem über die Identität oder Funktion desjenigen, dem er Informationen übermittelt. Wesentlich für diese Art von Ermittlungsmaßnahme ist also nicht das Element des Unbemerktseins, sondern das Element der Täuschung durch die Ermittler.178 Typisches Beispiel dafür ist der Einsatz verdeckter Ermittler gemäß § 110a StPO: Bei dieser Maßnahme geht es darum, dass Polizeibeamte unter einer veränderten Identität (Legende, § 110a Abs. 2 StPO) auftreten, um beispielsweise einen Beschuldigten zu täuschen und ihn so zur Preisgabe von Informationen zu bewegen, die er gegenüber einem offen auftretenden Ermittler nicht preisgeben würde.179 Auch der nicht spezialgesetzlich geregelte, auf die Ermittlungsgeneralklausel der §§ 161, 163 StPO gestützte Einsatz von nicht offen ermittelnden Polizeibeamten – die neuerdings auch im Internet, zum Beispielsweise als Teilnehmer in Chatrooms oder sozialen Netzwerken agieren180 – ist eine solche verdeckte Ermittlungsmethode, bei der es darum geht, Beschuldigte oder andere Personen über die wahre Identität des Ermittlers zu täuschen.181 175

Vgl. dazu AnwK-StPO/Löffelmann, § 98a Rn. 2 f.; SK-StPO/Wohlers/Greco, § 98a Rn. 2 f. 176 Vgl. Zöller, ZStW 124 (2012), 411 (419), dort auch zu weiteren Beispielen. 177 Zöller, ZStW 124 (2012), 411 (419 f.). 178 Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 5 f.; Zöller, ZStW 124 (2012), 411 (420). 179 Vgl. Zöller, ZStW 124 (2012), 411 (420). 180 Siehe dazu insbesondere Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 136 ff. sowie Rosengarten/Römer, NJW 2012, 1764 ff. 181 Überblick bei Meyer-Goßner/Schmitt/Köhler, § 110a Rn. 4. Kritisch zur fehlenden

44

Einleitung

Welche (verfassungs-)rechtlichen Anforderungen an heimliche Ermittlungsmaßnahmen einerseits und verdeckte Ermittlungsmaßnahmen andererseits zu stellen sind, kann nicht allein anhand dieser Unterscheidung beurteilt werden. Vielmehr kommt es auf den jeweiligen konkreten der Typ der Ermittlungsmaßnahme sowie auf deren Umfang an. So kann eine heimliche Ermittlungsmaßnahme wie die Überwachung der Telekommunikation gemäß § 100a Abs. 1 StPO in Art und Umfang einen schweren Eingriff in das Fernmeldegeheimnis aus Art. 10 GG bedeuten, während Befragungen durch einen verdeckten Ermittler gemäß § 110a StPO im Einzelfall nur geringe Beeinträchtigungen in das allgemeine Persönlichkeitsrecht oder weiterer Grundrechte des Gesprächspartners nach sich ziehen können.182 Demgegenüber kann der Einsatz eines verdeckten Ermittlers zum Betreten einer Wohnung gemäß § 110c StPO – mit Einverständnis des Wohnungsinhabers – einen gewichtigen Eingriff in die Unverletzlichkeit der Wohnung gemäß Art. 13 GG darstellen,183 während eine heimliche Erhebung von Verkehrsdaten nach § 100g Abs. 1 S. 1 StPO eine im Vergleich zum Wohnungseintritt relativ milde grundrechtliche Beeinträchtigung des Fernmeldegeheimnisses184 sein kann. Die Einordnung einer Maßnahme als entweder heimlich oder verdeckt gibt also noch keine Auskunft darüber, wie intensiv die Maßnahme den Betroffenen in seinen Grundrechten berührt. Davon geht auch das Gesetz selbst in § 101 StPO aus, in dem es heimliche Maßnahmen und verdeckte Maßnahmen hinsichtlich ihrer verfahrensrechtlichen Folgen (Benachrichtigungs- und Löschungspflichten, Rechtsschutzgewährung) gleichbehandelt.185 spezialgesetzlichen Regelung KMR/Bockemühl, § 110a Rn. 5, 9: Unzulässigkeit des Einsatzes von nicht offen ermittelnden Polizeibeamten gegen einen bestimmten Beschuldigten auf Grundlage der §§ 161, 163 StPO; ebenso Murmann, in: Heghmanns/Scheffler (Hrsg.), HbStrVf, 2008, Rn. III.436; vgl. auch die erheblichen Zweifel bei BGHSt 55, 138 (143 f.). 182 Weiterführend Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 422: „Eingriff in das Grundrecht auf Freiheit von Einschüchterung aus Art. 2 Abs. 1 GG, soweit der Verdeckte Ermittler Informationen über den Betroffenen ausspäht.“ Für eine Gefährdung der Menschenwürde des Betroffenen aber auch SSW-StPO/Eschelbach, § 110a Rn. 4. 183 Vgl. Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 422; SSWStPO/Eschelbach, § 110c Rn. 4. Von einer beträchtlichen Zunahme der Eingriffswirkung, wenn der verdeckte Ermittler eine Wohnung betritt, spricht auch die Gesetzesbegründung in BT-Drs. 12/989, S. 41, wobei sie auf S. 43 ohne nähere Auseinandersetzung mit einzelnen Grundrechten davon spricht, dass verfassungsrechtliche Bedenken beim Betreten von Wohnungen durch verdeckte Ermittler nicht bestünden; kritisch deshalb Eschelbach a.a.O. 184 BVerfGE 125, 260 (313). 185 Für eine rechtliche Gleichbehandlung der beiden Kategorien deshalb Zöller, ZStW 124 (2012), 411 (420); auch Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 11 ff. sieht – zumindest im Ergebnis – in der Sache keinen Unterschied zwischen „heimlich“ und „verdeckt“. Abweichend jedoch Schwabenbauer, Heimliche Grundrecht-

D. Begriffe

45

Die Unterscheidung der Begrifflichkeiten „heimlich“ und „verdeckt“ geschieht im Rahmen dieser Arbeit also vor allem aus Gründen terminologischer Stringenz. Im Umfeld der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO wird daher von „heimlichen“ Maßnahmen und Eingriffen im Gegensatz zu „offenen“ Maßnahmen und Eingriffen die Rede sein. „Offene“ Maßnahmen und Eingriffe sind dabei solche, die weder verdeckt noch heimlich vorgenommen werden. Bei ihnen treten die Ermittler der Strafverfolgungsbehörden offen als solche auf und setzen den Betroffenen über die beginnende Ermittlungsmaßnahme in Kenntnis, sofern der Betroffene nicht bereits selbst von Beginn an Kenntnis über die Maßnahme hat.186 Das klassische Beispiel einer offenen Ermittlungsmaßnahme ist die Durchsuchung gemäß § 102 StPO, die entweder direkt an der beschuldigten Person selbst (und damit mit ihrem Wissen) durchgeführt wird, oder aber in ihren Räumlichkeiten stattfindet, wo der Inhaber der Räumlichkeiten gemäß § 106 Abs. 1 S. 1 StPO hinzuzuziehen ist.187 Die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO ist damit als im Ausgangspunkt offene Maßnahme zu bewerten. In Situationen, in denen informationstechnische Systeme Dritter über den Fernzugriff nach § 110 Abs. 3 S. 2 StPO berührt werden, folgt aus der Maßnahme aber gleichzeitig ein heimlicher Grundrechtseingriff. Die Maßnahme kann in solchen Situationen daher nicht insgesamt als heimlich oder insgesamt als offen bezeichnet werden. Sie erfolgt gegenüber dem Inhaber des Computersystems, von dem aus der Zugriff erfolgt, grundsätzlich offen; gegenüber eventuellen dritten Teilhabern am System, auf das zugegriffen wird, erfolgt die Maßnahme heimlich – sofern die Dritten nicht vorher über die Maßnahme informiert worden sind. Dieselbe Maßnahme hat also gleichzeitig sowohl offenen als auch heimlichen Charakter, sie ist in diesem Sinne eine „hybride“ Maßnahme und kann nicht in jedem Einzelfall insgesamt als offen oder heimlich eingestuft werden.188 Deshalb ist es wichtig, die einzelnen Eingriffswirkungen der Maßnahme je nach betroffenem Grundrechtsinhaber unterschiedlich zu benennen und zu beurteilen: Eine Maßnahme kann gegenüber dem Adressaten die Wirkung einer offenen Maßnahme haben, aber zugleich gegenüber einem Dritten auch die Wirkung einer heimlichen Maßnahme.189 Dieser Differenzierung nach der Wirkung der Maßnahme aus Sicht des jeweils betroffenen

seingriffe, 2013, S. 6 f., der davon ausgeht, dass verdeckte „Täuschungseingriffe“ schlechthin „gesonderte verfassungsrechtliche Fragen“ aufwerfen. 186 Koranyi/Singelnstein, NJW 2011, 124 (127). 187 Zur Offenheit der Durchsuchung BGHSt 51, 211 (212 ff.) sowie Meyer-Goßner/ Schmitt/Köhler, § 102 Rn. 1. 188 Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 178. 189 Ebenso differenzieren Brodowski/Eisenmenger, ZD 2014, 119 (125); Singelnstein, NStZ 2012, 593 (598); Zerbes/El-Ghazi, NStZ 2015, 425 (429).

46

Einleitung

Grundrechtsinhabers wurde bereits in den vorangegangenen Ausführungen dieser Arbeit gefolgt190, sie soll weiterhin beibehalten werden. Dennoch kann eine Maßnahme wie die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO, die dem Adressaten grundsätzlich offen gegenüber erfolgt, Dritte aber auch heimlich treffen kann, unterschieden werden von einer vollständig heimlichen Maßnahme wie zum Beispiel einer Online-Durchsuchung nach § 100b StPO, die niemandem gegenüber offen erfolgt. Diese beiden Arten von Maßnahmen sind also auch hinsichtlich ihrer Heimlichkeit nicht völlig gleich. Entscheidend bei der Differenzierung zwischen vollständig heimlichen und nur teilweise heimlichen Maßnahmen sollte sein, ob wenigstens eine Person Kenntnis von der Maßnahme erhält, die nicht auf staatlicher Seite steht oder für den Staat als Erfüllungsgehilfe tätig wird. Das ist bei der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO aufgrund des in Kenntnis gesetzten, primären Adressaten der Maßnahme (meist der Beschuldigte) der Fall, bei der Telekommunikationsüberwachung gemäß § 100a Abs. 1 StPO dagegen nicht, denn hier handeln sowohl die Ermittlungsbeamten als auch der zur Mitwirkung und zur Verschwiegenheit verpflichtete Telekommunikationsdienstleister (§§ 3, 15 Telekommunikations-Überwachungsverordnung – TKÜV) im Auftrag des Staates. Wie sich diese Unterscheidungen auf die Bewertung der Intensität von Maßnahmen nach § 110 Abs. 3 S. 2 StPO auswirken, soll allerdings nicht an dieser Stelle auf abstrakter Begriffsebene geklärt werden, sondern an späterer Stelle dieser Arbeit im Zuge der inhaltlichen Auseinandersetzung mit der Netzwerkdurchsicht.191

III. Begriffe aus der Informationstechnik und Informationstechnologie Es ist nicht Anspruch dieser rechtswissenschaftlichen Arbeit, eine Abhandlung über technische Begriffe der Informatik zu liefern. Dennoch sollen an dieser Stelle einige wichtige Begriffe aus bzw. mit Bezug zur Informationstechnik geklärt werden, die im Laufe dieser Arbeit verwendet werden oder bereits verwendet worden sind. Dabei soll auch die Relevanz dieser Begriffe für die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO, aber auch für die Durchsicht lokaler Speichermedien gemäß § 110 Abs. 3 S. 1 StPO kurz erläutert werden. Dadurch wiederum werden (weitere) rechtliche Probleme rund um die Anwendung des § 110 Abs. 3 StPO, die innerhalb dieser Arbeit behandelt werden müssen, sichtbar werden.

190 191

Vgl. insbesondere oben Einl. C.I. Kap. 3 C.III.

D. Begriffe

47

1. EDV und IT Elektronische Datenverarbeitung (EDV) und Informationstechnik/Informationstechnologie (IT) tauchen im allgemeinen Sprachgebrauch häufig als Begriffspaar auf und werden teils synonym verwendet. Der Begriff „(elektronische) Datenverarbeitung“ war vor allem früher gebräuchlich, um alle denkbaren Vorgänge der wie auch immer gearteten Bearbeitung von Daten durch Maschinen oder durch elektronische Geräte zusammenfassend zu benennen. Der Begriff der EDV wurde mit fortschreitender Entwicklung und Bedeutung der Möglichkeiten, Daten zu speichern, zu bearbeiten und auszuwerten, vom Kürzel „IT“ abgelöst, das sich sowohl als „Informationstechnik“ als auch als „Informationstechnologie“ übesetzen lässt.192 Der Begriff der „Informationstechnik“ ist dabei dem ursprünglichen Begriff der elektronischen Datenverarbeitung näher, weil er die praktische Anwendung der Erfassung, Übermittlung, Verarbeitung und Speicherung von Informationen durch Computer und Telekommunikationseinrichtungen beschreibt.193 „Informationstechnologie“ dagegen bezeichnet die Forschung und Entwicklung der theoretisch-wissenschaftlichen Grundlagen der oben genannten praktischen Anwendung.194 In dieser Arbeit werden die Begriffe der elektronischen Datenverarbeitung (EDV) sowie des IT im Sinne der praktischen Informationstechnik synonym verstanden. Sie werden dann verwendet, wenn es um Phänomene rund um Daten und Informationen geht, die elektronisch und computergestützt gespeichert, gelesen oder verarbeitet werden. 2. Daten und Informationen Der Begriff „Daten“ ist einerseits ins Verhältnis zum Begriff der „Informationen“ zu setzen. Andererseits ist er zu präzisieren hinsichtlich „personenbezogener Daten“ und zu untergliedern in „Bestandsdaten“, „Verkehrsdaten“, „Inhaltsdaten“ und „Metadaten“. a) Der Unterschied zwischen Daten und Informationen Die Begriffe Daten und Informationen werden im rechtswissenschaftlichen Schrifttum, wie auch in der Rechtsprechung und Gesetzgebung, häufig synonym verwandt oder jedenfalls nicht scharf voneinander getrennt.195 Aus 192

Vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „Datenverarbeitung“, S. 217 und Stichwort „EDV“, S. 282. 193 Vgl. www.duden.de, Stichwort „Informationstechnik“ [zuletzt abgerufen am 04.11.2021]. 194 Vgl. https://de.wikipedia.org/wiki/Informationstechnik [zuletzt abgerufen am 04.11.2021]. 195 Zu diesem Befund Albers, Informationelle Selbstbestimmung, 2005, S. 88; Bäcker,

48

Einleitung

informationstechnologischer Sicht hingegen sind Daten von Informationen zu unterscheiden. „Daten“ im Sinne der Informationstechnologie ist alles, was eine Datenverarbeitungsanlage (also ein Computer) lesen und somit codieren, speichern, verarbeiten oder transportieren kann. Auch können sie als Informationen bezeichnet werden, allerdings als von der menschlichen Wahrnehmung und Interpretation abstrahierte, computerspezifische Informationen im Sinne von bloßen Zeichen und Symbolen. „Information“ im herkömmlichen Sinne ist dagegen das, was man als Mensch nach (computergestützter oder nicht computergestützter) Verarbeitung und Interpretation von Daten gewinnt. Während „Daten“ in diesem Sinne also eher als Recheneinheiten und abstrahierte Bausteine von Informationen zu begreifen sind, sind „Informationen“ dasjenige, was als Wissen auf Grundlage dieser Daten gewonnen wird und damit unmittelbar durch Menschen wahrnehmbar und verstehbar ist.196 Damit stellt sich die Frage, ob Daten einerseits und Informationen andererseits auch rechtlich als zwei unterschiedliche Dinge behandelt werden müssen. Verwandt damit ist die Frage, ob Daten, die nicht zugleich Informationen sind, überhaupt eigenständige rechtliche Relevanz besitzen – oder umgekehrt ob das, was in der Rechtssprache als „Daten“ bezeichnet wird, nicht ohnehin zumeist Informationen im informationstechnologischen Sinne sind. Hinsichtlich dieser Fragen ist zunächst festzustellen: Die in diesem Themenkomplex einschlägigen Grundrechte – das Grundrecht auf informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – nehmen begrifflich wie inhaltlich auf „Informationen“ Bezug. Bei diesen Grundrechten geht es unmittelbar um den Schutz bestimmten Wissens und bestimmter Angaben über bestimmte Sachverhalte, also um Informationen und damit nicht unmittelbar um das, was man im informationstechnologischen Sinne unter Daten versteht.197 Gleichwohl werden mittelbar auch (bloße) Daten gein: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 2 – Fn. 6); Birkenstock, Online-Durchsuchung, 2013, S. 9 f.; Heinemann, Grundrechtlicher Schutz, 2015, S. 32 f.; Hoffmann-Riem, JZ 2008, 1009 – Fn. 2; Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 35; andere Einschätzung von Placzek, Allgemeines Persönlichkeitsrecht, 2006, S. 92. 196 Vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „Daten“, S. 207 und Stichwort „Information“, S. 431; siehe zu dieser Unterscheidung aus dem rechtswissenschaftlichen Schrifttum Albers, Informationelle Selbstbestimmung, 2005, S. 88 ff.; Britz, in: Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, 2010, S. 561 (566 ff.); HoffmannRiem, AöR 134 (2009), 513 (517 f.); Placzek, Allgemeines Persönlichkeitsrecht, 2006, S. 92 f.; Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 33; Weßlau, ZStW 113 (2001), 681 (689); vgl. aber auch Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 35 f.: „Information“ als Überbegriff, der „Daten“ einschließt. 197 Vgl. Albers, Informationelle Selbstbestimmung, 2005, S. 158 f.; Britz, in: HoffmannRiem (Hrsg.), Offene Rechtswissenschaft, 2010, S. 561 (567); Weidner-Braun, Schutz der Privatsphäre, 2012, S. 110; zweifelnd dagegen Ladeur, DöV 2009, 45 (47 – Fn. 17).

D. Begriffe

49

schützt, da erst aus diesen die entsprechenden Informationen gewonnen werden.198 Das BVerfG konstitutiert in seinem Volkszählungsurteil das Recht auf informationellen Selbstbestimmung als „Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.“199 Das zielt auf den Schutz bestimmten Wissens, also bestimmter Informationen ab. Das BVerfG stellt im Folgenden jedoch auch auf Methoden automatischer Datenverarbeitung und -erhebung ab, wobei es den Begriff der „Daten“ einerseits im informationstechnologischen Sinne verwendet, andererseits aber auch im Sinne von Informationen.200 Das wird besonders bei dem Terminus „persönliche Daten“ erkennbar, mit dem Auskünfte bzw. Angaben über Lebenssachverhalte von und mit Bezug auf Personen gemeint sind – was im informationstechnologischen Sinne wiederum als „Informationen“ bezeichnet würde. Folgerichtig spricht das Gericht auch synonym von personenbezogenen Informationen.201 Ähnlich verfährt das BVerfG in seinem Urteil zur Online-Durchsuchung hinsichtlich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.202 In der Rechtsprechung des BVerfG sind damit mehrere Schutzrichtungen erkennbar: Zuvörderst sollen durch die Grundrechte Informationen mit Personenbezug geschützt werden. Mittelbar werden dadurch aber auch schon Daten im informationstechnologischen Sinne geschützt, zum Beispiel vor der automatisierten Erhebung mit Hilfe von Computern, und das zu einem Zeitpunkt, noch bevor aus diesen Daten Informationen gewonnen werden. Das wird besonders deutlich, wenn das BVerfG davon spricht, dass auch solche Daten grundrechtlichen Schutz genießen, die für sich genommen noch keinen Aufschluss über persönliche Lebenssachverhalte geben können, es in Kombination mit anderen Daten aber (in Zukunft) tun könnten.203 In informationstechnologischen Begrifflichkeiten gesprochen: Es geht auch um den Schutz von Daten, aus denen erst in Kombination mit anderen Daten (personenbezogene) Informationen gewonnen werden können. Der gleichlaufende Schutz sowohl von Daten als auch von eng mit diesen Daten zusammenhängenden Informationen führt somit dazu, dass Daten

198

Ähnlich Albers, Informationelle Selbstbestimmung, 2005, S. 159: Nicht die Daten als solche stehen im Mittelpunkt des Schutzes, sondern die daraus zu erschließenden Informationen; vgl. auch Hoffmann-Riem, JZ 2008, 1009 – Fn. 2.; ders., AöR 134 (2009), 513 (518). 199 BVerfGE 65, 1 (42). 200 Vgl. BVerfGE 65, 1 (42 ff.); vgl. zu dieser Einschätzung auch Schinkel, Strafprozessuale Verwendungsverbote, 2017, S. 112 – Fn. 626. 201 S. z. B. BVerfGE 65, 1 (44). 202 S. BVerfGE 120, 274 (304 ff.). 203 Vgl. BVerfGE 65, 1 (45); 120, 274 (305 f., 311 f.).

50

Einleitung

und Informationen jedenfalls in grundrechtlicher Hinsicht grundsätzlich gleich behandelt werden, ohne Rücksicht auf eine Unterscheidung im informationstechnologischen Sinne.204 Wo es in der (grund-)rechtlichen Behandlung keinen Unterschied gibt, sieht das BVerfG schließlich auch keinen strikten begrifflichen Unterschied mehr, was eine mehr oder minder synonyme Verwendung bei nur gelegentlicher Unterscheidung der beiden Begriffe „Daten“ und „Informationen“ zur Folge hat. Eine solche synonyme Verwendung findet sich – wenn auch unter teilweisen Hinweisen auf die Unterschiede der Begrifflichkeiten205 – auch in weiten Teilen des rechtswissenschaftlichen Schrifttums.206 Angesichts der (grund-)rechtlichen Gleichbehandlung von Daten und Informationen soll gegen die synonyme Verwendung der Begriffe hier keine Kritik erhoben werden. Insbesondere im strafverfahrensrechtlichen Zusammenhang der hiesigen Arbeit ist grundsätzlich keine trennscharfe Abgrenzung von Daten einerseits und Informationen andererseits notwendig. Sollte eine solche Unterscheidung in dieser Arbeit ausnahmsweise doch einmal notwendig werden, so wird sie an entsprechender Stelle ausdrücklich getroffen. b) Personenbezogene Daten Ob man sie nun „Daten“ oder „Informationen“ nennt – grundrechtsrelevant und damit auch relevant für das Strafverfahren sind sie grundsätzlich nur, wenn sie Personenbezug aufweisen. Man spricht dabei von „personenbezogenen Daten“. Seltener spricht man auch von „personenbeziehbaren“ Daten, wenn man Daten meint, die erst durch Kombination mit weiteren Daten Bezug zu bestimmten Personen- oder Personengruppen aufweisen können.207 § 46 Abs. 1 BDSG bestimmt inhaltsgleich mit Art. 4 Nr. 1 DSGVO: [P]ersonenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuord-

204 Vgl. Hoffmann-Riem, JZ 2008, 1009 – Fn. 2; Maunz/Dürig/Di Fabio, Art. 2 Abs. 1 Rn. 175. 205 Umfassend Albers, Informationelle Selbstbestimmung, 2005, S. 88 ff.; Matzky, Zugriff auf EDV im Strafprozeß, 1999, S. 6 ff.; vgl. ferner Britz, in: Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, 2010, S. 561 (566 ff.); Hoffmann-Riem, AöR 134 (2009), 513 (517 f.); Mallmann, Datenschutz in Verwaltungsinformationssystemen, 1976, S. 10 f.; Placzek, Allgemeines Persönlichkeitsrecht, 2006, S. 92 f.; Rogall, Informationseingriff, 1992, S. 46. 206 Vgl. nur beispielsweise die Beiträge von Böse, FS Amelung 2009, 565 (566); Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 36; Schmidt-Bleibtreu/Hofmann/Henneke/Hofmann, Art. 2 Rn. 16; Singelnstein/Stolle, StraFo 2005, 96 (99 und passim). 207 Vgl. zu den zwei Begriffen Fischer/Hofer, Lexikon der Informatik, Stichworte „Daten, -personenbeziehbare“ und „Daten, -personenbezogene“, S. 208.

D. Begriffe

51

nung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann.

§ 3 Abs. 1 BDSG a. F. definierte etwas einfacher: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Selbiges Verständnis liegt auch der verfassungsgerichtlichen Rechtsprechung208 wie auch allgemein dem rechtswissenschaftlichen Schrifttum209 zugrunde. Die Legaldefinition des § 3 Abs. 1 BDSG a. F. konnte daher Verbindlichkeit auch über den Zusammenhang des BDSG hinaus beanspruchen.210 Ob die Ablösung der Norm durch § 46 Abs. 1 BDSG bzw. Art. 4 Nr. 1 DSGVO eine inhaltliche Änderung oder nur eine Präzisierung des Begriffs der personenbezogenen Daten darstellt, soll hier in dieser Arbeit nicht vertieft werden. Nur personenbezogene oder personenbeziehbare Daten entfalten Relevanz für Persönlichkeitsrechte des Einzelnen, namentlich für das Recht auf informationelle Selbstbestimmung. Das schließt beispielsweise den Schutz bereits anonymisierter Daten ohne Rückschlussmöglichkeit auf die Verhältnisse einzelner Personen oder Personengruppen grundsätzlich aus.211 Im strafprozessualen Ermittlungsverfahren wird es häufig darum gehen, personenbezogene Daten zu erlangen – sie können Aufschluss über den Beschuldigten und seine Beziehung zu einer Straftat, wie auch über das mutmaßliche Opfer oder (andere) Zeugen geben. Dass sich das Ermittlungsverfahren auf die Erlangung von und den Umgang mit personenbezogenen Daten konzentriert, wird auch durch die Erwähnung dieses Rechtsbegriffs in §§ 161 Abs. 2, Abs. 3 StPO und § 101 Abs. 3, Abs. 8 StPO, aber auch §§ 474 ff. StPO deutlich.212 Es ist in dieser Arbeit daher nicht notwendig, im 208

Vgl. BVerfGE 65, 1 (42); 120, 274 (305 f., 311 f.); BVerfG NJW 2018, 2395 (2396); zur diesbezüglichen Einschätzung (Deckungsgleichheit der Datenbegriffe) auch Brodowski, Verdeckte technische Überwachungsmaßnahmen, 2016, S. 62; Maunz/Dürig/Di Fabio, Art. 2 Abs. 1 Rn. 175. 209 Vgl. nur Dreier/Dreier, Art. 2 I Rn. 81; Geminn/Roßnagel, JZ 2015, 703 (706); Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 77; Jarass/Pieroth, Art. 2 Rn. 43; KK/Gieg, Vor § 474 Rn. 3; Schinkel, Strafprozessuale Verwendungsverbote, 2017, S. 111; erweiternd Weidner-Braun, Schutz der Privatsphäre, 2012, S. 109. 210 Im Schrifttum wurde zwar einerseits um einen absoluten und andererseits um einen relativen Begriff des Personenbezugs im Sinne des § 3 Abs. 1 BDSG gestritten, vgl. Härting, AnwBl 2011, 246 (247). Ersterer Begriff steht dabei dem der „personenbeziehbaren Daten“ nahe, letzterer dem der „personenbezogenen Daten“. Für die hiesige Untersuchung spielt diese Diskussion jedoch keine Rolle, weshalb sie hier nicht geführt wird. 211 Vgl. BVerfGE 65, 1 (51). 212 Vgl. Schinkel, Strafprozessuale Verwendungsverbote, 2017, S. 111 f. mit Verweis auf

52

Einleitung

Zusammenhang mit der (verfassungs-)rechtlichen Beurteilung von Ermittlungsmaßnahmen stets darauf hinzuweisen, dass die betroffenen Daten auch personenbezogen oder personenbeziehbar sein müssen, um grundrechtsrelevant zu sein. In der vorliegenden Untersuchung wird, wenn von Daten die Rede ist, deren Personenbezug grundsätzlich angenommen. Die Verwendung des Begriffs „Daten“ soll also grundsätzlich „personenbezogene Daten“ implizieren. c) Bestandsdaten; Verkehrsdaten; Inhaltsdaten; Metadaten Innerhalb der Gruppe der personenbezogenen Daten können weitere Arten von Daten unterschieden werden. Üblich ist eine Unterscheidung zwischen Inhaltsdaten, Verkehrsdaten/Verbindungsdaten und Bestandsdaten.213 Diese Unterscheidung wird in der Regel für Daten getroffen, die bei Telekommunikationsvorgängen anfallen.214 So gibt bereits das TKG eine Unterscheidung zwischen Bestandsdaten und Verkehrsdaten vor, die StPO berücksichtigt die Unterscheidung in den §§ 100g, 100j StPO. Aber auch bei einer Maßnahme wie § 110 Abs. 3 StPO, die nicht vornehmlich auf die Erhebung von Daten im Zusammenhang mit Telekommunikation abzielt, ist eine Unterscheidung von Datentypen möglich. Neben der klassischen Einteilung in die drei oben genannten Gruppen sollen hier zusätzlich noch die sogenannten Metadaten erläutert werden. Bestandsdaten sind gemäß § 3 Nr. 3 TKG Daten eines Kommunikationsteilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Das sind einerseits Angaben über die Person des Nutzers, also Name, Geburtsdatum, Adresse usw. (auch die statische IPAdresse, falls der Nutzer eine besitzt215), andererseits aber auch Angaben wie verwendete Zugangscodes und Accountnamen oder die genutzte Bankverbindung beim jeweiligen Telekommunikationsdienst.216 Bestandsdaten können somit auch als Kundendaten bezeichnet werden.217 Die – zwischenzeitlich für verfassungswidrig erklärte218 und mittlerweile neu gefasste bzw. erdie entsprechende Gesetzesänderung, die diesen Datenbegriff in die StPO eingefügt hat: BT-Drs. 16/5846, S. 49. 213 Vgl. nur B. Gercke, GA 2012, 474 (481 ff.); Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 3 f.; Warken, Klassifizierung elektronischer Beweismittel, 2018, S. 91. 214 Warken, Klassifizierung elektronischer Beweismittel, 2018, S. 94. 215 Fetzer/Scherer/Graulich/Graulich, § 113 Rn. 7; B. Gercke, GA 2012, 474 (482); Hoeren, Internetrecht, Rn. 1346. 216 Fetzer/Scherer/Graulich/Fetzer, § 3 Rn. 16; Bär, MMR 2013, 700 (702); B. Gercke, GA 2012, 474 (481 f.). 217 Grözinger, Cloud-Storage, 2018, S. 37. 218 BVerfG NJW 2020, 2699.

D. Begriffe

53

gänzte219 – Regelung der Bestandsdatenauskunft in § 113 Abs. 1 S. 2 TKG über Zugangsdaten zu räumlich getrennten Speichermedien ist ausdrücklich an die Formulierung des § 110 Abs. 3 S. 2 StPO angelehnt,220 sie korrespondiert mit § 100j Abs. 1 S. 2 StPO. Danach erhobene Bestandsdaten können Aufschluss darüber geben, wer der oder die Nutzer eines Telekommunikationsdienstes sind oder ob ein Beschuldigter überhaupt bei einem bestimmten Anbieter registriert ist; die Bestandsdaten können so einen Zugriff auf ein externes Speichermedium gemäß § 110 Abs. 3 S. 2 StPO vorbereiten. Umstritten ist dabei allerdings, ob über § 100j Abs. 1 S. 2 StPO auch auf die Bestandsdaten von Cloud-Anbietern zugegriffen werden kann.221 Richtigerweise sind Cloud-Services, zumindest in Form des Cloud Storage, also in Form der Bereitstellung von Speicherplatz, als Telemediendienste im Sinne des TMG einzuordnen,222 sodass sich die Bestandsdatenauskunft hier nach der besonderen und strengeren Regelung des § 100j Abs. 1 S. 3 StPO i. V. m. § 15b TMG richtet. Verkehrsdaten, manchmal auch Verbindungsdaten genannt,223 sind gemäß § 3 Nr. 30 TKG Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Sie betreffen die näheren Umstände der Kommunikation und fallen damit grundsätzlich in den Schutzbereich des Art. 10 GG.224 Einen (nicht abschließenden) Überblick darüber, was Verkehrsdaten alles sein können, liefert § 96 Abs. 1 TKG: Die Kennungen der an Telekommunikationsvorgängen bezeichneten Anschlüsse, zeitliche Daten über Beginn und Ende der Verbindung, die übertragene Datenmenge oder bei mobilen Anschlüssen auch die Standortdaten der Kommunikationsteilnehmer. Auch hier können Daten insbesondere mit Bezug zu einem Cloud-Speicherdienst relevant werden, um einen Zugriff nach § 110 Abs. 3S. 2 StPO vorbereiten oder ergänzen zu können. Zu Verkehrsdaten soll zum Beispiel auch die dynamische IP-Adresse zählen,225 die als Ansatz zu Ermittlungen darüber dienen kann, wer von einem bestimmten Anschluss aus wann auf einen Cloud-Speicher zugegriffen hat. In der Strafprozessordnung regelt § 100g StPO die Erhebung von Verkehrsdaten. Ver-

219

BGBl. 2021 I, S. 469 ff. BT-Drs. 17/12034, S. 12. 221 Dafür z.B. BeckOK-StPO/Graf, § 100j Rn. 23; dagegen bspw. Wicker, MMR 2014, 298 (300 ff.). Ausführlich zum Cloud-Computing unten Kap. 3 A.I.2. 222 Heidrich/Wegener, MMR 2010, 803 (805); Kremer/Völkel, CR 2015, 501 (502 f.); Wicker, MMR 2014, 298 (300); zweifelnd Schuster/Reichl, CR 2010, 38 (42). 223 Fetzer/Scherer/Graulich/Graulich, § 113 Rn. 9 f. 224 BVerfGE 125, 230 (309 ff.); B. Gercke, GA 2012, 474 (483 f.); zu Ausnahmen BVerfGE 115, 166 (181 ff.). 225 Fetzer/Scherer/Graulich/Graulich, § 113 Rn. 7; Bär, MMR 2008, 215 (219); Hoeren, Internetrecht, Rn. 1346. 220

54

Einleitung

kehrsdaten unterscheiden sich von Inhaltsdaten vor allem dadurch, dass sie nicht vom Nutzer gezielt erzeugt, sondern automatisch durch technische Einrichtungen generiert werden.226 Inhaltsdaten sind im Zusammenhang mit der Durchsicht informationstechnischer Systeme nach § 110 Abs. Abs. 3 StPO besonders relevant. Sie sind nicht im TKG definiert. Im Kontext eines Telekommunikationsvorgangs sind Inhaltsdaten alle Daten, die nicht Verkehrsdaten, Bestandsdaten oder Metadaten sind. Sie sind folglich diejenigen Daten, die den eigentlichen Inhalt der Kommunikation ausmachen.227 Über den Zusammenhang von Telekommunikationsvorgängen hinaus lässt sich definieren, dass Inhaltsdaten die Daten und Dateien sind, die auf einem Speichermedium bzw. einem informationstechnischen System gespeichert sind und die typischerweise vom Nutzer des Systems aufgerufen, bearbeitet und gespeichert werden. Es kann die einzelne Textdatei oder Bilddatei sein, die Excel-Tabelle oder eine Videodatei.228 Diese Inhaltsdaten sind es, die üblicherweise bei einer Durchsuchung und einer Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO im Vordergrund stehen werden, denn auf sie kann direkt zugegriffen werden und sie können unmittelbar Hinweise (und Beweise) zur Klärung eines Tatverdachts liefern. Sie sind damit das primäre Zielobjekt des Datenzugriffs. An die Inhaltsdaten angedockt sind Metadaten. Sie liefern zum Beispiel Informationen darüber, wer die Datei erstellt hat, wann sie erstellt wurde, wann sie zuletzt verändert wurde und wann zuletzt auf sie zugegriffen worden ist. Sie sind also Daten über Daten, meist Daten über Inhaltsdaten.229 In diesem Sinne können auch Verkehrsdaten als eine Form von Metadaten über Telekommunikation aufgefasst werden.230 Metadaten können zum Beispiel dabei helfen, die Inhaberschaft über die Daten zu klären oder Aufschluss darüber zu geben, in welchem Zeitraum die Daten verarbeitet und genutzt wurden. Diese Daten können etwa genutzt werden, um bei einer Durchsicht nach § 110 Abs. 3 StPO den Datensatz nach Inhaltsdaten aus einem bestimmten Zeitraum durchzusehen, was zum Beispiel bei der Suche nach bestimmten Geschäftsunterlagen hilfreich sein kann. Somit können auch Metadaten entscheidend zur Klärung eines Tatverdachts beitragen.

226

Grözinger, Cloud-Storage, 2018, S. 37. Dalby, Strafverfolgung im Internet, 2016, S. 26; Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 185; Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 4; Redler, Online-Durchsuchung, 2012, S. 63. 228 Grözinger, Cloud-Storage, 2018, S. 36; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 47. 229 Vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „Metadaten“, S. 561. 230 Vgl. nur BVerwG NVwZ 2018, 731; Rehak, CILIP 114, 24.11.2017, https://www.cilip. de/2017/11/24/die-datenschatten-zum-staatlichen-umgang-mit-vernetzten-datenbestaend en/ [zuletzt abgerufen am 04.11.2021]. 227

D. Begriffe

55

Bei aller Möglichkeit zur Differenzierung sollte die Bedeutung der Unterscheidung zwischen den verschiedenen Arten von Daten nicht überschätzt werden.231 Sie ist zwar wichtig für die Bestimmung der einschlägigen Rechtsgrundlage bei Ermittlungen: So ist die Bestandsdatenauskunft in § 100j StPO, die Erhebung von Verkehrsdaten dagegen in § 100g StPO geregelt. Über die Grundrechtsrelevanz des jeweiligen Datums und damit die Intensität des Grundrechtseingriffs bei Erhebung der Daten ist durch ihre Einordnung als Bestandsdaten, Verkehrsdaten, Inhaltsdaten usw. aber noch nicht viel gesagt.232 Sensibilität und Informationsgehalt der Daten können von Fall zu Fall variieren, grundsätzlich unabhängig von ihrer Einordnung als Inhaltsdaten, Verkehrsdaten, Bestandsdaten usw. So ist der Inhalt einer SMS, die lediglich einen einzigen Smiley enthält (Inhaltsdaten), wenig sensibel im Vergleich zur Information, an wen diese SMS wann und von welchem Standort aus versendet worden ist (Verkehrsdaten).233 Und aus der Information, dass eine Person bei einer HIV-Hilfestelle, einer Psychotherapeutin oder einem Escort-Service angerufen hat, lassen sich auch ohne Kenntnis der Inhalte des Telefonats aussagekräftige Schlüsse über die Person ziehen.234 Bei der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO werden zumeist Inhaltsdaten im Mittelpunkt stehen. In der Regel sind sie es, die auf einem räumlich getrennten Medium gespeichert sind und auf die die Strafverfolgungsbehörden zugreifen wollen. Bestands- und Verkehrsdaten werden dabei in der Regel eine untergeordnete Rolle spielen, wenn sie nicht gerade den Zugriff auf die Inhaltsdaten unterstützen oder vorbereiten. 3. Speichermedium; Computersystem; Informationstechnisches System Arten von elektronischen „Speichermedien“ im technischen Sinne gibt es viele: USB-Sticks, SD-Karten, CDs, DVDs, BluRay-Discs, Disketten, interne und externe Festplatten und einige mehr. Sie sind Geräte und Datenträger, auf denen Daten elektronisch gespeichert werden können. Nur wenige dieser Speichermedien können jedoch für sich besehen „Speicherme231

Warken, Klassifizierung elektronischer Beweismittel, 2018, S. 103. S. auch Dalby, Strafverfolgung im Internet, 2016, S. 24, der darauf hinweist, dass nicht allein die Datenkategorie, sondern auch die Modalität des staatlichen Zugriffs auf die Daten die Eingriffsintensität bestimmt. 233 Burchard, ZIS 2018, 190 (202 – Fn. 94); zur überkommenen Differenzierung nach Datentypen vgl. auch ders., ZRP 2019, 164 (165, 166). Für eine Einordnung des Zugriffs auf Inhaltsdaten als regelmäßig intensivsten Grundrechtseingriff aber B. Gercke, GA 2012, 474 (484); so auch Kudlich, GA 2011, 193 (200). 234 Rehak, CILIP 114, 24.11.2017, https://www.cilip.de/2017/11/24/die-datenschatten-z um-staatlichen-umgang-mit-vernetzten-datenbestaenden/ [zuletzt abgerufen am 04.11.2021]. 232

56

Einleitung

dien“ im Sinne des § 110 Abs. 3 S. 2 StPO sein. Denn die Norm setzt voraus, dass auf diese Speichermedien über ein Netzwerk aus der Ferne zugegriffen werden kann.235 Das ist bei einer DVD, die in einer Wohnung auf einem Schreibtisch liegt, nicht der Fall. Auch auf eine SD-Karte in der Hosentasche eines Fußgängers kann man, obwohl Speichermedium (auch im Sinne des § 110 Abs. 3 S. 1 StPO), nicht über ein Netzwerk aus der Ferne zugreifen. Der technische Begriff „Speichermedium“ ist also nicht deckungsgleich mit dem rechtlichen Begriff, der in § 110 Abs. 3 S. 2 StPO verwendet wird.236 Oder mit anderen Worten: Nicht alle elektronischen Speichermedien, auf die der Zugriff allgemein über § 110 Abs. 1, Abs. 3 S. 1 StPO erlaubt ist, können auch Ziel eines Fernzugriffs gemäß § 110 Abs. 3 S. 2 StPO sein. Richtigerweise kann „Speichermedium“ im Sinne des § 110 Abs. 3 S. 2 StPO nur ein „Computersystem“237 meinen, oder wenigstens ein Speichermedium, welches aktuell mit einem solchen Computersystem verbunden ist, also zum Beispiel die im Laufwerk eines PCs eingelegte DVD oder der im USB-Anschluss eines Computers eingesteckte USB-Stick, oder die im Computer eingebaute Festplatte. „System“ meint dabei die Summe aller Hardware- und Software-Komponenten einer Datenverarbeitungsanlage in ihrem Zusammenwirken.238 Im Zusammenhang des § 110 Abs. 3 S. 2 StPO bedeutet dies, dass das Medium Systemeigenschaften besitzen muss, die es ermöglichen, es über ein Netzwerk anzusteuern und auf Daten zuzugreifen, die in ihm oder in mit ihm verbundenen Einzelkomponenten (z. B. die eingebaute Festplatte oder die angeschlossene externe Festplatte) gespeichert sind (für § 110 Abs. 3 S. 1 StPO, der die Durchsicht lokaler Speichermedien erlaubt, ist dies nicht erforderlich). Erst die Vernetzungsfähigkeit sowie die Fähigkeit zur Eingabe, Ausgabe und Speicherung von Daten, die über das Dasein als simples und nicht selbstständig bedienfähiges Speichermedium wie einer DVD oder einer SD-Karte hinausgehen, konstituieren ein Computersystem, welches über § 110 Abs. 3 S. 2 StPO aus der Ferne angesteuert werden kann.239 Das ist beispielsweise bei einem handelsüblichen Personalcomputer der Fall. Mit Blick auf einzelne Speichermedien ohne selbstständige Vernetzungsfunktion gilt: Nur, wenn sie Bestandteil eines Computersystems sind oder durch

235

Braun, PStR 2012, 86 (87); Brodowski/Eisenmenger, ZD 2014, 119 (122); Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 53; Schlegel, HRRS 2008, 23 (26). 236 Zum Begriff „Speichermedium“ im Sinne des § 110 Abs. 3 StPO noch ausführlich unten Kap. 3 A.I. 237 Vgl. zur Verwendung dieses Begriffs nochmals die Gesetzesbegründung zu § 110 Abs. 3 StPO: BT-Drs. 16/5846, S. 27, 63; außerdem HK-StPO-Gercke, § 110 Rn. 18; Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 53. 238 Vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „System“, S. 822. 239 Braun, PStR 2012, 86 (87); HK-StPO-Gercke, § 110 Rn. 18; Schlegel, HRRS 2008, 23 (27).

D. Begriffe

57

ein solches bedient bzw. eingelesen werden, kann auf sie im Wege der von § 110 Abs. 3 S. 2 StPO beschriebenen Weise aus der Ferne zugegriffen werden. „Zugegriffen“ im Sinne des § 110 Abs. 3 S. 2 StPO wird also zunächst immer auf ein gesamtes Computersystem. Erst vermittelt durch diesen Zugriff eröffnen sich die weiteren Zugriffsmöglichkeiten auf einzelne Speichermedien als Bestandteile dieses Computersystems, und erst dadurch wird der Zugriff auf die in diesen Speichermedien gespeicherten Daten möglich. Der Begriff „Computersystem“, so verstanden wie oben erläutert, weist Überschneidungen zum Begriff „Informationstechnisches System“ auf. Der Begriff des informationstechnischen Systems ist (verfassungs-)rechtlich aufgeladen. Das ist nicht allein deshalb der Fall, weil die Verwendung von informationstechnischen Systemen durch Bund und Länder Gegenstand der Regelung des Art. 91c GG ist. Diese Regelung ist rein staatsorganisatorischer Natur und im Zusammenhang mit der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO nicht interessant. Interessanter ist vielmehr, dass der Begriff des informationstechnischen Systems durch das BVerfG zum Dreh- und Angelpunkt des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gemacht wurde.240 Auch wenn das BVerfG keine abschließende Definition des informationstechnischen Systems in technischer oder rechtlicher Hinsicht gibt, so finden sich im Urteil Beispiele für solche Systeme: Personalcomputer, moderne Telekommunikationsgeräte bzw. Mobiltelefone oder elektronische Terminkalender.241 Das alles sind Geräte, welche die Fähigkeit zur Eingabe, Ausgabe und Speicherung von Daten besitzen und damit selbstständig bedienbar sind. Mithin sind es in technischer Hinsicht „Computersysteme“ im hier verstandenen Sinne. Dazu passt auch die vom Bundesinnenministerium gegebene Definition eines informationstechnischen Systems: „Darunter wird ein System verstanden, welches aus Hard- und Software sowie aus Daten besteht, das der Erfassung, Speicherung, Verarbeitung, Übertragung und Anzeige von Informationen und Daten dient.“242 Das rechtfertigt es, „Speichermedium“ bzw. „Compu240

BVerfGE 120, 274 (303 ff. und passim). BVerfGE 120, 274 (303 f., 314). 242 Bundesministerium des Innern, Antwort auf den Fragenkatalog des Bundesministeriums der Justiz zur Novellierung des BKA-Gesetzes, 22.08.2007, S. 2. Vgl. auch die von Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 126) („jedes elektronische System, mit dem Informationen verarbeitet werden“) und Hornung, CR 2008, 299 (302) („jedes System, das elektronisch Daten verarbeitet“), gegebenen Definitionen, die inhaltlich gleichlaufen. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) nennt den Schutz informationstechnische Systeme in seinem § 2 Abs. 2 zwar als Dreh- und Angelpunkt der rechtlichen Regelungen, liefert aber keine gesetzliche Definition dieses Begriffs. Auch in der zugehörigen Gesetzesbegründung aus dem Jahre 1990 (BTDrs. 11/7029, S. 6 (7 f.)), sowie in den Gesetzesbegründungen der Änderungen des Gesetzes in den Jahren 2009 (BT-Drs. 16/11967, S. 10 (11)) und 2015 („IT-Sicherheitsgesetz“, BTDrs. 18/4096, S. 19 (23 f.)) findet sich keine Definition. 241

58

Einleitung

tersystem“ im Sinne des § 110 Abs. 3 S. 2 StPO mit dem Begriff „informationstechnisches System“ zumindest im technischen Sinne gleichzusetzen.243 Inwieweit der Begriff „informationstechnisches System“ als Ausgangspunkt besonderen grundrechtlichen Schutzes auf Systeme im Rahmen der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO angewendet werden kann bzw. ob jedes dieser Systeme auch den verfassungsrechtlichen Schutz durch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme genießt, ist im späteren Verlauf dieser Arbeit im Zusammenhang mit der Untersuchung der verfassungsrechtlichen Bezugspunkte der (Netzwerk-)Durchsicht zu klären.244 An dieser Stelle bleibt festzuhalten, dass jedenfalls in technischer Hinsicht bei den in § 110 Abs. 3 S. 2 StPO (implizit) angesprochenen Computersystemen synonym von informationstechnischen Systemen gesprochen werden kann, und dass die in § 110 Abs. 3 S. 1 StPO erwähnten elektronischen Speichermedien im Einzelfall ebenfalls informationstechnische Systeme sein können, aber nicht sein müssen.

E. Weiterer Gang der Untersuchung Die zu klärenden Rechtsfragen rund um die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO wurden in dieser Einleitung nun überblicksmäßig herausgearbeitet. Neben den allgemeinen Fragen nach der verfassungsrechtlichen Bewertung der Durchsicht informationstechnischer Systeme und dem Anwendungsbereich des § 110 Abs. 3 S. 2 StPO ist dies vor allem die spezielle Frage, inwieweit auf Grundlage dieser Norm ein heimlicher Zugriff auf Datenbestände Dritter erlaubt ist. Diese Frage stellt sich sowohl im erwähnten Zusammenhang des Anwendungsbereichs des § 110 Abs. 3 S. 2 StPO, mithin nach einfachem Recht. Im Grundsatz ist sie schon in Abschnitt C. der Einleitung beantwortet worden: Nach seiner gegenwärtigen Konzeption sieht § 110 Abs. 3 S. 2 StPO durchaus vor, dass Dritte von dieser Maßnahme betroffen werden, ohne dass sie während der laufenden Ermittlungen Kenntnis davon erlangen. Die Frage muss aber auch im verfassungsrechtlichen Zusammenhang gestellt werden. Zugespitzt: Ist diese Ermächtigungsgrundlage des § 110 Abs. 3 S. 2 StPO, die in bestimmten Konstellationen einen heimlichen Zugriff auf Computersysteme und Datenbestände erlaubt, verfassungsgemäß? Muss sie reformiert werden? Diese Frage stellt sich insbesondere, weil § 110 Abs. 3 S. 2 StPO wie gezeigt Elemente einer heimlichen

243 So auch Brodowski, JR 2009, 402 (408); ders./Eisenmenger, ZD 2014, 119 (122); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 380. 244 Unten Kap. 2 B.III.2 und Kap. 3 A.I.

E. Weiterer Gang der Untersuchung

59

Online-Durchsuchung aufweist, für die das BVerfG strenge Regeln aufgestellt hat245 und die in ihrer Reinform nunmehr in § 100b StPO geregelt ist und strengeren Voraussetzungen als die Maßnahme nach § 110 Abs. 3 S. 2 StPO unterliegt. Diese Fragen betreffend § 110 Abs. 3 S. 1 und S. 2 StPO stehen dabei nicht isoliert für sich, sondern sind – wie bereits unter A.III.5. der Einleitung erwähnt – im Zusammenhang mit einer übergeordneten Frage zu sehen. Diese Frage lautet: Sind die Durchsuchungsvorschriften der §§ 102 ff. StPO in ihrer aktuellen Fassung dazu geeignet, moderne technikgestützte Ausforschungseingriffe, namentlich Zugriffe auf elektronisch gespeicherte Daten, hinreichend abzubilden, zu regeln und zu begrenzen? Diese Frage stellt sich für § 110 Abs. 3 S. 1 StPO und § 110 Abs. 3 S. 2 StPO gleichermaßen, genau wie für die §§ 102 ff. StPO generell. Diese Normen können nämlich bis auf punktuelle Ausnahmen (von denen § 110 Abs. 3 StPO eine ist) im besonderen Maße als „veraltet“ gelten, da sie nicht auf den Umgang mit elektronisch gespeicherten Daten zugeschnitten sind.246 Zugriffe auf elektronisch gespeicherte Daten sind aber gerade auch im Rahmen von Durchsuchungen zur Standardmaßnahme strafprozessualer Ermittlungen geworden.247 Zwischen der gesetzlichen Ausrichtung der Vorschriften zu Sicherstellung und Durchsuchung und der Realität strafprozessualer Ermittlungen klafft also womöglich eine Lücke. Angesichts der Vorgaben, die das BVerfG hinsichtlich offener wie heimlicher Ermittlungsmaßnahmen betreffend elektronisch gespeicherte Daten gemacht hat, ist diese Lücke auch bei einer verfassungsrechtlichen Bewertung der entsprechenden Rechtsgrundlagen von Bedeutung und weist auf eventuellen Reformbedarf hin. Gleichwohl will die vorliegende Arbeit keine Gesamtbetrachtung der StPO hinsichtlich ihrer Tauglichkeit zur Regelung von Datenzugriffen anstellen, sondern diese Überprüfung auf die § 110 Abs. 1, Abs. 3 StPO beschränken. In den folgenden Kapiteln dieser Arbeit sollen die oben vorgestellten Probleme untersucht werden. Dazu wird in Kapitel 1 zunächst der gedankliche Hintergrund der Untersuchung vorgestellt. Es wird dabei vor allem der Unterschied zwischen Ermittlungen im „physischen Raum“ und Ermittlungen im „virtuellen Raum“ dargelegt, anhand dessen die besonderen rechtlichen, aber auch tatsächlichen Probleme von Zugriffen auf elektronisch gespeicherte Daten aufgeworfen werden. Kapitel 2 wird dann, sozusagen als allgemeiner Teil der Untersuchung, die Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO in den Blick neh245

BVerfGE 120, 274 – „Online-Durchsuchung“. Vgl. dazu erneut BVerfGE 113, 29 (32); sowie ausführlich Abschnitt C. der Einleitung dieser Arbeit. 247 Speziell mit Blick auf Wirtschaftsstrafsachen Vogel, ZIS 2012, 480 (481 f.); vgl. dazu nochmals den gesamten Abschnitt C. der Einleitung dieser Arbeit. 246

60

Einleitung

men und dabei insbesondere grundrechtliche Fragen erörtern, woraus sich erste Reformvorschläge ergeben werden. Erst im Anschluss daran wird in Abschnitt Kapitel 3, sozusagen als besonderer Teil aufbauend auf Kapitel 2, die Maßnahme der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO untersucht, wobei dabei neben der Klärung des Anwendungsbereichs der Norm vor allem die durch sie ermöglichten Eingriffe in Grundrechte Dritter begutachtet werden. Auch hieraus werden sich Reformvorschläge ergeben. In Kapitel 4 werden die gewonnenen Ergebnisse zunächst thesenartig zusammengefasst (Kap. 4 A.). Die Arbeit schließt mit einem Ausblick auf offengebliebene Fragen und ungelöste Probleme (Kap. 4 B.).

F. Zitierweise der Normen (§ 110 Abs. 1 und Abs. 3 S. 1, 2 StPO) Ein Hinweis zur Zitierweise der Normen im Folgenden: Die Grundnorm der allgemeinen Durchsicht ist in § 110 Abs. 1 StPO geregelt. Die Durchsicht elektronischer Speichermedien, die nach Maßgabe der allgemeinen Durchsichtsregelungen aus § 110 Abs. 1, Abs. 2 StPO zulässig ist, kann damit auf § 110 Abs. 1, Abs. 3 S. 1 StPO gestützt werden. Die Rechtsgrundlage für die Durchsicht externer Speichermedien (Netzwerkdurchsicht) ist in ihrer vollständigen Normenkette aus § 110 Abs. 1, Abs. 3 S. 2 StPO zu entnehmen. Im Folgenden soll zur besseren Übersicht verkürzt zitiert werden: Die Rechtsgrundlage für die Durchsicht elektronischer Speichermedien (und damit auch informationstechnischer Systeme) soll als § 110 Abs. 3 S. 1 StPO zitiert werden, die besondere Ermächtigung zur Durchsicht externer Speichermedien als § 110 Abs. 3 S. 2 StPO. Sollen Fragen um die Durchsicht informationstechnischer Systeme insgesamt, also ohne Unterscheidung nach lokaler Durchsicht und Netzwerkdurchsicht besprochen werden, so wird die Norm als § 110 Abs. 3 StPO ohne Unterscheidung nach Sätzen zitiert. § 110 Abs. 1 StPO soll nicht mitzitiert werden, wenn es im Folgenden spezifisch um die Durchsicht lokaler und externer informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO geht. Wenn im Folgenden dagegen allgemeine Probleme der Durchsicht dargestellt werden sollen, wird diese allein als § 110 Abs. 1 StPO (ohne § 110 Abs. 3 StPO) zitiert oder § 110 Abs. 1 zu § 110 Abs. 3 StPO mitzitiert.

Kapitel 1

Einordnung des § 110 Abs. 3 S. 2 StPO im Gefüge zwischen physischem und virtuellem Raum Herkömmliche Methoden der Ermittlungsarbeit im Strafverfahren sind an körperliche, physische Gegebenheiten gebunden.1 Dies wird besonders an der (Wohnungs-)Durchsuchung gemäß §§ 102 ff. StPO deutlich: Sie findet in den Räumlichkeiten des Beschuldigten (§ 102 StPO) oder eines anderen (§ 103 StPO) aufgrund einer entsprechenden Durchsuchungsanordnung (§ 105 StPO) statt. In dieser Durchsuchungsanordnung sind Zweck, Inhalt und Ausmaß der Durchsuchung im Vorhinein zu bestimmen und zu begrenzen. Insbesondere die zu durchsuchenden Räumlichkeiten und Sachen (Durchsuchungsobjekte) sind so präzise wie möglich anzugeben und einzugrenzen.2 Die Ermittlungen finden somit innerhalb eines bestimmten physischen Raums statt und werden in ihrer Reichweite durch diesen begrenzt.3 Ebenso kennzeichnend für eine Durchsuchung nach §§ 102 ff. StPO ist, dass die Ermittler in den durchsuchten Räumen physisch anwesend sind.4 Sie agieren damit innerhalb der räumlichen Grenzen, die durch den Durchsuchungsbeschluss gezogen sind. Auch andere Ermittlungsmaßnahmen sind fest im physischen Raum verhaftet. Sicherstellung und Beschlagnahme nach den §§ 94 ff. StPO sind ihrer ursprünglichen Konzeption nach auf körperliche, physisch vorhandene Gegenstände zugeschnitten.5 Die körperliche Untersuchung des Beschuldigten nach § 81a StPO ist schon ihrem Namen nach physischer Natur. Befragungen und Vernehmungen nach den §§ 161, 163 bzw. § 163a StPO geschehen zwar

1

Plastisch formuliert von Bell, Strafverfolgung und die Cloud, 2019, S. 75: „auf ,Handfestes‘ zugeschnitten“. 2 BVerfG NStZ 1992, 91 (92); BVerfG HRRS 2018, 127 (128); Beulke/Swoboda, Strafprozessrecht, Rn. 403; HK-StPO-Gercke, § 105 Rn. 27 ff., 37; Joecks, StPO, § 102 Rn. 11; Kruis/Wehowsky, NJW 1999, 682 (683); Kühne, Strafprozessrecht, Rn. 499.2; MeyerGoßner/Schmitt/Köhler, § 105 Rn. 5; Park, Durchsuchung, Rn. 79 f.; Pfeiffer, § 102 Rn. 4; Schoreit, NStZ 1999, 173 (174); Walther, JA 2010, 32 (35); Wohlwend, HRRS 2015, 454 (456). 3 Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 46. 4 LR/Tsambikakis, § 102 Rn. 1; SK-StPO/Wohlers/Jäger, § 102 Rn. 2. 5 Vgl. Bär, Zugriff auf Computerdaten, 1992, S. 243; Matzky, Zugriff auf EDV im Strafprozeß, 1999, S. 92 f.

62

Kapitel 1: Einordnung des § 110 Abs. 3 S. 2 StPO

nicht „körperlich“ im engeren Sinne, finden in der Regel aber doch in der physisch-realen Welt statt. Und auch unter den moderneren, technikgestützten Ermittlungsmaßnahmen der StPO lassen sich einige finden, deren Anwendung sich auf physische, räumliche Gegebenheiten bezieht. Die akustische Wohnraumüberwachung gemäß § 100c StPO ist auf den physischen Raum einer Wohnung begrenzt. Auch Abhörmaßnahmen außerhalb von Wohnungen gemäß § 100f StPO bewegen sich innerhalb festgelegter räumlicher Grenzen. Gleiches gilt im Grundsatz für das Herstellen von Bildaufnahmen oder sonstige Observationsmethoden nach § 100h StPO. Selbst eine so sehr von moderner Technik und Computern abhängige Methode wie der sogenannte IMSI-Catcher nach § 100i StPO ist – ebenso wie seine nicht spezialgesetzlich geregelte und noch modernere Variante der sogenannten „Stillen SMS“6 – im physischen Raum verhaftet, denn beide Maßnahmen dienen typischerweise dazu, den physischen Aufenthaltsort eines Beschuldigten oder zumindest seines Mobiltelefons zu ermitteln.7 Die oben geschilderten physischen Begrenzungen von Ermittlungen beginnen sich aufzulösen, wenn Ermittler nach elektronisch gespeicherten Daten suchen. Als Beispiel dafür kann im Ausgangspunkt ebenfalls eine Wohnungsdurchsuchung nach § 102 StPO dienen – diesmal jedoch eine, bei der gezielt nach Informationen gesucht wird, die sich auf Datenträgern befinden oder die innerhalb von Computersystemen gespeichert sind. Die Ermittler suchen nach diesen Datenträgern im ersten Schritt innerhalb der im Durchsuchungsbeschluss angegebenen räumlichen Grenzen. Sobald die Ermittler aber auf die gesuchten Datenträger und damit die gespeicherten Daten zugreifen – im Rahmen einer Durchsicht nach § 110 Abs. 3 S. 1 StPO – verläuft die weitere Suche grundsätzlich unabhängig von den Grenzen des physischen Raums. Zwar befinden sich die Ermittler bei der Sichtung der Datensätze im gesetzlichen Normalfall immer noch innerhalb der physischen Räumlichkeiten, die durchsucht werden – so zum Beispiel in der Wohnung des Beschuldigten. Die Daten auf dem Datenträger sind aber nicht an diese physischen Räumlichkeiten gebunden. Dies wird deutlich an der häufig praktizierten „Mitnahme zur Durchsicht“ eines Datenträgers oder eines gesamten Computersystems.8 Hierbei wird die Durchsicht nach § 110 Abs. 3 S. 1 StPO außerhalb der durchsuchten Räumlichkeiten vorgenommen, weil sie aufgrund spezieller technischer Gegebenheiten oder schlicht der Menge der Daten

6 Zum Ganzen und insbesondere zur Frage der strafprozessrechtlichen Zulässigkeit dieser Ortungsmaßnahme vgl. nur Krüger, ZJS 2012, 605 ff. einerseits (Zulässigkeit) sowie Eisenberg/Singelnstein, NStZ 2005, 62 ff. andererseits (Unzulässigkeit); für Zulässigkeit auf Grundlage des § 100i Abs. 1 Nr. 2 i. V. m. § 100g StPO nunmehr BGHSt 63, 82. 7 BVerfG MMR 2006, 805; SSW-StPO/Eschelbach, § 100i Rn. 1, 7. 8 Zur „Mitnahme zur Durchsicht“ siehe unten Kap. 2 B.II.

Kapitel 1: Einordnung des § 110 Abs. 3 S. 2 StPO

63

nicht vor Ort zu leisten ist.9 Die Suche nach den relevanten Daten, die in dem hier genannten Beispiel den wesentlichen Teil der Durchsuchung ausmacht, findet somit außerhalb der ursprünglichen räumlichen Grenzen statt. Dadurch verliert die Durchsuchung nach § 102 StPO einen Teil ihrer räumlichen Begrenzung.10 Das gilt umso mehr, wenn nicht der – physisch existente – Datenträger mitgenommen, sondern lediglich eine – virtuelle – Kopie der gesammelten Daten erstellt wird.11 Dann nämlich sind die Ermittler nicht einmal mehr auf den körperlichen Original-Datenträger angewiesen. In der Folge können sie mithilfe ihrer eigenen, behördlichen IT-Infrastruktur grundsätzlich frei über die erhobene Datenmasse verfügen, unabhängig von ursprünglichen räumlichen, physischen Begrenzungen durch Durchsuchungsorte oder körperliche Datenträger. Der erste, physische Zugriff auf Computersysteme und Datenträger gerät damit zum bloßen Zwischenschritt: Nicht um ihrer selbst Willen soll physische Herrschaft über Datenträger erlangt werden, sondern lediglich zum Zwecke des Datenzugriffs, dem eigentlichen Ziel der Ausforschung.12 Das oben geschilderte Verlassen des physischen Raums bei der Durchsicht elektronisch gespeicherter Daten tritt insbesondere in der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO zutage. Die Norm bezieht sich explizit auf die räumliche Trennung zwischen Ausgangsort der Durchsuchung und dem Medium, auf das zugegriffen werden soll. Die Regelung bringt damit zum Ausdruck, dass es bei der Durchsicht elektronisch gespeicherter Daten nicht mehr auf den physischen Standort des Speichermediums bzw. des informationstechnischen Systems ankommen soll, innerhalb dessen sich die gesuchten Daten befinden. Räumliche Grenzen sollen für die Durchsicht informationstechnischer Systeme nicht mehr maßgeblich sein, sie sollen vielmehr überwunden werden.13 § 110 Abs. 3 S. 2 StPO fordert deshalb keine gesonderte Durchsuchungsanordnung für den physischen Standort des angesteu9

Vgl. Meyer-Goßner/Schmitt/Köhler, § 110 Rn. 2a; dazu noch ausführlich unten Kap. 2 B.II. 10 So wird der Durchsuchte zum Beispiel Schwierigkeiten haben, sein aus § 106 Abs. 1 S. 1 StPO fließendes Anwesenheitsrecht effektiv geltend zu machen, dazu unten Kap. 2 B.II.3. 11 Ob die Anfertigung von Datenkopien als „Mitnahme zur Durchsicht“ oder direkt als Sicherstellung auf Grundlage der §§ 94 ff. StPO grundsätzlich zulässig ist, war längere Zeit umstritten. Die Vorläufige Sicherstellung von Daten ist mittlerweile einheitlich in § 110 Abs. 3 S. 3 StPO geregelt. muss aber spätestens mit Inkrafttreten der Sonderregelung des § 110 Abs. 3 S. 2 StPO auch ganz allgemein bejaht werden. Zum diesbezüglichen Streit vgl. den Überblick bei Schlegel, HRRS 2008, 23 (24 f.); kritisch mit Blick auf die Verhältnismäßigkeit der Anfertigung von Kopien gesamter Datenbestände Szesny, WiJ 228 (230 ff.). Zum Ganzen noch ausführlich unten Kap. 2 B.II.2. 12 Heinson, IT-Forensik, 2015, S. 176. 13 Vgl. erneut die Gesetzesbegründung BT-Drs. 16/5846, S. 63.

64

Kapitel 1: Einordnung des § 110 Abs. 3 S. 2 StPO

erten externen Computersystems.14 Stattdessen ist der direkte Durchgriff auf das anderswo gelagerte Computersystem erlaubt. Dieser Durchgriff ist dabei nicht physischer Natur. Vielmehr geschieht er rein virtuell, sodass von einem Ermitteln im „virtuellen Raum“ die Rede sein kann.15 Der physische Raum der Durchsuchung wird verlassen, um in den virtuellen Raum einzutreten, der – insbesondere bei Technologien wie dem Cloud Computing16 – gewissermaßen unabhängig von konkreten physisch-räumlichen Grenzen existiert. Angesichts des oben erläuterten Ausgangspunkts, nach dem herkömmliche Ermittlungsmethoden und insbesondere die Durchsuchung nach §§ 102 ff. StPO im physischen Raum verhaftet sind und durch diesen begrenzt werden, ist das bemerkenswert. Genau jenes Erfordernis der Körperlichkeit des Zugriffs von Strafverfolgungsbehörden und auch des Durchsuchungsobjekts, welches sonst so kennzeichnend für die Durchsuchung ist, hebt § 110 Abs. 3 S. 2 StPO auf.17 Das wirft die Frage auf, ob diejenigen strafprozessualen Normen, die auf den physischen Raum zugeschnitten sind und nur mit Blick auf diesen konzipiert wurden, in diesem virtuellen Raum noch funktionieren können, genauer gefragt, ob sie auf den virtuellen Raum passen, ob sie auf ihn übertragbar sind, ob sie dafür modifiziert werden können oder müssen und ob sie in diesem neuen virtuellen Zusammenhang überhaupt noch sinnvoll anwendbar sind.18

14

Vgl. Brodowski/Eisenmenger, ZD 2014, 119 (121); LR/Tsambikakis, § 110 Rn. 8; Radtke/Hohmann/Ladiges, § 110 Rn. 16; SK-StPO/Wohlers/Jäger, § 110 Rn. 9; Wicker, MMR 2013, 765 (767); Zerbes/El-Ghazi, NStZ 2015, 425 (429). Dazu noch unten Kap. 3 C.II. 15 Vgl. zu dieser Begriffswahl und dem Vergleich zwischen „realem Raum“ und „virtuellem Raum“ Rux, JZ 2007, 285 (293 f.); Zerbes/El-Ghazi, NStZ 2015, 425 (428); vgl. auch Schlegel, HRRS 2008, 23 (25), Hie´ramente/Pfister, StV 2017, 477 sowie Hoffmann-Riem, AöR 142 (2017), 1 (5 f.), der die zunehmende Vermischung von physischem Raum und virtuellem Raum hervorhebt. Ähnlich auch Böckenförde, Die Ermittlung im Netz, 2003, S. 5 f. und passim: „Cyperspace“, in Anlehnung an die Buchreihe „Neuromancer“ des US-amerikanisch-kanadischen Romanautors William Gibson; siehe auch Abel, International Review of Law, Computers & Technology, Auflage 23, Bände 1–2, March–July 2009, S. 99. Böckenförde stellt bei der Begriffswahl „Cyberspace“ aber nicht nur technische Gegebenheiten heraus, sondern spricht darüberhinausgehend auch von einem „sozialen“ Raum; ähnlich wie Vogel, ZIS 2012, 480 ff., wenn er von der „e-Sphäre“ des Bürgers spricht. 16 „Cloud Computing“ bezeichnet – grob beschrieben – die Speicherung von Daten oder die Nutzung von Diensten über das Internet oder andere Netzwerke, wobei die tatsächliche physische Hardware auf der ganzen Welt verteilt sein kann und durch Vernetzung dem Nutzer flexibel und virtuell als Einheit zur Verfügung gestellt wird. Siehe dazu noch ausführlich unten Kap. 3 A.I.2. 17 Kohlmann, Online-Durchsuchungen, 2012, S. 93 f.; Schlegel, HRRS 2008, 23 (25). 18 Pointiert Zerbes/El-Ghazi, NStZ 2015, 425.

Kapitel 1: Einordnung des § 110 Abs. 3 S. 2 StPO

65

Bezogen auf die Durchsicht informationstechnischer Systeme ist danach zu fragen, ob und wie die Vorschriften zur Durchsuchung gemäß den §§ 102 ff. StPO mit ihrer Ausrichtung auf den physischen Raum geeignet sind, die lokale Durchsicht gemäß § 110 Abs. 3 S. 1 StPO und insbesondere die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO, die sich allein im virtuellen Raum abspielt, rechtlich sinnvoll einzuhegen. Die Möglichkeiten, die ein modernes Ermitteln im virtuellen Raum bietet, können sich in tiefgreifenden Eingriffen in die Privatsphäre des Beschuldigten und Dritter äußern, die in ihrer Intensität über die Durchsuchung bloß physischer Räume und Gegenstände hinausgehen. Deshalb bedarf es unter Umständen einer Reform des § 110 StPO. Um diesen Reformbedarf zu ermitteln, sollen in den folgenden Abschnitten einfachrechtliche wie verfassungsrechtliche Fragen gemeinsam erörtert werden. Das werden Fragen sein wie: Welchen tatsächlichen und (verfassungs-)rechtlichen Probleme stellen sich bei der Anfertigung von Datenkopien gemäß § 110 Abs. 3 S. 3 StPO?19 Oder auch: Sind E-Mail-Konten externe Speichermedien im Sinne des § 110 Abs. 3 S. 2 StPO und damit auch gleichzeitig informationstechnische Systeme im Sinne des Verfassungsrechts?20 Der typische Gang einer Durchsuchung wird die Reihenfolge vorgeben, in der in dieser Arbeit die Rechtsprobleme rund um die Durchsicht informationstechnischer Systeme behandelt werden. Gemäß dieser Reihenfolge wird das folgende Kapitel 2 diejenigen Fragen behandeln, die sich noch vor dem Einsatz der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO bei einer notwendigerweise vorausgehenden Durchsicht eines lokalen informationstechnischen Systems auf Grundlage des § 110 Abs. 3 S. 1 StPO stellen. Der Abschnitt bildet somit zugleich einen allgemeinen Teil über Rechtsfragen betreffend die Durchsicht informationstechnischer Systeme. Die zu § 110 Abs. 3 S. 1 StPO gewonnenen Erkenntnisse sind grundsätzlich auf den Sonderfall des § 110 Abs. 3 S. 2 StPO übertragbar, sodass insbesondere die Ausführungen zu den durch die Durchsicht betroffenen Grundrechten (Kap. 2 B.III.), zur Verhältnismäßigkeit von Durchsichten informationstechnischer Systeme (Kap. 2 B.IV.) und zum Kernbereich privater Lebensgestaltung (Kap. 2 B.V.) grundsätzlich auch für die Netzwerkdurchsicht gelten. Im sich daran anschließenden Kapitel 3 soll es dann um die spezifischen Probleme der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO gehen. Dieser Abschnitt bildet damit den besonderen Teil der Untersuchung. Er baut auf den in Kapitel 2 gewonnenen Erkenntnissen auf.

19 20

Kap. 2 B.II.2. Kap. 3 A.I.3.

Kapitel 2

Die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO Im Folgenden soll die Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO behandelt werden. Grundlage einer solchen Durchsicht und typischerweise der Anfang entsprechender Ermittlungen ist dabei die Durchsuchung selbst, die sowohl in der Form der Durchsuchung beim Verdächtigen gemäß § 102 StPO, als auch in der Form der Durchsuchung bei anderen Personen gemäß § 103 StPO erfolgen kann. Dieser Unterschied kann auch für Datenzugriffe bedeutsam sein, zum Beispiel bei der später im Zusammenhang mit der Netzwerkdurchsicht zu klärenden Frage, ob beim Zugriff auf informationstechnische Systeme Dritter die Voraussetzungen des § 103 StPO erfüllt sein müssen.1 Deshalb sollen die Voraussetzungen der Durchsuchung nach § 102 StPO einerseits und § 103 StPO andererseits vorab dargestellt werden (Kap. 2 A.). Sind die Ermittler auf der Suche nach elektronisch gespeicherten Daten oder glauben, dass elektronisch gespeicherte Daten bei der Sachverhaltsaufklärung helfen können, findet typischerweise eine Durchsicht von Datenträgern, meist auch ganzer informationstechnischer Systeme, statt. Diese Durchsicht eines lokalen informationstechnischen Systems auf Grundlage des § 110 Abs. 3 S. 1 StPO bringt vielfältige, vor allem grundrechtliche Probleme mit sich, die es hier zu untersuchen gilt (Kap. 2 B.). Die Untersuchung wird sich dabei auf die Situation der Durchsicht eines lokalen, also in den durchsuchten Räumlichkeiten befindlichen Computersystems beschränken. Die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO wird unter Kapitel 3 dieser Arbeit gesondert behandelt, aufbauend auf den unter Kapitel 2 gefundenen Ergebnissen.

1

Kap. 3 C.II.

68

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

A. Durchsuchung als Ausgangspunkt für die Durchsicht informationstechnischer Systeme Ausgangspunkt für den Zugriff auf elektronisch gespeicherte Daten ist typischerweise die strafprozessuale Durchsuchung gemäß §§ 102 ff. StPO.2 Unter einer (Wohnungs-)„Durchsuchung“ versteht man das „ziel- und zweckgerichtete Suchen staatlicher Organe nach Personen oder Sachen oder zur Ermittlung eines Sachverhalts, um etwas aufzuspüren, was der Inhaber der Wohnung von sich aus nicht offenlegen oder herausgeben will.“3 An die Wohnungsdurchsuchung können sich, einmal begonnen, diejenigen weiteren Maßnahmen anschließen, die auf den Zugriff elektronisch gespeicherter Daten abzielen, zum Beispiel die Durchsicht informationstechnischer Systeme nach § 110 Abs. 3 StPO, aber auch deren Sicherstellung auf Grundlage der §§ 94 ff. StPO.

I. Erscheinungsformen der Durchsuchung Durchsucht werden kann auf verschiedene Arten zu verschiedenen Zwecken. Unterschieden wird zumeist die „Ergreifungsdurchsuchung“ von der „Ermittlungsdurchsuchung“ (Durchsuchungszwecke). Die erste dient dazu, des Beschuldigten habhaft zu werden – so zum Beispiel zum Vollzug eines Haftbefehls (beispielsweise nach den §§ 112 ff. StPO) oder zunächst zur Identitätsfeststellung (§§ 163b Abs. 1, 163c StPO).4 Die zweite dient dazu, Beweismittel und Spuren jeglicher Art aufzufinden.5 Unterschieden wird ferner danach, wer oder was durchsucht wird (Durchsuchungsgegenstände/Durchsuchungsobjekte).6 Zum einen können Räumlichkeiten, insbesondere Wohnungen, durchsucht werden. Zum zweiten können auch Sachen selbst durchsucht werden – so z.B. Koffer, Akten, Datenträger, EDV-Anlagen und auch Fahrzeuge, sofern letztere nicht zu Wohnzwecken benutzt werden und damit als Wohnung gelten.7 Zum dritten kann auch der Beschuldigte selbst (körperlich) durchsucht werden, was die Suche nach Spuren auf dessen Kleidung ebenso einschließt wie die Durchsuchung natürlicher Körperöffnungen, wie 2

Laut Bär, in: Wabnitz/Janovsky (Hrsg.), Handbuch Wirtschafts- und Steuerstrafrecht, Kap. 28 Rn. 10, ist die Durchsuchung auch heutzutage noch „[e]ine der wichtigsten Möglichkeiten zur EDV-Beweissicherung“. 3 BVerfGE 76, 83 (89); LR/Tsambikakis, § 102 Rn. 1; SK-StPO/Wohlers/Jäger, § 102 Rn. 2. 4 LR/Tsambikakis, § 102 Rn. 19; SK-StPO/Wohlers/Jäger, § 102 Rn. 19; Walther, JA 2010, 32 (33). 5 MüKo-StPO/Hauschild, § 102 Rn. 3 ff.; SSW-StPO/Hadamitzky, § 102 Rn. 18. 6 MüKo-StPO/Hauschild, § 102 Rn. 17 ff.; LR/Tsambikakis, § 102 Rn. 25. 7 LR/Tsambikakis, § 102 Rn. 36; SSW-StPO/Hadamitzky, § 102 Rn. 14 f.

A. Durchsuchung als Ausgangspunkt

69

beispielsweise der Mundhöhle (unter Berücksichtigung des § 81d StPO, str.).8 Zuletzt wird danach unterschieden, wer Adressat der Durchsuchung ist. Der Standardfall ist die Durchsuchung beim Verdächtigen nach § 102 StPO. Davon zu unterscheiden ist eine Durchsuchung bei anderen Personen, § 103 StPO. Sie unterliegt strengeren Voraussetzungen als die Durchsuchung nach § 102 StPO.9 Grundsätzlich kann jede dieser vorgestellten Durchsuchungsarten in einen Zugriff auf elektronisch gespeicherte Daten münden: Der Computer in der durchsuchten Wohnung kann durchgesehen werden; das Smartphone mit den gesuchten Daten kann im Rucksack des Beschuldigten gefunden werden; eine Festplatte kann in den Räumlichkeiten eines Nichtverdächtigen aufgefunden werden. Selbst eine körperliche Durchsuchung des Beschuldigten kann zu einem Fund von elektronischen Speichermedien führen (z. B. die im Mund versteckte SD-Karte10), welcher dann Ausgangspunkt einer weitergehenden Durchsicht der Daten sein kann.11 Der bloße Typus der Durchsuchung gibt somit noch nicht Aufschluss darüber, inwieweit in ihrem Verlauf elektronisch gespeicherte Daten ausgewertet werden. Daraus folgt, dass hinsichtlich solcher Datenzugriffe grundsätzlich nicht zwischen unterschiedlichen Formen der Durchsuchung differenziert werden muss. Gleichwohl am eingängigsten erscheint die Durchsuchung der Wohnung des Beschuldigten oder jedenfalls seiner – ebenfalls von Art. 13 GG geschützten – Geschäftsräume12, um dort Beweismittel in Form elektronisch gespeicherter Daten aufzufinden. Die Haus- bzw. Wohnungsdurchsuchung ist auch in der Praxis die gängige Erscheinungsform der Durchsuchung.13 Deshalb soll sie hier als Leitbild oder Standardfall der Durchsuchungen mit anschließendem Zugriff auf elektronisch gespeicherte Daten angesehen werden.14 8

BeckOK-StPO/Hegmann, § 102 Rn. 11; Meyer-Goßner/Schmitt/Köhler, § 102 Rn. 9; SSW-StPO/Hadamitzky, § 102 Rn. 13; speziell zur Zulässigkeit der Durchsuchung der Mundhöhle OLG Celle NJW 1997, 2463; SK-StPO/Wohlers/Jäger, § 102 Rn. 13; a. A. LR/Tsambikakis, § 102 Rn. 37; Park, Durchsuchung, Rn. 54. 9 Dazu sogleich Kap. 2 A.II. 10 Das ist insbesondere bei microSD-Karten mit Abmessungen von nur 11 mm x 15 mm vorstellbar. 11 Dazu, wie schwierig es sein kann, Datenträger aufzufinden und als solche zu erkennen Gercke/Brunst, Internetstrafrecht, Rn. 959. 12 Zum Schutz auch von Arbeits- und Geschäftsräumen durch Art. 13 GG vgl. nur BeckOK-GG/Kluckert, Art. 13 Rn. 3; Maunz/Dürig/Papier, GG, Art. 13 Rn. 10, 13 ff. 13 Die im Schrifttum gelegentlich genannte Zahl von 30.000 bis 50.000 Hausdurchsuchungen pro Jahr ist allerdings mit Vorsicht zu genießen, denn sie basiert lediglich auf Schätzungen des TV-Magazins „Panorama“ (Norddeutscher Rundfunk), s. Walther, JA 2010, 32; ergänzend Kroll, Kernbereichsschutz, 2021, S. 47. 14 Wobei der Zugriff auf ein informationstechnisches System, unabhängig von seinem Standort, auch als selbstständige Durchsuchung einer Sache im Sinne der §§ 102 ff. StPO angesehen werden kann, s. nur Kohlmann, Online-Durchsuchungen, 2012, S. 55 f.

70

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

II. Abgrenzung zwischen § 102 StPO und § 103 StPO Einen rechtlich relevanten Unterschied auf Tatbestandsebene gibt es zwischen der Durchsuchung beim Verdächtigen nach § 102 StPO und der Durchsuchung bei anderen Personen nach § 103 StPO. „Andere Personen“ im Sinne des § 103 StPO sind solche, die nicht tatverdächtig sind oder die nicht strafrechtlich verfolgt werden können (str. im Fall strafunmündiger Kinder).15 Bei § 102 StPO besteht die Eingriffsschwelle im Wesentlichen darin, dass ein Anfangsverdacht16 einer (verfolgbaren) Straftat im Sinne des § 152 Abs. 2 StPO gegen den Betroffenen vorliegen muss, zusätzlich zu einer Vermutung, dass die Durchsuchung zum Auffinden des Beweismittels bzw. des zu Ergreifenden führen wird, dass also der angestrebte Durchsuchungszweck rechtmäßig erreicht werden kann.17 Demgegenüber statuiert § 103 S. 1 StPO verschärfte Anforderungen: Es müssen Tatsachen vorliegen, aus denen zu schließen ist, dass sich die gesuchte Person, Spur oder Sache in den zu durchsuchenden Räumlichkeiten befindet.18 Der Durchsuchungserfolg muss aus Sicht der Ermittler auf Grundlage der Tatsachenbasis also aufgrund zureichender tatsächlicher Anhaltspunkte wahrscheinlich und nicht bloß zu vermuten sein.19 Bloße kriminalistische Erfahrung genügt nicht als Basis einer solchen Prognose.20 Bezüglich zu beschlagnahmender Gegenstände regelt

15 KMR/Hadamitziky, § 103 Rn. 1; Leitner/Michalke, Zwangsmaßnahmen, Rn. 462; Park, Durchsuchung, Rn. 111. 16 Laut Beulke/Swoboda, Strafprozessrecht, Rn. 400 darf bei Wohnungsdurchsuchungen allerdings „kein ganz besonders geringer Grad des Anfangsverdachts vorliegen“; vgl. auch Heinrich, wistra 2017, 219 mit Verweis auf BVerfG BeckRS 2015, 45182. 17 Vgl. BeckOK-StPO/Hegmann, § 102 Rn. 1; HK-GS/Hartmann, § 102 Rn. 2; HKStPO-Gercke, § 102 Rn. 2 f.; KK/Bruns, § 102 Rn. 3; Kruis/Wehowsky, NJW 1999, 682 (683); Nelles, StV 1991, 488; Park, Durchsuchung, Rn. 38, 44; Walther, JA 2010, 32 (35). Vgl. dazu aber auch Sommermeyer, Jura 1992, 449 (451): Auffindevermutung ist bei Vorliegen des Anfangsverdachts regelmäßig indiziert; noch weitergehend Rengier, NStZ 1981, 372 (373): Auffindevermutung sei deshalb im Grunde „ein überflüssiges Tatbestandsmerkmal“. Ausführlich zu den inhaltlichen Anforderungen an den Tatverdacht SK-StPO/Wohlers/Jäger, § 102 Rn. 24 ff.; enger insoweit Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 142 ff: Nicht bloß Anfangsverdacht, sondern „erhebliche Anhaltspunkte für die Straftat einer Person“. 18 Die möglichen Durchsuchungsobjekte des § 103 StPO unterscheiden sich nach weit überwiegender Auffassung nicht von denen des § 102 StPO. § 103 StPO erlaubt insbesondere auch eine Untersuchung der Person des Nichtverdächtigen, auch wenn sich dies nicht explizit im (insofern missglückten) Wortlaut des § 103 Abs. 1 S. 1 widerspiegelt, vgl. dazu Park, Durchsuchung, Rn. 118 f.; Warda, Durchsuchung bei Verdächtigen und anderen Personen, 1986, S, 18 ff. 19 KMR/Hadamitzky, § 103 Rn. 4, 6. 20 Leitner/Michalke, Zwangsmaßnahmen, Rn. 465; Nelles, StV 1991, 488 (489); Wohlwend, HRRS 2015, 454 (456).

A. Durchsuchung als Ausgangspunkt

71

§ 103 Abs. 1 S. 1 StPO außerdem, dass es sich hierbei um „bestimmte“ Gegenstände handeln muss. Verlangt ist damit die wenigstens gattungsmäßige Beschreibung der gesuchten Gegenstände im Vorhinein.21 Grund für diese verschärften Anforderungen ist vor allem, dass unverdächtigen Personen im Rahmen eines Ermittlungsverfahrens weniger bzw. weniger starke Duldungspflichten obliegen als verdächtigen Personen.22 Mit anderen Worten: Unverdächtige Dritte genießen höheren Schutz davor, im Rahmen eines Ermittlungsverfahrens in Anspruch genommen zu werden.23 Eine Ausnahme davon wird gemäß § 103 Abs. 2 StPO zugelassen, wenn Räume auch Unverdächtiger durchsucht werden sollen, in denen der Beschuldigte ergriffen worden ist oder die er während einer Verfolgung betreten hat. In solchen Fällen sollen die strengeren Anforderungen des § 103 Abs. 1 S. 1 StPO nicht gelten, sodass wieder die schwächeren tatbestandlichen Voraussetzungen des § 102 StPO maßgeblich sind.24 § 103 S. 2 StPO schließlich behandelt zusätzlich den Fall der Durchsuchung von Räumlichkeiten eines ganzen Gebäudes zum Zwecke der Ergreifung des Beschuldigten, sofern auf Grund von Tatsachen anzunehmen ist, dass sich der Beschuldigte in dem Gebäude aufhält und sofern er dringend verdächtig ist, Straftaten nach den §§ 89a, 129a, 129b StGB begangen zu haben. Hinsichtlich der jeweils von der Durchsuchung betroffenen Wohnung muss dann kein spezifischer Auffindeverdacht bestehen.25 Der Schutz des unverdächtigen Dritten ist in den Fällen des § 103 Abs. 1 S. 2 sowie Abs. 2 StPO also ausnahmsweise wieder abgesenkt. Wegen der unterschiedlichen tatbestandlichen Voraussetzungen von § 102 StPO einerseits und § 103 StPO andererseits müssen deren Anwendungsbereiche voneinander abgegrenzt werden. Genauer gesagt ist zu ermitteln, wann eine Durchsuchung „beim Verdächtigen“ (§ 102 StPO) und wann bei „anderen“, also nicht verdächtigen Personen (§ 103 StPO) stattfindet. Bei einer (körperlichen) Durchsuchung von Personen ist diese Abgrenzung leicht durchzuführen, da hiervon immer nur eine bestimmte Einzelperson betroffen ist, die entweder verdächtig oder nicht verdächtig ist.26 Auch bei Räumlich21 BVerfG NJW 2003, 2669 (2670); BGH NStZ 2002, 215 (216); KMR/Hadamitzky, § 103 Rn. 5; Walther, JA 2010, 32 (36); Wohlwend, HRRS 2015, 454 (456); tendenziell enger Benfer, Haussuchung, 1980, S. 98 f. 22 Joecks, § 103 Rn. 2; Krekeler, NStZ 1993, 263 (265); Meyer-Goßner/Schmitt/Köhler, § 103 Rn. 1; Nelles, StV 1991, 488; SK-StPO/Wohlers/Jäger, § 103 Rn. 1; Schroeder, JuS 2004, 858 (860); Walther, JA 2010, 32 (36); abweichend Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 337. 23 Vgl. Lammer, Verdeckte Ermittlungen, 1992, S. 186; Kroll, Kernbereichsschutz, 2021, S. 52; krit. zu diesem Grundsatz Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 350 ff. 24 MüKo-StPO/Hauschild, § 103 Rn. 14; Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 8. 25 Walther, JA 2010, 32 (36). 26 Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 224 f.

72

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

keiten oder Sachen, die nur von einer einzigen Person benutzt werden, ist die Abgrenzung einfach: Entweder diese Person ist selbst verdächtig bzw. beschuldigt27 (dann § 102 StPO), oder eben nicht (dann § 103 StPO). Komplizierter wird es, wenn eine Wohnung von mehreren Personen, von denen manche verdächtig und manche unverdächtig sind, bewohnt wird oder wenn Räumlichkeiten einer juristischen Person mit mehreren Mitarbeiterbüros durchsucht werden sollen28. Dann stellt sich die Frage, ob eine Durchsuchung dieser Räumlichkeiten eine Durchsuchung beim Verdächtigen und damit nach § 102 StPO zu behandeln ist, oder ob sie (zugleich) eine Durchsuchung bei anderen Personen und damit nach § 103 StPO zu behandeln ist. Diese Frage stellt sich gleichermaßen, wenn Sachen durchsucht werden sollen, die sowohl verdächtigen als auch unverdächtigen Personen zugeordnet sind. 1. Gewahrsam und Mitgewahrsam Nach allgemeiner Auffassung sind die Anwendungsbereiche des § 102 StPO einerseits und § 103 StPO andererseits danach abzugrenzen, in wessen Gewahrsam im Sinne einer tatsächlichen Inhaberschaft die durchsuchten Räumlichkeiten oder Sachen stehen (wobei zivilrechtliche Besitz- und Eigentumsverhältnisse keine Rolle spielen). Stehen sie im Gewahrsam des Verdächtigen, ist § 102 StPO anzuwenden. Stehen sie im Gewahrsam einer anderen Person, ist § 103 StPO anzuwenden.29 Das Kriterium des Gewahrsams führt aber nicht immer zu eindeutigen Ergebnissen. In Fällen, in denen die durchsuchten Räumlichkeiten oder Sachen (im Folgenden: Durchsuchungsobjekte) von mehreren Personen genutzt werden, hat typischerweise jede dieser Personen Gewahrsam an den Durchsuchungsobjekten. Es sind diese Fälle des Mitgewahrsams unverdächtiger Personen, deren Zuordnung zu entweder § 102 StPO oder § 103 StPO umstritten ist. Die Streitfrage lautet also: Welche der beiden konkurrierenden Normen gilt in Mitgewahrsamsfällen vorrangig?30 27 Im Rahmen des § 102 StPO muss der Adressat noch nicht Beschuldigter sein. Er wird es auf Grundlage des herrschenden Beschuldigtenbegriffs aber spätestens dann werden, wenn die Maßnahme gegen ihn ergriffen wird; vgl. Heger/Pohlreich, Strafprozessrecht, Rn. 307; HK-StPO-Gercke, § 102 Rn. 4; Leitner/Michalke, Zwangsmaßnahmen, 2007, Rn. 442; LR/Tsambikakis, § 102 Rn. 5; Park, Durchsuchung, Rn. 37; Sommermeyer, Jura 1992, 449 (450 – Fn. 25). 28 Dazu ausf. Hie´ramente, NStZ 2021, 390 (391 ff.). 29 Vgl. Bär, Zugriff auf Computerdaten, 1992, S. 215; Eisenberg, Beweisrecht, Rn. 2407, 2409; HK-StPO-Gercke, § 102 Rn. 18; LR/Tsambikakis, § 102 Rn. 11, 38; Nemes/Greiner, Kriminalistik 1999, 115; Radtke/Hohmann/Ladiges, § 102 Rn. 12, § 103 Rn. 4; SKStPO/Wohlers/Jäger, Rn. 103 Rn. 4; Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 234 ff. 30 Vgl. Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 234, 243, 250, 255 ff.

A. Durchsuchung als Ausgangspunkt

73

2. Überwiegende Ansicht: Mitgewahrsam Verdächtiger als „Schlüssel“ zu § 102 StPO Die weit überwiegend verbreitete Ansicht lässt es zur Anwendung des § 102 StPO genügen, dass nur irgendeiner von mehreren Gewahrsamsinhabern der Durchsuchungsobjekte verdächtig ist. Ist dies der Fall, bemisst sich die Durchsuchung der gesamten Durchsuchungsobjekte nach § 102 StPO, nicht nach § 103 StPO, mögen auch andere, unverdächtige Personen Mitgewahrsam an diesen Durchsuchungsobjekten haben.31 Erst, wenn Objekte durchsucht werden sollen, die dem Gewahrsam des Verdächtigen eindeutig nicht zuzuordnen sind, fällt die Durchsuchung in den Anwendungsbereich des § 103 StPO.32 Illustratives Beispiel für diese Abgrenzung ist die Durchsuchung der Räumlichkeiten einer Wohngemeinschaft: Privaträume des Beschuldigten sowie Gemeinschaftsräume unterfallen § 102 StPO; Privaträume anderer, unverdächtiger Bewohner unterfallen § 103 StPO, sofern sie deutlich voneinander abgegrenzt und dem Zugriff des Beschuldigten grundsätzlich entzogen sind (was nicht voraussetzt, dass sie ständig verschlossen sind).33 Letzterer Punkt wird typischerweise in einer Familienwohnung bedeutsam werden: Dort kann es beispielsweise ein Kinder- oder Jugendzimmer geben, welches dem Kind der Familie zugeordnet ist und auch im Gewahrsam des Kindes bzw. Jugendlichen steht. Gleichwohl ist ein solches Kinder- oder Jugendzimmer, mag es auch einen privaten Raum des Kindes darstellen, üblicherweise nicht vollkommen dem Zugriff der Eltern entzogen – die Eltern haben also Mitgewahrsam am Kinderzimmer. Ist nun ein Elternteil Verdächtiger im Sinne des § 102 StPO, so soll auch das Kinderzimmer auf dieser Grundlage durchsucht werden können. Eine Anwendung der strengeren Maßstäbe des § 103 StPO ist damit nicht erforderlich.34 Ebenso gilt umgekehrt: Ist allein der im Jugendzimmer wohnende Jugendliche einer Straftat

31

BVerfG NJW 2019, 3633 (3634); OLG Düsseldorf VRS 41, 429 (430 f.); LG Saarbrücken, JZ 1988, 727 (728); AnwK-StPO/Löffelmann, § 102 Rn. 12; Bär, Zugriff auf Computerdaten, 1992, S. 215; Beulke/Swoboda, Strafprozessrecht, Rn. 400; HK-StPO-Gercke, § 102 Rn. 18; Krey/Heinrich, Deutsches Strafverfahrensrecht, Rn. 838; LR/Tsambikakis, § 102 Rn. 38; Nemes/Greiner, Kriminalistik 1999, 115; Pfeiffer, § 102 Rn. 2; Ranft, Strafprozeßrecht, Rn. 1026; SK-StPO/Wohlers/Jäger, § 102 Rn. 11; SSW-StPO/Hadamitzky, § 102 Rn. 11, 14; Wicker, Cloud Computing und staatlicher Strafanspruch, 2016, S. 336 f. 32 BVerfG NJW 2019, 3633 (3634); LG Saarbrücken, JZ 1988, 727 (728); KK/Bruns, § 102 Rn. 11; LR/Tsambikakis, § 102 Rn. 11; Radtke/Hohmann/Ladiges, § 102 Rn. 14; Ranft, Strafprozeßrecht, Rn. 1026; SK-StPO/Wohlers/Jäger, § 102 Rn. 11; Wicker, Cloud Computing und staatlicher Strafanspruch, 2016, S. 336 f. 33 Vgl. LG Heilbronn, StV 2005, 380 ff.; Heger/Pohlreich, Strafprozessrecht, Rn. 307; KMR/Hadamitzky, § 102 Rn. 9; LR/Tsambikakis, § 102 Rn. 38; MüKo-StPO/Hauschild, § 102 Rn. 18; SK-StPO/Wohlers/Jäger, § 102 Rn. 11; Wohlwend, HRRS 2015, 454 (456). 34 Krit. Wohlwend, HRRS 2015, 454 (456).

74

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

verdächtig, die Eltern aber nicht, so muss die Durchsuchung auch dann nicht auf § 103 StPO gestützt werden, wenn die Eltern Mitgewahrsam am Jugendzimmer haben.35 Die in solchen Fällen liegende Berührung der Rechte auch der unverdächtigen Mitinhaber der Räumlichkeiten soll also keine Konsequenzen auf die Wahl der Eingriffsgrundlage haben: Die Durchsuchung kann weiterhin auf § 102 StPO gestützt werden, § 103 StPO bleibt unangewendet. Lediglich bei der Prüfung der Verhältnismäßigkeit des durch die Durchsuchung bewirkten Eingriffs soll berücksichtigt werden, dass auch die räumliche Privatsphäre von Mitgewahrsamsinhabern berührt wird.36 Übertragen lassen sich diese Abgrenzungen auch auf Durchsuchungen der Räumlichkeiten eines Unternehmens oder einer juristischen Person: Hier kann der Durchsuchungsbeschluss sowohl auf § 102 StPO als auch zusätzlich auf § 103 StPO gestützt werden, differenzierend danach, ob der Verdächtige (z. B. der Geschäftsführer des Unternehmens) am jeweiligen Einzelraum Mitgewahrsam hat, oder ob ihm dieser Gewahrsam fehlt.37 Begründet wird die Zulässigkeit der Durchsuchung nach § 102 StPO – und damit des Vorrangs dieser Norm gegenüber § 103 StPO – in den genannten Fällen damit, dass das Gesetz davon ausgehe, dass im unmittelbaren Einwirkungsbereich des Verdächtigen das Auffinden von Beweismitteln derart naheliege, dass bereits die in § 102 StPO geforderte bloß allgemeine Auffindevermutung die Durchsuchung rechtfertige.38 Begründet wird die Anwendbarkeit des § 102 StPO in solchen Mitgewahrsamsfällen außerdem mit der gesetzgeberischen Wertung des § 103 Abs. 2 StPO. Zum Zwecke der Ergreifung eines Beschuldigten in Räumlichkeiten nicht verdächtiger Personen gelten die Beschränkungen des § 103 Abs. 1 S. 1 StPO nämlich dann nicht, wenn der Beschuldigte in diesen Räumen ergriffen worden ist oder er sie während der Verfolgung betreten hat. Diese Regelung, so wird argumentiert, drücke ganz allgemein ein geringeres Schutzniveau für solche Räume aus, die eine Person sich mit einem Verdächtigen teilt, sei es nun freiwillig oder sogar unfreiwillig. Dieses geringere Schutzniveau sei dann auch auf Konstella-

35

BGH NStZ 1986, 84 (85); OLG Düsseldorf VRS 41, 429 (430 f.); KMR/Hadamitzky, § 102 Rn. 9. 36 HK-StPO-Gercke, § 102 Rn. 18; LR/Tsambikakis, § 102 Rn. 39. 37 KMR/Hadamitzky, § 102 Rn. 9; MüKo-StPO/Hauschild, § 102 Rn. 23; Radtke/Hohmann/Ladiges, § 103 Rn. 4; SK-StPO/Wohlers/Jäger, § 102 Rn. 12; eine a. A., so z. B. vertreten von HK-StPO-Gercke, § 103, Rn. 12, sieht das Bestehen des Hausrechts als maßgebliches Kriterium an: Wird ein einfacher Angestellter des Unternehmens verdächtig, der zwar Gewahrsam an seinem Büroraum hat, nicht jedoch das Hausrecht, so ist die Durchsuchung auf § 103 StPO zu stützen. 38 BVerfG NJW 2003, 2669 (2670); NJW 2019, 3633 (3634); LR/Tsambikakis, § 102 Rn. 38; SK-StPO/Wohlers/Jäger, § 102 Rn. 11; vgl. auch Hie´ramente, NStZ 2021, 390 (393).

A. Durchsuchung als Ausgangspunkt

75

tionen des Mitgewahrsams zu übertragen, sodass in diesen Fällen die Anwendung des § 102 StPO gerechtfertigt sei.39 3. Gegenansicht: Mitgewahrsam Unverdächtiger als Sperre des § 102 StPO Die Gegenmeinung löst die Konkurrenz zwischen § 102 StPO und § 103 StPO auf genau umgekehrtem Wege auf: Immer dann, wenn Durchsuchungsobjekte im Mitgewahrsam unverdächtiger Personen betroffen sind, ist die Durchsuchung auf den insoweit vorrangingen § 103 StPO zu stützen.40 Dass die Durchsuchungsobjekte auch im Mitgewahrsam eines oder mehrerer Beschuldigter stehen, soll gerade nicht zur Anwendung des § 102 StPO mit seinen im Vergleich zu § 103 StPO abgeschwächten Tatbestandsvoraussetzungen legitimieren. Wenn § 103 StPO dem Schutz unverdächtiger Personen vor übermäßiger Inanspruchnahme durch den Staat schützen soll, dann muss dieser Schutz unabhängig davon greifen, ob einer der Mitgewahrsamsinhaber verdächtig ist. Mit anderen Worten: Ein verdächtiger Mitgewahrsamsinhaber soll nicht der Schlüssel dazu sein, die Räumlichkeiten oder Sachen unverdächtiger Mitgewahrsamsinhaber auf Grundlage des § 102 StPO zu durchsuchen. Sobald nur einer der betroffenen (Mit-)Gewahrsamsinhaber unverdächtig ist, muss der Schutz des § 103 StPO aktiviert werden. Dies folgt auch aus dem systematischen Verhältnis der beiden Durchsuchungsnormen zueinander. Zwar kann § 103 StPO nicht als die gegenüber § 102 StPO speziellere Norm begriffen werden, welche § 103 StPO damit verdrängen würde.41 Spezialität setzt nämlich voraus, dass die speziellere Norm notwendigerweise, also bereits in ihrem abstrakten Anwendungsbereich sämtliche Merkmale der allgemeineren Norm umfasst – und zusätzlich dazu noch mindestens ein weiteres Merkmal.42 Dazu müsste § 103 StPO also auch zwingend das Merkmal „beim Verdächtigen“ umfassen, was sie angesichts ihres Zuschnitts auf Durchsuchungen bei nicht verdächtigen „anderen Personen“ aber gerade nicht tut.43 Stattdessen aber ist ein mögliches Subsidiaritätsverhältnis des § 102 StPO zu § 103 StPO (oder umgekehrt) zu erwägen.44 Im Fall der Subsidiarität verhalten sich zwei Rechtsnormen, genauer gesagt 39

Vgl. LR/Tsambikakis, § 102 Rn. 11; SK-StPO/Wohlers/Jäger, § 102 Rn. 11 f. Nelles, StV 1991, 488 (491) und sich anschließend Finke, Durchsuchung von Räumlichkeiten, 2009, S. 56 f. 41 Lex specialis derogat legi generali, vgl. allgemein Reimer, Juristische Methodenlehre, Rn. 197; Wank, Die Auslegung von Gesetzen, S. 101; Zippelius, Juristische Methodenlehre, S. 31 f. 42 BGH NJW 1999, 1561; Reimer, Juristische Methodenlehre, Rn. 199; Zippelius, Juristische Methodenlehre, S. 31 f. 43 Vgl. Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 257. 44 Vgl. Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 257 f. 40

76

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

deren Tatbestände, im Verhältnis sich überschneidender Kreise: Ihre Anwendungsbereiche gleichen sich nicht abstrakt-generell, also nicht bezüglich sämtlicher Fälle – wohl aber gibt es konkrete Fallgestaltungen, die sowohl in den Anwendungsbereich der einen als auch der anderen Norm fallen können.45 Dies stellt eine Konkurrenz der Normen im konkreten Einzelfall dar. Diese Konkurrenz muss aufgelöst werden, um die für den konkreten Fall richtige Rechtsfolge zu finden. Die Verdrängungsregeln zur Spezialität greifen hier wie gesagt aber nicht. Das Rangverhältnis der Normen in ihrem Überschneidungsbereich ist daher anhand teleologischer Erwägungen zu bestimmen.46 Betrachtet man nun den Zweck des § 103 StPO, den Unverdächtigen vor (auch) ihn betreffenden Durchsuchungen stärker zu schützen als den Verdächtigen, so spricht dies für eine Subsidiarität des § 102 StPO gegenüber § 103 StPO. Denn dieser Zweck greift auch dann, wenn von ein und derselben Durchsuchung sowohl ein Verdächtiger als auch ein Unverdächtiger betroffen sind. Der Unverdächtige ist in diesen Fällen nicht weniger schutzwürdig als wenn er alleinigen Gewahrsam am Durchsuchungsobjekt hätte.47 Alles andere würde auf ein Sonderopfer des Unverdächtigen hinauslaufen, das nur deshalb abverlangt wird, weil der Unverdächtige sich den Gewahrsam am Durchsuchungsobjekt mit einer Person teilt, die aus welchen Gründen auch immer einer Straftat verdächtigt wird. Dieser Umstand kann es nicht rechtfertigen, den Schutz des § 103 StPO aufzuheben. Zwar ist zuzugeben, dass sich der Gesetzgeber bei Schaffung der §§ 102, 103 StPO nicht nur von der unterschiedlichen Schutzwürdigkeit des Verdächtigen einerseits und des Unverdächtigen andererseits leiten ließ. Die in den beiden Normen angelegte Differenzierung ergibt sich nämlich auch aus unterschiedlichen Auffindevermutungen hinsichtlich der gesuchten Beweismittel (oder Personen).48 Bei Durchsuchungen bei Verdächtigen ist die Vermutung, das gesuchte Beweismittel zu finden, erfahrungsgemäß und regelmäßig stärker, weshalb § 102 StPO niedrigere Voraussetzungen für die Durchsuchung vorsieht. Teilt sich nun ein Unverdächtiger den Gewahrsam am Durchsuchungsobjekt mit dem Verdächtigen, so beseitigt dies die erhöhte Auffindevermutung nicht.49 Das aber führt noch nicht zum Schluss, dass allein wegen einer ebenso hohen Auffindevermutung die Anwendung des großzügigeren § 102 StPO gerechtfertigt ist.50 Denn die Auffindevermutung 45

Vgl. Zippelius, Juristische Methodenlehre, S. 32. Vgl. Wank, Die Auslegung von Gesetzen, S. 102; Zippelius, Juristische Methodenlehre, S. 32. 47 So auch noch Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 258 f. 48 MüKo-StPO/Hauschild, § 103 Rn. 1; zweifelnd aber Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 337 f. 49 Warda, Durchsuchung bei Verdächtigen und bei anderen Personen, 1986, S. 259 f. 50 So aber Hie´ramente, NStZ 2021, 390 (393). 46

A. Durchsuchung als Ausgangspunkt

77

ist ja ohnehin vor Durchführung der Durchsuchung als tatbestandliches Merkmal zu prüfen, und zwar nach differenzierten Maßstäben: Während § 102 StPO wie dargelegt die allgemeine Auffindevermutung genügen lässt, bringt § 103 Abs. 1 S. 1 StPO in seinem Tatbestand strengere Anforderungen an die Auffindevermutung zum Ausdruck. Wie stark die Auffindevermutung im Einzelfall ist, entscheidet nicht darüber, welche Norm angewendet werden muss. Wäre das so, so dürfte man auch die Durchsuchung beim allein wohnenden Unverdächtigen nach § 102 StPO behandeln, wenn nur sicher feststünde (etwa durch entsprechende Observationen), dass sich zum Beispiel gesuchtes Diebesgut in der Wohnung befindet. Das ist aber nicht der Fall: § 102 und § 103 StPO sind nicht allein anhand des Grads der Auffindevermutung voneinander abzugrenzen. Es ist vielmehr umgekehrt: Die Frage, ob die Auffindevermutung hinreichend stark ist, um die Strafverfolgungsbehörden zur Durchsuchung im konkreten Fall zu berechtigen, stellt sich erst, nachdem entschieden ist, ob § 102 StPO oder § 103 StPO anzuwenden ist – denn diesen Tatbeständen entstammen die unterschiedlichen Maßstäbe bezüglich der Auffindevermutung. Die Vorfrage, welche der beiden Normen Anwendung findet, kann also gar nicht anhand unterschiedlicher Maßstäbe von Auffindevermutungen beantwortet werden – auch nicht im Rahmen der Entscheidung über ein Subsidiaritätsverhältnis der beiden Normen. Etwas anderes ergibt sich dahingehend auch nicht daraus, dass der Gesetzgeber mit § 103 Abs. 2 StPO eine Ausnahmeregelung geschaffen hat, welche den Schutz des unverdächtigen Dritten zugunsten einer besonders starken Auffindevermutung zurücktreten lässt. In der Sache mag der anhand der Regelung des § 103 Abs. 2 StPO gezogene Schluss zwar zutreffend erscheinen: Wenn schon ein vorübergehender Aufenthalt des Beschuldigten in den Räumlichkeiten des unverdächtigen Dritten zur Durchsuchung nach erleichterten Voraussetzungen des § 102 StPO berechtigt, so muss dies erst recht gelten, wenn sich der Beschuldigte regelmäßig in den (auch) einem Unverdächtigen gehörenden Räumlichkeiten aufhält.51 Eine allgemeine Regelung dieser Art hat der Gesetzgeber aber gerade nicht getroffen, denn er hat § 103 Abs. 2 StPO auf Fälle der Ergreifung und Verfolgung des Verdächtigen bzw. Beschuldigten begrenzt. Aus dieser Regelung zu entnehmen, dass die starke Auffindevermutung auch in anderen als den in § 103 Abs. 2 StPO beschriebenen Fällen zur Anwendung des § 102 StPO führen darf, würde die Grenzen dieser Ausnahme unterlaufen. Dazu passt, dass der Gesetzgeber bei Schaffung der Norm nicht generell Fälle von allgemein hoher Auffindewahrscheinlichkeit im Blick hatte, sondern eben einzig den ganz speziellen Fall der Verfolgung eines Beschuldigten: Erfahrungsgemäß hinterlässt der Beschuldigte in solchen Fällen nämlich Spuren in den betreffenden Räumen oder

51

Warda, Durchsuchung bei Verdächtigen und anderen Personen, 1986, S. 260 f.

78

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

entledigt sich dort seiner Beute.52 Hätte der Gesetzgeber (weitere) Fälle des Mitgewahrsams von Verdächtigem und Unverdächtigem von den Beschränkungen des § 103 Abs. 1 S. 1 StPO befreien wollen, so hätte er dies entsprechend regeln können. Das hat der Gesetzgeber aber nicht getan. Im Ergebnis lässt sich aus § 103 Abs. 2 StPO also kein gesetzgeberischer Wille dahingehend entnehmen, dass in Fällen des Mitgewahrsams von Verdächtigen und Unverdächtigem aufgrund einer erhöhten Auffindevermutung § 102 StPO vorrangig vor § 103 StPO anzuwenden ist. Es lässt sich mit dem Normzweck folglich nicht begründen, dass § 103 StPO gegenüber § 102 StPO subsidiär sei. Vielmehr ist mit Blick auf den wahren Normzweck des § 103 StPO – erhöhter Schutz des unverdächtigen Dritten – das genaue Gegenteil der Fall: In Fällen des Mitgewahrsams von Verdächtigem und Unverdächtigem ist § 102 StPO subsidiär gegenüber § 103 StPO.53 Gestützt wird der Vorrang des § 103 StPO außerdem durch verfassungsrechtliche Wertungen. Es ist anerkannt, dass bei gemeinsam genutzten Wohnungen jedem Bewohner das Wohnungsgrundrecht des Art. 13 GG individuell zusteht.54 Darauf aufbauend ist auch anerkannt, dass eine Einwilligung in die Durchsuchung in Fällen des Mitgewahrsams mehrerer Personen nur dann wirksam das Erfordernis einer Durchsuchungsanordnung beseitigt, wenn sämtliche Mitgewahrsamsinhaber einwilligen.55 Davon ausgehend kann ein Eingriff in das jeweils individuell zustehende Wohnungsgrundrecht im Falle fehlender Einwilligungen nur rechtmäßig erfolgen, wenn eine Durchsuchungsanordnung mit Rücksicht auf jeden einzelnen der betroffenen Grundrechtsinhaber erlassen wird.56 Ließe man es dagegen für einen Eingriff in jede einzelne Grundrechtsposition der Bewohner aus Art. 13 GG auf Grundlage des § 102 StPO genügen, dass nur einer von ihnen verdächtig ist und deshalb alle die Durchsuchung der durch Art. 13 GG geschützten Räume zu dulden haben, unterliefe man diese individuelle Gewährleistung des grundrechtlichen Abwehranspruchs gegen staatliche Eingriffe.57 An die 52

Benfer, Haussuchung, S. 104; Park, Durchsuchung, Rn. 128; zugestanden wird das auch von Warda, Durchsuchung bei Verdächtigen und anderen Personen, 1986, S. 261 f. 53 A. A. Warda, Durchsuchung bei Verdächtigen und anderen Personen, 1986, S. 260 ff. 54 BVerfGE 109, 279 (326); BeckOK-GG/Kluckert, Art. 13 Rn. 4; Dreier/Hermes, GG, Art. 13 Rn. 21; Gröpl/Windthorst/v. Coelln, GG, Art. 13 Rn. 4; Hömig/Wolff/Wolff, GG, Art. 13 Rn. 4; Jarass/Pieroth, Art. 13 Rn. 6; v. Münch/Kunig/Kunig/Berger, GG, Art. 13 Rn. 20; Stern/Becker/Stern, Art. 13 Rn. 38; darauf stellt auch Nelles, StV 1991, 488 (490) entscheidend ab. 55 Jarass/Pieroth, Art. 13 Rn. 10; Mangoldt/Klein/Starck/Gornig, GG, Art. 13 Rn. 44; v. Münch/Kunig/Kunig/Berger, GG, Art. 13 Rn. 35; Nelles, StV 1991, 488 (490); Umbach/ Clemens/Cassardt, GG, Art. 13 Rn. 62; a. A. Dreier/Kühne, GG, Art. 13 Rn. 24; a. A. offenbar auch Behr, NJW 1992, 2125 (2127). 56 Finke, Durchsuchung von Räumlichkeiten, 2009, S. 57; Nelles, StV 1991, 488 (490); a. A. Umbach/Clemens/Cassardt, Art. 13 Rn. 93. 57 Diese Überlegung lässt sich ebenso auf den Fall der Durchsuchung von Sachen über-

A. Durchsuchung als Ausgangspunkt

79

Stelle der individuellen Berücksichtigung des persönlichen Schutzbereichs, der individuellen Prüfung des Eingriffs und der ihn begrenzenden Voraussetzungen nach den §§ 102 ff. StPO träte eine Form der kollektiven Haftung.58 Dem eigenständigen grundrechtlichen Gewährleistungsanspruch eines jeden einzelnen Bewohners, der im Falle fehlenden Verdachts gegen ihn einfachrechtlich durch § 103 StPO geschützt werden soll, würde so nicht mehr Rechnung getragen. Die Lage wäre so, als gäbe es diesen individuellen Gewährleistungsanspruch gar nicht. Das führte im Ergebnis dazu, dass Unverdächtige die Durchsuchung und den damit einhergehenden Grundrechtseingriff aus Art. 13 GG so zu dulden hätten, als seien sie selbst verdächtig.59 Gerade das soll § 103 StPO aber verhindern, eben mit Blick darauf, dass Unverdächtigen anerkanntermaßen geringere Duldungspflichten hinsichtlich Grundrechtseingriffen obliegen.60 Damit ist nach hier favorisierter Auffassung und entgegen der herrschenden Ansicht eine Durchsuchung immer dann auf § 103 StPO zu stützen, sobald auch nur einer der Mitgewahrsamsinhaber am Durchsuchungsobjekt eine „andere Person“ ist, also unverdächtig ist oder jedenfalls nicht wegen der in Rede stehenden Straftat verfolgt werden kann. § 102 StPO mit seinen erleichterten Voraussetzungen darf mithin nur angewendet werden, wenn der Adressat der Durchsuchung Verdächtiger ist und alleinigen Gewahrsam am Durchsuchungsobjekt hat. Zwar kann gegen dieses Ergebnis das Argument eingewandt werden, dass es die Ermittlungsarbeit insofern erschwere, als dann eine Vielzahl von Durchsuchungen auf § 103 StPO mit seinen strengeren Voraussetzungen gestützt werden müsse, da Mitgewahrsam an Durchsuchungsobjekten, insbesondere an Wohnungen, in der Praxis häufig auftrete. Aber erstens ist ein solches Argument rein kriminalpolitischer Natur, mithin wenn überhaupt nur ein Argument im Bereich der Gesetzgebung, nicht aber im Bereich der Gesetzesauslegung. Und zweitens sind die engeren Voraussetzungen des § 103 Abs. 1 S. 1 StPO keineswegs derart streng, dass sie eine Vielzahl von Durchsuchungen in der Praxis unzulässig werden ließen. Die Anforderungen des § 103 Abs. 1 S. 1 StPO stellen vielmehr eine leichte Modifikation der Anforderungen des § 102 StPO dar, welche vor allem eine Präzisierung von Ermittlungsvorhaben bzw. der zu erlassenden Durchsu-

tragen: Hier kann der individuelle grundrechtliche Schutzanspruch aus dem Eigentum (Art. 14 GG) oder z. B. bei der Sichtung von Datenbeständen aus allgemeinen Persönlichkeitsrecht und dessen speziellen Ausprägungen (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) fließen. 58 Nelles, StV 1991, 488 (490). BVerfG NJW 2019, 3633 (3634) erkennt immerhin an, dass eine Anwendung von § 102 StPO zu „Härten für die Mitbewohner“ führt. 59 Nelles, StV 1991, 488 (489). 60 Vgl. nochmals Meyer-Goßner/Schmitt/Köhler, § 103 Rn. 1; Nelles, StV 1991, 488; Walther, JA 2010, 32 (36).

80

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

chungsanordnungen fordert. Damit wird der ohnehin schon sehr großzügige Anwendungsbereich des § 102 StPO61 (kein besonderer Verdachtsgrad erforderlich; kein Katalog von Anlasstaten62) nicht wesentlich eingeschränkt. Eine Verschiebung dahingehend, dass mehr Durchsuchungen auf § 103 StPO gestützt werden müssen, der eine sorgfältigere Prüfung der Auffindevermutung verlangt, kann aus kriminalpolitischer Sicht daher ebenso als sinnvoll begriffen werden.63 4. Folgerungen mit Blick auf die Durchsicht informationstechnischer Systeme Ganz unabhängig davon, welche Auffassung man im Streit um die Abgrenzung von § 102 StPO zu § 103 StPO vertritt, ist festzustellen: Bei der Abgrenzung der Rechtsgrundlagen steht der Begriff des Gewahrsams im Vordergrund. Dies ist ein Begriff, der auf körperliche, physische Begebenheiten abstellt. Das ist konsequent, denn ihrer ursprünglichen Konzeption nach bewegt sich die Durchsuchung gemäß §§ 102 ff. StPO im körperlichen Raum innerhalb physischer Grenzen. Wie unter Kapitel 1 dieser Arbeit bereits dargelegt, bewegen sich Durchsuchungen in der Praxis aber längst nicht mehr nur innerhalb des begrenzten physischen Raums, sondern immer häufiger auch im unbegrenzten virtuellen Raum. Das mag beim Eintreten der Ermittler in die physischen Räumlichkeiten zu Beginn einer Durchsuchungsmaßnahme noch keine große Rolle spielen. Bei den sich anschließenden Maßnahmen, insbesondere der Durchsicht lokaler und vernetzter informationstechnischer Systeme, gewinnt dieser Umstand aber an Bedeutung. Denn im Bereich der Datensichtung, sprich dem Ermitteln im virtuellen Raum, wird besonders kritisch zu überprüfen sein, ob körperliche Kriterien wie eben Gewahrsamsverhältnisse überhaupt sinnvoll anwendbar sind.64 Insbesondere bei vernetzten Computersystemen spielt der Gewahrsam an der Hardware kaum noch eine Rolle für die Benutzung des Systems. Plastisch ausgedrückt: Die Hardware eines Cloud-Speichers kann über den gesamten Erdball verteilt sein, für den Nutzer des Cloud-Speichers ändert das aber nichts; er kann auf den Speicher genau so zugreifen, als befänden sich die physischen Datenträger in seiner eigenen Wohnung.65 Wie gesagt: Für den Beginn der Durchsuchung selbst, welcher nach wie vor im physischen Raum stattfindet, 61

Vgl. zu dieser Einschätzung Schroeder, JuS 2004, 858 (860). Lediglich bei Bagatellkriminalität (z. B. Erwerb und Besitz von Cannabisprodukten zum gelegentlichen Eigengebrauch) erkennt die Rechtsprechung gewisse aus dem Verhältnismäßigkeitsprinzip fließende Grenzen an, vgl. exemplarisch LG Freiburg StV 2000, 14 f. und zum Ganzen den Überblick bei Burhoff, EV, Rn. 1635. 63 Zum Ganzen Nelles, StV 1991, 488 (491). 64 Hie´ramente, NStZ 2021, 390 (394). 65 Zur Technologie des Cloud Computings unten Kap. 3 A.I.2., insb. Unterabschnitt d) zur sog. Virtualisierung. 62

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

81

hat das noch keine große Bedeutung. Da im späteren Verlauf der Durchsuchung der Unterschied zwischen Eingriffen in die Sphäre Verdächtiger und Eingriffen in die Sphäre Unverdächtiger aber erneut wichtig werden kann, sei hier festgehalten, dass die Abgrenzung von § 102 StPO zu § 103 StPO bisher allein anhand körperlicher Kriterien erfolgte – was sich für den späteren Verlauf der Durchsuchung bis hin zur Anwendung des § 110 Abs. 3 S. 2 StPO als unzureichend erweisen könnte. Datenspeicher und informationstechnische Systeme sind nicht selten mehreren Personen zugeordnet, von denen manche verdächtig und manche unverdächtig sein können. Bei einem Zugriff auf diese durch mehrere Personen genutzten Systeme kann sich dann ebenso die Frage stellen, ob Schutzregelungen zugunsten unverdächtiger Dritter greifen müssen – insbesondere also § 103 StPO. Dieses Problem soll an späterer Stelle dieser Arbeit im Zusammenhang mit der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO wieder aufgegriffen werden.66

B. Durchsicht eines lokalen informationstechnischen Systems gemäß § 110 Abs. 3 S. 1 StPO Die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO ist in den Regelungskomplex der Durchsicht nach § 110 StPO eingebettet. In systematischer Hinsicht ist die Netzwerkdurchsicht damit ein Spezialfall der allgemeinen Durchsicht gemäß § 110 Abs. 1 StPO und der Durchsicht elektronischer Speichermedien gemäß § 110 Abs. 3 S. 1 StPO. Die Netzwerkdurchsicht hebt die räumlichen bzw. lokalen Begrenzungen der allgemeinen Durchsicht auf, sodass sie sich auch auf den virtuellen Raum jenseits der am Durchsuchungsort physisch vorhandenen Systeme erstrecken darf.67 Wegen dieses systematischen Zusammenhangs ist es für die gesamte folgende Untersuchung sinnvoll, zunächst die allgemeine Durchsicht nach § 110 Abs. 1 StPO, ihren Anwendungsbereich und ihre Grenzen zu erörtern. Das soll aber nicht im Sinne einer vollständigen Kommentierung geschehen. Stattdessen wird hier gezielt die Durchsicht eines lokalen informationstechnischen Systems gemäß § 110 Abs. 3 S. 1 StPO in den Fokus genommen. Damit soll auch die Grundlage für die spätere Untersuchung der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO geschaffen werden. Im Folgenden soll nach einem allgemeinen Überblick zur Durchsicht gemäß § 110 Abs. 1 StPO (Kap. 2 B.I.) zunächst der Sonderfall der „Mitnahme zur Durchsicht“ bezogen auf die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO (Kap. 2 B.II.) erörtert werden, um dann in 66 67

Kap. 3 C.II. Schlegel, HRRS 2008, 23 (25).

82

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

einem nächsten Schritt untersuchen zu können, welche Grundrechte des Beschuldigten typischerweise durch die Durchsicht berührt werden (Kap. 2 B.III.) Nach Erläuterung der grundrechtlichen Schutzbereiche sollen – grundrechtsübergreifend – Kriterien zur Bestimmung der Eingriffsintensität und damit auch der Verhältnismäßigkeit einer Durchsicht informationstechnischer Systeme dargestellt werden (Kap. 2 B.IV.). Der Schutz des Kernbereichs privater Lebensgestaltung als absolute Eingriffsgrenze soll dabei gesondert behandelt werden (Kap. 2 B.V.). Eng damit verbunden ist die Problematik einer drohenden Rundumüberwachung oder auch Totalausforschung des Beschuldigten, auch sie soll daher mit Blick auf die Durchsicht informationstechnischer Systeme besprochen werden (Kap. 2 B.VI.). Nachdem damit die verfassungsrechtlichen Grundlagen erarbeitet sind, werden auf einfachrechtlicher Ebene noch einige typische Begleitmaßnahmen zur Durchsicht erläutert und auf ihre Grundrechtsrelevanz untersucht (Kap. 2 B.VII.), namentlich das Aufspüren und Knacken von Passwörtern, mithin Maßnahmen, die es den Ermittlern häufig erst ermöglichen, ein informationstechnisches System durchzusehen. Im Anschluss daran wird die Problematik der Zufallsfunde nach § 108 StPO erläutert (Kap. 2 B.VIII.), die sich bei der Durchsicht großer Datenbestände ganz besonders stellt. In einem gesonderten Punkt soll auf die potentiellen Auswirkungen der Durchsicht lokaler informationstechnischer Systeme auf die Rechte unbeteiligter Dritter eingegangen werden (Kap. 2 B.IX.), also auf die Rechte solcher Personen, die nicht als Beschuldigte im Fokus des Strafverfahrens stehen. Anhand der gewonnenen Ergebnisse soll schließlich der Reformbedarf des § 110 Abs. 3 S. 1 StPO hinsichtlich der Durchsicht informationstechnischer Systeme diskutiert werden (Kap. 2 B.X.).

I. Allgemeines zur Durchsicht gemäß § 110 Abs. 1 StPO § 110 Abs. 1 StPO erlaubt es der Staatsanwaltschaft und ihren Ermittlungspersonen, die Papiere des von der Durchsuchung Betroffenen vor Ort durchzusehen, also Einblick in ihren Inhalt zu nehmen.68 Der Begriff „Papiere“ ist dabei weit auszulegen. Vor Schaffung des § 110 Abs. 3 S. 1 StPO wurden unter den Begriff „Papiere“ im Einklang mit der allgemeinen Ansicht in Schrifttum und Rechtsprechung auch elektronische Datenträger und elektronisch gespeicherte Daten subsumiert, sodass diese bzw. die sie umgebenden EDVAnlagen und Computersysteme auf Grundlage des § 110 Abs. 1 StPO durchgesehen werden konnten.69 Insofern hat die nunmehr in § 110 Abs. 3 S. 1 StPO 68

LR/Tsambikakis, § 110 Rn. 1; Park, Durchsuchung, Rn. 239; Walther, JA 2010, 32

(38). 69

Schlegel, HRRS 2008, 23 (25); Szesny, WiJ 2012, 228; Wicker, Cloud Computing, 2016, S. 352 f. Dass § 110 Abs. 1 StPO die Durchsicht elektronischer Speichermedien und

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

83

geregelte ausdrückliche Befugnis zur Durchsicht elektronischer Speichermedien klarstellende Funktion und bezweckt keine Änderung zur schon vorher anerkannten Rechtslage, dass die Durchsicht elektronischer Speichermedien, Datenträger und ganzer informationstechnischer Systeme über § 110 StPO zulässig ist.70 Das heißt, dass die Durchsicht „elektronischer Speichermedien“ gemäß § 110 Abs. 3 S. 1 und S. 2 StPO wie schon § 110 Abs. 1 StPO nach alter Rechtslage weiterhin auch die Durchsicht gesamter infomationstechnischer Systeme umfasst, in denen die elektronischen Speichermedien installiert sind.71 § 110 Abs. 1 StPO ist – jedenfalls seiner ursprünglichen Konzeption nach72 – keine eigenständige Eingriffsgrundlage und bildet auch keine eigenständige Ermittlungsmaßnahme ab. Die Norm ergänzt vielmehr die Regelungen zur übergeordneten Ermittlungsmaßnahme der Durchsuchung. § 110 Abs. 1 StPO regelt, wie die Durchsuchung nach den §§ 102 ff. StPO erfolgen darf. Sie wird deshalb zuweilen als Verfahrensvorschrift zur Durchsuchung bezeichnet.73 Besondere tatbestandliche Eingriffsschwellen zur Zulässigkeit der Durchsicht sieht § 110 Abs. 1 StPO nicht vor, selbiges gilt für die klarstellende Norm des § 110 Abs. 3 S. 1 StPO für die Durchsicht lokaler informationsteschnischer Systeme. Sofern die Voraussetzungen der zugrunde liegenden Durchsuchung nach den §§ 102 ff. StPO erfüllt sind, ist auch eine daran anknüpfende Durchsicht – vorbehaltlich ihrer Verhältnismäßigkeit – grundsätzlich zulässig.74 Fallen die Voraussetzung für eine Durchsuchung nach den §§ 102 ff. StPO weg, so wird auch die Durchsicht unzulässig.75 Befinden sich die Papiere im Alleingewahrsam einer dritten Person, die nicht nach § 102 StPO oder § 103 StPO Adressat der zugrunde liegenden Durchsuchung ist, so ist die Durchsicht von vornherein unzulässig.76 Die Durchsicht gemäß § 110 Abs. 1 StPO dient dazu, aus einer Sammlung von Papieren (oder im Falle des § 110 Abs. 3 S. 1 StPO: Daten) dasjenige Beweismaterial herauszufiltern, das verfahrensrelevant ist und gegebenenfalls nach den §§ 94 ff. StPO sichergestellt werden kann und soll.77 Umgekehrt Datensätze als „Papiere“ erlaubt, sah auch zuvor schon der Gesetzgeber so, siehe BTDrs. 14/6079, S. 7. Aus der Rechtsprechung siehe BGH StV 1988, 90; BGH NStZ 2003, 670 (671). 70 BT-Drs. 19/27655, S. 74. 71 Zum Verhältnis des informationstechnischen Systems zu seinen Speichermedien aus verfassungsrechtlicher Sicht s. unten Kap. 2 B.III.2.b)aa). 72 Zur gewandelten Funktion des § 110 StPO siehe unten Kap. 2 B.X.2. 73 Wicker, Cloud Computing, 2016, S. 351; vgl. auch LR/Tsambikakis, § 110 Rn. 2. 74 Vgl. Heinrich, wistra 2017, 219 (222). 75 Vgl. BGH StV 1988, 90; Heinrich, wistra 2017, 219 (222); KMR/Hadamitzky, § 110 Rn. 6. 76 LG Saarbrücken NStZ 1988, 424; MüKo-StPO/Hauschild, § 110 Rn. 7. 77 Vgl. BGH NJW 2010, 1297 (1298); LR/Tsambikakis, § 110 Rn. 16; SSW-StPO/Hadamitzky, § 110 Rn. 1; Szesny, WiJ 2012, 228 f.; Walther, JA 2010, 32 (38).

84

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

soll somit das nicht beweisrelevante Material ausgesiebt werden, damit möglichst kein überschüssiges Material sichergestellt wird. Unter dem Gesichtspunkt der Verhältnismäßigkeit von Ermittlungsmaßnahmen sichert die Durchsicht also insbesondere die Erforderlichkeit der sich gegebenenfalls anschließenden Sicherstellung, deren Umfang somit begrenzt wird.78 Dies wiederum dient im Ergebnis dem Grundrechtsschutz des Durchsuchten.79 In diesem Zusammenhang ist jedoch festzustellen, dass die Regelung des § 110 Abs. 1 StPO im Zuge ihrer mehrfachen Änderungen einiges an ihrer grundrechtsschützenden Funktion bzw. Wirkung eingebüßt hat. Ursprünglich war die Durchsicht dem Ermittlungsrichter vorbehalten. Dieser Richtervorbehalt wurde durch das 1. Gesetz zur Änderung des Strafverfahrensrechts vom 09.12.1974 abgeschafft, mit der Folge, dass fortan die Staatsanwaltschaft für die Durchsicht zuständig war.80 Mit dem 1. Justizmodernisierungsgesetz vom 24.08.2004 wurde es schließlich auch den Ermittlungspersonen der Staatsanwaltschaft erlaubt, auf staatsanwaltschaftliche Anordnung die Durchsicht durchzuführen.81 Begründet wurde diese Änderung mit dem Bedürfnis, das Ermittlungsverfahren noch effizienter durchführen zu können, was vor allem durch eine Stärkung der Rolle der Polizei gelingen sollte. Dass sich die Staatsanwaltschaft mit der Auswertung von umfangreichen Akten- und Datenbeständen im Rahmen des § 110 Abs. 1 StPO befasst, wurde demgegenüber als Verschwendung von Ressourcen angesehen.82 Durch die Gesetzesänderungen wurden also nach und nach die Befugnisse der polizeilichen Ermittler ausgeweitet, zulasten des durch § 110 Abs. 1 StPO vermittelten Grundrechtsschutzes des Durchsuchten.83 Die Funktion des § 110 Abs. 1 StPO hat sich somit im Laufe der Gesetzgebungsgeschichte geändert: Nicht mehr dient die Regelung in erster Linie dem Grundrechtsschutz des Einzelnen, sondern vielmehr der – auf Effektivität des Ermittlungsverfahrens ausgerichteten – Vermeidung der Sicherstellung nicht verfahrensrelevanten Materials.84 Es ist zwar noch immer zulässig, dass ein Richter die Durchsicht durchführt – entweder, weil dieser sich in der Durchsuchungsanordnung die Anwesenheit bei der Durchsuchung und die Durch-

78

Vgl. BVerfGE 113, 29 (55 ff.); MüKo-StPO/Hauschild, § 110 Rn. 1. LR/Tsambikakis, § 110 Rn. 1; MüKo-StPO/Hauschild, § 110 Rn. 1; Park, Durchsuchung, Rn. 234; Szesny, WiJ 2012, 228 (229). 80 BGBl. 1974 I, S. 3393 (3396 – Nr. 27). 81 BGBl. 2004 I, S. 2198 (2201 – Nr. 6). 82 Vgl. BT-Drs. 14/6079, S. 6 f. 83 Zum Ganzen (und kritisch) LR/Tsambikakis, § 110 Rn. 2; Park, Durchsuchung, Rn. 235 f., 267 f., besonders deutlich in Rn. 236: „[F]ortschreitende Erosion der Rechtsstaatlichkeit“. 84 LR/Tsambikakis, § 110 Rn. 2; Schlegel, HRRS 2008, 23 (25); vgl. auch Ludewig, KriPoZ 2019, 293 (298). 79

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

85

sicht vorbehalten hat, oder weil die Verfahrensherrschaft bereits auf ihn übergegangen ist.85 Zwingend ist dieser Richtervorbehalt wie erläutert aber nicht mehr; er wird in der Praxis nur ausnahmsweise Bedeutung erlangen.

II. Mitnahme zur Durchsicht Die Durchsicht ist Teil der Durchsuchung nach den §§ 102, 103 StPO.86 Sie ist noch keine Sicherstellung oder Beschlagnahme gemäß §§ 94 ff. StPO, sondern bereitet diese vor.87 Aus dieser Systematik folgt, dass die Durchsicht nach § 110 Abs. 1 StPO und damit auch der Spezialfall der Durchsicht elektronischer Speichermedien bzw. informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO grundsätzlich an Ort und Stelle, also innerhalb der durchsuchten Räumlichkeiten stattzufinden hat.88 Eine Ausnahme von diesem Grundsatz ist die sogenannte „Mitnahme zur Durchsicht“.89 Finden die Ermittler besonders umfangreiches Material vor, insbesondere in Form von riesigen, unüberschaubaren Datenmengen, so sollen sie dieses Material in seiner Gesamtheit mitnehmen dürfen, sofern eine Durchsicht vor Ort nicht zu leisten ist.90 Die Durchsicht außerhalb der durchsuchten Räumlichkeiten bleibt damit aber noch immer ein Teil der Durchsuchung.91 Auch die Mitnahme zur Durchsicht ist also noch keine (endgültige) Beschlagnahme oder Sicherstellung.92 Erst die endgültige Sicherstellung bzw. Beschlagnahme von Gegenständen (oder der entsprechende staatsanwaltschaftliche Antrag auf gerichtliche Beschlagnahme) oder die Entscheidung, keine Gegenstände sicherzustellen, beendet die Durchsuchung.93 Der 85

KMR/Hadamitzky, § 110 Rn. 13; MüKo-StPO/Hauschild, § 110 Rn. 3; Ranft, Strafprozeßrecht, Rn. 1041. 86 BGH StV 1988, 90; BGH NStZ 2003, 670 (671); Bär, Zugriff auf Computerdaten, 1992, S. 226; Nemes/Greiner, Kriminalistik 1999, 115; KMR/Hadamitzky, § 110 Rn. 5. 87 Vgl. Heinrich, wistra 2017, 219 (222); MüKo-StPO/Hauschild, § 110 Rn. 1. 88 SK-StPO/Wohlers/Jäger, § 110 Rn. 16. 89 In Rechtsprechung und Literatur einhellig anerkannt, s. nur BVerfG NJW 2018, 3571 (3572); BGH NStZ 2003, 670 (671); HK-StPO/Gercke, § 110 Rn. 8; Peters, NZWiSt 2017, 465 (466); SK-StPO/Wohlers/Jäger, § 110 Rn. 16; SSW-StPO/Hadamitzky, § 110 Rn. 20. 90 Diese Entscheidung liegt im Ermessen der Staatsanwaltschaft, siehe BGH NStZ 2003, 670 (671). 91 BGH NStZ 2003, 670 (671); OLG Jena NJW 2001, 1290 (1291, 1293); Bär, Zugriff auf Computerdaten, 1992, S. 180; Meyer-Goßner/Schmitt/Köhler, § 110 Rn. 10; MüKoStPO/Hauschild, § 110 Rn. 22; abweichend Peters, NZWiSt 2017, 465 (466), die dabei aber weniger eine strikt systematische Einordnung vornimmt, als vielmehr eine Bewertung der eigenständigen Eingriffsintensität der (Mitnahme zur) Durchsicht. 92 BGH NJW 1995, 3397; vgl. auch Heinrich, wistra 2017, 219 (222); Meyer-Goßner/ Schmitt/Köhler, § 110 Rn. 10. Kemper, wistra 2010, 295 (298) spricht von einer „vorgelagerten Beschlagnahme“. 93 BGH NJW 1995, 3397; anders offenbar Heinrich, wistra 2017, 219 (224), der schon

86

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Ermittlungsgang von Durchsicht bis zur Beschlagnahme beinhaltet hier also drei Schritte: Im ersten Schritt wird der durchzusehende Gegenstand ausgewählt und mitgenommen, im zweiten Schritt erfolgt die eigentliche Durchsicht, im dritten Schritt schließt sich gegebenenfalls die Sicherstellung bzw. Beschlagnahme an.94 Ermittler greifen insbesondere auf das Prinzip der Mitnahme zur Durchsicht zurück, wenn die Sichtung von informationstechnischen Systemen bzw. Datenträgern nötig ist. Hier ist eine Durchsicht vor Ort typischerweise nicht leistbar, sei es aufgrund der schieren Menge an Daten, sei es aufgrund technischer Gegebenheiten wie zum Beispiel der Verschlüsselung oder sonstiger Verschleierung von Daten, denen nur durch Methoden der IT-Forensik95 durch Spezialisten der Polizei oder durch externe Experten begegnet werden kann.96 Eine Sichtung vor Ort kann auch deshalb nicht leistbar sein, weil Textdokumente in einer Fremdsprache (d. h. nicht auf Deutsch) verfasst sind und daher nur nach einer Übersetzung ausgewertet werden können.97 Die Mitnahme zur Durchsicht wird häufig praktiziert; insbesondere in Wirtschafts- und Steuerstrafverfahren, in denen Ermittler oft sehr große Mengen an Daten vorfinden, ist diese Maßnahme bereits zum Regelfall geworden.98

mit der Durchsicht die Durchsuchung als beendet ansehen will, freilich im Widerspruch zu seinen vorigen Aussagen (S. 222); ähnlich Bell, Strafverfolgung und die Cloud, 2019, S. 104 f., die die Durchsuchung bereits dann als beendet ansieht, wenn die Ermittler den Ort der Durchsuchung verlassen. Beendet ist zu diesem Zeitpunkt aber lediglich der Eingriff in Art. 13 GG. 94 Vgl. BGH NJW 2010, 1297 (1298); Sieber/Brodowski, in: Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 19.3 Rn. 57; vgl. auch Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 455 ff. 95 Einen guten Überblick zu Methoden der IT-Forensik bei der Durchsicht von Datensätzen liefern Gercke/Brunst, Internetstrafrecht, Rn. 987 ff.; Heinson, IT-Forensik, 2015, S. 24 ff.; Pawlaszczyk, in: Labudde/Spranger (Hrsg.), Forensik in der digitalen Welt, 2017, S. 113 ff.; ausführliches Werk zum Thema: Geschonneck, Computer-Forensik, 6. Auflage 2014, insb. S. 65 ff. 96 Vgl. schon BT-Drs. 15/1508, S. 24; allgemein dazu Ludewig, KriPoZ 2019, 293 (298); Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 452 ff.; 472 ff.; Wenzel, NZWiSt 2016, 85 (86 f.); vgl. auch Kroll, Kernbereichsschutz, 2021, S. 60; Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 36 f. 97 Vgl. BVerfGE 120, 274 (338), dort aber in Bezug auf die Einstufung der Kernbereichsrelevanz von Daten. 98 So Kemper, wistra 2010, 295; Wackernagel/Graßie, NStZ 2021, 12; vgl. auch Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 459 f.; allgemein Ludewig, KriPoZ 2019, 293 (298); Schilling/Rudolph/Kuntze, HRRS 2013, 207 (208); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 332.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

87

1. „Vorläufige Sicherstellung“ Zuweilen wird im Zusammenhang mit der Mitnahme zur Durchsicht von einer „vorläufigen Sicherstellung“ gesprochen.99 Damit wird zutreffend ausgedrückt, dass es bei der Mitnahme der potentiellen Beweisgegenstände nicht darum geht, sie als Beweismittel endgültig sicherzustellen, sondern dies zunächst nur vorläufig zum Zwecke weiterer Auswertung zu tun.100 Die Bezeichnung „Sicherstellung“ ist in diesem Zusammenhang gleichwohl irreführend.101 Die echte formlose Sicherstellung ist eine Maßnahme nach § 94 Abs. 1 StPO und setzt voraus, dass der Gewahrsamsinhaber die Sache freiwillig herausgibt oder aber gar kein Gewahrsamsinhaber existiert oder bekannt ist.102 Gibt der Gewahrsamsinhaber die Sache nicht freiwillig heraus, bedarf es einer förmlichen Beschlagnahme nach § 94 Abs. 2 StPO aufgrund einer Anordnung nach § 98 StPO.103 Die Mitnahme zur Durchsicht ist dagegen keine Maßnahme im Sinne der §§ 94 ff. StPO und soll im Falle der Mitnahme gegen den Willen des Betroffenen auch keiner Beschlagnahmeanordnung gemäß § 98 StPO bedürfen.104 Dass die Mitnahme zur Durchsicht dennoch mit dem Begriff der Sicherstellung in Verbindung gebracht wird, schafft eine Verwechslungsgefahr, die sich bereits mehrfach in der Praxis verwirklicht hat.105 Als Ersatzbegriff vorgeschlagen wurde daher „vorläufige Entziehung zur Durchsicht“ bzw. „vorläufige Entziehung“.106 Hier in dieser Arbeit wird aber die Bezeichnung „Mitnahme zur Durchsicht“ beibehalten.

99

Siehe BVerfG NJW 2018, 2385 (2386); BGH NJW 1995, 3397; NStZ 2003, 670 (671); NJW 2010, 1297 (1298); OLG Jena NJW 2001, 1290 (1293); Basar/Hie´ramente, NStZ 2018, 681 (683, 686); Heinrich, wistra 2017, 219 (222); SSW-StPO/Hadamitzky, § 110 Rn. 20; Szesny, WiJ 2012, 228 (229 f.). 100 Vgl. OLG Jena NJW 2001, 1290 (1293). 101 Peters, NZWiSt 2017, 465 (466). 102 KMR/Müller, § 94 Rn. 7; LR/Menges, § 94 Rn. 35 ff.; SSW-StPO/Eschelbach, § 94 Rn. 30. 103 KMR/Müller, § 94 Rn. 10; LR/Menges, § 94 Rn. 39 ff.; SSW-StPO/Eschelbach, § 94 Rn. 34. 104 Vgl. BGH NStZ 2003, 670 (671); OLG Jena NJW 2001, 1290 (1293 f.). 105 Zu dieser Einschätzung Peters, NZWiSt 2017, 465 (466) mit Verweis auf BGH NStZ 2003, 670, wo in dem zugrunde liegenden Verfahren der Beschluss des BGH-Ermittlungsrichters und der Antrag des Generalbundesanwalts eine vorläufige Sicherstellung (im Sinne einer Mitnahme zur Durchsicht) mit einer Beschlagnahme verwechselten. Siehe auch die irrtümliche Annahme bzw. verwirrende Begriffswahl in BVerfGE 124, 43 (44 f.): Die „vorläufige Sicherstellung“ sei in § 94 Abs. 1 StPO geregelt. 106 Peters, NZWiSt 2017, 465 (472).

88

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

2. Anfertigung von Datenkopien bei der Mitnahme zur Durchsicht Die fehlende Körperlichkeit elektronisch gespeicherter Daten bedingt eine Besonderheit bei der Mitnahme zur Durchsicht. So ist es nicht immer erforderlich, das informationstechnische System oder die Datenträger (also zum Beispiel die Festplatte des Computers oder einen USB-Stick) mitzunehmen. In vielen Fällen ist es stattdessen möglich, die darauf gespeicherten Daten zu kopieren, zum Beispiel auf einen behördeneigenen Datenträger, den die Ermittler zur Durchsuchung mitgebracht haben. Mitgenommen werden dann nur die Datenkopien, nicht aber die Hardware des informationstechnischen Systems oder die Datenträger des Durchsuchten. Diese Mitnahme zur Durchsicht in Form der Sicherung von Daten, also der Anfertigung von Datenkopien ohne Mitnahme der physischen Hardware, ist mittlerweile ausdrücklich in § 110 Abs. 3 S. 3 StPO sowohl für die Durchsicht lokaler als auch externe informationstechnischer Systeme geregelt. Zuvor enthielt § 110 Abs. 3 StPO a. F. eine ausdrückliche Sonderregelung für die vorläufige Sicherung von Daten nur für die Netzwerkdurchsicht; die Befugnis zur vorläufigen Datensicherung wurde für Fälle der Durchsicht lokaler informationstechnischer Systeme bzw. Speichermedien in § 110 Abs. 1 StPO hineingelesen.107 Insoweit dient § 110 Abs. 3 S. 3 StPO lediglich der Klarstellung der bereits zuvor anerkannten Rechtslage.108 Zur Ermöglichung der Durchsicht wie auch zum Überspielen der Daten auf einen mitgebrachten Datenträger darf das informationstechnische System vor Ort in Betrieb genommen werden (ausführlich zu dieser Begleitmaßnahme unten Kap. 2 B.VII.1.).109 Die Befugnis dazu soll sich aus einer Annexkompetenz zur Durchsuchung nach den §§ 102 ff. StPO ergeben.110 Die Anfertigung und Mitnahme von Datenkopien wird häufig das mildere Mittel im Vergleich zur Mitnahme der Hardware des von der Durchsicht Betroffenen sein.111 Die Maßnahme entspricht zudem den Verpflichtungen aus der 107

Heinson, IT-Forensik, 2015, S. 215 f.; SK-StPO/Wohlers/Jäger, § 110 Rn. 16; SSWStPO/Hadamitzky, § 110 Rn. 20; Szesny, WiJ 2012, 228 (230). Warken, NZWiSt 2017, 449 (450 f.) sieht bezüglich der späteren beweisrechtlichen Verwertung Probleme mit dem Unmittelbarkeitsgrundsatz. 108 Vgl. BT-Drs. 19/27654, S. 74: „Die Befugnis zur vorläufigen Sicherung ergibt sich nunmehr insgesamt für Daten – unabhängig von ihrem Speicherort – aus Satz 3.“ [Kursivdruck nicht im Original]. 109 Bär, in: Wabnitz/Janovsky, Handbuch Wirtschafts- und Steuerstrafrecht, Kap. 28 Rn. 17; Gercke/Brunst, Internetstrafrecht, Rn. 966; Kemper, NStZ 2005, 538 (540); Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 457; Sieber/Brodowski, in: Hoeren/ Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 19.3 Rn. 58. 110 Sieber/Brodowski, in: Hoeren/Sieber/Holznagel (Hrsg.), Handbuch MultimediaRecht, 19.3 Rn. 58; vgl. auch ausführlich Bär, Der Zugriff auf Computerdaten, 1992, S. 183 ff. 111 Gercke/Brunst, Internetstrafrecht, Rn. 969; Heinson, IT-Forensik, 2015, S. 193;

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

89

Convention on Cybercrime, die in ihrem Art. 19 Abs. 3 lit. b) fordert, dass die Unterzeichnerstaaten die zuständigen Behörden ermächtigen müssen, Computerdaten auch mittels Anfertigung von Kopien sicherzustellen. a) Ausmaß und Umfang der Datenkopien Fraglich ist, in welchem Ausmaß und Umfang die Daten zum Zwecke der Mitnahme zur Durchsicht kopiert werden dürfen. § 110 Abs. 3 S. 3 StPO beschränkt die Sicherungsbefugnis auf „Daten, die für die Untersuchung von Bedeutung sein können“. Der Grundsatz der Verhältnismäßigkeit in Gestalt des Gebots der Erforderlichkeit verlangt, dass staatliches Handeln auf das relativ mildeste Mittel zur Erreichung des angestrebten Zwecks zu begrenzen ist. Unter gleich wirksamen Maßnahmen ist also das am wenigsten in die Grundrechte des Betroffenen einschneidende Mittel zu wählen.112 Der Umfang von Datenkopien muss folglich auf das für das Strafverfahren erforderliche Maß beschränkt werden. Datenmaterial, das zur Erreichung des Zwecks der konkreten Maßnahme nicht relevant und damit überschüssig ist, darf somit grundsätzlich nicht gesichert werden.113 Indes bedingt der spezielle Zweck der Mitnahme zur Durchsicht Besonderheiten. Zweck der Mitnahme zur Durchsicht ist nicht, das Datenmaterial anhand seiner Beweisrelevanz zu sortieren und irrelevante Daten auszusieben, denn dies ist Zweck der Durchsicht selbst, zu der die Mitnahme zur Durchsicht die vorgelagerte, bloß vorbereitende Maßnahme ist. Mit anderen Worten: Die Mitnahme bzw. das Kopieren der Daten soll die Sichtung und damit Kategorisierung der Daten als verfahrensrelevant oder verfahrensirrelevant erst vorbereiten. Die Mitnahme ist der erste Schritt, an den sich die Durchsicht als zweiter Schritt und schlussendlich die Beschlagnahme als dritter Schritt anschließen.114 Folglich liegt es in der Natur der Mitnahme zur Durchsicht, dass durch sie vorläufig ein Überschuss an Daten gesichert wird. Es ist gerade die Methode hinter der Mitnahme zur Durchsicht, zunächst einmal einen gesamten Datensatz ohne Vorsortierung zu sichern. Wüssten

Park, Durchsuchung, Rn. 829; Spatscheck, FS Hamm 2008, 733 (737); Szesny, WiJ 2012, 228 (230); zur Erforderlichkeit insgesamt aber einschränkend Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 129 ff.: Hinsichtlich des Beweiswerts sei die Kopie im Vergleich zur Sicherung des Originals, also des Datenträgers, die weniger effektive Maßnahme. 112 BVerfGE 67, 157 (176); Hufen, Grundrechte, § 9 Rn. 21; Michael/Morlok, Grundrechte, Rn. 620 ff. 113 Vgl. BVerfGE 113, 29 (55 f.); Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 464 ff. 114 Vgl. BVerfGE 124, 43 (68 f.); Sieber/Brodowski, in: Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 19.3 Rn. 57; vgl. auch Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 455 ff.

90

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

die Ermittler nämlich bereits vor der Sicherung eines Datensatzes, welche Daten daraus für das konkrete Verfahren relevant sind, dann bedürfte es keiner Mitnahme zur Durchsicht oder sogar gar keiner Durchsicht nach § 110 Abs. 1 bzw. Abs. 3 StPO. Stattdessen könnten die Ermittler die für relevant befundenen Daten direkt nach den Maßgaben der §§ 94 ff. StPO sicherstellen bzw. beschlagnahmen.115 Bei einer Entscheidung über die Mitnahme zur Durchsicht befinden sich die Ermittler hingegen in einer Situation, in der die Daten noch nicht gemäß § 110 Abs. 3 StPO durchgesehen wurden, weil dies aufgrund ihrer Fülle nicht vor Ort möglich ist.116 Ohne eine solche Sichtung ist der einzelnen Datei mangels Körperlichkeit nicht von außen anzusehen, ob sie verfahrensrelevant ist.117 In diesem Stadium der Ermittlungen können, in den Worten des § 110 Abs. 3 S. 3 StPO, prinzipiell noch alle Daten „für die Untersuchung von Bedeutung sein“. Wenn potentielle Beweismittel in Form elektronisch gespeicherter Daten vorliegen, ist es also ein typisches Problem, dass die Relevanz dieser Daten für das jeweilige Strafverfahren nicht auf den ersten Blick erkennbar ist. Ob ein Datensatz im Zusammenhang mit der vorgeworfenen Straftat steht, wird häufig erst nach dessen (vollständiger) Sichtung zu ermitteln sein. Zweifel über die Relevanz des potentiellen Beweismaterials können zwar auch bei herkömmlichen, körperlichen Beweismitteln bestehen: Nicht jeder Papierakte und nicht jedem Brief sieht man sofort an, ob sie relevante Informationen enthalten. Wohl aber können Aufbewahrungsort, äußerliche Aufmachung und mit bloßem Auge erkennbare Details, wie zum Beispiel Absender und Empfänger einer Korrespondenz, durchaus Hinweise auf die Relevanz für das Verfahren liefern und somit ein frühes Aussortieren irrelevanten Materials ermöglichen. Elektronisch gespeicherten Daten hingegen sind derartige Details nicht oder jedenfalls nur in sehr unzuverlässiger Weise von außen anzusehen. Genauer gesagt kann man elektronisch gespeicherte Daten gar nicht „sehen“, stattdessen sieht man ihre Datenträger oder Computersysteme oder aber ihre Dateinamen in einer Dateiliste, ausgegeben auf einem Computerbildschirm. Um herauszufinden, was sich wirklich hinter einem Dateieintrag verbirgt und wem diese Datei wirklich zuzuordnen ist, muss man diese Datei öffnen und sichten.118 Bereits mit dieser Sichtung können

115 Für die Vorrangigkeit der Beschlagnahme in geeigneten Fällen ausdrücklich Kemper, wistra 2010, 295 (296 f.). 116 Oder weil die Daten verschlüsselt vorliegen und erst von IT-Experten entschlüsselt werden müssen, vgl. Basar/Hie´ramente, NStZ 2018, 681 (683). 117 Vgl. Czerner, in: Labudde/Spranger (Hrsg.), Forensik in der digitalen Welt, 2017, S. 265 (271 f.); Heinson, IT-Forensik, 2015, S. 4; Kemper, NStZ 2005, 538 (541 f.); Ludewig, KriPoZ 2019, 293 (297). 118 Zum Ganzen Warken, NZWiSt 2017, 289 (294); s. zum Problem auch Sokol, FS Hamm 2008, 719 (725 f.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

91

tiefgreifende Grundrechtseingriffe einhergehen. Das aber wird aus den genannten Gründen in vielen Fällen, in denen die Ermittlungen sich auf elektronisch gespeicherte Daten beziehen, schlicht erforderlich sein. Die Schwierigkeiten bei der vorab vorzunehmenden Kategorisierung von elektronisch gespeicherten Daten erteilen den Ermittlern aber keinen Freifahrtsschein dafür, immer den gesamten Datensatz aus informationstechnischen Systemen und Datenträgern zu erheben und mitzunehmen und dabei jegliche Vorsortierung zu unterlassen. Die Pflicht, den Umfang der Datensicherung auf das erforderliche Mindestmaß zu beschränken, gilt vielmehr weiter fort, und die Ermittler haben sich zu bemühen, diese Beschränkung praktisch durchzusetzen, sofern es Mittel und Wege dazu gibt. So können elektronische Datensätze prinzipiell durch Suchprogramme gefiltert werden. Hier spielen insbesondere die Metadaten über die auf einem System gespeicherten Dateien eine Rolle. Sie geben unter anderem Auskunft darüber, wann Dateien erstellt oder verändert wurden und wann zuletzt auf die jeweilige Datei zugegriffen worden ist.119 Durch die Beschränkung der Durchsicht auf Daten, die in einem bestimmten Zeitraum gespeichert wurden, kann so theoretisch eine Filterung von Daten hinsichtlich desjenigen Zeitraums, den man für den Tatvorwurf für relevant hält, gelingen.120 Allerdings sind Metadaten fehler- und manipulationsanfällig.121 Nicht immer ist sichergestellt, dass z. B. Zeitangaben über die Erstellung und Nutzung einer Datei der Wahrheit entsprechen, sei es wegen computerbedingter Fehler, sei es, weil die Metadaten manuell verändert oder sogar durch bloßen Aufruf der Datei automatisch überschrieben wurden.122 Entsprechend ist auch eine bloße Textsuche nach Stichwörtern fehleranfällig, denn weder ist sichergestellt, dass dadurch das, was gesucht wird, auch gefunden wird, noch ist umgekehrt garantiert, dass das, was gefunden wird, auch wirklich verfahrensrelevant ist. Belastende Dokumente über eine Steuerhinterziehung werden nur selten erkennbar mit „steuerhinterziehung.txt“ betitelt sein, genau so wie sich hinter einer Datei namens „steuerhinterziehung.txt“ ein völlig verfahrensirrelevantes Textdokument verbergen kann.123 Die simple Filterung von Datensätzen anhand von Metadaten oder Stichworten ist also nicht in allen Fällen dazu

119

Zu Metadaten siehe bereits oben Einl. D.III.2.c). Vgl. zur Bedeutung von Metadaten bei der Durchsicht auch Gercke/Brunst, Internetstrafrecht, Rn. 1011. 121 Heinson, IT-Forensik, 2015, S. 4; vgl. auch Warken, NZWiSt 2017, 329 (332). 122 Vgl. Sieber, Stellungnahme für das BVerfG, S. 16; Basar/Hie´ramente, NStZ 2018, 681 (685); Geschonneck, Computer-Forensik, 2014, S. 86; zur Manipulationsanfälligkeit von elektronischen Daten allgemein Momsen, FS Beulke 2015, 871 (875 f.). 123 Vgl. Buermeyer, HRRS 2007, 329 (337); ders., RDV 2008, 8 (14 f.); Kemper, ZRP 2007, 105 (108); Sänger, Die Polizei 2015, 228 (233); Sieber, Stellungnahme für das BVerfG, S. 16 f. 120

92

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

geeignet, die Masse an Daten auf ihre Verfahrensrelevanz hin einzugrenzen.124 Schon gar nicht wird dies am Durchsuchungsort innerhalb einer angemessenen Frist und mit angemessenem Aufwand möglich sein – von Ausnahmefällen abgesehen.125 Ein Ausnahmefall: Besteht die Vermutung, dass sich bestimmte Einzeldateien auf dem Rechner befinden, die in einem bestimmten Kriminalitätsbereich immer wieder auftauchen – zum Beispiel bei sog. kinderpornographischen Bilddateien oder Videodateien – kann eine automatisierte Suche zuverlässig gelingen. Kennen bzw. besitzen die Ermittler eine Datei, die typischerweise als sog. Kinderpornographie in Täterkreisen kursiert, so können sie dieser Datei eine Prüfsumme (Hashsumme) nach einem bestimmten automatisierten Berechnungsverfahren zuweisen. Diese Prüfsumme ergibt sich aus den individuellen inhaltlichen Eigenschaften der Datei (zum Beispiel eines Bildes) und stellt somit einen digitalen Fingerabdruck dar. Die berechnete Prüfsumme ist dann für genau diese Datei und ihre identischen Kopien immer die gleiche – egal, wie die Datei benannt wird, wie oft sie kopiert wurde oder wo und unter welchem Namen sie gespeichert ist. Mit geeigneter Software können Datenträger dann automatisiert darauf untersucht werden, ob auf ihnen eine Datei mit genau dieser individuellen Prüfsumme enthalten ist. Ist das der Fall, dann kann diese Datei gefunden und gesichert werden.126 Allerdings bringt auch diese Methode Schwierigkeiten mit sich. Erstens: Wenn die Datei der Ermittler und eine im Wesentlichen inhaltsgleiche Datei auf dem Datenträger des Beschuldigten auch nur minimal voneinander abweichen, zum Beispiel durch einen veränderten Pixel in einer Bilddatei (ein schwarzer Punkt statt ein blauer Punkt am Bildrand), dann ergeben sich bereits unterschiedliche Prüfsummen der beiden Dateien, und der Abgleich schlägt – zumindest in der Regel – fehl.127 Zweitens ist technisch nicht sichergestellt, dass ein Suchlauf auf dem Datenträger wirklich alle auf ihm gespeicherten Dateien erfasst. Einzelne Dateien können durch Archivierung, Verschleierung oder dergleichen versteckt und dadurch einem automatisierten Scan entzogen sein.128 Drittens funktioniert die Filterung nach Prüfsummen

124

Vgl. Böckenförde, JZ 2008, 925 (932); Peters, NZWiSt 2017, 465 (469). A. A. Szesny, WiJ 2012, 228 (231), der das Regel-Ausnahme-Verhältnis genau umgekehrt beurteilt: Nur ausnahmsweise sei es der Fall, dass eine grobe Vorsichtung und Filterung des Datenbestandes nicht zum Erfolg führe. 126 Zum Ganzen Gercke/Brunst, Internetstrafrecht, Rn. 981; s. auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 272. 127 Dieses Problem versuchen Verfahren wie „rHash“ zu lösen, indem sie sich auf den wahrnehmbaren Bildinhalt konzentrieren und dabei eine gewisse Toleranz für Farbänderungen, aber auch Veränderungen wie Spiegelung und Rotation von Bildinhalten aufweisen, s. dazu Marschall/Herfurth/Winter/Allwinn, MMR 2017, 152 (154). 128 Gercke/Brunst, Internetstrafrecht, Rn. 982. 125

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

93

ohnehin nur, wenn die Ermittler nach Dateien suchen, die sie bereits kennen – sonst können sie im Vorhinein auch keine Prüfsummen zum Zwecke der automatisierten Suche erstellen. Damit ist auch diese Methode nicht in jedem Fall zur zuverlässigen Datenfilterung im Stadium der Mitnahme zur Durchsicht geeignet. Mit dem Fortschreiten moderner Technologien im Bereich der Datenauswertung – es seien hier nur Schlagworte wie „Künstliche Intelligenz“ und „Algorithmen“ genannt – kann es in Zukunft aber durchaus zuverlässigere Methoden geben, Datensätze automatisiert und vor allem schnell zu rastern. Dann kann es bereits zu einem frühen Zeitpunkt des Ermittlungsverfahrens möglich sein, diejenigen Teile des Datensatzes herauszufiltern, die für das Verfahren relevant sind und die mit dem Tatvorwurf in Beziehung stehen. Hier könnten beispielsweise moderne Methoden des sogenannten „Data Mining“129 fruchtbar gemacht werden.130 Diese gehen dabei über die bloße – und wie gezeigt fehleranfällige – Prüfung von Metadaten und Suchbegriffen hinaus und untersuchen den Datensatz anhand mehrerer miteinander verknüpfter Parameter, um den Datensatz anhand des vorher bestimmten Durchsuchungszwecks entsprechend zu filtern. Mit dem Einsatz solcher Techniken erscheint es realistischer, noch vor der Mitnahme von Daten verfahrensirrelevantes Material automatisch auszufiltern. Indes begegnet aber auch diese Vorgehensweise gewissen Schwierigkeiten. Zum einen müssen speziell auf die Bedürfnisse der Strafverfolgung angepasste Algorithmen bzw. Programme erst entwickelt werden – das mag teils schon geschehen sein.131 Zum anderen aber ist aber auch hier der Einsatz vor Ort zur Vorbereitung einer Mitnahme von Daten zur Durchsicht fraglich. Die entsprechende Soft-

129

Siehe Fischer/Hofer, Lexikon der Informatik, Stichwort „Data Mining“, S. 205; vgl. zum Einsatz von Data Mining bei der strapfrozessualen Durchsicht von Datenbeständen Gercke/Brunst, Internetstrafrecht, Rn. 1014. 130 Momsen, FS Beulke 2015, 871 (885) geht davon aus, dass „Big-Data“-Konzepte bei der Auswertung von Daten mittelfristig zum Standard werden; vgl. zu „Big Data“ und „Data Mining“ auch Hoffmann-Riem, AöR 142 (2017), 1 (6 ff.); Warken, NZWiSt 2017, 329 (332 f.); zu den daraus erwachsenden Gefahren siehe Rehak, CILIP 114, 24.11.2017, htt ps://www.cilip.de/2017/11/24/die-datenschatten-zum-staatlichen-umgang-mit-vernetztendatenbestaenden/ [zuletzt abgerufen am 04.11.2021]. 131 Zum Beispiel im gemeinsamen Forschungsprojekt des Landes NRW mit dem Unternehmen Microsoft zur Entwicklung einer „Künstlichen Intelligenz“, die kinderpornographisches Material erkennen und ausfiltern soll, s. die Berichterstattung bei Legal Tribune Online vom 05.08.2019, https://www.lto.de/recht/nachrichten/n/forschungsprojekt-n rw-kuenstliche-intelligenz-kinderpornographie-internet/ [zuletzt abgerufen am 04.11.2021]; dazu auch Staffler/Jany, ZIS 2020, 164 (169). Auch bei der Auswertung der sogenannten „Panama Papers“ im Zusammenhang mit der Aufklärung von Delikten aus dem Steuerstrafrecht hat das BKA Künstliche Intelligenz eingesetzt, s. Golla, KrimJ 2020, 149.

94

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

ware muss am informationstechnischen System des Betroffenen einsatzbereit sein, sie muss entsprechend eingestellt und konfiguriert werden und es muss sichergestellt und dokumentiert sein, dass sie selber nicht den Datenbestand verändert. Realistischerweise ist hierfür spezialisiertes Personal bei der Polizei oder die Hilfe externer Experten nötig – diese werden bei der Durchsuchung aber nicht immer vor Ort sein.132 Das grundlegende praktische Problem in der Konstellation der Mitnahme zur Durchsicht, dass eine Durchsicht vor Ort in den durchsuchten Räumlichkeiten unangemessen zeitaufwendig und womöglich gar nicht möglich ist, bliebe auch bei dem Einsatz modernster Technologien bestehen. Auch eine automatisierte Grobfilterung des kompletten Datenbestandes wird daher in vielen Fällen nicht erfolgreich durchführbar sein – die Mitnahme des gesamten Datenbestandes erscheint weiterhin erforderlich. Erst nach der Mitnahme der Datenbestände finden automatisierte Verfahren zur Durchsicht sinnvollerweise Anwendung.133 Überhaupt ist nur schwer absehbar, wann in der Zukunft eine wirklich zuverlässige Technologie zur Identifizierung von verfahrensrelevanten bzw. zur Aussonderung von verfahrensirrelevanten Daten vorliegen wird.134 Als anekdotischer Beleg für die momentane Unvollkommenheit entsprechender Filterungsprogramme mögen die zurzeit noch äußerst fehleranfälligen Algorithmen des US-Tech-Unternehmens facebook dienen, die unerwünschte politische Werbung in ihrem Netzwerk blockieren sollen: Die angewandten Programme blockierten fälschlicherweise auch politisch neutrale Werbung, wenn diese Begriffe enthielt oder einen Bezug zu Orten oder Personen aufwies, die zufällig genau so hießen wie US-Politiker (Bush, Clinton).135 Sollten in der Zukunft aber zuverlässige computergestützte Filtermethoden entwickelt werden, so können sie ein Werkzeug sein, um die Erforderlichkeit von Maßnahmen nach § 110 Abs. 3 StPO (und sich anschließenden Maßnahmen wie insbesondere einer Sicherstellung) zu gewährleisten, die Durchsicht zu beschleunigen und so auch die Grundrechtsbeeinträchtigungen abzumildern. Ob und inwieweit ein technisches Rastern von Daten durch Algorithmen und künstliche Intelligenz aber tatsächlich immer ein milderes Mittel zur Durchsicht durch Menschen darstellt und wie viel Vertrauen man diesen Methoden im Strafverfahren schenken mag und darf, sind Fragen, denen hier nicht weiter nachgegangen werden kann.136

132

Vgl. schon für die einfache Durchsicht von Datenbeständen BT-Drs. 15/1508, S. 24. Vgl. die Phaseneinteilung bei Gercke/Brunst, Internetstrafrecht, Rn. 989 ff., 997 ff. 134 Optimistisch mit Blick auf die Lernfähigkeit und Trainierbarkeit Künstlicher Intelligenz Esser/Reißmann, StV 2021, 526 (530). 135 Siehe den Artikel bei Bloomberg vom 02.07.2018, https://www.bloomberg.com/new s/articles/2018-07-02/facebook-s-algorithm-blocks-ads-for-bush-s-beans-singers-named-c linton [zuletzt abgerufen am 04.11.2021]. 136 Optimistisch zum Einsatz von Künstlicher Intelligenz für die Zwecke der Datenaus133

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

95

Unter den derzeitigen technischen Bedingungen werden die Ermittler in der Praxis also häufig eine vorläufige Komplettsicherung der aufgefundenen Daten im Rahmen einer Mitnahme zur Durchsicht anstreben.137 So eine Komplettsicherung kann, gemessen am Zweck der Mitnahme zur Durchsicht, wie gezeigt erforderlich sein. Der pauschale Einwand, es würden damit auch verfahrensirrelevante Daten gesichert, verfängt hier jedenfalls auf Prüfungsstufe der Erforderlichkeit nicht.138 Allein in Situationen, in denen bereits aufgrund der äußeren Umstände klar ist, dass der aufgefundene Datensatz insgesamt nur verfahrensirrelevante Daten enthält (zum Beispiel wenn Daten von einem Gerät gesichert werden sollen, auf das der Beschuldigte gar keinen Zugriff hat), ist die Erforderlichkeit der Komplettsicherung zu verneinen. Wenn freilich ohnehin alles darauf hindeutet, dass der Datensatz insgesamt für das Verfahren nicht relevant ist, dann ist bereits jedwede Datensicherung, auch in Teilen, nicht erforderlich und damit unverhältnismäßig und unzulässig.139 b) Komplettsicherung der Daten zur Erhaltung des Beweiswerts Die Komplettsicherung des Datensatzes kann bei der Mitnahme zur Durchsicht auch deshalb erforderlich sein, weil die Ermittler den Beweiswert der Daten erhalten wollen und müssen. Es muss nachweisbar bleiben, dass sich das aufgefundene Datenmaterial auch tatsächlich zum Zeitpunkt der Sicherung auf dem Datenträger befunden hat.140 Dieser Nachweis wird umso schwieriger zu führen sein, je fragmentierter die angefertigten Datenkopien sind.141 Mit anderen Worten: Entnehmen die Ermittler nur Teile eines Datensatzes von einem Datenträger, so wird die Zuordnung dieser Daten zum Original-Datensatz schwieriger zu beweisen sein. Es bedarf eines Nachweises, dass sich diese Daten tatsächlich auf dem aufgefundenen Datenträger befanden und Teil des gesamten Datensatzes waren, die kopierten Daten also

wertung Esser/Reißmann, StV 2021, 526 (530). Vgl. als allgemeines exemplarisches Beispiel für die Fehleranfälligkeit von Algorithmen aber die Studie von Dressel/Farid, Science Advances 2018, Auflage 4, Nr. 1 über den Einsatz von algorithmengestützten Computerprogrammen zur Beurteilung der Rückfallwahrscheinlichkeit von verurteilten Straftätern in den USA: Die damit im Rahmen der Studie gefällten Prognoseentscheidungen wiesen eine vergleichsweise niedrige Trefferquote auf und beinhalteten zudem rassistische Diskriminierung. Dazu auch Ofterdinger, ZIS 2020, 404 (406); Staffler/Jany, ZIS 2020, 164 (171 f., 175). 137 Vgl. Kroll, Kernbereichsschutz, 2021, S. 63; Schneider, ZIS 2020, 79 (81); Szesny, WiJ 2012, 228 (229). 138 Vgl. BVerfGE 124, 43 (69), dort sogar für die (endgültige) Beschlagnahme der Daten. 139 Vgl. Szesny, WiJ 2012, 228 (230). 140 Heinson, IT-Forensik, 2015, S. 132 ff., 145 f.; Müller, NZWiSt 2020, 96 (100). 141 Das üersieht BVerfGE 113, 29 (55).

