117 68 1MB
German Pages 252 [253] Year 2019
Schriften zum Prozessrecht Band 254
Strafverfolgung und die Cloud Strafprozessuale Ermächtigungsgrundlagen und deren völkerrechtliche Grenzen
Von Senta Bell
Duncker & Humblot · Berlin
SENTA BELL
Strafverfolgung und die Cloud
Schriften zum Prozessrecht Band 254
Strafverfolgung und die Cloud Strafprozessuale Ermächtigungsgrundlagen und deren völkerrechtliche Grenzen
Von Senta Bell
Duncker & Humblot · Berlin
Die Juristische Fakultät der Universität Würzburg hat diese Arbeit im Sommersemester 2018 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2019 Duncker & Humblot GmbH, Berlin Satz: L101 Mediengestaltung, Fürstenwalde Druck: CPI buchbücher.de GmbH, Birkach Printed in Germany ISSN 0582-0219 ISBN 978-3-428-15620-7 (Print) ISBN 978-3-428-55620-5 (E-Book) ISBN 978-3-428-85620-6 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit wurde im Sommersemester 2018 von der Juristischen Fakultät der Julius-Maximilians-Universität Würzburg als Dissertation angenommen. Für die Drucklegung wurde das Manuskript überarbeitet und auf den Stand von Juni 2018 gebracht. An erster Stelle gebührt mein ganz besonderer Dank meinem Doktorvater Herrn Professor Dr. Frank Peter Schuster. Er stand mir während der gesamten Promotionszeit mit Rat und Tat zur Seite und hat durch seine klugen und konstruktiven Anmerkungen und wertvollen Hinweise ganz maßgeblich zum Gelingen dieser Arbeit beigetragen. Mein besonderer Dank gilt auch Herrn Professor Dr. Dr. Eric Hilgendorf, für die Erstellung des Zweitgutachtens. Die Arbeit ist während meiner Zeit als wissenschaftliche Mitarbeiterin am Dekanat der Juristischen Fakultät der Julius-Maximilians-Universität Würzburg entstanden. Die Erstellung der Arbeit war für mich eine Herausforderung und eine außergewöhnlich bereichernde Erfahrung zugleich. Mein herzlicher Dank gilt den Menschen, die mich während dieser Zeit unterstützt und begleitet haben, insbesondere auch meinen lieben und geschätzten Kollegen, die mir bei der Erstellung der Arbeit in jeder erdenklichen Weise unterstützend zur Seite standen und dadurch ebenfalls maßgeblich am Gelingen der Arbeit beteiligt sind. Ganz besonders danken möchte ich schließlich auch denjenigen Menschen, die während des Studiums zu besonderen Freunden wurden und nach dem Examen mit mir den Weg gemeinsam gegangen sind. Auch dank Euch werde ich die Promotionszeit immer in besonders schöner Erinnerung behalten. Heilbronn, im Oktober 2018
Senta Bell
Inhaltsverzeichnis Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 I. Heranführung an den Untersuchungsgegenstand . . . . . . . . . . . . . . . . . . . . 16 II. Darstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Erstes Kapitel Grundlagen
19
A. Historie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 B. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 C. Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Servicemodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Infrastructure as a Service (IaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Platform as a Service (PaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Software as a Service (SaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Public Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Private Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Hybrid Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Community Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Begriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Virtuelle Maschine und Virtual Machine Monitor . . . . . . . . . . . . . . . . 3. Massenspeichervirtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27 27 28 28 29 30 30 32 32 33 33 34 35 36 37
D. Datenkategorisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Medienrechtliche Einordnung der beim Cloud Computing anfallenden Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Anwendbarkeit des TMG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anwendbarkeit des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Merkmale für Telekommunikationsdienste . . . . . . . . . . . . . . . . . . . b) Cloud-Angebote als Telekommunikationsdienste . . . . . . . . . . . . . . c) Cloud Collaboration Tools als Telekommunikationsdienste . . . . . . 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Bestandsdaten, § 14 Abs. 1 TMG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Nutzungsdaten, § 15 Abs. 1 TMG . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38 39 39 40 40 41 42 43 44 44
8 Inhaltsverzeichnis 6. Inhaltsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Datenschutz nach der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45 45 46 46
E. Lokalisierung der gespeicherten (Inhalts-)Daten . . . . . . . . . . . . . . . . . . . . . I. Durch den Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Durch den Cloud-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Durch die Strafverfolgungsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47 47 48 49
F. Wesentliche Vor- und Nachteile des Cloud Computing – Tendenzen der Veränderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 I. Territorialer Kontrollverlust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 II. Abhängigkeit von einer bestehenden Internetverbindung . . . . . . . . . . . . . 51 G. Tatsächliche Zugriffsmöglichkeiten der Strafverfolgungsbehörden – denkbare Fallkonstellationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Am Ort des verdächtigen Cloud-Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . II. Am Ort des Cloud-Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. In der Übertragungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52 52 54 55
H. Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Zweites Kapitel
Erarbeitung des rechtlichen Rahmens
58
A. Verfassungsrechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 I. Das Gebot des Vorbehalts des Gesetzes . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 II. Betroffene Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 1. Unverletzlichkeit der Wohnung, Art. 13 GG . . . . . . . . . . . . . . . . . . . . . 60 2. Eigentumsfreiheit, Art. 14 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 3. Berufsfreiheit, Art. 12 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4. Post- und Fernmeldegeheimnis, Art. 10 GG (Telekommunikationsgeheimnis) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 a) Up- und Download der Daten als Telekommunikation im Sinne des Art. 10 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 b) Synchronisation der Daten als Telekommunikation im Sinne des Art. 10 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 c) Zugriff auf in der Cloud gespeicherte Inhalte als Telekommunikation im Sinne des Art. 10 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . 68 d) Cloud Collaboration als Telekommunikation im Sinne des Art. 10 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 e) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 5. Das Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Inhaltsverzeichnis9 6. Das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 B. Strafprozessuale Ermächtigungsgrundlagen und ihre Voraussetzungen . 75 I. Maßnahmen am Ort des verdächtigen Cloud-Nutzers . . . . . . . . . . . . . . . . 76 1. § 102 StPO – Durchsuchung beim Verdächtigen . . . . . . . . . . . . . . . . . 76 a) Zweck der Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 b) Verdächtiger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 c) Gegenstand der Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 aa) Inbetriebnahme vorgefundener Endgeräte . . . . . . . . . . . . . . . . 80 bb) Überwinden der Zugangssicherung . . . . . . . . . . . . . . . . . . . . . 81 cc) Zwischenergebnis – Durchsuchung „offline“ . . . . . . . . . . . . . . 83 d) Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 e) Anordnung der Durchsuchung (§ 105 StPO) . . . . . . . . . . . . . . . . . . 84 aa) Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 bb) Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 f) Beendigung der Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 2. § 110 StPO – Durchsicht von Papieren und elektronischen Speichermedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 a) Zweck der Durchsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 b) Zur Durchsicht befugte Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 c) Mitnahme zur Durchsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 d) Räumlich getrennte Speichermedien . . . . . . . . . . . . . . . . . . . . . . . . 91 aa) Entstehungsgeschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 bb) Begriffsbestimmung „räumlich getrenntes Speichermedium“ . 92 cc) Arten von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 dd) Zugriff vom Speichermedium aus . . . . . . . . . . . . . . . . . . . . . . 95 ee) Kein Zugriff nach Mitnahme zur Durchsicht . . . . . . . . . . . . . . 98 ff) Zwischenergebnis – Zugriff „online“ . . . . . . . . . . . . . . . . . . . . 99 gg) Zwischenergebnis – „Online-Durchsuchung light“ . . . . . . . . . 100 e) Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 f) Beendigung der Durchsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 g) Auswirkungen der Durchsicht auf den Zeitpunkt der Beendigung der Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 3. § 94 StPO – Sicherstellung und Beschlagnahme . . . . . . . . . . . . . . . . . 105 a) Begriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 b) Der Sicherstellung unterliegende Gegenstände . . . . . . . . . . . . . . . . 107 aa) Körperliche Gegenstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 bb) Daten als nicht körperliche Gegenstände . . . . . . . . . . . . . . . . . 107 c) Gewahrsam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 aa) Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 bb) Gewahrsam an Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
10 Inhaltsverzeichnis d) Durchführung der Sicherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 e) Auswertung der sichergestellten Gegenstände . . . . . . . . . . . . . . . . . 115 aa) „offline“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 bb) „online“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 cc) Desktopanwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 f) Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 g) Anordnung der Beschlagnahme, § 98 StPO . . . . . . . . . . . . . . . . . . 118 h) Beendigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 4. Online-Durchsuchung – § 100b StPO . . . . . . . . . . . . . . . . . . . . . . . . . . 120 a) Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 b) Gegenstand der Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 c) Weitere Eingriffsvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . 123 d) Betroffene der Maßnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 aa) Bei einer exklusiv genutzten Cloud . . . . . . . . . . . . . . . . . . . . . 125 bb) Bei einer gemeinsam genutzten Cloud . . . . . . . . . . . . . . . . . . . 126 e) Schutz des Kernbereichs privater Lebensgestaltung . . . . . . . . . . . . 127 f) Anordnung der Online-Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . 128 aa) Form, Inhalt und Begründung . . . . . . . . . . . . . . . . . . . . . . . . . . 128 bb) Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 g) Beendigung, Verwendung und Berichtspflichten . . . . . . . . . . . . . . . 129 II. Maßnahmen am Ort des Cloud-Anbieters im Bezug auf Inhaltsdaten . . . 129 1. § 103 StPO – Durchsuchung bei Dritten . . . . . . . . . . . . . . . . . . . . . . . . 129 a) Der Cloud-Anbieter als „andere Person“ . . . . . . . . . . . . . . . . . . . . . 130 b) Erfolgsaussicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 c) Grundsatz der Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . 132 d) Rechte des verdächtigen Cloud-Nutzers bei einer Durchsuchung am Ort des Cloud-Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 aa) Anwesenheitsrecht gem. § 106 StPO . . . . . . . . . . . . . . . . . . . . 133 bb) Mitteilungspflichten gem. § 107 StPO . . . . . . . . . . . . . . . . . . . 134 2. § 95 StPO – Herausgabeverlangen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 a) Zuständigkeit .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 b) Gegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 c) Adressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 d) Verhältnismäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 III. Maßnahmen am Ort des Cloud-Anbieters im Bezug auf sonstige Daten . 140 1. § 100g StPO – Verkehrsdatenauskunft . . . . . . . . . . . . . . . . . . . . . . . . . 140 2. § 100j StPO – Bestandsdatenauskunft . . . . . . . . . . . . . . . . . . . . . . . . . . 141 a) Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 b) Adressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 c) Gegenstand des Auskunftsverlangens . . . . . . . . . . . . . . . . . . . . . . . 143 d) Zwischenergebnis für in der Cloud gespeicherte Daten . . . . . . . . . 143 3. §§ 161 Abs. 1, 163 Abs. 1 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Inhaltsverzeichnis11 a) Umfang der Editionspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 IV. Maßnahmen in der Übertragungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 1. § 100a StPO – Telekommunikationsüberwachung . . . . . . . . . . . . . . . . 146 a) Telekommunikation im Sinne des § 100a StPO . . . . . . . . . . . . . . . 147 aa) Up- und Download als Telekommunikation im Sinne des § 100a StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 bb) Cloud Collaboration als Telekommunikation im Sinne des § 100a StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 b) Weitere Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 2. Quellen-Telekommunikationsüberwachung . . . . . . . . . . . . . . . . . . . . . . 150 a) Überwachung der Telekommunikation gemäß § 100a Abs. 1 S. 2 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 b) „Kleine Online-Durchsuchung“ gemäß § 100a Abs. 1 S. 3 StPO . 152 V. Résumé zu den strafprozessualen Ermächtigungsgrundlagen . . . . . . . . . . 154 Drittes Kapitel
Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
157
A. Das Territorialprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 B. Die Zulässigkeit extraterritorialer Ermittlungshandlungen . . . . . . . . . . . . 159 C. Der Zugriff auf im Ausland gespeicherte Daten . . . . . . . . . . . . . . . . . . . . . I. Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Öffentlich zugänglich gespeicherte Daten . . . . . . . . . . . . . . . . . . . . . . . . . 1. Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Nicht öffentlich zugänglich gespeicherte Daten . . . . . . . . . . . . . . . . . . . . 1. Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Zugriff mit Zustimung des Berechtigten . . . . . . . . . . . . . . . . . . . . . aa) Convention on Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Abseits der Convention on Cybercrime . . . . . . . . . . . . . . . . . . b) Zugriff ohne Zustimmung des Berechtigten . . . . . . . . . . . . . . . . . . aa) Convention on Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Abseits der Convention on Cybercrime . . . . . . . . . . . . . . . . . . (1) Völkerrechtliche Übung . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Allgemeine völkerrechtliche Grundsätze . . . . . . . . . . . . . . 3. „Quick Freeze“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
160 160 161 162 164 165 165 165 165 166 167 168 168 169 169 171 172 173
D. Der Zugriff auf in der Cloud gespeicherte Daten bei grenzübergreifenden Serververbunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 I. „Loss of (knowledge of) location“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
12 Inhaltsverzeichnis II. Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Anknüpfungspunkt für die Beurteilung . . . . . . . . . . . . . . . . . . . . . . . . . 2. Denkbare Fallkonstellationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Anwendbarkeit der Art. 31 f. der Convention on Cybercrime . . . . . . . 2. Eigener Lösungsansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Abgrenzung zu den „Good faith“-Fällen . . . . . . . . . . . . . . . . . . . . . . . . IV. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
176 176 177 178 178 180 182 184
E. Herausgabeanspruch bezüglich im Ausland gespeicherter Daten . . . . . . . I. Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Convention on Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Abseits der Convention on Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . III. Weitere (datenschutz-)rechtliche Hürden . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
184 185 185 185 188 189 191
F. Résumé zur völkerrechtlichen Begrenzungder nationalen Ermittlungsbefugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Viertes Kapitel
Untersuchung der Tragfähigkeit der bisherigen Ergebnisse und verbleibender Handlungsbedarf
A. Anwendung der bisherigen Ergebnisse auf die ausgewählten Fallkon stellationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Zugriff beim verdächtigen Cloud-Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Auslesen des lokalen Datenbestands „offline“ . . . . . . . . . . . . . . . . . . . a) Ohne Zugangssicherung vor Ort gemäß § 102 StPO . . . . . . . . . . . b) Ohne Zugangssicherung nach Mitnahme gemäß § 110 StPO . . . . . c) Mit Zugangssicherung vor Ort gemäß § 102 StPO . . . . . . . . . . . . . d) Mit Zugangssicherung nach Mitnahme . . . . . . . . . . . . . . . . . . . . . . 2. Beschlagnahme der gespeicherten Daten gemäß § 94 StPO . . . . . . . . 3. Auslesen „online“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Ohne Zugangssicherung vor Ort als Durchsicht gemäß § 110 Abs. 3 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Ohne Zugangssicherung nach Mitnahme . . . . . . . . . . . . . . . . . . . . . c) Mit Zugangssicherung vor Ort als Durchsicht gemäß § 110 Abs. 3 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Mit Zugangssicherung nach Mitnahme . . . . . . . . . . . . . . . . . . . . . . 4. Ausländischer Serverstandort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Grenzübergreifender Serververbund . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Ausländischer grenzübergreifender Serververbund . . . . . . . . . . . . . . . . 7. Online-Durchsuchung gemäß § 100b StPO . . . . . . . . . . . . . . . . . . . . . .
195
195 196 196 196 197 198 198 199 201 201 202 202 203 203 205 206 207
Inhaltsverzeichnis13 II. Am Ort des Cloud-Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zugriff am Ort des Cloud-Anbieters als Durchsuchung gemäß § 102 oder § 103 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Nach Mitnahme des Cloud Servers als Beschlagnahme gemäß § 94 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Herausgabeverlangen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Inhaltsdaten des Cloud-Nutzers gemäß § 95 StPO . . . . . . . . . . . . . b) Sonstige Daten (Bestands- und Nutzungsdaten) gemäß §§ 161 Abs. 1, 163 Abs. 1 StPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Hinsichtlich im Ausland gespeicherter Daten gegenüber einem Anbieter mit Sitz in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Hinsichtlich im Ausland gespeicherter Daten gegenüber einem Anbieter ohne Sitz in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . III. Zugriff in der Übertragungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Überwachung des Datenübertragungsprozesses . . . . . . . . . . . . . . . . . . 2. Abfangen von Daten vor beziehungsweise nach dem Einsetzen des Verschlüsselungsprozesses als „Quellen-TKÜ“ . . . . . . . . . . . . . . . . . .
208
B. Zusammenfassung und Bewertung der bisherigen Ergebnisse . . . . . . . . . I. Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Bestehender Handlungsbedarf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Handlungsbedarf auf datenschutzrechtlicher Ebene . . . . . . . . . . . . . . . a) Verpflichtung des Anbieters zur Festlegung eines Server Pools . . . b) Verpflichtung des Anbieters zur Vorhaltung der Zugangsdaten in Klartext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Handlungsbedarf auf völkerrechtlicher Ebene . . . . . . . . . . . . . . . . . . . 3. Entwurf eines zweiten Zusatzprotokolls zur Convention on Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
218 218 220 220 221
208 209 210 210 211 213 214 215 215 217
222 222 224
Schlusswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Einleitung „Ich mache mir wirklich große Sorgen, weil alles in die Datenwolke geht. Ich denke, es wird schrecklich. Wir werden innerhalb der nächsten fünf Jahre eine ganze Menge Probleme haben.“1 Diese Worte stammen von Steve Wozniak, dem Mitbegründer von Apple, am Rande einer Theatervorstellung in der US-amerikanischen Hauptstadt Washington im Jahre 2012. Der erste Teil von Wozniaks Warnung hat sich bereits bestätigt: Immer mehr Nutzer speichern ihre Daten in der Cloud. Allein Apple hat die Zahl seiner iCloud-Nutzer 2016 auf 782 Millionen ausgebaut.2 Das 2008 gegründete Unternehmen Dropbox zählte im Juli 2016 500 Millionen Nutzer weltweit.3 30 Millionen Nutzer alleine in Deutschland, Österreich und der Schweiz.4 Bis 2017 sollen 73 % aller Daten „in der Wolke“ sein.5 Diese Zahlen belegen eindrücklich, dass Cloud-Dienste immer beliebter werden. Bei den Nutzern handelt es sich dabei nicht nur um Unternehmen, die den Vorteil nutzen, keine eigenen Ressourcen vorhalten zu müssen, sondern vor allem auch um Private, die mit dem angemieteten Cloud-Speicher die heimische Festplatte ersetzen oder ihre Endgeräte synchronisieren. Diese Weiterentwicklung führt dazu, dass Ermittlungsbehörden bei ihrer Arbeit zwangsläufig zunehmend mit Cloud-Lösungen in Berührung kommen. Waren beweiserhebliche Gegenstände bei einer Durchsuchung zunächst noch in körperlicher Form in den Räumen des Verdächtigen zu finden, werden die Informationen längst digital gespeichert. Nutzt der Verdächtige einen CloudDienst und speichert so seine Daten über ein externes Datennetz, werden die zuständigen Behörden beim Verdächtigen nur ein Endgerät vorfinden, auf dem möglicherweise nichts gespeichert ist, über welches sie aber auf eine Cloud zugreifen können. 1 Zitiert nach Fuest, Die Welt vom 11.08.2012, https: / / www.welt.de / finanzen / article108575608 / Wie-die-Datenwolke-zum-Albtraum-der-Nutzer-wird.html (zuletzt besucht am 20.03.2018). 2 Beiersmann ZDNet, 15.02.2016. 3 Quelle Dropbox: https: / / de.statista.com / statistik / daten / studie / 326447 / umfrage / anzahl-der-weltweiten-dropbox-nutzer / (zuletzt besucht am 20.03.2018). 4 Heise Online: https: / / www.heise.de / newsticker / meldung / Dropbox-eroeffneterste-deutsche-Niederlassung-in-Hamburg-3213322.html (zuletzt besucht am 20.03. 2018). 5 Kroker, Wirtschaftswoche vom 12.08.2015.