96

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

identisch sind mit den Original-Daten.142 Insoweit sind auch Daten, die keinen unmittelbaren Bezug zu begangenen Straftaten aufweisen, dennoch im Sinne des § 110 Abs. 3 S. 3 StPO für die Untersuchung von Bedeutung, indem sie den Beweiswert der gesicherten Daten insgesamt erhalten. Das Problem der Erhaltung des Beweiswerts der gesicherten Daten stellt sich natürlich auch dann noch, wenn die Ermittler einen Datensatz nicht nur teilweise kopieren, sondern eine Komplettsicherung vornehmen. Auch dann muss durch geeignete Maßnahmen nachvollziehbar und beweisbar bleiben, dass diese Daten so beim Beschuldigten (oder an anderer Stelle) aufgefunden worden sind.143 Denn: Verbleibt der Original-Datenträger und damit der Original-Datensatz beim Beschuldigten, so haben dieser oder Dritte die Möglichkeit, die Zusammensetzung des Original-Datensatzes zu verändern, nachdem die Ermittler ihre Kopie angefertigt haben. Der Datensatz, den die Ermittler gesichert haben, deckt sich dann nicht mehr mit dem Datensatz, der beim Beschuldigten verblieben ist. Im späteren Verlauf des Verfahrens stehen sich dann zwei sich widersprechende Datensätze gegenüber, sodass strukturell eine Situation „Aussage gegen Aussage“ gegeben sein kann.144 Das gilt es zur Sicherung eines effektiven Strafverfahrens zu vermeiden.145 Umgekehrt muss zur Gewährleistung der Rechtstaatlichkeit des Verfahrens ausgeschlossen werden, dass staatliche Stellen oder Dritte die gesicherte Datenkopie nachträglich manipulieren. Es darf nicht der Verdacht entstehen, dass der Datenkopie im Nachhinein belastendes Material hinzugefügt wurde bzw. es muss die Möglichkeit bestehen, einen derartigen Verdacht zu widerlegen. Nur dann weisen die gesicherten Daten einen hinreichenden Beweiswert auf, der eine eventuelle spätere Verurteilung des Beschuldigten zu stützen vermag.146 Entsprechend verpflichtet Art. 19 Abs. 2 lit. c) der Convention on Cybercrime dazu, die „Unversehrtheit der einschlägigen gespeicherten Computerdaten zu erhalten.“ Die technische Sperrung des Datensatzes auf dem beim Beschuldigten belassenen Original-Datenträger (z. B. über eine passwortgesicherte Verschlüsselung), wie sie zuweilen als Lösung vorgeschlagen wird,147 ist allerdings schon angesichts der vielfältigen technischen Möglich-

142

Vgl. Gercke/Brunst, Internetstrafrecht, Rn. 987; Basar/Hie´ramente, NStZ 2018, 681 (682); KK/Greven, § 94 Rn. 4b. 143 Vgl. Gercke/Brunst, Internetstrafrecht, Rn. 987; Basar/Hie´ramente, NStZ 2018, 681 (682); KK/Greven, § 94 Rn. 4b. 144 Warken, NZWiSt 2017, 329 (332). 145 Die Ermittler sollten ihr Vorgehen deshalb von Beginn der Untersuchung an dokumentieren, Heinson, IT-Forensik, 2015, S. 28. 146 Vgl. Bunzel, Zugriff auf IT-Systeme, 2015, S. 256; Hansen/Pfitzmann, DRiZ 2007, 225; Heinson, IT-Forensik, 2015, S. 132 ff. 147 Z. B. von KK/Bruns, § 110 Rn. 5.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

97

keiten, eine solche Sperre zu knacken oder zu umgehen, nur wenig praktibakel.148 In technischer Hinsicht sollte die Komplettsicherung ein Abbild („Image“) des gesamten Datenträgers darstellen.149 In diesem Zusammenhang wird auch von einer „Spiegelung“ des Datenträgers gesprochen. Dabei sollen nicht nur offenkundig belegte, sondern auch scheinbar unbelegte Teile des Datenträgers erfasst werden, auf denen Daten verborgen und/oder verschlüsselt sein können.150 Es muss sichergestellt sein, dass eine 1:1-Kopie entsteht, die im weiteren Ermittlungsverlauf nicht mehr verändert wird.151 Die Durchsicht sollte daher niemals am Original-Datensatz durchgeführt werden.152 Der Inhalt des ursprünglichen Datensatz selber sollte mit einer eigens berechneten kryptographischen Prüfsumme (Hashsumme) versehen werden. Anhand dieser Prüfsumme kann die Integrität des Datensatzes nachgewiesen werden, es kann also dokumentiert werden, dass dieser Datensatz nicht nachträglich verändert wurde (zum Beispiel durch Unterschieben von im Original nicht vorhandener Daten).153

148

Park, Durchsuchung, Rn. 822. Dazu Bäcker/Freiling/Schmitt, DuD 2010, 80 und Freiling/Sack, DuD 2014, 112 (112 f.), auch zu den technischen (Kapazitäts-)Grenzen; ausf. Geschonneck, ComputerForensik, 2014, S. 91 ff. 150 Gercke/Brunst, Internetstrafrecht, Rn. 970; Heinson, IT-Forensik, 2015, S. 31 ff., 144 f.; so auch schon Kemper, NStZ 2005, 538 (542); ders., ZRP 2007, 105 (108); vgl. auch BVerfGE 113, 29 (56 f.); Schilling/Rudolph/Kuntze, HRRS 2013, 207 (211 f.). 151 Basar/Hie´ramente, NStZ 2018, 681 (685); Bunzel, Zugriff auf IT-Systeme, 2015, S. 256, 260. Das begegnet zuweilen technischen Schwierigkeiten, insbesondere bei Smartphones, s. Heinson, IT-Forensik, 2015, S. 219. 152 Gercke/Brunst, Internetstrafrecht, Rn. 1000; Heinson, IT-Forensik, 2015, S. 31 f.; vgl. auch Bäcker/Freiling/Schmitt, DuD 2010, 80 (81); Basar/Hie´ramente, NStZ 2018, 681 (682, 685); Freiling/Sack, DuD 2014, 112. 153 Basar/Hie´ramente, NStZ 2018, 681 (685); Hansen/Pfitzmann, DRiZ 2007, 225; Heinson, IT-Forensik, 2015, S. 149 f.; Momsen, FS Beulke 2015, 871 (883); Müller, NZWiSt 2020, 96 (100); abweichend Szesny, WiJ 2012, 228 (234), der in der Verwendung und Speicherung von nicht mehr veränderbaren „Containerdateien“ das Problem sieht, dass diese eine „faktische Beschlagnahme“ darstellen und verfahrensirrelevante Daten zudem nicht mehr zu löschen sind, und deswegen stattdessen eine Dokumentation des ursprünglichen Datensatzes per Beibehaltung der Ordnerstruktur im Datensatz und Führen eines Löschprotokolls vorschlägt. Ob diese Art der Dokumentation – für die Szesny ergänzend auch die Anfertigung von Screenshots der Ordnerstruktur des Orignals vorschlägt – tatsächlich gleich geeignet ist, den Beweiswert der Daten zu erhalten, ist allerdings zweifelhaft. Siehe aber auch Schilling/Rudolph/Kuntze, HRRS 2013, 207 (212), die darlegen, dass es mittels einer Verkettung von Hashwerten (Hash-Baum) möglich sei, gebotene nachträgliche Veränderung des Images (zum Beispiel die selektive Löschung verfahrensirrelevanter Daten, um die Verhältnismäßigkeit der Durchsicht zu wahren) rechtssicher zu dokumentieren und den Beweiswert der erhobenen Daten zu erhalten. 149

98

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Im Übrigen besteht auch unabhängig von den Gefahren einer nachträglichen Manipulation der Datensätze ein legitimes Interesse daran, einen Datensatz komplett zu sichten und deshalb im Vorhinein entsprechend vollständig zu sichern. Die Staatsanwaltschaft hat gemäß § 160 Abs. 2 StPO die Verpflichtung, auch die zur Entlastung des Beschuldigten dienenden Umstände zu ermitteln. Konzentrierten sich die Ermittler nur auf die Teile eines Datensatzes, die den Beschuldigten belasten, so missachteten sie diese Pflicht aus § 160 Abs. 2 StPO.154 Überhaupt müssen einzelne Daten und Dateien im Gesamtzusammenhang interpretiert werden, damit korrekte Schlussfolgerungen aus ihnen gezogen werden können.155 Ein vermeintlich belastendes Datum kann so, im Kontext betrachtet, seine belastende Wirkung verlieren,156 wie auch umgekehrt eine zunächst harmlos oder belanglos erscheinende Datei erst im Zusammenhang mit anderen Daten inkriminierend sein kann. Dieser Kontext, in den einzelne Daten zu stellen sind, kann sich dabei unter Umständen erst aus dem gesamten Datensatz ergeben. Deshalb verbietet es sich für Strafverfolgungsbehörden, aus einem Datensatz bloß die Dateien herauszupicken, die den Anfangsverdacht (scheinbar) bestätigen. Um eine derartige Rosinenpickerei zu verhindern, muss deshalb schon im Vorhinein bei der Mitnahme zur Durchsicht sichergestellt sein, dass die Daten mitsamt ihres Kontexts erhoben werden, was wiederum eine Komplettsicherung des Datensatzes nahelegt.157 Ob der Datensatz dann später tatsächlich auch vollständig gesichtet werden muss – oder, vor dem Hintergrund der Verhältnismäßigkeit: gesichtet werden darf – ist eine andere Frage. Im Zeitpunkt der Mitnahme zur späteren Durchsicht kann aber noch nicht entschieden werden, welche Teile des Datensatzes auch zur Kontextualisierung von (ver-

154

Vgl. Warken, NZWiSt 2017, 329 (333 – Fn. 41); die Möglichkeit zur Entlastung des Beschuldigten durch digitale Beweise hervorhebend Momsen, FS Beulke 2015, 871 (877). 155 Vgl. speziell für Wirtschafts- und Steuerstrafverfahren Kemper, wistra 2010, 295 (295 f.). 156 S. dazu den Fall Amero, geschildert bei Momsen, FS Beulke 2015, 871 f.: In diesem Fall aus den USA wurde eine Lehrerin angeklagt, ihren Schülern pornographische Inhalte auf einem Schulcomputer gezeigt zu haben. Tatsächlich waren während der Schulstunde sogenannte Pop-Ups mit pornographischen Inhalten auf dem Bildschirm erschienen, was durch eine Auswertung der Logfiles (Aufrufprotokolle) des Rechners belegt werden konnte. Der Vorwurf gegen Amero schien damit bestätigt. Erst in der Rechtsmittelinstanz wurde herausgefunden, dass sich auf dem Rechner eine Malware befand, die Pop-Ups mit pornographischen Inhalten in nicht zu kontrollierender Art und Weise selbstständig und gegen den Willen des Nutzers aufrufen konnte. Diese Information enthielten die vorher ohne diesen Zusammenhang betrachteten Logfiles nicht. Ihr Beweiswert hinsichtlich der Vorwürfe gegen Amero ging somit ohne die Auswertung weiterer Rechnerdaten gegen Null. 157 Vgl. zur Kontextabhängigkeit des Beweiswerts von Daten auch LR/Tsambikakis, § 110 Rn. 23.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

99

meintlich) belastenden Funden benötigt werden. Damit die spätere Auswertung der Daten möglichst objektiv erfolgt, muss daher schon im Vorhinein dafür Sorge getragen werden, dass die Daten bei Bedarf vollständig und im umfassenden Kontext einsehbar sind.158 c) Rückgriff auf den Datenträger oder das gesamte informationstechnische System Es gibt Fälle, in denen selbst eine Komplettspiegelung des Datenbestandes den Anforderungen an den Erhalt des Beweiswerts der Daten159 und generell den Anforderungen an die Ziele der Ermittlungen nicht genügt. So können Daten, die auf dem Datenträger verschleiert, versteckt, unsichtbar gemacht, verschlüsselt oder gelöscht160 sind, eventuell auch von einer Gesamtkopie nach oben beschriebenen Maßstäben nicht erfasst werden. Sie können161 aus technischen Gründen aus dem Kopiervorgang herausfallen und damit den Ermittlern verloren gehen.162 Besteht im Einzelfall der begründete Verdacht,

158 Vgl. Heinson, IT-Forensik, 2015, S. 130 f.; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 339; krit. Schilling/Rudolph/Kuntze, HRRS 2013, 207 (210 f.). 159 Zum generellen Beweiswert von elektronisch gespeicherten Daten skeptisch Warken, NZWiSt 2017, 329 (330); vgl. auch Momsen, FS Beulke 2015, 871 (875 ff.); Sieber/Brodowski, in: Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 19.3 Rn. 164. 160 Wird eine Datei auf einem Computersystem „gelöscht“ (Verschieben der Datei in den „Papierkorb“ und Leeren dieses „Papierkorbs“), so bedeutet dies nicht automatisch, dass die Datei tatsächlich vom Datenträger verschwunden ist. Sie ist noch eine gewisse Zeit elektronisch oder elektromagnetisch auf dem Datenträger gespeichert. Sie wird erst wirklich vom Datenträger entfernt, wenn der ihr bisher zugewiesene Platz auf dem Datenträger durch andere Daten überschrieben wird. Durch eine über das Betriebssystem angewiesene Löschung („Papierkorb leeren“) erteilt der Nutzer des Systems lediglich die Erlaubnis, dass der Platz, der durch die Datei belegt wird, bei nächster Gelegenheit vom System überschrieben werden darf (dieses Überschreiben kann mittels Software auch direkt erzwungen werden, s. Geschonneck, Computer-Forensik, 2014, S. 104). Bis dahin kann die Datei wiederhergestellt werden; vgl. Geschonneck, Computer-Forensik, 2014, S. 139 f.; Kochheim, Cybercrime, Rn. 2015 – Fn. 2947; Heinson, IT-Forensik, 2015, S. 32. Treffend ist daher der Vergleich mit einer Bibliothek, dessen Urheber mir leider nicht mehr bekannt ist: Das oberflächliche Löschen der Datei ist zunächst nichts anderes, als würde in einer Bibliothek im Zettelkasten (oder in einem Online-Katalog) der entsprechende Eintrag für ein Buch entfernt. Das Buch selbst befindet sich dann aber immer noch in der Bibliothek, es kann nur nicht mehr so einfach gefunden werden. 161 Das ist nicht zwangsläufig der Fall und ist daher genau zu prüfen, vgl. Heinson, ITForensik, 2015, S. 199. 162 Vgl. Czerner, in: Labudde/Spranger (Hrsg.), Forensik in der digitalen Welt, 2017, S. 265 (273 f.); Heinson, IT-Forensik, 2015, S. 220; zu weiteren Fehlerquellen Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 126 f.; von Bunzel, Zugriff auf ITSysteme, 2015, S. 265, 269, wird die Erforderlichkeit des Rückgriffs auf den Datenträger für Datendurchsichten jedoch bestritten.

100

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

dass sich auf dem zu sichtenden System solche verborgenen Daten befinden, dann ist es zulässig, den physischen Datenträger mitzunehmen, damit die spätere Durchsicht potentiell sämtliche Daten erfassen kann.163 Selbiges Vorgehen kann auch geboten sein, wenn die Gefahr besteht, dass relevante Metadaten über die Dateien (Zeit und Ort der Speicherung bzw. letzten Änderung etc.) durch eine Kopie verändert werden bzw. nicht mitübertragen werden können.164 Wird der Datenträger mitgenommen, ist dem Betroffenen eine vollständige Kopie seiner Daten zu hinterlassen, um die Verhältnismäßigkeit der Maßnahme zu gewährleisten.165 In manchen Fällen sind Datenträger so fest in das informationstechnische System integriert, dass sie nicht oder nur unter unverhältnismäßigem Aufwand ausgebaut werden können. Hier kommt eine Mitnahme des Datenträgers nicht in Betracht, er ist – wenn nicht das gesamte informationstechnische System inklusive verbauter Datenträger mitgenommen werden soll – im Wege einer „Live-Sicherung“ vor Ort zu sichten, um dann durch Benutzung des informationstechnischen Systems selbst Datenkopien vornehmen zu können.166 Was die Maßnahmen zur Erhaltung des Beweiswerts der Daten und den Umgang mit ihnen bei der Sicherung angeht, sind bei einer Mitnahme des Datenträgers oder des gesamten Systems dieselben Grundsätze einzuhalten wie bei einer Kopie des Datensatzes (siehe oben). Insbesondere gilt auch hier der Grundsatz, dass die Durchsicht niemals am Originaldatenträger, sondern nur an einer eigens erstellten, nachweisbar identischen Arbeitskopie des Datensatzes durchzuführen ist.167 Zu beachten ist, dass ein Rückgriff auf physische Datenträger nur bei einer lokalen Durchsicht gemäß § 110 Abs. 3 S. 1 StPO in Betracht kommt. Bei der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO, die einen Fernzugriff auf räumlich getrennte Speicher bezweckt, ist dieser Rückgriff auf physische Bestandteile des Systems nicht möglich.168

163

BVerfGE 113, 29 (56 f.); Heinrich, wistra 2017, 219 (223); vgl. auch Spatscheck, FS Hamm 2008, 733 (737). 164 Heinrich, wistra 2017, 219 (223). 165 Bär, in: Wabnitz/Janovsky, Handbuch Wirtschafts- und Steuerstrafrecht, Kap. 28 Rn. 48. 166 Heinson, IT-Forensik, 2015, S. 35 f. 167 Vgl. nochmals Hansen/Pfitzmann, DRiZ 2007, 225. Der Original-Datenträger ist so schnell wie möglich an den Inhaber zurückzugeben, Wenzel, NZWiSt 2016, 85 (93). 168 Basar/Hie´ramente, NStZ 2018, 681 (682); Heinson, IT-Forensik, 2015, S. 36; zu dieser Besonderheit noch unten Kap. 3 B.I.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

101

d) Zwischenergebnis und Ausblick zur Problematik von (vollständigen) Datenkopien Die Durchsicht und damit auch die Mitnahme zur Durchsicht sind staatliche Zwangsmaßnahmen und bewirken Grundrechtseingriffe, die dem Grundsatz der Verhältnismäßigkeit unterliegen. Ein wichtiger Aspekt der Verhältnismäßigkeit wurde mit der Erforderlichkeit nun angesprochen: Grundsätzlich ist die Anfertigung von Datenkopien als milderes Mittel zur Mitnahme der Hardware vorzuziehen, und bei den Kopien müssen die Ermittler das Möglichste tun um zu vermeiden, dass sie verfahrensirrelevante und damit überschüssige Daten zur Durchsicht mitnehmen. Wie gezeigt wird es aber häufig erforderlich sein, im Stadium der Mitnahme den gesamten Datensatz vollständig zu kopieren oder sogar den Datenträger oder ein ganzes informationstechnisches System selbst mitzunehmen, um die spätere Durchsicht effektiv durchführen zu können und den Beweiswert der Daten zu erhalten. Die Erforderlichkeit der Komplettsicherung von Daten und gegebenenfalls physischen Datenträgern wurde hier bisher vor allem anhand der Bedürfnisse einer effektiven Strafverfolgung abgebildet: Aus Perspektive der Ermittler ist eine Komplettsicherung oder Mitnahme des Datenträgers nachvollziehbarerweise erforderlich. Dies ergibt sich aber vor allem vor dem Hintergrund der technologischen und personellen Ausstattung der Ermittlungsbehörden sowie der daraus folgenden Organisation der Ermittlung: Gerade weil nicht jeder Ermittlungsbeamte die nötigen forensischen Fähigkeiten besitzt, um informationstechnische Systeme und Datenträger vor Ort auszuwerten und gerade weil es zuweilen auch schlicht noch an den technologischen Mitteln fehlt, um eine solche Auswertung vor Ort zuverlässig gewährleisten zu können, kann eine Mitnahme von Daten, Datenträgern oder ganzen informationstechnischen Systemen zur Durchsicht erforderlich sein. Mit fortschreitender Technik kann dies in Zukunft anders zu bewerten sein, zum Beispiel wenn leistungsfähige und zuverlässige Computerprogramme zur Verfügung stehen, die Datensätze schon vor Ort filtern können (vgl. schon oben Kap. 2 B.II.2.a)). Zum anderen bedarf es einer besseren personellen Ausstattung von Ermittlungsbehörden und einer fachgerechteren Ausbildung der Ermittlungsbeamten im Bereich der IT-Forensik, damit in einer Ermittlungsbehörde nicht bloß wenige zentral organisierte Experten derartige Datenauswertungen durchführen können, sondern zumindest in den Grundzügen jeder Ermittlungsbeamte die Datensicherung und insbesondere die technikgestützte Aussonderung verfahrensirrelevanten Materials beherrscht.169 Dies diente nicht nur der Effektivierung der Ermittlungen aus 169 Vgl. dazu Rückert, in: Hoven/Kudlich (Hrsg.), 2020, S. 9 (S. 35 ff.). Andreas May, Oberstaatsanwalt und damaliger Leiter der Zentralstelle Internetkriminalität (ZIT) in Gießen, beklagte auf der BKA-Herbstagung 2017 die geringen Kenntnisse junger Staatsan-

102

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Sicht der Strafverfolgungsbehörden, sondern bestenfalls auch dem Schutz des Beschuldigten und weiterer Betroffener, indem der Überschuss an erhobenen Daten auf ein Minimum reduziert wird. Die praktischen Probleme bei der Auswertung und Sicherung von Daten, die die Mitnahme ganzer Datenbestände oder der Hardware zur Durchsicht erfordern und damit die Erhebung einer großen Menge an auch verfahrensirrelevanten Daten nach sich ziehen, dürfen nicht „hausgemacht“ sein oder bleiben, vor allem weil sie sich im Ergebnis faktisch zulasten des Beschuldigten auswirken.170 Mit anderen Worten: Mag es heute in vielen Fällen noch erforderlich sein, Daten aus informationstechnischen Systemen als kompletten Datensatz zu sichern oder sogar die Hardware des Systems mitzunehmen, so ist in Zukunft darauf hinzuwirken, dass dies nicht mehr erforderlich ist. Rein pragmatische Bedürfnisse der Strafverfolgungsbehörden oder der Wunsch, Daten „in Ruhe“ sichten zu können, sollten jedenfalls nicht allein die Erforderlichkeit einer Mitnahme von riesigen Datensätzen ohne vorherige Aussortierung begründen.171 Das Gebot der Erforderlichkeit ist ohnehin nur ein Teilbereich des Verhältnismäßigkeitsgrundsatzes. Damit eine Ermittlungsmaßnahme rechtmäßig ist, muss sie nicht nur erforderlich, sondern auch verhältnismäßig im engeren Sinne sein. Die in der Maßnahme liegenden Grundrechtseingriffe müssen in einer angemessenen Relation zu den durch sie erstrebten Zwecken stehen, die Schwere der Grundrechtseingriffe darf nicht außer Verhältnis zum Gewicht der zu erreichenden Ziele geraten.172 Im Strafverfahren ist die Intensität der Grundrechtseingriffe einerseits gegen das Interesse an der effektiven Aufklärung der Straftat andererseits abzuwägen.173 Da mit der

wältinnen und Staatsanwälte im Bereich Cybercrime und formulierte hinsichtlich der Polizeiausbildung pointiert, dass man sich im Studium intensiv mit dem Sichern von Fußabdruckspuren beschäftige, die Sicherung digitaler Spuren in der Ausbildung aber allenfalls eine untergeordnete Rolle spiele; s. den Redebeitrag „Cyberfähigkeit der deutschen Strafverfolgungsbehörden – können wir mit der Entwicklung Schritt halten?“, abrufbar unter h ttps://www.bka.de/SharedDocs/Downloads/DE/Publikationen/Herbsttagungen/2017/her bsttagung2017MayLangfassung.html [zuletzt abgerufen am 04.11.2021]. 170 Wenzel, NZWiSt 2016, 85 (93); vgl. auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 268 f.; Szesny, WiJ 2012, 228 (235): „Die willkürlich geschaffene Unmöglichkeit einer Aussonderung vorläufig sichergestellter Daten darf sich nicht zulasten des von der Durchsuchung Betroffenen bzw. des jeweils betroffenen Informationsträgers auswirken.“ 171 Vgl. aber Kochheim, Cybercrime, Rn. 2012; s. auch Brodowksi/Eisenmenger, ZD 2014, 119 (123). 172 BVerfGE 120, 274 (321 f.); Hufen, Grundrechte, § 9 Rn. 23; Michael/Morlok, Grundrechte, Rn. 623 ff. 173 Vgl. BVerfGE 16, 194 (201 f.); 77, 65 (75 f.); krit. zur „funktionsfähigen Strafrechtspflege“ als Abwägungsposten Kühne, Strafprozessrecht, Rn. 406.1; Lammer, Verdeckte Ermittlungen, 1992, S. 46 ff.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

103

Komplettsicherung von Daten oder gar der Mitnahme der Hardware häufig gleich die eingriffsintensivste Form der Durchsicht in Rede steht, stellt sich die Frage nach der Angemessenheit dieses Vorgehens besonders dringend. Diese Frage soll hier an dieser Stelle aber noch nicht weiter erörtert werden. Die Kriterien zur Bestimmung der Verhältnismäßigkeit einer Durchsicht werden in einem gesonderten Abschnitt dieser Arbeit detailliert besprochen (unten Kap. 2 B.IV.). Die äußerste, absolute Grenze der Verhältnismäßigkeit von Maßnahmen wird durch die Unantastbarkeit der Menschenwürde nach Art. 1 Abs. 1 GG gezogen. Eine Maßnahme, die die Menschenwürde berührt, verletzt diese zugleich und ist damit stets unzulässig, da verfassungsrechtlich nicht zu rechtfertigen.174 Beim Zugriff auf personenbezogene Daten und damit beim Eingriff in die Persönlichkeitsrechte des Betroffenen aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG erscheint diese durch die Menschenwürde gezogene Grenze in Gestalt des unantastbaren Kernbereichs der privaten Lebensgestaltung. Dieser umfasst höchstpersönliche Sachverhalte, Lebensvorgänge, sowie Informationen und Daten über innere Vorgänge, Überlegungen und Gefühle des Menschen, die derart intim sind, dass ihnen ein Bezug zur Menschenwürde zuzusprechen ist. Staatlichen Stellen ist der Zugriff auf diesen unantastbaren Kernbereich der Persönlichkeit damit absolut entzogen.175 Wird nun aber der Datensatz eines gesamten informationstechnischen Systems oder gar das informationstechnische System selbst durch Ermittler vollständig gesichert bzw. mitgenommen, besteht eine hohe Wahrscheinlichkeit, dass sich unter den mitgenommenen Daten auch solche befinden, die einen Bezug zum unantastbaren Kernbereich der privaten Lebensgestaltung des Betroffenen aufweisen, zum Beispiel in Form von tagebuchähnlichen Aufzeichnungen, intimen Bildaufnahmen und dergleichen.176 Angesichts der absoluten Grenze, die die Menschenwürde bei einem solchen Zugriff zieht, erscheint eine solche Komplettsicherung von Daten aus verfassungsrechtlicher Sicht hochproblematisch – und auf den ersten Blick sogar als per se unzulässig. Auf den zweiten Blick aber ist die Beurteilung der Verfassungsmäßigkeit der Komplettsicherung eines Datenbestandes, der auch Kernbereichsdaten enthalten kann, komplizierter. Deshalb soll auch dieses Problem in einem gesonderten Abschnitt dieser Arbeit besprochen werden (Kap. 2 B.V.). Verwandt mit der Problematik des unantastbaren Kernbereichs der privaten Lebensgestaltung ist auch das verfassungsrechtliche Verbot der Rund174 Vgl. nur BVerfGE 115, 320 (358 f.); Dreier/Dreier, Art. 1 I Rn. 130; Germann, Jura 2010, 734 (742); Jarass/Pieroth, Art. 1 Rn. 15; Ruthig, GA 2004, 587 (590); Schantz, KritV 2007, 310 (323). 175 BVerfGE 27, 1 (6 ff.); 80, 367 (373 ff.); 109, 279 (313 ff.); 120, 274 (335); 141, 220 (276 f.). 176 Vgl. BVerfGE 120, 274 (322 f., 335 ff.); 141, 220 (304).

104

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

umüberwachung (oder auch Totalüberwachung). Wird ein Mensch derart umfassend überwacht, dass sich seine Freiräume zur überwachungsfreien persönlichen Entfaltung auf ein unzumutbares Minimum einengen, so verletzt dies die Menschenwürde.177 Dieses Verbot der Totalüberwachung steht in Zusammenhang mit der Bildung von Persönlichkeitsprofilen durch umfassende Datenauswertung. Die Auswertung umfangreicher Datensätze birgt möglicherweise die Gefahr einer Totalausforschung des Betroffenen und steht damit ebenfalls in Konflikt mit dem nach Art. 1 Abs. 1 GG gebotenen Schutz der Menschenwürde.178 Die Komplettsicherung von Daten eines informationstechnischen Systems ermöglicht die Erstellung eines Persönlichkeitsprofils, wenn der gesicherte Datensatz nicht schon selbst ein Persönlichkeitsprofil darstellt.179 Die Komplettsicherung aller Daten eines Systems erscheint also auch in dieser Hinsicht verfassungsrechtlich problematisch. Auch dieser Problembereich soll an dieser Stelle der Untersuchung aber nur aufgezeigt sein, ausführlich wird er in Kap. 2 B.VI. dieser Arbeit behandelt. Vorher soll die Mitnahme der Durchsicht zu Ende besprochen werden. Nach der Erörterung, ob und in welcher Form der Durchsuchte sein Anwesensheitsrecht aus § 106 Abs. 1 S. 1 StPO bei einer Mitnahme zur Durchsicht gelten machen kann (unten 3.), soll noch abschließend diskutiert werden, auf welche Rechtsgrundlage die Mitnahme zur Durchsicht gestützt werden kann (unten 4.). 3. Anwesenheitsrecht und drohende Heimlichkeit der Maßnahme bei der Mitnahme zur Durchsicht § 106 StPO erklärt die Durchsuchung nach den §§ 102 ff. StPO zu einer offenen Maßnahme, also zu einer solchen, bei der die Ermittler ihre Ermittlungshandlung gegenüber dem Betroffenen offenlegen.180 § 106 Abs. 1 S. 1 StPO enthält dazu das Recht des Inhabers der durchsuchten Räume oder Gegenstände, bei der Durchsuchung anwesend zu sein. Dadurch soll es ihm ermöglicht werden, die Rechtmäßigkeit der Durchsuchung zu kontrollieren.181 Zudem soll er auf die Durchführung der Durchsuchung einwirken können, um so ihre Verhältnismäßigkeit gewährleisten zu können.182 Im Fall der Mitnahme zur Durchsicht stellt sich die Frage, wie die durch § 106 StPO gebotene Offenheit der Durchsuchung gewährleistet werden soll

177

BVerfGE 109, 279 (323); 141, 220 (280). Vgl. BVerfGE 109, 279 (323); 141, 220 (280). 179 Vgl. BVerfGE 120, 274 (305, 311, 314, 322 f.). 180 Vgl. nur BGHSt 51, 211 (212 ff.) und vert. Hoffmann-Holland/Koranyi, ZStW 125 (2014), 837 ff. Zum Begriff der „Offenheit“ einer Maßnahme oben Einl. D.II. 181 LR/Tsambikakis, § 106 Rn. 3; SK-StPO/Wohlers/Jäger, § 106 Rn. 1. 182 HK-StPO-Gercke, § 106 Rn. 3. 178

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

105

und wie der Inhaber der durchsuchten Räume oder Gegenstände zur Kontrolle der Rechtmäßigkeit der Maßnahme ermächtigt werden kann. Die ursprüngliche Sicherung und Mitnahme der Daten erfolgt zwar im Regelfall im Beisein des Durchsuchten und ihm gegenüber offen. Der Durchsuchte erhält also Kenntnis davon, dass gegen ihn ermittelt wird, dass er bzw. seine Räumlichkeiten und Gegenstände durchsucht und dass seine Daten durchgesehen werden. Die Auswertung, mithin die eigentliche Durchsicht und damit ein wesentlicher Teil der Durchsuchung, findet nach Mitnahme der Daten aber andernorts und zunächst ohne Beisein des Betroffenen statt. Der Betroffene kann dadurch nicht unmittelbar kontrollieren, welche Daten von ihm in welcher Weise oder Reihenfolge durchgesehen werden, von welchen Inhalten die Ermittler Kenntnis nehmen und wie sie diese Inhalte interpretieren, wann die Durchsicht beginnt und wann sie endet. Auch kann der Betroffene nicht kontrollieren, ob die Ermittler die Zusammensetzung, also die Integrität des Datensatzes unangetastet lassen oder ob sie aus ihm Daten entfernen oder ihm Daten hinzufügen. Die eigentlich als offene Maßnahme charakterisierte Durchsuchung nähert sich dadurch einer heimlichen Maßnahme an.183 Das ist eine Konsequenz daraus, dass die eigentliche Ermittlung nicht mehr in der Wohnung des Betroffenen, also im physischen Raum stattfindet, sondern in einem durch das informationstechnische System und dessen Daten gebildeten virtuellen Raum, der den Ermittlern grundsätzlich unabhängig von physischen Gegebenheiten zugänglich ist. Die Frage ist, wie die Offenheit der Durchsicht trotz Mitnahme der Daten aus dem Einflussbereich des Durchsuchten heraus wiederhergestellt werden kann, insbesondere also, ob es für den Durchsuchten die Möglichkeit gibt, auch nach Mitnahme der Daten bei deren Auswertung anwesend zu sein und diese zu kontrollieren. Ein eigenständiges Anwesenheitsrecht des Gewahrsamsinhabers184 der zu sichtenden Papiere ist in § 110 StPO nicht mehr enthalten. Die Streichung der früheren Regelung des § 110 Abs. 3 Hs. 2 StPO a. F., die ein solches Anwesenheitsrecht bei Durchsicht von mitgenommenen Papieren enthielt, halten manche für ein Redaktionsversehen im Gesetzgebungsverfahren.185 Unabhängig von dieser Frage kann ein Anwesenheitsrecht aber weiterhin aus der systematischen Stellung der Durchsicht als Teil der Durchsuchung abgeleitet werden. § 106 Abs. 1 S. 1 StPO gewährt

183 Vgl. zum Ganzen Peters, NZWiSt 2017, 465 (469); Zerbes/El-Ghazi, NStZ 2015, 425; Ludewig, KriPoZ 2019, 293 (298); zur Gefährdung des offenen Charakters der Durchsicht auch Szesny, WiJ 2012, 228 (231). 184 Der nicht zwingend identisch mit dem Beschuldigten sein muss, vgl. Peters, NZWiSt 2017, 465 (471 f.). 185 HK-StPO-Gercke, § 110 Rn. 13; Knauer/Wolf, NJW 2004, 2932 (2937 f.); ähnlich Peters, NZWiSt 2017, 465 (471): Keine „ausdrückliche Absage“ an ein Anwesenheitsrecht des Betroffenen.

106

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

dem Inhaber der zu durchsuchenden Räume oder Gegenstände das Recht, der Durchsuchung beizuwohnen. Da die Durchsicht Teil der Durchsuchung ist,186 muss sich sich dieses Anwesenheitsrecht aus § 106 Abs. 1 S. 1 StPO auch auf die Phase der Durchsicht beziehen.187 Das ergibt sich für den Normalfall der Durchsicht ohnehin schon daraus, dass diese an Ort und Stelle und damit in der Regel im Beisein des Betroffenen durchzuführen ist. Für den Fall der Mitnahme zur Durchsicht kann aber im Grundsatz nichts anderes gelten. Damit besteht de lege lata weiterhin ein Anwesenheitsrecht des Durchsuchten bei Durchsicht der Daten, und zwar auch nach deren Mitnahme durch die Ermittler.188 Eine (erneute) ausdrückliche Regelung des Anwesenheitsrechts bei der Durchsicht erscheint aber dennoch bedenkenswert.189 Zu beachten ist aber, dass es praktisch-organisatorisch schwierig sein kann, dem von der Durchsuchung Betroffenen die Anwesenheit bei der andernorts vorgenommenen Durchsicht zu gewähren. Grund für die Mitnahme bzw. Sicherung der Daten wird üblicherweise ihr großer Umfang sein. Die Sichtung solcher umfangreichen Datenmengen benötigt viel Zeit. Es ist in den seltensten Fällen zu erwarten, dass die Durchsicht innerhalb weniger Stunden oder auch nur an einem Tag vollständig abgeschlossen werden kann. Häufig zieht sich die Durchsicht solcher Datensätze über Monate oder sogar Jahre hin.190 Der anwesenheitsberechtigte Betroffene wird wohl kaum die nötige Zeit aufbringen können, um bei der gesamten Sichtung durch die Ermittler anwesend zu sein und ihnen dabei über die Schulter zu schauen. Ferner ist auch der Ort der Durchsicht entscheidend: Gerade kleinere Polizeibehörden und Staatsanwaltschaften werden vor Ort nicht die nötigen 186

Siehe oben Kap. 2 B.II. Burhoff, EV, Rn. 1733; HK-StPO-Gercke, § 110 Rn. 13; Knauer/Wolf, NJW 2004, 2932 (2938); Michalke, StraFo 2014, 89 (91); Peters, NZWiSt 2017, 465 (470); SKStPO/Wohlers/Jäger, § 110 Rn. 25; Szesny, WiJ 2012, 228 (232); anders MüKo-StPO/Hauschild, § 110 Rn. 14. 188 Verfassungsrechtlich ist dieses allgemeine Anwesenheitsrecht bei der Durchsicht nicht determiniert, MüKo-StPO/Hauschild, § 110 Rn. 14; SSW-StPO/Hadamitzky, § 110 Rn. 18. Allerdings kann sich im Einzelfall unter Abwägung des Interesses an einer effektiven Strafverfolgung und der Grundrechte des Betroffenen ein entsprechendes Anwesenheits- und Teilnahmerecht ergeben, BVerfGE 113, 29 (58 f.); 124, 43 (72); Szesny, WiJ 2012, 228 (232). 189 Peters, NZWiSt 2017, 465 (472). Siehe dazu noch unten Kap. 2 B.X.5. 190 Vgl. Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 476; Wackernagel/ Graßie, NStZ 2021, 12; zu diesem Problem auch Peters, NZWiSt 2017, 465 (469). Eine absolute Höchstgrenze für die Dauer der Durchsicht gibt es nicht, sie ist aber in angemessener Zeit ohne unzumutbare Verzögerungen durchzuführen, vgl. HK-StPO-Gercke, § 110 Rn. 10; SSW-StPO/Hadamitzky, § 110 Rn. 9; vgl. den Fall bei LG Frankfurt NStZ 1997, 564, bei dem die Durchsicht im Ermittlungsverfahren ganze 15 Monate dauerte, was das Gericht angesichts des Umfangs der durchzusehenden Unterlagen und ihrer Kompliziertheit aufgrund internationaler Bezüge für zumutbar hielt. 187

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

107

Mittel und ausreichend qualifiziertes Personal parat haben, um Datensätze und Datenträger nach modernen Methoden der IT-Forensik zu untersuchen. In schwierigen Fällen werden Datensätze an die zuständigen Landeskriminalämter weitergeleitet, wo sich dann Spezialisten darum kümmern, die Datensätze für die weitere Sichtung aufzubereiten, die Verschlüsselung zu entfernen und gegebenfalls bereits einzelne Dateien zu klassifizieren.191 Ein Beisein des Betroffenen bei dieser Arbeit, möglicherweise mehrere hundert Kilometer weit von seinem Wohnort entfernt, erscheint wenig praktikabel.192 Es bleibt also festzuhalten, dass ein Anwesenheitsrecht des Betroffenen bei der Durchsicht zwar besteht, die praktische Wahrnehmung dieses Rechts aber nicht unerheblichen Schwierigkeiten begegnet. Die faktischen Kontrollmöglichkeiten des Betroffenen, die sich aus einer offenen Maßnahme ergeben, sind damit gemindert bzw. ihre Wahrnehmung ist erschwert. Das gilt umso mehr, als die Auswertung erhobener Daten zuweilen in Teilen auf private Dienstleister ausgelagert wird.193 4. Rechtsgrundlage der Mitnahme zur Durchsicht Der aus dem Rechtsstaatsprinzip fließende Grundsatz des Gesetzesvorbehalts fordert in Verbindung mit der Wesentlichkeitstheorie, dass die wesentlichen Voraussetzungen für Grundrechtseingriffe sowie deren Grenzen vom demokratisch legitimierten Gesetzgeber zu bestimmen sind.194 Flankiert werden diese Anforderungen vom rechtsstaatlichen Bestimmtheitsgebot, nach dem eine Norm so formuliert sein muss, dass der Bürger die Rechtslage aus

191

Vgl. die Beschreibung des LKA Baden-Württemberg im Jahresbericht 2015, „Cybercrime/Digitale Spuren, S. 28 f. Das Hinzuziehen von Experten aus den LKA gehört laut Szesny, WiJ 2012, 228 f. mittlerweile zum Standard; vgl. auch Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 454; Wenzel, NZWiSt 2016, 85 (86 f.). 192 Vgl. auch Ludewig, KriPoZ 2019, 293 (298). Abweichendes kann bei der Durchsuchung von Räumlichkeiten eines Unternehmens gelten, denn das Unternehmen hat eventuell die nötigen Ressourcen, um Personal für die Begleitung der Datendurchsicht abzustellen. So gibt Klose, NZWiSt 2019, 93 (98) für Wirtschaftsstrafverfahren an, dass das Anwesenheitsrecht im Regelfall eingeräumt werde. 193 Vgl. Momsen, FS Beulke 2015, 871 (874); Schneider, ZIS 2020, 79 (82); SKStPO/Wohlers/Jäger, § 110 Rn. 13; SSW-StPO/Hadamitzky, § 110 Rn. 12; Fallbeispiel zum Hinzuziehen externer Dienstleister bei OLG Schleswig-Holstein NStZ-RR 2017, 127; zu den rechtlichen Grenzen LG Kiel NStZ 2007, 169. Die vollständige Übertragung der Datenauswertung auf externe Dienstleister für unzulässig haltend Bunzel, Zugriff auf ITSysteme, 2015, S. 255 (Fn. 1258) mit Verweis auf Nr. 69 RiStBV; Wenzel, NZWiSt 2016, 85 (86 f.); vgl. auch Warken, NZWiSt 2017, 417 (425); zum Ganzen ausf. Wackernagel/Graßie, NStZ 2021, 12 ff. 194 Vgl. Schmidt-Bleibtreu/Hofmann/Henneke/Hofmann, Art. 20 Rn. 69; aus strafprozessrechtlicher Perspektive LR/Menges, Vor § 94 Rn. 25 ff.; Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 34 ff.

108

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

ihr erkennen und sein Verhalten danach ausrichten kann.195 Das spezielle Bestimmtheitsgebot aus Art. 103 Abs. 2 GG dagegen bezieht sich nach nicht unumstrittener Auffassung nur auf das materielle Strafrecht und soll auf Normen des Strafverfahrensrecht daher nicht anwendbar sein.196 Ob eine analoge Anwendung von Eingriffsnormen des Strafprozessrechts zulasten des Beschuldigten zulässig ist, ist umstritten.197 Seit der Neuformulierung des § 110 Abs. 3 StPO durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021198 besteht zumindest für die Fälle der Durchsicht elektronischer Speichermedien bzw. informationstechnischer Systeme in § 110 Abs. 3 S. 3 StPO eine ausdrückliche Befugnis zur vorläufigen Sicherung von Daten, die für die Untersuchung von Bedeutung sein könnten. Die Mitnahme zur Durchsicht in Gestalt der bloßen Anfertigung von Kopien von Daten ohne Mitnahme physischer Hardware ist damit mittlerweile gesetzlich geregelt. Eine ausdrückliche allgemeine Befugnis der Ermittler, Gegenstände zur Durchsicht mitzunehmen, findet sich in § 110 Abs. 1 StPO allerdings nicht.199 § 110 Abs. 3 S. 3 StPO enthält für die Durchsicht informationstechnischer Systeme außerdem nur die ausdrückliche Befugnis zur vorläufigen Sicherstellung von Daten, nicht aber von deren physischen Datenträgern bzw. informationstechnischen Systemen. Auch sprechen die §§ 94 ff. StPO wie auch der Rest der StPO an keiner Stelle von einer „vorläufigen Sicherstellung“200, schon gar nicht von einer vorläufigen Sicherstellung gegen den Willen des Gewahrsamsinhabers. Eine allgemeine Befugnis der Ermittler zur Mitnahme zur Durchsicht lässt sich damit nicht ohne Weiteres erkennen. Damit stellt sich die Frage, auf welche Rechtsgrundlage die Mitnahme zur Durchsicht gestützt werden kann, wenn es nicht nur um die Sicherung von Daten gemäß § 110 Abs. 3 S. 3 StPO geht, sondern darüber hinaus auch physische Gegenstände mitgenommen werden sollen. 195

Vgl. nur BVerfGE 112, 304 (315). Kudlich, in: Hilgendorf/Kudlich/Valerius (Hrsg.), Handbuch Strafrecht, Band 7 § 1 Rn. 44; Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 40 ff. 197 Dagegen HK-StPO-Gercke, Vor § 94 ff. Rn. 5; Klesczewski, ZStW 123 (2011), 737 (751); LR/Menges, Vor § 94 Rn. 23 mit Verweis auf den Vorbehalt des Gesetzes; Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 49 ff. mit Verweis auf das Demokratieprinzip und das Rechtsstaatsprinzip; SK-StPO/Wohlers/Greco, Vor § 94 ff. Rn. 2; für Zulässigkeit KG NJW 1979, 1668 (1669); LG Ravensburg NStZ 2003, 325 (326); MeyerGoßner/Schmitt, Einl. Rn. 198. 198 BGBl. 2021 I, S. 2099. 199 Darauf weisen auch Peters, NZWiSt 2017, 465 und Zerbes/El-Ghazi, NStZ 2015, 425 (426) ausdrücklich hin; vgl. auch Kemper, wistra 2010, 295 (297 f.); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 44; anders noch Bär, CR 1999, 294, der postuliert, die StPO sehe eine Mitnahme zur Durchsicht vor. 200 Das betont Szesny, WiJ 2012, 228 (230). 196

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

109

a) Bedeutung des § 110 Abs. 2 S. 2 StPO Die hier diskutierte Mitnahme zur Durchsicht ist ersichtlich an die Regelung aus § 110 Abs. 2 S. 2 StPO angelehnt. Die Mitnahme zur Durchsicht ist dort aber nicht in allgemeiner Form normiert. § 110 Abs. 2 StPO regelt eine andere, besondere Konstellation. Dort geht es um den Fall, dass die durchsuchenden Beamten nicht im Sinne von § 110 Abs. 1 StPO zur Durchsicht befugt sind, weil sie nicht zu dem dort aufgezählten Personenkreis gehören. Ihnen ist es in der durch § 110 Abs. 2 StPO beschriebenen Situation also rechtlich nicht erlaubt, die Durchsicht vorzunehmen, weshalb sie die zu sichtenden Unterlagen gemäß § 110 Abs. 2 S. 2 StPO mitzunehmen und bei der Staatsanwaltschaft abzuliefern haben. Nur wenn der Gewahrsamsinhaber die Durchsicht gemäß § 110 Abs. 2 S. 1 StPO genehmigt, dürfen die Papiere auch in dieser Fallkonstellation von den Ermittlern vor Ort durchgesehen werden. § 110 Abs. 2 StPO dient damit in Fortsetzung zu § 110 Abs. 1 StPO dem Geheimhaltungsinteresse des von der Durchsuchung Betroffenen.201 Die hier diskutierte allgemeine Mitnahme zur Durchsicht betrifft dagegen den Fall, dass es den – in rechtlicher Hinsicht befugten – Ermittlern aufgrund des Umfangs des Materials oder aus anderen tatsächlichen Gründen faktisch nicht möglich ist, die Durchsicht vor Ort durchzuführen. Hier mag die Mitnahme zur Durchsicht zu Teilen auch die Rechte des Betroffenen schützen, der es sicherlich nicht dulden müssen soll, dass eine stunden-, tage- oder monatelange Durchsicht in seiner Wohnung stattfindet. Vor allem aber ist die Mitnahme zur Durchsicht hier eine pragmatisch motivierte Maßnahme, die den Interessen der Ermittler und damit mittelbar dem Interesse an einer effektiven Strafverfolgung dient. Mithin verfolgt die in § 110 Abs. 2 S. 2 StPO geregelte, besondere Mitnahme zur Durchsicht andere Zwecke und unterliegt einer anderen Interessenlage als die hier diskutierte, allgemeine Mitnahme zur Durchsicht. Mit anderen Worten: § 110 Abs. 2 S. 2 StPO kann nicht Rechtsgrundlage für die Mitnahme zur Durchsicht wegen faktischer Unmöglichkeit der Durchsicht am Fundort der aufgefundenen Papiere sein. Jene Mitnahme zur Durchsicht ist weder in § 110 Abs. 2 S. 2 StPO ausdrücklich geregelt, noch kommt – mangels vergleichbarer Interessenlage202, s. o. – eine analoge Anwendung des § 110 Abs. 2 S. 2 StPO in Betracht.203

201

Vgl. LR/Tsambikakis, § 110 Rn. 14 f.; SK-StPO/Wohlers/Jäger, § 110 Rn. 2, 17 ff. Nach herkömmlicher Auffassung wird für eine analoge Anwendung einer Norm auf einen nicht geregelten Sachverhalt eine vergleichbare Interessenlage des geregelten und des nicht geregelten Sachverhalts verlangt (neben dem Bestehen einer planwidrigen Regelungslücke), s. nur Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 38; Welp, JR 1991, 265 (266). 203 Unabhängig von der Frage, ob man eine analoge Anwendung strafprozessualer Eingriffsnormen (zulasten des Beschuldigten) überhaupt für zulässig erachtet, s. o. 4.). 202

110

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

b) Bedeutung des § 110 Abs. 3 S. 3 StPO Eine ausdrückliche Befugnis zur Sicherung von Daten zur Durchsicht enthält § 110 Abs. 3 S. 3 StPO. Diese bezieht sich sowohl auf die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO als auch auf die Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO. Danach dürfen Daten, die für die Untersuchung im Ermittlungsverfahren von Bedeutung sein können, gesichert werden, um sie dann später durchsehen zu können. Das ist die Konstellation der „Mitnahme zur Durchsicht“. Allerdings ist diese Mitnahme zur Durchsicht im Sinne des § 110 Abs. 3 S. 2 StPO erstens nur für die Durchsicht informationstechnischer Systeme vorgesehen und nicht für die Durchsicht anderer Gegenstände bzw. „Papiere“ im Sinne des § 110 Abs. 1 StPO. Zweitens ermächtigt diese Regelung ausdrücklich nur zur Sicherung von Daten, nicht aber zur Mitnahme bzw. vorläufigen Sicherstellung von physischen Datenträgern und informationstechnischen Systemen. Mit Blick auf die Gesetzesbegründung zur Neuregelung des § 110 Abs. 3 StPO könnte man zwar darüber nachdenken, dass der Gesetzgeber auch die allgemeine Mitnahme zur Durchsicht oder jedenfalls die Mitnahme elektronischer Speichermedien und informationstechnischer Systeme in § 110 Abs. 3 StPO regeln wollte, denn in der Gesetzesbegründung heißt es zu § 110 Abs. 3 StPO: „Bei Satz 1 handelt es sich zunächst um eine Klarstellung, dass Absatz 1 und 2 – wie bislang anerkannt – auch für die Durchsicht von Daten gilt, die auf Speichermedien gespeichert sind, die sich unmittelbar im Gewahrsam des Beschuldigten befinden. Diese dürfen vorläufig gesichert werden, wenn die Durchsicht vor Ort nicht möglich ist.“204

Man könnte die Formulierung „diese dürfen vorläufig gesichert werden“ so verstehen, dass sich das „diese“ auf die „Speichermedien“ bezieht und damit auf die physischen Datenträger und Systeme, auf denen die Daten gespeichert sind. Grammatikalisch ergäbe dies sogar mehr Sinn. Allerdings verwendet der Gesetzgeber in Bezug auf physische Gegenstände nicht das Wort „sichern“, sondern „sicherstellen“ oder „Mitnahme“. Das Verb „sichern“ wird einzig für die Sicherung von elektronisch gespeicherten Daten verwendet.205 Auch der sonstige Zusammenhang der Gesetzesbegründung zeigt, dass der Gesetzgeber hier nur die Befugnis zur Sicherung von Daten in § 110 Abs. 3 StPO neu und einheitlich regeln wollte, die sonstigen Fälle der Mitnahme zur Durchsicht, die er auch in § 110 Abs. 4 StPO aufgreift, dagegen nicht regeln wollte, sondern schlicht von ihrer Zulässigkeit qua Anerkennung durch Rechtsprechung und Literatur ausging.206 In diesem Zusammenhang 204

BT-Drs. 19/27654, S. 74. Vgl. BT-Drs. 19/27654, S. 74. 206 Vgl. BT-Drs. 19/27654, S. 74. 205

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

111

ist auch das oben wiedergegebene Zitat aus der Gesetzesbegründung zu lesen: Mit „Diese dürfen vorläufig gesichert werden“ sind die „Daten“ gemeint und nicht die physischen „Speichermedien“. Eine Befugnis zur Sicherung physischer Gegenstände kann also auch nicht durch Heranziehen der Gesetzesbegründung in den Wortlaut des § 110 Abs. 3 S. 3 StPO hineingelesen werden, nicht für die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO und schon gar nicht für die allgemeine Mitnahme zur Durchsicht jeglicher Gegenstände im Sinne des § 110 Abs. 1 StPO.207 Eine analoge Anwendung des § 110 Abs. 3 S. 3 StPO auf Fälle, in denen die Hardware selbst zur Durchsicht mitgenommen wird, scheidet aus. § 110 Abs. 3 S. 3 StPO erlaubt seinem Wortlaut nach nur die Sicherung, also die Kopie von Daten, ohne dass den Betroffenen dabei die zugrunde liegende Hardware entzogen werden könnte. Der Entzug der Hardware ist demgegenüber eingriffsintensiver bzw. ein Eingriff ganz anderer, eigener Art, der insbesondere das grundrechtlich geschützte Eigentum (Art. 14 GG) des Betroffenen beeinträchtigt.208 Die Interessenlage bei der Mitnahme von Hardware ist daher eine wesentlich andere als bei der Mitnahme von Daten im Wege der Sicherung einer elektronischen Datenkopie. Die Legitimierung dieses völlig eigenständigen Grundrechtseingriffs über die analoge Anwendung einer Norm, die diesen Grundrechtseingriff gerade nicht regelt, ist nicht möglich. c) Bedeutung des § 110 Abs. 4 StPO § 110 Abs. 4 StPO regelt das Verfahren in den Fällen der Durchsicht, in denen „Papiere“ im Sinne des § 110 Abs. 1 StPO mitgenommen oder Daten im Sinne von § 110 Abs. 3 S. 3 StPO vorläufig gesichert werden und verweist für die Behandlung dieser Fälle auf die Vorschriften der §§ 95a und 98 Abs. 2 StPO. Daraus und aus der Gesetzesbegründung209 lässt sich herleiten, dass der Gesetzgeber auf jeden Fall davon ausgeht, dass die Mitnahme zur Durchsicht rechtlich zulässig ist. § 110 Abs. 4 StPO selbst enthält aber keine Befugnis zur Mitnahme zur Durchsicht, sondern setzt diese schlicht voraus und regelt nur die Folgen dieser Maßnahme. Damit enthält § 110 Abs. 4 StPO insbesondere auch keine Regelung dazu, unter welchen Voraussetzungen die Mitnahme zur Durchsicht zulässig ist. Die Befugnis zur Mitnahme zur Durchsicht kann damit nicht auf § 110 Abs. 4 StPO gestützt werden. Die Existenz dieser Norm ist nur bedeutsam für die Frage, ob die Mitnahme zur Durchsicht auf eine

207

Zur Bedeutung der Gesetzesbegründung in BT-Drs. 19/27654, S. 74 aber noch unten

(5). 208 Zu den betroffenen Grundrechten bei Durchsicht und Mitnahme zur Durchsicht siehe unten Kap. 2 B.III. 209 BT-Drs. 19/27654, S. 74.

112

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Annexkompetenz zur allgemeinen Durchsichtsnorm des § 110 Abs. 1 StPO gestützt werden kann (siehe dazu unten e)). d) Bedeutung der §§ 94 ff. StPO Die anzutreffende Bezeichnung „vorläufige Sicherstellung“ für die Mitnahme zur Durchsicht legt auf den ersten Blick nahe, die entsprechende Rechtsgrundlage in den §§ 94 ff. StPO zur Sicherstellung und Beschlagnahme von Gegenständen zu suchen. Auch der Gesetzgeber hat die Nähe der Mitnahme zur Durchsicht zur Beschlagnahme erkannt und deshalb für Fälle der Datensicherung im Rahmen der Durchsicht informationstechnischer Systeme in § 110 Abs. 4 StPO die entsprechende Anwendung der §§ 95a und 98 Abs. 2 StPO angeordnet. Eine unmittelbare Anwendung der §§ 94 ff. StPO als Rechtsgrundlage zur Mitnahme zur Durchsicht kommt aber von vornherein nicht in Betracht: § 94 Abs. 1 StPO regelt keine „vorläufige“, sondern nur eine endgültige Sicherstellung, § 94 Abs. 2 StPO regelt eine Beschlagnahme. Gegenstände dürfen nach § 94 StPO nur sichergestellt oder beschlagnahmt werden, wenn ernsthaft anzunehmen ist, dass sie beweisrelevant sind (potentielle Beweisbedeutung).210 Die Einschätzung über die potentielle Beweisbedeutung ist bei einer Mitnahme zur Durchsicht aber noch nicht getroffen worden, denn sie erfolgt erst im Rahmen der Durchsicht selbst, die durch die Mitnahme ja nur ermöglicht werden soll.211 Erst die Durchsicht trennt das potentiell beweisrelevante Material von erkennbar nicht beweisrelevantem Material.212 Insbesondere soll die Durchsicht vor der Sicherstellung ermitteln, welche Unterlagen aufgrund eines Beschlagnahmeverbots nach § 97 StPO nicht beschlagnahmt werden dürfen (sofern dies nicht schon ohne eine Durchsicht erkennbar ist, denn erkennbar beschlagnahmefreie Papiere dürfen nicht durchgesehen werden213).214 Die Sicherstellung sämtlichen aufgefundenen Materials zum Zwecke der Auswertung und des nachträglichen Aussiebens nicht beweisrelevanter Unterlagen erlaubt § 94 StPO also gerade nicht. Die

210

LR/Menges, § 94 Rn. 23, 30; SK-StPO/Wohlers/Greco, § 94 Rn. 28 ff. Vgl. Graulich, wistra 2009, 299 (300, 302); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 37, 44 f. Einschränkend Kemper, wistra 2010, 295 (297), der hervorhebt, dass „jedenfalls hinsichtlich eines Teils der mitgenommenen Gegenstände eine Beweisbedeutung bestehen muss“, da die Maßnahme ansonsten „völlig unverhältnismäßig“ wäre. 212 Vgl. AnwK-StPO/Löffelmann, § 94 Rn. 5; SK-StPO/Wohlers/Greco, § 94 Rn. 24. 213 AnwK-StPO/Löffelmann, § 110 Rn. 5; SSW-StPO/Hadamitzky, § 110 Rn. 3. 214 Vgl. BVerfG NJW 2002, 1410; Graulich, wistra 2009, 299 (301); LR/Tsambikakis, § 110 Rn. 17. Diesen Umstand berücksichtigt Kühne, Strafprozessrecht, Rn. 504.2 nicht ausreichend, wenn er postuliert, dass jede Mitnahme von Gegenständen, egal zu welchem Zweck, einer Beschlagnahmeanordnung bedürfe. 211

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

113

Auswertung von bereits nach § 94 StPO sichergestellten Unterlagen wiederum ist keine Durchsicht im Sinne des § 110 StPO.215 Auch eine analoge Anwendung der §§ 94 ff. StPO scheitert an gleich mehreren wesentlichen Unterschieden zur Konstellation einer Mitnahme zur Durchsicht. Zunächst einmal betreffen Durchsicht und Sicherstellung bzw. Beschlagnahme zwei unterschiedliche Ermittlungsphasen: Während die Durchsicht noch Teil der Durchsuchung ist und eine eventuelle Sicherstellung oder Beschlagnahme erst vorbereiten soll, bildet die Sicherstellung oder Beschlagnahme den Abschluss der Durchsuchung. Die Entscheidung, Gegenstände als Beweismittel zu sichern, ist nicht Teil der Durchsuchung und Durchsicht, sondern ihr Ergebnis.216 Die §§ 94 ff. StPO betreffen somit eine in systematischer Hinsicht ganz andere Maßnahme als die Durchsicht. Ferner stellen die §§ 94 ff. StPO jedenfalls für die Beschlagnahme ganz eigene Voraussetzungen auf, denen die Mitnahme zur Durchsicht aber gerade nicht unterliegen soll. Die Mitnahme zur Durchsicht soll auch gegen den Willen des Gewahrsamsinhabers geschehen dürfen.217 Innerhalb der Systematik der §§ 94 ff. StPO bedarf es zur Beschlagnahme eines Gegenstandes gegen den Willen des Gewahrsamsinhabers (§ 94 Abs. 2 StPO) aber grundsätzlich einer richterlichen Beschlagnahmeanordnung gemäß § 98 Abs. 1 1 StPO. Dies wird für die Mitnahme zur Durchsicht nicht verlangt. Das Regelungssystem der §§ 94 ff. StPO wird also gerade nicht auf die Mitnahme zur Durchsicht übertragen, mit anderen Worten sollen die §§ 94 ff. StPO hier gar nicht analog angewendet werden. Daher kommt eine analoge Anwendung der §§ 94 ff. StPO als Befugnisnormen für die Mitnahme zur Durchsicht nicht in Betracht.218 Ebenso wenig ist es gerechtfertigt, die Mitnahme zur Durchsicht aufgrund ihres vorläufigen Charakters als ein „Minus“ zur Sicherstellung oder Beschlagnahme anzusehen und deshalb auf § 94 StPO zu stützen. Denn erstens ist die Mitnahme zur Durchsicht, wie gezeigt, in Wahrheit kein „Minus“ zur Sicherstellung oder zur Beschlagnahme, sondern ein aliud. Zweitens ist die Argumentation, dass eine – vermeintlich – weniger eingriffsintensivere Maß215

Mildeberger/Riveiro, StraFo 2004, 43 (46). Vgl. Kemper, wistra 2010, 295 (297); allgemein auch BGH NJW 1995, 3397; zum Verhältnis zwischen Durchsicht und Sicherstellung/Beschlagnahme schon oben Kap. 2 B.I. und II. 217 Ausdrücklich gegen eine Widerspruchsmöglichkeit des Gewahrsamsinhabers Graulich, wistra 2009, 299 (301). 218 Kemper, wistra 2010, 295 (297); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 41 f.; a. A. aber Graulich, wistra 2009, 299 (301), der § 94 Abs. 1 StPO analog heranziehen will und der trotz der Möglichkeit einer „vorläufigen Sicherstellung“ auch gegen den Willen des Gewahrsamsinhabers keinen wesentlichen Unterschied zur formlosen Sicherstellung nach § 94 Abs. 1 StPO (die nicht gegen den Willen des Gewahrsamsinhabers erfolgen darf) sehen will. 216

114

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

nahme auf die Norm(en) einer eingriffsintensiveren Maßnahme gestützt werden kann, ohnehin ein Fehlschluss: Der Grundsatz der Verhältnismäßigkeit, der den Bürger vor einer Überbeanspruchung durch den Staat schützen soll, würde so sinnwidrigerweise zur Legitimierung einer Beanspruchung des Bürgers herangezogen, ohne dass diese sich dabei auf eine hinreichend bestimmte Rechtsgrundlage als Basis stützen könnte.219 Im Ergebnis ist festzuhalten: Die Mitnahme zur Durchsicht kann auf keinem Wege auf die §§ 94 ff. StPO gestützt werden.220 e) Annexkompetenz zu § 110 Abs. 1 StPO und Abs. 3 S. 1 StPO als Grundlage für Grundrechtseingriffe? Wenn die Befugnis zur Mitnahme zur Durchsicht nicht auf § 110 Abs. 2 S. 2, § 110 Abs. 3 S. 3, § 110 Abs. 4 und die §§ 94 ff. StPO gestützt werden kann, kommt allein die Herleitung einer sogenannten Annexkompetenz zu § 110 Abs. 1 und Abs. 3 S. 1 StPO als Rechtsgrundlage in Betracht. Die Rechtsprechung nimmt eine Annexkompetenz an, wenn erstens eine gesetzlich geregelte Maßnahme typischerweise eines weiteren, nicht ausdrücklich geregelten, vorhergehenden oder begleitenden Grundrechtseingriffs bedarf, damit sie, die gesetzlich geregelte Primärmaßnahme, effektiv angewendet werden kann (wenigstens in bestimmten, herausragenden Fallgruppen)221, und zweitens deshalb davon auszugehen ist, dass der Gesetzgeber diesen sekundären Eingriff als „Anhängsel“ (implizit) mitregeln wollte. Dabei sind an den Willen des Gesetzgebers keine zu strengen Anforderungen zu stellen. Aus dem Versäumnis der expliziten Regelung einer typischen Begleitmaßnahme soll gerade nicht automatisch der fehlende Wille des Gesetzgebers zur Regelung abgeleitet werden. Vielmehr soll es genügen, wenn aus der „Typizität“, das heißt der typischen Verbindung von Primärmaßnahme und Begleitmaßnahme, abgeleitet werden kann, dass der Gesetzgeber die Begleitmaßnahme bei Regelung der Primärmaßnahme in sein „sachgedankliches Mitbewusstsein“ aufgenommen hat.222 Der begleitende Eingriff darf

219

Vgl. AG Hamburg StV 2009, 636 (637); Schneider, NStZ 1999, 388 (389). Kemper, wistra 2010, 295 (297); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 41 f. Kühne, Strafprozessrecht, Rn. 504.2 will die Vorschriften zur Beschlagnahme auf die Mitnahme zur Durchsicht anwenden, allerdings unmittelbar: Da die Mitnahme zur Durchsicht von der bloßen Durchsuchungsanordnung nicht gedeckt sei, bedürfe es, da Gegenstände mitgenommen werden, einer Beschlagnahmeanordnung. Auf die unterschiedliche Einordnung von Durchsicht als Teil der Durchsuchung und Beschlagnahme als Abschluss der Durchsuchung geht Kühne dabei allerdings nicht ein. 221 Dazu Schneider, NStZ 1999, 388 (389). 222 Janker, NJW 1998, 269 (270) formuliert dies als „konkludent erteilte Ermächtigung“. 220

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

115

allerdings nicht übermäßig grundrechtsintensiv sein. Keinesfalls darf er in seiner Intensität über die der Primärmaßnahme hinausgehen.223 Man kann aus zweierlei Gründen daran zweifeln, ob die Mitnahme zur Durchsicht, wie sie praktiziert und von Literatur und Rechtsprechung gebilligt wird, den vorstehenden Anforderungen an eine Annexkompetenz genügt. Zum einen ist bezweifelbar, ob der Gesetzgeber bei Regelung des § 110 StPO das sachgedankliche Mitbewusstsein hatte, dass Ermittler die zu sichtenden Unterlagen typischerweise vom Fundort mitnehmen müssen, um die Durchsicht überhaupt durchführen zu können. Bei Schaffung der StPO und des § 110 hat sich das Problem, unüberschaubare Datensammlungen durchsehen zu müssen, noch nicht in der heutigen Form gestellt. Auch riesige Aktenschränke mit zehntausenden Aktenblättern dürften die Ausnahme gewesen sein. Damit stellte sich für den historischen Gesetzgeber die Mitnahme ganzer Unterlagenbestände nicht als typische Begleitmaßnahme der Durchsicht dar. Ganz im Gegenteil wurde die Durchsicht ihrem systematischen Zusammenhang nach bewusst als Maßnahme eingeordnet, die vor Ort als Teil der Durchsuchung nach den §§ 102 ff. StPO stattfinden soll. Die Mitnahme und der Entzug von Gegenständen demgegenüber sind als Sicherstellung und Beschlagnahme eigenständig in den §§ 94 ff. StPO geregelt worden. Es erscheint daher unwahrscheinlich, dass der historische Gesetzgeber bei ursprünglicher Schaffung des § 110 Abs. 1 StPO ein sachgedankliches Mitbewusstsein dahingehend aufwies, dass § 110 Abs. 1 StPO den Ermittlern auch außerhalb des Anwendungsbereichs der §§ 94 ff. StPO die Mitnahme von untersuchungswürdigen Gegenständen gestattet.224 Da aber § 110 StPO und insbesondere sein Absatz 1 im Laufe der Jahre geändert wurde225 und der Gesetzgeber schon 2008 mit der Schaffung der Befugnis zur Netzwerkdurchsicht in § 110 Abs. 3 StPO ausdrücklich auf die modernen Gegebenheiten von Ermittlungen unter Auswertung elektronisch gespeicherter Daten reagiert hat, ist es denkbar, dass der Gesetzgeber im Zuge dieser Reformen die typischerweise mit der Durchsicht einhergehende

223 Zum Ganzen LG Hamburg, MMR 2011, 693 (694); AG Hamburg StV 2009, 636 (636 f.); Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 90 f.; in diesem Sinne auch Henrichs, Kriminalistik 2008, 438 (440 ff.); HK-StPO-Gercke, Vor §§ 94 ff. Rn. 5; LR/Menges, Vor § 94 Rn. 39; SK-StPO/Wohlers/Greco, Vor §§ 94 ff. Rn. 2; Schneider, NStZ 1999, 388; Singelnstein, NStZ 2014, 305 (310) mit Beispielen zu (diskutierten) Annexkompetenzen; krit. Kühne, Strafprozessrecht, Rn. 414.1 ff. 224 Peters, NZWiSt 2017, 465 (466) weist indes darauf hin, dass schon das Reichsgericht ein Recht zur Mitnahme bejaht hat, s. RGSt 47, 195 (197). Die Entscheidung des Reichsgerichts betrifft allerdings die ausdrücklich geregelte Sonderkonstellation des § 110 Abs. 2 StPO. 225 Zur Änderungshistorie des § 110 Abs. 1 StPO siehe oben Kap. 2 B.I.

116

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Mitnahme insbesondere von Datenbeständen nun vor Augen hatte und innerhalb des § 110 Abs. 1 StPO mitgeregelt wissen wollte. Tatsächlich weist die Gesetzesbegründung zum 1. Justizmodernisierungsgesetz darauf hin, dass der Gesetzgeber auch eine Mitnahme durchzusehender Datenbestände im Blick hatte: Die Befugnis zur Durchsicht wurde laut Gesetzesbegründung vor allem deshalb auf Ermittlungsbeamte ausgedehnt, weil es „insbesondere angesichts der Entwicklung moderner Bürotechnik“, und weil der Begriff „Papiere“ auch elektronische Unterlagen umfasse, den praktischen Bedürfnissen der Ermittler nicht mehr gerecht werde, die Durchsicht nur der Staatsanwaltschaft zu erlauben. Vielmehr verfüge „die Polizei in der Regel über besonders ausgebildete, spezialisierte und erfahrene Bedienstete“, die Datenträger auch im Hinblick auf „versteckte“ Datenbestände überprüfen können.226 Damit sind vor allem Polizeibedienstete angesprochen, die Kenntnisse im Bereich der IT-Forensik nutzbar machen sollen, um Datenbestände zu durchforsten. Damit wiederum hatte der Gesetzgeber erkennbar eine Situation vor Augen, in der es Schwierigkeiten bereiten dürfte, die aufgefundenen Datenträger oder Datenbestände noch vor Ort zu sichten. Der Gesetzgeber sieht hier als typische Situation der Durchsicht eine solche, in der die Durchsicht der Datenbestände allein mit entsprechender personeller, damit einhergehend aber auch sachlicher Ausstattung zu leisten ist. Diese wiederum ist innerhalb der durchsuchten Räumlichkeiten typischerweise nicht vorhanden. Das spricht für ein sachgedankliches Mitbewusstsein des Gesetzgebers, dass die Durchsicht mittlerweile typischerweise nur durch Mitnahme der durchzusehenden Unterlagen und Datenträger effektiv durchführbar ist. Der Gesetzgeber wird weder davon ausgegangen sein, dass die von ihm erwähnten besonders ausgebildeten, spezialisierten und erfahrenen Polizeibediensteten mit vertieften Kenntnissen der IT-Forensik stets bei jeder Durchsuchung anwesend sind, noch kann der Gesetzgeber angenommen haben, dass sämtliche Beamte, die mit Durchsuchungen betraut sind, auch schwierigste Techniken der IT-Forensik beherrschen und sämtliche Hilfsmittel mit sich führen, um diese vor Ort anzuwenden.227 Die Gesetzesbegründung lässt daher anklingen, dass der Gesetzgeber davon ausging, dass eine solche Mitnahme zur Durchsicht auch abseits der Fälle des § 110 Abs. 2 StPO allgemein nach § 110 Abs. 1 StPO zulässig ist.228 Mit der Reform des § 110 Abs. 3 StPO und dem Einfügen eines neuen § 110 Abs. 4 StPO durch das Gesetz zur Fortentwicklung der Strafprozessordnung 226

BT-Drs. 15/1508, S. 24. Das übersieht Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 42 ff.; wenn sie dieselbe Passage aus der Gesetzesbegründung zitiert und daraus offenbar einen genau gegenteiligen Schluss ziehen will, nämlich, dass der Gesetzgeber eine Mitnahme zur Durchsicht gerade nicht erlauben wollte. 228 A. A. Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 42 ff. 227

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

117

und zur Änderung weiterer Vorschriften vom 25. Juni 2021229 wird der Eindruck, dass der Gesetzgeber schon seit längerem von der Zulässigkeit der Mitnahme zur Durchsicht ausgeht, bekräftigt. Nicht nur erwähnt § 110 Abs. 4 StPO die Fälle der Mitnahme zur Durchsicht ausdrücklich, auch in der Gesetzesbegründung wird konstatiert, dass die Mitnahme zur Durchsicht in den Fällen, in denen die „Papiere“ nicht vor Ort durchgesehen werden können, allgemein anerkannt sei.230 Zu bedenken bleibt aber, ob der in der Mitnahme von Hardware zur Durchsicht liegende begleitende Eingriff im Vergleich zur Primärmaßnahme der Durchsicht zu grundrechtsintensiv ist, als dass eine bloße Annexkompetenz als Rechtsgrundlage ausreichen würde. Eine ausführliche Besprechung der durch die Durchsicht einerseits und die Mitnahme zur Durchsicht andererseits betroffenen Grundrechte soll erst weiter unten (Kap. 2 B.III.) erfolgen. Schon jetzt aber ist zu bemerken, dass die Mitnahme der Hardware, also der elektronischen Geräte des Betroffenen, im Einzelfall durchaus grundrechtsintensiv sein kann. Betroffen ist im jedem Falle das durch Art. 14 GG geschützte Eigentum,231 auch eine Beeinträchtigung weiterer Grundrechte kommt in Betracht. Insbesondere bei einem längerfristigen Entzug der Hardware – wie bereits erwähnt eher die Regel als die Ausnahme232 – ist der Grundrechtseingriff als intensiv zu bewerten. Vor allem angesichts der Tatsache, dass die Mitnahme zur Durchsicht insbesondere bei der Durchsicht von informationstechnischen Systemen und Datenträgern zum praktischen Regelfall geworden ist,233 drängt sich umso mehr die Frage auf, ob diese Maßnahme überhaupt als bloß unselbstständiger und ungeregelter Annex zu § 110 Abs. 1 StPO verstanden werden darf. Das bloße Durchsehen von Datenbeständen vor Ort ist wie dargelegt eine andere und mildere Maßnahme als die Mitnahme der zugrunde liegenden Datenträger und Systeme dieser Datenbestände. Denn auch wenn die Mitnahme zur Durchsicht nur eine vorläufige Maßnahme ist, so werden dem Betroffenen im Ergebnis Gegenstände gegen seinen Willen entzogen. Die Eingriffswirkung der Mitnahme zur Durchsicht kann daher derjenigen einer Beschlagnahme nach § 94 Abs. 2 StPO gleichkommen.234 Es steht also die 229

BGBl. 2021 I, S. 2099. BT-Drs. 19/27654, S. 74. 231 Siehe nur BVerfG HRRS 2018 Nr. 989, Tz. 23; dazu noch ausführlich unten Kap. 2 B.III.5. 232 Siehe oben Kap. 2 B.II.3. 233 Vgl. die Gesetzesbegründung zum 1. Justizmodernisierungsgesetz, BT-Drs. 15/1508, S. 24; aus der Literatur Basar/Hie´ramente, NStZ 2018, 681; Kemper, wistra 2010, 295; Schneider, ZIS 2020, 79 (81); Szesny, WiJ 2012, 228 (229). 234 Vgl. BVerfG NJW 2018, 3571 (3572); BGH-Ermittlungsrichter CR 1999, 292 (293); SSW-StPO/Hadamitzky, § 110 Rn. 6; Kemper, wistra 2010, 295 (297) schildert den Eindruck, in der „Mitnahme zur Durchsicht“ liege eine Umgehung der gesetzlichen Regelung 230

118

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Berührung der gleichen Grundrechtspositionen des Betroffenen im Raum wie bei einer echten Beschlagnahme.235 Diese Nähe der Mitnahme zur Durchsicht zur Beschlagnahme hat auch der Gesetzgeber anerkannt, indem er für Fälle der Mitnahme zur Durchsicht und zur Datensicherung im Sinne des § 110 Abs. 3 S. 3 StPO in § 110 Abs. 4 StPO die entsprechende Anwendung der §§ 95a und 98 Abs. 2 StPO angeordnet hat, letzteres in Übernahme der Rechtsprechung, die bei einer Mitnahme zur Durchsicht einen Antrag des Betroffenen auf richterliche Entscheidung analog § 98 Abs. 2 S. 2 StPO schon länger zugelassen hat.236 Bei der jüngsten Reform des § 110 Abs. 3 StPO und der Regelung des neuen § 110 Abs. 4 StPO hat der Gesetzgeber sogar selbst den in der Mitnahme zur Durchsicht liegenden Eingriff in Art. 14 GG gesehen.237 Bis auf die Regelungen der Rechtsschutzmöglichkeit in § 110 Abs. 4 i. V. m. § 98 Abs. 2 StPO hat der Gesetzgeber aber gerade keine besonderen tatbestandlichen Regelungen zur Mitnahme zur Durchsicht geregelt, trotz ihrer potentiellen Eingriffsintensität. Insbesondere fehlt auch eine Regelung zur Frage, wann die Ermittler nur eine Kopie der Daten anfertigen dürfen und unter welchen Voraussetzung der Rückgriff auf die physischen Datenträger bzw. das gesamte informationstechnische System zulässig ist.238 Damit bestehen erhebliche Zweifel daran, ob es zulässig ist, die allgemeine Mitnahme zur Durchsicht auf eine bloße Annexkompetenz zu § 110 Abs. 1 StPO zu stützen, ebenso wie eine Annexkompetenz speziell zur Mitnahme von informationstechnischen Systemen zu § 110 Abs. 3 S. 1 StPO zweifelhaft ist. Diese Zweifel können an dieser Stelle der Untersuchung weder ausgeräumt noch bekräftigt werden. Zunächst gilt es daher zu klären, welche Grundrechte genau von der Durchsicht und der angehängten Maßnahme der Mitnahme zur Durchsicht regelmäßig betroffen sind und wie intensiv diese Grundrechtseingriffe sind. Aus den daraus gewonnenen Erkenntnissen hinsichtlich der Eingriffsintensität der Durchsicht können sodann Schlüsse für zwei miteinander verbundene Fragen gewonnen werden: Erstens, ob § 110 Abs. 3 S. 1 StPO die vielfältig ermöglichten Grundrechtseingriffe überhaupt angemessen einhegt und vor allem begrenzt; zweitens, ob die in § 110 Abs. 1 StPO (oder § 110 Abs. 3 S. 1 StPO) hineingelesene Annexkompetenz zur Mitnahme zur Durchsicht einer eigenen, ausdrücklichen Rechtsgrundlage bedarf, die den Anwendungsbereich dieser Maßnahme regelt und be-

der Beschlagnahme. Kühne, Strafprozessrecht, Rn. 504.2 plädiert dafür, dass die Mitnahme von Gegenständen immer einer Beschlagnahmeanordnung bedarf. 235 Vgl. zum Ganzen Peters, NZWiSt 2017, 465 (466). 236 BVerfG NStZ 2003, 377 (378); BGH-Ermittlungsrichter CR 1999, 292; BGH NStZ 2003, 670 (671); zustimmend Graulich, wistra 2009, 299 (301); Kemper, wistra 2010, 295 (297); SK-StPO/Wohlers/Jäger, § 110 Rn. 28. 237 BT-Drs. 19/27654, S. 74. 238 Dazu oben Kap. 2 B.II.2.c).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

119

grenzt. Auch die letztere Frage soll weiter unten im Rahmen von Reformvorschlägen zu § 110 Abs. 1, Abs. 3 S. 1 StPO noch einmal aufgegriffen werden.239

III. Betroffene Grundrechte bei der Durchsicht informationstechnischer Systeme Nicht erst durch die Sicherstellung oder Beschlagnahme von Daten, sondern bereits durch die bloße Durchsicht eines lokalen informationstechnischen Systems ist der Durchsuchte bzw. der Inhaber des Systems in seinen Grundrechten berührt. Die Variante der Mitnahme zur Durchsicht kann zusätzliche Schutzbereiche berühren oder bestehende Eingriffe vertiefen. Bei der Durchsicht, ob mit oder ohne Mitnahme des informationstechnischen Systems, kommt die Berührung gleich mehrerer grundrechtlicher Schutzbereiche in Betracht. Welche das sind und in welchem Verhältnis die einschlägigen Grundrechte dabei zueinander stehen, soll im Folgenden dargestellt werden (Kap. 2 B.III.1.–10.). Im Mittelpunkt der folgenden Untersuchung steht dabei die Frage, ob die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) eingreift (Kap. 2 B.III.2.). 1. Unverletzlichkeit der Wohnung Art. 13 Abs. 1 GG schützt die Unverletzlichkeit der Wohnung. „Wohnung“ ist weit zu verstehen und meint jedes räumliche Gebilde, das objektiv geeignet und subjektiv dazu bestimmt ist, Stätte des privaten Lebens und Wirkens zu sein und die Allgemeinheit von der darin stattfindenden privaten Lebensgestaltung auszuschließen.240 Neben „Wohnungen“ in diesem privaten Sinne unterfallen auch Geschäfts- und Betriebssräume dem grundrechtlichen Schutz des Art. 13 GG.241 Art. 13 GG ist als klassisches Abwehrrecht ausgestaltet, das dem Einzelnen das Recht sichern soll, in seiner räumlichen Privatsphäre vor staatlichen Zugriffen in Ruhe gelassen zu werden.242 239

Kap. 2 B.X.3.d). Dreier/Hermes, Art. 13 Rn. 16 f.; Hömig/Wolff/Wolff, Art. 13 Rn. 5; v. Mangoldt/ Klein/Starck/Gornig, Art. 13 Rn. 13 ff.; Sachs/Kühne, Art. 13 Rn. 2; Sodan/Sodan, Art. 13 Rn. 2; Umbach/Clemens/Cassardt, Art. 13 Rn. 26 ff. 241 BVerfGE 32, 54 (68 ff.); 44, 353 (371); BeckOK-GG/Kluckert, Art. 13 Rn. 3; Epping, Grundrechte, Rn. 668; Gröpl/Windthorst/v. Coelln, Art. 13 Rn. 9 ff.; Maunz/Dürig/Papier, Art. 13 Rn. 13, 20; Sodan/Sodan, Art. 13 Rn. 3; Stern/Becker/Stern, Art. 13 Rn. 33 ff.; im Ergebnis auch Umbach/Clemens/Cassardt, Art. 13 Rn. 35 ff.; kritisch v. Münch/Kunig/Kunig/Berger, Art. 13 Rn. 26 f.; ablehnend Dreier/Hermes, Art. 13 Rn. 26 f.; Sachs/Kühne, Art. 13 Rn. 4. 242 BVerfGE 109, 279 (309); Hömig/Wolff/Wolff, Art. 13 Rn. 2, 6; Kingreen/Poscher, 240

120

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Durchsuchen Ermittler eine nach Art. 13 GG geschützte Wohnung oder einen Geschäftsraum auf Grundlage der §§ 102 ff. StPO, so ist dies ein Eingriff in den Schutzbereich dieses Grundrechts (vgl. auch die speziellen Vorgaben für Durchsuchungen in Art. 13 Abs. 2 GG).243 Das gilt jedenfalls, sofern der oder die Inhaber der Räumlichkeiten nicht ausdrücklich in die Maßnahme einwilligen.244 Für den hier betrachteten Ermittlungsgang bedeutet dies, dass sehr häufig der Schutzbereich des Art. 13 GG bereits eröffnet sein wird, wenn es zur Durchsicht eines lokalen informationstechnischen Systems kommt. Dieses wird sich typischerweise in einer Wohnung oder in einem Geschäftsraum befinden. Wird ein informationstechnisches System dagegen außerhalb einer Wohnung oder eines Geschäftsraums aufgefunden und durchgesehen – so zum Beispiel bei einem Smartphone, welches der Beschuldigte außerhalb einer geschützten Räumlichkeit bei sich trägt – kommt von vornherein keine Berührung des Art. 13 GG in Betracht. Wenn das zu sichtende informationstechnische System in einer nach Art. 13 GG geschützten Räumlichkeit aufgefunden wurde, stellt sich die Frage, ob die dem Betreten der Wohnung nachgelagerte Durchsicht ebenfalls an Art. 13 GG zu messen ist – und wenn ja, ob sie ausschließlich an Art. 13 GG zu messen ist. Während die erste Frage die Grenzen des Schutzbereichs des Art. 13 GG betrifft, ist die zweite Frage die nach dem Verhältnis verschiedener Schutzbereiche zueinander, also die Frage nach etwaigen Grundrechtskonkurrenzen. a) Art. 13 GG als spezielles Datenschutzrecht Durch Art. 13 GG soll die räumliche Privatsphäre geschützt werden, mit anderen Worten also das Recht, im eigenen persönlichen Rückzugsraum in Ruhe gelassen zu werden.245 Im Vordergrund steht damit der Schutz davor, dass staatliche Stellen diesen Rückzugsraum physisch betreten, also zum Beispiel im Rahmen einer Durchsuchung in die Wohnung eindringen.246 Der Schutzbereich der Unverletzlichkeit der Wohnung ist aber nicht auf die Abwehr physischer Beeinträchtigungen der räumlichen Privatsphäre beschränkt. Art. 13 GG schützt ganz allgemein die Privatheit derjenigen Vorgänge innerhalb der Wohnung, die der natürlichen Wahrnehmung von auGrundrechte, Rn. 1004; Maunz/Dürig/Papier, Art. 13 Rn. 1; Stern/Becker/Stern, Art. 13 Rn. 2, 22, 45; Umbach/Clemens/Cassardt, Art. 13 Rn. 23 f. 243 Vgl. Epping, Grundrechte, Rn. 670 f.; Maunz/Dürig/Papier, Art. 13 Rn. 21 ff.; Sodan/Sodan, Art. 13 Rn. 5. 244 Hufen, Grundrechte, § 15 Rn. 10; Jarass/Pieroth, Art. 13 Rn. 10; v. Münch/Kunig/Kunig/Berger, Art. 13 Rn. 33; Umbach/Clemens/Cassardt, Art. 13 Rn. 57 ff.; vgl. auch Sachs/Kühne, Art. 13 Rn. 23 f. 245 BVerfGE 109, 279 (309); Maunz/Dürig/Papier, Art. 13 Rn. 1. 246 Vgl. BVerfGE 109, 279 (309); Hömig/Wolff/Wolff, Art. 13 Rn. 6.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

121

ßerhalb des geschützten Bereichs entzogen sind.247 Damit bedeutet nicht nur das Betreten der Wohnung einen Eingriff in den Schutzbereich des Art. 13 Abs. 1 GG, sondern auch das Ausspähen von Vorgängen innerhalb der Wohnung auf andere Art und Weise. So stellt Art. 13 Abs. 3, Abs. 4 GG Schranken für die akustische bzw. auch optische Überwachung von Wohnungen auf. Somit bedeutet selbst das Anbringen von Richtmikrofonen außerhalb der Wohnung, die auf die akustische Überwachungen von Vorgängen innerhalb der Wohnung gerichtet sind, einen Eingriff in Art. 13 GG – ohne dass staatliche Stellen die Wohnung betreten müssten.248 Auch wenn elektromagnetische Wellen abgefangen werden, die z. B. von Computerbildschirmen emittiert werden und aus der Wohnung heraus nach außen dringen (VanEck-Phreaking249), ist dies ein Eingriff in Art. 13 GG.250 Manche formulieren deshalb ganz allgemein, dass Art. 13 GG die in der Wohnung befindlichen Informationen vor staatlicher Kenntnisnahme schützt.251 Zu beachten ist dabei aber, dass das BVerfG diesen Informationsbzw. Datenschutz durch Art. 13 GG einschränkend davon abhängig macht, dass zur Informationserhebung die räumlichen Barrieren, welche die Wohnung bilden und die Privatheit schützen, in ihrer spezifischen Abschirmfunktion überwunden werden. Das ist beim Abhören per Mikrofon vom in der Wohnung gesprochenen Wort, ob von innen oder von außen, der Fall, und auch für das Abfangen von elektromagnetischen Wellen trifft dies zu. In diesen Fällen wird die räumliche Barriere der Wohnung, welche die Privatheit abschirmt, überwunden. Wird dagegen mittels einer Online-Durchsuchung aus der Ferne auf Inhalte eines in der Wohnung gelagerten informationstechnischen Systems zugegriffen, so wird kein spezifisch raumbezogenes Hindernis, sondern ein technisches Hindernis überwunden, welches unabhängig vom Standort des informationstechnischen Systems besteht. Daraus folgt,

247 BVerfGE 109, 279 (327); 120, 274 (309 f.); Gröpl/Windthorst/v. Coelln, Art. 13 Rn. 16; Hömig/Wolff/Wolff, Art. 13 Rn. 6. 248 BVerfGE 109, 279 (327); Gröpl/Windthorst/v. Coelln, Art. 13 Rn. 16 f.; v. Mangoldt/ Klein/Starck/Gornig, Art. 13 Rn. 43; v. Münch/Kunig/Kunig/Berger, Art. 13 Rn. 30. 249 Siehe überblicksweise https://de.wikipedia.org/wiki/Van-Eck-Phreaking [zuletzt abgerufen am 04.11.2021]; zu den technischen Einzelheiten van Eck, Computers & Security 1985, Auflage 4, S. 269 ff. 250 Vgl. BVerfGE 120, 274 (310); Hömig/Wolff/Wolff, Art. 13 Rn. 6. 251 Amelung, NJW 1991, 2533 (2535); Dreier/Hermes, GG, Art. 13 Rn. 12; Huster, LT NRW-Stellungnahme 14/0641, S. 4; Kudlich, HFR 2007, 202 (207); ders., GA 2011, 193 (197); Kutscha, NJW 2007, 1169 (1170); v. Mangoldt/Klein/Starck/Gornig, GG, Art. 13 Rn. 2; Michael/Morlok, Grundrechte, Rn. 366; Placzek, Allgemeines Persönlichkeitsrecht, 2006, S. 35 f.; Roggan, Verfassungsbeschwerde vom 9. Februar 2007, S. 19; Sachs/Kühne, GG, Art. 13 Rn. 10; Schantz, KritV 2007, 310 (314 ff.); Sokol, LT NRW-Stellungnahme 14/0625, S. 9; dies., FS Hamm 2008, 719 (729); Umbach/Clemens/Cassardt, GG, Art. 13 Rn. 38; in seiner Formulierung tendenziell dagegen Eifert, Jura 2015, 1181 (1185).

122

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

dass der Eingriff in einem solchen Fall nicht an Art. 13 GG zu messen ist, sondern am Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.252 b) Art. 13 GG – Kein ausschließlicher Maßstab für Datenerhebungen innerhalb der Wohnung Bei einem Ermittlungsgang, in dem die Ermittler zunächst im Rahmen einer Durchsuchung die Wohnung betreten und dann ein lokales informationstechnisches System gemäß § 110 Abs. 3 S. 1 StPO durchsehen, könnte auch diese Durchsicht ausschließlich an Art. 13 GG zu messen sein – eben wie die zugrunde liegende Durchsuchung selbst. Denn wenn Art. 13 GG allgemein vor der Kenntnisnahme von Informationen aus der Wohnung durch staatliche Stellen schützen soll, dann müsste die Durchsicht nach § 110 Abs. 3 S. 1 StPO als Teil der Durchsuchung denselben Schutzbereich betreffen. Geht man wie oben bereits beschrieben zutreffend davon aus, dass Art. 13 GG auch die Informationshoheit des Wohnungsinhabers innerhalb der räumlichen Privatsphäre schützt, dann ergibt sich daraus der Grundsatz, dass hinsichtlich der Datenerhebung aus der Wohnung unter Überwindung deren räumlicher Abschottung Art. 13 GG als lex specialis Vorrang gegenüber anderen Grundrechten genießt, insbesondere gegenüber denen aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.253 Dieser Grundsatz gilt jedenfalls für diejenige Phase der Durchsuchung, in der die Ermittler den physischen Raum der Wohnung betreten und nach dort befindlichen physisch vorhandenen Objekten suchen. Die Suche nach einem in der Wohnung verborgenen physischen Aktenordner oder auch nach einem physisch vorhandenen informationstechnischen System (z. B. in Gestalt eines Laptops oder eines Smartphones) ist damit vorrangig an Art. 13 GG zu messen. Von diesem Grundsatz gibt es jedoch Ausnahmen, die dann greifen, wenn die Ermittler bei der Wohnungsdurchsuchung nicht mehr nur in einer ersten Phase nach physisch vorhandenen Objekten suchen, sondern diese Objekte in einer zweiten Phase inhaltlich sichten. Diese Ausnahmen ergeben sich 252

Zum Ganzen BVerfGE 120, 274 (310 f., 313 ff.). Zur Diskussion über die Anwendbarkeit des Art. 13 GG bei Fernzugriffen auf informationstechnische Systeme (§ 110 Abs. 3 S. 2 StPO) s. unten Kap. 3 C.I.1. 253 v. Mangoldt/Klein/Starck/Gornig, Art. 13 Rn. 52; Schmidt-Bleibtreu/Hofmann/ Henneke/Hofmann, Art. 13 Rn. 44; beide mit Verweis auf BVerfGE 51, 97 (105); vgl. auch Dreier/Hermes, Art. 13 Rn. 47 (wieder einschränkend jedoch in Rn. 124); Hufen, Grundrechte, § 15 Rn. 9 (Aufleben des Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG erst nach der Primärmaßnahme bei Speicherung und Weitergabe der erhobenen Daten); Jarass/Pieroth, Art. 13 Rn. 2 (mit Anerkennung von paralleler Anwendung des Rechts auf informationelle Selbstbestimmung in Sonderfällen, mit Verweis auf BVerfGE 115, 166 (187 f.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

123

insbesondere aus den gewandelten Verhältnissen bei der privaten Lebensgestaltung, die immer häufiger durch elektronisch gespeicherte Daten beeinflusst oder auch erst verwirklicht wird. Private Lebensgestaltung spielt sich nicht mehr nur innerhalb physisch-räumlicher Grenzen ab, sondern auch und gerade im virtuellen Raum. Damit korrespondieren die gewandelten Verhältnisse bei strafprozessualen Ermittlungen, die auch und gerade in Gestalt von Wohnungsdurchsuchungen auch auf die Erhebung elektronisch gespeicherter Daten abzielen. Wohnungsdurchsuchungen und Durchsichten bedeuten daher immer häufiger die Suche nach und in informationstechnischen Systemen gemäß § 110 Abs. 3 StPO. In Anbetracht dieser Entwicklung erhält nicht nur das Recht auf informationelle Selbstbestimmung eine besondere Bedeutung, sondern auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht). Diese beiden Grundrechte fließen zwar aus dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und sind damit grundsätzlich gegenüber spezielleren Freiheitsrechten subsidiär.254 Seiner Idee nach ist aber insbesondere das IT-Grundrecht speziell auf denjenigen Bereich der Privatsphäre zugeschnitten, der durch informationstechnische Systeme und deren Speicher als virtueller Raum vermittelt wird.255 Das ITGrundrecht soll einen standortunabhängigen Schutz informationstechnischer Systeme und der durch sie vermittelten Privatsphäre gewährleisten.256 Mit dem IT-Grundrecht ist also ein eigenständiger Freiheitsbereich mit festen Konturen entstanden.257 Es würde dem Zweck und der Schutzrichtung des IT-Grundrechts nicht gerecht, verneinte man die Eröffnung seines Schutzbereichs bei Wohnungsdurchsuchungen mit pauschalem Verweis auf die Subsidiarität des Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG gegenüber Art. 13 GG. Art. 13 GG mag zwar auch in gewisser Weise Daten innerhalb seiner räumlichen Schutzsphäre schützen. Aber der Schutzbereich des Wohnungsgrundrechts ist an die spezifischen räumlichen Gegebenheiten einer Wohnung gebunden; es geht um den physischen Schutzraum, den die Wohnung selbst vermittelt. Mit dem IT-Grundrecht auf der anderen Seite aber sind informationstechnische Systeme als eigenständiger, virtueller Schutzraum anerkannt worden (auch als „elektronische Privatsphäre“258 zu bezeichnen). So-

254 Vgl. BVerfGE 120, 274 (302 f.); Gurlit, NJW 2010, 1035 (1036); Martini, JA 2009, 839 (840); Sachs /Rixen, Art. 2 Rn. 66; Wegener/Muth, Jura 2010, 847 (849). 255 Vgl. Sachs/Rixen, Art. 2 Rn. 73d: „[…] virtuell-informationstechnische[r] Bereich freier Persönlichkeitsentfaltung.“ 256 Vgl. BVerfGE 120, 274 (310 ff.); Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 123 ff.). 257 Vgl. BVerfGE 115, 166 (187); Hömig/Wolff/Wolff, Art. 13 Rn. 3; Redler, OnlineDurchsuchung, 2012, S. 123; Schoch, Jura 2008, 352 (355). 258 Böckenförde, JZ 2008, 925 ff.

124

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

mit bezwecken zwar sowohl Art. 13 GG als auch das IT-Grundrecht den Schutz von Privatheit. Sie tun es aber in unterschiedlichen Schutzräumen: Art. 13 GG im physischen Schutzraum, gebildet durch die Wohnung; das ITGrundrecht im virtuellen Schutzraum, gebildet durch informationstechnische Systeme. Diese beiden Schutzräume sind grundsätzlich unabhängig voneinander gewährleistet, mögen sie im Rahmen einer Wohnungsdurchsuchung auch gleichzeitig oder nacheinander berührt werden. Wird im Rahmen einer Wohnungsdurchsuchung also ein informationstechnisches System durchgesehen, so entfalten sowohl Art. 13 GG als auch das IT-Grundrecht ihre Schutzwirkung.259 Die neuere Rechtsprechung des BVerfG präzisiert hinsichtlich der Durchsicht von Datenbeständen das Verhältnis der unterschiedlichen grundrechtlichen Schutzbereiche zueinander. Danach betreffen behördliche Maßnahmen in Bezug auf aufgefundene Unterlagen und Daten, die über das Kerngeschehen der Durchsuchung, also vor allem das Betreten der Wohnung hinausgehen, das allgemeine Persönlichkeitsrecht, und damit auch die aus ihm fließenden besonderen Ausprägungen. Dies gilt insbesondere für Beschlagnahmen oder Maßnahmen nach § 110 Abs. 3 StPO, die nur mittelbar aus der Durchsuchung folgen. Diese unterfallen nicht mehr dem Schutzbereich des Art. 13 Abs. 1 GG. Stattdessen sind sie an Art. 2 Abs. 1 GG zu messen, also am allgemeinen Persönlichkeitsrecht und dessen speziellen Ausprägungen, wenn und soweit nicht andere Spezialgrundrechte vorgehen.260 Ein solches Spezialgrundrecht kann unter Umständen das Fernmeldegeheimnis aus Art. 10 GG sein.261 Bei der Durchsicht eines rein lokalen informationstechnischen Systems auf Grundlage des § 110 Abs. 3 S. 1 StPO ist der Schutzbereich des Art. 10 GG allerdings grundsätzlich nicht eröffnet.262 Im Ergebnis kommen bei der Durchsicht eines lokalen informationstechnischen Systems die grundrechtlichen Schutzbereiche von Art. 13 GG und Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG also gar nicht im eigentlichen Sinne parallel zur Anwendung. Stattdessen betrifft Art. 13 GG nur den Teil der Durchsuchung, der vor der Durchsicht (oder Beschlagnahme) eines informationstechnischen Systems stattfindet. Mit anderen Worten: Wenn § 110 Abs. 3 S. 1 StPO zur Anwendung kommt, hat der Eingriff in Art. 13 GG durch das Betreten der Wohnung bereits begonnen oder ist – zum Beispiel in

259 Im Ergebnis Dralle´, Grundrecht auf Gewährleistung, 2010, S. 140 f.; Dreier/Hermes, Art. 13 Rn. 124; Hömig/Wolff/Wolff, Art. 13 Rn. 3; Redler, Online-Durchsuchung, 2012, S. 124 f.; Schoch, Jura 2008, 352 (355). 260 BVerfGE 113, 29 (45); bestätigt von BVerfGE 120, 274 (311); 124, 43 (57); vgl. auch BVerfG NJW 2018, 2385 (2387); BeckOK-GG/Kluckert, Art. 13 Rn. 7; Heinson, IT-Forensik, 2015, S. 181 ff.; a. A. Maunz/Dürig/Papier, Art. 13 Rn. 145. 261 Vgl. BVerfGE 115, 166 (188 f.). 262 Dazu unten unter Kap. 2 B.III.4.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

125

den Fällen der Mitnahme zur Durchsicht – sogar bereits abgeschlossen. Jedenfalls ist dieser vorgelagerte Eingriff in Art. 13 GG ein anderer Eingriff als der, der in der anschließenden Durchsicht gemäß § 110 Abs. 3 S. 1 StPO liegt. Deshalb ist die dem Betreten der Wohnung nachgelagerte Durchsicht eines informationstechnischen Systems, die insbesondere im Falle einer Mitnahme zur Durchsicht ohnehin außerhalb der durch Art. 13 GG geschützten Räumlichkeiten stattfindet,263 nicht mehr an Art. 13 GG, sondern an anderen Grundrechten zu messen. Die unterschiedlichen Phasen der Durchsuchung berühren also unterschiedliche grundrechtliche Schutzbereiche. Das BVerfG verkürzt damit den Schutzbereich des Art. 13 GG zugunsten des allgemeinen Persönlichkeitsrechts, insbesondere in seiner Gestalt als Grundrecht auf informationelle Selbstbestimmung und des IT-Grundrechts. Es besteht bei der Durchsicht informationstechnischer Systeme also keine echte Konkurrenz zwischen den grundrechtlichen Schutzbereichen aus Art. 13 GG einerseits und Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG andererseits. Sie stehen nach der Rechtsprechung des BVerfG nicht im engeren Sinne in einem Konkurrenzverhältnis, sondern sind bereits thematisch nach Schutzräumen voneinander abgeschichtet; sie überlappen sich nicht. Aus grundrechtlicher Sicht ist diese Aufteilung und Abgrenzung nach Schutzräumen sachgerecht. Sie ist aber aus einfachrechtlicher Perspektive bemerkenswert. Denn nach herkömmlicher strafprozessrechtlicher Sichtweise ist die Durchsicht nach § 110 StPO nicht etwa in Form einer eigenständigen Maßnahme der Durchsuchung nachgelagert und von ihr getrennt, sondern unselbstständiger Teil der Durchsuchung.264 Ausgehend von diesem systematischen Verständnis müsste die Durchsicht auf den ersten Blick genau den gleichen grundrechtlichen Maßstäben unterworfen sein wie der Rest der Durchsuchung. Dieser Eindruck drängt sich insbesondere deshalb auf, weil Art. 13 Abs. 2 GG insgesamt von „Durchsuchungen“ spricht und sie damit in ihrer Gesamtheit dem Schutz des Wohnungsgrundrechts unterordnet – wozu dann auch die Durchsicht gehören müsste. Dieser scheinbare systematische Widerspruch löst sich allerdings auf, wenn man den verfassungsrechtlichen Begriff der Durchsuchung nach Art. 13 Abs. 2 GG vom strafprozessualen Begriff der Durchsuchung nach §§ 102 ff. StPO unterscheidet und anerkennt, dass die beiden Begriffe nicht vollkommen deckungsgleich sind. Art. 13 Abs. 2 GG bezieht sich angesichts der Raumbezogenheit des Wohnungsgrundrechts auf den Aspekt der Durchsuchung, der auf die Überwindung physisch-räumlicher Grenzen abzielt. Der in dieser Überwindung liegende Eingriff ist auch im Zusammenhang mit der Durchsicht informati263

Das betont auch Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 140. 264 Siehe bereits oben Kap. 2 B.I und II., dort auch mit Nachweisen aus Rechtsprechung und Schrifttum.

126

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

onstechnischer Systeme nach wie vor an Art. 13 GG zu messen. Dieser Eingriff ist aber nur ein Teil der Maßnahmen, die durch §§ 102 ff. StPO geregelt werden. Während die §§ 102, 103 StPO vor allem den raumbezogenen Eingriff, also das Betreten der Wohnung abbilden, regelt § 110 StPO darüber hinaus weitere Aspekte und damit Eingriffe innerhalb einer solchen Durchsuchung. Die Durchsicht nach § 110 StPO ist strafprozessrechtlich gesehen zwar Teil dieser Durchsuchung, aber eben nicht derjenige Teil, der spezifisch auf die Überwindung der von Art. 13 GG gesteckten Grenzen, mithin der physisch-räumlichen Barrieren der Wohnung ausgerichtet ist – denn zum Zeitpunkt der Durchsicht ist die Wohnungsschwelle in der Regel bereits übertreten. Deshalb ist es nicht systemwidrig, einzelne behördliche Handlungen, die alle Teil einer Durchsuchung im strafprozessualen Sinne sind, an jeweils unterschiedlichen Grundrechten zu messen. Es entspricht gerade der grundrechtlichen Systematik, dass für unterschiedliche Aspekte eines gemeinsamen Sachverhalts unterschiedliche Grundrechte einschlägig sein können.265 Hinzu kommt, dass ohnehin nicht jede Durchsuchung im Sinne von §§ 102 ff. StPO zwingend in das Wohnungsgrundrecht aus Art. 13 GG eingreift. Das ergibt sich bereits aus dem Wortlaut des § 102 StPO, der auch die Durchsuchung von Sachen oder sogar Personen abbildet. Der verfassungsrechtliche Begriff der Durchsuchung gemäß Art. 13 Abs. 2 GG bezieht sich im Zusammenspiel mit Art. 13 Abs. 1 GG aber ausschließlich auf Wohnungsdurchsuchungen, nicht auf Durchsuchungen schlechthin. Das belegt, dass die Durchsuchungsbegriffe der §§ 102 ff. StPO und des Art. 13 GG nicht völlig deckungsgleich sind. Der Rechtsprechung des BVerfG, welche die Durchsicht aus dem Schutzbereich des Art. 13 GG herausnimmt und sie dem Schutzbereich des Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG oder spezielleren Freiheitsrechten zuordnet, ist somit zuzustimmen.266 Sie zeigt allerdings auch auf, dass die strafprozessualen Eingriffsnormen die modernen Ermittlungsmaßnahmen im Umfeld elektronischer Daten und die durch die Ermittlungshandlungen bewirkten Grundrechtseingriffe nur unzureichend abbilden. Es ist auf den ersten Blick nicht selbstverständlich, dass eine Norm wie § 110 StPO, die systematisch bei Eingriffsnormen eingruppiert ist, die überwiegend Art. 13 GG betreffen (nämlich §§ 102 ff. StPO), gar nicht an Art. 13 GG zu messen sein soll, sondern stattdessen andere Schutzbereiche berührt. Hier zeigt sich erneut der Gegensatz zwischen Ermittlungen im physischen Raum, auf die die §§ 102 ff. StPO ursprünglich ausgerichtet sind, und Ermittlungen im virtuellen Raum, wie sie § 110 Abs. 3 StPO ermöglicht. § 110 StPO wird damit zur Grundlage vielfältiger Eingriffe in unterschiedliche Schutzbereiche gemacht,

265 266

Vgl. Dreier/Dreier, Art. 2 I Rn. 99. Abl. dagegen Kroll, Kernbereichsschutz, 2021, S. 69 f.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

127

die jedenfalls mit einer Wohnungsdurchsuchung nicht mehr viel zu tun haben. Das alles war bei Schaffung der §§ 102 ff. StPO nicht mitgedacht worden. Überdies ist die Rechtsprechung des BVerfG ein weiteres Indiz dafür, dass die Charakterisierung der Durchsicht als unselbstständiger Teil der Durchsuchung und die Einordnung des § 110 Abs. 1 StPO als bloße Verfahrensvorschrift zu den §§ 102 ff. StPO überholt ist. Zwar ist § 110 Abs. 1 StPO systematisch in den Regelungskomplex zur Durchsuchung eingebettet und stellt keine eigenen tatbestandlichen Eingriffsvoraussetzungen auf, weshalb die Norm zuweilen als nur ergänzende Regelung zum Durchsuchungsverfahren mit Vorschriften über die Zuständigkeiten zur Durchführung der Durchsicht angesehen wird.,267 Aber dadurch, dass das BVerfG die Durchsicht nach § 110 Abs. 1 StPO nicht pauschal an den Maßstäben des Art. 13 GG misst, sondern an den Grundrechten aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, sind der Durchsicht eigenständige Eingriffswirkungen zuerkannt, die über die zugrunde liegende Durchsuchung hinausgehen. Das BVerfG behandelt § 110 Abs. 1 StPO aus verfassungsrechtlicher Sicht damit wie eine eigenständige Eingriffsgrundlage.268 Dies muss erst recht für § 110 Abs. 3 S. 1 StPO gelten, der durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021269 als klarstellende, spezielle Rechtsgrundlage für die Durchsicht lokaler informationstechnischer Systeme neu eingefügt wurde. § 110 Abs. 1 StPO bzw. § 110 Abs. 3 S. 1 StPO dienen erkennbar nicht mehr (nur) dazu, das Verfahren bei einer Durchsuchung zu regeln und dadurch einen besseren Grundrechtsschutz für den Beschuldigten zu erreichen, sondern sind mittlerweile (auch) die Grundlage für Eingriffe in Grundrechte geworden.270 2. IT-Grundrecht Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, kurz IT-Grundrecht271, ist in dieser Arbeit 267

Zu dieser Einordnung oben Kap. 2 B.I. Das wird beispielsweise deutlich in der Entscheidung BVerfG NJW 2018, 2385 (2387 – Rn. 72). 269 BGBl. 2021 I, S. 2099. 270 Dazu noch unten Kap. 2 B.X.2. 271 Begriff z.B. bei Abate, DuD 2011, 122 (123); Albrecht/Braun, HRRS 2013, 500 (503); Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 118 – Fn. 80); Bratke, Die Quellen-Telekommunikationsüberwachung, 2013, S. 120; Buermeyer, HRRS 2009, 433 (434 f.); Luch, MMR 2011, 75; Michalke, StraFo 2008, 287 (291); Warntjen, in: Roggan (Hrsg.), OnlineDurchsuchungen, 2008, S. 57. Die Sperrigkeit der vom BVerfG gewählten Wendung „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ ist im Schrifttum wenig erfreut aufgenommen worden, vgl. nur Dreier/Dreier, Art. 2 I Rn. 82; Hömig, Jura 2009, 207; Kutscha, NJW 2008, 1042; Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21. 268

128

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

bereits mehrfach erwähnt worden. Das IT-Grundrecht ist eine spezielle Ausprägung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Es wurde vom BVerfG erstmals in seinem Urteil zur Online-Durchsuchung in Stellung gebracht.272 Auch in der Folge wurde das ITGrundrecht als Maßstab zur Beurteilung der Verfassungsmäßigkeit von Online-Durchsuchungen bzw. deren jeweiligen Rechtsgrundlagen herangezogen, sowohl durch die Rechtsprechung273, als auch durch den Gesetzgeber.274 In Hessen wird in Art. 12a S. 2 der Landesverfassung die Vertraulichkeit und Integrität informationstechnischer Systeme nunmehr ausdrücklich gewährleistet. Das IT-Grundrecht kann damit in Rechtsprechung und Rechtswissenschaft ebenso wie in Gesetzgebung und Politik als etabliert gelten.275 In der Rechtsprechung und der Gesetzgebung, aber auch im rechtswissenschaftlichen Schrifttum wurde das IT-Grundrecht bisher vor allem mit Online-Durchsuchungen im Sinne des § 100b StPO oder des § 49 BKAG in Verbindung gebracht, also mit solchen Maßnahmen, bei denen ein informationstechnisches System mit einer Spionagesoftware infiziert wird, um in der Folge Daten an die Ermittlungsbehörden auszuleiten.276 Das liegt daran, dass das IT-Grundrecht als Reaktion auf Online-Durchsuchungen dieser Art entwickelt worden ist.277 Im Zusammenhang mit anderweitigen (strafprozessualen oder polizeirechtlichen) Maßnahmen wurde das IT-Grundrecht dagegen wenig bis gar nicht diskutiert.278 Dieser Mangel gilt auch für die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO: In der Regel wird diese Maßnahme am Recht auf informationelle Selbstbestimmung279 und gebenenfalls anderen Spezialgrundrechten gemessen, ohne dass die Anwendbarkeit des IT-Grundrechts ausführlich diskutiert würde.280 Das ist erstaunlich, denn das IT-Grundrecht ist bereits seinem Namen nach auf den Schutz informationstechnischer Systeme zugeschnitten.

272

BVerfGE 120, 274 (313 ff.). BVerfGE 144, 220 (303 ff.). 274 BT-Drs. 18/12785, S. 47 f., 53 ff. 275 Zu Ausnahmen betreffend die Rechtsprechung siehe aber unten Kap. 2 B.III.2.g). 276 Zum Begriff der Online-Durchsuchung bereits oben Einl. D.I. 277 Dazu sogleich unten Kap. 2 B.III.2.a). 278 Vgl. BVerfGE 124, 43 (57), wo das IT-Grundrecht im Zusammenhang mit der Sicherstellung von E-Mails von einem Server erwähnt, aber für nicht einschlägig erklärt wird; dazu noch unten Kap. 2 B.III.2.c)ee) und d)dd). 279 Dazu noch unten Kap. 2 B.III.3. 280 Vgl. BVerfG NJW 2018, 2385 (2386); Vgl. auch BVerfGE 124, 43 (57), wo das ITGrundrecht im Zusammenhang mit der Sicherstellung von E-Mails von einem Server immerhin Erwähnung findet, aber für nicht einschlägig erklärt wird. BVerfG HRRS Nr. 989 (2 BvR 708/18) misst die Auswertung von informationstechnischen Systemen und Datenträgern nur am Recht auf informationelle Selbstbestimmung; dazu und zum Ganzen ausführlich unten Kap. 2 B.III.2.g). 273

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

129

Im Folgenden muss daher der Schutzbereich des IT-Grundrechts geklärt werden. Ziel ist dabei, zu zeigen, dass das IT-Grundrecht nicht nur Maßstab für Online-Durchsuchungen im Sinne des § 100b StPO ist, sondern dass das IT-Grundrecht auch für andere Maßnahmen, die auf informationstechnische Systeme zugreifen, gelten muss – und damit auch für entsprechende Maßnahmen auf Grundlage des § 110 Abs. 3 StPO. Dazu soll in einem ersten Schritt umrissen werden, unter welchen Vorzeichen das BVerfG das ITGrundrecht geschaffen hat (Kap. 2 B.III.2.a)). In weiteren Schritten werden dann die einzelnen Aspekte von Online-Durchsuchungen, die das BVerfG bei Erschaffung dieses Grundrechts berücksichtigt hat, separat begutachtet, um Gemeinsamkeiten und Unterschiede zwischen Online-Durchsuchungen im Sinne des BVerfG-Urteils und Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO herauszuarbeiten (Kap. 2 B.III.2.b)-g)). a) Allgemeines Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist eine spezielle Ausprägung des allgemeinen Persönlichkeitsrechts und hat seine Grundlage damit in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.281 Geschaffen wurde das Grundrecht vom BVerfG im Jahre 2008 in seinem Urteil zur Online-Durchsuchung.282 Gegenstand der teilweise erfolgreichen Verfassungsbeschwerde war eine Norm aus dem Verfassungsschutzgesetz des Landes Nordrhein-Westfalen, § 5 Abs. 2 Nr. 11 S. 1 Alt. 2 VSG NRW a. F.283 Sie lautete:284 § 5 – Befugnisse […] (2) Die Verfassungsschutzbehörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliches Mittel die folgenden Maßnahmen anwenden: […] 11. heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. […]285 281

BVerfGE 120, 274 (313 ff.). Hoffmann-Riem, JZ 2008, 1009 (1014), immerhin Berichterstatter im Verfahren zur Online-Durchsuchung, bestreitet den Charakter als neues Grundrecht und sieht bloß eine Ausprägung des Grundrechts auf Schutz der Persönlichkeit. Dagegen mit beachtlichen Gründen und ausführlich für die Eigenschaft als neues Grundrecht Härtel, NdsVBl. 2008, 276 (279 ff.). Zur (Ir-)Relevanz der Einordnung Manssen, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 61 (67 f.). Da BVerfGE 120, 274 bereits im Leitsatz Nr. 1 die Wendung „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ benutzt, soll auch hier im Weiteren von einem „Grundrecht“ gesprochen werden. 283 GV.NRW. 2006 S. 620. 284 Der Gesetzestext ist abgedruckt in BVerfGE 120, 274 (282). 285 Hervorhebung durch Kursivdruck nicht im Original. 282

130

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Das BVerfG hielt die Norm wegen Verletzung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme für unvereinbar mit Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und erklärte sie folglich als nichtig. Das Gericht bemängelte, die Norm sei zu unbestimmt286 und überdies unverhältnismäßig287, insbesondere fehle es an Vorschriften zum Schutz des Kernbereichs privater Lebensgestaltung288. Um zu begründen, warum die Rechtsgrundlage zur Online-Durchsuchung verfassungswidrig war, hat das BVerfG weitreichende Ausführungen zur (Un-)Verhältnismäßigkeit von Datenzugriffen, insbesondere in Form von Zugriffen auf informationstechnische Systeme, getätigt. Die Ausführungen sind dabei in Teilen allgemein gehalten und beziehen sich nicht ausschließlich auf Online-Durchsuchungen. Ihre Berücksichtigung auch bei der Beurteilung anderer Maßnahmen, die auf elektronisch gespeicherte Daten von informationstechnischen Systemen zugreifen, liegt daher nahe. Es ist allerdings zu beachten, dass die verfassungsrechtlichen Vorgaben dieses BVerfG-Urteils nicht eins zu eins auf die hier zu untersuchende Maßnahme nach § 110 Abs. 3 S. 1 StPO übertragen werden können.289 Zwar schuf das BVerfG dieses Grundrecht ausweislich der Urteilsbegründung ganz generell zum Schutz von informationstechnischen Systemen. Die für nichtig erklärte Vorschrift des Verfassungsschutzgesetzes Nordrhein-Westfalen unterscheidet sich jedoch von der Norm des § 110 Abs. 3 StPO. Die Norm aus dem VSG NRW und damit auch das Urteil des BVerfG beziehen sich auf Maßnahmen präventiver Natur, § 110 Abs. 3 StPO ist repressiver Natur. Im Urteil ging es insbesondere um heimliche Maßnahmen, § 110 Abs. 3 StPO ermächtigt jedoch grundsätzlich nur zu offenen Maßnahmen. Die Norm aus dem VSG NRW ermächtigte auch zu einer längerfristigen Überwachung des Systems und seiner ein- und ausgehenden Daten, § 110 Abs. 3 StPO erlaubt dagegen nur den einmaligen Zugriff auf bereits gespeicherte Daten. Schließlich geht es bei der Online-Durchsuchung nach dem VSG NRW (wie auch bei § 100b StPO) um das Einschleusen einer Spionagesoftware auf das Zielsystem, also um dessen technische Infiltration und Manipulation, wohingegen § 110 Abs. 3 StPO im Grundsatz nur den einfachen Zugriff auf das System und seine Daten erlaubt. Diese Unterschiede sollen in den folgenden Abschnitten ausführlich dargestellt werden werden.290 Es gibt aber auch Gemeinsamkeiten zwischen den Normen bzw. den darauf gestützten Maßnahmen, wie im Folgenden zu zeigen sein wird. Aus den herausgearbeiteten Gemeinsamkeiten und Unterschieden lässt sich sodann 286

BVerfGE 120, 274 (315 ff.). BVerfGE 120, 274 (318 ff.). 288 BVerfGE 120, 274 (335 ff.). 289 Vgl. allgemein Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 129 f.). 290 Kap. 2 B.III.2.c)-f). 287

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

131

ableiten, ob auch die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO in den Schutzbereich des IT-Grundrechts eingreift.291 Ferner wird der Vergleich Schlüsse auf die potentielle Intensität der durch § 110 Abs. 3 StPO ermöglichten Grundrechtseingriffe zulassen, also erste Antworten auf die Frage liefern, wie intensiv durch Maßnahmen nach § 110 Abs. 3 StPO potentiell in das IT-Grundrecht eingegriffen werden kann.292 b) Vertraulichkeit und Integrität informationstechnischer Systeme Anknüpfungspunkt für den Schutz durch das IT-Grundrecht ist das informationstechnische System: Dessen Vertraulichkeit und Integrität wird gewährleistet, und dadurch wird die Privatsphäre seiner Nutzer aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschützt. Um den Schutzbereich des ITGrundrechts zu verstehen, muss man sich also Klarheit verschaffen über den verfassungsrechtlichen Begriff des informationstechnischen Systems (aa)), aber auch die Begriffe Vertraulichkeit und Integrität (bb)). aa) Informationstechnisches System Der Begriff „informationstechnisches System“ wurde in dieser Untersuchung bereits durchgängig verwendet, und zwar im Sinne einer technischen Definition: Synonym zu einem „Computersystem“ ist ein informationstechnisches System die Summe aller Hardware- und Software-Komponenten einer Datenverarbeitungsanlage in ihrem Zusammenwirken.293 Im Zusammenhang mit der Durchsicht nach § 110 Abs. 3 S. 1 StPO sind damit meist Personalcomputer, Laptops/Notebooks und Smartphones gemeint. Es sind die in ihnen verbauten elektronischen Speichermedien, auf die über § 110 Abs. 3 S. 1 StPO zugegriffen werden kann, um die in ihnen gespeicherten Daten zu sichten.294 Es wurde ebenfalls bereits dargelegt, dass der Begriff des informationstechnischen Systems verfassungsrechtlich aufgeladen ist. Im Zusammenhang mit dem IT-Grundrecht bedeutet das, dass der Begriff „informationstechni-

291

Die Notwendigkeit einer solchen Überprüfung und gegebenenfalls abgestuften Anpassung des § 110 Abs. 3 StPO, aber auch der „Offline-Durchsicht“ von informationstechnischen Systemen an die Vorgaben des Urteils zur Online-Durchsuchung betont bereits Böckenförde, JZ 2008, 925 (930 f., Fn. 60); s. auch Dralle´, Grundrecht auf Gewährleistung, 2010, S. 86 f. 292 Zur potentiellen Eingriffsintensität der Durchsicht informationstechnischer Systeme ausf. unten Kap. 2 B.IV. 4. 293 Vgl. Fischer/Hofer, Lexikon der Informatik, Stichwort „System“, S. 822; s. auch Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 38, 41 f. 294 Zu den Begrifflichkeiten bereits ausführlich oben Einl. D.III.3.

132

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

sches System“ im Sinne des grundrechtlichen Schutzbereichs nicht mit der rein technischen Definition eines informationstechnischen Systems gleichgesetzt werden darf.295 Das BVerfG stellt nämlich klar, dass nicht jedes informationstechnische System im technischen Sinne vom IT-Grundrecht geschützt ist.296 Nicht klargestellt wurde vom Gericht dagegen, was überhaupt unter einem solchen informationstechnischen System zu verstehen ist. Das BVerfG hat es erstens versäumt, den Begriff des informationstechnischen Systems in technischer Hinsicht zu definieren – obwohl es diesen technischen Begriff in einem ersten Schritt zur Grundlage des verfassungsrechtlichen Begriffs macht. Zweitens legt das Gericht auch nur unscharf dar, welche von diesen unbestimmt gebliebenen technischen Systemen in den grundrechtlichen Schutzbereich des IT-Grundrechts fallen sollen.297 Zu rein technischen Aspekten informationstechnischer Systeme trifft das BVerfG gar keine ausdrücklichen Aussagen. Es bestimmt nicht abstrakt und umfassend, an welchen technischen Lebenssachverhalt das IT-Grundrecht überhaupt anknüpfen kann. Stattdessen befasst sich das Gericht ausschließlich mit den schutzwürdigen informationstechnischen Systemen, also mit den informationstechnischen Systemen im verfassungsrechtlichen Sinne. Abgesehen von dem engen Bezug zur Privatsphäre des Nutzers, auf die das BVerfG entscheidend abstellt – dazu sogleich unten – gibt das Gericht auch konkrete Beispiele vor, welche elektronischen Geräte in den Schutzbereich des ITGrundrechts fallen. Als zentrales Beispiel nennt das BVerfG den Personalcomputer, zählt aber auch Mobiltelefone oder elektronische Terminkalender auf und stellt dabei auf die Fähigkeit des Systems zum Erfassen und Speichern von Daten ab.298 Sogar das Internet selbst scheint das BVerfG dabei unter den Begriff des informationstechnischen Systems fassen zu wollen, sodass der Begriff nicht nur konkrete physische Geräte im Sinne von Hardware umfasst, sondern auch Mischformen aus Hardware, Software und technischer Infrastruktur.299 Damit sind auch „virtuelle informationstechnische 295 Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 10); Hoffmann-Riem, JZ 2008, 1009 (1012); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 39; vgl. auch Ziebarth, Online-Durchsuchung, 2013, S. 6. 296 BVerfGE 120, 274 (313). 297 Zu diesen beiden Defiziten Hoeren, MMR 2008, 365 f.; Holznagel/Schumacher, MMR 2009, 3; Kutscha, NJW 2008, 1042 (1043); Sachs/Krings, JuS 2008, 481 (484); Volkmann, DVBl. 2008, 590 (592 f. – Fn. 16); sehr krit. Manssen, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 61 (S. 69 f.); die Offenheit des Begriffs „informationstechnisches System“ hingegen positiv bewertend Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 126); Eiermann, DuD 2012, 425; Grözinger, Cloud-Storage, 2018, S. 145; vgl. auch Abate, DuD 2011, 122 (123); s. bezüglich der Verwendung des Begriffs in § 100b Abs. 1 StPO Soine´, NStZ 2018, 497: „entwicklungsoffen“. 298 BVerfGE 120, 274 (303 f.; 314). 299 Vgl. BVerfGE 120, 274 (304 f.); Wegener/Muth, Jura 2010, 847 (849).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

133

Systeme“, zum Beispiel im Rahmen des Cloud Computing300, umfasst.301 Das BVerfG wählt als Grundlage für den verfassungsrechtlichen Begriff des informationstechnischen Systems somit implizit einen technischen Begriff, der im Wesentlichen mit der hier weiter oben gegebenen Definition übereinstimmt.302 Bedeutsamer als die rein technische Bestimmung von informationstechnischen Systemen ist freilich die Bestimmung derjenigen Systeme, die als besonders schutzwürdig erachtet werden und deshalb in den Schutzbereich des IT-Grundrechts fallen. Hierzu hat sich das BVerfG zwar nicht trennscharf, aber doch eingrenzend geäußert. Bei der Zuordnung eines informationstechnischen Systems zum grundrechtlichen Schutzbereich des ITGrundrechts kommt es auf den Grad der Persönlichkeitsgefährdung durch einen Zugriff auf dieses System an, mithin also auf die Persönlichkeitsrelevanz der potentiell im System gespeicherten Daten.303 Maßgeblich für die Einordnung als geschütztes informationstechnisches System soll dabei die Funktion als Speicher für große, vielfältige sowie teils vernetzte Bestände personenbezogener Daten sein.304 Nur informationstechnische Systeme, die „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person“ oder ein „aussagekräftiges Bild der Persönlichkeit“ entstehen lassen können, sollen vom besonderen Schutz des IT-Grundrechts umfasst sein.305 Das kann nicht nur bei der Nutzung des Systems für private Zwecke, sondern auch bei einer geschäftlichen Nutzung der Fall sein.306 Systeme, die dagegen nur „punktuellen Bezug zu einem bestimmten Lebensbereich“ aufweisen, sollen nicht erfasst sein; die in solchen Systemen gespeicherten Daten bleiben ausschließlich vom Recht auf informationelle Selbstbestimmung geschützt.307 Das BVerfG beschreibt also in erster Linie die Gefahren, vor denen das ITGrundrecht schützen soll. Letztlich bleibt es aber offen und vom Einzelfall abhängig, ob ein bestimmtes System einen dafür hinreichenden Persönlich300

Ausdrücklich BVerfGE 141, 220 (303); dazu Grözinger, Cloud-Storage, 2018, S. 155 f. 301 Hauser, IT-Grundrecht, 2015, S. 91 ff.; s. auch Grözinger, Cloud-Storage, 2018, S. 154 ff. 302 Vgl. auch die von Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 126) („jedes elektronische System, mit dem Informationen verarbeitet werden“) und Hornung, CR 2008, 299 (302) („jedes System, das elektronisch Daten verarbeitet“), gegebenen Definitionen, die inhaltlich gleichlaufen. 303 Vgl. BVerfGE 120, 274 (305); Hauser, IT-Grundrecht, 2015, S. 80; Hoffmann-Riem, JZ 2008, 1009 (1012 f.). 304 Vgl. auch Hoffmann-Riem, JZ 2008, 1009 (1012 – Fn. 26); Luch, MMR 2011, 75 (76). 305 BVerfGE 120, 274 (314); dazu Hauser, IT-Grundrecht, 2015, S. 82 f. 306 BVerfGE 120, 274 (314); Stögmüller, CR 2008, 435 (436). 307 BVerfGE 120, 274 (313 f.); Hauser, IT-Grundrecht, 2015, S. 83 ff.; Hinz, Jura 2009, 141 (144).

134

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

keitsbezug aufweist oder nicht. Diese Einzelfallbewertung wird durch eine weitere Vorgabe des BVerfG verkompliziert: Entscheidend für den hinreichenden Persönlichkeitsbezug des Systems soll nicht sein, ob das System tatsächlich im konkreten Fall als umfassender Datenspeicher genutzt wird. Vielmehr kommt es nur darauf an, dass das Gerät abstrakt dazu in der Lage ist, massive Bestände personenbezogener Daten zu speichern.308 Die Quantität und Qualität der im informationstechnischen System tatsächlich enthaltenen Daten sind damit keine Kriterien für die Eröffnung des Schutzbereichs des IT-Grundrechts, sondern sie sind lediglich Indikatoren für die Intensität des Grundrechtseingriffs im Rahmen der Prüfung der Verhältnismäßigkeit von Ausforschungsmaßnahmen im Einzelfall.309 Wie bereits erwähnt gab das Gericht mehrere konkrete Beispiele von informationstechnischen Systemen vor und ordnete diese dem Schutzbereich des IT-Grundrechts zu oder schloss sie ausdrücklich aus. Diese Zuordnungen werden innerhalb der Literatur teils als vage und widersprüchlich angesehen.310 Trotz Streitigkeiten und Unklarheiten im Detail und trotz fehlender abschließender Definition von geschützten informationstechnischen Systemen durch das BVerfG311 kann man bestimmte Geräte bzw. Systeme zweifels308

So interpretiert von Böckenförde, JZ 2008, 925 (928); Hauser, IT-Grundrecht, 2015, S. 80 f.; Hornung, CR 2008, 299 (302); Sachs/Krings, JuS 2008, 481 (484); Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 25, 49; vgl. auch Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, 21 (33). Bezogen wird sich dabei meist auf den Wortlaut von BVerfGE 120, 274 (314), wo das BVerfG bereits Systeme vom Schutzbereich erfasst sieht, die vielfältige personenbezogene Daten enthalten „können“. Von diesem „können“ kann angesichts der Formulierung auf ein aber nicht müssen geschlossen werden. Vgl. auch die in eine ähnliche Richtung gehende Feststellung von Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 123), der als grundrechtlichen Anknüpfungspunkt nicht das im System vorhandene Datum, sondern das System selbst sieht. 309 Dazu noch unten Kap. 2 B.IV. 4. 310 Hoeren, MMR 2008, 365; Kutscha, NJW 2008, 1042 (1043); Volkmann, DVBl. 2008, 590 (593 – Fn. 16). Kutscha, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, 157 (163); weist kritisch und ausführlich darauf hin, dass das BVerfG die Erhebung von Daten über Kontoinhalte und Kontobewegungen vom Schutzbereich ausnimmt, obwohl der Kontoinhaber sich durch Nutzung eines Terminals in der Bankfiliale oder Online-Banking ebenso einem informationstechnischen System anvertraue, welches durch die gespeicherten Zahlungsvorgänge weitreichende Daten mit Rückschlussmöglichkeit auf die Lebensgestaltung des Nutzers erlaube. Gegen diese Kritik jedoch Hömig, Jura 2009, 207 (210), da derartige staatliche Datenerhebungen gerade nicht durch Zugriff auf das Konto als Gesamtsystem, sondern eben als einzelne Einholung einer antragsabhängigen Auskunft stattfänden. Die Einholung dieser Daten vom Schutzbereich des IT-Grundrechts auszunehmen sei daher nicht widersprüchlich, sondern gerade konsequent. 311 Definitionsversuch bei Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 121: „Ein informationstechnisches System ist jedes eigengenutzte elektronische Gerät, das allein oder in Vernetzung persönlichkeitsrelevante Daten in größerem Umfang enthalten und bei einem Zugriff wesentliche Teile des persönlichen Bereichs preisgeben kann.“

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

135

frei als vom Schutzbereich des IT-Grundrechts erfasst ansehen. Dies sind vor allem gebräuchliche Computer und Computersysteme, wie sie in der Gestalt von PCs, Notebooks oder Smartphones, aber auch vernetzten Speicherangeboten des Internets (Cloud Computing312) vorkommen.313 Es sind damit diejenigen Systeme, die typischerweise Ziel einer Durchsicht gemäß § 110 Abs. 3 StPO sind. Da über § 110 Abs. 3 S. 1 StPO nicht nur vollständige informationstechnische Systeme, sondern im Sinne „elektronischer Speichermedien“ auch einzelne Datenträger wie zum Beispiel Festplatten gesichtet werden können, stellt sich die Frage, ob auch diese Datenträger „informationstechnische Systeme“ im Sinne des IT-Grundrechts sein können. Das BVerfG hat zu dieser speziellen Frage bisher nicht ausdrücklich entschieden.314 Im rein technischen Sinne sind Datenträger für sich genommen in der Regel keine informationstechnischen Systeme. Sie können lediglich Teil eines solchen informationstechnischen Systems sein. Innerhalb eines informationstechnischen Systems, welches Daten speichert und verarbeitet, sind sie aber zentrale Bestandteile: Sie bilden den Inhalt des Systems ab, und sie sind es auch, die ein informationstechnisches System zu einem komplexen System machen, das den vom BVerfG geforderten hinreichenden Persönlichkeitsbezug aufweist. Mit anderen Worten: Der Prozessor, der Arbeitsspeicher, die Hauptplatine und diverse andere Bauteile mögen entscheidend für die technische Funktionsfähigkeit eines informationstechnischen Systems sein. Entscheidend für den Persönlichkeitsbezug des informationstechnischen Systems sind aber die in ihm enthaltenen und verarbeiteten Daten, die sich auf Festplatten und anderen angeschlossenen Speichermedien und Datenträgern befinden. Greifen staatliche Ermittler auf ein informationstechnisches System zu, so bedeutet dies in der Regel einen Zugriff auf die Speichermedien und Datenträger dieses Systems, denn sie beinhalten die Daten, die zur Aufklärung eines Tatverdachts von Bedeutung sind. Ein Zugriff der Ermittler auf die bloße Tätigkeit des Computerprozessors, falls so überhaupt denkbar, trägt dagegen in der Regel nichts zur Sachverhaltserforschung in einem Strafverfahren bei. Demnach muss jedenfalls die intern im System verbaute Festplatte am Schutz des IT-Grundrechts teilhaben. Konsequenterweise kann sie diesen Schutz auch dann nicht verlieren, wenn sie aus dem System entfernt wird, zum Beispiel zum Zwecke der Durchsicht: Bloß weil ein informationstechnisches System auseinandergebaut wird, verlieren es selbst bzw. seine integralen Bestandteile nicht den Persönlichkeitsbezug, der sie besonders 312

Dazu noch unten Kap. 3 A.I.2. Vgl. BVerfGE 120, 274 (303 ff., 311, 314); s. auch Bratke, Die Quellen-Telekommunikationsüberwachung, 2013, S. 123, Hoffmann-Riem, JZ 2008, 1009 (1012); Holznagel/ Schumacher, MMR 2009, 3 (6); Redler, Online-Durchsuchung, 2012, S. 106 f. 314 Siehe aber die zurückhaltende Rspr. aus neuerer Zeit, dargestellt unten g). 313

136

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

schützenswert im Sinne des IT-Grundrechts macht. Die auf der Festplatte enthaltenen Daten, die bis hin zu einem vollständigen Persönlichkeitsabbild des Nutzers reichen können, bleiben die gleichen, unabhängig davon, ob die Festplatte gerade in einem Computer verbaut ist oder nicht. Tatsächlich spielt es für die Durchsicht der Daten faktisch kaum eine Rolle, ob Ermittler die IT-Infrastruktur des Systems selbst nutzen, um auf die auf der Festplatte gespeicherten Inhalte zuzugreifen, oder ob sie diese Festplatte erst ausbauen, um sie dann mithilfe eines anderen Systems auszulesen. Die Festplatte eines informationstechnischen Systems ist somit immer schutzwürdig im Sinne des IT-Grundrechts, unabhängig davon, ob sie zum Zeitpunkt des Zugriffs im System eingebaut ist. Gleiches muss, einen Schritt weitergedacht, auch für Festplatten gelten, die schon ihrer Bestimmung nach externe Festplatten sind, also solche Festplatten, die nach Belieben an Computersysteme angeschlossen und wieder entfernt werden können, ohne dass man sie fest im System verbauen müsste oder könnte. Sie unterscheiden sich in dieser Hinsicht nicht von anderen externen Speichermedien wie z. B. USB-Sticks. Erstens sind diese Speichermedien ohne Weiteres durch das IT-Grundrecht mitgeschützt, sofern sie zum Zeitpunkt des Zugriffs durch die Ermittler gerade mit einem übergeordneten Computersystem verbunden sind.315 Das ergibt sich bereits daraus, dass das BVerfG ohnehin auch räumliche getrennte Speichermedien als vom ITGrundrecht geschützt ansieht, sofern diese Medien hinreichenden Persönlichkeitsbezug aufweisen.316 Zweitens aber müssen diese externen Speichermedien auch dann vom IT-Grundrecht mitgeschützt sein, wenn sie zum Zeitpunkt des Zugriffs nicht mit einem Computersystem verbunden sind. Ebenso wie bei der ausgebauten, aber vormals intern eingebauten Festplatte kann auch für den Schutz rein extern genutzter Speichermedien nicht entscheidend sein, ob sie gerade am Computer angeschlossen sind oder nicht. Denn die in ihnen gespeicherten Daten sind in beiden Fällen die gleichen. Hinsichtlich der Speicherkapazität und hinsichtlich des potentiellen Persönlichkeitsbezugs der gespeicherten Daten verhält sich ein externes Speichermedium nicht wesentlich anders als ein internes Speichermedium. Maßgeblich für die Anwendbarkeit des IT-Grundrechts kann also nur sein, ob das Speichermedium als Teil eines informationstechnischen Systems benutzt wurde, welches hinreichende Komplexität zur Erfassung, Speicherung und Verarbeitung von Daten aufweist. Für eine externe Festplatte, die regelmäßig als Bestandteil von Computersystemen benutzt wird, ist das der Fall, ebenso aber auch für 315 Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 11); Böckenförde, JZ 2008, 925 (929 – Fn. 41); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 157; Heinson, IT-Forensik, 2015, S. 178 f.; Hoffmann-Riem, JZ 2008, 1009 (1012); Hornung, CR 2008, 299, 303. 316 Vgl. BVerfGE 120, 274 (315).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

137

USB-Sticks oder gar SD-Karten, die mittlerweile genau die gleiche Funktion einnehmen wie Festplatten bzw. diese ergänzen oder zuweilen auch ersetzen. Auch solche externen Speichermedien müssen daher konsequenterweise informationstechnischen Systemen gleichgestellt und selbstständig vom ITGrundrecht geschützt werden.317 Mit Blick auf die später noch zu untersuchende Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO lässt sich bereits an dieser Stelle sagen: Der verfassungsrechtliche Begriff des informationstechnischen Systems umfasst nach dem oben Gesagten jedenfalls die in § 110 Abs. 3 S. 2 StPO beschriebenen „räumlich getrennten Speichermedien“. Wie bereits ausgeführt,318 bezeichnet der Begriff des räumlich getrennten Speichermediums ein externes Computersystem, das hinreichend komplex ist, um einer Vernetzung zugänglich zu sein. Ist diese Komplexitätsschwelle überschritten, so ist gleichzeitig auch die Schwelle zum Schutzbereich des IT-Grundrechts überschritten, da dieses Grundrecht jedenfalls zum Schutz solcher Systeme konstruiert wurde, die typischerweise vernetzt agieren und gerade dadurch vielfältige Daten auf sich vereinen können.319 Im Ergebnis ist der Begriff des informationstechnischen Systems mit dem des externen Speichermediums aus § 110 Abs. 3 S. 2 StPO gleichzusetzen.320 Mit dem oben Gesagten wurde bisher nur der sachliche Schutzbereich des IT-Grundrechts beschrieben. Zu klären ist noch der personelle Schutzbereich. Es ist zu klären, wer vom Schutz des IT-Grundrechts profitiert, wer also Grundrechtsträger dieses besonders ausgeformten Persönlichkeitsschutzes sein kann. Laut BVerfG kann sich nicht jeder auf jedes informationstechnische System und dessen Vertraulichkeit und Integrität berufen. Vielmehr muss der Betroffene das System „als eigenes“ nutzen. Das bedeutet, dass der Nutzer selbstbestimmt über das System verfügen können muss.321 Die Möglichkeit, 317 Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 127 – Fn. 120); Heinson, IT-Forensik, 2015, S. 178 f.; Ziebarth, Online-Durchsuchung, 2013, S. 12; jedenfalls für Schutz des Speichermediums bei Verbindung mit einem übergeordneten System Hauser, IT-Grundrecht, 2015, S. 87 f.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 157; gegen einen selbstständigen Einbezug von Datenträgern Dralle´, Grundrecht auf Gewährleistung, 2010, S. 84. 318 Oben Einl. D.III.3. 319 Vgl. BVerfGE 120, 274 (304 ff.). 320 So tun es zum Beispiel Brodowski, JR 2009, 402 (408); Brodowski/Eisenmenger, ZD 2014, 119 (122). Damit ist allerdings nicht gesagt, dass umgekehrt § 110 Abs. 3 StPO auch zum Zugriff auf jedes informationstechnische System berechtigt. So nehmen Brodowski/ Eisenmenger, ZD 2014, 119 (122) insbesondere E-Mail-Dienste und Internetseiten vom Anwendungsbereich des § 110 Abs. 3 S. 2 StPO aus. Inwieweit diesen Bereichsausnahmen beizupflichten ist, wird noch unter Kap. 3 A.I., dort insbesondere 3.a) und 4. dieser Arbeit ausgeführt werden. 321 BVerfGE 120, 274 (315).

138

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

über das System „verfügen“ zu können, ist nicht im sachenrechtlichen Sinne misszuverstehen. Zwar können zur Bestimmung, ob jemand ein informationstechnisches System „als eigenes“ nutzt, rechtliche Zuordnungen wie das Eigentum an der Hardware, aber auch vertragliche Nutzungs- und Ausschlussrechte in eine Gesamtschau ebenso einbezogen werden wie die rein faktische Nutzungsmöglichkeit.322 Diese Gesichtspunkte sind jedoch nur Teile einer Gesamtbetrachtung im Einzelfall, sodass insbesondere nicht vom Fehlen des Eigentums am System auf die fehlende grundrechtliche Zuordnung des Systems zum Nutzer bzw. das Fehlen dessen berechtigter Vertraulichkeitserwartung geschlossen werden kann. Es ist für die Eröffnung des personellen Schutzbereichs nicht erforderlich, dass die Hardware des Systems im Eigentum des Nutzers steht.323 Auch die Eröffnung des persönlichen Schutzbereichs des Wohnungsgrundrechts nach Art. 13 Abs. 1 GG wird schließlich nicht davon abhängig gemacht, ob die Räumlichkeiten im Eigentum des Bewohners stehen.324 Die Hardware des informationstechnischen Systems muss nicht einmal im (zivilrechtlichen) Besitz des Nutzers stehen. Genügend ist vielmehr, dass der Nutzer auch nur mithilfe einer von einem Dritten bereitgestellten Infrastruktur – z. B. dem Internet – auf das System zugreifen kann. Der Grundrechtsschutz erstreckt sich also auch auf Konstellationen, in denen sich das System nicht in der tatsächlichen Gewalt des Nutzers, sondern in der tatsächlichen Gewalt eines Dienstanbieters befindet, der dem Nutzer die Möglichkeit zur Nutzung des Systems erst einräumt, sie diesem aber auch wieder nehmen kann.325 Ganz generell ist es für die Bewertung, ob der Nutzer über das System selbstbestimmt verfügen kann, nicht ausschlaggebend, dass der Nutzer das System nur per Fernzugriff ansteuern kann.326 In dieser Hinsicht sind vom Schutzbereich des IT-Grundrechts auch Anwendungsfälle des § 110 Abs. 3 S. 2 StPO erfasst, bei denen das externe Zielsystem von dritten, möglicherweise kommerziellen Anbietern bereitgestellt wird, wie es zum Beispiel bei einer Cloud327 der Fall ist.328 Vom IT322 Vgl. Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 154 f.; Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 117 f.; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 93 f.; vgl. auch Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 128), jedoch ohne auf die faktische Nutzung abzustellen; dazu wiederum Hornung, CR 2008, 299 (303). Gegen den Einbezug zivilrechtlicher Kategorien Grözinger, Cloud-Storage, 2018, S. 147. Überblick zum Ganzen bei Hauser, IT-Grundrecht, 2015, S. 101. 323 Böckenförde, JZ 2008, 925 (929); Hoeren, MMR 2008, 365 (366); Wegener/Muth, Jura 2010, 847 (849 f.). 324 Bartsch, CR 2008, 613 (614). 325 BVerfGE 120, 274 (315); Gaede, StV 2009, 96 (98); Käß, BayVBl. 2010, 1 (8). 326 Vgl. Birkenstock, Online-Durchsuchung, 2013, S. 33; Hornung, CR 2008, 299 (303). 327 Zum Cloud Computing unten Kap. 3 A.I.2. 328 Vgl. Wicker, Cloud Computing, 2016, S. 300.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

139

Grundrecht geschützt sind damit auch „virtuelle informationstechnische Systeme“, die dem Einzelnen auf Basis auch mehrerer, in der Gewalt anderer stehender informationstechnischen Systeme zugewiesen sind und über die er selbstbestimmt, insbesondere also unter Ausschluss nichtberechtigter Dritter, verfügen kann.329 Für lokale informationstechnische Systeme, die der Betroffene in seinem eigenen Haushalt nutzt und auf die über § 110 Abs. 3 S. 1 StPO zugegriffen kann, ist die Voraussetzung der Nutzung als „eigenes System“ im Sinne der Verfügbarkeit über das System damit erst recht erfüllt. Im Wesentlichen ist für die personale Zuordnung des informationstechnischen Systems also darauf abzustellen, wer das System tatsächlich nutzt und ob der Nutzer nach den Umständen des Einzelfalls eine irgendwie berechtigte oder anerkennenswerte, d. h. nachvollziehbare Vertraulichkeitserwartung bei der Nutzung des Systems aufweist.330 Die Nutzung des Systems „als eigenes“ bedeutet ferner nicht, dass der Nutzer das System allein und unter Ausschluss jeglicher anderer Personen nutzen muss. Stattdessen kann er es auch gemeinsam mit anderen berechtigten Personen nutzen, sodass jedem Nutzer das System „als eigenes“ zugeordnet und bei jedem Nutzer der personelle Schutzbereich des IT-Grundrechts eröffnet ist.331 Im Zusammenhang mit der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO ist damit an gemeinsam genutzte Rechner in einem Haushalt („Familien-PC“) oder in Geschäftsräumen zu denken.332 Bei der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO kann dies auch gemeinsam genutzte Speicherplätze im Internet, auch in Form des Cloud Computing, betreffen. Die Nutzung des Systems auch durch Dritte schließt also nicht aus, dass man es „als eigenes“ nutzt.333 Mit anderen Worten: Eine Vielzahl von Systemnutzern führt allein nicht zum Wegfall des persönlichen Grundrechtsschutzes, sondern schlicht zu mehreren persönlich geschützten Grundrechtsträgern. 329

Hauser, IT-Grundrecht, 2015, S. 91 ff. Dralle´, Grundrecht auf Gewährleistung, 2010, S. 33; Hauser, IT-Grundrecht, 2015, S. 105 ff.; Ziebarth, Online-Durchsuchung, 2013, S. 96 f. 331 BVerfGE 120, 274 (315); Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 127); Holznagel/Schumacher, MMR 2009, 3 (7). Missverständlich daher Luch, MMR 2011, 75 (76). 332 Vgl. Hauser, IT-Grundrecht, 2015, S. 109, der bei getrennten Benutzerkonten auf einem Computer aber mehrere eigenständig geschützte informationstechnische Systeme annimmt. 333 Gleichzeitig ist aber auch nicht jeder „Bediener“ des Systems automatisch Nutzer des informationstechnischen Systems in dem Sinne, dass er es „als eigenes“ nutzt und damit Grundrechtsträger ist. So sind Administratoren eines Systems, die lediglich die technische Funktionalität und Verwaltung sicherstellen, aus sich heraus keine geschützten Mitnutzer, da sie in der Regel kein eigene Vertraulichkeitserwartung an das System haben, die mit ihrer eigenen Persönlichkeit und Privatsphäre verknüpft wäre, s. Hauser, IT-Grundrecht, 2015, S. 110. 330

140

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Im Ergebnis lässt sich festhalten, dass die typischen Zugriffsobjekte einer Durchsicht informationstechnischer Systeme, wie sie bisher in dieser Untersuchung behandelt wurden, auch informationstechnische Systeme im Sinne der verfassungsgerichtlichen Rechtsprechung zum IT-Grundrecht sind. bb) Vertraulichkeit und Integrität Ausweislich der vom BVerfG gewählten Bezeichnung besteht das IT-Grundrecht aus zwei Komponenten: Zum einen aus der Gewährleistung der Vertraulichkeit informationstechnischer Systeme, zum anderen aus der Gewährleistung der Integrität informationstechnischer Systeme. In den Urteilsgründen selbst werden diese beiden Komponenten nicht scharf voneinander getrennt.334 In der Literatur wird jedoch sehr deutlich zwischen ihnen unterschieden.335 Diese Unterscheidung speist sich auch aus der Terminologie, wie sie in den Bereichen Datenschutz und Informationssicherheit vorherrscht: Dort bilden Vertraulichkeit und Integrität zusammen mit der Verfügbarkeit von Daten die drei klassischen Ziele des Datenschutzes.336 Die Komponente der Vertraulichkeit schützt das Interesse des Nutzers, dass Daten, die im von ihm genutzten informationstechnischen System gespeichert, erzeugt oder verarbeitet werden, vertraulich bleiben, also nur den vom Nutzer bestimmten befugten Personen zugänglich sind.337 Diese Schutzkomponente der Vertraulichkeit lässt sich zwanglos aus dem Stammrecht des IT-Grundrechts, dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, ableiten. Sie kann damit auch als Hauptkomponente des IT-Grundrechts verstanden werden: Wenn das IT-Grundrecht als 334 Vgl. BVerfGE 120, 274 (314 f.), wo beide Komponenten zwar zunächst getrennt angesprochen werden, dann aber zusammengefasst vom Schutz der „Vertraulichkeits- und Integritätserwartung“ gesprochen wird. Erst auf Seiten 325 f. der Urteilsgründe wird kurz die Integrität separat angesprochen, im Sinne der Schadloshaltung des Systems sowie im Zusammenhang mit dem Schutz vor Zugriffen unbefugter Dritter während oder nach staatlichen Zugriffsmaßnahmen. Zur fehlenden Trennung der beiden Komponenten durch das BVerfG auch Wegener/Muth, Jura 2010, 847 (851); Birkenstock, Online-Durchsuchung, 2013, S. 34 f. 335 Vgl. nur Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 125 ff.); Böckenförde, JZ 2008, 925 (928 f.); Härtel, NdsVBl. 2008, 276 (279); Holznagel/Schumacher, MMR 2009, 3; Hornung, CR 2008, 299 (302 f.); Roßnagel/Schnabel, NJW 2008, 3534 (3535). 336 Hansen, DuD 2012, 407 f.; Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, 131 (132). 337 BVerfGE 120, 274 (314); Abate, DuD 2011, 122 (123); Bratke, Die Quellen-Telekommunikationsüberwachung, 2013, S. 123; Hansen/Pfitzmann, in: Roggan (Hrsg.), OnlineDurchsuchungen, 2008, 131 (132); Holznagel/Schumacher, MMR 2009, 3; Hömig, Jura 2009, 207 (209); Petri, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 613; Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 40 f.; Wegener/Muth, Jura 2010, 847 (851).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

141

spezielle Ausprägung des allgemeinen Persönlichkeitsrechts abgeleitet wird, dann muss es vor allem dem Schutz der Persönlichkeit und der Privatsphäre des Einzelnen dienen und damit in erster Linie die Vertraulichkeit von Daten schützen.338 Die Schutzrichtung ist damit im Wesentlichen die gleiche wie die des Rechts auf informationelle Selbstbestimmung. Das Recht auf informationelle Selbstbestimmung schützt den Einzelnen vor Kenntnisnahme, Erhebung, Speicherung, Verarbeitung und Weitergabe seiner personenbezogenen Daten durch staatliche Stellen und gewährleistet damit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe, Verwendung und Verarbeitung seiner persönlichen Daten zu bestimmen.339 Die Besonderheit der Vertraulichkeitsgewährleistung durch das IT-Grundrecht liegt darin, dass dessen Vertraulichkeitsschutz ausdrücklich und ausschließlich an das informationstechnische System des Nutzers anknüpft, während das Recht auf informationelle Selbstbestimmung jegliche Daten mit Bezug zum Einzelnen schützt, unabhängig davon, wo und bei wem sie gespeichert sind.340 Das ITGrundrecht ist damit ähnlich dem Wohnungsgrundrecht aus Art. 13 GG konstruiert: Der Persönlichkeitsschutz wird an eine verdinglichte Schutzsphäre geknüpft; in diesem Fall nicht an die räumlichen Grenzen einer Wohnung, sondern an die (virtuellen) Grenzen eines informationstechnischen Systems.341 Die Integrität eines informationstechnischen Systems ist berührt, wenn durch einen Zugriff auf das System Veränderungen, Schäden oder Sicherheitslücken entstehen, sodass das System seine vorgesehenen Leistungen und Funktionen entweder nicht mehr richtig erbringen kann oder diese durch Dritte manipuliert und ausgenutzt werden können.342 Damit ist die Integrität auch berührt, wenn die auf dem System gespeicherten Daten (gegen den Willen des Inhabers) manipuliert, also in welcher Form auch immer verändert oder beeinträchtigt werden.343 Aus technischer Sicht gehört zur Integrität eines Systems darüber hinaus auch, dass die in ihm gespeicherten Informa-

338 Vgl. Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 123. 339 BVerfGE 65, 1 (43); Sachs/Rixen, Art. 2 Rn. 72 f. 340 Zum Konkurrenzverhältnis zwischen dem IT-Grundrecht und dem Recht auf informationelle Selbstbestimmung ausführlich unten Kap. 2 B.III.3. 341 Grözinger, Cloud-Storage, 2018, S. 144; Hauser, IT-Grundrecht, 2015, 66 ff.; vgl. auch Hornung, CR 2008, 299 (302), der diesen Schutz aber vor allem durch die Komponente der Integrität konstruiert sieht. 342 BVerfGE 120, 274 (314); Böckenförde, JZ 2008, 925 (928); Hoffmann-Riem, JZ 2008, 1009 (1012); Holznagel/Schumacher, MMR 2009, 3; Hömig, Jura 2009, 207 (209); Jäger, jurisPR-ITR 12/2008 Anm. 2; Volkmann, DVBl. 2008, 590 (592). 343 Birkenstock, Online-Durchsuchung, 2013, S. 31 f.; Hoffmann-Riem, JZ 2008, 1009 (1012); Hömig, Jura 2009, 207 (209); Kohlmann, Online-Durchsuchungen, 2012, S. 112.

142

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

tionen vollständig, richtig und aktuell sind oder deutlich zu erkennen ist, dass dies nicht (mehr) der Fall ist.344 Die Integrität eines informationstechnischen Systems ist damit insbesondere berührt, wenn eine Spionagesoftware (Trojaner) im System installiert wird: Der Zustand des Systems wird dadurch erstens manipulativ verändert345; zweitens können nun Inhalte des Systems, also die dort gespeicherten Daten, ausgelesen und potentiell sogar verändert werden.346 Für die Annahme einer Integritätsverletzung ist es aber nicht entscheidend, dass die Daten nach Installation der Spionagesoftware tatsächlich ausgelesen werden.347 Die Integrität ist bereits in dem Zeitpunkt verletzt, in dem nur irgendwelche Veränderungen am informationstechnischen System gegen den Willen seines Nutzers bewirkt werden. Der Integritätsschutz des Systems ist damit dem Vertraulichkeitsschutz zeitlich vorgelagert.348 Die Schutzkomponente der Integrität ist zwar von der Komponente der Vertraulichkeit unterscheidbar und trennbar. Im Rahmen des IT-Grundrechts ist die Integrität eines informationstechnischen Systems aber nur dann von Bedeutung, wenn auf dem System sensible, vertrauliche Daten gespeichert werden oder zumindest nach Art des Systems gespeichert werden können (hinreichende Komplexität).349 Nur solche Systeme mit der Fähigkeit zur umfassenden Datenspeicherung will das BVerfG in den Schutzbereich des ITGrundrechts einbeziehen.350 Ein informationstechnisches System soll also nicht um seiner selbst willen in seiner Integrität geschützt werden, sondern muss immer einen hinreichenden Bezug zu potentiell umfassenden Datensammlungen und der daraus entspringenden Gefahr einer Persönlichkeits-

344 Abate, DuD 2011, 122 (123); Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchung, 2008, 131 (132); Petri, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 613. 345 Bunzel, Zugriff auf IT-Systeme, 2015, S. 171 f. sieht darin sogar einen Eingriff in das Eigentum aus Art. 14 GG. 346 Abate, DuD 2011, 122 (123); Albrecht/Braun, HRRS 2013, 500 (503). 347 Jäger, jurisPR-ITR 12/2008 Anm. 2. 348 Abate, DuD 2011, 122 (123); Böckenförde, JZ 2008, 925 (928); Grözinger, CloudStorage, 2018, S. 153; Hauser, IT-Grundrecht, 2015, S. 60; vgl. auch Volkmann, DVBl. 2008, 590 (592). 349 Böckenförde, JZ 2008, 925 (928); Gurlit, NJW 2010, 1035 (1037). Vgl. auch Hoffmann-Riem, JZ 2008, 1009 (1012), der die Funktionstüchtigkeit des Systems aber unter dem Aspekt der „Vertraulichkeit“ ansiedelt. Überzeugend ist das nicht: In Abgrenzung zum Aspekt der „Integrität“ eines Systems kann es bei der „Vertraulichkeit“ rein um die Vertraulichkeit der Daten gehen, nicht aber um ein Vertrauen darauf, dass das System funktionstüchtig ist. Letzteres Vertrauen nämlich bewegt sich im Rahmen der oben erwähnten „Verfügbarkeit“ von Daten als Aspekt des Datenschutzes. Diesen Aspekt hat das BVerfG – anders als eben „Vertraulichkeit“ und „Integrität“ aber nicht zu einem Bestandteil des IT-Grundrechts erhoben. 350 BVerfGE 120, 274 (313 f.); Eifert, NVwZ 2008, 521 (522).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

143

ausforschung haben, um überhaupt in den Schutzbereich des IT-Grundrechts zu fallen.351 Gerade deshalb wird das IT-Grundrecht insgesamt als spezielle Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleitet – es soll dem Schutz von Persönlichkeitsrechten dienen und sich nicht im Schutz von informationstechnischer Integrität als Selbstzweck erschöpfen.352 In der Literatur wird die Gefährdung der Integrität des Systems deshalb teilweise als (bloße) „Annex-Gefahr“ zur Gefährdung der Vertraulichkeit der darauf gespeicherten Daten beschrieben.353 Misst man die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO an den beiden Komponenten der Vertraulichkeit und der Integrität, so ist zu unterscheiden: Der Aspekt der Vertraulichkeit wird durch die Durchsicht eines informationstechnischen Systems berührt. Die in dem System gespeicherten Daten, unter denen häufig auch personenbezogene Daten sein werden, werden dabei von staatlichen Ermittlern ausgespäht und ausgewertet, möglicherweise auch kopiert und auf Datenträger der Ermittlungsbehörden gespeichert. Der Schutzbereich des IT-Grundrechts ist damit hinsichtlich der Vertraulichkeit des Systems – grundsätzlich354 – eröffnet.355 Der Aspekt der Integrität dagegen erlangt im Rahmen eines Zugriffs nach

351

Abate, DuD 2011, 122 (123); Gurlit, NJW 2010, 1035 (1037); Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 116, 126; Hömig, Jura 2009, 207 (209); Volkmann, DVBl. 2008, 590 (592); vgl. auch Hoffmann-Riem, JZ 2008, 1009 (1012 – Fn. 26): Der Persönlichkeitsschutz sei „entscheidender Bezugspunkt des grundrechtlichen Systemschutzes.“; in diese Richtung auch ders., AöR 134 (2009), 513 (531), das IT-Grundrecht sei kein „apersonales technikbezogenes Grundrecht“. 352 Vgl. Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 126); Heckmann, FS Käfer 2009, 129 (139); Hömig, Jura 2009, 207 (209); Volkmann, DVBl. 2008, 590 (592); Ziebarth, Online-Durchsuchung, 2013, S. 96. 353 Vgl. Britz, DÖV 2008, 411 (412); Eifert, NVwZ 2008, 521 (522); Käß, BayVBl. 2010, 1 (4). Luch, MMR 2011, 75 formuliert in eine ähnliche Richtung, dass Vertraulichkeit und Integrität nicht etwa zwei verschiedene Komponenten, sondern bloß subjektive und objektive Entsprechungen zueinander seien; vgl. auch Böckenförde, JZ 2008, 925 (938 – Fn. 127); der den Vertraulichkeitsschutz als die maßgebliche Komponente des IT-Grundrechts ansieht. A. A. ausdrücklich Hauser, IT-Grundrecht, 2015, S. 118; auch Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 125), der insbesondere auf den Aspekt der Vorverlagerung des Grundrechtsschutzes durch die Integritätskomponente abstellt; dem zustimmend Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 124 ff. 354 Zu möglichen Einwänden und Einschränken vgl. im Folgenden die Abschnitte (3)– (6). 355 Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 128); Hornung, CR 2008, 299 (303); Michalke, StraFo 2008, 287 (291); in diese Richtung auch BVerfGE 120, 274 (322) mit dem Verweis auf Beschlagnahme oder Kopie von Speichermedien; vgl. auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 155 f., der allerdings eher auf den Aspekt der Integrität abzustellen scheint.

144

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

§ 110 Abs. 3 StPO grundsätzlich keine eigenständige Bedeutung. Denn bei einer Durchsicht wird das System lediglich so durchgesehen, wie es der berechtigte Nutzer bei Benutzung des Systems ebenfalls tun würde. Mit anderen Worten wird das System hier auf die technisch vorgesehene Weise benutzt. Über die vom System eventuell selbst vorgenommenen internen, funktionsgemäßen Datenveränderungen hinaus (zum Beispiel durch Hochfahren oder Herunterfahren des Systems, durch das automatische Aufspielen von Updates des Betriebssystems usw.)356 erfolgt grundsätzlich keine externe Manipulation von Daten oder Funktionen des Systems. Diese bleiben also – im Wesentlichen – integer.357 Ausnahmen ergeben sich, wenn staatliche Ermittler zur Durchsicht des Systems eigene Software auf dem Zielsystem installieren, zum Beispiel spezielle Suchprogramme oder Programme zur Entschlüsselung oder Umgehung eines Passwortschutzes.358 In diesen Fällen ist zusätzlich zur Vertraulichkeitskomponente auch die Integritätskomponente des IT-Grundrechts betroffen, und zwar in einer Art und Weise, die über rein technisch bedingte Beeinträchtigungen der Integrität des Systems durch dessen bloße Inbetriebnahme und Benutzung hinausgeht. cc) Zwischenergebnis Damit spricht zunächst einmal alles dafür, dass die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO in das ITGrundrecht eingreift. Zwar bleibt die Integrität des informationstechnischen Systems von der Durchsicht regelmäßig unberührt. In die Vertraulichkeit der auf dem System gespeicherten Inhalte wird dagegen regelmäßig eingegriffen.359 Da das BVerfG es nicht ausdrücklich zur Voraussetzung gemacht hat, dass ein Eingriff in das IT-Grundrecht nur bei kumulativer Berührung von Vertraulichkeit und Integrität des Systems in Frage kommt, und ferner der Vertraulichkeitsschutz ohnehin den Hauptzweck des Grundrechts darstellt, sollte die fehlende Berührung der Integritätskomponente lediglich bei der Bestimmung der Eingriffsintensität im Rahmen der Prüfung der Verhältnismäßigkeit von Eingriffen im Einzelfall bedeutsam sein, nicht aber bei der Entscheidung, ob der Schutzbereich des IT-Grundrechts eröffnet ist oder nicht. 356

Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden „IT-Forensik“, 2011, S. 35 f., 141 f.; Heinson, IT-Forensik, 2015, S. 36 f., 197. 357 Heinson, IT-Forensik, 2015, S. 197 – Fn. 167 sieht hierin lediglich punktuelle, technisch bedingte Beeinträchtigungen der Integrität des Systems. Eine gänzlich a. A. vertritt Bunzel, Zugriff auf IT-Systeme, 2015, S. 155 f., der allein in der Auswertung des Systems und der darin liegenden „Nutzung seiner Leistungen, Funktionen und Speicherinhalte“ eine Berührung der Integritätskomponente sieht. 358 S. dazu unten Kap. 2 B.VII.2.b). 359 Vgl. Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 128); Michalke, StraFo 2008, 287 (291).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

145

Indes wird die oben genannte Einsicht durch einzelne Entscheidungen aus der Rechtsprechung des BVerfG360 wie auch durch Stimmen aus dem rechtswissenschaftlichen Schrifttum in Frage gestellt. Zweifel an der Eröffnung des Schutzbereiches des IT-Grundrechts durch die bloße Durchsicht eines informationstechnischen Systems bestehen dabei nicht nur aufgrund der fehlenden Integritätsverletzung, sondern insbesondere auch wegen der offenen Vorgehensweise, mithin wegen der fehlenden Heimlichkeit des Zugriffs. Diese und andere Aspekte sollen im Folgenden deshalb nicht nur unter dem Gesichtspunkt der Verhältnismäßigkeit bzw. der Eingriffsintensität der Durchsicht im Vergleich zur Online-Durchsuchung betrachtet werden, sondern auch hinsichtlich der Frage, ob sie sogar schon über die Eröffnung des Schutzbereichs des IT-Grundrechts entscheiden. Mit anderen Worten stellt sich die Frage: Liegt ein Eingriff in das IT-Grundrecht nur dann vor, wenn das informationstechnische System mittels Spionagesoftware heimlich ausgespäht wird? c) Einsatz von Spionagesoftware im Gegensatz zu einfachen Zugriffen auf das System Die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO erfolgt vor Ort (lokal) am Zielsystem selbst. In dieser Konstellation haben die Ermittler physischen Zugriff auf die Hardware des Systems. Durch diesen physischen Zugriff können sie die Inhalte des Systems bzw. seiner Datenträger sichten. Im Unterschied zu einer Online-Durchsuchung nach § 100b StPO kommt daher keine Spionagesoftware zum Einsatz; es wird kein Trojaner installiert, mit dessen Hilfe die Ermittler das System heimlich ausspähen würden. Mit anderen Worten: Das Zielsystem wird zur Durchsicht nicht manipuliert, sondern schlicht benutzt – im Wesentlichen so, wie es der Inhaber des Systems bei Verwaltung seiner gespeicherten Dateien auch tun würde. Das BVerfG hat das IT-Grundrecht vor dem Hintergrund von Eingriffsmaßnahmen entwickelt, die auf der Nutzung einer Spionagesoftware basieren. Die im damaligen Verfahren überprüfte Norm des VSG NRW a. F. erlaubte die heimliche Installation von Spionagesoftware auf dem Zielsystem, weswegen das BVerfG bei seinem Urteil vor allem solche Maßnahmen im Blick hatte. Die Urteilsgründe beziehen sich deshalb größtenteils – vor allem hinsichtlich der Verhältnismäßigkeit von Eingriffen in das IT-Grundrecht – auf Online-Durchsuchungen von informationstechnischen Systemen, die heimlich mithilfe einer Spionagesoftware durchgeführt werden.361 Zu Zugrif360

In neueren Entscheidungen zu staatlichen Zugriffen auf informationstechnische Systeme, die nicht in Form einer Online-Durchsuchung erfolgen, prüft das BVerfG das ITGrundrecht nicht, dazu ausführlich unten Kap. 2 B.III.2.g). 361 Vgl. BVerfGE 120, 274 (318 ff.).

146

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

fen auf informationstechnische Systeme, die ohne den Einsatz von Spionagesoftware erfolgen, gibt das BVerfG dagegen so gut wie keine Erläuterungen.362 Aus dem Schweigen des BVerfG zu Systemzugriffen ohne Einsatz von Spionagesoftware könnte nun hergeleitet werden, dass das IT-Grundrecht nur dann betroffen ist, wenn staatliche Behörden einen Trojaner zur Ausforschung verwenden, und dass das IT-Grundrecht dagegen nicht berührt ist, wenn lediglich eine einfache Durchsicht im Sinne des § 110 Abs. 3 StPO durchgeführt wird.363 Gemäß einer solchen Auffassung wäre das IT-Grundrecht also nicht bei jeder Ausforschung eines informationstechnischen Systems berührt, sondern nur bei einer Ausforschung mittels Trojaner. Dieser Aspekt wird meist mit einem anderen Aspekt der Ausforschung vermischt, nämlich der Heimlichkeit des Zugriffs, denn die Spionagesoftware soll den Ermittlern gerade ein heimliches Vorgehen ermöglichen. So wird im Schrifttum teilweise in gleicher Stoßrichtung behauptet, ein Eingriff in das ITGrundrecht liege nur bei einem heimlichen Zugriff auf das informationstechnische System vor.364 Obwohl der Einsatz von Spionagesoftware mit der heimlichen Vorgehensweise staatlicher Ermittler zusammenhängt, sollen die beiden Aspekte in dieser Untersuchung getrennt behandelt werden. In diesem Abschnitt soll lediglich der Einsatz, genauer gesagt der fehlende Einsatz von Spionagesoftware bei der Durchsicht informationstechnischer Systeme thematisiert werden. Dem Aspekt der Heimlichkeit wird im Anschluss ein eigener Abschnitt gewidmet.365 aa) Ausgangspunkt des Urteils zur Online-Durchsuchung Es wurde weiter oben bereits dargelegt: Das BVerfG geht bei der Beurteilung heimlicher Zugriffe auf informationstechnische Systeme, wie sie im Verfas362

Siehe aber den Verweis auf die Beschlagnahme oder Kopie von Speichermedien, BVerfGE 120, 274 (322). 363 Missverständlich dahingehend Hoffmann-Riem, JZ 2008, 1009 (1019), der in Abgrenzung zum Schutzbereich des Rechts auf informationelle Selbstbestimmung formuliert, „gegen Datenerhebungen ohne Infiltration informationstechnischer Systeme“ schütze das IT-Grundrecht nicht. Im Zusammenhang seines Aufsatzes wird aber klar (vgl. vor allem S. 1012 und 1019 direkt im Anschluss), dass Hoffmann-Riem nicht den Einsatz einer technischen Infiltration via Spionagesoftware zur Bedingung der Schutzbereichseröffnung machen will, sondern lediglich betont, dass die Daten aus einem geschützten informationstechnischen System heraus erhoben werden müssen, der Schutzbereich des IT-Grundrechts also dann nicht eröffnet ist, wenn die Daten von ganz woanders erhoben oder abgefangen werden. 364 So z. B. Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 12 ff., 141; Zimmermann, JA 2014, 321 (323). 365 Kap. 2 B.III.2.d).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

147

sungsbeschwerdeverfahren zur Online-Durchsuchung in Rede standen, grundsätzlich von einem Tätigwerden der Behörden im Wege technischer Infiltration aus, also von der Sichtung informationstechnischer Systeme mittels Einsatz einer Spionagesoftware, wie es mittlerweile gemäß § 100b StPO auch im Strafverfahren erlaubt ist. Die verfahrensgegenständliche Norm des § 5 Abs. 2 Nr. 11 Satz 1 Alt. 2 VSG NRW a. F.366 lautete:367 § 5 – Befugnisse […] (2) Die Verfassungsschutzbehörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliches Mittel die folgenden Maßnahmen anwenden: […] 11. heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. […]368

Zu sehen ist, dass die Norm ganz allgemein zu heimlichen Zugriffen auf informationstechnische Systeme ermächtigt. Es wird lediglich betont, dass dies „auch“ mit Einsatz technischer Mittel erlaubt ist. Die Ermächtigungsnorm als Befugnis zur „Online-Durchsuchung“ erfasste also ihrem Wortlaut nach nicht ausschließlich technikgestützte Überwachungsmaßnahmen. Die Infiltration eines informationstechnischen Systems durch technische Manipulation oder das Ausnutzen von Sicherheitslücken war nach Vorstellung des nordrhein-westfälischen Gesetzgebers also nicht konstitutives Element einer heimlichen Online-Durchsuchung, sondern eine Zusatzermächtigung zur Durchführung einer solchen Maßnahme.369 Dass diese Zusatzermächtigung dabei das Hauptinteresse der ermittelnden Stellen ausmachte, weil in den meisten Fällen nur so ein heimliches und damit besonders erfolgreiches Ausforschen des Zielsystems möglich ist, soll hier nicht bestritten werden.

366

GV.NRW. 2006 S. 620. Der Gesetzestext ist abgedruckt in BVerfGE 120, 274 (282). 368 Hervorhebung durch Kursivdruck nicht im Original. 369 Vgl. auch die Gesetzesbegründung in LT NRW-Drs. 14/2211, S. 15, 17, welche moderne technische Mittel zwar in den Blick nimmt, diese aber gerade nicht ausschließlich betrachtet und auch sonst neutral von einem „Zugriff auf gespeicherte Computerdaten“ spricht; fehlgehend daher Klesczewski, ZStW 123 (2011), 737 (740), der offenbar die technische Infiltration zur Bedingung eines heimlichen Zugriffs macht, wodurch zwei Aspekte des Eingriffs miteinander vermischt werden. Dass es in der Praxis der Ermittlungsbehörden für einen heimlichen Zugriff zwar meist notwendig sein wird, das Zielsystem technisch zu manipulieren, sei zugestanden. Dennoch besteht auf rechtlicher Ebene ein Unterschied zwischen der Berührung der Integrität des Systems durch Aufspielen von Spionagesoftware und einem heimlichen Zugriff, mögen diese Aspekte auch auf tatsächlicher Ebene häufig zusammen auftreten. 367

148

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Der Ausgangspunkt beim Urteil des BVerfG zur Online-Durchsuchung mag dabei also vor allem der Zugriff auf informationstechnische Systeme mittels Spionagesoftware gewesen sein. Gleichwohl werden dadurch andere Varianten ohne Zuhilfenahme solcher technischen Mittel nicht aus der Betrachtung ausgegegrenzt. Auch sie gehören mit zur Maßnahme „OnlineDurchsuchung“, über die das BVerfG zu entscheiden hatte. Maßnahmen ohne manipulativen Einsatz von Technik sind also nicht zwingend von den Erläuterungen im BVerfG-Urteil und damit vom Anwendungsbereich des ITGrundrechts ausgeschlossen. Im Gegenteil deutet die gesamte Argumentationslinie des BVerfG, selbst wenn sie im Rahmen der Verhältnismäßigkeitsprüfung auf den Einsatz von Spionagesoftware bezogen ist, darauf hin, dass dem IT-Grundrecht ein umfassender Anwendungsbereich zukommt, der unabhängig ist von der Modalität des Systemzugriffs, also insbesondere unabhängig von der technischen Vorgehensweise beim Zugriff. Die Argumentationsstruktur im Urteil bei der Herleitung des IT-Grundrechts soll im Folgenden nachgezeichnet werden, um zu belegen, dass die Eröffnung des Schutzbereichs des ITGrundrechts nicht davon abhängt, ob eine Spionagesoftware auf dem Zielsystem installiert oder genutzt wird. bb) Persönlichkeitsschutz als Leitlinie des IT-Grundrechts Es wurde weiter oben bei der Klärung der grundrechtlichen Komponente der „Vertraulichkeit“ in Abgrenzung zur „Integrität“ bereits ausgeführt:370 Das BVerfG entwickelte das IT-Grundrecht vor allem im Angesicht moderner Informationstechnik, der gestiegenen Relevanz informationstechnischer Systeme für die Persönlichkeitsentfaltung des Einzelnen und den spiegelbildlich dazu entstandenen Gefahren für die Privatsphäre der Bürger, bis hin zur Gefahr einer Totalerfassung des Einzelnen.371 Die Entwicklung des ITGrundrechts kann als Reaktion auf genau diese Gefahren verstanden werden. Diese Gefahren sind nicht nur, aber durchaus auch bedingt durch die neuen technischen und rechtlichen Möglichkeiten der Ermittlungsbehörden, informationstechnische Systeme auch unter Einsatz von Spionagesoftware durchzusehen und damit die Persönlichkeit Einzelner auszuforschen. Das bedeutet aber nicht, dass das IT-Grundrecht eine Reaktion auf die gestiegene Gefahr technischer Manipulationen als solcher ist. Nicht informationstechnische Systeme sollen vor der Installation eines Trojaners beschützt werden, sondern der Bürger soll vor der Ausforschung seiner Persönlichkeit bewahrt werden. Erst die Gefahr, dass die Persönlichkeit und private Lebensgestaltung von Nutzern informationstechnischer Systeme 370 371

Kap. 2 B.III.2.b)bb). BVerfGE 120, 274 (303 ff.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

149

ausgeforscht werden kann, gibt dem IT-Grundrecht seinen Sinn. Die davon losgelöste Betrachtung der verwendeten Ausforschungstechnik weist dagegen noch keinen Bezug zu geschützten Rechten, der Persönlichkeit des Systemnutzers oder dessen privater Lebensgestaltung auf. Konsequenterweise will das BVerfG daher auch nur solche informationstechnischen Systeme vom IT-Grundrecht geschützt wissen, die einen hinreichenden Persönlichkeitsbezug aufweisen, die also in der Lage sind, eine Vielfalt von personenbezogenen Daten zu speichern und zu vernetzen.372 Mit anderen Worten: Weist ein informationstechnisches System kein hinreichendes Potential als umfassender Speicher für personenbezogene Daten auf, bedeutet ein Zugriff auf dieses System auch dann keinen Eingriff in das IT-Grundrecht, wenn er mittels einer Spionagesoftware erfolgt. Maßgeblich bleibt also immer, ob durch den Zugriff auf das System ein erhöhtes Gefährdungspotential für die Persönlichkeitsentfaltung und die Privatsphäre des Betroffenen besteht. Die beim Zugriff verwendete Technik ist für den Aspekt des Persönlichkeitsschutzes, genauer gesagt des Vertraulichkeitsschutzes des Systems, also weniger relevant.373 Die Art der verwendeten Zugriffstechnik weist für sich genommen noch keinen Bezug zu den geschützten Persönlichkeitsrechten auf. Der Versuch einer Bestimmung des Schutzbereichs des Grundrechts und eines entsprechenden Eingriffs allein anhand einer verwendeten Technik oder eines technischen Aspekts liefe damit ins Leere. Bei diesem Versuch der Schutzbereichsbestimmung bliebe nämlich die Frage offen, was überhaupt geschützt wird und wohinein mithilfe einer solchen Technik denn eingegriffen wird. Der Schutzgehalt des IT-Grundrechts lässt sich nicht sinnvoll ohne eine Betrachtung der Vertraulichkeit des informationstechnischen Systems konstruieren – wohl aber könnte man, zumindest theoretisch, auf die Betrachtung der zum Vertraulichkeitsbruch verwendeten technischen Mittel verzichten und erhielte dabei dennoch ein aussagekräftiges Bild davon, in welches Grundrecht wie und in welcher Intensität eingegriffen wird. Daraus folgt: Maßgeblich für die Eröffnung eines Schutzbereichs sind die Zugriffsobjekte, also das, was durch die Ermittlungsmethoden erlangt oder ausgeforscht werden soll, und das sind im Falle einer Online-Durchsuchung genau wie bei anderen Zugriffen auf informationstechische Systeme potentiell riesige Datenbestände, die in Einzelfällen sogar die lückenlose Persönlichkeitserfassung ihrer Inhaber ermöglichen. Das BVerfG wird in seinem Urteil nicht müde, diese Gefahrenlage für die Persönlichkeit des Einzelnen durch große und vernetzte Datenbestände in informationstechnischen Systemen ausführlich zu beschreiben.374 Der 372

BVerfGE 120, 274 (313 f.); s. dazu bereits oben Kap. 2 B.III.2.b)aa). Zum Aspekt des Integritätsschutzes sogleich unten cc). 374 BVerfGE 120, 274 (303, 304, 305, 306, 308, 309, 311, 313, 314, 322, 323, 324, 325, 335, 336). 373

150

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Schutzbereich des neu geschaffenen Grundrechts umfasst demnach eben diese Datenbestände und nicht bloß eine davon losgelöste technische Integrität des Systems. Werden diese Datenbestände durch einen Zugriff auf das geschützte informationstechnische System berührt oder in ihrer Vertraulichkeit gefährdet, so muss der Schutzbereich des IT-Grundrechts eröffnet sein.375 Das muss grundsätzlich auch ohne Rücksicht darauf gelten, auf welche technische Weise in das System eingedrungen wird und wie die Daten gesichtet werden.376 Es ist die Vertraulichkeit des Systems und der in ihm enthaltenen Daten selbst, die im Vordergrund steht, und nicht das technische Mittel, mit dem die Vertraulichkeit angegriffen wird.377 Folgerichtig stellt das BVerfG klar, dass der Schutz des IT-Grundrechts unabhängig davon besteht, „ob der Zugriff auf das informationstechnische System leicht oder nur mit erheblichem Aufwand möglich ist.“378 Das ist auch aus der Perspektive des Betroffenen nur konsequent: Ihm wird es – zumindest hinsichtlich der Vertraulichkeit der Daten – relativ gleichgültig sein, ob die geschäftlichen Steuerunterlagen, die Videos vom letzten Strandurlaub oder der intime Mailwechsel mit dem Lebensgefährten nun dadurch erhoben werden, dass ein Ermittler eine Sicherheitslücke im System ausnutzt, oder dadurch, dass der Ermittler das System schlicht benutzt. Das für den Vertraulichkeitsschutz maßgebliche Zugriffsobjekt ist in beiden Fällen das gleiche.379 Die verwendete Technik oder Software zum Zugriff ist dabei auch aus Sicht der Ermittler bloßes Mittel zum Zweck. Die konkrete Intensität des Eingriffs mag je nach (technischer) Vorgehensweise im Detail zwar schwanken,380 Einfluss auf die Eröffnung des Schutzbereichs hat sie aber nicht. Daran ändert auch die Feststellung des BVerfG nichts, dass mit einem Eingriff in die Integrität des Systems, welcher Leistungen, Funktionen und Speicherinhalte für Dritte nutzbar macht, die entscheidende technische Hürde für eine Ausspähung, Überwachung und Manipulation des Systems genommen wird.381 Bei einer Ermittlungstaktik, die auf einen Fernzugriff setzt, ist diese technische Infiltration durch eine Spionagesoftware zwar in der Tat der entscheidende Hebel, um das System – und damit dessen Nutzer – 375

Vgl. BVerfGE 120, 274 (314); Hömig, Jura 2009, 207 (210). Ausdrücklich Bartsch, CR 2008, 613 (615). 377 Vgl. Böckenförde, JZ 2008, 925 (938), der hervorhebt, dass sich der Begriff der „Vertraulichkeit“ wie ein roter Faden durch das Urteil des BVerfG zieht; abweichend Albrecht/ Braun, HRRS 2013, 500 (503) unter Verweis auf Hoffmann-Riem, JZ 2008, 1009 (1019), die – wenig überzeugend – die Komponente der „Integrität“ als prägend für das IT-Grundrecht ansehen. 378 BVerfGE 120, 274 (315); darauf weist auch Hömig, Jura 2009, 207 (210) hin. 379 Vgl. Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 96. 380 Dazu sogleich unten (cc). 381 Vgl. BVerfGE 120, 274 (314). 376

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

151

ausforschen zu können. Es ist aber nicht so, dass diese Hürde ausschließlich durch den Einsatz einer Spionagesoftware im Wege eines Fernzugriffs genommen werden könnte. Auch der physische Zugriff auf ein informationstechnisches System im Rahmen einer Durchsuchung bzw. Durchsicht nach § 110 Abs. 3 S. 1 StPO ist geeignet, jegliche Hürden und Sicherungsvorkehrungen des Systems zu überwinden, seine Daten vollständig auszuspähen und damit die Persönlichkeit des Systemnutzers umfassend auszuforschen. Die Inhalte des Systems liegen den Ermittlern dann komplett offen – eine besondere technische Infiltration unter Einsatz einer Spionagesoftware ist dazu gar nicht nötig. Die Ermittler sind bei diesem Vorgehen nicht einmal davon abhängig, überhaupt eine Verbindung aus der Ferne zum System herstellen zu müssen. Sämtliche spezifischen praktischen Probleme eines solchen Fernzugriffs spielen bei einem physischen Zugriff auf das System vor Ort keine Rolle mehr: Auswahl und Programmierung der richtigen Spionagesoftware, Auffinden des Zielsystems in einem Netzwerk und nicht zuletzt das Erfordernis, dass die Zielperson ihr System überhaupt angeschaltet und ans Netzwerk angeschlossen lässt. All diese ermittlungspraktischen Unwägbarkeiten fallen bei einem physischen Zugriff auf das Zielsystem weg, sodass bei einem solchen Vorgehen also erst recht die entscheidende Hürde zur Totalausforschung des Systems und aller seiner Daten genommen wird.382 Im Zusammenhang mit der Gefährdung der Vertraulichkeit von informationstechnischen Systemen erwähnt das BVerfG außerdem auch bloße Kopien von Speichermedien informationstechnischer Systeme, die ohne den Einsatz von Spionagesoftware angefertigt werden. Auch sie begründen eine besondere Gefahrenlage für die Persönlichkeitsentfaltung des Betroffenen.383 Daraus lässt sich ebenfalls der Schluss ziehen, dass es dem BVerfG für die Eröffnung des Schutzbereichs nicht darauf ankommt, mit welchen technischen Mitteln diese besondere Gefahrenlage herbeigeführt wird.384 Die folgenden Ausführungen im Urteil hinsichtlich des heimlichen Zugriffs auf informationstechnische Systeme durch Einsatz von Spionagesoftware beziehen sich dann auch nicht auf die Eröffnung des Schutzbereichs des ITGrundrechts, sondern sind Teil der konkreten Prüfung der Verhältnismäßigkeit der Normen zur Online-Durchsuchung.385 Als weiterer Beleg für die These, dass der Schutzbereich des IT-Grundrechts auch ohne Installation einer Spionagesoftware auf dem Zielsystem eröffnet sein kann, lässt sich eine Passage aus dem Urteil des BVerfG zum Bundeskriminalamtsgesetz (BKAG-Urteil386) anführen. Dort bespricht das 382 Bunzel, Zugriff auf IT-Systeme, 2015, S. 155 f. will daraus sogar eine Berührung der Integritätskomponente des IT-Grundrechts ableiten. 383 BVerfGE 120, 274 (322) mit Verweis auf BVerfGE 113, 29; 115, 166; 117, 244. 384 Vgl. Bauer, Soziale Netzwerke, 2018, S. 231. 385 Vgl. BVerfGE 120, 274 (322 ff.). 386 BVerfGE 141, 220.

152

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Gericht das IT-Grundrecht zwar ebenfalls anhand einer Online-Durchsuchung unter Einsatz von Spionagesoftware, erstreckt den Schutzbereich aber ausdrücklich auf gespeicherte Daten in einer Cloud sowie generell auf „persönliche Daten, die auf externen Servern in einem berechtigten Vertrauen auf Vertraulichkeit ausgelagert sind“.387 Beim Ausforschen solcher externen, vernetzten Speicher geht es aber in der Regel nicht darum, auch diese Server, also die Cloud-Systeme selbst, mit einer Spionagesoftware zu manipulieren und zu infiltrieren. Das ist insbesondere beim Cloud Computing, bei dem die zugrunde liegende Hardware aus vielen verschiedenen Computern in verschiedensten Teilen der Welt bestehen kann, oft gar nicht möglich.388 Bei einer Online-Durchsuchung einschlägig ist vielmehr die Konstellation, dass das Endgerät, also das persönliche informationstechnische System des Nutzers, mit einer Spionagesoftware infiltriert wird, um dann von diesem infizierten System aus eventuell angeschlossene externe Speicher zu sichten (insoweit ähnlich einer Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO) oder den Datenverkehr zwischen den Systemen zu beobachten. Die durchsuchten externen Speicher sind von der technischen Manipulation durch die Spionagesoftware aber nicht selbst betroffen. Ihre technische Integrität bleibt unversehrt. Dennoch erklärt das BVerfG ausdrücklich, dass das IT-Grundrecht auch davor schützt, dass Daten auf solchen externen Speichern ausgelesen werden. Darin zeigt sich erneut, dass der Schutz des IT-Grundrechts keinen Schutz der Integrität von Systemen um ihrer selbst willen bezweckt. Vielmehr steht wieder der Schutz der Vertraulichkeit der Daten im Vordergrund. Der Einsatz von Spionagesoftware, der die Integritätsverletzung des Systems bei der Online-Durchsuchung bewirkt, erscheint damit nur als das Mittel zum Eingriff in die Vertraulichkeit des Systems. Die Integritätsverletzung durch den Einsatz von Spionagesoftware kann nach dem Gesagten nicht notwendige Bedingung für die Aktivierung des Schutzes des IT-Grundrechts sein. Nach allem kann es für die Eröffnung des Schutzbereichs des IT-Grundrechts nicht auf eine Infiltration im Sinne einer Manipulation des Systems auf technisch nicht vorgesehenem Wege ankommen.389 Auch ohne den Einsatz von Spionagesoftware berührt der Zugriff auf ein geschütztes informationstechnisches System im Sinne der Rechtsprechung des BVerfG die Vertraulichkeit des Systems und damit den grundrechtlichen Schutzgehalt des ITGrundrechts. Die technische Art des Zugriffs ist für die Eröffnung des Schutzbereichs grundsätzlich nicht von Belang.390 387

BVerfGE 141, 220 (303 f.). Zum Cloud Computing noch ausführlich unten Kap. 3 A.I.2. 389 Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 128 f.); Bauer, Soziale Netzwerke, 2018, S. 231. 390 Bartsch, CR 2008, 613 (615); Heinson, IT-Forensik, 2015, S. 179; Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 67. 388

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

153

cc) Einschub: Integritätsverletzung als Intensivierung des Eingriffs Es soll hier nicht übergangen werden, dass bei einem Zugriff auf informationstechnische Systeme ohne technische Manipulation die Schutzkomponente der Gewährleistung der Integrität des Systems in der Regel unberührt bleibt.391 Nach dem oben Gesagten bedeutet das zwar nicht, dass der Schutzbereich des IT-Grundrechts nun insgesamt nicht eröffnet wäre.392 Es bedeutet aber, dass die Intensität des Eingriffs anders zu bewerten ist. Bei einer OnlineDurchsuchung nach § 100b StPO sind durch Installation eines Trojaners beide Aspekte des IT-Grundrechts berührt, sowohl die Vertraulichkeit als auch die Integrität des Systems.393 Durch die Beeinträchtigung der Integrität des Systems gewinnt der Eingriff über die bloße Beeinträchtigung der Vertraulichkeit hinaus nochmal an Intensität. Der Zugriff auf Systeme ohne Einsatz von Spionagesoftware – so zum Beispiel auf Grundlage des § 110 Abs. 3 StPO – ist demgegenüber grundsätzlich weniger intensiv, weil über die Beeinträchtigung der Vertraulichkeit des Systems hinaus keine Verletzung der Integrität stattfindet. Das System wird hierbei nicht verwanzt. In dieser Hinsicht ist die Durchsicht informationstechnischer Systeme weniger eingriffsintensiv als die Online-Durchsuchung gemäß § 100b StPO.394 Die Auswirkungen des Zugriffs auf die Integrität des informationstechnsichen Systems sind bei der Prüfung der Verhältnismäßigkeit zu berücksichtigen. Gleichwohl darf das Fehlen der Integritätsverletzung auch im Rahmen der Verhältnismäßigkeitsprüfung nicht überbewertet werden. Der grundlegende Eingriff, der in der Abschöpfung eines potentiell riesigen Bestands an personenbezogenen Daten besteht, bleibt der gleiche. Er ist zwar weniger intensiv, wenn die Integrität des Systems unberührt bleibt, er insoweit also keinen Begleiteingriff mit sich bringt. Das aber heißt nicht, dass der Eingriff deshalb per se von geringer Intensität wäre.395 Dazu passen die Ausführungen des BVerfG, das in seinem Urteil zur Online-Durchsuchung die Intensität

391

A. A. Bunzel, Zugriff auf IT-Systeme, 2015, S. 155 f. Anders aber offenbar Dralle´, Grundrecht auf Gewährleistung, 2010, S. 37; vgl. auch Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 71. 393 Zur Integritätsverletzung Albrecht/Braun, HRRS 2013, 500 (503 f.); Böckenförde, JZ 2008, 925 (929 f.); Buermeyer/Bäcker, HRRS 2009, 433 (437, 439); Hansen/Pfitzmann, DRiZ 2007, 225 (228) mit Hinweis auf durch fehlerhafte Spionageprogramme entstehende Sicherheitslücken im Zielsystem; Kemper, ZRP 2007, 105 (106) mit Blick auf eine eventuelle straftatbestandliche Sachbeschädigung; vgl. auch die Stellungnahme des Chaos Computer Club vom 07.07.2015 betreffend das Verfassungsbeschwerdeverfahren 1 BvR 966/09, 1 BvR 1140/09 zum BKA-Gesetz a. F., abrufbar unter http://www.ccc.de/system/u ploads/189/original/BKAG Stellungnahme.pdf [zuletzt abgerufen am 04.11.2021]; vgl. auch AG Hamburg StV 2009, 636 (637). 394 Vgl. Heinson, IT-Forensik, 2015, S. 185. 395 Zu den Kriterien für die Bestimmung der Eingriffsintensität noch unten Kap. 2 B.VI. 392

154

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

bzw. Verhältnismäßigkeit des Eingriffs in ein System vor allem anhand der Menge und Vielfalt der potentiell erfassten Daten beurteilt.396 Das Gericht nennt zwar auch die Integritätsverletzung des Systems als Faktor zur Bestimmung des Gewichts des Grundrechtseingriffs. Dieser Faktor ist aber erstens nur einer von vielen, und zweitens betrachtet das BVerfG den Aspekt der Integritätsverletzung vor allem unter dem Gesichtspunkt, dass ein einmal manipuliertes System anfällig ist für weitere Zugriffe auch unberechtigter Dritter, wobei wiederum die Gefahr einer (weiteren) Verletzung der Vertraulichkeit des Systems und der in ihm gespeicherten Daten im Mittelpunkt steht.397 Auch insoweit ist der Integritätsschutz des Systems also kein Selbstzweck, sondern auf den Schutz der Privatsphäre des Systemnutzers bezogen.398 Im Übrigen lassen sich auch Fälle erdenken, in denen die Integritätsverletzung am System im Vergleich zur Verletzung der Vertraulichkeit so gering ist, dass sie bei der Bestimmung der Eingriffsintensität kaum noch eine Rolle spielt. Zu denken ist an eine Komplettsichtung eines informationstechnischen Systems, bei dem die Ermittler ein Suchprogramm installieren, das die sonstigen Funktionen des Systems aber unberührt lässt. Die Integrität des Systems ist durch die Installation der Software zwar beeinträchtigt, im Vergleich zur massiven Vertraulichkeitsverletzung durch die vollständige Auswertung der gespeicherten Daten erscheint diese Integritätsverletzung aber vernachlässigbar. Als Fazit lässt sich daher festhalten: Die Auswirkungen auf die Integrität des Systems sind bei der Prüfung der Verhältnismäßigkeit einer Eingriffsmaßnahme zu berücksichtigen.399 Wird neben der Vertraulichkeit des Systems auch dessen Integrität berührt, so intensiviert dies den Grundrechtseingriff. Gleichwohl sollte der Aspekt der Integritätsverletzung nicht überbewertet werden. In den meisten Fällen der Ausforschung von informationstechnischen Systemen wird das Ausmaß der Vertraulichkeitsverletzung maßgeblich sein, also die Intensität der Beeinträchtigung der Privatsphäre des Systemnutzers. Dies gilt im Besonderen für Maßnahmen auf Grundlage des § 110 Abs. 3 StPO, denn hier ist der Einsatz von Spionagesoftware, der eine besondere Beeinträchtigung der Integrität des Systems darstellen würde, ohnehin nicht vorgesehen.400

396

BVerfGE 120, 274 (322 ff.). Vgl. BVerfGE 120, 274 (325 f.); Luch, MMR 2011, 75. 398 Zum Verhältnis der beiden Schutzkomponenten bereits oben Kap. 2 B.III.2.b)bb). 399 Bauer, Soziale Netzwerke, 2018, S. 231; Heinson, IT-Forensik, 2015, S. 185. 400 Zu anderen möglichen Integritätsverletzungen bei einer Durchsicht s. unten Kap. 2 B.VII.2.b). 397

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

155

dd) Kein Eingriff in den Schutzbereich bei Datenerhebungen „auf dem technisch dafür vorgesehenen Weg“? Im Urteil des BVerfG zur Online-Durchsuchung findet sich eine Passage, die das hier gefundene Ergebnis in Frage zu stellen scheint: „Die von dem allgemeinen Persönlichkeitsrecht gewährleistete Vertraulichkeit und Integrität informationstechnischer Systeme wird durch Maßnahmen der Internetaufklärung nicht berührt, da Maßnahmen nach § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 VSG sich darauf beschränken, Daten, die der Inhaber des Systems – beispielsweise der Betreiber eines Webservers – für die Internetkommunikation vorgesehen hat, auf dem technisch dafür vorgesehenen Weg zu erheben. Für solche Datenerhebungen hat der Betroffene selbst sein System technisch geöffnet. Er kann nicht darauf vertrauen, dass es nicht zu ihnen kommt.“401

Diese Passage wird z. B. von Bäcker dahingehend interpretiert, dass das BVerfG bestimmte Formen der Verwendung von Speicherdiensten im Internet, die auf dem Einsatz von informationstechnischen Systemen basieren (z. B. Cloud Computing402), aus dem Schutzbereich des IT-Grundrechts ausschließen will. Danach griffe ein staatlicher Ermittler, der zum Auslesen eines Cloud-Speichers die Anmeldemaske (Login) des Speicherdienstes auf dem technisch dafür vorgesehenen Weg benutzt, nicht in den Schutzbereich des IT-Grundrechts ein. Auf die – bestehende oder fehlende – Autorisierung zum Zugriff durch den Nutzer des Systems käme es dabei nicht an.403 Eine derartige Interpretation der Aussagen des BVerfG würden den Schutzbereich des IT-Grundrechts erheblich beschneiden. Die Eröffnung des Schutzbereichs stünde damit unter der Bedingung, dass Zielsysteme eben doch mittels Spionagesoftware oder anderer technischer Manipulationen ausgepäht werden – denn nur das wäre der nicht technisch vorgesehene Weg der Datenerhebung. Indes darf man die zitierte Urteilspassage nicht verallgemeinernd verstehen. Sie ist vielmehr im speziellen Zusammenhang mit der vom BVerfG überprüften Maßnahme zu sehen. Die zitierte Passage stammt zwar aus dem Urteil zur Online-Durchsuchung, sie betrifft aber gar nicht die OnlineDurchsuchung oder das Ausspähen von vertraulichen Datenspeichern. Im Urteil zur Online-Durchsuchung wurde nämlich noch eine weitere Maßnahme bzw. Eingriffsgrundlage geprüft, und zwar die heimliche Beobachtung und Aufklärung des Internets durch die Verfassungsschutzbehörden gemäß § 5 Abs. 2 Nr. 11 Satz 1 Alt. 1 VSG NRW a. F.404 Die Norm lautete:405

401

BVerfGE 120, 274 (344). Dazu noch unten Kap. 3 A.I.2. 403 Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 129). 404 GV.NRW. 2006 S. 620. 405 Der Gesetzestext ist abgedruckt in BVerfGE 120, 274 (282). 402

156

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

§ 5 – Befugnisse […] (2) Die Verfassungsschutzbehörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliches Mittel die folgenden Maßnahmen anwenden: […] 11. heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. […]406

Zuerst fällt auf, dass die Ermächtigung klar zwischen der Internetaufklärung und dem Zugriff auf informationstechnische Systeme trennt. Der nordrheinwestfälische Gesetzgeber hatte zwei verschiedene Maßnahmen bzw. Gruppen von Maßnahmen normiert. Entsprechend ist auch das Urteil des BVerfG in zwei Teile gegliedert, bei dem sich der erste Teil auf die Online-Durchsuchung bezieht407, der zweite gesondert auf die Internetaufklärung408. Die oben zitierte Urteilspassage befindet sich im zweiten Teil, der sich auf die Internetaufklärung bezieht. Was die Internaufklärung ist, beschreibt die im Urteil überprüfte Ermächtigungsgrundlage selbst: Zum einen geht es darum, schlicht öffentliche Inhalte des Internets abzurufen und zu beobachten.409 Diese Art der Internetaufklärung wird zuweilen mit der physischen Streifenfahrt von Polizisten verglichen, weshalb sie analog dazu auch als „Online-Streife“ oder „elektronische Streifenfahrt“ bezeichnet wird.410 Zum anderen geht es um die verdeckte Teilnahme an der Internetkommunikation oder um das Auffinden solcher Kommunikationskanäle (das können zum Beispiel Chat-Gruppen sein).411 Die Internetaufklärung zeichnet sich damit bereits ihrer Natur nach dadurch aus, dass Ermittler nicht in vertrauliche IT-Systeme eindringen, sondern am Verkehr des Internets teilnehmen. Das Internet wird benutzt, um öffentlich zugängliche Inhalte und Kommunikationskanäle abzurufen. Auch wenn sich Ermittler Zugang zu grundsätzlich nicht öffentlichen Kommunikationskanälen verschaffen (z. B. geschlossene Chat-Gruppen), indem

406

Hervorhebung durch Kursivdruck nicht im Original. C.I. der Urteilsgründe, beginnend auf Seite BVerfGE 120, 274 (302). 408 C.II. der Urteilsgründe, beginnend auf Seite BVerfGE 120, 274 (340). 409 Vgl. Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 71. 410 Vgl. Hornung, CR 2008, 299 (305); Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 117 f., 141; Kudlich, GA 2011, 193 (198); ausf. zur Online-Streife Bauer, Soziale Netzwerke, 2018, S. 98 ff.; krit. zur Begrifflichkeit Dalby, Strafverfolgung im Internet, 2016, S. 40 f., der den Begriff der „Streife“ nur für anlassunabhängige Ermittlungsaktivitäten verwenden will. 411 Zur Einteilung dieser Varianten Bauer, Soziale Netzwerke, 2018, S. 98 f. 407

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

157

sie ihre Identität verschleiern und sich die Zugangsdaten vom Betreiber oder Nutzer des Kanals herausgeben lassen, dringen sie dabei nicht in ein informationstechnisches System ein. Der Betreiber oder Nutzer disponiert insoweit freiwillig, wenn auch getäuscht, über den Zugang der eigentlichen vertraulichen Inhalte und öffnet sie bewusst anderen Personen.412 Es sind diese Fälle, die das BVerfG im zweiten Teil seines Urteils bespricht. Folgerichtig prüft das Gericht die Maßnahmen bzw. das Gesetz zuerst am Maßstab des Art. 10 GG,413 der als spezielleres Grundrecht zum IT-Grundrecht ohnehin Vorrang beansprucht und das IT-Grundrecht verdrängt.414 Dabei greift die Maßnahme zunächst einmal nur in solchen Fällen in Art. 10 GG ein, in denen der Zugriff der Ermittler auf Kommunikationsinhalte nicht von einem der Kommunikationsteilnehmer autorisiert wurde. Es geht also um Fälle, in denen die Zugangsdaten durch technische Manipulation abgefangen oder erst ermittelt (Hacking) werden.415 Kein Eingriff in Art. 10 GG liegt dagegen vor, wenn die Zugangsdaten – auch aufgrund einer Täuschung – freiwillig von einem der Kommunikationsteilnehmer herausgegeben werden und die Ermittler sodann diese Zugangsdaten nutzen, um auf technisch dafür vorgesehenen Weg an der Kommunikation teilzunehmen oder diese zu beobachten. Gleiches gilt erst recht, wenn die Kommunikationsinhalte oder sonstigen Internetinhalte von vornherein für jedermann öffentlich sind.416 Diese Fälle haben alle nichts mit einer Online-Durchsuchung zu tun und wurden vom BVerfG deshalb auch nicht bei Beurteilung der Verfassungsmäßigkeit der Ermächtigung zu Online-Durchsuchungen besprochen, sondern separat bei der Prüfung der Verfassungsmäßigkeit der Ermächtigung zur Internetaufklärung. Es geht hier um potentielle Eingriffe in die nach Art. 10 GG geschützte vertrauliche Kommunikation, nicht aber um Zugriffe in vertrauliche informationstechnische Systeme und die Erhebung der in ihnen gespeicherten Daten. Folglich können die diesbezüglichen Ausführungen des BVerfG nicht auf Fälle der Online-Durchsuchung und andere Fälle des nicht-autorisierten Zugriffs auf informationstechnische Systeme bezogen werden. Die Ausführungen sind nicht übertragbar.417

412

Dazu Bär, FS Heintschel-Heinegg 2015, 14 f.; Bauer, Soziale Netzwerke, 2018, S. 147 ff.; Böckenförde, JZ 2008, 925 (936); Henrichs, Kriminalistik 2011, 622 ff.; ders., Kriminalistik 2012, 632 ff.; Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 157 ff.; Kudlich, GA 2011, 193 (199); Rosengarten/Römer, NJW 2012, 1764 ff.; Soine´, NStZ 2014, 248 ff. 413 BVerfGE 120, 274 (340 ff.). 414 Zum Fernmeldegeheimnis unten Kap. 2 B.III.4. 415 BVerfGE 120, 274 (340 f.). 416 BVerfGE 120, 274 (341). 417 Ziebarth, Online-Durchsuchung, 2013, S. 234.

158

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Diese Nichtübertragbarkeit gilt nun auch für die eingangs zitierte Passage, in der das BVerfG für Fälle der Internetaufklärung, in denen Art. 10 GG nicht berührt ist (freiwillig herausgegebener Zugang oder von vornherein öffentlich zugängliche Inhalte), lediglich prüft, ob stattdessen andere Grundrechte einschlägig sein könnten. Und auch hier kommt das BVerfG konsequenterweise zum Schluss, dass die staatliche Kenntnisnahme von öffentlich zugänglichen oder vom Nutzer freiwillig zugänglich gemachten Inhalten in der Regel auch nicht in das IT-Grundrecht eingreift, die vermeintliche Schutzlücke von Art. 10 GG also nicht automatisch durch einen Rückgriff auf Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschlossen werden kann.418 Das ist kein Widerspruch und keine Einschränkung zu dem, was das BVerfG vorher zum IT-Grundrecht gesagt hat und was hier in dieser Untersuchung entsprechend als Ergebnis ermittelt wurde. In Fällen, in denen die Daten eines informationstechnischen Systems ohnehin jedermann zugänglich sind oder in denen sich der Nutzer des Systems bewusst ist, dass er an jemanden Daten übermittelt, greifen staatliche Stellen bei Kenntnisnahme der Inhalte selbstverständlich nicht in die Vertraulichkeit des Systems ein. Der Nutzer wird ja nicht in seiner Vertraulichkeitserwartung enttäuscht, sondern er disponiert gerade über die Vertraulichkeit – mag er dabei auch getäuscht werden und gewissermaßen einem Motivirrtum bei Offenbarung der geschützten Inhalte unterliegen. Der eigentliche Systemschutz aber wird davon nicht berührt: Nicht etwa dringen Ermittler unautorisiert in ein informationstechnisches System ein, sondern der Nutzer reicht ihnen die gewünschten Daten entweder freiwillig heraus oder bittet die Ermittler gleich ganz in das System hinein. Die Datenerhebung als solche geschieht damit nicht gegen den Willen des Nutzers. Kommt es dagegen zu einer Datenerhebung gegen den Willen des Nutzers, zum Beispiel im Wege einer offenen Durchsicht auf Grundlage des § 110 Abs. 3 StPO, so bleibt es bei einem Eingriff in das IT-Grundrecht. Dass die Durchsicht dabei ohne technische Manipulation und damit auf „technisch vorgesehenem Wege“, also schlicht durch Benutzung des Systems erfolgt, spielt für die Eröffnung des Schutzbereichs keine Rolle. Die Bedingung, dass Daten auf technisch nicht vorgesehenem Wege erhoben werden, hat nur im Rahmen der Internetaufklärung Relevanz, also für Fälle, die nichts mit einem Eindringen in informationstechnische Systeme zu tun haben. Die eingangs zitierte Urteilspassage ist mithin nicht als generelle Einschränkung des Schutzbereichs des IT-Grundrechts zu verstehen und wurde vom BVerfG so auch nicht verstanden. Das BVerfG hat vielmehr Sonderfälle, die nichts mit

418 Eine Ausnahme ist die systematische Zusammenstellung öffentlich zugänglicher Daten durch staatliche Stellen, denn diese kann in das Recht auf informationelle Selbstbestimmung eingreifen, BVerfGE 120, 274 (345).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

159

dem unautorisierten Eindringen in informationstechnische Systeme zu tun haben, ausdrücklich vom Schutzbereich des IT-Grundrechts ausschließen wollen bzw. hat klarstellen wollen, dass diese Fälle nicht dem Anwendungsbereich des IT-Grundrechts unterfallen.419 Dieses Ergebnis wird auch durch weitere Aussagen gestützt, die das BVerfG im direkten Zusammenhang mit dem IT-Grundrecht und der Ausforschung informationstechnischer Systeme getroffen hat. Ganz ausdrücklich soll der Schutzbereich des IT-Grundrechts vollkommen unabhängig davon gelten, ob der Zugriff auf das informationstechnische System leicht oder nur mit erheblichem Aufwand möglich ist.420 Eine Differenzierung von Zugriffen anhand der Frage, ob der Zugriff durch die Ermittler auf dem technisch dafür vorgesehenen Weg erfolgt ist, verträgt sich nicht mit diesem umfassenden Schutz und wurde vom BVerfG deshalb auch nicht vorgenommenen. In gleicher Weise betont das BVerfG, dass sich der Schutz des IT-Grundrechts gerade auch auf Systeme erstrecken soll, die nicht in der physischen Verfügungsgewalt des Nutzers liegen, solange der Nutzer diese Systeme – allein oder mit anderen gemeinsam – als eigenes System nutzt.421 Damit spricht das BVerfG implizit die Nutzung von Cloud-Speichern über das Internet an und ordnet diese Nutzung dem Schutzbereich des IT-Grundrechts zu.422 Diese Schutzbereichzuordnung dann wieder mit dem Kriterium des „technisch dafür vorgesehenen Weges“ zurücknehmen zu wollen, wäre widersinnig. Die Einschätzung von Bäcker, die eingangs zitierte Urteilspassage sorge für einen Ausschluss von Diensten des Cloud Computing aus dem Schutzbereich des IT-Grundrechts, ist damit widerlegt. Hinzu kommt, dass das BVerfG in seinem Urteil zum BKA-Gesetz den staatlichen Zugriff auf Cloud-Speicher später ausdrücklich unter den Anwendungsbereich des ITGrundrechts subsumiert hat.423 Weitere Einschränkungen dazu, auf welchem technischen Wege der Zugriff auf den Cloud-Speicher erfolgt bzw. erfolgen muss, formuliert das BVerfG in diesem Urteil nicht. Auch daraus ergibt sich, dass das BVerfG die Eröffnung des Schutzbereichs des IT-Grundrechts nicht unter einen allgemeinen Vorbehalt stellen will, der nur Zugriffe auf dem technisch nicht dafür vorgesehenen Weg als Eingriff qualifiziert. Es darf damit als gesichert gelten, dass auch Zugriffe auf informationstechnische Systeme, die auf dem technisch dafür vorgesehenen Weg erfolgen, in den Schutzbereich des IT-Grundrechts eingreifen können. 419 Vgl. auch die Einordnung der Urteilspassage bei Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 70 ff.; Ziebarth, Online-Durchsuchung, 2013, S. 234. 420 BVerfGE 120, 274 (315) – gemeint sein kann hier nur der Zugriff aus Perspektive der Ermittler. 421 BVerfGE 120, 274 (315). 422 Vgl. nur Wicker, Cloud Computing, 2016, S. 300. 423 BVerfGE 141, 220 (303).

160

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Im Ergebnis existiert also keine Schutzbereichsausnahme für Zugriffe auf informationstechnische Systeme, die „auf dem technisch dafür vorgesehenen Weg“ erfolgen. Die entsprechenden Ausführungen im Urteil des BVerfG beziehen sich auf die Internetaufklärung und deren Besonderheiten. Sie sind nicht generalisierbar und beschneiden den Schutzbereich des IT-Grundrechts folglich nicht. Darauf weist auch der ausdrückliche Einbezug von Cloud-Speichern im Urteil des BVerfG zum BKA-Gesetz hin. Damit ist der Schutzbereich des IT-Grundrechts bei der Durchsicht eines informationstechnischen Systems auf Grundlage des § 110 Abs. 3 StPO, die sich keiner Spionagesoftware oder anderer manipulativer technischer Mittel bedient, nicht etwa ausgeschlossen, sondern eröffnet. ee) Zusätzliches Argument aus dem E-Mail-Beschluss des BVerfG (BVerfGE 124, 43)? Das BVerfG hat sich auch in nachfolgenden Urteilen betreffend den Zugriff auf große Datenbestände und IT-Systeme bisher nicht dezidiert zu der Frage geäußert, ob der Schutzbereich des IT-Grundrechts nur bei Einsatz von Spionagesoftware bzw. heimlichen Zugriffen auf informationstechnische Systeme eröffnet ist oder ob auch Zugriffe ohne den Einsatz von Spionagesoftware in den Anwendungsbereich des IT-Grundrechts fallen. Fruchtbar gemacht werden könnte allerdings die Entscheidung des BVerfG zur Beschlagnahmefähigkeit von E-Mails.424 In einem Ermittlungsverfahren wegen Betrugs und Untreue wurde die Wohnung eines der Beschuldigten, dem späteren Beschwerdeführer im Verfassungsbeschwerdeverfahren, durchsucht, um dort auch auf Datenträgern gespeicherte Dokumente aufzufinden, welche die Betrugs- und Untreuetaten beweisen sollten. Das zuständige Amtsgericht hatte zusätzlich angeordnet, dass auch der E-MailVerkehr des Beschuldigten überprüft werden solle. Bei der Durchsuchung wies der Beschuldigte die Ermittlungspersonen darauf hin, dass er seine E-Mails über das IMAP-Verfahren abrufe. Beim IMAP-Verfahren werden die E-Mails standardmäßig nicht auf den lokalen Rechner heruntergeladen, sondern verbleiben auf dem Server des E-Mail-Providers.425 Sie sind somit über das persönliche E-Mail-Konto des Kunden im Internet zugänglich. Der Beschuldigte stellte zunächst eine entsprechende Internetverbindung zu diesem E-Mail-Konto her, verweigerte dann aber dennoch den Zugriff auf die Mails, weil der Durchsuchungsbeschluss dieses Vorgehen seiner Auffassung nach nicht abdeckte. Die Staatsanwaltschaft beantragte daraufhin aus den Räumlichkeiten des Beschuldigten heraus und mit dessen Kenntnisnahme fernmündlich beim Amtsgericht einen Beschlagnahmebeschluss über die 424 425

BVerfGE 124, 43 (E-Mail-Beschluss). S. Fischer/Hofer, Lexikon der Informatik, Stichwort „IMAP“, S. 424.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

161

E-Mails auf dem Server. Das Amtsgericht ordnete die beantragte Beschlagnahme der E-Mails per Beschluss an und übermittelte diesen auch in die Räume des Beschuldigten. Dort wurden noch am selben Tag die gesamten E-Mails (etwa 2.500) vom Mailkonto des Beschuldigten auf einen Datenträger der Ermittlungsbehörden kopiert.426 Gegen diesen Mail-Zugriff – der in der Sache ein Zugriff auf ein externes Medium im Sinne des § 110 Abs. 3 S. 2 StPO ist427 – wandte sich der Beschuldigte daraufhin mit einer Verfassungsbeschwerde. Im entsprechenden Beschluss setzte sich das BVerfG mit der Frage auseinander, welche grundrechtlichen Schutzbereiche durch den Zugriff auf die E-Mails eröffnet sind. Das BVerfG erwog auch die Eröffnung des Schutzbereichs des IT-Grundrechts zugunsten des Inhabers der E-Mails, also des Beschuldigten im Strafverfahren und des Beschwerdeführers im Verfassungsbeschwerdeverfahren. Das Gericht lehnte die Eröffnung des Schutzbereichs letztlich zwar ab. Im hiesigen Zusammenhang bemerkenswert ist aber, mit welcher Begründung das BVerfG das getan hat: Für den Zugriff auf die E-Mails sei bereits das Fernmeldegeheimnis aus Art. 10 GG einschlägig. Dieses verdränge daher das insoweit subsidiäre IT-Grundrecht.428 Interessant ist diese Begründung deshalb, weil sie auf das Konkurrenzverhältnis zwischen dem IT-Grundrecht und anderen Grundrechten eingeht. Ein solches Konkurrenzverhältnis anderer Rechte zum IT-Grundrecht besteht aber nur, wenn der Schutzbereich des IT-Grundrechts überhaupt eröffnet ist. Nur unter dieser Voraussetzung ist eine Abgrenzung zu anderen Grundrechten nötig und sinnvoll. Ist der Schutzbereich dagegen nicht eröffnet, erübrigen sich Ausführungen zu etwaigen Grundrechtskonkurrenzen. Es sieht damit zumindest auf den ersten Blick so aus, dass das BVerfG in der E-Mail-Entscheidung davon ausgegangen ist, dass der – offen und ohne Spionagesoftware bewirkte – Zugriff auf die gespeicherten E-Mails grundsätzlich den Schutzbereich des IT-Grundrechts berührt. Wäre das BVerfG der Auffassung gewesen, dass der Schutzbereich des IT-Grundrechts mangels Verwendung einer Spionagesoftware nicht eröffnet ist, hätte das BVerfG das IT-Grundrecht aus eben diesem Grund als Prüfungsmaßstab ablehnen und nicht auf Konkurrenzverhältnisse verweisen müssen. Daraus lässt sich schlussfolgern, dass das BVerfG davon ausgeht, dass der Einsatz von Spionagesoftware keine Bedingung zur Eröffnung des Schutzbereichs des ITGrundrechts ist. Indes darf man die genannte Passage aus dem E-Mail-Beschluss nicht überbewerten. Dem BVerfG kam es an dieser Stelle ersichtlich nicht darauf 426

Sachverhalt entnommen aus BVerfGE 124, 43 (46 ff.). Das BVerfG erwähnt die damalige entsprechende Regelung des § 110 Abs. 3 StPO a. F. zu Beginn der Entscheidungsbegründung, BVerfGE 124, 43 (46). 428 BVerfGE 124, 43 (56 f.). 427

162

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

an, über die Grenzen des Schutzbereichs des IT-Grundrechts zu judizieren. Vielmehr wird es dem Gericht darum gegangen sein, den ihm vorliegenden Einzelfall zu entscheiden und sich dabei nicht lange mit Fragen rund um den Schutzbereich des – damals noch sehr neuen – IT-Grundrechts aufzuhalten. Auch wenn die Passage nicht entsprechend formuliert ist, so kann man sie als „Jedenfalls“-Entscheidung lesen, also in dem Sinne, dass das IT-Grundrecht jedenfalls wegen der Subsidiarität zu Art. 10 GG nicht maßgeblich ist, unabhängig von der Frage, ob sein Schutzbereich überhaupt eröffnet ist. Hierin eine klare Entscheidung für die Eröffnung des IT-Grundrechts auch bei offenem Zugriff auf Datenbestände ohne Spionagesoftware zu sehen, ginge zu weit. Festzuhalten bleibt damit, dass das BVerfG auch in seinem E-Mail-Beschluss keine klare Aussage zum Schutzbereich des IT-Grundrechts hinsichtlich des Eingriffs mit oder ohne Einsatz von Spionagesoftware getroffen hat. Das bedeutet allerdings auch, dass das BVerfG die Anwendbarkeit des ITGrundrechts eben nicht mit Verweis auf den mangelnden Einsatz von Spionagsoftware und auf die Offenheit der Maßnahme abgelehnt hat, obwohl dies bei Zugrundelegen eines entsprechenden Schutzbereichsverständnisses den Fall an der Stelle ähnlich schnell gelöst hätte. Wenn also der E-MailBeschluss schon keine starken zusätzlichen Belege für die hier vertretene Auffassung zur Eröffnung des Schutzbereichs des IT-Grundrechts enthält, so widerspricht er der hiesigen Auffassung immerhin nicht. ff) Zwischenergebnis Das BVerfG entwickelte das IT-Grundrecht zwar anlässlich von Maßnahmen, die gestützt durch Spionagesoftware (Trojaner) auf informationstechnische Systeme zugreifen. Das bedeutet aber nicht, dass die Eröffnung des Schutzbereichs des IT-Grundrechts davon abhinge, dass ein Trojaner auf dem Zielsystem installiert wird. Der Einsatz von Spionagesoftware erhöht zwar die Intensität der Grundrechtsbeeinträchtigung, indem er die Integrität des Zielsystems berührt. Der grundsätzliche Eingriff in das IT-Grundrecht besteht aber unabhängig von der Technologie, die für den Zugriff auf das ITSystem verwendet wird.429 Folglich ist auch bei einer Durchsicht gemäß § 110 Abs. 3 StPO, bei der das informationstechnische System ohne den Einsatz von Spionagesoftware ausgelesen wird, der Schutzbereich des IT-Grundrechts eröffnet.430

429

Bartsch, CR 2008, 613 (615); Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 67. 430 Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 128); vgl. auch Löffelmann, in: Dietrich/Eiffler (Hrsg.), 2017, VI § 5 Rn. 49.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

163

d) Heimliche Zugriffe im Gegensatz zu offenen Zugriffen auf das System Die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO ist als Teil der offen durchzuführenden Durchsuchung431 ebenfalls eine offene Maßnahme.432 Das heißt, beim Zugriff auf das System geben sich die Ermittler zu erkennen und legen offen, dass sie das System im Rahmen eines Ermittlungsverfahrens nach Beweisen durchsehen. Der Betroffene erhält also Kenntnis davon, dass sein System im Rahmen eines Strafverfahrens von staatlichen Ermittlern durchsucht wird.433 Wie bereits erwähnt,434 hat das BVerfG das IT-Grundrecht vor dem Hintergrund von Eingriffsmaßnahmen entwickelt, die auf der Nutzung von Spionagesoftware basieren. Die im Verfahren überprüften Normen des VSG NRW a. F. ermächtigten die Verfassungsschutzbehörden zur heimlichen Installation von Trojanern auf dem Zielsystem, mit deren Hilfe das Zielsystem dann heimlich ausgespäht werden sollte, das heißt ohne dass der Nutzer der Systems etwas davon bemerkt. Die Heimlichkeit ist dem damals überprüften Typus von Maßnahme, der Online-Durchsuchung, immanent. Folglich beziehen sich die Urteilsgründe, ebenso wie sich auf den Einsatz von Spionagesoftware konzentrieren, nahezu ausschließlich auf das heimliche Ausspähen von informationstechnischen Systemen. Insbesondere die Erwägungen zur Verhältnismäßigkeit von Eingriffen in das IT-Grundrecht beziehen sich auf heimliche Eingriffe.435 Ausdrückliche Maßgaben zur Verhältnismäßigkeit von offen vorgenommenen Eingriffen enthält das Urteil dagegen nicht. Fest steht damit jedenfalls, dass die Ausführungen im Urteil nicht unmittelbar auf offen vorgenommene Zugriffe auf informationstechnische Systeme übertragbar sind. Manche leiten aus dem Schweigen des BVerfG zu offen vorgenommenen Zugriffen auf informationstechnische Systeme darüber hinaus her, dass in diesen Fällen der Schutzbereich des IT-Grundrechts überhaupt nicht eröffnet sei: Anwendung finde das IT-Grundrecht nur bei heimlichen Zugriffen auf informationstechnische Systeme.436 Der Einwand gegen die Schutzbereichseröffnung für offene Zugriffe wird zumeist kombiniert oder vermischt mit dem Einwand vorgetragen, das IT431

Das ergibt sich aus den §§ 105 Abs. 2, 106, 107 StPO; vgl. auch Meyer-Goßner/ Schmitt/Köhler, § 102 Rn. 1. 432 Zur Heimlichkeit bei Fernzugriffen nach § 110 Abs. 3 StPO unten Kap. 3 C.III. 433 Zu den Begrifflichkeiten „heimlich“ und „offen“ schon oben Einl. D.II. 434 Oben Kap. 2 B.III.2.c). 435 Vgl. BVerfGE 120, 274 (320 ff.). 436 Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 12 ff., 141; Zimmermann, JA 2014, 321 (323); so auch Singelnstein, NStZ 2012, 593 (602), der aber trotzdem die „Wertungen des Urteils“, d. h. des Urteils des BVerfG zur Online-Durchsuchung, bei der Beurteilung offener Zugriffe berücksichtigen will.

164

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Grundrecht sei nur bei der Ausforschung des Systems mithilfe einer Spionagesoftware berührt. Dieser Einwand wurde oben bereits entkräftet.437 Die grundsätzliche Argumentation kann dabei auf den Aspekt der Heimlichkeit übertragen werden. Es lohnt sich dennoch, auf die Komponente der Heimlichkeit eigens einzugehen. Im Folgenden soll daher belegt werden, dass die Eröffnung des Schutzbereichs des IT-Grundrechts nicht unter der Bedingung steht, dass auf das informationstechnische System heimlich zugegriffen wird, sondern dass das IT-Grundrecht auch bei offen vorgenommenen Zugriffen auf informationstechnische Systeme Anwendung findet. aa) Ausgangspunkt beim Urteil zur Online-Durchsuchung Das BVerfG bezieht nahezu seine gesamten Urteilsgründe auf die Ermächtigung zu heimlichen Zugriffen auf informationstechnische Systeme, wie § 5 Abs. 2 Nr. 11 Alt. 2 VSG NRW a. F. 438 sie vorsah. Die Norm lautete:439 § 5 – Befugnisse […] (2) Die Verfassungsschutzbehörde darf nach Maßgabe des § 7 zur Informationsbeschaffung als nachrichtendienstliches Mittel die folgenden Maßnahmen anwenden: […] 11. heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. […]440

Der heimliche Zugriff auf informationstechnische Systeme steht bei dieser Eingriffsgrundlage im Mittelpunkt. Die Heimlichkeit ist damit auch – gemessen am Stand des Jahres 2008, aus dem das Urteil des BVerfG stammt – das Novum bei Zugriffen auf informationstechnische Systeme. Zugriffe auf informationstechnische Systeme waren zwar auch vorher schon üblich und wurden diskutiert, zumeist ging es in den entsprechenden Rechtsfällen aber um offen vorgenommene Zugriffe auf das physisch vorhandene Computersystem.441 Mit Zunahme der Internetnutzung auch im privaten Bereich und der fortschreitenden Vernetzung von Computern sowie der daraus resultierenden Verbreitung von Spionagesoftware (Trojaner) wurde ein heimlicher Zugriff auf informationstechnische Systeme für staatliche Behörden erst interessant. Dementsprechend wurde auch im Bereich der Strafverfahren das heimliche Auslesen von Computern mittels Trojanern verhandelt, was 437

Kap. 2 B.III.2.c). GV.NRW. 2006 S. 620. 439 Der Gesetzestext ist abgedruckt in BVerfGE 120, 274 (282). 440 Hervorhebung durch Kursivdruck nicht im Original. 441 S. nur BVerfGE 113, 29; 115, 166; 117, 244, auf diese Entscheidungen verweist auch das BVerfG in seinem Urteil zur Online-Durchsuchung, BVerfGE 120, 274 (322). 438

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

165

schließlich in einem Beschluss des BGH im Jahr 2007 mündete, der die strafprozessuale Online-Durchsuchung nach damaligem Recht für unzulässig erklärte.442 Vor dem Hintergrund der konkret zu prüfenden Norm und der parallelen Rechtsfragen im Strafprozessrecht, bei denen ebenso die Zulässigkeit von Online-Durchsuchungen verhandelt wurde, ist es nur nachvollziehbar, dass das BVerfG seine Erwägungen auf heimliche Zugriffe auf informationstechnische Systeme, durchgeführt mittels Spionagesoftware, fokussierte. Deshalb befassen sich auch die Leitsätze des Urteils nur mit heimlichen Zugriffen. Nicht die Klärung des Verfassungsrechts bei offenen Zugriffen auf informationstechnische Systeme war angezeigt, sondern die Klärung bei heimlichen Zugriffen. Daraus erklärt sich das Schweigen des BVerfG zu Ermittlungsmaßnahmen, mit denen offen auf informationstechnische Systeme zugegriffen wird.443 Aus diesem Schweigen kann deshalb nicht ohne Weiteres gefolgert werden, dass offen vorgenommene Zugriffe auf informationstechnische Systeme nicht den Schutzbereich des IT-Grundrechts berühren.444 Dass im Gegenteil auch offene Zugriffe in das IT-Grundrecht eingreifen, soll im Folgenden belegt werden. bb) Die Formulierung „insbesondere“ als Argument für die Annahme eines Eingriffs in das IT-Grundrecht auch bei offenen Zugriffen auf informationstechnische Systeme Der gewichtigste Beleg dafür, dass das IT-Grundrecht auch vor offenen Zugriffen auf informationstechnische Systeme schützt, findet sich in einer Formulierung des Online-Durchsuchungs-Urteils selbst: „Das allgemeine Persönlichkeitsrecht in der hier behandelten Ausprägung schützt insbesondere vor einem heimlichen Zugriff, durch den die auf dem System vorhandenen Daten ganz oder zu wesentlichen Teilen ausgespäht werden können.“445

Die Betonung ist hier auf das Wort „insbesondere“ zu legen. „Insbesondere“ meint: besonders, vor allem, im Besonderen.446 Das Gericht stellt in dieser Passage also heraus, dass es sich im Folgenden auf den heimlichen Zugriff auf informationstechnische Systeme konzentriert – da dieser erstens ein besonders intensiver Eingriff in das IT-Grundrecht ist und zweitens vor allem die-

442

BGHSt 51, 211; ausf. zur Diskussion bereits oben Einl. D.I. Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 137. 444 So aber Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 13 f; vgl. auch Singelnstein, NStZ 2012, 593 (602). 445 BVerfGE 120, 274 (314). 446 https://www.duden.de/rechtschreibung/insbesondere [zuletzt abgerufen am 04.11.2021]. 443

166

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

ser heimliche Zugriff aufgrund der zu überprüfenden Norm des § 5 Abs. 2 Nr. 11 Alt. 2 VSG NRW a. F. zur Debatte stand. Gleichzeitig bringt das Gericht damit aber zum Ausdruck, dass der heimliche Zugriff auf informationstechnische Systeme nicht der einzige der Fall ist, bei dem in den Schutzbereich des IT-Grundrechts eingegriffen wird, mag der heimliche Zugriff auch der bedeutsamste Fall sein. Daraus ist zu folgern, dass das IT-Grundrecht vor jeglichem staatlichen Zugriff auf informationstechnische Systeme schützt, also auch vor offen vorgenommenen Zugriffen.447 Dem steht nicht entgegen, dass die oben zitierte Urteilspassage auch dahingehend interpretiert werden könnte, dass sich das Wort „insbesondere“ auf den Rest des Satzes, also auf „durch den die auf dem System vorhandenen Daten ganz oder zu wesentlichen Teilen ausgespäht werden können“ beziehen könnte. Eine solche Interpretation geht ersichtlich fehl, denn nicht etwa ist die Möglichkeit zum Ausspähen wesentlicher Teile des Systems ein besonders herausgehobener Fall des Eingriffs in das IT-Grundrecht. Diese Möglichkeit ist im Gegenteil notwendige Bedingung dafür, dass der Schutzbereich des IT-Grundrechts eröffnet ist, sie ist die Gemeinsamkeit aller Eingriffe in das IT-Grundrecht. Denn erstens sind nur solche informationstechnischen Systeme geschützt, die so komplex sind, dass überhaupt die Möglichkeit besteht, nennenswerte Datenmengen aus ihnen zu erheben.448 Und zweitens muss natürlich irgendeine Art von Zugriff auf dieses System erfolgen, damit die Möglichkeit zum Ausspähen von Daten besteht – anderenfalls gibt es ja gar keinen Eingriff in die geschützte Sphäre des Bürgers. Der Zugriff auf ein informationstechnisches System, bei dem die Möglichkeit eröffnet wird, wesentliche Teile des Systems auszuspähen, kann also kein besonders herausgehobener Fall sein, vor dem das IT-Grundrecht schützt. Vielmehr ist ein solcher Zugriff die Grundbedingung für die Eröffnung des Schutzbereichs. Folglich muss sich das Wort „insbesondere“ auf die Heimlichkeit des Zugriffs beziehen. Diese Heimlichkeit kennzeichnet die im Online-Durchsuchungs-Urteil zu überprüfende Maßnahme, deren Verhältnismäßigkeit das BVerfG dann weiter erörtert.449 Ein davon abweichendes Verständnis der oben zitierten Urteilspassage ist daher nicht sinnvoll. 447 Dralle´, Grundrecht auf Gewährleistung, 2010, S. 85 f.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 167 – Fn. 250; Heinson, IT-Forensik, 2015, S. 180; Hömig, Jura 2009, 207 (210); Hornung, CR 2008, 299 (303); Sachs/Krings, JuS 2008, 481 (484); so wohl auch Hoffmann-Riem, JZ 2008, 1009 (1019); der „nicht heimliche Eingriffe“ im Urteil ausdrücklich erwähnt sieht; ebenfalls in diese Richtung, wenn auch etwas unklar Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, 72 f. Von diesem Verständnis gehen offenbar auch Wegener/Muth, Jura 2010, 847 (851) aus, die den heimlichen Zugriff auf ein informationstechnisches System als „besonders intensiven Eingriff“ und damit als Spezialfall von Eingriffen in das IT-Grundrecht behandeln. 448 Dazu oben Kap. 2 B.III.2.b)aa). 449 Vgl. BVerfGE 120, 274 (314 ff.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

167

Nichts anderes ergibt sich aus dem Urteil des BVerfG zum BKA-Gesetz. Dort hatte das Gericht unter anderem die Verfassungsmäßigkeit des § 20k BKAG a. F. zu prüfen, der den heimlichen Zugriff auf informationstechnische Systeme erlaubte (mittlerweile geregelt in § 49 BKAG). Zu diesem Anlass rezitierte das BVerfG den Schutzbereich des IT-Grundrechts. Hier nun ließ das Gericht das Wort „insbesondere“ oder eine vergleichbare Formulierung weg, sondern formulierte schlicht, dass das IT-Grundrecht „vor einem geheimen Zugriff“ auf die Daten informationstechnischer Systeme schütze. Daraus ist aber nicht abzuleiten, dass das Gericht den Schutzbereich des ITGrundrechts nun in der Form neu bestimmen oder konkretisieren wollte, dass das IT-Grundrecht nur heimliche Zugriffe erfasse. Vielmehr ist die Formulierung auch hier wieder im Zusammenhang des Verfassungsbeschwerdeverfahrens zu sehen: Zu prüfen war ein Gesetz, dass dem BKA explizit den heimlichen Zugriff auf informationstechnische Systeme erlaubte. Die Verfassungsmäßigkeit offener Zugriffe stand also auch in diesem Verfassungsbeschwerdeverfahren überhaupt nicht in Rede. Dementsprechend hat das BVerfG den Schutzbereich des IT-Grundrechts gezielt bezogen auf die in Rede stehenden heimlichen Zugriffe formuliert. Ausführungen zu offenen Zugriffen wären dabei überflüssig gewesen. Dass das Gericht die Wendung „insbesondere“ dabei wegließ, ist damit eher eine Zufälligkeit in der Formulierung. Jedenfalls lässt sich daraus keine Aussage zu offenen Zugriffen auf informationstechnische Systeme ableiten. Insbesondere sind offene Zugriffe durch diese Urteilspassage nicht aus dem Anwendungsbereich des ITGrundrechts herausgenommen worden. Die Analyse der Rechtsprechung des BVerfG ergibt damit, dass das Gericht den Schutz des IT-Grundrechts nicht auf Fälle beschränken wollte, in denen heimlich auf informationstechnische Systeme zugegriffen wird. Im Gegenteil findet sich die Andeutung, dass auch offene Zugriffe auf informationstechnische Systeme in den Schutzbereich des IT-Grundrechts eingreifen. Indes: Ausdrücklich hat das BVerfG diesen Schutz noch nicht statuiert. Auch hat das Gericht – soweit ersichtlich – noch keinen offenen Zugriff am IT-Grundrecht gemessen.450 Deshalb sollen im Folgenden noch weitere Argumente präsentiert werden, welche die hiesige Auffassung, dass das IT-Grundrecht auch vor offenen Zugriffen auf informationstechnische Systeme schützt, stützen.

450

Im E-Mail-Beschluss, bei dem das BVerfG über die Verfassungsmäßigkeit offener Zugriff auf E-Mails entschied, ließ das Gericht das IT-Grundrecht hinter Art. 10 GG zurücktreten, BVerfGE 124, 43 (56 f.). S. dazu ausführlich oben Kap. 2 B.III.2.c) sowie ergänzend unten dd). Siehe zur neueren Rechtsprechung unten g).

168

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

cc) Grundrechtsdogmatik: Schutz durch IT-Grundrecht unabhängig von Eingriffsmodalität Wer davon ausgeht, dass die Eröffnung des Schutzbereichs des IT-Grundrechts davon abhängt, dass der staatliche Zugriff auf die geschützten Systeme heimlich erfolgt, macht im Ergebnis die Eröffnung des Schutzbereichs von einer bestimmten Zugriffsmodalität abhängig. Die Heimlichkeit des Zugriffs erscheint dann als Bedingung der Schutzbereichseröffnung. Das ist aus grundrechtsdogmatischer Perspektive aber schief. Nach herkömmlicher Grundrechtsdogmatik sind die Eröffnung des Schutzbereichs, das Bestehen eines staatlichen Eingriffs sowie dessen Rechtfertigung zwar mit Bezug zueinander, aber auf getrennten Ebenen zu behandeln.451 Der Schutzbereich eines Grundrechts umschreibt bestimmte Lebenssachverhalte, Lebensräume und Handlungen aus der Wirklichkeit, die einen besonderen Schutz vor staatlichen Eingriffen genießen.452 Der Schutzbereich sowie dessen Eröffnung sind daher grundsätzlich unabhängig vom Bestehen eines staatlichen Eingriffs zu bestimmen.453 Es wäre mit der schützenden Funktion der Grundrechte unvereinbar, den durch sie vermittelten Schutz generell nur auf eine bestimmte Eingriffsmodalität oder gar eine einzige bestimmte Eingriffsmaßnahme – hier die heimliche Online-Durchsuchung – zu beschränken.454 Das bedeutet, dass bestimmte Eingriffsmodalitäten wie Dauer und Umfang, aber eben auch die Heimlichkeit oder Offenheit des Eingriffs grundsätzlich nicht über die Eröffnung des Schutzbereichs bestimmen, sondern nur den Eingriff in seiner Intensität prägen. Die Eingriffsmodalitäten sind also nur Indikatoren für die Rechtfertigung des Eingriffs im Rahmen der Verhältnismäßigkeitsprüfung. So ist zum Beispiel anerkannt, dass heimliche Eingriffe des Staates die Grundrechte des Betroffenen intensiver beeinträchtigen als offene Eingriffe.455 Über die Eröffnung oder Nichteröffnung eines Schutzbereiches oder das Bestehen oder Nichtbestehen eines Eingriffs sagt die Heimlichkeit oder Offenheit einer Maßnahme aber grundsätzlich nichts aus.456 Das zeigt sich deutlich am Grundrecht auf Unverletzlichkeit der Wohnung aus Art. 13 GG. Ein offenes Durchsuchen der Wohnung durch bloßes Betreten von 451 Vgl. beispielsweise Breckwoldt, Grundrechtskombinationen, 2015, S. 29 ff.; zur Bedeutung dieser Trennung Stern, FS 50 Jahre BVerfG 2001, Band II, 1 (2). 452 Breckwoldt, Grundrechtskombinationen, 2015, S. 31; Dreier/Dreier, Vorb. Rn. 119; Hufen, Grundrechte, § 6 Rn. 2; Kingreen/Poscher, Grundrechte, Rn. 253 ff. 453 Dralle´, Grundrecht auf Gewährleistung, 2010, S. 46; Ladeur, DÖV 2009, 45 (51); vgl. auch Stern/Becker/Stern, Art. 13 Rn. 64. 454 Vgl. BVerwGE 71, 183 (192). 455 BVerfGE 115, 166 (194); 115, 320 (353); 120, 274 (325); ausführlich dazu Zöller, StraFo 2008, 15 ff.; zu den Kriterien der Eingriffsintensität noch unten Kap. 2 B.IV. 456 Dralle´, Grundrecht auf Gewährleistung, 2010, S. 78 f., 84; vgl. auch allgemein Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 66.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

169

staatlichen Ermittlern (s. Art. 13 Abs. 2 GG) ist ebenso ein Eingriff in die Unverletzlichkeit der Wohnung wie deren heimliche, technikgestützte Überwachung (Art. 13 Abs. 3–5 GG). Die private Wohnsphäre wird generell und vor jeglicher Art von Eingriffen geschützt. Die Modalität des Eingriffs ist auch hier nur Indikator für dessen Schwere. Die Frage nach der Eingriffsmodalität ist allenfalls dann bedeutsam, wenn man von der Existenz einer Erheblichkeitsschwelle ausgeht, die staatliche Maßnahmen überschreiten müssen, damit ihnen Grundrechtsrelevanz und Eingriffsqualität zukommt. Eine solche Erheblichkeitsschwelle wird von manchen gefordert. Sie wird dabei aber niedrig angesetzt. Es reicht danach für die Grundrechtsrelevanz einer Maßnahme aus, dass sie nicht nicht ganz unerheblich ist.457 Selbst wenn man das Bestehen einer Erheblichkeitsschwelle annimmt, so ist diese auch bei einem offenen Zugriff auf informationstechnische Systeme deutlich überschritten. Auch bei einem offenen Zugriff kann das System vollständig ausgespäht werden. Staatliche Stellen können so massenhaft Daten erheben und weitreichende Schlüsse daraus ziehen, die bis hin zur Erstellung eines Persönlichkeitsprofils des Nutzers reichen können. Es sind genau diese Gefahren für die Privatsphäre des Einzelnen, die das BVerfG bei Schaffung des IT-Grundrechts im Blick hatte.458 Ebenso wenig, wie der fehlende Einsatz von Spionagesoftware beim Auslesen des Systems diese Gefahren für die Privatsphäre am Entstehen hindert, hindert auch der Mangel an Heimlichkeit des Systemzugriffs diese Gefahren nicht. Die Zugriffsobjekte – groß angelegte Datenbestände – bleiben auch bei einem offenen Zugriff die gleichen und dementsprechend besteht auch die Gefahr für die Privatsphäre des Systemnutzers gleichermaßen.459 Wenn das BVerfG den heimlichen Zugriff auf diese Datenbestände als höchst intensiven Eingriff anerkennt, dann wird dieser Zugriff nicht zur Bagatelle, wenn er offen durchgeführt wird. Mit anderen Worten: Die Durchsicht informationstechnischer Systeme ist ein intensiver Grundrechtseingriff, und das im Grundsatz unabhängig davon, ob sie heimlich oder offen durchgeführt wird. Folglich muss diese Durchsicht auch unabhängig davon, ob sie heimlich durchgeführt wird, ein Eingriff in das IT-Grundrecht sein. Im Ergebnis sprechen also auch grundrechtsdogmatische Erwägungen dafür, dass ein offen durchgeführter Zugriff auf geschützte informations-

457 Vgl. Kingreen/Poscher, Grundrechte, Rn. 301; kritisch Michael/Morlok, Grundrechte, Rn. 42. 458 Vgl. Hömig, Jura 2009, 207 (210); zum Aspekt der Persönlichkeitsgefährdung bereits ausführlich oben Kap. 2 B.III.2.c)bb). 459 Böckenförde, JZ 2008, 925 (931 – Fn. 60); Taraz, Vertraulichkeit und Integrität informationstechnischer Systeme, 2016, S. 96; vgl. auch Birkenstock, Online-Durchsuchung, 2013, S. 65 f.; Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 138; Hömig, Jura 2009, 207 (210); Ludewig, KriPoZ 2019, 293 (297).

170

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

technische Systeme in das IT-Grundrecht eingreifen muss. Es kann nicht Bedingung für die Schutzbereichseröffnung sein, dass der Eingriff heimlich durchgeführt wird. dd) Nochmal: Der E-Mail-Beschluss des BVerfG (BVerfGE 124, 43) Der E-Mail-Beschluss des BVerfG wurde bereits oben im Zusammenhang mit dem Einsatz von Spionagesoftware thematisiert.460 Im zitierten Beschluss hatte das BVerfG über die Verfassungsmäßigkeit eines offenen Zugriffs auf einen Bestand von E-Mail-Daten zu befinden. Verfassungsrechtlicher Maßstab war dabei das Fernmeldegeheimnis aus Art. 10 GG. Deshalb zog das Gericht nicht das IT-Grundrecht als Prüfungsmaßstab heran, dieses trete hinter Spezialgrundrechten, wie eben Art. 10 GG, zurück.461 Das BVerfG erklärte das IT-Grundrecht also wegen eines grundrechtlichen Konkurrenzverhältnisses im Einzelfall für nicht maßgeblich. Ein solches Konkurrenzverhältnis setzt voraus, dass grundsätzlich beide Grundrechte zumindest berührt sind, ihre Schutzbereiche also eröffnet sind. Daraus ließe sich nun der Schluss ziehen, dass das BVerfG davon ausgegangen ist, dass der Schutzbereich des IT-Grundrechts grundsätzlich auch bei offenen Zugriffen auf informationstechnische Systeme eröffnet ist, und dass die Maßnahme im konkreten Fall nur deshalb nicht am IT-Grundrecht zu messen war, weil Art. 10 GG vorrangig war. Die Begründung des Beschlusses ließe sich mithin als Hinweis dafür deuten, dass die Heimlichkeit des Zugriffs nicht Bedingung für die Eröffnung des Schutzbereichs des IT-Grundrechts ist. Es wurde oben aber bereits dargelegt, dass der zitierten Passage aus dem E-Mail-Beschluss keine übermäßige Bedeutung zugesprochen werden sollte.462 Sie enthält keinen expliziten Richterspruch zur Anwendbarkeit des IT-Grundrechts bei offenen Zugriffen auf informationstechnische Systeme. Es kann dem Gericht genauso gut um eine effiziente Lösung des zugrunde liegenden Rechtsfalls gegangen sein. Jedenfalls ist in dem Beschluss keine ausdrückliche dogmatische Klarstellung zum Schutzbereich des IT-Grundrechts zu sehen. Was übrig bleibt, ist die Feststellung, dass das BVerfG die Eröffnung des Schutzbereichs des IT-Grundrechts im E-Mail-Beschluss immerhin nicht mit Hinweis auf die fehlende Heimlichkeit des Zugriffs verneint hat. Der Beschluss steht damit also wenigstens nicht im Widerspruch zum hier vertretenen Schutzbereichverständnis, sondern passt sich in dieses ein.

460

Kap. 2 B.III.2.c)ee). BVerfGE 124, 43 (56 f.). 462 Kap. 2 B.III.2.c)ee). 461

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

171

ee) Zwischenergebnis Der Schutzbereich des IT-Grundrechts ist auch dann eröffnet, wenn Ermittler offen auf informationstechnische Systeme zugreifen um die darin gespeicherten Daten auszulesen. Der Anwendungsbereich des IT-Grundrechts ist nicht auf heimliche Eingriffe beschränkt.463 Die Heimlichkeit des Zugriffs erhöht lediglich die Intensität, mit der in das IT-Grundrecht eingegriffen wird; dies ist bei der Prüfung der Verhältnismäßigkeit eines Eingriffs zu berücksichtigen.464 Die verfassungsrechtlichen Eingriffshürden, die das BVerfG für heimliche Zugriffe auf informationstechnische Systeme vorsieht, können damit zwar nicht unverändert für entsprechende offene Zugriffe übernommen werden.465 Die Frage, ob heimlich oder offen auf informationstechnische Systeme zugegriffen wird, entscheidet aber nicht über die Eröffnung des Schutzbereichs. Damit ist auch eine offen durchgeführte Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO grundsätzlich am IT-Grundrecht zu messen.466 e) Längerfristige Überwachung im Gegensatz zu einmaligem Zugriff auf das System Der Zugriff auf ein informationstechnisches System kann zeitlich gesehen in zwei Formen geschehen. Zum einen kann es ein einmaliger, auf einen bestimmten Zeitpunkt begrenzter Zugriff sein, der nur die im Moment des Zugriffs verfügbaren Daten vom System erhebt und der mit Abschluss dieser einmaligen Datenerhebung bereits wieder beendet ist. Zum anderen kann ein Zugriff dergestalt erfolgen, dass Ermittler längerfristig Daten auf dem Zielsystem ausspähen und somit auch zukünftige Datenveränderungen und das laufende Nutzungsverhalten des Systemnutzers beobachten können. Bei On-

463 Böckenförde, JZ 2008, 925 (931 – Fn. 60); Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 99 f.; Bunzel, Zugriff auf IT-Systeme, 2015, S. 155 f. (Fn. 800); Dralle´, Grundrecht auf Gewährleistung, 2010, S. 79; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 167; Heinson, IT-Forensik, 2015, S. 180; Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 138; Hoffmann-Riem, JZ 2008, 1009 (1019); ders., AöR 134 (2009), 513 (532 – Fn. 67); Hömig, Jura 2009, 207 (210); Hornung, CR 2008, 299 (303); Jäger, jurisPR-ITR 12/2008 Anm. 2; Michalke, StraFo 2008, 287 (291); Petri, in: Lisken/Denninger, Kap. G Rn. 615; Rath, DRiZ 2009, 117; Sachs/Krings, JuS 2008, 481 (484); Ziebarth, Online-Durchsuchung, 2013, S. 111.; a. A. Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 12 ff., 141; Singelnstein, NStZ 2012, 593 (602); Zimmermann, JA 2014, 321 (323). 464 Zur Heimlichkeit als Faktor zur Bestimmung der Eingriffsintensität unten Kap. 2 B.IV. 4.d). 465 Bäumerich, NJW 2017, 2718 (2722); Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 139. 466 Vgl. Heinson, IT-Forensik, 2015, S. 180.

172

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

line-Zugriffen werden diese beiden Konstellationen zuweilen auch begrifflich unterschieden: Der einmalige Zugriff im Sinne einer Online-Durchsuchung oder auch Online-Durchsicht („Daten-Spiegelung“) und die dauerhafte Online-Überwachung („Daten-Monitoring“).467 Im Wortlaut des § 100b StPO zur Online-Durchsuchung findet sich diese Unterscheidung nicht wieder, die Norm erlaubt den Ermittlern aber sowohl den zeitlich punktuellen Zugriff als auch die dauerhafte Überwachung des Systems.468 Die Durchsicht lokaler informationstechnischer Systeme ist keine längerfristige, dauerhafte Überwachung des Systems. § 110 Abs. 3 S. 1 StPO berechtigt nicht dazu, den laufenden Betrieb des Computersystems auszuspähen.469 Die Ermittler greifen stattdessen einmalig zu einem bestimmten Zeitpunkt Daten vom System ab. Auch wenn die Auswertungsphase bei einer Mitnahme zur Durchsicht länger andauern kann,470 so bleibt der einmal erhobene Datensatz grundsätzlich unverändert.471 Es besteht dabei keine Möglichkeit, auch künftiges Nutzerverhalten und Datenspeicherungen des Systemnutzers nachzuvollziehen. § 110 Abs. 3 S. 1 StPO ist also keine Grundlage zur Überwachung des Nutzerverhaltens, der aufgerufenen Internetseiten, der versendeten und eingehenden E-Mails und dergleichen. Die Norm, die das BVerfG im Urteil zur Online-Durchsuchung zu prüfen hatte (§ 5 Abs. 2 Nr. 11 Alt. 2 VSG NRW a. F.), erlaubte den Verfassungsschutzbehörden aber auch die längerfristige Überwachung des Zielsystems und damit auch die Überwachung seines Nutzers. Selbiges gilt für § 100b StPO, der zu einer strafprozessualen Online-Durchsuchung auch in Form des langfristigen Ausspähens des Zielsystems während dessen Benutzung ermächtigt.472 In seinem Urteil nimmt das BVerfG allerdings beide Varianten in den Blick, also sowohl den einmaligen Zugriff als auch den längerfristigen Zugriff

467 Begriffe und Unterscheidung bei Buermeyer, HRRS 2007, 154 (160 f.); vgl. auch Böckenförde, JZ 2008, 925 (930); Fox, DuD 2007, 827; Hornick, StraFo 2008, 281 (282); Käß, BayVBl. 2010, 1 (4 f.); Ruhmannseder, JA 2009, 57 (61); Sieber, Stellungnahme für das BVerfG, S. 2 f.; Wissenschaftliche Dienste des Deutschen Bundestages (N.N.), WD 3 – 161/07, S. 4. Auch das Bundesministerium des Innern unterscheidet in seiner Antwort auf den Fragenkatalog des Bundesministeriums der Justiz zur Novellierung des BKA-Gesetzes, 22.08.2007, Vorbemerkung, S. 1 f., zwischen einmaligem Zugriff (Online-Durchsicht) und dauerhaftem Zugriff (Online-Überwachung). 468 Großmann, GA 2018, 439 (443); KK/Bruns, § 100b Rn. 2. 469 So für § 110 Abs. 3 S. 2 StPO, Zerbes/El-Ghazi, NStZ 2015, 425 (432); dazu noch unten Kap. 3 A.IV. Vgl. auch Brodowski/Eisenmenger, ZD 2014, 119 (124 f.). 470 Dazu oben Kap. 2 B.II.2. 471 Zur Situation, dass während der Durchsicht zufällig weitere Daten automatisch auf das System heruntergeladen werden, siehe unten Kap. 3 A.IV. im Zusammenhang mit § 110 Abs. 3 S. 2 StPO. 472 KK/Bruns, § 100b Rn. 2.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

173

auf das informationstechnische System, und unterscheidet zwischen ihnen. Dabei betont das Gericht, dass bereits ein einmaliger Zugriff auf ein informationstechnisches System ein Grundrechtseingriff von hoher Intensität ist. Zutreffend stellt das Gericht heraus, dass bereits dieser einmalige Zugriff zur Erhebung umfassender Datenbestände taugt, die weitreichende Rückschlüsse auf die Persönlichkeit des Betroffenen zulassen.473 Mit dieser Einschätzung bewertet das BVerfG außerdem implizit auch den einmaligen Zugriff auf ein informationstechnisches System als Eingriff in das IT-Grundrecht. Die Eröffnung des Schutzbereichs des IT-Grundrechts ist also nicht davon abhängig, dass der Zugriff auf das System längerfristiger Natur ist. Der dauerhaften, laufenden Überwachung weist das Gericht zwar ein besonderes Eingriffsgewicht zu.474 Gerade daraus ergibt sich aber, dass diese dauerhafte, laufende Überwachung nicht Bedingung für einen Eingriff in das ITGrundrecht sein soll, sondern lediglich ein besonders intensiver Eingriff ist, der über das – ohnehin schon hohe – Gewicht eines einmaligen Zugriffs hinausgeht.475 Die dauerhafte Überwachung ist also zwar der gewichtigere Eingriff verglichen mit dem einmaligen Zugriff. Hinsichtlich der Zugriffsobjekte – potentiell riesige Datenbestände in einem geschützten informationstechnischen System – sind die beiden Eingriffsformen aber im Wesentlichen gleich.476 Damit bleibt festzuhalten, dass auch ein nur einmaliger Zugriff auf ein informationstechnisches System auf Grundlage des § 110 Abs. 3 S. 1 StPO ein gewichtiger Eingriff in das IT-Grundrecht ist.477 f) Präventives Staatshandeln im Unterschied zu repressivem Staatshandeln Die Durchsicht gemäß § 110 Abs. 3 S. 1 StPO ist eine Maßnahme repressiver Natur: Sie dient der Aufklärung und damit Ahndung von Straftaten, die bereits begangen worden sind. Die im Online-Durchsuchungs-Urteil geprüften Normen, insbesondere § 5 Abs. 2 Nr. 11 S. 1 Alt. 2 VSG NRW a. F., vor deren Hintergrund das BVerfG das IT-Grundrecht erschuf, enthielten dagegen Ermächtigungen zum präventiven Handeln der Behörden vor Begehung einer Straftat. Es handelte sich damit um Normen, die den Staat, genauer den Verfassungsschutz NRW, zum Handeln in Gefahrenabwehr ermächtigten. 473

BVerfGE 120, 274 (322 f.). BVerfGE 120, 274 (323 f.). 475 Zur Dauer der Ausforschung als Faktor zur Bestimmung der Eingriffsintensität auch unten Kap. 2 B.IV. 4.c). 476 Bratke, Die Quellen-Telekommunikationsüberwachung, 2013, S. 49; vgl. auch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 198. 477 Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 25); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 194, 199; Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 135. 474

174

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Statt Maßnahmen zur Aufklärung bereits begangener Straftaten hatte das BVerfG also vor allem Maßnahmen zur Verhinderung von Straftaten vor Augen. Dementsprechend beziehen sich auch die Urteilsgründe und die Ausführungen zur Verhältnismäßigkeit der Eingriffsnormen auf das präventive Handeln von Behörden zur Gefahrenabwehr. Der Bezugspunkt der Prävention im Urteil zur Online-Durchsuchung unterscheidet sich damit vom Bezugspunkt der Repression in § 110 StPO. Präventives Handeln zeichnet sich dadurch aus, dass Polizei und andere Behörden zur Verhinderung von Störungen der öffentlichen Sicherheit und damit zur Abwehr von Gefahren tätig werden. Präventives Handeln ist damit grundsätzlich auf gegenwärtige oder zukünftige drohende Schadensereignisse ausgerichtet. Repressives Handeln in Form der Strafverfolgung dagegen zielt auf die Aufklärung und Ahndung bereits begangener Straftaten ab, befasst sich also mit vergangenen Geschehnissen. Prävention und Repression sind also grundsätzlich – vorbehaltlich der Doppelfunktionalität von Maßnahmen – unterschiedlicher Natur.478 Daher sind die Vorgaben des BVerfG zu Eingriffen in informationstechnische Systeme zum Zwecke der Gefahrenabwehr nicht vollständig und unmittelbar auf repressive Maßnahmen übertragbar.479 Das BVerfG stellt den polizeirechtlichen Begriff der „Gefahr“ in den Mittelpunkt seiner Ausführungen, äußert sich zum nötigen Wahrscheinlichkeitsgrad des Schadenseintritts bei einer Gefahrenprognose und stellt Anforderungen an die Tatsachengrundlage für das Eingreifen von Behörden im Vorfeldstadium einer Tat.480 Das alles sind Begriffe und Überlegungen, die im repressiv ausgerichteten Strafverfahren keinen Platz haben, denn dort werden staatliche Eingriffe nicht durch Gefahrenlagen, sondern durch Verdachtsgrade motiviert, und die Eingriffe finden gerade nicht im Vorfeld einer Straftatbegehung statt, sondern erst danach. Die Fokussierung der BVerfGEntscheidung auf die Beurteilung präventiven Behördenhandelns zeigt sich auch bei der Diskussion um die Authentizität von Daten, die durch eine Online-Durchsuchung erhoben werden. So begegnet das BVerfG dem Einwand, die bei einer Online-Durchsuchung erfassten Daten könnten in ihrem Beweiswert gemindert sein, dass dies bei der im Verfahren angegriffenen Norm keine große Rolle spiele, da es beim präventiven Handeln des Verfassungsschutzes nicht darum gehe, revisionsfeste Beweise für ein Strafverfahren zu gewinnen.481 Auch hier beschränkt das BVerfG seine Beurteilungsperspektive also ausdrücklich auf präventive Maßnahmen. 478 Zu diesem grundlegenden Unterschied zwischen Prävention und Repression s. nur SSW-StPO/Beulke, Einleitung Rn. 205 f. 479 Gercke, ZUM 2009, 526 (529); vgl. auch Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 83 ff. 480 Vgl. BVerfGE 120, 274 (326 ff.). 481 BVerfGE 120, 274 (320 f.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

175

Dennoch erklärt das BVerfG ausdrücklich, dass das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität auch für den Bereich der Strafverfolgung gilt und dass in dieses Recht nicht nur zum Zwecke der Gefahrenabwehr, sondern auch zur Strafverfolgung in gerechtfertigter Weise eingegriffen werden kann.482 Zwar stellt das BVerfG im weiteren Urteil nur gelegentliche Bezüge zu Strafverfolgungsmaßnahmen her und konzentriert sich bei seinen Ausführungen zu Eingriffen in das IT-Grundrecht weiterhin auf den Bereich der Gefahrenabwehr.483 Aber gerade weil das Gericht für den Bereich der Strafverfolgung keine gesonderten Eingriffsvoraussetzungen aufstellt, kann man mindestens einen Gleichlauf von Schutzgehalt und Eingriffsvoraussetzungen des IT-Grundrechts bei präventiven wie repressiven Maßnahmen annehmen.484 Die vom BVerfG entwickelten Eingriffsschwellen und Maßgaben für Maßnahmen der Gefahrenabwehr können daher zumindest sinngemäß und teilweise auf entsprechende Maßnahmen der Strafverfolgung übertragen werden.485 Ein Vergleich zwischen Gefahrenabwehr und Strafverfolgung legt darüber hinaus sogar nahe, dass man an Grundrechtseingriffe in Strafverfahren im Allgemeinen noch höhere Anforderungen an die Rechtfertigung stellen muss als bei einer vergleichbaren Maßnahme zur Gefahrenabwehr.486 Denn bei der Gefahrenabwehr geht es um die Verhinderung von Schäden, so zum Beispiel an Leib und Leben oder anderweitigen hohen Rechtsgütern. Die Anwendung des Strafrechts hingegen dient aber nicht unmittelbar der Verhinderung solcher Schäden, sondern ist eine staatliche Sanktion im Nachhinein, die in einem Rechtsstaat ultima ratio zu bleiben hat.487 Damit bezweckt das repressive Vorgehen – die Bestrafung von Bürgern statt der Bekämpfung von Gefahren – einen Grundrechtseingriff, der in der Abwägung im Rahmen einer Angemessenheitsprüfung besonderes Gewicht aufweist bzw. höherer Gegengewichte zu seiner Rechtfertigung bedarf.488 Dass das Grundgesetz selbst da482

BVerfGE 120, 274 (315). Das übersieht Stadler, MMR 2012, 18 (20). BVerfGE 120, 274 (320, 326). 484 Im Ergebnis Burhoff, EV, Rn. 2956; Hoffmann-Riem, JZ 2008, 1009 (1019); Hirsch, NJOZ 2008, 1907 (1913); Klesczewski, ZStW 123 (2011) 737 (760); Kudlich, JA 2008, 475 (476); Riebel, Verdeckte Online-Durchsuchung, 2019, S. 213; Schünemann, GA 2008, 314 (323); Ziebarth, Online-Durchsuchung, 2013, S. 132 f. 485 Kohlmann, Online-Durchsuchungen, 2012, S. 98. 486 Vgl. Birkenstock, Online-Durchsuchung, 2013, S. 68 ff.; Burhoff, EV, Rn. 2956; Großmann, GA 2018, 439 (450 f.); Heinson, IT-Forensik, 2015, S. 184; Weiß, OnlineDurchsuchungen, 2009, S. 173; abl. Ziebarth, Online-Durchsuchung, 2013, S. 132 f. 487 BVerfGE 39, 1 (46 f.); 88, 203 (257 f.); 120, 224 (239 f.); Kaspar, Grundrechtsschutz im Präventionsstrafrecht, 2014, S. 243 ff. 488 Vgl. zum Ganzen Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 23 f.); Roggan, StV 2017, 821 (827); SSW-StPO/Eschelbach, § 100b Rn. 6; in diese Richtung auch Albrecht/Dienst, JurPC Web-Dok. 5/2012, Abs. 41; ähnlich Klesczewski, ZStW 123 (2011), 483

176

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

von ausgeht, dass zu präventiven Maßnahmen der Gefahrabwehr intensivere Eingriffe zulässig sind als zur repressiven Ahndung von begangenen Straftaten, wird zum Beispiel durch die Schrankensystematik des Art. 13 GG belegt: Während zur Abwehr dringender Gefahren gemäß Art. 13 Abs. 4 GG Überwachung mittels Technik im Allgemeinen, also sowohl akustischer Art als auch optischer Art zulässig ist, ist zur Verfolgung von Straftaten gemäß Art. 13 Abs. 3 GG lediglich eine akustische Überwachung zulässig. Das zeigt, dass die Verfassung präventiven Zielsetzungen ein größeres und repressiven Zielsetzungen im Vergleich ein geringeres Gewicht einräumt.489 Am einfachsten gelingt die Übertragung der im Online-DurchsuchungsUrteil entwickelten Eingriffsschwellen vom präventiven in den repressiven Bereich – zumindest im Grundsatz – hinsichtlich der Rechtsgüter, auf die das BVerfG den Einsatz einer heimlichen Online-Durchsuchung beschränkt wissen will: Leib, Leben und Freiheit der Person sowie solche Güter der Allgemeinheit, deren Bedrohung Grundlagen und Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.490 Diese Anforderungen könnten in einen entsprechenden Katalog von Anlasstaten überführt werden, der dann nur Straftaten umfasst, die auf den Schutz der genannten Rechtsgüter abzielen.491 Schwieriger wäre es, die Ausführungen zum Gefahrenbegriff auf die Verdachtskategorien des Strafprozessrechts zu übertragen.492 Indes ist diese Übertragung eins-zu-eins nur bei einer heimlichen strafprozessualen Online-Durchsuchung wie § 100b StPO gültig – wenn überhaupt.493 Die Durchsicht informationstechnischer Systeme auf Grundlage 737 (760), der zumindest Eingriffe im Strafprozess nicht über das im Gefahrenabwehrrecht Zulässige hinausgehen lassen will; in diese Richtung auch Kühne, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, 85 (91), der den Verdacht als Eingriffsschwelle im Strafprozess strenger als die Gefahr in der präventiven Polizeiarbeit fassen will. Zum Gewicht strafrechtlicher Grundrechtseingriffe bei Verhältnismäßigkeitsprüfungen Kaspar, Grundrechtsschutz im Präventionsstrafrecht, 2014, S. 245. Allgemein zu strengeren Rechtfertigungsanforderungen im Strafprozess im Vergleich zur Gefahrenabwehr Paeffgen, in: Wolter (Hrsg.), Zur Theorie und Systematik des Strafprozeßrechts, 1995, 13 (20). 489 Roggan, StV 2017, 821 (827). 490 BVerfGE 120, 274 (328). 491 Zu dieser Übertragung mit Blick auf strafprozessuale Online-Durchsuchungen Albrecht/Braun, HRRS 2013, 500 (506 f.); Albrecht/Dienst, JurPC Web-Dok. 5/2012, Abs. 40; Birkenstock, Online-Durchsuchung, 2013, S. 71 ff.; BRAK, Stellungnahme Nr. 4/2007, S. 4; Böckenförde, JZ 2008, 925 (935); Klesczewski, ZStW 123 (2011), 737 (760 f.); Hinz, Jura 2009, 141 (145); Ziebarth, Online-Durchsuchung, 2013, S. 133 ff.; für eine Anlehnung an den Katalog des § 100c Abs. 2 StPO (a. F.) Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 242. 492 Dazu Birkenstock, Online-Durchsuchung, 2013, S. 73 ff.; Böckenförde, JZ 2008, 925 (935). 493 Zum Teil wird angenommen, die zulässigen Rechtsgüter bzw. Anlasstaten gingen

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

177

des § 110 Abs. 3 S. 1 StPO – auch in Form der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO – unterscheidet sich aber von der echten Online-Durchsuchung insbesondere dadurch, dass sie zumindest im Grundsatz eine offen durchgeführte Maßnahme ist und ferner ohne die Installation von Spionagesoftware auskommt. Das sind Unterschiede, die sich auf die Prüfung der Verhältnismäßigkeit von Maßnahmen und damit auch darauf auswirken, welche tatbestandlichen Voraussetzungen zur Zulässigkeit der Maßnahme von Verfassungs wegen geboten sind. Die Durchsicht informationstechnischer Systeme muss dabei weniger strengen Schranken unterworfen sein als die heimliche Online-Durchsuchung. Der Anlasstatenkatalog einer OnlineDurchsuchung kann für die Durchsicht informationstechnischer Systeme nach § 110 Abs. 3 StPO also ohnehin nicht unverändert übernommen werden, jedenfalls nicht in der vom Gesetzgeber in § 100b Abs. 2 StPO normierten Form. Wohl aber kann man auf Grundlage der im Online-Durchsuchungs-Urteil aufgestellten Anforderungen ableiten, dass das komplette Auslesen eines informationstechnischen Systems auch auf Grundlage des § 110 Abs. 3 StPO nicht aus Anlass jeder beliebigen Bagatelltat zulässig sein darf.494

über die vom BVerfG vorgenommene Aufzählung hinaus. Der Aufzählung in BVerfGE 120, 274 (319) käme dann nur exemplarischer Charakter im Kontext der im damaligen Verfahren zu prüfenden Norm aus dem VSG NRW zu, wäre aber keine abschließende Aufzählung im Sinne einer Mindesteingriffsschwelle. Gestützt wird diese Annahme auf das Urteil des BVerfG zum BKAG, in dem das Gericht die Eingriffsschwere der OnlineDurchsuchung ausdrücklich mit einem Eingriff in die Unverletzlichkeit der Wohnung verglichen hat, BVerfGE 141, 220 (304), wobei angeführt wird, dass der heimlichen akustischen Wohnraumüberwachung zur Strafverfolgung seit längerem ein breiterer Anwendungsbereich zugestanden wird, der auch Anlasstaten gegen das Vermögen oder bestimmte Betäubungsmittelkriminalität umfasst, vgl. zur Argumentation BTDrs. 18/12785, S. 54; Momsen/Bruckmann, KriPoZ 2019, 20 (24). Andere aber verstehen die Aufzählung aus dem Online-Durchsuchungs-Urteil als abschließend, mit der Folge, dass der Anlasstatenkatalog des § 100b Abs. 2 StPO für Online-Durchsuchungen zu weit geraten und damit verfassungswidrig ist, vgl. nur die Stellungnahme von Buermeyer zum Gesetzentwurf bzw. der zugrunde liegenden „Formulierungshilfe“ zu u. a. § 100b StPO vom 29. Mai 2017, S. 8 f.; Blechschmitt, StraFo 2017, 361 (364); Roggan, StV 2017, 821, (827); Singelnstein, VerfBlog 2017/7/02, S. 4, abrufbar unter http://verfassungsblog.de/hac ken-zur-strafverfolgung-gefahren-und-grenzen-der-strafprozessualen-online-durchsuch ung [zuletzt abgerufen am 04.11.2021]; zweifelnd auch SSW-StPO/Eschelbach, § 100b Rn. 10 f., 14. 494 Vgl. Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 140 f. Zum Anpassungsbedarf der §§ 102 ff. StPO und § 110 Abs. 3 StPO allgemein Böckenförde, JZ 2008, 925 (930 f.; 935). Zu eigenen Vorschlägen s. unten Kap. 2 B.X.3.a).

178

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

g) Spätere Rechtsprechung des BVerfG: Keine Anwendung des ITGrundrechts? Sämtliche der oben besprochenen Aspekte sprechen für die Anwendung des IT-Grundrechts auch bei offenen, nicht mittels Spionagesoftware vorgenommenen Zugriffen auf informationstechnische Systeme auf Grundlage des § 110 Abs. 3 StPO. Trotzdem hat das BVerfG das IT-Grundrecht bisher nicht konsequent auf derartige Sachverhalte angewandt. Vielmehr finden sich in der neueren verfassungsgerichtlichen Rechtsprechung Entscheidungen, welche die Ausforschung informationstechnischer Systeme zwar betreffen, die Anwendung des IT-Grundrechts dabei aber überhaupt nicht thematisieren. Zum einen sind dies die Beschlüsse, die sich mit der Durchsuchung der Anwaltskanzlei Jones Day im Zuge des sogenannten „VW-Diesel-Skandals“ befassen.495 Im zugrunde liegenden Strafverfahren waren im Rahmen einer Durchsuchung Unterlagen in Papierform, aber auch in Form elektronisch gespeicherter Daten durchgesehen und sichergestellt worden. Neben dem Eingriff in Art. 13 GG (und der Thematisierung der Bedeutung der Berufsfreiheit aus Art. 12 GG496) sah das BVerfG vor allem einen Eingriff in das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG gegeben.497 Das ist deshalb bemerkenswert, weil zumindest ein Teil der elektronischen Daten per Durchsicht informationstechnischer Systeme erhoben worden sein muss: Nicht nur legt der Lebenssachverhalt nahe, dass die elektronischen Daten auf in der Kanzlei befindlichen Computern, Laptops und sonstigen Datenträgern erfasst wurden; auch ist belegt, dass die Daten teilweise heruntergeladen wurden, und zwar von einem in Belgien befindlichem Server.498 Damit wurden die Daten zumindest auch durch Zugriff auf eigengenutzte informationstechnische Systeme erhoben. Nach den in dieser Arbeit ermittelten Grundsätzen muss somit ein Eingriff in das ITGrundrecht vorgelegen haben. Jedenfalls aber ist die Frage, ob denn ein Eingriff in das IT-Grundrecht vorgelegen hat, indiziert. Einen solchen Eingriff hat das BVerfG aber nicht einmal geprüft, geschweige denn bejaht. In den Beschlüssen findet sich auch keine Begründung, warum die Datenerhebungen nicht anhand des IT-Grundrechts geprüft worden sind. Das Gericht erwähnt das IT-Grundrecht überhaupt nicht. Beispielhaft für das Schweigen des BVerfG zum IT-Grundrecht ist auch ein Beschluss vom 20.09.2018.499 Dort ging es um eine strafprozessuale Durch495

BVerfG NJW 2018, 2385; NJW 2018, 2392; NJW 2018, 2395. Zur Berufsfreiheit unten Kap. 2 B.III.7. 497 BVerfG NJW 2018, 2385 (2386); NJW 2018, 2395 (2396). 498 BVerfG StV 2017, 705. Dies ist in der Sache eine Anwendung der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO, wobei der Zugriff auf im Ausland belegene Server rechtlich problematisch ist, s. dazu unten Kap. 3 A.V. 499 BVerfG NJW 2018, 3571; eine im Wesentlichen gleiche Konstellation findet sich auch 496

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

179

suchung zur Aufklärung von Straftaten im Bereich der sog. Kinderpornographie und des sexuellen Missbrauchs von Kindern. Im Zuge der Wohnungsdurchsuchung beim Beschuldigten wurden insgesamt 17 technische Geräte zum Zwecke der Durchsicht nach § 110 StPO vorläufig sichergestellt (Mitnahme zur Durchsicht). Darunter befanden sich zwei Laptops, zwei Smartphones sowie mehrere Datenträger in Form von externen Festplatten und USB-Sticks. Es wurden also eigengenutzte informationstechnische Systeme des Beschuldigten gemäß § 110 Abs. 3 S. 1 StPO zum Zwecke der Durchsicht mitgenommen. Nach den hier in dieser Arbeit ermittelten Grundsätzen muss damit der Schutzbereich des IT-Grundrechts eröffnet sein. Auch in diesem Fall aber sah das BVerfG neben Art. 13 GG und Art. 14 GG lediglich das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG als einschlägig an.500 Ausdrücklich sah das Gericht andere Grundrechte nicht berührt.501 Auch hierbei erfolgte keine Auseinandersetzung mit dem Schutzbereich des IT-Grundrechts. Eine Begründung, warum dieser Schutzbereich nicht eröffnet sein soll, lieferte das Gericht nicht. Das IT-Grundrecht wurde im Beschluss nicht einmal erwähnt. In beiden Fällen ist nicht ganz klar, warum das BVerfG die Anwendung des IT-Grundrechts überhaupt nicht thematisiert hat. Nach den hier bisher gefundenen Ergebnissen, die sich maßgeblich aus der Rechtsprechung des BVerfG selbst ableiten, muss der Schutzbereich des IT-Grundrechts auch bei den in Rede stehenden offenen Zugriffen auf informationstechnische Systeme eröffnet sein. Aber selbst unter der Annahme, dass das BVerfG auf Grundlage seiner eigenen Konzeption des IT-Grundrechts den Schutzbereich des Grundrechts in diesen Fällen nicht eröffnet sieht, so ist in diesen Fällen doch zumindest die Klärung des Schutzbereiches indiziert. Gleiches gilt unter der Annahme, dass das BVerfG das IT-Grundrecht gegenüber dem Recht auf informationelle Selbstbestimmung subsidiär ausgestaltet hat.502 Wenn das Gericht der Auffassung gewesen wäre, dass das IT-Grundrecht vom Recht auf informationelle Selbstbestimmung verdrängt wird und deshalb in den konkreten Fällen nicht zur Anwendung kommen kann, so hätte es diese Subsidiarität wenigstens erwähnen können. Im E-Mail-Beschluss hat das Gericht das IT-Grundrecht immerhin mit einem knappen Verweis auf dessen Subsidiarität gegenüber dem gleichzeitig berührten Fernmeldegeheimnis aus

in einem weiteren Beschluss des BVerfG v. 20. November 2019, Aktenzeichen 2 BvR 31/19, 2 BvR 886/19, HRRS 2020 Nr. 1. 500 BVerfG NJW 2018, 3571 (3572 – Tz. 23); so auch BVerfG, Beschl. v. 20. November 2019, Aktenzeichen 2 BvR 31/19, 2 BvR 886/19, HRRS 2020 Nr. 1. 501 BVerfG NJW 2018, 3571 (3574 – Tz. 44). 502 BVerfGE 120, 274 (302 f., 313); zum umstrittenen Verhältnis zwischen IT-Grundrecht und dem Recht auf informationelle Selbstbestimmung noch ausführlich unten Kap. 2 B.III.3.

180

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Art. 10 GG als Prüfungsmaßstab abgelehnt.503 Das BVerfG hätte also auch in den hier besprochenen Fällen zumindest thematisieren und begründen müssen, warum die verfahrensgegenständlichen Maßnahmen nicht am ITGrundrecht zu messen sind. Warum das BVerfG sich in beiden Fällen nicht dem IT-Grundrecht gewidmet hat, bleibt damit im Ergebnis offen. Jedenfalls kann das Schweigen zur Anwendung oder Nichtanwendung des IT-Grundrechts nicht damit begründet werden, dass die Beschwerdeführer in den jeweiligen Fällen keine Verletzung des IT-Grundrechts gerügt hätten. Denn sobald ein Beschwerdeführer im Rahmen einer Verfassungsbeschwerde gemäß Art. 93 Abs. 1 Nr. 4a GG, § 90 Abs. 1 BVerfGG die Möglichkeit der Verletzung zumindest (irgend-)eines Grundrechts erfolgreich geltend machen kann und die Klage somit zulässig ist, hat das BVerfG den Fall umfassend am Maßstab der Verfassung unter Berücksichtigung sämtlicher potentiell einschlägiger Grundrechte zu entscheiden. Das BVerfG ist in dieser Hinsicht also an das Vorbringen des Beschwerdeführers nicht gebunden und muss auch die Verletzung nicht ausdrücklich gerügter Grundrechte prüfen.504 Die Erörterung des IT-Grundrechts war dem BVerfG in den hier besprochenen Fällen somit nicht etwa verboten. Sie war vielmehr geboten. Grundsätzlich liegt der Schluss nahe, dass Grundrechte, die vom BVerfG in seinen Entscheidungen nicht einmal erwähnt werden, im zugrunde liegenden Fall nicht einschlägig sind. Thematisiert das BVerfG das IT-Grundrecht also nicht, so kann man auf den ersten Blick davon ausgehen, dass das Gericht den Schutzbereich des Grundrechts nicht für eröffnet hält. Alles andere hieße, zu unterstellen, das BVerfG hätte das IT-Grundrecht übersehen oder vergessen. Das ist zwar nicht unmöglich, zumal sich hier in diesen Fällen eine Klärung des Schutzbereichs des IT-Grundrechts geradezu aufdrängte. Belege oder Gründe dafür, dass das BVerfG die Fälle nur nachlässig geprüft hat, lassen sich darüber hinaus aber nicht finden. Die hier besprochenen Beschlüsse säen einerseits Zweifel an der Anwendbarkeit des IT-Grundrechts auf Sachverhalte, in denen informationstechnische Systeme offen durchgesehen werden. Die Beschlüsse können andererseits mangels Ausführungen zum IT-Grundrecht aber auch nicht als tragfähiges Argument dafür herangezogen werden, dass der Schutzbereich des ITGrundrechts offene Zugriffe auf informationstechnische Systeme nach § 110 Abs. 3 S. 1 StPO ganz sicher nicht umfasst. Für diesen Ausschluss aus dem Schutzbereich hätte es, da die Anwendung des IT-Grundrechts seiner Schutzkonzeption nach hier ja indiziert ist, einer Begründung bedurft. Denn zuge503

BVerfGE 124, 43 (56 f.). BeckOK-GG/Morgenthaler, Art. 93 Rn. 52; Schmidt-Bleibtreu/Hofmann/Henneke/Hopfauf, Art. 93 Rn. 536. Das gilt jedenfalls für die hier maßgebliche Rechtsprechung des Zweiten Senats des BVerfG, s. BeckOK-BVerfGG/C. Grünewald, § 90 Abs. 1 Rn. 83.1. 504

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

181

spitzt stellt sich die Frage: Warum eigentlich sollte bei einer unstrittig vorliegenden Beeinträchtigung der Vertraulichkeit der Daten auf einem informationstechnischen System kein Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme vorliegen? Die Beantwortung dieser Frage ist das BVerfG mangels ausführlicher Auseinandersetzung mit dem Schutzbereich des IT-Grundrechts schuldig geblieben. Die neuere Rechtsprechung des BVerfG taugt damit nicht als Beleg zur Eröffnung des Schutzbereichs des IT-Grundrechts bei offenen Zugriffen auf informationstechnische Systeme nach § 110 Abs. 3 StPO. Sie kann aber umgekehrt auch nicht als eindeutiger Beleg dafür herangezogen werden, dass das IT-Grundrecht in diesen Fällen nicht eröffnet ist. Der Standpunkt der Verfassungsrechtsprechung bleibt damit offen und ungeklärt. Hier in dieser Arbeit und in Übereinstimmung mit den aus dem Online-DurchsuchungsUrteil abgeleiteten Grundsätzen wird weiterhin davon ausgegangen, dass ein offener Zugriff auf informationstechnische Systeme in das IT-Grundrecht eingreifen kann. Selbst wenn aber ein solcher Zugriff dogmatisch als ein Eingriff in das Recht auf informationelle Selbstbestimmung eingeordnet würde, so hätten die aus der früheren Rechtsprechung des BVerfG abgeleiteten Grundsätze zu Eingriffen in informationstechnische Systeme weiterhin Bestand, wenigstens für die Prüfung der Verhältnismäßigkeit entsprechender Maßnahmen. Denn die Gefahren und die Eingriffswirkungen für die Privatsphäre des Beschuldigten und weiterer Betroffener, die durch eine Durchsicht informationstechnischer Systeme bewirkt werden, sind in jedem Falle intensiv, unabhängig davon, ob man das IT-Grundrecht oder das Recht auf informationelle Selbstbestimmung als Prüfungsmaßstab heranzieht. Mit anderen Worten: Selbst wer die Durchsicht eines informationstechnischen Systems nicht am IT-Grundrecht, sondern am Recht auf informationelle Selbstbestimmung misst, muss vor dem Hintergrund der verfassungsgerichtlichen Rechtsprechung anerkennen, dass dies ein besonders intensiver Eingriff in die informationelle Selbstbestimmung ist.505 Die Verhältnismäßigkeitsprüfung kann aber möglicherweise besser gesteuert werden, wenn konkret benannt wird, dass es sich bei der Durchsicht eines informationstechnischen Systems um das Eindringen in einen speziellen Schutzraum handelt und damit um einen nicht nur quantitativ besonders schweren, sondern auch qualitativ besonderen Eingriff in die Privatsphäre des Einzelnen. Die Benennung des IT-Grundrechts als Prüfungsmaßstab verdeutlicht diesen Unterschied zwischen Eingriffen in die Privatsphäre durch Auswertung personenbezogener Daten aus beliebigen Quellen einerseits und Eingriffen in die Privat-

505

(602).

Vgl. zur Berücksichtigung dieser Wertungen auch Singelnstein, NStZ 2012, 593

182

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

sphäre durch Ausforschung eines dem Einzelnen persönlich zugewiesenen Schutzraums andererseits. Die Notwendigkeit dieser Unterscheidung hat das BVerfG bei Online-Durchsuchungen informationstechnischer Systeme gesehen und hat solche Maßnahmen deshalb nicht am bereits bekannten Recht auf informationelle Selbstbestimmung gemessen, sondern stattdessen mit dem IT-Grundrecht einen eigenen Prüfungsmaßstab konstruiert. Diese Notwendigkeit der Unterscheidung muss dann aber konsequenterweise für sämtliche Eingriffe in eigengenutzte informationstechnische Systeme anerkannt werden. Das gilt unabhängig davon, welche konkreten Eingriffsschwellen man für offene Durchsichten informationstechnischer Systeme aus dem ITGrundrecht ableiten will. Die Einordnung der Durchsicht informationstechnischer Systeme als Eingriff in das IT-Grundrecht und damit als besondere Eingriffsform in die Privatsphäre hat gegenüber einer unterschiedslosen Behandlung sämtlicher datenbezogener Eingriffe in die Privatsphäre einen Mehrwert, selbst wenn dieser Mehrwert vom BVerfG in seinen neueren Entscheidungen zur Durchsicht von informationstechnischen Systemen nicht erkannt und fruchtbar gemacht worden ist (ergänzend zum Verhältnis zwischen IT-Grundrecht und informationeller Selbstbestimmung unten Kap. 2 B.III.3.). h) Zwischenergebnis & Folgerungen aus der Anwendbarkeit des ITGrundrechts Die Auswertung der verfassungsgerichtlichen Rechtsprechung hat ergeben, dass die Durchsicht eines informationstechnischen Systems auf Grundlage des § 110 Abs. 3 StPO in das IT-Grundrecht eingreifen kann,506 mag es das BVerfG es in neueren Entscheidungen auch versäumt haben, die Anwendung des IT-Grundrechts zu thematisieren.507 Damit ist aber nicht gesagt, dass eine Durchsicht gemäß § 110 Abs. 3 StPO an den selben konkreten verfassungsrechtlichen Maßstäben zu messen ist wie eine Online-Durchsuchung. Abweichungen ergeben sich hier insbesondere aus der (fehlenden) Heimlichkeit und Dauerhaftigkeit des Zugriffs und dem Einsatz von Spionagesoftware, die der Online-Durchsuchung immanent 506

So auch Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 128); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 167; Michalke, StraFo 2008, 287 (291); vgl. auch Heinson, IT-Forensik, 2015, S. 180; Löffelmann, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, 2017, VI § 5 Rn. 49; Neuhaus, StV 2020, 489; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 337 f.; Wenzel, NZWiSt 2016, 85 (92); skeptisch Wild, in: Rensen/Brink (Hrsg.), 2009, S. 273 (297) mit Betonung der lückenschließenden Schutzfunktion des IT-Grundrechts, die hier nicht aktiviert werden müsse. 507 Zu den entsprechenden neueren Entscheidungen des BVerfG siehe oben Abschnitt g).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

183

sind, von der Befugnis des § 110 Abs. 3 StPO aber nicht umfasst werden. Eine bloße Durchsicht informationstechnischer Systeme ist damit grundsätzlich weniger intensiv als eine Online-Durchsuchung. Die Durchsicht eines informationstechnischen Systems ist gleichwohl ein intensiver Grundrechtseingriff. Das Zugriffsobjekt ist das gleiche wie bei einer Online-Durchsuchung: Ein informationstechnisches System, das eine riesige Fülle personenbezogener Daten beinhalten kann. Auch bei der Durchsicht können Datensätze erhoben werden, die weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers zulassen. Die Intensität einer Durchsicht nach § 110 Abs. 3 StPO ist damit im Detail zwar geringer als die einer Online-Durchsuchung (nach § 100b StPO), aber immerhin im Wesentlichen vergleichbar. Ob und welcher Anpassungsbedarf sich für die Befugnis des § 110 Abs. 3 StPO daraus ergibt, dass die Durchsicht am IT-Grundrecht zu messen ist, kann der verfassungsgerichtlichen Rechtsprechung nicht unmittelbar entnommen werden. Fest steht aber, dass auch auf Grundlage des § 110 Abs. 3 StPO intensive Grundrechtseingriffe möglich sind. Wie diese Intensität genau zu bestimmen ist und welche anderen Grundrechte durch eine Durchsicht zusätzlich berührt sein können, ist noch zu erörtern. Erst im Anschluss daran kann beurteilt werden, ob § 110 StPO in seiner jetzigen Form verfassungsrechtlichen Anforderungen genügt oder ob Reformen nötig sind.508 Im Folgenden soll daher zunächst erörtert werden, in welche anderen, weiteren Grundrechte eine Durchsicht informationstechnischer Systeme eingreifen kann. Dabei sollen auch etwaige Konkurrenzverhältnisse zwischen dem IT-Grundrecht und anderen Grundrechten geklärt werden. Das betrifft insbesondere die Abgrenzung zum Recht auf informationelle Selbstbestimmung. Danach sollen Kriterien zur Bestimmung der Verhältnismäßigkeit von Eingriffen vorgestellt werden, um einschätzen zu können, wie grundrechtsintensiv die Maßnahmen potentiell sein können, zu denen § 110 Abs. 3 StPO ermächtigt. 3. Das Recht auf informationelle Selbstbestimmung im Verhältnis zum ITGrundrecht Das Recht auf informationelle Selbstbestimmung schützt den Einzelnen vor Kenntnisnahme, Erhebung, Speicherung, Verarbeitung und Weitergabe seiner personenbezogenen Daten durch staatliche Stellen.509 Es gewährleistet die

508 Zum Anpassungsbedarf der §§ 102 ff. StPO und § 110 Abs. 3 StPO allgemein Böckenförde, JZ 2008, 925 (930 f.; 935); s. auch Heinson, IT-Forensik, 2015, S. 200 ff., 252; Peters, NZWiSt 2017, 465 (472); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 428; Ziebarth, Online-Durchsuchung, 2013, S. 233 f. 509 BVerfGE 65, 1 (43).

184

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe, Verwendung und Verarbeitung seiner persönlichen Daten zu bestimmen.510 Dadurch soll die individuelle Privatheit und Verhaltensfreiheit umfassend geschützt werden.511 Das Recht auf informationelle Selbstbestimmung ist also eine Teilausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.512 Ist der Schutzbereich eines anderen, spezielleren Grundrechts berührt, tritt das Recht auf informationelle Selbstbestimmung zurück. Es hat damit, wie das allgemeine Persönlichkeitsrecht als sein Stammrecht, Auffangcharakter.513 Bei strafprozessualen Ermittlungen wird es meist um die Erhebung und Verarbeitung von Informationen und damit von personenbezogenen Daten gehen.514 Besonders augenfällig wird dies bei Ermittlungseingriffen, die auf elektronisch gespeicherte Daten abzielen. Die Durchsicht eines informationstechnischen Systems auf Grundlage des § 110 Abs. 3 StPO erscheint damit auf den ersten Blick geradezu typisch für einen Eingriff in die informationelle Selbstbestimmung.515 Mit der Schaffung des IT-Grundrechts ist aber nicht mehr gesichert, dass die Durchsicht eines informationstechnischen Systems am Recht auf informationelle Selbstbestimmung zu messen ist, denn bei einer solchen Durchsicht ist – jedenfalls nach hier vertretener Auffassung – gleichzeitig der Schutzbereich des IT-Grundrechts eröffnet.516 Damit stellt sich die Frage, welches der beiden Grundrechte nun der Maßstab für die Durchsicht eines informationstechnischen Systems ist – das IT-Grundrecht oder das Recht auf informationelle Selbstbestimmung? Diese Frage zum Verhältnis der beiden Datenschutzgrundrechte zueinander ist nicht bloß akademischer Natur. Für die Rechtfertigung von Eingriffen in das IT-Grundrecht gelten – jedenfalls auf Grundlage des Online-Durchsuchungs-Urteils des BVerfG – tendenziell höhere Anforderungen als für Eingriffe in die informationelle Selbstbestimmung. Eingriffe in das Recht auf informationelle Selbstbestimmung sind – vorbehaltlich der Verhältnismäßigkeit – bereits dann gerechtfertigt, wenn sie auf einer formell-gesetzlichen, bereichsspezifischen Rechtsgrundlage beru-

510

BVerfGE 65, 1 (43); Sachs/Rixen, Art. 2 Rn. 72 f. BVerfGE 65, 1 (41 ff.); 120, 274 (312). 512 BVerfGE 65, 1 (41 ff.); Dreier/Dreier, Art. 2 I Rn. 79; Gurlit, NJW 2010, 1035 (1036); Jarass/Pieroth, Art. 2 Rn. 37. 513 BeckOK-GG/Lang, Art. 2 Rn. 54 ff.; Eifert, Jura 2015, 1181 (1185); Gurlit, RdV 2006, 43 (44); Sachs/Murswiek/Rixen, Art. 2 Rn. 66, einschränkend in Rn. 138. 514 Vgl. v. Mangoldt/Klein/Starck/Starck, Art. 2 Rn. 91, der betont, dass im Strafprozess immer stärker Persönlichkeitsforschung betrieben wird. 515 Vgl. BVerfGE 113, 29 (45 ff.). 516 Siehe oben Kap. 2 B.III.2.; zur insoweit inkonsistenten Rechtsprechung oben Kap. 2 B.III.2.g). 511

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

185

hen, Verfahrensvorschriften zum Schutz der Persönlichkeit existieren und die Grundsätze der Zweckbindung von Daten beachtet werden.517 Für Eingriffe in das IT-Grundrecht durch heimliche Online-Durchsuchungen hat das BVerfG über diese allgemein geltenden Vorgaben hinaus weitergehende Vorgaben entwickelt, so zum Beispiel das Erfordernis eines Richtervorbehalts518 oder die Schaffung gesetzlicher Vorschriften zum Schutz des unantastbaren Kernbereichs der Persönlichkeit, welche die Erhebung und Verwendung bestimmter Daten absolut und generell verbieten und diese nicht lediglich einschränken, wie es die allgemeinen Vorgaben zur Zweckbindung von Daten tun.519 Zwar statuierte das BVerfG diese Vorgaben zunächst nur für heimliche Online-Durchsuchungen unter Einsatz von Spionagesoftware, also hinsichtlich einer grundsätzlich eingriffsintensiveren Maßnahme als der offenen Durchsicht auf Grundlage des § 110 Abs. 3 S. 1 StPO. Gleichwohl lässt sich allein daraus, dass das BVerfG es für erforderlich hielt, ein eigenes Grundrecht zum Schutz informationstechnischer Systeme zu kreieren, herleiten, dass die Hürden zur Rechtfertigung eines Eingriffs hier im Allgemeinen höher sein müssen als bei einem Eingriff nur in die informationelle Selbstbestimmung. Der Komplettzugriff auf das vertrauliche informationstechnische System des Nutzers hat grundsätzlich ein höheres Gewicht als die Erhebung einzelner personenbezogener Daten aus anderen Quellen. Deshalb schuf das BVerfG das IT-Grundrecht und deshalb müssen sich die Anforderungen zur Rechtfertigung eines Eingriffs in dieses Grundrecht von den Anforderungen zur Rechtfertigung eines Eingriffs in die informationelle Selbstbestimmung unterscheiden. Folglich ist die Abgrenzung zwischen dem Recht auf informationelle Selbstbestimmung und dem IT-Grundrecht auch praktisch bedeutsam. Dass eine Abgrenzung der beiden grundrechtlichen Schutzbereiche notwendig ist, hat auch das BVerfG in seinem Urteil zur Online-Durchsuchung gesehen und sich dementsprechend ausführlich mit dem Verhältnis des neuen IT-Grundrechts zum Recht auf informationelle Selbstbestimmung befasst. Das BVerfG befand, dass das Recht auf informationelle Selbstbestimmung nur vor einzelnen Datenerhebungen schütze, aber nicht oder jedenfalls nicht hinreichend davor, dass ein ganzes informationstechnisches System voller Daten infiltriert und ausgespäht wird.520 Dieser Befund war für das BVerfG 517 Vgl. BVerfGE 65, 1 (44 ff.); Dreier/Dreier, Art. 2 I Rn. 91; Heinson, IT-Forensik, 2015, S. 87 f. 518 BVerfGE 120, 274 (331). 519 BVerfGE 120, 274 (335). 520 Vgl. BVerfGE 120, 274 (312 f.); Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 73 f. interpretieren dies offenbar so, dass das IT-Grundrecht ohnehin nur die Integrität der Infrastruktur schützt (also des PCs, des Smartphones) und das Recht auf informationelle Selbstbestimmung die im System enthaltenen Daten, sodass es im Ergebnis um zwei parallele Schutzgüter gehen soll.

186

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

die Grundlage zur Entwicklung des IT-Grundrechs: Das Gericht nahm an, ohne das IT-Grundrecht gebe es eine Schutzlücke, die auch nicht durch das Recht auf informationelle Selbstbestimmung abgedeckt werde.521 Andererseits deutete das BVerfG aber auch an, dass das IT-Grundrecht hinter dem Recht auf informationelle Selbstbestimmung zurücktreten solle, wenn der Schutzbereich letzteren Grundrechts eröffnet sei. Das IT-Grundrecht sei also subsidiär zum Recht auf informationelle Selbstbestimmung.522 Die Feststellungen des BVerfG betreffend das Verhältnis der informationellen Selbtbestimmung zum IT-Grundrecht wurden im rechtswissenschaftlichen Schrifttum kritisch hinterfragt. Hinterfragt wurde ihre Bedeutung vor allem dahingehend, ob der Schutzbereich des Rechts auf informationelle Selbstbestimmung nun etwa nachträglich beschnitten wurde – oder ob die Äußerungen des BVerfG nicht doch ganz anders zu interpretieren seien.523 Darauf aufbauend wurde kritisiert, dass das Recht auf informationelle Selbstbestimmung zugunsten des IT-Grundrechts entwertet werde.524 Die Kritik aus dem rechtswissenschaftlichen Schrifttum ist im Grundsatz zutreffend. Die Rechtsprechung des BVerfG vor Schaffung des IT-Grundrechts hat den Schutzbereich des informationellen Selbstbestimmungsrechts nicht auf „einzelne Datenerhebungen“ begrenzt.525 Auch sonstige quantitative (z. B. Menge der Daten) oder qualitative Beschränkungen (z. B. Quelle der Daten) des Schutzbereichs sind in der bisherigen verfassungsgerichtlichen Rechtsprechung zur informationellen Selbstbestimmung nicht erkennbar.526 Nach seiner ursprünglich Konzeption sollte das Recht auf informati521

BVerfGE 120, 274 (311 ff.). BVerfGE 120, 274 (302 f., 313); BVerfG NJW 2016, 3508 (3510); dazu Aernecke, Schutz elektronischer Daten, 2012, S. 159; Britz, DÖV 2008, 411 (414); Volkmann, DVBl. 2008, 590 (591); Wegener/Muth, Jura 2010, 847 (849); gegen die Annahme von Subsidiarität des IT-Grundrechts aber Bäcker, in: Rensen/Brink (Hrsg), 2009, 99 (132); Birkenstock, Online-Durchsuchung, 2013, S. 36 ff.; Heinson, IT-Forensik, 2015, S. 87 f.; Hoffmann-Riem, JZ 2008, 1009 (1019 – Fn. 91); Hömig, Jura 2009, 207 (210); Grözinger, Cloud-Storage, 2018, S. 173 f.; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 139. 523 Insbesondere Hoffmann-Riem, JZ 2008, 1009 (1015) will klarstellen, dass der Schutzbereich der informationellen Selbstbestimmung nicht verkleinert worden sei; in diese Richtung auch Hirsch, NJOZ 2008, 1907 (1914) („Die bisherige Rechtsprechung zum informationellen Selbstbestimmungsrecht bleibt […] unberührt“), aber ohne näher darauf einzugehen. 524 Vgl. Britz, DÖV 2008, 411 (413 f.); Dreier/Dreier, Art. 2 I Rn. 84; Eifert, NVwZ 2008, 521 (523); Gurlit, NJW 2010, 1035 (1037); Lepsisus, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (31); Sodan/Sodan, Art. 2 Rn. 6c; Volkmann, DVBl. 2008, 590 (591); der Kritik eingeschränkt zustimmend auch Böckenförde, JZ 2008, 925 (927). 525 Britz, DÖV 2008, 411 (413); Hoeren, MMR 2008, 365 (366); Sachs/Krings, JuS 2008, 481 (483 f.); Volkmann, DVBl. 2008, 590 (591). 526 Vgl. Sachs/Rixen, Art. 2 Rn. 73d – Fn. 138; Ziebarth, Online-Durchsuchung, 2013, S. 89. 522

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

187

onelle Selbstbestimmung vor grundsätzlich jeder Erhebung, Speicherung, Verarbeitung, Verwendung und Weitergabe persönlicher Daten durch staatliche Stellen schützen.527 Die Notwendigkeit dieses umfassenden Schutzes begründete das BVerfG schon damals durch die Gefahren großer Datensammlungen, Verknüpfung unterschiedlichster Daten miteinander und die Bildung von Persönlichkeitsprofilen.528 Dabei erwähnte das BVerfG ausdrücklich, dass diese Persönlichkeitsprofile mittels „integrierter Informationssysteme“ gebildet werden können.529 Unter dieses Schutzbereichsverständnis fallen also gerade auch Zugriffe auf informationstechnische Systeme, die solche Datensammlungen bereits enthalten.530 Das BVerfG umschrieb den Schutzbereich des Rechts auf informationelle Selbstbestimmung auch noch nach seinem Urteil zur Online-Durchsuchung auf diese allgemein gehaltene Weise und begrenzte ihn nicht auf Fälle nur einzelner Datenerhebungen.531 Das Schutzbereichsverständnis zum informationellen Selbstbestimmungsrecht, wie es dem Urteil zur Online-Durchsuchung zugrunde liegt, weicht also von der Linie der gefestigten Rechtsprechung zum informationellen Selbstbestimmungsrecht ab. Die Umschreibung des Schutzbereichs der informationellen Selbstbestimmung im Online-Durchsuchungs-Urteil ist nicht konsistent mit der Rechtsprechung vorher, aber auch nicht mit der Rechtsprechung danach. Diesen Umstand stellt die Kritik aus dem Schrifttum, der Schutzbereich des informationellen Selbstbestimmungsrechts sei zugunsten des neuen IT-Grundrechts in nicht nachvollziehbarer Weise verkleinert wurden, zutreffend dar. Die Behauptung des BVerfG, das Recht auf informationelle Selbstbestimmung habe eine Schutzlücke hinsichtlich der staatlichen Ausforschung von informationstechnischen Systemen gelassen, ist jedenfalls hinsichtlich des Umfangs des Schutzbereichs falsch.532 Es gibt aber dennoch gute Gründe, neben dem Recht auf informationelle Selbstbestimmung ein gesondertes IT-Grundrecht mit eigenem Schutzbereich zu konstruieren. Diese Gründe lassen sich bereits der Rechtsprechungsanalyse im vorangegangenen Abschnitt 2. dieser Arbeit entnehmen: Infor527 Vgl. erneut BVerfGE 65, 1 (43); 115, 166 (190); Volkmann, DVBl. 2008, 590 (591); Wegener/Muth, Jura 2010, 847 (850). 528 BVerfGE 65, 1 (23); das betonen z. B. Britz, DÖV 2008, 411 (413); Eifert, NVwZ 2008, 521; Gurlit, NJW 2010, 1035 (1037); auch Hoffmann-Riem, JZ 2008, 1009 (1017) gesteht dies zu. 529 BVerfGE 65, 1 (23). 530 Hornung, CR 2008, 299 (301 f.); Kutscha, DuD 2012, 391 (391 f.); Volkmann, DVBl. 2008, 590 (591); vgl. auch Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (S. 29 f.). 531 Vgl. BVerfGE 113, 29 (45 f.); 115, 166 (188). 532 Vgl. Aernecke, Schutz elektronischer Daten, 2012, S. 149; Eifert, NVwZ 2008, 521 (521 f.); Hoeren, MMR 2008, 365 (366); Manssen, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 61 (S. 64 f.); Martini, JA 2009, 839 (840).

188

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

mationstechnische Systeme und der Zugriff auf selbige bilden einen Sonderfall im Gefüge der informationellen Selbstbestimmung, einen Sonderfall, der typischerweise mit Grundrechtsbeeinträchtigungen von besonders hoher Intensität einhergeht.533 Es erscheint also durchaus sachgerecht, diesen Sonderfall aus dem allgemeinen Schutzbereich der informationellen Selbstbestimmung herauszugreifen und einen besonderen Schutzbereich um ihn herum zu konstruieren, um Eingriffe in diesen speziellen Bereich der Privatsphäre rechtlich präziser einhegen zu können.534 Daran gibt es in der Sache nur wenig zu kritisieren: Der Verfassungsgeber hat mit dem Fernmeldegeheimnis oder dem Grundrecht auf Unverletzlichkeit der Wohnung ebenfalls besondere Schutzbereiche herausgearbeitet, die man ebenso gut gemeinsam unter das Recht auf die freie Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 GG hätte fassen können.535 Ein solcher monistischer Ansatz wird beispielsweise auf Ebene des Völkerrechts mit Art. 8 EMRK verfolgt, dort ist der Schutz von Privat- und Familienleben, Wohnung und Korrespondenz gemeinsam geregelt.536 Parallel dazu ist Art. 7 der europäischen Grundrechte-Charta formuliert (wobei Art. 8 der Charta den Schutz personenbezogener Daten gesondert regelt). Das deutsche Grundgesetz verfolgt aber einen anderen Ansatz, indem es den Schutz bestimmter Aspekte von Privatheit in speziellen Grundrechten regelt, selbst wenn man diese Privatheit auch durch das Auffanggrundrecht des Art. 2 Abs. 1 GG schützen könnte. Damit werden bestimmte, besonders bedeutende Lebensbereiche und Verhaltensweisen, eben wie die Wohnung als räumliche Privatsphäre in Art. 13 GG oder die Kommunikation in Abhängigkeit dritter Dienstleister in Art. 10 GG, mit ihren spezifischen Gefährdungslagen für die Privatsphäre des Bürgers gesondert berücksichtigt und typisiert.537 Informationstechnische Systeme, die im Vergleich zur räumlichen Privatsphäre nach Art. 13 GG eine virtuelle Privatsphäre, „elektronische Privatsphäre“538 oder „digitale Privatsphäre“539 bilden 533

So auch Britz, DÖV 2008, 411 (412); vgl. auch Lepsisus, in: Roggan (Hrsg.), OnlineDurchsuchungen, 2008, S. 21 (S. 32 f.). 534 Vgl. Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 9 f.); Böckenförde, JZ 2008, 925 (927 f.); Dralle´, Grundrecht auf Gewährleistung, 2010, S. 43 ff.; Hoffmann-Riem, JZ 2008, 1009 (1018 f.). 535 Vgl. Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 10). 536 Wegener/Muth, Jura 2010, 847 (849) sehen diesen monistischen Ansatz als potentielles Vorbild für die deutsche Grundrechtsdogmatik an, statt einer Ausdifferenzierung von Schutzbereichen wie mit der Schaffung des IT-Grundrechts geschehen; vgl. auch Aernecke, Schutz elektronischer Daten, 2012, S. 188 f. 537 Diesen Vergleich ziehen auch Hauser, IT-Grundrecht, 2015, S. 64 f.; Petri, in: Lisken/ Denninger (Hrsg.), Kap. G Rn. 609 sowie Bäcker, in: Rensen/Brink (Hrsg), 2009, 99 (124). 538 Böckenförde, Auf dem Weg zur elektronischen Privatsphäre, JZ 2008, 925. 539 Kutscha, Neue Chancen für die digitale Privatsphäre?, in: Roggan (Hrsg.), OnlineDurchsuchungen, 2008, S. 157.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

189

können, sind mittlerweile auch zu einem besonders bedeutendem Lebensbereich herangewachsen, der eigene Möglichkeiten, aber auch eigene Gefährdungen für die private Lebensgestaltung des Einzelnen mit sich bringt. Vor diesem Hintergrund spricht in der Sache nichts dagegen, dass das BVerfG neben der bereits aus dem allgemeinen Persönlichkeitsrecht ausgeformten informationellen Selbstbestimmung einen weiteren Teilbereich ausgeformt hat, der sich speziell dem Schutz informationstechnischer Systeme widmet.540 Problematisch erscheint dabei lediglich, dass sich das BVerfG auf diese Weise möglicherweise unzulässig selbst zum (Verfassungs-)Gesetzgeber aufschwingt.541 Dies jedoch ist ein verfassungsrechtliches und -theoretisches Problem, das in dieser Arbeit nicht weiter vertieft werden kann. Kritikwürdig bleibt weiterhin die dogmatische Methode, mit der das BVerfG den Weg für das neue IT-Grundrecht freigemacht hat.542 Es hat das IT-Grundrecht auch gegenüber dem Recht auf informationelle Selbstbestimmung als subsidiären Teilbereich ausgestaltet. Dabei hat es aber zugleich den ursprünglichen Schutzbereich des Rechts auf informationelle Selbstbestimmung beschnitten, um dem subsidiären IT-Grundrecht den nötigen Raum für seine Anwendung zu schaffen. Das erscheint umständlich und inkonsequent.543 Vergleicht man die Schutzbereiche des informationellen Selbstbestimmungsrechts einerseits und des IT-Grundrechts andererseits, so ist klar, dass das IT-Grundrecht einen speziellen Fall des Datenschutzes betrifft, das informationelle Selbstbestimmungsrecht dagegen den Datenschutz allgemein.544 Es wäre also konsequenter, das informationelle Selbstbestimmungsrecht als subsidiär gegenüber dem IT-Grundrecht einzustufen: Immer dann, wenn Daten aus einem informationstechnischen System des Betroffenen erhoben werden, träte das ebenfalls berührte informationelle Selbstbestimmungsrecht zurück.545 Das BVerfG hat das Verhältnis genau andersherum 540 Vgl. insbesondere Bäcker, in: Rensen/Brink (Hrsg.), 2009, S. 99 (123 f.); Hauser, ITGrundrecht, 2015, S. 199 f.; Kohlmann, Online-Durchsuchungen, 2012, S. 115; Petri, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 609, 612; vgl. aber auch Sachs/Krings, JuS 2008, 481 (483), die mit Blick auf die Zukunft vor „kasuistische[m] Wildwuchs“ warnen; vgl. auch Wegener/Muth, Jura 2010, 847 (849). 541 Gudermann, Online-Durchsuchung, 2010, S. 172 ff.; Hillgruber, JZ 2011, 861 (864 f.); Lepsisus, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (31); Manssen, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 61 (S. 67 f.). 542 Vgl. Lepsisus, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (31 f.). 543 Britz, DÖV 2008, 411 (413 f.); Hauser, IT-Grundrecht, 2015, S. 197 f.; a. A. Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 130 f. 544 Vgl. Eifert, NVwZ 2008, 521 (522); Heinson, IT-Forensik, 2015, S. 87; Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 112 f.; Petri, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 612; Ziebarth, Online-Durchsuchung, 2013, S. 85; Hauser, IT-Grundrecht, 2015, S. 200 meint deshalb, das BVerfG ginge faktisch eben doch von der Spezialität des IT-Grundrechts aus. 545 Hoffmann, CR 2010, 514 (516 f.); Weiß, Online-Durchsuchungen, 2009, S. 151; Zieb-

190

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

konstruiert, und musste in der Folge den Schutzbereich des informationellen Selbstbestimmungsrechts zurechtstutzen, damit das neue IT-Grundrecht überhaupt angewendet werden kann. Diese Konstruktion überzeugt nicht, ist letztlich aber als verbindliche Entscheidung des BVerfG hinzunehmen.546 Damit ergibt sich als Faustformel für die Abgrenzung des IT-Grundrechts zur informationellen Selbstbestimmung: Immer dann, wenn der staatliche Zugriff auf Daten aus einem informationstechnisches System im verfassungsrechtlichen Sinne547 gerichtet ist, ist das IT-Grundrecht anwendbar; immer dann, wenn Daten außerhalb dieser geschützten Systeme erhoben werden, bleibt das Recht auf informationelle Selbstbestimmung maßgeblich.548 Für die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO gilt damit weiterhin, dass in der Regel das IT-Grundrecht einschlägig ist. Es wird nicht etwa durch das Recht auf informationelle Selbstbestimmung verdrängt. Denn bei der Durchsicht eines solchen Systems, bei dem notwendigerweise das System als Ganzes oder jedenfalls weite Teile des Systems gesichtet werden, geht es nicht mehr bloß um einzelne Datenerhebungen. Stattdessen wird genau dasjenige Gefährdungspotential großer Datensammlungen aktiviert, welches das BVerfG zur Schaffung des IT-Grundrecht bewogen hat. Das Recht auf informationelle Selbstbestimmung hat demgegenüber dann keine eigenständige Bedeutung mehr. 4. Fernmeldegeheimnis Das Fernmeldegeheimnis aus Art. 10 GG schützt die Vertraulichkeit von Kommunikation, die über öffentliche Kommunikationswege bzw. mittlerweile vornehmlich private Dienstanbieter zwischen individuellen Sendern und Empfängern übermittelt wird.549 Das Fernmeldegeheimnis ist damit eine besondere Ausprägung des Schutzes der Privatsphäre.550 Geschützt sind nicht arth, Online-Durchsuchung, 2013, S. 85; ähnlich Luch, MMR 2011, 75 (76), die das ITGrundrecht aber trotzdem nicht als Spezialgrundrecht ansehen will; für doppelte Anwendung von IT-Grundrecht und informationelle Selbstbestimmung Hauser, IT-Grundrecht, 2015, S. 197 ff. 546 Siehe aber Hoffmann-Riem, JZ 2008, 1009 (1019 – Fn. 91), der, als ehemaliger Bundesverfassungsrichter immerhin selbst maßgeblich am Online-Durchsuchungs-Urteil beteiligt, bestreitet, dass das IT-Grundrecht vom BVerfG subsidiär zum informationellen Selbstbestimmungsrecht konstruiert sei. Sollte dies zutreffend sein – was der Urteilsbegründung des BVerfG (leider) nicht eindeutig zu entnehmen ist – erübrigte sich die Kritik an der dogmatischenVorgehensweise des BVerfG. Gegen eine Subsidiarität auch Böckenförde, JZ 2008, 925 (927); Hömig, Jura 2009, 207 (210). 547 Zu geschützten und nicht geschützten Systemen bereits oben Kap. 2 B.III.2.b)aa). 548 Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 128 f. 549 BVerfGE 115, 166 (182); 124, 43 (54); Hömig/Wolff/Wolff, Art. 10 Rn. 6; Jarass/Pieroth, Art. 10 Rn. 1, 6 ff. 550 Ausführlich v. Mangoldt/Klein/Starck/Gusy, Art. 10 Rn. 14 ff.; vgl. auch Dreier/Her-

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

191

nur die Inhalte der konkreten Kommunikation (Inhaltsdaten), sondern auch ihre näheren Umstände, also zum Beispiel, wann und wie oft welche Personen miteinander kommuniziert haben, welche Anschlüsse dabei benutzt wurden und von welchen Endgeräten aus der Fernverkehr geführt wurde (Verbindungsdaten, auch „Verkehrsdaten“ genannt551).552 Neben der staatlichen Kenntnisnahme von Kommunikationsinhalten oder deren Umständen sind auch Verarbeitung, Gebrauch oder Weitergabe von bereits erhobenen Daten über die Inhalte oder Umstände der Kommunikation an Art. 10 GG zu messen.553 Auch in dieser Hinsicht geht Art. 10 GG als spezielleres Grundrecht dem Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG vor.554 Dieser Vorrang besteht auch gegenüber dem ITGrundrecht. Etwas anderes gilt, wenn die Daten – egal ob Inhalts- oder Verbindungsdaten – im Herrschaftsbereich des betroffenen Bürgers selbst gespeichert sind und nach Abschluss der Kommunikation von dort erhoben werden – dann nämlich wird nicht in die Vertraulichkeit der Kommunikation und in das Fernmeldegeheimnis, sondern in die informationelle Selbstbestimmung oder das IT-Grundrecht eingegriffen, sofern nicht ausnahmsweise andere speziellere Grundrechte vorrangig sind.555 Stand bei Art. 10 GG früher noch das Briefgeheimnis und damit das Vertrauen in die Post im Vordergrund,556 geht es heute mehr und mehr um moderne, internetbasierte Formen von Telekommunikation wie den E-MailVerkehr oder die Kommunikation via Chat-Messenger (z. B. WhatsApp, Telegram oder Signal).557 Art. 10 GG ist hinsichtlich moderner Formen von Temes, Art. 10 Rn. 18, 103; Hömig/Wolff/Wolff, Art. 10 Rn. 2; Jarass/Pieroth, Art. 10 Rn. 1; noch spezifischer Badura, FS Amelung 2009, 529 (539), der das Fernmeldegeheimnis als spezielle Ausprägung des Rechts auf informationelle Selbstbestimmung bezeichnet; vgl. aber auch Maunz/Dürig/Durner, Art. 10 Rn. 56, der darauf hinweist, dass sich Art. 10 GG nicht in seiner Funktion als Teilaspekt des Privatsphärenschutzes erschöpft. 551 Vgl. dazu bereits oben Einl. D.III.2.c). 552 St. Rspr., vgl. BVerfGE 100, 313 (358 f.); 115, 166 (183); 120, 274 (307); 124, 43 (54); 125, 260 (309); aus dem Schrifttum BeckOK-GG/Ogorek, Art. 10 Rn. 38; Dreier/Hermes, Art. 10 Rn. 42; Hömig/Wolff/Wolff, Art. 10 Rn. 6; Schmidt-Bleibtreu/Hofmann/Henneke/Guckelberger, Art. 10 Rn. 24 f. 553 BVerfGE 100, 313 (359 f., 366); 125, 260 (309 f.); Dreier/Hermes, Art. 10 Rn. 16, 53 f.; Hömig/Wolff/Wolff, Art. 10 Rn. 6; Jarass/Pieroth, Art. 10 Rn. 11; Maunz/Dürig/Durner, Art. 10 Rn. 159; Schmidt-Bleibtreu/Hofmann/Henneke/Guckelberger, Art. 10 Rn. 33. 554 BVerfGE 100, 313 (358); 115, 166 (188 f.); 125, 260 (310, 313); Dreier/Hermes, Art. 10 Rn. 103; Jarass/Pieroth, Art. 10 Rn. 2; v. Mangoldt/Klein/Starck/Gusy, Art. 10 Rn. 43; Umbach/Clemens/Schmidt, Art. 10 Rn. 19. 555 BVerfGE 115, 166 (183 ff.); 120, 274 (307 f.); Gurlit, NJW 2010, 1035 (1037); Hömig/ Wolff/Wolff, Art. 10 Rn. 7; Jarass/Pieroth, Art. 10 Rn. 2, 9; Pötters/Werkmeister, Jura 2013, 5 (7); Sodan/Sodan, Art. 10 Rn. 7. 556 Vgl. dazu Hömig/Wolff/Wolff, Art. 10 Rn. 4 f.; Jarass/Pieroth, Art. 10 Rn. 3 f. 557 Dazu Dreier/Hermes, Art. 10 Rn. 19 ff.; Hömig/Wolff/Wolff, Art. 10 Rn. 6; SchmidtBleibtreu/Hofmann/Henneke/Guckelberger, Art. 10 Rn. 1.

192

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

lekommunikation technik- und entwicklungsoffen, der Schutzbereich nicht an bestimmte Übertragungswege oder Ausdrucksweisen gebunden.558 Auch Telefonate, seien sie klassisch über Festnetz oder Handynetz oder modern über Voice-over-IP-Verfahren (z. B. per Skype, TeamSpeak oder Discord)559 geführt, bilden weiterhin einen praxisrelevanten Anwendungsbereich des Fernmeldegeheimnisses.560 Sogar das Surfen im Internet, also der Abruf von Internetseiten aus dem Netz, die an einen unbestimmten Empfängerkreis gerichtet sind, soll nach Rechtsprechung des BVerfG dem Schutzbereich von Art. 10 GG unterfallen.561 Die Kommunikation wird auf ihrem Übertragungsweg in ihrer Vertraulichkeit geschützt. Die Kommunikationsteilnehmer sollen weitgehend so gestellt werden, wie sie bei einer unmittelbaren, direkten Kommunikation unter Anwesenden stünden.562 Das Fernmeldegeheimnis knüpft also daran an, dass der Nutzer eines Telekommunikationsnetzes oder eines E-Mail-Providers fremde Dienste in Anspruch nimmt, auf deren Integrität er vertrauen können muss. Der Nutzer begibt sich seiner Herrschaftsmacht über die Kommunikationsinhalte und geht somit das faktische Risiko ein, dass vertrauliche Kommunikationsinhalte in die Hände Dritter, also Nichtadressaten, gelangen.563 Das sind insbesondere staatliche Stellen, wie beispielsweise Strafverfolgungsbehörden, die Telefonate auf Grundlage des § 100a Abs. 1 StPO auf dem Übertragungsweg abhören können.564 Da das Fernmeldegeheimnis die Kommunikation auf ihrem Übertragungsweg schützt und sich damit auf die aktuell laufende Kommunikation bezieht, wird der Schutzbereich des Art. 10 GG bei der Durchsicht eines lokalen informationstechnischen Systems des Kommunikationsteilnehmers grundsätzlich nicht berührt. Die Durchsicht zielt auf die auf dem informationstechnischen System ruhenden Daten ab; die Daten werden hierbei nicht auf ihrem Übertragungsweg abgefangen. Selbst in einem Fall, in dem die Ermittler bei der Durchsicht eines Smartphones oder eines anderes Systems „live“ eingehende E-Mails oder Chatnachrichten mitlesen können, wird man 558 BVerfGE 115, 166 (182 f.); 120, 274 (307); 124, 43 (54); BVerfG NJW 2016, 3508 (3510); Dreier/Hermes, Art. 10 Rn. 41; Gurlit, RdV 2006, 43 (44); Maunz/Dürig/Durner, Art. 10 Rn. 64; Schmidt-Bleibtreu/Hofmann/Henneke/Guckelberger, Art. 10 Rn. 22. 559 Vgl. Hömig/Wolff/Wolff, Art. 10 Rn. 6; Pötters/Werkmeister, Jura 2013, 5 (7). 560 Vgl. v. Mangoldt/Klein/Starck/Gusy, Art. 10 Rn. 23; Wenzel, NZWiSt 2016, 85 (89). 561 BVerfG NJW 2016, 3508 (3510) m. abl. Anm. Eidam; a. A. auch SSW-StPO/Eschelbach, § 100a Rn. 5; dafür hingegen Singelnstein, NStZ 2012, 593 (594); vert. Bäcker, in: Rensen/Brink (Hrsg), 2009, S. 99 (S. 104 ff.). 562 BVerfGE 115, 166 (182); Hömig/Wolff/Wolff, Art. 10 Rn. 6. 563 Vgl. BVerfGE 115, 166 (184); vgl. auch Badura, FS Amelung 2009, 529 (540); Dreier/Hermes, Art. 10 Rn. 1, 15; v. Mangoldt/Klein/Starck/Gusy, Art. 10 Rn. 18 f., 41. 564 Zu § 100a StPO aus verfassungsrechtlicher Perspektive kritisch Dreier/Hermes, Art. 10 Rn. 77.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

193

argumentieren können, dass diese Nachrichten, sobald sie auf dem lokalen System angezeigt werden, dort bereits ruhen und keine aktuell laufende Kommunikation mehr darstellen.565 Das Lesen von Nachrichten auf dem Endgerät, die bereits empfangen und gespeichert wurden, ist also kein Eingriff in Art. 10 GG. Selbiges gilt für Verbindungsdaten über Beteiligte der Kommunikation, Dauer und Häufigkeit der Kommunikation und die vewendeten Anschlüsse, die nach Abschluss des Kommunikationsvorgangs auf dem lokalen System gespeichert sind und damit im Herrschaftsbereich des Nutzers ruhen. Auch diese Daten sind nicht mehr von Art. 10 GG geschützt, sondern unterliegen dem Recht auf informationelle Selbstbestimmung oder gegebenenfalls dem IT-Grundrecht, sofern nicht ausnahmsweise andere, speziellere Grundrechte vorgehen.566 Einen Sonderfall bilden E-Mails, die bereits versendet und übertragen wurden, aber noch auf dem Server des Providers (zwischen-)lagern, um irgendwann (erstmalig oder erneut) vom Empfänger bzw. Inhaber des Mailkontos abgerufen zu werden. Die E-Mails ruhen zwar auf einem Server, aber eben einem grundsätzlich fremden Server, und befinden sich damit nicht exklusiv im Herrschaftsbereich des Empfängers, weshalb die E-Mails in dieser Phase in den Schutzbereich des Art. 10 GG fallen. Das gilt auch dann, wenn die E-Mails bereits gelesen wurden. Solange die E-Mails beim Provider gespeichert bleiben und nicht auf das System des Nutzers heruntergeladen werden, besteht für den Nutzer die spezifische Gefährdungslage des Telekommunikationsvorgangs, die sich durch die Einschaltung eines Kommunikationsdienstleisters ergibt, fort. Dieser spezifischen Gefährdungslage soll Art. 10 GG Rechnung tragen. Greifen staatliche Ermittler auf diese Daten zu, so bedeutet dies deshalb einen Eingriff in das Fernmeldegeheimnis.567 Das Recht auf informationelle Selbstbestimmung des Nutzers wie auch das ITGrundrecht treten daher in diesem Fall zurück.568 In dieser Fallkonstellation wird mit dem E-Mail-Speicher nicht bloß ein beim Durchsuchten lokal vorhandenes informationstechnisches System durchgesehen, sondern ein externes informationstechnisches System, also eines, das sich nicht in den Räum565

Vgl. Pötters/Werkmeister, Jura 2013, 5 (7); vgl. auch Knierim/Oehmichen, Gesamtes Strafrecht aktuell, Kap. 20 Rn. 14. 566 BVerfGE 115, 166 (183 ff.); Badura, FS Amelung 2009, 529 (540); Hömig/ Wolff/Wolff, Art. 10 Rn. 7; Jarass/Pieroth, Art. 10 Rn. 2, 9; v. Münch/Kunig/Martini, Art. 10 Rn. 234. Davon unabhängig ist die Wahl der richtigen Rechtsgrundlage in der Strafprozessordnung, in der insoweit ein autonomer Begriff der Telekommunikation verwendet wird – so zum Beispiel bei § 100a Abs. 1 S. 3 StPO; vgl. dazu Hie´ramente/Fenina, StraFo 2009, 365 (371); Knierim/Oehmichen, Gesamtes Strafrecht aktuell, Kap. 20 Rn. 19, 29. 567 BVerfGE 124, 43 (54 ff.); BGH NJW 2021, 1252 (1254); Pötters/Werkmeister, Jura 2013, 5 (7). 568 BVerfGE 124, 43 (56 f.).

194

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

lichkeiten des Durchsuchten befindet (sondern in denen des E-Mail-Providers). Das ist eine Fallkonstellation, die nicht hier an dieser Stelle besprochen werden soll, sondern im Zusammenhang mit der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO.569 Zu unterscheiden ist wiederum die Konstellation, in der die Räumlichkeiten eines Kommunikationsdienstleisters durchsucht werden und dort lokale informationstechnische Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO durchgesehen und in der Folge Kommunikationsdaten Dritter erfasst werden werden. Der Kommunikationsdienstleister ist dabei nicht etwa im Fernmeldegeheimnis aus Art. 10 GG, sondern in seiner informationellen Selbstbestimmung und dem IT-Grundrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG betroffen, denn es wird in seinem Herrschaftsbereich auf die Daten zugegriffen. Aus Perspektive von Dritten, also insbesondere Kunden des Dienstleisters, befinden sich die Kommunikationsdaten – zum Beispiel E-Mails – dagegen außerhalb ihres Herrschaftsbereichs. Werden diese Daten beim Kommunikationsdienstleister erhoben, sind dessen Kunden in ihrem Fernmeldegeheimnis aus Art. 10 GG betroffen.570 Die Berührung des Fernmeldegeheimnisses zulasten des Durchsuchten kommt aber – wie gezeigt – bei der Durchsicht allein eines lokalen informationstechnischen Systems nicht in Betracht, weshalb hier an dieser Stelle nicht weiter auf den Schutzbereich eingegangen wird. 5. Eigentum Art. 14 GG schützt das Eigentum. Eigentumsfähige Positionen sind grundsätzlich alle vom Gesetzgeber durch Rechtsvorschriften gewährten konkreten vermögenswerten Rechte.571 Von Art. 14 GG wird also nicht nur „Eigentum“ im Sinne des Zivilrechts geschützt.572 Zu den schutzfähigen Positionen zählen auch das sogenannte geistige Eigentum in Form der vermögenswerten Aspekte des Urheberrechts und des allgemeinen Persönlichkeitsrechts, sowie vermögenswerte Geschäfts- und Betriebsgeheimnisse.573 Auch vertragliche Nutzungsrechte574 und das Besitzrecht des Wohnungsmieters575 werden geschützt. Als besondere Ausprägung des Art. 14 GG wird zudem – nach herrschender Ansicht – das Recht am eingerichteten und ausgeübten Gewerbe569

Kap. 3 A.I.3. BVerfGE 124, 43 (54 ff.); Wenzel, NZWiSt 2016, 85 (88). 571 BVerfGE 58, 300 (336); Hömig/Wolff/Antoni, Art. 14 Rn. 4; Jarass/Pieroth, Art. 14 Rn. 5. 572 Hömig/Wolff/Antoni, Art. 14 Rn. 4. 573 Jarass/Pieroth, Art. 14 Rn. 8 mit Nachweisen. 574 Sachs/Wendt, Art. 14 Rn. 24 mit Verweis auf BGHZ 125, 293 (298) (Vertragliches Nutzungsrecht an einem Grundstück). 575 BVerfGE 89, 1 (5 f.). 570

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

195

betrieb geschützt, das über einzelne Eigentumsrechte hinaus einen in sich geschlossenen Wirtschaftskörper in seiner ökonomischen Funktion schützt.576 Der Begriff des Eigentums im Sinne des Art. 14 GG ist damit nicht rein statisch zu verstehen, sondern ist stetem Wandel unterworfen.577 Er ist entwicklungsoffen und eher weit als eng gefasst. Die genannten eigentumsfähigen Positionen können hinsichtlich mehrerer Aspekte geschützt sein. Geschützt ist der Bestand der Eigentumsposition beim Eigentümer, die Nutzung der Eigentumsposition und die Verfügung über die Eigentumsposition.578 Die bloße (kurzfristige) Durchsicht eines informationstechnischen Systems vor Ort gemäß § 110 Abs. 3 S. 1 StPO ist somit mangels relevanter Beschränkung der Eigentumsposition bzw. der Verfügungs- und Nutzungsbefugnis grundsätzlich kein Eingriff in Art. 14 GG. Bei der typischen Durchsicht des informationstechnischen Systems wird lediglich eine im Eigentum des Betroffenen stehende Sache kurzzeitig genutzt. Solange dadurch keine Schäden am informationstechnischen System selbst entstehen, bleibt das geschützte Eigentum unberührt.579 Erfolgt eine Mitnahme zur Durchsicht in der Form, dass lediglich die auf dem informationstechnischen System gespeicherten Daten auf einen Datenträger der Ermittlungsbehörde kopiert und mitgenommen werden,580 liegt ebenfalls kein Eingriff in Art. 14 GG vor. Bei diesem Vorgehen bleiben sowohl faktische Verfügungsmacht als auch rechtliche Verfügungsbefugnis des Betroffenen über die Hardware des informationstechnischen Systems unberührt. Unabhängig von der Frage, ob an den elektronisch gespeicherten Daten selbst Eigentumsrechte im Sinne des Art. 14 GG bestehen,581 bleibt die Verfügungsmacht und -befugnis des Betroffenen über die Daten ohnehin unberührt, sofern sie nur kopiert, also dupliziert werden, und keine Löschung auf dem Ausgangssystem erfolgt.582 Erst, wenn eine Kopie von Da-

576 BVerwGE 67, 93 (96); Sachs/Wendt, Art. 14 Rn. 26; offengelassen von BVerfGE 84, 212 (232); 96, 375 (397); vgl. aber BVerfGE 93, 165 (175 f.), wo besonders auf Betriebe als „wirtschaftlich zusammengehörige Funktionseinheit[en]“ eingegangen wird. Gegen eine verfassungsrechtliche Anerkennung im Rahmen des Art. 14 GG Dreier/Wieland, Art. 14 Rn. 63. Zusammenfassend Stern/Becker/Becker, Art. 14 Rn. 82. 577 Hömig/Wolff/Antoni, Art. 14 Rn. 4. 578 Jarass/Pieroth, Art. 14 Rn. 16. 579 Missverständlich insoweit HK-StPO-Gercke, § 110 Rn. 10, der pauschal formuliert, die Durchsicht greife in Art. 14 GG ein. Gemeint sein kann aber nur die Durchsicht nach Mitnahme von Unterlagen bzw. eines informationstechnischen Systems, also der Fall der „Mitnahme zur Durchsicht“. 580 Dazu oben Kap. 2 B.II.2. 581 Unklar Schmidt-Bleibtreu/Hofmann/Henneke/Hofmann, Art. 14 Rn. 4; nicht bejahend, aber auch nicht ausschließend Fezer, MMR 2017, 3; ablehnend Michl, NJW 2019, 2729 (2731 f.). 582 Vgl. Bell, Strafverfolgung und die Cloud, 2019, S. 63 f.; Wicker, Cloud Computing,

196

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

tenbeständen eines Gewerbebetriebs dazu führt, dass dieser seine Arbeit nicht mehr fortsetzen kann, kann der Schutzbereich des Rechts am eingerichteten und ausgeübten Gewerbebetriebs betroffen sein.583 Gesondert zu beurteilen ist eine Mitnahme des informationstechnischen Systems, genauer gesagt der informationstechnischen Hardware zur Durchsicht. Diese erfolgt in Form einer „vorläufigen Sicherstellung“.584 Die Hardware, also zum Beispiel der PC oder das Smartphone oder auch bloß ein Datenträger des Systems, wird dabei aus den Räumlichkeiten des Betroffenen entfernt. Der Betroffene verliert dadurch temporär seine faktische Verfügungs- und Nutzungsmacht, aber auch die rechtliche Verfügungsbefugnis über die Hardware. Die Mitnahme zur Durchsicht wirkt sich in dieser Hinsicht wie eine Sicherstellung oder Beschlagnahme nach § 94 StPO zulasten des Betroffenen aus. Darin liegt ein Eingriff in das Eigentumsrecht aus Art. 14 GG.585 Dieser Eingriff besteht parallel zu weiteren Grundrechtseingriffen, die durch die Durchsicht selbst erfolgen, also insbesondere zu Eingriffen in die Grundrechte aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.586 Im Ergebnis ist festzuhalten: Die bloße Durchsicht eines informationstechnischen Systems nach § 110 Abs. 3 S. 1 StPO greift nicht in Art. 14 GG ein. Auch die (vorläufige) Sicherstellung von Daten zur Durchsicht in Form der bloßen Datenkopie ist kein Eingriff in Art. 14 GG. Werden aber das System oder dessen Hardware-Bestandteile zur Durchsicht mitgenommen, so greift diese vorläufige Sicherstellung in Art. 14 GG ein.

2016, S. 320. Zivilrechtlich bedeutet eine Löschung von Daten laut OLG Karlsruhe CR 1996, 352 (353) eine Beeinträchtigung des zivilrechtlich geschützten Eigentums. Bunzel, Zugriff auf IT-Systeme, 2015, S. 171 f. will daraus einen umfassenden grundrechtlichen Schutz aus Art. 14 Abs. 1 S. 1 GG ableiten, der gegen jedwede Datenveränderung schützt. 583 Vgl. Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 140; ähnlich Bunzel, Zugriff auf IT-Systeme, 2015, S. 172 ff.; der einen Eingriff in Art. 14 GG durch bloßen Datenzugriff nur annehmen will, wenn die Daten vermögenswert sind und dem Dateninhaber durch Entzug des ausschließlichen Zugriffs Wettbewerbsnachteile entstehen; gegen eine Eröffnung des Schutzbereichs, aber für eine Berücksichtigung des Art. 14 GG innerhalb der Verhältnismäßigkeitsprüfung Wenzel, NZWiSt 2016, 85 (92). 584 Dazu oben Kap. 2 B.II.1. 585 BVerfG NJW 2018, 3571 (3572); NJW 2003, 2669 (2670); Bunzel, Zugriff auf ITSysteme, 2015, 170 f.; HK-StPO/Gercke, § 110 Rn. 10; Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 41; LR/Tsambikakis, § 110 Rn. 22; SK-StPO/Wohlers/Jäger, § 110 Rn. 24; vgl. für die (in dieser Hinsicht wirkungsgleiche) Beschlagnahme auch Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 140; Wicker, Cloud Computing, 2016, S. 318. 586 Vgl. BVerfGE 124, 43 (57).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

197

6. Pressefreiheit und Rundfunkfreiheit Die Pressefreiheit wird in Art. 5 Abs. 1 S. 2 Var. 1 GG gewährleistet. Sie schützt die massenkommunikative Vermittlungsleistung der Presse.587 Unter „Presse“ versteht man alle an einen unbestimmten Personenkreis gerichteten Druckerzeugnisse und andere Informationsträger, deren Verbreitung grundsätzlich in Form körperlicher Trägermedien erfolgt.588 Der Pressebegriff ist dabei entwicklungsoffen, sodass als Trägermedien der Presse nicht nur klassische Druckerzeugnisse wie Zeitungen und Zeitschriften, sondern auch Datenträger wie CDs oder DVDs in Frage kommen.589 Konsequenterweise müssen auch andere moderne Datenträger, wie zum Beispiel USB-Sticks oder SD-Karten, dazugezählt werden.590 Vom Schutzbereich der Pressefreiheit umfasst sind alle wesensmäßig mit der Pressearbeit zusammenhängenden Tätigkeiten.591 Dazu gehört insbesondere die Beschaffung von Informationen. Folglich ist durch die Pressefreiheit vor allem auch die Vertraulichkeit der Redaktionsarbeit geschützt (Redaktionsgeheimnis).592 Im engen Zusammenhang damit steht wiederum der Schutz des Vertrauensverhältnisses zwischen Informanten und Presse.593 Daraus folgt, dass insbesondere die Durchsuchung von Redaktionsräumen in die Pressefreiheit eingreift.594 Damit greift auch die Durchsicht von in Redaktionsräumen befindlichen informationstechnischen Systemen auf Grundlage des § 110 Abs. 3 S. 1 StPO in die Pressefreiheit ein. In solchen Fällen soll die Pressefreiheit neben etwaigen anderen berührten Grundrechten, so zum Beispiel der informationellen Selbstbestimmung oder dem IT-Grundrecht, anwendbar sein.595 Angesichts der unterschiedlichen Zwecksetzungen der ein587

Jarass/Pieroth, Art. 5 Rn. 36; vgl. auch Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 86, 92. BeckOK-GG/Schemmer, Art. 5 Rn. 43; Jarass/Pieroth, Art. 5 Rn. 34; v. Mangoldt/ Klein/Starck/Starck/Paulus, Art. 5 Rn. 129; v. Münch/Kunig/Wendt, Art. 5 Rn. 59. 589 Vgl. Dreier/Schulze-Fielitz, Art. 5 I, I,I Rn. 90 f.; v. Münch/Kunig/Wendt, Art. 5 Rn. 59; Sachs/Bethge, Art. 5 Rn. 68; Schmidt-Bleibtreu/Hofmann/Henneke/von der Decken, Art. 5 Rn. 17. 590 Vgl. Epping, Grundrechte, Rn. 229: „[…] auch jede andere Verkörperung […]“. 591 BVerfGE 117, 244 (258 f.); Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 95; Jarass/Pieroth, Art. 5 Rn. 36; v. Münch/Kunig/Wendt, Art. 5 Rn. 63. 592 BVerfGE 117, 244 (258 f.); Jarass/Pieroth, Art. 5 Rn. 37; Sachs/Bethge, Art. 5 Rn. 84. 593 BVerfGE 20, 162 (176); Hömig/Wolff/Antoni, Art. 5 Rn. 15; Jarass/Pieroth, Art. 5 Rn. 37; Sachs/Bethge, Art. 5 Rn. 84; Schmidt-Bleibtreu/Hofmann/Henneke/von der Decken, Art. 5 Rn. 20. 594 BVerfGE 20, 162 (187 ff.); 117, 244 (258 f.); Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 132; Epping, Grundrechte, Rn. 230; Jarass/Pieroth, Art. 5 Rn. 39; MüKo-StPO/Hauschild, § 102 Rn. 35; Schmidt-Bleibtreu/Hofmann/Henneke/von der Decken, Art. 5 Rn. 20; SSW-StPO/Hadamitzky, § 102 Rn. 24. 595 Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 317; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 173; abweichend Hauser, IT-Grundrecht, 2015, 588

198

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

schlägigen Grundrechte ist das stimmig: Die Pressefreiheit schützt gerade die Pressearbeit, also die Vermittlung von Informationen und die damit in Zusammenhang stehenden Tätigkeiten wie die redaktionelle Arbeit; informationelle Selbstbestimmung und IT-Grundrecht hingegen schützen private Daten um ihrer selbst bzw. der Privatheit willen. Ein echtes Konkurrenzverhältnis zwischen diesen Grundrechtspositionen besteht damit nicht.596 Das oben Gesagte gilt analog für die Rundfunkfreiheit aus Art. 5 Abs. 1 S. 2 Var. 2 GG. „Rundfunk“ unterscheidet sich von „Presse“ im Wesentlichen dadurch, dass beim Rundfunk ein elektro-magnetischer oder elektronischer Verbreitungsweg gewählt, also kein körperliches Trägermedium benutzt wird.597 Zu den geschützten elektronischen Verbreitungswegen zählen neben klassischen Diensten wie dem Hörfunk oder dem Fernsehen auch neuartige Dienste, so grundsätzlich auch das Internet.598 Wie die Pressefreiheit schützt auch die Rundfunkfreiheit sämtliche mit dem Rundfunk wesensmäßig zusammenhängende Tätigkeiten, also insbesondere auch die Vertraulichkeit der Redaktionsarbeit.599 Damit ist eine Durchsuchung von Räumlichkeiten einer Rundfunkredaktion wie auch die Durchsicht gemäß § 110 Abs. 3 S. 1 StPO von dort befindlichen informationstechnischen Systemen ebenfalls ein Eingriff in die Rundfunkfreiheit.600 Auch hier ist die Rundfunkfreiheit neben anderen berührten Grundrechten anwendbar, insbesondere also neben dem Recht auf informationelle Selbstbestimmung und dem ITGrundrecht.601 Im Zusammenhang mit Presse- und Rundfunkredaktionen ist relevant: Auch und gerade juristische Personen, Unternehmen oder sonstige Personenvereinigungen, wie z. B. politische Parteien, können über Art. 19 Abs. 3 GG Grundrechtsträger von Presse- und Rundfunkfreiheit sein.602 DaS. 205 f., der Spezialität und damit ausschließliche Anwendbarkeit der Pressefreiheit annimmt. 596 Vgl. Jarass/Pieroth, Art. 5 Rn. 1, 32, 46 bzgl. der Abgrenzung der Pressefreiheit zur Meinungsfreiheit. 597 BeckOK-GG/Schemmer, Art. 5 Rn. 67; Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 99; Epping, Grundrechte, Rn. 233; Hömig/Wolff/Antoni, Art. 5 Rn. 19; Jarass/Pieroth, Art. 5 Rn. 47; Mangoldt/Klein/Starck/Starck/Paulus, Art. 5 Rn. 175; Sachs/Bethge, Art. 5 Rn. 73a, 90a.; krit. zu dieser Abgrenzung Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 144 f. 598 Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 100; Epping, Grundrechte, Rn. 229, 233; Jarass/Pieroth, Art. 5 Rn. 48; v. Münch/Kunig/Wendt, Art. 5 Rn. 99 f. 599 BVerfG NJW 2011, 1859 (1860); Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 105; Epping, Grundrechte, Rn. 235; Hömig/Wolff/Antoni, Art. 5 Rn. 19; Jarass/Pieroth, Art. 5 Rn. 50 f. 600 Vgl. BVerfG NJW 2011, 1859 (1860); Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 134; MüKo-StPO/Hauschild, § 102 Rn. 35. 601 Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 317. 602 Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 116; Hömig/Wolff/Antoni, Art. 5 Rn. 13, 20; Sachs/Bethge, Art. 5 Rn. 78.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

199

her sind bei der Durchsuchung von Redaktionsräumlichkeiten und der Durchsicht dort verwendeter informationstechnischer Systeme nicht bloß Grundrechte einzelner Redakteure und Redakteurinnen berührt (zu denen dann zum Beispiel auch die informationelle Selbstbestimmung zählen kann), sondern die Presse- bzw. Rundfunkfreiheit des gesamten Unternehmens.603 Bei Durchsuchung von Redaktionsräumen bzw. bei der Durchsicht von dort befindlichen informationstechnischen Systemen, die zur redaktionellen Arbeit von Presse oder Rundfunk genutzt werden, gelten aufgrund der berührten Spezialgrundrechte aus Art. 5 Abs. 1 S. 2 GG erhöhte Anforderungen an die Rechtfertigung des Eingriffs.604 Auch werden andere betroffene Grundrechte nicht zwangsläufig verdrängt. So ist bei einer Durchsuchung von Redaktionsräumen Art. 13 GG parallel zu Art. 5 Abs. 1 S. 2 GG anwendbar.605 Bei Mitnahme von informationstechnischen Systemen oder Datenträgern zur Durchsicht ist weiterhin das Eigentumsrecht aus Art. 14 GG berührt, der Eingriff steht neben der Berührung des Art. 5 Abs. 1 S. 2 GG, das Grundrecht wird also nicht verdrängt. Selbiges gilt auch bei gleichzeitigen Eingriffen in die Berufsfreiheit aus Art. 12 GG.606 Als Ergebnis bleibt festzuhalten: § 110 Abs. 3 S. 1 StPO kann Grundlage für tiefgreifende Eingriffe in die Pressefreiheit und Rundfunkfreiheit aus Art. 5 Abs. 1 S. 2 GG sein. 7. Berufsfreiheit Art. 12 Abs. 1 GG umfasst mehrere Gewährleistungen, die unter dem Schlagwort „Berufsfreiheit“ zu einem einheitlichen Grundrecht zusammengefasst werden.607 Im Zusammenhang mit der Durchsicht von informationstechnischen Systemen ist allein die in der Berufsfreiheit enthaltene Freiheit der Berufsausübung (Art. 12 Abs. 1 S. 2 GG) interessant. Die Freiheit der Berufsausübung schützt als Abwehrrecht die gesamte berufliche Tätigkeit in Form, Mittel und Umfang sowie in ihrem Gegenstand.608 Geschützt sind damit auch Betriebs- und Geschäftsgeheimnisse.609 Betriebs- und Geschäfts603

Vgl. Stern/Becker/Fechner, Art. 5 Rn. 214, 219. BVerfGE 20, 162 (187 ff.); konkretisierend LR/Tsambikakis, § 105 Rn. 68: „Durchsuchungen in Redaktionsräumen werden in der Regel nur bei einem schweren Tatvorwurf verhältnismäßig sein können“; allgemein auch AnwK-StPO/Löffelmann, § 102 Rn. 13; Dreier/Schulze-Fielitz, Art. 5 I, II, Rn. 184; MüKo-StPO/Hauschild, § 102 Rn. 35. 605 Stern/Becker/Fechner, Art. 5 Rn. 377. 606 Vgl. Maunz/Dürig/Grabenwarter, Art. 5 Abs. 1, Abs. 2 Rn. 333, 335; Sachs/Bethge, Art. 5 Rn. 89a; Schmidt-Bleibtreu/Hofmann/Henneke/von der Decken, Art. 5 Rn. 52. 607 BVerfGE 7, 366 (400 ff.); BeckOK-GG/Ruffert, Art. 12 Rn. 16, 18; Jarass/Pieroth, Art. 12 Rn. 1a. 608 Jarass/Pieroth, Art. 12 Rn. 10. 609 BVerfGE 115, 205 (229 ff.); Jarass/Pieroth, Art. 12 Rn. 10a. 604

200

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

geheimnisse sind alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge, die nicht offenkundig sind, also nur einem begrenzten Personenkreis zugänglich sind, und an deren Geheimhaltung und Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat.610 Damit sind auch Rechtsanwälte in ihrer Berufsausübung vor staatlicher Kontrolle geschützt. Insbesondere das Vertrauensverhältnis zwischen Anwalt und Mandant fällt unter den Schutz der Berufsfreiheit.611 Allerdings bedeutet nicht jede (faktische) Auswirkung staatlicher Maßnahmen auf die berufliche Tätigkeit des Einzelnen einen Eingriff in Art. 12 Abs. 1 GG. Ein Eingriff in die Berufsfreiheit liegt grundsätzlich nur vor bei einer Regelung oder staatlichen Maßnahme mit gezieltem Berufsbezug oder wenigstens mit objektiv berufsregelnder Tendenz.612 Nur ausnahmsweise können Regelungen, die sich nur mittelbar und bloß tatsächlich auf die Berufsfreiheit auswirken, als Beeinträchtigung des geschützten beruflichen Verhaltens gelten, wenn sie in ihrer Wirkung einem (gezielten) Eingriff gleichkommen und damit nicht nur als bloßer Reflex erscheinen.613 Damit ist nicht jede Durchsicht eines informationstechnischen Systems, die nebenbei auch beruflich relevante Daten des Betroffenen berührt, ein Eingriff in die Berufsfreiheit. Die Durchsicht könnte aber ein Eingriff in die Berufsfreiheit sein, wenn gezielt zum Beruf genutzte informationstechnische Systeme durchgesehen werden, um gerade Daten im Zusammenhang mit dem beruflichen Verhalten des Betroffenen zu erheben, und dadurch eine nennenswerte Störung dieser beruflichen Tätigkeit verursacht wird.614 Das kann beispielsweise bei der Sichtung von informationstechnischen Systemen und elektronisch gespeicherten Daten in einer Anwaltskanzlei oder einer Arztpraxis während des laufenden Kanzlei- bzw. Praxisbetriebs der Fall sein.615 Bisher hält sich die verfassungsgerichtliche Rechtsprechung jedoch zurück, beim strafprozessualen Zugriff auf informationstechnische Systeme und elektronisch gespeicherte Daten einen Eingriff in die Berufsfreiheit anzunehmen bzw. einen solchen Eingriff an Art. 12 Abs. 1 GG zu messen. So 610

BVerfGE 115, 205 (231). BVerfG StV 2017, 705 (706); Sodan/Sodan, Art. 12 Rn. 16. 612 St. Rspr., BVerfGE 13, 181 (185 f.); 70, 191 (214); 95, 267 (302); 113, 29 (48); vgl. auch Jarass/Pieroth, Art. 12 Rn. 14 ff.; Pötters/Werkmeister, Jura 2013, 5 (10). 613 BVerfGE 116, 202 (222); Jarass/Pieroth, Art. 12 Rn. 17. 614 Pötters/Werkmeister, Jura 2013, 5 (10). 615 Vgl. BVerfG StV 2017, 705 (706), wo das Gericht im Beschluss über eine einstweilige Anordnung es im Rahmen der Folgenabwägung für möglich hielt, dass der Zugriff auf elektronisch gespeicherte Daten in einer Anwaltskanzlei in das Vertrauensverhältnis zwischen Anwalt und Mandant eingreift; dann aber ablehnend den Beschluss in einem der Hauptsacheverfahren des Gesamtkomplexes „Jones Day“, BVerfG NJW 2018, 2395 (2396). 611

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

201

verneinte das BVerfG die Eröffnung des Schutzbereiches aus Art. 12 Abs. 1 GG bei einem Fall, in dem Ermittler eine Anwaltskanzlei durchsuchten und unter anderem auf Computer zugriffen, darauf gespeicherte Daten kopierten und so schließlich sicherstellten. Eine objektiv berufsregelnde Tendenz sei den zugrunde liegenden strafprozessualen Eingriffsnormen, welche Beschuldigte grundsätzlich unterschiedlos behandelten, nicht zu entnehmen. Allerdings sei bei so einem Vorgehen innerhalb einer Anwaltskanzlei dennoch das durch Art. 12 Abs. 1 GG geschützte Vertrauensverhältnis zwischen Anwalt und Mandant betroffen. Dies sei bei Anwendung der strafprozessualen Ermächtigungen zu berücksichtigen.616 Im Ergebnis soll damit die Prüfung der Verhältnismäßigkeit des Eingriffs (dann in ein anderes Grundrecht, im Beispiel die informationelle Selbstbestimmung) um diesen Schutzgehalt des Art. 12 Abs. 1 GG angereichert werden, mag der Schutzbereich der Berufsfreiheit auch nicht selbst eröffnet sein. Wegen der zusätzlichen Beeinträchtigung des Vetrauensverhältnisses zwischen Anwalt und Mandant ist der jeweilige Eingriff durch Sichtung und Sicherung der Daten also intensiviert.617 Die neueste Rechtsprechung des BVerfG im Fall Jones Day bestätigt die Auffassung, dass Durchsuchungen und die Durchsicht und Sicherstellung von Daten nicht in den Schutzbereich des Art. 12 Abs. 1 GG eingreifen: Die strafprozessualen Eingriffsnormen des Ersten Buchs 8. Abschnitt der StPO sowie die auf diese Normen gestützten Maßnahmen wiesen keine berufsregelnde Tendenz auf, da sie sich unterschiedlos an jedermann richteten.618 Damit ist auch der Durchsicht nach § 110 StPO eine berufsregelnde Tendenz generell abgesprochen.619 Für die strafprozessuale Durchsicht eines beruflich genutzten informationstechnischen Systems wird der Schutzbereich des Art. 12 Abs. 1 GG nach bisheriger Rechtsprechung des BVerfG also nicht erfüllt sein. Unabhängig von dieser dogmatischen Einordnung können Beeinträchtigungen der Berufsfreiheit aber in Kombination mit anderen Grundrechten bei der Prüfung der Verhältnismäßigkeit von Eingriffen zu berücksichtigen sein.

616

Zum Ganzen BVerfGE 113, 29 (47 ff.); vgl. auch Heinrich, wistra 2017, 219 (220 f.). Vgl. BVerfGE 113, 29 (52 ff.); BVerfG StV 2017, 705 (706); vgl. auch Wenzel, NZWiSt 2016, 85 (92). 618 BVerfG NJW 2018, 2395 (2396) im Anschluss an BVerfGE 129, 208 (266 f.); so auch Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 140 f. 619 Vgl. auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 175 f.; einen abweichenden Maßstab wählt Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 176, der jedenfalls in der Beschlagnahme von Datenträgern eine „subjektiv berufsregelnde Tendenz“ sieht und damit Art. 12 GG für eröffnet hält. 617

202

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

8. Wissenschaftsfreiheit Die Wissenschaftsfreiheit aus Art. 5 Abs. 3 S. 1 GG schützt vor jeglicher staatlichen Einwirkung auf den Prozess der Gewinnung und Vermittlung wissenschaftlicher Erkenntnisse.620 Die Wissenschaft soll somit als ein von staatlicher Fremdbestimmung freibleibender, autonomer Bereich gesichert werden.621 Auf den ersten Blick kommt damit ein Eingriff in die Wissenschaftsfreiheit in Betracht, wenn der Staat in (unveröffentlichte) Daten aus wissenschaftlichen Prozessen Einsicht nimmt. Dies kann zum Beispiel im Rahmen eines Strafverfahrens der Fall sein, wenn im Umfeld eines Forschungsinstituts Vermögens- bzw. Steuerstraftaten, oder je nach Ausrichtung der Forschung strafbewehrte Verstöße gegen das Tierschutzgesetz in Rede stehen.622 Ermittlungsbehörden könnten dann versuchen, entsprechende Taten aufzuklären, indem sie die vom wissenschaftlichen Personal genutzten informationstechnischen Systeme auf Grundlage des § 110 Abs. 3 StPO durchsehen. Allerdings reicht es, analog zu Eingriffen in die Berufsfreiheit, für einen Eingriff in die Wissenschaftsfreiheit nicht aus, dass die Durchsicht eines informationstechnischen Systems wissenschaftliche Daten lediglich bei Gelegenheit erfasst. Die Maßnahme muss sich vielmehr spezifisch auf von der Wissenschaftsfreiheit geschützte Inhalte richten und auch eine Störung des wissenschaftlichen Prozesses herbeiführen, damit sie als Eingriff in die Wissenschaftsfreiheit klassifiziert werden kann.623 Bezieht man dies auf die oben genannten Beispiele, so ließe sich gut vertreten, dass eine Suche nach bloß geschäftlichen Unterlagen, um Vermögens- oder Steuerstraftaten aufzuklären, noch keinen Eingriff in die Wissenschaftsfreiheit darstellt. Soll dagegen dem Verdacht einer Strafbarkeit nach dem Tierschutzgesetz nachgegangen werden und zielt die Suche auf Daten und Aufzeichnungen über entsprechende wissenschaftliche Experimente ab, um selbige strafrechtlich bewerten können, so liegt ein Eingriff in die Wissenschaftsfreiheit nahe. In diesem Fall nämlich wird gerade in diejenigen wissenschaftlichen Prozesse Einsicht genommen, die gemäß Art. 5 Abs. 3 S. 1 GG dem autonomen wissenschaftli620 BVerfGE 35, 79 (111 f.); 90, 1 (11 f.); BeckOK-GG/Kempen, Art. 5 Rn. 191; Jarass/Pieroth, Art. 5 Rn. 142; Pötters/Werkmeister, Jura 2013, 5 (10). 621 BVerfGE 35, 79 (112); 90, 1 (12); BeckOK-GG/Kempen, Art. 5 Rn. 191; Sachs/Bethge, Art. 5 Rn. 222. 622 Nur beispielhaft genannt seien die Ermittlungen zu vermeintlichen Verstößen gegen das Tierschutzgesetz an einem Forschungszentrum in Göttingen, wo bei einer Durchsuchung auch digitale Datenträger gesichert wurden, s. Rheinische Post online v. 11.07.2020, https://rp-online.de/panorama/deutschland/goettingen-staatsanwalt-ermittelt-gegen-deu tsches-primatenzentrum-zehn-weissbueschelaffen-offenbar-ohne-sachlichen-grund-getoe tet aid-52143527 [zuletzt abgerufen am 04.11.2021]. 623 Pötters/Werkmeister, Jura 2013, 5 (10).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

203

chen Bereich zuzuordnen sind. Das gilt umso mehr, wenn die Durchsicht der informationstechnischen Systeme im Wege einer Mitnahme der Hardware zur Durchsicht erfolgt und den Wissenschaftstreibenden somit Arbeitsmaterialien und Geräte entzogen werden, die zur Fortführung der Forschung notwendig sind. Mit Blick auf die neuere verfassungsgerichtliche Rechtsprechung zum Schutzbereich der Berufsfreiheit ist allerdings Zurückhaltung bei der Annahme eines Eingriffs in die Wissenschaftsfreiheit geboten. Laut dem BVerfG weisen die strafprozessualen Eingriffsnormen des Ersten Buchs 8. Abschnitt der StPO sowie die auf diese Normen gestützten Maßnahmen keine berufsregelnde Tendenz auf, da sie sich unterschiedlos an jedermann richten.624 Es liegt nahe, diese bei der Berufsfreiheit hergeleiteten Ergebnisse auf die Wissenschaftsfreiheit zu übertragen. Fordert man einen die Wissenschaftsfreiheit spezifisch betreffenden Eingriff im Sinne einer objektiv wissenschaftsregelnden Tendenz, so ist diese spezifische Eingriffswirkung ebenso wie bei der Berufsfreiheit zu verneinen, denn auch hier gilt, dass von der Durchsicht nach § 110 StPO jedermann unterschiedlos betroffen ist. Die Maßnahme richtet sich also gerade nicht gezielt an oder gegen wissenschaftliche Tätigkeiten. Ob nach der Rechtsprechung des BVerfG dieses Erfordernis einer objektiven Regelungstendenz aber tatsächlich auch bei potentiellen Eingriffen in die Wissenschaftsfreiheit gelten soll, bleibt unklar – eine diesbezügliche Entscheidung wurde, soweit ersichtlich, noch nicht getroffen. Die Übertragung dieses Erfordernisses auch auf den Schutzbereich der Wissenschaftsfreiheit ist auch keinesfalls zwingend, insbesondere weil das BVerfG bei der Pressefreiheit keine derartigen Voraussetzungen aufstellt.625 Eine generelle Regel, dass Normen und Maßnahmen eine bestimmte objektive Regelungstendenz aufweisen müssten, damit der entsprechende Schutzbereich eröffnet ist, lässt sich aus der Rechtsprechung des BVerfG damit ebensowenig herleiten wie eine generelle Entscheidung, dass die §§ 102 ff. StPO ein solches Erfordernis für keinen der Schutzbereiche der Spezialgrundrechte erfüllten. Ob die Durchsicht informationstechnischer Systeme in die Wissenschaftsfreiheit aus Art. 5 Abs. 3 S. 1 GG eingreifen kann, bleibt somit offen. In Übertragung der Überlegungen des BVerfG zur Berücksichtigung der Berufsfreiheit bei der Durchsicht informationstechnischer Systeme, die beruflich genutzt werden, ist aber jedenfalls zu fordern, dass der besondere Schutzgehalt des Grundrechts der Wissenschaftsfreiheit bei der Durchsicht wissenschaftlich genutzter Systeme im Rahmen der Verhältnismäßigkeitsprüfung zu berücksichtigen ist.626 624

BVerfG NJW 2018, 2395 (2396); ausführlich oben Kap. 2 B.III.7. Siehe oben Kap. 2 B.III.6. 626 Vgl. BVerfGE 113, 29 (52 ff.); BVerfG StV 2017, 705 (706); dazu schon oben Kap. 2 B.III.7. 625

204

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

9. Religionsfreiheit Ebenso wie ein Eingriff in die Berufsfreiheit oder die Wissenschaftsfreiheit ist auch ein Eingriff in die Religionsfreiheit denkbar, wenn informationstechnische Systeme durchgesehen werden. Das können beispielsweise Systeme innerhalb von Räumlichkeiten eines religiösen Verbandes sein, aber auch die EDV-Infrastruktur kirchlicher Bereiche, wenn es zum Beispiel um Tatvorwürfe wie Untreue geht (man denke nur an den Fall des Bistums Limburg)627. Auch eine Durchsicht von informationstechnischen Systemen, wie sie möglicherweise innerhalb von Gotteshäusern zum Einsatz kommen, erscheint denkbar. Ebenso könnte der Zugriff auf elektronisch gespeicherte Daten bei einem Geistlichen, die Auskunft über seine Tätigkeiten in der Seelsorge und ihm in diesem Rahmen anvertraute Sachverhalte beinhalten, als Eingriff in Art. 4 Abs. 1, Abs. 2 GG gewertet werden.628 Allerdings muss auch in diesen Fällen gelten, dass die Durchsicht zielgerichtet nach Daten im Zusammenhang mit geschützter religiöser Betätigung suchen muss und sich daraus eine Störung eben dieser Religionsausübung ergibt.629 Daher ist auch hier, ebenso wie bei der Wissenschaftsfreiheit,630 mit Blick auf die neuere verfassungsgerichtliche Rechtsprechung zum Schutzbereich der Berufsfreiheit Zurückhaltung geboten. Laut BVerfG weisen die strafprozessualen Eingriffsnormen des Ersten Buchs 8. Abschnitt der StPO sowie die auf diese Normen gestützten Maßnahmen keine berufsregelnde Tendenz auf, da sie sich unterschiedlos an jedermann richten.631 Überträgt man dieses Erfordernis auf die Religionsfreiheit und fordert man einen Engriff im Sinne einer objektiv religionsregelnden Tendenz, so ist diese spezifische Eingriffswirkung ebenso wie bei der Berufsfreiheit zu verneinen, denn auch hier gilt, dass von der Durchsicht nach § 110 StPO jedermann unterschiedlos betroffen ist und sich Norm und Maßnahme nicht gezielt an oder gegen religiöse Tätigkeiten richten. Das BVerfG hat diese Konstellation mit Bezug auf die Religionsfreiheit allerdings – soweit ersichtlich – noch nicht entschieden, sodass offen bleibt, ob auch bei der Religionsfreiheit oder anderen Spezialgrundrechten das Erfordernis einer objektiven Regelungstendenz gelten soll.632 Ob die Durchsicht informationstechnischer Systeme in die Religionsfreiheit aus Art. 4 Abs. 1, Abs. 2 GG eingreifen kann, bleibt somit offen. In Übertragung der Überlegungen des BVerfG zur Berücksichtigung der Berufs-

627

Vgl. zu diesem Fall Darnstädt, Der Spiegel 30/2015, S. 40 f.; online abrufbar unter htt p://www.spiegel.de/spiegel/print/d-136751572.html [zuletzt abgerufen am 04.11.2021]. 628 Vgl. Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 143. 629 Pötters/Werkmeister, Jura 2013, 5 (10). 630 Zum parallelen Problem oben B.II.2.c)hh). 631 BVerfG NJW 2018, 2395 (2396); ausführlich oben Kap. 2 B.III.7. 632 Vgl. dazu erneut die Diskussion oben Kap. 2 B.III.8.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

205

freiheit bei der Durchsicht beruflich genutzter informationstechnischer Systeme ist aber zu fordern, dass der besondere Schutzgehalt des Grundrechts der Religionsfreiheit bei der Durchsicht von zur Religionsausübung genutzten Systemen im Rahmen der Verhältnismäßigkeitsprüfung zu berücksichtigen ist.633 10. Schutz von Ehe und Familie Von der Durchsicht informationstechnischer Systeme kann auch der Schutz von Ehe und Familie gemäß Art. 6 Abs. 1 GG berührt sein. Obwohl vorrangig als Institutsgarantie ausgestaltet, wird dem Ehe- und Familienschutz auch eine freiheitsrechtliche, d. h. abwehrrechtliche Dimension zugesprochen. Danach hat der Staat Eingriffe in die Freiheitssphäre von Ehe und Familie zu unterlassen.634 Darin liegt insbesondere auch der Schutz der spezifischen Privatsphäre innerhalb von Ehe und Familie.635 Eine Beeinträchtigung dieser spezifischen Privatsphäre von Ehe und Familie kann zum Beispiel darin liegen, dass ein innerhalb der Familie oder Ehegemeinschaft genutztes informationstechnisches System auf Grundlage des § 110 Abs. 3 S. 1 StPO durchgesehen wird und von dort Daten mit Details über die familien- bzw. ehespezifischen Verhältnisse erhoben werden, zum Beispiel in Form von gespeicherten Chatverläufen oder E-Mails. Werden bei der Durchsicht derartige Inhalte erhoben, so tritt der Schutz des Art. 6 Abs. 1 GG ergänzend zum Schutz des IT-Grundrechts hinzu.636 11. Zusammenfassend: Anwendbare Grundrechte und Konkurrenzen Bei der obigen Besprechung der verschiedenen grundrechtlichen Schutzbereiche wurden die einschlägigen Konkurrenzverhältnisse bereits erläutert. Sie sollen hier noch einmal zusammengefasst werden, um die Frage zu beantworten, an welchen Grundrechten eine Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO zu messen ist. Der Schutzbereich des IT-Grundrechts ist nach hier vertretener Auffassung auch bei offenen Zugriffen auf informationstechnische Systeme eröffnet.637 Die Konkurrenzverhältnisse sind daher in Relation zu diesem Schutzbereich zu bestimmen.