16 Einleitung
Die vorliegende Arbeit widmet sich der Untersuchung, ob auch die Strafverfolgungsbehörden bei Ermittlungen „in der Cloud“ – um es mit Wozniaks Worten zu sagen – „eine ganze Menge Probleme haben“ und wie diese zu lösen sind.
I. Heranführung an den Untersuchungsgegenstand Hinter dem Konzept des Cloud Computing verbirgt sich zwar keine neue Technik, jedoch eine neue Geschäftsidee, IT-Ressourcen nicht mehr zu besitzen, sondern sie bei Bedarf zuzuschalten, sie als Dienstleistung zu beziehen.6 Die hinter dem Cloud Computing stehende Virtualisierungstechnik abstrahiert logische Systeme von der physischen Implementierung. Datenspeicherungen oder Programmabläufe werden daher nicht mehr einem klar zu lokalisierenden Server, sondern schlicht der „Cloud“ zugeordnet.7 Auch wenn alle Vorgänge in der Cloud letztendlich auf eine physische Hardware zurückgeführt werden können, über die ein territorialer Bezug hergestellt werden kann, bereitet die Festlegung eines territorialen Anknüpfungspunktes große Probleme. Die Daten eines Nutzers werden meist nicht en bloc, sondern als Datenversatzstücke gespeichert. Um bei Störungen Dienstunterbrechungen zu vermeiden, legt der Cloud-Anbieter meist noch Sicherungskopien der gespeicherten Daten an, welche wiederum bruchstückhaft gespeichert werden. Auf welche Daten dann im Falle eines Abrufs tatsächlich zugegriffen wird, entscheidet die Virtualisierungstechnik nach Kapazitätsgesichtspunkten. Für die Wahl der strafprozessualen Ermächtigungsgrundlage ist der tatsächliche Speicherort der Daten jedoch zunächst zweitrangig. Weder die Vorschriften zur Durchsuchung (§§ 102 ff. StPO) und Beschlagnahme (§§ 94 ff. StPO) noch die auf die Herausgabe von Daten gerichteten Normen (§ 95 StPO beziehungsweise §§ 161 Abs. 1, 163 Abs. 1 StPO) oder die Vorschriften zu den heimlichen Ermittlungsmaßnahmen (§ 100a und § 100b StPO) setzen einen bestimmten Speicherort der in Rede stehenden Daten voraus. Dennoch sind die Maßnahmen der Strafverfolgungsbehörden grundsätzlich auf das eigene Hoheitsgebiet beschränkt. Dies ergibt sich aus völkerrechtlichen Grundsätzen, namentlich dem Territorialprinzip, an welches die Ermittlungsbehörden gebunden sind. Findet ein Eingriff in fremde Souveränitätsrechte statt, bedarf dieser einer völkerrechtlichen Rechtfertigung. Ein Eingriff in fremde Hoheitsrechte setzt dabei keinesfalls voraus, dass der Hoheitsakt auf fremdem Staatsgebiet vorgenommen wird, die Behörden sich also physisch auf fremdes Staatsgebiet begeben. Ein Eingriff in fremde Hoheitsrechte liegt möglicherweise bereits dann vor, wenn eine Handlung aus Schorer, in: Hilber, Teil 1 C, Rn. 7. Giedke, Cloud Computing, S. 48; Lehmann / Giedke, CR 2013, 608 (611).
6 Vgl. 7 So:
Einleitung17
dem Inland in fremdes Hoheitsgebiet hineinwirkt. Dies wäre vielleicht auch schon dann der Fall, wenn deutsche Strafverfolgungsbehörden von einem Rechner im Inland auf im Ausland gespeicherte Daten zugreifen. Eine Verletzung fremder Hoheitsrechte liegt ebenfalls vor, wenn die Ermittlungsbehörden eine Person – egal wo sich diese aufhält – zur Herausgabe von im Ausland gespeicherten Daten auffordern, denn in beiden Fällen werden Datenverarbeitungsprozesse im Ausland in Gang gesetzt, die – zumindest mittelbar – auf das Verhalten der Ermittlungsbehörden zurückzuführen sind.
II. Darstellung Um sämtliche Ermittlungsmöglichkeiten der Strafverfolgungsbehörden im Zusammenhang mit dem Cloud Computing einer rechtlichen Beurteilung zuführen zu können, muss zunächst einmal festgestellt werden, in welchen Situationen die Behörden mit Cloud-basierten Diensten in Berührung kommen können. Im ersten Teil der Arbeit sollen daher zunächst die für die rechtliche Beurteilung der strafprozessualen Ermittlungsmöglichkeiten notwendigen Grundlagen des Cloud Computings erarbeitet werden. Nach einem kurzen Überblick über die historische Entwicklung, der Technologie und der Begriffsbestimmung findet eine Darstellung der technischen Grundlagen statt. Neben den einzelnen Servicemodellen und den verschiedenen Erscheinungsformen werden insbesondere die Virtualisierungstechnik und die damit verbundenen Schwierigkeiten der Lokalisierbarkeit der in der Cloud gespeicherten Daten eingehend beleuchtet. Anschließend werden die beim Cloud Computing anfallenden Daten medienrechtlich kategorisiert. Nach dieser Darstellung wird deutlich, wann die Behörden mit der Cloud des Verdächtigen in Berührung und welche tatsächlichen Zugriffsmöglichkeiten als ermittlungstechnische Ansatzpunkte in Betracht kommen. Zum Ende des ersten Kapitels werden daher denkbare Fallkonstellationen aufgeworfen, die im Fortgang der Arbeit unter allen Aspekten beleuchtet werden. Dabei wird stets davon ausgegangen, dass es sich bei dem Nutzer des Cloud-Dienstes um den Verdächtigen handelt, gegen den das Ermittlungsverfahren eingeleitet beziehungsweise die spätere Hauptverhandlung geführt werden soll. Die Untersuchung beschränkt sich dabei auf die Ermittlungen gegen Nutzer von Storage as a Service (StaaS)- beziehungsweise Infrastructure as a Service (IaaS)Angeboten. Die denkbaren Fallkonstellationen werden einer Grobgliederung unterworfen, die für die weitere Struktur der Arbeit prägend ist. Anknüpfungspunkt ist der Zugriff am Ort des verdächtigen Cloud-Nutzers selbst über den unverdächtigen Cloud-Anbieter und in der Phase der Übertragung der Daten in und aus der Cloud.
18 Einleitung
Im zweiten Teil der Arbeit wird der Rahmen der behördlichen Ermittlungsbefugnisse abgesteckt. Das Analogieverbot des § 103 Abs. 2 GG findet im Strafprozessrecht zwar keine Anwendung, dennoch bedarf jeder Grundrechts eingriff einer Ermächtigungsgrundlage.8 Deshalb gilt es zunächst, den verfassungs- und grundrechtlichen Rahmen näher zu beleuchten. Anschließend werden die in Betracht kommenden strafprozessualen Ermächtigungsgrundlagen dargestellt und in ihrer Anwendbarkeit auf lokal und extern gespeicherte Daten im Zusammenhang mit dem Cloud Computing untersucht. In diesem Kontext sind auch die 2017 neu eingeführten gesetzlichen Regelungen zur Online-Durchsuchung und zur Quellen-Telekommunikationsüberwachung zu berücksichtigen. Dabei werden bereits die denkbaren Fallkonstellationen aufgegriffen und die typischerweise im Zusammenhang mit dem Cloud Computing auftretenden Problembereiche diskutiert. Für Cloud-Sachverhalte mit Auslandsbezug findet im anschließenden Kapitel eine Auseinandersetzung mit der völkerrechtlichen Begrenzung der strafprozessualen Ermittlungsbefugnisse durch das Territorialprinzip statt. Dafür werden zunächst die hergebrachten Grundsätze herausgearbeitet und anschließend auf ihre Anwendbarkeit auf typische Cloud-Sachverhalte untersucht. Ergänzend wird ein eigener Ansatz für die völkerrechtliche Rechtfertigung des Zugriffs auf in der Cloud gespeicherte Inhalte herausgearbeitet, soweit die Daten in einem grenzübergreifenden Serverpool gespeichert sind. Im vierten und letzten Teil der Arbeit werden die denkbaren Fallkonstellationen noch einmal aufgegriffen und unter Anwendung des im zweiten Teil herausgestellten rechtlichen Rahmens einer abschließenden Lösung zugeführt. Die Arbeit schließt mit der inhaltlichen Darstellung der auf datenschutzrechtlicher und völkerrechtlicher Ebene benötigten gesetzlichen Regelungen.
8 Dazu
Meyer-Goßner, in: Meyer-Goßner / Schmitt StPO, Einl. Rn. 198.
Erstes Kapitel
Grundlagen A. Historie Entgegen einer weit verbreiteten Auffassung ist Cloud Computing kein neues Konzept, höchstens ein neues Geschäftsmodell. Auch die dem Cloud Computing zugrunde liegenden Technologien sind nichts Neues, denn es gab in der Geschichte der IT immer wieder ähnliche Ansätze mit unterschiedlichen Bezeichnungen. Im Jahre 1961 hielt der Informatiker John McCarthy eine Rede am Massachusetts Institute of Technology zu dessen hundertjährigem Jubiläum und prognostizierte: „If computers of the kind I have advocated become the computers of the future, then computing may someday be organized as a public utility just as the Telefone system is a public utility… The computer utility could become the basis of a new and important industry.“1 Douglas Parkhill, ein kanadische Forscher, griff 1966 in seinem Buch „The Challenge of the Computer Utility“ die Ansätze McCarthys auf und schilderte ausführlich die Grundlagen dessen, was wir heute Cloud Comput ing nennen. Er beschrieb, dass es möglich sein sollte, IT-Ressourcen – sowohl Hardware als auch Software – wie Strom aus der Steckdose zu beziehen. Die Abrechnung sollte sich nach dem Verbrauch richten, das heißt, der Nutzer sollte die Ressourcen nur dann bezahlen, wenn er sie auch tatsächlich nutze. Dies würde zu einem System führen, bei dem die Anbieter der Ressourcen am ehesten mit den Elektrizitätsanbietern vergleichbar wären. Parkhill prägte so maßgeblich den Begriff „Utility Computing“.2 Er differenzierte weiter zwischen privaten (private), öffentlich zugänglichen (public), von Gemeinschaften nutzbaren (community) und speziell für Regierungsorganisationen verfügbaren Ressourcen (government).3 Zu einer Zeit, in der ein Computer noch ganze Werkshallen füllte und viele Millionen Dollar kostete, waren Parkhills Gedanken noch mehr als revolutionär. Bis Apple 1976 den ersten Personal Computer, den Apple 1, auf 1 Garfinkel,
The Cloud Imperative, October 3, 2011. englischsprachigen Raum ist Utility die Bezeichnung für zentrale Versorgungsunternehmen, wie Wasser- oder Elektrizitätsversorger. 3 Parkhill, The Challenge of the Computer Utility, insb. S. 51 ff. 2 Im
20
1. Kap.: Grundlagen
den Markt brachte, ging man zudem davon aus, dass Computer nur für einen beschränkten Benutzerkreis – wie etwa Industrie, Militär und Forschung – geeignet seien. Auch nach dem Apple 1 bedurfte es jedoch noch weiterer Jahre, bis Parkhills Idee zum ersten Mal umgesetzt wurde. Dies lag vor allem darin begründet, dass die notwendigen technischen Voraussetzungen, wie eine schnelle und stabile Internetverbindung sowie die Mehrbenutzerfähigkeit von IT-Systemen, noch nicht vorhanden waren.4 In den Jahren 2002 bis 2003 brachten HP, IBM und Sun unterschiedliche Lösungsansätze an den Markt. IBM5 erlaubte Kunden Ressourcen zum Teil aus deren Rechenzentren zu beziehen und verwirklichte mit diesem „Supercomputing on Demand“ bereits erste Ansätze des von Parkhill geprägten Utility Computing.6 Sun und HP versuchten hingegen mit „N1“ beziehungsweise „Adaptive Computing“ die in den Kundenrechenzentren vorhandene Infrastruktur zu optimieren.7 Weder die Ideen von HP, IBM noch von Sun waren zu dieser Zeit von Erfolg gekrönt, denn die richtige Zeit war offensichtlich (noch) nicht gekommen.8 Fünf Jahre später griff Nicholas Carr diese Ansätze erneut auf und verwendete sie unter dem Begriff des Cloud Computing.9 Bei der Cloud handelt es sich also nicht um eine grundlegend neue IT-Technologie, sondern um eine Weiterentwicklung bekannter und erprobter Computing-Modelle bei einer gleichzeitigen Veränderung gesellschaftlicher und sozialer Rahmenbedingungen. Im Wesentlichen wurde die Cloud erst durch das Zusammenwirken von vier Entwicklungstendenzen ermöglicht: Das Vorhandensein erweiterter Kommunikations- und Web-Technologien, neue IT-Infrastrukturentwicklungen, die verstärkte Industrialisierung der IT sowie ein verändertes Nutzerverhalten.10 Die nahezu globale Verbreitung des Internets stellt mit sehr geringem Kostenaufwand eine globale Kommunikationsinfrastruktur bereit, welche einen einfachen Zugriff auf IT-Ressourcen ermöglicht. 2011 hatten in Deutschland 4 Büst,
Die historische Entwicklung des Cloud Computing. News Release, abrufbar unter: http: / / www-03.ibm.com / press / us / en / press release / 373.wss (zuletzt besucht am 20.03.2018). 6 Schorer, in: Hilber, Handbuch Cloud Computing, Teil 1 C, Rn. 3. 7 CNET News, abrufbar unter: http: / / news.cnet.com / 2100–1001–831234.html (zuletzt besucht am 20.03.2018). 8 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 80; Schorer, in: Hilber, Handbuch Cloud Computing, Teil 1 C, Rn. 4. 9 Carr, The Big Switch. 10 Insgesamt dazu Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 80. 5 IBM
A. Historie21
bereits über 77 % der privaten Haushalte einen Zugang zum Internet. Davon nutzte mit 93 % die Mehrheit eine schnelle Internetverbindung (Breitbandanschluss). Der zügig voranschreitende Ausbau des LTE-Netzes11 für mobiles Internet und das Vorhandensein kabelgebundener Breitbandanschlüsse führen künftig zu einer leistungsfähigen, flächendeckenden und zunehmend stabilen Netzbasis als Grundlage für nahezu weltweites Cloud Computing.12 Die erforderlichen technischen Grundlagen liegen vor allem in der Virtualisierung, der kontinuierlichen Steigerung der Prozessorleistung,13 der Miniaturisierung und höheren Packungsdichten, welche zu immer kostengünstigeren Speicherlösungen führen, den umfassenden Automatisierungslösungen, den durch Grid Computing14 gesammelten Erfahrungen, der Bildung von Container-Rechenzentren15 durch das Zusammenfügen von einfachen und preiswerten Infrastrukturkomponenten sowie der fortschreitenden Entwicklung bei mobilen Endgeräten wie iPhone, iPad, etc.16 Unter der Bezeichnung „Industrialisierung der IT“ ist die Übertragung industrieller Methoden und Prozesse auf die Informationstechnik zu verstehen mit dem Ziel, die Effizienz und Effektivität von IT-Bereichen zu steigern. Kennzeichnend für diese Entwicklung sind vor allem die Standardisierung, die Modularisierung, die Automatisierung und das IT-Outsourcing, deren Elemente in der Cloud wiederzufinden sind.17 Die wahrscheinlich bedeutsamste Entwicklung besteht jedoch in der Veränderung des Nutzerverhaltens. Die Nutzer übertragen vermehrt Verhaltens-
11 Long Term Evolution (LTE) bezeichnet den Mobilfunkstandard der dritten Generation und ermöglicht je nach Empfangssituation deutliche höhere Downloadraten, also eine schnellere Internetverbindung. 12 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 80. 13 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 4. 14 Unter Grid Computing ist eine flexible, koordinierte und gemeinsame Nutzung von geographisch verteilten, unausgelasteten Hard- und Softwareressourcen über das Internet beziehungsweise über standardisierte Protokolle und Schnittstellen, um die verteilte Lösung von Rechenaufgaben zu bewerkstelligen zu verstehen (Roth-Neuschild, in: Auer-Reinsdorff / Conrad, § 13 Rn. 48). Der wesentliche Unterschied zum Cloud Computing liegt in der dezentralen Kontrolle der vernetzten Ressourcen (zur Abgrenzung vgl. Karger, The Cloud vs. The Grid, S. 10). 15 Einen guten Überblick über Container-Rechenzentren gibt das Video von Microsoft, abzurufen unter: http: / / www.youtube.com / watch?v=PPnoKb9fTkA&feature =related (zuletzt besucht am 20.03.2018). 16 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 80 f. 17 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 81.