633

Vgl. für die akustische Wohnraumüberwachung (Großer Lauschangriff) BVerfGE 109, 279 (326 f.). 634 Stern/Becker/Kotzur/Vasel, Art. 6 Rn. 77. 635 BVerfGE 6, 55 (71 ff.); BeckOK-GG/Uhle, Art. 6 Rn. 21, 25. 636 Vgl. für das Verhältnis von Art. 13 zu Art. 6 GG BVerfGE 109, 279 (326 f.); s. auch Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 173 f. 637 Oben 2.

206

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Bedeutsam ist vor allem das Verhältnis des IT-Grundrechts zum Recht auf informationelle Selbstbestimmung. Dieses ist bei Zugriff auf personenbezogene Daten grundsätzlich berührt – also in der Regel auch beim Zugriff auf informationstechnische Systeme. Bei einem solchen Zugriff steht das Verhältnis zwischen IT-Grundrecht und informationeller Selbstbestimmung also immer in Frage. Das BVerfG hat das IT-Grundrecht als grundsätzlich subsidiär zum Recht auf informationelle Selbstbestimmung ausgestaltet – umstrittenerweise –, dabei aber entschieden, dass das Recht auf informationelle Selbstbestimmung bei einem Zugriff auf ein informationstechnisches System gar nicht einschlägig sei. Nach anderer, konsequenterer Ansicht ist der Schutzbereich der informationellen Selbstbestimmung auch bei Zugriffen auf informationstechnische Systeme eröffnet, wird aber vom spezielleren IT-Grundrecht verdrängt. Im Ergebnis ist der Zugriff auf informationstechnische Systeme jedenfalls am IT-Grundrecht zu messen. Das Recht auf informationelle Selbstbestimmung hat demgegenüber keine eigenständige Bedeutung mehr.638 Als spezielle Ausprägung des Persönlichkeitsschutzes ist das Fernmeldegeheimnis aus Art. 10 GG gegenüber dem IT-Grundrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG vorrangig. Bei der Durchsicht lokaler informationstechnischer Systeme, bei der nur lokal auf dem physisch vorhandenen Zugriffssystem gespeicherte Daten erhoben werden, kann es aber zu keiner Berührung des Fernmeldegeheimnisses des Durchsuchten kommen. Folglich besteht in diesen Fällen gar kein Konkurrenzverhältnis zum IT-Grundrecht.639 Andere Spezialgrundrechte können neben dem IT-Grundrecht zur Anwendung kommen. Das gilt bei einer Mitnahme zur Durchsicht vor allem für das nach Art. 14 GG geschützte Eigentum.640 Ferner können die Schutzbereiche der Pressefreiheit aus Art. 5 Abs. 1 S. 2 Var. 1 GG und der Rundfunkfreiheit aus Art. 5 Abs. 1 S. 2 Var. 2 GG eröffnet sein.641 Diese Grundrechte verdrängen das IT-Grundrecht nicht. Weitere Grundrechte sind zwar nicht zwingend in ihrem Schutzbereich eröffnet, müssen aber, sofern ihr Schutzgehalt tangiert wird, bei der Prüfung der Verhältnismäßigkeit von Maßnahmen berücksichtigt werden. Das gilt insbesondere für die Berufsfreiheit aus Art. 12 Abs. 1 GG642, kann aber je nach Fallgestaltung auch auf die Wissenschaftsfreiheit aus Art. 5 Abs. 3

638

Zum Ganzen oben 3. Zum Ganzen oben 4. 640 Oben 5. 641 Oben 6. 642 Oben 7. 639

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

207

S. 1 GG643, die Religionsfreiheit aus Art. 4 Abs. 1, Abs. 2 GG644 oder den Schutz von Ehe und Familie aus Art. 6 Abs. 1 GG645 übertragen werden. 12. Zwischenergebnis § 110 Abs. 3 S. 1 StPO ermächtigt Ermittler zu potentiell grundrechtsintensiven Eingriffen, die gleich mehrere Schutzbereiche auf einmal berühren können. Mit Blick auf die in § 110 Abs. 3 S. 3 StPO geregelte Kompetenz zur Mitnahme zur Durchsicht in Form von umfassenden Datenkopien stehen dabei besonders intensive Grundrechtseingriffe im Raum (zur Intensitätsbestimmung sogleich unten Kap. 2 B.IV.). Im Falle einer Mitnahme zur Durchsicht in Form des Entzugs der Hardware liegt dabei nicht nur eine Intensivierung ohnehin bestehender Grundrechtseingriffe vor, sondern es besteht mit dem Eingriff in das nach Art. 14 GG geschützte Eigentum ein selbstständiger Grundrechtseingriff eigener Qualität. Das macht die Annahme einer ungeschriebenen Annexkompetenz in § 110 Abs. 1 StPO bzw. § 110 Abs. 3 S. 1 StPO zur Mitnahme von informationstechnischen Systemen zur Durchsicht noch zweifelhafter.646 Bis hierhin wurde in dieser Arbeit lediglich untersucht, welche grundrechtlichen Schutzbereiche von einer Durchsicht informationstechnischer Systeme betroffen sein können. Über die Intensität dieser Eingriffe ist damit aber noch nichts gesagt, mag das Potential tiefgehender Grundrechtseingriffe weiter oben schon angeklungen sein.647 Im Folgenden soll daher die potentielle Intensität der durch die Durchsicht informationstechnischer Systeme bewirkten Grundrechtseingriffe ausführlich dargestellt werden. Erst auf dieser Grundlage lassen sich Schlüsse dahingehend ziehen, inwieweit § 110 Abs. 3 S. 1 StPO als Rechtsgrundlage zur Einhegung dieser Grundrechtseingriffe geeignet ist, oder ob die Norm reformbedürftig ist.

IV. Kriterien zur Bestimmung der Verhältnismäßigkeit und der Eingriffsintensität von Durchsichten informationstechnischer Systeme Es wurde gezeigt, dass die Durchsicht gemäß § 110 Abs. 3 StPO Grundlage für Eingriffe in mehrere grundrechtliche Schutzbereiche sein kann. § 110 Abs. 3 StPO ermächtigt zu Datenerhebungen von potentiell großem Ausmaß mit Bezug zu vielfältigen Lebensbereichen des Betroffenen. Damit stellt sich bei jeder Durchsicht informationstechnischer Systeme die Frage nach der

643

Oben 8. Oben 9. 645 Oben 10. 646 Vgl. zu dieser Fragestellung bereits oben Kap. 2 B.II.4.e). 647 Siehe insbesondere Kap. 2 B.II.2. 644

208

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Verhältnismäßigkeit der Maßnahme im Einzelfall und nach welchen Kriterien diese Verhältnismäßigkeit zu bestimmen ist. Der Grundsatz der Verhältnismäßigkeit staatlichen Handelns entspringt dem Rechtsstaatsprinzip, das in Art. 20 Abs. 3 GG verankert ist. Er wird teils auch aus den jeweils betroffenen Grundrechten selbst, dem Wesen der Grundrechte oder Art. 1 GG hergeleitet.648 Er gilt für sämtliche Bereiche und Formen des staatlichen Handelns. Der Grundsatz der Verhältnismäßigkeit soll sicherstellen, dass der Staat nicht übermäßig in die Grundrechte seiner Bürger eingreift. Der Verhältnismäßigkeitsgrundsatz gebietet, dass das vom Staat gewählte Mittel einem legitimen Ziel dient und dabei geeignet und erforderlich ist dieses Ziel zu erreichen. Zusätzlich müssen die durch das staatliche Handeln bewirkten Grundrechtsbeschränkungen in einem angemessenen Verhältnis zum angestrebten Zweck stehen (Verhältnismäßigkeit im engeren Sinne).649 Im Folgenden soll dargestellt werden, welche Besonderheiten sich bei der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO hinsichtlich der Prüfung der Verhältnismäßigkeit im Einzelfall ergeben können. Dabei soll es nicht darum gehen, § 110 StPO als Gesetz und Eingriffsgrundlage auf seine Verhältnismäßigkeit zu überprüfen. Auch sollen hier nicht konkrete Einzelfälle bewertet werden. Vielmehr soll es darum gehen, die abstrakten Kriterien der Verhältnismäßigkeitsprüfung in Bezug zu Durchsichten informationstechnischer Systeme zu setzen und daraus spezifische Bewertungskriterien für eine Verhältnismäßigkeitsprüfung dieser Maßnahmen im Einzelfall zu entwickeln. Damit soll aufgezeigt werden, welche Einzelkriterien bei einer Verhältnismäßigkeitsprüfung von Durchsichten informationstechnischer Systeme im Einzelfall zu beachten sind, in welchem Verhältnis sie zueinander stehen und wie sie die Verhältnismäßigkeit der Einzelfallmaßnahme prägen können. Ferner wird dadurch abgebildet, wie immens hoch die Eingriffsintensität von Durchsichten informationstechnischer Systeme im Einzelfall sein kann. 1. Legitimer Zweck von Durchsichten informationstechnischer Systeme Bezugspunkt aller weiteren Kriterien der Verhältnismäßigkeit und damit Ausgangspunkt der gesamten Verhältnismäßigkeitsprüfung ist der mit dem staatlichen Handeln verfolgte Zweck. Legitim ist der Zweck in der Regel,

648 Dreier/Schulze-Fielitz, Art. 20 (Rechtsstaat) Rn. 179 mit Nachweisen zu den unterschiedlichen Herleitungen. 649 Gröpl/Windthorst/v. Coelln, Art. 20 Rn. 153, 155; v. Mangoldt/Klein/Starck/Sommermann, Art. 20 Rn. 308; Sachs/Sachs, Art. 20 Rn. 146 ff.; Schmidt-Bleibtreu/Hofmann/ Henneke/Hofmann, Art. 20 Rn. 72 f.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

209

wenn er ein Gemeinwohlziel verfolgt. Das Ziel muss sich nicht, aber kann sich aus der Verfassung ergeben.650 § 110 StPO ist als Norm des Strafprozessrechts auf die Wahrheitsermittlung im Strafverfahren ausgerichtet. Eine effektive Strafrechtspflege gehört zum Auftrag eines rechtsstaatlichen Gemeinwesens und genießt Verfassungsrang.651 Allgemeiner gesprochen ist die Aufklärung von Straftaten wesentlicher Auftrag eines rechtsstaatlichen Gemeinwesens.652 Die Norm des § 110 StPO dient damit ohne Weiteres einem legitimen Ziel. Einzelne Maßnahmen auf Grundlage des § 110 StPO dienen im Rahmen des Strafverfahrens dem legitimen Zweck, im Rahmen der verfassungsrechtlich garantierten effektiven Strafrechtspflege Wahrheitsermittlung zu betreiben, also einen Tatverdacht zu klären. Erst, wenn die Durchsicht verfahrensfremde Zwecke verfolgt, also beispielsweise nur der Ausforschung des Bürgers ohne Bezug zu einem konkreten Tatvorwurf dient, fehlt es an der Verfolgung eines legitimen Zwecks. Dazu gehört auch das Problem, dass per Durchsicht eines informationstechnischen Systems Tatverdachte häufig erst durch die dabei entstehenden Zufallsfunde generiert werden. Führen staatliche Ermittler eine systematische Suche nach Zufallsfunden durch (fishing expedition), um einen bei Beginn der Ermittlungshandlung noch nicht bestehenden Anfangsverdacht erst künstlich zu konstruieren, so verfolgen sie keinen im Rahmen des § 110 StPO zulässigen Zweck, denn Zweck der Durchsicht nach § 110 StPO als Teil einer Durchsuchung ist es, auf Basis eines bereits bestehenden Anfangsverdachts Wahrheitsermittlung zu betreiben und den konkret bestehenden Tatverdacht zu klären. Das künstliche Erzeugen von Tatverdachten ist kein legitimer Zweck einer Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO. Eine systematische Suche nach Zufallsfunden ist unzulässig.653

650 Hufen, Grundrechte, § 9 Rn. 19; Michael/Morlok, Grundrechte, Rn. 614 f.; Sachs/Sachs, Art. 20 Rn. 149. 651 BVerfGE 77, 65 (76); 80, 367 (375); 122, 248 (272 f.); 130, 1 (26); Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 64; krit. Hauck, Heimliche Strafverfolgung, 2014, S. 161. Im Einzelfall kann bei erheblichen Straftaten sogar ein individuelles (Grund-)Recht des Verletzten auf effektive Strafverfolgung bestehen, s. BVerfG NJW 2015, 150; NJW 2020, 675 (676 f.); Beulke/Swoboda, Strafprozessrecht, Rn. 8. 652 BVerfGE 109, 279 (336); dazu Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 509 f.; Hauck, Heimliche Strafverfolgung, 2014, S. 161. 653 LG Berlin NStZ 2004, 571 (572 f.); BeckOK-StPO/Hegmann, § 108 Rn. 4; Cordes/ Pannenborg, NJW 2019, 2973 (2974); Geppert, Jura 2015, 682 (684). Zum Problem von Zufallsfunden bei der Durchsicht informationstechnischer Systeme s. auch unten Kap. 2 B.VIII.

210

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

2. Geeignetheit von Durchsichten informationstechnischer Systeme Nur wenn die staatliche Maßnahme geeignet ist, den verfolgten Zweck wenigstens zu fördern, kann sie verhältnismäßig sein. Es genügt dabei jeder Beitrag zur Zweckerreichung.654 In einem Strafverfahren dienen Ermittlungen dazu, den Sachverhalt so weit zu erforschen, bis entweder genügend Beweise für eine Anklageerhebung aufgrund hinreichenden Tatverdachts gemäß § 170 Abs. 1 StPO vorhanden sind, oder aber anderenfalls der hinreichende Tatverdacht verneint und das Verfahren gemäß § 170 Abs. 2 StPO eingestellt werden muss. Die gesammelten Beweise müssen also vor allem belastbar genug sein, um eine Entscheidung über Anklage oder Einstellung des Verfahrens gemäß § 170 StPO stützen zu können. Ermittlungsmaßnahmen, die von vornherein kein belastbares Beweismaterial zutage fördern können, sind folglich ungeeignet, denn sie fördern nicht den Zweck, den Tatverdacht zu klären. Ob die Durchsicht eines informationstechnischen Systems auf Grundlage des § 110 Abs. 3 StPO geeignet ist, den Tatverdacht zu klären, bestimmt sich nach dem erwarteten Beweiswert der Daten. Ist bereits vor Durchführung der Maßnahme klar, dass die Daten insgesamt keinerlei Beweiswert aufweisen, also vollkommen untauglich zur Klärung des konkreten Tatverdachts sein werden, dann ist die Durchsicht im konkreten Verfahren keine geeignete Ermittlungsmaßnahme und somit unverhältnismäßig. Dass der Beweiswert von elektronischen Daten immer auch zweifelhaft sein kann und aktiv erhalten werden muss, wurde oben bereits angesprochen. Daten müssen erstens so gesichert werden, dass belegbar bleibt, wo und in welcher Form sie gesichert worden sind, ihre Integrität muss also erhalten bleiben. Sie müssen zweitens einem bestimmten informationstechnischen System und idealerweise auch einem Nutzer zuordenbar sein. Außerdem müssen die in ihnen verkörperten Informationen glaubhaft und vailde sein: Nicht jedes vermeintlich objektive Datum gibt tatsächlich Auskunft über die Wahrheit; Daten können in unterschiedlichen Zusammenhängen unterschiedlich interpretiert werden. Die Aussagekraft einzelner Daten darf also nicht überschätzt werden.655 Trotz des unter Umständen zweifelhaften Beweiswerts von elektronischen Daten wird eine Durchsicht informationstechnischer Systeme nur in Ausnahmefällen vollkommen ungeeignet sein. Das erklärt sich zum einen aus dem systematischen Standort der Durchsicht im Gesetz, zum anderen aus dem Zeitpunkt im Ermittlungsverfahren, in dem die Durchsicht durchgeführt wird. Die Durchsicht gemäß § 110 StPO ist der endgültigen Sicherstel654 BVerfGE 67, 157 (173, 175); Hufen, Grundrechte, § 9 Rn. 20; Michael/Morlok, Grundrechte, Rn. 619. 655 Vgl. zu allem bereits oben Kap. 2 B.II.2.b).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

211

lung oder Beschlagnahme von Beweismitteln vorgelagert. Mittels Durchsicht informationstechnischer Systeme soll erst herausgefunden werden, ob sich in einem System Daten befinden, die zur Erhärtung oder Entkräftung des Tatverdachts beitragen können.656 Nur, wenn die Ermittler vorher sicher wissen, dass sich in dem Datensatz keinerlei relevante Daten befinden, ist die Durchsicht ungeeignet zur Klärung des Tatverdachts. In den allermeisten Fällen wird aber, auch getragen von der tatbestandlichen Hürde der Auffindevermutung aus § 102 StPO, gerade eine Vermutung dafür bestehen, dass die Durchsicht eines informationstechnischen Systems zur Klärung des Tatverdachts beitragen wird. Zudem ist die Durchsicht nicht schon deshalb ungeeignet, weil nur ein geringer Beweiswert der Daten zu erwarten ist. Geeignet ist eine Maßnahme nämlich bereits dann, wenn sie den angestrebten Zweck, hier die Ermittlung der Wahrheit und die Aufklärung des Tatverdachts, in auch nur ganz geringer Weise fördert. Unter diesem Aspekt ist auch ein für sich genommen wenig belastbares Datum in der Lage, die Ermittlungen wenigstens ein bisschen zu fördern.657 Darüber hinaus können zunächst wenig aussagekräftige Daten später noch an Beweiswert gewinnen, wenn sie mit weiteren Daten verknüpft werden und sodann in einem größeren Zusammenhang interpretiert werden können. Auch in dieser Hinsicht ist die berühmte Aussage des BVerfG aus dem Volkszählungsurteil, dass es unter den Bedingungen der modernen Datenverarbeitung kein belangloses Datum mehr gebe,658 ernst zu nehmen. Dabei ist freilich darauf zu achten, dass die Daten auch wirklich geeignet erscheinen, den konkreten Tatvorwurf aufzuklären, sie also dem Zweck des konkreten Ermittlungsverfahrens dienen. Daten, die tauglich erscheinen, irgendwelche anderen Sachverhalte und Wahrheiten zu ermitteln oder bloß die Persönlichkeit des Beschuldigten als solche ausforschen, besitzen zwar auch einen Beweiswert, sind für das konkrete Strafverfahren aber in der Regel irrelevant und damit nicht geeignet, den Zweck des konkreten Verfahrens zu fördern. Mit anderen Worten: Die erhobenen Daten müssen auch zum konkreten Tatvorwurf passen; keineswegs kann die Geeignetheit einer Durchsicht allein dadurch begründet werden, dass auch von vornherein verfahrensirrelevante Daten in Zukunft einmal irgendwelchen anderen Zwecken dienen könnten. Im Ergebnis bleibt festzuhalten, dass der Beweiswert elektronisch gespeicherter Daten zwar nicht immer so hoch ist wie zuweilen angenommen wird. Sofern aber auch nur ein geringer Bezug der gesichteten Daten zum konkreten Tatverdacht anzunehmen ist, darf die Durchsicht bereits als geeignet gelten. Die Durchsicht informationstechnischer Systeme wird in einem kon656

Dazu und zur Stellung der Durchsicht im Verfahren bereits oben Kap. 2 B.I, II. Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 186. 658 BVerfGE 65, 1 (45). 657

212

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

kreten Strafverfahren also nur ausnahmsweise völlig ungeeignet und schon deswegen unverhältnismäßig sein. 3. Erforderlichkeit von Durchsichten informationstechnischer Systeme Verhältnismäßig ist eine staatliche Maßnahme nur, wenn sie erforderlich ist, wenn also kein milderes Mittel verfügbar ist, mit dem der erstrebte Zweck in gleich wirksamer Weise gefördert werden kann.659 Die Erforderlichkeit als Teilausschnitt der Verhältnismäßigkeit wurde bereits oben im Zusammenhang mit der Erstellung von Datenkopien ausführlich besprochen.660 Die dort gefundenen Ergebnisse sollen hier zusammengefasst und gegebenenfalls weitergeführt werden. a) Mitnahme / Umfang der mitgenommenen und gesichteten Daten Aus dem Gebot der Erforderlichkeit folgt die Leitlinie, dass der Umfang der gesichteten und gesicherten Daten im Rahmen der (Mitnahme zur) Durchsicht auf das Maß zu beschränken ist, das für die Aufklärung des Tatverdachts notwendig ist. Was das erforderliche Maß ist, bestimmt sich nach den Umständen des Einzelfalls. Dabei steht an erster Stelle der Gedanke, dass eine Mitnahme zur Durchsicht nur streng nach Maßstäben der Erforderlichkeit zulässig ist; dem rechtlichen Regelfall entsprechend ist die Durchsicht beim Durchsuchten vor Ort durchzuführen. In der Praxis ist es aufgrund des Umfangs der Daten aber häufig nicht möglich, sämtliche Daten vor Ort durchzusehen, weshalb eine Mitnahme zur Durchsicht nicht immer, aber regelmäßig erforderlich sein wird.661 Eine Filterung der Daten nach ihrer potentiellen Verfahrensrelevanz noch vor der Mitnahme oder der eigentlichen Durchsicht ist, sofern erfolgversprechend, zwar geboten.662 Häufig aber wird eine solche Filterung nicht gelingen: Die bloße Suche per Stichwörtern im Dateiverzeichnis ist fehleranfällig; leistungsfähige und vor allem zuverlässige Algorithmen sind derzeit nicht breit verfügbar und eher ein Thema für die Zukunft.663 Nicht selten wird ohnehin eine Komplettsicherung des Datensatzes erforderlich sein, um den Beweiswert der erhobenen Daten zu erhalten.664 Die nur teilweise Erhebung der Daten ist demgegenüber zwar das mildere, aber auch 659

BVerfGE 135, 90 (118); Hufen, Grundrechte, § 9 Rn. 21; Michael/Morlok, Grundrechte, Rn. 620 ff. 660 Kap. 2 B.II.2. 661 Oben Kap. 2 B.II. 662 BVerfGE 113, 29 (55 f.). 663 Oben Kap. 2 B.II.2.a). 664 Oben Kap. 2 B.II.2.b).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

213

das weniger effektive Mittel. Unter dem Aspekt der Erhaltung des Beweiswerts der Daten kann deshalb im Einzelfall auch die Mitnahme des gesamten informationstechnischen Systems oder seiner Datenträger geboten sein.665 Hinsichtlich des Umfangs der erhobenen und gesichteten Daten zieht das Gebot der Erforderlichkeit mithin durchaus Grenzen. Diese Grenzen müssen aber weit gezogen werden, weil es bei der Durchsicht informationstechnischer Systeme praktisch schwierig ist, erstens verfahrensirrelevante Daten unberührt zu lassen und zweitens verfahrensrelevante Daten bei Erhaltung des Beweiswerts aufzuspüren und zu sichern. Die manuelle oder auch automatisierte Filterung von Datenbeständen wird oft nicht zuverlässig funktionieren. Es bleibt allerdings zu bemerken, dass allein der Hinweis auf praktische Schwierigkeiten bei der (Mitnahme zur) Durchsicht es nicht rechtfertigt, Daten und Systeme im überbordenden Maß (vorläufig) sicherzustellen. Ermittlungsbehörden haben durch eine angemessene personelle und technische Ausstattung sowie durch eine entsprechende Arbeitsorganisation zu gewährleisten, dass die in einer Durchsicht liegenden Grundrechtseingriffe auf das absolut notwendige Maß begrenzt werden. Die Grenzen des Zulässigen werden überschritten, wenn sich die Ermittlungsbehörden erst durch eine mangelhafte Arbeitsorganisation und durch fehlende technische Ausstattung selbst in eine Lage bringen, in der nur noch eine Komplettsicherung der aufgefundenden Daten oder der gesamten Hardware erfolgversprechend erscheint.666 b) Dauer der Durchsicht Für die Bewertung der Erforderlichkeit der Durchsicht ist auch ihre Dauer bedeutsam. Oft zieht sich die Durchsicht informationstechnischer Systeme über Monate hin. Wenn die Mitnahme zur Durchsicht in Form der Mitnahme der Hardware des informationstechnischen Systems erfolgt, liegt darin ein Eingriff in das grundrechtlich geschützte Eigentum aus Art. 14 GG.667 Insbesondere in diesem Fall ist es erforderlich, die Durchsicht zügig durchzuführen, damit der Nutzer das informationstechnische System zurückerhalten kann.668 Aber auch, wenn Daten lediglich als Kopie zur Durchsicht mitgenommen werden, dürfen diese Daten nur für die erforderliche Dauer bei den Ermittlungsbehörden verbleiben.669 Werden die Daten-

665

Oben Kap. 2 B.II.2.c). Siehe dazu bereits oben Kap. 2 B.II.2.d). 667 Siehe bereits oben Kap. 2 B.III.5. 668 Vgl. Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 476; HK-StPOGercke, § 110 Rn. 10; vgl. auch schon oben Kap. 2 B.II.3 im Zusammenhang mit der Wahrnehmung des Anwesenheitsrechts des Beschuldigten bei der Durchsicht. 669 Dazu Heinson, IT-Forensik, 2015, S. 218. 666

214

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

kopien nicht mehr für eine Durchsicht benötigt, so sind sie zu löschen. Insbesondere haben die Strafverfolgungsbehörden für eine ausreichende personelle und technische Ausstattung sowie eine angemessene Arbeitsorganisation zu sorgen, um die Durchsicht der Daten möglichst zügig durchzuführen und die Dauer der Durchsicht auf das erforderliche Maß zu begrenzen. c) Erforderlichkeit der Durchsicht informationstechnischer Systeme im Einzelfall Zuletzt haben die Ermittlungsbehörden in einem konkreten Verfahren stets zu prüfen, ob es erforderlich ist, dass überhaupt informationstechnische Systeme durchgesehen werden. Das ist insbesondere deshalb wichtig, weil die Durchsicht informationstechnischer Systeme häufig die Mitnahme großer Datenmengen und sogar der Hardware selbst bedingt. Deshalb darf die Entscheidung zur Durchsicht informationstechnischer Systeme im Rahmen einer Durchsuchung nicht reflexhaft oder automatisch erfolgen. Stattdessen müssen die Strafverfolgungsbehörden auch alternative, weniger einschneidende und gleich effektive Alternativen erwägen, mit denen der Tatverdacht geklärt werden kann. Ob das Gebot der Erforderlichkeit den Verzicht auf eine Durchsicht informationstechnischer Systeme erzwingt, ist freilich eine Frage des Einzelfalls. Es sei aber daran erinnert, dass nicht immer eine Auswertung elektronischer Datenbestände erforderlich ist, um einen Tatverdacht zu erhärten oder zu entkräften.670 4. Angemessenheit / Verhältnismäßigkeit im engeren Sinne von Durchsichten informationstechnischer Systeme Die Verhältnismäßigkeit im engeren Sinne verlangt eine angemessene ZweckMittel-Relation zwischen dem mit der Maßnahme verfolgten Zweck und den mit der Maßnahme einhergehenden Grundrechtseingriffen. Die Intensität des Grundrechtseingriffs und das Interesse an der Durchführung der Maßnahme im Hinblick auf die Erreichung des Zwecks müssen gegeneinander abgewogen werden. Die beiden Abwägungsposten dürfen in keinem unangemessenen Verhältnis zueinander stehen.671 Zur Prüfung, ob die Durchsicht eines informationstechnischen Systems angemessen, also verhältnismäßig im engeren Sinne ist, müssen einerseits das Gewicht des Strafverfolgungsinteresses hinsichtlich der in Rede stehenden Straftat und andererseits die Intensität des Grundrechtseingriffs im konkreten Einzelfall bestimmt werden. 670 Ludewig, KriPoZ 2019, 293 (299) bemängelt das Fehlen einer gesetzlichen Subsidiaritätsklausel für Sicherstellung und Durchsicht. Zum entsprechenden Reformbedarf noch unten Kap. 2 B.X.3.c). 671 BVerfGE 120, 274 (321 f.); Hufen, Grundrechte, § 9 Rn. 23; Kingreen/Poscher, Grundrechte, Rn. 340; Michael/Morlok, Grundrechte, Rn. 623, 625 f.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

215

Das Interesse an der Strafverfolgung in Form der Durchführung der konkreten Ermittlungsmaßnahme wird gewichtet nach Kriterien wie der Schwere der (vermuteten) Straftat, der prognostizierten Effektivität der Maßnahme oder der Intensität des Tatverdachts. Es sind allgemeine Kriterien, die nicht spezifisch auf Maßnahmen der hier besprochenen Art, also Durchsichten von informationstechnischen Systemen, zugeschnitten sind. Deshalb sollen sie hier nicht ausführlich besprochen werden.672 Hingewiesen sei hier nur darauf, dass der Anwendungsbereich von § 110 StPO nicht in besonderer Weise anhand der oben genannten Kriterien auf tatbestandlicher Ebene eingegrenzt ist, sondern lediglich durch die allgemeinen Grenzen der Durchsuchung gemäß §§ 102 ff. StPO eingehegt wird. Die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO setzt auf Tatbestandsebene weder eine besondere Auffindewahrscheinlichkeit von Beweismaterial im Sinne einer prognostizierten Effektivität der Maßnahme voraus, noch ist ihre Zulässigkeit an die Verfolgung bestimmter, schwerer Straftaten in Form eines Anlasstatenkatalogs geknüpft. De lege lata wird die Zulässigkeit der Durchsicht informationstechnischer Systeme damit im Wesentlichen durch eine Abwägung von Strafverfolgungsinteresse einerseits und Intensität der Grundrechtsbeeinträchtigung andererseits im Einzelfall bestimmt. Wie zu zeigen sein wird, bedient sich diese Abwägung auch bezüglich der Durchsicht informationstechnischer Systeme weicher Kriterien. Harte Kriterien und Zulässigkeitsgrenzen ergeben sich aus dem Grundsatz der Verhältnismäßigkeit gerade nicht. De lege ferenda ist die Einführung harter tatbestandlicher Schranken für die Durchsicht informationstechnischer Systeme (z. B. in Form eines Anlasstatenkatalogs) aber wünschenswert,673 und das insbesondere angesichts der potentiell hohen Eingriffsintensität der Durchsicht informationstechnischer Systeme, die im Folgenden dargestellt werden soll. Zur Bestimmung der Intensität von Grundrechtseingriffen existieren vielfältige Kriterien.674 Es sind zu einem Großteil solche, die sich auch spezifisch auf Datenerhebungen, Datenauswertungen und Überwachungsmaßnahmen beziehen lassen. Sie sind damit für Maßnahmen auf der Grundlage des § 110 Abs. 3 StPO relevant. Im Folgenden sollen daher verschiedene Kriterien zur Bestimmung der Eingriffsintensität von Ermittlungsmaßnahmen vorgestellt und auf die Durchsicht informationstechnischer Systeme bezogen werden.

672

Überblick über Indikatoren des Strafverfolgungsinteresses bei Degener, Verhältnismäßigkeit, 1985, S. 37 ff.; Niehaus, Katalogtatensysteme, 2001, S. 202 ff.; s. auch Heinson, IT-Forensik, 2015, S. 186 f. 673 Vgl. Heinson, IT-Forensik, 2015, S. 187. Reformvorschläge unten Kap. 2 B.X.3. 674 Umfassender Überblick mit Nachweisen aus der Rechtsprechung bei Löffelmann, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, VI § 3 Rn. 5; s. auch Heinson, IT-Forensik, 2015, S. 184 ff.

216

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

a) Datenmenge Grundsätzlich hat die Menge der erhobenen Daten Einfluss auf die Intensität des Grundrechtseingriffs. Der einfache Zusammenhang lautet: Je mehr Daten bei einer Maßnahme erhoben werden, desto intensiver ist der darin liegende Grundrechtseingriff.675 Wird bei einer Durchsicht gemäß § 110 Abs. 3 StPO lediglich ein einzelner Dateiordner oder sogar nur ein einzelnes Dokument auf einem informationstechnischen System gesichtet, ist der darin liegende Eingriff grundsätzlich weniger intensiv als eine Komplettsichtung des Systems. Die Ausforschung der Persönlichkeit des Betroffenen ist bei Erhebung und Auswertung größerer Datenmengen grundsätzlich tiefgehender, bei Erhebung und Auswertung kleinerer Datenmengen grundsätzlich oberflächlicher. Dabei hängt die Intensität des Eingriffs nicht nur davon ab, wie viele der gesamten Daten eines auf einem informationstechnischen System gespeicherten Datensatzes die Ermittler sichten. Die potentielle Intensität des Grundrechtseingriffs wächst auch mit der absoluten Menge der auf dem System gespeicherten Daten. Mit anderen Worten: Hat der Nutzer auf seinem System von vornherein nicht viele Daten gespeichert, dann begrenzt dies unter dem Aspekt der Menge der Daten bereits von selbst die potentielle Intensität des Eingriffs. Hat der Nutzer dagegen große Mengen an Daten auf seinem System gespeichert, so stehen den Ermittlern bei der Durchsicht größere Datenmengen zur Verfügung, die grundsätzlich auch ein größeres Potential zur Ausforschung der Persönlichkeit des Nutzers bieten. Die maximal mögliche Eingriffsintensität hängt also auch davon ab, wie der Betroffene sein System nutzt und genutzt hat und wie groß der Pool an Daten ist, den er auf dem System durch sein Nutzungsverhalten angelegt hat. Es wäre allerdings zu einfach, die grundrechtliche Intensität einer Durchsicht allein anhand der Menge der erfassten Daten bestimmen zu wollen. Die Maßnahme, die eine größere Menge von Daten erhebt, muss nicht zwangsläufig eingriffsintensiver sein als diejenige Maßnahme, die eine im Vergleich kleinere Menge von Daten erhebt. Selbst eine kleine Menge von Daten, zum Beispiel in Form eines einzelnen Textdokuments mit knappen tagebuchähnlichen Aufzeichnungen, kann weitaus mehr Aufschluss über die Persönlichkeit des Betroffenen geben als beispielsweise eine Reihe riesig angelegter Excel-Tabellen, die weder die Persönlichkeit des Betroffenen noch den Tatverdacht aufklären. Dennoch bietet die Menge der erhobenen Daten einen ersten Anhaltspunkt für die Intensität des Grundrechtseingriffs. Immerhin ist die Chance höher, sensible Daten zu finden und damit umso intensiver in die Grund675

Vgl. BVerfGE 107, 299 (319 f.); 113, 348 (365); 120, 274 (322 f.); 124, 43 (62); Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 66.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

217

rechte des Betroffenen einzugreifen, wenn mehr Datenmaterial erhoben wird. Das gilt insbesondere für eine mit der Durchsicht gemäß § 110 Abs. 3 S. 1 StPO häufig einhergehende Mitnahme zur Durchsicht, bei der der gesamte Datensatz zur späteren Sichtung erhoben wird, sei es in Form einer vollständigen Kopie der Daten gemäß § 110 Abs. 3 S. 3 StPO, sei es in Form der Mitnahme der Hardware.676 Eine solche Komplettsicherung ist hinsichtlich der Menge der Daten bezogen auf ein einzelnes informationstechnisches System als intensivstmöglicher Eingriff anzusehen. Unter dem Aspekt der Menge der Daten kann dieser Eingriff dann nur noch dadurch gesteigert werden, dass nicht nur ein, sondern mehrere informationstechnischen Systeme des Betroffenen vollständig durchgesehen werden. Bei einer derartigen Vorgehensweise gelangen nicht nur die unbedeutenden, sondern auch – sofern vorhanden – die besonders sensiblen Daten in die Hände der Ermittler, sodass man in dieser Konstellation tatsächlich von der großen Menge der Daten auf eine große Beeinträchtigung der Grundrechte des Betroffenen schließen kann. Je größer die Datenmenge ist, desto größer ist grundsätzlich auch die Gefahr, dass ein Persönlichkeitsprofil aus ihnen erstellt werden kann.677 Damit wird deutlich, dass die Erfordernisse der Beweissicherung, wie sie bereits oben beschrieben worden sind678, in einem Spannungsverhältnis zur Angemessenheit der Maßnahme stehen. Einerseits wird eine Komplettsicherung der Daten häufig erforderlich sein, um erstens bei einer Mitnahme zur Durchsicht alle nötigen Daten sichern zu können und zweitens die Authentizität und damit die Beweisqualität dieser Daten zu gewährleisten. Andererseits bewirkt diese Komplettsicherung einen massiven Grundrechtseingriff, dessen Angemessenheit somit schnell in Zweifel geraten kann.679 Im Ergebnis besteht damit ein Dilemma: Die Ermittlungsbehörden müssen den Grundrechtseingriff so gering wie möglich halten, damit er angemessen bleibt, müssen andererseits aber sicherstellen, dass die Daten später im Verfahren als Beweise verwendet werden können – denn sonst kann die Maßnahme ihren Zweck nicht erreichen und ist schon mangels Geeignetheit unverhältnismäßig. b) Art und Vielfalt der Daten Neben der bloßen Menge an Daten bestimmt auch deren Art und Vielfalt die Intensität des Grundrechtseingriffs.680 Leitendes Kriterium ist dabei, welchen

676

Dazu bereits oben Kap. 2 B.II. Zu Persönlichkeitsprofilen noch unten Kap. 2 B.VI. 678 Kap. B.II.2 und Kap. 2 B.IV. 3. 679 Zu diesem Spannungsverhältnis Basar/Hie´ramente, NStZ 2018, 681 (681 f.) 680 Vgl. BVerfGE 120, 274 (322 f.); 124, 43 (62). 677

218

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Grad an Privatheit die erhobenen Daten aufweisen. Je höher die Relevanz eines Datums für die Persönlichkeit des Betroffenen, desto intensiver ist der Grundrechtseingriff, der in der Datenerhebung liegt.681 Oberflächliche Informationen über berufliche Zusammenhänge, zum Beispiel routinemäßige Geschäftstermine, sind grundsätzlich weniger sensibel als Daten über persönliche Gewohnheiten und Vorlieben, die politische Ausrichtung oder das familiäre und partnerschaftliche Beziehungsleben des Betroffenen.682 Hinsichtlich der Art und Vielfalt von Daten gilt weiter: Ermittler können bereits durch die Sichtung allein von Textdokumenten viel über den Betroffenen erfahren und damit dessen Persönlichkeit ausforschen. Sie erhalten aber weitere Perspektiven, wenn sie zusätzlich noch Fotos, Videomaterial oder Audiodateien auswerten. Hierbei steigt die Wahrscheinlichkeit, ein umfassendes Bild über die Persönlichkeit des Betroffenen zu erlangen. Vor allem wächst mit zunehmender Vielfalt der Daten die Gefahr, dass ein Persönlichkeitsprofil des Ausgeforschten entsteht.683 Jedenfalls wird der Eingriff in die Grundrechte durch Rückgriff auf mehrere Dateiarten und damit potentiell mehrere Perspektiven auf die Persönlichkeit des Betroffenen tendenziell vertieft.684 Dabei geht es nicht nur um die Art und Vielfalt der Dateien im technischen Sinne, also ob sich unter den erhobenen Daten auch Videodateien und Bilddateien befinden. Es geht auch darum, wie weitgefächert die Daten in inhaltlicher Hinsicht sind, also wieviele Themen sie in welcher Breite und Tiefe abdecken. Ein Datensatz mit mehreren Dateitypen kann nur ein spezifisches Thema behandeln, zum Beispiel lediglich geschäftliche Angelegenheiten des Betroffenen, die vielleicht ohnehin in der Öffentlichkeit bekannt sind. In diesem Fall bleibt der Eingriff in die Persönlichkeitssphäre des Betroffenen trotz möglicherweise großer Datenfülle und technischer Datenvielfalt auf einen wenig sensiblen Aspekt seines Geschäftslebens limitiert. Betreffen die Daten dagegen mehrere Lebensbereiche des Ausgeforschten, also insbesondere Aspekte seines nicht öffentlichen Privatlebens, so wird der Grundrechtseingriff eher an Intensität gewinnen, denn das Persönlichkeitsbild, das Ermittler so erhalten können, ist vollständiger als in Fällen, in denen die Daten nur auf einen Lebens- oder Persönlichkeitsaspekt beschränkt sind. Die Differenzierung zwischen Inhaltsdaten, Verkehrsdaten und Metadaten ist dagegen weniger relevant für die Bestimmung der Intensität des Grundrechtseingriffs.685 Zwar wird teils vertreten, dass Inhaltsdaten im Ver681

BVerfGE 118, 168 (196 f.). Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 65 f. 683 Vgl. BVerfGE 115, 166 (189 f.); 120, 274 (323). Zu Persönlichkeitsprofilen noch unten Kap. 2 B.VI. 684 Vgl. BVerfGE 107, 299 (319 f.). 685 Vgl. Burchard, ZRP 2019, 164 (165). Zu dieser Differenzierung bereits oben Einl. D.III.2.c). 682

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

219

gleich zu anderen Datentypen regelmäßig sensibler sind.686 Die Sensibilität der Daten kann aber auch ganz unabhängig von ihrer Einordnung als Inhaltsdaten, Verkehrsdaten usw. variieren, sodass in einem Fall tatsächlich ein Inhaltsdatum, in einem anderen Fall aber ein dazugehöriges Verkehrsdatum sensibler ist. So ist der Inhalt einer SMS, die lediglich einen einzigen Smiley enthält (Inhaltsdaten), wenig sensibel und aussagekräftig im Vergleich zur Information, an wen diese SMS wann und von welchem Standort aus versendet worden ist (Verkehrsdaten).687 Eine Durchsicht gemäß § 110 Abs. 3 StPO ist damit grundsätzlich eingriffsintensiver, wenn sie sich nicht nur auf einen Datentyp und einen thematischen Aspekt beschränkt, sondern unter Hinzunahme einer großen Vielfalt von Daten mehrere Lebensbereiche des Betroffenen berührt. Letzteres wird insbesondere dann der Fall sein, wenn ein privat genutztes Gerät im Wege der Mitnahme zur Durchsicht vollständig gesichtet wird. Die Chance, dass hierbei eine detaillierte Ausforschung des Betroffenen möglich wird, ist groß; der darin liegende Grundrechtseingriff ist in der Regel sehr intensiv. c) Dauer der Ausforschung Allgemein ist die Dauer einer Überwachungsmaßnahme ein entscheidender Faktor zur Bestimmung der Intensität des in ihr liegenden Grundrechtseingriffs. Je länger ein Betroffener überwacht wird, desto mehr werden seine Persönlichkeit und sein Leben ausgeforscht und desto tiefgreifender ist der Eingriff in seine Grundrechte.688 Die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO ist keine Maßnahme, die auf eine längerfristige Überwachung abzielt. Vielmehr ist sie ein einmaliger Zugriff, der Daten zu einem bestimmten Zeitpunkt erhebt und keine zukünftigen Entwicklungen auf dem informationstechnischen System überwacht. Das unterscheidet die Durchsicht von der Online-Durchsuchung nach § 100b StPO, die vor allem auf eine längerfristige Überwachung von informationstechnischen Systemen abzielt, um das Verhalten eines Verdächtigen auch in die Zukunft hinein auszuforschen. In dieser Hinsicht ist die Durchsicht nach § 110 Abs. 3 StPO vergleichsweise wenig eingriffsintensiv. Der Faktor der Dauer der Maßnahme spielt bei der Durchsicht aber in anderer Weise eine Rolle. Insbesondere bei einer Mitnahme zur Durchsicht wird sich die anschließende Sichtung der Daten durch die Behörden häufig

686

B. Gercke, GA 2012, 474 (484); Kudlich, GA 2011, 193 (200). Burchard, ZIS 2018, 190 (202 – Fn. 94); ders., ZRP 2019, 164 (166). 688 Vgl. BVerfGE 120, 274 (323 ff.); Degener, Verhältnismäßigkeit, 1985, S. 63; Niehaus, Katalogtatensysteme, 2001, S. 194; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 66. 687

220

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

länger hinziehen, teils sogar über Monate und Jahre.689 Je länger die Durchsicht dauert, desto länger befindet sich der Betroffene im Unklaren darüber, was genau mit seinen Daten geschieht. Dies allein kann den Eingriff in seine Grundrechte vertiefen, namentlich in das allgemeine Persönlichkeitsrecht und seine speziellen Ausprägungen aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Erfolgt die Mitnahme zur Durchsicht im Wege der Mitnahme von Hardware, also von Datenträgern oder dem gesamten informationstechnischen System, wirkt sich die Dauer der Durchsicht noch mehr auf die Intensität des Eingriffs aus, denn die Beeinträchtigung des durch Art. 14 Abs. 1 GG geschützten Eigentums bemisst sich maßgeblich nach der Dauer des Entzugs der Hardware.690 § 110 Abs. 3 S. 1 StPO kann damit Grundlage für in dieser Hinsicht äußerst intensive Grundrechtseingriffe sein. Zu beachten ist außerdem, dass eine länger andauernde Durchsicht in Konflikt mit dem Beschleunigungsgebot aus Art. 6 Abs. 1 EMRK geraten kann.691 d) Heimlichkeit des Zugriffs Die Eingriffsintensität einer Maßnahme bestimmt sich auch danach, ob die Maßnahme offen oder heimlich durchgeführt wird. Wenn Ermittler heimlich agieren, dann kann der Betroffene für die Dauer der Maßnahme nicht darauf reagieren. Er kann sein Verhalten nicht auf die Ermittlungen ausrichten und gibt so möglicherweise unbeabsichtigt weitere private Details aus seinem Leben preis. Ferner kann er keine Rechtsschutzmöglichkeiten ergreifen, wenn er nicht einmal weiß, dass gegen ihn ermittelt wird. Die Möglichkeit zur Kontrolle und Überprüfung der Maßnahme ist ihm damit entzogen. Der Kontrollverlust des Betroffenen ist bei einer heimlichen Maßnahme größer.692 Die Intensität der Beeinträchtigung seiner Grundrechte, insbesondere des allgemeinen Persönlichkeitsrechts inklusive seiner speziellen Ausprägungen, ist bei einer heimlichen Maßnahme also ebenfalls größer.693 689 Vgl. Marberth-Kubicki, Computer- und Internetstrafrecht, Rn. 476. Eine absolute Höchstgrenze für die Dauer der Durchsicht gibt es nicht, die Durchsicht ist aber in angemessener Zeit ohne unzumutbare Verzögerungen durchzuführen, vgl. HK-StPO-Gercke, § 110 Rn. 10; SSW-StPO/Hadamitzky, § 110 Rn. 9. 690 Vgl. Bunzel, Zugriff auf IT-Systeme, 2015, S. 171; allgemein Heinson, IT-Forensik, 2015, S. 186. 691 Wenzel, NZWiSt 2016, 85 (93). 692 Hauck, Heimliche Strafverfolgung, 2014, S. 130; Schwabenbauer, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 74 ff.; ders., Heimliche Grundrechtseingriffe, 2013, S. 165 f. Die Heimlichkeit von Maßnahmen steht damit auch in einem sozialpsychologischen Zusammenhang von Kontrollverlust sowohl auf Seiten der Betroffenen als auch auf Seiten der Strafverfolgung, dazu Zöller, StraFo 2008, 15 (16 f.). 693 Vgl. BVerfGE 107, 299 (321); 113, 348 (384); 115, 320 (353); 118, 168 (197 f.); 120, 274

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

221

Das bedeutet allerdings nicht, dass eine offen durchgeführte Maßnahme stets wesentlich weniger intensiv sein muss als ihr heimlich durchgeführtes Pendant. Erstens wurde oben bereits gezeigt, dass auch andere Faktoren – Menge der erhobenen Daten, Art und Vielfalt der erhobenen Daten, Dauer der Ausforschung – die Intensität des Eingriffs wesentlich mitbestimmen. Zweitens können die Umstände, die eine heimliche Maßnahme mit sich bringt und die ihre Eingriffsintensität prägen – die fehlende Möglichkeit zur Kontrolle und Überprüfung der Maßnahme und der generelle Kontrollverlust des Betroffenen über seine Daten – auch bei einer grundsätzlich offen durchgeführten Maßnahme gegeben sein. Das wird deutlich bei einer Mitnahme zur Durchsicht auf Grundlage des § 110 Abs. 3 StPO, insbesondere bei einer solchen, bei der die gesamten Daten eines informationstechnischen Systems (§ 110 Abs. 3 S. 3 StPO) oder gleich die Hardware des informationstechnischen Systems selbst mitgenommen werden. Sie ist, wie die Durchsicht insgesamt, eine grundsätzlich offene Maßnahme. Der Betroffene erfährt von der Maßnahme und kann sich grundsätzlich im Wege des Rechtsschutzes gemäß § 110 Abs. 4 i. V. m. § 98 Abs. 2 StPO gegen sie zur Wehr setzen. Das unterscheidet die Durchsicht informationstechnischer Systeme von einer Online-Durchsuchung gemäß § 100b StPO. Indes: Auch bei einer offen durchgeführten Durchsicht wird dem Betroffenen der exklusive Zugriff auf seine Daten entzogen, sodass ihm die Kontrolle darüber, wer in seine Daten Einsicht nimmt und was mit ihnen geschieht, nahezu völlig abhanden kommt. Das liegt auch daran, dass eine Durchsuchung als Grundlage einer Durchsicht für den Betroffenen in der Regel überraschend stattfindet.694 Die offene Durchsuchung wird zwar zu ihrem Beginn als solche angekündigt und die Ermittler legen die Maßnahme gegenüber dem Betroffenen offen. Dieser Zeitpunkt wird für den Betroffenen aber häufig zu spät sein, um noch effektive Kontrolle darüber auszuüben, welche Daten in die Hände der Ermittler fallen und welche nicht. Auch bei Offenheit der Maßnahme erleidet der Betroffene also einen Kontrollverlust. Dem Betroffenen verbleibt zwar ein Recht zur Anwesenheit bei Auswertung der Daten, das es ihm theoretisch ermöglicht, die Durchsicht zu begleiten und sie auf ihre Rechtmäßigkeit zu überprüfen.695 Angesichts der Tatsache, dass sich diese Auswertung häufig über Monate hinziehen wird und zudem weit weg vom Wohn- und Arbeitsort des Betroffenen stattfinden kann, wird es für den Betroffenen aber praktisch (325); 124, 43 (62, 65 f.); 141, 220 (269 ff.); Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (49 f.); Niehaus, Katalogtatensysteme, 2001, S. 194 f.; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 66 f. 694 So KG JR 1972, 297 (298); vgl. auch Heinson, IT-Forensik, 2015, S. 206; Kroll, Kernbereichsschutz, 2021, S. 106; Rath, DRiZ 2009, 117. 695 Wobei der Rechtsschutz vor Gerichten schon in praktischer Hinsicht erst ergriffen werden kann, wenn die Maßnahme vorüber ist, vgl. Heinson, IT-Forensik, 2015, S. 201.

222

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

schwierig sein, sein Anwesenheitsrecht effektiv wahrzunehmen.696 Die grundsätzlich offene Maßnahme der Durchsicht nähert sich in ihrer Eingriffswirkung damit einer heimlichen Maßnahme an. Das ist bei der Bestimmung der Intensität des Grundrechtseingriffs, der in der Durchsicht nach § 110 Abs. 3 StPO liegt, zu berücksichtigen. e) Streubreite Ein weiterer Faktor zur Bestimmung der Eingriffsintensität einer Maßnahme ist ihre sogenannte Streubreite. Eine Maßnahme hat eine große Streubreite, wenn sie eine große Zahl von Menschen betrifft und dabei insbesondere solche, die gar nicht Ziel der Ermittlungen sind, also weder beschuldigt noch verdächtig sind. Der Begriff der Streubreite ist also verwandt mit dem Begriff der Drittbetroffenheit, wobei mit Streubreite in der Regel die Betroffenheit einer großen Vielzahl von Dritten beschrieben wird. Je höher die Streubreite einer Maßnahme, desto eingriffsintensiver ist sie und desto genauer ist zu prüfen, ob sie noch verhältnismäßig ist.697 Die Streubreite wird häufig anhand moderner Überwachungsmaßnahmen diskutiert, durch die große Mengen an Daten erhoben und ausgewertet werden. Ein Beispiel dafür ist die Funkzellenabfrage gemäß § 100g Abs. 3 StPO. Hierbei werden die Verkehrsdaten von sämtlichen in einer Funkzelle angemeldeten Mobiltelefonen erhoben, was in Ballungsgebieten durchaus zehntausende Nutzer gleichzeitig bereffen kann.698 Die Zahl mitbetroffener Dritter ist bei dieser Ermittlungsmaßnahme also immens, die Streubreite mithin groß.699 Die Durchsicht nach § 110 Abs. 3 StPO richtet sich in der Regel nur gegen eine Person oder jedenfalls gegen einen überschaubaren Kreis von Personen. Zwar können auch hier massenhaft Daten erhoben werden, diese aber beziehen sich in der Regel auf einen oder mehrere bestimmte Beschuldigte. Die Streubreite einer strafprozessualen Durchsicht ist damit in vielen Fällen im Grundsatz gering. Allerdings liegt sie nicht zwangsläufig bei Null. Zunächst einmal ist die Möglichkeit einer Drittbetroffenheit, also die Berührung von 696 Zum Anwesenheitsrecht und den praktischen Schwierigkeiten bei seiner Wahrnehmung oben Kap. 2 B.II.3. 697 Vgl. BVerfGE 100, 313 (392); 107, 299 (320 f.); 109, 279 (353 ff.); 113, 29 (53 ff.); 113, 348 (383); 120, 274 (323); Niehaus, Katalogtatensysteme, 2001, S. 195 ff.; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 66; Schwabenbauer, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 80; ders., Heimliche Grundrechtseingriffe, S. 2013, S. 176 ff. 698 Vgl. BeckOK-StPO/Bär, § 100g Rn. 47 f.; HK-GS/Hartmann, § 100g StPO Rn. 16; SSW-StPO/Eschelbach, § 100g Rn. 37 ff.; zur bisherigen Praxis Fährmann/Aden/Bosch, KrimJ 2020, 135 (142); Singelnstein, JZ 2012, 601 (602 f.). 699 Vgl. Singelnstein, JZ 2012, 601 (604 ff.); s. auch Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 198 f.; Fährmann/Aden/Bosch, KrimJ 2020, 135 (142).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

223

Rechten unbeteiligter Dritter, auch hier gegeben. Man denke nur an einen von einer Familie gemeinsam genutzten PC, auf dem Daten mehrerer Benutzer gespeichert sind, die bei einer vollständigen Datensicherung durch Ermittler ebenfalls betroffen sind.700 Daten mit Bezug zu Dritten können ebenso in größerer Zahl erhoben werden, wenn auf einem Computer Fotos oder Videos von Urlauben, Veranstaltungen und dergleichen zu finden sind, denn diese Aufnahmen werden neben dem Nutzer des Computers typischerweise auch noch andere Personen zeigen. Drittbetroffenheit entsteht insbesondere, wenn es sich bei durchgesehenen Datenträgern um solche handelt, die in einem Geschäftsbereich mit viel Kundenkontakt genutzt werden, sodass entsprechend viele Kundendaten auf ihnen enthalten sind. Prominentes Beispiel sind Datenträger einer Anwaltskanzlei, bezüglich deren Durchsicht das BVerfG den Faktor der Streubreite ausdrücklich angesprochen hat.701 Von einer relevanten Streubreite kann außerdem dann gesprochen werden, wenn im Zuge der Durchsicht eines informationstechnischen Systems auch Kommunikationsdaten, zum Beispiel Inhalte von E-Mails oder Chats, gesichtet werden. Die gespeicherten Kommunikationsinhalte können durchaus einen Zeitraum von mehreren Jahren umfassen, innerhalb derer der Nutzer des Systems mit einer Vielzahl von Dritten kommuniziert haben kann. Werten die Ermittlungsbehörden diese Daten aus, so erhalten sie zwangsläufig Kenntnis davon, dass diese Dritten mit dem Nutzer des Systems kommuniziert haben. Bei E-Mail-Verteilern, über die Nachrichten an mehrere Personen geschickt werden, können sogar Rückschlüsse darauf gezogen werden, wie diese Dritten miteinander in Verbindung stehen. In E-Mail- und Chatverläufen können zudem in der Regel Originalnachrichten von Dritten gelesen werden. Je nachdem wie groß das soziale oder geschäftliche Netzwerk des Nutzers ist, können so Nachrichten von hunderten Dritten in die Hände staatlicher Stellen gelangen. In solchen Fällen weist die Durchsicht eine immense Streubreite auf.702 Im Ergebnis kann also auch eine strafprozessuale Durchsicht gemäß § 110 Abs. 3 StPO, die auf bloß ein einziges informationstechnisches System beschränkt ist, eine hohe Streubreite entfalten. Dies ist bei der Bestimmung der Intensität des in der Durchsicht liegenden Eingriffs und bei der Bewertung der Verhältnismäßigkeit der Maßnahme zu berücksichtigen.

700 Vgl. Denkowski, Kriminalistik 2007, 177 (179 f.). Zu dieser und weiteren Konstellationen der Drittbetroffenheit siehe noch unten Kap. 2 B.IX. 701 BVerfGE 113, 29 (53). 702 Zur Erhebung von Kommunikationsdaten Dritter BVerfGE 120, 274 (323); Heinson, IT-Forensik, 2015, S. 183.

224

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

f) Anzahl der beeinträchtigten Grundrechte Die Eingriffsintensität wird auch durch die Zahl der Grundrechte bestimmt, die durch die Maßnahme berührt werden. Eine Durchsicht gemäß § 110 Abs. 3 StPO ist zwar – nach hier vertretener Ansicht – maßgeblich am ITGrundrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG zu messen.703 Die Maßnahme kann abhängig von den Umständen des Einzelfalls aber noch weitere grundrechtliche Schutzbereiche berühren. Nicht immer ist ein Eingriff daher nur an einem einzigen Grundrecht zu messen. Neben dem hauptsächlich berührten Grundrecht können noch weitere Grundrechte berührt sein, die den Schutz des Betroffenen ergänzen.704 Der Grundrechtseingriff in die verschiedenen Schutzbereiche ist dann einheitlich zu bewerten. Als Faustregel soltle gelten: Je mehr grundrechtliche Schutzbereiche betroffen sind, desto intensiver ist tendenziell der gesamte Grundrechtseingriff bzw. desto stärker ist der gesamte grundrechtliche Schutz auf Abwägungsebene (sog. „Schutzbereichsverstärkung“, „Schutzbereichskombination“ oder schlicht „Schutzverstärkung“).705 In einem Großteil der Fälle wird die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO im Rahmen einer Wohnungsdurchsuchung gemäß den §§ 102 ff. durchgeführt werden. Diese greift in das Wohnungsgrundrecht aus Art. 13 GG ein. Wenn auch die anschließende Durchsicht des informationstechnischen Systems selbst nicht weiter in Art. 13 GG eingreift,706 so ist das vorgelagerte Geschehen der Durchsuchung ein Eingriff in das Wohnungsgrundrecht, sodass bereits hierdurch mehrere Grundrechte durch die Ermittlungen berührt sind.707 Die Eingriffswirkung zulasten des Betroffen intensiviert sich dadurch. Häufig wird die Durchsicht informationstechnischer Systeme im Wege einer Mitnahme zur Durchsicht außerhalb der Räumlichkeiten des Beschul703

Dazu oben Kap. 2 B.III.2. Vgl. BVerfGE 109, 279 (326 f.). 705 Kromrey, Belastungskumulation, 2018, S. 14 f., 125; Michael/Morlok, Grundrechte, § 4 Rn. 56 mit Überlegungen in R. 59 f. zu einem holistischen Ansatz in der Grundrechtsprüfung, der bei der Gesamtabwägung sämtliche betroffenen Freiheitsrecht berücksichtigt; Ruschemeier, Der additive Grundrechtseingriff, 2019, S. 29, 31 ff.; s. auch Klement, AöR 134 (2009), 35 (51 ff.), der allerdings einen pauschalen Zusammenhang dahingehend bestreitet, dass proportional zur Zahl der berührten Schutzbereiche auch der Grundrechtsschutz insgesamt wachsen muss. Breckwoldt, Grundrechtskombinationen, 2015, S. 51 ff. weist darauf hin, dass der Begriff der „Schutzbereichverstärkung“ tendenziell missverständlich ist, da hierbei weniger die grundrechtlichen Schutzbereiche verstärkt werden, sondern erst auf Ebene der Rechtfertigung die Abwägungsprüfung modifiziert wird, weshalb sie für den allgemeinen Begriff der „Schutzverstärkung“ oder der „Abwägungskombination“ plädiert, s. vert. S. 131 ff., 143 ff., 160 ff. 706 Vgl. BVerfGE 113, 29 (45). 707 Zu Art. 13 GG ausf. oben Kap. 2 B.III.1. 704

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

225

digten stattfinden.708 In Einzelfällen kann es für die Ermittler dabei erforderlich sein, nicht bloß Kopien des durchzusehenden Datenbestandes gemäß § 110 Abs. 3 S. 3 StPO anzufertigen, sondern die zugrunde liegende Hardware, also Festplatten, andere Datenträger oder direkt das informationstechnische System selbst (den Laptop, das Smartphone) mitzunehmen. Dieser Sachentzug bewirkt einen Eingriff in das geschützte Eigentum gemäß Art. 14 GG.709 Auch hierdurch wird die Intensität der Maßnahme also gesteigert. Bei einer Durchsicht informationstechnischer Systeme können aber auch andere Spezialgrundrechte betroffen sein. Ein anschauliches Beispiel ist die Durchsuchung in Redaktionsräumen von Presse- oder Rundfunkunternehmen. Werden hierbei informationstechnische Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO durchgesehen, so steht der dadurch bewirkte Eingriff in das IT-Grundrecht neben dem gleichzeitig bewirkten Eingriff in das Redaktionsgeheimnis und damit die Presse- bzw. Rundfunkfreiheit gemäß Art. 5 Abs. 1 S. 2 GG. Die betroffenen Grundrechte stehen in Idealkonkurrenz zueinander und bilden kombiniert eine höhere Eingriffsintensität ab, als es bei lediglich isolierter Betroffenheit einer der beiden grundrechtlichen Schutzbereiche der Fall wäre.710 Zu nennen ist auch die Berufsfreiheit aus Art. 12 GG. Werden Daten erhoben, die beispielsweise das Mandatsverhältnis zwischen Anwalt und Mandant betreffen, so soll so eine Maßnahme gemäß der Rechtsprechung des BVerfG zwar – mangels berufsregelnder Tendenz – nicht unmittelbar an Art. 12 GG zu messen sein. Ausdrücklich aber fordert das BVerfG dennoch eine Berücksichtigung des Schutzgehaltes des Art. 12 GG bei der Prüfung der Verhältnismäßigkeit der Maßnahme. Die zusätzliche, mittelbare Berührung des Art. 12 GG wirkt sich damit intensivierend auf die Eingriffswirkung der Maßnahme aus.711 Die Liste von unmittelbar betroffenen oder wie im Falle der Berufsfreiheit zumindest mittelbar zu berücksichtigenden Grundrechten ließe sich weiter fortsetzen.712 Je nach Einzelfall können mehrere grundrechtliche Schutzbereiche berührt sein. Das ist bei der Bestimmung der Intensität einer Maßnahme, wie eben der Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO, zu berücksichtigen.

708

Dazu oben Kap. 2 B.II. Dazu oben Kap. 2 B.III.5. 710 S. zum Ganzen bereits oben Kap. 2 B.III.6 mit entsprechenden Nachweisen. 711 Vgl. BVerfGE 113, 29 (48 ff.); zum Ganzen bereits oben Kap. 2 B.III.7. 712 Zu weiteren potentiell betroffenen Grundrechten siehe oben Kap. 2 B.III. 709

226

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

g) Einschüchterung & Gesamtgesellschaftliche Auswirkungen Die oben713 angesprochene Streubreite bezieht sich darauf, wie viele Dritte tatsächlich von einer Maßnahme betroffen werden und deswegen Grundrechtseingriffe hinnehmen müssen. Das BVerfG berücksichtigt darüber hinaus aber auch die gesamtgesellschaftlichen Auswirkungen, die aus einer bloßen Befürchtung überwacht zu werden resultieren. Diese Befürchtung ergibt sich dabei nicht aus einer konkreten Eingriffsmaßnahme, sondern aus der Möglichkeit, dass diese Eingriffsmaßnahme den bzw. jeden Einzelnen treffen kann. Die Furcht vor Überwachung speist sich also daraus, dass eine entsprechende Eingriffsgrundlage vorhanden ist, auf Grund derer gegenwärtig oder in Zukunft Eingriffsmaßnahmen ergriffen werden könnten. Allein die Befürchtung, ausgeforscht werden zu können, kann die freie Entfaltung im Rahmen grundrechtlich geschützter Lebensbereiche hemmen und persönliches Verhalten beeinflussen (chilling effect).714 Das BVerfG spricht dabei insbesondere die Befürchtungen Unverdächtiger an. Auch wenn der Einzelne nicht tatsächlich von einer entsprechenden Maßnahme betroffen ist, kann die Furcht vor Überwachung seine freie Grundrechtsausübung faktisch beinträchtigen. Diese grundrechtseinschränkende Furcht vor Überwachung kann sodann viele Einzelne betreffen und sich somit auf das gesamte gesellschaftliche Leben auswirken. Das BVerfG bezieht regelmäßig auch diese gesamtgesellschaftlichen Effekte in die Prüfung der Verhältnismäßigkeit von Eingriffsgrundlagen ein.715 Eine Durchsicht gemäß § 110 Abs. 3 StPO kann, wie oben gezeigt, durchaus eine relevante Streubreite entfalten.716 Es ist allerdings fraglich, ob die bloße Möglichkeit, Betroffener einer Durchsicht zu werden, tatsächlich für einen nennenswerten Einschüchterungseffekt sorgt, der grundrechtlich geschütztes Verhalten bereits im Vorhinein, also auch ohne tatsächliche Ausforschung des Einzelnen, beeinträchtigt. Zwar mögen solche Effekte tatsächlich entstehen, wie sie potentiell auch durch die Existenz jeder anderen Ein-

713

Kap. 2 B.IV. 4.e). Aernecke, Schutz elektronischer Daten, 2012, S. 171; Schwabenbauer, in: Lisken/ Denninger (Hrsg.), Kap. G Rn. 82; ders., Heimliche Grundrechtseingriffe, 2013, S. 140 ff. mit Nachweisen auch zur Kritik an dieser Theorie; Überblick über empirische Hinweise zur Existenz des chilling effects (und verwandter Phänomene) bei Moll/Schneider, MschrKrim 2021, 92 (94 ff.). S. zum Thema auch Singelnstein/Putzer, GA 2015, 564 (565). 715 Vgl. BVerfGE 109, 279 (354 f.); 113, 29 (46); 113, 348 (382 f.); 115, 166 (188); 120, 274 (323); 125, 260 (332); vgl. auch schon BVerfGE 65, 1 (42 f.); aus der Literatur bspw. Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (50); Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 67; Singelnstein/Putzer, GA 2015, 564 (568 f.). 716 Daraus will Dralle´, Grundrecht auf Gewährleistung, 2010, S. 117 bereits eine grundrechtsrelevante „Furcht vor Überwachung“ ableiten. 714

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

227

griffsgrundlage verursacht werden können: Wer weiß, dass unter bestimmten Voraussetzungen eine Blutentnahme gemäß § 81a Abs. 1 S. 2 StPO gegen ihn zulässig ist, wird sich möglicherweise auch davor fürchten, im Zuge einer Polizeikontrolle zu einer entsprechenden Maßnahme gezwungen zu werden. Trotzdem würde man hier normativ keinen Einschüchterungseffekt annehmen, der Grundrechtsbeeinträchtigungen verursacht, die das gesamtgesellschaftliche Leben hemmen. Damit von einem nennenswerten, grundrechtsrelevanten Einschüchterungseffekt gesprochen werden kann, muss die Eingriffsgrundlage also Maßnahmen vom einigem Gewicht zulassen und das Risiko des Eingriffs in die Grundrechte vieler unverdächtiger Dritter in sich tragen. Die Befürchtung der Überwachung muss sich nach Worten des BVerfG darauf beziehen, dass man „jederzeit und ohne sein Wissen von der Ermittlungsmaßnahme betroffen werden kann.“717 Mitentscheidend ist damit auch, ob die Maßnahme heimlich durchgeführt werden darf. § 110 Abs. 3 StPO erfüllt nicht die Kriterien, die dem BVerfG bei Erörterung von grundrechtsrelevanten Einschüchterungseffekten vorschwebten. Trotz potentiell großer Streubreite ist die Durchsicht grundsätzlich auf einzelne Beschuldigte beschränkt. Obwohl bei einer Mitnahme zur Durchsicht die Auswertung der Daten Ähnlichkeiten zu einem heimlichen Vorgehen aufweist, wird die Maßnahme auch hier grundsätzlich offen vorgenommen. Eine Situation, in der der Adressat der Maßnahme nicht wüsste, dass seine Daten gerade durchgesehen werden, entsteht bei der Durchsicht gemäß § 110 Abs. 3 S. 1 StPO regelmäßig nicht. Folglich wird der durchschnittliche Bürger auch nicht damit rechnen, dass er „jederzeit und ohne sein Wissen von der Ermittlungsmaßnahme betroffen werden kann“. Nennenswerte Einschüchterungseffekte, die grundrechtlich geschütztes Verhalten bereits im Vorfeld einer konkreten Maßnahme beeinträchtigen, lassen sich für § 110 Abs. 3 S. 1 StPO also nicht herleiten.718 Einzig in Kombination mit der Eingriffsgrundlage zur Online-Durchsuchung aus § 100b StPO ließe sich ein nennenswerter Einschüchterungseffekt ableiten. § 100b Abs. 1 StPO ermächtigt Ermittler unter bestimmten Voraussetzungen dazu, heimlich eine Spionagesoftware auf das informationstechnische System eines Beschuldigten (oder auch eines unverdächtigen Dritten, § 100b Abs. 3 S. 2 StPO) aufzuspielen, um somit das System auszuforschen. Um die Maßnahme überhaupt anwenden zu können, müssen Ermittler daher zunächst Wege finden, die Spionagesoftware auf dem Zielsystem zu installieren.719 Dies darf laut der Gesetzesbegründung auch unter Anwendung kri717

BVerfGE 109, 279 (354). Eine relevante Einschüchterungswirkung kann allenfalls bezüglich § 110 Abs. 3 StPO angenommen werden, der eine heimliche Ausforschung Dritter zulässt, s. Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 418 f. 719 Vgl. zu den unterschiedlichen Methoden nur Buermeyer, HRRS 2007, 154 (155 ff.). 718

228

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

minalistischer List geschehen.720 Eine Möglichkeit dazu, die auch bereits öffentlich diskutiert wurde, ist, dass der Laptop eines Beschuldigten, der von diesem im Rahmen einer Sicherheits- oder Grenzkontrolle (zum Beispiel am Flughafen721) abgegeben wird, bei dieser Gelegenheit mit einer Spionagesoftware infiziert wird.722 Denkbar ist nun eine vergleichbare Situation bei einer Mitnahme zur Durchsicht auf Grundlage des § 110 Abs. 1, Abs. 3 S. 1 StPO: Bei dieser kann auch das gesamte informationstechnische System von den Ermittlern mitgenommen werden.723 Die Ermittler erhalten somit grundsätzlich ungehinderten Zugriff auf das System. Ihnen ist es somit faktisch möglich, eine Spionagesoftware auf das System aufzuspielen, bevor sie es an den Beschuldigten zurückgeben. Es sind Fallkonstellationen denkbar, in denen die einfache Durchsicht nach § 110 Abs. 3 S. 1 StPO nicht zu den von den Strafverfolgungsbehörden gewünschten Ergebnissen führt, aber die Voraussetzungen des § 100b Abs. 1 StPO vorliegen, sodass die Gelegenheit genutzt wird, das informationstechnische System zur Durchführung einer OnlineDurchsuchung zwecks Beobachtung des weiteren Datenverkehrs mit einer Spionagesoftware zu infizieren. Ob dieses Vorgehen rechtmäßig wäre, soll hier nicht beurteilt werden.724 Aus der bloßen, mit Einführung des § 100b StPO noch wahrscheinlicher gewordenen Möglichkeit, dass das eigene System mit einer staatlich gesteuerten Spionagesoftware versehen wird, kann durchaus eine Befürchtung der Überwachung und damit ein grundrechtssensitiver Einschüchterungseffekt hergeleitet werden. Indes: Dieser Einschüchterungseffekt knüpft an die Existenz der Rechtsgrundlage zur Online-Durchsuchung aus § 100b StPO an und ist damit ein Problem der Verhältnismäßig-

720

BT-Drs. 18/12785, S. 52; krit. dazu Derin/Golla, NJW 2019, 1111 (1113 f.). So wurde in der Vergangenheit (vor Schaffung des § 100b StPO) bereits vorgegangen, vgl. LG Landshut MMR 2011, 690 und die begleitende Berichterstattung zum Fall: Kraft, Frankfurter Rundschau (Online) v. 04.03.2011, http://www.fr.de/politik/spezials/datensc hutz/online-ueberwachung-trojaner-am-flughafen-aufgespielt-a-933695 [zuletzt abgerufen am 04.11.2021]; Kuri, heise online v. 10.10.2011, https://www.heise.de/newsticker/mel dung/Staatstrojaner-Eine-Spionagesoftware-unter-anderem-aus-Bayern-1358091.html [zuletzt abgerufen am 04.11.2021]. 722 Stellungnahme von Buermeyer zum Gesetzentwurf bzw. der zugrunde liegenden „Formulierungshilfe“ vom 29. Mai 2017, S. 21; Derin/Golla, NJW 2019, 1111 (1112); Roggan, StV 2017, 821 (822); Soine´, NStZ 2018, 497 (501). Der physische Zugriff auf das Zielsystem ist nach Meinung einiger Autoren häufig sogar unerlässliche Vorbereitungsmaßnahme einer Online-Durchsuchung, vgl. Fox, DuD 2007, 827 (828); Sänger, Die Polizei 2015, 228 (229). 723 Siehe bereits oben Kap. 2 B.II.2.c). 724 Gegen die Rechtmäßigkeit mit Verweis auf den offenen Charakter der Durchsuchung Soine´, NStZ 2018, 497 (501), anders ders. a. a. O. jedoch für Fälle, in denen der Betroffene seinen PC zur „freiwilligen Überprüfung“ auf strafbare Inhalte herausgegeben hat. 721

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

229

keit eben dieser Eingriffsgrundlage.725 § 110 Abs. 3 S. 1 StPO allein kann diesen Einschüchterungseffekt dagegen nicht in nennenswerter Weise bewirken. Vor allem ist es nicht typisches Risiko einer (Mitnahme zur) Durchsicht, dass eine Vielzahl von Personen ihre Geräte mit installierter Spionagesoftware von den Ermittlungsbehörden zurückerhalten. Hinsichtlich der Verhältnismäßigkeit des § 110 Abs. 3 S. 1 StPO sind im Ergebnis keine nennenswerten Einschüchterungseffekte oder gesamtgesellschaftlichen Auswirkungen zu berücksichtigen. 5. Zwischenergebnis und Bewertung Es wurde gezeigt, dass § 110 Abs. 3 StPO zu Maßnahmen von hoher Eingriffsintensität ermächtigt. Eine Durchsicht informationstechnischer Systeme kann dabei insbesondere eine potentiell immense Menge an personenbezogenen Daten zutage fördern. Daneben kann sie auch eine hohe Streubreite aufweisen. Im Wege der Mitnahme zur Durchsicht kann dem Betroffenen außerdem das informationstechnische System selbst, also die zugrunde liegende Hardware, für eine Dauer von mehreren Monaten entzogen werden, was einen gewichtigen Eingriff in das geschützte Eigentum aus Art. 14 GG darstellt. Die potentiell hohe Intensität der durch § 110 Abs. 3 StPO ermöglichten Grundrechtseingriffe ist vor allem deshalb bemerkenswert, weil ihr kaum gesetzlich festgelegte Ausgleichs- oder Begrenzungsmechanismen gegenüberstehen. In tatbestandlicher Hinsicht ist § 110 Abs. 3 StPO in das Regelungssystem der Durchsuchung nach §§ 102 ff. StPO eingebunden, wobei § 102 StPO seinerseits kaum Voraussetzungen an die Zulässigkeit einer Durchsuchung und damit auch einer Durchsicht stellt: Neben einem Anfangsverdacht, der zum Betreiben eines Ermittlungsverfahrens ohnehin vorzuliegen hat (vgl. § 152 Abs. 2, 160 Abs. 1 StPO)726, ist lediglich eine richterliche Anordnung nötig, die bei Gefahr im Verzug ersatzweise durch die Staatsanwaltschaft und ihre Ermittlungspersonen getroffen werden kann – wobei die Begrenzungs- und Grundrechtsschutzfunktion des Richtervorbehalts in der Praxis seit Jahrzehnten fortlaufend bezweifelt wird und teils sogar empirisch widerlegt worden ist.727 Eine Eingrenzung auf bestimmte Ver725

Zur Einschüchterung bei der Online-Durchsuchung Aernecke, Schutz elektronischer Daten, 2012, S. 174 f. 726 KMR/Kulhanek, § 152 Rn. 3, 17 ff.; SK-StPO/Weßlau/Deiters, § 152 Rn. 12 ff.; SSWStPO/Schnabl, § 152 Rn. 6. 727 Grundlegend und kritisch zur Ineffektivität des Richtervorbehalts bei der Telekommunikationsüberwachung nach § 100a StPO Albrecht/Dorsch/Krüpe, Rechtswirklichkeit und Effizienz der Überwachung, 2003; S. 17 ff., 23 f., 37 ff.; Backes/Gusy, Telefonüberwachung, 2003, S. 44 ff., 77, 91, 106 ff.; zur Ineffektivität des Richtervorbehalts generell siehe auch Helmken, StV 2003, 193; aus neuerer Zeit Finke, Durchsuchung von Räumlichkeiten, 2009, S. 200 ff.; Meyer-Mews, HRRS 2020, 286; Putzke, StraFo 2016, 1 (4 ff.).

230

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

dachtstaten in Form eines Anlasstatenkatalogs findet sich ebenso wenig wie Subsidiaritätsklauseln, weder für die Durchsuchung allgemein, noch speziell für die Durchsicht von von informationstechnischen Systemen gemäß § 110 Abs. 3 S. 1 StPO. Die Zulässigkeit der Durchsicht wird damit inhaltlich im Wesentlichen durch ungeschriebene Verhältnismäßigkeitserwägungen bestimmt. Diese entfalten ihre begrenzende Wirkung aber erst durch Abwägung im Einzelfall. Sie schaffen keine abstrakten harten und klaren Grenzen für die Durchsicht informationstechnischer Systeme. Angesichts der potentiell hohen Eingriffsintensität des § 110 Abs. 3 StPO wären klarere Begrenzungen, zum Beispiel in Form eines Anlasstatenkatalogs oder expliziter Subsidiaritätsklauseln, mindestens wünschenswert.728 Aus den obigen Erläuterungen zur Verhältnismäßigkeit der Durchsicht informationstechnischer Systeme wurden zwei Aspekte ausgeklammert. Sie bilden aufgrund ihres Bezugs zur unantastbaren Menschenwürde gemäß Art. 1 Abs. 1 GG starre Grenzen innerhalb der Prüfung der Verhältnismäßigkeit von Eingriffen und sollen deshalb im Folgenden gesondert besprochen werden. Es ist zum einen der Schutz des Kernbereichs privater Lebensgestaltung, zum anderen das Verbot der Rundumüberwachung bzw. der Bildung von Persönlichkeitsprofilen.

V. Kernbereich privater Lebensgestaltung Es wurde bereits dargelegt, dass die Durchsicht informationstechnischer Systeme intensiv in mehrere grundrechtliche Schutzbereiche eingreifen kann. Das gilt umso mehr, wenn im Zuge einer Mitnahme zur Durchsicht vollständige Kopien von Datensätzen angefertigt werden oder die Ermittler die physischen Datenträger oder komplette informationstechnische Systeme mitnehmen. Die darüber hinaus gehende Frage, die sich bei einer Komplettsicherung von Datensätzen stellt, wurde weiter oben ebenfalls bereits angerissen: Läuft eine Komplettsicherung von Daten eines informationstechnischen Systems nicht zwangsläufig Gefahr, den unantastbaren Kernbereich der privaten Lebensgestaltung des Betroffenen zu berühren und damit die unantastbare Menschenwürde gemäß Art. 1 Abs. 1 GG zu verletzen?729 1. Schutzgehalt des unantastbaren Kernbereichs privater Lebensgestaltung Der verfassungsrechtliche Schutz des Kernbereichs privater Lebensgestaltung hat seine Grundlage in Art. 1 Abs. 1 GG. Zuweilen wird er zusätzlich aus der Wesensgehaltsgarantie des Art. 19 Abs. 2 GG hergeleitet.730 Er schützt 728

Vgl. Heinson, IT-Forensik, 2015, S. 187. Reformvorschläge unten Kap. 2 B.X.3. S. bereits oben Kap. 2 B.II.2.d). 730 Vgl. BVerfGE 80, 367 (371 f.); Dammann, Der Kernbereich der privaten Lebensge729

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

231

einen unantastbaren Menschenwürdekern, der dem Zugriff staatlicher Stellen entzogen ist.731 Besonders deutlich wird dies beim allgemeinen Persönlichkeitsrecht und seinen speziellen Ausprägungen, die ihre Grundlage in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG haben. Durch die Mitzitierung des Art. 1 Abs. 1 GG wird besonderes Augenmerk auf den unantastbaren Menschenwürdekern des Grundrechts gelegt.732 Aber auch wenn andere Grundrechte betroffen sind – so zum Beispiel das Wohnungsgrundrecht aus Art. 13 GG oder das Fernmeldegeheimnis aus Art. 10 GG – ist in Verbindung mit Art. 1 Abs. 1 GG ein unverfügbarer Menschenwürdekern garantiert.733 Der Schutz dieses Kernbereichs soll absolut gelten. Ein Eingriff in diesen Menschenwürdekern, den unantastbaren Kernbereich der Persönlichkeit des Menschen, kann niemals gerechtfertigt sein, nicht einmal durch überragende Interessen der Allgemeinheit.734 Der Kernbereich privater Lebensgestaltung wird besonders durch heimliche Ermittlungsmaßnahmen gefährdet.735 Der Schutz des Kernbereichs ist aber nicht auf Situationen heimlicher Ermittlungen beschränkt: Auch offen durchgeführte Maßnahmen finden ihre Grenze am Kernbereich privater Lebensgestaltung, diese Grenze gilt für heimliche wie offene Zugriffe gleichermaßen.736 Zum Kernbereich privater Lebensgestaltung gehört die Möglichkeit, innere Vorgänge wie intime Empfindungen und Gefühle, Gedanken und Überlegungen, Ansichten und Erlebnisse höchstpersönlicher Natur zum Ausdruck zu bringen, ohne Angst haben zu müssen, dass staatliche Stellen dies staltung, 2011, S. 28 ff.; Dralle´, Grundrecht auf Gewährleistung, 2010, S. 21 f.; Gröpl/Windthorst/v. Coelln, Art. 2 Rn. 106; Guttenberg, NJW 1993, 567 (571); Hong, Menschenwürdegehalt, 2019, S. 446; Stern/Becker/Horn, Art. 2 Rn. 117; Warntjen, KJ 2005, 276 (278); gegen eine Herleitung aus Art. 19 Abs. 2 GG explizit Kroll, Kernbereichsschutz, 2021, S. 10 f. 731 BVerfGE 80, 367 (373); 141, 220 (276). 732 Vgl. Dreier/Dreier, Art. 2 I Rn. 69; Gröpl/Windthorst/v. Coelln, Art. 2 Rn. 67; Schmidt-Bleibtreu/Hofmann/Henneke/Hofmann, Art. 2 Rn. 14; vgl. aber auch Stern/Becker/Horn, Art. 2 Rn. 117. 733 Vgl. BVerfGE 141, 220 (276 f.); Becker, NVwZ 2015, 1335 (1337); Gurlit, NJW 2010, 1035 (1039); Guttenberg, NJW 1993, 567 (570 f.); Hong, Menschenwürdegehalt, 2019, S. 441 f.; Jarass/Pieroth, Art. 1 Rn. 23; Kutscha, NJW 2007, 1169 (1171); Puschke/Singelnstein, NJW 2005, 3534 (3537); Reiß, StV 2008, 539 (540); Schneider, JuS 2021, 29 (30); Weiß, Online-Durchsuchungen, 2009, S. 188; weiterführend Barrot, Kernbereich, 2012, S. 127 ff.; Dammann, Der Kernbereich der privaten Lebensgestaltung, 2011, S. 26 ff. 734 BVerfGE 80, 367 (373 f.); 109, 279 (313 f.); 120, 274 (335); 141, 220 (276). 735 Vgl. BVerfGE 120, 274 (335 ff). 736 Vgl. BVerfGE 80, 367; 124, 43 (69 f.); Glaser/Gedeon, GA 2007, 415 (431); Kühne, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 85 (94); Löffelmann, in: Dietrich/Eiffler (Hrsg.), VI § 3 Rn. 7; Michalke, StraFo 2008, 287 (291); Reiß, StV 2008, 539 (540); Singelnstein, NStZ 2014, 305 (311); Singelnstein/Putzer, GA 2015, 564 (570); Wolter, GA 2007, 183 (198); Ziebarth, Online-Durchsuchung, 2013, S. 234; Zöller, StraFo 2008, 15 (21).

232

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

überwachen. Vom Schutz umfasst sind auch Äußerungen des unbewussten Erlebens sowie Ausdrucksformen der Sexualität.737 Ebenfalls zum Kernbereich privater Lebensgestaltung gehören intime, höchstpersönliche Gespräche mit Vertrauenspersonen, die in der berechtigten Annahme geführt werden, dass sie nicht überwacht werden.738 Welche Sachverhalte zum Kernbereich privater Lebensgestaltung gehören, kann nicht im Vorhinein verbindlich und abstrakt beschrieben werden. Die Zuordnung eines Sachverhaltes zum Kernbereich muss vielmehr anhand der Besonderheiten des Einzelfalls erfolgen.739 Als Leitfrage lässt sich formulieren, ob und wie intensiv der Sachverhalt nach seinem Inhalt allein höchstpersönliche Belange oder Belange anderer und der Gemeinschaft berührt.740 So spricht zum Beispiel ein Geheimhaltungswille des Betroffenen für eine Zuordnung des Sachverhalts zum Kernbereich, ein fehlender Geheimhaltungswille dagegen.741 Geleitet werden kann die Zuordnung außerdem von weiteren nicht abschließenden Kriterien, die insbesondere für die Überwachung von Kommunikation erarbeitet worden sind: Thematik der Kommunikation, Vertrauensverhältnis der miteinander Kommunizierenden, Anzahl der Kommunizierenden und die räumliche Situation der Kommunikation.742 Illustriert werden kann die Zuordnung eines Sachverhalts zum Kernbereich privater Lebensgestaltung am Beispiel eines persönlichen Tagebuchs: Dieses wird vom Autor üblicherweise in der Erwartung geschrieben werden, dass nur er und niemand anderes darin Einsicht nimmt; der Autor hegt hier also Wille und Erwartung an die Geheimhaltung der Tagebuchinhalte. Zudem wird es sich bei Tagebuchaufzeichnungen nicht zwangsläufig, aber häufig auch um höchstpersönliche Inhalte handeln, also insbesondere um solche, die intime innere Vorgänge wie Empfindungen, Gefühle und geheime Überlegungen betreffen. Daher werden Tagebücher und tagebuchähnliche Aufzeichnungen bzw. deren Inhalte üblicherweise dem unantastbaren Kernbereich privater Lebensgestaltung zugeordnet werden müssen, mit der Folge, dass staatlichen Stellen der Zugriff verwehrt ist.743 Tagebuchaufzeichnungen 737

BVerfGE 109, 279 (313 ff.); 120, 274 (335); 141, 220 (276). BVerfGE 109, 279 (314); 141, 220 (276). 739 BVerfGE 80, 367 (374); BGHSt 57, 71 (74). 740 BVerfGE 80, 367 (374 ); 109, 279 (314 f.); vgl. auch Baldus, JZ 2008, 218 (219). 741 S. Barrot, Kernbereich, 2012, S. 106 ff., jedoch mit Zweifeln an der Tauglichkeit als Indikator auf S. 172 ff.; einschränkend auch Schneider, JuS 2021, 29 (30); positiver Kroll, Kernbereichsschutz, 2021, S. 29 f. 742 Überblick bei Barrot, Kernbereich, 2012, S. 106 ff.; B. Gercke, GA 2015, 339 (343 f.) und Kudlich, FS Fischer 2018, 723 (728 ff.); vert. Dammann, Der Kernbereich der privaten Lebensgestaltung, 2011, S. 36 ff.; Löffelmann, in: Dietrich/Eiffler (Hrsg.), Handbuch des Rechts der Nachrichtendienste, VI § 3 Rn. 6 ff.; Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 58 ff. 743 Vgl. BVerfGE 120, 274 (335 f.); siehe zur historischen Entwicklung der diesbezüglichen Rechtsprechung Barrot, Kernbereich, 2012, S. 39 ff., 54 ff. 738

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

233

gehören aber nicht schlechthin zum unantastbaren Kernbereich privater Lebensgestaltung. Eine andere Bewertung soll sich nach (umstrittener) Rechtsprechung des BVerfG nämlich bereits dann ergeben, wenn die fraglichen Aufzeichnungen niedergeschriebene Gedanken und Gefühle über Straftaten beinhalten – dann soll auch die Sphäre anderer und der Gemeinschaft berührt sein können. Aufzeichnungen über geplante oder begangene Straftaten sollen demgemäß nicht zwangsläufig zum unantastbaren Kernbereich privater Lebensgestaltung gehören.744 Demgegenüber hat der BGH Selbstgespräche in einem Auto auch trotz Bezugs zu begangenen Straftaten dem unantastbaren Kernbereich zugeordnet, weil sich die Art der Selbstgespräche in ihrer Flüchtigkeit nicht von bloßen Gedanken unterschied und damit als ausschließlich der inneren Sphäre des Sprechers zugehörig angesehen wurde.745 Für die Durchsicht nach § 110 Abs. 3 S. 1 StPO und die vorgelagerte Mitnahme zur Durchsicht kommt, wie oben bereits dargelegt, häufig nur eine Komplettsicherung ganzer Datensätze gemäß § 110 Abs. 3 S. 3 StPO oder sogar die Mitnahme von Speichermedien und informationstechnischen Systemen selbst in Betracht.746 Das hat zur Folge, dass etwaige Daten mit Bezug zum unantastbaren Kernbereich privater Lebensgestaltung notwendigerweise mitkopiert und in den Gewahrsam der Ermittlungsbehörden gelangen werden. Tatsächlich ist es hochwahrscheinlich, dass sich auf einem informationstechnischem System wie einem Desktop-Computer, einem Laptop oder einem Smartphone auch kernbereichsrelevante Daten befinden.747 Von in elektronischer Form geführten Tagebuchdateien über Daten mit Bezug zu intimen sexuellen Vorlieben bis hin zu vertraulicher Kommunikation in Form privater E-Mails und Chatlogs ist alles möglich und angesichts moderner Nutzungsgewohnheiten – der Computer als „ausgelagertes Gehirn“748 – auch üblich.749 Dabei sind es in erster Linie zu privaten Zwecken genutzte 744 BVerfGE 80, 367 (374 f.) mit einschränkenden Hinweisen in BVerfGE 141, 220 (277); ausf. dazu Barrot, Kernbereich, 2012, S. 54 ff.; Schwabenbauer, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 103 ff.; vgl. auch Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 520 ff.; Hong, Menschenwürdegehalt, 2019, S. 503 ff. 745 BGHSt 57, 71 (75 ff.); dazu Eschelbach/Wasserburg, FS Wolter 2013, 877 (886). 746 Oben Kap. 2 B.II.2. 747 Vgl. Heinson, IT-Forensik, 2015, S. 189; Ludewig, KriPoZ 2019, 293 (299); Weiß, Online-Durchsuchungen, 2009, S. 197 f. 748 So die Formulierung von Burkhard Hirsch, s. Der Spiegel 6/2007, S. 18, abrufbar unter http://magazin.spiegel.de/EpubDelivery/spiegel/pdf/50424594 [zuletzt abgerufen am 04.11.2021]. Vgl. dazu bereits oben Einl. B. 749 Vgl. BVerfGE 120, 274 (335 ff.); 141, 220 (304); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 204; Jahn/Kudlich, JR 2007, 57 (59 – Fn. 20); Kroll, Kernbereichsschutz, 2021, S. 40 f.; Redler, Online-Durchsuchung, 2012, S. 108; Schantz, KritV 2007, 310 (323); a. A. Bär, MMR 2007, 239 (242), allerdings ohne dies zu begründen.

234

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Geräte, die höchstpersönliche Daten enthalten. Aber auch zu beruflichen Zwecken genutzte Geräte (Der PC im Büro, das Diensthandy) können höchstpersönliche Daten beinhalten. Eine gemischte Nutzung von Geräten, also sowohl zu beruflichen als auch zu privaten Zwecken, ist nicht unüblich. Plastisch ausgedrückt: In der Mittagspause kann auch vom Bürorechner aus eine intime Mail an den Ehepartner versandt, nach Krankheitssymptomen im Internet recherchiert oder die nächste psychotherapeutische Sitzung terminiert werden. Zwar mag es ebenso Geräte geben, die tatsächlich strikt und ausschließlich für geschäftliche Zwecke benutzt werden und daher keinerlei höchstpersönliche Daten mit Kernbereichsrelevanz enthalten. Von außen ist das den Geräten aber nicht anzusehen. Das Risiko der Berührung kernbereichsrelevanter Inhalte besteht damit grundsätzlich bei jedem informationstechnischen System, das durch Menschen benutzt wird, und angesichts der potentiellen Datenfülle ist dieses Risiko grundsätzlich erhöht.750 Die Komplettsicherung von Datensätzen aus informationstechnischen Systemen wird daher zumeist auch Daten aus dem Kernbereich privater Lebensgestaltung berühren, und zwar bereits durch ihre bloße Erhebung und nicht erst durch ihre tatsächliche Auswertung. Der Kernbereich privater Lebensgestaltung soll seiner Konzeption nach aber gerade absolut geschützt, also dem Zugriff staatlicher Stellen vollkommen entzogen, mithin unantastbar sein. Die bei der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO in vielen Fällen zwangsläufige (Mit-)Erhebung kernbereichsrelevanter Daten erscheint damit auf den ersten Blick als Verstoß gegen die Menschenwürde – und damit als absolut unzulässig. Das BVerfG zieht diese Konsequenz allerdings nicht. Stattdessen versucht die neuere verfassungsgerichtliche Rechtsprechung die unvermeidbare Berührung von kernbereichsrelevanten Daten in einem zweistufigen Schutzkonzept einzuhegen, das zwischen der Erhebungsphase und der Auswertungsphase von Daten unterscheidet. 2. Das zweistufige Schutzkonzept des BVerfG a) Erste Stufe: Vermeidung von Kernbereichsberührungen in der Erhebungsphase Im Einklang mit seiner ständigen Rechtsprechung zur Unantastbarkeit des Kernbereichs privater Lebensgestaltung vertritt das BVerfG weiterhin den Grundsatz, dass jegliche Erhebung von kernbereichsrelevanten Informationen zu vermeiden ist. Dieser Schutz von kernbereichsrelevanten Daten in der Erhebungsphase bildet die erste Stufe des zweistufigen Schutzkonzeptes des BVerfG. Dabei sind insbesondere Maßnahmen, die gezielt auf Informa-

750

Vgl. die allgemeine Formulierung in BVerfGE 120, 274 (336).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

235

tionen aus dem Kernbereich zugreifen sollen, unzulässig.751 Die Ermittler haben zudem alle geeigneten Vorkehrungen zu treffen, um so weit wie möglich sicherzustellen, dass bei der Maßnahme kernbereichsrelevante Daten nicht erhoben werden, also auch nicht ungezielt oder versehentlich.752 Zu diesen Vorkehrungen gehören auch automatisierte Verfahren der Datentrennung oder sonstige informationstechnische Lösungen, mit denen kernbereichsrelevantes Material vorab ausgesondert werden soll, damit es gar nicht erst Bestandteil einer Datenkopie durch die Behörden wird.753 Nur wenn schon vor oder bei der Maßnahme eine bestimmte (einzelne) Datenerhebung ausgemacht werden kann, die kernbereichsrelevante Daten berühren wird, hat die Maßnahme zu unterbleiben.754 Eine Ausnahme davon gilt, wenn konkrete Anhaltspunkte dafür bestehen, dass Verdächtige belastendes Material gezielt mit kernbereichsrelevanten Daten vermischen, mit dem Ziel, einen staatlichen Zugriff auf diese Daten zu verhindern, also wenn Verdächtige gewissermaßen eine gezielte Flucht in den Kernbereich bezwecken. In diesem Fall dürfen die Behörden die Maßnahme dennoch durchführen.755 b) Zweite Stufe: Schutz in der Auswertungsphase durch Verfahrensvorschriften In vielen Fällen können die Ermittler auch unter Ausschöpfung aller zur Verfügung stehenden Mittel nicht vor oder bei der Maßnahme klären, ob sich unter den zu erhebenden Daten auch solche mit Bezug zum Kernbereich privater Lebensgestaltung befinden. Die Maßnahme darf in diesem Fall dennoch stattfinden.756 In der Konsequenz bedeutet also nicht jede Erfassung kernbereichsrelevanter Daten automatisch einen Verfassungsverstoß oder eine Menschenwürdeverletzung.757 Allerdings muss dann auf einer zweiten Stufe, der Auswertungsphase, die Intensität der Kernbereichsberührung möglichst gering gehalten werden. Um herauszufinden, ob sich unter den erhobenen Daten kernbereichsrelevante Inhalte befinden, dürfen diese Inhalte dann zunächst von den Ermittlern zur Kenntnis genommen werden.758 Der Gesetzgeber hat dabei durch geeignete Verfahrensvorschriften Sorge zu tragen, dass der Kernbereich privater Lebensgestaltung bestmöglich ge751

BVerfGE 141, 220 (278). Vgl. BVerfGE 109, 279 (320 ff.) (bzgl. Abhörmaßnahmen); BVerfGE 120, 274 (338); 141, 220 (278). 753 BVerfGE 120, 274 (338). 754 BVerfGE 120, 274 (338). 755 BVerfGE 120, 274 (338); krit. Birkenstock, Online-Durchsuchung, 2013, S. 51 f. 756 BVerfGE 120, 274 (338); Baldus, JZ 2008, 218 (220); Barrot, Kernbereich, 2012, S. 92. 757 BVerfGE 141, 220 (278). 758 BVerfGE 80, 367 (374 f.); 109, 279 (323 f.); 120, 274 (339). 752

236

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

schützt wird.759 Werden bei der Durchsicht der erhobenen Daten kernbereichsrelevante Inhalte entdeckt, so sind diese Inhalte unverzüglich zu löschen; eine Weitergabe oder Verwertung dieser Daten ist zwingend auszuschließen.760 Ob bei der Phase der Auswertung eine unabhängige Stelle zur Sichtung hinzugezogenen werden muss, hängt von der Art der Überwachungsmaßnahme ab: Je verlässlicher auf der Erhebungsphase die Erhebung kernbereichsrelevanter Daten vermieden werden kann, desto eher kann in der Auswertungsphase auf eine Filterung der Daten durch eine unabhängige Stelle verzichtet werden.761 c) Relevanz für die Durchsicht nach § 110 Abs. 3 S. 1 StPO Eine auf § 110 Abs. 3 S. 1 StPO gestützte Komplettsicherung der Daten von einem informationstechnischen System, wie zum Beispiel einem Laptop oder einem Smartphone, wird mit großer Wahrscheinlichkeit auch zur unbeabsichtigten Erhebung von kernbereichsrelevanten Daten führen.762 Darin liegt nach dem zweistufigen Schutzkonzept des BVerfG aber kein Menschenwürdeverstoß, der die Durchsicht unzulässig machen würde. Vielmehr dürfen die Ermittler in Kauf nehmen, dass bei der Durchsicht auch kernbereichsrelevante Daten miterhoben werden, sofern im Vorhinein alle zumutbaren Maßnahmen ergriffen wurden, um den Beifang dieser Daten zu verhindern. Dabei konstatiert das BVerfG ausdrücklich, dass insbesondere beim heimlichen Zugriff auf informationstechnische Systeme die Erhebung auch kernbereichsrelevanter Daten unvermeidbar sei. Auch durch technische Suchoder Ausschlussmechanismen könnten kernbereichsrelevante Daten nicht zuverlässig als solche bestimmt und ausgesondert werden.763 Dieses Problem besteht aber nicht nur für den heimlichen Zugriff auf informationstechnische Systeme, sondern ebenso für offen erfolgende Zugriffe. Die Schwierigkeiten bei der automatisierten Trennung von verfahrensrelevantem und verfahrensirrelevantem Material wurden weiter oben bereits erläutert.764 Sie bestehen entsprechend bei der Trennung von kernbereichsrelevantem und kernbereichsirrelevantem Material und intensivieren sich hier sogar noch. Nicht nur wird bei Mitnahme von Daten zur Durchsicht, also vor der eigentlichen Durchsicht und damit in der Erhebungsphase, eine aufwendige automatisierte Suche unter Hinzunahme moderner Algorithmen und Künstlicher In759

Zusammenfassend Baldus, JZ 2008, 218 (220 f.). Zum Ganzen BVerfGE 120, 274 (338 f.); 141, 220 (278 ff.). 761 BVerfGE 141, 220 (279 f.). 762 Heinson, IT-Forensik, 2015, S. 189; vgl. auch Baldus, JZ 2008, 218 (226 f.): Kroll, Kernbereichsschutz, 2021, S. 40 f. 763 BVerfGE 120, 274 (337); zustimmend Barrot, Kernbereich, 2012, S. 168; Gudermann, Online-Durchsuchung, 2010, S. 206; Weiß, Online-Durchsuchungen, 2009, S. 202 f. 764 Kap. 2 B.II.2.a). 760

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

237

telligenz in der Regel nicht möglich sein. Auch wird eine automatische Erkennung und Aussonderung kernbereichsrelevanter Daten bei der Durchsicht selbst, also der eigentlichen Auswertungsphase, fehlschlagen. Der Grund dafür liegt vor allem darin, dass die Zuordnung eines Sachverhalts zum unantastbaren Kernbereich nur im Einzelfall anhand verschiedener Kriterien durch wertende Betrachtung entschieden werden kann. Die Grenzen des unantastbaren Kernbereichs sind damit per se unscharf, die Kriterien für seine Bestimmung weich.765 Eine vollständige zuverlässige automatisierte Aussonderung von kernbereichsrelevanten Daten wird daher mangels harter und damit von Computern anwendbaren Einordnungskriterien wahrscheinlich auch in naher Zukunft weder in der Datenerhebungsphase, noch in der Auswertungsphase zuverlässig möglich sein.766 Folglich muss – jedenfalls in Grenzfällen – ein Mensch die Daten inhaltlich sichten und anhand ihrer Kernbereichsrelevanz bewerten. Darin liegt zwar eine erneute Berührung des Kernbereichs privater Lebensgestaltung. Diese ist jedoch in diesem Rahmen zulässig und hinzunehmen.767 Gleichwohl besteht die verfassungsrechtliche Verpflichtung, alles – insbesondere auch technisch – Mögliche zu tun, um Berührungen des Kernbereichs auf der ersten und zweiten Stufe der Datenerhebung bzw. -auswertung zu vermeiden. Sofern moderne Technologien wie Künstliche Intelligenz hierbei wenigstens unterstützend helfen können, sind sie bei der Durchsicht informationstechnischer Systeme heranzuziehen.768 d) Ist eine Gefährdung des Kernbereichs privater Lebensgestaltung nur zum Schutz überragend wichtiger Rechtsgüter zulässig? Fraglich ist, ob im Rahmen des zweistufigen Schutzkonzepts bei jeder beliebigen Eingriffsmaßnahme bzw. zu jedem beliebigen Zweck eine Berührung 765

Vgl. nur Baldus, JZ 2008, 218 (222 ff.); Ziebarth, Online-Durchsuchung, 2013, S. 105. Vgl. Gless, StV 2018, 671 (675 ff.); Kohlmann, Online-Durchsuchungen, 2012, S. 122 f.; Ziebarth, Online-Durchsuchung, 2013, S. 105 f.; deutlich optimistischer mit Blick auf die Lernfähigkeit und Trainierbarkeit von Künstlicher Intelligenz Esser/Reißmann, StV 2021, 526 (530). Einen – freilich nur anekdotischen – Beleg für die Schwierigkeiten bei der Bewertung von Sachverhalten durch Computerprogramme liefert ein Vorfall auf der Netzwerkseite facebook: Dort veröffentlichte Abschnitte der US-Unabhängigkeitserklärung wurden von den Algorithmen facebooks als unzulässige „Hate Speech“ eingestuft und prompt gesperrt, siehe dazu die Meldung von heise online vom 05.07.2018, https://w ww.heise.de/newsticker/meldung/Facebook-sperrt-US-Unabhaengigkeitserklaerung-alsHate-Speech-4100307.html [zuletzt abgerufen am 04.11.2021]; vgl. zu den Schwächen von Algorithmen auch Rehak, CILIP 114, 24.11.2017, https://www.cilip.de/2017/11/24/die-dat enschatten-zum-staatlichen-umgang-mit-vernetzten-datenbestaenden/ [zuletzt abgerufen am 04.11.2021]. 767 Vgl. BVerfGE 80, 367 (374 f.); 109, 279 (323 f.); 120, 274 (339); Heinson, IT-Forensik, 2015, S. 189. 768 Esser/Reißmann, StV 2021, 526 (532). 766

238

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

des Kernbereichs in Kauf genommen werden darf. Im Urteil zur OnlineDurchsuchung formulierte das BVerfG in Bezug auf Konstellationen, in denen die Kernbereichsrelevanz von Daten vor oder bei ihrer Erhebung nicht eingeschätzt werden kann: „In solchen Fällen ist es verfassungsrechtlich nicht gefordert, den Zugriff wegen des Risikos einer Kernbereichsverletzung von vornherein zu unterlassen, da Grundlage des Zugriffs auf das informationstechnische System tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Schutzgut sind.“769

Anhand dieser Formulierung kann zunächst in Frage gestellt werden, ob das zweistufige Schutzkonzept in der Form auch auf repressive Maßnahmen Anwendung finden soll. Denn bei der Strafverfolgung ergibt der Begriff der „konkreten Gefahr“, wie sie das BVerfG scheinbar zur Bedingung für die Zulässigkeit einer Inkaufnahme der Kernbereichsberührung macht, keinen Sinn. Es handelt sich vielmehr um einen Begriff des Gefahrenabwehrrechts, also um eine Kategorie, die für präventives Handeln gilt. Eine strafprozessuale Maßnahme wie die Durchsicht gemäß § 110 StPO unterfiele damit nicht dem zweistufigen Schutzkonzept. Ferner stellt sich die Frage, ob Ermittler eine Kernbereichsberührung nur dann in Kauf nehmen dürfen, wenn die Maßnahme dem Schutz eines überragend wichtigen Rechtsguts dient. Die Formulierung des BVerfG, „für ein überragend wichtiges Schutzgut“, deutet auf eine zu fällende Abwägungsentscheidung hin. Abgewogen werden müssten demnach das Risiko der Kernbereichsberührung gegen die Wichtigkeit des mit der Maßnahme zu schützenden Rechtsguts, wobei eine Kernbereichsberührung nicht zugunsten sämtlicher denkbarer Schutzgüter in Kauf genommen werden dürfte, sondern nur zugunsten überragend wichtiger Schutzgüter.770 Damit würde also ein Schwellenkriterium aufgestellt, das erfüllt sein müsste, bevor die Ermittler eine Berührung des Kernbereichs in Kauf nehmen dürfen. Damit würde der Anwendungsbereich der Durchsicht von informationstechnischen Systemen, die auf Grundlage des § 110 Abs. 3 StPO grundsätzlich zur Aufklärung jeglicher Straftat durchgeführt werden darf, im Ergebnis erheblich eingeengt. Bei der Durchsicht eines Smartphones zur Aufklärung von Eigentumsdelikten oder Steuerstraftaten dürften die Ermittler keine Kernbereichsberührung in Kauf nehmen. Angesichts des Umstandes, dass der kompletten Durchsicht eines informationstechnischen Systems das Risiko der Berührung des Kernbereichs inhärent ist und die Verwirklichung dieses Risikos bei der Ermittlungspraxis häufig in Kauf genommen werden muss, liefe dies in vielen Fällen auf ein Verbot der Durchsicht hinaus.

769 770

BVerfGE 120, 274 (338). In diese Richtung interpretiert Wolter, GS Weßlau 2016, 445 (456 f.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

239

Allerdings hat das BVerfG die oben wiedergegebene Formulierung nicht zum allgemeinen Kriterium für die Zulässigkeit der Inkaufnahme von Kernbereichsberührungen machen wollen. Vielmehr ist die Formulierung eng auf die Online-Durchsuchung nach dem damaligen Verfassungschutzgesetz NRW (§ 5 Abs. 2 Nr. 11 S. 1 Alt. 2 a. F.) bezogen. Diese Befugnis sollte dem präventiven Schutz hochrangiger Rechtsgüter dienen. Das BVerfG formulierte die Voraussetzungen für die zulässige Inkaufnahme einer Kernbereichsberührung also zunächst für die präventive Online-Durchsuchung, weil nur diese Art von Maßnahme verfassungsrechtlich überprüft wurde. Eine Beschränkung des Kernbereichskonzepts auf Maßnahmen dieser Art lässt sich daraus nicht herleiten. Das BVerfG hat das zweistufige Schutzkonzept bereits auf strafprozessuale Maßnahmen angewandt bzw. strafprozessuale Rechtsgrundlagen daran gemessen. So ist es auch bei einer Telekommunikationsüberwachung auf Grundlage des § 100a StPO zulässig, das in der Erhebungsphase Kernbereichsberührungen in Kauf genommen werden.771 Das zweistufige Schutzkonzept gilt also ebenso bei Maßnahmen der Strafverfolgung. Hinsichtlich des vermeintlichen Erfordernisses, eine Kernbereichsberührung sei nur zum Schutz bestimmter Rechtsgüter in Kauf zu nehmen, ist die verfassungsrechtliche Lage weniger klar. Die scheinbare Beschränkung auf Konstellationen, in denen überragend wichtige Rechtsgüter geschützt werden sollen, ist im Urteil des BVerfG zum BKA-Gesetz so nicht wiederholt worden.772 Vielmehr bestätigte das BVerfG, dass der Schutz des Kernbereichs privater Lebensgestaltung je nach Art der Befugnis für unterschiedliche Maßnahmen unterschiedlich ausgestaltet sein kann.773 Das spricht gegen eine Verallgemeinerung der Formulierung, dass eine Kernbereichsberührung nur in Kauf genommen werden darf, wenn Anhaltspunkte für eine konkrete Gefahr überragend wichtiger Schutzgüter besteht. Allerdings hat das BVerfG in seinem Beschluss zur Neuregelung der Telekommunikationsüberwachung gemäß § 100a StPO offenbar ein anderes, ähnliches Kriterium an diese Stelle gesetzt: „In vielen Fällen ist es allerdings praktisch unvermeidbar, dass die Ermittlungsbehörden Informationen zur Kenntnis nehmen, bevor sie deren Kernbereichsbezug erkennen. In derartigen Fällen ist es verfassungsrechtlich nicht gefordert, den Zugriff wegen des Risikos einer Kernbereichsverletzung auf der Erhebungsebene von vornherein zu unterlassen (vgl. BVerfGE 80, 367 [375, 381]; 120, 274 [338]). Ermittlungsmaßnahmen dürfen daher auch dann vorgenommen werden, wenn bestimmte Tatsachen den Verdacht begründen, jemand habe als Täter oder Teilnehmer eine auch im Einzelfall schwer wiegende Straftat begangen, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht oder durch eine Straftat

771

BVerfGE 129, 208 (245 ff.); vgl. auch schon BVerfGE 109, 279 (331 ff.). Vgl. BVerfGE 141, 220 (278 f). 773 BVerfGE 141, 220 (279), im Anschluss an BVerfGE 120, 274 (337); 129, 208 (245). 772

240

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

vorbereitet, wenn die Aufklärung ansonsten wesentlich erschwert oder aussichtslos wäre (vgl. BVerfGE 120, 274 [337 f.]).“774

An die Stelle der konkreten Gefahr für ein überragend wichtiges Schutzgut ist hier das Kriterium des Verdachts einer „auch im Einzelfall schwer wiegende[n] Straftat“ gerückt. Der entsprechende Straftatenkatalog aus § 100a Abs. 2 StPO, der – damals wie heute – unter anderem auch Fälle des Betrugs und der Hehlerei enthält, wurde vom BVerfG dabei nicht beanstandet. Es fällt zudem erneut auf, dass das Gericht die erste Stufe seines Kernbereichsschutzkonzepts, also insbesondere die Zulässigkeit der Inkaufnahme von Kernbereichsberührungen, erneut eng auf die konkret in Rede stehende Ermittlungsmaßnahme formuliert hat. Auch deshalb kann der Formulierung nicht entnommen werden, dass der Verdacht einer auch im Einzelfall schwer wiegenden Straftat die definitive und allgemeine Untergrenze ist, unterhalb derer es den Ermittlungsbehörden nicht mehr erlaubt sein soll, unvermeidbare Kernbereichsberührungen in Kauf zu nehmen. Vielmehr hat das BVerfG hier wie auch schon bei der Prüfung der Online-Durchsuchung nach dem damaligen Verfassungsschutzgesetz NRW einfach nur die tatbestandlichen Voraussetzungen der gerade zu prüfenden Ermittlungsmaßnahme übernommen und bei Formulierung des Kernbereichsschutzkonzeptes wiederholt. Eine allgemeingültige normative Aussage lässt sich dieser schlichten Wiederholung nicht entnehmen. Das wird auch dadurch belegt, dass die Formulierung der überragend wichtigen Rechtsgüter aus dem Urteil zur OnlineDurchsuchung im oben zitierten Beschluss zur Neuregelung der Telekommunikationsüberwachung nicht übernommen, sondern durch die schwächere Formulierung der im Einzelfall schwerwiegenden Tat nach dem Katalog des § 100a Abs. 2 StPO (a. F.) ersetzt wurde. Folglich kann die Formulierung aus dem Urteil zur Online-Durchsuchung schon deshalb nicht als allgemeinverbindliches Kriterium gemeint gewesen sein, und es liegt nahe, dass dies bei der Formulierung aus dem Beschluss zur Neuregelung der Telekommunikationsüberwachung ebenso wenig der Fall ist. Dieses Ergebnis wird auch durch den (wenn auch älteren) Beschluss des BVerfG zur (vorläufigen) Sicherstellung von Datenträgern aus einer Anwaltskanzlei gestützt. Dort war die Mitnahme bzw. Komplettkopie eines Datenträgers ohne vorherige Aussonderung von Daten für bestimmte Umstände als verfassungsrechtlich zulässig erklärt worden.775 Zwar geht das BVerfG in seiner Begründung nicht auf das darin liegende Risiko der Berührung von Kernbereichsdaten ein. Gerade aus dem Fehlen entsprechender Ausführungen lässt sich aber herleiten, dass bei dieser Maßnahme keine von Verfassungs wegen gebotene starre Eingriffsschwelle hinsichtlich der zu

774 775

BVerfGE 129, 208 (245 f.). BVerfGE 113, 29 (56 f.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

241

schützenden Rechtsgüter oder der Schwere der aufzuklärenden Straftaten existiert, und zwar auch nicht was die unvermeidliche Berührung des Kernbereichs betrifft. Das BVerfG hat augenscheinlich auch nicht die Notwendigkeit gesehen, eine solche Schwelle nachträglich einzufügen: Im späteren Urteil zur Online-Durchsuchung, in dem das das zweistufige Schutzkonzept fortentwickelt wurde, hatte das Gericht den damaligen Beschluss zur Sicherstellung von Datenträgern vor Augen, ausweislich des Verweises im Zusammenhang mit der Bestimmung der Intensität von Grundrechtseingriffen bei Ausforschung von informationstechnischen Systemen.776 Der Verweis auf den Beschluss erfolgt zwar nicht im direkten Zusammenhang mit der Weiterentwicklung des zweistufigen Kernbereichsschutzkonzepts. Dennoch belegt der Verweis, dass das Gericht keine Abkehr, sondern eine grundsätzliche Fortgeltung der in dem älteren Beschluss niedergelegten Grundsätze anstrebte. Daraus ergibt sich, dass die Komplettsicherung eines Datenträgers weiterhin verfassungsrechtlich zulässig ist – und damit denknotwendig auch dann erlaubt ist, wenn das Risiko einer Kernbereichsberührung besteht. Mit anderen Worten: Das BVerfG wollte zur Rechtfertigung der Inkaufnahme einer Kernbereichsberührung nicht nachträglich eine Schwelle in Form bestimmter gefährdeter Rechtsgüter oder der Schwere von aufzuklärenden Straftaten einfügen. Etwas unglücklich ist daher die Formulierung des BVerfG in seinem Beschluss zur E-Mail-Beschlagnahme: „Bestehen im konkreten Fall tatsächliche Anhaltspunkte für die Annahme, dass ein Zugriff auf gespeicherte Telekommunikation Inhalte erfasst, die zu diesem Kernbereich zählen, ist er insoweit nicht zu rechtfertigen und hat insoweit zu unterbleiben (vgl. BVerfGE 113, 348 [391 f.]).“777

In dieser Formulierung liegt auf den ersten Blick eine Abkehr vom zweistufigen Kernbereichsschutzkonzept, zumal auf das Urteil zur Online-Durchsuchung in diesem Zusammenhang gar nicht verwiesen wird. Allerdings ist die Formulierung der „tatsächliche[n] Anhaltspunkte“ im Zusammenspiel mit den im Online-Durchsuchungs-Urteil entwickelten Maßstäbe so zu verstehen, dass in einer Situation, in der nach Vorprüfung der Daten auf kernbereichsrelevante Inhalte konkrete Hinweise darauf bestehen, dass es zu einer Kernbereichsberührung kommt, die Pflicht zur Vermeidung der Erhebung der Daten wiederauflebt und gerade diese Daten, die man für kernbereichsrelevant hält, nicht erhoben werden sollen. Das aber ist die Situation, in denen eine Vorabbewertung der Daten ausnahmsweise tatsächlich Erkenntnisse oder immerhin konkrete Anhaltspunkte zur Kernbereichsrelevanz liefert. Dies hat das BVerfG bereits in seinem Urteil zur Online-Durchsuchung 776 777

Vgl. BVerfGE 120, 274 (322). BVerfGE 124, 43 (70).

242

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

zur Grundlage des zweistufigen Schutzbereichskonzepts gemacht: Staatliche Ermittler müssen die Erhebung kernbereichsrelevanter Daten im Rahmen des Möglichen vermeiden. Erst, wenn diese Möglichkeiten ausgeschöpft sind, darf eine Kernbereichsberührung in Kauf genommen werden.778 Besteht also eine Situation, in der die Ermittler tatsächlich die Kernbereichsrelevanz von Daten erkennen können oder jedenfalls konkrete, also auf den Einzelfall bezogene Anhaltspunkte für eine Kernbereichsrelevanz bestehen, dann haben die Ermittler die Möglichkeit, darauf entsprechend zu reagieren – und im Zweifel die Erhebung der Daten zu unterlassen. Der Beschluss des BVerfG zur E-Mail-Beschlagnahme steht mit dem zweistufigen Schutzkonzept also im Einklang und nicht im Widerspruch. Tatsächlich verarbeitet er die Inhalte des zweistufigen Schutzkonzepts, wenn auch ohne ausdrücklich auf dieses Konzept Bezug zu nehmen.779 Der Beschluss stellt dabei kein Schwellenkriterium in Form von bestimmten Schutzgütern oder schweren Straftaten auf, deren Aufklärungsinteresse die Hinnahme einer Kernbereichsberührung erst rechtfertigen müsste. Im Widerspruch zum bisher gefundenen Ergebnis zu stehen scheint auch das Urteil des BVerfG zu § 33a Abs. 1 Nr. 1 und 2 Nds.SOG a. F. (Speicherung von Daten zur Strafverfolgungsvorsorge): „Da bei der Anordnung einer Telekommunikationsüberwachung oder bei ihrer Durchführung aber nicht sicher vorhersehbar ist, welchen Inhalt die Gespräche haben werden, ist das Risiko nicht auszuschließen, dass die Abhörmaßnahme Kommunikation aus dem Kernbereich privater Lebensgestaltung erfasst. Verfassungsrechtlich hinzunehmen ist dieses Risiko allenfalls bei einem besonders hohen Rang des gefährdeten Rechtsguts und einer durch konkrete Anhaltspunkte gekennzeichneten Lage, die auf einen unmittelbaren Bezug zur zukünftigen Begehung der Straftat schließen lässt.“780

Hier scheint erneut ein Schwellenkriterium für die Zulässigkeit der Inkaufnahme einer Kernbereichsberührung aufzutauchen, diesmal unter anderem in Form eines „hohen Rang[s] des gefährdeten Rechtsguts“. Auch hier gilt allerdings das, was weiter oben zu den ähnlich gelagerten Formulierungen gesagt wurde. Erstens ist die Formulierung wieder eng auf die in diesem Urteil geprüfte Norm bezogen. Sie erweckt somit nicht den Eindruck, dass sie als allgemeingültiges Schwellenkriterium für sämtliche Ermittlungsmaßnahmen gedacht ist. Das wird zweitens dadurch belegt, dass wie oben gezeigt für andere Ermittlungsmaßnahmen andere Formulierungen verwendet worden sind, die, nähme man ebenfalls ihre Allgemeingültigkeit an, alle in Widerspruch zueinander stünden. Dass derartige Formulierungen in der Rechtsprechung des BVerfG keine Allgemeingültigkeit genießen sollen, wird drittens dadurch belegt, dass das Gericht ausdrücklich betont hat, dass der Kern778

Vgl. BVerfGE 120, 274 (338 f.). Vgl. erneut BVerfGE 124, 43 (70). 780 BVerfGE 113, 348 (392). 779

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

243

bereichsschutz für unterschiedliche Maßnahmen unterschiedlich ausgestaltet sein kann.781 Viertens schließlich wurde im späteren Urteil zum BKA-Gesetz gerade keine Formulierung mehr verwendet, die auf ein allgemeines Schwellenkriterium hindeutet, obwohl aufgrund der Vielzahl der in diesem Urteil überprüften Maßnahmen eine passende Gelegenheit dafür bestanden hätte. Im Ergebnis kann folglich auch dem Beschluss des BVerfG zur Speicherung von Daten zur Strafverfolgungsvorsorge kein entsprechendes Schwellenkriterium entnommen werden. Damit ist die eingangs gestellte Frage dahingehend zu beantworten, dass das zweistufige Schutzkonzept allgemein gilt und die Kernbereichsberührung bei grundsätzlich jeder Maßnahme in Kauf genommen werden darf, sofern die allgemeinen Voraussetzungen dafür erfüllt sind. Es besteht kein allgemeines, starres Schwellenkriterium dahingehend, dass die Inkaufnahme der Kernbereichsberührung nur zugunsten überragend wichtiger Schutzgüter oder zur Aufklärung im Einzelfall schwer wiegender Straftaten zulässig wäre. Daraus folgt, dass auch die (Mitnahme zur) Durchsicht auf Grundlage des § 110 Abs. 3 S. 1 StPO in Form einer Komplettsicherung ganzer Datensätze auch hinsichtlich des Risikos einer Kernbereichsberührung grundsätzlich zulässig ist, solange dem allgemeinen zweistufigen Schutzkonzept Genüge getan wird. Ein starres Schwellenkriterium besteht von Verfassungs wegen nicht. Jedenfalls kann ein derartiges Kriterium nicht aus der Rechtsprechung des BVerfG abgeleitet werden. 3. Bewertung des zweistufigen Schutzkonzepts Im Folgenden soll das zweistufige Schutzkonzept des BVerfG kritisch eingeordnet werden. Kritik kann einerseits an der Methode der Bestimmung des Kernbereichs privater Lebensgestaltung, andererseits an der Zweistufigkeit seines Schutzes angebracht werden. a) Unschärfe und Relativierung des Kernbereichs durch einzelfallabhängige Zuordnungnen von Inhalten als kernbereichsrelevant Es ist schwierig zu bestimmen, was zum absolut geschützten Kernbereich privater Lebensgestaltung gehören soll und was nicht. Die vom BVerfG vorgebrachten Kriterien sind unscharf: Ausdrücklich soll es von den Besonderheiten des Einzelfalls abhängig sein, ob ein Sachverhalt dem Kernbereich zuzuordnen ist. Damit fehlt es der Figur des Kernbereichs an Klarheit.782 781

Vgl. erneut BVerfGE 141, 220 (279), im Anschluss an BVerfGE 120, 274 (337); 129, 208 (245). 782 Baldus, JZ 2008, 218 (222 ff.); Barrot, Kernbereich, 2012, S. 22 f.; vgl. auch Dreier/Dreier, Art. 2 I Rn. 92; Schlink, Der Staat 25 (1986), 233 (241 f.); Stern/Be-

244

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Durch seine Einzelfallabhängigkeit ist der Kernbereich privater Lebensgestaltung außerdem das Produkt einer Bewertung verschiedener, nicht abschließend bestimmter Faktoren, deren Gewichtung von Fall zu Fall anders ausfallen kann. So sind Inhalte mit Bezug zu geplanten oder begangenen Straftaten grundsätzlich wieder aus dem absolut geschützten Kernbereich privater Lebensgestaltung ausgenommen, mögen sie an sich auch noch so höchstpersönlich sein.783 Tatsächlich wird der Kernbereich privater Lebensgestaltung, der eigentliche eine absolute und keine relativierbare Grenze ist, auf diese Weise erst durch vorgelagerte Abwägungsentscheidungen im Hinblick auf die Sicherung einer effektiven Strafverfolgung bestimmt.784 Damit läuft erstens der absolute Schutz des Kernbereichs privater Lebensgestaltung – und damit die Menschenwürde – Gefahr, relativiert zu werden.785 Zweitens ist es dem Rechtsanwender, aber auch dem einzelnen Bürger dadurch in vielen Fällen kaum vorhersehbar, ob ein Sachverhalt von den Gerichten als kernbereichsrelevant oder nicht kernbereichsrelevant eingestuft werden wird. Dem kann allerdings entgegengehalten werden, dass nicht jede Abwägung von Interessen dem Anspruch an eine Absolutheit von Schutz automatisch entgegensteht. Es kommt darauf an, was abgewogen wird, wo es getan wird und wofür. Um zu ermitteln, was der von Art. 1 Abs. 1 GG geschützte unantastbare Kernbereich ist, müssen ohnehin Wertungen vorgenommen und damit abwägende Überlegungen angestellt werden. Eine reine Subsumtion unter den Begriff der Menschenwürde aus Art. 1 Abs. 1 GG führt nicht weiter bei der Frage, wo der absolut geschützte Kernbereich der privaten Lebenscker/Horn, Art. 2 Rn. 118; Kudlich, FS Fischer 2018, 723 (727) spricht davon, dass die obergerichtliche Rechtsprechung bei Bestimmung des Kernbereichs von „Extremfällen“ geprägt sei. 783 Vgl. erneut BVerfGE 80, 367 (374 f.); krit. dazu Barrot, Kernbereich, 2012, S. 211; Wolter, GS Weßlau 2016, 445 (451): „Unantastbare Freiheit nach Art. 1 GG wäre dann das, was die wirksame Strafverfolgung nicht hindert.“; Modifikationen dieses „Straftatvorbehalts“ werden diskutiert von Kroll, Kernbereichsschutz, 2021, S. 34 ff. 784 Aernecke, Schutz elektronischer Daten, 2012, S. 25, 166 f.; Baldus, JZ 2008, 218 (224); Barrot, Kernbereich, 2012, S. 55 f.; Dammann, Der Kernbereich der privaten Lebensgestaltung, 2011, S. 51; Eschelbach/Wasserburg, FS Wolter 2013, 877 (884); Gudermann, Online-Durchsuchung, 2010, S. 202 f.; Klesczewski, ZStW 123 (2011), 737 (756); Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 54 f.; Schantz, KritV 2007, 310 (323); Wolter, FS Kühne 2013, 379 (382); Ziebarth, Online-Durchsuchung, 2013, S. 100; vgl. auch Schlehofer, GA 1999, 357 ff. mit weiteren Beispielen zur Abwägung bei Menschenwürdegarantien. 785 Vgl. Baldus, JZ 2008, 218 (224 f.); mit Verweis auf die Definition des Kernbereichs anhand des „Sozialbezugs“ von Inhalten Dammann, Der Kernbereich der privaten Lebensgestaltung, 2011, S. 49 sowie deutlich auf S. 100: „Das führt zu einem verbal absoluten und der Sache nach relativen Schutz.“; Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 54; Schlehofer, GA 1999, 357 (358 f.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

245

gestaltung anfängt und wo er aufhört, welche Sachverhalte ihm zuzuordnen sind und welche nicht. Stattdessen sind Konkretisierungen des Art. 1 Abs. 1 GG und damit des Kernbereichs nötig, die notwendigerweise auf wertenden und somit abwägenden Urteilen beruhen. Diese Abwägungen geschehen dabei nicht inter-normativ in Form der Abwägung der Menschenwürde nach Art. 1 Abs. 1 GG gegen andere Grundrechte oder Interessen. Sondern sie geschehen normintern, um überhaupt erst zu ermitteln, welchen Schutzgehalt und welche Grenzen Art. 1 Abs. 1 GG und der Kernbereich der privaten Lebensgestaltung aufweisen. Das, was bei dieser norminternen Abwägung als Schutzgehalt ermittelt wird, soll sodann absolut gelten. Allein durch diese Vorgehensweise wird der Kernbereichsschutz nicht relativiert. Er wird dadurch erst bestimmt.786 Der Vorwurf, dass diese Bestimmung aber nicht durch durch abwägende Überlegung erfolgen dürfe,787 handelt sich unweigerlich die Frage ein, auf welche Weise dann sonst bestimmt werden soll, was der Kernbereich der privaten Lebensgestaltung ist und was er umfasst – denn mit einem Blick auf den Text des Art. 1 Abs. 1 GG allein lässt sich das nicht ablesen. Bei der Bestimmung des Kernbereichs Abwägungsentscheidungen zu verbieten, hieße folglich, die Bestimmung des Kernbereichs selbst zu verbieten. Eine abstrakte und abschließende Definition des Kernbereichs erscheint ohne Blick auf den Einzelfall und ohne abwägende Überlegungen nicht möglich.788 Es ist folglich nicht per se problematisch oder gar unzulässig, dass der absolut geschützte Kernbereich privater Lebensgestaltung erst durch vorgelagerte Abwägungsentscheidungen bestimmt wird. Diese Methode ist vielmehr nötig, um überhaupt einen handhabbaren Kernbereichsschutz zu entwickeln. Die Kritik, dass diese norminternen Abwägungsentscheidungen konkret mit starkem Gewicht und möglicherweise auch einem Übergewicht auf die Bedürfnisse einer effektiven Strafverfolgung getroffen werden, bleibt gleichwohl zulässig und richtig. Sie gilt besonders in Bezug auf die neuere Rechtsprechung zur Zweistufigkeit des Kernbereichsschutzes.

786 Zum Ganzen Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 55 ff.; vgl. auch Hong, Menschenwürdegehalt, 2019, S. 506 ff.; Kroll, Kernbereichsschutz, 2021, S. 33; Schlehofer, GA 1999, 357 (362 ff.); Hauck, Heimliche Strafverfolgung, 2014, S. 263 – Fn. 53, S. 341; kritisch Dammann, Kernbereich der privaten Lebensgestaltung, 2011, S. 59 ff. 787 So z. B. Wolter, in: Wolter (Hrsg.), Theorie und Systematik des Strafprozeßrechts, 1995, S. 45 (69). 788 Vgl. Kroll, Kernbereichsschutz, 2021, S. 33; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 54; Löffelmann, NJW 2005, 2033 (2034).

246

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

b) Zweistufigkeit des Schutzes als Schwächung und Aufweichung des Kernbereichs privater Lebensgestaltung Das neuere zweistufige Schutzkonzept des BVerfG schwächt den Schutz des Kernbereichs privater Lebensgestaltung ab.789 Die Zweistufigkeit des Schutzes ergibt sich erst daraus, dass auf der ersten Stufe, der Datenerhebungsphase, ungewollte und unvermeidbare Berührungen des Kernbereichs in Kauf genommen werden dürfen.790 Die nach der Logik der Menschenwürde aus Art. 1 Abs. 1 GG eigentlich gebotene Unantastbarkeit des Kernbereichs privater Lebensgestaltung gilt somit nicht mehr absolut, schlicht mit der Begründung, dass die Berührung von kernbereichsrelevanten Inhalten praktisch nicht mehr gewährleistet werden kann, insbesondere bei Ermittlungen, bei denen große Datenmengen erhoben werden.791 Auch hier erscheint die Entscheidung darüber, wie absolut der Kernbereich denn wirklich zu schützen ist, als Produkt eines Abwägungsprozesses zwischen Grundrechtspositionen einerseits und dem Bedürfnis nach effektiver Strafverfolgung andererseits.792 Dem BVerfG ist bei der Begründung seines zweistufigen Schutzkonzepts allerdings darin Recht zu geben, dass eine ungewollte Berührung des Kernbereichs bei der Erhebung von Daten aus informationstechnischen Systemen tatsächlich praktisch so gut wie unvermeidbar ist. Angesichts der modernen Nutzungsgewohnheiten solcher Geräte ist es typisch, dass immer auch kernbereichsrelevante Daten auf dem System gespeichert sind, die bei einer Erhebung – sei es eine Komplettsicherung, sei es eine Teilsicherung – miterfasst werden können und werden. Es mag zwar sicher auch informationstechnische Systeme geben, bei denen das nicht der Fall ist – zum Beispiel rein 789

Aernecke, Schutz elektronischer Daten, 2012, S. 161; Kutscha, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 157 (165 f.); Roggan, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 97 (110); Sachs/Krings, JuS 2008, 481 (485 f.); Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 282 f.; Singelnstein/Putzer, GA 2015, 564 (570 f.); Volkmann, DVBl. 2008, 590 (593); Warntjen, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 57 (63); a. A. Hömig, Jura 2009, 207 (212 f.). 790 Barrot, Kernbereich, 2012, S. 162 f. 791 Zuspitzend Wolter, GS Weßlau 2016, 445 (456): Das zweistufige Grundrechtsschutzkonzept sei damit in Wirklichkeit ein „einstufiges und erstklassiges Konzept für eine funktionstüchtige Strafverfolgung“; vgl. auch Dammann, Der Kernbereich der privaten Lebensgestaltung, 2011, S. 49 ff.; Esser/Reißmann, StV 2021, 526 (531); Hornung, CR 2008, 299 (305); Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 120; Schwabenbauer, in: Lisken/Denninger (Hrsg.), Kap. G Rn. 118; ders., Heimliche Grundrechtseingriffe, 2013, S. 283; Volkmann, DVBl. 2008, 590 (593); zur spezifischen Problematik beim Abhören von Privatwohnungen vgl. das Sondervotum Jaeger/Hohmann-Dennhardt, BVerfGE 109, 279 (383). 792 Barrot, Kernbereich, 2012, S. 164; Becker, NVwZ 2015, 1335 (1337) mit Verweis auf BVerfGE 120, 274 (338).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

247

beruflich und geschäftlich genutzte Geräte. Indes ist auch bei diesen Geräten nicht auszuschließen, dass sich zusätzlich zu den rein geschäftlichen Inhalten auch private und damit möglicherweise auch intime, kernbereichsrelevante Daten im Speicher befinden793 – und sei es auch nur in Form des Browserverlaufs mit in der Mittagspause angesteuerten Webseiten oder die vertrauliche und höchstpersönliche E-Mail vom Ehepartner. Eine vor Erhebung und Sichtung der Daten anzustellende Prognose, ob sich nun auf einem informationstechnischen System kernbereichsrelevante Daten befinden oder nicht bzw. ob erhobene Daten Kernbereichsbezug aufweisen, erscheint angesichts dieser Gemengelage faktisch nicht leistbar.794 Eine dogmatische Grundlage für einen zweistufigen Kernbereichsschutz, bei dem eine Berührung von kernbereichsrelevanten Inhalten auf erster Stufe nicht sofort zu einer Menschenwürdeverletzung und damit zur Verfassungswidrigkeit der Maßnahme führt, liefert ein Ansatz von Poscher795. Dieser Ansatz erteilt einem zu räumlich verstandenen Modell des Kernbereichsschutzes, bei dem jede Berührung und jedes Betreten der kernbereichsrelevanten Sphäre durch staatliche Stellen eine Verletzung der Menschenwürde bedeutet, eine Absage.796 Die Unantastbarkeit der Menschenwürde gemäß Art. 1 Abs. 1 GG bleibt zwar die Grundlage für den Schutz des Kernbereichs privater Lebensgestaltung. Sie soll aber keinen – auch ideell gedachten – Raum schützen, sondern das Verhältnis zwischen Staat und Bürger in Form eines Achtungsanspruchs, der in Art. 1 Abs. 1 S. 2 GG sogar ausdrücklich formuliert ist.797 Erst wenn in einer Kenntnisnahme oder Erhebung kernbereichsrelevanter Inhalte zugleich auch eine Missachtung der Würde, also die Beschränkung oder gar Negierung des aus der Menschenwürdegarantie fließenden Achtungsanspruchs liegt, so bedeutet dies einen Verstoß gegen

793

von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 224 f. Vgl. Barrot, Kernbereich, 2012, S. 163; Czerner, in: Labudde/Spranger (Hrsg.), Forensik in der digitalen Welt, 2017, S. 265 (273 f.); Eifert, NVwZ 2008, 521 (522 f.); B. Gercke, StraFo 2014, 94 (100); Glaser/Gedeon, GA 2007, 415 (430); Großmann, GA 2018, 439 (449); Gudermann, Online-Durchsuchung, 2010, S. 206; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 205; Heinson, IT-Forensik, 2015, S. 189, der dies treffend als Dilemmasituation charakterisiert; so auch Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 257 f., 275, der aus dieser technischen Unmöglichkeit aber die verfassungsrechtliche Unzulässigkeit u. a. der Online-Durchsuchung ableitet; s. ferner Kohlmann, Online-Durchsuchungen, 2012, S. 122 f.; Kutscha, NJW 2007, 1169 (1171); Weiß, Online-Durchsuchungen, 2009, S. 202 f.; Ziebarth, OnlineDurchsuchung, 2013, S. 105 f.; Zöller, StraFo 2008, 15 (22) spricht pointiert von „Hellseherische[n] Fähigkeiten“, die abverlangt würden. 795 Poscher, JZ 2009, 269 ff. 796 Dazu auch Hong, Menschenwürdegehalt, 2019, S. 443; Hauck, Heimliche Strafverfolgung, 2014, S. 271 f, 274; Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 260. 797 Darauf stellt auch Schlehofer, GA 1999, 357 (362 ff.) entscheidend ab. 794

248

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Art. 1 Abs. 1 GG mit der Folge der Verfassungswidrigkeit der Maßnahme. Insbesondere unabsichtliche Berührungen kernbereichsrelevanter Inhalte sind damit nicht automatisch verfassungswidrig, denn sie werden in der Regel nicht die Missachtung der Würde des Betroffenen beinhalten (sie können es unter bestimmten Umständen aber ausnahmsweise tun). Selbst wenn eine Berührung kernbereichsrelevanter Inhalte bewusst in Kauf genommen wird, liegt darin nicht per se die Missachtung der Würde des Betroffenen.798 Dem aus der Menschenwürdegarantie fließenden Achtungsanspruch kann bei Durchführung einer Maßnahme, bei der die Berührung des Kernbereichs in Kauf genommen wird, dadurch genügt werden, dass auf erster Stufe ernsthafte Bemühungen stattfinden, die Berührung zu vermeiden, und auf zweiter Stufe die Auswirkungen dennoch geschehener Kernbereichsberührungen begrenzt und kompensiert werden. Mit anderen Worten sind es gerade die verfahrensmäßigen Sicherungen der Rechte des Betroffenen, in denen die Achtung der Menschenwürde zum Ausdruck kommen.799 Nicht hinreichend effektive, vollkommen fehlende oder schlicht nicht befolgte Verfahrensregelungen zum Schutz des Kernbereichs des Betroffenen können dagegen eine Missachtung der Würde des Betroffenen zum Ausdruck bringen, mit der ein Verstoß gegen Art. 1 Abs. 1 GG und damit die Verfassungswidrigkeit der Maßnahme zu bejahen ist. Erst recht gilt dies für absichtliche Berührungen des Kernbereichs. Diese stellen im Besonderen eine Missachtung der Menschenwürdegarantie dar.800 Das zweistufige Schutzkonzept erscheint damit als schlüssig und insbesondere mit der Menschenwürdegarantie des Art. 1 Abs. 1 GG vereinbar.801 798

Vgl. auch Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 294 f.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 207 f.; Hong, Menschenwürdegehalt, 2019, S. 443 f, 501; krit. Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 270 f. 799 Kroll, Kernbereichsschutz, 2021, S. 13. Noch weitergehend v. Mangoldt/Klein/ Starck/Starck, Art. 1 Rn. 61: „Der Bruch des Geheimnisses von Tagebuchaufzeichnungen verletzt den Menschen nicht in einer Weise, dass er als Person herabgewürdigt wird. Eine Verletzung der Menschenwürde kann höchstens in der Art und Weise der Verwertung solcher Aufzeichnungen liegen.“ 800 Zum Ganzen Poscher, JZ 2009, 269 (272 ff.); sich anschließend Dralle´, Grundrecht auf Gewährleistung, 2010, S. 134 f.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 207 f.; Hofmann, NVwZ 2010, 217 (221); Kroll, Kernbereichsschutz, 2021, S. 12 f.; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 60 f.; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 223 f.; in der Sache ebenfalls zustimmend Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 121 ff.; Ziebarth, Online-Durchsuchung, 2013, S. 102 f.; ablehnend Barrot, Kernbereich, 2012, S. 171 f. 801 A. A. Barrot, Kernbereich, 2012, S. 171 f. Nach Einschätzung von Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 123 ff. ist das BVerfG dem Kernbereichskonzept von Poscher im Urteil zum BKA-Gesetz (BVerfGE 141, 220) in der Sache gefolgt.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

249

Es bleibt allerdings festzuhalten, dass sich das Konzept des Kernbereichsschutzes in der verfassungsgerichtlichen Rechtsprechung nach und nach den Bedürfnissen effektiver Strafverfolgung zwar nicht vollständig unterworfen, aber doch angepasst hat. Die unvermeidbar hinter den verfassungsrechtlichen Judikaten stehende Abwägung zwischen Grund- und Menschenrechten und Sicherheitsinteressen bzw. den Interessen an einer effektiven Strafverfolgung hat sich erkennbar zugunsten letzterer verschoben. So hebt auch Poscher explizit die Bedürfnisse der staatlichen Sicherheitsapparate angesichts eines (behaupteten) extremen Ausmaßes der Gefährdungen durch neue Formen des internationalen Terrorismus hervor, auf die nicht mit einem kategorischen „Nein!“ des Verfassungsrechts zu antworten sei, und macht diese tatsächliche Ausgangslage damit zumindest teilweise zum Grund seines Modells des Kernbereichsschutzes.802 Die Verschiebung des Kernbereichsschutzes zugunsten von Sicherheits- und Strafverfolgungsinteressen ist dabei nicht nur eine Reaktion auf neue Bedrohungslagen. Sie ist auch eine Reaktion auf die neuen Möglichkeiten, die der Einsatz moderner Technik bei Ermittlungen bietet. Als der Kernbereichsschutz noch anhand überschaubarer Tagebücher in Papierform verhandelt wurde, bestand für ein zweistufiges Schutzkonzept noch kein praktischer Bedarf, weshalb auch keines, jedenfalls kein detailliertes, entwickelt wurde.803 Spätestens mit dem Aufkommen massenhafter Speicherung von elektronischen Daten und informationstechnischen Geräten als Fundgruben für Ermittlungen entstand dann aber dieser Bedarf für ein Schutzkonzept, das auch eine unvermeidliche Berührung des Kernbereichs duldet – und genau vor dem Hintergrund dieses praktischen Bedarfs wurde das zweistufige Schutzkonzept sodann entwickelt.804 Mag das zweistufige Schutzkonzept des BVerfG durch den Ansatz von Poscher also dogmatisch fundiert sein, so ist doch nicht zu übersehen, dass es vor allem den praktischen Bedürfnissen von Sicherheitspolitik und effektiver Strafverfolgung dient. Mit anderen Worten: Gerade die Möglichkeit von Zugriffen auf umfassende elektronische Datenbestände bedingt somit auch deren (verfassungs-)rechtliche Zulässigkeit. Der nun zweistufige Kernbereichsschutz wurde somit um die modernen Ausforschungseingriffe, insbesondere Datenzugriffe, herumgeformt, um diesen Eingriffen zwar weiterhin Grenzen zu setzen, sie aber dennoch nicht verbieten zu müssen.805

802

Vgl. Poscher, JZ 2009, 269; ihm folgend Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 127. 803 Vgl. BVerfGE 80, 367. 804 Vgl. BVerfGE 120, 274. 805 Volkmann, DVBl. 2008, 590 (593) merkt kritisch an, der Kernbereichsschutz sei auf ein „Optimierungsgebot“ reduziert worden; vgl. zur gesamten Entwicklung auch Wolter, GS Weßlau 2016, 445 (451 ff.).

250

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

4. Verstoß gegen die Pflicht zur gesetzlichen Regelung des Kernbereichsschutzes? Die unbeabsichtigte Erhebung von Kernbereichsdaten ist bei einer Durchsicht nach § 110 Abs. 3 StPO und insbesondere bei einer Mitnahme zur Durchsicht häufig unvermeidbar. Sie ist verfassungsrechtlich aber grundsätzlich zulässig. Dafür müssen auf der zweiten Stufe, der Auswertungphase, verfahrensmäßige Sicherungen bestehen, welche die Berührung des Kernbereichs bei der Sichtung der Daten so gering wie möglich halten. Neben Verfahren zur automatisierten Auswertung und Aussonderung kernbereichsrelevanter Daten sind hier insbesondere Löschpflichten und Weitergabe- und Verwendungsverbote zu nennen.806 Das BVerfG hat in (Fort-)Entwicklung seines Schutzkonzeptes gefordert, dass bei Überwachungsmaßnahmen, die typischerweise zur Erhebung kernbereichsrelevanter Daten führen, die genannten verfahrensmäßigen Sicherungen vom Gesetzgeber selbst geregelt sein müssen, damit ein wirksamer Schutz des Kernbereichs gewährleistet ist. Bei Maßnahmen, die nicht geneigt sind, den Kernbereich privater Lebensgestaltung zu verletzen, bedürfe es keiner eigenen gesetzlichen Regelungen zur wirksamen Gewährleistung des Kernbereichsschutzes. Der Schutz des Kernbereichs privater Lebensgestaltung ist also bei allen Eingriffen zu achten, aber nur bei besonders verletzungsgeneigten Maßnahmen muss er gesetzlich geregelt sein.807 § 110 StPO enthält keine Bestimmungen zum Kernbereichsschutz. Weder wird geregelt, wie die Erhebung kernbereichsrelevanter Daten zu verhindern ist, noch wird bestimmt, wie bei Berührung kernbereichsrelevanter Inhalte 806 Vgl. erneut BVerfGE 120, 274 (338 f.); 141, 220 (278 ff.) sowie schon oben Kap. 2 B.V. 2.; krit. zur Regelungspflicht Hauck, Heimliche Strafverfolgung, 2014, S. 279. 807 BVerfGE 141, 220 (277 f.); Schneider, JuS 2021, 29 (33 f.). In einem neueren Beschluss des BVerfG v. 01.12.2020, Az. 2 BvR 916/11, 2 BvR 636/12, Rn. 207 zur Verhältnismäßigkeit der Aufenhaltsüberwachung per elektronischer Fußfessel heißt es zwar allgemein: „Eine gesetzliche Ermächtigung zu einer Überwachungsmaßnahme, die den Kernbereich privater Lebensgestaltung berühren kann, muss daher […] besondere gesetzliche Vorkehrungen zum wirksamen Schutz dieses Kernbereichs enthalten.“ Mit dieser Formulierung will das BVerfG die Pflicht zur gesetzlichen Regelung des Kernbereichsschutzes aber nicht pauschal auf alle Überwachungsmaßnahmen, die in den Kernbereich privater Lebensgestaltung eingreifen können, unabhängig von ihrer Verletzungsgeneigtheit erstrecken. Das ergibt sich daraus, dass das Gericht das Fehlen gesetzlicher Kernbereichsschutzregelungen für die Überwachung per GPS im Rahmen der Führungsaufsicht gemäß § 68b Abs. 1 S. 1 Nr. 12, S. 3 StGB i. V. m. § 463a Abs. 4 StPO nicht beanstandet hat, und zwar mit dem Hinweis, dass diese Maßnahme nicht typischerweise den Kernbereich privater Lebensgestaltung berühre (Rn. 209). Im Ergebnis hält das BVerfG also daran fest, dass nur besonders verletzungsgeneigte, typischerweise in den Kernbereich privater Lebensgestaltung eingreifende Maßnahmen zwingend in ein gesetzliches Kernbereichsschutzkonzept einzuhegen sind.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

251

mit diesen zu verfahren ist. Auch sonst finden sich im Regelungssystem der Durchsuchung in den §§ 102 ff. StPO oder den Regeln über die Beschlagnahme gemäß §§ 94 ff. StPO keine Vorschriften zum Schutz des Kernbereichs privater Lebensgestaltung. Mit § 100d StPO enthält die Strafprozessordnung zwar ein Regelungssystem zum Kernbereichsschutz, dieses bezog sich zunächst aber nur auf Maßnahmen nach den §§ 100a bis 100c StPO. Mit dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 vom November 2019808 ist die Kernbereichsregelung des § 100d StPO in Teilen zwar auch auf die Maßnahmen nach §§ 100f und 100h StPO ausgedehnt worden, ein sämtliche Ermittlungsmaßnahmen umfassendes, übergreifendes Kernbereichsschutzkonzept wurde damit aber nicht etabliert. Auch nach dieser Reform ist § 100d StPO nicht unmittelbar (aber möglicherweise, wie unten noch zu zeigen sein wird, analog)809 auf Durchsuchungsmaßnahmen nach den §§ 102 ff. StPO anwendbar. Für die Durchsicht gemäß § 110 StPO existiert also weiterhin keine explizite Regelung zum Schutz des Kernbereichs. Der Mangel an gesetzlichen Bestimmungen zum Kernbereichsschutz bei der Durchsicht nach § 110 StPO erscheint somit verfassungsrechtlich fragwürdig. Sollte der Gesetzgeber bei dieser Maßnahme verpflichtet sein, gesetzliche Regelungen zum Kernbereichsschutz zu treffen, dann ist das Fehlen dieser Regelungen ein Verfassungsverstoß. Ob eine Pflicht dazu besteht, den Kernbereichsschutz für Maßnahmen nach § 110 Abs. 3 StPO gesetzlich zu regeln, bestimmt sich danach, ob die strafprozessuale Durchsicht eine „verletzungsgeneigte“ Überwachungsmaßnahme im Sinne der verfassungsgerichtlichen Rechtsprechung ist, also eine solche, die typischerweise zur Erhebung von kernbereichsrelevanten Daten führt.810 Auf den ersten Blick trifft das auf die Durchsicht zu: Es wurde oben bereits dargelegt, dass bei der Durchsicht eines informationstechnischen Systems, noch mehr bei der Mitnahme des kompletten Datensatzes, typischerweise auch kernbereichsrelevante Daten miterhoben werden, weil diese sich jedenfalls auf privat genutzten Geräten nahezu zwangsläufig befinden werden.811 Dass kernbereichsrelevante Daten auf informationstechnischen Systemen gespeichert sein können, hatte auch das BVerfG bei seinem Urteil zur Online-Durchsuchung vor Augen.812

808

BGBl. 2019 I, S. 1724. Zu einer von Verfassungs wegen gebotenen analogen Anwendung des § 100d StPO s. unten Kap. 2 B.V. 5. 810 Vgl. erneut BVerfGE 141, 220 (277 f.). 811 Siehe schon oben Kap. 2 B.V. 1. 812 BVerfGE 120, 274 (335 f.); bestätigend BVerfGE 141, 220 (304). 809

252

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Im Urteil zur Online-Durchsuchung entwickelte das BVerfG seine Ausführungen zum Kernbereichsschutz und den entsprechenden Regelungspflichten allerdings ausdrücklich anhand heimlicher Zugriffe auf informationstechnische Systeme.813 Auch das Urteil zum BKA-Gesetz konzentriert sich bei Fortschreibung des Kernbereichsschutzkonzeptes auf heimliche Maßnahmen.814 Damit ist eine grundsätzlich offen durchzuführende Maßnahme wie die Durchsicht gemäß § 110 StPO nicht direkt angesprochen.815 Ferner ist fraglich, ob nach diesen Maßstäben eine Ermittlungsmaßnahme wie die Durchsicht als verletzungsgeneigte „Überwachungsmaßnahme“ zu klassifizieren ist.816 Das BVerfG ist offenkundig nicht dieser Ansicht: In seinem Urteil zur Beschlagnahme von E-Mails bekräftige das Gericht im Zusammenhang mit der Durchsicht und Beschlagnahme von Kommunikationsinhalten die Geltung des Kernbereichsschutzes und die Notwendigkeit von flankierenden Schutzvorkehrungen, forderte aber keine entsprechenden gesetzlichen Regelungen ein.817 Es genüge, dass sich die Vorgaben zur Wahrung des Kernbereichsschutzes aus dem Grundsatz der Verhältnismäßigkeit ergeben, weshalb nicht einmal die richterlichen Beschlüsse zur Durchsuchung und Beschlagnahme diese Vorgaben näher ausformulieren müssten.818 Das spricht nicht dafür, dass das BVerfG die Durchsicht von Datenbeständen auf Grundlage des § 110 Abs. 3 StPO als den Kernbereich privater Lebensgestaltung derart gefährdend ansieht, dass entsprechende Schutzvorkehrungen vom Gesetzgeber geregelt werden müssen. Aus der verfassungsgerichtlichen Rechtsprechung kann daher nicht unmittelbar die Pflicht des Gesetzgebers hergeleitet werden, den Kernbereichsschutz flankierend zu § 110 Abs. 3 StPO zu regeln.819 In der Sache aber besteht hinsichtlich der Kernbereichsgefährdung kein qualitativer Unterschied zwischen einer heimlichen Maßnahme wie der Online-Durchsuchung und einer grundsätzlich offenen Maßnahme wie der Durchsicht gemäß § 110 Abs. 3 StPO. Bei beiden Maßnahmen kann ein informationstechnisches System komplett ausgeforscht werden, bei beiden 813

BVerfGE 120, 274 (336). Vgl. BVerfGE 141, 220 (295, 303 ff.). 815 Kroll, Kernbereichsschutz, 2021, S. 78 f. 816 Zur Bedeutung der Klassifizierung als „Überwachungsmaßnahme“ Kroll, Kernbereichsschutz, 2021, S. 78. 817 Vgl. BVerfGE 124, 43 (69 f.); dazu Hong, Menschenwürdegehalt, 2019, S. 521; Kroll, Kernbereichsschutz, 2021, S. 79 f. 818 BVerfGE 124, 43 (76 f.). 819 Anders Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 141 f.; für eine verfassungsrechtliche Pflicht zu gesetzlichen Regelung jedenfalls bei § 110 Abs. 3 StPO Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 418; Kroll, Kernbereichsschutz, 2021, S. 108 ff. will eine verfassungsrechtliche Regelungspflicht u. a. aus dem Schutzgebot des Art. 1 Abs. 1 S. 2 GG ableiten. 814

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

253

Maßnahmen kann ein kompletter Datensatz samt den kernbereichsrelevanten Inhalten erhoben werden. Bei der Durchsicht von informationstechnischen Systemen, die häufig per Mitnahme zur Durchsicht und damit in Gestalt einer Komplettsicherung sämtlicher Daten durchgeführt wird, ist die Gefahr der Erhebung kernbereichsrelevanter Daten nicht geringer als bei einer Online-Durchsuchung.820 Die Offenheit der Maßnahme ändert nur wenig am Risiko einer Kernbereichsberührung. Zwar vermittelt ein offenes Vorgehen der Ermittlungsbehörden dem Betroffenen theoretisch mehr rechtliche und tatsächliche Kontrollmöglichkeiten, um eine Berührung des Kernbereichs privater Lebensgestaltung zu verhindern. Praktisch aber verlieren diese Möglichkeiten angesichts der häufig vorgenommenen Komplettsicherung von Datensätzen oder der Mitnahme der Hardware informationstechnischer Systeme ihre Bedeutung.821 In diesen Fällen gelangen die kernbereichsrelevanten Daten unvermeidbar in die Herrschaftssphäre staatlicher Ermittler. Die Daten sind damit bereits erhobenen. Zwar weiß der Betroffene bei einem offenen Vorgehen davon. Das allein verhindert aber nicht seinen Kontrollverlust über die Daten. Selbst das ihm weiterhin zustehende Anwesenheitsrecht bei der Durchsicht bzw. Auswertung der Daten wird praktisch nur schwer wahrzunehmen sein.822 Damit nähert sich die Durchsicht in den Fällen der Mitnahme ohnehin einer heimlichen Maßnahme an. Die Einwirkungsmöglichkeiten des Betroffenen sind bei einer Durchsicht folglich nicht so viel höher als bei einer Online-Durchsuchung, dass die Wahrscheinlichkeit einer Kernbereichsberührung wesentlich anders beurteilt werden könnte. Hinsichtlich des Kernbereichs ist die Durchsicht im Wesentlichen ebenso verletzungsgeneigt wie die Online-Durchsuchung. Wenn die Verletzungsgeneigtheit einer Maßnahme also das maßgebliche Kriterium für die Pflicht zur gesetzlichen Regelung des Kernbereichs ist, dann muss diese Pflicht für die Durchsicht nach § 110 Abs. 3 StPO konsequenterweise ebenso gelten. Das BVerfG mag das nicht so sehen, weil es entweder die Verletzungsgeneigtheit eines offenen Datenzugriffs anders beurteilt, oder aber weil neben der Verletzungsgeneigtheit noch andere Kriterien, eben insbesondere die Heimlichkeit des Zugriffs oder der Charakter des Eingriffs als „Überwachungsmaßnahme“ eine Rolle spielen. Es ist aber dennoch gerechtfertigt, für die Durchsicht nach § 110 Abs. 3 StPO ebenso gesetzliche Regelungen zum Kernbereichsschutz zu fordern, selbst wenn die Forderung nicht mit einer verfassungsrechtlichen Pflicht des Gesetzgebers korrespondiert.823 820

Kroll, Kernbereichsschutz, 2021, S. 111 f. Vgl. auch Kroll, Kernbereichsschutz, 2021, S. 105 f., 112. 822 Kroll, Kernbereichsschutz, 2021, S. 107 f.; siehe dazu auch schon oben Kap. 2 B.II.3. 823 Vgl. zum Ganzen Ludewig, KriPoZ 2019, 293 (299 f.); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 234 f.; weitergehend Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 418, der jedenfalls § 110 Abs. 3 StPO mangels ge821

254

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Da der Kernbereichsschutz inhaltlich ohnehin immer gilt, ohne Rücksicht auf die Intensität oder Heimlichkeit oder Offenheit der Maßnahme, spricht einiges dafür, den Kernbereichsschutz nicht nur für einige besondere Maßnahmen, sondern allgemein für alle Ermittlungsmaßnahmen innerhalb der StPO zu regeln.824 Dies bedeutete keine Beschneidung des Eingriffsinstrumentariums. Es würde lediglich diejenigen verfassungsrechtlichen Regelungen konkretisieren bzw. abbilden, die ohnehin gelten. Daneben können dann immer noch präzisierende Regelungen für besondere Ermittlungsmaßnahmen erlassen werden, wie dies beispielsweise in § 100d StPO geschehen ist. In manchen Polizeigesetzen der Länder kommen generalisierte Kernbereichskonzepte bereits vor, wenn auch in unterschiedlicher Detailtiefe und häufig in Anbindung an besonders eingriffsintensive oder verdeckte bzw. heimliche Maßnahmen.825 An ihnen kann sich bei Schaffung eines übergreifenden Schutzkonzepts für die Strafprozessordnung orientiert werden.826 5. Analoge Anwendung des Kernbereichsschutzkonzepts aus § 100d Abs. 1 bis Abs. 3 StPO auf Durchsichten informationstechnischer Systeme Da de lege lata für die Durchsicht informationstechnischer Systeme keine einfachgesetzlichen Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung existieren, die Durchsicht informationstechnischer Systeme den Kernbereich aber jedenfalls nach hier vertretener Auffassung nicht wesentlich weniger gefährdet als eine Online-Durchsuchung,827 ist eine entsprechende Anwendung des in § 100d Abs. 1 bis Abs. 3 StPO geregelten Kern-

setzlichen Kernbereichskonzepts in den §§ 94 ff., 110 StPO für verfassungswidrig hält, dabei aber offenbar entscheidend auf die Heimlichkeit des Zugriffs aus der Perspektive mitbetroffener Dritter abstellt; s. aber auch Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 141 f., der auch bei offenen Zugriffen eine Pflicht zur Regelung des Kernbereichsschutzes sieht. Zu eigenen Reformvorschlägen unten Kap. 2 B.X.4. 824 Glaser/Gedeon, GA 2007, 415 (431); Wolter, GA 2007, 183 (198 f.); Zöller, StraFo 2008, 15 (22); lediglich für verdeckte bzw. heimliche Ermittlungsmaßnahmen Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 303 f.; für das Polizeirecht erwägend Poscher, JZ 2009, 269 (272); vgl. auch Roggan, NJ 2007, 199; ders., NJW 2009, 257 (258). Genau den gegenteiligen Schluss zieht Hauck, Heimliche Strafverfolgung, 2014, S. 353, der die allgemeine Normierung eines Kernbereichsschutzes gerade deshalb für überflüssig hält, weil dieser Schutz ohnehin allgemein gilt und dies der Gesetzgebung, Exekutive und Judikative bekannt sein müsse. 825 Allgemein für alle Maßnahmen § 29 Abs. 6 BbgPolG; § 16 PolG NRW; detailliert in § 39a POG Rheinland-Pfalz, allerdings nur für „Verdeckte Maßnahmen“; teils verstreut in § 34 Abs. 1, Abs. 2 und § 36 PAG Thüringen für besondere bzw. verdeckte Maßnahmen; auf besondere Maßnahmen beschränkt auch in § 33 NPOG. 826 Zu eigenen Reformvorschlägen unten Kap. 2 B.X.4. 827 S. oben Kap. 2 B.V. 4.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

255

bereichsschutzkonzepts auf Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO geboten. Das ist auch deshalb sinnvoll, weil viele der Einzelregelungen in § 100d StPO schon unmittelbar von Verfassungs wegen bzw. aufgrund der Rechtsprechung des BVerfG auch für Durchsichten informationstechnischer Systeme und vergleichbare Maßnahmen gelten müssen. Zwar gesteht das Verfassungsrecht dem Gesetzgeber durchaus einen Spielraum dahingehend zu, für unterschiedliche Maßnahmen unterschiedliche Regelungskonzepte zum Schutz des Kernbereichs zu erlassen, namentlich bei der Umsetzung des zweistufigen Schutzkonzepts mit Differenzierung zwischen Datenerhebungs- und Datenauswertungsphase.828 Maßnahmen mit im Wesentlichen gleichen Gefährdungspotential hinsichtlich des Kernbereichs müssen im Umkehrschluss aber auch wesentlich gleichen Schutzregelungen unterworfen werden. Wie dargelegt gefährden Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO den Kernbereich privater Lebensgestaltung nicht wesentlich weniger als Maßnahmen nach § 100b StPO, mag das BVerfG hier auch keine „Verletzungsgeneigtheit“ im Sinne der Kernbereichsrechtsprechung erkannt haben.829 In dieser Hinsicht besteht also bei beiden Maßnahmen eine vergleichbare Interessen- bzw. Gefährdungslage. Es spricht daher nichts dagegen, die aus dem Verfassungsrecht fließenden und insbesondere für Online-Durchsuchungen entworfenen Regeln auf die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO zu übertragen und an das einfachgesetzliche Kernbereichsschutzkonzept des § 100d StPO zu knüpfen bzw. dieses Schutzkonzept des § 100d StPO, das seinerseits auf verfassungsrechtlichen Vorgaben basiert, auch auf Maßnahmen nach § 110 Abs. 3 StPO zu erstrecken.830 Für den Rechtsanwender bringt dies mehr Klarheit:831 Statt die in der verfassungsgerichtlichen Judikatur formulierten Vorschriften heraussuchen und rezipieren zu müssen, kann er sich einfach auf die explizit gesetzlich ausformulierten Regeln des § 100d Abs. 1 bis Abs. 3 StPO stützen. Die einfachgesetzliche Regelungslücke hinsichtlich des Kernbereichsschutzes bei § 110 Abs. 3 StPO kann somit in verfassungskonformer Weise geschlossen werden.832 Im Einklang mit der ver828

BVerfGE 141, 220 (279). S. oben Kap. 2 B.V. 4. 830 Abl. aber Kroll, Kernbereichsschutz, 2021, S. 96 ff. mit Verweis auf die für eine Analogie notwendige, hier aber fehlende planwidrige Regelungslücke im Hinblick auf den insoweit bewusst fehlenden Willen des Gesetzgebers zur Regelung des Kernbereichsschutzes. Selbst wenn man eine Analogie mit Hinweis auf diese strengen Voraussetzungen ablehnt, muss man aber doch zugestehen, dass die in § 100d Abs. 1 bis Abs. 3 StPO festgelegten Regeln jedenfalls inhaltlich (d. h. unmittelbar von Verfassungs wegen) auch für § 110 Abs. 3 StPO gelten müssen, sodass im Ergebnis eben doch die Regelungen des § 100d Abs. 1 bis Abs. 3 StPO entsprechend Anwendung finden. 831 Zur Bedeutung der Klarheit bzw. Rechtssicherheit in diesem Zusammenhang ausführlich Kroll, Kernbereichsschutz, 2021, S. 101 ff. 832 Eine verfassungsrechtliche Pflicht des Gesetzgebers zur einfachgesetzlichen Rege829

256

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

fassungsgerichtlichen Rechtsprechung zum Kernbereichsschutz ist § 100d StPO daher wie folgt auf Durchsichten informationstechnischer Systeme anzuwenden: Entsprechend § 100d Abs. 1 StPO ist die Maßnahme unzulässig, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass durch die Maßnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt werden.833 Entsprechend § 100d Abs. 3 S. 1 StPO ist, soweit möglich, technisch sicherzustellen, dass auf dem informationstechnischen System enthaltene kernbereichsrelevante Daten nicht erhoben werden.834 Entsprechend § 100d Abs. 2 S. 1 StPO dürfen Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch die Maßnahme erlangt wurden, nicht verwertet werden.835 Die Daten mit Kernbereichsbezug müssen entsprechend § 100d Abs. 2 S. 2 StPO unverzüglich gelöscht werden836 oder, entsprechend § 100d Abs. 3 S. 2 StPO, bei Zweifeln über die Kernbereichsrelevanz837 von der Staatsanwaltschaft dem anordnenden Gericht zur verbindlichen Entscheidung (entsprechend § 100d Abs. 3 S. 3 StPO) über die Verwertbarkeit und Löschung vorgelegt werden.838 Die Tatsache der Erlangung der kernbereichsrelevanten Daten und ihrer Löschung ist entsprechend § 100d Abs. 2 S. 3 StPO zu dokumentieren.839 6. Zwischenergebnis Alle staatlichen Ausforschungsmaßnahmen haben den durch Art. 1 GG gewährleisteten Kernbereich privater Lebensgestaltung zu achten. Das gilt unabhängig davon, in welches Grundrecht eingegriffen wird und ob die Maßnahme heimlich oder offen durchgeführt wird. Folglich gilt der Schutz des Kernbereichs privater Lebensgestaltung auch für die Durchsicht gemäß § 110 Abs. 3 StPO. Der Schutz des Kernbereichs ist zweistufig zu gewährleisten. Auf Stufe der Datenerhebung ist die Berührung kernbereichsrelevanter Daten unter Einsatz aller zumutbaren Mittel zu vermeiden. Ermittler dürfen eine unvermeidbare Kernbereichsberührung in Kauf nehmen, was insbesondere bei der lung des Kernbereichsschutzes bei § 110 StPO kann allerdings nicht unmittelbar aus der Rechtsprechung des BVerfG hergeleitet werden, die hier konstatierte Regelungslücke bedeutet insoweit also keinen Verfassungsverstoß, s. oben Kap. 2 B.V. 4. 833 Vgl. BVerfGE 129, 208 (245 ff.); 141, 220 (278). 834 Vgl. BVerfGE 120, 274 (337); 141, 220 (307). 835 Vgl. BVerfGE 120, 274 (337, 339); 141, 220 (280). 836 Vgl. BVerfGE 120, 274 (337, 339); 141, 220 (280). 837 Zum Zweck des § 100d Abs. 3 S. 2 Hs. 2 StPO s. KK/Bruns, § 100d Rn. 10. 838 Vgl. BVerfGE 141, 220 (307). 839 Vgl. BVerfGE 141, 220 (280).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

257

Durchsicht von informationstechnischen Systemen bzw. deren Datenträgern relevant wird. Auf einer zweiten Stufe, der Auswertungsphase, muss die Intensität der Kernbereichsberührung durch Verfahren zur Aussonderung und Löschung von Daten möglichst gering gehalten werden. Kernbereichsrelevante Inhalte dürfen dadurch zunächst von Menschen zur Kenntnis genommen werden, da eine automatisierte Bewertung von Daten anhand ihrer Kernbereichsrelevanz zurzeit nicht zuverlässig möglich ist (und vielleicht nie möglich sein wird). Für besonders verletzungsgeneigte Überwachungsmaßnahmen fordert das BVerfG gesetzgeberische Regelungen zum Schutz des Kernbereichs. Eine verfassungsrechtliche Pflicht zur Regelung eines Kernbereichsschutzkonzepts für § 110 Abs. 3 StPO lässt sich aus dieser Rechtsprechung jedoch nicht unmittelbar herleiten. Der aktuelle Mangel eines gesetzlichen Kernbereichsschutzkonzepts für § 110 Abs. 3 StPO ist daher nach hier vertretener Einschätzung kein Verfassungsverstoß. Gleichwohl erscheint es sachgerecht, für die Durchsicht nach § 110 StPO, die häufig große Datenmengen und damit häufig auch kernbereichsrelevante Daten berühren wird, ebenfalls gesetzliche Regelungen zum Schutz des Kernbereichs zu erlassen. Bis zur Schaffung expliziter gesetzlicher Regelungen ist das Kernbereichsschutzkonzept des § 100d Abs. 1 bis Abs. 3 StPO, wie es für Online-Durchsuchungen nach § 100b StPO gilt, analog auf Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO anzuwenden. Darüber hinaus erscheint es geboten, für sämtliche Ermittlungsmaßnahmen ein allgemeines Kernbereichsschutzkonzept gesetzlich zu regeln. Dieses kann für besonders intensive, verletzungsgeneigte Eingriffsmaßnahmen zusätzlich um besondere gesetzliche Kernbereichsregelungen ergänzt werden.

VI. Rundumüberwachung / Totalausforschung / Persönlichkeitsprofile Gemäß der Rechtsprechung des BVerfG ist es mit der Menschenwürde unvereinbar, wenn sich die Überwachung eines Menschen über einen längeren Zeitraum erstreckt und derart umfassend ist, dass sein Leben nahezu lückenlos erfasst wird und die gewonnen Erkenntnisse somit Grundlage für die Erstellung eines Persönlichkeitsprofils werden können. Eine solche Rundumüberwachung (oder auch Totalausforschung840) ist somit ein Verstoß gegen Art. 1 Abs. 1 GG.841 Eine derartige umfassende Ausforschung des Einzelnen kann folglich nicht gerechtfertigt werden, nicht einmal durch überragende Interessen der Allgemeinheit.842 840 So z. B. bei Puschke, Die kumulative Anordnung von Informationsbeschaffungsmaßnahmen, 2006, S. 81; Singelnstein/Putzer, GA 2015, 564 (569). 841 BVerfGE 109, 279 (323); 112, 304 (319); 130, 1 (24); 141, 220 (280 f.). 842 Vgl. Puschke, Die kumulative Anordnung von Informationsbeschaffungsmaßnahmen, 2006, S. 83.

258

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Ähnlich wie das Verbot der Ausforschung des Kernbereichs privater Lebensgestaltung zieht das Verbot der Rundumüberwachung staatlichen Eingriffen eine absolute verfassungsrechtliche Grenze. Diese beiden Grenzen sind allerdings voneinander zu unterscheiden. Eine Rundumüberwachung wird typischerweise, muss aber nicht zwingend auch kernbereichsrelevante Informationen erheben, um wegen eines Verstoßes gegen Art. 1 Abs. 1 GG unzulässig zu sein. Das Verbot der Rundumüberwachung bildet also eine eigene, vom Kernbereichsschutz unabhängige Grenze für Ermittlungsmaßnahmen. Sie ist eine Begrenzung hinsichtlich der Quantität der erhobenen Daten,843 wohingegen der Kernbereich Daten aufgrund ihrer besonderen Qualität schützt.844 Eine Festplatte und damit auch ein informationstechnisches System kann potentiell massenhaft personenbezogene Daten enthalten, mehr als jeder noch so große Aktenschrank umfassen könnte. Textdateien, Bilddateien, Videos und Audioaufnahmen, Protokolle aufgerufener Internetseiten, gespeicherte E-Mails oder bereits die schlichte Zusammenstellung der auf dem System verwendeten Software können große Rückschlüsse auf die Persönlichkeit des Nutzers zulassen. Jeder Lebensbereich, jeder Aspekt der Persönlichkeit eines Menschen kann seine Entsprechung in einem elektronischen Datensatz finden. Mithilfe von informationstechnischen Geräten, insbesondere Smartphones, werden soziale Kontakte gepflegt, Termine organisiert und Erinnerungen verwaltet. In diesem Zusammenhang wurde die Bedeutung des Computers als „ausgelagertes Gehirn“ bereits hervorgehoben.845 Mithilfe informationstechnischer Systeme und deren vollständiger Integration in das Alltags- und Berufsleben erstellen ihre Nutzer Persönlichkeitsprofile über sich selbst.846

843 Vgl. bzgl. Persönlichkeitsprofilen Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 34 f. 844 Rottmeier, Kernbereich privater Lebensgestaltung, 2017, S. 136 ff.; siehe dazu die Differenzierung der verschiedenen verfassungsrechtlichen Grenzen in BVerfGE 141, 220 (276 ff., insb. 280) und (weniger deutlich, aber dennoch vorhanden) in BVerfGE 109, 279 (323); vgl. auch Dammann, Kernbereich der privaten Lebensgestaltung, 2011, S. 151 ff.; B. Gercke, FS Mehle, 2009, 219 (225); Puschke, Die kumulative Anordnung von Informationsbeschaffungsmaßnahmen, 2006, S. 81; Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 293 (mit Zweifeln zur praktischen Anwendbarkeit dieses Schutzkonzepts, S. 293 ff.); a. A. offenbar Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, der beides vermischt. 845 Vgl. erneut die Formulierung von Burkhard Hirsch, s. Der Spiegel 6/2007, S. 18, abrufbar unter http://magazin.spiegel.de/EpubDelivery/spiegel/pdf/50424594 [zuletzt abgerufen am 04.11.2021]; dazu bereits oben Einl. B. 846 Vgl. BVerfGE 120, 274 (305, 322 f.); Basar, FS Wessing 2015, 635 (639 – Fn. 22); Hauser, IT-Grundrecht, 2015, S. 69.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

259

Damit stellt sich die Frage, ob eine Durchsicht nach § 110 Abs. 3 StPO im Einzelfall absolut unzulässig sein kann, weil sie gegen das Verbot der Rundumüberwachung und damit gegen Art. 1 Abs. 1 GG verstößt. Die Frage stellt sich insbesondere bei einer Mitnahme zur Durchsicht, bei der die Strafverfolgungsbehörden einen vollständigen Datensatz kopieren oder gleich das gesamte informationstechnische System mitnehmen. Durch so eine Maßnahme halten die Ermittler im Ergebnis nämlich genau die Datensammlungen in Händen, die sich zur Erstellung eines Persönlichkeitsprofils eignen – wenn diese Datensammlungen nicht schon selbst ein fertiges Persönlichkeitsprofil darstellen. Auf den ersten Blick deutet die verfassungsgerichtliche Rechtsprechung darauf hin, dass das Erheben eines ganzen Datensatzes mit der Möglichkeit zur Erstellung bzw. zum Auslesen eines Persönlichkeitsprofils unzulässig ist. Ausdrücklich bezieht sich das BVerfG bei Herleitung des Verbots der Rundumüberwachung auf die Gefahr der Erstellung von Persönlichkeitsprofilen und verweist auf sein Volkszählungsurteil.847 Dort hatte sich das Gericht im Zusammenhang mit der Erhebung, Speicherung und Verarbeitung von Daten mit den Gefahren der Vernetzung und Verknüpfung von Datensammlungen zu einem vollständigen Persönlichkeitsbild auseinandergesetzt.848 Genau diese Erhebung, Speicherung und Verarbeitung von Daten, vor der das BVerfG seinerzeit gewarnt hat, findet im Ergebnis bei einer Durchsicht informationstechnischer Systeme, insbesondere bei einer Mitnahme zur Durchsicht, auf Grundlage des § 110 Abs. 1, Abs. 3 S. 1 StPO statt. Tatsächlich hat das BVerfG auch später noch, in seinem Urteil zur Online-Durchsuchung, auf die Gefahr der Ausforschung der Persönlichkeit des Einzelnen hingeweisen, die bereits durch die bloße Kopie eines Speichermediums entsteht.849 Allerdings hat das BVerfG die verfassungsrechtliche Grenze der Rundumüberwachung anlässlich einer Prüfung der vollständigen Kopie und Durchsicht von Speichermedien auf Grundlage des § 110 Abs. 1 StPO (heute gestützt auf § 110 Abs. 3 S. 1 StPO) nicht einmal angesprochen.850 Selbst bezüglich der Online-Durchsuchung hat das BVerfG in seinen Urteilsgründen kein Wort dazu verloren, das Verbot der Rundumüberwachung also ebenfalls nicht in Stellung gebracht, trotz der Hinweise zur Möglichkeit der Bildung von Persönlichkeitsprofilen durch Ausforschung von informationstechnischen Systemen.851 Einen potentiellen Verstoß gegen das Verbot der Rundumüberwachung scheint das BVerfG bei der Durchsicht eines informations847

Verweis in BVerfGE 109, 279 (323). BVerfGE 65, 1 (42). 849 BVerfGE 120, 274 (322). 850 BVerfGE 113, 29. 851 Vgl. BVerfGE 120, 274 (323 ff.). 848

260

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

technischen Systems also nicht zu sehen. Dazu passt, dass das Gericht das Verbot der Rundumüberwachung bisher vor allem hinsichtlich eines kumulativen Zusammenwirkens mehrerer Ermittlungsmaßnahmen852 bzw. einer dauerhaften Observation von Menschen unter Einsatz mehrerer technischer Mittel853 in Ansatz gebracht hat. Die bloß einmalige Durchsicht eines informationstechnischen Systems weist demgegenüber nicht das Element der Langfristigkeit der Überwachung auf, welches das Gericht bei Definition des Rundumüberwachungsverbots nennt und welches die Maßnahmen prägt, die vom BVerfG bisher an diesem Verbot gemessen wurden. Ferner scheint das Gericht im bloßen Zugriff auf elektronisch gespeicherte Daten nicht die Lückenlosigkeit der Überwachung zu sehen, die für eine verfassungsrechtlich unzulässige Rundumüberwachung konstitutiv ist. Tatsächlich ist feststzustellen, dass die (einmalige) Kopie eines Speichermediums, mag sie auch noch so viele personenbezogene Daten zutage fördern, durchaus noch Lücken in der Überwachung lässt: Erstens wird die zukünftige Nutzung des informatonstechnischen Systems nach Erhebung der Daten nicht weiter überwacht, zweitens besteht für den Betroffenen grundsätzlich noch ein privater Lebensraum außerhalb der Nutzung informationstechnischer Systeme, der unüberwacht bleibt. Dem Betroffenen verbleibt also noch ein hinreichender, überwachungsfreier Rückzugsraum. Daher kann aus der Rechtsprechung des BVerfG nicht unmittelbar hergeleitet werden, dass die Komplettkopie der Daten eines informationstechnischen Systems gegen das absolute Verbot der Rundumüberwachung verstößt.854 Es bleibt allerdings festzuhalten, dass sich die totale Ausforschung eines informationstechnischen Systems auf Grundlage des § 110 Abs. 3 StPO in ihrem Gewicht einer verbotenen Rundumüberwachung durchaus annähern kann. Dass sich die Datenerhebung dabei auf einen Lebensbereich in Form der Nutzung informationstechnischer Systeme beschränkt, ist alleine nicht ausschlaggebend: Auch anlässlich der akustischen Wohnraumüberwachung, die sich ebenso nur auf eine einzige, wenn auch besonders sensible Sphäre des Privatlebens beschränkt, erwähnte das BVerfG das Verbot der Rundumüberwachung.855 Auch durch die akustische Überwachung allein der Wohnung ist also eine lückenlose Überwachung im Sinne der verfassungsgerichtlichen Rechtsprechung zum Verbot der Rundumüberwachung denkbar. Ein

852 Vgl. BVerfGE 144, 220 (280 f.); so auch B. Gercke, FS Mehle 2009, 219 (225); Singelnstein/Putzer, GA 2015, 564 (569); zum Zusammenhang auch Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 294 f. 853 BVerfGE 112, 304 (319); BVerfG v. 01.12.2020, Az. 2 BvR 916/11, 2 BvR 636/12, Rn. 210. 854 Schantz, KritV 2007, 310 (326 f.) nimmt hier dennoch einen Verstoß gegen Art. 1 Abs. 1 GG an. 855 BVerfGE 109, 279 (323).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

261

kumulatives Zusammenwirken mehrerer unterschiedlicher Ermittlungsmaßnahmen ist folglich nicht notwendige Bedingung für die Annahme einer menschenwürdeverletzenden Rundumüberwachung. Der Verzicht auf das starre Kriterium der Kumuluation mehrerer Maßnahmen zur Annahme einer verbotenen Rundumüberwachung erscheint insbesondere mit Blick auf die komplette Ausforschung eines informationstechnischen Systems mit all den dort potentiell gelagerten personenbezogenen Daten gerechtfertigt: Können die Ermittler auf einen großen Pool an Daten, der einem vorgefertigtem Persönlichkeitsprofil gleichkommt, zugreifen, so hat dieser einzelne Zugriff potentiell die gleiche Eingriffswirkung wie ein Bündel aus verschiedenen Maßnahmen, das dazu dient, ein Persönlichkeitsprofil erst zu erstellen. Eine Kumulation von mehreren Ermittlungsmaßnahmen ist zur Erstellung eines Persönlichkeitsprofils mitunter also gar nicht mehr nötig. Die bei einer einmaligen Abschöpfung von Datenbeständen zweifellos fehlende Langfristigkeit und Zukunftsbezogenheit der Ausforschung wird ferner dadurch aufgewogen, dass bei einem Zugriff auf ein informationstechnisches System typischerweise auch Sachverhalte erfasst werden, die weit in der Vergangenheit liegen. Das ist bei anderen Überwachungsmaßnahmen, die das gesprochene Wort oder Bewegungen observieren, nicht der Fall. Auf bereits in der Vergangenheit gesprochene Worte und unternommenes Verhalten des Verdächtigen haben die Ermittler zum Zeitpunkt der Observation keinen Zugriff mehr. Hier können nur flüchtige Informationen erhoben und dann für die Zukunft gespeichert werden. Bei einem informationstechnischen System dagegen liegt bereits ein Fundus an Daten vor, die Informationen sind also in konservierter Form abgreifbar. Den Ermittlern steht alles, was jemals auf dem System gespeichert und nicht gelöscht wurde, zur Verfügung. Theoretisch kann somit ein ganzes Leben dokumentiert und eine Persönlichkeitsentwicklung über Jahre hinweg nachvollzogen werden. Das kann insbesondere mithilfe vergangener, aber noch gespeicherter Kommunikation in Form von E-Mails und Chatlogs, aber auch Anruflisten, gespeicherten Kontakten, Informationen zu weit zurückliegenden Terminen und dergleichen geschehen. Die Gefahr der Erstellung eines Persönlichkeitsprofils kann hier also ebenso, wenn nicht gar umso mehr bestehen als bei Überwachungsmaßnahmen, die erst in der Gegenwart bei Null ansetzen und dann nur noch in die Zukunft wirken. Auch wenn die Komplettauswertung eines informationstechnischen Systems (und damit potentiell eines kompletten Lebens) nach der Rechsprechung des BVerfG nicht gegen das Verbot der Rundumüberwachung verstößt, so ist sie immerhin als höchst eingriffsintensiv zu bewerten. Mit anderen Worten: Sie mag die Menschenwürde nicht verletzen, ist aber auch nicht weit weg davon, es zu tun. Legt man das oben vorgestellte Konzept

262

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Poschers zum Schutz des Kernbereichs und der Menschenwürde zugrunde,856 so erscheint es erforderlich, auch zur Vermeidung einer totalen Ausforschung der Person gesetzliche Regelung zur Datentrennung und im Falle der Erstellung einer Gesamtkopie vor allem zur (nachträglichen) Datenlöschung zu erlassen. Der Gesetzgeber sollte ein Bemühen der Strafverfolgungsbehörden einfordern, die Würde des Beschuldigten (oder betroffener Dritter) bestmöglich zu achten und gerade keine kompletten Persönlichkeitsprofile zu erstellen und auszuwerten.

VII. Begleitmaßnahmen zur Durchsicht informationstechnischer Systeme Bisher wurde in dieser Untersuchung nur die Durchsicht als solche in den Blick genommen, also der Kern der Maßnahme nach § 110 Abs. 3 StPO, der darin besteht, dass Ermittler ein informationstechnisches System durchsehen und somit potentiell riesige Datenbestände erheben. Das allein kann, wie gezeigt, bereits intensive Grundrechtseingriffe bewirken. Die Durchsicht informationstechnischer Systeme wird typischerweise von weiteren Maßnahmen begleitet. Mit der Mitnahme zur Durchsicht857 wurde bereits eine dieser Begleitmaßnahmen genannt. Sie kann, wenn Geräte und nicht nur Datenkopien gemäß § 110 Abs. 3 S. 3 StPO mitgenommen werden, in Art. 14 GG eingreifen und intensiviert somit die Grundrechtseinschränkungen beim Betroffenen.858 Es gibt aber noch weitere Begleitmaßnahmen, die typischerweise zusammen mit der Durchsicht informationstechnischer Systeme auftreten können. Das sind erstens die Inbetriebnahme eines ausgeschalteten informationstechnischen Systems durch die Ermittler und zweitens das Brechen oder Umgehen von Verschlüsselungen und Passwörtern. Diese Begleitmaßnahmen sollen im Folgenden besprochen werden, insbesondere im Hinblick darauf, inwieweit sie die in der Durchsicht liegenden Grundrechtseingriffe intensivieren oder ganz neue Eingriffe bewirken können. 1. Inbetriebnahme des informationstechnischen Systems Nur kurz soll darauf eingangenen werden, ob und auf welcher Grundlage Ermittler befugt sind, ein informationstechnisches System zum Zwecke der Durchsicht in Betrieb zu nehmen. Dabei sind zwei Grundkonstellationen zu unterscheiden.

856

Oben Kap. 2 B.V. 3.b). Dazu oben Kap. 2 B.II. 858 Dazu oben Kap. 2 B.III.5. 857

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

263

Völlig unproblematisch ist der Fall, in dem Ermittler im Rahmen der Durchsuchung auf ein eingeschaltetes System zugreifen. Gerade bei vielgenutzten Geräten ist es übliche Nutzungspraxis, diese gar nicht oder nur sehr selten auszuschalten. Angesprochen sind damit vor allem Smartphones – hier ist die Chance besonders hoch, dass die Ermittler während des laufenden Betriebs die Durchsuchung beginnen und dem Betroffenen das Smartphone im eingeschalteten Zustand abnehmen können. Sie müssen das System also nicht erst hochfahren, um auf die Daten zugreifen zu können, sondern können direkt mit der Durchsicht beginnen. Die bloße Nutzung des eingeschalteten, laufenden Systems ist dabei unproblematisch von der Befugnis zur Durchsuchung gemäß § 102 StPO bzw. § 110 Abs. 3 S. 1 StPO als Annexkompetenz mit abgedeckt. Es verhält sich hier wenig anders als beim Durchblättern von Aktenbeständen oder Durchwühlen von Schubladen.859 Es ist die Kerntätigkeit dessen, was eine Durchsuchung ausmacht. Die Durchsicht eines bereits laufenden informationstechnischen Systems ist also der Normalfall der Durchsicht und ohne Weiteres zulässig. Daran kann spätestens seit der Einführung der Netzwerkdurchsicht im Sinne des § 110 Abs. 3 S. 2 StPO (§ 110 Abs. 3 StPO a. F. im Jahre 2008) kein Zweifel mehr bestehen, denn diese setzt die Nutzung des informationstechnischen Systems des Betroffenen zum Zugriff auf das externe System notwendigerweise voraus.860 Es kommt aber auch vor, dass die Ermittler zu Beginn der Durchsuchung ein ausgeschaltetes Gerät vorfinden. Typischerweise ist dies ein PC oder ein Laptop, der vom Beschuldigten zum Zeitpunkt der Durchsuchung nicht verwendet wird. Es ist diese Konstellation, die im Schrifttum von einigen Autoren problematisiert wurde, denn es stellt sich die Frage, ob die Ermittler dazu befugt sind, das informationstechnische System zum Zwecke der Durchsicht einzuschalten und hochzufahren. Richtigerweise ist eine Befugnis der Ermittler zum Hochfahren und Inbetriebnehmen informationstechnischer Systeme anzunehmen. Diese Befugnis kann unmittelbar auf §§ 102, 110 Abs. 3 S. 1 StPO gestützt werden. Es liegt auch hier nicht anders als bei anderen Durchsuchungsobjekten: Auch der geschlossene Aktenordner darf geöffnet werden, um die Akten durchzusehen, und niemand käme auf die Idee, den Ermittlern die Durchsicht eines Buches zu versagen, weil ihnen die Befugnis dazu fehlte, jenes Buch aufzuklappen. Äquivalent dazu muss es den Ermittlern auch möglich sein, ein informationstechnisches System sozusagen zu öffnen, es also in Betrieb zu nehmen und die in ihm gespeicherten Daten dadurch sichtbar zu machen. Alles andere hieße, dass jedermann jede Durchsuchung sofort abbrechen

859

Heinson, IT-Forensik, 2015, S. 246. Heinson, IT-Forensik, 2015, S. 246; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 331. 860

264

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

oder direkt im Keim ersticken könnte, indem er ein informationstechnisches System einfach nur abschaltete. Das aber kann nicht gewollt sein und entspricht auch nicht dem Bild einer Durchsuchung, die ja immerhin eine Zwangsmaßnahme ist, die staatliche Ermittler also dazu ermächtigt, die Befugnis zur Durchsuchung auch effektiv und gegen den Willen des Betroffenen durchzusetzen. Die Inbetriebnahme des zu durchsuchenden informationstechnischen Systems ist insoweit notwendige Begleitmaßnahme zur Durchsicht. Diese Inbetriebnahme bewirkt gegenüber der Durchsicht als solcher auch keinen weiteren, eigenständigen Grundrechtseingriff.861 Sie kann somit auf eine Annexkompetenz zu den §§ 102 ff. StPO gestützt werden.862 Die Ermächtigung zur Durchsicht informationstechnischer Systeme enthält folglich auch die Befugnis, das informationstechnische System zu diesem Zweck erst in Betrieb zu nehmen.863 2. Passwörter, Verschlüsselungen und staatliches Hacking Ermittler werden bei der Durchsicht informationstechnischer Systeme nicht selten auf einen Passwortschutz und Verschlüsselungen treffen: Die Benutzerkonten des PCs sind mit einem Passwort gesichert, das Smartphone mit einem PIN-Code oder Sperrmuster geschützt, die Festplatte des Systems oder einzelne Dateien verschlüsselt usw. Die Daten sind damit nicht ohne Weiteres durchsehbar.864 In diesen Fällen haben die Ermittler mehrere Möglichkeiten. 861 Heinson, IT-Forensik, 2015, S. 197 – Fn. 167 allerdings sieht hierin eine zwangsläufige, aber lediglich technisch bedingte und punktuelle Beeinträchtigung der Integrität des Systems. 862 Sieber/Brodowski, in: Hoeren/Sieber/Holznagel (Hrsg.), Handbuch MultimediaRecht, 19.3 Rn. 58; vgl. auch ausführlich Bär, Der Zugriff auf Computerdaten, 1992, S. 183 ff. 863 BeckOK-StPO/Hegmann, § 102 Rn. 13; Bell, Strafverfolgung und die Cloud, 2019, S. 80 f.; Beulke/Meininghaus, StV 2007, 63 (64); Kemper, NStZ 2005, 538 (540); MarberthKubicki, Computer- und Internetstrafrecht, Rn. 457; Meyer-Goßner/Schmitt/Köhler, § 102 Rn. 10a; MüKo-StPO/Hauschild, § 110 Rn. 26; Sieber/Brodowski, in: Hoeren/Sieber/Holznagel (Hrsg.), Handbuch Multimedia-Recht, 19.3 Rn. 58; Spatscheck, FS Hamm 2008, 733 (737 f.); SSW-StPO/Hadamitzky, § 102 Rn. 15. Diese Befugnis erstreckt sich auch auf die Nutzung von auf dem System installierter Software zum Zwecke der Durchsicht und Auswertung der Daten, Bär, in: Wabnitz/Janovsky, Handbuch Wirtschafts- und Steuerstrafrecht, Kap. 28 Rn. 18 f. 864 Zwar besteht für Ermittler seit dem Inkrafttreten des Gesetzes zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021 (BGBl. 2021 I, S. 2099) durch § 104 Abs. 1 Nr. 3 StPO die Möglichkeit, Durchsuchungen zur Nachtzeit in der Hoffnung durchzuführen, in einem Überraschungsmoment Zugriff auf elektronische Speichermedien in unverschlüsselter bzw. entschlüsselter Form zu erlangen. Aber auch eine Durchsuchung zur Nachtzeit garantiert keineswegs, dass die gesuchten Daten tatsächlich unverschlüsselt bzw. entschlüsselt aufgefunden werden.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

265

Der einfachste Weg ist, die Zugangsdaten und Passwörter bei der Durchsuchung selbst aufzufinden, zum Beispiel als handschriftliche Notiz.865 Die Suche nach dem Passwort unterliegt keinen rechtlichen Besonderheiten und ist unproblematisch von den §§ 102 ff. StPO gedeckt. Die Ermittler dürfen die aufgefundenen Zugangsdaten ohne Weiteres zum Zwecke der Durchsicht verwenden.866 Darin liegt kein über die Durchsuchung bzw. Durchsicht als solche hinausgehender Grundrechtseingriff. Allenfalls im Rahmen der Verhältnismäßigkeit kann berücksichtigt werden, dass der Betroffene an passwortgeschützte Daten im Vergleich zu nicht besonders geschützten Daten eine höhere Vertraulichkeitserwartung stellt, die sodann durch die Ermittler enttäuscht wird.867 Indes wird der Nutzer regelmäßig auch bezüglich der nicht durch besondere technische Sicherungen geschützten Daten eine hohe Vertraulichkeitserwartung haben, sofern sie auf privaten oder auch beruflich genutzten Geräten gespeichert sind. Die Überwindung einer Passwortsicherung durch schlichte Eingabe des Passworts verleiht dem Grundrechtseingriff also keinen wesentlich anderen Charakter. Können die Ermittler die Zugangsdaten nicht bei der Durchsuchung auffinden, kommen zwei Möglichkeiten in Betracht. Zum einen ist denkbar, dass sie die Zugangsdaten von jemandem herausverlangen, der sie kennt (unten a)). Zum anderen können sie versuchen, den Passwortschutz oder die Verschlüsselung zu umgehen bzw. diese mit technischen Mitteln zu knacken (unten b)). a) Herausgabeverlangen und Zeugnispflicht bezüglich Passwörter Grundsätzlich besteht für die Ermittler die Möglichkeit, den Beschuldigten nach den Zugangsdaten bzw. dem Passwort für eine Entschlüsselung von Systemen oder Dateien zu fragen. Sie können diese Informationen allerdings nicht zwangsweise herausverlangen: Aufgrund der Selbstbelastungsfreiheit des Beschuldigten im Strafverfahren (nemo tenetur se ipsum accusare) ist dieser nicht verpflichtet, Passwörter, PIN-Codes und dergleichen herauszugeben, um so an seiner eigenen Verfolgung mitzuwirken.868 Gibt der Beschul865

Laut Müller, NZWiSt 2020, 96, darf man selbst bei sog. „Cyberkriminellen“ nicht davon ausgehen, dass diese prinzipiell „technische Masterminds“ oder „Genies“ seien, sondern dass es sich auch bei ihnen in vielen Fällen um technisch wenig begabte Täter handelt, die durchaus Fehler machen. Auch der Fall offen notierter und einsehbarer Passwörter am Durchsuchungsort dürfte damit keine allzu große Seltenheit sein. 866 Brodowski/Eisenmenger, ZD 2014, 119 (123); HK-StPO-Gercke, § 110 Rn. 24; Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 70; MüKo-StPO/Hauschild, § 110 Rn. 16; Neuhaus, StV 2020, 489 (490); Schlegel, HRRS 2008, 23 (28); Bäumerich, NJW 2017, 2718 (2720) will die Nutzung aufgefundener Entsperrdaten auf eine Annexkompetenz zu § 94 StPO stützen. 867 Vgl. Heinson, IT-Forensik, 2015, S. 185. 868 Basar/Hie´ramente, NStZ 2018, 681 (683); Bäumerich, NJW 2017, 2718 (2720); Bell,

266

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

digte die Informationen also nicht freiwillig preis, so haben die Ermittler ihm gegenüber keine weitere Handhabe. Anders liegt der Fall, in dem ein Gerät durch einen Fingerabdruckscanner (oder auch Irisscanner, Gesichtsscanner oder Venenscanner869) geschützt ist, sodass es nur benutzbar und damit durchsehbar ist, wenn der richtige Fingerabdruck eingegeben wird. Hier ist es denkbar, dass die Ermittler den Beschuldigten, der in der Regel Inhaber des passenden Fingerabdrucks ist, zur Auflage des Fingers auf den Scanner zu zwingen – notfalls in Form von unmittelbarem Zwang. Der Beschuldigte würde dabei nicht aktiv tätig, sondern müsste lediglich passiv dulden, dass die Ermittler seinen Finger zum Scanner führen und so das Gerät freischalten. Ein Verstoß gegen die Selbstbelastungsfreiheit bestünde in diesem Fall deshalb nicht.870 Allerdings fehlt es für dieses Vorgehen an einer Rechtsgrundlage in der Strafprozessordnung. Der zur Legitimation einer solchen Maßnahme häufig angeführte § 81b Var. 1 StPO erlaubt zwar durchaus in einem ersten Schritt die Erhebung von Fingerabdrücken im Rahmen einer erkennungsdienstlichen Behandlung sowie auch die spätere Verwendung dieses Fingerabdrucks. Der entscheidende zweite Schritt, nämlich die Verwendung des Fingerabdrucks speziell zur Entschlüsselung eines informationstechnischen Systems, also die Verwendung zum Zwecke eines Eingriffs in das IT-Grundrecht, wird in § 81b Var. 1 StPO aber nicht abgebildet.871 § 81b Var. 1 StPO regelt nur die erkennungsdienstliche Untersuchung, die zum Zweck der späteren Identifizierung eines Beschuldigten durchgeführt wird. Darum geht es im hier besprochenen Fall aber nicht. Der Zweck ist ein anderer: Die Erlangung des Zugangs zu einem informationstechnischen System, um dieses durchsehen zu können. Die Identifizierung des Beschuldigten durch die Ermittler wird hier nicht bezweckt.872 § 81b Var. 1 StPO ist somit keine taugliche Befugnisnorm für das

Strafverfolgung und die Cloud, 2019, S. 81 f.; Graßie/Hie´ramente, CB 2019, 191 (194); KK/Greven, § 94 Rn. 4b; Lemcke, Die Sicherstellung gem. § 94 StPO, 1995, S. 173 f., 261; Meyer-Goßner/Schmitt/Köhler, § 105 Rn. 13; Momsen, DRiZ 2018, 140 (140 f.); Obenhaus, NJW 2010, 651 (652); Zimmermann, JA 2014, 321 (322). 869 Rottmeier/Eckel, NStZ 2020, 193 (194). 870 Bäumerich, NJW 2017, 2718 (2721); Horn, Kriminalistik 2019, 641 (642); Momsen, DRiZ 2018, 140 (141); Rottmeier/Eckel, NStZ 2020, 193 (199). 871 Vgl. Horn, Kriminalistik 2019, 641 (642). Rottmeier/Eckel, NStZ 2020, 193 (195 f., 200) schlagen deshalb vor, die gesamte Ermittlungsmaßnahme auf zwei verschiedene, kombinierte Ermächtigungsgrundlagen zu stützen: Die Überwindung der Zugangssperrung durch Führen des Fingers des Beschuldigten soll auf § 81b StPO gestützt werden, der sich daran anschließende Zugriff auf die Daten auf eine andere, entsprechende Rechtsgrundlage, z. B. auf die §§ 94 ff. StPO oder § 110 StPO. 872 Bäumerich, NJW 2017, 2718 (2721); Rottmeier/Eckel, NStZ 2020, 193 (195) sehen hierbei kein Problem, da § 81b StPO bewusst technikoffen ausgestaltet sei, in der Nutzung des Fingerabdrucks sehr wohl eine Identifizierung, nämlich gegenüber dem passwortge-

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

267

hier vorgestellte Vorgehen.873 Auch sonst kommt für die zwangsweise Entsperrung von Systemen nach hier beschriebener Art keine Ermächtigungsgrundlage aus der StPO in Betracht.874 Die Ermittler dürfen den Beschuldigten somit nicht benutzen, um mit seinem Finger ein verschlüsseltes Gerät freizuschalten. Ist das System oder sind die auf ihm enthaltenen Daten durch einen gewöhnlichen Passwortschutz gesichert, so haben die Ermittler aber die Möglichkeit, die Zugangsdaten von jemand anderem als dem Beschuldigten zu erlangen. Das können (nicht zeugnis- oder auskunftsverweigerungsberechtigte) Zeugen sein, zum Beispiel Familienmitglieder, Arbeitskollegen, Freunde und Bekannte, die vom Beschuldigten ins Vertrauen gezogen sind und die Zugangsdaten deshalb kennen.875 Sie können Adressaten eines Herausgabeverlangens gemäß § 95 Abs. 1 StPO sein, wenn Passwörter bereits notiert bei ihnen vorliegen oder sie Schlüsseldateien zur Entschlüsselung der Daten im Besitz haben.876 Die (mündliche) Mitteilung von Passwörtern kann über § 95 Abs. 1 StPO dagegen nicht verlangt werden. Allerdings kommt in diesen Fällen eine Zeugenvernehmung gemäß §§ 161a Abs. 1 S. 1, 163 Abs. 3 S. 1 oder auch § 48 Abs. 2 StPO in Betracht, um Passwörter in Erfahrung zu bringen.877 Je nach Art der Verschlüsselung und des Systems kann Adressat der Erfragung von Zugangscodes auch ein externer Diensteanbieter oder Administrator sein, der die Zugangsdaten kennt. Das allerdings wird bei einem lokalen informationstechnischen System weniger häufig vorkommen als bei einem externen Datenspeicher, wo zum Beispiel der Anbieter eines Cloud-

schützten Gerät, liege und § 81b StPO zudem ohnehin nicht auf Maßnahmen zur Identifizierung beschränkt sei, sondern dem Gesetzeswortlaut nach Maßnahmen allgemein für die Zwecke der Durchführung des Strafverfahrens zulasse. 873 Zum Ganzen Nadeborn/Irscheid, StraFo 2019, 274 (274 f.); so auch Momsen, DRiZ 2018, 140 (141 f.), der außerdem § 81a StPO als Eingriffsgrundlage diskutiert und aus gleichen Gründen ablehnt; dazu auch Bäumerich, NJW 2017, 2718 (2720), der aber wiederum § 81b StPO als Eingriffsgrundlage in Erwägung zieht, sofern im Einzelfall die Verhältnismäßigkeit gewahrt ist (2722); für § 81b StPO als Grundlage zum Freischalten der Zugangssperrung durch Anwendung unmittelbaren Zwangs Rottmeier/Eckel, NStZ 2020, 193 (195 f., 200); s. auch Neuhaus, StV 2020, 489 (490 ff.). 874 Diskussion weiterer Normen bei Momsen, DRiZ 2018, 140 (142 f.); s. auch Rottmeier/Eckel, NStZ 2020, 193 (196 ff.), die aber eine Annexkompetenz zu den §§ 94, 110 StPO in Betracht ziehen; so auch Horn, Kriminalistik 2019, 641 (643). 875 KK/Greven, § 94 Rn. 4b; Zimmermann, JA 2014, 321 (322); mit Hinweisen zu den rechtlichen Grenzen Lemcke, Die Sicherstellung gem. § 94 StPO, 1995, S. 176 ff. 876 MüKo-StPO/Hauschild, § 95 Rn. 8; vgl. auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 284 f. 877 Bunzel, Zugriff auf IT-Systeme, 2015, S. 284 f.; zweifelnd Graßie/Hie´ramente, CB 2019, 191 (194).

268

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Services die Log-In-Daten in den Cloudspeicher kennen und deshalb herausgeben könnte. Hier kommt, je nachdem, ob man den Cloud-Storage-Service als Telekommunikationsdienst im Sinne des TKG oder – richtigerweise – als Telemediendienst im Sinne des TMG einordnet878, entweder eine Bestandsdatenauskunft gemäß § 100j Abs. 1 S. 2 StPO i. V. m. § 113 Abs. 1 S. 2 TKG879 oder gemäß § 100j Abs. 1 S. 3 StPO i. V. m. § 15b TMG880 in Betracht. Ein Herausgabeverlangen oder eine entsprechende Zeugenvernehmung zur Erlangung von Passwörtern bzw. Entschlüsselungscodes richtet sich nicht gegen den Beschuldigten selbst. Eine unmittelbare Zwangswirkung für ihn ergibt sich daraus also nicht. Lediglich die Tatsache, dass sich die Ermittler überhaupt Zugang zu passwortgeschützten Daten verschaffen, also zu solchen Daten, bei denen für den Betroffenen eine besondere Vertraulichkeitserwartung besteht, kann als intensiverer Eingriff in die Persönlichkeitsrechte gewertet werden. Eine eigene spezifische Eingriffswirkung gegenüber dem Beschuldigten entfalten Herausgabeverlangen an Dritte oder Zeugenvernehmungen von Dritten aber grundsätzlich nicht. b) Knacken des Passworts; Hacking; Aufspielen von Software Können Ermittler die für die Durchsicht benötigten Passwörter, Zugangskennungen und dergleichen nicht auffinden und auch nicht erfolgreich erfragen oder herausverlangen, so kommt die Überwindung oder Umgehung des Passwortschutzes bzw. der Verschlüsselung durch den Einsatz technischer Hilfsmittel in Betracht. Dazu kann es notwendig werden, dass die Ermittler forensische Software auf dem zu durchsuchenden System installieren. Denn nicht immer können die Ermittler darauf ausweichen, die Daten zunächst zu kopieren und dann behördeninterne Systeme zu nutzen, die mit der nötigen forensischen Software zur Überwindung des Passwortschutzes ausgestattet sind. Das betrifft insbesondere Fallgestaltungen, in denen eine Kopie der Datenbestände ohne vorherige Überwindung der Verschlüsselung nicht möglich ist, zum Beispiel weil sie technisch gegen Kopien geschützt sind oder bei einer Kopie nicht alle Daten übertragen würden. In diesen Fällen stellt sich die Frage, ob die Verwendung einer forensischen Software auf dem Zielsystem von den §§ 102 ff. StPO, insbesondere § 110 Abs. 3 S. 1 StPO, überhaupt gedeckt ist.

878 Heidrich/Wegener, MMR 2010, 803 (805); Kremer/Völkel, CR 2015, 501 (502 f.); Wicker, MMR 2014, 298 (300); zweifelnd Schuster/Reichl, CR 2010, 38 (42). 879 Vgl. Bär, MMR 2013, 700 (702); Brodowski/Eisenmenger, ZD 2014, 119 (123); Dalby, Strafverfolgung im Internet, 2016, S. 190 ff., 196 f. 880 Vgl. Graßie/Hie´ramente, CB 2019, 191 (194); HK-StPO/Gercke, § 100j Rn. 6; Liebig; Zugriff auf Computerinhaltsdaten, 2015, S. 72; Wicker, MMR 2014, 298 (300 ff.).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

269

Die Überwindung oder das Knacken eines Passworts wird häufig mit dem Knacken eines physischen Schlosses verglichen. So ist anerkannt, dass es den Ermittlern im Rahmen einer Durchsuchung auf Grundlage des § 105 StPO bzw. als Annexkompetenz erlaubt ist, verschlossene Behältnisse, deren Schlüssel nicht auffindbar sind, mit nachgemachten Schlüsseln, Drähten oder anderen Werkzeugen zu öffnen oder notfalls auch mit Gewalt aufzubrechen.881 Deshalb, so die überwiegende Meinung, müsse dies auch für das virtuelle Gegenstück, das Umgehen oder Knacken von Passwörtern, also sozusagen das Aufbrechen von digitalen Schlössern, gelten.882 Dem kann jedenfalls für Fallgestaltungen zugestimmt werden, in denen das Knacken von Passwörtern ohne Installation einer forensischen Software auf dem Zielsystem und damit ohne dessen Veränderung erfolgt (z. B. mithilfe einer Software, die als mobile Version auf einem USB-Stick funktioniert und zur Anwendung nicht auf dem Zielsystem installiert werden muss). Beim Umgehen oder Knacken eines Passworts bzw. einer Verschlüsselung unter Installation und Einsatz einer entsprechenden Software am Zielsystem werden die Grundrechte des Betroffenen allerdings regelmäßig noch weitergehend beeinträchtigt als es bei einer gewöhnlichen Durchsuchung der Fall ist. In Rede steht hier ein zusätzlicher Eingriff in die Integrität des informationstechnischen Systems, wie sie als Bestandteil des IT-Grundrechts geschützt ist. Die Integrität eines Systems ist nach dem Schutzbereichverständnis des IT-Grundrechts berührt, wenn so auf das System zugegriffen wird, dass Sicherheitslücken entstehen und das System seine Funktionen nicht mehr wie vorgesehen ausüben kann. Auch ist die Integrität eines Systems berührt, wenn die auf ihm gespeicherten Daten gegen den Willen seines Inhabers manipuliert werden.883 Wenn die Ermittler nun zum Umgehen oder Knacken des Passworts bestimmte Programme auf dem System installieren und dort anwenden, Daten verändern oder sonstige Eingriffe in die Infrastruktur des Systems vornehmen, so wird dessen Integrität beeinträchtigt.884 Das muss auch für den Fall gelten, dass diese Integritätsbeeinträchtigung nur vorübergehend ist: Auch wenn Passwortschutz und Verschlüsselung nach der

881 LR/Tsambikakis, § 105 Rn. 125; Meyer-Goßner/Schmitt/Köhler, § 105 Rn. 13; MüKo-StPO/Hauschild, § 105 Rn. 31; SK-StPO/Wohlers/Jäger, § 105 Rn. 64. 882 BeckOK-StPO/Hegmann, § 110 Rn. 18; Bell, Strafverfolgung und die Cloud, 2019, S. 82 ff.; Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 70 f.; LR/Tsambikakis, § 105 Rn. 125; Ludewig, KriPoZ 2019, 293 (298); Meyer-Goßner/Schmitt/Köhler, § 105 Rn. 13; Obenhaus, NJW 2010, 651 (653); Peters, NZWiSt 2017, 465 (467); Zerbes/El-Ghazi, NStZ 2015, 425 (427); a. A. jedenfalls für § 110 Abs. 3 StPO Brodowski/Eisenmenger, ZD 2014, 119 (123); insgesamt ablehnend Heinson, IT-Forensik, 2015, S. 247 ff. 883 Ausf. dazu oben Kap. 2 B.III.2.b)bb). 884 Bunzel, Zugriff auf IT-Systeme, 2015, S. 306 – Fn. 1532; Heinson, IT-Forensik, 2015, S. 247.

270

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Durchsicht wieder instand gesetzt werden und die aufgespielte Software wieder gelöscht wird, so ist diese zwischenzeitliche Integritätsverletzung nicht etwa gegenstandslos. Genauso wenig wie ein Eingriff in die Unverletzlichkeit der Wohnung dadurch rückgängig gemacht wird, dass die Ermittler die Wohnung später wieder verlassen, kann der Eingriff in die Integrität eines Systems nicht dadurch rückgängig gemacht werden, dass das System nach Abschluss der Durchsicht wieder in seinen vorherigen Stand zurückversetzt wird. Je nach Fallgestaltung und Art der verwendeten Technik kann die Umgehung oder das Knacken des Passwortschutzes daher einen zusätzlichen Eingriff in die Integrität des durchsuchten informationstechnischen Systems bewirken.885 Im Ergebnis sind in diesen Fällen damit beide Gewährleistungsgehalte des IT-Grundrechts – Vertraulichkeit und Integrität des informationstechnischen Systems – berührt. Damit nähert sich die Durchsicht nach § 110 Abs. 3 S. 1 StPO einer Online-Durchsuchung im Sinne des § 100b StPO an, denn auch dort sind beide Komponenten des IT-Grundrechts berührt. Das ist allerdings insoweit zu relativieren, als das heimliche Aufspielen eines Spionageprogramms im Rahmen einer Online-Durchsuchung die deutlich intensivere Integritätsverletzung bewirkt als die offene Verwendung von Software auf einem System, um sich temporär den Zugang zu passwortgeschützten Daten zu erschließen. Nichtsdestotrotz ist die darin bestehende Integritätsverletzung bei einer Durchsicht auf Grundlage des § 110 Abs. 3 StPO mitzudenken, zumal sie im Einzelfall durchaus gravierend sein kann.886 Mit der zusätzlichen Berührung der grundrechtlich geschützten Integrität des Systems stellt sich daher umso dringender die Frage, ob Installation und Einsatz forensischer Software zur Überwindung einer Verschlüsselung auf die §§ 102 ff. StPO gestützt werden können. Im Wortlaut der Vorschriften findet sich dazu weder in den §§ 102, 105 StPO, noch in § 110 Abs. 3 StPO eine ausdrückliche Ermächtigung.887 Die Befugnis kann sich daher allenfalls aus einer Annexkompetenz zu den genannten Normen ergeben. Voraussetzung dafür ist, dass das Aufspielen der forensischen Software auf dem Zielsystem notwendige Begleitmaßnahme ist, damit die ausdrücklich gesetzlich geregelte Primärmaßnahme, jedenfalls in bestimmten, herausragenden Fallgruppen, effektiv angewendet werden kann. Daraus muss hergeleitet werden können, dass der Gesetzgeber zumindest ein sachgedankliches Mitbewusstsein hinsichtlich der impliziten Mitregelung der Begleitmaßnahme aufgewiesen hat. Dabei darf die Begleitmaßnahme aber nicht übermäßig grundrechtsintensiv sein und in ihrer Eingriffstiefe nicht über die ausdrücklich gesetzlich geregelte Primärmaßnahme hinausgehen.888 885

Brodowski/Eisenmenger, ZD 2014, 119 (123); Heinson, IT-Forensik, 2015, S. 247. So Brodowski/Eisenmenger, ZD 2014, 119 (123), die deshalb das Knacken von Passwörtern im Rahmen von § 110 Abs. 3 StPO für unzulässig halten. 887 Heinson, IT-Forensik, 2015, S. 247. 888 Zu den Voraussetzungen einer Annexkompetenz s. oben Kap. 2 B.II.4.e) mit Nachweisen. 886

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

271

Bemüht man noch einmal den Vergleich mit einer rein physischen Durchsuchung und dem Knacken des Schlosses eines Aktenschranks oder Tresors, so lässt sich gut begründen, dass § 105 StPO die Anwendung dieses unmittelbaren Zwangs mitregelt. Der Eingriff in Eigentumsrechte, die durch Beschädigung des Schlosses auftreten können, ist in der Regel nur wenig intensiv, er geht in der Regel nicht über die Eingriffsintensität der Durchsuchung als solcher hinaus und ist in sehr vielen Fällen notwendige Begleitmaßnahme; zudem ist davon auszugehen, dass der historische Gesetzgeber wohl kaum umfangreiche Befugnisse zur Durchsuchung und Durchsicht von Räumen, Sachen und Personen geschaffen hat, nur um Ermittler vor üblichen Sicherungen wie Schlössern Halt machen zu lassen. Für das rein physische Schlösserknacken und das Überwinden von anderweitigen physischen Sicherungen sind die Voraussetzungen einer Annexkompetenz also erfüllt. Blickt man dann auf das digitale Gegenstück, das Knacken von Passwörtern oder digitalen Verschlüsselungen, so lassen sich aber Unterschiede erkennen, die hier weiter oben bereits genannt worden sind: Das Aufspielen einer forensischen Software auf dem informationstechnischen System des Betroffenen greift zusätzlich zur ohnehin berührten Vertraulichkeit des Systems auch in dessen Integrität ein. Dieser zusätzliche Begleiteingriff ist zwar nicht in jedem Fall besonders intensiv, denn er betrifft das System in der Regel nur punktuell und stellt nicht seine gesamte Integrität völlig in Frage. Zudem kann die Integrität wenigstens im Nachhinein wiederhergestellt werden, indem die Software wieder gelöscht wird – das ist bei anderen, analogen und physischen Varianten des unmittelbaren Zwangs, zum Beispiel beim Aufbrechen von verschlossenen Schubladen, nicht so einfach. Allerdings ist das Aufspielen einer forensischen Software auf dem Zielsystem nur in Ausnahmefällen eine notwendige Begleitmaßnahme zur Durchsuchung bzw. Durchsicht. In den allermeisten Fällen wird es zur Ermittlung genügen, die Daten vor Ort zu kopieren und erst später auf behördeninternen Systemen zu entschlüsseln oder aber notfalls auch den Datenträger oder das gesamte System mitzunehmen (Mitnahme zur Durchsicht). Man könnte auch sagen: In der analogen Welt ist der zu durchsuchende Tresor meistens verschlossen (denn genau das ist sein Zweck), in der digitalen, virtuellen Welt sind die Daten des lokalen informationstechnischen Systems beim Nutzer aber häufig genug nicht verschlüsselt – zumindest nicht in der Form, dass es keine andere Möglichkeit des Zugriffs gäbe als eine Software auf eben diesem System zu installieren und damit dessen Integrität zu beeinträchtigen. In der digitalen Variante des Schlösserknackens sind die Vorzeichen hinsichtlich der Notwendigkeit und Typizität der Begleitmaßnahme also genau umgekehrt. Der Passwortschutz kann sehr häufig überwunden werden, auch ohne eine forensische Software auf dem informationstechnischen System des Betroffenen zu installieren. Es gibt zwar Einzelfälle, in denen der Passwortschutz nur per forensischer Software geknackt werden kann und in denen erst da-

272

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

durch eine Durchsicht des Systems möglich wird. Diese Fälle kommen aber längst nicht so häufig vor wie die des verschlossenen Tresors oder der verschlossenen Tür in der physisch-realen Welt. Folglich ist das Aufspielen einer forensischen Software auf dem durchzusehenden informationstechnischen System nicht als notwendige oder typische Begleitmaßnahme von einer Annexkompetenz zu den §§ 102 ff. StPO erfasst.889 Dieses Vorgehen bedarf einer eigenen gesetzlichen Ermächtigung.890

VIII. Zufallsfunde gemäß § 108 Abs. 1 StPO und das Problem der systematischen Suche nach Zufallsfunden (fishing expeditions) Ein weiteres Problem, das sich bei der Durchsicht von großen Datenbeständen auf Grundlage des § 110 Abs. 3 StPO stellt, ist der Umgang mit Zufallsfunden. Zufallsfunde sind solche Funde, auf die Ermittler bei ihren Ermittlungen zufällig stoßen: Weder ist nach den Funden gesucht worden, noch stehen sie in einem Zusammenhang mit den Tatvorwürfen, welche die Ermittlungen erst in Gang gesetzt haben.891 Mit den Worten des § 108 Abs. 1 S. 1 StPO geht es also um Gegenstände, die in keiner Beziehung zu der (ursprünglichen) Untersuchung stehen, aber auf die Verübung einer anderen Straftat hindeuten. § 108 Abs. 1 S. 1 StPO erlaubt es den Ermittlern, diese Zufallsfunde vorläufig zu beschlagnahmen. Das Problem der Regelung des § 108 StPO ist, dass sie ursprünglich in einer Zeit geschaffen wurde, in der an die Durchsicht großer Datenbestände in digitaler Form noch nicht einmal ansatzweise zu denken war.892 Leitbild des Zufallsfundes war vielmehr die Situation, in der die Ermittler in der Wohnung nach physisch fassbaren Beweisen suchten, nach Diebesgut oder nach inkriminierenden Aufzeichnungen des Beschuldigten in Aktenordnern und dergleichen. § 108 StPO ist also seinem Ursprung nach auf übersichtliche Durchsuchungen mit begrenztem Beweismaterial ausgerichtet, bei denen die Ermittler die Funde mit bloßem Auge erkennen und bereits dadurch ihre Relevanz für das Verfahren bewerten können. Bei der Durchsicht informationstechnischer Systeme ist die Situation eine andere. Hier kann es zur Durchsicht von nahezu unbegrenzt großen Datenbeständen kommen, die sämtliche Lebensbereiche des Beschuldigten abdecken können. Hinzu kommt, dass man elektronischen Dateien nicht von außen ansehen kann, welchen Inhalt sie haben, also ob sie für das Ermitt889 Im Ergebnis auch Heinson, IT-Forensik, 2015, S. 249; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 331. 890 Dazu unten Kap. 2 B.X.6. 891 Vgl. MüKo-StPO/Hauschild, § 108 Rn. 1. 892 Heinson, IT-Forensik, 2015, S. 234.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

273

lungsverfahren relevant sind oder ob sie auf andere Straftaten hinweisen. Sie müssen bei den Ermittlungen also inhaltlich zur Kenntnis genommen, sozusagen geöffnet werden.893 Nicht selten kommt es dabei zu Komplettsicherungen gesamter Datenbestände, die dann bei der Suche nach verfahrensrelevantem Material vollständig durchforstet werden.894 Bei diesem Vorgehen besteht die Gefahr, dass die Suche nach verfahrensrelevantem Material einer unzulässigen895 gezielten Suche nach Zufallsfunden (fishing expedition) gleichkommt.896 Diese Suche wird auch oft genug Erfolge bringen. Ist der Datenbestand groß genug, um ein aussagekräftiges Abbild der Persönlichkeit und des Verhaltens seines Nutzers zu geben, so werden sich dort häufig auch Hinweise auf begangene Straftaten finden. Angesprochen ist damit vor allem, aber nicht nur Alltags- und Bagatellkriminalität. In vertraulichen Chatprotokollen und E-Mails können Beleidigungen, üble Nachreden oder auch Verleumdungen enthalten sein, aber auch Berichte von Körperverletzungstaten oder anderer Kleinkriminalität. Fotos und Videos können – vom Nutzer selbst aufgezeichnet – Sachbeschädigungen belegen oder den Nutzer und andere beim Konsum und damit Besitz verbotener Betäubungsmittel zeigen, was insbesondere bei jungen, jugendlichen Nutzern durchaus vorkommen kann. Hinzu kommen Fälle, in denen Dateien gefunden werden, die auf strafbare Urheberrechtsverstöße hindeuten, so zum Beispiel bei über Filesharing erlangten oder verbreiteten Musikdateien, Bilddateien oder Filmdateien. Insbesondere bei beruflich genutzten Geräten schließlich können den Ermittlern Bilanzen, Rechnungen und dergleichen in die Hände fallen, die einen Anfangsverdacht für Ermittlungen im Bereich der Wirtschaftskriminalität begründen können. Zusammengefasst lässt sich sagen, dass sich bei einer Durchsicht von informationstechnischen Systemen wie PCs, Laptops, Smartphones fast immer irgendetwas finden lässt, das auf eine Straftat zumindest hindeutet.897 Damit bietet § 110 Abs. 3 StPO in Kombination mit § 108 StPO ein Einfallstor nicht nur für weitreichende Ermittlungen aufgrund und zur Aufklärung eines bereits bestehenden Tatverdachts, sondern auch für Ermittlungen, 893

Vgl. Warken, NZWiSt 2017, 289 (294). Dazu bereits oben Kap. 2 B.II.2. 895 LG Berlin NStZ 2004, 571 (572 f.); BeckOK-StPO/Hegmann, § 108 Rn. 4; Cordes/ Pannenborg, NJW 2019, 2973 (2974); Geppert, Jura 2015, 682 (684); Krey/Heinrich, Deutsches Strafverfahrensrecht, Rn. 847; SK-StPO/Wohlers/Jäger, § 108 Rn. 4; SSWStPO/Hadamitzky, § 108 Rn. 2, 12. 896 BVerfGE 113, 29 (33, 60); vgl. auch LG Berlin NStZ 2004, 571 (573); Bär, Zugriff auf Computerdaten, 1992, S. 224 f.; Cordes/Pannenborg, NJW 2019, 2973 (2977); Geppert, Jura 2015, 682 (684); Kroll, Kernbereichsschutz, 2021, S. 64; Szesny, WiJ 2012, 228 (231). 897 LG Berlin NStZ 2004, 571 (573); Geppert, Jura 2015, 682 (684); Grawe, Die strafprozessuale Zufallsverwendung, 2008, S. 76; Heinson, IT-Forensik, 2015, S. 234; Kroll, Kernbereichsschutz, 2021, S. 64. 894

274

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

die einen oder mehrere Verdachtsmomente erst erzeugen.898 Das, was bei einer Wohnungsdurchsuchung gemäß den §§ 102 ff. StPO sonst tatsächlich nur ein Zufall ist, nämlich das gelegentliche Auffinden verfahrensfremder Beweisgegenstände, droht bei der umfassenden Ausforschung informationstechnischer Systeme zur Regel zu werden. Das ist ein weiterer Beleg dafür, dass die Durchsicht informationstechnischer Systeme in den Händen der Strafverfolgungsbehörden ein mächtiges Instrument darstellt. Die der Regelung des § 110 Abs. 3 StPO innewohnende überschießende Tendenz, massenhaft Daten abzugreifen, die nicht für das Verfahren relevant sind, wird durch die Möglichkeit zur Beschlagnahme von Zufallsfunden nach § 108 StPO noch bedeutsamer. Das gilt insbesondere, als hiermit auch eine erhöhte Streubreite der Maßnahme dahingehend erzeugt wird, dass auch Daten betreffend Straftaten Dritter, die mit dem Ausgangsverfahren gar nichts zu tun hatten, erlangt werden können.899 Das ist bei der Beurteilung, ob § 110 Abs. 3 StPO in seiner jetzigen Form die möglichen Grundrechtseingriffe in ihrer Intensität und ihrem Umfang ausreichend einhegt, zu berücksichtigen.900

IX. Eingriffe in Rechte Dritter bei der Durchsicht lokaler informationstechnischer Systeme Bisher hat sich die Untersuchung auf die Rechtspositionen des Beschuldigten konzentriert, das heißt auf die Rechte desjenigen, gegen den die Ermittlungen geführt werden. Erwähnt wurde zwar bereits, dass die Durchsuchung als Ausgangspunkt gemäß § 103 StPO auch bei einem Dritten, Nichtbeschuldigten stattfinden kann.901 Hauptsächlich wurden in der bisherigen Untersuchung aber Grundrechtspositionen und Eingriffe aus Perspektive des Beschuldigten erörtert. Die Durchsuchung, auch die beim Beschuldigten gemäß § 102 StPO, kann jedoch in vielfältiger Weise die Rechte nicht beschuldigter bzw. unverdächtiger Dritter berühren. Insbesondere eine umfangreiche Datendurchsicht auf Grundlage des § 110 Abs. 3 S. 1 StPO kann, auch wenn lediglich ein lokales informationstechnisches System durchgesehen wird, in Rechte Dritter eingreifen. 898

Rückert, in: Hoven/Kudlich (Hrsg.), 2020, S. 9 (S. 15 f.) weist zudem darauf hin, dass die riesige Menge an Zufallsfunden die (personellen) Ressourcen der Strafverfolgungsbehörden überfordern könne, was das Legalitätsprinzip aus § 152 Abs. 2 StPO an seine Grenzen bringe. 899 Heinson, IT-Forensik, 2015, S. 236 f. 900 Heinson, IT-Forensik, 2015, S. 235 ff. bezweifelt insbesondere auf Grund der hohen Streubreite die Verfassungsmäßigkeit des § 108 StPO im Zusammenhang mit der Durchsicht informationstechnischer Systeme. Diskussion über die Einschränkung des § 108 Abs. 1 S. 1 StPO unten Kap. 2 B.X.8. 901 Oben Kap. 2 A.I. und II.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

275

Beispielskonstellationen lassen sich viele finden: Die Durchsuchung in der gemeinsamen Wohnung, die Durchsicht des gemeinsam genutzten (Familien-)PCs, die Durchsicht von Datenbeständen des Beschuldigten, die ganz selbstverständlich auch Fotos und Videos oder Schriftverkehr mit Dritten beinhalten. Außerhalb des privaten Bereichs lassen sich vor allem Durchsuchungen und Datendurchsichten in Anwaltskanzleien902 oder Arztpraxen903 als Beispiele für Räumlichkeiten nennen, in denen Daten Dritter in Form von Mandanten- bzw. Patientendaten und entsprechender Korrespondenz auch auf informationstechnischen Systemen gespeichert werden. Diese Daten mit Bezug zu Dritten werden bei einer Durchsuchung typischerweise miterhoben, die Dritten sind damit von den Ermittlungen gegen den Beschuldigten unvermeidbar mitbetroffen.904 Diese unvermeidbare Drittbetroffenheit kann einen tiefen Eingriff bewirken, der den Dritten im Einzelfall ebenso intensiv betreffen kann wie die Zielperson des Verfahrens.905 Die Durchsicht bereits eines einzelnen informationstechnischen Systems kann folglich eine erhebliche Streubreite von Grundrechtseingriffen bewirken, die eine Vielzahl von Dritten erfassen kann.906 Einschlägig ist hier in der Regel die informationelle Selbstbestimmung der Dritten aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG.907 Verschärft werden diese Eingriffe zulasten Dritter durch die Ermächtigung des § 108 StPO, auf deren Grundlage Zufallsfunde auch Dritte betreffend beschlagnahmt werden dürfen, was in Strafverfahren auch gegen diese vormals nicht beschuldigten Dritten münden kann.908 Das Problem der Drittbetroffenheit durch eine Durchsicht stellt sich in noch ganz anderer Qualität beim Zugriff auf externe Speichermedien gemäß § 110 Abs. 3 S. 2 StPO, da in diesen Fällen die räumliche Beschränkung der

902

Beispielsfälle: BVerfGE 113, 29; BVerfG NJW 2018, 2385 (Jones Day). Beispielsfall: LG Köln NStZ 1995, 54. 904 Zur Figur der unvermeidbar mitbetroffenen Person s. Bock/Marlie, FS Ostendorf 2015, 89 (91 ff.); Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 70 f.; ausführlich dazu außerdem noch unten Kap. 3 C. am Ende. Bei der Durchsuchung eines gemeinsam genutzten PCs, zum Beispiel durch mehrere Familienmitglieder, geht die Berührung der Rechte dieser Familienmitglieder dabei aber schon über die bloß zufälligen Eingriffswirkung einer unvermeidbaren Mitbetroffenheit hinaus, denn hier ist es ja das (auch) eigene System der Familienmitglieder, das komplett ausgeforscht wird. Insoweit sei auch auf die Ausführungen zur Drittbetroffenheit im Rahmen der Netzwerkdurchsicht unten Kap. 3 C. insgesamt verwiesen. 905 Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 71. 906 Zur Streubreite ausführlich oben Kap. 2 B.IV. 4.e). 907 Heinson, IT-Forensik, 2015, S. 183; bei Ausforschung eines gemeinsam genutzten PCs steht dabei sogar ein Eingriff in das IT-Grundrecht des Dritten in Rede. 908 Heinson, IT-Forensik, 2015, S. 236 f.; zum Problem der Zufallsfunde bereits oben Kap. 2 B.VIII. 903

276

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Durchsicht endgültig aufgehoben ist und eine unbestimmte Vielzahl Dritter ebenso Nutzer und damit nach dem IT-Grundrecht geschützte Inhaber des durchgesehenen Systems sein könnten. Die besondere Qualität dieser Drittbetroffenheit ergibt sich auch daraus, dass dabei nicht nur zufällig einzelne Daten des Dritten unvermeidlich miterfasst werden, sondern sich der Ermittlungszugriff gerade auf das externe System, das in (Mit-)Inhaberschaft des Dritten steht, fokussiert. Die Drittbetroffenheit bei der Netzwerkdurchsicht soll daher in einem eigenen Abschnitt dieser Arbeit untersucht werden.909 Wie gezeigt kann aber bereits die Durchsicht eines lokalen informationstechnischen Systems die Rechte einer Vielzahl von Dritten berühren. Die Durchsicht gemäß § 110 Abs. 3 S. 1 StPO erscheint somit nicht nur als Einfallstor für eine potentielle Totalausforschung der Persönlichkeit des Beschuldigten, sondern auch für potentiell tiefe Einblicke in die Persönlichkeit unverdächtiger Dritter und damit Eingriffe in deren informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Auch diese Eingriffswirkungen sind in die Bewertung der Regelung des § 110 Abs. 3 S. 1 StPO einzustellen.

X. Reformvorschläge zur Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO Die bisherige Untersuchung hat gezeigt, dass viele der Probleme, die im Zusammenhang mit der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO virulent werden, bereits in der Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO angelegt sind. 1. Grundrechtssensitivität: Zusammenfassung der Probleme Die Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO ermöglicht es Ermittlern, die Persönlichkeit eines Beschuldigten umfassend auszuforschen. Diese Durchsicht greift in das ITGrundrecht910 und potentiell in weitere Grundrechte911 des Betroffenen ein, berührt nahezu zwangsläufig kernbereichsrelevante Daten912 und steht in ihrer potentiellen Intensität nicht weit entfernt von einer verbotenen Rundumüberwachung913. Generell ermächtigt § 110 Abs. 3 S. 1 StPO damit zu Grundrechtseingriffen von hoher Intensität.914 Insbesondere können diese

909

Unten Kap. 3 C. Kap. 2 B.III.2. 911 Kap. 2 B.III.3.–10. 912 Kap. 2 B.V. 913 Kap. 2 B.VI. 914 Kap. 2 B.IV. 4. 910

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

277

Eingriffe auch Dritte betreffen und dabei eine beträchtliche Streubreite entfalten.915 Nicht zuletzt nähert sich eine im Grundsatz offen durchzuführende Durchsicht (nicht nur) aufgrund der häufig praktizierten Mitnahme des Systems oder der Daten zur Durchsicht916 den Wirkungen einer heimlichen Ermittlungsmaßnahme an.917 Insgesamt bewirkt bereits eine lokale Durchsicht informationstechnischer Systeme tiefgehende Grundrechtseingriffe, die in ihrer Intensität durchaus vergleichbar zu einer Online-Durchsuchung gemäß § 100b StPO sein können. Besondere Regelungen oder Tatbestandsvoraussetzungen zur Einhegung dieser potentiell tiefgreifenden Grundrechtseingriffe enthält § 110 StPO nicht. Das umgebende Regelungsgefüge der §§ 102 ff. StPO trifft keine expliziten Regelungen zur Vorgehensweise bei Ausforschung eines informationstechnischen Systems und den Besonderheiten bei Zugriffen auf Computerdaten, ebenso wenig zum Schutze des unantastbaren Kernbereichs privater Lebensgestaltung, zur Eindämmung der Streubreite der Maßnahme usw.918 Zugriffe auf Grundlage des § 110 Abs. 3 S. 1 StPO werden damit de lege lata im Wesentlichen durch den ungeschriebenen verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz eingehegt. Dieser gebietet es vor allem, dass Ermittler nur die für das Verfahren unbedingt erforderlichen Daten abschöpfen.919 In der Praxis ist das Vorgehen in diesen engen Grenzen aber häufig kaum zu leisten, denn elektronisch gespeicherten Daten kann man nur selten eindeutig von außen ansehen, ob sie für das Verfahren relevant sind oder nicht.920 Deshalb erheben die Ermittler in vielen Fällen nahezu zwangsläufig zunächst einmal einen Überschuss an Daten. Zudem sprechen auch rechtliche Erfordernisse – Erhalt der Integrität und Aussagekraft und damit des Beweiswerts der Daten – häufig sogar für eine Komplettsicherung des gesamten Datensatzes eines informationstechnischen Systems. Der Grundsatz der möglichst grundrechtsschonenden Datenabschöpfung und die Erfordernisse eines effektiven Strafverfahrens bilden damit einen Gegensatz. Man kann hier auch von einem Dilemma sprechen: Einerseits sollen Ermittler möglichst wenige Daten abschöpfen, andererseits müssen sie aber möglichst viele Daten oder sogar den gesamten Datensatz sichern, um das Strafverfahren effektiv betreiben zu können. In der Praxis wiederum wird der Beschuldigte

915

Kap. 2 B.IV. 4.e). Kap. 2 B.II. 917 Kap. 2 B.II.3. und Kap. 2 B.IV. 4.d). 918 Ziebarth, Online-Durchsuchung, 2013, S. 233 f. attestiert diesbezüglich ein „krasse[s] Missverhältnis“ zu den rechtlichen Hürden einer Online-Durchsuchung. 919 Kap. 2 B.IV. 3. 920 Vgl. Peters, NZWiSt 2017, 465 (467 f.); zu Ausnahmen bei eindeutig beschrifteten Datenträgern Heinson, IT-Forensik, 2015, S. 29. 916

278

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

häufig mit einer kompletten Mitnahme und Auswertung seiner Daten zu rechnen haben.921 Damit läuft die Datensicherung auf Grundlage des § 110 Abs. 3 S. 1 StPO Gefahr, zu einer unzulässigen systematischen Suche nach Zufallsfunden zu werden, denn bei Auswertung eines kompletten Datensatzes werden häufig auch für das anlassgebende Verfahren nicht relevante, aber gleichwohl inkriminierende Daten zu finden sein.922 Das alles sind Probleme, die bei der ursprünglichen Schaffung des § 110 StPO als Teil einer (Haus)-Durchsuchung nicht mitgedacht wurden und in diesem Ausmaß auch nicht mitgedacht werden konnten. Während Ermittlungen und Durchsuchungen, die im rein physischen Raum verhaftet sind, in ihrer Eingriffswirkung eher begrenzt oder jedenfalls einfacher begrenzbar sind, können Ermittlungen im virtuellen Raum bei Zugriffen auf groß angelegte Datenbestände sehr schnell zu massiven Grundrechtseingriffen führen. Diese Umstände muss der Gesetzgeber bei der Reform des § 110 Abs. 3 StPO durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021923 zwar vor Augen gehabt haben, reagiert hat er aber dennoch nur unzureichend. Bis auf eine ausdrückliche und nur klarstellende Regelung der Durchsicht elektronischer Speichermedien in § 110 Abs. 3 S. 1 StPO und der ausdrücklichen Regelung der Möglichkeit zur Anfertigung von Datenkopien in § 110 Abs. 3 S. 3 StPO samt dem Verweis auf die Verfahrensvorschriften der §§ 95a, 98 Abs. 2 StPO in § 110 Abs. 4 StPO hat der Gesetzgeber nichts an der Rechtslage zur Durchsicht lokaler informationstechnischer Systeme geändert. Insbesondere hat er keine begrenzenden Tatbestandsvoraussetzungen für die Durchsicht informationstechnischer Systeme etabliert. Das ist ein Versäumnis angesichts der massiven Grundrechtseingriffe, die § 110 Abs. 3 S. 1 StPO ermöglicht. 2. Einordnung des § 110 Abs. 3 S. 1 StPO als echte Eingriffsgrundlage Angesichts der möglichen Intensität von Grundrechtseingriffen bei einem Zugriff auf informationstechnische Systeme erscheint es nicht mehr sachgerecht, die Durchsicht wie bisher als bloß unselbstständigen Teil der Durchsuchung einzuordnen.924 Vor dem Hintergrund gewandelter Lebensverhältnisse und Ermittlungsmethoden sollte die Durchsicht nach § 110 Abs. 1 StPO daher als eigenständige Ermittlungsmaßnahme begriffen werden und nicht mehr bloß als unselbstständiger Teil oder gar Verfahrensvorschrift zur

921

Kap. 2 B.II.2. Kap. 2 B.VII. 923 BGBl. 2021 I, S. 2099. 924 Für die Einordnung als Verfahrensvorschrift zur Durchsuchung aber Kroll, Kernbereichsschutz, 2021, S. 57 f.; Wicker, Cloud Computing, 2016, S. 351; vgl. auch Beulke/ Meininghaus, FS Widmaier, 63 (74); LR/Tsambikakis, § 110 Rn. 2. 922

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

279

Durchsuchung.925 Auch das BVerfG sieht § 110 StPO mittlerweile als Eingriffsgrundlage an (allerdings ohne diese Einordnung näher zu erklären oder zu problematisieren).926 Dies muss insbesondere gelten, seit die Durchsicht elektronischer Speichermedien gesondert in § 110 Abs. 3 S. 1 StPO erwähnt ist. Die Regelung hat laut der Gesetzesbegründung zwar nur klarstellende Funktion und soll an der bisherigen Rechtslage nichts ändern.927 Die ausdrückliche Regelung der Durchsicht elektronischer Speichermedien bzw. informationstechnischer Systeme spricht aber dafür, diese Durchsicht als Maßnahme eigener Art anzusehen. De lege lata ist die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO systematisch in das Regelungsregime der Durchsuchung in §§ 102 ff. StPO eingebettet. § 110 Abs. 3 S. 1 StPO stellt dabei keine eigenen tatbestandlichen Voraussetzungen auf. Das ist insbesondere mit Blick auf die in § 110 StPO hineingelesene allgemeine Befugnis zur „Mitnahme zur Durchsicht“ misslich.928 Aber auch die ausdrückliche Regelung in § 110 Abs. 3 S. 3 StPO, die immerhin die Sicherung von Daten ohne Mitnahme physischer Datenträger erlaubt, stellt hierfür kaum tatbestandliche Voraussetzungen auf und bildet die massiven Grundrechtseingriffe nicht ab, die durch die Erhebung eines unter Umständen vollständigen Datensatzes aus einem informationstechnischen System verursacht werden. Die Forderung, de lege ferenda eine eigenständige und vor allem den Eingriff begrenzende Regelung der Durchsicht und Mitnahme informationstechnischer Systeme und ihrer Datenträger und Datenbestände zu treffen,929 ist durch die bloß klarstellenden Klauseln in § 110 Abs. 3 S. 1 und S. 3 StPO noch nicht befriedigt worden. 3. Reformvorschläge zu tatbestandlichen Eingriffsschwellen und Schutzvorschriften Zur Einhegung der tiefgehenden Grundrechtseingriffe bei Ausforschungen von informationstechnischen Systemen auf Grundlage der §§ 102 ff. StPO (und auch §§ 94 ff. StPO) wurde in der Wissenschaft bereits diskutiert, besondere tatbestandliche Eingriffsschwellen einzuführen.930 Hier sollen verschie925

Peters, NZWiSt 2017, 465 (466). Vgl. BVerfG NJW 2018, 2385 (2387 – Rn. 72). 927 BT-Drs. 19/27655, S. 74. 928 Vgl. Peters, NZWiSt 2017, 465 (472). Dazu bereits ausführlich oben Kap. 2 B.II.4.e). 929 Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 45; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 427. 930 Heinson, IT-Forensik, 2015, S. 200 ff.; Peters, NZWiSt 2017, 465 (472); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 428; zum Anpassungsbedarf allgemein auch Böckenförde, JZ 2008, 925 (930 f.; 935); im Gegensatz zu BVerfGE 124, 43 (64 ff.), wo – unter Zugrundelegung eines Eingriffs in Art. 10 GG – kein Anpassungsbedarf der strafprozessualen Normen zu Durchsuchung und Beschlagnahme gesehen wurde. 926

280

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

dene Möglichkeiten der Reform des § 110 Abs. 3 S. 1 StPO vorgestellt werden. a) Schaffung eines Anlasstatenkatalogs Denkbar ist die Einführung eines Anlasstatenkatalogs, vergleichbar zur Gesetzgebungstechnik bei anderen speziellen Ermittlungsmaßnahmen wie der Telekommunikationsüberwachung nach § 100a StPO, der Online-Durchsuchung nach § 100b StPO oder der akustischen Wohnraumüberwachung nach § 100c StPO. Eine verfassungsrechtliche Pflicht zur Schaffung eines Anlasstatenkatalogs auch für die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO lässt sich allerdings nicht ohne Weiteres aus der verfassungsgerichtlichen Rechtsprechung herleiten. Die Voraussetzungen, die das BVerfG für heimliche Online-Durchsuchungen aufgestellt hat, also insbesondere die Begrenzung der Maßnahme auf den Schutz von überragend wichtigen Rechtsgütern wie Leib und Leben, können nicht unmittelbar und unverändert auf die lokale, offene Durchsicht informationstechnischer Systeme übertragen werden.931 Entsprechend sollte auch nicht der in § 100b Abs. 2 StPO niedergelegte Katalog für § 110 Abs. 3 S. 1 StPO übernommen werden, denn trotz der massiven Grundrechtseingriffe, die § 110 Abs. 3 S. 1 StPO ermöglicht, ist die echte strafprozessuale OnlineDurchsuchung die eingriffsintensivere Maßnahme: Bei ihr wird ein informationstechnisches System mittels Spionagesoftware heimlich verwanzt und potentiell auf längere Dauer hin überwacht.932 Dennoch erscheint die Schaffung eines eigenen Anlasstatenkatalogs für Durchsichten informationstechnischer Systeme nach § 110 Abs. 3 S. 1 StPO bedenkenswert, um die potentiell intensiven Grundrechtseingriffe bereits auf Tatbestandsebene auf die Aufklärung abschließend bestimmter Straftaten zu beschränken.933 Damit könnte zumindest die Ausforschung eines gesamten informationstechnischen Systems zur Aufklärung jeder beliebigen Bagatelltat wirksam ausgeschlossen und somit die Verhältnismäßigkeit934 der Durchsicht sichergestellt werden. 931

Bäumerich, NJW 2017, 2718 (2722); Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 140; für einen Anlasstatenkatalog aus „besonders schweren Straftaten“ mit Bezug zum Schutz „besonders hoher Rechtsgüter“ dennoch Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 199 932 Zu den Unterschieden der Maßnahmen s. ausführlich oben Kap. 2 B.III.2., zum Problem der Übertragbarkeit des Anlasstatenkatalogs insb. Abschnitt f). 933 Gefordert z. B. von Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 25); Dralle´, Grundrecht auf Gewährleistung, 2010, S. 87. 934 Anlasstatenkataloge dienen der gesetzlichen Ausgestaltung des Verhältnismäßigkeitsprinzips, s. nur Kohlmann, Online-Durchsuchungen, 2012, S. 233; Niehaus, Katalogtatensysteme, 2001, S. 189 f.; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 68.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

281

Der Gesetzgeber hat keinen solchen Anlasstatenkatalog für die Durchsicht informationstechnischer Systeme eingeführt. Er hat im Regelungskomplex zu Durchsuchungen überhaupt nur wenig darauf reagiert, dass strafrechtliche Ermittlungen längst nicht mehr nur Zugriffe auf physisch vorhandene, begrenzte Informationssammlungen beinhalten, sondern immer mehr auch im virtuellen und potentiell unbegrenzten Raum stattfinden. Die §§ 102 ff. StPO und damit auch § 110 StPO behandeln Durchsuchungen im virtuellen Raum daher weiterhin nach den gleichen Regeln wie Durchsuchungen im physischen Raum. Dadurch hat sich auch durch die Einführung des § 110 Abs. 3 S. 1 StPO, der nur klarstellt, dass auch eine Durchsicht elektronischer Speichermedien erlaubt ist, nichts geändert, denn diese Befugnis gilt ausdrücklich „[n]ach Maßgabe der Absätze 1 und 2“ des § 110 StPO, ohne sie besonderen Voraussetzungen zu unterstellen. Die Perspektive des Gesetzgebers und auch der Strafverfolgungsbehörden stellt sich hierbei wie folgt dar: Der Grundannahme folgend, dass sich mittlerweile potentiell jeglicher Lebensbereich auch im virtuellen Raum abspielt und damit in Form von elektronisch gespeicherten Daten abgebildet werden kann, gilt dies auch für kriminelles Verhalten bzw. entsprechende Beweise für ein solches Verhalten. Kommunikationsinhalte, persönliche Notizen, Fotos und dergleichen liegen immer weniger in Form physischer Aufzeichnungen vor und sind stattdessen immer mehr und oft auch ausschließlich in Form elektronischer Daten in informationstechnischen Systemen gespeichert. Diese Daten könnten daher mitunter die entscheidenden oder einzigen Beweismittel zur Aufklärung einer Tat sein, und das unabhängig von der Art oder Natur der Straftat.935 Nicht nur zur Aufklärung von Taten mit Bezug zur Informationstechnologie oder zum Internet ist Auswertung elektronisch gespeicherter Daten notwendig (oder zumindest nützlich), sondern mehr und mehr auch für alltägliche Delikte, die außerhalb des virtuellen Raums begangen werden: Beweise für Gewalttaten liegen in Form von Fotos oder Videos vor, die Dokumente zum Beleg einer Steuerhinterziehung als pdf-Dateien, die Verabredung zu einem verbotenen Handel mit Betäubungsmitteln als Mailwechsel oder die Unterhaltung über den Diebstahl eines Smartphones in einem Chatprotokoll. Die Schaffung eines Anlasstatenkatalogs speziell für die Durchsicht informationstechnischer Systeme würde die Möglichkeiten zur Strafverfolgung im virtuellen Raum im Vergleich zum real-physischen Raum verkleinern. Eine Beschränkung der Durchsicht auf die Aufklärung bestimmter Anlasstaten läuft damit Gefahr, die effektive Strafverfolgung, die immerhin von Verfassungsrang ist,936 übermäßig zu beschränken, wenn nicht ein vernünftiger Grund für diese Beschränkung vorliegt.937 Für die besondere Behandlung des virtuellen 935

Vgl. BVerfGE 115, 166 (193); 124, 43 (63 f.); Heinson, IT-Forensik, 2015, S. 202 f. BVerfGE 77, 65 (76); 80, 367 (375); 122, 248 (272 f.); 130, 1 (26). 937 Vgl. BVerfGE 124, 43 (64 ff.); auf dieses Spannungsverhältnis weisen auch Herr936

282

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Raums muss es daher einen entsprechenden besonderen Grund geben. Allein die bloße Verwendung einer bestimmten Technologie durch Tatbeteiligte darf nicht dazu führen, dass die Möglichkeiten zur Strafverfolgung ohne vernünftigen Grund beschränkt werden.938 Der vernünftige Grund zur Einschränkung der Strafverfolgung liegt hier in der besonderen Grundrechtssensitivität von Zugriffen auf informationstechnische Systeme, denn hier erscheint der Schutz der Grundrechte des Beschuldigten besonders wichtig. Oder anders gewendet: Primärer Zweck eines Anlasstatenkatalogs ist es nicht, die Strafverfolgung zu beschränken, sondern die Grundrechte Beschuldigter (und damit Unschuldiger) zu schützen – und dieser Schutzbedarf ist bei Eingriffen in informationstechnische Systeme besonders hoch. Im Gegensatz zu Datensammlungen im real-physischen Raum (z. B. in Form von Aktenordnern) bieten informationstechnische Systeme als eigene virtuelle Räume eine große Fülle an Daten, die nahezu sämtliche Lebensbereiche des Beschuldigten und einer Vielzahl Dritter betreffen können. Ferner darf nicht übersehen werden, dass das Vorliegen von Informationen in Form elektronisch gespeicherter Daten einen Zuwachs an Ermittlungsmöglicheiten bedeuten kann, da zum Beispiel Unterhaltungen zwischen mehreren Tatbeteiligten dadurch potentiell für die Ewigkeit konserviert werden können.939 Daher ist es nicht nur gerechtfertigt, sondern sogar geboten, Ermittlungen im virtuellen Raum anders zu behandeln als Ermittlungen im physisch-realen Raum und einen Anlasstatenkatalog zu schaffen, der der Grundrechtssensitivität von Durchsichten informationstechnischer Systeme Rechnung trägt. Ein Ausgleich zwischen gebotenem Grundrechtsschutz auf der einen Seite und verfassungsrechtlich geschütztem Strafverfolgungsinteresse auf der anderen Seite könnte in der Übernahme des Anlasstatenkatalogs aus § 100a Abs. 2 StPO erreicht werden. Die Durchsicht informationstechnischer Systeme wäre dann nur zur Aufklärung der dort genannten schweren Straftaten zulässig. Allerdings wäre diese Beschränkung sehr starr und würde unter Umständen Verdachtsfälle ausschließen, zu deren Aufklärung eine Auswertung informationstechnischer Systeme in der Sache durchaus verhältnismäßig erschiene.940 Zu denken ist zum Beispiel an den Verdacht einer Steuerhin-

mann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 140 und Ludewig, KriPoZ 2019, 293 (300) hin. 938 Heinson, IT-Forensik, 2015, S. 203. 939 Weshalb die These eines „going dark“, also eines angeblich zunehmenden Verlustes staatlicher Ermittlungsmöglichkeiten aufgrund der weiten Verbreitung moderner Informationstechnologie und insbesondere damit einhergehend verschlüsselter Kommunikation, so pauschal nicht gehalten werden kann; zur Diskussion s. nur Schulze, APuZ 46–47/2017, 23 ff. 940 Vgl. von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 428.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

283

terziehung (§ 370 AO) in immenser Höhe (volkswirtschaftlicher Schaden von mehreren Millionen Euro), die nach der Regelung des § 100a Abs. 2 Nr. 2 a) StPO aber nur bei Verdacht bandenmäßigen Vorgehens als Anlasstat gilt. Eine starre Begrenzung auf Katalogtaten nach § 100a Abs. 2 StPO erscheint daher nicht angemessen. Vielmehr sollte § 100a Abs. 2 StPO als Basiskatalog verstanden werden, der im Einzelfall erhebliche Verdachtstaten von außerhalb des Katalogs nicht völlig ausschließt. Es bietet sich daher an, die Regelungstechnik aus § 100g Abs. 1 S. 1 Nr. 1 StPO zu übernehmen. Die Durchsicht informationstechnischer Systeme wäre dann nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Abs. 2 StPO bezeichnete Straftat, begangen hat, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat oder durch eine Straftat vorbereitet hat. Die erhebliche Bedeutung einer Straftat kann dabei bejaht werden, wenn sie mindestens dem mittleren Kriminalitätsbereich zugeordnet werden kann (Strafrahmenobergrenze von mehr als drei Jahren941) und wenn ergänzend Kriterien hinzutreten wie eine erhebliche Schadenshöhe, die Geeignetheit der empfindlichen Störung des Rechtsfriedens oder ein erheblicher Grad der Bedrohung für die Allgemeinheit bzw. Bedrohung des Gefühls der Rechtssicherheit durch die Tat.942 Überlegenswert ist es auch, zusätzlich die Regelung des § 100g Abs. 1 S. 1 Nr. 2 StPO auf die Durchsicht informationstechnischer Systeme zu übertragen. Im Kontext der Erhebung von Verkehrsdaten gelten auch solche Taten als hinreichende Anlasstaten, die mittels Telekommunikation begangen wurden. Das können einerseits Taten sein, bei der die Telekommunikation notwendiges Mittel zur Tatbegehung ist, andererseits aber auch Taten, bei denen der Täter die Anonymität der Telekommunikation nutzt.943 Übertragen auf § 110 Abs. 3 S. 1 StPO könnte man die Durchsicht informationstechnischer Systeme also auch erlauben, wenn bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat mittels des zu durchsuchenden informationstechnischen Systems begangen hat.944 Damit könnten zum Beispiel auch Delikte wie das Ausspähen von Daten (§ 202a StGB), das Abfangen von Daten (§ 202b StGB), die Datenhehlerei (§ 202d

941 BeckOK-StPO/Bär, § 100g Rn. 7; MüKo-StPO/Günther, § 100g Rn. 25; missverständlich KK/Bruns, § 100g Rn. 5; a. A. Meyer-Goßner/Schmitt/Köhler, § 98a Rn. 5: Verbrechen oder Strafrahmenobergrenze über 2 Jahren. 942 BVerfGE 107, 299 (322); BeckOK-StPO/Bär, § 100g Rn. 7.; MüKo-StPO/Günther, § 100g Rn. 24; krit. aber SSW-StPO/Eschelbach, § 100g Rn. 12 („Leerformel“); s. zur Kritik auch LR/Hauck, § 100g Rn. 21. 943 KK/Bruns, § 100g Rn. 6. 944 Vgl. Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 141; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 428.

284

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

StGB), die Datenveränderung (§ 303a StGB) oder die Computersabotage (§ 303b StGB) erfasst werden. Diese Tatbestände würden aufgrund ihrer geringeren Schwere nicht unter eine Anlasstatenregelung wie § 100g Abs. 1 S. 1 Nr. 1 StPO fallen. Da diese Delikte aber nicht wie andere Straftaten Spuren in der physischen Welt hinterlassen, die von Ermittlern untersucht werden könnten (man vergleiche hierzu nur die Sachbeschädigung gemäß § 303 StGB mit der Datenveränderung gemäß § 303a StGB), wäre eine Sachverhaltsaufklärung ohne Auswertung informationstechnischer Systeme des Tatverdächtigen in vielen Fällen nicht möglich. Die Durchsicht informationstechnischer Systeme sollte daher insbesondere auch zur Aufklärung von Taten zulässig sein, deren Tatbestände explizit auf Sachverhalte im virtuellen Raum zugeschnitten sind und die daher notwendigerweise mit Hilfe von informationstechnischen Systemen begangen werden („IT-Delinquenz“).945 Aber auch der Einbezug von Taten, die nicht notwendigerweise durch informationstechnische Systeme begangen werden müssen, im Einzelfall aber durch ein informationstechnisches System begangen worden sein können (z. B. eine Nachstellung via Chat oder E-Mail gemäß § 238 Abs. 1 Nr. 2 StGB, „Cyberstalking“946), erscheint sachgerecht. Zwar wären dadurch auch Straftaten leichterer Kriminalität tauglicher Anlass für eine Durchsicht (zum Beispiel die per Smartphone via WhatsApp kundgegebene Beleidigung gemäß § 185 StGB). Dies aber wird erstens dadurch aufgewogen, dass der Beschuldigte bzw. Täter durch Verwendung des informationstechnischen Systems als Tatmittel strafbarer Handlungen in dieser Hinsicht nur einen geminderten Anspruch auf Wahrung der Vertraulichkeit des Systems hat.947 Zweitens befreit die Klausel nicht von einer übergreifenden Verhältnismäßigkeitsprüfung, bei der Anlass der Ermittlungen und Intensität des Grundrechtseingriffs weiterhin in einem angemessenen Verhältnis zueinander stehen müssen. Drittens sollen hier im Folgenden weitere Tatbestandsschwellen zum Schutz der Grundrechte des Beschuldigten vorgeschlagen werden, die ergänzend zur Anlasstatenregelung hinzutreten. Damit wäre die Vermutung, dass der Beschuldigte eine Straftat durch ein informationstechnisches System begangen hat, nicht

945

Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 25). S. nur MüKo-StGB/Gericke, § 238 Rn. 23; Schönke/Schröder/Eisele, StGB, § 238 Rn. 12. 947 Vgl. BVerfG NJW 2006, 3197 (3198). Bei dieser Argumentation ist aber immer zu beachten, dass es sich im Stadium des Ermittlungsverfahren beim Maßnahmeadressaten nicht um den Täter, sondern lediglich um den verdächtigen Beschuldigten handelt. Einem völligen Entfall der Vertraulichkeit des informationstechnischen Systems nur aufgrund eines Tatverdachts soll hier also nicht das Wort geredet werden, zumal der Beschuldigte bzw. auch der überführte Täter das informationstechnische System nur selten ausschließlich zur Begehung von Straftaten verwenden wird, sondern daneben weiterhin ein legitimes Interesse an der Vertraulichkeit des Systems hat. 946

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

285

der alleinige Türöffner für die Durchsicht dieses informationstechnischen Systems.948 Eine entsprechende Übertragung der Klausel des § 100g Abs. 1 S. 1 Nr. 2 StPO auf die Durchsicht informationstechnischer Systeme ist im Lichte der vorgenannten Einschränkungen daher sinnvoll. Mit Blick auf rechtspolitische Gegebenheiten könnte an diesem Vorschlag nun kritisiert werden, dass ein Anlasstatenkatalog langfristig immer weiter ausgeweitet würde, um die Ermittlungsbefugnisse der Strafverfolgungsbehörden sukzessive doch wieder zu erweitern. Insbesondere der Katalog zur Telekommunikationsüberwachung in § 100a Abs. 2 StPO wurde in der Vergangenheit immer wieder erweitert, und zwar als Reaktion auf die Bedürfnisse effektiver Strafverfolgung, welcher häufig in Abwägung zum effektiven Grundrechtsschutz der Vorzug gegeben wurde.949 Eine solche Entwicklung wäre auch bei einem Anlasstatenkatalog für § 110 Abs. 3 S. 1 StPO zu prognostizieren: Die begrenzende Funktion des Anlasstatenkatalogs könnte mit kleinen Schritten ausgehöhlt werden, indem immer weitere Anlasstaten hinzugefügt würden – und das ohne das grundsätzliche Regelungssystem offen in Frage zu stellen und eine entsprechende rechtspolitische Diskussion heraufzubeschwören. Aus rechtspolitischen, empirischen Gesichtspunkten bestehen also begründete Zweifel daran, dass ein Anlasstatenkatalog seine ursprüngliche begrenzende Wirkung auf Dauer behalten würde.950 Diese empirische Beobachtung ist allerdings kein juristisches Argument gegen die Einführung eines Anlasstatenkatalogs. Ferner stellt sich selbst bei einem Katalog von Anlasstaten immer noch die Frage, wie im konkreten Fall die Verhältnismäßigkeit der Durchsicht gewahrt werden soll, denn auch mit Blick auf die Aufklärung schwerer Straftaten erscheint die einem Zugriff auf informationstechnische Systeme innewohnende Gefahr einer Komplettausforschung des Beschuldigten problematisch. Ein Anlasstatenkatalog alleine könnte die hohe Eingriffswirkung nicht zufriedenstellend kompensieren oder begrenzen.951 Im Folgenden sollen daher weitere Eingriffsschwellen diskutiert werden, die zu einem Anlasstatenkatalog wie hier vorgeschlagen hinzutreten könnten.

948

Vgl. auch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 429. Ausführlicher Überblick bei Brodowski, Verdeckte technische Überwachungsmaßnahmen, 2016, S. 173 ff.; vgl. auch Kohlmann, Online-Durchsuchungen, 2012, S. 234 ff.; Niehaus, Katalogtatensysteme, 2001, S. 73; Zöller, ZStW 124 (2012), 411 (427); ders., StV 2008, 15 (19); jüngste Erweiterung durch das Gesetz zur Änderung des Strafgesetzbuches – Strafbarkeit des Betreibens krimineller Handelsplattformen im Internet vom 12. August 2021, BGBl. 2021 I, S. 3544 (S. 3545). 950 Kohlmann, Online-Durchsuchungen, 2012, S. 235 f. 951 Heinson, IT-Forensik, 2015, S. 203. 949

286

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

b) Übertragung der Schwellen des § 103 Abs. 1 S. 1 StPO Ziel von tatbestandlichen Eingriffsschwellen für § 110 Abs. 3 S. 1 StPO sollte es sein, die faktische Entgrenzung dieser Ermittlungsmaßnahme, die durch den Übertritt in den virtuellen Raum entsteht, mit rechtlichen Mitteln wieder einzufangen.952 Ein kleiner Schritt dahin wäre es, die Eingriffsschwellen des § 103 Abs. 1 S. 1 StPO, die sonst nur für die Durchsuchung bei Unverdächtigen gelten, auf sämtliche Durchsichten informationstechnischer Systeme zu übertragen.953 Die Durchsicht muss sich dann auf Tatsachen stützen, die darauf schließen lassen, dass sich die gesuchte Spur tatsächlich im informationstechnischen System des Beschuldigten befindet. Der Durchsuchungserfolg muss aus Sicht der Ermittler dann also aufgrund zureichender tatsächlicher Anhaltspunkte wahrscheinlich und nicht bloß zu vermuten sein.954 Bloße kriminalistische Erfahrung genügt nicht als Basis einer solchen Prognose.955 Ferner muss es sich bei den zu beschlagnahmenden Daten um „bestimmte“ Gegenstände im Sinne des § 103 Abs. 1 S. 1 StPO handeln. Die gesuchten Daten müssen also im Vorhinein wenigstens gattungsmäßig beschrieben worden sein.956 Dies würde die effektive Strafverfolgung nicht übermäßig beschränken. Eine Durchsicht informationstechnischer Systeme wäre damit immer noch zur Aufklärung geeigneter Straftaten957 zulässig. Sie darf dann aber nicht mehr reflexhaft, automatisch oder routinemäßig erfolgen. Die Strafverfolgungsbehörden müssten genau prüfen, ob die Durchsicht des informationstechnischen Systems angezeigt ist. Das kann der Gefahr von missbräuchlichen fishing expeditions, also der gezielten Suche von Zufallsfunden in großen Datenbeständen, entgegenwirken.958 c) Einfügen einer Subsidiaritätsklausel Um den Einsatz der Durchsicht informationstechnischer Systeme noch weiter einzugrenzen und insbesondere seine Erforderlichkeit959 im Verfahren si952

Vgl. Heinson, IT-Forensik, 2015, S. 205. Heinson, IT-Forensik, 2015, S. 205; sich anschließend von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 429. 954 Vgl. KMR/Hadamitzky, § 103 Rn. 4, 6; zu § 103 StPO bereits oben Kap. 2 A.II. 955 Leitner/Michalke, Zwangsmaßnahmen, Rn. 465; Nelles, StV 1991, 488 (489); Wohlwend, HRRS 2015, 454 (456). 956 Vgl. BVerfG NJW 2003, 2669 (2670); BGH NStZ 2002, 215 (216); KMR/Hadamitzky, § 103 Rn. 5; Walther, JA 2010, 32 (36); Wohlwend, HRRS 2015, 454 (456); tendenziell enger Benfer, Haussuchung, 1980, S. 98 f. 957 S. aber die obigen Vorschläge zur Schaffung eines Anlasstatenkatalogs, Kap. 2 B.X.3.a). 958 Zum Problem der Zufallsfunde schon oben Kap. 2 B.VIII. 959 Subsidiaritätsklauseln konkretisieren den verfassungsrechtlichen Verhältnismäßig953

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

287

cherzustellen, könnte eine Subsidiaritätsklausel in § 110 Abs. 3 StPO eingefügt werden.960 Die Subsidaritätsklausel kann angelehnt werden an die Klauseln in §§ 100a Abs. 1 S. 1 Nr. 3, 100f Abs. 1 StPO. Danach wäre eine Durchsicht informationstechnischer Systeme nur noch zulässig, wenn die Erforschung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos wäre.961 Als wesentlich erschwert gilt die Erforschung eines Sachverhalts bereits dann, wenn andere Mittel zur Aufklärung einen erheblich größeren Zeitaufwand erfordern und dadurch das Strafverfahren wesentlich verzögert würde. Größerer Arbeitsaufwand der Ermittlungsbehörden ist aber nicht per se eine solche wesentliche Erschwernis. Aussichtslos ist die Erforschung des Sachverhalts, wenn keine anderen erfolgversprechenden Aufklärungsmittel zur Verfügung stehen.962 Eine solche Subsidiaritätsklausel würde den Einsatz der Durchsicht informationstechnischer Systeme auf Fälle begrenzen, in denen dieser wirklich erforderlich ist. Bevor also die Ermittler auf das ganze System zugreifen und ihnen damit potentiell die gesamte Persönlichkeit des Beschuldigten samt kernbereichsrelevanter Daten offenliegt, muss geprüft werden, ob die gesuchten Spuren und Informationen nicht auf anderem Wege erlangt werden können, der Sachverhalt also auch durch andere Mittel zuverlässig und zügig erforscht werden kann. Damit wird der Bezugspunkt der Erforderlichkeit der Maßnahme nach vorne verlagert. Es geht dann nicht mehr nur darum, dass die Ermittler während der Durchsicht informationstechnischer Systeme darauf achten müssen, kein überschüssige Datenmaterial zu sichern – dass diese Vorgabe praktisch nur schwer einzuhalten ist, wurde in dieser Arbeit bereits dargelegt.963 Vielmehr geht es darum, in einem Schritt davor zu prüfen, ob die Durchsicht des informationstechnischen Systems überhaupt erforderlich ist.964 Wenn nämlich auf die Durchsicht eines informationstechnischen Systems verzichtet werden kann, dann gerät die Strafverfolgung gar nicht erst in das Dilemma, einerseits zum Schutz des Beschuldigten nur möglichst wenig Daten sichten und sichern zu dürfen, andererseits aber zur Erhaltung des Beweiswerts und auch der Interpretation der Daten im Gesamtzusammenhang häufig eine Komplettsicherung der Daten vornehmen zu müssen.965

keitsgrundsatz, indem sie dem Rechtsanwender Erforderlichkeitsrelationen vorgeben, s. Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 513; vgl. auch Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 281; Hauck, Heimliche Strafverfolgung, 2014, S. 162 f.; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 69. 960 Deren Fehlen bemängelt z. B. Ludewig, KriPoZ 2019, 293 (299). 961 Vgl. Heinson, IT-Forensik, 2015, S. 205. 962 BeckOK-StPO/Graf, § 100a Rn. 111; Meyer-Goßner/Schmitt/Köhler, § 100a Rn. 13. 963 Kap. 2 B.II.2 und Kap. 2 B.IV. 3.a). 964 Zu diesem Aspekt bereits oben Kap. 2 B.IV. 3.c) 965 Zu diesen Problemen bereits oben Kap. 2 B.II.2.

288

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Zum anderen würde eine solche Subsidiaritätsklausel die Strafverfolgung nicht übermäßig einschränken. Die Durchsicht informationstechnischer Systeme wäre nach wie vor zur Aufklärung grundsätzlich aller geeigneten Straftaten zulässig.966 Die Notwendigkeit der Maßnahme müsste aber begründet werden. Damit würde einerseits routinemäßiges Sichten informationstechnischer Systeme ohne Rücksicht auf die Erforderlichkeit unterbunden – zumindest, soweit dies im Wege einer gesetzlichen Begründungspflicht eben möglich ist. Auch das wirkte der Gefahr des Missbrauchs derartiger Durchsichten zur gezielten Suche von Zufallsfunden entgegen.967 Andererseits ist die Durchsicht weiterhin in denjenigen Fällen zulässig, in denen sie eben deshalb erforderlich ist, weil der Sachverhalt sonst nicht oder wesentlich schwieriger zu erforschen ist. Mit anderen Worten: In den Fällen, in denen es zur Aufklärung des Tatverdachts wirklich auf die Durchsicht informationstechnischer Systeme ankommt, wäre diese weiterhin zulässig. In der Wissenschaft wird allerdings generelle Kritik an Subsidiaritätsklauseln geübt. Zum einen wird vorgebracht, die Einfügung von Subsidiaritätsklauseln sei überflüssig, weil sie nur das aufschrieben, was durch den Verhältnismäßigkeitsgrundsatz ohnehin schon geboten sei.968 Mit diesem Argument könnte man indes weite Teile von Eingriffsgrundlagen der Strafprozessordnung für überflüssig erklären, denn deren Regelungsgehalt, der staatliche Grundrechtseingriffe begrenzen soll, ist stets auch auf das rechtsstaatliche Gebot der Verhältnismäßigkeit staatlichen Handelns zurückzuführen. Überspitzt gesagt wäre es also denkbar, lediglich eine einzige Norm für Grundrechtseingriffe im Ermittlungsverfahren zu schaffen, deren Inhalt lautete: „Im Ermittlungsverfahren sind Grundrechtseingriffe nur zulässig, soweit sie verfassungskonform, insbesondere verhältnismäßig sind“, und selbst am Bedarf dieser Regelung könnte man Zweifel anmelden, da der Verhältnismäßigkeitsgrundsatz ja ohnehin unmittelbar aus der Verfassung abgeleitet werden kann und auch ohne gesetzliche Normierung immer gilt. Diese Überlegungen greifen aber ersichtlich zu kurz. Dass einfache Gesetze oft das abbilden, was schon von Verfassungs wegen gelten muss, macht diese Gesetze nicht überflüssig. Insbesondere das Strafverfahrensrecht gilt als konkretisiertes Verfassungsrecht.969 Aus gutem Grund regelt die StPO daher die Zuläs-

966 S. aber die obigen Vorschläge zur Schaffung eines Anlasstatenkatalogs, Kap. 2 B.X.3.a) 967 Siehe bereits oben Kap. 2 B.VIII. 968 Zöller, StraFo 2008, 15 (20); ders., ZStW 124 (2012), 411 (428). 969 Manchmal auch als „angewandtes“ oder „geronnenes“ Verfassungsrecht bezeichnet, vgl. nur BVerfGE 32, 373 (383); Jahn, ZIS 2009, 511; Krey/Heinrich, Deutsches Strafverfahrensrecht, Rn. 39; Kudlich, in: Hilgendorf/Kudlich/Valerius (Hrsg.), Handbuch Strafrecht, Band 7 § 1 Rn. 19; Kühne, Strafprozessrecht, Rn. 20; Lammer, Verdeckte Ermittlungen, 1992, S. 142; Ostendorf, Strafprozessrecht, Rn. 2; Überblick zum Meinungsspektrum

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

289

sigkeit von Ermittlungsmaßnahmen in einem ausdifferenzierten Regelungssystem, zu dem tatbestandliche Eingriffsschwellen dazugehören, die auch in Form von Subsidiaritätsklauseln bestehen können. Diese ausdifferenzierte Regelungstechnik fußt auf dem Gedanken vom Vorbehalt des Gesetzes bzw. darüber hinaus auf dem Parlamentsvorbehalt und der Wesentlichkeitstheorie, nach denen Grund und Grenzen von staatlichen Entscheidungen wesentlicher Tragweite, also insbesondere Ermächtigungen zu wesentlichen Grundrechtseingriffen, vom demokratisch gewählten Gesetzgeber präzise in einem Parlamentsgesetz bestimmt werden müssen, sodass staatliches Handeln voraussehbar und berechenbar gemacht und staatliche Willkür möglichst ausgeschlossen wird.970 Die einfachgesetzliche Konkretisierung von aus dem Verhältnismäßigkeitsprinzip fließenden Subsidiaritätsverhältnissen dient außerdem dem Prinzip der Bestimmtheit971 bzw. Normenklarheit, wonach zumindest nach Auslegung der Norm klar und präzise aus ihr hervorgehen muss, was sie in welchen Grenzen regelt und welche Befugnisse sie staatlichen Stellen vermittelt.972 Letzteres lässt sich nicht ohne Weiteres und präzise aus dem allgemeinen Verhältnismäßigkeitsgrundsatz entnehmen,973 zumal dem Gesetzgeber ein Spielraum zur Regelung der Eingriffsgrundlagen zusteht. Der Verhältnismäßigkeitsgrundsatz determiniert nicht eine bestimmte Lösung zur Einhaltung der Erforderlichkeit bzw. Subsidiarität von Grundrechtseingriffen. Er steckt vielmehr Grenzen ab, innerhalb derer sich ein Spektrum möglicher Regelungen befindet, aus denen der Gesetzgeber wählen kann. Es sind also häufig mehrere Lösungen verhältnismäßig und damit verfassungsgemäß. Der Gesetzgeber kann dann – je nach rechtspolitischer Ausrichtung – bei einer Eingriffsgrundlage also strengere oder weniger strenge Begrenzungen vorsehen, wobei beide Alternativen verfassungsgemäß sein können. Diese Variabilität bei der Begrenzung von Ermittlungsmaßnahmen zeigt sich auch im Vergleich der aktuell bestehenden Subsidiaritätsklauseln in den Eingriffsgrundlagen der StPO. Während §§ 100a Abs. 1 S. 1 Nr. 3, 100f Abs. 1 StPO es unter anderem zur Voraussetzung machen, dass die Erforschung des Sachverhalts ohne Anwendung der Ermittlungsmaßnahme „wesentlich er-

über das Verhältnis von Verfassungsrecht und Strafprozessrecht bei Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 48 ff. 970 BVerfGE 49, 89 (126 f.); BeckOK-GG/Huster/Rux, Art. 20 Rn. 105 f.; Epping, Grundrechte, Rn. 404 f. 971 Umgekehrt Zöller, StraFo 2008, 15 (20), der jedenfalls in der aktuellen Vielfalt von Subsidiaritätsklauseln in den verschiedenen Eingriffsgrundlagen ein Problem für die Bestimmtheit sieht; vgl. auch ders., ZStW 124 (2012), 411 (428). 972 Zum Grundsatz der Normenbestimmtheit und Normenklarheit vgl. nur BVerfGE 21, 245 (261); 65, 1 (54); 120, 274 (315 f.); Epping, Grundrechte, Rn. 703. 973 Vgl. Krey/Heinrich, Deutsches Strafverfahrensrecht, Rn. 40: „Das geltende Recht ist auch für den Strafprozess nicht einfach aus der Verfassung abzulesen.“

290

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

schwert oder aussichtlos wäre“, formuliert § 100c Abs. 1 Nr. 4 StPO, dass die Erforschung des Sachverhalts „unverhältnismäßig erschwert oder aussichtlos wäre“, wohingegen § 100g Abs. 1 StPO je nach Ausprägung der Maßnahme lediglich allgemein auf die Erforderlichkeit abstellt, oder – S. 2 – die Aussichtlosigkeit der der Erforschung des Sachverhalts auf andere Weise zum Maßstab erhebt. Es besteht also eine Vielzahl an Möglichkeiten zur gesetzlichen Regelung der Subsidiarität einer Maßnahme.974 Die Subsidiaritätsklauseln können sich somit um Nuancen unterscheiden (mag die Unterscheidung einzelner Formulierungen und die Einzelfallanwendung teils mehrerer Subsidiaritätsklauseln in verschiedenen Eingriffsgrundlagen gleichzeitig auch schwierig und unübersichtlich sein975). Daraus ergibt sich der Bedarf und auch der Nutzen, die Subsidiarität einer Maßnahme zur Sicherstellung der Erforderlichkeit explizit und gesetzlich in Form einer Subsidiaritätsklausel zu regeln.976 Der pauschale Vorwurf, Subsidiaritätsklauseln seien per se überflüssig, trifft folglich nicht zu. Zum anderen wird behauptet, dass Subsidiaritätsklauseln in der Praxis nahezu wirkungslos blieben, weil die Begriffe, mit denen operiert wird – z. B. „wesentliche“ oder unwesentliche Erschwerung der Ermittlung – zu vage seien und dass bei ihrer Ausfüllung beträchtliche Beurteilungsspielräume der Behörden bestünden.977 Dem ist zuzugeben, dass es in der Tat bei der konkreten Anwendung einer wie hier vorgeschlagenen Subsidiaritätsklausel nicht übermäßig schwierig sein dürfte, die wesentliche Erschwerung einer Ermittlung zu begründen für den Fall, dass die Durchsicht eines informationstechnischen Systems unterbleibt. Die Frage, wann denn eine Erschwerung der Ermittlung „wesentlich“ ist, kann aber ohnehin nicht auf abstrakter Ebene gelöst werden und ist immer einzelfallabhängig.978 Auch ist es nur folgerichtig, der Staatsanwaltschaft als Herrin des Verfahrens einen diesbezüglichen Beurteilungsspielraum zuzugestehen. Gerade in diesen Umständen liegt der hier befürwortete Ausgleich zwischen effektiver Strafrechtspflege und Grundrechtsschutz begründet: Die Strafverfolgung soll einerseits nicht in einer Vielzahl von Fällen unvernünftigerweise blockiert werden, anderer-

974 Vgl. auch die Aufzählung bei Glaser/Gedeon, GA 2007, 415 (422); Zöller, StraFo 2008, 15 (19). 975 Diese Unübersichtlichkeit monieren Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 513 f.; Glaser/Gedeon, GA 2007, 415 (422); Zöller, StraFo 2008, 15 (19); ders., ZStW 124 (2012), 411 (427 f.); vgl. auch Rieß, GS Meyer 1990, 367 (386 f.); ausführlich zum Problem sich widersprechender Subsidiaritätsklauseln Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 282 ff. 976 Vgl. Rieß, GS Meyer 1990, 367 (372). 977 Kohlmann, Online-Durchsuchungen, 2012, S. 238 ff.; Zöller, StraFo 2008, 15 (19 f.); zum Beurteilungsspielraum auch HK-StPO/Gercke, Vor §§ 94 ff. Rn. 16. 978 Vgl. Rieß, GS Meyer 1990, 367 (385).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

291

seits müssen die Ermittler durchaus begründen können, warum sie auf die Durchsicht eines informationstechnischen Systems zurückgreifen müssen oder wollen. Die rechtliche Hürde, die dieses Begründungserfordernis aufstellt, ist in praktischer Hinsicht damit zwar nicht allzu schwierig zu überspringen. Sie ist aber immerhin überhaupt eine Hürde. Eine wie hier vorgeschlagene Subsidiaritätsklausel wäre also nicht völlig wirkungslos.979 Zudem besteht die Möglichkeit, die Einhaltung der Subsidiaritätsklausel gerichtlich kontrollieren zu lassen, zumindest innerhalb der allgemeinen Grenzen, in denen ein Handeln im Beurteilungsspielraum überprüft werden darf. Das bedeutet eine Überprüfung wenigstens darauf, ob die Grenzen des Beurteilungsspielraums eingehalten worden sind.980 Die praktische Begrenzungswirkung von Subsidaritätsklauseln ist also zwar eingeschränkt. Dennoch sind Subsidiaritätsklauseln entgegen der vorgebrachten Kritik aus dem rechtswissenschaftlichen Schrifttum nicht überflüssig oder nutzlos. Sie sind vielmehr geeignet, die restriktive Anwendung einer Ermittlungsmaßnahme zu fördern. Folglich empfiehlt sich die Aufnahme einer Subsidiaritätsklausel in § 110 Abs. 3 StPO, welche die Zulässigkeit der Durchsicht informationstechnischer Systeme unter den Vorbehalt stellt, dass die Erforschung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtlos wäre. d) Ausdrückliche Regelung der Mitnahme zur Durchsicht Es wurde in dieser Arbeit bereits ausführlich problematisiert, dass die gängige Praxis der Mitnahme zur Durchsicht zwar mittlerweile im Gesetz erwähnt wird (§ 110 Abs. 4 StPO), aber bis auf die Ausnahme der bloßen Datensicherung bei der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 3 StPO nicht selbst geregelt ist.981 Was fehlt, ist die ausdrückliche Regelung der grundlegenden Voraussetzung der Mitnahme zur Durchsicht, die darin besteht, dass die Datenmengen aufgrund ihrer Fülle, ihrer Verschlüsselung oder anderer praktischer Schwierigkeiten nicht vor Ort gesichtet werden können. Insbesondere fehlt es an der ausdrücklichen Befugnis und eingrenzenden Regelungen dazu, physische Gegenstände mitzunehmen, also insbesondere die elektronischen Speichermedien bzw. informationstechnischen Systeme im Sinne des § 110 Abs. 3 S. 1 StPO.

979 Vgl. trotz grundsätzlich vorgebrachter Skepsis Kohlmann, Online-Durchsuchungen, 2012, S. 317 ff. 980 Vgl. zur gerichtlichen Kontrolle von Beurteilungsspielräumen allgemein Detterbeck, Allgemeines Verwaltungsrecht, Rn. 377 f.; Maurer/Waldhoff, Allgemeines Verwaltungsrecht, § 7 Rn. 35 ff. 981 Kap. 2 B.II.4

292

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Schon aus Gründen der Normenklarheit und Bestimmtheit sollte klargestellt werden, dass Ermittler die durchzusehende Sache mitnehmen dürfen, wenn eine Durchsicht an Ort und Stelle aufgrund des Umfangs der Daten oder technischer Schwierigkeiten nicht oder nur unter unverhältnismäßigem Aufwand möglich ist. Dabei sollte, vergleichbar mit der Einführung einer Subsidiaritätsklausel982, auch hierbei gesetzlich klargestellt werden, dass eine Mitnahme zur Durchsicht, also die Abweichung vom gesetzlichen Regelfall der Durchsicht vor Ort, streng unter dem Vorbehalt der Erforderlichkeit steht. Insbesondere sollte gesetzlich geregelt sein, dass bei einer Durchsicht informationstechnischer Systeme die Mitnahme von Daten im Wege der Kopie im Sinne des § 110 Abs. 3 S. 3 StPO der Mitnahme von Hardware, also physischen Datenträgern oder des gesamten Systems selbst, vorzuziehen ist, sofern dem nicht Gründe der Erhaltung des Beweiswerts der Daten oder (andere) technische Gegebenheiten entgegenstehen.983 Es sollte ferner gesetzlich geregelt sein, dass Hardware, die zum Zwecke der Durchsicht genommen wurde, unverzüglich wieder an den Inhaber zurückzugeben ist, sofern sie für das konkrete Strafverfahren nicht mehr benötigt wird.984 Nicht zuletzt hätte der Gesetzgeber schon bei seiner letzten Reform durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021985 in § 110 Abs. 3 S. 3 StPO ausdrücklich formulieren sollen, dass es um eine nur vorläufige Sicherung der Daten geht und nicht um eine eigene Befugnis zur endgültigen Sicherstellung neben § 94 StPO. Dies kommt leider weiterhin nur in der Gesetzesbegründung zum Ausdruck.986 4. Gesetzliche Regelung des Kernbereichsschutzes Es wurde in dieser Arbeit bereits ausführlich dargelegt, dass die Durchsicht informationstechnischer Systeme, vor allem wenn sie in Form der Mitnahme zur Durchsicht bzw. vorläufigen Sicherung der Daten gemäß § 110 Abs. 3 S. 3 StPO erfolgt, typischerweise auch Daten berührt, die dem absolut geschützten Kernbereich der privaten Lebensgestaltung unterfallen.987 Eine verfassungsrechtliche Pflicht des Gesetzgebers zur gesetzlichen Regelung eines Kernbereichsschutzkonzepts für die Durchsicht und Beschlagnahme von Datenbeständen kann aus der verfassungsgerichtlichen Rechtsprechung aber trotzdem nicht eindeutig hergeleitet werden.988 Insbesondere in seinem 982

Oben Kap. 2 B.X.3.c). Zu all dem bereits oben Kap. 2 B.II.2. 984 Zur bestehenden Rückgabepflicht allgemein HK-StPO/Gercke, § 110 Rn. 15; SKStPO/Wohlers/Jäger, § 110 Rn. 20, 27; s. auch Heinson, IT-Forensik, 2015, S. 213 f. Zur Pflicht der Löschung von kopierten Daten s. unten Abschnitt 7. 985 BGBl. 2021 I, S. 2099. 986 BT-Drs. 19/27654, S. 74. 987 Kap. 2 B.V. 988 Kap. 2 B.V. 4. 983

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

293

E-Mail-Beschluss hat das BVerfG im Zusammenhang mit der Durchsicht die verfassungsrechtliche Geltung des Kernbereichsschutzes betont, aber keine gesetzliche Regelung dieses Schutzes gefordert.989 Nimmt man die vom BVerfG aufgestellten Kriterien, nach denen sich eine Normierungspflicht ergeben soll, ernst, so liegt es aber dennoch nahe, auch ein gesetzliches Kernbereichsschutzkonzept für die Durchsicht informationstechnischer Systeme nach § 110 Abs. 3 S. 1 StPO zu fordern. Das BVerfG hält eine gesetzliche Normierung des Kernbereichsschutzes für geboten, wenn die Überwachungsmaßnahme typischerweise zur Erhebung auch von kernbereichsrelevantem Material führt.990 Diese spezifische Verletzungsgeneigtheit hat das BVerfG zwar nicht für Maßnahmen nach § 110 StPO festgestellt. In der Sache aber besteht die Gefahr einer Kernbereichsberührung bei einer Durchsicht informationstechnischer Systeme im Wesentlichen ebenso wie bei einer Online-Durchsuchung. Deshalb wäre es zumindest wünschenswert, dass auch hier gesetzliche Regelungen zur Konkretisierung der verfassungsrechtlichen Pflicht zur Achtung des Kernbereichs geschaffen würden.991 Dabei kann sich am Regelungskonzept des § 100d Abs. 1 bis 3 StPO orientiert werden.992 Der Einfachheit halber könnte der Anwendungsbereich des § 100d StPO, der ohnehin bereits für Maßnahmen nach §§ 100a, 100b, 100c StPO und in Teilen auch für §§ 100f, 100h StPO gilt, auch auf Maßnahmen nach § 110 Abs. 3 StPO erstreckt werden. Denkbar ist auch eine generelle gesetzliche Regelung des Kernbereichsschutzes, die dann für sämtliche Ermittlungsmaßnahmen gilt, wie sie zum Beispiel in den Polizeigesetzen einiger Länder993 existiert.994 Jedenfalls sollte für die Durchsicht informationstechnischer Systeme im Sinne eines zweistufigen Kernbereichsschutzkonzeptes995 gesetzlich geregelt werden, dass Maßnahmen, die voraussichtlich allein kernbereichsrelevantes Material zu Tage fördern werden, unzulässig sind (vgl. § 100d Abs. 1 StPO). Wird eine Maßnahme durchgeführt, so muss die gesetzliche Pflicht dazu bestehen, durch technische Vorkehrungen so weit wie möglich sicherzustellen, dass keine kernbereichsrelevanten Daten berührt werden (vgl. § 100d

989

BVerfGE 124, 43 (69 f.). BVerfGE 141, 220 (277 f.). 991 Heinson, IT-Grundrecht, 2015, S. 241; Ludewig, KriPoZ 2019, 293 (300); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 234 f., 336; detaillierte Vorschläge bei Kroll, Kernbereichsschutz, 2021, S. 145 ff. 992 Ludewig, KriPoZ 2019, 293 (300); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 432. 993 Siehe nur § 29 Abs. 6 BbgPolG; § 16 PolG NRW. 994 Dafür Glaser/Gedeon, GA 2007, 415 (431); Wolter, GA 2007, 183 (198 f.); Zöller, StraFo 2008, 15 (22). 995 Kap. 2 B.V. 2. 990

294

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Abs. 3 S. 1 StPO). Werden unbeabsichtigt doch kernbereichsrelevante Daten erhoben, so sind sie unverzüglich zu löschen (vgl. § 100d Abs. 2 S. 2),996 bei Zweifeln über die Kernbereichsrelevanz dem zuständigen (Ermittlungs-) Richter vorzulegen (vgl. § 100d Abs. 3 S. 2 StPO). Die Verwertung kernbereichsrelevanter Daten ist gesetzlich zu verbieten (vgl. § 100d Abs. 2 S. 1 StPO). Bis zur Schaffung bzw. gesetzlichen Übertragung dieses Regelungskonzepts durch Gesetzesreform de lege ferenda sind die oben genannten Regelungen aus § 100d Abs. 1 bis Abs. 3 StPO ohnehin von Verfassungs wegen entsprechend auf Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO anzuwenden.997 Die einfachgesetzliche Regelung eines solchen Kernbereichsschutzkonzeptes würde die Strafverfolgung also nicht weiter beschränken. Im Ergebnis würden lediglich diejenigen Regelungen explizit in der StPO verankert, die bereits jetzt unmittelbar durch Verfassungsrecht gelten müssen. Gerade weil die einfachgesetzliche Regelung eines solchen Schutzkonzeptes nichts Wesentliches an der Rechtslage ändert, kann eingewandt werden, dass eine solche einfachgesetzliche Regelung wirkungslos und daher überflüssig ist.998 Allerdings gilt auch hier wie bei der gesetzlichen Regelung von Subsidiaritätsklauseln,999 dass die einfachgesetzliche Regelung es sowohl den Rechtsanwendern, also den ermittelnden Strafverfolgungsbehörden, als auch den betroffenen Bürgern unmittelbar vor Augen führt, welche Grenzen bei den Ermittlungen zu beachten sind. Das dient den Geboten der Normenklarheit und der Normenbestimmtheit. Der parlamentarische Gesetzgeber muss außerdem Grund und Grenzen wesentlicher Grundrechtseingriffe selbst regeln, zumal, wenn es darum geht, die hinter dem Kernbereichsschutz stehende Menschenwürde gemäß Art. 1 Abs. 1 GG zu achten und zu schützen. Nach allem ist eine einfachgesetzliche Regelung des Kernbereichsschutzes auch für die Durchsicht informationstechnischer Systeme geboten.

996 Bunzel, Zugriff auf IT-Systeme, 2015, S. 260 f. weist hier auf den Konflikt hin, der durch die Maßgabe entsteht, dass Ermittler zur Sicherung des Beweiswerts der Daten grundsätzlich ein vollständiges, unverändertes Original des erhobenen Datensatzes aufbewahren sollten (vgl. dazu auch oben Kap. 2 B.II.2.b). Die unverzügliche Löschung der kernbereichsrelevanten Daten steht dieser Maßgabe entgegen. Zum Schutz des Kernbereichs der Persönlichkeit des Betroffenen (und damit auch seiner unantastbaren Menschenwürde aus Art. 1 Abs. 1 S. 1 GG!) ist eine Minderung des Beweiswerts durch die Löschung einzelner Daten aber hinzunehmen. 997 S. oben Kap. 2 B.V. 5. 998 Vgl. Hauck, Heimliche Strafverfolgung, 2014, S. 353. 999 Oben Kap. 2 B.X.3.c).

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

295

5. Ausdrückliche Regelung des Anwesenheitsrechts bei Mitnahme zur Durchsicht? Es wurde in dieser Arbeit bereits dargelegt,1000 dass die Durchsicht bei einer Mitnahme von Daten sich einer heimlichen Maßnahme anzunähern droht: Zwar ist die Durchsuchung eine im Grundsatz offen durchzuführende Maßnahme, wenn aber Massen an Daten zur längerfristigen, teils Monate andauernden Auswertung kopiert werden, verliert der Dateninhaber die Kontrolle darüber, was mit den Daten geschieht. Um diesem Kontrollverlust zu begegnen, ist ein Anwesenheitsrecht des von der Durchsuchungsmaßnahme Betroffenen auch für das Stadium der Durchsicht bedenkenswert. Das ursprünglich in § 110 Abs. 3 Hs. 2 StPO a. F. geregelte Anwesenheitsrecht bei Durchsicht von mitgenommenen Papieren wurde gestrichen. Herleitbar ist ein Anwesenheitsrecht allerdings weiterhin aus § 106 Abs. 1 S. 1 StPO, wonach der Inhaber der durchsuchten Räume und Gegenstände das Recht zur Anwesenheit hat. Da die Durchsicht Teil der Durchsuchung ist, muss sich dieses Anwesenheitsrecht also auch auf die Durchsicht erstrecken. Gleichwohl kann man den Bedarf für eine ausdrückliche Regelung eines Anwesenheitsrechts spezifisch für die Durchsicht sehen, allein schon aus Klarstellungsgründen.1001 Allerdings wurde in dieser Arbeit bereits auf die praktischen Schwierigkeiten bei der Wahrnehmung dieses Anwesenheitsrechts hingewiesen.1002 Da die Durchsicht der mitgenommenen Daten sich angesichts der Datenmengen erstens häufig über Monate hinziehen wird und zweitens möglicherweise auch in großer Entfernung zum Wohnort des Betroffenen stattfinden wird, ist eine lückenlose Kontrolle der Durchsicht durch den Betroffenen kaum möglich. Hinzu kommt, dass viele der Untersuchungsschritte, die bei Aufbereitung und Auswertung der gesicherten Daten stattfinden, sehr technischer und teils auch automatisierter Natur sind und sich daher sinnlich kaum mitverfolgen und nachvollziehen lassen, insbesondere nicht von technischen Laien.1003 Knapp gesagt: Hier gäbe es nicht so viel zu sehen. Die ausdrückliche Regelung eines Anwesenheitsrechts ist damit im Ergebnis zwar bedenkenswert und jedenfalls aus Gründen der Klarstellung der Rechte des betroffenen zu begrüßen. Die praktischen Auswirkungen einer expliziten gesetzlichen Regelung dieses Rechts wären aber wohl gering.1004 1000

Zum Folgenden daher schon oben Kap. 2 B.II.3. Kroll, Kernbereichsschutz, 2021, S. 66; Ludewig, KriPoZ 2019, 293 (300); Peters, NZWiSt 2017, 465 (472). 1002 Oben Kap. 2 B.II.3. 1003 Heinson, IT-Forensik, 2015, S. 229; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 431. 1004 Ablehnend deshalb von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 431. 1001

296

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

6. Ermächtigung zur Installation forensischer Software bzw. zur Überwindung von Verschlüsselungen Die Installation forensischer Software auf dem lokalen informationstechnischen System kann nicht auf eine Annexkompetenz zu den §§ 102 ff. StPO gestützt werden.1005 Im Sinne einer verfassungsrechtlich gebotenen effektiven Strafverfolgung besteht aber ein berechtigtes Bedürfnis der Ermittlungsbehörden, zumindest in Ausnahmefällen forensische Software auf dem Zielsystem installieren zu dürfen. Das betrifft nicht nur die Überwindung von Verschlüsselungen im Sinne eines Hackings, sondern auch die Eingrenzung verfahrensrelevanter Daten bei ihrer Sicherung durch Kopien,1006 die in manchen Fällen – wenn überhaupt – nur durch Installation einer behördeneigenen Software auf dem Zielsystem erreicht werden kann. Auch aus Gründen der Normenklarheit und Normenbestimmtheit sollten daher gesetzliche Regelungen im Umfeld des § 110 Abs. 3 StPO erlassen werden, die diese Begleitmaßnahmen ausdrücklich erlauben, aber auch den darin liegenden Eingriff in die verfassungsrechtlich geschützte Integrität des informationstechnischen Systems einhegen. Die Installation von forensischer Software auf dem Zielsystem sollte zum einen zulässig sein, wenn sie der Eingrenzung der zu sichtenden oder der im Wege der Mitnahme zur Durchsicht vorläufig sicherzustellenden Daten dienlich ist. Sie sollte zum anderen zur Überwindung von Verschlüsselungen zulässig sein, wenn eine Mitnahme bzw. Kopie der Datensätze sonst nicht möglich ist und andernfalls die Erforschung des Sachverhalts wesentlich erschwert wäre. 7. Spezielle gesetzliche Regelung zur Löschung nicht mehr benötigter Daten Zweck der Durchsicht nach § 110 Abs. 3 S. 1 StPO ist, dass Daten, die im Zuge der Durchsicht als nicht relevant für das Strafverfahren befunden werden, nicht sichergestellt werden. Daraus ergibt sich, dass Daten, die im Wege der Mitnahme zur Durchsicht vorläufig sichergestellt werden, wieder freigegeben werden müssen, sobald erkennbar ist, dass sie nicht zu Zwecken der Strafverfolgung benötigt werden. Da elektronische Daten als solche unkörperlich sind, kommt eine Rückgabe an den Inhaber im eigentlichen Sinne nur in Betracht, wenn die Ermittler Hardware des Betroffenen als Verkörperung der gespeicherten Daten mitgenommen haben. Diese Hardware kann dann zurückgegeben werden. Anders liegt es bei Datenkopien: Haben die Ermittler keine Hardware mitgenommen, sondern lediglich eine Datenkopie auf behördeneigener Hardware erstellt und womöglich zur forensischen Auswertung des Datensatzes weitere Sicherungskopien erstellt,1007 ergibt eine 1005

Oben Kap. 2 B.VII.2.b). Dazu oben Kap. 2 B.II.2.a). 1007 Zu diesem Vorgehen oben Kap. 2 B.II.2. 1006

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

297

Rückgabe dieser Daten an den Betroffenen keinen Sinn. Die Entsprechung zur Rückgabepflicht ist in diesen Fällen deshalb die Pflicht zur Löschung der kopierten Daten, sofern diese nicht mehr zum Zwecke des laufenden Strafverfahrens benötigt werden.1008 Dass diese Löschpflicht besteht, ist anerkannt.1009 Eine ausdrückliche gesetzliche Regelung findet sich im Umfeld des § 110 Abs. 3 S. 1 StPO aber nicht. Erst im 8. Buch der StPO über den Schutz und die Verwendung von Daten findet sich die Regelung des § 489 Abs. 1 StPO, die eine grundsätzliche Löschpflicht gespeicherter Daten statuiert.1010 Diese Pflicht zur Datenlöschung ist aber eingeschränkt und steht insbesondere unter dem Vorbehalt, dass die Daten auch nicht mehr für künftige Strafverfahren benötigt werden. So verweist § 489 Abs. 1 Nr. 1, Nr. 2 auf § 484 Abs. 2 S. 1 StPO. Diese Regelung sieht abweichend zur grundsätzlichen Löschpflicht die Aufbewahrung der Daten vor, wenn wegen der Art oder Ausführung der Tat, der Persönlichkeit des Beschuldigten oder Tatbeteiligten oder sonstiger Erkenntnisse Grund zu der Annahme besteht, dass weitere Strafverfahren gegen den Beschuldigten zu führen sind. Die Löschpflicht aus § 489 Abs. 1 StPO gilt damit nicht unbedingt. Durch sie wird nicht sichergestellt, dass die umfangreichen Datensammlungen, die durch eine Durchsicht auf Grundlage des § 110 Abs. 3 S. 1 StPO erhoben werden können, nach Abschluss des konkreten, anlassgebenden Strafverfahrens auch wirklich gelöscht werden. Vielmehr können personenbezogene Daten auf Vorrat gespeichert werden („repressive Vorsorgedateien“).1011 Das aber wird den enormen Eingriffen in die Privatsphäre des Beschuldigten und Dritter, die durch die Sammlung dieser Daten entstehen, nicht gerecht. Ferner entspricht die nur eingeschränkte Löschpflicht aus § 489 Abs. 1 StPO mit ihren vielfältigen Ausnahmen nicht dem Prinzip der Durchsicht, nach dem Datenmaterial, welches keine Beweisbedeutung für das konkrete Strafverfahren hat, gerade nicht von den Strafverfolgungsbehörden aufbewahrt werden soll. Das in diesem Sinne überschüssige Datenmaterial soll vielmehr ausgesondert werden.1012 Ferner ist ohnehin ganz grundsätzlich umstritten, ob die Pflichten aus §§ 483 ff. StPO überhaupt auf das hier relevante Stadium des Ermittlungsverfahrens und die bei einer

1008

Bell, Strafverfolgung und die Cloud, 2019, S. 103. BVerfGE 113, 29 (58); Basar/Hie´ramente, NStZ 2018, 681 (683 f.); Bell, Strafverfolgung und die Cloud, 2019, S. 103; SK-StPO/Wohlers/Jäger, § 110 Rn. 20, 27; zu Löschpflichten allgemein BVerfGE 65, 1 (46); 141, 220 (285 f.). 1010 Darauf weist Heinson, IT-Forensik, 2015, S. 220 f. hin, der allerdings die Anwendung der Norm auf das Stadium der hier relevanten Durchsicht verneint, vgl. auch Basar/ Hie´ramente, NStZ 2018, 681 (684) mit weiteren Nachweisen zum Streit über den Anwendungsbereich der §§ 483 ff. StPO. 1011 HK-StPO/Temming/Schmidt, § 484 Rn. 1; SSW-StPO/Ritscher/Klinge, § 484 Rn. 1. 1012 Zum Zweck der Durchsicht oben Kap. 2 B.I. 1009

298

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Durchsicht vorläufig sichergestellten Daten Anwendung finden oder ob sie sich nicht bloß auf bestimmte Katalogisierungssysteme der Ermittlungsbehörden beziehen.1013 Deshalb ist eine den §§ 483 ff. StPO vorrangige gesetzliche Löschpflicht für während der Durchsicht gesicherte, aber verfahrensirrelevante Daten zu suchen. Diese könnte im Bundesdatenschutzgesetz zu finden sein. Das BDSG findet über § 500 Abs. 1 StPO grundsätzlich auch im Strafverfahren Anwendung. Die entsprechenden Regelungen zur Datenlöschung gelten damit auch auch hier, sofern die StPO nicht eine eigene Regelung trifft (§ 500 Abs. 2 Nr. 1 StPO, vgl. auch § 1 Abs. 2 BDSG). § 75 Abs. 2 BDSG ordnet die Löschung personenbezogener Daten an, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für die behördliche Aufgabenerfüllung nicht mehr erforderlich ist. Mit dieser Verpflichtung korrespondiert das subjektive Recht des Einzelnen aus § 58 Abs. 2 BDSG, die Löschung aus den genannten Gründen zu verlangen.1014 In § 58 Abs. 3 BDSG (i. V. m. § 75 Abs. 3 BDSG) bestehen aber auch Ausnahmen von dieser Löschpflicht, so zum Beispiel in § 58 Abs. 3 Nr. 2 i. V. m. § 45 BDSG, wonach die Daten statt sie zu löschen in ihrer Verarbeitung eingeschränkt werden können, wenn sie noch zu Beweiszwecken im Rahmen der Strafverfolgung weiter aufbewahrt werden müssen. Sofern diese Ausnahme eng auf das konkrete anlassgebende Strafverfahren bezogen bleibt und keine Datenbevorratung über das Ausgangsverfahren hinaus erlauben soll, schafft sie in dieser Hinsicht einen angemessenen Ausgleich zwischen den Grundrechten der Betroffenen und dem Beweisinteresse innerhalb des Strafverfahrens, welches von der verfassungsrechtlich gebotenen Effektivität der Strafrechtspflege gedeckt ist. Auch die Ausnahme des § 58 Abs. 3 Nr. 1 BDSG, die eine Einschränkung der Verarbeitung der Daten statt ihrer Löschung erlaubt, wenn eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde, erscheint auch und gerade für Zwecke des Strafverfahrens sachgerecht. Allerdings erlaubt § 58 Abs. 3 Nr. 3 Var. 2 BDSG den Verzicht auf eine Datenlöschung zugunsten einer bloßen Verarbeitungsbeschränkung auch für Fälle, in denen eine Datenlöschung wegen der besonderen Art der Speicherung nur mit unverhältnismäßigem Aufwand möglich ist. Unabhängig davon, unter welchen Bedingungen dieser Fall bei der Sicherung von Daten im Rahmen der Durchsicht in der Praxis eigentlich auftreten soll, erscheint diese Ausnahme nicht angemessen. Die Löschung von potentiell umfangreichen und sensiblen Datenbeständen, die im Rahmen eines Strafverfahrens gesichert worden sind, sollte 1013

Basar/Hie´ramente, NStZ 2018, 681 (684) mit weiteren Nachweisen; siehe auch Heinson, IT-Forensik, 2015, S. 220 f. 1014 Basar/Hie´ramente, NStZ 2018, 681 (684 f.); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 333.

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

299

nicht unter dem vagen Vorbehalt eines unverhältnismäßigen bzw. noch verhältnismäßigen Aufwands stehen.1015 Das würde der Bedeutung der Grundrechte des Betroffenen nicht gerecht, insbesondere nicht im Kontext des ITGrundrechts, welches gerade zur Eindämmung der Gefahren durch Ausforschung ganzer informationstechnischer Systeme geschaffen wurde. Zusammengefasst: Für einen angemessenen Schutz des Beschuldigten, aber auch Drittbetroffener in einem Strafverfahren, erscheinen die Regelungen aus §§ 75 Abs. 2, Abs. 3, 58 Abs. 2, Abs. 3 BDSG nicht streng genug. Damit ist eine dem BDSG vorrangige Regelung zur Löschung von Daten, die bei der Durchsicht gemäß § 110 Abs. 3 S. 3 StPO gesichert wurden, zu schaffen. Der Vorrang einer solchen Regelung ergäbe sich aus § 500 Abs. 2 Nr. 1 StPO. Zusätzlich dazu bestimmt § 161 Abs. 2 StPO, dass ausdrücklich in der StPO geregelte Löschpflichen nicht durch Anwendung des § 58 Abs. 3 BDSG unterlaufen werden dürfen. Wenn in der StPO also die Löschung von Daten angeordnet wird, darf diese Löschung nicht durch eine Einschränkung der Verarbeitung der Daten ersetzt werden. Eine besondere gesetzliche Löschpflicht im Zusammenhang mit der Durchsicht nach § 110 Abs. 3 StPO würde die Ausnahmen des § 58 Abs. 3 BDSG also sperren. Angelehnt werden könnte eine solche besondere gesetzliche Regelung an die Löschpflicht, die § 101 Abs. 8 S. 1 StPO für solche Daten statuiert, die durch die in § 101 Abs. 1 StPO aufgezählten verdeckten Maßnahmen erlangt worden sind. Danach sind durch diese Maßnahmen erlangte personenbezogene Daten zu löschen, wenn sie zur Strafverfolgung und für eine etwaige gerichtliche Überprüfung der Maßnahme nicht mehr erforderlich sind. Allerdings meint der Passus „zur Strafverfolgung“ hier ähnlich wie in den Ausnahmen zu § 489 Abs. 1 StPO auch die Verfolgung künftiger Straftaten. Damit eröffnet auch § 101 Abs. 1 StPO die Möglichkeit, Daten über die Dauer und Zwecke des Ausgangsverfahrens hinaus zu speichern, um sie in auch nur möglicherweise kommenden, künftigen Strafverfahren verwenden zu können. Die Voraussetzungen des § 101 Abs. 8 S. 1 StPO müssen positiv feststehen, damit die Löschpflicht ausgelöst wird. Bestehen noch Zweifel daran, ob die Daten zur Strafverfolgung benötigt werden, unterbleibt die Löschung.1016 Das ist eine Datenspeicherung auf Vorrat. Die Regelung des § 101 Abs. 8 S. 1 StPO ist damit ebenso wie § 489 Abs. 1 Nr. 1, 2 StPO i. V. m. § 484 Abs. 2 S. 1 StPO ungeeignet, um dem Eingriffspotential, welches durch das massenhafte Sichern von Daten auf Grundlage des § 110 Abs. 3 S. 3 StPO geschaffen wird, effektiv zu begegnen.

1015 Deshalb kritisch und mit Hinweisen auf einen diesbezüglichen Verstoß gegen Europarecht BeckOK-Datenschutzrecht/Worms, § 58 BDSG Rn. 48 f. 1016 KMR/Bär, § 101 Rn. 38; MüKo-StPO/Günther, § 101 Rn. 95.

300

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Letztlich sollte die Durchsicht nach § 110 Abs. 3 StPO mit einer eigenständigen gesetzlichen Pflicht zur Datenlöschung flankiert werden, die den Grundsätzen entspricht, die bereits jetzt in Rechtsprechung und Literatur für die Löschung überschüssiger Daten vertreten werden.1017 Das Gesetz sollte regeln, dass Daten, die im Wege der Mitnahme zur Durchsicht kopiert wurden, unverzüglich zu löschen sind, sobald sie nicht mehr zu Zwecken des konkreten, anlassgebenden Strafverfahrens durchgesehen und ausgewertet werden müssen und auch nicht mehr zum Zwecke der Erhaltung des Beweiswerts des gesamten Datensatzes vorrätig gehalten werden müssen.1018 Sofern die Daten noch zur Erhaltung des Beweiswerts vorrätig gehalten werden müssen, ist ihre Verarbeitung insofern einzuschränken, als ihre Verwendung für verfahrensfremde Zwecke gerichtlich untersagt werden muss (ähnlich der Regelung aus § 58 Abs. 3 Nr. 2 BDSG).1019 Die einzige Ausnahme davon sollte die bestehende Regelung des § 108 Abs. 1 StPO zu Zufallsfunden bilden: Nur unter jenen Voraussetzungen sollte es zulässig sein, gesichtete Daten auch noch über die Zwecke des anlassgebenden Strafverfahrens hinaus aufzubewahren.1020 8. Einschränkung des § 108 Abs. 1 S. 1 StPO? § 108 Abs. 1 S. 1 StPO ermächtigt zur Sicherstellung von Zufallsfunden. Es wurde in dieser Arbeit bereits dargelegt, dass diese Regelung in Verbindung mit der Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO sehr häufig zum Zuge kommen kann. In einem informationstechnischen System können massenweise Daten über den Beschuldigten sowie auch über beliebig viele Dritte gespeichert sein. Diese Daten betreffen potentiell sämtliche Lebensbereiche, sodass angenommen werden kann, dass in fast allen oder zumindest sehr vielen Fällen irgendeine Datei, ein Bild, eine E-Mail gefunden werden kann, die auf die Begehung einer Straftat hindeutet.1021 Da die Durchsicht informationstechnischer Systeme somit typischerweise zu strafrechtsrelevanten Funden führen kann, wird vereinzelt in Frage gestellt, ob es sich bei diesen Funden überhaupt noch um zufällige Funde, also 1017

Dafür auch Heinson, IT-Forensik, 2015, S. 222. Im ursprünglichen Gesetzentwurf der Bundesregierung zu § 110 Abs. 3 StPO a. F. (2008) war eine ähnliche Löschpflicht für § 110 Abs. 3 S. 2 Hs. 2 StPO-E vorgesehen worden, BT-Drs. 16/5846, S. 15. Dieser Entwurf ist aber nicht Gesetz geworden, die Klausel zur Löschpflicht wurde nach Beratung im Rechtsausschuss gestrichen, eine bestehende Pflicht zur Datenlöschung aber gleichwohl anerkannt, BT-Drs. 16/6979, S. 19, 45. 1019 Basar/Hie´ramente, NStZ 2018, 681 (685 ff.) 1020 Zu § 108 Abs. 1 StPO oben Kap. 2 B.VIII; zu möglichen Einschränkungen de lege ferenda sogleich unten. 1021 Zum Ganzen schon oben Kap. 2 B.VIII. 1018

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

301

um Zufallsfunde im Sinne des § 108 Abs. 1 S. 1 StPO handeln kann. Insbesondere wird vorgebracht, dass bei der Auswertung von Daten mittels forensischer Software, zum Beispiel im Wege des automatisierten Data Mining, Informationen aus einem Datensatz zutage gefördert werden, die einem menschlichen Betrachter bei einer gewöhnlichen Durchsicht verborgen geblieben wären.1022 Umgekehrt ist aber auch denkbar, dass gerade der Einsatz forensischer Software die Gefahr von Zufallsfunden mindern kann: Wenn die Auswertung der Daten durch Suchbegriffe oder andere Maßnahmen auf den anlassgebenden Tatvorwurf eingeschränkt werden kann, müssen die Ermittler keine für das Ausgangsverfahren irrelevante Dateien von Hand sichten, sondern bekommen nur die Ergebnisse geliefert, die für das Ausgangsverfahren relevant sind. Ob und wie erfolgreich diese Einschränkung der Datenauswertung ist, ist freilich eine Frage des Einzelfalls. Der Einsatz forensischer Software erhöht die Wahrscheinlichkeit von Zufallsfunden aber jedenfalls nicht per se. Das grundsätzliche Problem, dass eine Durchsicht informationstechnischer Systeme die Wahrscheinlichkeit von Zufallsfunden gegenüber herkömmlichen Durchsuchungsmaßnahmen drastisch erhöht, hat auch das BVerfG erkannt. Das Gericht verweist für Fälle schwerwiegender, bewusster oder willkürlicher Verfahrensverstöße, bei denen denen die Beschränkung auf den Ermittlungszweck der Datenträgerbeschlagnahme planmäßig oder systematisch außer Acht gelassen wird, auf die Annahme eines Beweisverwertungsverbots.1023 Die Eingrenzung der Wirkung des § 108 Abs. 1 S. 1 StPO ist damit auf Ebene der Beweisverwertung und damit auch nach Maßstäben einer Verhältnismäßigkeitsprüfung im Einzelfall zu erreichen. Die Einführung einer tatbestandlichen Einschränkung des § 108 Abs. 1 S. 1 StPO pauschal für alle Fälle der Durchsicht informationstechnischer Systeme empfiehlt sich dagegen nicht.1024

XI. Zusammenfassung der wichtigsten Ergebnisse zu § 110 Abs. 3 S. 1 StPO § 110 Abs. 3 S. 1 StPO als Rechtsgrundlage für die Durchsicht informationstechnischer Systeme ermächtigt die Strafverfolgungsbehörden zu intensiven Eingriffen in Grundrechte. Nach hier vertretener Ansicht greift die Durchsicht informationstechnischer Systeme vor allem in das IT-Grundrecht ein.1025 1022

Heinson, IT-Forensik, 2015, S. 239. BVerfGE 113, 29 (60 f.). Es dürfte in der Praxis allerdings schwierig sein, ein solches missbräuchliches Ermittlungsverhalten nachzuweisen. 1024 A. A. Heinson, IT-Forensik, 2015, S. 244, der die Anwendung des § 108 StPO auf Durchsuchungsmaßnahmen im körperlichen Raum beschränken und damit die Anwendung bei der Durchsicht informationstechnischer Systeme ganz ausschließen will. 1025 Kap. 2 B.III.2. 1023

302

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

Aber auch weitere grundrechtliche Schutzbereiche, wie z. B. die Pressefreiheit und die Rundfunkfreiheit aus Art. 5 Abs. 1 S. 2 GG1026, können ebenso durch die Maßnahme berührt sein. Erfolgt eine auf § 110 Abs. 1, Abs. 3 StPO gestützte Mitnahme zur Durchsicht in Form der Mitnahme von Datenträgern oder des gesamten informationstechnischen Systems, so tritt ein Eingriff in Art. 14 GG hinzu.1027 Die hohe Eingriffsintensität der Durchsicht informationstechnischer Systeme wird vor allem durch den Umfang der erhobenen Daten geprägt.1028 Insbesondere bei der häufig praktizierten Komplettsicherung des Datensatzes im Wege der Mitnahme zur Durchsicht kann die Menge der erhobenen Daten enorm sein. Eine effektive, zuverlässige Ausfilterung verfahrensirrelevanter Daten vor der Sicherung des Datensatzes zur Durchsicht ist dabei technisch häufig nicht möglich.1029 Die Intensität des Eingriffs wird weiter bestimmt durch die Art und Vielfalt der erhobenen Daten1030, die Dauer der Datensichtung1031 und die potentiell hohe Streubreite der Maßnahme bei Sichtung von Daten mit Bezug zu einer Vielzahl unbeteiligter Dritter1032. Obwohl dem Durchsuchten ein Anwesenheitsrecht bei der Durchsicht des informationstechnischen Systems zusteht, kann er dieses Recht insbesondere in den Fällen der Mitnahme zur Durchsicht nicht effektiv wahrnehmen. Die im Grundsatz als offene Ermittlungsmaßnahme ausgestaltete Durchsicht informationstechnischer Systeme wirkt somit ähnlich einer heimlichen Maßnahme, indem es dem Betroffenen erschwert wird, die Durchführung der Maßnahme auf ihre Rechtmäßigkeit hin zu kontrollieren.1033 Die Durchsicht informationstechnischer Systeme steht in zweifacher Hinsicht in einem potentiellen Konflikt mit der nach Art. 1 Abs. 1 S. 1 GG unantastbaren Menschenwürde. Zum einen kann bei der Durchsicht kaum vermieden werden, dass auch Daten erfasst werden, die dem absoluten Kernbereich privater Lebensgestaltung unterfallen.1034 Zum anderen ist die Durchsicht eines informationstechnischen Systems faktisch geeignet, unzulässigerweise ein Persönlichkeitsprofil des Betroffenen zu erzeugen.1035 Bei einer kompletten Durchsicht eines informationstechnischen Systems wird es häufig zu Zufallsfunden im Sinne des § 108 Abs. 1 StPO kommen. Es

1026

Kap. 2 B.III.6. Kap. 2 B.III.5. 1028 Kap. 2 B.IV. 4.a). 1029 Kap. 2 B.II.2.a). 1030 Kap. 2 B.IV. 4.b) 1031 Kap. 2 B.IV. 4.c). 1032 Kap. 2 B.IV. 4.e). 1033 Kap. 2 B.II.3.; s. auch Kap. 2 B.IV. 4.d). 1034 Kap. 2 B.V. 1035 Kap. 2 B.VI. 1027

B. Durchsicht gemäß § 110 Abs. 3 S. 1 StPO

303

besteht die Gefahr, dass die Durchsicht zu einer unzulässigen systematischen Suche nach Zufallsfunden (fishing expedition) gerät.1036 In ihrer Eingriffsintensität kann die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO einer Online-Durchsuchung gemäß § 100b Abs. 1 StPO gleichkommen oder zumindest nahekommen. Im Gegensatz zu § 100b StPO enthält § 110 Abs. 3 S. 1 StPO aber keine besonderen Regelungen bzw. Tatbestandsvoraussetzungen, um diese tiefgreifenden Grundrechtseingriffe einzuhegen und zu begrenzen. § 110 Abs. 3 S. 1 StPO ist in dieser Hinsicht refombedürftig.1037 Für die Durchsicht informationstechnischer Systeme sollte ein begrenzender Anlasstatenkatalog geschaffen werden. Die Durchsicht informationstechnischer Systeme sollte de lege ferenda nur zur Aufklärung von Straftaten zulässig sein, die im Einzelfall erhebliche Bedeutung aufweisen (insbesondere in § 100a Abs. 2 StPO bezeichnete Straftaten) oder bei denen im Einzelfall bestimmte Tatsachen den Verdacht begründen, dass sie mittels des zu durchsuchenden informationstechnischen Systems begangen wurden.1038 Die erhöhten Durchsuchungsvoraussetzungen des § 103 Abs. 1 S. 1 StPO, die de lege lata nur für Durchsuchungen bei unverdächtigen Personen gelten, sind de lege ferenda auf die Durchsicht informationstechnischer Systeme auch des Beschuldigten zu übertragen.1039 Die Durchsicht informationstechnischer Systeme sollte de lege ferenda unter dem Vorbehalt einer ausdrücklichen Subsidiaritätsklausel stehen, nach der die Durchsicht des Systems nur zulässig ist, wenn die Erforschung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos wäre.1040 Die häufig praktizierte Mitnahme zur Durchsicht sollte de lege ferenda explizit gesetzlich geregelt und durch tatbestandliche Voraussetzungen begrenzt werden.1041 Ermittler dürfen auf Grundlage einer Annexkompetenz zu § 110 Abs. 3 S. 1 StPO zwar Software verwenden, um Passwörter und Verschlüsselungen auf dem durchzusehenden System zu knacken; dies allerdings nur, soweit es die Integrität des Systems nicht beeinträchtigt. Insbesondere die Installation von forensischer Software auf dem durchzusehenden informationstechnischen System kann folglich de lege lata nicht auf § 110 Abs. 3 S. 1 StPO ge-

1036

Kap. 2 B.VIII. Kap. 2 B.X.1. 1038 Kap. 2 B.X.1.a). 1039 Kap. 2 B.X.1.b). 1040 Kap. 2 B.X.1.c). 1041 Kap. 2 B.X.3.d). 1037

304

Kapitel 2: Die Durchsicht lokaler informationstechnischer Systeme

stützt werden.1042 Diese Vorgehensweise bedarf de lege ferenda einer eigenen gesetzlichen Grundlage.1043 Auch wenn aus der Rechtsprechung des BVerfG keine unmittelbare verfassungsrechtliche Pflicht des Gesetzgebers zum Erlass eines Kernbereichsschutzkonzepts für die Durchsicht informationstechnischer Systeme ableitbar ist,1044 erscheinen explizite Regelungen zum Schutz des unantastbaren Kernbereichs privater Lebensgestaltung de lege ferenda sinnvoll. Angelehnt werden sollten sie an die Regelungen, die § 100d Abs. 1 bis Abs. 3 StPO unter anderem für Online-Durchsuchungen im Sinne des § 100b StPO trifft.1045 In der Zwischenzeit, also bis zu einer expliziten Übernahme der Regelungen aus § 100d Abs. 1 bis Abs. 3 StPO de lege ferenda, sind diese Regelungen von Verfassungs wegen bereits de lege lata entsprechend auf die Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 StPO anzuwenden.1046 Es ist anerkannt, dass bei der Durchsicht kopierte Daten (§ 110 Abs. 3 S. 3 StPO), die nicht nach § 94 ff. StPO sichergestellt werden sollen und die nicht mehr für das konkrete Strafverfahren benötigt werden, gelöscht werden müssen. Eine ausdrückliche gesetzliche Regelung dieser Löschpflicht existiert allerdings nicht. Sie sollte de lege ferenda geschaffen werden.1047

1042

Kap. 2 B.VII.2.b). Kap. 2 B.X.6. 1044 Kap. 2 B.V. 4. 1045 Kap. 2 B.X.4. 1046 Kap. 2 B.V. 5. 1047 Kap. 2 B.X.7. 1043

Kapitel 3

Die Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO Nachdem in Kapitel 2 dieser Arbeit die Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO begutachtet wurde, soll nun in Kapitel 3 die Durchsicht externer informationstechnischer Systeme1 gemäß § 110 Abs. 3 S. 2 StPO, kurz Netzwerkdurchsicht, in den Blick genommen werden. Die folgende Untersuchung baut dabei auf den im vorigen Abschnitt gewonnenen Erkenntnissen zur Durchsicht (lokaler) informationstechnischer Systeme auf. Die dort ermittelten Ergebnisse bilden somit den allgemeinen Teil zur folgenden Untersuchung. Sie gelten grundsätzlich auch für den Spezialfall der Netzwerkdurchsicht. So greift zum Beispiel auch die Netzwerkdurchsicht grundsätzlich in das IT-Grundrecht2 ein, wie im Folgenden (Kap. 3 A.I.) noch ausgeführt werden soll. Auch stellen sich bei der Netzwerkdurchsicht die gleichen Fragen zum zulässigen Umfang der Sicherung von Daten3, zur Verhältnismäßigkeit von Durchsichten generell4, zum Schutz des Kernbereichs der privaten Lebensgestaltung5 oder zum rechtlichen Umgang mit Verschlüsselungen6, um nur einige Beispiele zu nennen. Die hier für die lokale Durchsicht informationstechnischer Systeme erarbeiteten Reformvorschläge7 gelten daher grundsätzlich ebenso für die Netzwerkdurchsicht. Auf manche Fragen, die im Zusammenhang mit der lokalen Durchsicht aufgeworfen wurden, sind für die Netzwerkdurchsicht aber abweichende, besondere Antworten zu geben. Darum soll es im Folgenden gehen. Dazu soll zunächst der Anwendungsbereich des § 110 Abs. 3 S. 2 StPO besprochen werden (Kap. 3 A.). Im Rahmen dieser Besprechung wird auf verfassungsrechtliche Besonderheiten eingegangen, zum Beispiel bei der Frage, in welches Grundrecht der Zugriff auf ein E-Mail-Konto über § 110 Abs. 3 S. 2 1 Zum Begriff des informationstechnischen Systems im Zusammenhang mit § 110 Abs. 3 S. 2 StPO s. unten Kap. 3 A.I. 2 Kap. 2 B.III.2. 3 Kap. 2 B.II.2. 4 Kap. 2 B.IV. 5 Kap. 2 B.V. 6 Kap. 2 B.VII.2. 7 Kap. 2 B.X.

306

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

StPO eingreift, insbesondere ob das nach hier vertretener Auffassung grundsätzlich einschlägige IT-Grundrecht vom Fernmeldegeheimnis aus Art. 10 GG verdrängt wird (Kap. 3 A.I.3.b)). Ein weiterer Schwerpunkt wird der Frage gewidmet, ob transnationale Datenzugriffe auf Grundlage des § 110 Abs. 3 S. 2 StPO zulässig sind (Kap. 3 A.V.). Anschließend werden weitere Besonderheiten der Netzwerkdurchsicht gegenüber der lokalen Durchsicht besprochen (Kap. 3 B.). Ein Schwerpunkt soll dann auf die durch die Netzwerkdurchsicht potentiell berührten (Grund-)Rechte Dritter gelegt werden (Kap. 3 C.). Abschließend werden aus den bei der Untersuchung gewonnen Erkenntnissen Vorschläge zur Reform des § 110 Abs. 3 S. 2 StPO abgeleitet (Kap. 3 D.).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO Zum Anwendungsbereich8 und zur systematischen Einordnung9 der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO sowie zum dort verwendeten Begriff des „Speichermediums“10 wurde in dieser Arbeit bereits einiges gesagt. Die Norm ist aber auch darüber hinaus auslegungsbedürftig. § 110 StPO: Durchsicht von Papieren und elektronischen Speichermedien […] (3) Nach Maßgabe der Absätze 1 und 2 ist auch die Durchsicht von elektronischen Speichermedien bei dem von der Durchsuchung Betroffenen zulässig. Diese Durchsicht darf auch auf hiervon räumlich getrennte Speichermedien erstreckt werden, soweit auf sie von dem Speichermedium aus zugegriffen werden kann, wenn andernfalls der Verlust der gesuchten Daten zu befürchten ist. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gesichert werden.

Es ist genauer darauf einzugehen, welche „Speichermedien“ von § 110 Abs. 3 S. 2 StPO erfasst werden (Kap. 3 A.I.), dabei sind verschiedene Typen von Speicherplatz im Internet wie insbesondere Cloud Computing, aber auch E-Mail-Konten oder Profilseiten auf sozialen Netzwerken in den Blick zu nehmen. Es ist ferner zu klären, wann die Voraussetzung der Möglichkeit des Datenzugriffs („soweit auf sie von dem Speichermedium aus zugegriffen werden kann“) vorliegt (Kap. 3 A.II.) und unter welchen Voraussetzungen von einer Besorgnis des Datenverlustes („wenn andernfalls der Verlust der gesuchten Daten zu befürchten ist“) ausgegangen werden kann (Kap. 3 A.III.). Ferner sind die zeitlichen Grenzen der Ermittlungsmaßnahme abzustecken, es ist also zu diskutieren, ob die Verbindung des lokalen Systems zum externen Speichersystem zu einer längerfristigen Überwachung der Datenströme 8

Einl. C; Einl. D.I.3, 4. Einl. D.I.3,4; Kap. 1. 10 Einl. D.III.3. 9

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

307

genutzt werden darf (Kap. 3 A.IV.). Zuletzt müssen die territorialen Grenzen des Anwendungsbereichs des § 110 Abs. 3 S. 2 StPO geklärt werden, d. h. es muss diskutiert werden, ob § 110 Abs. 3 S. 2 StPO transnationale Datenzugriffe zulässt (Kap. 3 A.V.). Die Befugnis zur Netzwerkdurchsicht wurde 2008 anlässlich des Art. 19 Abs. 2 des Übereinkommens über Computerkriminalität des Europarats („Convention on Cybercrime“, „Cybercrime Convention“)11 in § 110 Abs. 3 StPO a. F. geschaffen.12 Die Convention on Cybercrime ist daher zur Auslegung der Norm auch in ihrer heutigen, im Wesentlichen unveränderten Gestalt des § 110 Abs. 3 S. 2 StPO heranzuziehen. Bei Klärung des Anwendungsbereichs des § 110 Abs. 3 S. 2 StPO sollen auch die Bezüge zum Verfassungsrecht dargestellt werden. Insbesondere soll ermittelt werden, welche (verfassungsrechtlichen) Besonderheiten die Netzwerkdurchsicht gegenüber der Durchsicht lokaler informationstechnischen Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO aufweist.

I. Ausgangspunkte und Zielobjekte der Durchsicht: „Speichermedien“ / „Computersysteme“ / Informationstechnische Systeme § 110 Abs. 3 S. 2 StPO ermächtigt zum Zugriff auf „räumlich getrennte Speichermedien“. Dieser Begriff beschreibt damit einerseits das Zielobjekt der Ermittlungshandlung. Andererseits setzt § 110 Abs. 3 S. 2 StPO voraus, dass der Zugriff auf das räumlich getrennte Speichermedium seinerseits von einem elektronischen Speichermedium aus erfolgt. Der Begriff des Speichermediums ist damit zentral für die Auslegung der Norm und für ihren Anwendungsbereich. Der Wortlaut der Norm trifft allerdings keine weitere Bestimmung darüber, wie das Speichermedium in technischer und funktionaler Hinsicht beschaffen sein muss, sein darf oder sein kann. In der Einleitung zu dieser Arbeit wurde bereits festgestellt, dass der Begriff „Speichermedium“ in § 110 Abs. 3 S. 2 StPO sinnvollerweise ein „Computersystem“ im Sinne der Art. 1 lit. a), 19 Abs. 2 der Convention on Cybercrime meint.13 Danach ist ein Computersystem „eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms automatische Datenverarbeitung durchführen“. Unter diese Definition fällt zum Beispiel keine Festplatte oder SD-Karte, denn beides sind zwar Speichermedien, sie führen aber nicht eigenständig automatische Datenverarbeitun-

11

In deutscher Übersetzung abrufbar unter http://conventions.coe.int/Treaty/GER/T reaties/Html/185.htm [zuletzt abgerufen am 04.11.2021]. 12 Dazu bereits oben Einl. C. 13 BT-Drs. 16/5846, S. 27, 63; ausführlich zum Ganzen auch schon oben Einl. C.

308

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

gen durch. Sie können vielmehr nur Teil eines Computersystems sein, welches dann – unter Zuhilfenahme dieser Speichermedien – automatische Datenverarbeitungen durchführt. Auch der bezweckte Anwendungsbereich des Art. 19 Abs. 2 der Convention on Cybercrime wie auch derjenige der Umsetzung in § 110 Abs. 3 S. 2 StPO zeigt, dass es sich bei „räumlich getrennten Speichermedien“ in technischer Hinsicht um Computersysteme handeln muss. Denn es braucht ein Computersystem, um die Verbindung zu einem anderen Computersystem herzustellen, wie es von § 110 Abs. 3 S. 2 StPO vorausgesetzt wird. Eine ausgebaute, auf dem Schreibtisch liegende Festplatte ist zwar ein Speichermedium, kann aber ohne Einbindung in ein Computersystem weder als „räumlich getrenntes Speichermedium“ angesteuert werden noch als Mittel zur Ansteuerung eines solches räumlich getrennten Speichermediums verwendet werden. Erst wenn die Festplatte in ein Computersystem eingebunden ist und dieses Computersystem mit einem Netzwerk verbunden ist, kann über § 110 Abs. 3 S. 2 StPO auf die Inhalte dieser Festplatte zugegriffen werden, aber eben nur vermittelt durch das sie umgebende Computersystem. Sowohl das Ausgangsmedium als auch das Ziel des Fernzugriffs müssen folglich Computersysteme sein. Die in einem räumlich getrennten Computersystem verbauten Speichermedien werden sodann als Teile des Computersystems angesteuert.14 Für die rechtliche Behandlung macht die technische Einordnung des Speichermediums aber grundsätzlich keinen Unterschied: Die auf der Festplatte gespeicherten Daten sind im Sinne des § 110 Abs. 3 S. 2 StPO Daten des räumlich getrennten Computersystems und damit zulässigerweise im Rahmen einer Netzwerkdurchsicht einsehbar.15 Gleiches gilt für andere einlegbare und einsteckbare Speichermedien, wie zum Beispiel USB-Sticks, DVDs und SD-Karten. Auch auf ihre Inhalte darf, vermittelt über das Computersystem, zugegriffen werden.16 Insoweit besteht kein Unterschied zur Durch14

Braun, PStR 2012, 86 (87); Brodowski/Eisenmenger, ZD 2014, 119 (122); HKStPO/Gercke, § 110 Rn. 18; Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 85; Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 53; Schlegel, HRRS 2008, 23 (27). 15 Vgl. Braun, PStR 2012, 86 (87). 16 Anders aber Burhoff, EV, Rn. 1743 der DVDs, USB-Speichersticks und Festplatten pauschal aus dem Anwendungsbereich des § 110 Abs. 3 (S. 2) StPO ausschließen will, weil diese „körperlich greifbar“ seien und damit § 110 Abs. 1 StPO (a. F., heute § 110 Abs. 3 S. 1 StPO) unterfielen. Dieses Argument verfängt allerdings nicht, da die „körperliche Greifbarkeit“ auch bei einem räumlich getrennten Speichermedium grundsätzlich gegeben ist und ohnehin alle elektronisch gespeicherten Daten auf einem körperlich greifbaren Trägermedium gespeichert sein müssen. Dass die Speichermedien potentiell körperlich greifbar sind, kann daher die Anwendung des § 110 Abs. 3 S. 2 StPO nicht ausschließen. Es ist gerade Zweck des § 110 Abs. 3 S. 2 StPO, im Grundsatz körperlich greifbare, aber zum Zeitpunkt der Ermittlungen räumlich getrennte Medien anzusteuern. Davon erfasst sind

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

309

sicht eines lokalen informationstechnischen Systems bzw. Computersystems auf Grundlage des § 110 Abs. 3 S. 1 StPO. Auch hier wird im Ausgangspunkt ein Computersystem durchgesehen, der Zugriff zielt aber auf die Daten ab, die auf den im Computersystem eingebauten Festplatten gespeichert sind. Mit anderen Worten: Wer über § 110 Abs. 3 S. 2 StPO eine Festplatte sichten will, der muss ausgehend von einem Computersystem zunächst auf ein anderes Computersystem zugreifen; wer auf ein Computersystem zugreifen will um Daten zu sichten, der wird zwangsläufig auf die im räumlich getrennten Computersystem eingebauten oder eingesteckten Speichermedien Zugriff nehmen. Anders kann auf die Daten gar nicht zugegriffen werden. Das tatsächliche Ermittlungsgeschehen lässt sich damit wie folgt beschreiben: Im Rahmen einer Durchsuchung wird ein Computer (Computersystem) des Beschuldigten aufgefunden. Diesen bedienen die Ermittler und sichten ihn gegebenenfalls auf Grundlage des § 110 Abs. 3 S. 1 StPO. Die dabei eingesehenen Daten sind auf Festplatten und anderen „Speichermedien“ des Computersystems gespeichert, die Teile eben dieses Systems sind. Dann erkennen die Ermittler, dass der Beschuldigte auch ein räumlich getrenntes Speichermedium (Computersystem), zum Beispiel vermittelt durch das Internet, zur Datenspeicherung verwendet. Die Ermittler nutzen diese Verbindung und greifen unter Bedienung des lokalen Computers (Computersystem) auf das externe Computersystem gemäß § 110 Abs. 3 S. 2 StPO zu. Die Daten, die sie dabei sichten, sind auf Festplatten, d. h. „Speichermedien“ des externen Computersystems gespeichert. Das Ansteuern dieser Festplatten ist aber nur vermittelt durch das externe Computersystem möglich, denn eine ausgebaute Festplatte als solche hätte diese technische Verbindung zum lokalen Computer (Computersystem) in den Räumlichkeiten des durchsuchten Beschuldigten nicht. Der Begriff des Computersystems weist erhebliche Überschneidungen mit dem verfassungsrechtlichen Begriff des informationstechnischen Systems auf.17 Grundsätzlich ist jedes Computersystem, das in technischer und rechtlicher Hinsicht über § 110 Abs. 3 S. 2 StPO angesteuert werden kann, bereits dadurch komplex genug, um potentiell große, vielfältige und insbesondere vernetzte Bestände personenbezogener Daten zu speichern und ist damit geeignet um einen „Einblick in wesentliche Teile der Lebensgestaltung einer Person“ und ein „aussagekräftiges Bild der Persönlichkeit“ zu liefern.18 Im Regelfall ist also das externe Computersystem, auf das über § 110 Abs. 3 S. 2 aber neben dem Computersystem als Ganzem auch seine einzelnen Bestandteile wie Festplatten, auch die temporären Bestandteile wie USB-Sticks und DVDs. Ein Ausschluss dieser Bestandteile widerspräche dem Zweck der Norm. 17 Dazu schon oben Einl. D.III.3. 18 BVerfGE 120, 274 (314); zum verfassungsrechtlichen Begriff des informationstechnischen Systems bereits ausführlich oben Kap. 2 B.III.2.b)aa).

310

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

StPO zugegriffen wird, ein informationstechnisches System im Sinne des ITGrundrechts. Für das Ausgangssystem, von dem aus auf das externe System zugegriffen wird, gilt das gleiche. In der Praxis wird es sich hierbei zumeist um PCs (ggf. auch Internet-Server), Laptops und Smartphones bzw. um den Speicherplatz handeln, den diese Geräte durch Vernetzung bieten. Im Ergebnis bedeutet das, dass ein Zugriff nach § 110 Abs. 3 S. 2 StPO ebenso wie die lokale Durchsicht eines informationstechnischen Systems in aller Regel einen Eingriff in das IT-Grundrecht bewirkt,19 und das anhand zweier Systeme: Ausgangssystem einerseits und räumlich getrenntes, externes System andererseits. Es ist also nicht nur der Zugriff auf das räumlich getrennte System ein Eingriff in das IT-Grundrecht, sondern zuvor bereits der Zugriff auf das lokale Ausgangssystem, mit dem das räumlich getrennte System angesteuert wird. Das alles gilt jedenfalls auf der Grundlage der hier vertretenen Auffassung, nach der ein Eingriff in das IT-Grundrecht auch bei einem offenen, nicht durch Spionagesoftware vermittelten Zugriff auf das System vorliegt.20 Deswegen wird in dieser Arbeit die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO auch „Durchsicht eines externen informationstechnischen Systems“ genannt. Es ist allerdings nur ein Grundsatz, dass die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO in das IT-Grundrecht eingreift. Abweichungen können sich in mehrerer Hinsicht ergeben. Zum einen ist denkbar, dass es doch Fälle gibt, in denen das externe Zielsystem zwar ein Computersystem im Sinne des Art. 19 Abs. 2 der Convention on Cybercrime ist, aber gleichzeitig kein informationstechnisches System im Sinne des IT-Grundrechts. Zum anderen lässt sich je nach Funktions- und Nutzungsweise des Zielsystems in Frage stellen, ob der personelle Schutzbereich des IT-Grundrechts eröffnet ist, denn dieser setzt voraus, dass der Betroffene das informationstechnische System „als eigenes“21 nutzt. Nicht zuletzt kann in manchen Fällen der Schutzbereich des IT-Grundrechts zwar eröffnet sein, durch den Schutzbereich eines spezielleren, vorrangigen Grundrechts aber verdrängt werden. Angesprochen ist damit der Zugriff auf E-Mail-Konten, der über § 110 Abs. 3 S. 2 StPO zulässig sein könnte, dabei aber am Fernmeldegeheimnis aus Art. 10 GG zu messen wäre.22

19 Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 24 f.); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 167. 20 Dazu ausführlich oben Kap. 2 B.III.2.c), d) und h). 21 Dazu ausführlich oben Kap. 2 B.III.2.b)aa). 22 Dazu ausführlich unten Kap. 3 A.I.3. Zur z. B. von Brodowski/Eisenmenger, ZD 2014, 119 (121 f.) vertretenen Ansicht, die Durchsicht externer informationstechnischer Systeme greife immer in das Fernmeldegeheimnis aus Art. 10 GG ein und verdränge damit das IT-Grundrecht s. ebenso unten 1. und 2.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

311

Im Folgenden sollen daher verschiedene Typen von „Speichermedien“ bzw. Computersystemen vorgestellt werden, die für einen Zugriff auf Grundlage des § 110 Abs. 3 S. 2 StPO in Betracht kommen. Die Aufstellung der Typen erhebt keinen Anspruch auf Vollständigkeit und ist nur exemplarisch. Hierbei soll jeweils in einem ersten Schritt erörtert werden, ob der jeweilige Typ des Computersystems überhaupt in den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO fällt. In einem zweiten Schritt wird geprüft, an welchem grundrechtlichen Maßstab der Zugriff auf den jeweiligen Typ des Computersystems zu messen ist. 1. Webspace, Filehosting, Server: Der Grundfall von Speicherplatz im Netz Bevor auf besondere Typen von externen Speichermedien eingegangen werden soll, soll der Grundfall von Speicherplätzen im Netz, also insbesondere im Internet, behandelt werden. Über das Internet ist es möglich, von einem lokalen informationstechnischen System aus einen externen Speicherplatz zu nutzen, also einen Speicherplatz, der auf einem anderen System als dem lokalen informationstechnischen System liegt. Dieses externe informationstechnische System kann dabei als „Server“ oder genauer „Dateiserver“/“Fileserver“ bezeichnet werden.23 Der Server ist dabei grundsätzlich dauerhaft mit dem Internet verbunden, sodass die auf ihm gespeicherten Daten jederzeit abgerufen werden können. Die Nutzung eines solchen Dateiservers kann als (kommerzielle) Dienstleistung erfolgen, aber ebenso im Rahmen rein privater, nicht-kommerzieller Verhältnisse. Kommerzielle Anbieter von Speicherplatz im Netz – die nicht zwingend deckungsgleich mit Anbietern von Cloud Computing im engeren Sinne sind24 – gibt es ebenso viele wie Varianten des angebotenen Speicherplatzes. Zum einen wird sogenannter „Webspace“ angeboten, den der Kunde zum Aufbau einer eigenen Internetpräsenz nutzen kann, aber nicht muss: Der Webspace kann vom Kunden auch als bloßer Ablageort für Dateien genutzt werden, ohne dass die Inhalte einem Publikum über eine frei zugängliche Internetseite präsentiert werden. Geht es spezifisch darum, nur Dateien abzulegen und zu verwalten und eventuell mit ausgewählten Personen zu teilen, spricht man vom „Filehosting“.25 Daneben sind viele weitere Varianten und Nutzungsarten von Servern denkbar, zum Beispiel auch Server, die spezifisch dazu bereitgestellt sind, einen bestimmten kommerziellen Dienst durch Dateiverwaltung zu unterstützen. Zu nennen sind hier zum Beispiel die Server von Sprachassistenten wie Amazons Alexa, Googles Home, Microsofts Cortana 23

S. Fischer/Hofer, Lexikon der Informatik, Stichwort „Server“, S. 805 f. Zum Cloud Computing unten Kap. 3 A.I.2. 25 https://en.wikipedia.org/wiki/File hosting service [zuletzt abgerufen am 04.11.2021]. 24

312

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

oder Apples Siri, auf die vom Nutzer gesprochene Eingaben als Sounddateien übertragen und dort dann gespeichert werden.26 Der Betrieb eines Dateiservers und damit die Bereitstellung von Speicherplatz im Netz ist aber auch außerhalb geschäftlicher Dienstleistungen möglich. So kann jeder Private für sich oder einen ausgesuchten Personenkreis einen Server ans Internet anschließen, um darüber eigene oder auch fremde Dateien zu verwalten. Das grundsätzliche Funktionsprinzip unterscheidet sich hier nicht von demjenigen kommerzieller Filehosting-Angebote. Alle diese Formen von Speicherplatz im Netz haben gemeinsam, dass sie Hardware in Form von Speichermedien bereitstellen, auf deren Speicherplatz der Nutzer über das Internet zugreifen kann. Die im Netz befindlichen Daten schweben also nicht etwa im Nichts, sondern sind auf Datenträgern bzw. in Systemen gespeichert, deren Standort sich irgendwo auf der Welt befinden kann. In technischer Hinsicht greift der Nutzer dabei von seinem lokalen informationstechnischen System, also zum Beispiel von seinem PC, Laptop oder Smartphone, auf ein räumlich getrenntes, externes informationstechnisches System, dem Dateiserver, zu, um von dort Daten herunterzuladen oder hochzuladen. Dies ist genau die Konstellation, die § 110 Abs. 3 S. 2 StPO abdeckt. Hat also ein Nutzer Zugriff auf einen solchen Dateiserver, sei es über ein kommerzielles Filehosting-Angebot, sei es im Rahmen eines eigenen oder durch private Bekanntschaften bereitgestellten Servers, so kann innerhalb einer Durchsuchung über § 110 Abs. 3 StPO auf die dort gespeicherten Daten zugegriffen werden.27 Oben (I.) wurde bereits dargelegt, dass der Zugriff auf ein externes informationstechnisches System im Sinne des § 110 Abs. 3 S. 2 StPO im Regelfall einen Eingriff in das IT-Grundrecht bewirkt. Das gilt für den hier behandelten Grundfall des Speicherplatzes im Netz. Jedenfalls in sachlicher Hinsicht sind die Server, die den Speicherplatz über das Internet zur Verfügung stellen, notwendigerweise Systeme mit hinreichender Komplexität, um potentiell vielfältige Datenmengen mit Bezug zur Persönlichkeit des Systemnutzers oder anderer Menschen zu speichern. Die Dateiserver sind damit informationstechnische Systeme im Sinne des IT-Grundrechts.28 Der Schutzbereich wird in sachlicher Hinsicht nicht vom grundsätzlich spezielleren Fernmeldegeheimnis aus Art. 10 GG verdrängt. Diese Verdrängung wurde teils unter Bezugnahme auf den E-Mail-Beschluss des BVerfG29 26

Weiterführend Gless, StV 2018, 671 ff. Bär, ZIS 2011, 53 (54); HK-StPO/Gercke, § 110 Rn. 16; LR/Tsambikakis, § 110 Rn. 8; MüKo-StPO/Hauschild, § 110 Rn. 16; SSW-StPO/Hadamitzky, § 110 Rn. 23. 28 S. auch Redler, Online-Durchsuchung, 2012, S. 106; im Ergebnis auch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 148, der aber vor allem darauf abstellt, dass externe Speicherplätze durch Verbindung mit dem lokalen System zum Teil eines gemeinsamen informationstechnischen Systems werden. 29 BVerfGE 124, 43. 27

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

313

vertreten. Weil das BVerfG in diesem Beschluss E-Mails, die auf dem Server des E-Mail-Providers gespeichert sind und vom Nutzer abgerufen werden können, dem Schutzbereich des Art. 10 GG zugeordnet hatte, wollten manche Autoren dies auch auf andere Speicherplätze im Netz, insbesondere das Cloud-Computing, übertragen wissen.30 Bezogen wurde sich dabei auf die Argumentation des BVerfG, die E-Mails befänden sich im Herrschaftsbereich des Providers und seien damit einer kommunikationsspezifischen Gefährdungslage dahingehend ausgesetzt, dass sie einfacher durch unbefugte Dritte eingesehen werden können. Dies müsse, so die Befürworter der Anwendung des Art. 10 GG, auch für (andere) Speicherplätze im Netz gelten, die ja schließlich auch im Herrschaftsbereich des Providers stünden. Diese Argumentation geht aber aus zwei Gründen fehl. Zum einen ersetzt das Kriterium der spezifische Gefährdungslage nicht die Voraussetzung, dass es sich bei den Daten überhaupt um nach Art. 10 GG geschützte Kommunikationsinhalte, also um eine angestrebte oder laufende Fernkommunikation zwischen mindestens zwei (menschlichen) Teilnehmern handeln muss (wobei es nach Rechtsprechung des BVerfG ausreichen würde, dass ein Teilnehmer lediglich im Vorhinein für einen unbestimmten Personenkreis bereitgestellte Kommunikationsinhalte, z. B. durch Surfen im Netz und Aufruf von Internetseiten, abruft).31 Dass der Webspace/Filehosting-Platz zur Kommunikation benutzt wird, ist aber bei der Nutzung des Speicherplatzs durch eine Person alleine in der Regel nicht der der Fall.32 Im Regelfall ruft der Nutzer hier nicht Inhalte einer anderen Person, sondern seine eigenen bereits hochgeladenen Inhalte ab. Eine soziale, kommunikative Interaktion im Sinne des Art. 10 GG findet bei dieser alleinigen Nutzung nicht statt – vielmehr handelt es sich hier um eine bloße technische Bedienung der Cloud, die gerade kein menschliches Gegenüber erfordert, das auf Eingaben des Nutzers reagieren müsste.33 Zum anderen hat das BVerfG in seinem Urteil zum BKA-Gesetz den Cloud-Speicher wie auch andere externe Server ausdrücklich dem sachlichen Schutzbereich des IT-Grundrechts zugeordnet.34 Eine Verdrängung durch Art. 10 GG findet also nicht statt. Webspace, Filehosting-Plätze und andere Formen des Speicherplatzes im Netz fallen damit in den sachlichen

30

So z. B. Brodowski/Eisenmenger, ZD 2014, 119 (121 f.); Gähler, HRRS 2016, 340 (345 f.); Wicker, Cloud Computing, 2016, S. 308 f. 31 Grözinger, StV 2019, 406 (407 ff.) m. Nachweisen zur Gegenmeinung. Zum Schutzbereich des Art. 10 GG insgesamt siehe oben Kap. 2 B.III.4. 32 Siehe aber zur Konstellation der Nutzung eines Speicherplatzes durch mehrere Personen gemeinsam unten Kap. 3 A.I.3.b) und Kap. 3 C.I.3. 33 Bell, Strafverfolgung und die Cloud, 2019, S. 68 f.; Hie´ramente, HRRS 2016, 448 (451); SSW-StPO/Eschelbach, § 100a Rn. 5. 34 BVerfGE 141, 220 (303 f.); darauf weisen auch Grözinger, StV 2019, 406 (408) und Roggan, StV 2017, 821 (823) hin.

314

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Schutzbereich des IT-Grundrechts, Zugriffe auf diese Speicherplätze sind grundsätzlich an diesem Grundrecht und nicht am Fernmeldegeheimnis zu messen.35 Damit der Schutzbereich des IT-Grundrechts aber auch in personeller Hinsicht eröffnet ist, muss der Nutzer den Server „als eigenes“ informationstechnisches System nutzen. Der Nutzer muss also selbstbestimmt, entweder alleine oder gemeinsam mit anderen, über das System verfügen können. Zu beurteilen ist dies nach einer wertenden Gesamtschau verschiedener rechtlicher und tatsächlicher Aspekte.36 Am einfachsten liegt der Fall, in dem ein Nutzer im privaten Rahmen und ohne Zuhilfenahme Dritter einen Server aufsetzt, also die Hardware des dazu benötigten informationstechnischen Systems beschafft, die alleinige Kontrolle über den Betrieb des Servers und den Zugang zum Internet behält und insbesondere Dritte von der Nutzung ausschließt, zum Beispiel durch einen Passwortschutz. Hier nutzt der Inhaber des Systems das System, nicht anders als ein bloß lokales informationstechnisches System, völlig selbstbestimmt, mithin als eigenes. Ist der Beschuldigte Inhaber eines solchen Systems, so wird bei einem Zugriff auf dieses System über § 110 Abs. 3 S. 2 StPO ebenso wie bei einem Zugriff über § 110 Abs. 3 S. 1 StPO in sein IT-Grundrecht eingegriffen.37 Kompliziert wird es, wenn der Nutzer den Zugang zum Dateiserver nur über einen kommerziellen Filehoster, also über einen Dritten, erlangt. Hier könnte man daran zweifeln, dass der Nutzer den Speicherplatz selbstbestimmt, mithin „als eigenen“ nutzt. Zum einen steht das informationstechnische System in fremden Räumlichkeiten, die Hardware ist damit dem physischen Zugriff des Nutzers entzogen. Zum anderen kann der Dritte, der Filehoster, das Server-System jederzeit herunterfahren und damit den Zugriff über das Internet kappen, ohne dass der Beschuldigte faktisch etwas dagegen unternehmen könnte. Der Nutzer ist damit darauf angewiesen, dass der Filehoster den Zugang zum informationstechnischen System aufrechterhält. Der Nutzer ist folglich zumindest auch fremdbestimmt in der Nutzung des Speicherplatzes. In seinem Urteil zur Online-Durchsuchung hat das BVerfG allerdings ausgeführt, dass die Nutzung eines informationstechnischen System „als eigenes“ auch gemeinsam mit anderen Nutzern möglich ist.38 Die gemeinsame 35

Zum Ganzen Grözinger, StV 2019, 406; Hauser, IT-Grundrecht, 2015, S. 141 ff.; vgl. auch Hie´ramente, HRRS 2016, 448 (451); SSW-StPO/Eschelbach, § 110a Rn. 5; Wenzel, NZWiSt 2016, 85 (88). 36 Ausführlich oben Kap. 2 B.III.2.b)aa). 37 Hauser, IT-Grundrecht, 2015, S. 222; davon geht auch Heinson, IT-Forensik, 2015, S. 250 ff. implizit aus. 38 BVerfGE 120, 274 (315).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

315

Nutzung eines Systems durch mehrere Nutzer schließt also die Eröffnung des personellen Schutzbereichs des IT-Grundrechts nicht aus.39 Darüber hinaus führt das BVerfG aus, dass auch Fälle, in denen „die Nutzung des eigenen informationstechnischen Systems über informationstechnische Systeme stattfindet, die sich in der Verfügungsgewalt anderer befinden“, vom (personellen) Schutzbereich des IT-Grundrechts erfasst sind.40 Der Satz ist schwierig zu verstehen, denn es ist nicht ganz klar, in welchem (technischen) Verhältnis das „eigen[e]“ informationstechnische System zum informationstechnischen System „in der Verfügungsgewalt anderer“ nach Vorstellung des BVerfG stehen soll. Entnehmen lässt sich der Passage jedenfalls, dass die Zwischenschaltung fremder Verfügungsgewalt nicht automatisch zu einem Ausschluss des Schutzbereichs des IT-Grundrechts für den Nutzer führt. Maßgeblich, aber auch ausreichend für die personelle Eröffnung des Schutzbereichs ist es, dass der Nutzer einen ihm exklusiv zugewiesenen virtuellen Speicherraum innehat. Ob der Nutzer die physische Verfügungsgewalt über die diesem virtuellen Raum zugrunde liegende Hardware innehat, ist dagegen nicht entscheidend. Geschützt ist im Ergebnis damit auch ein abgegrenztes „virtuelles informationstechnisches System“ des Betroffenen.41 In seinem Urteil zum BKA-Gesetz hat das BVerfG in diesem Sinne klargestellt, dass auch solche Nutzer von einem Eingriff in ihr IT-Grundrecht betroffen sind, die ihre Daten auf „vernetzten fremden Computern“ verwalten.42 Eigene und fremde vernetzte Computer werden dabei vom BVerfG gleichgestellt. Als Beispiel für vernetzte fremde Computer nennt das Gericht dann auch die „Cloud“ und bezieht sich damit inhaltlich auf die Konstellation des Speicherplatzes im Netz. Im Weiteren führt das BVerfG dann noch einmal aus, dass auch solche Maßnahmen in das IT-Grundrecht des Einzelnen eingreifen, die Daten abschöpfen, die der Betroffene „auf externen Servern in einem berechtigten Vertrauen auf Vertraulichkeit ausgelagert“ hat.43 Entscheidend ist damit nicht, dass der Betroffene die physische Verfügungsgewalt über das informationstechnische System hat. Ebenso wenig ist es Voraussetzung, dass der Betroffene das System völlig unabhängig von Dritten benutzen kann. Es kommt vielmehr darauf an, dass der Betroffene seinen Speicherplatz selbstbestimmt verwalten und Unbefugte von der Nutzung des Speichersystems und der Einsicht in seine Daten ausschließen kann. Wesent-

39 Dazu, aber auch zur Differenzierung zwischen „gemeinsamer Nutzung“ und dem Fall der bloßen Zurverfügungstellung eines Systems Hauser, IT-Grundrecht, 2015, S. 108 ff. 40 BVerfGE 120, 274 (315). 41 Hauser, IT-Grundrecht, 2015, S. 91 ff.; s. auch Bell, Strafverfolgung und die Cloud, 2019, S. 74 f.; Grözinger, Cloud-Storage, 2018, S. 154 ff. 42 BVerfGE 141, 220 (303). 43 BVerfGE 141, 220 (304).