22
1. Kap.: Grundlagen
weisen aus dem privaten Bereich in den Geschäftsbereich.18 Dieses Umdenken wurde unter anderem auch durch die Aussagen von Carr in seinem Artikel „IT Doesn’t Matter“19 beflügelt, in welchem er im Wesentlichen die Ansicht vertritt, dass sich IT immer mehr zu einem Massenprodukt entwickelt und somit immer weniger zu einem strategischen Wettbewerbsvorteil des Unternehmens beiträgt, da die IT bei sinkenden Kosten und immer besserer Verfügbarkeit auch von den Mitbewerbern eingesetzt wird.20 So wuchs die Bereitschaft von Geschäftsführern, IT-Leistungen durch klassisches Outsourcing nach außen zu geben. Besonders die „Digital Natives“21 sind nicht mehr bereit, bei der Nutzung zwischen privater und geschäftlicher IT zu differenzieren. Sie wollen jederzeit und von überall her, mobil und schnell mit jedem Endgerät auf ihre privaten und geschäftlichen Anwendungen zugreifen können. Im Jahr 2011 waren es in Deutschland noch lediglich 11 %, die sich über mobile Endgeräte in das Internet eingewählt haben. 2013 ist der Anteil auf 38 % gestiegen und inzwischen nutzen bereits 63 % das mobile Internet.22 Weltweit wurden im Oktober 2016 sogar erstmals mehr Webseiten von mobilen Endgeräten als vom Desktop aus aufgerufen.23 Zusammenfassend kann daher festgehalten werden, dass das Cloud Computing durch eine Entwicklungstendenz alleine nie ermöglicht worden wäre. Es war vielmehr das Zusammenspiel von neuen Technologien und geändertem Nutzerverhalten, das Cloud Computing begünstigt hat.
18 Man spricht insoweit von „Consumerization (Konsumerisierung) der IT“ Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 81. 19 Zu deutsch etwa „auf die IT kommt es nicht an“. 20 Nicholas G. Carr, IT Doesn’t Matter, abzurufen unter: http: / / hbr.org / 2003 / 05 / itdoesnt-matter / ar / 1 (zuletzt besucht am 20.03.2018). 21 Die Bezeichnung von Personen, die mit digitalen Technologien wie Computern, dem Internet, Mobiltelefonen und MP3-Playern aufgewachsen sind. Windisch / Medman, Understanding the digital natives, in: Ericsson Business Review, 1 / 2008, S. 36 ff. 22 FUR, Statista 2017, abrufbar unter: https: / / de.statista.com / statistik / daten / stu die / 181973 / umfrage / genutzte-mobilgeraete-fuer-mobilen-internetzugang-in-deutsch land / (zuletzt besucht am 20.03.2018). 23 StatCounter Press Release Tuesday 1st November 2016, abrufbar unter: http: / / gs.statcounter.com / press / mobile-and-tablet-internet-usage-exceeds-desktopfor-first-time-worldwide wobei in Deutschland, Australien oder USA Webseiten weiterhin mehrheitlich über Desktops aufgerufen werden. Die höhere Nutzung von mobilen Endgeräten rührt vor allem aus China und den meisten afrikanischen Ländern (https: / / www.heise.de / newsticker / meldung / Mobile-Internetnutzung-weiter-aufdem-Vormarsch-3455624.html?view=zoom;zoom=2) (jeweils zuletzt besucht am 20.03.2018).
A. Historie23
Die prominentesten Vertreter und Vorreiter des Cloud Computing sind Google, Salesforce und Amazon.24 Diese Unternehmen haben ihre eigene Infrastruktur nach den Prinzipien des Cloud Computing einer breiten Masse zur Verfügung gestellt, weil sie selbst nicht auf den Einsatz der Prinzipien und Technologien des Cloud Computing in ihren eigenen Infrastrukturen verzichten konnten. Lediglich Salesforce hatte das ursprüngliche Ziel, CloudComputing-Dienste anzubieten. Bei den anderen beiden Anbietern ist die Geschäftsidee vielmehr aus einer Notwendigkeit heraus entstanden. Das Kerngeschäft von Google besteht in der Suche und der damit zusammenhängenden Indizierung des Internets. Um die dafür notwendige enorme Rechenleistung bereitzustellen, ist der Aufbau einer entsprechend leistungsfähigen IT-Infrastruktur erforderlich. Um den Nutzern einen schnellen und zuverlässigen Dienst anbieten zu können, müssen die Aspekte der Hochskalierbarkeit und Hochverfügbarkeit besonders berücksichtigt werden. Amazons Kerngeschäft ist der Onlineshop auf amazon.com, der größten E-Commerce-Plattform der Welt, mit Millionen Kunden und Transaktionen pro Tag. Um seinen Kunden einen zuverlässigen Service – insbesondere in den saisonal bedingten Zeiten wie zum Beispiel Weihnachten – bieten zu können, musste auch Amazon über eine hochskalierbare und hochverfügbare Infrastruktur verfügen.25 Um die eigenen Kerngeschäfte effizient betreiben zu können, waren Google und Amazon also gezwungen, selbst auf die Technologien des Cloud Computing zurückzugreifen und diese zu entwickeln.26 Bisher wurden von Unternehmen häufig IT-Landschaften, bestehend aus einer räumlichen Infrastruktur (Server-Raum), einer Hardware-Infrastruktur (Server- und Netzwerk-Systeme) sowie einer Software-Infrastruktur (Betriebs- und Software-Systeme) selbst vorgehalten und betrieben.27 Diese mussten so dimensioniert werden, dass sie die Spitzen des Ressourcenbedarfs jeweils abdecken konnten.28 Aufgrund der Abweichungen in den Spitzenzeiten lag die Auslastung teilweise bei weniger als 10 % der jeweiligen Kapazitäten.29 Die brachliegende IT-Infrastruktur war daher oftmals nicht wirtschaftlich, da sie dauerhaft hohe Kosten verursachte. Dem konnte durch die On-demand-Nutzung des Cloud-Services Abhilfe geschaffen werden.30 Die zunehmende Nachfrage von Cloud-Computing-Diensten resultiert jedoch 24 Vertieft zu den einzelnen Cloud-Diensten: Baun et al., Cloud Computing, S. 43 ff. (Amazon); 61 ff. (Google); 68 ff. (Salesforce). 25 Baun et al., Cloud Computing, S. 44. 26 Büst, Die historische Entwicklung des Cloud Computing. 27 Sogenannte „inhouse IT“. 28 Brennscheidt, Cloud Computing und Datenschutz, S. 19. 29 Weiss, in: Hilber, Handbuch Cloud Computing, Teil 1A, Rn. 2; Büst, Die historische Entwicklung des Cloud Computing. 30 Giedke, Cloud Computing, S. 14 f. m. w. N.; Baun et al., Cloud Computing, S. 2.
24
1. Kap.: Grundlagen
nicht nur aus der Reduzierung und Flexibilisierung der Kosten. Hinzu kommen die Gesichtspunkte der Mobilität und Flexibilität. Denn für viele Berufsgruppen bedeutet Cloud Computing eine Unabhängigkeit von Ort, Zeit und Endgerät.31 In größeren Unternehmen gehört der Einsatz von Cloud Computing32 schon zum festen Bestandteil der Bedarfsplanung, sowohl durch unabhängige Systeme aus der Cloud als auch durch Integration in die bestehende Systemlandschaft über standardisierte Schnittstellen. Kleinere und mittlere Unternehmen in Deutschland stehen der Nutzung von Cloud Computing eher zurückhaltend gegenüber. Begründet wird dies häufig mit mangelnder Transparenz, Zweifeln, ob die rechtlichen Anforderungen eingehalten werden33 sowie dem „gefühlten“ Kontrollverlust durch die Übertragung der Verantwortung auf den Cloud-Anbieter.34 Ganz anders verhält es sich mit den privaten Nutzern der Cloud-Dienste.35 Im privaten Umfeld gehören Cloud-Dienste wie Facebook36, diverse Webmaildienste wie zum Beispiel Gmail von Google37 sowie Online-Kalender38 bereits zum Alltag. Darüber hinaus gibt es eine Vielzahl weiterer Angebote wie beispielsweise Plattformen wie Picasa39 oder Flickr40, auf denen Fotos abgelegt und Freunden zugänglich gemacht werden können, sowie der universelle Speicherdienst Dropbox41, welche auf Cloud-Diensten beruhen.42 Hinzu kommt, dass immer mehr Nutzer ihre mobilen Endgeräte über eine Cloud synchronisieren.43 Für den Privatnutzer liegen die Vorteile vor allem 31 Weiss, in: Hilber, Handbuch Cloud Computing, Teil 1A, Rn. 22; Giedke, Cloud Computing, S. 17; Baun et al., Cloud Computing, S. 3. 32 Mit Anwendungsbeispielen im Unternehmensbereich: Bedner, Cloud Computing, S. 69 ff. 33 Vor allem in datenschutzrechtlicher Hinsicht, BSI-Eckpunkte Cloud Computing, S. 7; Brennscheidt, Cloud Computing und Datenschutz, S. 23. 34 Weiss, in: Hilber, Handbuch Cloud Computing, Teil 1A, Rn. 21; zu den einzelnen Aspekten: Giedke, Cloud Computing, S. 20 ff. 35 Ausführlicher dazu Bedner, Cloud Computing, S. 64 ff. 36 Hurwitz et al., Cloud Computing for Dummies, S. 9. 37 Vgl. Google Mail: Es ist einfach cooler in der Cloud, 07.09.2011, abzurufen unter: http: / / google-produkte.blogspot.de / 2011 / 09 / google-mail-es-ist-einfach-coolerin_07.html (zuletzt besucht am 20.03.2018). 38 Wie zum Beispiel Google-Kalender. 39 Von Google, vgl. http: / / picasa.google.de / intl / de / (zuletzt besucht am 20.03.2018). 40 https: / / www.flickr.com / (zuletzt besucht am 20.03.2018). 41 https: / / www.dropbox.com / de / (zuletzt besucht am 20.03.2018). 42 ausführlich zum Anwendungsspektrum, Giedke, Cloud Computing, S. 6 f. 43 Zur Nutzung der Cloud zum Zwecke der Synchronisation verschiedener Endgeräte, vgl. dazu Erstes Kap. F.II.
B. Begriffsbestimmung25
in der Möglichkeit zur flexiblen und ortsungebundenen Nutzung. Er kann durch „die Cloud“ zum Beispiel auf gespeicherte Dokumente, unabhängig von einem bestimmten Endgerät, von der ganzen Welt aus zugreifen.44 Das, was im privaten Umfeld bereits zur Gewohnheit geworden ist, drängt nun vermehrt in den geschäftlichen Bereich. Cloud Computing ist eines der wenigen Beispiele im IT-Bereich, bei dem Innovation anfänglich durch den privaten Nutzer forciert und erst später als Konzept für die geschäftliche Verwendung übernommen wurde.45
B. Begriffsbestimmung Cloud Computing bedeutet wörtlich übersetzt „Rechnerwolke“.46 Diese Bezeichnung wurde aus der schematischen Darstellung des Internets in Zeichnungen als Wolke abgeleitet. Die Wolke steht dabei als Symbol der physischen und geografischen Unsichtbarkeit der Daten im Internet für den Nutzer.47 Im Wesentlichen geht es beim Cloud Computing darum IT-Ressourcen nicht mehr zu besitzen, sondern sie bei Bedarf zuzuschalten, sprich als Dienstleistung zu beziehen. Eine einheitliche Definition für Cloud Computing gibt es (noch) nicht und wird es vielleicht auch nie geben.48 Die Frage, was darunter zu verstehen ist, wird nach der jeweiligen Interessenlage unterschiedlich beantwortet.49 Da rein technische Definitionsversuche für die rechtliche Bewertung nicht unbedingt von Bedeutung sind,50 soll an dieser Stelle auf eine kritische Auseinandersetzung mit den einzelnen Definitionen verzichtet werden.51 Zusammengefasst ist unter Cloud Computing ein komplexes und dyna44 Europäische Kommission, Freisetzung des Cloud-Computings-Potentials in Europa, S. 1. 45 Weiss, in: Hilber, Handbuch Cloud Computing, Teil 1A, Rn. 23. 46 Vgl. Deutsch-Englisch-Wörterbuch, http: / / www.dict.cc / (zuletzt besucht am 20.03.2018). 47 Bedner, Cloud Computing, S. 16. 48 Baun et al., Cloud Computing, S. 1, 4; Giedke, Cloud Computing, S. 36. 49 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 78; Giedke, Cloud Computing, S. 36; Bedner, Cloud Computing, S. 24. 50 Borges / Brennscheidt, in: Borges / Schwenk, S. 46. 51 Eine Auswahl an Definitionen: BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 15; Nägele / Jacobs, ZUM 2010, 281; Baun et al., Cloud Com puting, S. 4 f.; Böhm et al., in: Keuper et al., S. 37; Giedke, Cloud Computing, S. 47; Söbbing, MMR 2008, XII; Bayer, IT auf dem Weg in die Wolke, Computerwoche, 13.02.2008, abrufbar unter http: / / www.computerwoche.de / a / it-auf-dem-weg-in-diewolke,1856879,6 (zuletzt besucht am 20.03.2018); Europäische Kommission, Memo 13 / 713 27 / 09 / 2012, abrufbar unter http: / / europa.eu / rapid / press-release_MEMO12–713_de.htm (zuletzt besucht am 20.03.2018); Furht, in: Escalante, Handbook of
26
1. Kap.: Grundlagen
misches Angebot von Software- und Hardwareleistungen zu verstehen, die über ein Netzwerk, wie zum Beispiel das Internet, „aus der Wolke“ zur Verfügung gestellt werden.52 Anwendungssoftware, Rechenkapazität, Speicherplatz und andere Elemente werden dabei von einem externen Betreiber bereitgestellt und können von einer Vielzahl von Nutzern weltweit und gleichzeitig genutzt werden.53 Die jeweiligen Leistungen stammen von verschiedenen Servern oder Serverfarmen, die von ein oder mehreren Cloud-Anbietern54 vorgehalten werden.55 Cloud-Anbieter können ihre Dienste deshalb so kostengünstig anbieten, weil sie ihre Ressourcen zu einem Pool zusammenschließen und sich die jeweiligen Cloud-Nutzer in verschiedenen Zeitzonen befinden.56 Bei der Nutzung der Leistungen durch den Endanwender erfolgt in der Regel keine lokale Speicherung von Daten oder Installation von Programmen auf dessen Rechner. Dieser nutzt eine Software lediglich über seine Client-Anwendung, zum Beispiel einen Internetbrowser, und speichert seine Dokumente in der Cloud.57 Für den Privatnutzer liegen die Vorteile vor allem in der Möglichkeit zur flexiblen und ortsungebundenen Nutzung. Er kann durch die Cloud beispielsweise auf gespeicherte Dokumente unabhängig von einem bestimmten Endgerät von überall aus der Welt zugreifen.58 So wie Parkhill es bereits voraussagte,59 ist Cloud Computing – wie ein ständig verfügbares und genau nach Bedarf abzurechnendes Stromnetz – ein „Computer aus der Steckdose“.60 Es ist nicht mehr erforderlich, eine eigene Cloud Computing, S. 3; Oxford Dictionary, abrufbar unter https: / / en.oxforddiction aries.com / definition / cloud_computing (zuletzt besucht am 20.03.2018); Bedner, Cloud Computing, S. 22 ff., 24 m. w. N. zu v. a. technisch geprägten Definitionen. 52 Bundesbeauftragter für Datenschutz und die Informationsfreiheit, 23. Tätigkeitsbericht 2009 / 2010, S. 63; Grünwald / Döpkens, MMR 2011, 287; Nägele / Jacobs, ZUM 2010, 281; Taeger, NJW 2010, 25; Bedner, Cloud Computing, S. 49. 53 Bosesky / Hoffmann / Schulz, DuD 2013, 95; Münch / Doubrava / Essoh, in: Tagungsband zum 12. IT-Sicherheitskongress, S. 123; dies., DuD 2011, 322; Söbbing, Computerwoche v. 12.10.2009; ders., MMR 2008, Nr. 5, XII; Bedner, Cloud Com puting, S. 47. 54 Auch Cloud Service Provider (CSP) genannt. 55 Söbbing, Computerwoche v. 12.10.2009; ders., MMR 2008, Nr. 5, XII; Bedner, Cloud Computing, S. 49; Heckmann, in: Hill / Schliesky, S. 97 f.; ders., in: jurisPKInternetrecht, Kap. 9, Rn. 658. 56 Conrad / Strittmatter, in: Auer-Reinsdorff / Conrad, § 22 Rn. 169. 57 Eiermann, DuD 2013, 92 (93); Hoeren / Spittka, MMR 2009, 583 (588); Pohle / Ammann, CR 2009, 273 f. 58 Europäische Kommission, Freisetzung des Cloud-Computings-Potentials in Europa, S. 1. 59 Zur Historie des Cloud Computings, vgl. Erstes Kap. A. 60 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 4; BfDI 23. Tätigkeitsbericht 2009–2010, S. 24; IT-Gipfel 2011, S. 12; 20. DIB LDI NRW, S. 123; Schulz, MMR 2010, 75.
C. Technische Grundlagen27
Infrastruktur (vgl. eigener Stromgenerator) vorzuhalten. Stattdessen können die erforderlichen IT-Dienste (vgl. Strom) von einem Cloud-Anbieter (vgl. Stromversorgungsunternehmen) bezogen61 und genau nach Verbrauch (vgl. Stromzähler) abgerechnet werden.62
C. Technische Grundlagen I. Servicemodelle Im Rahmen des Cloud Computing wird zwischen verschiedenen Servicemodellen unterschieden. Die drei gängigsten Modelle63 sind: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Diese lassen sich als Schichtmodell64 oder Pyramide65 darstellen, wobei die Infrastruktur die Grundlage bildet, worauf die Plattform und schließlich die Anwendung aufbauen.66 Dabei können die höheren abstrakteren Schichten die tieferen konkreteren Schichten für ihre eigene Dienstrealisierung nutzen.67 Die Cloud Services unterscheiden sich nicht nur in technischer Hinsicht anhand des Abstraktionsgrades, sondern variieren aus Sicht des Nutzers auch bei den Individualisierungsmöglichkeiten.68 Die aktuellen Cloud-Angebote lassen sich jedoch nicht strikt nach den verschiedenen Servicemodellen unterteilen. Vielmehr stellen sie häufig eine Mischform der Servicemodelle dar, die sich an den Bedürfnissen des Nutzerkreises orientiert.