316

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

lich ist also, dass der Betroffene über einen geschützten Speicherraum verfügen kann, der dem Zugriff unberechtigter Dritter entzogen ist.44 Das ist bei der Anmietung von Speicherplatz im Netz bei einem Filehoster grundsätzlich der Fall. Der Nutzer hat aufgrund vertraglicher Verhältnisse zum Filehoster45 den Anspruch darauf, den Speicherplatz selbstbestimmt nutzen zu können. Er hat auch den Anspruch darauf, dass seine Daten vertraulich bleiben, also nicht von beliebigen Dritten eingesehen werden dürfen. Ebenso wird ihm die Kontrolle über die Daten eingeräumt, indem er sie nach eigenem Belieben hochladen und herunterladen, aber auch löschen kann. Das genügt zu einer selbstbestimmten Nutzung des zur Verfügung gestellten Systems „als eigenem“. Der personelle Schutzbereich des IT-Grundrechts ist damit auch in den Fällen eröffnet, in denen der Betroffene den Zugang zum externen System im Rahmen vertraglicher Verhältnisse mit einem kommerziellen Anbieter erhält. Greifen Ermittlungsbehörden also gestützt auf § 110 Abs. 3 S. 2 StPO auf den vom Betroffenen angemieteten Speicherplatz im Netz zu, so liegt darin ein Eingriff in sein IT-Grundrecht.46 Abweichendes könnte gelten, wenn der Betroffene den Zugang zum Dateiserver in einem privaten, nichtkommerziellen Rahmen erhält und ihn gemeinsam mit einem oder mehreren Dritten ausübt. Das ist insbesondere der Fall, wenn der Betroffene den Zugang zum Server eines Freundes oder Bekannten erhält, um dort seine eigenen Dateien hoch- und herunterladen zu können. Der Server steht hierbei also zum Beispiel in der Wohnung des Freundes in Dortmund und der Betroffene kann über das Internet von seiner Wohnung in Bochum aus darauf zugreifen. Es ist fraglich, ob der Betroffene hier die gleiche Vertraulichkeit der Daten erwarten kann wie beim Anmieten eines Speicherplatzes von einem kommerziellen Filehoster. Die vertraglichen Verhältnisse zwischen den Beteiligten – mögen sie zivilrechtlich auch konstruierbar sein und im Einzelfall über bloße Gefälligkeitsverhältnisse hinausgehen – werden hier in der Regel nicht vergleichbar eng sein. Vielmehr steht die persönliche Verbundenheit zwischen den Beteiligten im Vordergrund. Wie viel Vertraulichkeit der Daten der Nutzer eines fremden privaten Servers erwarten kann, wird dabei vom Einzelfall abhängig sein. Im Regelfall wird der Nutzer aber auch hier die berechtigte Erwartung von Vertraulichkeit haben. Denn der private Bekannte hat zwar die faktische Möglichkeit, sämtliche auf dem Server befindlichen Daten einzusehen. Vertraulichkeit von Daten besteht aber nicht zwangsläufig darin, dass niemand außer dem Inhaber 44

Hauser, IT-Grundrecht, 2015, S. 76 f., 91 ff. Zur Vertragstypologischen Einordnung beim Spezialfall des Cloud Computing Wicker, MMR 2012, 783. 46 Vgl. Hauser, IT-Grundrecht, 2015, S. 76 f., 79 f., 91 ff. Zur Frage, ob damit zugleich auch in das IT-Grundrecht des Filehosters, also des faktischen Inhabers des Systems eingegriffen wird, siehe unten Kap. 3 C. 45

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

317

der Daten Einsicht in diese Daten nehmen kann. Das wesentliche Kriterium für die Vertraulichkeit von Daten besteht vielmehr darin, dass sie nicht beliebigen Dritten preisgegeben sind, also insbesondere nicht öffentlich sind und damit nicht potentiell Jedermann zugänglich sind. Die Möglichkeit der Einsichtnahme einzelner Dritter beseitigt die Vertraulichkeit nicht, solange der Dateninhaber darüber ein gewisses Maß an Kontrolle behält. In der hier in Rede stehenden Konstellation der privaten Servernutzung liegt es in dieser Hinsicht also nicht anders als bei der Inanspruchnahme eines kommerziellen Fileservers. So können zum Beispiel Administratoren oder anderes technisches Personal eines kommerziellen Fileserver-Dienstes je nach Angebotsgestaltung und technischer Struktur faktisch durchaus Einsicht in die auf den Speicherplätzen gespeicherten Daten nehmen, jedenfalls indem sie schlicht auf die physischen Festplatten der jeweiligen Server zugreifen und diese auslesen. Das aber weiß der Betroffene, zumindest ist ihm diese Möglichkeit nicht per se verborgen. Durch Abschluss des Vertrags mit dem Filehoster bzw. schlicht durch die faktische Nutzung des vom Filehoster bereitgestellten Speicherplatzes hat er diesem ja gerade sein Vertrauen geschenkt. Das beseitigt aber nicht seine – berechtigte – Erwartung, dass die beim Filehoster gespeicherten Daten insoweit vertraulich bleiben, als sie nicht beliebigen Dritten zugänglich gemacht werden, zum Beispiel durch Veröffentlichung auf frei zugänglichen Internetseiten. Die Möglichkeit, dass der Filehoster bzw. dessen Personal Einsicht in die Daten des Nutzers nimmt, beseitigt dessen Vertraulichkeitserwartung nicht. Trotz dieser Möglichkeit kann der Nutzer das informationstechnische System „als eigenes“ nutzen. Das gleiche muss dann aber auch für die Inanspruchnahme von Servern privater Bekanntschaften gelten, sofern hierbei zwischen den Beteiligten ebenso abgesprochen ist, dass die Daten vor Zugriffen beliebiger Dritter geschützt bleiben. Dass gleichzeitig der hilfsbereite Freund die potentielle, faktische Möglichkeit hat, Einsicht in die auf dem Server gespeicherten Daten zu nehmen, beseitigt die berechtigte Vertraulichkeitserwartung des (Mit-)Nutzers hier ebenso wenig wie beim Verhältnis zu einem kommerziellen Filehoster. Auch bei der Nutzung eines von privater Seite bereitgestellten Speicherplatzes im Netz ist der Nutzer daher durch sein IT-Grundrecht geschützt. Damit ist auch in dieser Konstellation der Zugriff nach § 110 Abs. 3 S. 2 StPO ein Eingriff in das IT-Grundrecht des Nutzers.47

47

Zur Frage, ob damit zugleich auch in das IT-Grundrecht des Dritten, also des Serverinhabers, eingegriffen wird, siehe unten Kap. 3 C.

318

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

2. Cloud Computing Das Cloud Computing kann als Spezialfall des Filehostings begriffen werden. Damit gilt im Grundsatz das oben (1.) Gesagte auch hierfür. Häufig wird deshalb jeglicher Speicherplatz im Netz, unabhängig davon, ob er wirklich auf die Virtualisierungstechnik (dazu sogleich unten d)) des Cloud Computing gestützt ist, als „Cloud“ bezeichnet. Die Cloud wird auch als Paradebeispiel des externen Speichermediums im Sinne des § 110 Abs. 3 S. 2 StPO angesehen.48 Auch ist die Cloud als Speicherplatz im Netz ebenso wie bei allgemeinen Formen des Filehostings ein vom IT-Grundrecht geschütztes informationstechnisches System.49 Ein Zugriff auf Cloud-Speicherplätze auf Grundlage des § 110 Abs. 3 S. 2 StPO ist damit grundsätzlich ein Eingriff in das IT-Grundrecht des Cloud-Nutzers50. Daher kann – spätestens seit das BVerfG in seinem Urteil zum BKA-Gesetz Cloud-Speicher ausdrücklich dem Schutzbereich des IT-Grundrechts zugeordnet hat51 – auch nicht mehr davon ausgegangen werden, dass der Zugriff auf einen Cloud-Speicher über § 110 Abs. 3 S. 2 StPO in das vorrangige Fernmeldegeheimnis aus Art. 10 GG eingriffe.52 Ein Eingriff in Art. 10 GG liegt hier allenfalls vor, wenn der CloudSpeicher vorrangig zur Kommunikation verwendet wird, ähnlich einem E-Mail-Account – nur in diesem Fall gelten die im E-Mail-Beschluss des BVerfG niedergelegten Grundsätze.53 Auch wenn der Cloud-Speicherplatz damit nicht wesentlich anders zu behandeln ist als ein einfacher Filehosting-Speicherplatz, gibt es beim Cloud Computing Besonderheiten in rechtlicher, aber auch ermittlungspraktischer Hinsicht. Deshalb soll das Cloud Computing hier als besondere Form des Speicherplatzes im Netz vorgestellt werden. 48

Bell, Strafverfolgung und die Cloud, 2019, S. 94; s. auch BeckOK-StPO/Hegmann, § 110 Rn. 16; Brodowski/Eisenmenger, ZD 2014, 119; M. Gercke, in: Borges/Meents (Hrsg.), Cloud Computing, 2016, § 20 Rn. 39; KK/Bruns, § 110 Rn. 8; LR/Tsambikakis, § 110 Rn. 8; MüKo-StPO/Hauschild, § 110 Rn. 16; Obenhaus, NJW 2010, 651 (652); eine gänzlich andere Ansicht vetritt Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.V. 1. (via juris), der den Zugriff auf Clouds (und damit auch andere Speicher im Netz) über § 110 Abs. 3 StPO wegen eines (potentiell auch heimlichen) Eingriffs in das IT-Grundrecht für unzulässig hält. 49 BVerfGE 141, 220 (303); Bell, Strafverfolgung und die Cloud, 2019, S. 74 f.; Dalby, Strafverfolgung im Internet, 2016, S. 222 f.; Hauser, IT-Grundrecht, 2015, S. 93 ff.; Grözinger, Cloud-Storage, 2018, S. 152 ff.; Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.I.3.a)aa)(a)(dd) (via juris); Wicker, Cloud Computing, 2016, S. 300. 50 Zur Grundrechtsbetroffenheit des Cloud-Betreibers s. unten Kap. 3 C. 51 BVerfGE 141, 220 (303). 52 So z. B. noch Brodowski/Eisenmenger, ZD 2014, 119 (121 f.) unter Berufung auf den E-Mail-Beschluss BVerfGE 124, 43. 53 Dazu schon oben Kap. 3 A.I.1.; zur Überschneidung von Cloud-Speicher und E-Mail-Konto unten Kap. 3 A.I.3.b).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

319

a) Definition Eine einheitliche Definition des Begriffs „Cloud“ bzw. „Cloud Computing“ existiert schon aufgrund der stetigen Entwicklung und Vielzahl der unterschiedlichen Dienste nicht.54 Als wesentliche Merkmale gelten die Vernetztheit des Speicherplatzes, die Zugriffsmöglichkeit über Netzwerke – vor allem das Internet – von jedem Ort und zu jeder Zeit und die technische Flexibilität in der Bereitstellung von Rechenkapazitäten und Speicherplatz je nach Bedarf der Nutzer.55 Dieser technische und dienstleisterische Ansatz ist zumindest in seinen einzelnen Komponenten nicht neu,56 weshalb der Begriff des Cloud Computing zuweilen in die Nähe eines reinen Marketingbegriffs gerückt wird.57 Die stetige technische Entwicklung und die öffentliche Wahrnehmung dieser Technik rechtfertigt jedoch eine Behandlung als eigenständiges Phänomen.58 Insbesondere die sogenannte Virtualisierungstechnik wird dabei als Eigenart des Cloud Computing betrachtet, die es von vergleichbaren Angeboten abhebt. Die flexible Bereitstellung von Rechenkapazität und Speicherplatz je nach Bedarf des Nutzers wird nämlich dadurch erreicht, dass ein einheitlicher Bestand von Speicherkapazität zwar nicht physisch, aber virtuell für den Nutzer zurechtgeschnitten wird. Der physische Speicher- und Rechenort mag dabei auf ein und derselben Festplatte liegen, ist aber virtuell so unterteilt, dass abgegrenzte Räume für jeden einzelnen Nutzer bestehen. Somit können mehrere Nutzer an der Leistung einer Hardwarekomponente teilhaben, ohne dass ihre Daten sich vermischen.59 Umgekehrt kann der dem einzelnen Nutzer zugewiesene, virtuelle Speicherraum aus vielen verschie-

54

Vgl. zu diesem Befund Dalby, Strafverfolgung im Internet, 2016, S. 149; Grözinger, Cloud-Storage, 2018, S. 31; Hie´ramente/Fenina, StraFo 2015, 365 (366); Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 47 ff.; Paulus, DuD 2011, 317; Schuster/Reichl, CR 2010, 38; Süptitz/Utz/Eymann, DuD 2013, 307; Wicker, Cloud Computing, 2016, S. 38. 55 BITKOM-Leitfaden Cloud Computing, 2009, S. 14, abrufbar unter https://www.bit kom.org/sites/default/files/file/import/090921-BITKOM-Leitfaden-CloudComputing-W eb.pdf [zuletzt abgerufen am 04.11.2021]; Mell/Grance, The NIST Definition of Cloud Computing, NIST Special Publication 800-145, 2011, abrufbar unter http://csrc.nist.gov/p ublications/nistpubs/800-145/SP800-145.pdf [zuletzt abgerufen am 04.11.2021]; Grözinger, Cloud-Storage, 2018, S. 31 f.; Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, B.I. (via juris); Nägele/Jacobs, ZUM 2010, 281; Schulz/Rosenkranz, ITRB 2009, 232 f. 56 Zu dieser Einschätzung Schuster/Reichl, CR 2010, 38 ff.; Wicker, Cloud Computing, 2016, S. 35 ff. 57 Niemann/Hennrich, CR 2010, 686; Schulz, MMR 2010, 75; Schuster/Reichl, CR 2010, 38; dagegen Grözinger, Cloud-Storage, 2018, S. 31. 58 Zur wachsenden wirtschaftlichen Bedeutung des Cloud Computing Dalby, Strafverfolgung im Internet, 2016, S. 165 ff. 59 Vgl. Wicker, Cloud Computing, 2016, S. 303 f.

320

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

denen, verteilten physischer Speichermedien und Systemen konstruiert sein. Damit wird eine maximal effiziente Auslastung der Hardware erreicht.60 b) Erscheinungsformen Es ist wesentliches Merkmal des Cloud Computing, dass es flexibel und zu unterschiedlichen Zwecken eingesetzt werden kann. Entsprechend existiert eine Vielzahl von Varianten und Angeboten. Allgemein anerkannt ist die Einteilung dieser Varianten in folgendes Grobraster:61 Software-as-a-Service (SaaS) beschreibt das Bereitstellen von Software, die nicht auf dem lokalen Rechner des Nutzers, sondern nur beim Anbieter installiert ist, aber trotzdem vom lokalen Rechner aus genutzt werden kann.62 Ein Beispiel dafür ist das Angebot von GoogleDocs, bei dem die von Google bzw. Alphabet bereitgestellte Textverarbeitungssoftware – auch von mehreren Anwendern gleichzeitig und als Team – im Netz genutzt werden kann, ohne dass die entsprechende Software auf dem lokalen System installiert sein muss.63 Storage-as-a-Service, auch Data-Storage-as-a-Service (DaaS) oder seltener Hardware-as-a-Service (HaaS)64 oder auch einfach nur Cloud Storage65, beschränkt sich auf das Bereitstellen von Speicherplatz im Netz in flexiblen Größen, auf den von überall durch eine Netzwerkverbindung – in der Regel über das Internet – zugegriffen werden kann.66 Angeboten wird somit eine Art Online-Festplatte, die Zugriff auf Daten erlaubt, die nicht auf dem lokalen Anwendungsgerät gespeichert sind. Platform-as-a-Service (PaaS) bezeichnet die Bereitstellung mehrerer Softwareanwendungen im Rahmen einer Entwicklerplattform und ist damit vor

60 Zur Virtualisierungstechnik Bell, Strafverfolgung und die Cloud, 2019, S. 34 ff.; Birk/ Wegener, DuD 2010, 641 (642); Heidrich/Wegener, MMR 2010, 803; Nägele/Jacobs, ZUM 2010, 281; Schulz/Rosenkranz, ITRB 2009, 232 (233); Wicker, MMR 2012, 783; dies., Cloud Computing, 2016, S. 40 ff. 61 Vgl. die Überblicke bei Birk/Wegener, DuD 2010, 641 ff.; Dalby, Strafverfolgung im Internet, 2016, S. 154 ff.; Schuster/Reichl, CR 2010, 38 f. und Weichert, DuD 2010, 679; vgl. auch Wicker, Cloud Computing, 2016, S. 43 ff. 62 Birk/Wegener, DuD 2010, 641 (643); Weichert, DuD 2010, 679. Dieses Angebotsmodell war bereits vor dem modernen kommerzialisierten Modell des Cloud-Computing als ASP, Advanced Service Providing, bekannt; dazu Spatscheck, FS Hamm 2008, 733 (735). 63 Spies, MMR 2009, Heft 5, XI. 64 Wicker, MMR 2012, 783. 65 Dalby, Strafverfolgung im Internet, 2016, S. 159 ff.; Süptitz/Utz/Eymann, DuD 2013, 307 (308). 66 Nägele/Jacobs, ZUM 2010, 281 (282); Schuster/Reichl, CR 2010, 38 (39); Weichert, DuD 2010, 679.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

321

allem auf die Bedarfe von Programmierern und Softwareentwicklern zugeschnitten.67 Infrastructure-as-a-Service (IaaS) ist das weitgehendste Angebotsmodell und stellt eine umfassende IT-Infrastruktur mit zahlreichen Komponenten zur Verfügung.68 Damit können zum Beispiel Unternehmen flexibel externe Rechenkapazität zu ihrer eigenen internen Rechenkapazität dazukaufen, um Belastungsspitzen in ihrem Netzwerk abzudecken.69 Auch der bloße Zukauf von Speicherplatz kann mit diesem Angebot gemeint sein, sodass je nach Einteilung von Cloud-Diensten die Kategorie Storage-as-a-Service in Infrastructure-as-a-Service aufgeht.70 Für die Zwecke der vorliegenden Untersuchung ist vor allem das Modell des Storage-as-a-Service oder Cloud Storage relevant, gegebenenfalls als Bestandteil eines übergeordneten Infrastructure-as-a-Service. Diese Angebote bieten dem Nutzer einen exklusiven, virtuellen Speicherraum, mithin ein virtuelles informationstechnisches System. Cloud Storage entspricht damit dem Fall eines Webspace bzw. eines Dateiservers im Rahmen eines FilehostingAngebots. Hier kann der Nutzer seine Daten ablegen, seien es Textdokumente, Fotos oder Videos, seien sie privater oder geschäftlicher Natur. Ein Speichersystem im Rahmen von Cloud Storage ist damit im Sinne des ITGrundrechts hinreichend komplex, um vielfältige und vernetzte Datenbestände mit weitreichendem Bezug zur Persönlichkeit des Nutzers oder auch Dritter zu speichern. Es sind diese Datenbestände, auf die über § 110 Abs. 3 S. 2 StPO zugegriffen werden kann und auf die in der Ermittlungspraxis typischerweise zugegriffen wird. c) Private Clouds und Public Clouds Unterschieden wird bei den verschiedenen Angebotsmodellen außerdem noch zwischen Private Clouds und Public Clouds.71 Von einer Private Cloud wird gesprochen, wenn eindeutig lokalisierbare und feststehende Rechner gemeinsam vernetzt sind, diese dabei aber sämtlich unter der Verantwortung einer einzelnen Stelle stehen.72 Beispiel dafür ist ein Rechnernetzwerk innerhalb eines Unternehmens, bei dem die unternehmenseigene IT-Abteilung die Rechenkapazitäten zentral verwaltet und je nach Bedarf den einzelnen Unternehmensmitarbeitern zuweist.73 Eine Internetver67

Birk/Wegener, DuD 2010, 641 (642 f.); Schuster/Reichl, CR 2010, 38 (39). Weichert, DuD 2010, 679. 69 Spies, MMR 2009, Heft 5, XI. 70 Vgl. Birk/Wegener, DuD 2010, 641 (642); Nägele/Jacobs, ZUM 2010, 281 (282); Wicker, MMR 2012, 783. 71 Vgl. Wicker, Cloud Computing, 2016, S. 46. 72 Weichert, DuD 2010, 679. 73 Nägele/Jacobs, ZUM 2010, 281 (282); Wicker, Cloud Computing, 2016, S. 46. 68

322

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

bindung ist dazu nicht nötig.74 Aber auch eine Private Cloud kann von einem externen Dienstleister bereitgestellt werden. Wesentlich für die Einordnung als „privat“ ist dabei nur, dass die Hardware-Ressourcen exklusiv dem Kunden und keinen weiteren Personen zur Verfügung stehen. Die Inanspruchnahme einer Private Cloud von einem externen Dienstleister ist daher eine Form des sogenannten Outsourcing, also des Auslagerns bestimmter Unternehmensaufgaben in externe Unternehmen.75 Eine Public Cloud dagegen ist die Cloud eines Drittanbieters, bei dem die Rechner grundsätzlich weltweit vernetzt sein und auch von Subunternehmern betrieben werden können.76 Die Cloud wird aus Sicht des Nutzers also außer Haus verwaltet und benötigt daher in der Regel das Internet als Infrastruktur. Das Angebot ist dabei grundsätzlich jedermann zugänglich. Das heißt zwar nicht, dass sich mehrere Nutzer einen Datenraum teilen müssen – die Virtualisierungstechnik sorgt dafür, dass jeder Nutzer das Angebot so nutzen kann, als sei er der einzige Kunde. Der Nutzer kann allerdings nicht kontrollieren, welche physische Hardware des Anbieters er genau in Anspruch nimmt und mit wem er diese gerade teilt, ebenso wie er auch überhaupt keinen Einfluss darauf hat, wer außer ihm das Cloud-Angebot überhaupt nutzt.77 Der Nutzer verwaltet seinen Speicher inhaltlich also eigenständig, während der Anbieter der Public Cloud den konkreten Speicherort frei bestimmt.78 Zusätzlich dazu existieren noch Mischformen zwischen privaten und öffentlichen Clouds, so zum Beispiel den Zusammenschluss mehrerer, vertraglich verbundener Nutzer zum Betrieb einer Community Cloud, oder die Verbindung privater und öffentlicher Clouds in einer Hybrid Cloud.79 Für die rechtliche Beurteilung hat die Unterscheidung zwischen Private Clouds und Public Clouds grundsätzlich keine Bedeutung: Oben (Kap. 3 A.I.1.) wurde bereits dargelegt, dass auch derjenige Nutzer den Speicherplatz im Netz (auch in Form des Cloud Computing) als „eigenes“ informationstechnisches System im Sinne des IT-Grundrechts nutzt, wenn er bei der Nutzung auf Dritte, zum Beispiel kommerzielle Anbieter, angewiesen ist. Das gilt auch und gerade für den Fall, dass die dem virtuellen System zugrunde liegende Hardware auf mehrere Standorte verstreut und dem physischen Zugriff des Nutzers entzogen ist. Insbesondere sind die Daten in einer Public Cloud entgegen der insoweit missverständlichen Bezeichnung nicht etwa öf74

Vgl. Schuster/Reichl, CR 2010, 38 (39). Birk/Wegener, DuD 2010, 641 (642); Heidrich/Wegener, MMR 2010, 803. 76 Weichert, DuD 2010, 679 (680). 77 Birk/Wegener, DuD 2010, 641 (642). 78 Hie´ramente/Fenina, StraFo 2015, 365 (366); Wicker, Cloud Computing, 2016, S. 46. 79 Birk/Wegener, DuD 2010, 641 (642); Heidrich/Wegener, MMR 2010, 803 (804); Wicker, Cloud Computing, 2016, S. 47. 75

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

323

fentlich für jedermann zugänglich, sondern unterstehen dem exklusiven, geschützten Zugriff des Nutzers. Insoweit wird auch die Public Cloud in der berechtigten Erwartung der Vertraulichkeit ihrer Inhalte benutzt. Sowohl eine Private Cloud als auch eine Public Cloud können damit ein grundrechtlich geschütztes informationstechnisches System bilden. Einzig bei der Erwägung, ob ein Fernzugriff über § 110 Abs. 3 S. 2 StPO in einem konkreten Ermittlungseinsatz überhaupt erforderlich ist, kann es eine Rolle spielen, ob das Cloud-System eines Unternehmens als Private Cloud oder als Public Cloud organisiert ist. Ist der Speicherplatz nämlich über eine Private Cloud organisiert, kann es sein, dass sich sämtliche der zugehörigen lokalen Bestandteile der Cloud, also insbesondere unternehmenseigene Server, in ein und demselben Unternehmensgebäude befinden. Dann kann es indiziert sein, eine lokale Sichtung über § 110 Abs. 3 S. 1 StPO durchzuführen. Das ist allerdings nicht zwingend: Auch bei einer Private Cloud können die einzelnen lokalen Bestandteile räumlich weit verstreut sein und müssen sich nicht innerhalb eines einzigen Gebäudes befinden. d) Virtualisierung: Verstreutheit der Daten Grundkonzept des Cloud Computing ist es, dass der virtuell bereitgestellte Speicherplatz aus mehreren unterschiedlichen physischen Systemen, also Servern, Festplatten usw., zusammengesetzt ist (Virtualisierung, s. schon oben a)). Die Daten eines virtuellen Speicherraums können ihre physische Speichergrundlage daher auf einer Vielzahl von unterschiedlichen Systemen an unterschiedlichen Orten haben. Im Falle einer Public Cloud (oben c)) können sich die Speicherorte sogar an verschiedenen Orten weltweit befinden. Dabei können diese Speicherorte millisekündlich – je nach Auslastung des Netzwerks und dessen Optimierung – wechseln.80 Es wird in der Regel sogar vorkommen, dass selbst einzelne Dateien aufgespalten und ihre Bestandteile an verschiedenen Orten gespeichert werden, um erst bei Abruf der Datei durch den Nutzer wieder zusammengefügt zu werden.81 Das ist Folge der bei der Cloud eingesetzten Virtualisierungstechnik. Durch diese Verteilung und Aufspaltung und den schnellen Wechsel der Daten von Ort zu Ort ist ein definitiver physischer Speicherort in den meisten Fällen gar nicht zu ermitteln – jedenfalls nicht in einer global vernetzten Public Cloud.82 Das hat 80

Braun, PStR 2012, 86 (90); Hie´ramente/Fenina, StraFo 2015, 365 (366 f.); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 56, 64 f.; Nägele/Jacobs, ZUM 2010, 281 (290); Schuster/Reichl, CR 2010, 38 (41); Spies, MMR 2009, Heft 5, XI; Störing, MMR 2008, 187 (189). 81 Braun, PStR 2012, 86 (90); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 56, 64 f.; Nägele/Jacobs, ZUM 2010, 281 (289); Nordmeier, MMR 2010, 151 (152); Schuster/ Reichl, CR 2010, 38 (41); Spies, MMR 2009, Heft 5, XI; Störing, MMR 2008, 187 (189); Warken, Klassifizierung elektronischer Beweismittel, 2018, S. 28 f. 82 Birk/Wegener, DuD 2010, 641 (644); Löffelmann, in: Dietrich/Eiffler (Hrsg.), Hand-

324

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

nicht nur Einfluss auf die jeweils geltende Rechtsordnung und das Datenschutzniveau je nach Speicherort.83 Auch beeinflusst dieser Umstand die Befugnisse nationaler Ermittlungsbehörden. Diese sind ohne Weiteres nicht befugt, in fremden Staatsgebieten zu ermitteln. Zur Wahrung der Souveränität des Zielstaates, also desjenigen Staates, in dem die physischen Komponenten des Cloud-Speicherplatzes stehen, sind die Ermittlungsbehörden zur Erlangung der Daten daher in der Regel auf Rechtshilfeverfahren verwiesen. Bei ständig wechselndem oder gänzlich unbekanntem Speicherort ergibt sich jedoch das Problem, dass der Standortstaat und damit der richtige Ansprechpartner für ein Rechtshilfegesuch nicht auszumachen ist.84 Eine Anwendung des § 110 Abs. 3 S. 2 StPO zum Zugriff auf im Ausland gespeicherte Daten kommt in aller Regel nicht in Betracht.85 Vom Problem dieser transnationalen Ermittlungen abgesehen hat die Verstreutheit der Datenspeicherorte beim Cloud Computing aber keine rechtlichen Auswirkungen. Insbesondere bleibt auch hier der Schutz des IT-Grundrechts für den Nutzer des Cloud-Speicherplatzes bestehen. Für den Nutzer stellt sich der Cloud-Speicherplatz als einheitlicher virtueller Speicherraum, als virtuelles informationstechnisches System dar, das „als eigenes“ genutzt wird. Auch hierauf erstreckt sich der Schutz des IT-Grundrechts. Das ergibt sich schon aus dem allgemeinen Grundsatz, dass auch derjenige ein informationstechnisches System „als eigenes“ nutzt, der bei dieser Nutzung auf die Bereitstellung des Speicherdienstes durch Dritte angewiesen ist, ohne dabei eigene physische Verfügungsgewalt über die zugrunde liegende Hardware des Systems zu haben.86 e) Synchronisierung der Cloud-Inhalte mit dem lokalen informationstechnischen System Auch wenn Daten in einer Cloud gespeichert sind, ist es im Rahmen von Ermittlungen nicht zwingend erforderlich, auf diese Daten im Wege eines Fernzugriffs nach § 110 Abs. 3 S. 2 StPO zuzugreifen. Vielmehr gibt es auch

buch des Rechts der Nachrichtendienste, 2017, VI § 5 Rn. 48; Spies, MMR 2009, Heft 5, XI (XII); Warken, NZWiSt 2017, 289 (296). 83 Nägele/Jacobs, ZUM 2010, 281 (289 f.); Schuster/Reichl, CR 2010, 38 (41); Spies, MMR 2009, Heft 5, XI (XII). 84 Vgl. dazu Bell, Strafverfolgung und die Cloud, 2019, S. 49; M. Gercke, in: Borges/ Meents (Hrsg.), Cloud Computing, 2016, § 20 Rn. 17 ff.; Hie´ramente/Fenina, StraFo 2015, 365 (366 f.); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 51 ff.; Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, B.IV. 3 (via juris). 85 S. nur Bär, ZIS 2011, 53 (54); Brodowski, JR 2009, 402 (410); Brodowski/Eisenmenger, ZD 2014, 119 (122 f.); Zum Problem transnationaler Ermittlungen noch ausführlich unten Kap. 3 A.V. 86 Ausführlich oben Kap. 3 A.I.1. und auch schon Kap. 2 B.III.2.b)aa).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

325

die Konstellation, dass die Daten nicht nur auf dem externen Cloud-Server im Netz (bzw. den diesem Speicherplatz zugrunde liegenden Systemen) gespeichert sind, sondern zusätzlich dazu auch – als Kopien – auf dem lokalen informationstechnischen System des Cloud-Nutzers. In diesem Fall reicht zur Erhebung dieser Daten eine lokale Durchsicht auf Grundlage des § 110 Abs. 3 S. 1 StPO aus. Das Problem transnationaler Ermittlungen87, d. h. eines Fernzugriffs über Staatengrenzen hinweg, stellt sich in dieser Konstellation nicht, selbst wenn der Anbieter der Cloud seine Server im Ausland stehen haben sollte. In der Ermittlungspraxis und für die Frage nach der richtigen Rechtsgrundlage beim konkreten Datenzugriff – § 110 Abs. 3 S. 1 StPO oder § 110 Abs. 3 S. 2 StPO – ist daher in jedem Einzelfall genau zu klären, ob die Cloud mit einer Synchronisierungsfunktion ausgestattet ist und ob diese vom Nutzer aktiviert ist. Synchronisation der Daten bedeutet, dass das lokale informationstechnische System mit dem externen Server der Cloud so verknüpft ist, dass eine Änderung von Dateien in einem der beiden Systeme immer auch automatisch zu einer Änderung im jeweils anderen System führt. Synchronisation bedeutet also, dass eine Datei von wo auch immer in die Cloud hochgeladen wird und dann sofort und automatisch auf sämtliche angeschlossenen lokalen informationstechnischen Systeme heruntergeladen wird. Somit ist sichergestellt, dass sich auf sämtlichen der angeschlossenen Systeme immer die gleichen Inhalte, insbesondere also die gleichen aktuellen Dateiversionen befinden. Bildlich gesprochen wacht der Cloud-Server damit über die Aktualität der synchronisierten Daten und reicht neue oder aktualisierte Dateien immer sofort an die angeschlossenen lokalen Systeme weiter. Von ein und derselben Datei existieren damit mehrere identische Kopien. Die Synchronisation mit Clouds wird vor allem in Unternehmen oder auch bei sonstiger projektbezogener Arbeit (zum Beispiel an wissenschaftlichen Instituten und Lehrstühlen) genutzt, also insbesondere in Fällen, in denen mehrere Beteiligte gemeinsam an den gleichen Dateien arbeiten. Die Synchronisation des Cloud-Speichers mit den angeschlossenen lokalen Systemen ist eine durchaus übliche Nutzungspraxis.88 Hat der Nutzer einer Cloud die Synchronisationsfunktion aktiviert, so werden sich die Daten in der Cloud in der Regel89 also auch auf seinem lokalen informationstechnischen System wiederfinden. Sie können dann von dort auf Grundlage des § 110 Abs. 3 S. 1 StPO eingesehen werden; ein Fall des 87

Dazu noch ausführlich unten Kap. 3 A.V. Vgl. Bell, Strafverfolgung und die Cloud, 2019, S. 51; Süptitz/Utz/Eymann, DuD 2013, 307 (308); s. auch Bleich/Radke/Scherschel, c’t 2014, Heft 16, S. 72 (73). 89 Es ist technisch auch möglich, bestimmte Cloud-Inhalte von der automatischen Synchronisation auszuschließen. Im Einzelfall kann also ein (zusätzlicher) Fernzugriff auf den externen Speicher gemäß § 110 Abs. 3 S. 2 StPO erforderlich sein. 88

326

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

§ 110 Abs. 3 S. 2 StPO liegt insoweit also nicht vor.90 Der Eingriff in das ITGrundrecht des Nutzers besteht aufgrund der Durchsicht seines lokalen informationstechnischen Systems aber weiterhin. Anders liegt es nur, wenn die Ermittler die Datensynchronisation, die ansonsten nicht automatisch erfolgt wäre, bewusst in Gang setzen, und dadurch neue Daten vom externen Server auf das lokale System des Durchsuchten herunterladen. In diesem Fall sichten die Ermittler nicht (nur) bereits auf dem lokalen System befindliche Daten, sondern greifen aktiv auf die im externen System gespeicherten Daten zu. Das Herunterladen dieser extern gespeicherten Daten auf das lokale System des Duchsuchten wird dabei also erst durch die Ermittler bewirkt, um an die extern gespeicherten Daten zu gelangen. Hinsichtlich des (notwendigen) Zugriffs auf das externe System besteht insoweit kein Unterschied zum Normalfall des § 110 Abs. 3 S. 2 StPO: Im Ergebnis findet ein Zugriff auf das externe System statt, um dort im Ausgangspunkt extern gespeicherte Daten zu sichten, die sich vor dem Zugriff der Ermittler noch nicht auf dem lokalen System befunden haben. Dies ist ein Anwendungsfall des § 110 Abs. 3 S. 2 StPO und gleichzeitig ein Eingriff in das IT-Grundrecht auch hinsichtlich des externen Systems. f) Zwischenergebnis Der Zugriff auf eine Cloud ist über § 110 Abs. 3 S. 2 StPO grundsätzlich zulässig. Dieser Zugriff bewirkt einen Eingriff in das IT-Grundrecht des Cloud-Nutzers. Insbesondere aufgrund der Virtualisierungstechnik der Cloud kann es vorkommen, dass sich die physische Hardware, die den virtuellen Speicherplatz konstruiert, im Ausland befindet. Ein Fernzugriff der Ermittler würde in diesen Fällen jedenfalls virtuell in ein fremdes Staatsgebiet ausgreifen und wäre damit ein eigenmächtiges Ermitteln in der Sphäre eines fremden souveränen Staates. In solchen Fällen ist ein Zugriff über § 110 Abs. 3 S. 2 StPO in der Regel unzulässig.91 Manche Cloud-Lösungen beinhalten eine Synchronisierungsfunktion, bei der in die Cloud eingegebene Daten automatisch auf die angeschlossenen informationstechnischen Systeme der Nutzer kopiert werden. In diesen Fällen können die Daten über § 110 Abs. 3 S. 1 StPO auf dem lokalen System des Nutzers gesichtet werden. Ein Fernzugriff nach § 110 Abs. 3 S. 2 StPO ist dann in der Regel nicht notwendig.

90 91

Vgl. Süptitz/Utz/Eymann, DuD 2013, 307 (309). Dazu noch unten Kap. 3 A.V.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

327

3. E-Mail-Konten Zur Aufklärung einer Straftat kann die Sichtung des E-Mail-Verkehrs des Beschuldigten beitragen. Im E-Mail-Konto des Beschuldigten können zum Beispiel Mails von und an etwaige Tatbeteiligte aufgefunden werden, die Absprachen über die Tat oder sonstige Hinweise zum Tathergang beinhalten. Geht es um das Abfangen von Kommunikationsinhalten, so scheint auf den ersten Blick § 100a Abs. 1 StPO die passende Rechtsgrundlage zu sein. Sollen E-Mails während laufender Kommunikation auf ihrem Übertragungsweg abgefangen werden oder – im Fall einer Quellen-Telekommunikationsüberwachung gem. § 100a Abs. 1 S. 2 StPO – bereits am Endgerät des Versenders ausgelesen werden, so kann dies auf § 100a Abs. 1 StPO gestützt werden.92 Eine andere Methode für den staatlichen Zugriff auf Kommunikationsinhalte ist das Auslesen gespeicherter E-Mails im Wege eines Zugriffs auf das E-Mail-Konto des Beschuldigten. Hierbei wird nicht die laufende Kommunikation auf ihrem Übertragungsweg überwacht, sondern es werden die gespeicherten, ruhenden Mails auf dem E-Mail-Speicherplatz ausgelesen, der dem Kunden vom E-Mail-Anbieter zur Verfügung gestellt wird und sich auf dem Server des Anbieters befindet. Dieses E-Mail-Konto kann der Nutzer von seinem Endgerät aus, also zum Beispiel vom PC, Laptop oder Smartphone, unter Eingabe von Zugangskennung und Passwort ansteuern und verwalten. Für die vorliegende Untersuchung ergeben sich zwei Fragen. Die erste Frage ist, ob § 110 Abs. 3 S. 2 StPO Grundlage für einen Zugriff auf das E-Mail-Konto des Beschuldigten sein kann. Die zweite Frage gliedert sich in die zwei Teilfragen, ob das E-Mail-Konto erstens als informationstechnisches System im Sinne des IT-Grundrechts einzuordnen ist und ob zweitens der Zugriff über § 110 Abs. 3 S. 2 StPO am IT-Grundrecht zu messen ist oder ob hier das Fernmeldegeheimnis aus Art. 10 GG Vorrang hat. a) Anwendbarkeit des § 110 Abs. 3 S. 2 StPO vor dem Hintergrund der Rechtsprechung des BVerfG zu Eingriffen in das Fernmeldegeheimnis (BVerfGE 124, 43) Dem Nutzer eines E-Mail-Dienstes ist mit dem E-Mail-Konto ein exklusiver, passwortgeschützter Speicherplatz im Netz zugewiesen. Hier werden eingehende und ausgehende E-Mails samt ihren Dateianhängen (Textdokumente, Fotos, Videos) gespeichert. Auch die Speicherung von E-Mail-Entwürfen ist möglich, ebenso wie das Versenden von E-Mails an die eigene Adresse, was im Ergebnis einem Dateiupload auf einem Speicherserver, zum Beispiel einer

92

HK-StPO/Gercke, § 100a Rn. 11; MüKo-StPO/Günter, § 100a Rn. 133.

328

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Cloud, gleichkommt.93 Auch weitere Funktionen, wie zum Beispiel die Verwaltung eines elektronischen Terminkalenders, sind technisch möglich und in der Praxis nicht unüblich. Das E-Mail-Konto ist damit ein externes, „räumlich getrenntes“ Speichermedium im Sinne des § 110 Abs. 3 S. 2 StPO.94 Das spricht schon auf den ersten Blick für eine Anwendbarkeit des § 110 Abs. 3 S. 2 StPO auf E-Mail-Konten. Fraglich ist allerdings, ob § 110 Abs. 3 S. 2 StPO wirklich zum Zugriff auf Kommunikation ermächtigt. Diese Frage kann zum einen aus verfassungsrechtlicher Perspektive gestellt werden: Darf über § 110 Abs. 3 S. 2 StPO in das Fernmeldegeheimnis aus Art. 10 GG eingegriffen werden? E-Mails in ihrer Eigenschaft als Kommunikationsmedien bzw. -inhalte unterfallen nämlich grundsätzlich dem Schutzbereich des Fernmeldegeheimnisses aus Art. 10 GG. Das gilt auch für E-Mails, die im E-Mail-Konto des Beschuldigten auf dem Server des E-MailAnbieters und damit (auch) in dessen Herrschaftsbereich gespeichert sind. Lediglich E-Mails, die der Nutzer auf sein eigenes lokales System heruntergeladen und die er damit in seinem exklusiven Herrschaftsbereich gesichert hat, unterfallen nicht mehr dem Schutzbereich des Art. 10 GG.95 In der hier zu besprechenden Konstellation würde über § 110 Abs. 3 S. 2 StPO also in Art. 10 GG eingegriffen. Dass dies über § 110 Abs. 3 S. 2 StPO in verfassungsmäßiger Art und Weise geschehen kann, die Norm also den Eingriff in Art. 10 GG hinreichend einhegt, wird im Schrifttum bezweifelt.96 Zum anderen stellt sich die Frage nach der Anwendbarkeit des § 110 Abs. 3 S. 2 StPO aus einfachrechtlicher Perspektive: Müsste bei einem strafprozessualen Zugriff auf Telekommunikation nicht immer § 100a Abs. 1 StPO als spezielle Norm zur Überwachung der Telekommunikation einschlägig und vorrangig sein? Ein Rückgriff auf § 110 Abs. 3 S. 2 StPO zum Zwecke des Auslesens von E-Mails wäre dann womöglich unzulässig. Die Antwort auf beide Fragen bzw. beide Perspektiven auf die Frage ist im E-Mail-Beschluss des BVerfG zu suchen. In diesem Beschluss hat das BVerfG zwischen verschiedenen Phasen des E-Mail-Versands unterschieden (PhasenModell97). Danach ist insbesondere zwischen der Übertragungsphase, bei der die E-Mails über das Internet in Form laufender Kommunikation übertra-

93

Vgl. Gähler, HRRS 2016, 340 (347). Knierim, StV 2009, 206 (211); MüKo-StPO/Hauschild, § 110 Rn. 16; SSW-StPO/Hadamitzky, § 110 Rn. 23; zu Einwänden dazu, insbesondere von Brodowski, JR 2009, 402 (408), s. sogleich unten. 95 BVerfGE 124, 43 (54 ff.); dazu schon oben Kap. 2 B.III.4. 96 Brodowski, JR 2009, 402 (408) – zu dessen Kritik noch ausführlich unten. 97 In der Literatur werden unterschiedliche, teils sehr differenzierte Modelle mit bis zu sieben Phasen vertreten, s. zum Überblick BeckOK-StPO/Graf, § 100a Rn. 55 mit Nachweisen; s. auch Krüger, MMR 2009, 680 (680 f.). 94

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

329

gen werden einerseits und der Ruhephase der E-Mails auf dem Server des Providers (E-Mail-Anbieters) andererseits zu differenzieren. Für die zweitgenannte Phase, in der die E-Mails abrufbereit im E-Mail-Konto des Nutzers auf dem Server des Providers gespeichert sind, hat das BVerfG die Beschlagnahmeregelungen der §§ 94 ff. StPO als taugliche, also verfassungsgemäße Eingriffsgrundlagen für den Zugriff auf die E-Mails unter Eingriff in das Fernmeldegeheimnis aus Art. 10 GG angesehen. Begründet wurde die Tauglichkeit der Beschlagnahmeregelungen zu Eingriffen in das Fernmeldegeheimnis damit, dass sich der StPO kein Regelungskonzept entnehmen ließe, wonach lediglich aufgrund von speziell auf Telekommunikationsüberwachung zugeschnittenen Normen wie § 100a oder § 100g StPO in das Fernmeldegeheimnis eingegriffen werden dürfe.98 Auch genügten die Beschlagnahmevorschriften hinsichtlich Eingriffen in das Fernmeldegeheimnis den verfassungsrechtlichen Geboten der Normenklarheit und Normenbestimmtheit, deren Voraussetzungen für Zugriffe auf Datenträger vom BVerfG anhand des Rechts auf informationelle Selbstbestimmung entwickeln wurden und nun auch auf Eingriffe in das Fernmeldegeheimnis zu übertragen seien.99 Insbesondere sei es unproblematisch, dass die Beschlagnahmevorschriften ursprünglich auf die Beschlagnahme körperlicher Gegenstände zugeschnitten wurden. Der Begriff „Gegenstand“ könne auch elektronisch gespeicherte Daten erfassen.100 Schließlich sah das BVerfG auch die Verhältnismäßigkeit der mit §§ 94 ff. StPO ermöglichten Eingriffe, insbesondere auch durch ausreichende prozedurale Sicherungen, als gewahrt an.101 Auf Grundlage dieser Rechtsprechung kann der Zugriff auf ruhende E-Mails auf dem Server des Providers, obwohl der Zugriff während dieser Phase grundsätzlich in das Fernmeldegeheimnis des E-Mail-Empfängers nach Art. 10 GG eingreift, auch auf Grundlage anderer Normen als § 100a StPO erfolgen, insbesondere also auch auf Grundlage der §§ 94 ff. StPO. Die Ermächtigungsgrundlage des § 100a StPO ist also nicht für alle Eingriffe in Art. 10 GG zwingend vorrangig heranzuziehen – jedenfalls zwingt nicht das Verfassungsrecht dazu.102 In Bezugnahme auf die Rechtsprechung des BVerfG vertritt der BGH mittlerweile die Ansicht, dass sowohl auf Grundlage des § 100a StPO als auch über § 94 StPO auf ruhende, beim Provider zwischengespeicherte E-Mails zugegriffen

98

BVerfGE 124, 43 (59). BVerfGE 124, 43 (60 ff.). 100 BVerfGE 124, 43 (60 f.). 101 BVerfGE 124, 43 (61 ff.). 102 Vgl. Brodowski, JR 2009, 402 (407), der darauf hinweist, dass das BVerfG nur darüber zu befinden hatte, dass eine Anwendung der § 94 ff. StPO zum Zugriff auf E-Mail verfassungsgemäß ist, wovon aber die strafprozessrechtliche Frage zu unterscheiden ist, ob die Normen die richtige Eingriffsgrundlage aus der StPO sind. 99

330

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

werden dürfe. § 100a StPO verdränge § 94 StPO nicht, die Ermittlungsmaßnahmen stünden vielmehr in einem Ergänzungsverhältnis zueinander.103 Das BVerfG entschied dies anhand einer Fallkonstellation, in der die E-Mails nicht beim Beschuldigten, sondern in den Räumlichkeiten des Providers lokal von dessen Servern beschlagnahmt wurden.104 Das ist eine andere Konstellation als die hier besprochene, in der es darum geht, vom System des Beschuldigten aus auf die Server des Providers zuzugreifen und auf diesem Wege die E-Mails zu sichten und zu sichern. Auch hat das Gericht ausdrücklich nur die Beschlagnahmevorschriften der §§ 94 ff. StPO zur verfassungsgemäßen Rechtsgrundlage für die Beschlagnahme von E-Mails erklärt, nicht aber explizit die Vorschriften zur Durchsicht nach § 110 StPO. Allerdings hat das BVerfG im Zusammenhang mit der Beschlagnahme von E-Mails angemahnt, dass die E-Mail-Bestände vor ihrer Beschlagnahme auf verfahrensrelevantes Material hin gemäß § 110 StPO durchzusehen sind, um die Beschlagnahme überschüssigen Materials so weit wie möglich zu vermeiden.105 Darin kommt implizit zum Ausdruck, dass auch § 110 StPO eine taugliche Rechtsgrundlage zum Eingriff in das Fernmeldegeheimnis aus Art. 10 GG und damit zur Sichtung von gespeicherten E-Mails ist. Das ist systematisch konsequent, da die Durchsicht gemäß § 110 StPO eine spätere Beschlagnahme nach den § 94 ff. StPO vorbereiten soll. Es wäre sinnwidrig, die §§ 94 ff. StPO als taugliche Grundlage zum Eingriff in das Fernmeldegeheimnis anzusehen, § 110 StPO aber nicht.106 Hinsichtlich der Anwendbarkeit des § 110 Abs. 3 S. 2 StPO trifft das BVerfG – mangels passender Sachverhaltskonstellation107 – keine ausdrücklichen Aussagen zur Verfassungsmäßigkeit der Norm als Grundlage zu Eingriffen in das Fernmeldegeheimnis. Das BVerfG lässt aber zumindest eine Gleichbehandlung dieses Spezialfalls der Durchsicht mit der allgemeinen Durchsicht anklingen. Bei Auflistung der für die zu beurteilenden Rechtsfragen relevanten Rechtsgrundlagen erwähnt das Gericht zu Beginn der Urteilsgründe neben den §§ 94 und 98 StPO im Zusammenhang mit § 110 StPO ausdrücklich auch dessen Absatz 3, der bereits seit dem Jahr 2008 die Befug103

BGH NJW 2021, 1252 (1254). BVerfGE 124, 43 (47 f.) 105 BVerfGE 124, 43 (68 f.). 106 Vgl. Kasiske, StraFo 2010, 228 (233) mit Bezug zu § 110 Abs. 3 StPO. 107 Im zugrunde liegenden Sachverhalt des Strafverfahrens wäre ein Zugriff vom Endgerät des Beschuldigten technisch möglich gewesen, da der Beschuldigte bei Durchsuchung seiner Wohnung eine Internetverbindung zum Abruf der E-Mails herstellte. Auf Hinweis des Beschuldigten, dass der Zugriff auf die E-Mails vom Durchsuchungsbeschluss aber nicht gedeckt sei, kam es stattdessen zu einer Beschlagnahme der Mails gemäß §§ 94, 98 StPO im Rahmen einer Durchsuchung der Räumlichkeiten des E-Mail-Providers; s. BVerfGE 124, 43 (47 f.). Der heute geltende § 110 Abs. 3 S. 2 StPO zur Netzwerkdurchsicht war zum Zeitpunkt der Wohnungsdurchsuchung – Februar 2006 – noch nicht Gesetz. 104

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

331

nis zur Netzwerkdurchsicht beinhaltet.108 Auch wenn § 110 Abs. 3 StPO in den Urteilsgründen dann nicht mehr auftaucht, kann das nur bedeuten, dass das Gericht diese Norm im Zusammenhang mit den §§ 94 ff. StPO ebenfalls als potentielle, verfassungsgemäße Grundlage zum Zugriff auf gespeicherte E-Mails angesehen hat. Die vom BVerfG getätigten Aussagen zur Tauglichkeit der §§ 94 ff. StPO als Grundlage für einen Zugriff auf gespeicherte E-Mails sind damit nicht nur auf die lokale Durchsicht nach § 110 Abs. 3 S. 1 StPO, sondern auch auf die Durchsicht externer Speicher nach § 110 Abs. 3 S. 2 StPO übertragbar. Das ergibt sich auch aus der systematischen Stellung § 110 Abs. 3 S. 2 StPO: Als Spezialfall der Durchsicht sollte die Durchsicht externer Speicher hier nicht anders zu behandeln sein als ihr lokales Pendant in § 110 Abs. 1 bzw. Abs. 3 S. 1 StPO. Die vom BVerfG getätigten Ausführungen zur Normenklarheit, Normenbestimmtheit und Verhältnismäßigkeit der Beschlagnahmevorschriften müssen für § 110 Abs. 3 S. 2 StPO daher genau so gelten. Das gilt umso mehr, als § 110 Abs. 3 S. 2 StPO im Gegensatz zu § 94 StPO schon seinem Wortlaut nach ganz ausdrücklich auf die Sichtung und Sicherung von elektronisch gespeicherten Daten zugeschnitten ist. Wenn schon § 94 StPO den diesbezüglichen Bestimmtheitserfordernissen genügen soll, dann muss das für § 110 Abs. 3 S. 2 StPO also erst recht gelten.109 Für eine abweichende Beurteilung der Verfassungsmäßigkeit des § 110 Abs. 3 StPO scheint das BVerfG jedenfalls keinen Grund gesehen zu haben, denn sonst hätte es sich in den Urteilsgründen dazu äußern können, wenn es § 110 Abs. 3 StPO eingangs schon erwähnt. Zusammengefasst lässt sich daher sagen: Die Gründe, mit denen das BVerfG die Tauglichkeit der Beschlagnahmevorschriften nach §§ 94 ff. StPO als Rechtsgrundlage zum Zugriff auf beim Provider gespeicherte E-Mails begründet hat, müssen für § 110 Abs. 3 S. 2 StPO als Rechtsgrundlage genauso gelten. Im Schrifttum wird eine Übertragung der Grundsätze des E-Mail-Beschlusses auf die Anwendbarkeit des § 110 Abs. 3 S. 2 StPO allerdings angegriffen bzw. es wird bestritten, dass § 110 Abs. 3 S. 2 StPO taugliche Rechtsgrundlage zum Zugriff auf E-Mails ist, die auf dem Server des Providers gespeichert sind. So argumentiert insbesondere Brodowski, das dem Nutzer zugewiesene E-Mail-Konto sei kein räumlich getrenntes Speichermedium bzw. informationstechnisches System des Nutzers/Beschuldigten, da die Speicherung neuer E-Mails auf dem E-Mail-Konto nicht durch den Nutzer, sondern durch den E-Mail-Provider bewirkt werde und somit der E-MailSpeicherplatz nicht als ausgelagerter Speicherplatz des Betroffenen angesehen werden könne.110 Das aber ist zu eng gedacht: Allein aus dem Grund, dass

108

BVerfGE 124, 43 (46). Bauer, Soziale Netzwerke, 2018, S. 327. 110 Brodowski, JR 2009, 402 (408); ders./Eisenmenger, ZD 2014, 119 (125). 109

332

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

auch jemand anderes als der Nutzer berechtigterweise auf den Speicherplatz zugreift, entfällt die Eigenschaft als informationstechnisches System nicht. So hat das BVerfG klargestellt, dass erstens auch eine Nutzung des informationstechnischen Systems gemeinsam mit anderen Berechtigten vom personellen Schutzbereich des IT-Grundrechts erfasst ist.111 Dieses Verständnis kann insoweit übertragen werden, als dann auch einfachrechtlich ein gemeinsam von mehreren Personen genutzter Speicher ein „räumlich getrenntes Speichermedium“ im Sinne des § 110 Abs. 3 S. 2 StPO sein kann. Zweitens geht aus der verfassungsgerichtlichen Rechtsprechung hervor, dass auch der Nutzer, der bei Nutzung des informationstechnischen Systems auf Dritte angewiesen ist, dieses System „als eigenes“ nutzen kann.112 Auch diese Erkenntnis lässt sich übertragen: Nur weil jemand bei Nutzung eines Speichers auf die Mitwirkung Dritter angewiesen ist, beseitigt dies nicht die Eigenschaft des Speichers als „räumlich getrenntes Speichermedium“ im Sinne des § 110 Abs. 3 S. 2 StPO. Vor allem aber kann allein der Umstand, dass auch ein anderer als der Inhaber des Speicherplatzes berechtigterweise und mit Einverständnis des Inhabers Daten in den Speicherplatz hineingeben kann, den Schutz durch das IT-Grundrecht nicht beseitigen: Der grundrechtliche Schutz eines eines physischen Briefkastens und seiner Inhalte (zum Beispiel durch das Recht auf informationelle Selbstbestimmung oder den Schutz des Eigentums) entfällt schließlich auch nicht, weil der dafür zuständige Postbote dort täglich Briefe hineingibt. Hinzu kommt außerdem, dass der Nutzer des E-Mail-Kontos nicht nur darauf verwiesen ist, vom E-Mail-Provider ausgelieferte E-Mails zu lesen. Der Nutzer kann E-Mails vielmehr dauerhaft inklusive eventueller Dateianhänge speichern, verwalten, er kann sie kopieren, weiterleiten und verschicken, er kann Entwürfe schreiben und diese mit Anhängen in beliebiger Dateiform versehen. Häufig sind im Funktionsumfang eine E-Mail-Kontos auch Adressbücher und Terminkalender enthalten. Diese Möglichkeiten rechtfertigen die Einordnung des E-Mail-Kontos als räumlich getrenntes Speichermedium und damit auch (virtuelles) informationstechnisches System im Sinne des § 110 Abs. 3 S. 2 StPO.113 Zum anderen verneint Brodowski die Anwendbarkeit von § 110 Abs. 3 S. 2 StPO auf E-Mail-Konten und damit auf Eingriffe in Art. 10 GG mit dem Verweis darauf, dass § 110 StPO keine prozeduralen Sicherungen enthält, welche dem spezifischen Gefährdungspotential eines Zugriffs auf nach Art. 10 GG geschützte E-Mails und dem besonderen Vertrauensverhältnis zu Nachrichtenmittlern gerecht würden.114 Brodowski verweist in diesem Zu111

BVerfGE 120, 274 (315). Zu beiden Aspekten bereits oben Kap. 2 B.III.2.b)aa) und Kap. 3 A.I.1. 113 Dagegen dennoch Bell, Strafverfolgung und die Cloud, 2019, S. 93 f., die keine hinreichende Zweckbeziehung des E-Mail-Kontos zur Datenspeicherung sieht. 114 Brodowski, JR 2009, 402 (408). 112

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

333

sammenhang darauf, dass die ursprüngliche Schutzfunktion des § 110 StPO durch Reformen nach und nach ausgehöhlt worden sei. Dass § 110 StPO seine ursprüngliche Schutzfunktion eingebüßt hat, ist zwar richtig und kann aus rechtspolitischer Perspektive bemängelt werden.115 Tatsächlich beinhaltet § 110 StPO selbst keine prozeduralen Sicherungen. Aber immerhin die der Durchsicht zugrunde liegende Durchsuchung nach den §§ 102 ff. StPO steht gemäß § 105 Abs. 1 StPO unter Richtervorbehalt (insoweit zumindest vergleichbar mit §§ 100a, 100e Abs. 1 StPO). Von einem völligen Fehlen prozeduraler Sicherungen bei einem Zugriff auf E-MailKonten über § 110 Abs. 3 S. 2 StPO kann daher nicht gesprochen werden. Ein zwingender Schluss dahingehend, dass § 110 Abs. 3 S. 2 StPO aus verfassungsrechtlichen Gründen keinen Zugriff auf E-Mails bzw. Eingriffe in Art. 10 GG erlaube, lässt sich aus Brodowskis Befund, dass § 110 StPO in seiner jetzigen Fassung keine prozeduralen Sicherungen mehr beinhalte, insoweit nicht herleiten. Auf Grundlage des E-Mail-Beschlusses des BVerfG ist vielmehr davon auszugehen, dass § 110 StPO und damit auch § 110 Abs. 3 S. 2 StPO den verfassungsmäßigen Anforderungen an eine verhältnismäßige Ausgestaltung der E-Mail-Durchsicht genügt.116 Im Ergebnis ist auf Grundlage des E-Mail-Beschlusses des BVerfG davon auszugehen, dass § 110 Abs. 3 S. 2 StPO eine taugliche Rechtsgrundlage zum Zugriff auf E-Mails ist, die auf dem Server des E-Mail-Anbieters des Beschuldigten gespeichert sind.117 b) Grundrechtlicher Maßstab: IT-Grundrecht oder Fernmeldegeheimnis? Oben (Kap. 3 A.I.3.a)) wurde festgestellt, dass der Zugriff auf ruhende E-Mails auf dem Server des E-Mail-Providers in das Fernmeldegeheimnis aus Art. 10 GG eingreift. Gleichzeitig aber ist das betreffende E-Mail-Konto

115

Zur damit angesprochenen Gesetzgebungsgeschichte des § 110 StPO s. oben Kap. 2

B.I. 116 Vgl. auch Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 115 f. Selbiges ist auch den – im Ansatz berechtigten Bedenken – von Schlegel, HRRS 2008, 23 (29) zu begegnen, die dieser allerdings zeitlich vor dem E-Mail-Beschluss des BVerfG formulierte. 117 Bär, ZIS 2011, 53 (54); BeckOK-StPO/Hegmann, § 110 Rn. 14; Kasiske, StraFo 2010, 228 (233); Knierim, StV 2009, 206 (211); Herrmann/Soine´, NJW 2011, 2922 (2925); HK-StPO/Gercke, § 110 Rn. 23; Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 255 f.; Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 117; LR/Tsambikakis, § 110 Rn. 8; MüKo-StPO/Hauschild, § 110 Rn. 16; Obenhaus, NJW 2010, 651; Park, Durchsuchung, Rn. 824; Peters, NZWiSt 2017, 465 (467); SK-StPO/Wohlers/Jäger, § 110 Rn. 10; SSW-StPO/Hadamitzky, § 110 Rn. 23; Zimmermann, JA 2014, 321 (322); im Ergebnis auch Ziebarth, Online-Durchsuchung, 2013, S. 180, allerdings in Abkehr von der Rechtsprechung des BVerfG; a. A. Bell, Strafverfolgung und die Cloud, 2019, S. 93 f.; Brodowski, JR 2009, 402 (408).

334

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

des Nutzers ein externes Speichersystem im Sinne des § 110 Abs. 3 S. 2 StPO, vergleichbar mit anderen Angeboten zur Datenspeicherung wie FilehostingSpeicherplätzen bzw. dem Cloud Computing. Ebenso wie beim Filehosting können hier Daten in einem passwortgeschützten, vertraulichen Raum unter Ausschluss von Zugriffen Dritter abgespeichert werden. Die Daten werden dabei häufig Texte in E-Mails sein. An die E-Mails können aber Dateien jeglicher Art angehängt werden, insbesondere weitere Dokumente, Fotos oder auch Videos. Der Nutzer des E-Mail-Kontos kann diese Texte und Dateien dabei auch ohne mit anderen Menschen zu kommunizieren in seinen E-Mail-Speicherplatz hochladen: Entweder, indem er eine an sich selbst adressierte Mail abschickt, oder indem er einen noch nicht versendeten MailEntwurf abspeichert und so auf seinem Speicherplatz auf dem Server des Providers ablegt. Auch Dateianhänge können so auf den Speicherplatz hochgeladen werden. Der Inhaber des E-Mail-Kontos kann den zur Verfügung gestellten Speicherplatz im Netz also im Wesentlichen so nutzen wie einen Filehosting-Dienst. Auch die Grenzen zum Cloud Computing verschwimmen hierbei.118 Im Ergebnis ist auch das E-Mail-Konto auf dem Server des Providers ein hinreichend komplexes System, das potentiell in der Lage ist, eine Vielzahl von Daten zu speichern, die einen tiefgreifenden Einblick in die Persönlichkeit seines Nutzers ermöglichen. Das E-Mail-Konto ist damit ein geschütztes informationstechnisches System im Sinne des IT-Grundrechts.119 Damit sind bei einem Zugriff auf das E-Mail-Konto des Beschuldigten über § 110 Abs. 3 S. 2 StPO sowohl der Schutzbereich des Fernmeldegeheimnisses aus Art. 10 GG, als auch der Schutzbereich des IT-Grundrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG berührt. Das hierbei bestehende Konkurrenzverhältnis müsste man konsequenterweise nach allgemeinen Grundsätzen auflösen: Das allgemeine Persönlichkeitsrecht tritt inklusive aller seiner Teilausprägungen grundsätzlich hinter spezieller ausgeformten Schutzbereichen zurück.120 Das Fernmeldegeheimnis als Spezialgrundrecht verdrängt damit das IT-Grundrecht.121 So hat es auch das BVerfG in seinem E-Mail-Beschluss ausdrücklich entschieden.122 Dieses Konkurrenzverhältnis, oder besser gesagt, dessen pauschale Auflösung zugunsten von Art. 10 GG, ist aber nicht unproblematisch. Wie oben

118

Dalby, Strafverfolgung im Internet, 2016, S. 208 f.; Gähler, HRRS 2016, 340 (347). Bauer, Soziale Netzwerke, 2018, S. 228 ff.; Gaede, StV 2009, 96 (98); Hauser, ITGrundrecht, 2015, S. 97 f.; a. A. implizit BGH NJW 2021, 1252 (1255) unter Verkennung der potentiellen Tiefe, mit der die Persönlichkeit eines Menschen auch per Durchsicht seines E-Mail-Kontos ausgeforscht werden kann. 120 Vgl. BVerfGE 115, 166 (188 f.); 120, 274 (302 f.); Gurlit, NJW 2010, 1035 (1036); Sachs/Rixen, Art. 2 Rn. 66; Wegener/Muth, Jura 2010, 847 (849). 121 Dazu schon oben Kap. 2 B.III.4. 122 BVerfGE 124, 43 (57). 119

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

335

bereits beschrieben, ähnelt die Nutzung eines E-Mail-Kontos der Nutzung eines Filehosting-Angebots. In technischer Hinsicht unterscheiden sich diese beiden Speicherplätze kaum. In derjenigen Phase des E-Mail-Verkehrs, in der die E-Mails auf dem Server ruhen, funktioniert das E-Mail-Konto des Nutzers im Wesentlichen wie jedes andere externe Speichermedium. Es stehen Daten zum Abruf bereit, die heruntergeladen werden können; umgekehrt können auch Daten hochgeladen werden. Ein E-Mail-Konto kann somit im Wesentlichen wie ein gewöhnlicher Speicherplatz im Netz, auch in Form eines Cloud-Computing-Speicherplatzes, genutzt werden. Das ist in der alltäglichen Nutzungspraxis nicht selten. So schicken sich viele Nutzer E-Mails an die eigene Adresse, um sich an bestimmte Aufgaben oder Termine zu erinnern. Die selbstverschickte E-Mail kann zudem mit Textdokumenten im Anhang versehen sein, die der Nutzer von zu Hause aus an seine eigene E-Mail-Adresse schickt, um sie dann vom Büro aus von seinem Mail-Konto wieder abrufen zu können. Ähnliches gilt für Mail-Entwürfe, die der Nutzer direkt über die Benutzungsoberflächen der E-Mail-Dienste auf dem E-MailKonto und damit auf dem E-Mail-Server ablegen kann. Zum Hochladen von Dateien in sein E-Mail-Konto muss der Nutzer die Mail also nicht verschicken. In der Sache wird das E-Mail-Konto in diesen Fällen also wie ein Filehosting- oder Cloud-Dienst benutzt, nämlich als externer Speicherplatz im Netz.123 Dabei fehlt in diesen Fällen jeglicher kommunikativer Bezug der Daten.124 Der Nutzer kommunziert hier nicht mit anderen Menschen, sondern verwaltet einfach nur seine eigenen Daten auf einem ihm dafür zur Verfügung gestellten Speichersystem. Es erscheint unpassend, auch dieses nichtkommunikative Nutzungsverhalten unter den Schutz des Art. 10 GG zu stellen. Vielmehr müssten bei gleicher Nutzung wie bei einem externen Speicherplatz auch die gleichen grundrechtlichen Maßstäbe wie bei Nutzung eines externen Speicherplatzes gelten. Das wären die aus dem allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleiteten Rechte, also die informationelle Selbstbestimmung oder nach hier vertretener Ansicht das IT-Grundrecht. Aber auch im umgekehrten Fall erscheint das Konkurrenzverhältnis zwischen Fernmeldegeheimnis und IT-Grundrecht problematisch. So kann nämlich auch ein regulärer Filehosting- oder Cloud-Speicherplatz, der kein E-Mail-Konto ist, zum Zwecke der Kommunikation benutzt werden. Das ist insbesondere dann der Fall, wenn ein solcher Speicherplatz von mehreren Nutzern gemeinsam genutzt wird. So kann zum Beispiel ein Nutzer einen Cloud-Speicherdienst anmieten und die Zugangsdaten einem Freund, Be123

von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 142 f.; zweifelnd Zimmermann, JA 2014, 321 (326); ablehnend Bell, Strafverfolgung und die Cloud, 2019, S. 93 f. 124 SSW-StPO/Eschelbach, § 100a Rn. 5; anders Zimmermann, JA 2014, 321 (326).

336

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

kannten oder Verwandten mitteilen, sodass beide den externen Speicherplatz im Netz gemeinsam nutzen können.125 Gleiches gilt für einen Cloud-Speicherplatz, der von vornherein auf die Benutzung durch mehrere Nutzer ausgelegt ist, zum Beispiel in einem Unternehmen oder an einem wissenschaftlichen Lehrstuhl, an dem Projekte durch die Nutzung einer gemeinsamen Cloud koordiniert und gemeinsame Dateien bearbeitet werden. Durch diese Vernetzung ist zusätzlich zur bloßen Dateiverwaltung auch Kommunikation zwischen den beteiligten Nutzern möglich.126 Der Speicherplatz ist dann zwar kein E-Mail-Konto, er kann aber ähnlich wie eines genutzt werden.127 Bei der gemeinsam genutzten Cloud kann zum Beispiel ein Nutzer eine Textdatei, möglicherweise sogar mit förmlichem Anschreiben, verfassen und in den Cloud-Speicherplatz hochladen. Ein anderer Nutzer kann dieses an ihn gerichtete Schreiben dann herunterladen und lesen. Er kann dann seinerseits eine neue Textdatei hochladen oder die alte Textdatei verändern, um auf das ursprüngliche Schreiben zu antworten.128 Vergleichbar ist diese Vorgehensweise mit einem toten Briefkasten: Person A steckt einen Zettel mit einer geheimen Botschaft in eine Mauerritze, Person B kennt dieses Versteck und holt die Botschaft vereinbarungsgemäß ab. Person A und Person B haben dann auf diese Weise kommuniziert. Bei einer gemeinsam genutzten Cloud ist diese Art der Kommunikation ebenfalls möglich. Hier aber sind Person A und Person B auf eine technische Infrastruktur, also auf die Nutzung des Internets und in vielen Fällen auf die Mitwirkung des Providers des Speicherplatzes angewiesen – nicht anders als bei der Kommunikation durch E-Mails unter Einschaltung eines E-Mail-Providers. Die Speicherung der Daten in der Cloud ist damit vergleichbar mit der Speicherung von E-Mails in der Ruhephase auf dem Server des Providers. Für diese Speicherphase hat das BVerfG das Fernmeldegeheimnis aus Art. 10 GG als eröffnet angesehen. Für die technisch gleichgelagerte Phase bei einer gemeinsam genutzten Cloud, wenn die von Person A hochgeladene Nachricht noch auf den Abruf durch Person B wartet, dürfte dann aber konsequenterweise nichts anderes gelten.129 Anders beurteilen lässt sich lediglich die Konstellation, in der der 125

Bell, Strafverfolgung und die Cloud, 2019, S. 69; Schwabenbauer, AöR 137 (2012), 1 (19); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 142 f. Zu den grundrechtlichen Konkurrenzverhältnissen aus Perspektive der Mitnutzer s. zusätzlich unten Kap. 3 C.I.3. 126 Bäcker, in: Rensen/Brink (Hrsg), 2009, 99 (109 f.); Gähler, HRRS 2016, 340 (347); Grözinger, Cloud-Storage, 2018, S. 168; Hie´ramente/Fenina, StraFo 2009, 365 (373); Zimmermann, JA 2014, 321 (326). 127 Das gesteht auch Dalby, Strafverfolgung im Internet, 2016, S. 209 ff. zu, der dies aber als „Zweckentfremdung“ ansieht und deshalb im Ergebnis Cloud-Speicher und E-MailKonten für nur eingeschränkt vergleichbar hält. 128 Hie´ramente/Fenina, StraFo 2009, 365 (373). 129 Anders aber dennoch Bell, Strafverfolgung und die Cloud, 2019, S. 70, mit Verweis

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

337

Cloud-Server bzw. Fileserver, also die zugehörige Hardware, im Besitz eines der beiden Nutzer steht, wenn also Person A den Server bereitstellt, den er gemeinsam mit Person B benutzt. Dann könnte jedenfalls hinsichtlich der Person A die spezifische Gefährdungslage eines Telekommunikationsvorgangs zu verneinen sein, durch die nach dem E-Mail-Beschluss des BVerfG auch die auf dem Server ruhenden Kommunikationsinhalte unter Art. 10 GG fallen130 – denn hier stellt sich der Dateiserver gleichzeitig als lokales System der Person A da und wäre unter diesem Gesichtspunkt nicht anders zu behandeln als ein sonstiger PC im Besitz der Person A, zu dessen Nutzung Person A nicht auf einen dritten Dienstleister angewiesen ist. Damit wäre jedenfalls für Person A hinsichtlich der ruhenden Inhalte auf dem Server nicht Art. 10 GG, sondern das IT-Grundrecht einschlägig, ein Konkurrenzverhältnis bestünde nicht.131 Hinsichtlich Person B ist dies aber schon wieder zweifelhaft, sofern Person B nicht auch den gleichen (physischen) Zugriff auf den von Person A bereitgestellten Server hat: Person B als Nichtinhaber des Servers wäre schon eher auf die Mitwirkung eines anderen, hier Person A, angewiesen, was sich aus seiner Sicht möglicherweise nicht von der Konstellation einer Anmietung von Speicherplatz bei einem kommerziellen Anbieter unterscheidet.132 Bejaht man aus Sicht der Person B hier also eine spezifische

darauf, dass die auf dem Cloud-Speicher ruhenden Kommunikationsdaten nicht so gefährdet sind wie bei einer vergleichbaren Kommunikation über E-Mail, da die Daten „immer auf den Servern eines Kommunikationsteilnehmers gespeichert seien“. Diese Differenzierung überzeugt aber nicht, da man das gleiche Argument für E-Mail-Konten anbringen könnte. Tatsächlich aber sind beide Einrichtungen, da technisch überwiegend gleich, auch rechtlich gleich zu behandeln: Die Daten sind zwar auf einem Server gespeichert, die Abhängigkeit vom Betreiber dieses Servers ist aber bei Cloud-Speicher einerseits und E-Mail-Konto andererseits gleichermaßen gegeben. 130 BVerfGE 124, 43 (54 ff.), ausführlich dazu schon oben Kap. 2 B.III.4. 131 Kommunikationsdaten, die nach Abschluss des Übertragungsvorgangs auf dem Rechner des Kommunikationsteilnehmers gespeichert sind, unterfallen nicht dem Schutzbereich des Art. 10 GG, BVerfGE 115, 166 (183 ff.); 124, 43 (54). 132 Denkbar wäre aber auch eine Differenzierung für den Fall, dass Person A und Person B ein engeres privates Verhältnis haben: Dann ist Person B vielleicht doch vergleichsweise weniger abhängig von Person A als „Dienstleister“ durch Bereitstellung des Servers und eine spezifische Gefährdungslage wäre doch wieder zu verneinen. Unabhängig davon wäre es aber auch denkbar, die spezifische Gefährdungslage für alle Kommunikationsteilnehmer einheitlich zu verneinen, wenn wenigstens einer der Kommunikationsteilnehmer die Herrschaft über den Server und damit die maßgebliche Infrastruktur innehat. Nicht zuletzt wäre aber auch umgekehrt zu erwägen, ob eine Gefährdungslage nicht doch immer für alle deshalb vorliegt, weil zur Übertragung der Daten eine Internetverbindung nötig ist, deren Bestehen dann doch zwangsläufig von Dritten (Internetprovider) abhängig ist. Die Fragen sollen hier nicht alle entschieden werden. Sie zeigen aber auf, wie sehr man hier differenzieren kann, ohne dass man dabei mehr Klarheit über die Frage nach dem richtigen Schutzbereich gewinnt.

338

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

grundrechtliche Gefährdungslage im Sinne des E-Mail-Beschlusses des BVerfG, dann ist aus Sicht von Person B der Schutzbereich des Art. 10 GG hinsichtlich der auf dem Server ruhenden Kommunikationsinhalte eröffnet. Diese Divergenz der Schutzbereiche ist angesichts der Tatsache, dass es sich in beiden Fällen, also sowohl aus Sicht von Person A als auch aus Sicht von Person B, um die selben Daten handelt und beide über den selben Server miteinander kommunizieren, zumindest bemerkenswert. Endgültig kompliziert wird das Konkurrenzverhältnis zwischen ITGrundrecht und Fernmeldegeheimnis nun dadurch, dass, wie gezeigt, weder ein E-Mail-Konto noch ein (sonstiger) Speicherplatz im Netz, zum Beispiel im Rahmen des Cloud Computings, zwingend einer bestimmten, reinen Nutzungsweise zuzuordnen ist. Beide technischen Einrichtungen können sowohl zur Kommunikation, als auch zur Dateiverwaltung ohne Kommunikationsbezug verwendet werden. Weder wird das E-Mail-Konto immer zum Versand von Mails und damit zur Telekommunikation im Sinne des Art. 10 GG verwendet, noch muss der Cloud-Speicher immer nur zur nichtkommunikativen Dateiverwaltung benutzt werden. Bei beiden Arten von Internetdiensten werden also häufig gemischte Formen der Nutzung vorliegen.133 Die Problematik des Konkurrenzverhältnisses der einschlägigen Grundrechte liegt vor allem darin, dass das Fernmeldegeheimnis als Spezialgrundrecht das allgemeinere Persönlichkeitsrecht und damit auch das IT-Grundrecht als Teilausprägung des allgemeinen Persönlichkeitsrechts grundsätzlich verdrängt. Sobald auf einem Speicherplatz im Netz, egal welcher Art, eine abgelegte Datei Bestandteil von geschützter Kommunikation wird, muss das IT-Grundrecht hinter dem Fernmeldegeheimnis zurücktreten. Eine Abgrenzung, ob der Speicherplatz gerade zur Kommunikation genutzt wird, wurde oder werden sollte, oder ob der Speicherplatz lediglich der statischen Dateiverwaltung diente, erscheint aber oft nicht möglich.134 Insbesondere aus der Perspektive staatlicher Ermittler wird bei einem Zugriff auf den externen Speicherplatz im Vorhinein nicht immer klar sein, ob die dort erhobenen Daten Bestandteil geschützter Kommunikation sind oder nicht – das wird, wenn überhaupt, erst bei oder nach der Auswertung der erhobenen Daten ermittelt werden können. Die Einstufung, auf welche Art von Speichersystem und welche Art von Daten zugegriffen wird, ist aber wichtig, um folgern zu können, in welches Grundrecht eingegriffen wird. Je nachdem, welcher 133

Hie´ramente/Fenina, StraFo 2009, 365 (373); vgl. zu den Abgrenzungsschwierigkeiten insgesamt Gähler, HRRS 2016, 340 (347); s. zum Phänomen der Vermischung verschiedener Medien und Dienste („digitale Konvergenz“) auch Dalby, Strafverfolgung im Internet, 2016, S. 28 f. 134 Bäcker, in: Rensen/Brink (Hrsg), 2009, 99 (109 f.); Gähler, HRRS 2016, 340 (347); Hauser, IT-Grundrecht, 2015, S. 143 f.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 132; Singelnstein, NStZ 2012, 593 (595).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

339

grundrechtliche Schutzbereich einschlägig ist, können sich nämlich andere Maßstäbe bei Beurteilung der Verhältnismäßigkeit des Eingriffs ergeben. Insbesondere wenn man die Prämisse zugrunde legt, dass das IT-Grundrecht einen grundsätzlich stärkeren grundrechtlichen Schutz bietet als das Fernmeldegeheimnis (was nicht so sein muss – dazu sogleich), ist die Ermittlung des im konkreten Fall einschlägigen Schutzbereichs bedeutsam. Gleichzeitig ergibt sich unter dieser Prämisse aber auch das Problem, dass mit dem ITGrundrecht ein potentiell stärker schützendes Grundrecht durch ein potentiell schwächer schützendes Grundrecht verdrängt würde, was im Ergebnis den grundrechtlichen Schutz des Betroffenen schwächt.135 Ohne hier in dieser Arbeit den Anspruch zu erheben, die oben dargestellten Probleme vollständig und widerspruchsfrei lösen zu können, soll hier wenigstens ein Vorschlag zur Lösung präsentiert werden. Dem Problem, dass Ermittler im Vorhinein nicht immer wissen können, ob der Speicherplatz im Netz zur Kommunikation benutzt wird oder nicht, kann in einem ersten Schritt dadurch begegnet werden, dass das einschlägige Grundrecht danach bestimmt wird, welche Form der Nutzung rein äußerlich betrachtet naheliegt, also welches Nutzungsverhalten typisch für die Art des in Rede stehenden Internetangebots ist.136 Bei der Nutzung eines E-Mail-Kontos ist die Nutzung als Kommunikationsmittel regelmäßig indiziert. Fälle, in denen jemand ein E-Mail-Konto anlegt, um dieses Konto ausschließlich oder auch nur vorrangig als Speicherplatz ohne kommunikativen Bezug zu nutzen, werden äußerst selten sein. Greifen Ermittler über § 110 Abs. 3 S. 2 StPO also auf ein E-Mail-Konto zu, so ist davon auszugehen, dass dieser Zugriff an Art. 10 GG zu messen ist. Umgekehrt kann bei der Nutzung eines Cloudspeicherplatzes oder anderer Speicherplätze im Netz im Regelfall davon ausgegangen werden, dass diese nicht zur Kommunikation im Sinne des Art. 10 GG benutzt werden. Der Schwerpunkt liegt hier auf auf der Nutzung als Speicherplatz, womit die Eröffnung des Schutzbereichs des IT-Grundrechts indiziert ist. Diese Abgrenzung nach typischer Nutzungsart birgt aber immer noch die Gefahr, dass sich Ermittler bei der Einstufung des Speichermediums irren. Zudem kann dadurch eine gemischte Nutzung eines Speicherplatzes, bei dem eventuell auch gar nicht klar ist, ob Dateiverwaltung und Kommunikation überhaupt voneinander trennbar sind, nicht eindeutig beurteilt werden.137 Diesen Schwierigkeiten ist in einem zweiten Schritt dadurch zu begegnen, dass die Schutzstandards von Fernmeldegeheimnis und IT-Grundrecht im Falle eines Zugriffs auf ein externes Speichermedium im Sinne des § 110 135 Vgl. Bauer, Soziale Netzwerke, 2018, S. 233 („Pyrrhussieg“); Britz, DÖV 2008, 411 (414 f.); s. auch Aernecke, Schutz elektronischer Daten, 2012, S. 159. 136 Vgl. Hauser, IT-Grundrecht, 2015, S. 144 f. 137 von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 142; vgl. auch Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.I.3.a)aa)(a)(bb)(2) (via juris).

340

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Abs. 3 S. 2 StPO angeglichen werden. Damit wird verhindert, dass irrtümlicherweise ein zu schwacher grundrechtlicher Schutzstandard an die Maßnahme angelegt wird.138 Die Unterschiede zwischen Fernmeldegeheimnis und IT-Grundrecht werden in diesen Fällen also zugunsten eines einheitlichen Schutzstandards eingeebnet. Für den materiellen grundrechtlichen Schutz macht es dann keinen Unterschied mehr, ob formal gesehen in das Fernmeldegeheimnis oder das IT-Grundrecht eingegriffen wird. Im Vordergrund steht dann eine Verhältnismäßigkeitsprüfung im Einzelfall, unabhängig von den berührten grundrechtlichen Schutzbereichen. Die sich daraus ergebenden Zugriffsschranken gelten dann grundrechtsübergreifend.139 Ein solches methodisches Vorgehen ist auch der verfassungsgerichtlichen Rechtsprechung nicht fremd. So hat das BVerfG im E-Mail-Beschluss eine Angleichung oder zumindest Annäherung zwischen Fernmeldegeheimnis und informationeller Selbstbestimmung vorgenommen, und zwar dadurch, dass es die aus dem Recht auf informationelle Selbstbestimmung fließenden Schutzstandards auf das Fernmeldegeheimnis übertragen hat. Ausdrücklich betraf das zumindest die Maßstäbe der Normenbestimmtheit und Normenklarheit, die das BVerfG zuvor anhand von Eingriffen in das Recht auf informationelle Selbstbestimmung entwickelt hatte.140 Damit hat das BVerfG sichergestellt, dass durch die Anwendung von Art. 10 GG nicht höhere Schutzstandards, die über Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG gewährleistet sind, unterlaufen werden. Hierin kommt ein Grundrechtsverständnis zum Ausdruck, das sich weniger an der konkreten Schutzbereichszuordnung und mehr an übergreifenden, materiellen Anforderungen zur Rechtfertigung von Grundrechtseingriffen orientiert.141 Es spricht damit einiges dafür, beim Zugriff auf den 138 Vgl. Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 132, der sich im Zweifel für die Anwendung des höchsten grundrechtlichen Schutzniveaus ausspricht. 139 Zum Konzept einer grundrechtsübergeifenden Schrankensystematik Gurlit, NJW 2010, 1035 (1037 ff.); speziell zur Kombination der Schutzgehalte von IT-Grundrecht und Fernmeldegeheimnis Bauer, Soziale Netzwerke, 2018, S. 234; Britz, DÖV 2008, 411 (414 f.); ähnlich Hauser, IT-Grundrecht, 2015, S. 145, der hier das IT-Grundrecht neben dem Fernmeldegeheimnis zur Anwendung bringen will; so auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 191 f.; Bosesky/Hoffmann/Schulz, DuD 2013, 95 (100); Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.I.3.a)aa)(a)(bb)(2) (via juris); vgl. auch Wenzel, NZWiSt 2016, 85 (89 f.) und Schwabenbauer, AöR 137 (2012), 1 (20), der aber im Zweifel immer Art. 10 GG zur Anwendung bringen will, sogar bei nicht kommunikationsbezogenen Inhalten einer Cloud; für Anwendung des Art. 10 GG in Zweifelsfällen auch Bäcker, in: Rensen/Brink (Hrsg), 2009, 99 (109 f.), ggf. aber unter Ergänzung durch das IT-Grundrecht (131 f.). 140 BVerfGE 124, 43 (60). 141 So Gurlit, NJW 2010, 1035 (1041); s. auch Hauser, IT-Grundrecht, 2015, S. 132; 149 f.; Schwabenbauer, AöR 137 (2012), 1 (33); vgl. ferner Aernecke, Schutz elektronischer Daten, 2012, S. 169 ff. Ein ähnliches Verständnis ist auch BVerfG NJW 2016, 3508 (3510 f.)

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

341

E-Mail-Datenbestand über § 110 Abs. 3 S. 2 StPO ebenso gleichlaufende Schutzstandards zwischen IT-Grundrecht und Fernmeldegeheimnis anzunehmen. c) Eingriff in das IT-Grundrecht durch Zugriff auf Ausgangssystem des Beschuldigten Die oben dargestellten Abgrenzungsschwierigkeiten zwischen IT-Grundrecht und Fernmeldegeheimnis verlieren insoweit ihre Brisanz, als ein Zugriff auf ein E-Mail-Konto über § 110 Abs. 3 S. 2 StPO notwendigerweise voraussetzt, dass in einem ersten Schritt auf ein lokales informationstechnisches System des Beschuldigten (oder eines Dritten im Falle des § 103 StPO) zugegriffen wird. Von diesem lokalen System aus wird erst in einem zweiten Schritt auf das externe System, hier das E-Mail-Konto des Beschuldigten, zugegriffen. Der erste Zugriff auf das lokale informationstechnische System gemäß § 110 Abs. 3 S. 1 StPO bewirkt bereits einen Eingriff in das IT-Grundrecht. Das lokale informationstechnische System als solches steht nicht unter dem Schutz des Art. 10 GG. Der durch Zugriff auf das lokale System eröffnete Schutzbereich des IT-Grundrechts kann also nicht vom Fernmeldegeheimnis aus Art. 10 GG verdrängt werden. Die durch Fernzugriff auf das (externe) E-Mail-Konto gemäß § 110 Abs. 3 S. 2 StPO bewirkte Eröffnung des Schutzbereichs aus Art. 10 GG schlägt insoweit auch nicht auf die Eröffnung des Schutzbereichs des IT-Grundrechts beim lokalen informationstechnischen System durch. Vielmehr bestehen hier voneinander abgegrenzte Schutzsphären, vergleichbar dem Verhältnis zwischen Wohnungsgrundrecht und IT-Grundrecht bei Durchsicht eines lokalen informationstechnischen Systems. Findet eine Hausdurchsuchung statt, so ist der Schutzbereich aus Art. 13 GG eröffnet. Das aber führt nicht dazu, dass eine während dieser Hausdurchsuchung vorgenommene Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO ausschließlich am Maßstab der Unverletzlichkeit der Wohnung aus Art. 13 GG zu messen wäre. Vielmehr ist die Durchsicht des informationstechnischen Systems an eigenständigen Schutzbereichen, also nach hier vertretener Auffassung dem IT-Grundrecht, zu messen.142 Art. 13 GG verdrängt das IT-Grundrecht hierbei nicht, vielmehr kommen beide Gewährleistungen nebeneinander zur Geltung. Selbiges muss nun auch gelten, wenn es nach

zu entnehmen, wo das Gericht für den Schutz der Grundrechte des Einzelnen nicht die Zuordnung des beeinträchtigten Verhaltens zum richtigen Schutzbereich für maßgeblich hält, sondern die aus den Grundrechten entwickelten Maßstäbe zur Rechtfertigung des Eingriffs. 142 Zum Ganzen oben Kap. 2 B.III.1.b).

342

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Berührung des Art. 13 GG und des IT-Grundrechts auf lokaler Ebene zu einer Berührung des Art. 10 GG im Rahmen eines sich anschließenden Fernzugriffs auf Grundlage des § 110 Abs. 3 S. 2 StPO kommt. Hier wird auf ein weiteres, abgegrenztes System zugegriffen, sodass der dabei eröffnete grundrechtliche Schutzbereich ebenso neben den anderen Gewährleistungen eröffnet bleiben muss. Bei einem im Rahmen einer Hausdurchsuchung durchgeführten Fernzugriff auf ein E-Mail-Konto nach § 110 Abs. 3 S. 2 StPO kommen im Ergebnis also drei grundrechtliche Schutzbereiche nebeneinander zur Anwendung: Die Unverletzlichkeit der Wohnung aus Art. 13 GG durch das Betreten der Wohnung auf Grundlage der §§ 102, 103 StPO, das IT-Grundrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG durch die Durchsicht des lokalen informationstechnischen Systems auf Grundlage des § 110 Abs. 3 S. 1 StPO und das Fernmeldegeheimnis aus Art. 10 GG durch den Fernzugriff auf das E-MailKonto auf Grundlage des § 110 Abs. 3 S. 2 StPO. 4. Profile auf Social-Media-Plattformen und ähnlichen Angeboten Das Internet bietet mittlerweile eine Vielzahl von sogenannten Social-MediaPlattformen (auch: Soziale Medien, Soziale Netzwerke). Das sind Internetangebote, die unter anderem darauf ausgelegt sind, bestehende soziale Kontakte der Nutzer abzubilden, diese zu pflegen und gegebenenfalls auch neue Kontakte zu knüpfen. Neben der Möglichkeit, mit anderen Nutzern per öffentlichen Postings oder auch privaten Messenger-Chats zu kommunizieren, steht hierbei auch die Selbstdarstellung der Nutzer durch die Veröffentlichung von Fotos, Videos und Texten im Vordergrund. Der Nutzer tritt hierbei häufig unter seinem Klarnamen auf, kann aber auch ein Pseudonym wählen.143 Bekannte Social-Media-Plattformen sind facebook, Instagram und Twitter, teils wird auch das Videoportal YouTube zu den sogenannten sozialen Medien gezählt144. Die drei genannten Plattformen befinden sich im Besitz US-amerikanischer Unternehmen. Rein deutsche Social-Media-Plattformen wie werkenntwen (mittlerweile abgeschaltet)145 oder studiVZ haben gegenüber den großen US-amerikanischen Plattformen deutlich geringere Relevanz.146 143 Zu den Kriterien der Einstufung von Internetangeboten als „virtuelle soziale Netzwerke“ s. Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 38 ff.; s. auch Bauer, Soziale Netzwerke, 2018, S. 28 ff.; Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 29 f. 144 Anders aber z. B. Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 49. 145 Holland, heise online v. 06.05.2014, https://www.heise.de/newsticker/meldung/Sozia le-Netzwerke-RTL-schliesst-Wer-kennt-wen-zum-2-Juni-2183229.html [zuletzt abgerufen am 04.11.2021]. 146 Vgl. Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 28; Ihwas,

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

343

Im Zuge strafrechtlicher Ermittlungen können Social-Media-Plattformen wertvolle Informationen in Form vielfältiger personenbezogener Daten bieten. Insbesondere die mit Zeitstempeln versehenen Postings, aber auch Fotos und Videos können Anwesenheit oder Abwesenheit von Beschuldigten an Tatorten belegen und widerlegen. Die Auswertung von Nutzerprofilen kann zudem auch insgesamt einen weitreichenden Einblick in die Persönlichkeit des Nutzers bieten und somit dabei helfen, mögliche Tatmotive des Beschuldigten zu ergründen. Daher stehen Nutzerprofile auf Social-Media-Plattformen immer häufiger im Fokus der Ermittlungsbehörden.147 Fraglich ist, ob der Zugriff auf Nutzerprofile auf Social-Media-Plattformen auf § 110 Abs. 3 S. 2 StPO gestützt werden kann. Zur Beantwortung dieser Frage ist zunächst zwischen öffentlichen und nicht öffentlichen Daten zu unterscheiden. Social-Media-Plattformen dienen insbesondere der Selbstdarstellung des Nutzers im Internet. Der Nutzer hat die Möglichkeit, Texte, Fotos und Videos von sich hochzuladen, zu veröffentlichen und somit grundsätzlich der ganzen Welt verfügbar zu machen. Zwar bieten die meisten Plattformen die Möglichkeit, die Sichtbarkeit der hochgeladenen Inhalte einzuschränken. So kann die Sichtbarkeit nur auf registrierte Nutzer oder mit dem Nutzer über das Netzwerk verbundene „Freunde“, also auf bestimmte andere Accounts, beschränkt werden. Häufig und standardmäßig sind die hochgeladenen Inhalte aber für jedermann durch bloßen Seitenaufruf einsehbar. Für diese öffentlich zugänglichen Daten kommt eine Anwendung des § 110 Abs. 3 S. 2 StPO von vornherein nicht in Betracht. Eingriffsgrundlage für die Erhebung öffentlich zugänglicher Daten ist die Ermittlungsgeneralklausel in §§ 161 Abs. 1, 163 Abs. 1 StPO.148 Das Aufrufen öffentlich zugänglicher Inhalte von Internetseiten ist kein Eindringen in eine vertrauliche Sphäre, in der Daten mit berechtigter Vertraulichkeitserwartung vor der Einsichtnahme durch Dritte geschützt wären. Im Gegenteil will der Inhaber bei Veröffentlichung der Daten, dass eine unbestimmte Allgemeinheit, also ein nicht weiter beschränktes Publikum, auf die veröffentlichten Inhalte des Profils zugreift. Strafverfolgung in Sozialen Netzwerken, 2014, S. 46; Schwarzer, RND v. 18.01.2020, htt ps://www.rnd.de/medien/friedhof-der-gruscheltiere-ein-besuch-im-leeren-studivz-BPY3F YWHSBH6DHDDHZ4RY4DYNA.html [zuletzt abgerufen am 04.11.2021]; Überblick zu weiteren deutschen Angeboten bei Henrichs/Wilhelm, Kriminalistik 2010, 30 (31 – Fn. 5). 147 Ausf. Bauer, Soziale Netzwerke, 2018, S. 47 ff.; Henrichs/Wilhelm, Kriminalistik 2010, 30 (32 f.); Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 107 ff.; Singelnstein, NStZ 2012, 593 (599); Fallbeispiele bei Müller, Kriminalistik 2012, 295 (297 ff.). 148 Dalby, Strafverfolgung im Internet, 2016, S. 44 (vert. für die Ausforschung sozialer Netzwerke S. 46 ff.); Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 117; Kudlich, GA 2011, 193 (198 f.); MüKo-StPO/Kölbel, § 161 Rn. 11; SK-StPO/Weßlau/Deiters, § 161 Rn. 14.

344

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Der Aufruf dieser Profilinhalte durch staatliche Ermittler greift damit grundsätzlich nicht in die Grundrechte des Betroffenen ein und muss daher nicht spezialgesetzlich geregelt werden. Nur ausnahmsweise liegt hier ein Eingriff in das Recht auf informationelle Selbstbestimmung vor, und zwar dann, wenn die Erhebung der öffentlichen Inhalte im Rahmen einer systematischen Sammlung und Auswertung von Daten über den Betroffenen erfolgt und sich daraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergibt.149 Aber auch in diesem Fall ist die Ermittlungsgeneralklausel als Ermächtigungslage ausreichend.150 Mit dem Ausforschen eines externen Speichersystems im Sinne des § 110 Abs. 3 S. 2 StPO hat der Abruf öffentlich zugänglicher Daten jedenfalls nichts zu tun.151 Für § 110 Abs. 3 S. 2 StPO relevant ist dagegen der Fall, in dem der Nutzer des Social-Media-Profils die Inhalte nicht öffentlich zugänglich gemacht hat, sodass diese im Ergebnis nur vom angemeldeten Nutzer selbst eingesehen werden können. Die hochgeladenen Daten sind dadurch effektiv passwortgeschützt, von keinem unbefugten Dritten einsehbar und unterliegen damit einer berechtigten Vertraulichkeitserwartung des Nutzers.152 Fraglich ist allerdings, ob das dem Nutzer zugewiesene Profil ein Speichermedium im Sinne des § 110 Abs. 3 S. 2 StPO ist. Grundsätzlich zielt ein Social-Media-Profil nicht auf die Speicherung von Daten, sondern auf deren Veröffentlichung und Verbreitung ab. Die Möglichkeit, Texte, Fotos und Videos auch ohne die Absicht der Veröffentlichungen in das Nutzerprofil hochzuladen, ist dabei nur untergeordnete Nebenfunktion, oder besser gesagt ein bloßer Nebeneffekt des Social-Media-Profils. Hinzu kommt, dass dem Inhaber des Profils in aller Regel keine flexible Infrastruktur zum Verwalten der Daten bereitgestellt wird. Es existiert keine an die Nutzung privater lokaler Computersysteme angelehnte Ordnerstruktur. Das Kopieren und Einfügen von Daten ist nicht wie bei einem lokalen Betriebsystem möglich. Auch ist die Art der hochgeladenen Daten technisch häufig beschränkt: Zwar können Texte, Fotos und Videos unter Verwendung der dafür vorgesehenen Eingabemasken in das Social-Media-Profil hochgeladen werden. Das Hochladen von Tabellendateien, Office-Dokumenten, PDF-Dateien und dergleichen ist dagegen in der Regel nicht möglich. In dieser Hinsicht unterscheidet sich der Speicherplatz des Social-Media-Profils von einem

149

BVerfGE 120, 274 (344 f.); Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 42; strenger Bauer, Soziale Netzwerke, 2018, S. 107 f.; s. auch Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 234 f. 150 Ausf. Bauer, Soziale Netzwerke, 2018, S. 121 ff.; s. auch Kudlich, GA 2011, 193 (198 f.); MüKo-StPO/Kölbel, § 161 Rn. 11; Singelnstein, NStZ 2012, 593 (600). 151 Vgl. auch HK-StPO/Gercke, § 110 Rn. 16. 152 Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 132 f.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

345

Filehosting- bzw. Cloud-Speicherplatz und auch von einem E-MailKonto.153 Aus dem im Vergleich zu Cloud- und Maildiensten limitierten Funktionsumfang des Social-Media-Profils lässt sich somit ableiten, dass das SocialMedia-Profil in der Nutzungspraxis keine Ersatz- oder Ergänzungsfunktion zur lokalen Speicherung von Daten auf der Festplatte des eigenen PCs aufweist.154 Mit Blick auf die Gesetzesbegründung zur Schaffung des § 110 Abs. 3 S. 2 StPO ist aber eine solche Ersatz- oder zumindest Ergänzungsfunktion zu verlangen. § 110 Abs. 3 S. 2 StPO bezweckt die Herstellung der Äquivalenz zwischen lokalen und externen Speichermedien aus Sicht der Ermittler, um diesen den Zugriff auch auf externe Speichermedien zu ermöglichen und so dem Verlust von Daten als Beweismaterial vorzubeugen.155 Das heißt, wenn Ermittler im Rahmen einer Durchsuchung ein informationstechnisches System durchsehen, soll es grundsätzlich keinen Unterschied machen, ob die Daten lokal auf dem informationstechnischen System gespeichert sind oder vom Beschuldigten auf ein externes informationstechnisches System ausgelagert wurden. Ebenso wie es für die Nutzungspraxis des Beschuldigten keinen großen Unterschied machen soll und es eventuell sogar bloßen Zufälligkeiten beim Nutzungsverhalten unterliegt, ob die Daten gerade lokal oder extern gespeichert sind,156 soll dies auch für die durchsuchenden Ermittler grundsätzlich nicht entscheidend sein.157 Der Zugriff auf das externe Speichermedium ist also deshalb erlaubt, weil es vom Beschuldigten so genutzt wird wie ein lokales Speichermedium.158 Unter dieser Prämisse ist es aber Voraussetzung, dass das externe Speichermedium im Wesentlichen so genutzt werden kann wie ein lokales Speichermedium. Diese einschränkende Voraussetzung ist auch deshalb sachgerecht, um den ansonsten uferlosen Anwendungsbereich des § 110 Abs. 3 S. 2 StPO einzugrenzen und auch dem Tatbestandsmerkmal „Speichermedien“ (im Gegensatz zu irgendwelchen Medien und Internetinhalten) einen Sinngehalt zu belassen. Der Wortlaut „Speichermedien“ spricht also dagegen, § 110 Abs. 3 S. 2 StPO als Generalermächtigung zum Zugriff auf jegliche Internetinhalte 153

Für E-Mail-Konten abweichend Bell, Strafverfolgung und die Cloud, 2019, S. 93 f., die diese pauschal vom Anwendungsbereich des § 110 Abs. 3 S. 2 StPO ausgeschlossen sieht. 154 Bauer, Soziale Netzwerke, 2018, S. 329. 155 Vgl. BT-Drs. 16/5846, S. 63; Bauer, Soziale Netzwerke, 2018, S. 329; HKStPO/Gercke, § 110 Rn. 16; Schlegel, HRRS 2008, 23 (29). 156 Vgl. dazu Hie´ramente/Fenina, StraFo 2009, 365 (373), die konstatieren, dass es für durchschnittlichen Computernutzer gar nicht immer nachvollziehbar ist, welche Daten ausschließlich auf der lokalen Festplatte gespeichert sind und welche sich an einem externen Speicherort befinden. 157 Bauer, Soziale Netzwerke, 2018, S. 329. 158 Vgl. Brodowski/Eisenmenger, ZD 2014, 119 (121).

346

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

zu interpretieren. Die Speicherung von Daten muss zumindest ein Hauptzweck des Mediums sein.159 Diese Auslegung steht auch nicht im Konflikt mit Art. 19 Abs. 2 der Convention on Cybercrime. Zwar dient § 110 Abs. 3 S. 2 StPO der Umsetzung der Verpflichtungen aus diesem Übereinkommen,160 sodass davon auszugehen ist, dass der Gesetzgeber den Begriff des Speichermediums in § 110 Abs. 3 S. 2 StPO möglichst deckungsgleich zu dem in Art. 19 Abs. 2, Art. 1 lit. a) Convention on Cybercrime verwendeten Begriff des Computersystems ausgestalten wollte.161 Selbst wenn man nun aber davon ausginge, dass die Definition des Computersystems aus Art. 1 lit. a) Convention on Cybercrime auch Social-Media-Profile umfasst,162 so bedeutete eine Auslegung des § 110 Abs. 3 S. 2 StPO, die die Anwendbarkeit auf SocialMedia-Profile ausschließt, nicht automatisch einen Verstoß gegen die Convention on Cybercrime. Die Convention on Cybercrime verpflichtet den deutschen Gesetzgeber nicht, mit § 110 Abs. 3 S. 2 StPO eine einzige, allgemeine Norm zu erschaffen, mit der sämtliche Computersysteme im Sinne des Übereinkommens einheitlich erfasst würden. Vielmehr verpflichtet Art. 19 Abs. 2 Convention on Cybercrime lediglich allgemein dazu, gesetzgeberische Maßnahmen dahingehend zu treffen, dass Behörden Daten von einem räumlich getrennten Computersystem einsehen und sichern dürfen. Dieser Verpflichtung kann der Gesetzgeber auch durch Schaffung mehrerer verschiedene Ermächtigungsgrundlagen nachkommen: Der Zugriff auf Inhalte von Social-Media-Profilen ist de lege lata im Fall öffentlicher Daten über die Ermittlungsgeneralklausel aus §§ 161 Abs. 1, 163 Abs. 1 StPO erlaubt (siehe oben); für nichtöffentliche Daten kommt zum Beispiel eine Anwendung des § 100a StPO163 oder § 100b StPO in Betracht. Der Begriff des Speichermediums aus § 110 Abs. 3 S. 2 StPO wird in dieser Hinsicht also nicht zwingend durch den Begriff des Computersystems aus Art. 19 Abs. 2, Art. 1 lit. a) Convention on Cybercrime determiniert. Auch vor dem Hintergrund der Verpflichtungen aus der Convention on Cybercrime erscheint damit eine beschränkte Anwendung des § 110 Abs. 3 S. 2 StPO nur auf Systeme, deren Hauptzweck das Speichern von Daten ist, sachgerecht. Das Social-Media-Profil dient in seinem Hauptzweck nicht der Speicherung von Daten. Es kann nicht im gleichen Funktionsumfang wie ein lokaler Speicherplatz zum Speichern und Verwalten von Daten verwendet werden. Der mit dem Social-Media-Profil einhergehende Speicherplatz unterliegt in 159

Bell, Strafverfolgung und die Cloud, 2019, S. 94; Brodowski/Eisenmenger, ZD 2014, 119 (121); skeptisch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 381 f. 160 BT-Drs. 16/5846, S. 63 f. 161 Bauer, Soziale Netzwerke, 2018, S. 328. 162 Bauer, Soziale Netzwerke, 2018, S. 328. 163 Bauer, Soziale Netzwerke, 2018, S. 296.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

347

seiner Bedienung und der Art der Daten, die dort eingespeist werden können, technischen Restriktionen. Social-Media-Profile sind auf die Bedürfnisse der Kommunikation in sozialen Netzwerken zugeschnitten, nicht aber auf die Nutzung als Datenspeicher zur Ergänzung oder gar zum Ersatz der lokalen Speichermöglichkeiten des Nutzers. Im Gegensatz zur Nutzungspraxis bei einem E-Mail-Konto, bei der sich der Nutzer an die eigene E-Mail-Adresse Textnachrichten und beliebige Dateianhänge schicken kann, um diese auch mobil abrufen zu können, wird das Hochladen von Texten, Fotos und Videos auf das Social-Media-Profil nur im Ausnahmefall diese Art der Nutzung bezwecken. Es geht bei der Nutzung eines Social-Media-Profils also nicht darum, Daten insgesamt zu verwalten, sondern lediglich ausgewählte Daten auf das Social-Media-Profil zu laden, selbst wenn sie im Einzelfall auch mal unveröffentlicht bleiben mögen. Die – ohnehin nur eingeschränkt mögliche – Datenverwaltung ist hier also nicht Selbstzweck, sondern ist bereits rein technisch immer nur auf die (spätere) Veröffentlichung der Inhalte im sozialen Netzwerk ausgerichtet. Einen wirklichen Ersatz oder auch nur eine effektive Ergänzung zur lokalen Festplatte stellen Social-Media-Profile damit weder in technischer Hinsicht noch im Rahmen der üblichen Nutzungspraxis dar. Social-Media-Profile fungieren damit nicht als Ergänzung oder Ersatz zu einer Speicherung von Daten auf dem lokalen informationstechnischen System des Nutzers.164 Im Ergebnis sind Nutzerprofile auf Social-Media-Plattformen damit keine räumlich getrennten Speichermedien im Sinne des § 110 Abs. 3 S. 2 StPO. Der Zugriff auf im Nutzerprofil gespeicherte Daten kann damit nicht auf § 110 Abs. 3 S. 2 StPO gestützt werden.165 5. Ergebnisse Durch die Erörterung einzelner Typen von Speicherangeboten im Internet haben sich die folgenden Leitlinien zum Anwendungsbereich des § 110 Abs. 3 S. 2 StPO ergeben. Erstens kommt eine Anwendung des § 110 Abs. 3 S. 2 StPO nur in Betracht, wenn es den Ermittlern darum geht, auf nichtöffentliche Datenbestände zuzugreifen. Die Erhebung öffentlich zugänglicher Daten, zum Beispiel durch den Aufruf öffentlicher Social-Media-Profile oder anderer Internetseiten, kann auf die Ermittlungsgeneralklausel nach §§ 161 Abs. 1, 163 Abs. 1 StPO gestützt werden.

164 Vgl. Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 204; von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 382. 165 Bauer, Soziale Netzwerke, 2018, S. 331; Bell, Strafverfolgung und die Cloud, 2019, S. 93 f.; Brodowski/Eisenmenger, ZD 2014, 119 (125); a. A. Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 263; Müller, Kriminalistik 2012, 295 (296).

348

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Zweitens kann „Speichermedium“ im Sinne des § 110 Abs. 3 S. 2 StPO nur eine solche Einrichtung sein, die zumindest als einen Hauptzweck die Speicherung und Verwaltung von Daten verfolgt und die auch in technischer Hinsicht entsprechend strukturiert ist. Das ist bei Filehosting-Angeboten, speziell dem Cloud Computing, unproblematisch der Fall. Aber auch ein E-Mail-Konto kann aufgrund seines typischen Funktionsumfangs zur flexiblen Speicherung von Dateien auch ohne Kommunikationsbezug als Speichermedium im Sinne des § 110 Abs. 3 S. 2 StPO angesehen werden. Profile auf Social-Media-Plattformen wie facebook sind demgegenüber technisch zu limitiert; auch liegt ihr Hauptzweck nicht auf der Speicherung und Verwaltung von Daten, sondern auf deren Veröffentlichung zum Zwecke der Selbstdarstellung der Nutzer und der Kommunikation untereinander. Drittens ist insbesondere bei Zugriffen auf E-Mail-Konten, aber auch bei Filehosting- bzw. Cloud-Angeboten im Einzelfall fraglich, an welchem grundrechtlichen Schutzbereich der staatliche Zugriff zu messen ist. Beide Formen des Speicherplatzes im Netz können sowohl zur Kommunikation im Sinne des Fernmeldegeheimnisses aus Art. 10 GG, als auch zur bloßen Datenspeicherung benutzt werden, wobei in letzterem Fall eine grundrechtliche Prüfung des Eingriffs am IT-Grundrecht naheliegt. Probleme divergierender Schutzstandards aufgrund der Konkurrenzverhältnisse zwischen Fernmeldegeheimnis und IT-Grundrecht sind dadurch zu lösen, dass bei einem Zugriff auf Online-Speicherplätze schutzbereichsübergreifende Schutzstandards konstruiert werden.

II. Tatbestandsvoraussetzung: Faktische Möglichkeit des Zugriffs auf externe Systeme § 110 Abs. 3 S. 2 StPO bestimmt, dass die Durchsicht auch auf externe Systeme erstreckt werden darf, soweit auf sie vom lokalen System aus zugegriffen werden kann. Insoweit ist rechtliche Voraussetzung für den Fernzugriff lediglich, dass dieser tatsächlich möglich ist. Insbesondere ist, in Abkehr von der ursprünglichen Entwurfsfassung des § 110 Abs. 3 StPO-E aus dem Jahr 2007, nicht erforderlich, dass der Durchsuchte dazu berechtigt ist, Zugriff auf das externe System zu gewähren.166 Die Frage nach der Zugangsberechtigung bzw. Zugangsgewährungsberechtigung des Durchsuchten hat für die Anwendbarkeit des § 110 Abs. 3 S. 2 StPO folglich keine Relevanz. Bedeutung kann sie aber hinsichtlich des Grundrechtsschutzes des Durchsuchten erlangen: Kann sich auch derjenige, der das externe System unberechtigt nutzt, auf das IT-Grundrecht berufen (unten 1.)?

166

Dazu schon oben Einl. C.II.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

349

Ferner ist fraglich, was genau damit gemeint ist, dass auf das externe System zugegriffen werden kann. Vom Vorfinden einer aktuellen Verbindung zweier Systeme beim Durchsuchten über das Eintragen von Passwörtern bis hin zum Herstellen der Verbindung erst durch die Ermittler oder dem Knacken von Verschlüsselungen sind hier viele Ermittlungshandlungen und Fallkonstellationen denkbar. Es ist daher klärungsbedürftig, welche dieser Konstellationen von § 110 Abs. 3 S. 2 StPO erfasst sind (2.). 1. Die (fehlende) Bedeutung der Zugriffsberechtigung des Durchsuchten Es ist oben167 bereits herausgearbeitet worden: Die Befugnis der Ermittler zum Zugriff auf das räumlich getrennte Speichermedium im Sinne des § 110 Abs. 3 S. 2 StPO ist nicht davon abhängig, dass der Durchsuchte (zivilrechtlich) dazu berechtigt ist, anderen den Zugriff auf das System zu gewähren. Der im ursprünglichen Gesetzentwurf des § 110 Abs. 3 StPO-E aus dem Jahr 2007 vorgesehene Passus „Speichermedien, auf die der Betroffene den Zugriff zu gewähren berechtigt ist“ wurde bewusst durch „Speichermedien, soweit auf sie von dem Speichermedium aus zugegriffen werden kann“ ersetzt, um den Ermittlern den Fernzugriff unabhängig von den Rechtsbeziehungen des Durchsuchten rund um das Zielsystem und zu potentiellen dritten Mitinhabern zu erlauben. Aus der Berechtigung oder Nichtberechtigung des Durchsuchten zur Gewährung des Zugriffs auf das System erwachsen also grundsätzlich keine rechtlichen Begrenzungen für den Fernzugriff durch die Ermittler.168 Konsequenterweise kann es auch nicht relevant sein, warum, also aus welchem Rechtsgrund der Durchsuchte von seinem lokalen System Zugriff auf das externe System nehmen darf oder ob er dies sogar unberechtigt tut, solange er dieses externe System tatsächlich als Speicherort benutzt.169 Ob der Durchsuchte zivilrechtlicher Inhaber auch des externen Systems ist, ob er Kunde eines Filehosting-Dienstes ist, ob er aufgrund eines Gefälligkeitsverhältnisses das System eines Freundes benutzt oder ob ihm diese Nutzungsmöglichkeit eigentlich längst gekündigt worden ist oder er sich sogar überhaupt erst auf rechtswidrige Weise Zugang zum System ver167

Einl. C.II. Vgl. BT-Drs. 16/6979, S. 45; BeckOK-StPO/Hegmann, § 110 Rn. 15; Brodowski/Eisenmenger, ZD 2014, 119 (122); Eisenberg, Beweisrecht, Rn. 2449; HK-StPO/Gercke, § 110 Rn. 18; Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 84; SKStPO/Wohlers/Jäger, § 110 Rn. 9; a. A. denoch Ziebarth, Online-Durchsuchung, 2013, S. 178, der in Anlehnung an Art. 19 Abs. 2 der Convention on Cybercrime vom Durchsuchten illegal bzw. gegen den natürlichen Willen des Systeminhabers eröffnete Zugangswege von der Nutzung durch Ermittler ausschließen will. 169 Vgl. Bauer, Soziale Netzwerke, 2018, S. 326; BeckOK-StPO/Hegmann, § 110 Rn. 15; Brodowski/Eisenmenger, ZD 2014, 119 (122); Eisenberg, Beweisrecht, Rn. 2449; Korge, Beschlagnahme elektronisch gespeicherter Daten, 2009, S. 84. 168

350

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

schafft hat – auf alle diese Fragen kann es im Rahmen des § 110 Abs. 3 S. 2 StPO nicht ankommen. Entscheidend kann hier nur sein – insoweit entsprechend zu Durchsuchungen in physischem Raum –, ob der Durchsuchte Herrschaft über den Durchsuchungsgegenstand innehat, also ob der Durchsuchte den Ermittlern den faktischen Zugriff auf das System vermitteln kann.170 Eine gewisse Eingrenzung erfährt dieses weite Spektrum der Zugriffsmöglichkeiten allein dadurch, dass der Verdacht bestehen muss, dass auf diesem externen System überhaupt Daten des Beschuldigten gespeichert sind. Ein System, mit dem der Beschuldigte überhaupt nichts zu tun hat und welches allein unverdächtigen Dritten zugehörig ist, wird wohl kaum Daten des Beschuldigten enthalten – jedenfalls wird es kaum möglich sein, einen entsprechenden Verdacht bzw. eine Auffindevermutung zu begründen. Daher dürfen die Ermittler über § 110 Abs. 3 S. 2 StPO nicht irgendwelche Systeme ins Blaue hinein sichten.171 Abseits dieses rein tatsächlichen Zusammenhangs aber müssen die Ermittler grundsätzlich keine Rücksicht auf bestehende oder nichtbestehende Rechtsbeziehungen des Beschuldigten zu Dritten nehmen. Die Berechtigung des Durchsuchten zum Zugriff auf das externe System könnte sich aber auf seinen grundrechtlichen Schutz auswirken. Wenn der Durchsuchte nicht oder nicht mehr zur Nutzung des externen Systems berechtigt ist, stellt sich die Frage, ob er sich gegen Zugriffe auf dieses System noch auf sein IT-Grundrecht berufen kann. In persönlicher Hinsicht setzt die Eröffnung des Schutzbereichs des IT-Grundrechts nämlich voraus, dass der Betroffene das informationstechnische System „als eigenes“ nutzt. Er muss es alleine oder gemeinsam mit anderen selbstbestimmt nutzen und bei der Nutzung nachvollziehbarerweise davon ausgehen können, dass seine auf dem System gespeicherten Daten vertraulich bleiben.172 Das ist zum Beispiel unproblematisch der Fall, wenn der Nutzer sich im Zuge eines gemeinsamen Projektes mit ausgewählten anderen Nutzern zusammenschließt und Daten auf einer gemeinsamen Cloud speichert. Das kann im beruflichen Rahmen geschehen, zum Beispiel bei einer Unternehmenscloud oder einer Cloud, die einer bestimmte Arbeitsgruppe zugeordnet ist. Aber auch im rein privaten Rahmen können sich mehrere Nutzer darauf einigen, zum Beispiel zum Zwecke der fortlaufenden Einstellung von Urlaubsfotos einen gemeinsamen, nach außen hin kennwortgeschützten Cloud-Speicher zu betreiben. In diesen Konstellationen weist jeder einzelne Nutzer die berechtigte Erwartung auf, dass die Cloud nur innerhalb der ausgewählten Nutzerschaft einsehbar ist, gegenüber unbeteiligten Dritten aber per Passwort abgeschottet wird, mithin vertraulich bleibt. 170

BeckOK-StPO/Hegmann, § 110 Rn. 15; Eisenberg, Beweisrecht, Rn. 2449; Schlegel, HRRS 2008, 23 (28). 171 Vgl. Schlegel, HRRS 2008, 23 (28). 172 Ausführlich zum personellen Schutzbereich oben Kap. 2 B.III.2.b)aa).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

351

Im Verlauf der Nutzung eines Cloud-Speichers durch mehrere Personen kann es aber dazu kommen, dass einem Nutzer die Berechtigung zum Zugriff auf den Cloud-Speicher entzogen wird. Das kann bei einer im Unternehmen genutzten Cloud der Fall sein, weil der entsprechende Nutzer als Arbeitnehmer aus dem Unternehmen ausscheidet oder aber fortan eine andere Position in einer anderen Arbeitsgruppe bekleidet, die keinen Zugriff auf die Cloud haben soll. Im privaten Umfeld wiederum kann dies auch der Fall sein, wenn die anderen Cloud-Nutzer aus verschiedensten Gründen einen bestimmten Nutzer fortan von der Nutzung der Cloud ausschließen wollen. Beide Konstellationen haben gemein, dass dem Nutzer die zivilrechtliche Befugnis zur Nutzung entzogen wird. Er ist dann nicht mehr dazu berechtigt, den CloudSpeicher als „eigenes“ System zu nutzen. Dass jemand einen Cloud-Speicher nach zivilrechtlichen Maßstäben nicht mehr nutzen darf, schließt aber nicht aus, dass er den Cloud-Speicher faktisch noch nutzen kann. Zwar können Betreiber und Mitnutzer der Cloud Maßnahmen ergreifen, um den nicht mehr berechtigten Nutzer auch faktisch von der Nutzung auszuschließen, zum Beispiel durch Ändern des Passworts oder Löschen seines Nutzeraccounts. Unterbleiben diese Maßnahmen aber aus technischen oder organisatorischen Gründen, schlagen sie fehl oder werden sie sogar treuwidrig vom Nutzer unterlaufen oder umgangen, so kann es sein, dass der Nutzer trotz fehlender Erlaubnis immer noch auf das gemeinsame System zugreifen kann und es nach wie vor als eigenes System nutzt, also dort persönliche Daten speichert und verwaltet und auch Einsicht in die Daten der anderen Nutzer nehmen kann. In diesem Fall stellt sich die Frage, ob diese unberechtigte Nutzung des Systems noch durch das IT-Grundrecht des Nutzers geschützt ist. Anders gewendet ist fraglich, ob ein staatlicher Zugriff auf diese Inhalte auch in dieser Konstellation in das IT-Grundrecht des ausgeschlossenen Nutzers eingreift. Dass der Nutzer in Kenntnis seiner unberechtigten Nutzung immer noch von einer selbstbestimmten Nutzung des Systems mit berechtigter Vertraulichkeitserwartung ausgehen darf, ist zumindest zweifelhaft. Die Antwort findet sich in einer Analogie zur Nutzung von Wohnungen bzw. zum Wohnungsgrundrecht aus Art. 13 GG. Für die Unverletzlichkeit der Wohnung wird vertreten, dass dieses Grundrecht für den faktischen Wohnungsnutzer auch dann (noch) gilt, wenn er die Räumlichkeit in zivilrechtlicher Hinsicht unberechtigterweise bewohnt.173 Auch der Wohnungsbesitzer, dem vom Vermieter längst gekündigt wurde oder der längst rausgeworfene, aber faktisch noch geduldete WG-Mitbewohner kann sich gegenüber staat-

173 BeckOK-GG/Kluckert, Art. 13 Rn. 4; Epping, Grundrechte, Rn. 663; Sodan/Ziekow, Grundkurs Öffentliches Recht, § 41 Rn. 4; a. A. Manssen, Staatsrecht II, Rn. 724; Stern/ Becker/Stern, Art. 13 Rn. 38; differenzierend Maunz/Dürig/Papier, Art. 13 Rn. 12.

352

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

lichen Ermittlungsmaßnahmen auf den Schutzbereich des Art. 13 GG berufen, sofern er die in Rede stehenden Räumlichkeiten faktisch noch als Wohnung nutzt.174 Selbiges gilt nach umstrittener Ansicht auch für einen von vornherein unrechtmäßig bezogenen Wohnraum, zum Beispiel im Rahmen einer illegalen Hausbesetzung.175 Diese anhand des physischen Raums entwickelten Grundsätze können auf den virtuellen Raum übertragen werden. Auch hier sollte es für die Eröffnung des personellen Schutzbereichs nur darauf ankommen, dass der Nutzer das IT-System faktisch als sein eigenes System und selbstbestimmt nutzt und deshalb davon ausgehen kann, dass seine Daten vertraulich bleiben. Ob der Nutzer das System zivilrechtlich gesehen nutzen darf, spielt dabei dann grundsätzlich keine Rolle.176 Es wäre auch nicht sachgerecht, allein auf diese zivilrechtlichen Maßstäbe abzustellen. Verdeutlichen lässt sich das anhand des Falls, dass z. B. ein Jugendlicher ein Smartphone unterschlägt, stiehlt, raubt oder in betrügerischer Absicht erlangt und dieses Smartphone fortan für einen längeren Zeitraum faktisch als sein eigenes Gerät benutzt. Zivil- und strafrechtlich mag dieses Verhalten unrechtmäßig sein. Man käme aber zu Recht nicht auf die Idee, dass der Jugendliche fortan seine Persönlichkeitsrechte dergestalt verwirkt hätte, dass der Staat nun ohne Rücksicht auf grundrechtliche Schutzbelange das Smartphone durchsehen, mit einer Spionagesoftware versehen oder die darüber geführte Kommunikation abhören dürfte. Die entsprechenden Grundrechte und damit auch das IT-Grundrecht müssen auch vor diesem Hintergrund gelten, denn der Eingriff in die Privatsphäre des Jugendlichen besteht im Grundsatz unabhängig davon, wie und auf welchem Weg er an das Smartphone gelangt ist. Der Schutzbereich z. B. des IT-Grundrechts ist bei einem staatlichen Zugriff auf das Smartphone gleichbleibend eröffnet. Dass der Nutzer das Smartphone in zivilrechtlicher Hinsicht unrechtmäßig besitzt und nutzt, kann dann auf Ebene der Grundrechtsschranken, also im Rahmen der Prüfung der Verhältnismäßigkeit des staatlichen Zugriffs, berücksichtigt werden.177 Diese Grundsätze müssen für den unberechtigterweise erworbenen oder behaltenen Zugang zu einem externen Cloud-Speicher genauso gelten. Lediglich, wenn der Zugang zum externen System vollkommen ohne Mithilfe bzw. ohne Mitwissen des Systeminhabers unberechtigt durch Hacking, also technische Manipulation erworben wird, ist eine solche Vertraulichkeitserwartung des hackenden Nutzers in der Regel zu verneinen. Das aber liegt weniger darin begründet, dass dem sich ins System hackenden 174 Bejahend für den gekündigten Mieter Maunz/Dürig/Papier, Art. 13 Rn. 12; Sodan/ Ziekow, Grundkurs Öffentliches Recht, § 41 Rn. 4. 175 Dafür Hufen, Grundrechte, § 14 Rn. 7; Kingreen/Poscher, Grundrechte, Rn. 1007; dagegen Stern/Becker/Stern, Art. 13 Rn. 38. 176 Differenzierend Hauser, IT-Grundrecht, 2015, S. 107 f. 177 Vgl. Hauser, IT-Grundrecht, 2015, S. 107 f.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

353

Nutzer der Grundrechtsschutz normativ versagt werden soll. Vielmehr wird der hackende Nutzer schon aus praktischen Gründen nicht davon ausgehen können, dass er den so erworbenen Zugang zum externen System ungestört und unter Ausschluss Dritter als persönlichen Entfaltungsraum nutzen kann.178 Insoweit besteht also keine berechtigte Vertraulichkeitserwartung an den virtuellen Speicherraum.179 Im Ergebnis lässt sich festhalten, dass es für die Ermittlungsbefugnis aus § 110 Abs. 3 S. 2 StPO nicht darauf ankommt, ob der Durchsuchte zivilrechtlich berechtigt ist, auf das externe Speichersystem zugreifen. In grundrechtlicher Hinsicht spielt die zivilrechtliche Berechtigung des Durchsuchten zur Nutzung des externen Systems ebenfalls nur eine untergeordnete Rolle: Solange der Durchsuchte das externe System faktisch als sein eigenes nutzt und von einer gewissen Vertraulichkeit der dort gespeicherten Daten ausgehen kann, ist das IT-Grundrecht auch in personeller Hinsicht eröffnet. Die bestehende oder fehlende Nutzungsbefugnis kann hierbei nur als Indiz für das Bestehen oder Nichtbestehen einer Vertraulichkeitserwartung des Nutzers herangezogen werden. 2. Möglichkeit des Zugriffs durch Vernetzung zweier Systeme Die in dieser Untersuchung bisher besprochenen Zugriffe auf externe Speichermedien betrafen Verbindungen über das Internet: Von einem lokalen informationstechnischen System aus wird ein über das Internet verbundenes externes informationstechnisches System angesteuert. Das wird, insbesondere durch die weite Verbreitung des Cloud Computings, der Standardfall in der Anwendungspraxis des § 110 Abs. 3 S. 2 StPO sein. Die von § 110 Abs. 3 S. 2 StPO vorausgesetzte Verbindung zweier Systeme ist aber weder dem Wortlaut noch dem Sinngehalt der Norm nach auf das Internet begrenzt. Die Norm ist insoweit technikoffen. Es kommt grundsätzlich jede technische Verbindung in Betracht, die die räumliche Trennung zwischen Ausgangssystem und Zielsystem überbrückt. Neben dem Internet kann das auch die Verbindung über Intranet, über ein lokales Netzwerk oder über Datenübertragungstechnologien wie zum Beispiel Bluetooth sein.180 Besondere rechtliche 178

Hauser, IT-Grundrecht, 2015, S. 108. In diesem Lichte muss dann auch die Formulierung in BVerfGE 120, 274 (315) interpretiert werden, wonach es Voraussetzung ist, dass der Betroffene „den Umständen nach davon ausgehen darf, dass er allein oder zusammen mit anderen zur Nutzung berechtigten Personen über das informationstechnische System selbstbestimmt verfügt“. Es geht hier nicht um die zivilrechtliche Berechtigung des Betroffenen, sondern darum, dass er davon ausgehen kann, zumindest faktisch das System wie sein eigenes nutzen zu können unter Kontrolle darüber, wer außer ihm noch auf die Daten zugreifen kann. 180 Allgemein Heinson, IT-Forensik, 2015, S. 249; Verbindungen über Intranet erwähnen z. B. BeckOK-StPO/Hegmann, § 110 Rn. 14; KK/Bruns, § 110 Rn. 8; vgl. auch Brodowski/Eisenmenger, ZD 2014, 119 (120). 179

354

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Probleme ergeben sich aus dieser Vielfalt an möglichen Netzwerktechnologien allerdings nicht. Hier soll nur darauf hingewiesen werden, dass der Anwendungsbereich des § 110 Abs. 3 S. 2 StPO mehr umfasst als nur Verbindungen über das Internet. Mit dem Aufkommen neuer Technologien zur Vernetzung verschiedener Systeme wächst der praktische Anwendungsbereich des § 110 Abs. 3 S. 2 StPO mit.181 a) Herstellen der Netzwerkverbindung erst durch die Ermittler Fraglich ist allerdings, wie die Formulierung in § 110 Abs. 3 S. 2 StPO, „soweit auf sie von dem Speichermedium aus zugegriffen werden kann“, im Detail zu verstehen ist. Setzt sie eine aktuell bestehende Verbindung voraus, die die Ermittler lediglich ausnutzen dürfen, oder dürfen die Ermittler auch eine zum Zeitpunkt der Durchsuchung noch nicht bestehende Verbindung vom lokalen System zu einem externen System aktiv herstellen? Im Zusammenhang mit der Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO wurde in dieser Arbeit bereits dargelegt, dass Ermittler jedenfalls dazu berechtigt sind, ausgeschaltete Systeme hochzufahren und in Betrieb zu nehmen182, Dateien aufzurufen und einzusehen und einen dabei eventuell im Wege stehenden Passwortschutz entweder durch Eingabe des richtigen Passworts183 oder aber durch Knacken der Verschlüsselung durch Einsatz entsprechender Software zu überwinden.184 Diese typischen, teils notwendigen Begleitmaßnahmen zur Durchsuchung werden von den §§ 102 ff. StPO grundsätzlich185 gedeckt. Die Ermittler sind also keineswegs pauschal darauf verwiesen, vorgefundene informationstechnische Systeme nur in ihrem aktuellen Zustand zu sichten, sondern dürfen das System aktiv benutzen und mit ihm arbeiten, soweit dies für die Durchsicht erforderlich ist. Von diesen Befugnissen der Ermittler ausgehend muss es auch zulässig sein, die Verbindung zu einem vom Durchsuchten genutzten externen Spei-

181 Zur Problematik der Technikoffenheit von strafprozessualen Ermittlungsbefugnissen Roggan, NJW 2015, 1995; Schlegel, Internetbasierte Ermittlungsmethoden, 2019, S. 79 ff. und passim; speziell zu den Auswirkungen technologischen Fortschritts auf bestehende Eingriffsgrundlagen und die daraus erwachsenden potentiellen Eingriffswirkungen Fährmann/Aden/Bosch, KrimJ 2020, 135 (137 ff., 143 ff.); Rückert, in: Hoven/Kudlich (Hrsg.), 2020, S. 9 (S. 13 ff.); Singelnstein/Putzer, GA 2015, 564; s. auch Golla, KrimJ 2020, 149 (150 ff.). 182 Kap. 2 B.VII.1. 183 Kap. 2 B.VII.2. 184 Kap. 2 B.VII.2.b). 185 Nach hier vertretener Auffassung dürfen die Ermittler aber keine Software auf dem System des Durchsuchten installieren, um damit den Passwortschutz zu überwinden, s. oben Kap. 2 B.VII.2.b).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

355

chersystem durch Inbetriebnahme des lokalen Systems erst herzustellen.186 Alles andere würde den Anwendungsbereich der Netzwerkdurchsicht auf die wenigen Fälle begrenzen, in denen die Ermittler die Durchsuchung zu einem Moment durchführen, in dem der Durchsuchte gerade zufällig die Verbindung zu seinem Filehosting-Speicherplatz oder seiner Cloud hergestellt hat – und sie auch nicht bei Eintreffen der Ermittler sofort kappt. Die Anwendbarkeit des § 110 Abs. 3 S. 2 StPO hinge damit vom Eintreten eines eher seltenen Glücksfalls ab.187 Zudem stünde die Anwendbarkeit des § 110 Abs. 3 S. 2 StPO unter der Bedingung, dass das lokale informationstechnische System überhaupt eingeschaltet ist, denn wenn es ausgeschaltet ist, besteht in diesem Moment keine Verbindung zu einem externen System, auch hier müsste sie also erst hergestellt werden.188 Im Ergebnis wäre der Anwendungsbereich des § 110 Abs. 3 S. 2 StPO im Gegensatz zum Anwendungsbereich des § 110 Abs. 3 S. 1 StPO eingeengt, obwohl es Zweck des § 110 Abs. 3 S. 2 StPO ist, den Anwendungsbereich der Durchsuchung und der Durchsicht auszudehnen. Folglich dürfen die Ermittler die Verbindung zum Zielsystem auch erst aktiv herstellen; dieses Vorgehen ist von § 110 Abs. 3 S. 2 StPO notwendigerweise gedeckt. b) Überwindung von Zugangssperren, Passwörtern und Verschlüsselungen / Brute Force Zur Herstellung der Verbindung muss es den Ermittlern insbesondere auch erlaubt sein, vorgefundene Passwörter des Durchsuchten einzugeben und so

186

Bell, Strafverfolgung und die Cloud, 2019, S. 95; Brodowski/Eisenmenger, ZD 2014, 119 (122); Zerbes/El-Ghazi, NStZ 2015, 425 (429, 431). 187 Vgl. Brodowski/Eisenmenger, ZD 2014, 119 (122); von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 382 f. Zwar ist es eine durchaus übliche Nutzungspraxis, dass sich ein hochgefahrenes Computersystem automatisch mit etwaigen CloudSpeichern und auch E-Mail-Konten (durch ein E-Mail-Programm wie Outlook oder Thunderbird) verbindet und die Verbindung kontinuierlich mitläuft, selbst wenn der Nutzer gerade nicht aktiv auf sie zugreifen muss, s. dazu Zerbes/El-Ghazi, NStZ 2015, 425 (428). Allerdings geht mit dieser technischen Nutzungsart häufig auch ein automatisches Herunterladen neuer Cloud-Inhalte und Mails auf das lokale System einher (Synchronisation, s. dazu schon oben Kap. 3 A.I.2.e)). Das heißt, sobald die Verbindung zum externen Speicher automatisch hergestellt wurde, werden die in diesem Speicher enthaltenen Daten auch direkt auf das lokale System heruntergeladen und dort abgespeichert. In diesen Fällen ist ein Zugriff nach § 110 Abs. 3 S. 2 StPO aber gar nicht mehr erforderlich, die Daten können ab dann vom lokalen System aus gemäß § 110 Abs. 3 S. 1 StPO durchgesehen werden, unabhängig davon, ob die Internet- oder Netzwerkverbindung dann noch fortbesteht. Die Fälle dagegen, in denen automatisch eine Verbindung zum externen Speicher hergestellt wird, die dortigen Inhalte aber nicht automatisch auf das lokale System heruntergeladen werden, machen demgegenüber nur eine kleine Teilmenge aller denkbaren Fälle aus. 188 Park, Durchsuchung, Rn. 825; und Zerbes/El-Ghazi, NStZ 2015, 425 (429).

356

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

den Passwortschutz zu überwinden. Das können einerseits handschriftlich notierte Passwörter im Umfeld des Durchsuchten sein, andererseits aber auch in Anmeldemasken voreingetragene Passwörter und Zugangskennungen, wie dies zum Beispiel bei Nutzung eines Passwort-Managers, häufig integriert im Webbrowser (z. B. bei Mozilla Firefox), der Fall ist.189 Insofern kann kein Unterschied zu den Befugnissen bestehen, die schon die allgemeine Durchsicht (lokaler) informationstechnischer Systeme nach § 110 Abs. 3 S. 1 StPO mit sich bringt.190 Anders hingegen kann der Einsatz von Software zum Knacken, Cracken, Hacken oder sonstigen Umgehen von Passwortschutz und Verschlüsselungen zu bewerten sein. Ist der Einsatz einer solchen Software notwendig, damit die Ermittler überhaupt erst Zugriff zum externen System erlangen, stellt sich die Frage, ob dies noch ein Fall ist, der vom Wortlaut des § 110 Abs. 3 S. 2 StPO, „soweit auf sie von dem Speichermedium aus zugegriffen werden kann“, umfasst ist. Denn hier müssen die Ermittler erst einige technische Zwischenschritte gehen, bis sie auf das externe System zugreifen können. Der Wortlaut des § 110 Abs. 3 S. 2 StPO schreibt nicht vor, dass der Zugriff auf das räumlich getrennte Speichermedium ohne Zwischenschritte oder ohne weiteren Aufwand möglich sein muss. Auch der Zweck der Norm, den Ermittlern die Möglichkeit zu geben, über das lokal durchsuchte System hinaus erweiternd auch vernetzte externe Systeme zu sichten, spricht dafür, auch hinsichtlich des externen Systems ein Knacken des Passworts zuzulassen. Was beim lokalen informationstechnischen System (in Grenzen191) erlaubt ist, muss grundsätzlich auch hinsichtlich des externen informationstechnischen Systems zulässig sein. § 110 Abs. 3 S. 2 StPO ist eine Reaktion auf die moderne Nutzungspraxis von Computern und IT-Technik, bei der aufgrund fortschreitender Vernetzung externe Systeme ebenso wie lokale Systeme genutzt werden können, ohne dass der Nutzer es noch als großen Unterschied wahrnimmt, ob seine Daten auf seiner lokalen Hardware oder irgendwo in der Cloud gespeichert sind.192 Ebenso wie der Nutzer lokale und externe Systeme kombiniert und unterschiedslos verwendet, sollen auch Ermittler auf Grundlage des § 110 Abs. 3 S. 2 StPO grundsätzlich unterschiedslos auf lokale und externe Systeme des Nutzers zugreifen können. Vor diesem

189 Bauer, Soziale Netzwerke, 2018, S. 326; Bell, Strafverfolgung und die Cloud, 2019, S. 53, 96; Schlegel, HRRS 2008, 23 (28); Zerbes/El-Ghazi, NStZ 2015, 425 (429); s. auch Bär, ZIS 2011, 53 (54); Brodowski/Eisenmenger, ZD 2014, 119 (123); Grözinger, CloudStorage, 2018, S. 252; HK-StPO/Gercke, § 110 Rn. 24; LR/Tsambikakis, § 110 Rn. 8; MüKo-StPO/Hauschild, § 110 Rn. 16; Obenhaus, NJW 2010, 651 (652). 190 Dazu oben Kap. 2 B.VII.2. 191 Zu den Grenzen der Ermittlungsbefugnisse beim Knacken eines Passworts (keine Installation einer Software auf dem System des Nutzers) s. oben Kap. 2 B.VII.2.b). 192 Hie´ramente/Fenina, StraFo 2009, 365 (373).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

357

Hintergrund ist eine pauschal unterschiedliche Behandlung, bei der auf lokalen Systemen Passwörter geknackt werden dürfen, zum Zugriff auf externe Systeme aber keine solche Entschlüsselung zulässig ist, nicht geboten. Im Grundsatz spricht also einiges dafür, dass staatliche Ermittler auch die Zugangsdaten zu externen Systemen knacken dürfen.193 Wenn staatliche Ermittler den Zugang zum externen Speicher durch den Einsatz von Software aufbrechen, ist aber zu beachten, dass je nach gewählter Methode der Anbieter dieses externen Speichers, also zum Beispiel der Cloud-Betreiber, aber auch der private, dritte Bereitsteller eines Servers, von dieser Maßnahme mitbetroffen sein kann.194 Wählen die Ermittler zum Knacken des Passworts zum Beispiel die Methode des Brute Force, also des softwaregestützten Ausprobierens mehrerer tausend Passwortkombinationen innerhalb weniger Minuten195, kann dies im Extremfall die technische Infrastruktur des Serverbetreibers lahmlegen und damit auch Auswirkungen auf weitere Kunden des Betreibers haben, die dann möglicherweise aufgrund einer Überlastung der technischen Infrastruktur ihre eigenen externen Speicherplätze nicht mehr nutzen können. Ähnliche Effekte können auch bei der normalen, gewünschten Nutzung eines Servers auftreten, z. B. wenn Konzertkarten eines besonders beliebten Interpreten online verkauft werden und binnen weniger Sekunden eine Vielzahl von Nutzern auf das Angebot zugreifen will196 oder wenn ein akut wichtiges Angebot im Internet freigeschaltet wird, auf das viele Nutzer gleichzeitig zugreifen wollen197. Darüber hinaus existieren auch Methoden, um einen Server gezielt durch eine Vielzahl von Anfragen zur Überlastung zu bringen und damit temporär unbenutzbar zu machen (Denial-of-Service-Attacke), zum Beispiel um vom Serverbetreiber

193

Im Ergebnis Bell, Strafverfolgung und die Cloud, 2019, S. 96 f.; Blechschmitt, MMR 2018, 361 (363); Kasiske, StraFo 2010, 228 (233); KK/Bruns, § 110 Rn. 8; Obenhaus, NJW 2010, 651 (653); Peters, NZWiSt 2017, 465 (467); Zerbes/El-Ghazi, NStZ 2015, 425 (431); Zimmermann, JA 2014, 321 (322); einschränkend bezüglich des Vorgehens im Wege einer Brute-Force-Attacke Brodowski/Eisenmenger, ZD 2014, 119 (123); gegen jede technische Ermittlung oder Brechung der Zugangscodes Bauer, Soziale Netzwerke, 2018, S. 326. 194 Zu den Rechten Dritter im Rahmen eines Zugriffs nach § 110 Abs. 3 StPO noch unten Kap. 3 C. 195 S. Fischer/Hofer, Lexikon der Informatik, Stichwort „Attacke, Brute Force –“, S. 64. 196 S. z. B. die Meldung aus der WAZ v. 27.03.2019, https://www.waz.de/panorama/ram mstein-tickets-ausverkauft-rekord-fuer-eventim-aerger-um-abzocke-bei-viagogo-id2157 00347.html [zuletzt abgerufen am 04.11.2021]: 80.000 Systemanfragen pro Sekunde. 197 So geschehen zum Beispiel beim damaligen Angebot des Bundesamts für Sicherheit in der Informationstechnik, die eigene E-Mail-Adresse darauf zu überprüfen zu lassen, ob sie und andere Identitätsdaten unberechtigt abgefischt wurden, s. Datenschutzbeauftragter-Info v. 22.01.2014, https://www.datenschutzbeauftragter-info.de/bsi-verschwieg-ident itaetsdiebstahl-wegen-vorbereitungsarbeiten/ [zuletzt abgerufen am 04.11.2021].

358

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

mit der Drohung, diese Attacke fortzuführen, eine Geldsumme zu erpressen.198 Je nach verwendeter Technik könnte also auch eine Brute-Force-Attacke unter beständigem Beschuss des Servers diesen in seiner Leistungsfähigkeit zumindest einschränken. Zwar wird der Umfang der Auswirkung von der verwendeten Technik beim Brute-Force-Angriff und auch von der allgemeinen Leistungsfähigkeit des angegriffenen Servers abhängen. Auch bestehen technische Möglichkeiten, Server vor solchen dauerhaften BruteForce-Angriffen zu schützen, z. B. indem nach einigen Versuchen der Kennworteingabe der Zugang zum entsprechenden Konto bis auf Weiteres gesperrt wird.199 Bei kleineren Serveranbietern oder privater Bereitstellung von Servern ist es aber denkbar, dass die technische Infrastruktur aufgrund eines Brute-Force-Angriffs lahmgelegt oder jedenfalls spürbar beeinträchtigt wird. In diesen Fällen kann das informationstechnische System seine vorgesehenen Leistungen und Funktionen zumindest zeitweise nicht mehr in der vorgesehenen Weise erbringen. Das gilt sowohl für die Serverinfrastruktur als Gesamtsystem des Betreibers, als auch für darüber bereitgestellten (Teil-) Systeme etwaiger Kunden. Mithin greift ein solch intensiver Angriff in die vom IT-Grundrecht geschützte Integrität dieser Systeme ein.200 Da dieser Eingriff die Integrität der Systeme Dritter, potentiell in hoher Streubreite, betrifft, und dies womöglich sogar heimlich, also ohne das Wissen dieser Dritten, kann er nicht mehr als typischer und notwendiger Begleiteingriff im Wege einer Annexkompetenz zu § 110 Abs. 3 S. 2 StPO bzw. §§ 102 ff. StPO angesehen werden. Er geht deutlich über das hinaus, wozu § 110 Abs. 3 S. 2 StPO eigentlich ermächtigt: Zur Ausnutzung der Verbindungsmöglichkeit des lokalen informationstechnischen Systems zum externen informationstechnischen System, und zwar auf dieselbe Weise, wie sie der Nutzer, also der Durchsuchte, auch benutzen würde, nämlich auf dem technisch dafür vorgesehenen Weg unter Eingabe von Zugangskennung und Passwort. Eine darüber hinaus gehende Beeinträchtigung der Integrität des externen Systems und potentiell weiterer Systeme Dritter auf einem Weg, der vom Betreiber des externen Systems gerade nicht als ordnungsgemäßer Weg der Benutzung bereitgestellt wurde, geht weit über den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO hinaus. Es handelt sich dabei um eine ganz eigene Maßnahme, die über die bloße Durchsicht des externen Systems hinaus in das IT-Grundrecht auch Dritter eingreift und deshalb einer eigenen gesetzlichen und vor allem expliziten Rechtsgrundlage bedarf. Folglich bietet § 110 Abs. 3 S. 2 StPO keine Rechtsgrundlage zur Durchführung einer Brute-Force-Attacke, die am

198

Beispielsfall: LG Düsseldorf MMR 2011, 624 m. Anm. Bär; s. auch Beukelmann, NJW-Spezial 2017, 376. 199 S. Fischer/Hofer, Lexikon der Informatik, Stichwort „Attacke, Brute Force-“, S. 64. 200 Brodowski/Eisenmenger, ZD 2014, 119 (123).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

359

externen informationstechnischen System ansetzt und dieses damit in seiner Integrität beeinträchtigt.201 Wollen die Ermittler das Passwort zum vom Beschuldigten genutzten System oder gleich direkt die auf dem externen System gespeicherten Daten heimlich von der Infrastruktur des Serverbetreibers abfangen oder gar die technische Vorrichtung zum Passwortschutz gänzlich aushebeln, so sind die Grenzen des § 110 Abs. 3 S. 2 StPO erst recht überschritten: Bei dieser Vorgehensweise handelt es sich um eine heimliche Online-Durchsuchung gemäß § 100b StPO. Die Verwendung einer entsprechenden Spionagesoftware ist damit nur unter den Voraussetzungen des § 100b Abs. 1, Abs. 2, ggf. auch Abs. 3 S. 2 StPO zulässig. Sie kann nicht als bloße Begleitmaßnahme zur Durchsuchung bzw. Durchsicht auf die §§ 102 ff. StPO gestützt werden.202 Um an das Passwort des verdächtigen Cloud-Nutzers zu gelangen ohne dabei die Integrität des externen Systems zu beeinträchtigen, kommt damit nur ein Herausverlangen des Kundenpassworts beim Cloud-Betreiber selbst in Betracht, entweder im Wege einer Bestandsdatenauskunft auf Grundlage des § 100j Abs. 1 S. 2 StPO i. V. m. § 113 Abs. 1 S. 2 TKG203, oder nach anderer (und richtiger) Ansicht, da der Cloud-Betreiber bei Bereitstellung von Speicherplatz in der Regel nicht als Telekommunikationsdienstleister im Sinne des TKG sondern als Telemediendienstanbieter im Sinne des TMG auftritt204, auf Grundlage des § 100j Abs. 1 S. 3 StPO i. V. m. § 15b TMG205.

III. Tatbestandsvoraussetzung: Befürchtung des Verlustes der gesuchten Daten Die Befugnis zur Durchsicht eines externen informationstechnischen Systems auf Grundlage des § 110 Abs. 3 S. 2 StPO steht unter dem Vorbehalt, dass „andernfalls der Verlust der gesuchten Daten zu befürchten ist“. Der Gesetzgeber hatte bei Schaffung des § 110 Abs. 3 StPO Situationen vor Augen, in denen Ermittler auf ein vom Durchsuchten genutztes externes Speichersystem stoßen, die Ermittlung des physischen Standorts dieses Systems aber zeitaufwendig oder unmöglich ist, sodass eine Sicherstellung der Sys-

201

Brodowski/Eisenmenger, ZD 2014, 119 (123); vgl. auch Bauer, Soziale Netzwerke, 2018, S. 326; Grözinger, Cloud-Storage, 2018, S. 252; für Zulässigkeit aber BeckOKStPO/Hegmann, § 110 Rn. 18. 202 Bauer, Soziale Netzwerke, 2018, S. 326; HK-StPO/Gercke, § 110 Rn. 24. 203 Bär, MMR 2013, 700 (702); Brodowski/Eisenmenger, ZD 2014, 119 (123); Dalby, Strafverfolgung im Internet, 2016, S. 190 ff., 196 f. 204 Heidrich/Wegener, MMR 2010, 803 (805); Kremer/Völkel, CR 2015, 501 (502 f.); Wicker, MMR 2014, 298 (300); zweifelnd Schuster/Reichl, CR 2010, 38 (42). 205 Vgl. Graßie/Hie´ramente, CB 2019, 191 (194); HK-StPO/Gercke, § 100j Rn. 6; Liebig; Zugriff auf Computerinhaltsdaten, 2015, S. 72; Wicker, MMR 2014, 298 (300 ff.).

360

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

temhardware wenn überhaupt nur mit zeitlicher Verzögerung gelingen kann. Durch diese Verzögerung besteht nach Ansicht des Gesetzgebers regelmäßig die erhebliche Gefahr, dass Beweismittel verloren gehen, weil sie vor erfolgter Beschlagnahme der Hardware des Systems gelöscht werden können, sei es vom Nutzer selbst, sei es von Dritten. Dieser Gefahr soll § 110 Abs. 3 S. 2 StPO begegnen: Die Ermittler werden ermächtigt, sofort auf das angeschlossene externe System zuzugreifen, um dem drohenden Beweismittelverlust zuvorzukommen.206 In der Gesetzesbegründung scheint die Ansicht des Gesetzgebers durch, dass die Voraussetzung des drohenden Verlustes der gesuchten Daten in aller Regel erfüllt sein wird. Das ergibt sich erstens ganz grundlegend aus der Flüchtigkeit von elektronisch gespeicherten Daten, die mit ein paar Mausklicks sehr schnell gelöscht werden können.207 Zweitens ergibt sich gerade aus der Vernetzung eines Systems, also insbesondere aus der Zugriffsmöglichkeit über das Internet und damit von potentiell allen Orten der Welt aus, eine gesteigerte Gefahr, dass jemand – sei es der Durchsuchte, sei es jemand Drittes – die Daten kurzfristig löscht, ohne dass die Ermittler dies effektiv unterbinden könnten. Drittens ist die Ermittlung des räumlichen Standorts der Hardware des Systems, sofern überhaupt durchführbar,208 in der Regel derart zeitaufwendig, dass währenddessen mehr als genug Zeit für den Nutzer oder Dritte besteht, die Daten zu löschen.209 Der Datenspeicherort auf externen, vernetzten Systemen trägt die Gefahr des Beweismittelverlusts also ohne Weiteres in sich. Gerade durch diese Art der Speicherung sind zu jeder Zeit Veränderungen am Datenbestand zu befürchten, die das Strafverfahren gefährden können.210 Es ist diese der vernetzten Speicherung innewohnende abstrakte Gefahr, die den Gesetzgeber zur Einführung der Ermittlungsbefugnis aus § 110 Abs. 3 S. 2 StPO bewogen hat. Eine über diese diese grundlegende, abstrakte Gefahr hinausgehende konkrete Gefahr der Datenlöschung aufgrund konkreter Umstände des Einzelfalls kann im Rahmen des 206 BT-Drs. 16/5846, S. 63 f. Während im ursprünglichen Regierungsentwurf zu § 110 Abs. 3 StPO-E nur die Sicherung der Daten im Sinne des § 110 Abs. 3 S. 2 StPO a. F. (heute: § 110 Abs. 3 S. 3 StPO) unter der Voraussetzung des drohenden Beweismittelverlusts stehen sollte, wurde diese Voraussetzung auf Empfehlung des Rechtsausschusses hin schon für die bloße Sichtung der Daten im Sinne des § 110 Abs. 3 S. 1 StPO a. F. (heute: § 110 Abs. 3 S. 2 StPO) aufgenommen, BT-Drs. 16/6979, S. 44. 207 Vgl. Warken, NZWiSt 2017, 289 (296 f.); Brodowski/Eisenmenger, ZD 2014, 119 (124). 208 Im Fall des Cloud Computing existiert unter Umständen nicht der eine Speicherort, s. dazu schon oben Kap. 3 A.I.2.d). 209 Kroll, Kernbereichsschutz, 2021, S. 69; vgl. auch Bunzel, Zugriff auf IT-Systeme, 2015, S. 359. 210 Bär, ZIS 2011, 53 (54); Braun, PStR 2012, 86; differenzierend Brodowski/Eisenmenger, ZD 2014, 119 (124).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

361

§ 110 Abs. 3 S. 2 StPO daher sinnvollerweise nicht verlangt werden.211 Jedenfalls aber wird die Gefahr des Beweismittelverlusts aufgrund der dargestellten technischen Hintergründe auch im konkreten Einzelfall in aller Regel zu bejahen sein.212 Die Besorgnis des Datenverlusts besteht nur ausnahmsweise nicht, und zwar wenn der räumliche Standort der Hardware des externen Systems samt seiner physischen Datenträger bereits bekannt ist oder sich schnell ermitteln lässt und die Hardware dadurch so schnell an ihrem räumlichen Standort sichergestellt werden kann, dass eine zwischenzeitliche Datenlöschung so gut wie ausgeschlossen ist. In diesen Fällen ist der Tatbestand des § 110 Abs. 3 S. 2 StPO nicht erfüllt und die Ermittler sind auf eine lokale Sichtung auf Grundlage des § 110 Abs. 3 S. 1 StPO verwiesen. In der Praxis werden diese Fälle aber vermutlich nur selten auftreten. Häufiger wird es dagegen der Fall sein, dass ein Datenverlust nicht zu befürchten ist, weil die auf dem externen System gespeicherten Daten auf dem lokalen System des Durchsuchten gespiegelt sind, also lokale Kopien vorliegen. Im Falle einer solchen Synchronisierung von Datenbeständen, wie sie beim Cloud Computing nicht unüblich ist, befindet sich also immer ein genaues Abbild der Serverdaten auf den lokalen Systemen der an die Cloud angeschlossenen Nutzer.213 In dieser Fallkonstellation ist es für die Ermittler faktisch nicht von Bedeutung, ob die Daten auf dem externen System verändert werden, solange sie der Daten auf dem lokalen System habhaft werden können. Ein Zugriff nach § 110 Abs. 3 S. 2 StPO ist hier also weder notwendig noch rechtlich zulässig.

IV. Zulässigkeit der Überwachung oder des mehrmaligen Zugriffs auf das externe System? In technischer Hinsicht ist der Zugriff auf externe Systeme beliebig oft möglich. Es entspricht auch dem üblichen Nutzungsverhalten, insbesondere bei E-Mail-Konten, dass diese mehrmals täglich abgerufen werden, häufig automatisiert in kurzen Zeitintervallen, sodass zum Beispiel alle fünf Minuten geprüft wird, ob neue Daten auf dem externen Server eingegangen sind. Der Nutzer überwacht so gewissermaßen die Daten und Vorgänge auf dem externen informationstechnischen System von seinem lokalen informationstechnischen System aus und überprüft den externen Speicher darauf, ob neue E-Mails oder sonstige Daten eingetroffen sind.

211

A. A. HK-StPO/Gercke, § 110 Rn. 19; LR/Tsambikakis, § 110 Rn. 8; Park, Durchsuchung, Rn. 823; differenzierend Brodowski/Eisenmenger, ZD 2014, 119 (124). 212 Vgl. Brodowski/Eisenmenger, ZD 2014, 119 (124). 213 Dazu schon oben Kap. 3 A.I.2.e).

362

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Eine ähnliche, dieser Nutzungspraxis entsprechende Vorgehensweise wäre in technischer Hinsicht auch im Rahmen einer strafprozessualen Durchsuchung möglich. Ebenso, wie der Nutzer bei laufender Verbindung zum E-Mail-Konto darauf wartet, dass neue E-Mails eintreffen, könnten auch die Ermittler den Zugriff zum E-Mail-Konto auf Grundlage des § 110 Abs. 3 S. 2 StPO erst herstellen und dann abwarten, ob während der Durchsuchung weitere Mails eintreffen. Auch auf einem Cloud-Speicher können während der Durchsuchung weitere Inhalte durch Dritte eingestellt werden, sodass sich noch während der Netzwerkdurchsicht der Datenbestand des durchgesehenen externen Systems laufend verändert. Die Ermittler könnten dies gezielt ausnutzen und während der Durchsuchung darauf warten, dass noch mehr Daten auf dem externen System eintreffen, die sie dann abfangen können. Der Zugriff auf das externe Speichermedium würde somit zu einer längerfristigen (Online-)Überwachung von Datenströmen.214 Eine gezielte längerfriste Überwachung des externen Systems durch mehrmalige Zugriffe kann aber nicht auf § 110 Abs. 3 S. 2 StPO gestützt werden. Das ergibt sich zum einem aus der systematischen Stellung der Netzwerkdurchsicht innerhalb der Durchsuchungsvorschriften. Bei einer Durchsuchung nach den §§ 102 ff. StPO geht es darum, dass Ermittler auf der Grundlage eines Tatverdachts nach Beweismitteln oder Spuren suchen, also sie aufzuspüren und ggf. zu sichern versuchen. Es geht also nicht um ein Betretungsrecht zu Besichtigungs- und Kontrollzwecken oder gar zur fortlaufenden Überwachung des Durchsuchungsobjekts, sondern um die ziel- und zweckgerichtete Suche nach einem Gegenstand, den der Inhaber nicht freiwillig herausgeben will.215 Diesem Charakter der Durchsuchung entspricht es nicht, wenn Ermittler eine Wohnung betreten und dann in der Wohnung darauf warten, dass relevante Beweismittel erst eintreffen, oder wenn sie auf einem Unternehmensgelände warten und dabei überwachen, welche Gegenstände als neue potentielle Beweismittel angeliefert werden. Bei so einer Art von Überwachung geht es nicht mehr darum, einen vom Gewahrsamsinhaber verborgenen Gegenstand aufzuspüren, sondern es geht darum, ein Verhalten in die Zukunft hinein zu observieren um dann gegebenfalls neu eintreffende Gegenstände abzufangen. Ein solches Vorgehen entfernt sich somit vom Zweck der (strafprozessualen) Durchsuchung. Übertragen auf den mehrmaligen, abwartenden Zugriff auf externe Systeme im Sinne des § 110 Abs. 3 S. 2 StPO bedeutet dies: Ebenso wenig wie es den Ermittlern erlaubt ist, während einer Wohnungsdurchsuchung nach § 102 StPO in den Räumlichkeiten des Beschuldigten darauf zu warten, dass neues potentielles Beweis-

214

Vgl. Zerbes/El-Ghazi, NStZ 2015, 425 (432). BeckOK-StPO/Hegmann, § 102 (Einleitung); MüKo-StPO/Hauschild, § 102 Rn. 6; Park, Durchsuchunge, Rn. 31. 215

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

363

material eintrifft, muss es auch im Rahmen eines Netzwerkzugriffs nach § 110 Abs. 3 S. 2 StPO verboten sein, die Verbindung längerfristig aufrecht zu erhalten oder mehrmals auf den externen Speicher zuzugreifen, um fortlaufend neu eintreffende Daten abzufangen. Die Netzwerkdurchsicht als Teil der Durchsuchung erlaubt folglich ebenso wie die Durchsicht eines lokalen informationstechnischen Systems auf Grundlage des § 110 Abs. 3 S. 1 StPO nur den einmaligen Zugriff auf den aktuellen Datenbestand in der Form, wie er im Moment des Zugriffs vorgefunden wird. Dieser ursprüngliche Datenbestand darf dann gesichert werden (§ 110 Abs. 3 S. 3 StPO); ein gezieltes Abwarten zur Vergrößerung des Datenbestandes aber entspricht nicht dem Zweck der Netzwerkdurchsicht. Zu einer auf Dauer angelegten Überwachung des Datenbestandes, auch durch gezielte mehrmalige Abfrage des externen Systems, ermächtigt § 110 Abs. 3 S. 2 StPO also nicht. Ließe man eine solche dauerhafte Online-Überwachung auf Grundlage des § 110 Abs. 3 S. 2 StPO zu, würden die strengeren Voraussetzungen für eine Quellen-Telekommunikationsüberwachung z. B. bezüglich E-Mails (§ 100a Abs. 1 S. 2 und 3, Abs. 3, 5 und 6) und für eine Online-Durchsuchung bezüglich anderer Speicher (§ 100b StPO) unterlaufen:216 Diese Maßnahmen sind es, die auf eine längerfristige Überwachung informationstechnischer Systeme am Endgerät des Nutzers abzielen und unter anderem deshalb unter dem Vorbehalt hoher Eingriffsschwellen stehen.217 Die §§ 102 ff. StPO ermächtigen demgegenüber nur zur einmaligen, in zeitlicher Hinsicht punktuellen Ausforschung von Durchsuchungsobjekten.218 Die Unzulässigkeit des abwartenden Zugriffs zur dauerhaften Überwachung externer informationstechnischer Systeme ergibt sich außerdem bereits aus der in § 110 Abs. 3 S. 2 StPO festgelegten Voraussetzung, dass der Zugriff nur erfolgen darf, wenn andernfalls der Verlust der gesuchten Daten zu befürchten ist (dazu oben III.). Zum einen setzt dieses begrenzende Merkmal voraus, dass sich die Daten bereits auf dem externen System befinden und nicht erst im Laufe der Durchsuchung dort eintreffen. Eine Situation, in der die Gefahr des Verlustes gesuchter Daten zu befürchten ist, diese Daten aber noch gar nicht auf dem Zielsystem gespeichert sind, kann es nicht geben.219 § 110 Abs. 3 S. 2 StPO bezweckt folglich den Zugriff auf bereits gespeicherte Daten, nicht aber die Überwachung des laufenden Datenverkehrs. Zum anderen beißt sich das Erfordernis der Befürchtung des Datenverlusts mit einem längeren Abwarten der Ermittler: Entweder, es besteht wirklich die 216 Vgl. Bell, Strafverfolgung und die Cloud, 2019, S. 98; Brodowski/Eisenmenger, ZD 2014, 119 (124 f.); vgl. auch BT-Drs. 19/27654, S. 64. 217 Vgl. BeckOK-StPO/Graf, § 100a Rn. 117 f.; KK/Bruns, § 100b Rn. 3. 218 Brodowski/Eisenmenger, ZD 2014, 119 (124); Zerbes/El-Ghazi, NStZ 2015, 425 (432); vgl. auch BT-Drs. 19/27654, S. 64. 219 Zerbes/El-Ghazi, NStZ 2015, 425 (432).

364

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Befürchtung, dass beweisrelevante Daten verloren gehen müssen – dann müssen (und dürfen) die Ermittler sofort zugreifen und die Daten sichern, § 110 Abs. 3 S. 3 StPO. Oder aber es besteht Zeit zum Abwarten und damit keine Befürchtung des Datenverlusts – dann aber sind die tatbestandlichen Voraussetzungen des § 110 Abs. 3 S. 2 StPO nicht erfüllt und ein Fernzugriff ist damit insgesamt unzulässig. Eine Situation, in der zunächst sehr dringend eine Datendurchsicht auf einem externen System erforderlich scheint, die Ermittler dann aber länger mit dieser Durchsicht warten, ist nicht plausibel. Der Zugriff auf das externe Zielsystem hat vielmehr unverzüglich zu erfolgen und ist dann schnellstmöglich abzuschließen. Für ein längeres Abwarten während der Durchsuchung zum Zwecke der Überwachung fortlaufend eintreffender Datenpakete besteht also kein Raum.220 Mit dieser Maßgabe sind auch die Fälle zu lösen, in denen die Ermittler erst das lokale Ausgangssystem sicherstellen oder per Mitnahme zur Durchsicht aus den Räumlichkeiten entfernen, um dann später von diesem System aus über § 110 Abs. 3 S. 2 StPO auf ein externes System zuzugreifen. Je länger die Ermittler mit dem späteren Zugriff auf das externe System warten, desto schwerer wird es fallen, noch zu begründen, warum der Verlust der Daten zu befürchten ist. Fernzugriffe auf das externe System erst mehrere Monate nach der Sicherstellung oder Mitnahme des Ausgangssystems sind damit in der Regel unzulässig.221 Insbesondere darf auch hierbei der Zugriff auf das externe System nicht mehrmals in gewissen Zeitabständen erfolgen, denn dies würde eine unzulässige Dauerüberwachung des Zielsystems bedeuten.222 Zudem würde die Maßnahme bei diesem Vorgehen im Rahmen der Mitnahme zur Durchsicht ihren offenen Charakter verlieren und zu einer heimlichen Ausforschung dem Durchsuchten gegenüber werden, da dieser nicht mehr kontrollieren kann, wann und wie oft vom sichergestellten lokalen System aus auf sein externes System zugegriffen wird.223 Zulässig kann daher nur ein einmaliger Zugriff sein, bei dem – unter Beachtung des Verhältnismäßigkeitsprinzips – grundsätzlich zunächst einmal alle Daten (vorläufig) sichergestellt werden können, § 110 Abs. 3 S. 3 StPO. An diesen einmalig aus dem externen Zielsystem erhobenen Daten kann dann wiederum eine längere Analyse anhand einer Sicherungskopie erfolgen, denn bei diesem gesicherten

220 von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 383; Zerbes/ElGhazi, NStZ 2015, 425 (432); vgl. auch Bell, Strafverfolgung und die Cloud, 2019, S. 99. 221 Brodowski/Eisenmenger, ZD 2014, 119 (124). 222 Bell, Strafverfolgung und die Cloud, 2019, S. 99; Brodowski/Eisenmenger, ZD 2014, 119 (124 f.). 223 Bell, Strafverfolgung und die Cloud, 2019, S. 98; Brodowski/Eisenmenger, ZD 2014, 119 (124); a. A. Bunzel, Zugriff auf IT-Systeme, 2015, mit Verweis darauf, dass der Betroffene mit dem Zugriff auf sein externes System rechnen müsse, sofern die Zugangsdaten dazu offen bei ihm erhoben worden sind.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

365

Datenbestand besteht keine Gefahr mehr, dass ihm laufend Daten durch das Nutzerverhalten Dritter oder des Beschuldigten selbst hinzugefügt werden. Abweichend zu beurteilen sind aber solche Fallkonstellationen, in denen zunächst ein informationstechnisches System sichergestellt oder zur Durchsicht mitgenommen wird, ohne dass die Ermittler von einem externen Speichermedium des Nutzers im Sinne des § 110 Abs. 3 S. 2 StPO wissen. In dieser Fallkonstellation stellt sich erst im Laufe der Durchsicht des informationstechnischen Systems und der Datenauswertung heraus, dass die gesuchten Daten nicht nur lokal, sondern teilweise auf einem externen System gespeichert sind. Die Voraussetzungen des § 110 Abs. 3 S. 2 StPO werden hierbei also erst während der Durchsicht des informationstechnischen Systems bejaht. Hier spricht grundsätzlich nichts dagegen, dass die Ermittler im Moment der Kenntnisnahme, dass mit dem lokalen informationstechnischen System ein externes System verbunden ist, auf dieses zugreifen dürfen. Dieser Zugriff muss dann aber wiederum unverzüglich und einmalig erfolgen, um nicht zu einer unzulässigen Dauerüberwachung zu werden. Es ist in diesen Situationen ferner genau zu prüfen, ob der Fernzugriff auf das externe Speichermedium noch vom ursprünglichen Durchsuchungsbeschluss gedeckt ist. Insbesondere wenn das lokale informationstechnische System, also das Ausgangssystem, nicht nur während einer Durchsuchung zur Durchsicht vorläufig mitgenommen wurde, sondern bereits endgültig sichergestellt worden ist, ist durch die Sicherstellung die ursprüngliche Durchsicht und damit auch die Durchsuchung beendet.224 Gegebenenfalls müssen die Ermittler also einen weiteren, neuen Durchsuchungsbeschluss erwirken, damit sie eine erneute Durchsicht auch hinsichtlich des externen Systems über § 110 Abs. 3 S. 2 StPO vornehmen dürfen. Ebenfalls von den oben genannten Konstellationen zu unterscheiden sind Grenzfälle, in denen die Ermittler lediglich eine einmalige, punktuelle Durchsicht des externen Systems durchführen wollen und diese zügig vornehmen, während dieser (kurzen) Dauer dieses Zugriffs aber zufällig neue Daten auf das externe Zielsystem hochgeladen werden. In dieser Situation ist fraglich, ob die Ermittler auch die neu hinzugekommenen Daten durchsehen und sichern dürfen, oder ob sie diese Daten unberührt lassen oder sogar die Maßnahme abbrechen müssen. Die Abgrenzung, wann die Netzwerkdurchsicht noch zulässig ist oder wann sie unzulässig wird, sollte danach erfolgen, ob 224

Vgl. Zerbes/El-Ghazi, NStZ 2015, 425 (433); noch enger Bell, Strafverfolgung und die Cloud, 2019, S. 104, die die Durchsuchung bereits dann für beendet hält, wenn die Ermittler die Räumlichkeiten des Durchsuchten verlassen. Diese Auffassung setzt die vorläufige Sicherstellung im Rahmen einer Mitnahme zur Durchsicht mit der endgültigen Sicherstellung nach den §§ 94 ff. StPO gleich, entgegen dem vorherrschenden und zutreffenden Verständnis, dass es sich hierbei um zwei zu unterscheidende Maßnahmen in unterschiedlichen Phasen des Ermittlungsverfahrens handelt.

366

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

sich der Charakter der Maßnahme verändert. Punktuell und zufällig während der Durchsicht hinzukommende Daten verändern den Charakter der Maßnahme nicht: Es handelt sich weiterhin um eine Durchsicht im Sinne des § 110 Abs. 3 StPO, die nicht auf eine dauerhafte Überwachung des Zielsystems ausgerichtet ist. Legen die Ermittler die Maßnahme dagegen bewusst langfristig an bzw. verzögern sie absichtlich und warten gezielt auf das Eintreffen neuer Daten, so verändert dies den Charakter der Maßnahme: Die Durchsicht im Sinne des § 110 Abs. 3 StPO ist dann nur noch Vorwand und Einfallstor für eine dauerhafte Überwachung von Datenströmen. Das Vorgehen der Ermittler ist dann rechtsmissbräuchlich und daher nicht mehr von § 110 Abs. 3 S. 2 StPO gedeckt. Eine gezielte dauerhafte Überwachung externer Systeme durch mehrmaligen Zugriff oder durch eine gezielte zeitliche Ausdehnung der Durchsicht kann nach allem also nicht auf § 110 Abs. 3 S. 2 StPO gestützt werden. Sie ist allenfalls auf Grundlage speziellerer Eingriffsgrundlagen wie §§ 100a, 100b StPO zulässig. § 110 Abs. 3 S. 2 StPO demgegenüber berechtigt die Ermittler nur zu einem einmaligen Zugriff auf das externe System zu einem einzigen bestimmten Zeitpunkt.225

V. Transnationale Datenzugriffe (transborder searches) Die große Besonderheit der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO ist, dass sie nicht durch physisch-räumliche Gegebenheiten begrenzt wird.226 Das gilt zum einen in technischer und tatsächlicher Hinsicht: Wird im Rahmen einer Durchsicht auf ein externes informationstechnisches System zugegriffen, dann muss sich die Hardware dieses Systems nicht am physischen Durchsuchungsort befinden, sondern kann prinzipiell überall gelagert sein. Die räumliche Entfernung des externen Systems zum Durchsuchungsort, an dem der Fernzugriff durchgeführt wird, spielt keine Rolle. In technischer Hinsicht ist allein vorausgesetzt, dass das lokalen Ausgangssystem des Durchsuchungsorts mit dem externen Zielsystem am anderen Ort vernetzt ist. Ob sich die Hardware der beiden Systeme dann einhundert Meter oder dreitausend Kilometer voneinander entfernt befindet, hat auf die tatsächliche Durchführbarkeit der Netzwerkdurchsicht grundsätzlich keine nennenswerten Auswirkungen. In rechtlicher Hinsicht hebt § 110 Abs. 3 S. 2 StPO die physisch-räumlichen Grenzen des Schauplatzes der Durchsuchung auf. Bei der Netzwerk-

225

Bell, Strafverfolgung und die Cloud, 2019, S. 99; Brodowski/Eisenmenger, ZD 2014, 119 (124 f.); Zerbes/El-Ghazi, NStZ 2015, 425 (432). 226 Zur diesbezüglichen Einordnung des § 110 Abs. 3 StPO s. bereits oben Kap. 1 mit detaillierten Nachweisen.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

367

durchsicht müssen die Ermittler nicht mehr an den Grenzen des Durchsuchungsortes Halt machen. Vielmehr dürfen sie das externe informationstechnische System grundsätzlich unabhängig vom Standort seiner Hardware ansteuern und sichten. Ein erneuter, separater Durchsuchungsbeschluss für die Standorträumlichkeiten der Hardware des externen Systems soll gerade nicht mehr erforderlich sein.227 § 110 Abs. 3 S. 2 StPO erlaubt damit das Durchermitteln im virtuellen Raum über räumliche Begrenzungen hinweg. Vor diesem Hintergrund stellt sich die Frage, ob § 110 Abs. 3 S. 2 StPO auch zu transnationalen Ermittlungen ermächtigt, also zu Ermittlungen, die in fremde Staatsgebiete hineinreichen (auch transborder searches genannt). In technischer Hinsicht muss der Zugriff über das Netzwerk nicht an Staatengrenzen Halt machen. Müssen die Ermittler aber aus rechtlichen Gründen die Fernzugriffe auf Systeme im eigenen Staat, also der Bundesrepublik Deutschland, beschränken? Diese Frage ist für den praktischen Anwendungsbereich des § 110 Abs. 3 S. 2 StPO äußerst bedeutsam. Anbieter von Webspace/Fileservern, E-Mail-Diensten und insbesondere Cloud-Speichern haben ihren Sitz häufig nicht in Deutschland und/oder verwenden Serverstandorte außerhalb des deutschen Staatsgebiets.228 Beispielhaft genannt seien hier nur die häufig genutzten Speicherdienste Amazon Cloud Drive, Dropbox, Apple iCloud oder Google Drive: Sie alle werden von US-amerikanischen Unternehmen angeboten und verwenden Serverstandorte, die sich nicht oder jedenfalls nicht ausschließlich in Deutschland befinden.229 Insbesondere beim Cloud Computing ist es technisches Wesensmerkmal, dass verschiedene Leistungskapazitäten zusammengeschaltet werden, deren einzelne Hardware-Komponenten über die ganze Welt verstreut sein können.230 Beim Zugriff auf einen Speicherplatz im Netz, also auf ein räumlich getrenntes Speichermedium im Sinne des § 110 Abs. 3 S. 2 StPO, ist das Übergreifen in einen ausländischen Rechtsraum folglich keine Seltenheit, sondern vielmehr hochwahrscheinlich.231 227

Vgl. Brodowski/Eisenmenger, ZD 2014, 119 (121); LR/Tsambikakis, § 110 Rn. 8; Radtke/Hohmann/Ladiges, § 110 Rn. 16; SK-StPO/Wohlers/Jäger, § 110 Rn. 9; Wicker, MMR 2013, 765 (767); Zerbes/El-Ghazi, NStZ 2015, 425 (429). 228 Vgl. Brodowski/Eisenmenger, ZD 2014, 119 (123); M. Gercke, CR 2010, 345 (346 f.); Süptitz/Utz/Eymann, DuD 2013, 307 (310); allgemein B. Gercke, StraFo 2009, 271 f. 229 Das Angebot Microsoft Cloud Deutschland, das mit einer Datenspeicherung und – Verwaltung ausschließlich durch die Deutsche Telekom warb, wurde nach nur wenigen Jahren Laufzeit eingestellt, s. Schüler, heise online v. 31.08.2018, https://www.heise.de/new sticker/meldung/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html [zuletzt abgerufen am 04.11.2021]. Die Neuauflage einer deutschen Cloud-Lösung durch Microsoft mit Rechenzentren in Deutschland schließt eine Speicherung von Kundendaten im Ausland nicht völlig aus, s. Wischner, heise online v. 28.08.2019, https://www.heise.de/newstic ker/meldung/Microsoft-startet-neuen-Cloud-Versuch-in-Deutschland-4508151.html [zuletzt abgerufen am 04.11.2021]. 230 Vgl. schon oben Kap. 3 A.I.2.d).

368

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Im Folgenden sollen daher die rechtlichen Grenzen der Netzwerkdurchsicht hinsichtlich transnationaler Zugriffe dargelegt werden. Dabei soll zunächst diskutiert werden, ob § 110 Abs. 3 S. 2 StPO überhaupt Ermächtigungsgrundlage zu transnationalen Datenzugriffen sein kann (Kap. 3 A.V. 1.). Daran anschließend sollen die ermittlungspraktischen Probleme bei der Ermittlung des Standorts der Hardware des externen Systems zusammengefasst werden (Kap. 3 A.V. 2.). Der Abschnitt schließt ab mit einem zweitgeteilten Ausblick: Zum einen soll es um die Pläne zur Reform/Erweiterung der Convention on Cybercrime gehen, die den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO in transnationaler Hinsicht ausdehnen könnte (Kap. 3 A.V. 3.), zum anderen soll kurz auf die geplante e-evidence-Verordnung eingegangen werden, aus der sich bei transnationalen Sachverhalten Alternativen zum Fernzugriff durch die Ermittler ergeben können (Kap. 3 A.V. 4.). 1. § 110 Abs. 3 S. 2 StPO als Ermächtigung zu transnationalen Ermittlungen? Ermittler deutscher Strafverfolgungsbehörden üben bei ihren Ermittlungen deutsche Staatsgewalt aus. Die Staatsgewalt ist grundsätzlich auf das Gebiet der Bundesrepublik Deutschland begrenzt. Dieses Territorialprinzip (auch: Territorialitätsprinzip), nach dem ein Staat seine Staatsgewalt grundsätzlich nur auf dem eigenen Staatsgebiet ausüben darf, ist eine allgemeine Regel des Völkerrechts. Sie verbietet Eingriffe fremder Staatsgewalten und schützt so die Staaten in ihrer völkerrechtlichen Souveränität. Gemäß Art. 25 GG ist das Territorialprinzip als allgemeine Regel des Völkerrechts in Deutschland Bestandteil des Bundesrechts und geht den Gesetzen vor. Eigenmächtige Ermittlungen deutscher Behörden auf dem Territorium eines fremden Staatsgebiets oder mit Auswirkungen auf ein fremdes Staatsgebiet sind daher, sofern sie ohne Zustimmung des fremden Staats erfolgen, rechtswidrig.232 Auch die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO stellt als strafprozessuale Zwangsmaßnahme die Ausübung deutscher Hoheitsgewalt dar. Im Ausgangspunkt findet sie auf deutschem Staatsgebiet statt: Die Ermittler 231 Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.V. 2. (via juris); vgl. auch Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 52 f.; Wicker, Cloud Computing, 2016, 433. 232 Zum Ganzen Bell, Strafverfolgung und die Cloud, 2019, S. 158 ff.; Gudermann, Online-Durchsuchung, 2010, S. 115; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 115 f.; Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 289 f.; Maunz/Dürig/Herdegen, Art. 25 Rn. 51; Sankol, K&R 2008, 279 (281); Schantz, KritV 2007, 310 (328 f.); Weiß, Online-Durchsuchungen, 2009, S. 246 ff., 251 ff.; Ziebarth, Online-Durchsuchung, 2013, S. 149 f.; s. auch B. Gercke, StraFo 2009, 271 (272): Graßie/ Hie´ramente, CB 2019, 191 (193); Keller, Kriminalistik 2009, 491 (496); MüKo-StPO/Kudlich, Einleitung Rn. 655.

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

369

befinden sich zum Beispiel in der Wohnung des Beschuldigten und nehmen dort befindliche lokale informationstechnische Systeme in Betrieb, um von ihnen aus den Fernzugriff auf das räumlich getrennte Speichersystem zu starten. Dieses externe System aber kann seine Hardware im Ausland haben, sodass die durch den Fernzugriff angestoßenen Datenverarbeitungsvorgänge auf fremdem Staatsgebiet stattfinden.233 Vereinfacht gesprochen besteht die Möglichkeit, dass die Ermittler von Deutschland aus auf Daten zugreifen, die auf einem Computer im Ausland gespeichert sind. Der Datenzugriff erfolgt also transnational, über die Staatsgrenzen hinweg, und verlässt somit zumindest virtuell das eigene, deutsche Staatsgebiet und strahlt in ein fremdes Staatsgebiet aus.234 Vor dem Hintergrund des Territorialprinzips und der grundsätzlichen Beschränkung von Ermittlungshandlungen auf das eigene Staatsgebiet sind weite Teile des Schrifttums der Ansicht, dass der Durchgriff auf im Ausland gespeicherte (nichtöffentliche, zugangsgeschützte) Daten die Souveränität fremder Staaten verletzt und daher auch nach innerstaatlichem Recht rechtswidrig sein muss.235 Eine Minderheit im Schrifttum verneint dagegen die Verletzung fremder Souveränitätsrechte und hält einen Fernzugriff auf im Ausland gespeicherte Daten auf Grundlage des § 110 Abs. 3 S. 2 StPO für zulässig. So meint beispielsweise Wicker, dass es für eine Durchsuchung von Cloud-Speichern vom System des Beschuldigten aus auf Grundlage des § 102 StPO irrelevant sei, dass die Cloud-Server möglicherweise im Ausland stünden. Wicker erkennt zwar implizit an, dass strafprozessuale Maßnahmen für gewöhnlich an Staatsgrenzen Halt machen müssen, sieht den Durchgriff der Ermittler ins Ausland aber dadurch gerechtfertigt, dass das Cloud Computing als neuartiges Phänomen auch neue und andere Denkweisen im materiellen und prozessualen Recht erfordere.236 Abzustellen sei ferner nicht auf den räumlichen 233

Vgl. Ihwas, Strafverfolgung in Sozialen Netzwerken, 2014, S. 290 f.; Sankol, K&R 2008, 279 (281); Sieber, Gutachten zum 69. Deutschen Juristentag, C 144; Süptitz/ Utz/Eymann, DuD 2013, 307 (310). 234 Heinson, IT-Forensik, 2015, S. 254; Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.V. 2.a)aa) (via juris); Sankol, K&R 2008, 279 (280 f.); Sieber, Gutachten zum 69. Deutschen Juristentag, C 143 f.; vgl. auch LG Hamburg MMR 2008, 186 (187); Gaede, StV 2009, 96 (101). 235 Bär, ZIS 2011, 53 (54); Bell, Strafverfolgung und die Cloud, 2019, S. 171 f.; Gaede, StV 2009, 96 (101); B. Gercke, StraFo 2009, 271 (272); M. Gercke, CR 2010, 345 (347); Kasiske, StraFo 2010, 228 (234): Keller, Kriminalistik 2009, 491 (496); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 55. 236 Wicker, Cloud Computing, 2016, S. 342 f. Wicker will dabei auch die Wertungen des BVerfG hinsichtlich der Zulässigkeit des strafprozessualen Zugriffs auf E-Mails als Stütze für ihre Argumentation heranziehen, führt dies aber leider nicht weiter aus und benennt auch keine Fundstelle z. B. aus dem E-Mail-Beschluss des BVerfG. Gemeint ist mögli-

370

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Ort des Datenträgers, sondern auf die personelle Zuordnung der Daten zum Beschuldigten.237 Außerdem finde die Ermittlungshandlung als solche gar nicht im Ausland statt, da die Ermittler den Fernzugriff vom Inland aus vornehmen, was kein Ermitteln auf ausländischem Staatsgebiet sei.238 Eine Begrenzung auf lediglich innerstaatliche Ermittlungen könne zudem auch dem Wortlaut des § 110 Abs. 3 S. 2 StPO nicht entnommen werden.239 Vielmehr enthalte § 110 Abs. 3 S. 2 StPO die Wertung, dass der Zugriff auf räumlich getrennte Speichermedien (immer) zulässig sein soll, soweit vom Betroffenen aus auf sie zugegriffen werden kann.240 Von Zerbes und El-Ghazi wird ergänzend erwogen, dass dem Fernzugriff nach § 110 Abs. 3 S. 2 StPO der hoheitliche Charakter fehlen könnte, wenn dabei jedenfalls in keine individuellen Rechte des ausländischen Serverbetreibers eingegriffen werde.241 Den Argumenten hinsichtlich der (fehlenden) Praktikabilität der Differenzierung nach Speicherstandorten ist zuzugeben, dass die Anknüpfung an den Ort des Datenträgers bei einer Technik wie dem Cloud Computing antiquiert erscheint, wenn es doch gerade Sinn und Zweck dieser Technologie und schlicht die Realität bei ihrer Nutzung ist, dass die Daten weltweit verfügbar sind und bei der Datenspeicherung räumliche Distanzen ebenso wie Staatengrenzen keine Rolle mehr spielen. Diese Argumente mögen die rechtspolitische Forderung nach einfacheren, umfassenderen Befugnissen für deutsche Ermittlungsbehörden de lege ferenda begründen. Sie schlagen aber nicht auf rechtlicher Ebene de lege lata durch: Ob eine Ermittlungsmaßnahme zulässig ist, bestimmt sich nicht danach, wie sinnvoll ihre Zulässigkeit wäre. Insbesondere kann dadurch nicht die Geltung des Territorialprinzips ausgehebelt werden, das die Ausübung deutscher Hoheitsgewalt auf das deutsche Staatsgebiet beschränkt und unberechtigte Übergriffe ins Ausland verbietet.242 Unabhängig von der Frage, ob sich mit dem schwerpunktmäßigen Anknüpfen an den Ort der Ermittlungshandlung ein Handeln deutscher Ermittler allein auf deutschem Staatsgebiet konstruieren lässt,243 ist jedenfalls für cherweise, dass das BVerfG auch im E-Mail Beschluss (BVerfGE 124, 43) alte Rechtsnormen (§§ 94 ff. StPO) vor dem Hintergrund neuerer technischer Entwicklungen technikoffen oder zukunftsorientiert ausgelegt hat. Das besagt aber nicht, dass jede Norm immer an moderne Gegebenheiten (und an die Wünsche der Strafverfolgungsbehörden) angepasst bzw. entsprechend ausgelegt werden darf. 237 Wicker, Cloud Computing, 2016, S. 356. 238 Wicker, MMR 2013, 765 (768 f.); aufgegriffen von Meyer-Goßner/Schmitt/Köhler, § 110 Rn. 7b; krit. Bunzel, Zugriff auf IT-Systeme, 2015, S. 360 f. 239 Wicker, Cloud Computing, 2016, S. 356. 240 Wicker, MMR 2013, 765 (769). 241 Zerbes/El-Ghazi, NStZ 2015, 425 (431). 242 Dalby, Strafverfolgung im Internet, 2016, S. 248; B. Gercke, GA 2012, 474 (489). 243 Zweifelhaft, da der dadurch ausgelöste Datenverarbeitungsvorgang zumindest teil-

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

371

den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO zu berücksichtigen, dass diese Norm auch der Umsetzung der Verpflichtungen aus der Convention on Cybercrime dient.244 Der insoweit maßgebliche Art. 19 Abs. 2 der Convention, der die unterzeichnenden Staaten dazu verpflichtet, die erforderlichen gesetzgeberischen Maßnahmen zur Ausdehnung einer Computerdurchsicht auch auf externe Computersysteme zu treffen, beschränkt diese Ausdehnung ausdrücklich auf Computersysteme, die sich „im Hoheitsgebiet“ des ermittelnden Staates befinden.245 Eine Ausdehnung der Maßnahme auf Computersysteme, die sich im Hoheitsgebiet fremder Staaten befinden, sieht Art. 19 Abs. 2 der Convention also gerade nicht vor. Vielmehr trifft die Convention in ihrem Kapitel III besondere Regelungen für die internationale Zusammenarbeit von Ermittlern. Hervorzuheben sind hier die Art. 29 ff. zum Verfahren der Rechtshilfe bezüglich der Erlangung von Computerdaten, die auf Systemen außerhalb des Hoheitsgebiets des ermittelnden Staates gespeichert sind. So regelt Art. 31 der Convention, dass der ermittelnde Vertragsstaat den Vertragsstaat, auf dessen Hoheitsgebiet die verfahrensrelevanten Daten gespeichert sind, um Weitergabe dieser Daten ersuchen kann. Dem ermittelnden Staat soll somit also nicht etwa der Durchgriff auf im Ausland gespeicherte Daten ermöglicht werden. Stattdessen wird er auf ein Rechtshilfeverfahren verwiesen. Die eigentliche Sichtung und Sicherung von Daten ist von den Behörden desjenigen Staats zu übernehmen, auf dessen Gebiet die Daten gespeichert sind.246 Das gilt selbst in Eilfällen: Art. 29 der Convention sieht hier die Möglichkeit vor, dass der ermittelnde Staat den Vertragsstaat, auf dessen Hoheitsgebiet sich aufgefundene Computersysteme befinden, um eine vorläufige Sicherung der für die Ermittlungen relevanten Daten ersucht. Lediglich für Fälle, in denen die erwünschten Daten entweder ohnehin öffentlich zugänglich sind oder in denen der Inhaber der (nichtöffentlichen) Daten rechtmäßig und freiwillig und aufgrund einer entsprechenden Befugnis zur Weitergabe in den Zugriff auf die Daten einwilligt, sieht Art. 32 ausnahmsweise einen direkten grenzüberschreitenden Zugriff durch die Behörden des ermittelnden Staates vor.247 Im Umkehrschluss gilt damit aber für alle an-

weise auch im Ausland stattfindet, Süptitz/Utz/Eymann, DuD 2013, 307 (310); s. auch LG Hamburg MMR 2008, 186 (187); Heinson, IT-Forensik, 2015, S. 254. 244 S. BT-Drs. 16/5846, S. 27, 63 f.; M. Gercke, CR 2010, 345 (347); dazu auch schon oben Einl. C. Der Text der Convention on Cybercrime ist in deutscher Übersetzung abrufbar unter http://conventions.coe.int/Treaty/GER/Treaties/Html/185.htm [zuletzt abgerufen am 04.11.2021]. 245 Dalby, Strafverfolgung im Internet, 2016, S. 260; M. Gercke, CR 2010, 345 (347); Sankol, K&R 2008, 279 (282); Süptitz/Utz/Eymann, DuD 2013, 307 (310). 246 Graßie/Hie´ramente, CB 2019, 191 (193). 247 Dazu Dalby, Strafverfolgung im Internet, 2016, S. 261; Heinson, IT-Forensik, 2015, S. 254 f.

372

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

deren Fälle, dass der Datenzugriff durch Ermittler an den Staatsgrenzen Halt zu machen hat.248 Nur von diesem Grundsatz aus gesehen haben die detaillierten Rechtshilferegelungen der Convention on Cybercrime überhaupt einen Sinn.249 Legt man § 110 Abs. 3 S. 2 StPO nun im Lichte der Convention on Cybercrime aus, so ergibt sich, dass hiermit keine Rechtsgrundlage geschaffen wurde, die zum transnationalen Datenzugriff auf geschützte, also nicht öffentlich gespeicherte Daten gegen den Willen des berechtigten Dateninhabers ermächtigt.250 § 110 Abs. 3 S. 2 StPO ist folglich keine taugliche Rechtsgrundlage für transnationale Datenzugriffe, sondern setzt voraus, dass sich das externe Zielsystem in Deutschland befindet.251 Dies ergibt sich einerseits aus dem Territorialprinzip, das ein eigenmächtiges Ermittlungshandeln auf fremdem Staatsgebiet grundsätzlich verbietet. Andererseits ergibt sich dies aus dem Regelungskonzept der Convention on Cybercrime, das Behörden zur Erlangung von im Ausland gespeicherten Daten grundsätzlich auf das Verfahren der Rechtshilfe verweist und Direktzugriffe auf die Daten nur im eigenen Hoheitsgebiet des ermittelnden Staates zulässt.

248 Vgl. Weiß, Online-Durchsuchungen, 2009, S. 255. Wenig überzeugend Bunzel, Zugriff auf IT-Systeme, 2015, S. 361 f., der eine nationale Durchsuchungsanordnung nach § 105 Abs. 1 StPO als Ersatz für die Einwilligung des Betroffenen ansieht und deshalb auch Fälle ohne Einwilligung des Betroffenen unter Art. 32 lit. b) der Convention on Cybercrime subsumieren will. Durch diesen Kunstgriff wären dann grundsätzlich alle Fälle eines grenzüberschreitenden Datenzugriffs zulässig, wenn denn nur eine Durchsuchungsanordnung vorliegt. Das aber unterliefe die von der Convention on Cybercrime ausdrücklich vorgesehene Unterscheidung zwischen Zugriffen mit Zustimmung und Zugriffen ohne Zustimmung des Betroffenen. 249 Vgl. Schiemann, KriPoZ 2017, 268 (269). Die Rechtshilfevorschriften werden letztlich auch von Wicker, Cloud Computing, 2016, S. 433 ff. gesehen. Wicker zieht sich aber weiter auf die Behauptung zurück, dass das Rechtshilfeverfahren beim Cloud Computing aufgrund der dortigen technischen Eigenarten (Verstreutheit der Daten) nicht effektiv sei und § 110 Abs. 3 (S. 2) StPO deshalb auch zum Direkzugriff von im Ausland gespeicherten Daten ermächtigen müsse. 250 Brodowski/Eisenmenger, ZD 2014, 119 (123); M. Gercke, CR 2010, 345 (347); Kudlich, GA 2011, 193 (208); Sankol, K&R 2008, 279 (282). 251 Brodowski/Eisenmenger, ZD 2014, 119 (122 f.); Dalby, Strafverfolgung im Internet, 2016, S. 261; Gaede, StV 2009, 96 (101); B. Gercke, GA 2012, 474 (489); M. Gercke, CR 2010, 345 (347); Graßie/Hie´ramente, CB 2019, 191 (193); Gudermann, Online-Durchsuchung, 2010, S. 117 f.; Heinson, IT-Forensik, 2015, S. 254 ff.; Herrmann/Soine´, NJW 2011, 2922 (2925); Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rn. 791; HKStPO/B. Gercke, § 110 Rn. 26; Kudlich, GA 2011, 193 (208); Liebig, Zugriff auf Computerinhaltsdaten, 2015, S. 56; Park, Durchsuchung, Rn. 826; Süptitz/Utz/Eymann, DuD 2013, 307 (310).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

373

2. Zulässigkeit der Netzwerkdurchsicht bei Zweifeln über den Standort des Systems? Wenn es für die Zulässigkeit einer Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO entscheidend darauf ankommt, dass sich das externe Speichersystem im Inland befindet, dann muss vor einem solchen Zugriff ermittelt werden, an welchem Standort sich dieses System befindet. Befindet sich das System an einem ausländischen Standort, so ist ein Zugriff auf zugangsgeschützte Daten gegen den Willen des Betroffenen unzulässig. Nur wenn sich die Hardware des externen Zielsystems in Deutschland befindet, dürfen die Ermittler die Netzwerkdurchsicht durchführen. Die Ermittlung des Standorts des externen Systems kann in der Praxis schwierig sein. Zwar liegt es insbesondere bei Anbietern von Speicherplätzen mit Sitz im Ausland nahe, dass sie zumindest auch auf Infrastruktur zurückgreifen, die sich nicht in Deutschland befindet. Zwingend ist das allerdings nicht. Umgekehrt kann man bei einem deutschen Unternehmenssitz nicht einfach davon ausgehen, dass die vom Kunden gespeicherten Daten tatsächlich auch auf Systemen in Deutschland gespeichert werden. Können die Ermittler herausfinden, welcher Anbieter den Speicherplatz bereitstellt, dann ist es zwar durchaus möglich, den Standort oder die Standorte der Serverinfrastruktur zu ermitteln, zum Beispiel über Informationen auf der Homepage des Speicherplatzanbieters, sofern diese als verlässlich gelten können. Nicht in allen Fällen aber ist das Geschäftsmodell von Speicherplatzanbietern derart transparent, dass sie von sich aus offenbaren, wo auf der Welt ihre Serverstandorte liegen.252 Bei nichtkommerziellen Anbietern von Speicherplatz, so zum Beispiel im Falle der Bereitstellung eines Servers durch eine private Einzelperson, kann der Serverstandort noch schwieriger herauszufinden sein. Hier wie auch im Falle kommerzieller Angebote kann zwar theoretisch mittels eines sogenannten trace routing über die Nachverfolgung von IPAdressen herausgefunden werden, wo sich der Standort des externen Systems befindet.253 Sobald der Speicherdienst aber über ein Netzwerk zur Anonymisierung der entsprechenden Verbindungsdaten genutzt wird (z. B. über Tor), gibt auch die IP-Adresse nicht mehr zuverlässig Aufschluss darüber, wo auf der Welt das externe System steht.254 In der Regel völlig ins Leere führen die Ermittlungen schließlich, wenn der Speicherplatz in Form des Cloud 252

Dalby, Strafverfolgung im Internet, 2016, S. 246; Krause, Kriminalistik 2014, 213

(214). 253 Bell, Strafverfolgung und die Cloud, 2019, S. 183; Brodowski/Eisenmenger, ZD 2014, 119 (123); B. Gercke, StraFo 2009, 271 (273). 254 Vgl. zu weiteren Lokalisierungsproblemen beim trace routing Krause, Kriminalistik 2014, 213 (214 f.); MüKo-StPO/Hauschild, § 110 Rn. 18 – Fn. 71; Obenhaus, NJW 2010, 651 (653); vgl. auch Dalby, Strafverfolgung im Internet, 2016, S. 234 ff.; Bär, ZIS 2011, 53 (54).

374

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Computings zur Verfügung gestellt wird, bei dem Hardwarekomponenten aus der ganzen Welt zusammengeschaltet sind und überhaupt nicht mehr zuordenbar ist, welchen räumlichen Speicherstandort die Daten des Beschuldigten während der Netzwerkdurchsicht haben (loss of location255). Diese Virtualisierungstechnik kann sogar so weit gehen, dass einzelne Dateien aufgespalten sind und anteilig auf einer Festplatte beispielsweise in Singapur und einer anderen Festplatte in Irland liegen und diese Standorte je nach Auslastung des Gesamtsystems beständig wechseln.256 In diesen Fällen ist es prinzipiell unmöglich, den einen Speicherstandort der Daten auszumachen. Damit stellt sich die Frage, wie in rechtlicher Hinsicht damit umzugehen ist, wenn in tatsächlicher Hinsicht der Systemstandort nicht ermittelbar ist oder wenn Zweifel darüber bestehen, ob sich der Standort im Inland oder im Ausland befindet. Teilweise wird vertreten, dass die Ermittler bei unklarem Speicherort die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO durchführen dürfen, sozusagen auf gut Glück und im Vertrauen darauf, dass sich der Standort des externen Zielsystems schon im Inland befinden werde. Dieses Vorgehen wird insbesondere für Fälle des Cloud Computings befürwortet, bei dem aufgrund wechselnder Speicherorte eine Ermittlung des einen Speicherortes nicht möglich ist.257 Hierbei sei zu berücksichtigen, dass es sich um keinen gezielten Zugriff auf Daten im Ausland handele und zudem ohnehin nicht aufklärbar sei, welches Völkerrechtssubjekt und welche völkerrechtlichen Vereinbarungen durch den Zugriff betroffen seien.258 Die Idee, bei Zweifeln über den inländischen bzw. ausländischen Standort des Zielsystems trotzdem eine Netzwerkdurchsicht durchführen zu dürfen, ist erkennbar ermittlungspraktischen Bedürfnissen geschuldet.259 Eine recht-

255 Bell, Strafverfolgung und die Cloud, 2019, S. 175 ff.; Dalby, Strafverfolgung im Internet, 2016, S. 244; Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.V. 2. (via juris); Warken, NZWiSt 2017, 289 (295); vgl. auch Krause, Kriminalistik 2014, 213 (215). 256 Zur Virtualisierungstechnik beim Cloud Computing oben Kap. 3 A.I.2.d). 257 BeckOK-StPO/Hegmann, § 110 Rn. 16; Heinrich, wistra 2017, 219, (223 f.); KK/Bruns, § 110 Rn. 8a; Löffelmann, in: Dietrich/Eiffler (Hrsg.), 2017, § 5 Rn. 52; MeyerGoßner/Schmitt/Köhler, § 110 Rn. 7b; ähnlich Graßie/Hie´ramente, CB 2019, 191 (194), die eine vorläufige Sicherung der Daten ohne inhaltliche Sichtung für zulässig halten, bis der Standort des Systems geklärt wurde; so auch Krause, Kriminalistik 2014, 213 (215); Radtke/Hohmann/Ladiges, § 110 Rn. 19; gegen die Zulässigkeit einer vorläufigen Sicherung LR/Tsambikakis, § 110 Rn. 9; SSW-StPO/Hadamitzky, § 110 Rn. 31; grds. dagegen auch SK-StPO/Wohlers/Jäger, § 110 Rn. 9a, aber mit inkonsequenter Ausnahme für das Cloud Computing in Rn. 9b. 258 Bell, Strafverfolgung und die Cloud, 2019, S. 180 ff.; Löffelmann, in: Dietrich/Eiffler (Hrsg.), 2017, § 5 Rn. 52. 259 Krit. Jahn/Brodowski, in: Hoven/Kudlich (Hrsg.), 2020, S. 67 (S. 79).

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

375

liche Grundlage hat sie nicht. Vielmehr sind die Voraussetzungen für die Zulässigkeit einer Ermittlungsmaßnahme im Vorhinein zu prüfen und positiv festzustellen, bevor sie durchgeführt werden darf.260 Ist es, wie oben nachgewiesen,261 allgemeine Zulässigkeitsvoraussetzung, dass die Ermittlungsmaßnahme nach § 110 Abs. 3 S. 2 StPO ausschließlich auf dem eigenen Hoheitsgebiet stattfinden darf, so ist der Standort des Zielsystems im Inland positiv festzustellen, bevo die Maßnahme stattfindet. Gelingt dieser Nachweis nicht, darf die Maßnahme nicht durchgeführt werden. Das gilt bei Zweifeln über den Standort von Computerhardware umso mehr, weil bei global vernetzten Speichersystemen nicht einfach davon ausgegangen werden kann, dass sich das Zielsystem wohl schon innerhalb Deutschlands befinden werde. Angesichts der Tatsache, dass sehr viele kommerzielle Speicheranbieter ihre Infrastruktur bekanntermaßen gerade nicht oder jedenfalls nicht ausschließlich in Deutschland vorhalten,262 müssen Zweifel über den Standort eher zur Annahme führen, dass sich der Systemstandort wahrscheinlich nicht in Deutschland befindet.263 Kann also nicht zweifelsfrei ermittelt werden, dass sich das externe System in Deutschland befindet, scheidet ein Zugriff über § 110 Abs. 3 S. 2 StPO aus.264 3. Ausblick: Erweiterung der Convention on Cybercrime? Mit der Begrenzung der Netzwerkdurchsicht auf externe Medien, die sich im Hoheitsgebiet der Bundesrepublik Deutschland befinden, ist der praktische Anwendungsbereich des § 110 Abs. 3 S. 2 StPO erheblich eingeschränkt. Der territoriale Ansatz, nach dem den Strafverfolgungsbehörden Datenzugriffe nur auf inländische Speicherkonten bzw. solche Datenträger erlaubt sind, die sich im Hoheitsgebiet des eigenen Staates befinden, erscheint vor dem Hintergrund moderner Technologien und Datenspeichergewohnheiten veraltet. Insbesondere angesichts moderner Cloud-Technologien, bei denen die physische Hardware über den ganzen Erdball verteilt sein kann, dies für die tatsächliche Zugriffsmöglichkeit des Nutzers aber kaum von Bedeutung ist und der virtuelle Speicherplatz potentiell von jedem Ort der Welt aus abge260 Vgl. Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 116 f. 261 Kap. 3 A.V. 1. 262 Dazu bereits oben Kap. 3 A.V. 1. 263 Brodowski/Eisenmenger, ZD 2014, 119 (123); s. auch LR/Tsambikakis, § 110 Rn. 9 sowie Gaede, StV 2009, 96 (101), der aber für den Fall, dass den Behörden bekannt ist, dass der Betreiber zumindest auch in Deutschland Datenzentren vorhält, es ausnahmsweise für zulässig hält, dass die Behörden bei ihrem Zugriff dann von einem deutschen Standort ausgehen; differenzierend Bell, Strafverfolgung und die Cloud, 2019, S. 177 f. Gegen einen solchen Zweifelssatz Krause, Kriminalistik 2014, 213 (215). 264 HK-StPO/B. Gercke, § 110 Rn. 29; Park, Durchsuchung, Rn. 826.

376

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

rufen werden kann, wird die traditionelle Rückanbindung an physische Gegebenheiten und Staatengrenzen für anachronistisch gehalten.265 Hinzu kommt, dass eine Ermächtigung wie § 110 Abs. 3 S. 2 StPO in vielen Fällen des Cloud Computings leer läuft, weil schlicht kein definitiver Speicherort zu ermitteln ist oder immer gleichzeitig fremde Staatsterritorien berührt sein können.266 Diese ermittlungspraktischen Probleme werden zunehmend auch auf internationaler Ebene gesehen. Beim Europarat existieren daher Überlegungen zu einem (weiteren267) Zusatzprotokoll zur Convention on Cybercrime, welches diese Probleme lösen soll. Neben Möglichkeiten zur Vereinfachung und Beschleunigung der Rechtshilfeverfahren betreffend im Ausland gespeicherte Daten wurde dabei in unterschiedlichen Arbeitsgruppen des Cybercrime Convention Committee (T-CY) auch die Möglichkeit eines „transborder access“, also eines Direktzugriffs auf (nichtöffentliche, zugangsgeschützte) Daten im Ausland (innerhalb des Kreises der unterzeichnenden Staaten) unter bestimmten Voraussetzungen diskutiert, und zwar anders als im derzeitigen Art. 32 lit. b) der Convention auch ohne Zustimmung des von der Ermittlungsmaßnahme betroffenen Dateninhabers.268 Eine derartige Erweiterung der Convention on Cybercrime als völkerrechtlicher Rechtsrahmen für Datenzugriffe ins Ausland könnte den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO entscheidend vergrößern. Im aktuellen Arbeitsplan des Cybercrime Convention Committee vom 29.11.2017 finden sich die Überlegungen zu einer derartigen Erweiterung der Zugriffsrechte der Vertragsstaaten aber nicht mehr unmittelbar wieder, vielmehr ist nur die Rede von einem klareren Rechtsrahmen und stärkeren Schutzvorkehrungen für bereits bestehende Möglichkeiten bzw. Praktiken zum transnationalen Zugriff auf Daten.269 Weitere Diskussionspunkte schließt der Arbeitsplan zwar aus265 So insbesondere Herrmann/Soine´, NJW 2011, 2922 (2925); Wicker, Cloud Computing, 2016, S. 342 f.; vgl. auch Bell, Strafverfolgung und die Cloud, 2019, S. 180 ff. 266 Vgl. Krause, Kriminalistik 2014, 213 (215). 267 Es existiert bereits ein Zusatzprotokoll zur Convention on Cybercrime betreffend die Kriminalisierung von mittels Computersystemen begangener Handlungen rassistischer und fremdenfeindlicher Art (ETS No. 189, abrufbar unter https://www.coe.int/en/web/con ventions/full-list/-/conventions/treaty/189 [zuletzt abgerufen am 04.11.2021]), das sich aber nicht den hier angesprochenen Problemen widmet. 268 S. den Report der Ad-hoc Subgroup on Transborder Access and Jurisdiction v. 03.12.2014, T-CY (2014)16, S. 12 ff. (https://rm.coe.int/CoERMPublicCommonSearch Services/DisplayDCTMContent?documentId=09000016802e726e [zuletzt abgerufen am 04.11.2021]) und den Report der Cloud Evidence Group v. 16.09.2016, T-CY (2016)5, Rn. 39 ff., 144 (https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTM Content?documentId=09000016806a495e [zuletzt abgerufen am 04.11.2021]). 269 Preparation of a 2nd Additional Protocol to the Budapest Convention on Cybercrime – Workplan and working methods, T-CY (2017)20, p. 6, https://rm.coe.int/t-cy-2017 -20-pdg-workplan/168076cfda [zuletzt abgerufen am 04.11.2021].

A. Anwendungsbereich des § 110 Abs. 3 S. 2 StPO

377

drücklich nicht aus. Da der Schwerpunkt der Beratungen momentan aber auf der Optimierung der Rechtshilfeverfahren zu liegen scheint, ist es nicht gewiss und eher unwahrscheinlich, dass es tatsächlich zu erweiterten Befugnissen zu direkten transnationalen Datenzugriffen kommen wird. 4. Ausblick: e-evidence Weitere Möglichkeiten, die ein Rechtshilfeverfahren beim Zugriff auf im Ausland gespeicherte Daten entbehrlich machen, werden auf EU-Ebene im Rahmen von Vorschlägen zu einer sogenannten e-evidence-Verordnung diskutiert.270 Die vorgeschlagene Verordnung zielt dabei aber nicht ab auf eine Erweiterung der Befugnisse von Behörden zu einem eigenmächtigen transnationalen Datenzugriff, sondern legt Regeln fest, nach denen Ermittlungsbehörden die Diensteanbieter, die innerhalb der europäischen Union Dienstleistungen anbieten, also Datenspeicher bereitstellen, zur Herausgabe elektronisch gespeicherter Daten zwingen können, und zwar unabhängig davon, wo auf der Welt die Daten gespeichert sind. Das Problem des loss of location insbesondere beim Cloud Computing wird dadurch umgangen, indem die Ermittlungsbehörden nicht selbst und direkt auf die gespeicherten Daten zugreifen und somit Gefahr laufen, Souveränitätsrechte fremder Staaten zu verletzen, sondern stattdessen den innerhalb des Gebiets der Mitgliedsstaaten der Europäischen Union ansässigen Vertreter des Cloud-Anbieters zur Herausgabe der Daten verpflichten können. Nach Konzeption der Verordnung muss dabei kein Rechtshilfeersuchen an den EU-Mitgliedsstaat gerichtet werden, in dem der Diensteanbieter seinen Sitz hat. Vielmehr darf der ermittelnde EU-Mitgliedsstaat den innerhalb der EU ansässigen Diensteanbieter unmittelbar und direkt zur Herausgabe der Daten verpflichten. Um sicherzustellen, dass der Dienstanbieter überhaupt von den Ermittlungsbehörden wirksam verpflichtet werden kann und die Befugnis mangels verpflichtungsfähigem Unternehmensvertreter im EU-Inland faktisch ins Leere läuft (denn auch diese Befugnis ist insofern noch immer grundsätzlich territorial gebunden), ist auf EU-Ebene eine ergänzende Richtlinie vorgeschlagen worden, die auf gesetzgeberische Maßnahmen abzielt, die bewirken sollen, dass Diensteanbieter, die ihre Dienste innerhalb der EU-Mitgliedsstaaten anbieten, eine Niederlassung oder wenigstens einen Vertreter innerhalb mindestens eines EU-Mitgliedsstaates haben müssen.271 Damit soll für die Er-

270 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rats über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen v. 17.04.2018, COM(2018) 225. 271 Vorschlag für eine Richtline des Europäischen Parlaments und des Rats zur Festlegung einheitlicher Regeln für die Bestellung von Vertretern zu Zwecken der Beweiserhebung in Strafverfahren v. 17.04.2018, COM(2018) 226.

378

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

mittlungsbehörden der EU-Mitgliedsstaaten zwingend ein Vertreter des Diensteanbieters auf dem Gebiet der EU-Vertragsstaaten vorgehalten werden, der dann über die e-evidence-Verordnung zur Herausgabe von Daten verpflichtet werden kann.272 Die vorgeschlagenen Regelungsinstrumente zielen allerdings nicht darauf ab, die Befugnisse nationaler Ermittlungsbehörden zum Direktzugriff auf Datenspeicher im Netz zu erweitern. Vielmehr wird zur Umgehung der Probleme unklarer Speicherorte ein anderer Weg eingeschlagen, über den die Befugnisse zur Verpflichtung von Dienstanbietern zur Herausgabe von Daten erweitert bzw. sichergestellt werden sollen. Das aber betrifft nicht den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO, der sich ja gerade auf die Befugnisse zum Direktzugriff auf Daten bezieht. Auf den rechtlichen Anwendungsbereich der Netzwerkdurchsicht haben die vorgeschlagenen Regelungsinstrumente also keinen unmittelbaren Einfluss, weshalb hier nicht weiter auf die Vorschläge eingegangen werden soll.273

B. Weitere Besonderheiten der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO Zweck des § 110 Abs. 3 S. 2 StPO ist es, die Strafverfolgungsbehörden rechtlich in die Lage zu versetzen, externe Speicher grundsätzlich genau so zu durchsuchen wie lokale Speichersysteme beim Durchsuchten. Wenn es für den Nutzer externer Speicher, wie zum Beispiel von Cloud Services, in der praktischen Nutzung kaum einen Unterschied macht, ob er sich gerade eines externen Speichers bedient oder die Daten lokal auf seiner eigenen Hardware gespeichert sind, so soll dies grundsätzlich auch für Ermittler, die auf diese Daten zugreifen wollen, keinen Unterschied machen. Obwohl die Grenzen des physischen Raums bei der Netzwerkdurchsicht aufgelöst und die Unterschiede zwischen lokalen und externen Systemen aus Sicht der Strafverfolgungsbehörden nivelliert werden, bedingt der Fernzugriff auf externe informationstechnische Systeme dennoch tatsächliche und rechtliche Besonderheiten. Eine rechtliche Besonderheit ist zum Beispiel, dass der Zugriff über § 110 Abs. 3 S. 2 StPO nur bei Befürchtung des Verlustes der gesuchten Beweismittel gestattet ist (dazu oben Kap. 3 A.III.). Die vir-

272

Zum Zusammenwirken der beiden Regelungsinstrumente Esser, StraFo 2019, 404

(405). 273

Siehe stattdessen und insbesondere zu den rechtlichen und politischen Hintergründen der Vorschläge Burchard, ZIS 2018, 190 (193 ff.); Esser, StraFo 2019, 404 (405 ff.); Hamel, in: Hoven/Kudlich (Hrsg.), 2020, S. 103 ff.; zur Kritik Burchard, ZIS 2018, 249 (264 ff); ders., ZRP 2019, 164; von Galen, in: Hoven/Kudlich (Hrsg.), 2020, S. 127 ff.

B. Weitere Besonderheiten des § 110 Abs. 3 S. 2 StPO

379

tuelle Netzwerkdurchsicht bedingt aber noch weitere Besonderheiten, die im Folgenden aufgegriffen werden sollen.

I. Kein physischer Zugriff auf die Hardware des externen Systems möglich § 110 Abs. 3 S. 2 StPO ist auf Fälle zugeschnitten, in denen sich das zu sichtende System nicht physisch in den durchsuchten Räumlichkeiten befindet und auch nicht ohne Weiteres physisch greifbar ist. Begleitmaßnahmen innerhalb der Durchsicht, die auf der Möglichkeit des physischen Zugriffs auf die Hardware des Systems fußen, sind bei einer Netzwerkdurchsicht externer Systeme damit nicht möglich. Das betrifft insbesondere die Mitnahme zur Durchsicht.274 Diese ist zwar in der Form, in der die Mitnahme im Sinne einer vorläufigen Sicherstellung durch elektronische Kopien des gesamten Datenbestandes erfolgt, weiterhin möglich: § 110 Abs. 3 S. 3 StPO enthält eine ausdrückliche Befugnis zur vorläufigen Sicherung der auf dem externen System aufgefundenen Daten.275 Das gesamte externe System oder seine Datenträger, also die physische Hardware des externen Systems, können die Ermittler beim Fernzugriff aber nicht erreichen und folglich auch nicht mitnehmen. Die Ausnahmefälle, in denen bei Durchsicht eines lokalen Systems die Mitnahme des gesamten Systems oder seiner Datenträger in physischer Form erforderlich ist – z. B. weil die Gefahr besteht, dass versteckte, verschlüsselte und gelöschte Daten nicht vom Kopiervorgang erfasst werden können –276, sind nicht auf den Zugriff auf externe Systeme übertragbar.277 Denn lediglich das lokale informationstechnische System, von dem aus die Ermittler den Fernzugriff steuern, ist in physischer Form griffbereit, das externe System aber ist außer Reichweite. Das kann Auswirkungen auf den Ermittlungserfolg haben – bestimmte, wichtige Daten könnten nicht erreicht oder übersehen werden –, aber auch Auswirkungen auf den Beweiswert des erhobenen Datensatzes, dessen Kopie eventuell nicht vollständig ist. Auch wird es dadurch, dass das externe Ziel-

274

Zur Mitnahme zur Durchsicht bei lokalen Systemen siehe oben Kap. 2 B.II. Vgl. Herrmann/Soine´, NJW 2011, 2922 (2925). Kopiert werden dabei nur die Daten des Speichernutzers, nicht aber etwa sämtliche Daten, die auf der Hardware des externen Systems gespeichert sind. Das ist bedeutsam in den Fällen, in denen das externe System ein kommerziell bereitgestellter Cloud-Speicher ist, der sich ein und die selbe Hardware mit den Speicherplätzen anderer Nutzer bzw. Kunden zu teilen hat. Die Speicherplätze anderer Nutzer dürfen nicht mitkopiert werden und können bei einem Fernzugriff über § 110 Abs. 3 S. 2 StPO in der Regel auch gar nicht aufgerufen werden, vgl. dazu Wicker, Cloud Computing, 2016, S. 326 f. 276 Zu dieser Konstellation beim Zugriff auf lokale Systeme oben Kap. 2 B.II.2.c). 277 Vgl. Basar/Hie´ramente, NStZ 2018, 681 (682). 275

380

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

system physisch nicht greifbar ist, möglicherweise schwieriger für die Ermittler, genau zu dokumentieren und nachzuweisen, dass die kopierten Daten sich tatsächlich auf dem externen Zielsystem befunden haben. Der Beweiswert der erlangten Daten kann dadurch gemindert sein.278

II. Verhältnismäßigkeit: Schwächerer Grundrechtsschutz für vernetzte Systeme? Es wurde in dieser Arbeit dargelegt, dass ein externes informationstechnisches System rechtlich im Wesentlichen genauso zu behandeln ist wie ein lokales informationstechnisches System und deshalb ebenso vom Schutzbereich des IT-Grundrechts umfasst ist.279 Damit ist aber noch keine Aussage darüber getroffen, ob ein externes informationstechnisches System, also zum Beispiel ein Cloud-Speicher, innerhalb des Schutzbereiches des IT-Grundrechts ebenso stark geschützt ist wie ein lokales informationstechnisches System, also zum Beispiel der vom Beschuldigten genutzte Laptop. Es erscheint durchaus denkbar, dass sich das Schutzniveau zwischen diesen beiden Nutzungsarten von informationstechnischen Systemen unterscheidet. Kommt es bei der Beurteilung der Rechtmäßigkeit einer Durchsicht zur Prüfung der Verhältnismäßigkeit der Maßnahme, so könnte das grundrechtliche Schutzniveau eines externen Systems niedriger anzusetzen sein als dasjenige eines lokal genutzten Systems. Dass diese Argumentation nicht nur eine theoretisch denkbare ist, zeigen diverse Stimmen im Zusammenhang der ursprünglichen Diskussion um die Zulässigkeit einer Online-Durchsuchung (also einer echten, heimlichen Online-Durchsuchung mit Einsatz von Spionagesoftware, wie sie für das Strafprozessrecht nunnmehr in § 100b StPO geregelt ist). In der damaligen Diskussion wurde tatsächlich erwogen, dass das grundrechtliche Schutzinteresse eines Nutzers hinsichlich der von ihm genutzten informationstechnischen Systeme geringer sei, wenn er diese ans Internet angeschlossen habe. Teils wurde sogar befürwortet, den Grundrechtsschutz vollständig oder zumindest hinsichtlich bestimmter Grundrechte (diskutiert wurde damals noch ein Schutz durch Art. 13 GG bei Online-Durchsuchungen280) gänzlich zu versagen.281 Begründet wurde dies damit, dass der Nutzer des Systems durch Anschluss an das Internet den faktischen Schutz seiner Privatsphäre bewusst und eigenverantwortlich mindere oder er sogar vollständig auf ihn verzichte. Wer sein informationstechnisches System durch Anschluss an ein weltweites 278

Wicker, Cloud Computing, 2016, S. 327 ff. Oben Kap. 3 A.I. 280 Zur Rolle des Art. 13 GG bei Fernzugriffen auf informationstechnische Systeme unten Kap. 3 C.III.1. 281 Bundesamt für Verfassungsschutz, LT NRW-Stellungnahme 14/0639, S. 6. 279

B. Weitere Besonderheiten des § 110 Abs. 3 S. 2 StPO

381

Netzwerk dem potentiellen (wenn auch unrechtmäßigen) Zugriff Dritter aussetze, könne nicht die gleiche berechtigte Erwartung an die Vertraulichkeit der auf seinem System gespeicherten Daten haben wie bei einem System, das vom Internet abgekoppelt ist. Der Speicherort sei durch die Vernetzung unsicher, und derjenige, der seine Daten bewusst auf einem unsicheren Speicherort lagere, lasse sich bewusst auf ein geringeres Schutzniveau ein.282 Diese Argumentation könnte nun insbesondere auf Cloud-Speicher oder sonstige Angebote des Filehostings übertragen werden, da diese per se mit dem Internet verbunden sind und dadurch bereits ihrer Natur nach unsichere Speicherorte sein könnten. Dieser Argumentation ist zunächst entgegenzuhalten, dass ein – vermeintlich – unsicheres, risikobehaftetes Verhalten oder mangelnde Bemühungen des Eigenschutzes durch den Grundrechtsträger weder dazu führen, dass sein Grundrechtsschutz gemindert wird, noch zum Anlass genommen werden können, einen freiwilligen Grundrechtsverzicht zu konstruieren. Ein solches Prinzip existiert schlichtweg nicht. Sichtbar wird dies in einer Analogie zum Grundrecht aus Art. 13 GG in Bezug auf Wohnungen und Wohnungsdurchsuchungen. Es wäre wohl kaum begründbar, einem Beschuldigten den Grundrechtsschutz aus Art. 13 GG zu versagen oder das Schutzniveau auch nur abzusenken, bloß weil er Türen und Fenster in sein Haus eingebaut und damit Zugangswege zu seiner Wohnung eröffnet hat.283 Auch ist darin keine Einwilligung in das Betreten dieser räumlichen Privatsphäre für Jedermann zu sehen. Türen und Fenster hat der Betroffene nicht eingebaut, um Dritten und staatlichen Behörden einen besseren Einblick in sein Privatleben zu geben – das ist allenfalls ein unerwünschter Nebeneffekt.284 Auch die zufällig offenstehende Wohnungstür ist nicht als Einladung an die Ermittlungsbehörden gedacht. Weitergehend kann auch ein zufällig oder gar bewusst unverschlossenes oder offenstehendes Fenster nicht zu einem Entfall des Grundrechtsschutzes führen,285 denn selbst Betriebsräume, die dem allgemeinen Publikumsverkehr unkontrolliert offenstehen, genießen gegenüber 282

Hofmann, NStZ 2005, 121 (124); Kemper, ZRP 2007, 105 (109). Schlegel, GA 2007, 648 (654 f.); Rux, JZ 2007, 285 (292); Sokol, FS Hamm 2008, 719 (730); Weiß, Online-Durchsuchungen, 2009, S. 124; Wissenschaftliche Dienste des Deutschen Bundestages (N.N.), WD 3 – 161/07, S. 7. 284 Vgl. Kupka, Probleme moderner Fahndungsmethoden, 2009, S. 38 f. 285 Schantz, KritV 2007, 310 (315 f.); Redler, Online-Durchsuchung, 2012, S. 120; Valerius, JR 2007, 275 (280). Differenzierend Guttenberg, NJW 1993, 567 (568), der bei Art. 13 GG einen Verlust des Schutzes dann annimmt, wenn der Wohnungsinhaber aufgrund offener Fenster oder hoher Gesprächslautstärke damit rechnen muss, dass Dritte entsprechende Wahrnehmungen über die Wohnung hinaus machen können. In Bezug auf dieses Kriterium ist ihm zuzustimmen: Es dürfte klar sein, dass sich derjenige, der intime Details geradezu aus dem geöffneten Fenster schreit, diesbezüglich nicht auf den Schutz der Unverletzlichkeit der Wohnung berufen kann. 283

382

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

staatlichen Eingriffen anerkanntermaßen den grundrechtlichen Schutz aus Art. 13 GG.286 Das grundrechtliche Schutzniveau aus Art. 13 GG hängt folglich nicht davon ab, wie stark die Mauern oder Wohnungstüren der durchsuchten Räumlichkeit sind. Eine leicht zu öffnende Wohnungstür mindert den Schutz des Wohnungsgrundrechts nicht. Die faktische Zugriffsmöglichkeit Dritter auf den Schutzraum der Wohnung kann also nicht einfach zur Begründung der rechtlichen Zugriffserlaubnis staatlicher Ermittler auf diesen Schutzraum herangezogen werden.287 Überträgt man diese bezüglich des physischen Raums entwickelten Prinzipien auf den Grundrechtsschutz im virtuellen Raum, so wird klar, dass auch dort von einer vermeintlichen Unsicherheit eines Datenspeicherorts oder gar von objektiv mangelhaften technischen Schutzvorkehrungen nicht auf ein fehlendes Geheimhaltungsinteresse des Betroffenen bezüglich seiner Daten geschlossen werden kann.288 Auch das grundrechtliche Schutzniveau im virtuellen Raum und damit von informationstechnischen Systemen ist also unabhängig davon, ob und welche Zugangswege zum Zugriff auf die Daten eröffnet sind, sofern die Daten überhaupt durch gewisse Maßnahmen von Dritten abgeschirmt werden und insoweit eine berechtigte Vertraulichkeitserwartung des Nutzers besteht. Entfallen kann der Schutz damit nur, wenn der Betroffene sein System bewusst dem Zugriff Dritter öffnet, im Ergebnis also die gespeicherten Daten gezielt öffentlich zugänglich macht.289 Mit anderen Worten: Solange die Daten nicht bewusst vom Betroffenen für ein unbestimmtes Publikum veröffentlicht werden, genießen sie unveränderten grundrechtlichen Schutz. Der grundrechtliche Schutz von informationstechnischen Systemen hängt darüber hinaus nicht davon ab, für wie lebensklug „man“ das Verhalten des Grundrechtsträgers hält, sondern er hängt ab von der Schutzbedürftigkeit des Verhaltens oder des Bereichs, in dem sich der Grundrechtsausübende bewegt.290 Gerade ein faktisch besonders gefährdeter Bereich kann einen er286 BVerfGE 32, 54 (68 ff.); 44, 353 (371); BeckOK-GG/Kluckert, Art. 13 Rn. 3; Sodan/Sodan, Art. 13 Rn. 3; ablehnend Dreier/Hermes, Art. 13 Rn. 26 f.; Sachs/Kühne, Art. 13 Rn. 4. 287 Vgl. Oesterle, StV 2016, 118 (122); Redler, Online-Durchsuchung, 2012, S. 119 f. 288 Beukelmann, StraFo 2008, 1 (4); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 119 f.; Ziebarth, Online-Durchsuchung, 2013, S. 116 f.; den Vergleich zu Art. 13 GG zieht auch Hoffmann-Riem, AöR 134 (2009), 513 (529). 289 Zur Konstellation veröffentlichter Daten s. bereits oben Kap. 3 A.I.4. im Zusammenhang mit Daten auf öffentlichen Social-Media-Profilen. 290 Insbesondere taugt der allzu pauschale Verweis auf die vermeintliche Neigung von Internetnutzern, intime Details über die eigene Persönlichkeit auf sozialen Medien zu veröffentlichen, nicht als Grundlage für die Annahme eines kollektiven Verzichts oder auch nur eines angeblich abnehmenden gesellschaftlichen Werts von Privatheit und Privatsphäre, s. dazu Dix, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 71 (80); Moll/Schneider, MschrKrim 2021, 92 (101 f.); vertiefend Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 94 ff., insb. S. 111.

B. Weitere Besonderheiten des § 110 Abs. 3 S. 2 StPO

383

höhten Grundrechtsschutz nach sich ziehen.291 Demjenigen, der Informationen über ein Telekommunikationsnetz übermittelt, zum Beispiel durch Telefonie oder E-Mail, wird nicht etwa der grundrechtliche Schutz der Privatheit bezüglich dieser Informationen versagt, weil er durch die Übertragung der Informationen die Gefahr erhöht hat, dass sie von Dritten zur Kenntnis genommen werden. Vielmehr wird ganz im Gegenteil der spezielle grundrechtliche Schutz des Fernmeldegeheimnisses aus Art. 10 GG aktiviert, gerade weil eine erhöhte Gefahrenlage besteht.292 Dabei ist insbesondere auch der technisch nicht versierte Nutzer schutzwürdig, der nur begrenzt technische Maßnahmen zum Schutz der Daten treffen kann.293 Mangelnde Sicherung der Daten wird häufig vor allem Ausdruck von Unwissenheit und fehlender Aufklärung über das Gefährdungspotential und die Möglichkeiten von Fremdzugriffen, sowie Ausdruck der Überforderung des Nutzers bei Abwehr dieser Gefahren sein.294 Das beweist nicht den verminderten, sondern wenn überhaupt den erhöhten grundrechtlichen Schutzbedarf des Nutzers.295 Schon gar nicht kann aus der Wahl eines vermeintlich unsicheren Speicherortes eine Einwilligung des Nutzers dahingehend konstruiert werden, dass er mit dem Zugriff Dritter bzw. staatlicher Ermittler auf den Speicherort und die dort gespeicherten Daten einverstanden sei.296 Nicht zuletzt ist der Versuch, mit dem Internet verbundene Geräte und Speicher einem geringeren grundrechtlichen Schutz zu unterstellen, bereits deshalb müßig, weil das BVerfG insbesondere Cloud-Speicher ausdrücklich dem Schutzbereich des IT-Grundrechts zugeordnet hat.297 Die Schutzbedürftigkeit informationstechnischer Systeme hat das BVerfG gerade auch mit

291 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 120. 292 Vgl. Schantz, KritV 2007, 310 (315 f.). 293 BVerfGE 120, 274 (306); Hoffmann-Riem, AöR 134 (2009), 513 (528 f.); Luch, MMR 2011, 75 (78); vgl. auch Albrecht/Braun, HRRS 2013, 500 (505). 294 BVerfGE 120, 274 (306); Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 131 (S. 140 ff.); Hoffmann-Riem, JZ 2008, 1009 (1013); ders., AöR 134 (2009), 513 (525 f.); Luch, MMR 2011, 75 (79). 295 Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 8 f.). Heckmann, FS Käfer 2009, 129 (148 f.) leitet deshalb sogar Schutzpflichten aus dem IT-Grundrecht her, aus denen der Bürger gegenüber dem Staat eine „Hilfe zur Selbsthilfe“ bei Sicherung seiner ITSysteme beanspruchen können soll; siehe zu aus dem IT-Grundrecht fließenden Schutzpflichten nunmehr auch BVerfG NVwZ 2021, 1361 (1363). 296 BVerfGE 124, 43 (58); Albrecht/Braun, HRRS 2013, 500 (505); Beukelmann, StraFo 2008, 1 (4); Buermeyer, HRRS 2007, 329 (334); Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, 2015, S. 119 f.; Hornung, DuD 2007, 575 (578); Schantz, KritV 2007, 310 (315 f.); Schlegel, GA 2007, 648 (654 f.); Sokol, FS Hamm 2008, 719 (730); s. auch Burchard, ZIS 2018, 249 (252). 297 BVerfGE 141, 220 (303 f.).

384

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

dem Umstand fortschreitender Vernetzung begründet und deshalb das ITGrundrecht erst erschaffen.298 Aus der Vernetzung eines Systems nun dessen geringere Schutzwürdigkeit ableiten zu wollen, liefe dem Sinn und Zweck des IT-Grundrechts entgegen. Im Übrigen ist die pauschale Behauptung, dass ein mit dem Internet verbundenes System, wie insbesondere ein externer Cloud-Speicher, zwangsläufig ein unsicherer Speicherort sein soll, so nicht haltbar. Es ist zwar richtig, dass die Vernetzung eines Systems mit dem Internet das grundsätzliche Risiko in sich trägt, dass unbefugte Dritte diese Vernetzung ausnutzen und auf die im System gespeicherten, vertraulichen Inhalte zugreifen. Es gibt jedoch genügend technische Maßnahmen, die dieses Risiko eingrenzen können, angefangen vom Passwortschutz, über Firewalls und weiteren Möglichkeiten, den Zugriff unbefugter Dritter zu unterbinden. Gerade auch Angebote aus Deutschland, wie z. B. sciebo, ein von der Westfälischen Wilhelms-Universität Münster entwickelter und vom Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen geförderter Cloud-Dienst, werben mit der Sicherheit der dort gespeicherten Daten.299 Auch auf europäischer Ebene wirbt die vom EU-Forschungsprogramm Horizon 2020 finanzierte European Open Science Cloud mit der Möglichkeit, Daten in einer vertrauenswürdigen Umgebung zu verwalten,300 und das vom deutschen Bundesministerium für Wirtschaft und Energie begleitete Projekt Gaia-X zum Aufbau eines europäischen Cloud-Services stellt ebenso die Sicherheit und Vertraulichkeit von Daten in den Vordergrund.301 Das Ablegen von Daten auf derart geschützten Plattformen kann dabei unter Umständen sogar als die gezielte Entscheidung des Nutzers für einen besonders sicheren Speicherort begriffen werden, denn hinter staatsgeförderten und auch kommerziellen Cloud-Angeboten steckt häufig ein ganzer Stab an IT-Kompetenz, der viel größere technische und personelle Möglichkeiten zur Sicherung der Vertraulichkeit der Systeme und Daten mitbringt als der einzelne Privatnutzer je zur Verfügung hätte. Die Vorstellung, dass auf einem System automatisch sämtliche Türen und Tore für beliebige Dritte offenstünden, bloß weil es über das Internet erreichbar ist, trifft folglich nicht zu. Entsprechend ist damit der Argumentation, einem per Internet vernetzten System den grundrechtlichen Schutz zu versagen oder diesen zu vermindern, in vielen Fällen bereits die tatsächliche Grundlage entzogen.

298

Vgl. BVerfGE 120, 274 (304 ff.; 314). https://www.sciebo.de/ [zuletzt abgerufen am 04.11.2021]; allgemein zu diesem Aspekt Burchard, ZRP 2019, 164 (165). 300 https://eosc-portal.eu/about/eosc [zuletzt abgerufen am 04.11.2021]. 301 https://www.bmwi.de/Redaktion/DE/Dossier/gaia-x.html [zuletzt abgerufen am 04.11.2021]. 299

C. Eingriffe in Rechte Dritter

385

Im Ergebnis ist es daher nicht gerechtfertigt, für externe informationstechnische Speichersysteme, die mit dem Internet verbunden sind, ein geringeres Schutzniveau als bei rein lokalen, nicht mit dem Internet verbundenen Systemen anzusetzen. Weder sind vernetzte Systeme pauschal unsichere Speicherorte, noch kann man aus der (vermeintlichen) Unsicherheit eines Speicherorts eine Verminderung des grundrechtlichen Schutzniveaus ableiten. Externe, mit dem Internet verbundene Systeme sind damit genauso stark vom IT-Grundrecht (und ggf. anderen Grundrechten) geschützt wie lokale Systeme.

C. Eingriffe in Rechte Dritter bei der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO Es wurde bereits in der Einleitung zu dieser Arbeit dargelegt, dass bei der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO die besondere Gefahr besteht, dass auch Grundrechte unbeteiligter Dritter berührt werden.302 Dies soll im Folgenden näher erläutert werden. Dabei ist zunächst zu klären, wer in der folgenden Untersuchung mit „Dritter“ gemeint ist oder gemeint sein kann. Innerhalb der Konstellation des strafrechtlichen Ermittlungsverfahrens, bei dem sich der Beschuldigte einerseits und die Strafverfolgungsbehörden andererseits gegenüberstehen, ist nach herkömmlichem juristischen Sprachgebrauch „Dritter“ derjenige, der nicht unmittelbares Ziel der jeweiligen Ermittlungsmaßnahmen ist. Der Dritte ist damit also jedenfalls nicht der Beschuldigte, gegen den sich das Strafverfahren richtet.303 „Dritter“ im hier verstandenden Sinne und im Zusammenhang mit Maßnahmen nach § 110 Abs. 3 S. 2 StPO ist aber auch jeder andere, der nicht primärer Adressat der Ermittlungsmaßnahme ist. So ist derjenige, bei dem eine Durchsuchung nach § 103 StPO stattfindet, nicht verdächtig, nicht beschuldigt und dementsprechend auch nicht derjenige, gegen den sich das Strafverfahren richtet. Er ist aber immerhin derjenige, auf den bzw. dessen Wohnung oder Sachen die Ermittler bei der Durchsuchung primär zugreifen; er ist, obwohl nicht Beschuldigter, Adressat der Ermittlungsmaßnahme. Er ist damit nicht Dritter im hier verstandenen Sinne, da die Ermittlungsmaßnahme ihm gegenüber durchgeführt wird und er durch sie auch unmittelbar verpflichtet werden kann (insbesondere zur Duldung der Durchsuchungsmaßnahme in seinen Räumlichkeiten). In der Konstellation einer Wohnungsdurchsuchung auf Grundlage des § 103 StPO wäre der

302

Einl. C. Zum Begriff des Dritten im Strafverfahren s. Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 5, 7 f. 303

386

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Wohnungsinhaber also nicht Dritter. Wenn während dieser Durchsuchung nach § 103 StPO aber eine Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO durchgeführt wird, bei der auf ein externes informationstechnisches System des Durchsuchten zugegriffen wird, so kann im Zusammenhang dieser Maßnahme jeder „Dritter“ sein, der dieses informationstechnische System ebenfalls als eigenes nutzt und damit als (Mit-)Inhaber des Systems im Sinne des IT-Grundrechts erscheint. Zusammengefasst lässt sich sagen, dass „Dritter“ im hier verstandenen Sinne jeder ist, der nicht Inhaber der nach §§ 102 ff. StPO durchsuchten Räumlichkeiten ist. In den Fällen des § 103 StPO kann somit theoretisch auch der Beschuldigte „Dritter“ sein. Im Regelfall des § 102 StPO findet die Durchsuchung aber beim Beschuldigten statt, sodass dieser der Durchsuchte ist und in Abgrenzung dazu der (Mit-)Inhaber des externen informationstechnischen Systems als „Dritter“ erscheint. Vorab zu klären ist außerdem, um welche dieser oben aufgezeigten möglichen „Dritten“ es in diesem Abschnitt gehen soll und um welche nicht; wessen (Grund-)Rechte also im Folgenden genauer in den Blick genommen werden sollen. Wird über § 110 Abs. 3 S. 2 StPO auf ein externes informationstechnisches System zugegriffen, zum Beispiel auf einen kommerziell angebotenen Cloud-Speicher, kommen mehrere Drittbetroffene in Betracht. Zum einen könnte der Cloud-Anbieter selbst, der den Speicherplatz kommerziell zur Verfügung stellt, durch einen Zugriff nach § 110 Abs. 3 S. 2 StPO in seinen Rechtspositionen betroffen sein – immerhin ist er im Besitz (und häufig auch im Eigentum) der Hardware, die die physische Grundlage für den externen Speicher bildet. Zum anderen kommen solche Dritte in Betracht, die den vom Cloud-Betreiber zur Verfügung gestellten externen Speicher gemeinsam mit dem Durchsuchten nutzen, also selbst Daten auf dem externen, virtuellen informationstechnischen System abgelegt haben. Zwischen diesen beiden Kategorien von „Dritten“ besteht ein wesentlicher Unterschied, der im Folgenden erläutert werden soll und der es rechtfertigt, die Rechtspositionen des rein als Dienstleister auftretenden Speicherplatzanbieters hier nicht tiefergehend zu betrachten. Der kommerzielle Cloud-Anbieter wird, wenn vom Endgerät seines Kunden aus über § 110 Abs. 3 S. 2 StPO auf den bereitgestellten Cloud-Speicherplatz zugegriffen wird, nur ausnahmsweise in seinen eigenen Grundrechten betroffen sein. Der Zugriff nach § 110 Abs. 3 S. 2 StPO beschränkt sich auf eine Durchsicht des persönlichen, abgegrenzten virtuellen Speichersystems des Kunden. Diese Durchsicht reicht grundsätzlich nicht über die Grenzen des dem Kunden exklusiv zugeordneten Speicherraums hinaus. Inhalte, die außerhalb dieses exklusiven Bereichs des Durchsuchten bzw. Cloud-Kunden gespeichert sind, können bei dieser Ermittlungsmaßnahme schon aufgrund der technischen Gegebenheiten nicht gesichtet werden. Der Cloud-Anbieter selbst speichert aber in der Regel keine eigenen vertraulichen Daten im ab-

C. Eingriffe in Rechte Dritter

387

gegrenzten virtuellen Speichersystem des Kunden.304 Das Verhältnis ist hier ähnlich wie zwischen Vermieter und Mieter bei einer Wohnungsdurchsuchung: Die Wohnung des Mieters wird durchsucht, dadurch wird aber nicht zugleich in das Wohnungsgrundrecht des Vermieters aus Art. 13 GG eingegriffen. Der Vermieter stellt zwar die Wohnung bereit, nutzt sie aber gerade nicht selber und hat deshalb keine berechtigte Vertraulichkeitserwartung hinsichtlich des bereitgestellten Wohnraums. Eine Durchsuchung der Mietwohnung berührt die Privatsphäre des Vermieters also grundsätzlich nicht.305 Das gilt selbst dann, wenn der Vermieter im selben Haus wohnt, solange keine gemeinsam genutzten Räumlichkeiten (z. B. eine gemeinsam genutzte Waschküche) durchsucht werden. Dieses Verhältnis zwischen Vermieter und Mieter ist auf Cloud-Anbieter und Cloud-Kunden übertragbar: Wird lediglich das vom Cloud-Anbieter bereitgestellte virtuelle System des CloudKunden über § 110 Abs. 3 S. 2 StPO durchgesehen, so liegt darin grundsätzlich kein Eingriff in die Sphäre des Cloud-Anbieters.306 Durch den bloßen Zugriff auf den dem Kunden zugeordneten Speicher wird nicht die entscheidende Hürde genommen, um auch Daten des Cloud-Anbieters auszuspähen. Lediglich in Ausnahmefällen, in denen die Ermittler durch Einsatz technischer Mittel die Integrität und Funktionsfähigkeit der technischen Infrastruktur des Cloud-Anbieters insgesamt beeinträchtigen, sind auch Grundrechtspositionen des Cloud-Anbieters betroffen.307 Diese und andere möglichen potentiellen Eingriffe in die Rechte des Cloud-Anbieters sollen aber aus der folgenden Untersuchung ausgeklammert werden. Nicht weiter in den Blick genommen werden soll hier außerdem die Konstellation, in der der Cloud-Betreiber selbst Adressat einer Durchsuchung nach § 103 StPO ist, bei der von seinen Räumlichkeiten und seiner technischen Infrastruktur aus auf das System eines beschuldigten (oder auch nicht beschuldigten) CloudKunden zugegriffen wird.308 Bei der Bereitstellung von Speicherplatz durch einen Privaten, zum Beispiel per Betrieb eines privaten Servers,309 ist anhand der konkreten Verhältnisse im Einzelfall zu unterscheiden. Der private Dritte, der den Speicher-

304 Vgl. Wicker, Cloud Computing, 2016, S. 302; s. auch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 384 f., der von einer verhältnismäßig geringen Eingriffsintensität zulasten des Dienstanbieters ausgeht. 305 BVerfG NVwZ 2009, 1281 (1282); Sodan/Ziekow, Grundkurs Öffentliches Recht, § 41 Rn. 4; Zerbes/El-Ghazi, NStZ 2015, 425 (430). 306 Vgl. Wicker, Cloud Computing, 2016, S. 302, 340 f., 354 f.; Zerbes/El-Ghazi, NStZ 2015, 425 (430). 307 Dazu oben Kap. 3 A.II.2.b). 308 Dazu Wicker, MMR 2013, 765 (767 f.). 309 Zu den unterschiedlichen Konstellationen der Bereitstellung von Speicherplatz oben Kap. 3 A.I.1.

388

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

raum nur zur Verfügung stellt und ihn nicht selbst nutzt, ist zunächst im Wesentlichen gleich zu behandeln wie der kommerzielle Anbieter. Solange der Dritte den Speicherplatz so zur Verfügung stellt, dass der Beschuldigte nur auf einen vom Rest des Servers abgegrenzten, geschützten virtuellen Speicherraum zugreifen kann, und eigene private Daten des Anbieters dadurch nicht berührt werden können, greift ein Zugriff über § 110 Abs. 3 S. 2 StPO grundsätzlich nicht in die Persönlichkeitsrechte des Dritten ein. Stellt der Private den Speicherplatz aber in der Form zur Verfügung, dass der Speicherplatz gemeinsam mit anderen genutzt wird, sodass auf dem Speicherplatz grundsätzlich alle Daten geteilt werden, so ist der Private bei einem Zugriff nach § 110 Abs. 3 S. 2 StPO als Dritter auch in seinen eigenen Rechten betroffen, sofern er eigene Daten mit Persönlichkeitsbezug auf dem bereitgestellten Server abspeichert und auch diese Daten bei der Netzwerkdurchsicht erhoben werden können. Maßgeblich für die Berührung der Rechte Dritter ist damit also immer, ob der Dritte das System, auf das beim Durchsuchten über § 110 Abs. 3 S. 2 StPO zugegriffen wird, auch selbst zur Ablage vertraulicher Daten nutzt und ob diese über den Fernzugriff eingesehen werden können. Das kann der Fall sein, wenn der Dritte einen Server in einer Form betreibt, die nicht nach virtuellen Teilsystemen oder Benutzerkonten unterscheidet, sondern bei der sämtliche Daten – also die von ihm und von dem Beschuldigten bzw. Durchsuchten – in einem gemeinsamen Speicherraum abgelegt werden. Dann können über einen Fernzugriff nach § 110 Abs. 3 S. 2 StPO nicht nur Daten des Beschuldigten bzw. Durchsuchten, sondern auch Daten des Dritten erhoben werden. Damit wird in die Grundrechtssphäre des Dritten eingegriffen. In die grundrechtlich geschützte Sphäre des Dritten wird außerdem im gleichen Sinne eingegriffen, wenn der Dritte zwar nicht selbst Betreiber des Speicherplatzes im Netz ist, er ihn aber aus anderen Gründen gemeinsam mit dem Beschuldigten bzw. Durchsuchten nutzt. Fallbeispiele dafür reichen über die gemeinsame Nutzung einer Cloud in einem Unternehmen oder an einem Lehrstuhl bis hin zur privaten Anmietung eines gemeinsamen virtuellen Speicherplatzes, bei dem sich Dritter und Beschuldigter die Kosten teilen oder eine sonstige Absprache über die gemeinsame Nutzung des Systems vorliegt. So können zum Beispiel Fotos von einem gemeinsamen Urlaub in den gemeinsamen Speicherplatz hochgeladen werden. Aber auch die gemeinsame Nutzung eines Speicherplatzes, ohne dass zwischen den einzelnen hochgeladenen Dateien ein inhaltlicher Zusammenhang besteht, ist denkbar. So kann der Beschuldigte den Speicherplatz zur Ablage von Hochzeitsfotos benutzen, während der Dritte denselben Speicherplatz zur Archivierung eigener Musikstücke verwendet. Alle diese Fälle haben gemeinsam, dass hier sowohl der Beschuldigte als auch der Dritte eine berechtigte Erwartung mitbringen, dass die auf diesem – passwortgeschützten – gemeinsamen Speicherplatz gespeicherten Daten nach außen hin abgeschottet werden und da-

C. Eingriffe in Rechte Dritter

389

mit vertraulich bleiben. Die Nutzer nutzen den Speicherplatz bzw. das virtuelle informationstechnische System gemeinsam, aber dabei gleichzeitig jeder für sich „als eigenes“ im Sinne des IT-Grundrechts. Auf diese Konstellation wird sich die folgende Untersuchung konzentrieren. Hingewiesen sei zuletzt nur noch auf eine weitere Einschränkung bei der folgenden Untersuchung, die sich bereits aus der oben vorgenommenen Eingrenzung ergibt: Nicht gesondert besprochen werden soll die Konstellation, in der die Daten von Dritten außerhalb einer gemeinsamen Nutzung von (externen, vernetzten) Speicherplätzen bzw. informationstechnischen Systemen vorliegen. Das betrifft zum einen die Fallgruppe, in der die Durchsicht von Daten auf dem informationstechnischen System des Durchsuchten notwendigerweise und unvermeidbar den Rechtskreis Dritter berührt, weil die erhobenen Daten einen Bezug zu dritten Personen aufweisen. Das ist insbesondere bei Daten mit Kommunikationsbezug, wie zum Beispiel bei der Durchsicht von E-Mails der Fall: Hier ist gerade aufgrund des kommunikativen Bezugs unvermeidlich mindestens noch eine weitere Person von der Durchsicht betroffen, nämlich der Kommunikationspartner des Durchsuchten.310 Diese Art von Drittbetroffenhheit ist zwar rechtlich auch bedeutsam, namentlich für die Beurteilung der Verhältnismäßigkeit der Durchsicht (Stichwort Streubreite311). Sie ist aber keine Besonderheit der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO, sondern tritt auch bei der Durchsicht lokaler informationstechnischer Systeme und vielen anderen Ermittlungsmaßnahmen (Telekommunikationsüberwachung, Wohnraumüberwachung etc.) auf.312 Ähnlich verhält es sich bei der Fallgruppe, in der einzelne Daten Dritter, zum Beispiel private Fotos, sei es mit Zustimmung oder ohne Zustimmung des Dritten, auf dem informationstechnischen System des Durchsuchten gespeichert sind. Auch hier wird in die Persönlichkeitsrechte des Dritten zwar eingegriffen, wenn diese Daten erhoben werden, aber auch diese Möglichkeit des Eingriffs in die Rechte Dritter ist kein Spezifikum der Netzwerkdurchsicht, sondern kann bei jedweder Datenerhebung auftreten.313 In diesen beiden genannten Fallgruppen spricht man von unvermeidbar mitbetroffenen Dritten. Die Dritten sind in diesen Fällen nicht Adressat der Maßnahme und in ihre persönliche Privatsphäre wird nicht gezielt eingedrungen, sondern sie werden zufällig von der Ermittlungsmaßnahme erfasst. Teils ist diese unvermeidbare Mitbetroffenheit explizit in den strafprozessualen Eingriffsgrundlagen abgedeckt und legitimiert,314 so zum Beispiel bei der 310

Vgl. Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 185. Dazu oben Kap. 2 B.IV. 4.e). 312 Überblick bei Bock/Marlie, FS Ostendorf 2015, 89 (91). 313 Vgl. Wicker, Cloud Computing, 2016, S. 302 f. 314 Teils aber auch nicht, s. Bock/Marlie, FS Ostendorf 2015, 89 (94); aber auch in diesen Fällen sollen die Eingriffe zulässig sein, Lammer, Verdeckte Ermittlungen, 1992, S. 187. 311

390

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Online-Durchsuchung gemäß § 100b Abs. 3 S. 3 StPO (in Abgrenzung zur zielgerichteten Ausforschung des Systems eines Dritten nach § 100b Abs. 3 S. 2 StPO), der akustischen Wohnraumüberwachung gemäß § 100c Abs. 2 S. 3 StPO oder der akustischen Überwachung außerhalb von Wohnräumen gemäß § 100f Abs. 3 StPO, von der auch völlig unbeteiligte Passanten betroffen sein können.315 Jene unvermeidbare Drittbetroffenheit unterscheidet sich aber insofern von der hier interessierenden Drittbetroffenheit bei der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO, als letztere gezielt auf ein informationstechnisches System zugreift, das – von den Ermittlern erkannt oder unerkannt – einem Dritten gehört (insofern vergleichbar mit der Konstellation des § 100b Abs. 3 S. 2 StPO bei der Online-Durchsuchung). Hierbei gelangen nicht zufällig einzelne Daten des Dritten zur Kenntnis der Behörden, sondern das gesamte grundrechtlich geschützte informationstechnische System des Dritten gerät gezielt ins Fadenkreuz der Ermittlungen. Das ist die Besonderheit der Netzwerkdurchsicht: Sie kann in technischer Hinsicht ohne Weiteres auch auf die geschützten Systeme Dritter erstreckt werden, solange der Durchsuchte Zugriff auf diese Systeme hat. Genau um diese besondere Form der Drittbetroffenheit soll es daher im Folgenden gehen.

I. Betroffene Grundrechte des Dritten Wenn hier die Frage aufgeworfen wird, in welche Rechte Dritter durch die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO eingegriffen werden kann, so ist in erster Linie nach den Grundrechten Dritter gefragt. Der Zugriff auf ein gemeinsam genutztes informationstechnisches System kann in die Grundrechte des Dritten ebenso eingreifen wie in die des Durchsuchten. Es können sich dabei aber auch Besonderheiten und Unterschiede ergeben. Im Folgenden soll daher ein Überblick darüber gegeben werden, welche Grundrechte Dritter durch eine Netzwerkdurchsicht in besonderer Weise berührt werden können und in welcher Weise dies geschehen kann. 1. Unverletzlichkeit der Wohnung Es wurde in dieser Arbeit bereits dargelegt, dass bei der Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO im Rahmen einer Hausdurchsuchung sowohl das Wohnungsgrundrecht des Durchsuchten aus Art. 13 GG als auch das IT-Grundrecht berührt werden.316 Der Eingriff in Art. 13 GG ist dabei keine Besonderheit, sondern folgt schlicht daraus, dass die Ermittler sich physisch in der Wohnung des Durchsuchten be315 Zur Figur des unvermeidbar betroffenen Dritten Bock/Marlie, FS Ostendorf 2015, 89 (93 f.); Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 70 f. 316 Kap. 2 B.III.1.

C. Eingriffe in Rechte Dritter

391

finden und dort nach Beweismitteln bzw. im ersten Schritt nach informationstechnischen Systemen suchen. Für den Drittbetroffenen im Sinne dieses Untersuchungsabschnitts gilt das nicht. Die Räumlichkeiten des Dritten werden bei einer Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO nicht von den Ermittlern betreten. Vielmehr erfolgt ein Fernzugriff von den Räumlichkeiten des Durchsuchten aus. Die Ermittler befinden sich physisch in den Räumen des Durchsuchten, benutzen dessen informationstechnisches System und greifen über dieses System auf elektronisch gespeicherte Daten zu, die auf der Hardware eines Servers gespeichert sind, der in den Geschäftsräumen eines kommerziellen CloudAnbieters oder zum Beispiel der privaten Wohnung eines Dritten steht. Die Ermittler greifen damit im Ergebnis zwar auf ein externes informationstechnisches System zu, welches seine physische Grundlage in den Räumlichkeiten des Dritten hat. Sie müssen für diesen Zugriff aber keinen Fuß in diese Räumlichkeiten setzen. Das unterscheidet die Lage des Dritten von der Lage des Durchsuchten: Beim Durchsuchten sind die Ermittler physisch vor Ort, beim Dritten hingegen nicht. Gleichwohl ließe sich eine Berührung der räumlichen Sphäre auch des Dritten konstruieren: Die Ermittler mögen bei einem Zugriff auf der Ferne zwar nicht physisch in den Räumlichkeiten des Dritten präsent sein, sie nehmen aber dennoch Kenntnis von Inhalten, d. h. elektronisch gespeicherten Daten, die der Dritte innerhalb seiner eigenen vier Wände schützend aufbewahrt. Darin könnte ein Eindringen in die geschützte räumliche Sphäre des Dritten und damit ein Eingriff in Art. 13 GG gesehen werden. Im Ausgangspunkt dieser Überlegung steht die Rechtsprechung des BVerfG zum Großen Lauschangriff. Danach können auch Maßnahmen, die außerhalb der Wohnung stattfinden, ins Innere der Wohnung hineinwirken, wodurch sie an an Art. 13 GG zu messen sind, da sonst der Schutzzweck des Wohnungsgrundrechts vereitelt würde. Das Betreten der Wohnung und der physische Zugriff auf die dort befindlichen Sachen sind damit nicht Grundbedingung für einen Eingriff in Art. 13 Abs. 1 GG.317 Diese Rechtsprechung bezieht sich vor allem auf das Abhören und Abfilmen der Wohnung, sei es durch in die Wohnung eingebaute Mikrofone und Kameras, sei es durch Mikrofone und Kameras, die von außen Inhalte vom Inneren der Wohnung aufnehmen können. Zu dieser Gruppe von Maßnahmen gehört dabei auch der Fall, dass Ermittler aus der Ferne auf den Computer des Wohnungsinhabers zugreifen, mit dem Ziel, am Zugriffssystem installierte Mikrofone und Kameras zu aktivieren, um den Wohnraum zu überwachen.318 Auch eine 317

BVerfGE 109, 279 (309); 120, 274 (309 f., 327); Umbach/Clemens/Cassardt, GG, Art. 13 Rn. 42; so auch schon Guttenberg, NJW 1993, 567 (568); davor anders noch z. B. Weiler, GS Meurer 2002, 395 (401). 318 Zu den unterschiedlichen technischen Möglichkeiten siehe Buermeyer, HRRS 2007,

392

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

solche Vorgehensweise greift nach einhelliger Auffassung in den Schutzbereich des Art. 13 Abs. 1 GG ein.319 Denn dies stellt – zumindest unter dem Gesichtspunkt des Wohnungsgrundrechts – nichts weiter als einen gewöhnlichen Fall der akustischen oder optischen Wohnraumüberwachung dar.320 Der einzige Unterschied liegt darin, dass die Ermittler nicht eigens Mikrofone oder Kameras in der Wohnung anbringen müssen, sondern diese bereits vorfinden und mittels Softwareeinsatz für sich nutzbar machen können. Machen sich Ermittler also das informationstechnische System zunutze, um den Innenraum der Wohnung akustisch oder optisch auszuspähen, so ist der Schutzbereich des Art. 13 GG eröffnet, auch ohne dass die Ermittler die ausgeforschte Wohnung überhaupt betreten müssten. Bei einer Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO geht es allerdings nicht darum, dass die Ermittler das externe informationstechnische System und die dort eventuell eingebauten Mikrofone und Kameras zum Ausspähen der Wohnung benutzen. Eine solche Vorgehensweise wäre von § 110 Abs. 3 S. 2 StPO gar nicht gedeckt. Die Netzwerkdurchsicht greift nicht vermittelt über ein informationstechnisches System auf akustische und optische Vorgänge innerhalb der Räumlichkeiten zu. Vielmehr greift sie lediglich auf das informationstechnische System selbst zu und sichtet nur die auf diesem System gespeicherten elektronischen Daten. Das ist ein Unterschied zur Konstellation des Abhörens oder Abfilmens der Vorgänge innerhalb einer Wohnung. Allerdings wurde in der Diskussion rund um die Zulässigkeit von OnlineDurchsuchungen vor dem Online-Durchsuchungs-Urteil des BVerfG noch vertreten, dass auch der Fernzugriff auf elektronisch gespeicherte Daten in das Wohnungsgrundrecht aus Art. 13 GG eingreife, sofern sich der PC, der Laptop oder das Smartphone während dieses Fernzugriffs innerhalb einer von Art. 13 GG geschützten Räumlichkeit befinden.321 Teils wurde sogar wei154 (161 f.); Hansen/Pfitzmann, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 131 ff. 319 BVerfGE 120, 274 (310); Albrecht/Dienst, JurPC Web-Dok. 5/2012, Abs. 5; BeckOKGG/Kluckert, Art. 13 Rn. 10; Gusy, LT NRW-Stellungnahme 14/0629, S. 6 f.; HoffmannRiem, JZ 2008, 1009 (1021); Hömig, Jura 2008, 207 (208); Hornung, DuD 2007, 575 (577); Huber, NVwZ 2007, 880 (883); Liebig, Der Zugriff auf Computerinhaltsdaten, 2015, S. 135 f.; Sachs/Krings, JuS 2008, 481 (483); Schlegel, GA 2007, 648 (656); Wegener/Muth, Jura 2010, 847 (850); Werkmeister/Pötters, JuS 2012, 223 (226); Wissenschaftliche Dienste des Deutschen Bundestages (N.N.), WD 3 – 161/07, S. 7. Übersehen wird diese Möglichkeit von Roth, LT NRW-Stellungnahme 14/0645, S. 18. 320 Hornung, DuD 2007, 575 (577); Käß, BayVBl. 2010, 1 (5). 321 Baum/Reiter/Schantz, Verfassungsbeschwerde vom 01.03.2007, S. 25 ff., BRAK, Stellungnahme Nr. 4/2007, S. 3; Buermeyer, HRRS 2007, 329 (332 ff.); ders., RDV 2008, 8 (11); B. Gercke, StraFo 2003, 76 (77) (in Bezug auf den Zugriff auf in Wohnungen befindliche Mailboxen); Hornung, DuD 2007, 575 (577 f.); ders., CR 2008, 299 (301); Huster, LT

C. Eingriffe in Rechte Dritter

393

tergehend gefordert, dass jedweder Fernzugriff auf informationstechnische Systeme an den Schranken des Art. 13 GG (analog) gemessen werden müsse, unabhängig vom Standort des Geräts während des Fernzugriffs, vor allem da dieser Standort aus der Ferne ohnehin nicht immer zuverlässig zu ermitteln sei.322 Das BVerfG hat in seinem Urteil zur Online-Durchsuchung indes klargestellt, dass der Fernzugriff auf Computer die räumlich geschützte Sphäre des Computerstandorts nicht berührt, sodass kein Eingriff in Art. 13 GG vorliegt.323 Stattdessen konstruierte das Gericht mit der Schaffung des ITGrundrechts einen eigenen grundrechtlichen Schutzbereich für den virtuellen Raum informationstechnischer Systeme, der unabhängig vom physischen Standort der Hardware des Systems besteht.324 Obwohl hinsichtlich dieser Konstruktion – Ausschluss des Art. 13 GG zugunsten des insoweit spezielleren IT-Grundrechts – im Schrifttum vereinzelt dogmatische Mängel und Inkonsequenzen zur vorherigen Rechtsprechung des BVerfG geltend gemacht worden sind,325 ist diese Abgrenzung der grundrechtlichen Schutzbereiche im Ergebnis sachgerecht, wie im Folgenden kurz begründet werden soll. Zum einen besteht wie dargelegt ein Unterschied zwischen dem Ausforschen der Wohnung, also der Räumlichkeiten selbst, durch Mikrofone und Kameras einerseits und dem Fernzugriff beschränkt auf elektronisch gespeicherte Daten andererseits: In letzterem Fall, der Konstellation des § 110 NRW-Stellungnahme 14/0641, S. 4; Jahn/Kudlich, JR 2007, 57 (60); Kudlich, JA 2007, 391 (392, 394); ders., GA 2011, 193 (196 f.); Roggan, Verfassungsbeschwerde vom 9. Februar 2007, S. 18 ff.; Sachs/Krings, JuS 2008, 481 (483); Schantz, KritV 2007, 310 (314 ff.); Sokol, LT NRW-Stellungnahme 14/0625, S. 9 ff.; dies., FS Hamm 2008, 719 (729 f.); Valerius, JR 2007, 275 (279 f.); Warntjen, Jura 2007, 581 (583); Weiß, Online-Durchsuchungen, 2009, S. 118 f.; Werkmeister/Pötters, JuS 2012, 223 (226); unklar BGH-Ermittlungsrichter StV 2007, 60 (62), das Grundrecht des Art. 13 GG sei „mittelbar berührt“. 322 Rux, JZ 2007, 285 (292 ff.); mit krit. Erwiderung Hornung, JZ 2007, 828 und Schlusswort Rux, JZ 2007, 831; ähnlich Buermeyer, HRRS 2007, 329 (334). 323 BVerfGE 120, 274 (310 f.). 324 Das IT-Grundrecht zum Schutz des virtuellen Raums und seiner Privatheit kann somit als Gegenstück des Wohnungsgrundrechts, das den physischen Raum und die dadurch vermittelte Privatsphäre schützt, begriffen werden. Zur Vergleichbarkeit von ITGrundrecht und Wohnungsgrundrecht Bäcker, in: Uerpmann-Wittzack (Hrsg.), 2009, S. 1 (S. 9); ders., in: Rensen/Brink (Hrsg.), 2009, S. 99 (S. 119). Ausdrücklich vergleichen auch Hornung, CR 2008, 299 (302); Käß, BayVBl. 2010, 1 (2) sowie Kingreen/Poscher, Grundrechte, Rn. 450, die beiden Grundrechte in Schutzbereich und Schutzbedarf miteinander. Britz, DÖV 2008, 411 (412) spricht von einer „Parallelisierung“ hinsichtlich der Schutzbereiche; in diese Richtung auch Bartsch, CR 2008, 613 ff.; Michael/Morlok, Grundrechte, Rn. 427 f. 325 Hinz, Jura 2009, 141 (143); Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (S. 25 f.).

394

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Abs. 3 S. 2 StPO, bleibt die eigentliche Wohnungssphäre, das Innere der Räumlichkeiten, unberührt und es werden keine Vorgänge innerhalb der Wohnung beobachtet. Der Zugriff auf elektronisch gespeicherte Daten überwindet nicht die spezifisch raumbezogenen Wahrnehmungshindernisse durch physische Mauern, Wände, Decken usw., sondern erfolgt gänzlich unabhängig von diesen physischen Barrieren.326 Dieses Schutzbereichsverständnis passt sich auch in die weitere Rechtsprechung des BVerfG zum Schutz von elektronisch gespeicherten Daten ein, wonach die Durchsicht eines lokalen informationstechnischen Systems, auch wenn innerhalb einer Wohnungsdurchsuchung und insoweit bei Eröffnung des Art. 13 GG vorgenommen, nicht am Wohnungsgrundrecht zu messen ist, sondern am allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG und dessen speziellen Ausprägungen.327 Zum anderen sorgt die Konstruktion des IT-Grundrechts mit dem Bezug zu informationstechnischen Systemen statt zu bestimmten Räumlichkeiten für einen umfassenderen Schutz dieser informationstechnischen Systeme bzw. der Privatsphäre ihrer Nutzer. Das IT-Grundrecht gilt unabhängig vom phyischen Standort der Hardware des informationstechnischen Systems. Das Smartphone und die darauf gespeicherten Daten bleiben immer gleich geschützt, egal ob der Nutzer sich mit dem Smartphone gerade innerhalb seiner Wohnung oder woanders aufhält. Das erscheint vor allem deshalb sachgerecht, weil die Daten, die auf dem Gerät gespeichert sind, in beiden Fällen die selben sind und damit auch kein Unterschied hinsichtlich ihrer Vertraulichkeit und Schutzbedürftigkeit besteht. Eine Differenzierung des Schutzniveaus anhand des aktuellen Standorts des Geräts, zu der eine Anwendung des Art. 13 GG mit seinem raumbezogenen Schutzkonzept zwingen würde, wäre daher nicht sachgerecht.328 Der virtuelle Raum, den informationstechnische Systeme eröffnen, besteht und funktioniert unabhängig von bestimmten räumlichen Standorten der Hardware. Eine Rückanbindung an räumliche, physische Standorte zur Bestimmung des grundrechtlichen Schutzniveaus muss daher ausscheiden.329 Zudem wird es insbesondere bei 326

Beulke/Meininghaus, FS Widmaier 2008, 63 (68); Böckenförde, JZ 2008, 925 (926); Dralle´, Grundrecht auf Gewährleistung, 2010, S. 53; M. Gercke, CR 2007, 245 (250); Härtel, NdsVBl. 2008, 276 (278); Hofmann, NStZ 2005, 121 (124); Martini, JA 2009, 839 (840); Schlegel, GA 2007, 648 (659); Schwarz, LT NRW-Stellungnahme 14/0650, S. 5; Umbach/ Clemens/Cassardt, GG, Art. 13 Rn. 43; Wegener/Muth, Jura 2010, 847 (850). 327 BVerfGE 113, 29 (45), dazu schon ausführlich oben Kap. 2 B.III.1.b). Auf diesen Zusammenhang weist auch Schwarz, LT NRW-Stellungnahme 14/0650, S. 5 hin. 328 BVerfGE 120, 274 (310 f.); Aernecke, Schutz elektronischer Daten, 2012, S. 131; Gusy, LT NRW-Stellungnahme 14/0629, S. 6; Hoffmann/Luch/Schulz/Borchers, Die digitale Dimension der Grundrechte, 2015, S. 203; Hömig, Jura 2009, 207 (208); Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, 2008, S. 21 (S. 25). 329 Beulke/Meininghaus, StV 2007, 63 (64); Beulke/Meininghaus, FS Widmaier 2008, 63

C. Eingriffe in Rechte Dritter

395

externen Cloud-Speichern ohnehin unmöglich sein, einen bestimmten Standort des Systems bzw. seiner Hardware zu bestimmen. Es ist gerade Wesensmerkmal des modernen Cloud Computing, dass Rechenkapazitäten und Speicherorte und teils sogar einzelne Dateien aufgespalten und auf verschiedene Speicherorte in aller Welt verteilt sind.330 Spätestens mit dieser Atomisierung von Dateien bzw. Speicherorten ist eine Rückanbindung des Schutzniveaus an eine räumliche Sphäre nicht mehr möglich und auch nicht sinnvoll. Folglich ist mit der Rechtsprechung des BVerfG die Eröffnung des Schutzbereichs von Art. 13 GG in Fällen des Fernzugriffs auf informationstechnische Systeme abzulehnen. Für die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO bedeutet das, dass sie – ebenso wie die insoweit verwandte OnlineDurchsuchung – nicht in Art. 13 GG eingreift.331 Wird also von einem lokalen informationstechnischen System des Durchsuchten aus auf ein externes informationstechnisches System eines Dritten zugegriffen, so ist der Dritte dadurch nicht in seinem Wohnungsgrundrecht betroffen. 2. IT-Grundrecht Ist mit den obigen Erkenntnissen zum Wohnungsgrundrecht klar, dass ein Fernzugriff auf elektronisch gespeicherte Daten nicht die räumlich geschützte Sphäre des Wohnungsinhabers nach Art. 13 GG berührt, so ist stattdessen der Anwendungsbereich des IT-Grundrechts zum Schutz des virtuellen Raums eröffnet. Insoweit bestehen hier keine Besonderheiten zur Grundrechtsbetroffenheit des Durchsuchten: Das informationstechnische System, das vom Dritten (mit-)genutzt wird, sei es in Gestalt eines eigens bereitgestellten privaten Servers, sei es in Form einer Anmietung von Speicherplätzen im Netz gemeinsam mit dem Durchsuchten, fällt in den sachlichen Schutzbereich des IT-Grundrechts.332 Unter der Voraussetzung, dass der Dritte das System bzw. den Speicherplatz, auf dem vom Durchsuchten aus zugegriffen wird, tatsächlich auch zur Ablage eigener privater Daten benutzt und diese im Wege der Netzwerkdurchsicht technisch eingesehen werden können, ist auch der personelle Schutzbereich des IT-Grundrechts für den Dritten eröffnet. Durch den Zugriff über § 110 Abs. 3 S. 2 StPO nehmen die Ermittler auch hinsichtlich des Dritten die entscheidende Hürde, um das von ihm mitgenutzte System vollständig auszuspähen und damit potentiell riesige Daten-

(68); Gurlit, NJW 2010, 1035 (1037); Härtel, NdsVBl. 2008, 276 (278); aus strafprozessrechtlicher Perspektive Cornelius, JZ 2007, 798 (800). 330 Dazu oben Kap. 3 A.I.2.d). 331 Brodowski/Eisenmenger, ZD 2014, 119 (121); s. auch Mangoldt/Klein/Starck/Gornig, GG, Art. 13 Rn. 43; anders offenbar Knierim, StV 2009, 206 (211 f.). 332 S. oben Kap. 3 A.I.1.

396

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

bestände zu sichten, die Rückschlüsse auf die Persönlichkeit des Dritten bis hin zur Bildung eines Persönlichkeitsprofils ermöglichen. Beim Zugriff auf den Datenspeicher werden die Ermittler nahezu zwangsläufig Daten einsehen, die zumindest auch dem Dritten gehören bzw. einen Bezug zum Dritten aufweisen, hinsichtlich derer der Dritte also eine berechtigte Vertraulichkeitserwartung aufweist.333 Das ist insbesondere der Fall, wenn die Ermittler den aufgefunden Datensatz gemäß § 110 Abs. 3 S. 3 StPO vorläufig komplett sichern, um ihn erst später auszuwerten und irrelevantes Datenmaterial im Nachhinein wieder auszusortieren. Zwar sind die Ermittler schon aus Verhältnismäßigkeitsgründen dazu verpflichtet, bei der Datendurchsicht und der anschließenden Sicherung möglichst kein verfahrensirrelevantes Material zu erheben. Auch ist die Durchsicht von Daten, die eindeutig und allein unbeteiligten und unverdächtigen Dritten zuzuordnen sind, generell nicht zulässig.334 Da man elektronisch gespeicherten Daten aber von außen nicht ansehen kann, welchen Informationsgehalt sie haben und ob sie verfahrensrelevant sind,335 und zudem auch eine personelle Zuordnung zu einzelnen Dateninhabern nicht immer klar möglich ist (zum Beispiel durch Namenszusätze oder eine entsprechende Ordnerstruktur auf dem gemeinsamen System, die aber trügerisch sein können), erscheint die Erhebung von Daten Dritter im Stadium der Durchsicht kaum vermeidbar. Das gilt insbesondere im Rahmen der Netzwerkdurchsicht, die nach § 110 Abs. 3 S. 2 StPO eine Situation der Eile dahingehend voraussetzt, dass der Verlust der gesuchten Daten zu besorgen ist.336 Es wird den Ermittlern daher regelmäßig nicht zuverlässig möglich sein, verfahrensirrelevante bzw. dem Dritten zugehörige Daten noch vor der detaillierten inhaltlichen Auswertung des Datensatzes auszusortieren. Im Übrigen kann schon der Zugriff auf das System ohne weitergehende Auswertungsmaßnahmen als Eingriff in die Vertraulichkeit des Systems eingestuft werden, denn bereits die bloße Anzeige einer Ordnerstruktur oder von Dateinamen kann den Ermittlern bereits etwas über die private Lebensgestaltung des Einzelnen verraten, selbst wenn die Dateien im Einzelfall auch irreführend benannt sein können. Die Privatsphäre des Dritten ist bei einem Zugriff auf einen gemeinsam genutzten Speicher also regelmäßig ebenso berührt wie die Privatsphäre des Durchsuchten. Insbesondere ist es für die Eröffnung des Schutzbereichs in

333 Bei einem gemeinsam genutzten Datenspeicher liegt es nahe, dass die Beteiligten hier auch Daten ablegen, die ihnen – untechnisch gesprochen – gemeinsam gehören und die nicht nur Persönlichkeitsbezug zu einem Nutzer allein aufweisen. Herrmann/Soine´, NJW 2011, 2922 f. weisen ebenso darauf hin, dass es an einem Datum eine Vielzahl unterschiedlicher Berechtigungen und Berechtigter geben kann. 334 Schlegel, HRRS 2008, 23 (28); s. auch MüKo-StPO/Hauschild, § 110 Rn. 7. 335 S. oben Kap. 2 B.II.a). 336 Dazu oben Kap. 3 A.III.

C. Eingriffe in Rechte Dritter

397

personeller Hinsicht unbeachtlich, dass mehrere Beteiligte das selbe informationstechnische System zur Ablage privater Daten benutzen. Auch derjenige kann ein informationstechnisches System „als eigenes“ nutzen und damit vom IT-Grundrecht geschützt sein, der dieses System gemeinsam mit anderen berechtigten Nutzern verwendet.337 Somit sind sowohl der Durchsuchte, als auch der vom Fernzugriff betroffene Dritte beide gleichermaßen Träger des IT-Grundrechts. Für den Dritten ist die Eröffnung des Schutzbereichs des IT-Grundrechts durch die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO vor allem deshalb bedeutsam, weil für ihn einerseits mangels physischer Anwesenheit der Ermittler in seinen Räumlichkeiten nicht gleichzeitig der Schutzbereich von Art. 13 GG berührt ist und andererseits das IT-Grundrecht auch nicht wie beim Durchsuchten bereits durch eine lokale Durchsicht nach § 110 Abs. 3 S. 1 StPO eröffnet ist. Während der Durchsuchte im Rahmen der Durchsicht des lokalen informationstechnischen Systems als Ausgangspunkt der Netzwerkdurchsicht also bereits ohnehin den Schutz sowohl von Art. 13 GG (sofern der Ausgangspunkt eine Wohnungs- bzw. Hausdurchsuchung ist) und des IT-Grundrechts genießt und die zusätzliche Berührung des IT-Grundrechts durch die Durchsicht des externen informationstechnischen Systems nach § 110 Abs. 3 S. 2 StPO von eher untergeordneter Bedeutung ist, ist für den Dritten die Eröffnung des Schutzbereichs des IT-Grundrechts durch den Fernzugriff bedeutsam, da er sich sonst – vom vergleichsweise schwächeren Recht auf informationelle Selbstbestimmung abgesehen338 – möglicherweise339 auf keine weiteren Grundrechte berufen könnte. Im Ergebnis greift die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO also nicht nur in das IT-Grundrecht des Durchsuchten, sondern auch in das IT-Grundrecht des Dritten ein. 3. Fernmeldegeheimnis in Konkurrenz zum IT-Grundrecht Zusätzlich zum IT-Grundrecht kann aber auch das Fernmeldegeheimnis des Dritten aus Art. 10 GG betroffen sein. Die Frage, ob und unter welchen Voraussetzungen dies der Fall ist, ist vor allem deshalb bedeutsam, weil das speziellere Fernmeldegeheimnis das aus dem allgemeinen Persönlichkeitsrecht fließende IT-Grundrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG grundsätzlich verdrängt.340 Die besonderen Konstellationen, in denen es zu einer Überschneidung der Schutzbereiche von IT-Grundrecht und Fernmel-

337

BVerfGE 120, 274 (315), s. ausführlich oben Kap. 2 B.III.2.b)aa). Zum Verhältnis zwischen IT-Grundrecht und informationeller Selbstbestimmung oben Kap. 2 B.III.3. 339 Zur Anwendbarkeit des Fernmeldegeheimnisses sogleich unten 3. 340 BVerfGE 125, 260 (310, 313); dazu bereits oben Kap. 2 B.III.4. 338

398

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

degeheimnis bei der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO kommen kann, wurden in dieser Arbeit bereits angesprochen und sollen im Folgenden noch einmal mit Fokus auf die Grundrechte Dritter dargestellt werden. Zum einen betrifft dies den Fall, in dem auf das E-Mail-Konto des Durchsuchten auf Grundlage des § 110 Abs. 3 S. 2 StPO zugegriffen wird. Da dieses E-Mail-Konto einerseits ein informationstechnisches System im Sinne des IT-Grundrechts ist (da es auch als statischer Datenablageort dienen kann), es andererseits aber vor allem zur Kommunikation und zum Zwischenspeichern von Kommunikationsinhalten verwendet wird, kommt es auf Grundlage des E-Mail-Beschlusses des BVerfG341 zu einer Berührung sowohl des ITGrundrechts als auch des Fernmeldegeheimnisses, und ein Konkurrenzverhältnis entsteht. Dieses Konkurrenzverhältnis kann nun ebenso beim Dritten auftreten, wenn er ein E-Mail-Konto gemeinsam mit dem Durchsuchten nutzt, wenn also das über § 110 Abs. 3 S. 2 StPO angesteuerte System ein von mehreren Personen gemeinsam genutztes E-Mail-Konto ist. Eine solche gemeinsame Nutzung eines E-Mail-Kontos ist in der Praxis nicht selten. Sie kommt nicht nur häufig im geschäftlichen Bereich oder in der staatlichen Verwaltung vor, wo einheitliche Mail-Adressen bzw. E-Mail-Konten für ein Unternehmen oder eine Behörde von mehreren Sachbearbeitern verwaltet werden (service@[].de; info@[].de). Auch im privaten Bereich ist es nicht unüblich, dass ein E-Mail-Konto gemeinsam von Eheleuten oder einer Familie genutzt wird, um darüber mit gemeinsamen Bekannten zu kommunizieren (familieheinzbecker@[].de; klausundmariannemüller@[].de). Das E-Mail-Konto wird in dieser Konstellation gemeinsam bei einem kommerziellen E-Mail-Anbieter oder dem eigenen Internetprovider, der gleichzeitig E-Mail-Anbieter ist, angemietet, ist also für jeden der Eheleute oder Familienmitglieder zugleich ein eigengenutztes informationstechnisches System, das aber auch zur Kommunikation nicht nur untereinander, sondern mit weiteren Dritten genutzt wird. Wird also der Laptop der auf Geschäftsreise befindlichen, beschuldigten Ehefrau A durchgesehen und daraufhin eine Netzwerkdurchsicht mit Zugriff auf das mit dem Ehemann B gemeinsam genutzte E-Mail-Konto durchgeführt, so ist Ehemann B hierbei ebenso betroffen wie Ehefrau A, und für beide Grundrechtsträger stellt sich gleichermaßen die Frage, an welchen Grundrechten dieser Zugriff zu messen ist. In dieser Konstellation ergeben sich für den Dritten im Vergleich zum Durchsuchten aber keine Besonderheiten, weshalb an dieser Stelle für die Frage der Grundrechtskonkurrenzen auf die entsprechenden Ausführungen weiter oben in dieser Arbeit verweisen sei.342

341 342

BVerfGE 124, 43; dazu schon oben Kap. 2 B.III.4. und Kap. 3 A.I.3.a) und b). Oben Kap. 3 A.I.3.b), dort auch zum Folgenden.

C. Eingriffe in Rechte Dritter

399

Zum anderen bereits angesprochen wurde die Fallkonstellation, in der zwei oder mehrere Nutzer einen gemeinsam angemieteten Speicherplatz im Netz, also einen Filehosting-Speicherplatz oder einen Cloud-Speicher, nicht nur zur Ablage von Dateien benutzen, sondern auch dazu, um über dort hochgeladene Texte miteinander zu kommunizieren. Nutzer A lädt eine Textdatei mit einer Nachricht in die gemeinsame Cloud hoch, Nutzer B liest diese Textdatei aus und ergänzt gegebenenfalls eine eigene Nachricht, die Nutzer A im aktualisierten Dokument in der Cloud wieder einsehen kann usw. Der gemeinsame Speicherplatz wird in diesem Fall wie ein E-Mail-Konto oder ein Chat genutzt. Anders formuliert dient das informationstechnische System, das dieser Cloud-Speicherplatz ist, nun auch der Kommunikation zwischen den beiden Nutzern, und diese Kommunikation fällt grundsätzlich unter den speziellen Schutz des Fernmeldegeheimnisses. Nicht nur, wenn beim Durchsuchten ein Fernzugriff auf ein gemeinsames E-Mail-Konto erfolgt, stellt sich also die Frage nach dem Konkurrenzverhältnis zwischen Fernmeldegeheimnis und IT-Grundrecht, sondern ebenfalls, wenn staatliche Ermittler auf einen gemeinsam genutzten Cloud-Speicher zugreifen, der gezielt auch dem Austausch von Nachrichten zwischen den Nutzern dient. Insoweit, und auch das wurde in dieser Arbeit bereits dargelegt, besteht zwischen einem Cloud-Speicher oder einem E-Mail-Konto kein wesentlicher Unterschied, denn beide können sowohl zur bloß statischen Datenablage als auch zur Kommunikation zwischen Nutzern verwendet werden, und häufig werden bei der Nutzung in der Praxis Mischformen vorliegen, die das Verhältnis zwischen IT-Grundrecht und Fernmeldegeheimnis kaum zufriedenstellend auflösbar machen. Aber auch insoweit stellen sich für den Betroffenen Dritten im Vergleich zum Durchsuchten keine weiteren Besonderheiten, sodass hiermit ebenfalls auf die entsprechenden Ausführungen weiter oben in dieser Arbeit verwiesen wird. Ein Aspekt der gemeinsamen und damit einhergehend kommunikationsgeneigten Nutzung von vernetzten Speicherplätzen wurde hier allerdings noch nicht ausführlich besprochen. Die Kommunikation zwischen den beiden Nutzern kann sich nämlich nicht bloß daraus ergeben, dass sich die Nutzer über den Speicherplatz Textnachrichten in entsprechenden Dokumenten und Dateien zukommen lassen – hier liegt es ja auf der Hand, dass Kommunikation stattfindet. Kommunikation über einen gemeinsam genutzten Speicherplatz kann auch subtiler und weniger explizit stattfinden, und zwar schlicht durch den Austausch irgendwelcher, auch nicht mit Text gefüllter Dateien. Anders formuliert kann bereits das Hochladen von Dateien in den gemeinsamen Speicherplatz Kommunikation sein oder selbiger dienen. Damit sind nicht nur Bilddateien, Videos oder Soundfiles angesprochen – in diesen könnte ja immerhin auch abseits von Textnachrichten expliziter Kommunikationsinhalt übermittelt werden, zum Beispiel dadurch, dass ein Nutzer eine Sprachnachricht für den anderen Nutzer hochlädt, die

400

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

dieser sich dann anhört. Darüber hinaus kann auch bereits das Hochladen jedweder, auch nicht explizit mit Kommunikationsinhalten gefüllter Dateien als kommunikativer Akt begriffen werden, solange der hochladene Nutzer davon ausgeht, dass der Mitnutzer diesen Akt wahrnehmen wird. Die Kommunikation kann sich hier nicht nur, aber insbesondere dann ergeben, wenn die beiden Nutzer im Vorfeld Absprachen zu einer hochzuladenden Datei getroffen haben. Ein Beispiel: Nutzer A fragt Nutzer B, ob er eigentlich noch das Gruppenfoto vom letzten Schützenfest habe, er selber finde es gerade nicht. Nutzer B antwortet daraufhin, dass er auf seinem eigenen (lokalen) Rechner danach suchen werde, er werde die Bilddatei dann einfach in die gemeinsame Cloud stellen, sofern er sie wiederfinde. Es vergeht ein Tag der Suche, Nutzer B findet die Datei und lädt sie in die gemeinsam genutzte Cloud hoch, ohne Nutzer A darüber besonders Bescheid zu geben. Das tut Nutzer B in der Erwartung, dass Nutzer A beim routinemäßigen Abrufen der Cloud schon sehen wird, dass er die Datei gefunden hat. Einen Tag später ruft Nutzer A die Cloud auf und sieht die von Nutzer B hochgeladene Installationsdatei. Das Hochladen der Datei durch Nutzer B ersetzt hierbei die explizite Mitteilung „Ich habe das Foto gefunden, das du wolltest!“ bzw. der Akt des Hochladens trägt diese Mitteilung in sich. Dieser Mitteilungsinhalt kommt bei Nutzer A auch an, und zwar in dem Moment, in dem er die Bilddatei sieht („Ah, Nutzer B hat das Foto also gefunden!“). Hier hat also allein durch das Hochladen und Wahrnehmen der Datei Kommunikation zwischen zwei Menschen stattgefunden. Diese implizite Kommunikation unterfällt grundsätzlich dem Schutzbereich des Art. 10 GG, denn der Schutz des Fernmeldegeheimnis gilt unabhängig von der gewählten Ausdrucksform, sodass auch eine Kommunikation mittels Bilder, Zeichen oder sonstiger Daten geschützt ist.343 Das beiderseitige Hochladen von Dateien in eine gemeinsame Cloud kann aber auch dann als Kommunikation begriffen werden, wenn im Vorhinein keine explizite Absprache zu den konkreten Dateiinhalten zwischen den Nutzern existiert. Allein das unabgesprochene Hochladen eines Fotos oder Videos, das eventuell auch gar keinen Bezug zu den anderen Nutzern hat, trägt schließlich wenigstens die Botschaft oder Information in sich „Ich habe hier etwas hochgeladen“, je nach Ausgestaltung der gemeinsamen Nutzungsweise sogar mit dem impliziten Appell „Schau dir das doch mal an!“. Der kommunikative Vorgang ist hier vergleichbar mit einer unangekündigten E-Mail, die ohne Text in Betreffzeile und Textfeld auskommt und nur ein Foto oder Video im Anhang enthält, das sich der Empfänger der Mail bitte anschauen möge. Auch hier sind Konstellationen denkbar, in denen das Foto entweder eine mehr oder weniger explizite kommunikative Aussage enthält (man

343

BVerfGE 106, 28 (36); 120, 274 (307); Stern/Becker/Schenke, Art. 10 Rn. 45.

C. Eingriffe in Rechte Dritter

401

denke nur an das Foto eines ausgestreckten Mittelfingers), oder die kommunikative Aussage eher implizit mitliefert („Ich war hier im Urlaub“ oder „Dieses alte Foto von dir habe ich gefunden“). Selbst in Fällen, in denen hierbei kein expliziter Nachrichteninhalt übermittelt wird, würde man den Versand einer solchen E-Mail zweifelsfrei als Kommunikation einstufen. Beim Hochladen eines solchen Fotos (oder einer anderen Datei) in eine gemeinsam genutzen Cloud, wo der andere Nutzer diese Datei ebenso wie eine E-Mail empfängt, kann daher nichts anderes gelten. Zusammenfassend lässt sich also sagen, dass jede gemeinsame Nutzung eines Cloud-Speicherplatzes, bei dem die Nutzer ihre jeweils hochgeladenen Inhalte gegenseitig einsehen können, ein kommunikatives Element in sich trägt. Dieses kommunikative Element kann durchaus als Telekommunikation im Sinne des Art. 10 GG begriffen werden, sodass der Schutzbereich des Fernmeldegeheimnisses eröffnet wäre.344 Insbesondere auf der Linie des BVerfG, nach dem sogar das Herunterladen von auf einer Internetseite bereitgestellten Inhalten bzw. Dateien dem Schutzbereich des Art. 10 GG unterfallen soll,345 erscheint auch die Einordnung einer entsprechenden gemeinsamen Cloud-Nutzung durch Austausch von Dateien als Telekommunikation im Sinne des Art. 10 GG plausibel. Dann stellt sich die Frage nach dem Verhältnis zwischen IT-Grundrecht und Fernmeldegeheimnis aber nicht nur in Fällen expliziter Kommunikation über ein E-Mail Konto oder einen Cloud-Speicher, sondern in allen Fällen, in denen mehrere Nutzer einen Cloud-Speicher gemeinsam nutzen – zumal das BVerfG sowohl Cloud-Speicher, als auch die gemeinsame Nutzung von informationstechnischen Systemen insgesamt eigentlich dem Schutzbereich des IT-Grundrechts unterstellt hat.346 Damit wäre auch in jedem Fall der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO, durch die das informationstechnische System eines Dritten berührt wird, die Frage nach dem Verhältnis der beiden Grundrechte zwangsläufig aufgeworfen. Vor diesem Hintergrund wird es bei Zugriffen auf (externe) informationstechnische Systeme immer schwieriger, festzustellen, welcher grundrechtliche Schutzbereich gerade einschlägig ist.347 Nicht nur wird es erstens in der Ermittlungspraxis in tatsächlicher Hinsicht für die Ermittler schwierig sein festzustellen, welche eingesehenen Daten Kommunikationsbezug aufweisen und welche nicht, welche also nur statisch im Speicher abgelegt worden sind, ohne dass sie Gegenstand einer Kommunikation sind.348 Zweitens ist es nach dem 344

Dafür Grözinger, Cloud-Storage, 2018, S. 130 f.; Schwabenbauer, AöR 137 (2012), 1

(19). 345 BVerfG NJW 2016, 3508 (3510) m. abl. Anm. Eidam; abl. auch SSW-StPO/Eschelbach, § 100a Rn. 5; dafür hingegen Singelnstein, NStZ 2012, 593 (594). 346 BVerfGE 120, 274 (315); 141, 220 (303 f.). 347 Schwabenbauer, AöR 137 (2012), 1 (19 f.). 348 Vgl. auch Aernecke, Schutz elektronischer Daten, 2012, S. 139, 187, die darlegt, dass

402

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

oben Gesagten auch in rechtlicher Hinsicht kaum noch möglich, trennscharf zwischen den Schutzbereichen zu unterscheiden, da ja grundsätzlich alle Dateien in der gemeinsam genutzten Cloud, auch solche ohne explizite Nachrichteninhalte, irgendeinen Kommunikationsbezug aufweisen können, und sei es auch nur in Form eines kommunikativen Aktes durch das bloße Hochladen der Datei. Diese Schwierigkeiten bei der Auflösung der Konkurrenzverhältnisse in Fällen des Zugriffs auf von mehreren Personen genutzte Cloud-Speicher unterstützen den in dieser Arbeit bereits unterbreiteten Lösungsvorschlag:349 Wenn in tatsächlicher wie rechtlicher Hinsicht in bestimmten Konstellationen ohnehin kaum noch eindeutig entschieden werden kann, ob die Netzwerkdurchsicht am IT-Grundrecht zu messen ist oder ob stattdessen das vorrangige Fernmeldegeheimnis maßgeblich ist, dann muss in diesen Konstellationen eine Parallelisierung der Schutzniveaus der beiden Schutzbereiche stattfinden. Das Schutzniveau sollte in diesen Fällen nicht davon abhängen, welcher Schutzbereich am Ende als einschlägig erkannt wird, sondern sollte mit Rücksicht auf die Überschneidungen der beiden Schutzbereiche vereinheitlicht werden. Das gewährleistet für die Betroffenen einen gleichbleibend hohen Grundrechtsschutz in Fällen, in denen es von tatsächlichen Zufällen abhängt und überdies in der rechtlichen Bewertung höchst unsicher erscheint, welches der beiden Grundrechte einschlägig ist.

II. Netzwerkdurchsicht als Durchsuchung beim Dritten? Dass Dritte durch eine Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO potentiell tiefgreifend in ihren Grundrechtspositionen betroffen sein können, wurde oben dargelegt. Verlässt man nun die verfassungsrechtliche Ebene und blickt auf das einfache Recht, so stellt sich die Frage, ob diese Drittbetroffenheit eine Durchsuchung im Sinne der §§ 102 ff. StPO auch beim Dritten auslöst bzw. gleichbedeutend mit ihr ist. Zur Illustration ein Fallbeispiel: A ist Beschuldigter in einem Strafverfahren. Im Zuge des Ermittlungsverfahrens findet bei A eine Wohnungsdurchsuchung gemäß § 102 StPO statt. Im Rahmen dieser Durchsuchung sichten die Ermittler den Laptop des A auf Grundlage des § 110 Abs. 3 S. 1 StPO. Während dieser Durchsicht fällt den Ermittlern auf, dass A potentiell beweisrelevante Daten auch auf einem externen Speichermedium speichert. Der entsprechende Server wird vom unbeteiligten, unverdächtigen B betrieben und steht in der Wohnung des B. B benutzt diesen Server selbst auch als Datenspeicher wie einen gewöhnlichen Computer. Auf Grundlage

es bei heutigen modernen Formen der Telekommunikation häufig kein eindeutiges Ende des Kommunikationsvorgangs gibt, wie es bei Telefonaten durch das Auflegen des Telefonhörers noch der Fall war; s. auch von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 99 f. 349 Oben Kap. 3 A.I.3.b) mit Nachweisen.

C. Eingriffe in Rechte Dritter

403

von § 110 Abs. 3 S. 2 StPO greifen die Ermittler auf sämtliche auf diesem Computer gespeicherten Daten zu und sichern sie.

Rein räumlich gesehen ist von der Durchsuchung nur die Wohnung des A und damit A als Wohnungsinhaber betroffen. Deshalb handelt es sich beim Vorgehen der Ermittler zunächst um eine Durchsuchung beim Verdächtigen nach § 102 StPO. Die Wohnung des B betreten die Ermittler nicht. Sie erhalten lediglich über eine Internetverbindung Zugriff auf den Computer des B, der sich in dessen Wohnung befindet. Kann man über diesen virtuellen Zugriff der Ermittler auf den Computer des B eine Berührung auch der räumlichen Wohnsphäre des B konstruieren, mit der Folge, dass dadurch auch bei B eine Wohnungsdurchsuchung nach §§ 102, 103 StPO stattfindet? Diese Frage wird man verneinen müssen, und zwar auch unabhängig davon, dass bei einem solchen Fernzugriff auf grundrechtlicher Ebene der Schutzbereich des Art. 13 GG nicht eröffnet ist.350 Eine Durchsuchung der gesamten oder auch nur teilweisen Wohnung findet nicht dadurch statt, dass per Fernzugriff ein einziges, abgegrenztes Objekt durchsucht wird, das sich zufällig innerhalb dieser Wohnung befindet. Ein „zielund zweckgerichtetes Suchen nach Personen oder Sachen oder zur Ermittlung eines Sachverhalts“ innerhalb der Wohnung des Dritten ist bei einem bloßen Computerzugriff (ohne Aktivierung etwaiger Computermikrofone und -Kameras351) ebenso wenig möglich wie etwas „aufzuspüren, was der Inhaber der Wohnung von sich aus nicht offenlegen oder herausgeben will“352. Nicht die gesamte oder teilweise Wohnung wird bei dem Fernzugriff durchsucht, sondern lediglich der Computer.353 Damit liegt es näher, die Netzwerkdurchsicht in Form der Durchsuchung des externen Computers bzw. virtuellen Datenspeichers als Durchsuchung der Sache (auch) des Dritten einzuordnen.354 Das ursprüngliche Verständnis, das für eine Durchsuchung im Sinne der §§ 102 ff. StPO stets die physische Anwesenheit der Ermittlungsbeamten vor Ort voraussetzt,355 kann insoweit keine Geltung beanspruchen: Für die Durchsuchung des Computers als Sache, in der Form, dass die auf dem Computer elektronisch gespeicherten

350

Dazu oben Kap. 3 C.I.1. S. dazu ebenfalls oben Kap. 3 C.I.1. 352 Definition der Durchsuchung bei BVerfGE 76, 83 (89); LR/Tsambikakis, § 102 Rn. 1; SK-StPO/Wohlers/Jäger, § 102 Rn. 2. 353 So im Ergebnis Beulke/Meininghaus, FS Widmaier 2008, 63 (73). 354 So Beulke/Meininghaus, FS Widmaier 2008, 63 (73); vgl. auch LR/Tsambikakis, § 102 Rn. 41 f.; allgemein zur Einordnung von Cloud-Speichern als Sache im Sinne der Durchsuchungsvorschriften Wicker, Cloud Computing, 2016, S. 334 f.; gegen jede Einordnung als Durchsuchung Radtke/Hohmann/Ladiges, § 110 Rn. 19. 355 S. nur LR/Tsambikakis, § 102 Rn. 1; SK-StPO/Wohlers/Jäger, § 102 Rn. 2; dieses Verständnis anzweifelnd bereits Weiler, GS Meurer 2002, 395 (401). 351

404

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Daten gesichtet werden, ist schlicht keine körperliche Anwesenheit der Ermittler nötig. Die Daten können bei entsprechender technischer Konfiguration aus der Ferne ebenso gut durchgesehen werden wie vor Ort – das wird durch die Existenz der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO belegt. Der Dritte, dem der Computer gehört, ist von dieser Durchsicht aus der Ferne insoweit nicht anders betroffen als bei einem Auftreten der Ermittler vor Ort in seiner Wohnung. Im Anschluss an diese Überlegungen stellt sich die Frage, wie diese Sachdurchsuchung des Computers des Dritten einzuordnen ist: Ist sie schlicht Teil der Durchsuchung beim Beschuldigten gemäß § 102 StPO, die vermittelt über die Netzwerkverbindung virtuell auf den Computer als räumlich getrennte Sache ausgreift, oder wird durch den Zugriff auf den externen Computer eine zweite Durchsuchung, dann beim Dritten, im Sinne des § 103 Abs. 1 S. 1 StPO erzeugt? Sind die Voraussetzungen des § 103 Abs. 1 S. 1 StPO zu beachten, wenn von der Netzwerkdurchsicht auch Dritte betroffen sind? Maßgeblich für die Frage, ob eine Durchsuchung beim Verdächtigen nach § 102 StPO oder eine Durchsuchung beim Dritten nach § 103 StPO stattfindet, sind nach h. M. die Gewahrsamsverhältnisse an den durchsuchten Räumlichkeiten oder Sachen: Hat der Verdächtige zumindest Mitgewahrsam am Durchsuchungsobjekt, handelt es sich um eine Durchsuchung beim Verdächtigen nach § 102 StPO; steht das Durchsuchungsobjekt dagegen im Alleingewahrsam eines unverdächtigen Dritten, so ist die Durchsuchung nur unter den Voraussetzungen des § 103 Abs. 1 S. 1 StPO zulässig.356 Gewahrsam und Mitgewahrsam werden dabei herkömmlicherweise nach körperlichen Kriterien bzw. anhand eines physisch-räumlichen Kontexts ermittelt: Gewahrsam an einer Wohnung hat, wer sie bewohnt und z. B. den Schlüssel zu ihr besitzt; Gewahrsam an einer Sache hat derjenige, für den sie körperlich greifbar ist und über die er tatsächlich verfügen kann. Legte man ein derart räumlich verhaftetes Gewahrsamsverständnis zugrunde, so käme man im Beispielsfall bei der Gewahrsamsverteilung zwischen A und B zum Ergebnis, dass nur B Gewahrsam an dem Computer und damit dem Datenspeicher und den Daten besitzt, da sich der Computer in seiner Wohnung befindet. Für A ist der Computer rein physisch gesehen außer Reichweite, sodass er auf Grundlage eines rein räumlich verstandenen Gewahrsamsverständnisses keinen Gewahrsam hätte. Dass A den Datenspeicher dennoch aus der Ferne durch eine Netzwerk- bzw. Internetverbindung benutzen kann, würde vollkommen ausgeblendet. Im Ergebnis läge damit tatsächlich eine Durchsuchung der Sache allein eines Dritten im Sinne des § 103 Abs. 1 S. 1 StPO vor.357 356 Vgl. zu dieser Abgrenzung nur SSW-StPO/Hadamitzky, § 102 Rn. 11, 14; ausführlich dazu bereits oben Kap. 2 A.II. mit umfangreichen Nachweisen und insbesondere auch zur hier favorisierten Minderheitsauffassung, dass in Mitgewahrsamsfällen § 103 StPO zur Anwendung kommen muss. 357 So von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 380 f.

C. Eingriffe in Rechte Dritter

405

Indes erscheint ein Anknüpfen an rein physische, räumliche Kriterien zur Gewahrsamszuordnung mit Blick auf virtuelle Räume und Datenspeicher bzw. Computersysteme, die auch aus der Ferne und unabhängig von räumlichen Standorten genutzt werden können, veraltet und nicht mehr sachgerecht.358 Wenn und solange der Beschuldigte per Netzwerkverbindung auf einen externen, räumlich getrennten Datenspeicher zugreifen kann – und das ist Grundvoraussetzung für einen Zugriff gemäß § 110 Abs. 3 S. 2 StPO – wird man dem Beschuldigten Gewahrsam im Sinne der §§ 102, 103 StPO zumindest an den auf dem Computer gespeicherten, für ihn abrufbaren Daten zugestehen müssen. Hinsichtlich der Hardware des Computers als Sache hat der Nutzer aus der Ferne zwar keine Verfügungsgewalt, auch die Netzwerkverbindung vermittelt ihm keine Herrschaft über diese Sache.359 Hinsichtlich der im Rahmen des § 110 Abs. 3 S. 2 StPO maßgeblichen elektronischen Daten, auf die die Ermittler zugreifen wollen, besteht eine Verfügungsgewalt des Fernnutzers bzw. Beschuldigten aber sehr wohl: Auch ohne Zugriff auf die Hardware des Systems haben zu müssen, kann der Fernnutzer Daten in den Speicher hochladen, von dort herunterladen, sie löschen, ergänzen, manipulieren und vervielfältigen, grundsätzlich uneingeschränkt und im Wesentlichen genau so, als würde er den Computer lokal bedienen.360 Jedenfalls die Daten und der virtuelle Datenspeicher, auf den über § 110 Abs. 3 S. 2 StPO zugegriffen wird, die also die eigentlichen Durchsuchungsobjekte sind, stehen damit auch im Gewahrsam des Fernnutzers.361 Auf Grundlage der h. M., die alles als Durchsuchungsobjekt des Verdächtigen im Sinne des § 102 StPO einordnet, über das der Verdächtige zumindest Mitgewahrsam ausübt, bedeutet der Fernzugriff auf den Computer bzw. Datenspeicher eines Dritten über § 110 Abs. 3 S. 2 StPO damit keine zweite Durchsuchung gegenüber dem Dritten im Sinne des § 103 Abs. 1 S. 1 StPO, sofern man ein modifiziertes Verständnis von Gewahrsam wie oben dargestellt zugrunde legt. Vielmehr handelt es sich im Ausgangspunkt um eine Durchsuchung beim Beschuldigten, die in seiner Wohnung stattfindet, zunächst den Computer des Beschuldigten umfasst und von dort aus auf einen anderen Datenspeicher erstreckt wird, der sich aber ebenso wie die Wohnung und der lokale Computer auch in seinem Gewahrsam befindet. Auf Grundlage dieses Gewahrsamsverständnisses wird die Durchsuchung gegenüber dem Beschuldigten gemäß § 102 StPO lediglich weiter ausgedehnt. § 103 358

Vgl. Wicker, Cloud Computing, 2016, S. 338 ff.; s. auch Hie´ramente, NStZ 2021, 390 (395), der nicht nach Gewahrsamsverhältnissen, sondern nach dem Grad der Auffindevermutung von Beweismitteln differenziert. 359 Wicker, Cloud Computing, 2016, S. 336 f. 360 Wicker, Cloud Computing, 2016, S. 341. 361 Wicker, Cloud Computing, 2016, S. 339, 341 f.; a. A. von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 368 f.

406

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Abs. 1 S. 1 StPO ist damit trotz Berührung der Sphäre des Dritten nicht einschlägig. Geht man dagegen mit der hier favorisierten Auffassung davon aus, dass auch schon der Mitgewahrsam eines Dritten und nicht erst sein Alleingewahrsam die besonderen tatbestandlichen Schwellen des § 103 Abs. 1 S. 1 StPO aktivieren muss,362 so ließe sich aufgrund des Mitgewahrsams am Datenspeicher bzw. der Daten vertreten, dass durch die Netzwerkdurchsicht eine weitere Durchsuchung, nämlich des Dritten im Sinne des § 103 StPO, stattfindet und dafür die entsprechenden tatbestandlichen Voraussetzungen vorliegen müssen. Allerdings ist hier der Wille des Gesetzgebers und dessen Vorstellung von der Funktion des § 110 Abs. 3 S. 2 StPO zu berücksichtigen. Danach soll § 110 Abs. 3 S. 2 StPO die räumlichen Grenzen der Durchsuchung aufheben bzw. passierbar machen, ohne dass es dafür eines zweiten, gesonderten Durchsuchungsbeschlusses bedarf.363 Der Gesetzgeber hat die Befugnis des § 110 Abs. 3 S. 2 StPO also gerade nicht so konstruiert, dass sie eine gesonderte zweite, eigens rechtfertigungsbedürftige Durchsuchung auslösen soll. Das muss auch für Fälle gelten, in denen die Netzwerkdurchsicht auf Datenspeicher von Dritten ausgreift. Die Problematik der Drittbetroffenheit hatte der Gesetzgeber ausweislich der Gesetzesbegründung vor Augen und hat die Zulässigkeit einer Netzwerkdurchsicht mit Berührung der Systeme Dritter nicht an die zusätzlichen Voraussetzungen des § 103 StPO knüpfen wollen.364 Mit anderen Worten: Nach der Konzeption des Gesetzgebers soll eine Netzwerkdurchsicht im Rahmen einer Durchsuchung immer möglich sein, wenn nur die Voraussetzungen des § 110 Abs. 3 S. 2 StPO erfüllt sind. Eine ursprünglich beim Verdächtigen stattfindende Durchsuchung gemäß § 102 StPO soll also nicht deshalb zu einer Durchsuchung (auch) des Dritten im Sinne des § 103 StPO werden, nur weil der angesteuerte externe Speicher auch von einem Dritten benutzt wird. Die Rechte des Dritten hat der Gesetzgeber vielmehr dadurch gewahrt gesehen, dass dieser im Falle der Sicherung der Daten gemäß § 110 Abs. 4 StPO i. V. m. § 98 Abs. 2 S. 1 StPO in Verbindung mit der vorherigen Anhörung nach § 33 Abs. 2, 3 StPO nachträglichen Rechtsschutz erhalten kann.365 Eine Anwendung des § 103 StPO widerspräche diesem Ansinnen des Gesetzgebers. Folglich gilt: Sind die Voraussetzungen des § 110 Abs. 3 S. 2 StPO erfüllt, so sind Eingriffe in die Sphäre des 362

Dazu oben Kap. 2 A.II.3. Brodowski/Eisenmenger, ZD 2014, 119 (121); LR/Tsambikakis, § 110 Rn. 8; Radtke/ Hohmann/Ladiges, § 110 Rn. 16; SK-StPO/Wohlers/Jäger, § 110 Rn. 9; Wicker, MMR 2013, 765 (767); Zerbes/El-Ghazi, NStZ 2015, 425 (429). 364 Vgl. BT-Drs. 16/5846, S. 64; BT-Drs. 16/6979, S. 45. 365 Vgl. BT-Drs. 16/6979, S. 45; krit. Heinson, IT-Forenik, 2015, S. 250 f., zur Kritik auch noch sogleich unten. 363

C. Eingriffe in Rechte Dritter

407

Dritten darüber mitlegitimiert, ohne dass zugleich auch die Voraussetzungen des § 103 Abs. 1 S. 1 StPO erfüllt sein müssen.366 Damit gilt unabhängig von der Frage, ob man § 103 StPO auch für Fälle des Mitgewahrsams für einschlägig hält, dass eine Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO, die auf einen Speicher zugreift, der auch von einem unverdächtigen Dritten benutzt wird, nicht zusätzlich den Voraussetzungen des § 103 StPO genügen muss, solange sie im Ausgangspunkt im Rahmen einer Durchsuchung beim Verdächtigen gemäß § 102 StPO stattfindet. Die Berührung der Sphäre des Dritten macht nach Konzeption des Gesetzgebers aus einer Durchsuchung beim Verdächtigen keine Durchsuchung beim Unverdächtigen im Sinne des § 103 StPO und lässt auch keine zweite solche Durchsuchung entstehen. Dass die Durchführung der Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO ohne Anordnung einer weiteren Durchsuchung – zum Beispiel eben gegenüber dem Drittbetroffenen – möglich ist, lässt sich freilich kritisieren. So wurde an der Konzeption des § 110 Abs. 3 S. 2 StPO bereits bemängelt, das im Ergebnis so ein (weiterer) Richtervorbehalt gemäß § 105 StPO umgangen werde.367 Der Schutz des § 103 StPO werde unzulässig zulasten des Dritten ausgehebelt.368 Zum Schutz des Drittbetroffenen wurde daher auch im Sinne einer Gesetzesreform gefordert, die Netzwerkdurchsicht mit Drittbezug nur dann zuzulassen, wenn die tatbestandlichen Hürden der §§ 102 ff. StPO auch gegenüber dem Dritten vorliegen.369 Kritik und Reformvorschläge überzeugen. Es ist in der Tat bedenklich, dass § 110 Abs. 3 S. 2 StPO unter Umgehung anderer Schutzvorschriften einen Eingriff in die Rechte Dritter legitimiert. Denn immerhin ist über die Netzwerkdurchsicht im Extremfall die komplette Ausforschung des Computers des Dritten möglich, und das dem Dritten gegenüber sogar heimlich370. Eine Erstreckung wenigstens der Voraussetzungen des § 103 Abs. 1 S. 1 StPO auf Fälle der Netzwerkdurchsicht, in denen auch auf Datenspeicher Dritter zugegriffen wird, erscheint daher sachgerecht. In dieser Arbeit wird aber ohnehin für eine Gesetzesreform plädiert, nach der jedwede Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO nur unter den

366 Vor Schaffung des § 110 Abs. 3 StPO forderte BGH NJW 1997, 1934 bei einem Fernzugriff außerhalb von Wohnungen auf Mailboxen im Gewahrsam Nichtverdächtiger via § 100a StPO zusätzlich eine analoge Anwendung der Schranken des § 103 Abs. 1 S. 1 StPO; unter diesem Gesichtspunkt zustimmend Palm/Roy, NJW 1997, 1904. Angesichts der neuen Gesetzeslage darf diese Entscheidung als überholt gelten. 367 Knierim, StV 2009, 206 (211 f.); LR/Tsambikakis, § 110 Rn. 8. 368 Heinson, IT-Forensik, 2015, S. 251. 369 Heinson, IT-Forenik, 2015, S. 204, 249 ff. 370 Dazu sogleich unten III.

408

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

schärferen Durchsuchungsvoraussetzungen des § 103 Abs. 1 S. 1 StPO zulässig ist.371

III. Heimlichkeit des Zugriffs gegenüber dem Dritten In der Einführung zu dieser Arbeit wurde bereits dargelegt, dass § 110 Abs. 3 S. 2 StPO auch zu heimlichen Grundrechtseingriffen ermächtigt.372 Dieser Aspekt soll nun aufgegriffen und vertieft werden, denn er hängt eng mit der Erstreckung der Netzwerkdurchsicht auf informationstechnische Systeme Dritter zusammen. Grundsätzlich ist die Netzwerkdurchsicht, ebenso wie die zugrunde liegende Durchsuchung, eine offene Maßnahme: Dem nach §§ 102 ff. StPO Durchsuchten wird die Durchsuchung und damit auch die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO grundsätzlich offengelegt, er weiß im Moment der Maßnahme, dass staatliche Ermittler seine Räumlichkeiten und Sachen, insbesondere also auch seine informationstechnischen Systeme, durchsuchen. Der Durchsuchte hat ein Anwesenheitsrecht und kann die Maßnahme daher grundsätzlich begleiten und auf ihre Rechtmäßigkeit kontrollieren.373 Der im Rahmen der Netzwerkdurchsicht betroffene Dritte hat diese Möglichkeiten aber nicht oder jedenfalls nicht in allen Fällen: Während von den Räumlichkeiten des Durchsuchten aus per Fernzugriff auf das auch vom Dritten genutzte informationstechnische System zugegriffen wird, weiß und bemerkt der Dritte in aller Regel nichts davon. Gemäß der Konzeption des Gesetzgebers ist der Dritte erst nachträglich über den Eingriff in seine Rechte in Kenntnis zu setzen, indem ihm gemäß § 33 Abs. 3 StPO rechtliches Gehör gewährt wird, bevor gemäß § 110 Abs. 4 i. V. m. § 98 Abs. 2 StPO eine richterliche Entscheidung bezüglich der während der Netzwerkdurchsicht gesicherten Daten ergeht.374 Zum einen setzt das aber voraus, dass während der Netzwerkdurchsicht überhaupt Daten (des Dritten) gemäß § 110 Abs. 3 S. 3 StPO gesichert wurden. Zum anderen kommt es hier lediglich zu einer nachträglichen Offenlegung der Maßnahme gegenüber dem Dritten. Während der Durchführung der Maßnahme wird ihm der Zugriff nicht offengelegt. Dem Dritten gegenüber wirkt die Netzwerkdurchsicht damit als heimliche Maßnahme.375 Ist der Drittbetroffene

371 S. dazu oben Kap. 2 B.X.3.b). Zu Reformvorschlägen speziell für § 110 Abs. 3 S. 2 StPO s. unten Kap. 3 D. 372 Einl. C.I. 373 Zu den Defiziten dieser Kontrollbefugnis in den Fällen der Mitnahme zur Durchsicht siehe oben Kap. 2 B.II.3. 374 BT-Drs. 16/6979, S. 45. 375 Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 413; Brodowski/ Eisenmenger, ZD 2014, 119 (125); Eisenberg, Beweisrecht, Rn. 2449b – Fn. 320; Puschke/ Singelnstein, NJW 2008, 113 (115); Sieber, Gutachten zum 69. Deutschen Juristentag, C

C. Eingriffe in Rechte Dritter

409

selbst der Beschuldigte des Verfahrens, so besteht unter den Voraussetzungen des § 110 Abs. 4 i. V. m. § 95a Abs. 1 StPO sogar die Möglichkeit, dessen Benachrichtigung auch längerfristig zurückzustellen.376 Das wirft die Frage auf, ob § 110 Abs. 3 S. 2 StPO nicht gesetzliche, das heißt tatbestandliche Vorkehrungen zum Schutz der Rechte des heimlich betroffenen Dritten fehlen. Zwar können auch bei einer regulären Durchsuchung wie überhaupt bei jeder Ermittlungsmaßnahme die Rechte Dritter berührt werden: Die Durchsuchung einer gemeinsamen Wohnung greift in das Wohnungsgrundrecht aller Bewohner ein, die Auswertung von E-Mails berührt die Privatsphäre aller Kommunikationsteilnehmer – und nicht immer sind in diesen Fällen die Drittbetroffenen über die jeweilige Maßnahme informiert, mithin können die Dritten auch hier heimlich betroffen sein. Diese heimliche, häufig kaum vermeidbare Drittbetroffenheit wird dabei grundsätzlich in Kauf genommen; dem unverdächtigen und unbeteiligten Dritten, der im Strafverfahren vor staatlichen Eingriffen grundsätzlich größtmöglichst geschont werden soll,377 wird insoweit ein Sonderopfer378 abverlangt.379 Die Netzwerkdurchsicht geht aber über eine nur punktuelle, zufällige Berührung der Rechte Dritter hinaus. Sie erlaubt vielmehr, das vom

114; Singelnstein, NStZ 2012, 593 (598); Warken, NZWiSt 2017, 329 (338); Zerbes/ElGhazi, NStZ 2015, 425 (429); krit. auch LR/Tsambikakis, § 110 Rn. 8; Marberth-Kubicki, Computerstrafrecht, Rn. 462. Vgl. auch BVerfGE 122, 63 (79 f.), wobei das BVerfG die Heimlichkeit zum einen durch die nachträgliche Benachrichtigung des Dritten kompensiert sieht, zum anderen einen Unterschied zu anderen heimlichen Ermittlungsmaßnahmen zieht, diesen Unterschied aber – bis auf einen knappen Verweis auf die im Vergleich kurze zeitliche Verzögerung der Benachrichtigung – nicht weiter ausführt. Der Verweis auf die nur kurze zeitliche Verzögerung der Benachrichtigung trägt in den Fällen des neuen § 110 Abs. 4 i. V. m. § 95a StPO, der unter bestimmten Voraussetzungen die Zurückstellung der Benachrichtigung des Beschuldigten vorsieht, ohnehin nicht mehr. Siehe zu § 95a StPO bereits oben Einl. C.IV. 376 Siehe dazu bereits oben Einl. C.IV. 377 Vgl. Lammer, Verdeckte Ermittlungen, 1992, S. 186. Zu diesem Grundsatz auch Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 96 ff., 310 ff., 350 ff. mit Nachweisen und Kritik. Eckstein plädiert im Ergebnis statt Beibehaltung dieses abstrakten Grundsatzes für eine Anwendung des Verhältnismäßigkeitsgrundsatzes bei Inanspruchnahme bzw. Eingriffen zu Lasten Dritter unter Aufgabe der pauschalen Ungleichbehandlung von Beschuldigten einerseits und unverdächtigen Dritten andererseits, S. 359 ff., S. 533 f.; vgl. auch Köhler, ZStW 107 (1995), 10, 22 ff. 378 Bock/Marlie, FS Ostendorf 2015, 89. Gängig ist auch die Bezeichnung „Aufopferung“ bzw. „Aufopferungspflicht“, s. Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 308 f.; eine solche Pflicht trifft den Beschuldigten aber grundsätzlich ebenso, denn auch er muss Eingriffe in seine Grundrechte dulden, s. Köhler, ZStW 107 (1995), 10, 21 ff. 379 So ist für die Online-Durchsuchung in § 100b Abs. 3 S. 3 StPO ausdrücklich geregelt, dass die Maßnahme auch dann durchgeführt werden darf, wenn andere Personen unvermeidbar mitbetroffen werden.

410

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

IT-Grundrecht geschützte informationstechnische System eines Dritten per Fernzugriff vollständig auszulesen, also in eine eigene geschützte Sphäre des Dritten einzudringen, und das sogar ohne dessen Wissen. Der heimliche Eingriff in ein geschütztes informationstechnisches System ohne Wissen des Betroffenen ist ein Ausforschungseingriff, für den der Gesetzgeber in § 100b StPO aus gutem Grund hohe rechtliche Hürden aufgestellt hat. Mit anderen Worten: Das, was in § 100b StPO unter dem Namen Online-Durchsuchung nur unter sehr restriktiven Voraussetzungen und nur zur Aufklärung bestimmter Tatvorwürfe zulässig sein soll, erscheint zulasten unbeteiligter Dritter über § 110 Abs. 3 S. 2 StPO ohne Weiteres möglich, solange nur die Voraussetzungen einer Durchsuchung gemäß §§ 102 ff. StPO vorliegen (und das nicht einmal gegenüber dem Dritten selbst)380 und gemäß § 110 Abs. 3 S. 2 StPO der Verlust der Daten zu befürchten ist381. Zwischen den Voraussetzungen einer Online-Durchsuchung gemäß § 100b Abs. 1, Abs. 2 StPO einerseits und einer Netzwerkdurchsicht zulasten des unbeteiligten, unwissenden Dritten gemäß § 110 Abs. 3 S. 2 StPO andererseits besteht somit eine deutliche Diskrepanz.382 Diese Diskrepanz wird sogar noch dadurch vergrößert, dass § 100b Abs. 3 S. 2 StPO für die Online-Durchsuchung auf informationstechnischen Systemen nicht beschuldigter Dritter erhöhte Voraussetzungen aufstellt, die Drittbetroffenheit also auch tatbestandlich besonders berücksichtigt, was in § 110 Abs. 3 S. 2 StPO hingegen nicht vorgesehen ist. Die Diskrepanz zwischen den tatbestandlichen Hürden von OnlineDurchsuchung einerseits und Netzwerkdurchsicht andererseits lässt sich nicht alleine damit erklären oder rechtfertigen, dass bei der Online-Durchsuchung im Gegensatz zur Netzwerkdurchsicht eine Spionagesoftware auf dem Zielsystem installiert wird. Zwar bewirkt die Installation einer Spionagesoftware auf dem Zielsystem einen zusätzlichen Eingriff in die Integrität des Systems, die als eine Komponente des IT-Grundrechts gesondert geschützt ist.383 Sein besonderes Gewicht erhält der Eingriff aber vor allem durch den massiven Eingriff in die Vertraulichkeit des Systems und damit die Privatsphäre des Betroffenen, dadurch dass die Ermittler massenhaft personenbezogene Daten erheben. Diesen Umstand und dieses Eingriffsgewicht teilen beide Maßnahmen; die massive Beeinträchtigung der Privatsphäre des Betroffenen liegt sowohl bei der Online-Durchsuchung als auch bei der Netzwerkdurchsicht gleichermaßen vor.384 Der Gesetzgeber unterscheidet damit im Ergebnis zwischen verschiedenen Formen der Heimlichkeit, oder besser gesagt, er berücksichtigt die Heimlich380

S. dazu oben Kap. 3 C.II. Zum Inhalt dieses Merkmals s. oben Kap. 3 A.III. 382 Vgl. auch Heinson, IT-Forensik, 2015, S. 252. 383 Dazu oben Kap. 2 B.III.2.c)cc). 384 Ausf. dazu oben Kap. 2 B.III.2.bb) und cc). 381

C. Eingriffe in Rechte Dritter

411

keit von Maßnahmen nur in bestimmten Konstellationen in besonderer Weise. Bei der Online-Durchsuchung gemäß § 100b StPO sah der Gesetzgeber einen echten Fall der Heimlichkeit gegeben, und hat sich, insbesondere vor dem Hintergrund des Online-Durchsuchungs-Urteils des BVerfG, bei Schaffung der Eingriffsgrundlage mit der Heimlichkeit der Maßnahme auseinandergesetzt.385 In der Netzwerkdurchsicht sah der Gesetzgeber bei Schaffung des § 110 Abs. 3 S. 2 StPO dagegen keine echte heimliche Ermittlungsmaßnahme: Zwar wird sowohl in der Gesetzbegründung der Bundesregierung als auch in der Änderungsbegründung des Rechtsausschusses zugestanden, dass über § 110 Abs. 3 S. 2 StPO auch informationstechnische Systeme Dritter ohne deren Wissen ausgeforscht werden können. Der Gesetzgeber bewertet Zugriffe dieser Art aber dennoch nicht als heimliche Online-Durchsuchungen. Das wurde im Gesetzentwurf der Bundesregierung auf Basis der älteren Entwurfsfassung des § 110 Abs. 3 StPO-E aus dem Jahr 2007 damit begründet, dass der Datenzugriff beschränkt sein sollte auf Fälle, in denen der Durchsuchte zum Zugriff auf die Daten des externen Systems berechtigt ist.386 Das Tatbestandsmerkmal der Zugriffsberechtigung wurde in der Gesetz gewordenen Fassung des § 110 Abs. 3 StPO aufgegeben;387 wie diese Beschränkung die heimliche Betroffenheit des Dritten irgendwie hätte beseitigen oder mindern sollen, bleibt ohnehin unklar. Offenbar sah der Gesetzgeber in dieser Konstellation die Berührung der Rechte des unwissenden Dritten als nicht gravierend genug an, um § 110 Abs. 3 S. 2 StPO wie eine Ermächtigung zu heimlichen Maßnahmen vergleichbar den §§ 100a ff. StPO zu behandeln. In der Änderungsbegründung des Rechtausschusses schließlich, bezugnehmend auf die Entwurfsfassung des § 110 Abs. 3 StPO-E, wie sie letztlich im Jahr 2008 auch Gesetz geworden ist, wird damit argumentiert, dass dritte Inhaber ausgeforschter informationstechnischer Systeme über §§ 33 Abs. 2, Abs. 3, 98 Abs. 2 StPO nachträglichen Rechtsschutz erhalten können, wodurch ihre Rechte gewahrt seien.388 Auch das beseitigt die Heimlichkeit des Zugriffs im Moment der Maßnahme zwar nicht, war für den Gesetzgeber aber Grund genug, um § 110 Abs. 3 StPO nicht als Ermächtigungsgrundlage zu (auch) heimlichen Grundrechtseingriffen einzuordnen. An dieser Einordnung hält der Gesetzgeber bis heute im Grundsatz fest, obwohl mit § 110 Abs. 4 i. V. m. § 95a Abs. 1 StPO die Möglichkeit geschaffen wurde, unter bestimmten Voraussetzungen den drittbetroffenen Beschuldigten auch für längere Zeit nicht über die Maßnahme zu informieren.389 385

Vgl. BT-Drs. 18/12785, S. 54. BT-Drs. 16/5846, S. 64. 387 Zur Genese des § 110 Abs. 3 StPO ausführlich oben Einl. C. 388 BT-Drs. 16/6979, S. 45; aufgegriffen von BVerfGE 122, 63 (79 f.). 389 Vgl. BT-Drs. 19/27654, S. 74. Siehe zur Bedeutung des § 95a StPO bereits oben Einl. C.IV. 386

412

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Die Argumentationsweise, mit der der Gesetzgeber zwischen Fällen echter und unechter Heimlichkeit differenziert, oder, genauer gesagt, die heimlichen Eingriffswirkungen einer Netzwerkdurchsicht relativiert, überzeugt zwar nicht. In der Sache lässt sich aber gleichwohl ein Unterschied feststellen zwischen dem heimlichen Vorgehen bei einer Online-Durchsuchung gemäß § 100b StPO und der heimlichen Eingriffswirkung zulasten des Dritten bei einer Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO.390 Zwar ist der betroffene Dritte bei einer Netzwerkdurchsicht, die aus der Ferne auf sein informationstechnisches System zugreift, in seiner eigenen Person nicht weniger heimlich betroffen als es bei einer Online-Durchsuchung nach § 100b StPO der Fall wäre. Aber immerhin dem Durchsuchten gegenüber wird die Maßnahme offengelegt. Die Maßnahme gelangt somit zur Kenntnis wenigstens einer anderen, nicht bei den Ermittlungen mitwirkenden Person und findet somit nicht mehr völlig im Verborgenen statt. Die Ermittler legen es hier in der Regel also nicht darauf an, ihr Ermittlungshandeln insgesamt zu verbergen, sie dürfen es auch nicht. Entscheidend bei dieser Differenzierung zwischen einer echten, das heißt vollständig heimlichen Maßnahme und einer grundsätzlichen offenen Maßnahme mit heimlichen Nebenwirkungen sollte sein, ob wenigstens eine Person Kenntnis von der Maßnahme erhält, die nicht auf staatlicher Seite steht oder für den Staat als Erfüllungsgehilfe tätig wird. Denn irgendwelche Personen erfahren bei Durchführung einer Ermittlungsmaßnahme immer und notwendigerweise von selbiger. Das sind zum einen die Ermittlungsbeamten selbst, deren Handeln samt Kenntnis der Ermittlungsmaßnahme allerdings dem Staat zuzuordnen ist, sodass die Maßnahme weiterhin als heimlich zu bewerten ist – sähe man dies anders, so gäbe es überhaupt keine Ermittlungsmaßnahmen, die noch als heimlich eingestuft werden könnten. Zum anderen werden je nach Ermittlungsmaßnahme auch Private notwendigerweise Kenntnis von den Ermittlungen erlangen. Das wird besonders deutlich bei den nach der Telekommunikations-Überwachungsverordnung (TKÜV) zur Mitwirkung von Überwachungsmaßnahmen verpflichteten Kommunikationsdienstleistern: Diese erhalten bei bei Durchführung etwa einer Telekommunikatonsüberwachung nach § 100a StPO notwendigerweise Kenntnis von der Maßnahme, sodass der Staat hierbei nicht komplett im Verborgenen ermittelt.391 Sie sind bei der Überwachung aber als Erfüllungsgehilfen des 390 Diesen Unterschied zu anderen heimlichen Ermittlungsmaßnahmen sieht auch BVerfGE 122, 63 (79 f.). Das Gericht begründet die Unterscheidung aber nicht ausführlich und begnügt sich mit einem kurzen Verweis auf die bei § 110 Abs. 3 (S. 2) StPO vergleichsweise kurze Verzögerung bis zur Benachrichtigung des heimlich betroffenen Dritten. Diese Zeitspanne bis zur Benachrichtigung kann aber mittlerweile in den Fällen des § 95a StPO über § 110 Abs. 4 StPO auf mehrere Monate verlängert werden. Dadurch verliert die vom BVerfG präsentierte Argumentation weiter an Durchschlagskraft. 391 BVerfGE 130, 151 (196) sieht daher auch in der Wahrnehmung, also Kenntnisnahme

C. Eingriffe in Rechte Dritter

413

Staates tätig (vgl. § 100 Abs. 4 S. 1 StPO) und gemäß § 15 TKÜV zur Verschwiegenheit verpflichtet. Auch sie stehen damit auf Seiten des Staates.392 Ihre Kenntnis von der Überwachung kann die Heimlichkeit der Maßnahme also auch nicht beseitigen – denn sonst müsste eine Telekommunikationsüberwachung nach § 100a StPO als nicht heimliche, mithin offene Maßnahme eingestuft werden.393 Der Durchsuchte bei einer Netzwerkdurchsicht mit Drittbetroffenheit gemäß § 110 Abs. 3 S. 2 StPO steht dagegen nicht auf Seiten des Staates, er ist nicht Erfüllungsgehilfe der Ermittlungsbehörden und von diesen – grundsätzlich394 – nicht besonders zur Mitwirkung verpflichtet. Erhält der Durchsuchte also Kenntnis davon, dass die Ermittlungsmaßnahme, die ihn selbst betrifft, gleichzeitig auch Dritte betrifft, so erlangt mit ihm jemand Kenntnis von der Maßnahme, der nicht auf Seiten des Staates steht und ihm verpflichtet ist, sondern der als Bürger von außen das staatliche Handeln kontrollieren und auf seine Rechtmäßigkeit hin überprüfen kann. Das ist der Unterschied zu den echten heimlichen Maßnahmen nach §§ 100a ff. StPO, insbesondere einer Online-Durchsuchung gemäß § 100b StPO. Die Netzwerkdurchsicht, die beim Durchsuchten ihren Ausgang nimmt und dabei auf das informationstechnische System des Dritten zugreift, hat also, im Gegensatz zur Online-Durchsuchung, „Hybrid-Charakter“.395 Die Maßnahme erfolgt ohne Kenntnis des Dritten und ihm gegenüber damit heimlich, der Durchsuchte aber kann die Maßnahme offen beobachten. Der Durchsuchte hat somit faktisch die Möglichkeit, die Maßnahme stellvertretend für den heimlich betroffenen Dritten zu begleiten und auf ihre Rechtmäßigkeit zu überprüfen, zumal er – im Gegensatz zu Telekommunikationsdienstleistern bei einer Überwachung nach § 100a StPO – nicht zur Mitwirkung bei der Ausforschung verpflichtet ist, da er es ja zeitgleich selbst ist, der Ziel der Ausforschung durch den Staat ist. Der Durchsuchte mit Kenntnis der Maßnahme kann somit als „potentielles Kontrollsubstitut“ zugunsten des heimlich betroffenen Dritten tätig werden.396 In dieser Funktion ist der Durchsuchte vergleichbar mit einer zur Beobachtung der Durchsuchung herangezogenen Person im Sinne des § 106 Abs. 1 S. 2 StPO. Ein solcher Zeuge im Rahmen einer Durchsuchung soll bei Abwesenheit des von der Durchsuchung Betroffenen ebenso die Durchführung der Durchsuchung kontrollieren und die

der Ermittlungsmaßnahme durch zur Mitwirkung verpflichtete Telekommunikationsunternehmen „Hemm- und Kontrollwirkungen“ gegenüber den ermittelnden Behörden. 392 Eckstein, Ermittlungen zu Lasten Dritter, 2013, S. 82 f. spricht hierbei von einer „Indienststellung“ Privater durch den Staat. 393 Bunzel, Zugriff auf IT-Systeme, 2015, S. 375. 394 Zur Ausnahmeregelung des § 110 Abs. 4 i. V. m. § 95a Abs. 6 StPO sogleich unten. 395 Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 178. 396 Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 178.

414

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Interessen des Durchsuchten vertreten.397 Gemäß der Konzeption des Gesetzgebers wird die Durchsuchung damit trotz Abwesenheit des Durchsuchten nicht zu einer heimlichen Maßnahme, sondern bleibt eine offene Maßnahme.398 Dieser Gedanke des § 106 Abs. 1 S. 2 StPO ist auf den Fall, dass bei einer Durchsuchung ein informationstechnisches System eines Dritten gemäß § 110 Abs. 3 S. 2 StPO ausgeforscht wird, im Grundsatz übertragbar: Auch hier kann der Durchsuchte als Zeuge des Eingriffs in die Rechte des Dritten tätig werden und ist zumindest potentiell in der Lage, die Interessen des Dritten zu vertreten. Ein Unterschied zwischen dem Durchsuchten bei der Netzwerkdurchsicht mit Drittbetroffenheit und der herbeigezogenen Person nach § 106 Abs. 1 S. 2 StPO ist allerdings, dass die Person nach § 106 Abs. 1 S. 2 StPO gänzlich unbeteiligt am Strafverfahren ist, also keine eigenen Interessen zu wahren hat, während der Durchsuchte bei der Netzwerkdurchsicht in eigener Person Adressat einer Ermittlungsmaßnahme ist, in den Fällen des § 102 StPO sogar selbst der Beschuldigte ist und damit in erster Linie eigene Interessen wahrzunehmen hat. Die Wirksamkeit dieses Kontrollsubstituts, also des Durchsuchten als Wahrer der Rechte des Dritten, ist eher fraglich. Einzig dadurch, dass ein anderer die Maßnahme offen beobachten kann, werden die Rechte des Dritten nicht zwangsläufig effektiv geschützt. Bei der Netzwerkdurchsicht liegt das zum einen daran, dass das bloß äußerliche Beobachten der Durchsicht nicht immer geeignet ist, einen aussagekräftigen Einblick in den Umfang der Maßnahme und in den Umfang und die Qualität der gesichteten Daten zu erhalten. Elektronisch gespeicherte Daten sind, im Gegensatz zu Aktenordnern, Rechnungen und anderen physischen Objekten, nicht äußerlich sichtbar. Ob die Ermittler bei der Durchsicht also nur zwei nicht besonders persönlichkeitsrelevante Textdokumente des Dritten sichten oder eine umfangreiche Datensammlung aus Texten, Fotos, Videos und Chatprotokollen, die tiefgreifende Rückschlüsse auf die Persönlichkeit des Dritten ermöglichen, ist für den Beobachter der Maßnahme nicht immer und sofort einzuschätzen. Die (Persönlichkeits-)Relevanz der erhobenen Daten ist während der Maßnahme üblicherweise nicht einmal für die Ermittler selbst bis ins letzte Detail ersichtlich, da die detaillierte Auswertung der erhobenen Daten häufig erst nach einer vorläufigen Sicherung des gesamten Datensatzes erfolgen wird. Von außen beobachtbar ist hier also lediglich ein abstrakter Kopiervorgang.399 Bei diesem Vorgehen hat der beobachtende Durchsuchte sowohl hin397

LR/Tsambikakis, § 106 Rn. 7; MüKo-StPO/Hauschild, § 106 Rn. 9; SK-StPO/Wohlers/Jäger, § 106 Rn. 13. 398 Vgl. Bunzel, Zugriff auf IT-Systeme, 2015, S. 376; s. auch Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 7 f., der hier keinen heimlichen, sondern einen davon zu unterscheidenden „unbemerkten“ Eingriff sieht. 399 Vgl. von zur Mühlen, Zugriffe auf elektronische Kommunikation, 2019, S. 372; s. zu dieser Problematik auch oben Kap. 2 B.II.3.

C. Eingriffe in Rechte Dritter

415

sichtlich seiner eigenen Daten, als auch und erst recht hinsichtlich der Daten des Dritten nur wenig Einfluss auf die Durchführung der Maßnahme. Zum anderen ist das Kontrollsubstitut nur ein „potentielles“. Selbst unter Annahme der technischen Möglichkeit und des nötigen technischen und rechtlichen Wissens des Beobachters zur Kontrolle der Maßnahme ist es nicht in jedem Fall so, dass der Beobachter diese Kontrollfunktion überhaupt wahrnehmen kann oder will. Die Beziehung, in der der durchsuchte Beobachter zum Dritten steht, kann von Fall zu Fall unterschiedlich ausgeprägt sein. Von einem engen freundschaftlichen oder kollegialen Verhältnis bis hin zu einer anonymen Zweckgemeinschaft bei Nutzung eines gemeinsamen Datenspeichers sind hier viele Konstellationen denkbar. Je nach Ausgestaltung dieser Beziehung sind auch Wille und Möglichkeit des Beobachters zur effektiven Kontrolle der Maßnahme zugunsten des Dritten verschieden konstruiert. Bei einer gemeinsamen Nutzung eines informationstechnischen Systems zu zweit wird das Verhältnis der beiden Nutzer typischerweise eher als Grundlage dafür taugen, dass die Nutzer gegenüber staatlichen Ermittlungsmaßnahmen zum Schutz des jeweils anderen auftreten. Das ist vergleichbar mit einer gemeinsam bewohnten Wohnung oder einer Wohngemeinschaft, bei der die einzelnen Beteiligten eher ein Interesse daran haben werden, den staatlichen Ermittlungsdrang auch zugunsten anderer zu begrenzen und den unwissenden, heimlich betroffenen Dritten vor der Maßnahme zu schützen (und ihn über die Maßnahme zu informieren). Ein informationstechnisches System kann aber auch von mehreren Personen gemeinsam benutzt werden, die sich gegenseitig möglicherweise nicht einmal genug kennen, um effektiv für den gegenseitigen Schutz der Rechte eintreten zu können oder zu wollen. Bei einem derart losen Geflecht aus mehreren Nutzern wird sich der Beobachter der Maßnahme typischerweise viel weniger stark dazu aufgerufen sehen, die Ermittlungsmaßnahmen zugunsten einer Vielzahl von Drittbetroffenen zu kontrollieren und einzudämmen. Nicht zuletzt ist der Durchsuchte – im Gegensatz zu einer Person nach § 106 Abs. 1 S. 2 StPO – selbst von der Ermittlungsmaßnahme betroffen und häufig sogar der Beschuldigte des Strafverfahrens, sodass es ihm bei Kontrolle und Beobachtung der Netzwerkdurchsicht primär darauf ankommen wird, seine eigenen Rechte zu wahren. Sein Interesse, zugleich auch die Rechte Dritter zu wahren, wird dabei, wenn überhaupt vorhanden, nur sekundär sein und wird im Bedarfsfall hinter den eigenen Interessen zurücktreten. Hinzu kommt, dass durch das Gesetz zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften vom 25. Juni 2021400 in § 110 Abs. 4 i. V. m. § 95a Abs. 6 StPO die Möglichkeit geschaffen wurde, in der Konstellation des § 103 StPO dem nichtverdächtigen Betroffenen der

400

BGBl. 2021 I, S. 2099.

416

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Durchsuchung bzw. Durchsicht gegenüber anzuordnen, dass er dem (unwissenden, heimlich betroffenen) Beschuldigten gegenüber die Maßnahme einer vorläufigen Datensicherung gemäß § 110 Abs. 3 S. 3 StPO nicht offenbaren darf, sofern unter den Voraussetzungen des § 110 Abs. 4 i. V. m. § 95a Abs. 1 StPO eine Zurückstellung der Benachrichtigung des Beschuldigten angeordnet wurde.401 Mit anderen Worten kann der nichtverdächtige Maßnahmeadressat in den Fällen, in denen dem Beschuldigten die Ermittlungen bis auf Weiteres unter den Voraussetzungen des § 95a Abs. 1 StPO verheimlicht werden sollen, ebenfalls besonders zur Verschwiegenheit verpflichtet werden, und dieses Offenbarungsverbot kann gemäß § 95a Abs. 7 i. V. m. § 95 Abs. 2 S. 1 und § 70 StPO sogar per Ordnungsgeld und Ordnungshaft zwangsweise durchgesetzt werden. Die Nähe dieser Verpflichtung zur (oben bereits erwähnten) Verschwiegenheitspflicht des Telekommunikationsdienstleisters gemäß § 15 TKÜV hat der Gesetzgeber hierbei durchaus gesehen, das Offenbarungsverbot hiervon aber dadurch abzugrenzen versucht, dass das Offenbarungsverbot gemäß § 95a Abs. 6 S. 1 StPO nicht automatisch gilt, sondern nur im Einzelfall unter Würdigung aller Umstände und Abwägung der Interessen der Beteiligten angeordnet werden kann.402 Der unverdächtige Dritte befindet sich in diesen Fällen aber dennoch nicht mehr in der Rolle eines gewöhnlichen Bürgers, sondern wird vom Staat besonders verpflichtet. Dadurch wird die Position des unverdächtigen Dritten, der im Normalfall die Rechte des Beschuldigten aktiv wahrnehmen könnte, zusätzlich geschwächt. Ein realer, effektiver Schutz der Rechte des Dritten besteht also längst nicht in allen Fällen, in denen der Durchsuchte die Maßnahme beobachten kann. Im Einzelfall kann der durch den heimlichen Zugriff auf die Daten bewirkte Kontrollverlust beim Dritten unverändert groß sein. Nichtsdestotrotz markiert der Umstand, dass die Rechte des Dritten zumindest potentiell durch den offenen Beobachter der Maßnahme geschützt werden können, einen bedeutsamen Unterschied in der Bewertung der Maßnahme. Wenn immerhin ein nicht in den Diensten der Ermittlungsbehörden stehender Betroffener von der Maßnahme Kenntnis erhält, so handelt der Staat nicht mehr völlig im Verborgenen. Zwar ist damit, wie oben dargelegt, nicht immer gesagt, dass der offen von der Maßnahme Betroffene die Rechte auch aller anderen, heimlich Drittbetroffenen schützen wird. Aber immerhin ist das staatliche Eingriffshandeln überhaupt offen zutage getreten und ist durch wenigstens einen Bürger kontrollierbar, der nicht auf Seiten des Staates steht oder bei der Maßnahme als dessen Erfüllungsgehilfe tätig wird. Die Ermittlungshandlung mag sich dann zwar den einzelnen Betroffenen gegenüber

401

Zur Regelung des § 110 Abs. 4 i. V. m. § 95a StPO insgesamt ausführlich oben Einl.

C.IV. 402

BT-Drs. 19/27654, S. 66.

C. Eingriffe in Rechte Dritter

417

noch als heimlich vollziehen. Die Handlung wird aber nicht insgesamt und gegenüber jedem Außenstehenden gezielt verheimlicht. Die Heimlichkeit zulasten des Dritten ist hierbei also weniger beabsichtigt, sondern vielmehr eine Nebenwirkung der Ermittlungsmaßnahme. Dadurch erlangt der Dritte zwar nicht in eigener Person die Kontrolle über seine Daten oder die Möglichkeit der Überprüfung der Rechtmäßigkeit der Maßnahme noch während ihrer Durchführung zurück. Wohl aber sind die staatlichen Stellen in ihrer Machtausübung dadurch eingeschränkt, dass sie überhaupt von jemandem bei ihrem Handeln beobachtet und kontrolliert werden können.403 Der Staat kann in diesen Fällen nicht mehr völlig ungesehen und ungehemmt die Daten seiner Bürger ausspionieren – wie es dagegen bei einer vollständig im Verborgenen stattfindenden Online-Durchsuchung gemäß § 100b StPO möglich wäre. Dieser Unterschied im Machtpotential der Strafverfolgungsbehörden kann es rechtfertigen, eine „hybride“ offene und gleichzeitig heimliche Maßnahme weniger strengen Voraussetzungen zu unterstellen als eine rein heimliche, also komplett im Verborgenen stattfindende Maßnahme. Diese Unterscheidung zugrunde gelegt, darf die Heimlichkeit des Zugriffs aus Perspektive des Dritten aber dennoch nicht verharmlost werden. Der Kontrollverlust für den Dritten kann im Einzelfall auch trotz offener Beobachtung der Maßnahme durch den Durchsuchten hoch sein. Die Möglichkeiten zur Kontrolle und zur Eindämmung der Maßnahme sind auch hier eingeschränkt. Der Schutz der Privatsphäre des Dritten ist auch bei einem aktiv kontrollierenden Beobachter in der Regel nicht genauso gewährleistet wie bei einer Kenntnisnahme und Beobachtung durch den Dritten in eigener Person. Eine vollständige Gleichsetzung der Netzwerkdurchsicht, die dem potentiellen Kontrollsubstitut durch den Beobachter zum Trotz das informationstechnische System des Dritten vollständig und heimlich ausspäht, mit einer Maßnahme, die auch dem Dritten gegenüber offen durchgeführt wird, ist nicht gerechtfertigt. Mit anderen Worten: Die heimliche Eingriffswirkung zulasten des Dritten wird nicht vollständig dadurch kompensiert, dass die Maßnahme jemand anderem gegenüber offen durchgeführt wird. Die Aufgabe, die Grundrechte unbeteiligter, unverdächtiger Dritter zu schützen, darf daher nicht vollständig auf andere private Beobachter im Sinne potentieller Kontrollsubstitute abgewälzt werden. Der Staat kann sich nicht darauf zurückziehen, dass der Grundrechtseingriff wenigstens irgendjemandem gegenüber offen erfolgt, mit der Folge, dass die Heimlichkeit des Eingriffs zulasten des Dritten dadurch kompensiert wäre. Vielmehr hat der Staat vorrangig selbst dafür Sorge zu tragen, dass unverdächtige Dritte von Grundrechtseingriffen möglichst verschont bleiben.404 Ein möglicher Über403 Vgl. BVerfGE 130, 151 (196): „Hemm- und Kontrollwirkungen“, aufgegriffen von Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 178. 404 Vgl. BVerfGE 115, 320 (362 f.).

418

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

schuss an Grundrechtseingriffen zulasten Dritter, zumal, wenn sie ohne Kenntnis des Dritten erfolgen und daher nicht von diesem selbst kontrolliert und begrenzt werden können und dieser sein aktuelles Verhalten auch nicht an den Eingriffsmaßnahmen ausrichten kann, ist durch gesetzliche Schutzvorkehrungen zu verhindern, und wenn das nicht geht, wenigstens zu begrenzen. Auf die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO bezogen bedeutet das, dass die Möglichkeit heimlicher Eingriffe in informationstechnische Systeme Dritter tatbestandlich abzubilden und einzuhegen ist, um die fehlende Offenheit der Maßnahme gegenüber dem Dritten wenn nicht zu verhindern, dann doch zumindest zu begrenzen und ggf. zu kompensieren. Wenn nach dem Willen des Gesetzgebers durch § 110 Abs. 3 S. 2 StPO keine heimliche Online-Durchsuchung ermöglicht werden soll,405 dann muss sich dieser Wille auch im Gesetz in Form von Schutzvorschriften zugunsten des Dritten niederschlagen; und für Fälle, in denen es zu heimlichen Eingriffen kommen kann, müssen gesetzliche Regelungen getroffen werden, statt lediglich auf die nachträgliche Benachrichtigung des Dritten zu verweisen. Da die Netzwerkdurchsicht aus Perspektive des Dritten einer heimlichen OnlineDurchsuchung gleichkommen kann, bietet es sich an, wenigstens die Schutzvorschriften zugunsten des Dritten aus § 100b Abs. 3 S. 2 StPO auf die Netzwerkdurchsicht zu übertragen, insbesondere also die Subsidiaritätsklausel in § 100b Abs. 3 S. 2 Nr. 2 StPO, nach der ein Eingriff in das informationstechnische System des nicht beschuldigten, unverdächtigen Dritten nur zulässig ist, wenn auf Grund bestimmter Tatsachen anzunehmen ist, dass die Durchführung des Eingriffs in informationstechnische Systeme des Beschuldigten allein nicht zur Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsortes eines Mitbeschuldigten führen wird.406

IV. Zwischenergebnis Die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO ermöglicht tiefgreifende Eingriffe in die Rechte Dritter. Bei einer gemeinsamen Nutzung eines informationstechnischen Systems (zum Beispiel eines Cloud-Speichers) durch den Durchsuchten und den Dritten greift die Netzwerkdurchsicht dieses Systems insbesondere in das IT-Grundrecht des Dritten ein.407 Auch ein Eingriff in das Fernmeldegeheimnis aus Art. 10 GG erscheint möglich.408 Jedenfalls ermöglicht die Netzwerkdurchsicht eine umfassende Ausforschung

405

So ausdrücklich BT-Drs. 16/5846, S. 64; BT-Drs. 16/6979, S. 45. Zu diesem Reformvorschlag noch unten Kap. 3 D.IV. 407 Kap. 3 C.I.2. 408 Kap. 3 C.I.3. 406

D. Reformvorschläge

419

des auch vom Dritten genutzen Systems und damit tiefgehende Einblicke in die Persönlichkeit des Dritten. Hinzu kommt, dass die Durchsicht des Systems von den Räumlichkeiten des Durchsuchten aus erfolgt und der Dritte keine Kenntnis von der Durchsicht erlangt. Die dem Durchsuchten gegenüber offen durchgeführte Maßnahme erscheint aus Perspektive des Dritten damit als heimliche Ausforschung seines geschützten informationstechnischen Systems.409 Die Netzwerkdurchsicht nähert sich damit einer heimlichen Online-Durchsuchung nach Art von § 100b StPO an, teilt de lege lata aber nicht die dafür geregelten strengen Tatbestandsvoraussetzungen.

D. Reformvorschläge zur Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO Die vorangegangene Untersuchung hat sich auf die spezifischen rechtlichen Probleme rund um die Anwendung des § 110 Abs. 3 S. 2 StPO konzentriert. Aus den gefundenen Ergebnissen sollen im Folgenden Aussagen zur Reformbedürftigkeit des § 110 Abs. 3 S. 2 StPO abgeleitet werden. Die Reformvorschläge bauen dabei auf den bezüglich § 110 Abs. 3 S. 1 StPO gewonnenen Ergebnissen410 auf: Die Vorschläge z. B. zur expliziten Regelung zum Schutz des Kernbereichs privater Lebensgestaltung411, zur ausdrücklichen Regelung der Mitnahme zur Durchsicht412 oder zu Löschpflichten413 beanspruchen für § 110 Abs. 3 S. 2 StPO als Spezialfall zu § 110 Abs. 3 S. 1 StPO in gleicher Weise Geltung. In vielerlei Hinsicht besteht kein Unterschied zwischen der Durchsicht lokaler informationstechnischer Systeme und der Durchsicht externer informationstechnischer Systeme. Deshalb können die zu § 110 Abs. 3 S. 1 StPO angestellten Reformüberlegungen grundsätzlich alle auf § 110 Abs. 3 S. 2 StPO übertragen werden. Es gibt aber dennoch einige Besonderheiten der Netzwerkdurchsicht, die zusätzliche Reformvorschläge bedingen.414 Um diese soll es in den folgenden Abschnitten gehen.

409

Kap. 3 C.III. Oben Kap. 2 B.X. 411 Kap. 2 B.X.4.; s. aber auch noch unten Kap. 3 D.VI. 412 Kap. 2 B.X.3.d). 413 Kap. 2 B.X.7. 414 Im Lichte des IT-Grundrechts sieht hier auch Böckenförde, JZ 2008, 925 (930 f.; 935) Reformbedarf; Heinson, IT-Forensik, 2015, S. 252 bewertet die Befugnis zur Netwerkdurchsicht in § 110 Abs. 3 StPO als „verfassungsrechtlich bedenklich“. 410

420

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

I. Grundrechtssensitivität: Zusammenfassung der Probleme Die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO greift ebenso wie ihr rein lokales Pendant aus § 110 Abs. 3 S. 1 StPO insbesondere in das IT-Grundrecht des Systemnutzers ein.415 § 110 Abs. 3 S. 2 StPO ermöglicht im Vergleich das Abschöpfen noch größerer Datenmengen, da hier nicht nur die am Ort der Durchsuchung lokal befindlichen Systeme, sondern potentiell sämtliche vernetzten Systeme und Speicher des Beschuldigten ausgelesen werden können. Mit anderen Worten werden bei der Netzwerkdurchsicht nicht nur ein, sondern mindestens zwei geschützte informationstechnische Systeme des Durchsuchten durchgesehen. Das allein illustriert bereits den Machtzuwachs der Ermittlungsbehörden einerseits und die wachsende Intensität des Eingriffs in die Privatsphäre des Beschuldigten andererseits. Die Möglichkeit, ein detailliertes Bild über die Persönlichkeit des Beschuldigten bis hin zu einem Persönlichkeitsprofil zu erhalten, besteht vor diesem Hintergrund umso mehr. Hinzu kommt, dass die Ermittlungsbehörden auf Grundlage des § 110 Abs. 3 S. 2 StPO auf durch Art. 10 GG geschützte Kommunikationsinhalte zugreifen können, was insbesondere beim Fernzugriff auf E-Mail-Konten des Beschuldigten der Fall ist.416 Dadurch erhöht sich die potentielle Streubreite417 der Maßnahme, denn hierbei wird regelmäßig auch in das Fernmeldegeheimnis der anderen Kommunikationsteilnehmer eingegriffen. Dadurch kann eine Vielzahl von am konkreten Strafverfahren unbeteiligten Personen durch die Ermittlungsmaßnahme betroffen werden. Darüber hinaus ermöglicht § 110 Abs. 3 S. 2 StPO den Zugriff auf geschützte Systeme von Dritten. Unverdächtige, d. h. am Ausgangsverfahren unbeteiligte Dritte können damit ebenso in ihrem IT-Grundrecht betroffen sein.418 Der Eingriff in die Rechte des Dritten ist potentiell mindestens ebenso intensiv wie der Eingriff in die Rechte des Beschuldigten. Dritte sind bei einer Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO also besonders in ihrer Privatheit gefährdet, es kann tief in ihre Privatsphäre eingedrungen werden. Dabei ermöglicht § 110 Abs. 3 S. 2 StPO sogar einen heimlichen Eingriff in die Rechte Dritter bzw. nimmt diesen in Kauf.419 Zwar müssen Dritte jedenfalls im Nachhinein und nach Sicherung von Daten auf dem System (§ 110 Abs. 3 S. 3 StPO) über den Zugriff auf ihr System benachrichtigt werden, sodass sie nachträglich Kenntnis vom Eingriff erlangen. Zum Zeitpunkt der Durchsicht selbst besteht diese Kenntnis des Dritten aber in der Regel nicht. 415

Kap. 3 A.I. Kap. 3 A.I.3. 417 Zur Streubreite von Maßnahmen oben Kap. 2 B.IV. 4.e). 418 Kap. 3 C.I.2. 419 Kap. 3 C.III. 416

D. Reformvorschläge

421

Es besteht auch keine behördliche Pflicht zur Benachrichtigung des Dritten während der Durchführung der Maßnahme. § 110 Abs. 3 S. 2 StPO lässt es damit genügen, dass die Durchsicht wenigstens offen gegenüber dem Beschuldigten bzw. dem Hauptadressaten durchgeführt wird. Dass dabei weitere Inhaber des ausgeforschten Systems in Unkenntnis über den Ausforschungseingriff bleiben, wird im Rahmen des § 110 Abs. 3 S. 2 StPO hingenommen. Dritte haben damit während der Durchsicht keine eigene, vom Hauptadressaten der Maßnahme unabhängige Möglichkeit, den Eingriff in ihr IT-Grundrecht zu erkennen, durch ihre Mitwirkung zu begrenzen oder ihn auf seine Rechtmäßigkeit zu kontrollieren. Der Eingriff in das IT-Grundrecht wird für die mitbetroffenen Dritten damit intensiviert. Die eigentlich offene Maßnahme der Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO nähert sich aus Perspektive des Dritten somit einer heimlichen Online-Durchsuchung im Sinne des § 100b StPO an. Diese Zusammenfassung zeigt, dass die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO potentiell noch intensiver in Grundrechte eingreifen kann als es bereits bei einer Durchsicht lokaler informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO der Fall ist. Das zeigt sich nicht nur, aber insbesondere in der Möglichkeit zu tiefgreifenden Eingriffen in die Rechte unbeteiligter Dritter. Dies belegt zum einen, dass § 110 Abs. 3 S. 2 StPO nicht als bloße Verfahrensvorschrift zur herkömmlichen Durchsuchung nach §§ 102 ff. StPO begriffen werden kann, sondern vielmehr als eigenständige Eingriffsgrundlage behandelt werden muss (dazu sogleich Kap. 3 D.II.). Die Schaffung eines eigenen Anlasstatenkatalogs für § 110 Abs. 3 S. 2 StPO – über die hier entwickelten Vorschläge zu § 110 Abs. 3 S. 1 StPO hinaus420 – ist damit zumindest diskutabel (Kap. 3 D.III.). Jedenfalls sollte § 110 Abs. 3 S. 2 StPO durch eine eigene tatbestandliche Eingriffsschwelle in Form einer Subsidiaritätsklausel eingehegt werden, die insbesondere dem Schutz der Grundrechte Dritter dienen soll (Kap. 3 D.IV.). Auch über eine Einschränkung der Verwertbarkeit von Zufallsfunden zulasten Dritter gemäß § 108 Abs. 1 S. 1 StPO muss nachgedacht werden (Kap. 3 D.V.).