61 20.
DIB LDI NRW, S. 123 f. Cloud Computing und Datenschutz, S. 22 f. 63 Darüber hinaus wird teilweise noch nach Business Process as a Service (BPaaS), Communications as a Service (CaaS), Human as a Service (HuaaS), Data as a Service (DaaS) oder Everything as a Service (XaaS oder EaaS). M. w. N. Brennscheidt, Cloud Computing und Datenschutz, S. 31 f. 64 Ausführlich: Lenk et al., What’s inside the Cloud?; knapper: Baun et al., Cloud Computing, S. 30 f. 65 Zu den Architekturvarianten vgl. auch Szer, Cloud Computing und Wissensmanagement, S. 56 ff. 66 Brennscheidt, Cloud Computing und Datenschutz, S. 31. 67 Baun et al., Cloud Computing, S. 30; Giedke, Cloud Computing, S. 33. 68 Brennscheidt, Cloud Computing und Datenschutz, S. 31; Schulz, DSRITB 2009, S. 405. 62 Brennscheidt,
28
1. Kap.: Grundlagen
1. Infrastructure as a Service (IaaS) Bei dem Service Angebot IaaS stellt der Cloud-Betreiber dem Nutzer im Wesentlichen Rechenleistung und Speicherplatz auf virtuellen Servern zur Verfügung.69 Der Anbieter bleibt für den Betrieb und die Konfiguration der Infrastruktur verantwortlich70 und stellt dem Kunden die gebuchten Ressourcen als „Virtual Machine“ oder „Virtual Storage“ zur Verfügung.71 Der Nutzer kann auf dem von ihm gewählten und durch den Betreiber vorinstallierten Betriebssystem nach eigenen Wünschen Software installieren und konfigurieren.72 Das Angebot richtet sich vor allem an Kunden, die viel Rechenarbeit benötigen.73 Ein typisches Beispiel ist die seit 2006 von Amazon angebotene Amazon Elastic Compute Cloud (Amazon EC2)74. Gewissermaßen als Unterkategorie zu IaaS-Angeboten können die StaaS (Storage as a Service) Angebote verstanden werden, bei denen der CloudAnbieter dem Cloud-Nutzer die benötigte Speicherkapazität zur Verfügung stellt. Einer der bekanntesten Anbieter von StaaS ist sicherlich der Speicherdienst Dropbox75. 2. Platform as a Service (PaaS) Bei dem PaaS-Angebot stellt der Cloud-Betreiber dem Nutzer eine geeignete Entwicklungsplattform bereit76 und ermöglicht dem Nutzer die Ausfüh-
69 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 8; Fickert, DSRITB 2009 S. 420; Grünwald / Döpkes, MMR 2011, 287; Kiehne, in: Köhler-Schute, S. 24; Süpitz / Utz / Eymann, DuD 2013, 307 (308); Nägele / Jacobs, ZUM 2010, 281 (282); Niemann / Paul, K&R 2009, 444 (445); Heidrich / Wegener, MMR 2010, 803 (804); Tezel, ZD-Aktuell 2016–05026; Brennscheidt, Cloud Computing und Datenschutz, S. 32; Giedke, Cloud Computing, S. 28. 70 Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803 (804); Brennscheidt, Cloud Computing und Datenschutz, S. 32. 71 Koch, in: Lehmann / Meents, FA IT-Recht, Kap. 1, Rn. 47; Giedke, Cloud Computing, S. 29. 72 Heidrich / Wegener, MMR 2010, 803 (804). 73 Brennscheidt, Cloud Computing und Datenschutz, S. 33. 74 Ausführlich zum Angebot: http: / / aws.amazon.com / de / ec2 / (zuletzt besucht am 20.03.2018). 75 Zum Angebot: www.dropbox.de (zuletzt besucht am 20.03.2018). 76 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 8; Süpitz / Utz / Eymann, DuD 2013, 307 (308); Birk / Wegener, DuD 2010, 641 (643); Nägele / Jacobs, ZUM 2010, 281 (282); Niemann / Paul, K&R 2009, 444 (445); Heidrich / Wegener, MMR 2010, 803 (804); Tezel, ZD-Aktuell 2016–05026; Brennscheidt, Cloud Computing und Datenschutz, S. 33.
C. Technische Grundlagen29
rung der entwickelten Software auf den Rechnern des Providers.77 Es wird eine Zusammenstellung von Software angeboten, die dem Entwickler alles zur Programmierung und Ausführung von Anwendungen Erforderliche bietet.78 Dem Cloud-Betreiber verbleibt die Verwaltung und Instandhaltung der Basis-Software. Der Nutzer des PaaS-Angebotes ist gegenüber dem IaaSAngebotes in seiner Flexibilität eingeschränkt, da er lediglich Software programmieren und ausführen kann, die dem vom Cloud-Anbieter vorgegebenen Programmiermodell genügt.79 Er muss sich jedoch nicht um die Verwaltung des Betriebssystems und der erforderlichen Entwicklungssoftware kümmern.80 Das Angebot richtet sich eher an Entwickler und weniger an Endkunden81 und umfasst, beginnend bei der Planung über die eigentliche Entwicklung bis hin zur Instandhaltung, sämtliche Softwareentwicklungsstufen.82 Die bekanntesten PaaS-Anbieter sind Salesforce mit Force.com83, Windows Azure84 und Google App Engine85. 3. Software as a Service (SaaS) Bei SaaS-Angeboten ermöglicht der Cloud-Betreiber dem Kunden die Nutzung von Software, welche auf der Infrastruktur des Providers installiert ist.86 Der Cloud-Betreiber verwaltet sowohl die Infrastruktur als auch die jeweiligen Softwareangebote und Anwendungen und stellt dem Nutzer die gesamte Anwendungslogistik als Dienst zur Verfügung.87 Der Kunde kann
77 Bedner,
Cloud Computing, S. 30; Baun et al., Cloud Computing, S. 35. et al., Cloud Computing, S. 35; Giedke, Cloud Computing, S. 29. 79 Insgesamt dazu Brennscheidt, Cloud Computing und Datenschutz, S. 33. 80 Bedner, Cloud Computing, S. 30; Brennscheidt, Cloud Computing und Datenschutz, S. 33. 81 Baun et al., Cloud Computing, S. 35; Heidrich / Wegener, MMR 2010, 803 (804); Süpitz / Utz / Eymann, DuD 2013, 307 (308). 82 Giedke, Cloud Computing, S. 30; Hurwitz et al., Cloud Computing, S. 20. 83 Zum Angebot: http: / / www.salesforce.com / de / platform / overview / (zuletzt besucht am 20.03.2018). 84 Zum Angebot: https: / / azure.microsoft.com / de-de / (zuletzt besucht am 20.03. 2018). 85 Zum Angebot: https: / / cloud.google.com / appengine / (zuletzt besucht am 20.03. 2018). 86 Giedke, Cloud Computing, S. 30 f.; Nägele / Jacobs, ZUM 2010, 281 (282); Süpitz / Utz / Eymann, DuD 2013, 307 (308); Tezel, ZD-Aktuell 2016–05026. 87 Brennscheidt, Cloud Computing und Datenschutz, S. 33; Bedner, Cloud Computing, S. 30 f. 78 Baun
30
1. Kap.: Grundlagen
meist die aktuellste Version88 über einen Internetbrowser nutzen, ohne diese dauernd oder vorübergehend auf dem eigenen Rechner speichern zu müssen.89 An der Software selbst kann der Kunde keine Konfigurationen vornehmen, so dass er einen Anbieter auswählen muss, dessen Leistungen seinen Bedürfnissen entsprechen.90 Der Kunde begibt sich dadurch in eine zeitweise Abhängigkeit zum gewählten Anbieter und ist meist auf eine funktionierende Internetverbindung angewiesen.91 Ein klassisches SaaS-Angebot ist die Creative Cloud92 von Adobe, die verschiedene Angebote für verschiedene Zielgruppen bereithält. Auch Social Media-Plattformen wie Facebook93, Twitter94 oder Flickr95 sind SaaS-Angebote.
II. Erscheinungsformen Des Weiteren lassen sich die Cloud-Angebote nach Eigentums-, Organisations- und Betriebsaspekten kategorisieren.96 Es wird dabei überwiegend nach zwei „reinen“ Cloud-Formen – der Public und der Private Cloud – sowie der Hybrid und Community Cloud unterschieden. 1. Public Cloud Bei Public Clouds97 handelt es sich um Cloud-Umgebungen, die sich im Eigentum eines externen IT-Dienstleisters befinden und von diesem betrieben werden.98 Das Angebot wird regelmäßig öffentlich über das Internet auf ei88 Soweit
der SaaS Provider dies anbietet. Cloud Computing, S. 31; Brennscheidt, Cloud Computing und Datenschutz, S. 35; Grünwald / Döpkes, MMR 2011, 287; Kiehne, in: Köhler-Schute, S. 25; Niemann / Paul, K&R 2009, 444 (445). 90 Brennscheidt, Cloud Computing und Datenschutz, S. 35. 91 Bedner, Cloud Computing, S. 31. 92 Zum Angebot: http: / / www.adobe.com / de / creativecloud.html (zuletzt besucht am 20.03.2018). 93 Zum Angebot: https: / / www.facebook.com / (zuletzt besucht am 20.03.2018). 94 Zum Angebot: https: / / twitter.com / (zuletzt besucht am 20.03.2018). 95 Zum Angebot: https: / / www.flickr.com / #section-1 (zuletzt besucht am 20.03. 2018). 96 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 86. 97 Auch als External Cloud bezeichnet. Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87; Baun et al., Cloud Computing, S. 27. 98 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 7; Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, 89 Bedner,
C. Technische Grundlagen31
ner pay-per-use-Basis99 zugänglich gemacht und von beliebig vielen Kunden gemeinsam genutzt.100 Der Kunde kann zwischen den zur Verfügung gestellten Angeboten wählen.101 Darüber hinausgehende Anpassungen an nutzerspezifische Anforderungen sind nicht möglich.102 Der Kunde hat keinen Einfluss darauf, mit wem er sich die Cloud-Ressourcen teilt.103 Auch hat er keinen Einfluss auf die Kontrollen, Sicherheitsaspekte und genauen Vertragsinhalte.104 Die Daten können auf beliebig vielen Servern weltweit gespeichert werden.105 Dafür können die hochstandardisierten Services kostengünstig angeboten werden.106 Dropbox107, Amazon Webservices (AWS)108, Google Apps109, Microsoft Office 365110 sowie verschiedene Webmailer-Dienste sind bekannte Angebote von Public-Cloud-Angeboten, welche den Hauptanwendungsfall von Cloud-Computing-Angeboten darstellen.111
Tagungsband zur AKWI-Fachtagung 2012, S. 87; Brennscheidt, Cloud Computing und Datenschutz, S. 40. 99 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 100 BSI-Eckpunkte Cloud Computing, S. 15; Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 7; Hornung / Städtler, DuD 2013, 148 (149); Nägele / Jacobs, ZUM 2010, 281 (282); Brennscheidt, Cloud Computing und Datenschutz, S. 39; Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 101 Baun et al., Cloud Computing, S. 28. 102 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 103 Birk / Wegener, DuD 2010, 641, (642); Heidrich / Wegener, MMR 2010, 803; Brennscheidt, Cloud Computing und Datenschutz, S. 39. 104 Brennscheidt, Cloud Computing und Datenschutz, S. 40; ähnlich: Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 105 Beispielhaft: Dropbox, https: / / www.dropbox.com / privacy (zuletzt besucht am 20.03.2018); Brennscheidt, Cloud Computing und Datenschutz, S. 40. 106 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 107 Zum Angebot: https: / / www.dropbox.com / (zuletzt besucht am 20.03.2018). 108 Zum Angebot: http: / / aws.amazon.com / de / (zuletzt besucht am 20.03.2018). 109 Zum Angebot: https: / / www.google.de / intx / de / work / apps / business / (zuletzt besucht am 20.03.2018). 110 Zum Angebot: http: / / products.office.com / de-DE / (zuletzt besucht am 20.03.2018). 111 Brennscheidt, Cloud Computing und Datenschutz, S. 40; ähnlich: Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87; Meir-Huber, Cloud Computing, S. 40.
32
1. Kap.: Grundlagen
2. Private Cloud Im Unterschied zur Public Cloud handelt es sich bei der Private Cloud112 um eine unternehmensindividuelle Cloud-Umgebung.113 Die Public Cloud wird entweder vom Unternehmen selbst oder von einem externen Anbieter betrieben, der den Service für nur einen Kunden oder für einen sehr kleinen Kundenkreis zur Verfügung stellt.114 Die Kunden haben regelmäßig über ein Intranet (ein Virtual Private Network) Zugriff115 und kontrollieren die Cloud.116 Das Service-Angebot ist auf die unternehmensspezifischen Anforderungen zugeschnitten.117 Aufgrund dieser Exklusivität können zwar die Nachteile der Public Cloud – wie die Kontrollierbarkeit der Daten – kompensiert, die wirtschaftlichen Vorteile des Cloud Computing jedoch nicht voll ausgeschöpft werden.118 3. Hybrid Cloud Werden verschiedene Clouds – wie etwa eine Public und eine Private Cloud – miteinander verknüpft, spricht man von einer Hybrid Cloud.119 Dies 112 Auch als Internal beziehungsweise IntraCloud oder Enterprise Cloud bezeichnet. Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87; Baun et al., Cloud Computing, S. 28. 113 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 114 Brennscheidt, Cloud Computing und Datenschutz, S. 38; Münch / Doubrava / Essoh, DuD 2011, 322; Heidrich / Wegener, MMR 2010, 803; Federrath, ZUM 2014, 1 (3); Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 6; weiter differenzierend, ISPRAT-Studie Cloud Computing für die öffentliche Verwaltung, S. 20 f. 115 Eckhardt, in Borges / Schwenk, S. 97 (99); Sondermann, in: Köhler-Schute, S. 104; Brennscheidt, Cloud Computing und Datenschutz, S. 39; Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 87. 116 Niemann / Paul, K&R 2009, 444 (445); Münch / Doubrava / Essoh, DuD 2011, 322; Brennscheidt, Cloud Computing und Datenschutz, S. 38; Baun et al., Cloud Computing, S. 28. 117 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 88; Heidrich / Wegener, MMR 2010, 803 (804). 118 Sinngemäß Brennscheidt, Cloud Computing und Datenschutz, S. 39. 119 Baun et al., Cloud Computing, S. 29; Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 88; Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 6; Brennscheidt, Cloud Computing und Datenschutz, S. 40; Birk / Wegener,
C. Technische Grundlagen33
eröffnet dem Nutzer die Möglichkeit, für Anwendungen und Dateien mit geringen Anforderungen an Datensicherheit die Public Cloud und für sensible Applikationen die Private Cloud zu nutzen.120 Cloud-Mischformen werden daher in absehbarer Zeit die „reinen“ Cloud-Formen überwiegen,121 spielen bislang in der Praxis jedoch nur eine eher untergeordnete Rolle. 4. Community Cloud Eine besondere aber eher selten eingesetzte Ausprägung der Private oder Hybrid Cloud ist die Community Cloud.122 Diese wird von Nutzern mit ähnlichen technischen und sicherheitsbezogenen Vorstellungen geteilt.123 Meist handelt es sich dabei um Unternehmen einer Branche, die eine Community Cloud für gemeinsame Aktivitäten nutzen.
III. Virtualisierung Dem Grundgedanken nach teilt sich beim Cloud Computing eine Vielzahl von Nutzern die Ressourcen eines oder mehrerer Cloud-Anbieter. Damit niemand in die Daten des anderen Nutzers Einsicht nehmen kann,124 muss eine saubere Trennung von Daten und Anwendungen der einzelnen Nutzer sichergestellt werden.125 Dies gewährleistet die Virtualisierung, die zentrale Technik hinter dem Cloud Computing.126 Die Virtualisierungstechnik ist jedoch auch verantwortlich für zentrale Rechtsfragen, die sich im Zusammenhang mit der Cloud ergeben und zwar insbesondere dann, wenn es darauf ankommt, einen territorialen AnknüpDuD 2010, 641 (642); Hennrich, CR 2011, 546 (547); Heidrich / Wegener, MMR 2010, 803 (804); Federrath, ZUM 2014, 1 (3). 120 Brennscheidt, Cloud Computing und Datenschutz, S. 40; Baun et al., Cloud Computing, S. 29; Niemann / Hennrich, CR 2010, 686, Fn. 7. 121 Barton / Münzl, Cloud Computing als neue Herausforderung für Management und IT, Tagungsband zur AKWI-Fachtagung 2012, S. 88. 122 Hennrich, CR 2011, 546 (547). 123 Heidrich / Wegener, MMR 2010, 803 (804); Niemann / Hennrich, CR 2010, 686, Fn. 7. 124 Dieses Risiko ist erhöht bei einer Public Cloud, da eine physikalische Trennung der unterschiedlichen Nutzer nicht erfolgt. Schweinoch / Störtkuhl, Die 10 größten Security-Risiken in der Cloud, Computerwoche, 11.02.2014. 125 Rickmann, kes Verlagsbeilage März 2012 special S. 5 (6). 126 Bedner, Cloud Computing, S. 39; Furth, in: Escalante, Handbook of Cloud Computing, S. 9 ff. bezeichnet die Virtualisierung sogar als eine der Schlüsseltechnologien, die Cloud Computing überhaupt erst ermöglichen; ebenso Baun et al., Cloud Computing, S. 4 ff. und 9 ff.; Böhm et al., in: Keuper et al., S. 37.
34
1. Kap.: Grundlagen
fungspunkt zu finden. Denn ihretwegen werden Datenspeicherungen oder Programmabläufe nicht mehr klar zu lokalisierenden Servern, sondern schlicht der „Cloud“ zugeordnet. Berücksichtigt man jedoch die Tatsache, dass alle Vorgänge „in der Cloud“ letztlich real auf einer physischen Hardware ausgeführt werden, muss zumindest irgendein territorialer Bezug hergestellt werden können.127 Um nachvollziehen zu können, warum und inwieweit die Lokalisierung von in der Cloud gespeicherten Daten Schwierigkeiten bereitet, muss die Virtualisierungstechnik eingehender untersucht werden. 1. Begriff Doch was verbirgt sich nun hinter dem Begriff „Virtualisierung“? Der Branchenverband BITKOM128 definiert Virtualisierung wie folgt: „Virtualisierung ist eine Abstraktion: Logische Systeme werden von der physischen Implementierung abstrahiert. Ressourcen werden dabei nicht dezidiert, sondern gemeinsam genutzt, also flexibler bereitgestellt und Kapazitäten besser ausgenutzt. Die intelligente Zuordnung und Verwaltung der Ressourcen ist deshalb eine wichtige Funktion innerhalb der Virtualisierung.“ Generell lassen sich drei Klassen der Virtualisierung ableiten: Aufteilung einzelner physischer Systeme in mehrere logische Systeme (Partitionierung), Verbindung mehrerer physischer Systeme zu größeren logischen Systemen (Aggregation) oder Abbildung unterschiedlicher Systemarchitekturen aufeinander (Emulation)129. Virtualisierung ist also die Abstraktion der physischen Ressourcen von der logischen Nutzung.130 So können beispielsweise mehrere Computer oder Speicher als ein einziger (Aggregation) oder ein einziger als mehrere individuelle (Partitionierung) erscheinen.131 Durch die Virtualisierung können physische Ressourcen zusammengefasst132 oder aufgeteilt werden.133 Dies geschieht, indem die physischen Gegebenheiten der Hardware 127 Insgesamt dazu: Giedke, Cloud Computing, S. 48 sowie Lehmann / Giedke, CR 2013, 608 (611). 128 BITKOM, Virtualisierung, S. 4. 129 Maßgeblich für das Cloud Computing sind nur die Partitionierung und die Aggregation, Bedner, Cloud Computing, S. 41. 130 Beckereit, in: Köhler-Schute, S. 70; Hoffmann, in: Helmbrecht et al., Virtualisierung, S. 9; BITKOM-Leitfaden Cloud Computing, S. 71; Brennscheidt, Cloud Computing und Datenschutz, S. 29; Bedner, Cloud Computing, S. 39. 131 Hoffmann, in: Helmbrecht et al., Virtualisierung, S. 9; mit Abbildungen veranschaulicht: Giedke, Cloud Computing, S. 50 ff.; Lehmann / Giedke, CR 2013, 608 (611 f.). 132 Baun et al., Cloud Computing, S. 9. 133 Helmbrecht, in: Helmbrecht et al., Virtualisierung, S. 3; Wikipedia, „Virtualisierung (Informatik)“, https: / / de.wikipedia.org / wiki / Virtualisierung_(Informatik) (zuletzt besucht am 20.03.2018).
C. Technische Grundlagen35
durch eine logische, das heißt softwareseitige Schicht (VVM oder Hypervisor134) versteckt werden,135 die zwischen Anwender und Ressource eingeführt wird.136 Verbildlicht gesprochen ermöglicht die Virtualisierung die vielen einzelnen Server einer Cloud – wie zu einem Supercomputer – zu einem großen virtuellen Server zusammenzufassen. Damit mehrere Kunden diesen Supercomputer separat nutzen können, muss er wieder aufgeteilt werden, was ebenfalls mittels Virtualisierung geschieht.137 2. Virtuelle Maschine und Virtual Machine Monitor Die grundlegenden Bausteine der Virtualisierungstechnik sind die virtuelle Maschine (VM) sowie der Virtual Machine Monitor (VMM) beziehungsweise der Hypervisor138. VM sind Maschinen, die mittels Software geschaffen sind und Programme wie eine physische Maschine – beispielsweise ein Computer – ausführen können.139 Der „virtuelle Computer“ wird dann dem Kunden zur Verfügung gestellt. Die vom Kunden erzeugten Dateien sowie sämtliche Programmdaten werden auf dem „virtuellen Computer“ gespeichert. Daten und Anwendungen können jedoch nicht ausschließlich auf „virtuellen Computern“ liegen, sondern benötigen auch einen reellen Speicherplatz, so dass sich im Ergebnis sämtliche „virtuelle Computer“ sowie die darauf gespeicherten Programme und Daten auch auf einer realen Hardware wiederfinden. Diese notwendige Verbindung zur realen Hardware wird durch den VMM beziehungsweise den Hypervisor hergestellt.140 Der VVM ist die software seitige Schicht, die zwischen Hardware und Betriebssystem sitzt und die 134 Vgl.
dazu sogleich Erstes Kap. C.III.2. „Virtualisierung (Informatik)“, https: / / de.wikipedia.org / wiki / Virtu alisierung_(Informatik) (zuletzt besucht am 20.03.2018). 136 Hoffmann, in: Helmbrecht et al., Virtualisierung, S. 9; Giedke, Cloud Computing, S. 51. 137 So: Giedke, Cloud Computing, S. 51; Lehmann / Giedke, CR 2013, 608 (611). 138 Die Begriffe VVM und Hypervisor können synonym verwendet werden. Vgl. englischsprachige Wikipedia, „hypervisor“, http: / / en.wikipedia.org / wiki / Hypervisor (zuletzt besucht am 20.03.2018). 139 Vgl. englischsprachige Wikipedia „Virtual machine“: „A virtual machine (VM) is a software implementation of a machine (i. e. a computer) that executes programs like a physical machine.“, http: / / en.wikipedia.org / wiki / Virtual_machine (zuletzt besucht am 20.03.2018). 140 BITKOM, Speichervirtualisierung, S. 6. 135 Wikipedia
36
1. Kap.: Grundlagen
Virtualisierung überhaupt erst ermöglicht.141 Er besteht aus Software, Hardware oder Firmware und kann VM schaffen und ausführen.142 Er teilt die physischen Ressourcen den virtuellen Einheiten zu,143 bietet den Gast-Betriebssystemen eine virtuelle Betriebsplattform und koordiniert deren Ausführung.144 Dadurch, dass Anwendungen keinen unmittelbaren Zugriff auf physischen Ressourcen haben, kann die Virtualisierungsschicht die physische Ressourcen logisch zusammenführen und effizient nutzen.145 Für den Nutzer ergibt sich dadurch eine gewisse Unabhängigkeit von den tatsächlichen physischen Gegebenheiten. 3. Massenspeichervirtualisierung Bei der Massenspeichervirtualisierung146 werden verschiedene Speicherserver miteinander verbunden, um sie wie einen großen Speicherplatz nutzen zu können.147 Dazu wird eine zusätzliche abstrakte Verwaltungsschicht (eine Virtualisierungssoftware) zwischen den Kunden und die Speicherlandschaft geschoben, womit die Darstellung eines Datums von der physischen Speicherlandschaft entkoppelt wird.148 Dadurch werden die Speichermedien so dargestellt, als ob sie unmittelbar dem System angehören.149 Der Cloud-Nutzer bemerkt auf seinem Endgerät keinen Unterschied zu seinen eigenen lokalen Speicherorten.150 Darüber hi 141 Es gibt eine Vielzahl unterschiedlicher Virtualisierungsverfahren, die alle auf den grundlegenden Bausteinen der VM und des VMM beruhen. Vertieft zu den einzelnen Verfahren: Giedke, Cloud Computing, S. 54 ff.; Lehmann / Giedke, CR 2013, 608 (613 ff.); Baun et al., Cloud Computing, S. 12 ff. 142 Englischsprachige Wikipedia, „Hypervisor“, http: / / en.wikipedia.org / wiki / Hy pervisor (zuletzt besucht am 20.03.2018). 143 Terplan / Voigt, Cloud Computing, S. 33; Hoffmann, in: Helmbrecht et al., Virtualisierung, S. 9. 144 Giedke, Cloud Computing, S. 57; Lehmann / Giedke, CR 2013, 608 (614). 145 BITKOM, Speichervirtualisierung, S. 6. 146 Bei den sog. Massenspeichern handelt es sich um nicht-flüchtige Speicher, wie beispielsweise Festplattenspeicher. Der Arbeitsspeicher – beispielsweise – ist ein flüchtiger Speicher. 147 Bedner, Cloud Computing, S. 43. 148 Baun et al., Cloud Computing, S. 16; Giedke, Cloud Computing, S. 79. 149 Wo die einzelnen Speichermedien verortet sind, weiß das lokale System nicht. Kusnetzky, Virtualization, S. 30. 150 Dies lässt sich beispielsweise bei Dropbox verdeutlichen. Installiert man das Programm auf seinem Gerät, erscheint ein Dropbox-Ordner im Dateisystem, der sich optisch nicht von den lokal auf dem Nutzergerät gespeicherten Dateiordnern unterscheidet. Verschiebt man jedoch Daten in den Dropbox-Ordner, werden diese in einer Cloud, der – weltweiten – Speicherlandschaft von Dropbox gespeichert. https: / / www.
C. Technische Grundlagen37
naus ermöglicht die Massenspeichervirtualisierung, mehrere Speichermedien zu einem einzigen großen Speicher zusammenzufassen und somit künstliche Speichervolumina zu schaffen.151 Um die Gesamtspeicherleistung zu optimieren152 und um die Sicherheit der Daten zu gewährleisten, können Anwendungen und Daten über mehrere Speichermedien verteilt gespeichert werden.153 Bei der Speicherung von Informationen auf einem virtuellen Massenspeicher ist es daher theoretisch möglich, dass mehrere reale Speichermedien involviert sind. Zur Veranschaulichung soll folgendes Extrembeispiel dienen: In einer Cloud, welche aus je einem Server aus jedem unstreitig anerkannten Land der Welt besteht, wird ein Programm – also ein Datensatz – mit 193 Programmdaten installiert. Theoretisch wäre es möglich, dass je ein Datum dieses Programms auf jedem Server in jedem Land der Welt gespeichert ist. Das vollständige Programm ergäbe sich erst aus der Zusammensetzung der 193 einzelnen Programmdaten.154 Es ist natürlich auch möglich, dass größere Datenmengen auf nur wenigen Servern verteilt gespeichert werden, oder dass das ganze Programm auf nur einem Server liegt. Darüber hinaus können die Daten von einem Server auf den anderen verschoben werden, um eine optimale Ausnutzung der Speicherkapazität zu erzielen.155 Ein weiterer wesent licher Vorteil der Massenspeichervirtualisierung ist das automatische Anlegen und Verwalten von Sicherungskopien, um bei Störungen Dienstunterbrechungen zu vermeiden. Amazon legt beispielsweise bei der Speicherung von Daten bis zu drei Kopien in unterschiedlichen Rechenzentren ab.156
IV. Résumé Selbst ein knapper Einblick in die technischen Grundlagen des Cloud Computing macht deutlich, woraus die Probleme bei der Lokalisierung der in der Cloud gespeicherten Daten resultieren: Dem Nutzer wird regelmäßig nur ein virtueller Speicherplatz zugewiesen. Die Verbindung zu dem reellen Speicher wird über den VVM hergestellt. Dabei können sich die Daten auf jedem Speicher befinden, der vom VVM verwaltet wird. Die Virtualisierung schafft es jedoch nicht, die Cloud und damit alle in ihr gespeicherten Daten vollständig von den physischen Gegebenheiten zu entkoppeln. Alle in der dropbox.com / terms#privacy (zuletzt besucht am 29.03.2018). Das Programm „Gladinet Cloud Desktop“ (www.gladinet.com) bindet verschiedene Cloud Speicher wie lokale Speicher in das Betriebssystem ein und zeigt diese übersichtlich an. 151 Kusnetzky, Virtualization, S. 30. 152 Kusnetzky, Virtualization, S. 30. 153 Giedke, Cloud Computing, S. 79; Lehmann / Giedke, CR 2013, 608 (615). 154 So Giedke, Cloud Computing, S. 79. 155 Giedke, Cloud Computing, S. 80. 156 Baun et al., Cloud Computing, S. 17.
38
1. Kap.: Grundlagen
Cloud gespeicherten Daten finden sich letztlich auf einem reellen physischen Speichermedium wieder, welches durch den VVM zugewiesen wurde. Die Verwaltung durch den VVM ermöglicht einerseits eine lückenlose Rückverfolgung des physischen Datenstandortes, andererseits kann sich der Speicherort der Daten je nach Auslastung sehr kurzfristig ändern. Individuell auf den jeweiligen Nutzer zugeschnittene Private-Cloud-Angebote sind besser kontrollierbar, jedoch weniger flexibel und deutlich kostenintensiver und werden daher überwiegend von Einrichtungen oder Unternehmen verwendet, die auf ein besonderes Datenschutzniveau angewiesen sind. Die praktisch größte Bedeutung haben jedoch StaaS-Dienste von PublicCloud-Anbietern. Der – je nach Ausgestaltung der Cloud weltweite – Zusammenschluss von Servern erlaubt eine kostengünstige, teils kostenlose Zurverfügungstellung von Speicherkapazität, die – insbesondere von privaten Nutzern, die keinen gesteigerten Wert auf datenschutzrechtliche Vorgaben legen (müssen) – zahlreich in Anspruch genommen wird.
D. Datenkategorisierung Auch wenn man beim Cloud Computing zunächst nur an die in der Cloud gespeicherten Daten denkt, fallen bei der Nutzung eines Cloud-basierten Dienstes weitere unterschiedlichste Daten an, die theoretisch an jedem Punkt des Übertragungsvorgangs gesammelt werden können. Bereits beim ersten Aufrufen der Website eines Cloud-Anbieters – etwa um sich über das CloudAngebot zu informieren – hinterlässt der potentielle Nutzer Daten, wie Datum und Uhrzeit seines Besuchs sowie seine IP-Adresse. Hat sich der Kunde für einen Cloud Service entschieden, richtet er sich ein Benutzerkonto ein. Dafür muss er im Regelfall verschiedene Daten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum und Zahlungsdaten angeben. Darüber hinaus legt er meist noch einen Benutzernamen sowie ein Passwort fest. Beginnt der Kunde schließlich mit der Nutzung des von ihm gewählten Dienstes, fallen weitere Daten an. Auch wenn die Cloud-Dienstanbieter nicht alle denkbaren Informationen erheben (dürfen), fallen doch verschiedene Arten von Daten an, auf die die Ermittlungsbehörden bei Bestehen einer entsprechenden Eingriffsbefugnis ebenfalls zugreifen können. Welche Daten vom Cloud-Anbieter erhoben werden dürfen, ist nach Maßgabe des geltenden Datenschutzrechts zu beurteilen. Bis zum Inkrafttreten der Datenschutz-Grundverordnung (DSGVO157) am 24. Mai 2016158 war der nationale Datenschutz an den Vorgaben des Teleme157 Verordnung (EU) 2016 / 679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 / 46 / EG.
D. Datenkategorisierung 39
diengesetzes (TMG159) und des Telekommunikationsgesetzes (TKG160) im Zusammenspiel mit dem Bundesdatenschutzgesetz (BDSG a. F.161) zu messen. Mit Ablauf der zweijährigen Übergangsfrist und alleiniger Anwendbarkeit der DSGVO wird ab dem 25. Mai 2018 ein „technologieneutraler“ Regelungsansatz verfolgt.162 Ohne weitere Differenzierung erstreckt sich der sachliche Anwendungsbereich der DSGVO auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Die DSGVO erhebt damit den Anspruch, das gesamte Datenschutzrecht allumfassend zu regeln und grundsätzlich sämtliche nationalen Normen zu verdrängen163 und macht aus datenschutzrechtlicher Sicht eine Datenkategorisierung obsolet. Die strafprozessualen Ermächtigungsgrundlagen differenzieren jedoch nach wie vor zwischen bei Telemedien- oder Telekommunika tionsdiensten anfallenden Daten, so dass ein Blick auf den sachlichen Anwendungsbereich von TMG und TKG für den weiteren Verlauf der Arbeit unerlässlich bleibt. Der Schutz der beim Cloud Computing anfallenden Daten nach der DSGVO soll daher im Folgenden ausgehend von der bisherigen Rechtslage aufgezeigt werden.
I. Medienrechtliche Einordnung der beim Cloud Computing anfallenden Daten 1. Anwendbarkeit des TMG Gemäß § 1 Abs. 1 TMG gilt das Telemediengesetz für alle „elektronischen Informations- und Kommunikationsdienste“. Darunter fallen zunächst auch alle Cloud-Dienste, die – je nach Angebot – der Entwicklung, Kommunikation oder Information des Nutzers mittels elektronischer Inhalte beziehungs-
158 Die DSGVO gilt in allen Mitgliedstaaten gemäß Art. 288 Abs. 2 AEUV als unmittelbar anwendbares Recht und genießt in ihrem gesamten Anwendungsbereich Anwendungsvorrang vor dem nationalen Recht. 159 Telemediengesetz vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 4 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist. 160 Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 2 des Gesetzes vom 10. Dezember 2015 (BGBl. I S. 2218) geändert worden ist. 161 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14.01.2003 (BGBl. I S. 66) zuletzt geändert durch Gesetz vom 30.10.2017 (BGBl. I S. 3618). 162 Vgl. Erwägungsgrund 15. 163 Vgl. dazu auch Keppler, MMR 2015, 779 (780).