II. § 110 Abs. 3 S. 2 StPO als Eingriffsgrundlage und Spezialfall des § 110 Abs. 3 S. 1 StPO Die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO ist als Spezialfall der gewöhnlichen Durchsicht nach § 110 Abs. 1 StPO und der Durchsicht informationstechnischer Systeme gemäß § 110 Abs. 3 S. 1 StPO ausgestaltet. Das ist sachgerecht: Während Abs. 1 der Norm die allgemeine Durchsicht regelt, bezieht sich Abs. 3 S. 1 zunächst auf informationstechnische Systeme insge-

420

Oben Kap. 2 B.X.3.a).

422

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

samt und Abs. 3 S. 2 schließlich auf den Sonderfall, dass sich das informationstechnische System, das durchgesehen werden soll, nicht lokal am Ort der Durchsuchung befindet, sondern räumlich getrennt vom Durchsuchungsort gelagert ist.421 Wie in dieser Arbeit schon für § 110 Abs. 3 S. 1 StPO vertreten,422 muss auch § 110 Abs. 3 S. 2 StPO als eigenständige Eingriffsgrundlage begriffen werden.423 Sie ist Spezialfall der Durchsicht, nicht ihr bloß unselbstständiges Anhängsel.424 Insbesondere ginge eine Einstufung als bloße Verfahrensvorschrift zur Durchsuchung fehl.425 § 110 Abs. 3 S. 2 StPO betrifft nicht nur das „Wie“, also die Durchführung der Durchsuchung, sondern stattet die Ermittler mit eigenständigen besonderen Befugnissen aus. Die Besonderheit bei § 110 Abs. 3 S. 2 StPO besteht darin, dass die Norm den Ermittlern erlaubt, über die physisch-räumlichen Grenzen des Durchsuchungsortes hinaus Daten im virtuellen Raum zu sichten.426 Die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO verlässt damit die Grenzen einer gewöhnlichen Durchsuchung nach §§ 102 ff. StPO, die ihrem Ursprung nach darauf zugeschnitten ist, dass Ermittler körperlich vor Ort sind und einen bestimmten, physischräumlich abgegrenzten Ort oder ein Objekt durchsuchen.427 § 110 Abs. 3 S. 2 StPO erlaubt eine Erweiterung dieser sonst eng auf den Durchsuchungsort begrenzten Befugnisse und lässt weitere Eingriffe in die Rechte des Durchsuchten, aber auch in die Rechte potentieller Dritter zu. § 110 Abs. 3 S. 2 StPO ist damit Rechtsgrundlage für eigene, über die gewöhnliche Durchsuchung hinausgehende Eingriffe.428 Das wiederum kommt schon im Tatbestand des § 110 Abs. 3 S. 2 StPO zum Ausdruck, der als eingrenzendes Tatbestandsmerkmal die Befürchtung des Verlustes der gesuchten Daten enthält. Der Gesetzgeber hat die Netzwerkdurchsicht also bereits so geregelt, dass sie nicht immer automatisch zulässig ist, wenn nur die Voraussetzungen der §§ 102, 103 StPO erfüllt sind. Vielmehr enthält § 110 Abs. 3 S. 2 StPO zusätzliche begrenzende Merkmale und klassifiziert die Netzwerkdurchsicht damit zwar als Maßnahme innerhalb einer Durchsuchung, aber gleichzeitig 421

Vgl. zu dieser Einordnung auch Schlegel, HRRS 2008, 23 (25). Kap. 2 B.X.2. 423 So für die Netzwerkdurchsicht gemäß § 110 Abs. 3 (S. 2) StPO Bär, MMR 2008, 215 (221); Beulke/Meininghaus, FS Widmaier, 63 (74); vgl. auch M. Gercke, in: Borges/Meents (Hrsg.), Cloud Computing, 2016, § 20 Rn. 39. 424 Vgl. Spatscheck, FS Hamm 2008, 733 (739). 425 So aber Wicker, Cloud Computing, 2016, S. 354. 426 Vgl. Bär, MMR 2008, 215 (221); Schlegel, HRRS 2008, 23 (25); Zerbes/El-Ghazi, NStZ 2015, 425 (428 f.). 427 Dazu schon oben Kap. 1. 428 Bär, MMR 2008, 215 (221); Beulke/Meininghaus, FS Widmaier, 63 (74); vgl. auch Meinicke, Zugriff auf Inhaltsdaten in der Cloud, 2020, D.V. 1. (via juris); Spatscheck, FS Hamm 2008, 733 (739 ). 422

D. Reformvorschläge

423

als eigenständige Ermittlungsmaßnahme mit eigenen Tatbestandsvoraussetzungen.429 Nach hier vertretener Ansicht sind damit sowohl § 110 Abs. 3 S. 1 StPO als auch § 110 Abs. 3 S. 2 StPO als eigenständige Eingriffsgrundlagen zu verstehen. Dieses Verständnis bedingt keine Gesetzesreform. Es hilft aber bei der Einordnung des § 110 Abs. 3 S. 2 StPO und führt vor Augen, dass diese Vorschrift nicht bloß bestehende Durchsuchungsbefugnisse regelt, sondern diese Befugnisse erweitert.

III. Anlasstatenkatalog: Übernahme des § 100b Abs. 2 StPO? Die vorangegangene Untersuchung hat aufgezeigt, dass die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO zwar nicht mit der Online-Durchsuchung gemäß § 100b StPO identisch ist, ihr aber ähnelt. Beide Maßnahmen zielen auf die Durchsicht informationstechnischer Systeme ab und bergen damit das Potential intensiver Grundrechtseingriffe. Sind Dritte betroffen, ist es auf Grundlage des § 110 Abs. 3 S. 2 StPO auch möglich, informationstechnische Systeme ohne Wissen des dritten (Mit-)Inhabers auszulesen, also heimlich und aus der Ferne in das IT-Grundrecht einzugreifen. Das ist eine Besonderheit, welche die Netzwerkdurchsicht von der rein lokalen Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO unterscheidet. Aufgrund der Ähnlichkeit von Netzwerkdurchsicht und Online-Duchsuchung liegt die Überlegung nahe, den Anlasstatenkatalog des § 100b Abs. 2 StPO auf die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO zu übertragen. Beide Maßnahmen greifen schließlich in das IT-Grundrecht ein, und für heimliche Eingriffe in das IT-Grundrecht hat das BVerfG strenge Voraussetzungen aufgestellt,430 an denen sich der Katalog aus § 100b Abs. 2 StPO orientiert.431 Warum sollte also die Online-Durchsuchung einerseits derart strengen tatbestandlichen Voraussetzungen unterliegen, die ihr ähnelnde Netzwerkdurchsicht andererseits hingegen ohne einen solchen strengen Anlasstatenkatalog auskommen dürfen?432 Die Antwort findet sich beim genaueren Vergleich der beiden Maßnahmen. Zwar ist es grundsätzlich so, dass die Netzwerkdurchsicht ebenso wie die Online-Durchsuchung die Erhebung und Auswertung großer und aus429

Zur gleichwohl schwachen Beschränkungswirkung dieser Tatbestandsvoraussetzungen oben Kap. 3 A.III. 430 BVerfGE 120, 274 (326 ff.); 141, 220 (270 f.; 304 f.). 431 BT-Drs. 18/12785, S. 53 ff. 432 Auf Grundlage der hier vertretenen Reformvorschläge zu § 110 Abs. 3 S. 1 StPO würde allerdings der Anlasstatenkatalog, der oben unter Kap. 2 B.X.3.a) vorgeschlagen wurde, auch für § 110 Abs. 3 S. 2 StPO gelten.

424

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

sagekräftiger Datensammlungen ermöglicht. Abgesehen davon besteht die Ähnlichkeit der Netzwerkdurchsicht zur Online-Durchsuchung aber nur in bestimmten Fällen, und auch in diesen Fällen ist es nur eine Ähnlichkeit und Vergleichbarkeit, nicht aber eine Identität der beiden Maßnahmen. So ist die Netzwerkdurchsicht im Kern eben doch eine offene Maßnahme, die in aller Regel mit Wissen des Betroffenen erfolgt. Heimlich wird die Maßnahme im Regelfall nur dann, wenn Dritte betroffen sind, es also mehrere Inhaber des gemäß § 110 Abs. 3 S. 2 StPO angesteuerten externen Systems gibt, sodass zwar der Durchsuchte Kenntnis vom laufenden Zugriff auf das System hat, nicht aber die mitbetroffenen Dritten. Auch wenn dies in der Praxis, insbesondere durch von mehreren Personen genutzte Cloud-Speicher, häufiger vorkommen wird,433 so bleibt dies immer noch ein Sonderfall im Rahmen der Anwendung des § 110 Abs. 3 S. 2 StPO. Mit der Netzwerkdurchsicht wird kein heimliches Vorgehen der Ermittlungsbehörden bezweckt; die teilweise Heimlichkeit der Maßnahme ist hier nur eine unbeabsichtigte Nebenwirkung zulasten des Dritten. Die Online-Durchsuchung dagegen zielt darauf ab, die Ermittlungen dem Maßnahmeadressaten sowie etwaig mitbetroffenen Dritten gegenüber zu verbergen. Hier wird die Heimlichkeit des Vorgehens bezweckt und das Unwissen des Adressaten gezielt ausgenutzt, um Ermittlungserfolge zu erzielen. Bei der Online-Durchsuchung gibt es damit niemanden, der nicht auf der Seite des Staates steht oder von diesem besonders zur Mitwirkung verpflichtet ist und damit die Rechtmäßigkeit der Maßnahme während ihrer Durchführung kontrollieren kann. Während bei der Netzwerkdurchsicht wenigstens eine betroffene Person Kenntnis von der Maßnahme erhält und somit die Chance zur Beobachtung und Kontrolle des Ermittlungshandelns erhält, erfolgt die Online-Durchsuchung niemandem gegenüber offen.434 Ferner geht § 100b StPO in den Möglichkeiten zur Ausforschung informationstechnischer Systeme über den Anwendungsbereich des § 110 Abs. 3 S. 2 StPO hinaus. Die Online-Durchsuchung darf auch zur längerfristigen heimlichen Überwachung eines Systems eingesetzt werden (vgl. § 100e Abs. 2 StPO), die Netzwerkdurchsicht hingegen kann und darf nur die Daten erheben, die zum Zeitpunkt des einmaligen Zugriffs auf dem System gespeichert sind. Zwar kann auch ein einmaliger Zugriff auf sämtliche in einem informationstechnischen System gespeicherte Daten einen tiefen Eingriff in die Privatsphäre des Betroffenen bewirken.435 Die langfristige, potentiell mehrere Monate fortdauernde heimliche Überwachung eines Systems und damit auch des Nutzers kann diesen Eingriff aber deutlich intensivieren.436 Es 433

Das sieht (mittlerweile) auch der Gesetzgeber so, s. BT-Drs. 19/27654, S. 61. Zu dieser Differenzierung schon oben Kap. 3 C.III. 435 Dazu schon oben Kap. 2 B.III.2.e). 436 Kap. 2 B.IV. 4.c). 434

D. Reformvorschläge

425

ist ein Unterschied, ob lediglich einmalig auf einen Datensatz in seiner aktuellen Gestalt zugegriffen wird, oder ob ein System auf Dauer verwanzt und ausspioniert wird und dabei sämtliches Nutzungsverhalten, sämtliche laufende Kommunikation und Details der privaten Lebensgestaltung des Nutzers fortlaufend überwacht werden. Nicht zuletzt geht mit der Installation einer Spionagesoftware auf dem Zielsystem, wie von § 100b StPO erlaubt, ein Eingriff in die Integrität des Systems einher. Das intensiviert den Grundrechtseingriff bei der OnlineDurchsuchung zusätzlich – hier sind Vertraulichkeit und Integrität des Systems gleichermaßen betroffen.437 § 110 Abs. 3 S. 2 StPO erlaubt hingegen keinen Eingriff in die Integrität des Systems.438 Berührt ist regelmäßig nur dessen Vertraulichkeit. Auch diesbezüglich unterscheidet sich die Netzwerkdurchsicht von einer Online-Durchsuchung gemäß § 100b StPO. Trotz Ähnlichkeit von Online-Durchsuchung und Netzwerkdurchsicht im Einzelfall bestehen also deutliche Unterschiede zwischen den beiden Maßnahmen. Diese Ungleichheiten rechtfertigen es, ungleiche Zulässigkeitsvoraussetzungen für die beiden Maßnahmen aufzustellen. Die Maßnahmen sind vergleichbar, nicht aber identisch. Eine Übertragung des Anlasstatenkatalogs aus § 100b Abs. 2 StPO auf die Netzwerkdurchsicht ist daher nicht angezeigt. Dieses Ergebnis wird gestützt durch einen Vergleich der Netzwerkdurchsicht mit der Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO. Im Wesentlichen sind diese beiden Maßnahmen in ihrer Eingriffswirkung gleich, sofern man betroffene Dritte ausblendet: Bei beiden Maßnahmen wird offen auf ein informationstechnisches System zugegriffen. Unterschieden wird nur darin, ob sich das System lokal vor Ort befindet oder räumlich getrennt außerhalb der durchsuchten Räumlichkeiten. Für die Durchsicht lokaler informationstechnischer Systeme wurde hier bereits ein Anlasstatenkonzept in Anlehnung an die Regelungstechnik in § 100g Abs. 1 S. 1 Nr. 1 und Nr. 2 StPO vorgeschlagen und ein strengerer Anlasstatenkatalog abgelehnt.439 Für die im Wesentlichen gleiche Netzwerkdurchsicht kann dann aber nichts anderes gelten. Es wäre nicht gerechtfertigt, die Voraussetzungen zur Durchsicht generell hochzuschrauben, nur weil die Daten im Falle des § 110 Abs. 3 S. 2 StPO nicht auf einem lokalen, sondern auf einem externen System gespeichert sind. Den Grundrechtseingriffen zulasten des Dritten, die vor allem über § 110 Abs. 3 S. 2 StPO bewirkt werden können und einen Unterschied zu § 110 Abs. 3 S. 1 StPO ausmachen, kann zielgerichteter begegnet werden – so zum Beispiel durch die Normierung einer speziellen Subsidiaritätsklausel (s. unten). 437

Kap. 2 B.III.2.c)cc). Siehe oben Kap. 3 A.II.2.b). 439 Siehe oben Kap. 3 B.X.3.a). 438

426

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

IV. Subsidiaritätsklausel: Möglichkeiten zur Übernahme des § 100b Abs. 3 S. 2 StPO per Gesetzesreform de lege ferenda und per verfassungskonformer Auslegung de lege lata § 110 Abs. 3 S. 2 StPO ermöglicht die Ausforschung informationstechnischer Systeme Dritter ohne deren Kenntnis. Die Netzwerkdurchsicht kann in Fällen der Drittbetroffenheit somit als zumindest teilweise heimliche Maßnahme eingestuft werden. Sie weist damit Ähnlichkeiten zur heimlichen Online-Durchsuchung gemäß § 100b StPO auf – in beiden Fällen wird ein informationstechnisches System ohne Wissen des Inhabers ausgeforscht.440 Die Online-Durchsuchung steht aber unter strengeren Voraussetzungen als die Netzwerkdurchsicht. Insbesondere enthält § 100b Abs. 3 S. 2 StPO zusätzliche Voraussetzungen zum Zugriff auf informationstechnische Systeme Dritter. Danach ist ein Eingriff in informationstechnische Systeme anderer Personen nur zulässig, wenn auf Grund bestimmter Tatsachen anzunehmen ist, dass erstens der Beschuldigte informationstechnische Systeme der anderen Person benutzt und zweitens die Durchführung des Eingriffs in informationstechnische Systeme des Beschuldigten allein nicht zur Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsortes eines Mitbeschuldigten führen wird. Dagegen enthält § 110 Abs. 3 S. 2 StPO de lege lata keine Beschränkungen dieser Art.441 Es erscheint passend, diese Voraussetzungen auch für Maßnahmen nach § 110 Abs. 3 S. 2 StPO zu übernehmen und eine entsprechende Subsidiaritätsklausel ausdrücklich zu normieren, denn die Ermittlungssituationen sind vergleichbar: Auch bei der Netzwerkdurchsicht kann die Situation entstehen, dass die Ermittler auf einen Cloud-Speicher stoßen, der neben dem Beschuldigten bzw. Durchsuchten ersichtlich auch von anderen Personen als eigenes informationstechnisches System genutzt wird. Der Zugriff auf ein solches auch von Dritten genutztes System soll den Ermittlern hierbei nicht völlig verwehrt sein. Er sollte aber unter dem Vorbehalt der Subsidiarität stehen: Nur, wenn die Ausforschung des vom Beschuldigten exklusiv genutzten (lokalen) informationstechnischen System zur Sachverhaltserforschung nicht ausreicht, ist ein Übergreifen in das (externe) informationstechnische System auch des Dritten erlaubt. 440

Dazu ausführlich oben Kap. 3 C.III. Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 419 leitet daraus ab, dass die Netzwerkdurchsicht gemäß § 110 Abs. 3 (S. 2) StPO verfassungswidrig sei, denn Bode geht schlicht davon aus, dass das Fehlen geschriebener Subsidiaritätsklauseln stets zur Verfassungswidrigkeit der Norm führe, S. 290, und das deshalb, weil der verfassungsrechtliche Verhältnismäßigkeitsgrundsatz nicht unmittelbar als ungeschriebener Grundsatz im Strafverfahren gelte, S. 328 ff. mit Nachweisen zur gegenläufigen herrschenden Meinung. Dem Verdikt, dass § 110 Abs. 3 S. 2 StPO allein wegen einer fehlenden Subsidiaritätsklausel verfassungswidrig sei, kann hier nicht gefolgt werden. 441

D. Reformvorschläge

427

Durch Übertragung der Subsidiaritätsklausel des § 100b Abs. 3 S. 2 Nr. 2 StPO auf die Netzwerkdurchsicht wird diese in ihrem Umfang rechtlich sinnvoll eingegrenzt. Die Klausel konkretisiert damit das Gebot der Erforderlichkeit442 der Maßnahme und schützt Dritte vor nicht notwendigen Eingriffen in ihre Privatsphäre. Unterbunden oder wenigstens eingegrenzt wird damit auch die gezielte Suche nach Zufallsfunden (fishing expeditions) auf Systemen Dritter.443 Der Gefahr, dass die Netzwerkdurchsicht beim Durchsuchten zum Schlüssel zu den Daten und Systemen beliebiger Dritter wird,444 kann somit zumindest im Einzelfall begegnet werden. Ferner käme so ausdrücklich im Normtext zum Ausdruck, dass auch informationstechnische Systeme, die neben dem Durchsuchten auch Dritten gehören, ausgelesen werden dürfen.445 Die Klausel des § 100b Abs. 3 S. 2 Nr. 2 StPO sollte für den Zweck der Begrenzung der Netzwerkdurchsicht allerdings angepasst werden. Zum einen sollte klargestellt werden, dass die Subsidiaritätsklausel bereits dann greift, wenn ein Dritter das informationstechnische System auch als eigenes nutzt, also gemeinsam mit dem Durchsuchten bzw. Beschuldigten – im Gegensatz zu Fällen, in denen nur der Dritte Inhaber des Systems im Sinne einer Eigennutzung ist, der Durchsuchte bzw. Beschuldigte hingegen nur gelegentlicher Fremdnutzer. Zum anderen sollte der Subsidiaritätsvorbehalt nur auf Fälle Anwendung finden, in denen die andere, dritte Person das System tatsächlich zur vertraulichen Speicherung eigener personenbezogener Daten nutzt. Für § 100b Abs. 3 S. 2 Nr. 2 StPO wird nämlich vertreten, dass als „andere Person“ im Sinne der Vorschrift auch der (kommerzielle) Anbieter eines Cloud-Dienstes gilt.446 Im Kontext der Online-Durchsuchung hat das seinen Sinn, denn bei dieser Maßnahme wird eine Spionagesoftware auf dem Zielsystem installiert, die, unabhängig von den im Anschluss erhobenen Daten, in die vom IT-Grundrecht geschützte Integrität des Systems eingreift.447 Der Cloud-Anbieter hat ein grundrechtlich geschütztes Interesse daran, dass die von ihm zur Verfügung gestellten Speichersysteme frei von technischer Manipulation bleiben. Deshalb muss auch er vor einer Online-Durchsuchung auf von ihm zur Verfügung gestellten Systemen geschützt werden. Bei einer Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO liegt es anders: Hier

442

Zu den Funktionen von Subsidiaritätsklauseln siehe oben Kap. 2 B.X.3.c). Zu diesem Problem bereits oben Kap. 2 B.VIII. 444 Vgl Schlegel, HRRS 2008, 23 (29 f.). 445 De lege lata sieht Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 419, einen Konflikt mit dem verfassungsrechtlichen Bestimmtheitsgebot darin, dass die Möglichkeit der Ausforschung von Systemen Dritter ohne deren Wissen nicht explizit im Normtext abgebildet wird. 446 Roggan, StV 2017, 821 (825 f.); Soine´, NStZ 2018, 497 (499); KK/Bruns, § 100b Rn. 13; KMR/Bär, § 100b Rn. 29; SSW-StPO/Eschelbach, § 100b Rn. 19. 447 Zur Integritätskomponente des IT-Grundrechts oben Kap. 2 B.III.2.b)bb). 443

428

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

erfolgt die Ausforschung des Zielsystems ohne dessen technische Manipulation, ein Eingriff in die technische Integrität wird durch § 110 Abs. 3 S. 2 StPO nicht erlaubt.448 Es wird lediglich der dem einzelnen Cloud-Nutzer zugeordnete Speicherplatz durchgesehen, und das auf dem technisch dafür vorgesehenen Weg, genau so wie der Cloud-Nutzer den Speicherplatz selbst nutzen würde. Schutzwürdige Interessen des kommerziellen Cloud-Anbieters werden dabei nicht berührt, solange er – was die Regel ist – keine eigenen vertraulichen Daten im dem Kunden zugeordneten Speicherplatz ablegt. Der Cloud-Anbieter kommt bei der Netzwerkdurchsicht also von vornherein nicht als Drittbetroffener in Betracht.449 Er und seine Belange müssen bei der Bestimmung der Subsidiarität der Netzwerkdurchsicht zulasten Dritter daher nicht berücksichtigt werden. Maßgeblich für die Subsidiarität der Netzwerkdurchsicht ist daher nur, ob es mindestens eine andere Person gibt, die das externe Zielsystem tatsächlich auch als eigenes nutzt, indem sie dort selber vertrauliche Daten abspeichert. Freilich wird in der Ermittlungspraxis häufiger das Problem auftauchen, dass vor dem Zugriff nicht klar ist, ob das externe Zielsystem auch von Dritten benutzt wird. Manchmal, aber nicht immer wird das an einer Benutzeroberfläche des externen Speichers, zum Beispiel bei einem Cloud-Service, erkennbar sein. Ein rechtlich gut beratener Beschuldigter wird dagegen schon zu seinem eigenen Schutz die Behauptung aufstellen wollen, dass auch sehr viele unbeteiligte Dritte an dem externen Zielsystem partizipieren. Zum Schutz etwaig betroffener Dritter müssen die Ermittler also eine Prognose aufstellen. Die Subsidiaritätsklausel sollte hier greifen, sobald bereits die begründete Vermutung besteht, dass das externe Zielsystem auch von Dritten benutzt wird. Dieser Maßstab gewährleistet einen effektiven Schutz, der nicht stets dadurch ausgehebelt wird, dass die Ermittler für gewöhnlich erst nach erfolgter Durchsicht sichere Kenntnis davon erlangen, dass das System auch von Dritten genutzt wird. Andererseits werden die Ermittlungsbehörden nicht durch jede bloß behauptete und theoretisch denkbare Möglichkeit, dass Dritte betroffen sein könnten, eingeschränkt. Eine an § 100b Abs. 3 S. 2 Nr. 2 StPO orientierte Subsidiaritätsklausel für die Netzwerkdurchsicht könnte also lauten: Die Durchsicht räumlich getrennter Speichermedien, bei denen die begründete Vermutung besteht, dass sie auch von anderen Personen zur Speicherung von Daten benutzt werden, ist nur zulässig, wenn auf Grund bestimmter Tatsachen anzunehmen ist, dass die Durchsicht lokaler Speichermedien des Durchsuchten allein nicht zur Erforschung des Sachverhalts ausreicht.450 448

Dazu oben Kap. 3 A.II.2.b). Dazu bereits ausführlich oben Kap. 3 C. 450 Hier wurde in Anlehnung an den bestehenden § 110 Abs. 3 S. 2 StPO die Formulierung „räumlich getrennte Speichermedien“ übernommen. Denkbar ist auch eine Erset449

D. Reformvorschläge

429

Erwägenswert ist, diese Subsidiaritätsregelung auch ohne ihre ausdrückliche Normierung auf Maßnahmen nach § 110 Abs. 3 S. 2 StPO anzuwenden, § 100b Abs. 3 S. 2 Nr. 2 StPO nach den oben dargestellten Maßgaben also bereits de lege lata im Wege einer analogen Anwendung auf die Netzwerkdurchsicht zu übertragen. Angesichts der Vergleichbarkeit zwischen OnlineDurchsuchung und Netzwerkdurchsicht in Fällen der Drittbetroffenheit besteht hier eine ähnliche Interessenlage bzw. Gefährdungslage für die Grundrechte des heimlich betroffenen Dritten. Die Übertragung der Subsidiaritätsklausel des § 100b Abs. 3 S. 2 Nr. 2 StPO nach den oben dargestellten Maßgaben ist zudem auch von Verfassungs wegen geboten. Wie erläutert, konkretisiert die Subsidiaritätsklausel das verfassungsrechtliche Gebot der Erforderlichkeit und stellt so die Verhältnismäßigkeit der Maßnahme sicher. Das Gebot, Grundrechte unbeteiligter Dritter weitestgehend zu schonen und nur dann auf von Dritten mitbenutzte informationstechnische Systeme zuzugreifen, wenn für die Erforschung des Sachverhalts kein gleich effektives, milderes Mittel zugänglich ist, gilt damit schon qua Verfassungsrecht. Die Erstreckung einer Netzwerkdurchsicht auf von Dritten mitbenutzten Systemen, die zur Sachverhaltserforschung nicht zwingend erforderlich ist, ist folglich bereits jetzt unverhältnismäßig und damit unzulässig. Umgekehrt gesprochen muss § 110 Abs. 3 S. 2 StPO verfassungskonform so ausgelegt und angewandt werden, dass eine Netzwerkdurchsicht auf Systemen Dritter nur erlaubt ist, wenn die Durchsicht des rein lokalen Systems des Beschuldigten allein nicht zur Erforschung des Sachverhalts ausreicht (und nicht schon immer dann, wenn diese Netzwerkdurchsicht faktisch möglich ist, wie der Wortlaut der Norm suggeriert). Wenn nun mit § 100b Abs. 3 S. 2 Nr. 2 StPO bereits eine Norm existiert, die für eine in dieser Hinsicht vergleichbare andere Maßnahme (nämlich die Online-Durchsuchung) eine ausdrückliche Regelung trifft, dann spricht nichts dagegen, diese Regelung entsprechend auf die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO anzuwenden. In verfassungskonformer Auslegung des § 110 Abs. 3 S. 2 StPO ist die Netzwerkdurchsicht auf von Dritten mitbenutzten Systemen folglich bereits de lege lata nur unter den oben dargestellten Voraussetzungen zulässig. Eine Übertragung des § 100b Abs. 3 S. 2 Nr. 1 StPO auf die Netzwerkdurchsicht erscheint dagegen weder per verfassungskonformer Auslegung noch per Gesetzesreform zwingend notwendig, denn von der technischen Möglichkeit des Zugriffs auf das externe System, die ja bereits in § 110 Abs. 3 S. 2 StPO Voraussetzung ist, kann in der Regel darauf geschlossen werden, dass der Durchsuchte dieses System auch tatsächlich nutzt. Es kann zwar auch Ausnahmefälle geben, in denen der Durchsuchte den Zugang zum ex-

zung des Begriffs des (elektronischen) Speichermediums durch „informationstechnisches System“.

430

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

ternen System des Dritten nur zufällig besitzt und/oder ihn noch gar nicht genutzt hat. Allein die Tatsache aber, dass der Durchsuchte diesen Zugang besitzt, dürfte die Annahme einer Nutzung des Zugangs durch den Durchsuchten rechtfertigen. Sollten im Einzelfall Tatsachen vorliegen, die darauf hinweisen, dass sich auf dem externen System gar keine Daten des Durchsuchten befinden, fehlt es ohnehin an einer Auffindevermutung und die Maßnahme ist ungeeignet, um die Erforschung des Sachverhalts zu fördern. Hier griffe außerdem die in dieser Arbeit schon zur Durchsicht gemäß § 110 Abs. 3 S. 1 StPO allgemein vorgeschlagene Subsidiaritätsklausel, nach der eine Durchsicht informationstechnischer Systeme generell nur zulässig sein sollte, wenn die Erforschung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos wäre.451 Diese Voraussetzung ist bei einer Durchsicht eines externen Systems, das vom Durchsuchten gar nicht zur Datenablage benutzt wird, nicht erfüllt.

V. Einschränkung des § 108 Abs. 1 S. 1 StPO zum Schutz unbeteiligter Dritter Kommt es während einer Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO zum Zugriff auf informationstechnische Systeme unbeteiligter Dritter, so liegt darin ein Grundrechtseingriff, in der Regel ein Eingriff in das IT-Grundrecht. Bereits das ist eine Belastung für den Dritten. Darüber hinaus besteht für den Dritten aber auch die Gefahr, dass die Ermittlungsbehörden bei der Durchsicht seines Systems auf Daten stoßen, die auf die Verübung einer Straftat durch ihn selbst hindeuten. Der Dritte kann somit auch in eigener Person in den Fokus der Ermittlungsbehörden geraten. Möglich ist zum einen, dass auf Grundlage der durchgesehenen Daten der Verdacht einer Tatbeteiligung des Dritten an der ursprünglich aufzuklärenden Tat entsteht. Zum anderen ist es aber auch möglich, dass Daten aufgefunden werden, die in keiner Beziehung zu der ursprünglichen Untersuchung stehen, aber auf die Verübung einer anderen Straftat hindeuten. Letzteres ist der Fall des § 108 Abs. 1 S. 1 StPO, der die Sicherung inkriminierender Daten erlaubt. Für den Dritten besteht also die Gefahr, aufgrund von Zufallsfunden zur Zielperson eines ganz neuen Ermittlungsverfahrens zu werden. Diese Gefahr besteht nicht bloß theoretisch. Angesichts der Fülle an personenbezogenen Daten, die üblicherweise in informationstechnischen Systemen verwaltet werden, darf es als nicht unwahrscheinlich gelten, dass bei der Durchsicht eines so großen Datensatzes auch Informationen zutage gefördert werden, die auf die Begehung von Straftaten hindeuten. Die Durchsicht eines oder mehrerer informationstechnischer Systeme weist damit die

451

Oben Kap. 2 B.X.3.c).

D. Reformvorschläge

431

Tendenz zur (unzulässigen) systematischen Suche nach Zufallsfunden auf (fishing expedition).452 Anders formuliert besteht hier ein Missbrauchspotential oder zumindest ein gesteigertes Machtpotential staatlicher Ermittlungsbehörden: Die Befugnis zur umfassenden Durchsicht informationstechnischer Systeme in Kombination mit der Befugnis, Zufallsfunde gemäß § 108 Abs. 1 S. 1 StPO sicherzustellen, ermöglicht dem Staat weitreichende Einblicke in umfangreiche Datensammlungen und damit in die private Lebensgestaltung seiner Bürger. Dieses Machtpotential vergrößert sich nochmals durch die Befugnis, über § 110 Abs. 3 S. 2 StPO auch informationstechnische Systeme Dritter durchzusehen. Zu bedenken ist dabei insbesondere, dass an einem Speichersystem im Sinne des § 110 Abs. 3 S. 2 StPO nicht nur ein oder zwei, sondern eine Vielzahl von Personen teilhaben können. Die Streubreite der Maßnahme ist potentiell enorm – und damit ist auch das Potential für die Ermittlungsbehörden groß, anlässlich eines einzigen Strafverfahrens gleich mehrere Personen auszuforschen, dabei Zufallsfunde zu provozieren und Tatverdachte nicht nur aufzuklären, sondern durch die Ermittlungen erst entstehen zu lassen. Der von der Netzwerkdurchsicht betroffene Dritte ist hierbei auch deshalb im besonderen Maße betroffen, weil er von der Durchsicht zum Zeitpunkt ihrer Durchführung in der Regel keine Kenntnis erlangt, sie ihm gegenüber also heimlich erfolgt. Dadurch kann er sich nicht gegen die Durchsicht wehren, kann sie nicht beobachten und auf ihre Rechtmäßigkeit hin kontrollieren und kann auch nicht bestimmtes Datenmaterial freiwillig herausgeben, um weitere Ausforschungen seiner Privatsphäre abzuwenden.453 Es besteht damit zum einen ein öffentliches Interesse an der Beschränkung überbordender staatlicher Machtausübung, zum anderen ein individuelles Interesse des Dritten am Schutz seiner Privatsphäre. Daher ist es angezeigt, die Sicherstellungsbefugnis aus § 108 Abs. 1 S. 1 StPO für die Fälle der Netzwerkdurchsicht, die in das informationstechnische System eines Dritten eingreifen, einzuschränken. Eine Einschränkung der Sicherstellungsbefugnis für bestimmte Fallkonstellationen aus § 108 Abs. 1 S. 1 StPO ist dem Regelungskonzept der Zufallsfunde bereits de lege lata nicht fremd: § 108 Abs. 1 S. 3 StPO schließt die Befugnis für Maßnahmen nach § 103 Abs. 1 S. 2 StPO (Gebäudedurchsuchungen) sogar völlig aus. Auch diese Regelung soll eine systematische Suche nach Zufallsfunden unterbinden.454 Ebenso zielen die Absätze 2 und 3 des § 108 StPO auf eine Einschränkung der Verwertung von Zufallsfunden bei weiteren bestimmten Fallkonstellationen ab.

452

Dazu bereits ausführlich oben Kap. 2 B.VIII. Zum Problem der heimlichen Betroffenheit des Dritten oben Kap. 3 C.III. 454 KK/Bruns, § 108 Rn. 8. 453

432

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

Für die Fälle der Netzwerkdurchsicht auf Systemen unbeteiligter Dritter ist eine Einschränkung der Sicherstellungsbefugnis für Zufallsfunde nach folgenden Maßgaben vorstellbar: Jedenfalls bei Hinweisen auf bloße Bagatell- oder Alltagskriminalität sollten die Ermittlungsbehörden nicht die Befugnis haben, die entsprechenden Daten zu sichern; bei Verdachtsmomenten bezüglich schwerer Straftaten erscheint es hingegen hinnehmbar und sogar geboten, dass staatliche Strafverfolgungsbehörden die Augen vor dem zufällig gefundenen Beweismaterial nicht verschließen, sondern dieses zur Einleitung eines neuen Verfahrens sichern. Angesichts der Gemeinsamkeiten einer Netzwerkdurchsicht zulasten heimlich betroffener Dritter mit einer Online-Durchsuchung gemäß § 100b Abs. 1, Abs. 3 S. 2 StPO erscheint es denkbar, sich zur Begrenzung der Sicherstellungsbefugnisse aus § 108 StPO am Katalog des § 100b Abs. 2 StPO zu orientieren: Wenn bei Gelegenheit der Netzwerkdurchsicht auf dem System eines unbeteiligten Dritten Daten aufgefunden werden, die auf die Verübung einer anderen Straftat des Dritten hindeuten, so dürfen die Daten nur dann einstweilen in Beschlag genommen werden, wenn diese andere Straftat im Katalog des § 100b Abs. 2 StPO enthalten ist. Damit können einerseits die Daten Dritter besser vor einer Verwendung außerhalb des anlassgebenden Ermittlungsverfahrens geschützt werden, sodass der Grundrechtseingriff zulasten des heimlich betroffenen Dritten immerhin nicht noch weiter vertieft wird. Andererseits verliert die missbräuchliche systematische Suche nach Zufallsfunden einen Teil ihrer Attraktivität.

VI. Pflicht zur Regelung des Kernbereichsschutzes aufgrund heimlicher Durchsicht? Bezüglich der Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO wird in dieser Arbeit vertreten, dass von Verfassungs wegen keine flankierenden gesetzlichen Vorschriften zum Schutz des Kernbereichs privater Lebensgestaltung erlassen werden müssen. Jedenfalls konnte diese Regelungspflicht nicht aus der Rechtsprechung des BVerfG abgeleitet werden. Nach dieser Rechtsprechung sind ausdrückliche gesetzliche Normen zum Schutz des Kernbereichs nur bei Maßnahmen erforderlich, die besonders dazu neigen, in den Kernbereich einzugreifen. Darunter versteht das BVerfG, soweit ersichtlich, aber nur heimliche Maßnahmen, nicht jedoch offene Maßnahmen wie die Durchsicht gemäß § 110 Abs. 3 S. 1 StPO.455 Für die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO könnte sich allerdings etwas anderes ergeben. Wie in dieser Arbeit aufgezeigt, sind heim-

455

Zum Ganzen oben Kap. 2 B.V. 4 und ergänzend Kap. 2 B.X.4.

D. Reformvorschläge

433

liche Zugriffe auf informationstechnische Systeme Dritter über § 110 Abs. 3 S. 2 StPO sehr wohl möglich und auch zulässig.456 Stuft man die Netzwerkdurchsicht daher als zumindest teilweise heimliche Ermittlungsmaßnahme ein, so könnte man argumentieren, dass sie nach dem Verständnis des BVerfG eine Ermittlungsmaßnahme ist, die besonders dazu neigt, in den Kernbereich der privaten Lebensgestaltung (jedenfalls des Dritten) einzugreifen. Daraus ließe sich die Pflicht des Gesetzgebers zur Regelung eines Kernbereichsschutzkonzepts für die Netzwerkdurchsicht ableiten. Da zu § 110 Abs. 3 S. 2 StPO keine Normen zum Schutz des Kernbereichs existieren, müsste man zum Ergebnis kommen, dass der Gesetzgeber seinen verfassungsrechtlichen Regelungspflichten hier nicht nachgekommen ist, womit § 110 Abs. 3 S. 2 StPO verfassungswidrig wäre.457 Allenfalls könnte ein solcher Regelungsmangel durch verfassungskonforme Auslegung dahingehend aufgefangen werden, dass das Kernbereichsschutzkonzept des § 100d Abs. 1 bis Abs. 3 StPO auf Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO ausgedehnt wird.458 Ob eine solche Analogielösung der verfassungsrechtlichen Pflicht des Gesetzgebers zur expliziten gesetzlichen Regelung eines Kernbereichsschutzkonzepts genügen würde, kann allerdings bezweifelt werden. Indes ist nicht nur für § 110 Abs. 3 S. 1 StPO, sondern auch für § 110 Abs. 3 S. 2 StPO fraglich, ob eine Pflicht zur gesetzlichen Regelung des Kernbereichsschutz unmittelbar aus der Rechtsprechung des BVerfG abgeleitet werden kann. Obwohl § 110 Abs. 3 S. 2 StPO in Sonderfällen die zumindest teilweise heimliche Ausforschung eines informationstechnischen Systems zulässt, ist die Netzwerkdurchsicht doch keine klassische heimliche Überwachungsmaßnahme, für die das BVerfG eine verfassungsrechtliche Pflicht zur ausdrücklichen gesetzlichen Regelung des Kernbereichsschutzes annimmt. Bisher hat das BVerfG ein gesetzliches Schutzkonzept nur für vollständig heimliche Maßnahmen gefordert, bei denen staatliche Behörden völlig im Verborgenen ermitteln und niemandem offen gegenüber auftreten, so zum Beispiel bei der Telekommunikationsüberwachung nach § 100a StPO459, der Online-Durchsuchung (im Sinne von § 100b StPO)460 oder der Wohnraumüberwachung nach § 100c StPO461. Die Netzwerkdurchsicht hingegen erfolgt dem Grundsatz nach offen gegenüber dem Adressaten der Ermittlungsmaß-

456

Siehe oben Kap. 3 C.III. So im Ergebnis Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, 2012, S. 418; s. auch Heinson, IT-Forensik, 2015, S. 252. 458 In dieser Arbeit wird die analoge Anwendung des § 100d StPO auf die Durchsicht informationstechnischer Systeme vertreten, s. oben Kap. 2 B.V. 5. 459 BVerfGE 129, 208 (245 ff.). 460 BVerfGE 120, 274 (335 ff.); 141, 220 (276 ff.). 461 BVerfGE 109, 279 (328 ff.). 457

434

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

nahme, ist also keine klassische heimliche Überwachungsmaßnahme. Daher unterscheidet das BVerfG die Netzwerkdurchsicht in ihrer heimlichen Eingriffswirkung ausdrücklich von anderen, echten und vollständig heimlichen Ermittlungsmaßnahmen.462 Jedenfalls auf Basis der Rechtsprechung des BVerfG kann § 110 Abs. 3 S. 2 StPO daher nicht als eine solche Ermächtigung zu heimlichen Ermittlungsmaßnahmen eingestuft werden, die von Verfassungs wegen mit gesetzlichen Regelungen zum Schutz des Kernbereichs flankiert werden müsste. Es kann folglich auch nicht die Verfassungswidrigkeit des § 110 Abs. 3 S. 2 StPO wegen fehlender Regelungen zum Kernbereichsschutz hergeleitet werden. Das gilt unabhängig von der Frage, ob eine analoge Anwendung des § 100d Abs. 1 bis Abs. 3 StPO einer bestehenden Regelungspflicht des Gesetzgebers genügen würde. Indes wurde in dieser Arbeit die Einführung gesetzlicher Regelungen zum Kernbereichsschutz schon bezüglich der Durchsicht lokaler informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 S. 1 StPO befürwortet. Denn auch wenn aus der Rechtsprechung des BVerfG keine entsprechende verfassungsrechtliche Pflicht zur Normierung abgeleitet werden kann, so spricht in der Sache doch alles dafür, die Durchsicht informationstechnischer Systeme ebenso als kernbereichsverletzungsgeneigte Maßnahme zu behandeln.463 Für die Netzwerkdurchsicht nach § 110 Abs. 3 S. 2 StPO treffen die Argumente nicht weniger zu, sondern noch mehr, denn die Netzwerkdurchsicht weist mit der Befugnis zu heimlichen Eingriffen in informationstechnische Systeme Dritter erstens eine noch größere Ähnlichkeit zur OnlineDurchsuchung auf und macht zweitens eine Berührung kernbereichsrelevanter Daten aufgrund der fehlenden Kontrollmöglichkeiten des Dritten noch wahrscheinlicher. Die hier in dieser Arbeit erhobenen Forderungen zur gesetzlichen Regelung eines Kernbereichsschutzkonzepts de lege ferenda beanspruchen daher unverändert auch für § 110 Abs. 3 S. 2 StPO Geltung. De lege lata ist das Kernbereichsschutzkonzept des § 100d Abs. 1 bis Abs. 3 StPO entsprechend auf Durchsichten informationstechnischer Systeme gemäß § 110 Abs. 3 StPO und damit auch auf Maßnahmen nach § 110 Abs. 3 S. 2 StPO anzuwenden.464

462

BVerfGE 122, 63 (80). Oben Kap. 2 B.X.4. 464 S. oben Kap. 2 B.V. 5. 463

E. Zusammenfassung der wichtigsten Ergebnisse

435

E. Zusammenfassung der wichtigsten Ergebnisse zu § 110 Abs. 3 S. 2 StPO Die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO ist ein Spezialfall der Durchsicht (lokaler) informationstechnischer Systeme nach § 110 Abs. 3 S. 1 StPO. Die zu § 110 Abs. 3 S. 1 StPO ermittelten Ergebnisse gelten damit im Grundsatz auch für § 110 Abs. 3 S. 2 StPO.465 Insbesondere greift die Netzwerkdurchsicht in externen Fileservern, Cloud-Speichern und dergleichen grundsätzlich ebenso in das IT-Grundrecht ein.466 Eine Besonderheit ist hierbei, dass § 110 Abs. 3 S. 2 StPO zum Zugriff auf E-Mail-Konten ermächtigt.467 E-Mail-Konten unterscheiden sich in technischer Hinsicht häufig nicht wesentlich von anderen Speicherplätzen im Internet und sind daher als (externe) informationstechnische Systeme im Sinne des IT-Grundrechts einzustufen. In E-Mail-Konten zwischengespeicherte E-Mails unterfallen aber dem Schutz des Fernmeldegeheimnisses aus Art. 10 GG. Dieses verdrängt nach allgemeinen Konkurrenzregeln das aus dem allgemeinen Persönlichkeitsrecht fließende IT-Grundrecht. E-Mail-Konten werden aber in der Regel nicht ausschließlich zur Kommunikation benutzt. Das E-Mail-Konto kann auch zur Speicherung nicht kommunikationsbezogener Daten verwendet werden. Umgekehrt kann auch ein Cloud-Speicher im Netz als Kommunikationsmedium benutzt werden. Insbesondere bei der gemischten kommunikativen und nichtkommunikativen Nutzung von E-Mail-Konten oder anderen Speichern bereitet die Abgrenzung der grundrechtlichen Schutzbereiche – Fernmeldegeheimnis einerseits, IT-Grundrecht andererseits – im Einzelfall Schwierigkeiten. In dieser Arbeit wird daher für eine Angleichung der Schutzniveaus der beiden Grundrechte im Fall des Zugriffs auf externe Speicherplätze und E-Mail-Konten plädiert.468 § 110 Abs. 3 S. 2 StPO ermächtigt nicht zu Eingriffen in die Integrität externer informationstechnischer Systeme. Das Knacken von Passwörtern unter Einsatz von Software, welche die technische Funktionsfähigkeit des externen Systems beeinträchtigt (insb. ein Vorgehen per Brute Force), ist daher nicht von § 110 Abs. 3 S. 2 StPO gedeckt.469 § 110 Abs. 3 S. 2 StPO ermächtigt nicht zur gezielten dauerhaften Überwachung eines externen Systems, sondern erlaubt den Strafverfolgungsbehörden lediglich einen einmaligen, zeitlich punktuellen Zugriff auf das System.470 465

Kap. 3. Kap. 3 A.I. 467 Kap. 3 A.I.3.a). 468 Kap. 3 A.I.3.b). 469 Kap. 3 A.II.2.b). 470 Kap. 3 A.IV. 466

436

Kapitel 3: Die Durchsicht externer informationstechnischer Systeme

§ 110 Abs. 3 S. 2 StPO erlaubt keine transnationalen Datenzugriffe (transborder searches). Der Anwendungsbereich der Netzwerkdurchsicht ist damit auf informationstechnische Systeme beschränkt, die ihren physischen Standort auf deutschem Staatsgebiet haben.471 § 110 Abs. 3 S. 2 StPO ermächtigt auch zum Zugriff auf Systeme, die von Dritten (mit-)genutzt werden. Über § 110 Abs. 3 S. 2 StPO kann damit in Grundrechte Dritter eingegriffen werden. Dies betrifft insbesondere das ITGrundrecht.472 Es sind aber auch Eingriffe in das Fernmeldegeheimnis Dritter möglich. Bei einer gemeinsamen Nutzung eines externen informationstechnischen Systems durch mehrere Personen stellt sich die Abgrenzungsproblematik zwischen IT-Grundrecht und Fernmeldegeheimnis verschärft. Bei der Nutzung des externen Systems durch mehrere Personen kann potentiell jede Datei einen Kommunikationsbezug aufweisen.473 Ausgangspunkt der Netzwerkdurchsicht ist das informationstechnische System der nach §§ 102 ff. StPO durchsuchten Person. Die Netzwerkdurchsicht erfolgt dem Durchsuchten gegenüber offen. Der Fernzugriff auf externe informationstechnische Systeme, die auch von Dritten genutzt werden, erfolgt typischerweise ohne Wissen des Dritten, d. h. diesem gegenüber heimlich. Diese Vorgehensweise ist von § 110 Abs. 3 S. 2 StPO gedeckt. Der Eingriff in die Grundrechte Dritter wird durch das heimliche Vorgehen nochmals intensiviert.474 Insbesondere wegen der Möglichkeit zu heimlichen Eingriffen in Grundrechte Dritter nähert sich die Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO in ihren Eingriffswirkungen einer heimlichen Online-Durchsuchung im Sinne des § 100b StPO an. De lege lata teilt § 110 Abs. 3 S. 2 StPO aber nicht die in § 100b StPO geregelten strengen Tatbestandsvoraussetzungen einer Online-Durchsuchung. § 110 Abs. 3 StPO ist daher reformbedürftig. Dabei gelten die für § 110 Abs. 3 S. 1 StPO hinsichtlich der Durchsicht informationstechnischer Systeme gemachten Vorschläge475 auch für den Spezialfall der Durchsicht externer informationstechnischer Systeme gemäß § 110 Abs. 3 S. 2 StPO. Darüber hinaus sollte die Netzwerkdurchsicht de lege ferenda aber durch zusätzliche gesetzliche Regelungen begrenzt werden. Für die Netzwerkdurchsicht sollte jedenfalls de lege ferenda die drittschützende Subsidiaritätsklausel aus § 100b Abs. 3 S. 2 StPO in angepasster Form übernommen werden: Die Durchsicht räumlich getrennter Speichermedien, bei denen die begründete Vermutung besteht, dass sie auch von anderen Personen zur Speicherung von Daten benutzt werden, ist nur zulässig, wenn auf 471

Kap. 3 A.V. Kap. 3 C.I.2. 473 Kap. 3 C.I.3. 474 Kap. 3 C.III. 475 Kap. 2 B.X. 472

E. Zusammenfassung der wichtigsten Ergebnisse

437

Grund bestimmter Tatsachen anzunehmen ist, dass die Durchsicht lokaler Speichermedien des Durchsuchten allein nicht zur Erforschung des Sachverhalts ausreicht. Diese Subsidiaritätsbestimmung muss bereits aus Gründen der Verhältnismäßigkeit und damit qua Verfassungsrecht für Maßnahmen nach § 110 Abs. 3 S. 2 StPO gelten. Daher ist die Subsidiaritätsklausel des § 100b Abs. 3 S. 2 StPO in oben dargestellter Form bereits de lege lata entsprechend auf die Netzwerkdurchsicht anzuwenden.476 Zum Schutz unbeteiligter Dritter und zur Begrenzung staatlicher Machtausübung ist die Befugnis zur Sicherstellung von Zufallsfunden gemäß § 108 Abs. 1 S. 1 StPO für Fälle der Netzwerkdurchsicht auf von Dritten (mit-) genutzten Systemen gesetzlich einzuschränken. Werden in diesen Fällen auf dem System eines unbeteiligten Dritten Daten aufgefunden, die auf die Verübung einer anderen Straftat des Dritten hindeuten, sollten diese Daten de lege ferenda nur dann einstweilen in Beschlag genommen werden dürfen, wenn diese andere Straftat im Katalog des § 100b Abs. 2 StPO enthalten ist.477

476 477

Kap. 3 D.IV. Kap. 3 D.V.

Kapitel 4

Ergebnis und Ausblick A. Zusammenfassung der Ergebnisse Im Folgenden sollen die wichtigsten Ergebnisse dieser Arbeit thesenartig zusammengefasst werden. 1. Das Grundrecht auf Gewährleistung und Vertraulichkeit informationstechnischer Systeme (IT-Grundrecht) schützt nicht nur vor heimlichen staatlichen Eingriffen mittels Spionagesoftware, sondern auch vor offenen Eingriffen ohne technische Manipulation des Zielsystems. Die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO greift damit in das IT-Grundrecht ein.1 2. Die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO ermöglicht tiefgreifende, intensive Eingriffe in die Privatsphäre des Einzelnen. Je nach Einzelfall kann eine große und vielfältige Datenmenge erfasst und ausgewertet werden, die weitreichende Rückschlüsse auf die Persönlichkeit des Einzelnen zulässt. Insbesondere bei der Auswertung von Kommunikationsdaten kann der Eingriff eine große Zahl von auch unbeteiligten Personen erfassen (große Streubreite).2 3. Das Gebot der Erforderlichkeit als Teilausprägung des rechtsstaatlichen Verhältnismäßigkeitsgrundsatzes begrenzt den zulässigen Umfang der Durchsicht informationstechnischer Systeme. Theoretisch besteht die Möglichkeit, durch manuelle oder automatisierte Filtertechniken verfahrensrelevantes von verfahrensirrelevantem Datenmaterial zu trennen. Die Datenselektion gelingt in der Praxis aber nicht immer. Auch zum Erhalt des Beweiswerts der Daten kann eine eine Komplettsicherung des Datenmaterials oder des informationstechnischen Systems insgesamt im Wege der Mitnahme zur Durchsicht angezeigt sein. Bei Ermittlungen in manchen Kriminalitätsbereichen, so in Wirtschaftsstrafverfahren, ist die als Ausnahme konzipierte Mitnahme zur Durchsicht bereits zum Regelfall geworden. Die Ermittlungsbehörden befinden sich hierbei in einem Dilemma zwischen dem Gebot der weitestmöglichen Reduzierung der erhobenen und ausgewerteten Datenmenge zum Schutz der Grundrechte des Beschuldigten und dem Erfordernis 1 2

Kap. 2 B.III.2. Siehe aber unten Kap. 4 B.I. Kap. 2 B.IV. 4.

440

Kapitel 4: Ergebnis und Ausblick

der möglichst vollständigen Datenerhebung zur Beweissicherung und damit Sicherung des Verfahrens.3 4. Dem Durchsuchten steht das Recht zur Anwesenheit bei der Durchsuchung zu. Dieses Recht erstreckt sich auch auf die Phase der Durchsicht. Angesichts des Umstandes, dass die Mitnahme zur Durchsicht mehr und mehr zum Regelfall bei der Auswertung informationstechnischer Systeme wird und die Auswertung zudem mehrere Monate andauern kann, kann der Durchsuchte sein Anwesenheitsrecht nur unter Schwierigkeiten wahrnehmen. Die eigentlich offene Durchsicht wird somit in Teilen den Kontrollmöglichkeiten des Durchsuchten entzogen und nimmt damit Züge einer heimlichen Ermittlungsmaßnahme an.4 5. Bei Durchsicht eines informationstechnischen Systems auf Grundlage des § 110 Abs. 3 StPO ist es insbesondere bei einer Komplettsicherung des Datensatzes nahezu unvermeidbar, dass auch Daten mit Bezug zum unantastbaren Kernbereich der privaten Lebensgestaltung erhoben werden. Die Durchsicht läuft somit Gefahr, die Menschenwürde aus Art. 1 Abs. 1 GG zu verletzen.5 Da für § 110 StPO keine eigenen gesetzlichen Regelungen zum Schutz des Kernbereichs existieren, ist § 100d Abs. 1 bis Abs. 3 StPO entsprechend auf die Durchsicht informationstechnischer Systeme anzuwenden.6 6. Insbesondere die Komplettsicherung eines Datensatzes von einem informationstechnischen System auf Grundlage des § 110 Abs. 3 (S. 3) StPO kann Grundlage dafür sein, ein vollständiges Persönlichkeitsprofil des Einzelnen zu erstellen. Hierin liegt die Gefahr der Verletzung der Menschenwürde aus Art. 1 Abs. 1 GG.7 7. Die Auswertung großer Datenbestände auf Grundlage des § 110 Abs. 3 StPO läuft in der Praxis Gefahr, zu einer unzulässigen systematischen Suche nach Zufallsfunden zu werden (fishing expedition).8 8. Die Durchsicht informationstechnischer Systeme auf Grundlage des § 110 Abs. 3 StPO ermöglicht tiefgreifende Grundrechtseingriffe, ist aber im Vergleich zu anderen Ermittlungsmaßnahmen, insbesondere der OnlineDurchsuchung nach § 100b StPO, unter deutlich geringeren Voraussetzungen zulässig. § 110 Abs. 3 StPO ist daher reformbedürftig. Zu denken ist insbesondere an eine explizite Normierung und Begrenzung der Befugnis zur Mitnahme zur Durchsicht sowie an die tatbestandliche Eingrenzung der Durchsicht informationstechnischer Systeme, zum Beispiel durch Einfügen eines 3

Kap. 2 B.II. Kap. 2 B.II.3. 5 Kap. 2 B.V. 6 Kap. 2 B.V. 5. 7 Kap. 2 B.VI. 8 Kap. 2 B.VIII. 4

A. Zusammenfassung der Ergebnisse

441

Anlasstatenkonzepts oder einer Subsidiaritätsklausel. Auch die Pflicht zur Löschung verfahrensirrelevanter Daten sollte explizit geregelt werden. Einfachgesetzliche Regelungen zum Schutz des unantastbaren Kernbereichs der Persönlichkeit sind verfassungsrechtlich zwar nicht zwingend, wären aber konsequent.9 In der Zwischenzeit ist das Kernbereichsschutzkonzept des § 100d Abs. 1 bis Abs. 3 StPO entsprechend auf die Durchsicht informationstechnischer Systeme anzuwenden.10 9. Die Netzwerkdurchsicht auf Grundlage des § 110 Abs. 3 S. 2 StPO ermöglicht die Durchsicht von Speichermedien verschiedenster Art. CloudSpeicher bilden hierbei nur einen Unterfall von Speichermedien. Der Begriff des Speichermediums kann hierbei in der Regel mit dem verfassungsrechtlichen Begriff des informationstechnischen Systems gleichgesetzt werden. Die Netzwerkdurchsicht greift damit grundsätzlich in das IT-Grundrecht ein.11 10. Auf Grundlage des § 110 Abs. 3 S. 2 StPO dürfen auch E-Mail-Konten durchgesehen werden. Da sich auf E-Mail-Konten in der Regel nach Art. 10 GG geschützte Kommunikationsdaten befinden, verschwimmen hierbei die Grenzen zwischen bloßer Datenspeicherung und Kommunikation, und es kommt zu schwierigen Abgrenzungs- und Konkurrenzfragen zwischen dem Fernmeldegeheimnis und dem IT-Grundrecht.12 11. § 110 Abs. 3 S. 2 StPO ermächtigt nicht zu Eingriffen in die vom ITGrundrecht geschützte Integrität informationstechnischer Systeme. Die Netzwerkdurchsicht darf nur unter Ausnutzung einer bestehenden Vernetzung von Systemen auf dem technisch dafür vorgesehenen Weg durchgeführt werden. Der Einsatz von Hacking-Software, der das externe Zielsystem technisch manipuliert und es in seiner Integrität beeinträchtigt, wird von § 110 Abs. 3 S. 2 StPO nicht gedeckt.13 12. § 110 Abs. 3 S. 2 StPO ermächtigt grundsätzlich nicht zum Zugriff auf externe Systeme, deren physische Hardware sich außerhalb des Staatsgebiets der Bundesrepublik Deutschland befindet (Unzulässigkeit transnationaler Datenzugriffe). Der praktische Anwendungsbereich des § 110 Abs. 3 S. 2 StPO ist dadurch erheblich eingeschränkt.14 13. Nicht selten werden informationstechnische Systeme, insbesondere in Form von Cloud-Speichern, von mehr als nur einer Person benutzt. § 110 Abs. 3 S. 2 StPO ermöglicht den Zugriff auf informationstechnische Systeme, die nicht nur vom Durchsuchten oder Beschuldigten, sondern auch von Drit9

Kap. 2 B.X. Kap. 2 B.V. 5. 11 Kap. 3 A.I. 12 Kap. 3 A.I.3, ergänzend Kap. 3 C.I.3. Zu den offenen Fragen siehe unten Kap. 4 B.I.3. 13 Kap. 3 A.II.2.b). 14 Kap. 3 A.V. 10

442

Kapitel 4: Ergebnis und Ausblick

ten benutzt werden. Auf Grundlage des § 110 Abs. 3 S. 2 StPO kann somit in die Grundrechte unbeteiligter Dritter eingegriffen werden, insbesondere in das IT-Grundrecht.15 14. § 110 Abs. 3 S. 2 StPO lässt es zu, dass auf das informationstechnische System eines Dritten auch ohne dessen Wissen zugegriffen wird. Die Netzwerkdurchsicht gerät damit zu einer teils offenen, teils heimlichen Maßnahme: Dem Durchsuchten gegenüber wird sie offen durchgeführt, dem Dritten gegenüber jedoch heimlich. Die Netzwerkdurchsicht nähert sich damit im Einzelfall den Eingriffswirkungen einer heimlichen Online-Durchsuchung im Sinne des § 100b StPO an. Dennoch sind Netzwerkdurchsicht und Online-Durchsuchung nicht völlig gleichzusetzen.16 15. Zwischen den strengen Anordnungsvoraussetzungen einer OnlineDurchsuchung gemäß § 100b und den vergleichsweise großzügigen Tatbestandsvoraussetzungen einer Netzwerkdurchsicht gemäß § 110 Abs. 3 S. 2 StPO besteht eine auffällige Diskrepanz, die der Ähnlichkeit der beiden Maßnahmen nicht gerecht wird. § 110 Abs. 3 S. 2 StPO ist daher reformbedürftig. Sachgerecht erscheint die Normierung einer Subsidiaritätsklausel in Anlehnung an die drittschützende Subsidiaritätsklausel aus § 100b Abs. 3 S. 2 Nr. 2 StPO17 sowie die Einschränkung der Verwertbarkeit von Zufallsfunden zulasten Dritter im Sinne des § 108 StPO.18

B. Ausblick: Offene Fragen und ungelöste Probleme Einige der aufgezeigten Probleme rund um den Zugriff auf informationstechnische Systeme konnten im Rahmen dieser Arbeit nicht gelöst werden. Es sind einerseits rechtliche Probleme, die einer eingehenderen wissenschaftlichen Untersuchung bedürfen. Andererseits sind es technische Schwierigkeiten bei der Ermittlungstätigkeit der Strafverfolgungsbehörden, die jedenfalls nicht allein durch das Recht bewältigt werden können.

15

Kap. 3 C.I. Zu den nicht vollständig gelösten Konkurrenzfragen siehe unten Kap. 4 B.I.3. 16 Kap. 3 C.III., ergänzend Einl. C. 17 Diese Subsidiaritätsklausel muss in verfassungskonformer Auslegung des § 110 Abs. 3 S. 2 StPO bereits jetzt, also de lege lata entsprechend auf Netzwerkdurchsichten angewendet werden, s. Kap. 3 D.IV. 18 Kap. 3 D.

B. Ausblick: Offene Fragen und ungelöste Probleme

443

I. Die Frage nach dem „richtigen“ Grundrecht Weite Teile dieser Arbeit beschäftigen sich mit der Frage, in welche Grundrechte die Durchsicht informationstechnischer Systeme eingreift. Obwohl auf die Untersuchung des Strafprozessrechts ausgerichtet, greift die Bearbeitung damit Probleme des Verfassungsrechts auf. Dabei sind nicht immer definitive Lösungen gefunden worden. An vielen Stellen besteht weitergehender Forschungsbedarf. 1. Anwendung des IT-Grundrechts auf offene Durchsichten Nach der hier in dieser Arbeit vertretenen Ansicht findet das IT-Grundrecht auf offene Zugriffe auf informationstechnische Systeme gemäß § 110 Abs. 3 StPO Anwendung.19 Es spricht einiges dafür, dass der staatliche Zugriff auf informationstechnische Systeme immer am IT-Grundrecht zu messen ist, unabhängig von den Modalitäten des Zugriffs, also insbesondere unabhängig davon, ob der Zugriff heimlich erfolgt. Unumstritten ist diese Ansicht aber ebenso wenig, wie sie frei von Zweifeln ist. Das BVerfG hat das IT-Grundrecht in Entscheidungen nach dem Online-Durchsuchungs-Urteil nicht konsequent weiter angewandt, jedenfalls nicht im hier befürworteten Sinne. So prüft das BVerfG Zugriffe auf Datenträger informationstechnischer Systeme außerhalb von Online-Durchsuchungen weiterhin am Recht auf informationelle Selbstbestimmung, ohne dabei näher auf das IT-Grundrecht und eventuelle Widersprüche zum Online-Durchsuchungs-Urteil einzugehen.20 Die Rechtsprechung des BVerfG erscheint diesbezüglich inkonsistent und inkonsequent. Die Grenzen des Schutzbereichs des IT-Grundrechts bleiben damit weiter unklar und konnten auch in der vorliegenden Arbeit nicht vollständig geklärt werden. Es wird somit auch in Zukunft Aufgabe der Verfassungsrechtswissenschaft und nicht zuletzt des BVerfG selbst bleiben, zur Klärung des Anwendungsbereichs des IT-Grundrechts beizutragen.21 2. Verhältnis zwischen IT-Grundrecht und informationeller Selbstbestimmung Die Frage nach dem „richtigen“ Grundrecht stellt sich auch hinsichtlich des Verhältnis des informationellen Selbstbestimmungsrechts zum IT-Grundrecht. Als Ausprägungen des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verfolgen sie den gleichen Zweck: Den Schutz der Persönlichkeit und der Privatsphäre des Grundrechtsträgers. Damit ist der Kollisionsfall der beiden Schutzbereiche vorprogrammiert. Seit 19

Kap. 2 B.III.2. Dazu Kap. 2 B.III.2.g). 21 S. auch Herrmann, Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 138. 20

444

Kapitel 4: Ergebnis und Ausblick

dem Online-Durchsuchungs-Urteil des BVerfG wird kontrovers diskutiert, wo die Grenzlinien der beiden Schutzbereiche verlaufen und in welchem Verhältnis die beiden Teilausprägungen des allgemeinen Persönlichkeitsrechts zueinander stehen sollen. Hier in dieser Arbeit wird vertreten, dass das ITGrundrecht und nicht das Recht auf informationelle Selbstbestimmung den passenden grundrechtlichen Maßstab für die Durchsicht informationstechnischer Systeme nach § 110 Abs. 3 StPO bildet.22 Eine tiefergehende, verfassungsdogmatische Untersuchung konnte bei dieser auf das Strafprozessrecht fokussierten Bearbeitung aber nicht geleistet werden. Das Verhältnis zwischen dem Recht auf informationelle Selbstbestimmung und dem IT-Grundrecht bleibt also weiterhin unklar. 3. Verhältnis zwischen IT-Grundrecht und Fernmeldegeheimnis Moderne informationstechnische Systeme sind nicht bloß auf eine Nutzungsweise beschränkt. Das gilt insbesondere für virtuellen Speicherplatz im Internet, wie er in Form des Cloud Computing, aber auch in Gestalt von E-Mail-Konten bereitgestellt ist. Derartige Einrichtungen können nicht nur für das statische Ablegen von Daten verwendet werden, sondern sie eignen sich auch zur Kommunikation. Nicht selten werden Nutzer beide Zwecke gleichermaßen verfolgen, oft kann es auch zu Mischformen kommen, insbesondere wenn sich mehrere Nutzer ein gemeinsames Speichersystem teilen. Hierbei entstehen Abgrenzungsschwierigkeiten zwischen den Schutzbereichen unterschiedlicher Grundrechte, namentlich zwischen dem IT-Grundrecht und dem Fernmeldegeheimnis gemäß Art. 10 GG. In dieser Arbeit konnte nur der Versuch unternommen werden, diese Abgrenzungsschwierigkeiten aufzulösen.23 Auch in Zukunft wird es nötig sein, die Konkurrenzverhältnisse zwischen einzelnen grundrechtlichen Schutzbereichen hinsichtlich Mischformen von kommunikativem und nichtkommunikativem Verhalten bei Nutzung von Datenspeichern zu überdenken. Möglicherweise besteht die Lösung der Konkurrenzprobleme darin, die Ausdifferenzierung anhand verschiedener Schutzbereiche für diese Fälle aufzugeben und ein einheitliches grundrechtliches Schutzniveau für informationstechnische Systeme zu konstruieren.

II. Das Dilemma über den Umfang der Datensicherung und -auswertung Die Durchsicht eines informationstechnischen Systems eröffnet Zugang zu sämtlichen darin gespeicherten Daten. Die Ermittler werden dabei vor die Frage gestellt, welche dieser Daten zu sichern und auszuwerten sind, in wel22 23

Kap. 2 B.III.3. Kap. 3 A.I.3.b) und ergänzend Kap. 3 C.I.3.

B. Ausblick: Offene Fragen und ungelöste Probleme

445

chem Umfang also die Durchsicht erfolgen muss. Hierbei kollidieren zwei Zielbestimmungen. Zum einen gebieten die Grundrechte des von der Durchsicht Betroffenen, die Durchsicht auf das erforderliche Maß zu beschränken: Der Grundrechtsträger wird in seinen Persönlichkeitsrechten umso mehr geschont, je weniger Daten gesichtet werden. Zum anderen müssen die Ermittler aber sicherstellen, dass sie das informationstechnische System gründlich und vollständig genug sichten, um aussagekräftigtes, verwertbares Beweismaterial für das Strafverfahren zu gewinnen; die Durchsicht muss auch in ihrer konkreten Ausführung geeignet sein, dieses Ziel zu erreichen. Je mehr Daten durchgesehen werden, desto eher werden die Ermittler in der Lage sein, Beweismaterial aufzufinden und den Tatverdacht zu klären (ihn also entweder zu erhärten oder zu entkräften). Die Auswertung bloß einzelner und verstreuter Daten kann den Blick auf den Sachverhalt verfälschen. Eine selektive Sicherung und Auswertung der Daten kann außerdem dazu führen, dass relevantes Beweismaterial übersehen wird. Zudem müssen die Ermittler dokumentieren können, dass die erhobenen Daten tatsächlich aus dem System des Beschuldigten bzw. des von der Durchsuchung Betroffenen stammen. All diese Belange können im Einzelfall dazu führen, dass eine Komplettsicherung des aufgefundenen Datensatzes oder sogar die Mitnahme des gesamten informationstechnischen Systems durch die Ermittler nötig erscheint.24 Damit aber wird das Ziel, möglichst wenig Daten zu sichern und auszuwerten, konterkariert. Das Gebot der Erforderlichkeit, das staatliche Zugriffe eigentlich begrenzen und den Grundrechtsträger vor Eingriffen weitestmöglich schützen soll, spricht hier gleichzeitig für eine möglichst umfassende Datendurchsicht, die dann aber tief in die Grundrechte des Betroffenen eingreift. Eine solche Komplettsicherung der Daten erscheint vor allem deshalb problematisch, weil damit in vielen Fällen nahezu unausweichlich auch solche Inhalte erhoben werden, die dem absolut geschützten Kernbereich privater Lebensgestaltung zuzurechnen sind.25 Dieses Dilemma – Schonung der Grundrechte des Betroffenen einerseits und Sicherstellung einer erfolgreichen Beweiserhebung andererseits – kann rechtlich nur schwer aufgelöst werden. Der hier in dieser Arbeit zu § 110 Abs. 3 S. 1 StPO angebrachte Reformvorschlag, die Durchsicht informationstechnischer Systeme unter den Vorbehalt der Subsidiarität zu stellen, zielt darauf ab, dieses Dilemma nach Möglichkeit zu vermeiden oder zu umgehen, indem bei der Sachverhaltserforschung so weit wie möglich auf eine Durchsicht informationstechnischer Systeme verzichtet wird.26 Häufig aber wird es zur Sachverhaltsermittlung erforderlich sein, informationstechnische Sys-

24

Zum Ganzen oben Kap. 2 B.II.2. Dazu Kap. 2 B.V. 2.c). 26 Kap. 2 B.X.3.c). 25

446

Kapitel 4: Ergebnis und Ausblick

teme zu sichten. In diesen Fällen kann ein Ausgleich zwischen Grundrechtsschutz und Effektivität der Ermittlungen wohl nur durch Anstrengungen auf tatsächlicher Ebene erreicht werden. Hierbei ist zusätzlich zu bedenken, dass die Auswertung von Datenmengen in der Größenordnung von bis zu mehreren Terabyte immer mehr auch zu einem praktischen Problem für die Ermittlungsbehörden wird, die Mühe haben, diese Datenmengen in angemessener Zeit auszuwerten.27 Um den Umfang der Datensicherung einerseits wie auch den Umfang der Datenauswertung andererseits weitestmöglich zu verringern, benötigt es daher leistungsfähige Filtermechanismen, die verfahrensirrelevantes Beweismaterial sowie unverwertbare Inhalte des Kernbereichs der Persönlichkeit aussieben bzw. verfahrensrelevantes und verwertbares Material erkennen. Wie diese Filtermechanismen beschaffen sein müssen und welche Technologien hier erfolgversprechend erscheinen, ist Gegenstand der IT-Forensik und der zugehörigen Forschung. In der hiesigen Untersuchung, die ihren Schwerpunkt auf die rechtlichen Probleme des Ermittlungsverfahrens setzt, konnten nur wenige Ausblicke auf die technischen Möglichkeiten, aber auch die technischen Probleme bei der Datensicherung und Datenauswertung gegeben werden.28 Für tiefergehende Einblicke sei auf die entsprechende Spezialliteratur verwiesen,29 die mit der Weiterentwicklung von Technologien wie Künstlicher Intelligenz zur Erkennung von Dateninhalten in Zukunft neue Ansätze zur Bewältigung des hier beschriebenen Problems zu besprechen haben wird.

III. Die Revelanz des Standorts des externen Speichermediums Beim Zugriff auf externe informationstechnische Systeme auf Grundlage des § 110 Abs. 3 S. 2 StPO ist die Frage nach dem Standort des Systems entscheidend. Im Grundsatz darf ein Zugriff auf die Inhalte des Systems nur erfolgen, wenn sich das räumlich-physische Gegenstück des Systems, also dessen Hardware, auf deutschem Staatsgebiet befindet. Das führt zu mehreren Problemen. Zum einen müssen die Ermittlungsbehörden den Standort

27 Das ist in jüngerer Zeit vor allem bei den aufsehenerregenden Fällen Lügde, Bergisch Gladbach und Münster deutlich geworden. Im Zuge von Ermittlungen im Bereich sexuellen Kindesmissbrauchs bzw. sexualisierter Gewalt gegen Kinder und sog. Kinderpornographie wurden hier Datenträger mit mehreren Terabyte an Daten sichergestellt. Im Ermittlungskomplex Münster betrug das Datenvolumen Medienberichten zufolge rund 1.200 Terabyte, wobei schon ein Terabyte eine Speicherkapazität für Videos und Fotos in fünfstelliger bzw. sechsstelliger Anzahl bietet, s. WDR v. 12.11.2020, https://www1.wdr.de/ nachrichten/westfalen-lippe/missbrauch-prozess-muenster-102.html [zuletzt abgerufen am 04.11.2021]. 28 Kap. 2 B.II.2.a). 29 Z. B. Geschonneck, Computer-Forensik, 6. Auflage 2014.

B. Ausblick: Offene Fragen und ungelöste Probleme

447

des externen Systems ermitteln, um die Zulässigkeit der angestrebten Netzwerkdurchsicht vorab beurteilen zu können. Das kann in der Praxis schwierig und im Einzelfall unmöglich sein. Unmöglich ist die Standortermittlung insbesondere dann, wenn es gar keinen definitiven Standort des Systems gibt – so beim Cloud Computing, bei dem mittels Virtualisierungstechnik Hardware von verschiedensten Teilen der Welt zu einem einheitlichen virtuellen Speicher zusammengeschaltet werden kann. Die Daten befinden sich dann überall und nirgends (loss of location), ein deutscher Standort kann hier nur noch in Ausnahmefällen angenommen werden. Das beschneidet den praktischen Anwendungsbereich des § 110 Abs. 3 S. 2 StPO erheblich.30 Diese Arbeit hat nur einen kleinen Ausblick auf die Lösungsansätze zum Thema loss of location werfen können, die zurzeit auf europäischer Ebene diskutiert werden. Das ist namentlich der Bereich e-evidence, in dem der europäische Gesetzgeber erweiterte Herausgabepflichten von Dienstleistern im Bereich der Datenspeicherung anstrebt. Eine Erweiterung des Anwendungsbereichs des § 110 Abs. 3 S. 2 StPO ist damit allerdings nicht verbunden.31 Eine solche Erweiterung kann allenfalls durch eine entsprechende Ergänzung der Convention on Cybercrime erreicht werden, die nach jetzigem Stand allerdings nicht zu erwarten ist.32 Beides aber sind Entwicklungsansätze, die es sich zu verfolgen lohnt. Momentan nicht auflösbar erscheint allerdings der generelle Widerspruch der Behandlung von transnationalen Datenzugriffen in der tatsächlichen Nutzungspraxis einerseits und innerhalb der Strafverfolgung und deren rechtlichen Grundlagen andererseits. Während insbesondere das Cloud Computing damit wirbt, Daten global verfügbar zu machen und durch das Zusammenschalten von Hardwarekapazitäten verschiedener Standorte besonders flexibel zu sein, müssen strafrechtliche Ermittlungen weiterhin an Staatsgrenzen Halt machen. Die Zulässigkeit eines strafprozessualen Datenzugriffs bemisst sich nach wie vor danach, wo die Daten gespeichert sind und ist damit einem physisch-räumlichen Denken verhaftet, das bei der tatsächlichen Nutzung von Datenspeichern längst keine Rolle mehr spielt. Erwägenswert wäre daher ein Perspektivwechsel, bei dem der Standort der Hardware eines Systems auf auch rechtlicher Ebene nicht mehr von entscheidender Bedeutung ist. Die Frage, ob ein solcher Perspektivwechsel mit Blick auf die Souveränitätsrechte von Staaten möglich und überhaupt sinnvoll ist, konnte hier in dieser Arbeit aber nicht weiter vertieft werden.

30

Zum Ganzen Kap. 3 A.V. Dazu oben Kap. 3 A.V. 4. 32 Dazu Kap. 3 A.V. 3. 31

448

Kapitel 4: Ergebnis und Ausblick

IV. Der Umgang mit elektronisch gespeicherten Daten allgemein Viele der aufgezählten Probleme betreffen den Umgang mit elektronischen Daten allgemein, oder besser gesagt, sie entstehen dadurch, dass sich das Recht auf den Umgang mit elektronischen Daten neu einstellen muss. Obwohl bereits in den 80er Jahren prominent durch das Volkszählungsurteil des BVerfG adressiert, ist die elektronische Datenverarbeitung aus rechtlicher Perspektive noch immer ein verhältnismäßig neues Phänomen. Bestehende Rechtsgrundlagen, auch in der Strafprozessordnung, können elektronische Daten häufig zwar im Grundsatz erfassen, sind ursprünglich aber nicht auf den Umgang mit ihnen zugeschnitten worden.33 Nicht jedes dadurch entstehende Rechtsproblem kann durch bloße Auslegung bestehender Normen gelöst werden. Häufig genug wird daher die Reform von Rechtsgrundlagen oder im großen Stil gleich ganzer Rechtsbereiche gefordert, um den Herausforderungen moderner Datenverarbeitung auch rechtlich angemessen zu begegnen.34 Für die Strafprozessordnung steht eine solche Gesamtreform, punktuellen Modernisierungen zum Trotz (von denen § 110 Abs. 3 StPO eine ist), noch aus.35 In dieser Arbeit wurde nicht versucht, eine solche grundlegende Reform zu skizzieren. Der Fokus der vorliegenden Untersuchung ist auf die Rechtsgrundlage des § 110 Abs. 3 StPO eingegrenzt. Der umfassende Blick auf die – möglicherweise nötige – Gesamtreform der Strafprozessordnung hinsichtlich elektronisch gespeicherter Daten bleibt daher anderen Arbeiten vorbehalten.

V. Individueller Grundrechtsschutz vs. Effektive Strafverfolgung Hinter sämtlichen Überlegungen in dieser Arbeit und insbesondere hinter den Vorschlägen zur Reform des § 110 Abs. 3 StPO steht die Frage nach dem Verhältnis zwischen dem Schutz der Grundrechte des Einzelnen und dem rechtsstaatlichen Interesse an der effektiven Aufklärung und Ahndung von Straftaten. Auf einer abstrakteren Ebene geht es dabei um die vielzitierte Balance zwischen Sicherheit (vor Straftaten) und Freiheit (von staatlichen Eingriffen in die private Lebensführung).36 Dieses Spannungsverhältnis 33

Siehe dazu schon oben Einl. C. Ausführlich zum Reformbedarf Sieber, Gutachten zum 69. Deutschen Juristentag, C 9 ff. mit einzelnen Vorschlägen auf S. C 155 f.; vgl. auch den Überblick bei Vogel, ZIS 2012, 480 ff. 35 Ein Beispiel für eine immerhin größere Reform aus jüngerer Zeit, wenn auch nicht zum Ermittlungsverfahren, ist das Gesetz zur Einführung der elektronischen Akte in der Justiz und zur weiteren Förderung des elektronischen Rechtsverkehrs vom 5. Juli 2017, BGBl. 2017 I, S. 2208. 36 Siehe nur BVerfGE 109, 279 (350); 120, 274 (326); Di Fabio, NJW 2008, 421 f.; Eisenmenger, Grundrechtsrelevanz virtueller Streifenfahrten, 2017, S. 45 ff.; Gudermann, 34

B. Ausblick: Offene Fragen und ungelöste Probleme

449

konnte und wollte diese Arbeit nicht letztgültig und allgemeinverbindlich auflösen. Das Verhältnis zwischen Sicherheit und Freiheit ist in einer rechtsstaatlich und demokratisch organisierten Gesellschaft vielmehr ständig neu zu verhandeln. Die in dieser Arbeit vollzogene rechtliche Untersuchung und die darauf aufbauenden Reformvorschläge sind dabei nur ein Beitrag zu diesem Aushandlungsprozess.

Online-Durchsuchung, 2010, S. 261 ff.; Masing, JZ 2011, 753; Paa, Zugriff der Strafverfolgungsbehörden auf das Private, 2013, S. 20 ff.; Pötters/Werkmeister, Jura 2013, 5 f.

Literaturverzeichnis Abate, Constantin: Online-Durchsuchung, Quellen-Telekommunikationsüberwachung und die Tücke im Detail – Einfluss rechtlicher und technischer Entwicklungen auf verdeckte Online-Ermittlungen zur Gewährleistung der Inneren Sicherheit, in: DuD 2011, S. 122–125 Abel, Wiebke: Agents, Trojans and tags: The next generation of investigators, in: International Review of Law, Computers & Technology, Auflage 23, Bände 1–2, March–July 2009, S. 99–108 Aernecke, Eva: Der Schutz elektronischer Daten im Verfassungsrecht. Bedrohungen durch neue Ermittlungsmethoden, Frankfurt 2012 Albers, Marion: Informationelle Selbstbestimmung, Baden-Baden 2005 Albrecht, Florian/Braun, Frank: Die strafprozessuale Überwachung des Surfverhaltens – Zugleich Anmerkung zu LG Ellwangen, Beschl. v. 28.05.2013 – 1 Qs 130/12, in: HRRS 2013, S. 500–508 Albrecht, Florian/Dienst, Sebastian: Der verdeckte hoheitliche Zugriff auf informationstechnische Systeme – Rechtsfragen von Online-Durchsuchung und Quellen-TKÜ, in: JurPC Web-Dok. 5/2012, Abs. 1–65 Albrecht, Hans-Jörg/Dorsch, Claudia/Krüpe, Christiane: Rechtswirklichkeit und Effizienz der Überwachung der Telekommunikation nach den §§ 100a, 100b StPO und anderer verdeckter Ermittlungsmaßnahmen, forschung aktuell, Freiburg 2003 Amelung, Knut: Grundfragen der Verwertungsverbote bei beweissichernden Haussuchungen im Strafverfahren, in: NJW 1991, S. 2533–2540 AnwaltKommentar Strafprozessordnung, hrsg. von Krekeler, Wilhelm/Löffelmann, Markus/Sommer, Ulrich, 2. Auflage, Bonn 2010 Bäcker, Matthias: Das IT-Grundrecht: Funktion, Schutzgehalt, Auswirkungen auf staatliche Ermittlungen, in: Uerpmann-Wittzack, Robert (Hrsg.), Das neue Computergrundrecht, Berlin 2009, S. 1–30 Ders.: Die Vertraulichkeit der Internetkommunikation, in: Rensen, Hartmut/Brink, Stefan (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts – erörtert von den wissenschaftlichen Mitarbeitern, Berlin 2009, S. 99–136 Ders.: Kriminalpräventionsrecht – Eine rechtssetzungsorientierte Studie zum Polizeirecht, zum Strafrecht und zum Strafverfahrensrecht, Habil. Hamburg 2014/2015, Tübingen 2015 Bäcker, Matthias/Freiling, Felix/Schmitt, Sven: Selektion vor der Sicherung – Methoden zur effizienten forensischen Sicherung von digitalen Speichermedien, DuD 2010, S. 80–85 Backes, Otto/Christoph, Gusy: Wer kontrolliert die Telefonüberwachung?, Frankfurt 2003 Badura, Peter: Der Schutz des Brief-, Post- und Fernmeldegeheimnisses durch Verfassung und Gesetz, in: Böse, Martin/Sternberg-Lieben, Detlev (Hrsg.), Grundlagen des Strafund Strafverfahrensrechts – Festschrift für Knut Amelung zum 70. Geburtstag, Berlin 2009, S. 531–541 Baldus, Manfred: Der Kernbereich privater Lebensgestaltung – absolut geschützt, aber abwägungsoffen, in: JZ 2008, S. 218–227

452

Literaturverzeichnis

Bär, Wolfgang: Der Zugriff auf Computerdaten im Strafverfahren, Köln 1992 Ders.: Anmerkung zu BGH-Ermittlungsrichter, Beschluss vom 14.12.1998 – 2 BJs 82/98-3, in: CR 1999, S. 294 Ders.: Anmerkung zu BGH, Beschluss vom 31.1.2007 – StB 18/06, in: MMR 2007, S. 239–242 Ders.: Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen – Gesetzliche Neuregelungen zum 1.1.2008, in: MMR 2008, S. 215–222 Ders.: TK-Überwachung – §§ 100a–101 StPO mit Nebengesetzen – Kommentar, Köln/ München 2010 Ders.: Anmerkung zum Urteil des LG Düsseldorf vom 22.3.2011 – 3 KLs 1/11, in: MMR 2011, S. 625–626 Ders.: Transnationaler Zugriff auf Computerdaten, in: ZIS 2011, S. 53–59 Ders.: Die Neuregelung des § 100j StPO zur Bestandsdatenauskunft – Auswirkungen auf die Praxis der Strafverfolgung, in: MMR 2013, S. 700–704 Ders.: Cybercrime – rechtliche Herausforderungen bei der Bekämpfung, in: Bockemühl, Jan u.a. (Hrsg.), Festschrift für Bernd von Heintschel-Heinegg, München 2015, S. 1–19 Barrot, Johannes M.: Der Kernbereich privater Lebensgestaltung. Zugleich ein Beitrag zum dogmatischen Verständnis des Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG, BadenBaden 2012 Bartsch, Michael: Die „Vertraulichkeit und Integrität informationstechnischer Systeme“ als sonstiges Recht nach § 823 Abs. 1 BGB, in: CR 2008, S. 613–617 Basar, Eren: Anforderungen an die digitale Beweissichrung im Strafprozessrecht und in internen Untersuchungen, in: Ahlbrecht, Heiko u.a. (Hrsg.), Festschrift für Jürgen Wessing zum 65. Geburtstag, 2015, S. 635–647 Basar, Eren/Hie´ramente, Mayeul: Datenbeschlagnahme in Wirtschaftsstrafverfahren und die Frage der Datenlöschung, in: NStZ 2018, S. 681–687 Bauer, Sebastian: Soziale Netzwerke und strafprozessuale Ermittlungen, Berlin 2018 Bäumerich, Maik: Verschlüsselte Smartphones als Herausforderung für die Strafverfolgung – Neue Technologien, alte Befugnisse, in: NJW 2017, S. 2718–2722 Becker, Florian: Grundrechtliche Grenzen staatlicher Überwachung zur Gefahrenabwehr, in: NVwZ 2015, S. 1335–1341 Beck’scher Online-Kommentar BVerfGG, hrsg. von Walter, Christian/Grünewald, Benedikt, 11. Edition, München 2021 Beck’scher Online-Kommentar Datenschutzrecht, hrsg. von Brink, Stefan/Wolff, Heinrich Amadeus, 36. Edition, München 2021 Beck’scher Online-Kommentar Grundgesetz, hrsg. von Epping, Volker/Hillgruber, Christian, 47. Edition, München 2021 Beck’scher Online-Kommentar Strafprozessordnung mit RiStBV und MiStra, hrsg. von Graf, Jürgen Peter, 41. Edition, München 2021 Behr, Johannes: Vollstreckung ohne Durchsuchungsanordnung, Art. 13 II GG, in: NJW 1992, S. 2125–2128 Bell, Senta: Strafverfolgung und die Cloud. Strafprozessuale Ermächtigungsgrundlagen und deren völkerrechtliche Grenzen, Berlin 2019 Benfer, Jost: Die Haussuchung im Strafprozeß, Bochum 1980 Beukelmann, Stephan: Die Online-Durchsuchung, in: StraFo 2008, S. 1–8 Ders.: Surfen ohne strafrechtliche Grenzen, in: NJW 2012, S. 2617–2621 Ders.: Cyber-Attacken – Erscheinungsformen, Strafbarkeit und Prävention, in: NJWSpezial 2017, S. 376–377 Ders.: Online-Durchsuchung und Quellen-TKÜ, in: NJW-Spezial 2017, S. 440 Beulke, Werner/Meininghaus, Florian: Anmerkung zum Beschluss des BGH-Ermittlungsrichters vom 21.2.2006 – 3 BGs 31/06, in: StV 2007, S. 63–65

Literaturverzeichnis

453

Beulke, Werner/Meininghaus, Florian: Der Staatsanwalt als Datenreisender – Heimliche Online-Durchsuchung, Fernzugriff und Mailbox-Überwachung, in: Schöch, Heinz et. al. (Hrsg.), Strafverteidigung, Revision und die gesamten Strafrechtswissenschaften – Festschrift für Gunter Widmaier zum 70. Geburtstag, Köln/München 2008, S. 63–97 Beulke, Werner/Swoboda, Sabine: Strafprozessrecht, 15. Auflage, Heidelberg 2020 Birk, Dominik/Wegener, Christoph: Über den Wolken: Cloud Computing im Überblick, in: DuD 2010, S. 641–645 Birkenstock, Laura Danny: Zur Online-Durchsuchung: Zugang zu einem informationstechnischen System und Infiltration zur Datenerhebung im Strafverfahren. Unter besonderer Berücksichtigung des Urteils des Bundesverfassungsgerichts vom 27.02.2008, Hamburg 2013 Blechschmitt, Lisa: Zur Einführung von Quellen-TKÜ und Online-Durchsuchung, in: StraFo 2017, S. 361–365 Dies.: Strafverfolgung im digitalen Zeitalter – Auswirkungen des stetigen Datenaustauschs auf das strafrechtliche Ermittlungsverfahren, in: MMR 2018, S. 361–366 Bleich, Holger/Radke, Jeremias/Scherschel, Fabian A.: Hoch verfügbar – Zehn CloudDatenspeicher im Test, in: c’t 2014, Heft 16, S. 72–77 Bock, Dennis/Marlie, Marcus: Eingriffe in Rechte Nichtbeschuldigter bei der Umsetzung von Ermittlungsmaßnahmen, in: Rotsch, Thomas/Brüning, Janique/Schady, Jan (Hrsg.), Strafrecht, Jugendstrafrecht, Kriminalprävention in Wissenschaft und Praxis – Festschrif für Heribert Ostendorf zum 70. Geburtstag am 7. Dezember 2015, BadenBaden 2015, S. 89–107 Böckenförde, Thomas: Die Ermittlung im Netz. Möglichkeiten und Grenzen neuer Erscheinungsformen strafprozessualer Ermittlungstätigkeit, Tübingen 2003 Ders.: Auf dem Weg zur elektronischen Privatsphäre – Zugleich Besprechung von BVerfG, Urteil v. 27.2.2008 – „Online-Durchsuchung“, in: JZ 2008, S. 925–939 Bode, Thomas A.: Verdeckte strafprozessuale Ermittlungsmaßnahmen, Berlin/Heidelberg 2012 Bohn, Andre´: Das Gesetz zur Fortentwicklung der StPO und zur Änderung weiterer Vorschriften – Eine kritische Würdigung der Neuregelungen, in: KriPoZ 2021, S. 350–356 Böse, Martin: Die neuen Regelungen zum Rechtsschutz gegen strafprozessuale Informationseingriffe und ihre Konsequenzen für die prozessuale Geltendmachung von Verwertungsverboten, in: in: Böse, Martin/Sternberg-Lieben, Detlev (Hrsg.), Grundlagen des Straf- und Strafverfahrensrechts – Festschrift für Knut Amelung zum 70. Geburtstag, Berlin 2009, S. 565–584 Bosesky, Pino/Hoffmann, Christian/Schulz, Sönke E.: Datenhoheit im Cloud-Umfeld, in: DuD 2013, S. 95–100 Bratke, Bastian: Die Quellen-Telekommunikationsüberwachung im Strafverfahren, Berlin 2013 Braun, Frank/Roggenkamp, Jan Dirk: 0zapftis – (Un)Zulässigkeit von „Staatstrojanern“, in: K&R 2011, S. 681–686 Braun, Michael: Die Durchsicht elektronischer Speichermedien: Zugriff auf Speichermedien andernorts zulässig, in: PStR 2012, S. 86–91 Breckwoldt, Maike: Grundrechtskombinationen, Tübingen 2015 Britz, Gabriele: Vertraulichkeit und Integrität informationstechnischer Systeme – Einige Fragen zu einem „neuen Grundrecht“, in: DÖV 2008, S. 411–415 Dies.: Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts, in: Wolfgang Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, Tübingen 2010, S. 561–596 Brodowksi, Dominik: Strafprozessualer Zugriff auf E-Mail-Kommunikation – zugleich Besprechung zu BVerfG, Beschl. v. 16.6.2009 – 2 BvR 902/06 sowie zu BGH, Beschl. Vom 31.3.2009 – 1 StR 76/09, in: JR 2009, S. 402–412

454

Literaturverzeichnis

Ders.: Verdeckte technische Überwachungsmaßnahmen im Polizei und Strafverfahrensrecht. Zur rechtsstaatlichen und rechtspraktischen Notwendigkeit eines einheitlichen operativen Ermittlungsrechts, Tübingen 2016 Brodowski, Dominik/Eisenmenger, Florian: Zugriff auf Cloud-Speicher und Internetdienste durch Ermittlungsbehörden – Sachliche und zeitliche Reichweite der „kleinen Online-Durchsuchung“ nach § 110 Abs. 3 StPO, in: ZD 2014, S. 119–126 Buermeyer, Ulf: Die „Online-Durchsuchung“. Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, in: HRRS 2007, S. 154–166 Ders.: Die „Online-Durchsuchung“. Verfassungsrechtliche Grenzen des verdeckten hoheitlichen Zugriffs auf Computersysteme, in: HRRS 2007, S. 329–337 Ders.: Verfassungsrechtliche Grenzen der „Online-Durchsuchung“, in: RDV 2008, S. 8–15 Ders.: Gutachterliche Stellungnahme zur Öffentlichen Anhörung zur „Formulierungshilfe“ des BMJV zur Einführung von Rechtsgrundlagen für Online-Durchsuchung und Quellen-TKÜ im Strafprozess – Ausschuss-Drucksache 18(6)334 – im Ausschuss für Recht und Verbraucherschutz des Deutschen Bundestages am 31. Mai 2017, abrufbar unter https://www.bundestag.de/blob/508848/bdf7512e32578b699819a5aa33dde93c/b uermeyer-data.pdf [zuletzt abgerufen am 04.11.2021] Buermeyer, Ulf/Bäcker, Matthias: Zur Rechtswidrigkeit der Quellen-Telekommunikationsüberwachung auf Grundlage des § 100a StPO, in: HRRS 2009, S. 433–441 Bundesamt für Sicherheit in der Informationstechnik: Leitfaden „IT-Forensik“, Version 1.0.1 (März 2011), abrufbar unter https://www.bsi.bund.de/DE/Themen/Oeffentliche-V erwaltung/Sicherheitspruefungen/IT-Forensik/forensik node.html [zuletzt abgerufen am 04.11.2021] Bundesamt für Verfassungsschutz: Stellungnahme an den Hauptausschuss und Innenausschuss des Landtags NRW zur Änderung des Verfassungsschutzgesetzes NRW (LTDrs. 14/2211), in: LT NRW-Stellungnahme 14/0639, 2006, S. 1–8 Bundesministerium des Innern: Antworten auf den Fragenkatalog des Bundesministeriums für Justiz, 22. August 2007, S. 1–22, abrufbar unter: http://netzpolitik.org/wp-upload/f ragen-onlinedurchsuchung-BMJ.pdf [zuletzt abgerufen am 04.11.2021] Bundesministerium des Innern: Antworten auf den Fragenkatalog der SPD-Bundestagsfraktion, AG Kultur und Medien, AG Neue Medien, 22. August 2007, S. 1–21, abrufbar unter: http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-SPD.pdf [zuletzt abgerufen am 04.11.2021] Bundesrechtsanwaltskammer: Stellungnahme der Bundesrechtsanwaltskammer zur sogenannten Online-Durchsuchung, erarbeitet vom Strafrechtsausschuss der Bundesrechtsanwaltskammer, BRAK-Stellungnahme-Nr. 4/2007, S. 1–5, abrufbar unter http://www. brak.de/zur-rechtspolitik/stellungnahmen-pdf/stellungnahmen-deutschland/2007/mae rz/stellungnahme-der-brak-2007-04.pdf [zuletzt abgerufen am 04.11.2021] Bunzel, Maik: Der strafprozessuale Zugriff auf IT-Systeme. Eine Untersuchung aus technischer und verfassungsrechtlicher Perspektive, Berlin 2015 Burchard, Christoph: Der grenzüberschreitende Zugriff auf Clouddaten im Lichte der Fundamentalprinzipien der internationalen Zusammenarbeit in Strafsachen – Teil 1, in: ZIS 2018, S. 190–203 Ders.: Der grenzüberschreitende Zugriff auf Clouddaten im Lichte der Fundamentalprinzipien der internationalen Zusammenarbeit in Strafsachen – Teil 2, in: ZIS 2018, S. 249–267 Ders.: Europäische E-Evidence-Verordnung: Rechtsstaatlich defizitär, der Realität hinterher und langfristig konträr zu europäischen Interessen, in: ZRP 2019, S. 164–167 Burhoff, Detlef: Handbuch für das strafrechtliche Ermittlungsverfahren, 8. Auflage, Bonn 2019

Literaturverzeichnis

455

Chaos Computer Club: Stellungnahme an das Bundesverfassungsgericht zum BKA-Gesetz und zum Einsatz von Staatstrojanern – 1 BvR 966/09, 1 BvR 1140/09, abrufbar unter: ht tp://www.ccc.de/system/uploads/189/original/BKAG Stellungnahme.pdf, S. 1–15 [zuletzt abgerufen am 04.11.2021] Cordes, Malte/Pannenborg, Eerke: Strafprozessuale und verfassungsrechtliche Grenzen im Umgang mit Zufallsfunden, in: NJW 2019, S. 2973–2977 Cornelius, Kai: Anmerkung zum Beschluss des BGH vom 31. Januar 2007 – StB 18/06, in: JZ 2007, S. 798–800 Czerner, Frank: Digitale Forensik zwischen (Online-)Durchsuchung, Beschlagnahme und Datenschutz, in: Labudde, Dirk/Spranger, Michael (Hrsg.), Forensik in der digitalen Welt. Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten Welt, 2017, S. 265–300 Dalby, Jakob: Grundlagen der Strafverfolgung im Internet und in der Cloud. Möglichkeiten, Herausforderungen und Chancen, Wiesbaden 2016 Dammann, Ilmer: Der Kernbereich der privaten Lebensgestaltung. Zum Menschenwürdeund Wesensgehaltsschutz im Bereich der Freiheitsgrundrechte, Berlin 2011 Degener, Wilhelm: Grundsatz der Verhältnismäßigkeit und strafprozessuale Zwangsmaßnahmen, Berlin 1985 Degenhart, Christoph: Staatsrecht I – Staatsorganisationsrecht, 36. Auflage, Heidelberg 2020 Denkowski, Charles von: „Online-Durchsuchung“ – der Gesetzgeber ist gefordert, in: Kriminalistik 2007, S. 177–185 Derin, Benjamin/Golla, Sebastian: Der Staat als Manipulant und Saboteur der IT-Sicherheit? – Die Zulässigkeit von Begleitmaßnahmen zu „Online-Durchsuchung“ und Quellen-TKÜ, in: NJW 2019, S. 1111–1116 Detterbeck, Steffen: Allgemeines Verwaltungsrecht, 19. Auflage, München 2021 Deutscher Anwaltverein: Stellungnahme Nr. 44/2017 des Deutschen Anwaltvereins durch den Ausschuss Strafrecht zur Formulierungshilfe der Bundesregierung für einen Änderungsantrag der Fraktionen CDU/CSU und SPD zu dem Gesetzentwurf der Bundesregierung – Drucksache 18/11272 Dietrich, Jan-Hendrik/Eiffler, Sven-R. (Hrsg.): Handbuch des Rechts der Nachrichtendienste, Stuttgart 2017 Di Fabio, Udo: Sicherheit in Freiheit, in: NJW 2008, S. 421–425 Dralle´, Lutz: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Kiel 2010 Dreier, Horst (Hrsg.): Grundgesetz – Kommentar, Band I und II, 3. Auflage, Tübingen 2013/2015 Dressel, Julia/Farid, Hany: The accuracy, fairness and limits of predicting recidivism, in: Science Advances 2018, Auflage 4, Band 1, S. 1–5 Eckhardt, Jens: Die Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen – Ein kritischer Überblick über die geplanten Änderungen in der StPO zur Umsetzung der Cybercrime Convention, in: CR 2007, S. 336–344 Eckstein, Ken: Ermittlungen zu Lasten Dritter, Tübingen 2013 Eifert, Martin: Informationelle Selbstbestimmung im Internet – Das BVerfG und die Online-Durchsuchungen, in: NVwZ 2008, S. 521–523 Ders.: Das allgemeine Persönlichkeitsrecht des Art. 2 Abs. 1 GG, in: Jura 2015, S. 1181–1191 Eisenberg, Ulrich: Beweisrecht der StPO – Spezialkommentar, 10. Auflage, München 2017 Eisenberg, Ulrich/Singelnstein, Tobias: Zur Unzulässigkeit der heimlichen Ortung per „Stiller SMS“, in: NStZ 2005, S. 62–67

456

Literaturverzeichnis

Eisenmenger, Florian: Die Grundrechtsrelevanz „virtueller Streifenfahrten“ – dargestellt am Beispiel ausgewählter Kommunikationsdienste des Internets, Berlin 2017 Epping, Volker: Grundrechte, 9. Auflage, Berlin 2021 Eschelbach, Ralf/Wasserburg, Klaus: Antastung der Menschenwürde im Strafverfahren, in: Zöller, Mark A. u.a. (Hrsg.), Gesamte Strafrechtswissenschaft in internationaler Dimension – Festschrift für Jürgen Wolter zum 70. Geburtstag am 7. September 2013, S. 877–889 Esser, Robert: Grenzüberschreitende Ermittlungen innerhalb der EU: neuer Rechtsrahmen für E-Evidence, in: StraFo 2019, S. 404–412 Esser, Robert/Reißmann, Ludwig: Schutz des Kernbereichs privater Lebensgestaltung durch den Einsatz künstlicher Intelligenz (KI) – Neue Perspektiven für Strafverfolgung und Gefahrenabwehr, in: StV 2021, S. 526–532 Europäischer Rat (Council of the European Union): Council Conclusions on a Concerted Work Strategy and Practical Measures Against Cybercrime, 2987th JUSTICE and HOME AFFAIRS Council meeting, Brussels, 27–28 November 2008, abrufbar unter ht tp://www.consilium.europa.eu/ueDocs/cms Data/docs/pressData/en/jha/104344.pdf [zuletzt abgerufen am 04.11.2021] Fährmann, Jan/Aden, Hartmut/Bosch, Alexander: Technologieentwicklung und Polizei: intensivere Grundrechtseingriffe auch ohne Gesetzesänderung, in: KrimJ 2020, S. 135–148 Fetzer, Thomas/Scherer, Joachim/Graulich, Kurt (Hrsg.): TKG – Telekommunikationsgesetz Kommentar, 3. Auflage, Berlin 2021 Fezer, Gerhard: Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06, in: NStZ 2007, S. 535–536 Fezer, Karl-Heinz: Dateneigentum – Theorie des immaterialgüterrechtlichen Eigentums an verhaltensgenerierten Personendaten der Nutzer als Datenproduzenten, in: MMR 2017, S. 3–5 Finke, Anja: Die Durchsuchung von Räumlichkeiten im Ermittlungsverfahren. Eine empirische Untersuchung zur Anwendung der §§ 102 ff. StPO durch Polizei, Staatsanwaltschaft und Ermittlungsrichter, Berlin 2009 Fischer, Peter/Hofer, Peter: Lexikon der Informatik, 15 Auflage, Heidelberg 2011 Fox, Dirk: Realisierung, Grenzen und Risiken der „Online-Durchsuchung“, in: DuD 2007, S. 827–834 Freiling, Felix/Sack, Konstantin: Selektive Datensicherungen in der IT-Forensik – Der Mittelweg zwischen Übermaß- und Untermaßverbot, DuD 2014, S. 112–117 Freiling, Felix/Safferling, Christoph/Rückert, Christian: Quellen-TKÜ und Online-Durchsuchung als neue Maßnahmen für die Strafverfolgung: Rechtliche und technische Herausforderungen, in: JR 2018, S. 9–22 Gaede, Karsten: Der grundrechtliche Schutz gespeicherter E-Mails beim Provider und ihre weltweite strafprozessuale Überwachung – Zugleich Besprechung zu LG Hamburg, Beschl. vom 8.1.2008 – 619 Qs 1/08, in: StV 2009, S. 96–102 Gähler, Sven Gerry: Strafprozessuale Ermittlungsmaßnahmen bei Datenübertragung im Cloud-Computing, in: HRRS 2016, S. 340–349 Galen, Margarete von: Kritische Anmerkungen zur E-Evidence-Verordnung, in: Herausforderungen der Digitalisierung für das Strafverfahren, in: Hoven, Elisa/Kudlich, Hans (Hrsg.), Digitalisierung und Strafverfahren, Baden-Baden 2020, S. 127–138 Geminn, Christian/Roßnagel, Alexander: „Privatheit“ und „Privatsphäre“ aus der Perspektive des Rechts – ein Überblick, in: JZ 2015, S. 703–708 Geppert, Klaus: Zufallsfunde im Strafprozess (§ 108 StPO), in: Jura 2015, S. 682–689 Gercke, Björn: Der Mobilfunkverkehr als Ausgangspunkt für strafprozessuale Überwachungsmaßnahmen – ein Überblick, in: StraFo 2003, S. 76–79

Literaturverzeichnis

457

Ders.: Anmerkung zum Urteil des BVerfG vom 2.3.2006 – 2 BvR 2099/04, in: StV 2006, S. 454–456 Ders.: Zur Zulässigkeit sog. Transborder Searches – Der strafprozessuale Zugriff auf im Ausland gespeicherte Daten, in: StraFo 2009, S. 271–274 Ders.: Die Kumulation strafprozessualer Beweisgewinnungsmaßnahmen, in: Hiebl, Stefan/Kassebohm, Nils/Lilie, Hans (Hrsg.), Festschrift für Volkmar Mehle zum 65. Geburtstag am 11.11.2009, S. 219–231 Ders.: Straftaten und Strafverfolgung im Internet, in: GA 2012, S. 474–490 Ders.: Überwachung der Telekommunikation – von der Ausnahme zur Regel, in: StraFo 2014, S. 94–101 Ders.: Ein „letztes Refugium“ – Der Kernbereich privater Lebensgestaltung als absolute Grenze der Wahrheitsermittlung im Strafverfahren, in: GA 2015, S. 339–350 Gercke, Marco: Heimliche Online-Durchsuchung: Anspruch und Wirklichkeit – Der Einsatz softwarebasierter Ermittlungsinstrumente zum heimlichen Zugriff auf Computerdaten, in: CR 2007, S. 245–253 Ders.: Die Entwicklung des Internetstrafrechts im Jahr 2008, in: ZUM 2009, S. 526–538 Ders.: Strafrechtliche und strafprozessuale Aspekte von Cloud Computing und Cloud Storage, in: CR 2010, S. 345–348 Ders.: Strafrechtliche und strafprozessuale Aspekte von Cloud Computing und Cloud Storage, in: Borges, Georg/Meents, Jan Geert (Hrsg.), Cloud Computing – Rechtshandbuch, München 2016, S. 581–605 Gercke, Marco/Brunst, Phillip W.: Praxishandbuch Internetstrafrecht, Stuttgart 2009 Germann, Michael: Das allgemeine Persönlichkeitsrecht, in: Jura 2010, S. 734–744 Geschonneck, Alexander: Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären, 6. Auflage, Heidelberg 2014 Glaser, Michael/Gedeon, Bertolt: Dissonante Harmonie: Zu einem zukünftigen „System“ strafprozessualer verdeckter Ermittlungsmaßnahmen, in: GA 2007, S. 415–436 Gless, Sabine: Wenn das Haus mithört: Beweisverbote im digitalen Zeitalter, in: StV 2018, S. 671–678 Golla, Sebastian J.: Lernfähige Systeme, lernfähiges Polizeirecht – Regulierung von künstlicher Intelligenz am Beispiel von Videoüberwachung und Datenabgleich, in: KrimJ 2020, S. 149–161 Graßie, Christian/Hie´ramente, Mayeul: Praxisprobleme bei der IT-Durchsuchung, in: CB 2019, S. 191–196 Graulich, Volker: Die Sicherstellung von während einer Durchsuchung aufgefundenen Gegenständen – Beispiel Steuerstrafverfahren, in: wistra 2008, S. 299–302 Grawe, Stefan: Die strafprozessuale Zufallsverwendung. Zufallsfunde und andere Zweckdivergenzen bei der Informationsverwendung im Strafverfahren, Tübingen 2008 Gröpl, Christoph/Windthorst, Kay/von Coelln, Christian: Grundgesetz – Studienkommentar, 4. Auflage, München 2020 Großmann, Sven: Zur repressiven Online-Durchsuchung, in: GA 2018, S. 439–456 Ders.: Telekommunikationsüberwachung und Online-Durchsuchung: Voraussetzungen und Beweisverbote, in: JA 2019, S. 241–248 Grözinger, Andreas: Die Überwachung von Cloud-Storage. Eine Untersuchung der strafprozessualen Möglichkeiten zur heimlichen Überwachung von Cloud-Storage vor und nach dem Inkrafttreten des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens, Baden-Baden 2018 Ders.: Heimliche Zugriffe auf die Cloud – Befugnis zur Plünderung eines unermesslichen Datenschatzes?, in: StV 2019, S. 406–412 Gudermann, Anne: Online-Durchsuchung im Lichte des Verfassungsrechts. Die Zulässigkeit eines informationstechnologischen Instruments moderner Sicherheitspolitik, Hamburg 2010

458

Literaturverzeichnis

Gurlit, Elke: Die Verfassungsrechtsprechung zur Privatheit im gesellschaftlichen und technologischen Wandel, in: RdV 2006, S. 43–50 Dies.: Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, in: NJW 2010, S. 1035–1041 Gusy, Christoph: Stellungnahme zum Gesetz der Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen (VSG-E) – Landtags-Drucksache 14/2211, in: LT NRW-Stellungnahme 14/0629, 2006, S. 1–9 Guttenberg, Ulrich: Die heimliche Überwachung von Wohnungen – Zur verfassungsrechtlichen Problematik des § 9 II, III BVerfSchG und verwandter Vorschriften, in: NJW 1993, S. 567–576 Hamel, Patricia: Schnellerer grenzüberschreitender Zugriff auf elektronische Beweismittel: die E-evidence Vorschläge der Europäischen Kommission, in: Hoven, Elisa/Kudlich, Hans (Hrsg.), Digitalisierung und Strafverfahren, Baden-Baden 2020, S. 103–126 Hamm, Rainer: Anmerkung zum Beschluss des BGH vom 31.1.2007 – StB 18/06, in: NJW 2007, S. 932–933 Handkommentar Gesamtes Strafrecht – StGB, StPO, Nebengesetze, hrsg. von Dölling, Dieter/Duttge, Gunnar/Rössner, Dieter/König, Stefan, 4. Auflage, Baden-Baden 2017 (zitiert: HK-GS/Bearbeiter) Hansen, Marit: Vertraulichkeit und Integrität von Daten und IT-Systemen im CloudZeitalter, in: DuD 2012, S. 407–411 Hansen, Markus/Pfitzmann, Andreas: Technische Grundlagen von Online-Durchsuchung und Beschlagnahme, in: DRiZ 2007, S. 225–228 Hansen, Markus/Pfitzmann, Andreas: Techniken der Online-Durchsuchung: Gebrauch, Missbrauch, Empfehlungen, in: Roggan, Fredrik (Hrsg.), Online-Durchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 131–154 Härtel, Ines: Altes im neuen Gewande? – Die Fortentwicklung der Grundrechtsdogmatik am Beispiel des BVerfG-Urteils zur Online-Durchsuchung, in: NdsVBl. 2008, S. 276–283 Härting, Niko: Kommunikationsfreiheit und Datentransparenz – Bausteine eines modernen Datenschutzrechts als Reaktion auf das „Computer-Grundrecht“, in: AnwBl 2011, S. 246–249 Hauck, Pierre: Heimliche Strafverfolgung und Schutz der Privatheit. Eine vergleichende und interdisziplinäre Analyse des deutschen und englischen Rechts unter Berücksichtigung der Strafverfolgung in der Europäischen Union und im Völkerstrafrecht, Tübingen 2014 Hauser, Markus: Das IT-Grundrecht – Schnittfelder und Auswirkungen, Berlin 2015 Heckmann, Dirk: Staatliche Schutz- und Förderpflichten zur Gewährleistung von ITSicherheit – Erste Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“, in: Rüßmann, Helmut (Hrsg.), Festschrift für Gerhard Käfer, Saarbrücken 2009, S. 129–164 Heger, Martin/Pohlreich, Erol: Strafprozessrecht, 2. Auflage, Stuttgart 2018 Heghmanns, Michael/Scheffler, Uwe: Handbuch zum Strafverfahren, München 2008 Heidelberger Kommentar zur Strafprozessordnung, hrsg. von Gercke, Björn/Julius, KarlPeter/Temming, Dieter/Zöller, Mark A., 6. Auflage, Heidelberg 2019 (zitiert: HK-StPOBearbeiter) Heidrich, Joerg/Wegener, Christoph: Sichere Datenwolken – Cloud Computing und Datenschutz, in: MMR 2010, S. 803–807 Heinemann, Marcus: Grundrechtlicher Schutz informationstechnischer Systeme – Unter besonderer Berücksichtigung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Berlin 2015

Literaturverzeichnis

459

Heinrich, Jens: Die Durchsuchung in Wirtschaftsstrafverfahren, in: wistra 2017, S. 219–225 Heinson, Dennis: IT-Forensik. Zur Erhebung und Verwertung von Beweisen aus informationstechnischen Systemen, Tübingen 2015 Helmken, Dierk: Reform des Richtervorbehalts: Vom Palliativum zum effektiven Grundrechtsschutz – Zur Psychologie der Entscheidungstätigkeit des Ermittlungsrichters, in: StV 2003, S. 193–198 Henrichs, Axel: TKÜ-Maßnahmen und andere Intensivermittlungen – Praxisnahe Neuregelung der Strafprozessordnung seit 1.1.2008 in Kraft, in: Kriminalistik 2008, 169–174 Ders.: Zur rechtlichen Zulässigkeit der Quellen-TKÜ, in: Kriminalistik 2008, S. 438–443 Ders.: Ermittlungen im Internet – Zugriff auf öffentlich zugängliche oder nicht öffentlich zugängliche Informationen?, in: Kriminalistik 2011, S. 622–627 Ders.: Verdeckte personale Ermittlungen im Internet, in: Kriminalistik 2012, S. 632–636 Henrichs, Axel/Wilhelm, Jörg: Polizeiliche Ermittlungen in sozialen Netzwerken – Neue Antworten auf neue Herausforderungen?, in: Kriminalistik 2010, S. 30–37 Herrmann, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Entstehung und Perspektiven, Frankfurt 2010 Herrmann, Klaus/Soine´, Michael: Durchsuchung persönlicher Datenspeicher und Grundrechtsschutz, in: NJW 2011, S. 2922–2928 Heynckes, Heinz-Willi: Das Ausschussverfahren nach der Geschäftsordnung des Bundestages, in: ZParl 2008, S. 459–477 Hie´ramente, Mayeul: Legalität der strafprozessualen Überwachung des Surfverhaltens, in: StraFo 2013, S. 96–102 Ders.: Surfen im Internet doch Telekommunikation im Sinne des § 100a StPO? – Anmerkung zum Beschluss des Bundesverfassungsgerichts vom 6. Juli 2016, 2 BvR 1454/13 (BVerfG HRRS 2016 Nr. 860), in: HRRS 2016, S. 448–452 Ders.: „Räumliche“ Grenzen von (IT-)Durchsuchungen in Unternehmen – ein Beitrag zur Abgrenzung zwischen § 102 StPO und § 103 StPO, in: NStZ 2021, S. 390–395 Hie´ramente, Mayeul/Fenina, Patrick: Telekommunikationsüberwachung und Cloud Computing – Der § 100a-Beschluss als Nimbus der Legalität?, in: StraFo 2015, S. 365–374 Hie´ramente, Mayeul/Pfister, Andreas: Datenerhebung beim Hersteller von Mobiltelefonen – Zum Erfordernis des Strukturwandels bei der strafprozessualen Datenerhebung, in: StV 2017, S. 477–481 Hilgendorf, Eric/Kudlich, Hans/Valerius, Brian (Hrsg.): Handbuch des Strafrechts, Band 7, Heidelberg 2020 Hilgendorf, Eric/Valerius, Brian: Computer- und Internetstrafrecht – Ein Grundriss, 2. Auflage, Heidelberg 2012 Hillgruber, Christian: Ohne rechtes Maß? Eine Kritik der Rechtsprechung des Bundesverfassungsgerichts nach 60 Jahren, in: JZ 2011, S. 861–871 Hinz, Christian: Onlinedurchsuchungen, in: Jura 2009, S. 141–146 Hirsch, Burkhard: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – Zugleich Anmerkung zu BVerfG, NJW 2008, 822, in: NJOZ 2008, S. 1907–1915 Hoeren, Thomas: Was ist das „Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme“?, in: MMR 2008, S. 365–366 Ders.: Internetrecht – Ein Grundriss, 3. Auflage, Berlin/Boston 2018 Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.): Handbuch Multimedia-Recht – Rechtsfragen des elektronischen Geschäftsverkehrs, 56. Ergänzungslieferung, München 2021

460

Literaturverzeichnis

Hoffmann, Christian: Die Verletzung der Vertraulichkeit informationstechnischer Systeme durch Google Street View, in: CR 2010, S. 514–518 Hoffmann, Christian/Luch, Anika D./Schulz, Sönke E./Borchers, Kim Corinna: Die digitale Dimension der Grundrechte. Das Grundgesetz im digitalen Zeitalter, Baden-Baden 2015 Hoffmann-Holland, Klaus/Koranyi, Johannes: Das Offenheitsgebot bei Wohnungsdurchsuchungen, in: ZStW 125 (2014), S. 837–861 Hoffmann-Riem, Wolfgang: Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme, in: JZ 2008, S. 1009–1022 Ders.: Grundrechts- und Funktionsschutz für elektronisch vernetzte Kommunikation, in: AöR 134 (2009), S. 513–541 Ders.: Verhaltenssteuerung durch Algorithmen – Eine Herausforderung für das Recht, in: AöR 142 (2017), S. 1–42 Hofmann, Jens: Zur Absolutheit des Menschenwürdeschutzes im Wirken des Präsidenten des BVerfG Hans-Jürgen Papier, in: NVwZ 2010, S. 218–221 Hofmann, Manfred: Die Online-Durchsuchung – staatliches „Hacken“ oder zulässige Ermittlungsmaßnahme?, in: NStZ 2005, S. 121–125 Holznagel, Bernd/Schumacher, Pascal: Auswirkungen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme auf RFID-Chips, in: MMR 2009, S. 3–8 Hömig, Dieter: „Neues“ Grundrecht, neue Fragen? – Zum Urteil des BverfG zur OnlineDurchsuchung, in: Jura 2009, S. 207–213 Hömig, Dieter/Wolff, Heinrich Amadeus (Hrsg.): Grundgesetz für die Bundesrepublik Deutschland – Handkommentar, 12. Auflage, Baden-Baden 2018 Hong, Mathias: Der Menschenwürdegehalt der Grundrechte – Grundfragen, Entstehung und Rechtsprechung, Tübingen 2019 Horn, Felix: Biometrische Sicherungen mobiler Endgeräte – Brauchen wir neue Ermächtigungsgrundlagen?, in: Kriminalistik 2019, S. 641–645 Hornick, Andreas: Staatlicher Zugriff auf elektronische Medien, in: StraFo 2008, S. 281–286 Hornung, Gerrit: Ermächtigungsgrundlage für die „Online-Durchsuchung“?, in: DuD 2007, S. 575–580 Ders.: Erwiderung auf Johannes Rux JZ 2007, 285 – Die Festplatte als „Wohnung“?, in: JZ 2007, S. 828–831 Ders.: Ein neues Grundrecht – Der verfassungsrechtliche der „Vertraulichkeit und Integrität informationstechnischer Systeme“, in: CR 2008, S. 299–306 Huber, Bertold: Trojaner mit Schlapphut – Heimliche „Online-Durchsuchung“ nach dem Nordrhein-Westfälischen Verfassungsschutzgesetz, in: NVwZ 2007, S. 880–884 Hufen, Friedhelm: Staatsrecht II – Grundrechte, 8. Auflage, München 2020 Humanistische Union: Stellungnahme zum Gesetzentwurf zur Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen (VSG NRW) – LT-Drucks. 14/2211, in: LT NRW-Stellungnahme 14/0628, 2006, S. 1–10 Huster, Stefan: Stellungnahme zur Anhörung am 19. Oktober 2006 betr. Gesetz zur Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen, in: LT NRWStellungnahme 14/0641, 2006, S. 1–6 Ihwas, Saleh Ramadan: Strafverfolgung in Sozialen Netzwerken. Facebook & Co. als moderne Ermittlungswerkzeuge, Baden-Baden 2014 Jäger, Marc: Anmerkung zu BVerfG 1. Senat, Urteil vom 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07, in: jurisPR-ITR 12/2008 Anm. 2 Jahn, Matthias: Die Aufgaben des Strafverteidigers im Verfassungsbeschwerdeverfahren, in: ZIS 2009, S. 511–518

Literaturverzeichnis

461

Jahn, Matthias/Brodowski, Dominik: Digitale Beweismittel im deutschen Strafprozess – Ermittlungsverfahren, Hauptverhandlung und Revision, in: Hoven, Elisa/Kudlich, Hans (Hrsg.), Digitalisierung und Strafverfahren, Baden-Baden 2020, S. 67–102 Jahn, Matthias/Kudlich, Hans: Die strafprozessuale Zulässigkeit der Online-Durchsuchung, in: JR 2007, S. 57–61 Janker, Helmut: Zur Reichweite der Eingriffsermächtigung des § 100c I Nr. 2 StPO bei Abhörmaßnahmen in Kraftfahrzeugen, in: NJW 1998, S. 269–272 Jarass, Hans D./Pieroth, Bodo: Grundgesetz für die Bundesrepublik Deutschland – Kommentar, 16. Auflage, München 2020 Joecks, Wolfgang: Strafprozessordnung – Studienkommentar, 4. Auflage, München 2015 Kant, Martina/Busch, Heiner: Der Staat surft mit – Ermittlungen von Polizei und Geheimdiensten im Internet, in: CILIP 098 (1/2011) Karlsruher Kommentar zur Strafprozessordnung – GVG, EGGVG, EMRK, hrsg. von Hannich, Rolf, 8. Auflage, München 2019 (zitiert: KK/Bearbeiter) Kasiske, Peter: Neues zur Beschlagnahme von E-Mails beim Provider – Besprechung von BGH 1 StR 76/09 und BVerfG 2 BvR 902/06, in: StraFo 2010, S. 228–235 Kaspar, Johannes: Verhältnismäßigkeit und Grundrechtsschutz im Präventionsstrafrecht, Baden-Baden 2014 Käß, Robert: Die Befugnis zum verdeckten Zugriff auf informationstechnische Systeme im bayerischen Polizeiaufgabengesetz (sog. Online-Überwachung oder Online-Durchsuchung), in: BayVBl. 2010, S. 1–15 Keller, Christoph: Überwachung des E-Mail-Verkehrs und „Online-Streife“ – Beschlüsse des BGH v. 31.3.2009 und des BVerfG v. 16.6.2009, in: Kriminalistik 2009, S. 491–498 Kemper, Martin: Die Beschlagnahmefähigkeit von Daten und E-Mails, in: NStZ 2005, S. 538–544 Ders.: Anforderungen und Inhalt der Online-Durchsuchung bei der Verfolgung von Straftaten, in: ZRP 2007, S. 105–109 Ders.: Die „Mitnahme zur Durchsicht“ – Ein vom Gesetz nicht vorgesehenes Instrument zur Sicherstellung von Beweismitteln?, in: wistra 2010, S. 295–298 Kingreen, Thorsten/Poscher, Ralf: Grundrechte – Staatsrecht II, 36. Auflage, Heidelberg 2020 Kleinknecht, Theodor/Müller, Hermann/Reitberger, Leonhard (Begr.): Kommentar zur Strafprozessordnung, Loseblattwerk, Aktualisierungslieferung Nr. 107, Stand: Oktober 2021 (zitiert: KMR/Bearbeiter) Klement, Jan Henrik: Die Kumulation von Grundrechtseingriffen im Umweltrecht, in: AöR 134 (2009), S. 35–82 Klesczewski, Diethelm: Straftataufklärung im Internet – Technische Möglichkeiten und rechtliche Grenzen von strafprozessualen Ermittlungseingriffen im Internet, in: ZStW 123 (2011), S. 737–766 Klose, Bernhard: Aktuelle Entwicklungen des Wirtschaftsstrafrechts für die gerichtliche und staatsanwaltschaftliche Praxis, in: NZWiSt 2019, S. 93–100 Knauer, Christoph/Wolf, Christian: Zivilprozessuale und strafprozessuale Änderungen durch das Erste Justizmodernisierungsgesetz – Teil 2: Änderungen der StPO, in: NJW 2004, S. 2932–2938 Knierim, Thomas C.: Fallrepetitorium zur Wohnraumüberwachung und anderen verdeckten Eingriffen nach neuem Recht, in: StV 2009, S. 206–212 Knierim, Thomas C./Oehmichen, Anna: Quellen-TKÜ und Online-Durchsuchung, in: Knierim, Thomas C./Oehmichen, Anna/Beck, Susanne/Geisler, Claudius (Hrsg), Gesamtes Strafrecht aktuell, Baden-Baden 2018, Kapitel 20 Kochheim, Dieter: Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, 2. Auflage, München 2018

462

Literaturverzeichnis

Köhler, Michael: Prozeßrechtsverhältnis und Ermittlungseingriffe, in: ZStW 107 (1995), S. 10–47 Kohlmann, Diana: Online-Durchsuchungen und andere Maßnahmen mit Technikeinsatz. Bedeutung und Legitimation ihres Einsatzes im Ermittlungsverfahren, Baden-Baden 2012 Koranyi, Johannes/Singelnstein, Tobias: Rechtliche Grenzen für polizeiliche Bildaufnahmen von Versammlungen, in: NJW 2011, S. 124–128 Korge, Tobias: Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, Heidelberg 2009 Krause, Benjamin: Sicherung von ausländischen E-Mail-Postfächern durch heimliches Einloggen – innovativ oder unzulässig?, in: Kriminalistik 2014, S. 213–217 Ders.: IP-Tracking durch Ermittlungsbehörden: Ein Fall für § 100g StPO? – Zugleich Besprechung des BGH-Beschl. v. 23.9.2014 – 1 Bgs 210/14, in: NStZ 2016, S. 139–144 Krekeler, Wilhelm: Beweisverwertungsverbote bei fehlerhaften Durchsuchungen, in: NStZ 1993, S. 263–268 Kremer, Sascha/Völkel, Christian: Cloud Storage und Cloud Collaboration als Telekommunikationsdienste – Wann Funktionalitäten von Cloud Services unter das TKG fallen, in: CR 2015, S. 501–505 Krey, Volker/Heinrich, Manfred: Deutsches Strafverfahrensrecht, 2. Auflage, Stuttgart 2019 Kroll, Fritz: Kernbereichsschutz bei Durchsuchungen. Zum Schutz des Kernbereichs privater Lebensgestaltung de lege lata et ferenda, Tübingen 2021 Kromrey, Ilka: Belastungskumulation, Tübingen 2018 Krüger, Christine: Die sogenannte „stille SMS“ im strafprozessualen Ermittlungsverfahren – Erkenntnisse zum Einsatz in der Praxis und Betrachtung der rechtlichen Anwendungsvoraussetzungen, in: ZJS 2012, S. 606–613 Krüger, Hartmut: Anmerkung zum Beschluss des BVerfG vom 16.6.2009 – 2 BvR 902/06, in: MMR 2009, S. 680–683 Kruis, Konrad/Wehowsky, Ralf: Verfassungsgerichtliche Leitlinien zur Wohnungsdurchsuchung, in: NJW 1999, S. 682–685 Kruse, Björn/Grzesiek, Mathias: Die Online-Durchsuchung als „digitale Allzweckwaffe“– Zur Kritik an überbordenden Ermittlungsmethoden, in: KritV 2017, S. 331–350 Kudlich, Hans: Strafprozessuale Probleme des Internet – Rechtliche Probleme der Beweisgewinnung in Computernetzen, in: JA 2000, S. 227–234 Ders.: Unzulässigkeit einer Online-Durchsuchung, in: JA 2007, S. 391–394 Ders.: Zur Zulässigkeit strafprozessualer Online-Durchsuchungen, in: HFR 2007, S. 202–213 Ders.: Enge Fesseln für „Landes- und Bundestrojaner“ – Anforderungen an die Zulässigkeit einer (sicherheitsrechtlichen) Online-Durchsuchung, in: JA 2008, S. 475–478 Ders.: Strafverfolgung im Internet – Bestandsaufnahme und aktuelle Probleme, in: GA 2011, S. 193–208 Ders.: Telefonate von Krankheit, Sex und Tod – zum Kernbereich privater Lebensgestaltung bei der TKÜ, in: Barton, Stephan et. al. (Hrsg.), Festschrift für Thomas Fischer. München 2018, S. 723–736 Kühne, Hans-Heiner: Strafprozessuale Konsequenzen der Entscheidung vom 27. Februar 2008, in: Roggan, Fredrik (Hrsg.), Online-Durchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 85–96 Ders.: Strafprozessrecht. Eine systematische Darstellung des deutschen und europäischen Strafverfahrensrechts, 9. Auflage, Heidelberg 2015 Kupka, Martin: Verfassungs- und verfahrensrechtliche Probleme moderner Fahndungsmethoden am Beispiel der „stillen SMS“ – Sicherheit contra Freiheit?, München 2009

Literaturverzeichnis

463

Kutscha, Martin: Verdeckte „Online-Durchsuchung“ und Unverletzlichkeit der Wohnung, in: NJW 2007, S. 1169–1172 Ders.: Mehr Schutz von Computerdaten durch ein neues Grundrecht?, in: NJW 2008, S. 1042–1044 Ders.: Neue Chancen für die digitale Privatsphäre?, in: Roggan, Fredrik (Hrsg.), OnlineDurchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 157–171 Ders.: Das „Computer-Grundrecht“ – eine Erfolgsgeschichte?, in: DuD 2012, S. 391–394 Ladeur, Karl-Heinz: Das Recht auf informationelle Selbstbestimmung: Eine juristische Fehlkonstruktion?, in: DÖV 2009, S. 45–55 Lammer, Dirk: Verdeckte Ermittlungen im Strafprozeß, Berlin 1992 Landeskriminalamt Baden-Württemberg: Cybercrime/Digitale Spuren – Jahresbericht 2015, abrufbar unter https://im.baden-wuerttemberg.de/de/service/publikation/did/cyb ercrimedigitale-spuren/ [zuletzt abgerufen am 04.11.2021] Larenz, Karl/Canaris, Claus-Wilhelm: Methodenlehre der Rechtswissenschaft, 3. Auflage, Berlin/Heidelberg 1993 Leitner, Werner/Michalke, Reinhart: Strafprozessuale Zwangsmaßnahmen, München 2007 Lemcke, Thomas W.: Die Sicherstellung gem. § 94 StPO und deren Förderung durch die Inpflichtnahme Dritter als Mittel des Zugriffs auf elektronisch gespeicherte Daten, Frankfurt 1995 Lepsius, Oliver: Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan, Fredrik (Hrsg.), Online-Durchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 21–56 Liebig, Britta Maria: Der Zugriff auf Computerinhaltsdaten im Ermittlungsverfahren – Cloud Computing, E-Mail und IP-Telefonie als neue rechtliche und technische Herausforderungen für die Strafverfolger, Hamburg 2015 Lisken, Hans/Denninger, Erhard (Begr.): Handbuch des Polizeirechts, 6. Auflage, München 2018 Löffelmann, Markus: Die Neuregelung der akustischen Wohnraumüberwachung, in: NJW 2005, S. 2033–2036 Löwe, Ewald/Rosenberg, Werner (Begr.): Die Strafprozeßordnung und das Gerichtsverfassungsgesetz – Großkommentar, 27. Auflage, Berlin 2016 ff. Luch, Anika: Das neue „IT-Grundrecht“ – Grundbedingung einer „Online-Handlungsfreiheit“, in: MMR 2011, S. 75–79 Ludewig, Stephan: Die Sicherstellung und Auswertung des Smartphones – Kriminalpolitischer Anpassungsbedarf?, in: KriPoZ 2019, S. 293–300 Mallmann, Christoph: Datenschutz in Verwaltungsinformationssystemen – Zur Verhältnismäßigkeit des Austausches von Individualinformationen in der normvollziehenden Verwaltung, München/Wien 1976 Mangoldt, Hermann von/Klein, Friedrich/Starck, Christian (Begr./Hrsg.): Kommentar zum Grundgesetz, 7. Auflage, München 2018 Manssen, Gerrit: Das „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ – Ein gelungener Beitrag zur Findung unbenannter Freiheitsrechte?, in: Uerpmann-Wittzack, Robert (Hrsg.), Das neue Computergrundrecht, Berlin 2009, S. 61–72 Ders.: Staatsrecht II – Grundrechte, 18. Auflage, München 2021 Marberth-Kubicki, Annette: Computer- und Internetstrafrecht, 2. Auflage, München 2010 Marschall, Kevin/Herfurth, Constantin/Winter, Christian/Allwinn, Mirko: Chancen und Risiken des Einsatzes digitaler Bildforensik – Aufdeckung und Beweisbarkeit von Versicherungsbetrug aus rechtlicher, technischer und psychologischer Sicht, in: MMR 2017, S. 152–157

464

Literaturverzeichnis

Martini, Mario: Das allgemeine Persönlichkeitsrecht im Spiegel der jüngeren Rechtsprechung des Bundesverfassungsgerichts, in: JA 2009, S. 839–845 Masing, Johannes: Die Ambivalenz von Freiheit und Sicherheit, in: JZ 2011, S. 753–758 Matzky, Ralph: Zugriff auf EDV im Strafprozeß. Rechtliche und technische Probleme der Beschlagnahme und Durchsuchung beim Zugriff auf das Beweismittel „EDV“, Berlin 1999 Maunz, Theodor/Dürig, Günter (Begr.): Grundgesetz – Loseblatt-Kommentar, 94. Ergänzungslieferung, München 2021 Maurer, Hartmut/Waldhoff, Christian: Allgemeines Verwaltungsrecht, 20. Auflage, München 2020 Meinicke, Dirk: Meinicke, Dirk Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud, 2020 (via juris) Meyer-Goßner, Lutz/Schmitt, Bertram: Strafprozessordnung mit GVG und Nebengesetzen – Kommentar, 64. Auflage, München 2021 Meyer-Mews, Hans: Telekommunikationsüberwachung im Strafverfahren: Anordnungsund Eingriffsvoraussetzungen, Rechtsschutz – Teil 1, in: StraFo 2016, S. 133–141 Ders.: „Keine bloße Formsache“ – Notizen zum Richtervorbehalt, in: HRRS 2020, S. 286–294 Michael, Lothar/Morlok, Martin: Grundrechte, 7. Auflage, Baden-Baden 2020 Michalke, Regina: Staatlicher Zugriff auf elektronische Medien, in: StraFo 2008, S. 287–292 Michalke, Reinhart: Durchsuchung und Beschlagnahme – Verfassungsrecht im Alltag, in: StraFo 2014, S. 89–93 Michl, Fabian: „Datenbesitz“ – ein grundrechtliches Schutzgut?, in: NJW 2019, S. 2729–2733 Mildeberger, Tobias/Riveiro, Karen A.: Zur Durchsicht von Papieren gem. § 110 StPO, in: StraFo 2004, S. 43–46 Moll, Ricarda/Schneider, Franziska: Ausbau der Datenerhebungsbefugnisse von Sicherheitsbehörden – Lässt die wissenschaftliche Empirie Chilling-Effekte in der Bevölkerung erwarten?, in: MschrKrim 2021, S. 92–106 Momsen, Carsten: Zum Umgang mit digitalen Beweismitteln im Strafprozess, in: Fahl, Christian u.a. (Hrsg.), Festschrift für Werner Beulke zum 70. Geburtstag, 2015, S. 871–887 Ders.: Entsperrung biometrischer Sicherungen im Strafverfahren, in: DRiZ 2018, S. 140–143 Momsen, Carsten/Bruckmann, Philipp: Soziale Netzwerke als Ort der Kriminalität und Ort von Ermittlungen – Wie wirken sich Online-Durchsuchung und Quellen-TKÜ auf die Nutzung sozialer Netzwerke aus?, in: KriPoZ 2019, S. 20–28 Müller, Birgit: Einsatzmöglichkeiten virtueller Vertrauenspersonen, Verdeckter Ermittler und nicht öffentlich ermittelnder Polizeibeamter – Rechtliche Rahmenbedingungen und Fallvarianten aus der Praxis, in: Kriminalistik 2012, S. 295–302 Müller, Sebastian: Internetermittlungen und der Umgang mit digitalen Beweismitteln im (Wirtschafts-)Strafverfahren, in: NZWiSt 2020, S. 96–101 Müller, Wolfgang/Römer, Sebastian: Legendierte Kontrollen – Die gezielte Suche nach dem Zufallsfund, in: NStZ 2012, S. 543–547 Mühlen, Nicolas von zur: Zugriffe auf elektronische Kommunikation. Eine verfassungsrechtliche und strafprozessrechtliche Analyse, Freiburg 2019 Münch, Ingo von/Kunig, Philip (Begr./Hrsg.): Grundgesetz – Kommentar, 7. Auflage, München 2021 Münchener Kommentar zum Strafgesetzbuch, hrsg. von Joecks, Wolfgang/Miebach, Klaus, Band 4, 4. Auflage, München 2021

Literaturverzeichnis

465

Münchener Kommentar zur Strafprozessordnung, hrsg. von Knauer, Christoph/Kudlich, Hans/Schneider, Hartmut, München 2014 Nadeborn, Diana/Irscheid, Lina: Erzwingung von Zugangsdaten im Strafverfahren, in: StraFo 2019, S. 274–277 Nägele, Thomas/Jacobs, Sven: Rechtsfragen des Cloud Computing, in: ZUM 2010, S. 281–292 Nelles, Ursula: Strafprozessuale Eingriffe in das Hausrecht von Angehörigen, in: StV 1991, S. 488–492 Nemes, Andreas/Greiner, Wolfgang: Die Suche nach elektronisch gespeicherten Beweismitteln – Besondere Problembereiche bei Durchsuchung und Beschlagnahme, in: Kriminalistik 1999, S. 115–119 Neuhaus, Heike: Strafverfolger brauchen Zugriff auf verschlüsselte Kommunikation, in: DRiZ 2017, S. 192–193 Neuhaus, Melanie: Die Auswertung von Smartphones im Ermittlungsverfahren, in: StV 2020, S. 489–492 Niehaus, Holger: Katalogtatensysteme als Beschränkungen strafprozessualer Eingriffsbefugnisse, Berlin 2001 Niemann, Fabian/Hennrich, Thorsten: Kontrollen in den Wolken? – Auftragsdatenverarbeitung in Zeiten des Cloud Computings, in: CR 2010, S. 686–692 Nordmeier, Carl Friedrich: Cloud Computing und Internationales Privatrecht – Anwendbares Recht bei der Schädigung von in Datenwolken gespeicherten Daten, in: MMR 2010, S. 151–156 Obenhaus, Nils: Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, in: NJW 2010, S. 651–655 Oesterle, Jörg: Das Gewahrsamserfordernis des § 97 Abs. 2 S. 1 StPO: Eine einfachgesetzliche Begründung eines gewahrsamsunabhängigen Beschlagnahmeverbots für anwaltliche Unterlagen, in: StV 2016, S. 118–123 Ofterdinger, Hannah: Strafzumessung durch Algorithmen?, in: ZIS 2020, S. 404–410 Paa, Bernhard: Der Zugriff der Strafverfolgungsbehörden auf das Private im Kampf gegen schwere Kriminalität, Heidelberg 2013 Paeffgen, Hans-Ullrich: „Verpolizeilichung“ des Strafprozesses – Chimäre oder Gefahr?, in: Wolter, Jürgen (Hrsg.), Zur Theorie und Systematik des Strafprozeßrechts, Neuwied 1995, S. 13–47 Palm, Franz/Roy, Rudolf: Mailboxen: Staatliche Eingriffe und andere rechtliche Aspekte, in: NJW 1996, S. 1791–1797 Dies.: Der BGH und der Zugriff auf Mailboxen, in: NJW 1997, S. 1904–1905 Park, Tido: Durchsuchung und Beschlagnahme, 4. Auflage, München 2018 Paulus, Sachar: Standards für Trusted Clouds – Anforderungen an Standards und aktuelle Entwicklungen, in: DuD 2011, S. 317–321 Pawlaszczyk, Dirk: Digitaler Tatort, Sicherung und Verfolgung digitaler Spuren, in: Labudde, Dirk/Spranger, Michael (Hrsg.), Forensik in der digitalen Welt. Moderne Methoden der forensischen Fallarbeit in der digitalen und digitalisierten Welt, 2017, S. 113–166 Peters, Kristina: Anwesenheitsrechte bei der Durchsicht gemäß § 110 StPO: Bekämpfung der Risiken und Nebenwirkungen einer übermächtigen Ermittlungsmaßnahme, in: NZWiSt 2017, S. 465–473 Petri, Thomas B.: Das Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“, in: DuD 2008, S. 443–448 Pfeiffer, Gerd: Strafprozessordnung – Kommentar, 5. Auflage, München 2005 Placzek, Thomas: Allgemeines Persönlichkeitsrecht und privatrechtlicher Informationsund Datenschutz, Hamburg 2006

466

Literaturverzeichnis

Pohle, Jan/Ammann, Thorsten: Über den Wolken... – Chancen und Risiken des Cloud Computing, in: CR 2009, S. 273–278 Pohlmann, Norbert/Riedle, Rene: Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen, in: DuD 2018, S. 37–44 Popp, Andreas: Die „Staatstrojaner“-Affäre: (Auch) ein Thema für den Datenschutz – Kurzer Überblick aus strafprozessualer und datenschutzrechtlicher Sicht, in: ZD 2012, S. 51–55 Poscher, Ralf: Menschenwürde und Kernbereichsschutz – Von den Gefahren einer Verräumlichung des Grundrechtsdenkens, in: JZ 2009, S. 269–277 Pötters, Stephan/Werkmeister, Christoph: Der verfassunsrechtliche Konflikt zwischen Freiheit und Sicherheit im Zeitalter des Internets, in: Jura 2013, S. 5–12 Puschke, Jens: Die kumulative Anordnung von Informationsbeschaffungsmaßnahmen im Rahmen der Strafverfolgung. Eine Untersuchung unter rechtlichen, rechtstatsächlichen und kriminologischen Aspekten, Berlin 2006 Puschke, Jens/Singelnstein, Tobias: Verfassungsrechtliche Vorgaben für heimliche Informationsbeschaffungsmaßnahmen, in: NJW 2005, S. 3534–3538 Dies.: Telekommunikationsüberwachung, Vorratsdatenspeicherung und (sonstige) heimliche Ermittlungsmaßnahmen der StPO nach der Neuregelung zum 1.1.2008, in: NJW 2008, S. 113–119 Putzke, Holm: Der Richtervorbehalt als Garantie der Unschuldsvermutung, in: StraFo 2016, S. 1–11 Radtke, Henning/Hohmann, Olaf (Hrsg.): Strafprozessordnung – Kommentar, München 2011 Ranft, Otfried: Strafprozeßrecht, 3. Auflage, Stuttgart u.a. 2005 Redler, Ursula: Die strafprozessuale Online-Durchsuchung – Ein Gesetzesentwurf, Hamburg 2012 Rehak, Rainer: Die Datenschatten: Zum staatlichen Umgang mit vernetzten Datenbeständen, in: CILIP 2014, 24.11.2017, https://www.cilip.de/2017/11/24/die-datenschatten-z um-staatlichen-umgang-mit-vernetzten-datenbestaenden/ [zuletzt abgerufen am 04.11.2021] Reimer, Franz: Juristische Methodenlehre, Baden-Baden 2020 Reiß, Marc: Der strafprozessuale Schutz verfassungsrechtlich geschützter Kommunikation vor verdeckten Ermittlungsmaßnahmen, in: StV 2008, S. 539–548 Rengier, Rudolf: Praktische Fragen bei Durchsuchungen, insbesondere in Wirtschaftsstrafsachen, in: NStZ 1981, S. 372–378 Rieß, Peter: Über Subsidiaritätsverhältnisse und Subsidiaritätsklauseln im Strafverfahren, in: Geppert, Klaus/Dehnicke, Diether (Hrsg.), Gedächtnisschrift für Karlheinz Meyer, Berlin 1990, S. 367–390 Rogall, Klaus: Informationseingriff und Gesetzesvorbehalt im Strafprozeßrecht, Tübingen 1992 Roggan, Fredrik: Antragsschrift der Verfassungsbeschwerde vom 9. Februar 2007 gegen das Verfassungsschutzgesetz Nordrhein-Westfalen, S. 1–37, abrufbar unter http://www. hrr-strafrecht.de/hrr/doku/2007/001/vb-roggan.pdf [zuletzt abgerufen am 04.11.2021] Ders.: Das novellierte Brandenburgische Polizeigesetz, in: NJ 2007, S. 199–203 Ders.: Präventive Online-Durchsuchungen – Überlegungen zu den Möglichkeiten einer Legalisierung im Polizei- und Geheimdienstrecht, in: Roggan, Fredrik (Hrsg.), OnlineDurchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 97–128 Ders.: Die „Technikoffenheit“ von strafprozessualen Ermittlungsbefugnissen und ihren Grenzen – Die Problematik der Auslegung von Gesetzen über ihren Wortlaut oder Wortsinn hinaus, in: NJW 2015, S. 1995–1999

Literaturverzeichnis

467

Ders.: Die strafprozessuale Quellen-TKÜ und Online-Durchsuchung: Elektronische Überwachungsmaßnahmen mit Risiken für Beschuldigte und die Allgemeinheit, in: StV 2017, S. 821–829 Rosengarten, Carsten/Römer, Sebastian: Der „virtuelle verdeckte Ermittler“ in sozialen Netzwerken und Internetboards, in: NJW 2012, S. 1764–1768 Roßnagel, Alexander: Verfassungspolitische und verfassungsrechtliche Fragen der OnlineDurchsuchung, in: DRiZ 2007, S. 229–230 Roßnagel, Alexander/Schnabel, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, in: NJW 2008, S. 3534–3538 Roth, Wolfgang: Gesetz zur Änderung des VSG NRW, LT-Drucks. 14/2211 – Öffentliche Anhörung am 19.10.2006 (Stellungnahme), in: LT NRW-Stellungnahme 14/0645, 2006, S. 1–26 Rottmann, Christian/Eckel, Philipp: Die Entschlüsselung biometrisch gesicherter Daten im Strafverfahren, in: NStZ 2020, S. 193–200 Rückert, Christian: Herausforderungen der Digitalisierung für das Strafverfahren, in: Hoven, Elisa/Kudlich, Hans (Hrsg.), Digitalisierung und Strafverfahren, Baden-Baden 2020, S. 9–38 Ruhmannseder, Felix: Die Neuregelung der strafprozessualen verdeckten Ermittlungsmaßnahmen, in: JA 2009, S. 57–64 Ruschemeier, Hannah: Der additive Grundrechtseingriff, Berlin 2019 Ruthig, Josef: Verfassungsrechtliche Grenzen der heimlichen Datenerhebung aus Wohnungen – Zugleich Besprechung von BVerfG, Urteil vom 3.3.2004, in: GA 2004, S. 587–607 Rux, Johannes: Ausforschung privater Rechner durch die Polizei- und Sicherheitsbehörden – Rechtsfragen der „Online-Durchsuchung“, in: JZ 2007, S. 285–295 Ders.: Schlusswort – Analogie oder besondere Ausprägung des Verhältnismäßigkeitsprinzips?, in: JZ 2007, S. 831–833 Sachs, Michael (Hrsg.): Grundgesetz – Kommentar, 9. Auflage, München 2021 Sachs, Michael/Krings, Thomas: Das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, in: JuS 2008, S. 481–486 Safferling, Christoph/Rückert, Christian: Telekommunikationsüberwachung bei Bitcoins – Heimliche Datenauswertung bei virtuellen Währungen gem. § 100a StPO?, in: MMR 2015, S. 788–794 Sänger, Bastian: Praktische und rechtliche Probleme der Online-Durchsuchung, in: Die Polizei 2015, S. 228–234 Sankol, Barry: Verletzung fremdstaatlicher Souveränität durch ermittlungsbehördliche Zugriffe auf E-Mail-Postfächer, in: K&R 2008, S. 279–284 Satzger, Helmut/Schluckebier, Wilhelm/Widmaier, Gunter (Begr.): Strafprozessordnung mit GVG und EMRK – Kommentar, 4. Auflage, Köln 2020 Schantz, Peter: Verfassungsrechtliche Probleme von „Online-Durchsuchungen“, in: KritV 2007, S. 310–330 Schelzke, Ricarda Christine: Die iCloud als Gefahr für den Rechtsanwalt?, in: HRRS 2013, S. 86–91 Schilling, Hellen/Rudolph, Carsten/Kuntze, Nicolai: Sicherstellung elektronischer Daten und „selektive Datenlöschung“, in: HRRS 2013, S. 207–213 Schiemann, Anja: Rezension zu Magda Wicker, Cloud Computing und staatlicher Strafanspruch.Strafrechtliche Risiken und strafprozessualeErmittlungsmöglichkeiten in der Cloud, in: KriPoZ 2017, S. 268–270 Schinkel, Annika: Strafprozessuale Verwendungsverbote, Hamburg 2017

468

Literaturverzeichnis

Schlegel, Arndt: Normative Grenzen für internetbasierte Ermittlungsmethoden – Zugleich ein Beitrag zur Technikoffenheit strafprozessualer Ermächtigungsgrundlagen, Wiesbaden 2019 Schlegel, Stephan: Warum die Festplatte keine Wohnung ist – Art. 13 GG und die „OnlineDurchsuchung“, in: GA 2007, S. 648–663 Ders.: „Online-Durchsuchung light“ – Die Änderung des § 110 StPO durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung, in: HRRS 2008, S. 23–30 Schlehofer, Horst: Die Menschenwürdegarantie des Grundgesetzes – absolute oder relative Begrenzung staatlicher Strafgewalt?, in: GA 1999, S. 357–364 Schlink, Bernhard: Das Recht der informationellen Selbstbestimmung, in: Der Staat 25 (1986), S. 233–250 Schlögel, Martina: Das Bundesverfassungsgericht, die informationelle Selbstbestimmung und das Web 2.0 – Von der Schwierigkeit in den Weiten des Internets einen sicheren (Daten-)Hafen zu finden, in: ZfP 2012, S. 85–102 Schmidt-Bleibtreu, Bruno/Hofmann, Hans/Henneke, Hans-Günter (Begr./Hrsg.): GG – Kommentar zum Grundgesetz, 14. Auflage, Köln 2017 Schneider, Franziska: Kernbereich privater Lebensgestaltung, in: JuS 2021, S. 29–34 Schneider, Fre´de´ric: Auswirkungen der Digitalisierung auf das Ermittlungsverfahren – Impulse aus der Strafverteidigungspraxis, ZIS 2020, S. 79–83 Schneider, Hartmut: Zur Zulässigkeit strafprozessualer Begleitmaßnahmen im Zusammenhang mit dem Abhören des nicht öffentlich gesprochenen Wortes in Kraftfahrzeugen, in: NStZ 1999, S. 388–391 Schoch, Friedrich: Das Recht auf informationelle Selbstbestimmung, in: Jura 2008, S. 352–359 Schönke, Adolf/Schröder, Horst (Begr.): Strafgesetzbuch – Kommentar, 30. Auflage, München 2019 Schoreit, Armin: Bestimmtheit einer Durchsuchungsanordnung, in: NStZ 1999, S. 173–176 Schroeder, Friedrich-Christian: Die Durchsuchung im Strafprozess, in: JuS 2004, S. 858–862 Schwabenbauer, Thomas: Kommunikationsschutz durch Art. 10 GG im digitalen Zeitalter, in: AöR 137 (2012), S. 1–41 Schwabenbauer, Thomas: Heimliche Grundrechtseingriffe. Ein Beitrag zu den Möglichkeiten und Grenzen sicherheitsbehördlicher Ausforschung, Tübingen 2013 Schulz, Carsten/Rosenkranz, Timo: Cloud Computing – Bedarfsorientierte Nutzung von IT-Ressourcen, in: ITRB 2009, S. 232–236 Schulz, Sönke E.: Cloud Computing in der Öffentlichen Verwaltung: Chancen – Risiken – Modelle, in: MMR 2010, S. 75–80 Schulze, Matthias: Going Dark? Dilemma zwischen sicherer, privater Kommunikation und den Sicherheitsinteressen von Staaten, in: APuZ 46–47/2017, S. 23–28. Schünemann, Bernd: Prolegomena zu einer jeden künftigen Verteidigung, die in einem geheimdienstähnlichen Strafverfahren wird auftreten können, in: GA 2008, S. 314–334 Schuster, Fabian/Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? – Die eigentlichen Unterschiede zu Outsourcing, ASP & Co liegen im Datenschutz und der TK-Anbindung, in: CR 2010, S. 38–43 Schwarz, Kyrill-A.: Gutachterliche Stellungnahme im Rahmen der Anhörung zur Novellierung des Gesetzes zur Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen, LT-Drs. 14/2211, in: LT NRW-Stellungnahme 14/0650, 2006, S. 1–12 Sieber, Ulrich: Stellungnahme zu dem Fragenkatalog des Bundesverfassungsgerichts in dem Verfahren 1 BvR 370/07 zum Thema der Online-Durchsuchungen; abrufbar unter: https://www.mpicc.de/shared/data/pdf/bverfg-sieber-1-endg.pdf, S. 1–24 [zuletzt abgerufen am 04.11.2021]

Literaturverzeichnis

469

Ders.: Straftaten und Strafverfolgung im Internet – Gutachten zum 69. Deutschen Juristentag, in: Verhandlungen des 69. Deutschen Juristentags, Band I – Gutachten, München 2012, S. C 1–C 157 Singelnstein, Tobias: Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmaßnahmen – Telekommunikation, Web 2.0, Datenbeschlagnahme, polizeiliche Datenverarbeitung & Co, in: NStZ 2012, S. 593–606 Ders.: Verhältnismäßigkeitsanforderungen für strafprozessuale Ermittlungsmaßnahmen – am Beispiel der neueren Praxis der Funkzellenabfrage, in: JZ 2012, S. 601–608 Ders.: Bildaufnahmen, Orten, Abhören – Entwicklungen und Streitfragen beim Einsatz technischer Mittel zur Strafverfolgung, in: NStZ 2014, S. 305–311 Ders.: Hacken zur Strafverfolgung? Gefahren und Grenzen der strafprozessualen OnlineDurchsuchung, in: VerfBlog, 2017/7/02, S. 1–4, http://verfassungsblog.de/hacken-zur-st rafverfolgunggefahren-und-grenzen-der-strafprozessualen-online-durchsuchung/, DOI: https://dx.doi.org/10.17176/20170702-133023 [zuletzt abgerufen am 04.11.2021] Singelnstein, Tobias/Derin, Benjamin: Das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens – Was aus der StPO-Refom geworden ist, in: NJW 2017, S. 2646–2652 Singelnstein, Tobias/Putzer, Max: Rechtliche Grenzen strafprozessualer Ermittlungsmaßnahmen – Aktuelle Bestandsaufnahme und neue Herausforderungen, in: GA 2015, S. 564–578 Singelnstein, Tobias/Stolle, Peer: Entwicklungen in der Telekommunikationsüberwachung und der Sicherheitspolitik – zur Novellierung des TKG, in: StraFo 2005, S. 96–101 Sodan, Helge (Hrsg.): Grundgesetz – BeckÆscher Kompakt-Kommentar, 4. Auflage, München 2018 Sodan, Helge/Ziekow, Jan: Grundkurs Öffentliches Recht, 9. Auflage, München 2020 Soine´, Michael: Personale verdeckte Ermittlungen in sozialen Netzwerken zur Strafverfolgung, in: NStZ 2014, S. 248–252 Ders.: Identifizierung von E-Mails mit Schadprogrammen durch Sicherheitsbehörden – Grundrechtsfragen bei der Auslegung des „entwicklungsoffenen“ Fernmeldegeheimnisses, in: MMR 2015, S. 22–25 Ders.: Die strafprozessuale Online-Durchsuchung, in: NStZ 2018, S. 497–504 Sokol, Bettina.: Auf der Rutschbahn in die Überwachbarkeit – Das Beispiel der OnlineDurchsuchungen, in: Michalke, Regina u.a. (Hrsg.), Festschrift für Rainer Hamm zum 65. Geburtstag am 24. Februar 2008, Berlin 2008, S. 719–732 Dies.: Stellungnahme zum „Gesetz zur Änderung des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen“ (Gesetzentwurf der Landesregierung – Drucksache 14/2211), in: LT NRW-Stellungnahme 14/0625, 2006, S. 1–17 Sommermeyer, Jörg: Die materiellen und formellen Voraussetzungen der strafprozessualen Hausdurchsuchung, in: Jura 1992, S. 449–457 Spatscheck, Rainer: Beschlagnahme von Computerdaten und E-Mails beim Berater, in: Michalke, Regina u.a. (Hrsg.), Festschrift für Rainer Hamm zum 65. Geburtstag am 24. Februar 2008, Berlin 2008, S. 733–749 Spies, Axel: USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, in: MMR 2009, Heft 5, S. XI–XII Splittgerber, Andreas/Rockstroh, Sebastian: Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, in: BB 2011, S. 2179–2185 Stadler, Thomas: Zulässigkeit der heimlichen Installation von Überwachungssoftware – Trennung von Online-Durchsuchung und Quellen-Telekommunikationsüberwachung möglich?, in: MMR 2012, S. 18–20 Staffler, Lukas/Jany, Oliver: Künstliche Intelligenz und Strafrechtspflege – Eine Orientierung, in: ZIS 2020, S. 164–177

470

Literaturverzeichnis

Statistisches Bundesamt: Wirtschaftsrechnungen, Fachserie 15, Reihe 4, Private Haushalte in der Informationsgesellschaft – Nutzung von Informations- und Kommunikationstechnologien (IKT-Erhebung 2019), 2020, abrufbar unter: https://www.destatis.de/DE/ Service/Bibliothek/ publikationen-fachserienliste-15.html [zuletzt abgerufen am 04.11.2021] Stern, Klaus: Die Grundrechte und ihre Schranken, in: Badura, Peter/Dreier, Horst (Hrsg.), Festschrift 50 Jahre Bundesverfassungsgericht, Zweiter Band – Klärung und Fortbildung des Verfassungsrechts, Tübingen 2001, S. 1–34 Stern, Klaus/Becker, Florian (Hrsg.): Grundrechte-Kommentar, 3. Auflage, Köln 2019 Stögmüller, Thomas: Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen – Ausstrahlungswirkungen des „neuen“ Grundrechts in die Privatwirtschaft, in: CR 2008, S. 435–439 Stoklas, Jonathan/Wendorf, Joris: Der Staatstrojaner – verhältnismäßig unverhältnismäßig?, in: ZD-Aktuell 2017, 05725 Störing, Marc: Anmerkung zum Beschluss des LG Hamburg vom 8.1.2008 – 619 Qs 1/08, in: MMR 2008, S. 187–189 Süptitz, Thomas/Utz, Christine/Eymann, Torsten: State-of-the-Art: Ermittlungen in der Cloud – Sicherstellung und Beschlagnahme von Daten bei Cloud Storage-Betreibern, in: DuD 2013, S. 307–312 Systematischer Kommentar zur Strafprozessordnung – mit GVG und EMRK, hrsg. von Wolter, Jürgen, 5. Auflage, Köln 2016 Szesny, Andre´-M.: Durchsicht von Daten gem. § 110 StPO, in: WiJ 2012, S. 228–235 Taraz, Daniel: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und die Gewährleistung digitaler Privatheit im grundrechtlichen Kontext – Wegbereitung für eine digitale Privatsphäre?, Hamburg 2016 Umbach, Dieter C./Clemens, Thomas: Grundgesetz – Mitarbeiterkommentar und Handbuch, Band I, Heidelberg 2002 Valerius, Brian: Ermittlungen der Strafverfolgungsbehörden in den Kommunikationsdiensten des Internet. Hoheitliche Recherchen in einem grenzüberschreitenden Medium, Berlin 2004 Ders.: Der Weg zu einem sicheren Internet? – Zum In-Kraft-Treten der Convention on Cybercrime, in: K&R 2004, S. 513–518 Ders.: Ermittlungsmaßnahmen im Internet – Rückblick, Bestandsaufnahme, Ausblick, in: JR 2007, S. 275–280 van Eck, Wim: Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk?, in: Computers & Security 1985, Auflage 4, S. 269–286 Vogel, Joachim: Informationstechnologische Herausforderungen an das Strafprozessrecht, in: ZIS 2012, S. 480–485 Vogel, Joachim/Brodowski, Dominik: Anmerkung zum Beschluss des OLG Hamburg vom 12.11.2007 – 6 Ws 1/07, in: StV 2009, S. 632–635 Volkmann, Uwe: Anmerkung zum Urteil des BVerfG vom 27.2.2008, 1 BvR 370/07 und 1 BvR 595/07, in: DVBl. 2008, S. 590–593 Voßhoff, Andrea: Stellungnahme der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze BTDrs. 18/11272 und der Formulierungshilfe mit Änderungsantrag zur Einführung einer Quellen-Telekommunikationsüberwachung und einer Online-Durchsuchung in der Strafprozessordnung, A-Drs. 18(6)334, in: A-Drs. 18(6)346, abrufbar unter https://cdn. netzpolitik.org/wp-upload/2017/05/186346 Stellungnahme BfDI zu 18-11272 und 1 86334.pdf [zuletzt abgerufen am 04.11.2021]

Literaturverzeichnis

471

Wabnitz, Heinz-Bernd/Janovsky, Thomas (Hrsg.): Handbuch des Wirtschafts- und Steuerstrafrechts, 5. Auflage, München 2020 Wackernagel, Udo/Graßie, Christian: Die Beauftragung von IT-Forensikern im Ermittlungsverfahren: Zulässige Sachverständigenbeauftragung oder unzulässiges Outsourcing originärer Ermittlungstätigkeit?, in: NStZ 2021, S. 12–18 Walther, Felix: Die strafprozessuale Hausdurchsuchung, in: JA 2010, S. 32–39 Wank, Rolf: Die Auslegung von Gesetzen, 6. Auflage, München 2015 Warda, Axel R.: Die Durchsuchung bei Verdächtigen und bei anderen Personen nach den §§ 102, 103 StPO – Voraussetzungen und Abgrenzung, Köln 1986 Warken, Claudia: Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 1. Beweissicherung im Zeitalter der digitalen Cloud, in: NZWiSt 2017, S. 289–298 Dies.: Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 2. Beweisverwertung im Zeitalter der digitalen Cloud und datenspezifische Regelungen in der StPO, in: NZWiSt 2017, S. 329–338 Dies.: Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 3. Jenseits der StPO: Analogie, supra- und internationale Regelungen, praktische Lösungansätze, in: NZWiSt 2017, S. 417–425 Dies.: Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 4. Quo vadis, StPO? Warum es expliziter gesetzlicher Regelungen für den Umgang mit elektronischen Beweismitteln im Strafprozess bedarf und welche Rolle die Europäische Union dabei spielt, in: NZWiSt 2017, S. 449–458 Dies.: Klassifizierung elektronischer Beweismittel für strafprozessuale Zwecke, 2018, Inauguraldissertation zur Erlangung der Doktorwürde der Juristischen Fakultät der Ruprecht-Karls-Universität Heidelberg, zum Druck freigegebene Fassung, in elektronischer Form abrufbar vom Heidelberger Dokumentenserver der Universitätsbibliothek Heidelberg, DOI: https://doi.org/10.11588/heidok.00026928 [zuletzt abgerufen am 04.11.2021] Warntjen, Maximilian: Der Kernbereich privater Lebensgestaltung und die Telekommunikationsüberwachung gemäß § 100a StPO – Folgerungen aus dem LauschangriffsUrteil des Bundesverfassungsgerichts, in: KJ 2005, S. 276–286 Ders.: Die verfassungsrechtlichen Anforderungen an eine gesetzliche Regelung der OnlineDurchsuchung, in: Jura 2007, S. 581–585 Ders.: Der Kernbereichsschutz nach dem Online-Durchsuchungsurteil, in: Roggan, Fredrik (Hrsg.), Online-Durchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 57–67 Wegener, Bernhard W./Muth, Sven: Das „neue Grundrecht“ auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, in: Jura 2010, S. 847–852 Weichert, Thilo: Cloud Computing und der Datenschutz, in: DuD 2010, S. 679–687 Weidner-Braun, Ruth: Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung – am Beispiel des personenbezogenen Datenverkehrs im WWW nach deutschem öffentlichen Recht, Diss. Erlangen-Nürnberg 2011, Berlin 2012 Weiler, Edgar: Beweissichernde Durchsuchung und die Folgen von Verfahrensfehlern, in: Graul, Eva/Wolf, Gerhard (Hrsg.), Gedächtnisschrift für Dieter Meurer, Berlin 2002, S. 395–420 Weiß, Andre´: Online-Durchsuchungen im Strafverfahren, Hamburg 2009 Welp, Jürgen: Die Gestellung des verhandlungsunfähigen Angeklagten, in: JR 1991, S. 265–272 Werkmeister, Christoph/Pötters, Stephan: Anfängerklausur – Öffentliches Recht: Grundrechte – Verfassungsrechtliche Anforderungen an „Online-Durchsuchungen“, in: JuS 2012, S. 223–228

472

Literaturverzeichnis

Wenzel, Henning: Rechtliche Grundlagen der IT-Forensik, in: NZWiSt 2016, S, 85–93 Weßlau, Edda: Gefährdungen des Datenschutzes durch den Einsatz neuer Medien im Strafprozess, in: ZStW 113 (2001), S. 681–708 Wicker, Magda: Vertragstypologische Einordnung von Cloud Computing-Verträgen – Rechtliche Lösungen bei auftretenden Mängeln, in: MMR 2012, S. 783–788 Dies.: Durchsuchung in der Cloud – Nutzung von Cloud-Speichern und der strafprozessuale Zugriff deutscher Ermittlungsbehörden, in: MMR 2013, S. 765–769 Dies.: Die Neuregelung des § 100j StPO auch beim Cloud Computing – Zugriff auf Zugangsdaten zur Cloud nach der neuen Bestandsdatenauskunft, in: MMR 2014, S. 298–302 Dies.: Cloud Computing und staatlicher Strafanspruch. Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, Baden-Baden 2016 Wild, Michael: Die strafprozessuale Durchsuchung von Wohnungen und Art. 13 GG – Auferstehung eines unauffälligen Grundrechts in der Senats- und Kammerrechtsprechung der letzten Jahre, in: Rensen, Hartmut/Brink, Stefan (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts – erörtert von den wissenschaftlichen Mitarbeitern, Berlin 2009, S. 273–301 Wissenschaftliche Dienste des Deutschen Bundestages (N.N.): Verfassungsmäßigkeit von Online-Durchsuchungen, Ausarbeitung WD 3 – 161/07, 2007, S. 1–17, abrufbar unter ht tps://www.bundestag.de/blob/423596/d5187cd3b1169df1834da5b9f662c9bb/wd-3-16 1-07-pdf-data.pdf [zuletzt abgerufen am 04.11.2021] Wohlwend, Sebastian: Die Durchsuchung, gerade bei Dritten nach § 103 Abs. 1 S. 1 StPO, in: HRRS 2015, S. 454–458 Wolter, Jürgen: Nichtverdächtige und Zufallsfunde im modernen Strafverfahren – Zur Einführung eines grundrechtsschützenden Zeugnis- und Herausgabeverweigerungsrechts, in: Wolter, Jürgen (Hrsg.), Zur Theorie und Systematik des Strafprozeßrechts, Neuwied 1995, S. 49–79 Ders.: Alternativen zum Regierungs-Entwurf 2007 zur Neuregelung der Ermittlungsmaßnahmen – Heike Jung zum 65. Geburtstag, in: GA 2007, S. 183–200 Ders.: Strafprozessuale Verwendungsverbote und Art. 1 Abs. 1 Grundgesetz, in: Esser, Robert u.a. (Hrsg.), Festschrift für Hans-Heiner Kühne zum 70. Geburtstag am 21. August 2013, Heidelberg 2013, S. 379–389 Ders.: Die neue Nachlässigkeit des BVerfG bei verdeckten Ermittlungseingriffen und die Funktionstüchtigkeit der Strafverfolgung, in: Herzog, Felix/Schlothauer, Reinhold/ Wohlers, Wolfgang (Hrsg.), Rechtsstaatlicher Strafprozess und Bürgerrechte – Gedächtnisschrift für Edda Weßlau, Berlin 2016, S. 445–461 Zerbes, Ingeborg/El-Ghazi, Mohamad: Zugriff auf Computer: Von der gegenständlichen zur virtuellen Durchsuchung, in: NStZ 2015, S. 425–433 Ziebarth, Wolfgang: Online-Durchsuchung, Hamburg 2013 Zimmermann, Till: Der strafprozessuale Zugriff auf E-Mails, in: JA 2014, S. 321–327 Zippelius, Reinhold: Juristische Methodenlehre, 12. Auflage, München 2021 Zöller, Mark: Heimlichkeit als System, in: StraFo 2008, S. 15–25 Ders.: Heimliche und verdeckte Ermittlungsmaßnahmen im Strafverfahren, in: ZStW 124 (2012), S. 411–439

Sachregister Achtungsanspruch Siehe Menschenwürde Algorithmen 93 Analogie 108, 113 Anlasstatenkatalog 280, 423 Annexkompetenz 88, 114, 207, 264, 269 f., 358 Anwesenheitsrecht 104, 221, 253, 295, 408 Auskunftsverweigerungsrecht 267 Bagatelltat 177, 280, 432 BDSG 298 Benachrichtigung 21, 24, 406, 408 Berufsfreiheit 199 Berufsregelnde Tendenz 201 Beschlagnahme 87, 112, 196 Beschleunigungsgebot 220 Bestandsdaten 52 Bestandsdatenauskunft 268 Bestimmtheit 107, 289, 292, 294, 296, 329 Beurteilungsspielraum 290 f. Beweismittelverlust 360 Beweiswert 95, 174, 210, 300, 380, 445 Biometrischer Scanner 266 BKA-Gesetz-Urteil 160, 167, 239, 243, 252, 315 brute force 269, 357 Chat-Messenger 191 chilling effect Siehe Einschüchterungseffekt Cloud Computing 133, 152, 155, 318 f., 334, 367, 384 Computersystem 56, 136, 307, 346 Convention on Cybercrime 10, 16, 96, 307, 346, 371, 376, 447 Cybercrime Convention Siehe Convention on Cybercrime Daten 47 – Filterung 89, 101, 237, 273, 396, 445 – Flüchtigkeit 360

– Löschung 296, 299 – öffentliche 344 – personenbezogene 50 – Speicherort 373 f., 446 Daten-Monitoring 172 Daten-Spiegelung 172 Datenkopien 88 – Komplettsicherung 95 – Umfang 89 Datenschutz 120, 189 Datenträger 100, 135, 179, 195 Drittbetroffenheit 13, 21, 222, 274, 358, 385, 406, 409, 430 Durchsicht 82 – Mitnahme zur 85, 107, 271, 291 Durchsuchung 68, 402 – beim Unverdächtigen 70, 403, 406 – beim Verdächtigen 70 e-evidence 377, 447 E-Mail-Beschluss 160, 170, 241, 328 E-Mail-Konto 160, 193, 327, 335, 362 – Gemeinsame Nutzung 398 Ehe und Familie 205 Eigentum 194 Eingriffsgrundlage 278, 422 Eingriffsintensität 207, 215 Eingriffsmodalität 168 Eingriffsschwelle 284 Eingriffsschwellen 175, 182, 279, 286 Einschüchterungseffekt 227 Elektronische Datenverarbeitung 47 Elektronische Streifenfahrt Siehe OnlineStreife EMRK 188 Erforderlichkeit 212, 288 f., 292, 427, 445 Erheblichkeitsschwelle 169 Ermittlungsgeneralklausel 343 facebook 342 Fernmeldegeheimnis 190, 312, 329, 336, 401

474

Sachregister

Festplatte 136, 179, 307 Filehosting 311, 335 Fingerabdruckscanner 266 fishing expedition 209, 273, 286, 288, 301, 427, 431

– Regelungspflicht 250 – Verletzungsgeneigtheit 251, 255 Kommunikation 313, 335, 338, 399 Kontrollsubstitut 413 Künstliche Intelligenz 93, 237, 446

Gefahrenabwehr 174 Geheimhaltungsinteresse 382 Geheimhaltungswille 232 Gesetzesvorbehalt 107 Gewahrsam 72 f., 75, 404 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Siehe IT-Grundrecht Grundrechte-Charta 188 Grundrechtskonkurrenzen 125, 161, 170, 179, 185, 191, 205, 225, 312, 333, 397, 443 f. Grundrechtsverzicht 381

loss of location 374, 377, 447

Hacking 16, 268, 296, 352, 356 Hashsumme 92, 97 Heimlichkeit 13, 22, 24, 42, 105, 163, 220, 408, 410, 417 Image 97 Informationstechnisches System 57, 131, 309, 312, 332 – Inbetriebnahme 144, 262 – Integrität 141, 148, 153, 269, 358 – Vertraulichkeit 140, 148, 284, 315, 317, 323, 350, 353, 381 – virtuelles 139 Infrastructure-as-a-Service 321 Inhaltsdaten 54, 218 Instagram 342 Internetaufklärung 156 IT-Delinquenz 284 IT-Forensik 107, 116, 268, 296, 446 IT-Grundrecht 127, 269, 314, 332, 341, 351, 394, 443 Jones Day 178, 201 Kernbereich privater Lebensgestaltung 230, 292, 432 – Auswertungsphase 235 – Definition 231, 245 – Erhebungsphase 234

Menschenwürde 230, 244, 246, 257 Messenger 191 Metadaten 54, 91, 218 Mitgewahrsam Siehe Gewahrsam nemo tenetur Siehe Selbstbelastungsfreiheit Netzwerk 354, 380 Netzwerkdurchsicht 40, 306, 310, 345, 363 Normenklarheit 289, 292, 294, 296, 329 Offenbarungsverbot 25, 416 Offenheit 13, 45, 105, 165, 221, 412, 417 Online-Durchsuchung 31, 35, 129, 165 Online-Streife 156 Parlamentsvorbehalt 289, 294 Passwort 144, 264, 268, 355, 359 – Herausgabeverlangen 267 Persönlichkeitsprofil 169, 187, 218, 257 Phasen-Modell 328 Physischer Raum 61, 80 Platform-as-a-Service 320 Prävention 174 Pressefreiheit 197 Private Cloud 321 Prüfsumme Siehe Hashsumme Public Cloud 322 f. Recht auf informationelle Selbstbestimmung 5, 183 Rechtshilfe 324, 371, 377 Rechtsmissbrauch 366 Rechtsschutz 23, 220, 406 Rechtsstaatsprinzip 208 Redaktionsgeheimnis 197 Religionsfreiheit 204 Repression 174 Richtervorbehalt 85, 333 Rundfunkfreiheit 198 Rundumüberwachung 257

Sachregister Schutzbereichskombination Siehe Schutzbereichsverstärkung Schutzbereichsverstärkung 224 Schutzlücke 186 SD-Karte 137, 197, 307 f. Selbstbelastungsfreiheit 265 Selbstgespräche 233 Server 311, 387 Sicherheitspolitik 249 Sicherstellung 196 Software-as-a-Service 320 Souveränität 324, 368 f., 377 Soziale Medien 342 Speichermedium 11, 56, 131, 307, 331, 335, 344 f. Speicherplatz im Internet 15, 311, 367, 385 – Nutzung durch mehrere Personen 15, 19, 335, 388, 395, 399, 415, 427, 444 Spionagesoftware 36, 38, 142, 145 Storage-as-a-Service 320 f. Straftatenkatalog Siehe Anlasstatenkatalog Strafverfolgung, effektive 209, 244, 246, 281, 290, 298, 446 Streubreite 222, 274 f., 358, 389, 431 Subsidiarität 289, 445 Subsidiaritätsklausel 286, 426 Surfen im Internet 192 Synchronisation 325, 361 Tagebuch 232 Telekommunikations-Überwachungsverordnung 412 Telekommunikationsdienst 268 Telekommunikationsdienstleister 46, 359 Telekommunikationsgeheimnis 190 Telekommunikationsüberwachung 46 Telemediendienst 268 Telemediendienstanbieter 359 Territorialitätsprinzip Siehe Territorialprinzip Territorialprinzip 368 Totalausforschung 257 transborder search Siehe Transnationale Ermittlungen Transnationale Ermittlungen 324, 367 Trojaner 38 Twitter 342 Übereinkommen über Computerkriminalität Siehe Convention on Cybercrime

475

Überraschungsmoment 221 Unverletzlichkeit der Wohnung 119, 351, 390 USB-Stick 137, 179, 197, 308 Van-Eck-Phreaking 121 Verdeckte Maßnahmen 43 Verfassungskonforme Auslegung 429 Verfassungsschutzgesetz – des Landes Nordrhein-Westfalen 129, 147, 155, 164 Verhältnismäßigkeit 153, 181, 201, 207, 352, 380 Verkehrsdaten 53, 218 Verschlüsselung 264, 296, 355 Vertraulichkeitserwartung 139, 323, 381, 396 Virtualisierung 319, 323, 374, 395 Virtueller Raum 61, 80, 188, 281, 352, 367, 394, 422 Volkszählung 6 Volkszählungsurteil 5 f., 211, 259, 448 Vorläufige Sicherstellung 87, 108 Vorsorgedateien 297 VW-Diesel-Skandal 178 Webspace 311 Wesensgehaltsgarantie 230 Wesentlichkeitstheorie 107, 289, 294 Wissenschaftsfreiheit 202 Wohnung 119 Wohnungsgrundrecht Siehe Unverletzlichkeit der Wohnung Zero-Day-Exploit 36 Zeugnisverweigerungsrecht 267 Zufallsfund 209, 272, 286, 288, 300, 430 Zugriffsberechtigung 17, 349