40
1. Kap.: Grundlagen
weise über elektronische Inhalte dienen.164 Um jedoch eine Überregulierung der Telemediendienste zu vermeiden, schließt § 1 Abs. 1 S. 1 TMG bestimmte „elektronische Informations- und Kommunikationsdienste“ über eine Nega tivabgrenzung aus dem Anwendungsbereich des TMG aus. Keine Teleme diendienste sind Telekommunikationsdienste, die gemäß § 3 Nr. 24 TKG „ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“. Das TMG ist auf Cloud-Angebote daher nur anwendbar, wenn die Funktio nalitäten nicht ganz oder überwiegend die Übertragung von Signalen über Telekommunikationsnetze im Sinne des § 3 Nr. 24 TKG zum Gegenstand haben.165 2. Anwendbarkeit des TKG Beim Gesetzesentwurf zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft geht die Bundesregierung ohne Begründung von der Anwendbarkeit des TKG auf Cloud-(Storage)Dienste aus.166 Ob jedoch Cloud-Dienste tatsächlich ganz oder überwiegend eine Übertragung von Signalen über Telekommunikationsnetze zum Gegenstand haben, wird vom Gesetzgeber nicht erörtert. a) Merkmale für Telekommunikationsdienste Gemäß § 3 Nr. 24 TKG sind „Telekommunikationsdienste in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“. Ein maßgeb liches Abgrenzungskriterium ist daher die Entgeltlichkeit sowie die Übertragung von Signalen. Die Entgeltlichkeit eines Dienstes ist gegeben, wenn die Angebote des Dienstanbieters insgesamt auf die Erzielung von Entgelt gerichtet sind. Eine Vielzahl von Cloud-Anbietern bieten den Nutzern kostenfreie Einstiegsangebote an, in der Absicht, die Nutzer zur Zubuchung weiterer kostenpflichtiger Angebote zu motivieren. Dies schließt die Entgeltlichkeit jedoch nicht aus, solange die Dienste insgesamt der Erzielung eines Entgelts dienen.167
164 Kremer / Völkel,
CR 2015, 501 (504). dazu und auch zum problematischen Verfahren bei zusammengesetzten Diensten Kremer / Völkel, CR 2015, 501 (505). 166 BT-Drs. 664 / 12, 13, 17 zu § 113 Abs. 1 S. 2 TKG. 167 Vgl. Micklitz / Schirmbacher, in: Spindler / Schuster, Zwölfter Teil, § 5 Rn. 10 f. 165 Insgesamt
D. Datenkategorisierung 41
Das Merkmal der Übertragung von Signalen wird in § 3 Nr. 22 TKG näher konkretisiert. Gemäß § 3 Nr. 22 TKG ist „Telekommunikation der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen“. Telekommunikationsanlagen sind „technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elek tromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können“ (§ 3 Nr. 23 TKG). Demnach steht bei Telekommunikationsdiensten die technische Seite des Übertragens von Signalen im Vordergrund.168 Auf den Inhalt der Signale kommt es hingegen nicht an.169 Als „Faustregel“ lässt sich daher festhalten, dass als Telekommunikationsdienste alle Vorgänge der Nachrichtenübermittlung zu qualifizieren sind, bei denen keine Aufarbeitung von Inhalten erfolgt.170 b) Cloud-Angebote als Telekommunikationsdienste Um mit Inhalten in der Cloud zu arbeiten oder diese dort zu speichern, müssen diese zunächst in die Cloud gelangen. Der Nutzer kann die Inhalte entweder von seinem Endgerät aus in die Cloud kopieren oder verschieben oder aus dem Internet in der Cloud „ablegen“. Bei all diesen Transportvorgängen findet eine Übertragung von Signalen im Sinne des § 3 Nr. 24 TKG statt. Die Transportleistung wird jedoch nicht vom Cloud Service Provider erbracht. Dieser stellt lediglich die erforderlichen Schnittstellen bereit, damit der Nutzer die Inhalte importieren kann und nimmt die Inhalte sodann entgegen. Der Transportvorgang selbst erfolgt vorgelagert und auf Veranlassung des Nutzers durch dessen Telekommunikationsanbieter, dem Internet Access Provider und völlig losgelöst vom Angebot des Cloud Service Providers.171 Grundsätzlich ist der Cloud-Anbieter daher nicht als Telekommunikationsanbieter zu qualifizieren. Vielmehr erbringt der Telekommunika tionsanbieter die Transportleistung für den Cloud-Anbieter.172 Der Schwer168 Ricke,
in: Spindler / Schuster, Elfter Teil, § 3 Rn. 43. in: Säcker-TKG § 3 Rn. 59. „Ein Telekommunikationsdienst muss seinen Schwerpunkt (ganz oder überwiegend) in einer technischen Transportleistung haben, nicht dagegen in einer inhaltlichen Leistung“ Schütz, in: Geppert / Schütz TKG § 3 Rn. 79. Das bestätigt auch § 3 Nr. 27 TKG a. E.: „unabhängig von der Art der übertragenen Information“. 170 So Schmitz, DuD 2001, 395 (396) und Wicker, Cloud Computing und staat licher Strafanspruch, S. 86. 171 Boos / Kroschwald / Wicker, ZD 2013, 205 (206); Kremer / Völkel, CR 2015, 501 (503); Bedner, Cloud Computing, S. 115, wonach Telekommunikationsdienste eine zwingende Voraussetzung sind, um Cloud-Dienste anbieten und nutzen zu können. 172 Vgl. auch Bedner, Cloud Computing, S. 115, wonach Telekommunikationsdienste eine zwingende Voraussetzung sind, um Cloud-Dienste anbieten und nutzen zu können. 169 Säcker,
42
1. Kap.: Grundlagen
punkt des Cloud-Anbieters liegt hingegen in der Bereitstellung von IT-Ressourcen.173 c) Cloud Collaboration Tools als Telekommunikationsdienste Fraglich ist, ob ergänzend angebotene Cloud Collaboration Tools an der Einordnung des Cloud-Anbieters als Telemedienanbieter etwas ändern. Cloud Collaboration Tools umfassen im Wesentlichen das „Teilen“ von Inhalten mit anderen Nutzern desselben Cloud-Dienstes, das „Senden“ von Inhalten aus dem eigenen Cloud-Dienst und das „Kommunizieren“ mit anderen Nutzern desselben Dienstes, gleichwohl, ob inhaltsbezogen oder nicht.174 Das „Teilen“, „Senden“ oder „Kommunizieren“, also das Verbreiten eines Inhalts, stellt eine Übertragung von Signalen dar. Durch die Übertragung wird der konkrete Erfolg auch erst bezweckt, ohne den die Funktionalität der Tools für den Nutzer wertlos wäre. Demnach könnte – ungeachtet der Frage, ob der Cloud-Anbieter auch dafür verantwortlich ist – ein Telekommunika tionsdienst im Sinne des § 3 Nr. 24 TKG gegeben sein.175 An dieser Stelle lohnt ein Blick auf die telemedienrechtliche Einordnung von E-Mail-Dienstanbietern: Hier wird zwischen E-Mail-Übertragungsdiensten und E-Mail-Anzeigediensten unterschieden, auch wenn diese Dienste meist gesamtheitlich von einem Dienstanbieter erbracht werden.176 Beschränkt sich die Leistung auf den Transport der Inhalte vom Absender zum Empfänger,177 ist ein Kommunikationsvorgang im Sinne des § 3 Nr. 22 TKG gegeben, denn der E-Mail-Dienstanbieter sorgt dafür, dass die E-Mail den Empfänger erreicht.178 Beinhaltet der E-Mail-Dienst auch weitere nicht transportbezogene Leistungen, wie beispielsweise das Archivieren von E-Mails oder die Bereitstellung eines Web Clients für das Erstellen und Abrufen von E-Mails,179 sind diese Dienste gesondert als eigenständige Leistungen zu betrachten. In diesen Fällen liegt eine inhaltsbezogene Leistung vor, die nicht ganz oder überwiegend in der Übertragung von Signalen besteht 173 Wicker, Cloud Computing und staatlicher Strafanspruch, S. 86; im Ergebnis auch Bedner, Cloud Computing, S. 115, 116. A. A. Dalby, Grundlagen der Strafverfolgung im Internet, S. 190. 174 So auch Kremer / Völkel, CR 2015, 501 (503). 175 Kremer / Völkel, CR 2015, 501 (503). 176 Vgl. dazu Martini / von Zimmermann, CR 2007, 427 (430). 177 Liegt ein E-Mail-Übertragungsdienst vor. 178 Dies geschieht ggf. unter Inanspruchnahme weiterer Transportdienstleister. Kremer / Völkel, CR 2015, 501 (504); LG Ravensburg, MMR 2003, 679 mit Anmerkung Bär (680); Martini / von Zimmermann, CR 2007, 427 (430). 179 Liegt ein E-Mail-Anzeigedienst vor.
D. Datenkategorisierung 43
und nicht als Telekommunikation im Sinne des § 3 Nr. 24 TKG zu qualifizieren ist. Mit der Folge, dass es sich um Telemedien im Sinne des § 1 Abs. 1 S. 1 TMG handelt.180 Übertragen auf die Cloud Collaboration Tools bedeutet dies Folgendes: Beziehen sich die Cloud Collaboration Tools ergänzend auf die Anzeige von Inhalten, liegt kein überwiegendes Transportelement vor. Der Transport wird vielmehr vom Transport-, also Telekommunikationsdienstleister des jeweiligen Nutzers erbracht. Die Anzeige von Inhalten stellt daher keinen Telekommunikationsdienst im Sinne des § 3 Nr. 24 TKG dar. Dies gilt auch für das „Teilen“ oder „Senden“ von Inhalten innerhalb eines Cloud-Dienstes. Beim „Teilen“ nimmt der Anbieter bei der Anzeige nur eine Änderung der Berechtigung vor. Beim „Senden“ vervielfältigt der Anbieter die Inhalte für einen anderen Nutzer.181 Beziehen sich die Cloud Collaboration Tools ergänzend auf die unmittelbare Zugänglichmachung von Inhalten gegenüber Dritten, wandern also die Inhalte ohne Umweg von einem Cloud-Anbieter zum anderen Cloud-Anbieter, erstreckt sich die Leistung des annehmenden Cloud-Anbieters auf das Entgegennehmen und Speichern der Inhalte an den dafür vorgesehenen Schnittstellen und nicht auf die Übertragung von Signalen. Mithin handelt es sich nicht um einen Telekommunikationsdienst im Sinne des § 3 Nr. 24 TKG. Die Leistung des abgebenden Cloud-Anbieters erstreckt sich hingegen auf die Bereitstellung und Übergabe des in Rede stehenden Inhalts. Dies geschieht zwar technisch mittels der Übertragung von Signalen, die Übertragungsleistung wird jedoch auch hier nicht vom Cloud-Collaboration-Anbieter, sondern vom Transportdienstleister erbracht. Die Beherrschung des abgebenden Cloud-Anbieters endet bei der „Übergabe“ an den Transportdienstleister. Nur dieser überträgt die Signale und ist als Telekommunikationsanbieter im Sinne des § 3 Nr. 24 TKG zu qualifizieren.182 3. Zwischenergebnis Die Übertragung von Signalen vom Up- und Download der Daten in und aus der Cloud wird vom Internet Access Provider erbracht und zwar losgelöst vom jeweiligen Cloud Service des Cloud-Anbieters. Der Access Provider ist als Telekommunikationsanbieter im Sinne des § 3 Nr. 24 TKG zu qualifizieren. Der Cloud-Anbieter ist somit Telemedienanbieter im Sinne des § 1 Abs. 1 S. 1 TMG. Auch die Cloud Collaboration Tools ändern nichts an der 180 Martini / von
(504).
181 Vgl. 182 Vgl.
Zimmermann, CR 2007, 427 (430); Kremer / Völkel, CR 2015, 501
insgesamt dazu Kremer / Völkel, CR 2015, 501 (504). insgesamt dazu Kremer / Völkel, CR 2015, 501 (505).
44
1. Kap.: Grundlagen
medienrechtlichen Einordnung des Cloud-Anbieters, denn auch hier findet die Übertragung von Signalen durch den Internet Access Provider statt. Cloud Collaboration Tools sind daher ebenfalls als Telemedien im Sinne des § 1 Abs. 1 S. 1 TMG zu qualifizieren mit der Folge, dass das Telemediengesetz Anwendung findet. 4. Bestandsdaten, § 14 Abs. 1 TMG Daten, „die für Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Dienstanbieter und dem Nutzer (…)“ erforderlich sind, werden in § 14 Abs. 1 TMG als Bestandsdaten definiert.183 Hierzu zählen insbesondere Daten wie Name, Anschrift, Rufnummer, Geburtsdatum, Datum des Vertragsbeginns und des Vertragsendes, Bankdaten ebenso wie Zahlungseingänge oder etwaige Zahlungsrückstände, Benutzername und Passwort.184 Nicht erfasst sind jedoch die Daten, die im Rahmen der Diensterbringung selbst anfallen.185 Welche Daten erforderlich sind, richtet sich nach dem konkret angebotenen Dienst. Für die Beurteilung der Zulässigkeit der Erhebung und Verwendung kommt es daher zusätzlich auf das objektive Kriterium der Erforderlichkeit an (§ 14 Abs. 1 TMG). 5. Nutzungsdaten, § 15 Abs. 1 TMG Bei Tele- und Mediendiensten fallen zusätzlich noch sogenannte Nutzungsdaten, das heißt personenbezogene Daten eines Nutzers, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG), an. Zur Qualifizierung als Nutzungsdaten ist es ausreichend, wenn die Daten während der Nutzung anfallen, das heißt technisch bedingt entstehen.186 Hierzu zählen insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien (S. 2). Dies sind beispielsweise Angaben, wann sich ein bestimmtes Benutzerkonto ein- und ausgeloggt oder mit 183 Inhaltlich weitgehend identisch, jedoch in Bezug auf einen Telekommunika tionsvertrag vgl. auch die Legaldefinition in § 3 Nr. 3 TKG. 184 Bär, Handbuch zur EDV Beweissicherung im Strafverfahren, S. 26. Zu den sog. Account-Daten gehören weiterhin auch die statische IP-Adresse, User-ID und PIN, vgl. Dix, in: Roßnagel, Recht der Telemedienste, TMG § 14 Rn. 22; Bär, Handbuch zur EDV Beweissicherung im Strafverfahren, S. 27. 185 Boos / Kroschwald / Wicker, ZD 2013, 205 (207). 186 BT-Drs. 13 / 7385, S. 24; Heckmann, Internetrecht, Kap. 9 Rn. 352.
D. Datenkategorisierung 45
welcher IP-Adresse187 zu welcher Zeit eine bestimmte Seite besucht wurde.188 Nutzungsdaten können jedoch auch Informationen beinhalten, die bereits den Bezug zu Inhaltsdaten herstellen können. So umfassen Nutzungsdaten auch die einzelnen in Anspruch genommenen Dienste, bis hin zu den konkret aufgerufenen Web-Seiten. Man spricht insoweit von inhaltlich aufgeladenen Verkehrsdaten.189 Die Zulässigkeit der Erhebung und Verwendung durch den Anbieter richtet sich nach § 15 TMG. 6. Inhaltsdaten Nicht alle personenbezogenen Daten, die im Zusammenhang mit Telemediendiensten anfallen, lassen sich den bereits genannten Datenkategorien zuordnen. Hierbei handelt es sich um Daten, die online übertragen werden,190 um ein durch einen Telekommunikations- oder Telemediendienst begründetes Leistungs- und Rechtsverhältnis zu erfüllen. Diese Daten werden als sogenannte Inhaltsdaten bezeichnet, die nicht unter die speziellen Datenschutzvorschriften fallen, aber den Schutz des BDSG a. F. genießen.191 Hierunter fallen beim Datenverkehr die übertragenen Informationen aller Art, insbesondere die individuellen Inhalte des einzelnen Datums.192
II. Datenschutz nach der DSGVO Bereits der Umfang der Darstellung der medienrechtlichen Einordnung der beim Cloud Computing anfallenden Daten macht deutlich, dass sich sowohl die Abgrenzung zwischen Telemedien- und Telekommunikationsdienst als auch die Abgrenzung zwischen Bestands-, Nutzungs- und Inhaltsdatum schwierig gestaltet und für ausreichend Diskussionsstoff sorgt. Der „technologieneutrale“ Regelungsansatz der DSGVO verspricht daher zumindest 187 Die Zuordnung der IP-Adresse ist nicht unumstritten. Meyerdierks, MMR 2009, 8 (9 ff.) beispielsweise nimmt an, dass es sich bei der IP-Adresse gar nicht um personenbezogene Daten handelt. Zur rechtssystematischen Einordnung vgl. Ulmer, in: Hilber, Handbuch Cloud Computing, Teil 8 A Rn. 82; Breyer, ZD 2014, 400; Brink, ZD 2015, 1. Der EuGH entschied nun, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sind, soweit der Nutzer über Zusatzinformationen bestimmbar ist, EuGH, NVwZ 2017, 213. 188 Boos / Kroschwald / Wicker, ZD 2013, 205 (207). 189 Bär, Handbuch zur EDV Beweissicherung im Strafverfahren, S. 38. 190 Anstelle vieler: Roßnagel, in: Roßnagel, Hdb. Datenschutzrecht Kap. 7.9. Rn. 59; Schmitz, in: Spindler / Schmitz / Geis, TDG, § 3 TDDSG Rn. 8. 191 Boos / Kroschwald / Wicker, ZD 2013, 205 (207) m. w. N. 192 Bär, Handbuch zur EDV Beweissicherung im Strafverfahren, S. 41.
46
1. Kap.: Grundlagen
hinsichtlich der Kategorisierung eine Vereinheitlichung des nationalen und europäischen Datenschutzrechts. 1. Räumlicher Anwendungsbereich In räumlicher Hinsicht findet die DSGVO auf jeden Cloud-Anbieter Anwendung, der – unabhängig von dem Ort, an dem die Verarbeitung erfolgt – von einer Niederlassung in der Union aus agiert (vgl. Art. 3 Abs. 1 DSGVO). Die DSGVO findet auch Anwendung, wenn der Cloud-Anbieter nicht in der Union niedergelassen ist, seine Dienste aber einer Person, die sich in der Union befindet, anbietet, unabhängig davon, ob die Dienstleistung entgeltlich oder unentgeltlich erfolgt (vgl. Art. 3 Abs. 1 Nr. 2 lit. a DSGVO). Jeder Cloud-Anbieter, der seine Dienste an Nutzer richtet, die sich in der Union befinden, muss also nach dem in Art. 3 Abs. 1 Nr. 2 lit. a DSGVO verankerten Marktortprinzip die DSGVO beachten.193 2. Sachlicher Anwendungsbereich Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Datensystem gespeichert sind oder gespeichert werden sollen, soweit kein Ausnahmetatbestand des Art. 2 Abs. 2 DSGVO gegeben ist. Unter „personenbezogenen Daten“ sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Die Begriffsbestimmung des Art. 4 Nr. 1 DSGVO ist weitgehend inhaltsgleich mit der des § 3 Abs. 1 BDSG a. F. und umfasst Bestands- und Nutzungsdaten im Sinne der §§ 14 und 15 TMG sowie Inhaltsdaten, die bisher in den Schutzbereich des BDSG a. F. gefallen sind.194 „Verarbeitung“ ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten wie insbesondere das Erheben, die Speicherung oder jede Form der Bereitstellung (vgl. Art. 4 Nr. 2 DSGVO). Die Verarbeitung jener personenbezogenen Daten ist rechtmäßig, wenn dies für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (vgl. Art. 6 Abs. 1 lit. b DSGVO). Cloud-Anbietern ist es damit weiterhin gestattet, die sogenannten Bestands- und Nutzungsdaten im Sinne der §§ 14 und 15 TMG zu erheben und zu speichern. 193 Vgl. insgesamt dazu auch die Ausführungen von Buchner, in Tinnefeld et al., S. 221. 194 Soweit auch Keppler, MMR 2015, 779 (782); Buchner, in Tinnefeld et al., S. 452, 457.
E. Lokalisierung der gespeicherten (Inhalts-)Daten 47
E. Lokalisierung der gespeicherten (Inhalts-)Daten Insbesondere Anbieter von Public-Cloud-basierten Diensten betreiben oder beziehen regelmäßig Serverfarmen, die über die ganze Welt verteilt sind. Die Ausführungen zur Virtualisierungstechnik haben jedoch gezeigt, dass es theoretisch möglich ist, die Datenbewegungen nachzuvollziehen und den jeweiligen Datenstandort ausfindig zu machen. Fraglich ist jedoch, ob und durch wen die in der Cloud gespeicherten Daten im Falle eines Zugriffs lokalisiert werden können.
I. Durch den Nutzer Das durch die Virtualisierungstechnik betriebene Ressourcenmanagement führt dazu, dass dem Nutzer des Cloud-Angebots grundsätzlich keine separate, klar zu lokalisierende Hardware zugewiesen wird. Er nutzt stattdessen den physischen Serververbund des Cloud-Anbieters. Im Falle einer Public Cloud auch mit anderen Kunden gemeinsam.195 Auf die Hardwareressourcen selbst hat er keinen Zugriff.196 Das führt dazu, dass der Cloud-Kunde nicht weiß, auf welchem physischen Server sich die verwendeten Anwendungsprogramme, Rechenkapazitäten oder die gespeicherten Dateien befinden.197 Er weiß nur, dass sich die Daten im Serververbund der Cloud bewegen.198 Die durch die Virtualisierung geschaffene Komplexität der Vorgänge in der Cloud, (sollen und) bleiben dem Nutzer weitestgehend verborgen.199 Dem Cloud-Nutzer selbst ist es daher grundsätzlich nicht möglich, die in der Cloud befindlichen Daten zu lokalisieren.200 Je nach Erscheinungsform kann 195 Lehmann / Meents, 196 Arbeitskreise
S. 14.
FA IT-Recht, Kap. 7, Rn. 8, S. 399. Technik und Medien, Orientierungshilfe – Cloud Computing,
197 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing, S. 14; Lehmann / Giedke, CR 2013, 608 (612); Söbbing, MMR 2008, XII (XIV). 198 Zum Speicher-, Übertragungs-, und Verarbeitungsort äußert sich Dropbox wie folgt: „Für die Bereitstellung unserer Dienste werden die Daten an Standorten in aller Welt gespeichert, verarbeitet und übertragen, das heißt auch an Standorten außerhalb des Landes Ihres Wohnsitzes.“ https: / / www.dropbox.com / terms#privacy (zuletzt besucht am 20.03.2018). Zur bewussten Verschleierung der zugrunde liegenden CloudStruktur, Birk / Heinson / Wegener, DuD 2011, 329 (330). 199 Lehmann / Giedke, CR 2013, 608 (612); Schweinoch, Computerwoche, 11.02. 2014. 200 Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing (Vol. 1), S. 9; Heidrich / Wegener, MMR 2010, 803 (806); Hoeren / Spittka, MMR 2009, 583 (589); Pohle / Ammann, CR 2009, 273 (277); Reindl, DSRITB 2009, S. 443; Schuster / Reichl, CR 2010, 38 (41); Söbbing, Jura 2010, 915 (918); ders., MMR 2008, Nr. 5, XII (XIV).
48
1. Kap.: Grundlagen
der Nutzer nur eine mehr oder weniger genaue Eingrenzung auf den vertraglich vereinbarten Serververbund vornehmen. Bei Public-Cloud-Angeboten wissen die Nutzer jedoch überwiegend nicht einmal, in welchem Land sich die Server des Cloud-Anbieters befinden.201 Das ganze verstärkt sich noch, wenn der Cloud-Anbieter Dienstleistungen ganz oder teilweise bei anderen Anbietern einkauft, ohne dies für den Nutzer transparent zu gestalten.202
II. Durch den Cloud-Anbieter Dem Cloud-Anbieter, dessen Programme die virtuellen Räume schaffen und das Ressourcenmanagement betreiben, bleibt es grundsätzlich möglich nachzuvollziehen, wo sich die Daten der Cloud-Nutzer befinden.203 Denkbar wäre daher eine (automatisierte) Dokumentation der Datenbewegungen, um schnell den jeweiligen Standort abrufen zu können. Eine solche Dokumentation würde jedoch den Vorteilen des Cloud Computing – eine schnelle und effiziente Auslastung der Ressourcen zu erreichen – zuwiderlaufen. Die dem Cloud Computing zugrunde liegenden Technologien sind aus verschiedenen Gründen darauf ausgerichtet, die logische Nutzung von den physischen Ressourcen zu abstrahieren und die einzelnen Schritte der Verarbeitung und Speicherung der Daten vor der Benutzerschnittstelle zum Anwender zu „verstecken“, um eine Unabhängigkeit der Anwendungen von den konkreten Betriebsgegebenheiten zu erreichen.204 Die ständige Nachvollziehbarkeit würde zu einem erheblichen Dokumentationsaufwand führen, bedenkt man, dass Datenmengen aufgeteilt und beispielsweise bis zu drei Sicherheitskopien auf verschiedenen Servern erstellt werden können.205 Ohne besondere Vorkehrungen wird der Cloud-Betreiber aufgrund der Komplexität der Cloud-Umgebung in der Praxis kaum feststellen können, wo sich die Daten des Nutzers aktuell befinden.206 Selbst wenn der genaue Ort der Daten auf der Festplatte ausfindig gemacht wurde, wäre dies nur eine Momentaufnahme, da die Daten jederzeit umkopiert und verschoben werden können.207
201 Birk / Heinson / Wegener,
DuD 2011, 329 (330). Technik und Medien, Orientierungshilfe – Cloud Computing (Vol. 1), S. 14; Schweinoch, Computerwoche, 11.02.2014. 203 Lehmann / Giedke, CR 2013, 608 (612); Giedke, Cloud Computing, S. 84; Stiemerling, CRonline, 30.09.2013. 204 Stiemerling, CRonline, 30.09.2013. 205 Am Beispiel von Amazon, Baun et al., Cloud Computing, S. 17. 206 Wicker, MMR 2013, 765; Nägele / Jacobs, ZUM 2010, 281 (289); Economic Crime Division, Cloud Computing and cybercrime investigations, S. 5. 207 Stiemerling, CRonline, 30.09.2013; Birk / Heinson / Wegener, DuD 2011, 329 (330). 202 Arbeitskreise
F. Wesentliche Vor- und Nachteile des Cloud Computing49
Bezieht der Anbieter Cloud-basierte Dienste von weiteren Subunternehmern, verkompliziert sich die Nachverfolgung auch für den Cloud-Betreiber.
III. Durch die Strafverfolgungsbehörden Die Ermittlungsbehörden haben grundsätzlich die Möglichkeit, Server standorte durch sogenanntes trace routing zu ermitteln. Das dabei verwendete Computerprogramm zeigt auf, über welche Router oder Internet-Knotenpunkte abgesendete Datenpakete zum Zielrechner gelangen. Traceroute-Verfahren können jedoch geblockt werden, so dass der genaue Standort des Servers nicht ermittelt werden kann.208 Zudem bereitet die Datenfragmentierung sowie die Ubiquität der Daten beim Cloud Computing große Probleme. Selbst wenn die Strafverfolgungsbehörden ein Traceroute-Verfahren durchführen und so den Speicherort der in der Cloud gespeicherten Daten ermitteln können, handelt es sich dabei nur um eine Momentaufnahme. Beim anschließenden Zugriff können die Daten schon wieder auf einem anderen Server gespeichert sein oder die Virtualisierungstechnik entscheidet, dass eine (andere) angelegte identische Sicherungskopie für den Abruf der Daten verwendet wird. Insbesondere wenn der Cloud-Anbieter auch Serverstandorte im Ausland verwendet, bereitet das trace routing den Strafverfolgungsbehörden größte Probleme.209
F. Wesentliche Vor- und Nachteile des Cloud Computing – Tendenzen der Veränderung Die bisherigen Ausführungen lassen die mit dem Cloud Computing verbundenen Vor- und Nachteile für den Nutzer deutlich hervortreten. Der Nutzer erfreut sich an der einfachen, kostengünstigen und bedarfsorientierten Inanspruchnahme von IT-Infrastruktur, auf welche er über eine bestehende Internetverbindung von überall auf der Welt von beliebigen Endgeräten aus zugreifen kann. Im Gegenzug verliert er jedoch d ie Kontrolle über den konkreten Speicherort der in der Cloud gespeicherten Daten und ist für den Zugriff auf eine bestehende Internetverbindung angewiesen.
208 Zum trace-routing Obenhaus, NJW 2010, 651 (653); Dalby, Grundlagen der Strafverfolgung, S. 245. 209 Obenhaus, NJW 2010, 651 (653).
50
1. Kap.: Grundlagen
I. Territorialer Kontrollverlust Wie die Ausführungen zur Virtualisierungstechnik gezeigt haben,210 wird dem Nutzer bei der Inanspruchnahme von Cloud-basierten Diensten ein „virtueller Computer“ zur Verfügung gestellt, der – aus der Sicht des Nutzers – vollständig von der physischen Hardware entkoppelt ist. Bei vielen Nutzern wächst jedoch das Bedürfnis, eine gewisse Kontrolle über die physische Hardware (zurück-)zu erlangen. So soll insbesondere der Gefahr entgegengewirkt werden, dass ausländische Sicherheitsbehörden auf die in der Cloud gespeicherten Daten zugreifen können. Bedenken bestehen insbesondere im Hinblick auf die Zugriffsbefugnisse der US-amerikanischen Ermittlungsbehörden, die diesen durch den US Patriot Act eingeräumt werden. Bestärkt wurde dieses Verlangen durch die Ungültigkeitserklärung des Safe-HarborAbkommens mit den USA durch den EuGH, in dem festgestellt wurde, dass die Vereinigten Staaten von Amerika kein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleisten.211 So gibt es eine steigende Anzahl von Cloud-Diensten am Markt, die mit einer räumlichen Begrenzung der Serverstandorte werben. Unter der Initiative „Cloud Services Made in Germany“212 schließen sich beispielweise in Deutschland gegründete Unternehmen mit Hauptsitz in Deutschland zusammen und bieten ihren Kunden Cloud-Lösungen an, die auf Servern auf deutschem Boden gespeichert sind. Auch Microsoft startete die „Cloud in Deutschland“ und bietet seinen Cloud-Storage-Dienst Azure ab dem zweiten Halbjahr 2016 auch – ausschließlich – über Rechenzentren in Deutschland an.213 Andere CloudAnbieter werben mit der Beschränkung auf europäische Serverstandorte.214 So lässt sich insgesamt die stetig zunehmende Tendenz erkennen, den mit dem Cloud Computing einhergehenden Kontrollverlust über den konkreten Speicherort der in der Cloud gespeicherten Daten durch eine territoriale Beschränkung der Serverstandorte zu kompensieren. Dies kommt auch der Beurteilung der völkerrechtlichen Zulässigkeit der strafprozessualen Ermitt210 Zur
Virtualisierungstechnik vgl. bereits Erstes Kap. C.III. EuZW 2015, 881 sowie Pressemitteilung Nr. 117 / 15 abrufbar unter: https: / / curia.europa.eu / jcms / upload / docs / application / pdf / 2015–10 / cp150117de. pdf (zuletzt besucht am 20.03.2018). 212 Abrufbar unter: http: / / www.cloud-services-made-in-germany.de / loesungskata log (zuletzt besucht am 20.03.2018). 213 Zum Angebot: https: / / azure.microsoft.com / de-de / overview / clouds / germany / (zuletzt besucht am 20.03.2018). Ebenfalls als „Cloud in Deutschland“ erhältlich ist der SaaS-Dienst Office 365 und Dynamics CMR Online, sowie die „Magenta Cloud“ von Telekom (zum Angebot: https: / / cloud.telekom-dienste.de /, zuletzt besucht am 20.03.2018). 214 So beispielsweise Lifedrive Business, zum Angebot: https: / / www2.livedrive. com / forbusiness (zuletzt besucht am 20.03.2018). 211 EuGH,
F. Wesentliche Vor- und Nachteile des Cloud Computing51
lungshandlungen beim Zugriff auf in der Cloud gespeicherte Inhalte entgegen.215 Nichtsdestotrotz können Straftäter weiter ausländische Cloud-Dienste nutzen, was den Zugriff der Ermittlungsbehörden weiterhin erschwert.
II. Abhängigkeit von einer bestehenden Internetverbindung Ein weiterer Nachteil bei der Nutzung von Cloud-basierten Diensten ist die Abhängigkeit von einer bestehenden Internetverbindung. Um für die Nutzung der Cloud-Dienste nicht ständig auf eine bestehende Internetverbindung angewiesen zu sein, sondern den Dienst auch „offline“ nutzen zu können, bieten viele Cloud-Anbieter sogenannte Desktopanwendungen oder Apps für Mobile Geräte an. So wird beispielsweise beim StaaS-Anbieter Dropbox durch die Installation der Dropbox-Desktopanwendung ein Ordner auf dem Endgerät des Nutzers eingerichtet, dessen Inhalte – „online“ – automatisch mit der Cloud synchronisiert werden. Für den Nutzer hat dies den Vorteil, dass er den Dienst auch „offline“ nutzen kann und die Anwendung bei Bestehen einer Internetverbindung die Inhalte automatisch auf allen Endgeräten auf den aktuellen Stand bringt.216 Der SaaS-Anbieter Adobe, bietet den Nutzern seiner Creative Cloud die Möglichkeit, die jeweiligen Programme als Desktop-Applikation oder App auf den Endgeräten zu installieren, um diese auch „offline“ nutzen zu können.217 Dies führt dazu, dass – insbesondere bei privater Nutzung – die Cloud zunehmend als Synchronisationsmöglichkeit zwischen den einzelnen Endgeräten genutzt wird. Die Inhalte sind dann sowohl auf dem Endgerät als auch in der Cloud gespeichert. Für die Ermittlungsbehörden bedeutet dies, dass als Anknüpfungspunkt für den Zugriff auf „in der Cloud gespeicherte Daten“ neben dem „online“-Zugriff auch das Endgerät des Nutzers an Bedeutung gewinnt, was den Zugriff der Strafverfolgungsbehörden mitunter deutlich erleichtert.218
215 Zur
völkerrechtlichen Begrenzung der Ermittlungsbefugnisse Drittes Kap. Angebot: https: / / www.dropbox.com / de / help / 4 (zuletzt besucht am 20.03.2018). 217 Zum Angebot des Adobe Creative Cloud Foto-Abos: http: / / www.adobe.com / de / creativecloud / photography.html?promoid=PLHRQHCT&mv=other, zuletzt besucht am 20.03.2018. Der Cloud Dienst besteht bei der Creative Cloud von Adobe im Wesentlichen darin, immer die neuste Software nutzen zu können. Es geht weniger darum, ein Programm extern zu nutzen. 218 Zu den strafprozessualen Ermächtigungsgrundlagen vgl. Zweites Kap. B. 216 Zum
52
1. Kap.: Grundlagen
G. Tatsächliche Zugriffsmöglichkeiten der Strafverfolgungsbehörden – denkbare Fallkonstellationen Die kostengünstige, teils kostenlose Verfügbarkeit von Cloud-basierten Diensten und der flexible Zugang über das Internet führen insbesondere bei Privaten zu einer umfangreichen Nutzung von Cloud-Angeboten. Wollen Ermittlungsbehörden auf Unterlagen eines Beschuldigten zugreifen, sind diese häufig nicht in Papierform verfügbar, sondern auf PCs und Speichermedien oder in Netzwerken und Cloud-Speichern digital abgelegt. Mit der Nutzung solcher Dienste fallen auch weitere Daten an, die ebenfalls für die Ermittlungsbehörden von Bedeutung sein können.219 Im Folgenden sollen daher die tatsächlichen Zugriffsmöglichkeiten der Strafverfolgungsbehörden auf in der Cloud gespeicherte Inhalte oder Daten, die mit dem Cloud Computing in Zusammenhang stehen, aufgezeigt und denkbare Fallkonstellationen herausgearbeitet werden. Diese werden sodann im Fortgang der Arbeit auf ihre rechtliche Zulässigkeit geprüft.
I. Am Ort des verdächtigen Cloud-Nutzers Im ersten Schritt müssen die Strafverfolgungsbehörden zunächst einmal Kenntnis davon erlangen, dass der Verdächtige einen Cloud-Speicher nutzt. Dies geschieht meist im Rahmen einer zulässigen Durchsuchung beim Verdächtigen gemäß § 102 StPO, bei der die Behörden Hinweise dafür finden, dass der Nutzer auch einen Cloud-Dienst in Anspruch nimmt. Denkbar wäre zum Beispiel, dass die Ermittlungsbehörden bei der Durchsuchung des Endgeräts auf einen lokalen Desktop-Cloud-Ordner stoßen oder einen Web Link finden, über den der Cloud-Speicher aufgerufen werden kann. Im zweiten Schritt stellt sich sodann die Frage, wie auf die in der Cloud gespeicherten Daten zugegriffen werden kann. Für die Ermittlungsbehörden bietet es sich daher an, direkt am Ort des verdächtigen Cloud-Nutzers auf dessen Daten in der Desktop Cloud und dem externen Cloud-Speicher zuzugreifen. Der Nutzer wird seine Daten jedoch meist mit einer Zugangssicherung versehen. So ist entweder das gesamte Endgerät zugangsgeschützt oder / und es ist der Zugang zur Desktop Cloud oder dem Cloud-Storage-Speicher mit einer Zugangssicherung versehen. Für die Ermittlungsbehörden ist der Zugang zu den gespeicherten Daten dann zunächst versperrt. Ihnen bleibt jedoch – theoretisch – die Möglichkeit, den 219 Zu den verschiedenen beim Cloud Computing anfallenden Daten, vgl. bereits Erstes Kap. D.
G. Tatsächliche Zugriffsmöglichkeiten der Strafverfolgungsbehörden 53
Nutzer zur Herausgabe der Zugangsdaten aufzufordern oder die Verschlüsselung zu „knacken“ und sich damit selbst den Zugang zu den Daten zu verschaffen.220 Da es Nutzern erfahrungsgemäß schwer fällt, sich die Zugangsdaten zu den einzelnen Diensten zu merken, werden diese häufig aufgezeichnet.221 Dies kann als handschriftliche Notiz, mittels Lesezeichen im Web browser sowie mittels auf den Endgeräten installierter Programme erfolgen, welche Zugangsdaten und Kennwörter speichern.222 Die Hardware des Cloud Users kann jedoch ebenfalls wesentliche Anhaltspunkte für die Ermittlungsbehörden liefern. Nämlich vor allem dann, wenn Inhalte zunächst lokal (zwischen-)gespeichert werden, bevor sie in die Cloud verschoben werden. Eine forensische Untersuchung kann im Einzelfall selbst dann verwertbare Ergebnisse liefern, wenn die Inhalte nach der Übertragung bereits von der lokalen Hardware gelöscht wurden.223 Selbiges gilt für im externen Cloud-Speicher gelöschte Daten.224 Dabei können die Ermittlungsbehörden rein theoretisch gesehen sowohl offen als auch verdeckt vorgehen. Bei einem verdeckten Vorgehen könnten die Ermittlungsbehörden heimlich eine Software auf dem Endgerät des Nutzers installieren. So ließen sich nicht nur bestehende Zugangssicherungen umgehen, sondern darüber hinaus auch das Verhalten des Nutzers „offline“ und „online“ überwachen und nachverfolgen, welche Daten der Nutzer wann in die Cloud geladen, mit anderen Nutzern geteilt oder wann und wie bearbeitet hat. Denkbar sind folgende Fälle: Fall 1 (Ausgangsfall): Der Cloud-Nutzer wird einer Straftat verdächtigt. Die Ermittlungsbehörden durchsuchen daraufhin in aller Offenheit die Wohnung und sonstigen Räume des Verdächtigen. Im Zuge der Durchsuchung finden sie mehrere Endgeräte – Smartphone, Tablet, PC, etc. – des Nutzers. Noch vor Ort greifen sie auf die darauf gespeicherten Daten zu. Fall 1a: Die Behörden müssen dabei keine Zugangssicherung überwinden. Fall 1b: Die Behörden nehmen die gefundenen Endgeräte mit. Anschließend sehen sie den gespeicherten Datenbestand nach beweiserheblichen Gegenständen durch, ohne eine Zugangssicherung zu überwinden. Fall 1c: Die Behörden entschlüsseln noch vor Ort Benutzerkennung und Passwort durch den Einsatz von Cracking-Programmen und nutzen die entschlüsselte Zugangssicherung, um auf die auf dem Endgerät gespeicherten Daten zuzugreifen. 220 Obenhaus,
NJW 2010, 651 (653). NJW 2010, 651 (652). 222 Vgl. auch Obenhaus, NJW 2010, 651 (652). 223 Gercke, DSRITB 2009, S. 505. 224 Vgl. Trüg / Mansdörfer, in: Hilber, Teil 7, Rn. 32. 221 Obenhaus,
54
1. Kap.: Grundlagen
Fall 1d: Die Behörden nehmen die gefundenen Endgeräte mit. Anschließend entschlüsseln sie die Zugangssicherung und werten die auf dem Endgerät gespeicherten Daten aus. Fall 2: Die Ermittlungsbehörden haben im Rahmen der Durchsuchung Informationen gefunden, die für das weitere Verfahren von Bedeutung sind, und beschlagnahmen die beweiserheblichen Gegenstände. Fall 3 (Ausgangsfall): Die Ermittlungsbehörden stoßen auf einen (externen) Cloud-Speicher. Sie greifen noch vor Ort von dem Endgerät des Nutzers aus auf die in der Cloud gespeicherten Daten zu, die auf einem Server im Inland belegen sind. Fall 3a: Dabei müssen sie keine Zugangssicherung überwinden. Fall 3b: Die Behörden nehmen das Endgerät mit und greifen auf die in der Cloud gespeicherten Daten – gegebenenfalls sogar wiederholt – über das Endgerät des Nutzers zu, ohne eine Zugangssicherung zu überwinden. Fall 3c: Die Ermittlungsbehörden entschlüsseln die Zugangssicherung mittels Cracking-Programmen und lesen die in der Cloud gespeicherten Daten aus. Fall 3d: Die Behörden nehmen die gefundenen Endgeräte mit. Anschließend entschlüsseln sie die Zugangssicherung und lesen über das Endgerät des Nutzers die in der Cloud gespeicherten Daten aus. Fall 4: Wie in Ausgangsfall 3, nur nutzt der Cloud-Nutzer in diesem Fall einen Dienst, dessen Server sich ausschließlich im Ausland befinden. Fall 5: Wie oben. Der Nutzer nutzt jedoch den einen Cloud-Dienst, der angibt, Serverfarmen „in Europa“ oder „weltweit“ zu betreiben. Fall 6: Wie oben. Der Nutzer nutzt jedoch den einen Cloud-Dienst, der Serverfarmen in mehreren Ländern außerhalb Deutschlands betreibt. Fall 7: Die Ermittlungsbehörden vermuten, dass der Verdächtige beweiserhebliche Daten in einer Cloud speichert. Bereits die Durchsicht des Endgeräts wird jedoch durch die verwendeten Passwörter derart erschwert, dass nicht einmal feststellbar ist, welchen Cloud-Dienst der Verdächtige nutzt. Die Ermittlungsbehörden installieren daher heimlich ein Programm auf dem Endgerät, um das Verhalten des Verdächtigen zu überwachen und auf die in der Cloud gespeicherten Daten zugreifen zu können.
II. Am Ort des Cloud-Anbieters Ein weiterer wesentlicher Ansatzpunkt ist der Zugriff auf die gespeicherten Daten direkt beim Cloud-Anbieter. Denkbar ist dabei sowohl ein Zugriff auf
G. Tatsächliche Zugriffsmöglichkeiten der Strafverfolgungsbehörden 55
den gesamten Cloud-Server des Anbieters als auch ein gezielter Zugriff auf den Datensatz des jeweiligen Cloud-Nutzers. Dabei sind auch hier nicht nur die gespeicherten Daten, sondern auch die Datenspuren interessant. Darüber hinaus ist für die Ermittlungsbehörden relevant, wann und von wo der CloudNutzer auf seinen Dienst zugreift, wem außerdem der Zugriff auf die in der Cloud gespeicherten Inhalte gestattet ist und welche Zugangssicherung der Nutzer verwendet.225 Denkbar sind folgende weitere Fallvarianten: Fall 8: Der Cloud-Nutzer wird einer Straftat verdächtigt. Die Ermittlungsbehörden haben Kenntnis davon erlangt, dass der Verdächtige einen CloudDienst nutzt. Sie durchsuchen daraufhin am Ort des Cloud-Anbieters in aller Offenheit die Daten des verdächtigen Cloud-Nutzers. Fall 9: Wie oben. Die Ermittlungsbehörden wollen jedoch das Speichermedium oder eine Kopie davon, auf welchem die Daten des verdächtigen Cloud-Nutzers gespeichert sind, mitnehmen, da sie darauf gelöschte, aber wiederherstellbare Datenspuren vermuten. Fall 10: Die Ermittlungsbehörden haben bereits Kenntnis davon erlangt, dass der verdächtige Cloud-Nutzer beweiserhebliche Daten in der Cloud gespeichert hat. Sie fordern den Cloud-Anbieter daraufhin zur Herausgabe von Inhaltsdaten des Cloud-Nutzers auf, die auf einem inländischen Server gespeichert sind. Fall 11: Den Ermittlungsbehörden ist es nicht gelungen, die Zugangssicherung des Cloud-Nutzers zu knacken. Sie fordern den Cloud-Anbieter daher zur Herausgabe von Benutzernamen und Passwort auf, die auf einem inländischen Server gespeichert sind. Darüber hinaus möchten sie auch wissen, wie oft und von wo der Nutzer auf seine Cloud zugreift. Fall 12: In Anlehnung an Fall 10 und 11. Die Ermittlungsbehörden fordern einen Cloud-Anbieter mit Sitz in Deutschland und Servern (auch) im Ausland zur Herausgabe von Inhalts-, Bestands- und Nutzungsdaten auf. Fall 13: Wie bei Fall 12. Es handelt sich jedoch um einen ausländischen Anbieter ohne Sitz in Deutschland.
III. In der Übertragungsphase Ein charakteristisches Merkmal von Cloud Computing ist der Fluss von Datenströmen zwischen den Geräten des Nutzers und dem Standort der ITRessourcen des Cloud Service Providers. Während dieser Übertragungsphase ist es grundsätzlich möglich, sich von dem Inhalt der Daten Kenntnis zu
225 Vgl.
Bär, ZIS 2011, 53 (54); Trüg / Mansdörfer, in: Hilber, Teil 7, Rn. 46.
56
1. Kap.: Grundlagen
verschaffen.226 Probleme kann jedoch eine Verschlüsselung der sich im Upoder Download befindlichen Daten bereiten.227 Abhilfe könnte eine Überwachung bereits vor dem Einsetzen des Übertragungsvorgangs schaffen, in der Phase, in der die Daten noch nicht verschlüsselt sind.228 Insoweit sind folgende Konstellationen denkbar: Fall 14: Die Ermittlungsbehörden haben Kenntnis davon erlangt, dass der Verdächtige Nutzer einen Cloud-Storage-Dienst nutzt und regelmäßig über Cloud Collaboration Tools mit anderen Nutzern kommuniziert. Sie wollen daher in Echtzeit die Übertragungsprozesse der Daten in und aus der Cloud überwachen. Fall 15: Die Strafverfolgungsbehörden können ausnahmsweise sicherstellen, dass der verdächtige Cloud-Nutzer seinen Cloud-Storage-Dienst ausschließlich zu Kommunikationszwecken „missbraucht“. Aufgrund des vor der Übertragung einsetzenden Verschlüsselungsprozesses liefert die Überwachung während der Übertragungsphase jedoch keine brauchbaren Erkenntnisse. Die Ermittlungsbehörden installieren daher heimlich ein Programm auf dem Endgerät des verdächtigen Cloud-Nutzers und überwachen so den Datentransfer vor beziehungsweise nach dem Einsetzen des Verschlüsselungsprozesses.
H. Résumé Die bisherigen Darstellungen zeigen, dass es aus technischer und ermittlungspraktischer Sicht vielfältige Möglichkeiten gibt, auf „in der Cloud“ gespeicherte Inhalte zuzugreifen. Insgesamt konnten 15 Fallgruppen identifiziert werden, die nun die Grundlage für weitere Untersuchungen bilden sollen. Auch wenn die Bestrebungen am Markt, dem Nutzer eine nationale Cloud anbieten zu können, zunehmend erkennbar sind, führt die hinter dem Cloud Computing stehende Virtualisierungstechnik regelmäßig zu einer Konfrontation der Ermittlungsbehörden mit grenzübergreifenden Sachverhalten. Bei der folgenden Erarbeitung des rechtlichen Rahmens ist daher nicht nur das Vorhandensein einer strafprozessualen Ermächtigungsgrundlage entscheidend, die tatsächliche Zugriffsmöglichkeit muss vielmehr auch mit den völ226 Süptitz / Utz / Eymann, DuD 2013, 307 (309); Kudlich, GA 2011, 193 (207); Gercke, CR 2010, 345 (346); ders., DSRITB 2009, S. 505; Trüg / Mansdörfer, in: Hilber, Teil 7, Rn. 21. 227 Kudlich, GA 2011, 193 (205); Süptitz / Utz / Eymann, DuD 2013, 307 (309); vertieft zur „Deep Packet Inspection“-Technologie, Bedner, CR 2010, 339. 228 Kudlich, GA 2011, 193 (206); Süptitz / Utz / Eymann, DuD 2013, 307 (309).
H. Résumé 57
kerrechtlichen Anforderungen in Einklang zu bringen sein. Der zunehmende Einsatz von Cloud-Diensten zum Zwecke der Synchronisation einzelner Endgeräte des Nutzers zeigt, dass das bei der Durchsuchung gemäß § 102 StPO am Ort des Cloud-Nutzers vorgefundene Endgerät nicht nur als „Einfallstor“ zur Durchsuchung des externen Cloud-Speichers dienen, sondern auch selbst einen wesentlichen Ansatzpunkt der Strafverfolgungsbehörden darstellen kann.
Zweites Kapitel
Erarbeitung des rechtlichen Rahmens A. Verfassungsrechtlicher Rahmen Strafprozessuale Ermittlungsbefugnisse stellen stets einen Eingriff in die subjektiven Rechte des Betroffenen dar. Es ist daher notwendig, Reichweite und Grenzen der Ermittlungsbefugnisse genau zu definieren.1 Zwar hat der Gesetzgeber mit der Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung Ermächtigungsgrundlagen geschaffen, die speziell auf die internet-spezifischen Bedürfnisse der Strafverfolgungsbehörden zugeschnitten sind. Aufgrund der mit der Heimlichkeit der Maßnahmen verbundenen Intensität des Eingriffs kommen diese jedoch nur in Betracht, wenn die besonders erhöhten Anforderungen erfüllt und insbesondere auch andere Ermittlungsmöglichkeiten ausgeschöpft sind. Um festzustellen, ob auch die weiteren Ermächtigungsgrundlagen der Strafprozessordnung auf Cloud-spezifische Sachverhalte Anwendung finden, ist zu untersuchen, in wie weit eine bestehende Ermächtigungsgrundlage der Auslegung zugeführt werden kann und ab wo die Auslegung ihre verfassungsrechtlichen Grenzen findet und der Gesetzgeber weitere spezielle Ermächtigungsgrundlagen unter Beachtung der verfassungsrechtlichen Vorgaben schaffen muss. Dabei sind insbesondere die Intensität des Eingriffs und die damit betroffenen Grundrechte zu berücksichtigen.
I. Das Gebot des Vorbehalts des Gesetzes Nach dem Gebot des Vorbehalts des Gesetzes2 bedürfen staatliche Eingriffe in subjektive Rechte des Bürgers einer gesetzlichen Ermächtigungsgrundlage. Der Grundsatz des allgemeinen Gesetzesvorbehalts ist zwar im Grundgesetz nicht ausdrücklich erwähnt,3 sein Verfassungsrang ist jedoch – 1 Meinicke,
Der Zugriff der Ermittlungsbehörden, S. 34. Begriff „Vorbehalt des Gesetzes“ wurde von Otto Mayer, Deutsches Verwaltungsrecht, Bd. 1, 1. Aufl. (1895) geprägt und wird teilweise synonym mit dem Begriff des Gesetzesvorbehalts verwendet. Eingehend zu den Begrifflichkeiten Staupe, Parlamentsvorbehalt, S. 28 ff.; Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 123. 3 Im Gegensatz zu einigen Landesverfassungen, vgl. etwa Art. 58 der Verf. des Landes Baden-Württemberg oder Art. 70 der Verfassung des Freistaates Bayern. 2 Der
A. Verfassungsrechtlicher Rahmen59
wenn auch bei verschiedener Herleitung – unbestritten.4 Die einzelnen im Grundgesetz geregelten Gesetzesvorbehalte ergänzen den allgemeinen Gesetzesvorbehalt. An Art. 1 Abs. 3 GG anknüpfend regeln diese, ob und in welchem Umfang der Staat durch Gesetz oder aufgrund eines Gesetzes in die jeweiligen Grundrechte eingreifen darf.5 Die von der Rechtsprechung des Bundesverfassungsgerichts6 in den 70er Jahren entwickelte Wesentlichkeitstheorie7 erweitert den klassischen Eingriffsvorbehalt dahingehend, dass nicht nur Grundrechtseingriffe, sondern darüber hinaus alle wesentlichen Entscheidungen eines formellen Gesetzes bedürfen.8 Der Gesetzgeber wird dadurch in bestimmten Situationen – losgelöst von dem Vorliegen eines Eingriffs – verpflichtet, in grundrechtlich relevanten Bereichen die für die Verwirklichung der Grundrechte relevanten Fragen selbst zu regeln. Das Kriterium der wesentlichen Grundrechtsrelevanz ist jedoch auf das strafrechtliche Ermittlungsverfahren nicht übertragbar. Es richtet sich seiner Funktion nach auf die Abgrenzung der Regelungskompetenzen zwischen demokratisch legitimierter Legislative und normsetzender Verwaltung als Teil der Exekutive. Wesentliche grundrechtsrelevante Bereiche unterstehen dem Parlamentsvorbehalt und nicht dem allgemeinen Rechtssatzvorbehalt verwaltungsbehördlicher Tätigkeit.9 Die Wesentlichkeitstheorie dient damit als Maßstab für die Abgrenzung normsetzender Kompetenzen im grundrechtssensiblen Bereich. Da die Tätigkeit der Strafverfolgungsbehörden nicht normsetzender sondern normausübender Natur ist, richtet sich 4 Das Bundesverfassungsgericht leitet ihn teilweise aus Art. 20 Abs. 3 GG, dem sogenannten Grundsatz der Gesetzmäßigkeit der Verwaltung ab (BVerfGE 40, 237 = NJW 1976, 34; 49, 89 = NJW 1979, 359 (360)), sieht in aber auch im Rechtstaatsprinzip (BVerfGE 45, 400 = NJW 1977, 1723 (1724); 48, 210 = NJW 1978, 2143) oder darüber hinaus auch im Demokratieprinzip (BVerfGE 47, 46 = NJW 1978, 807 (810); 58, 257 = NJW 1982, 921 (922)) verankert. Aus der Lit. statt vieler Rudolphi, in: SK-StGB, vor § 94 Rn. 14; Krey, Blau-FS, S. 142 ff.; Kloepfer, JZ 1984, 685; Rogall, Informationseingriff und Gesetzesvorbehalt im Strafprozessrecht, S. 19; Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 129. 5 Hillgruber, in: BeckOK GG, Art. 1 GG Rn. 61; Kloepfer, JZ 1984, 685 (687); Krebs, Jura 1979, 304 (305); Pietzcker, JuS 1979, 712; Rogall, Informationseingriff und Gesetzesvorbehalt im Strafprozessrecht, S. 15. 6 BVerfGE 33, 1 = NJW 1972, 811; 40, 237 = NJW 1976, 1309; 41, 251 = NJW 1976, 1309; 45, 400 = NJW 1977, 1723 (1724); 47, 46 = NJW 1978, 807 (810); 48, 210 = NJW 1978, 2143; 49, 89 = NJW 1979, 359. 7 Der Sache nach ist die Wesentlichkeitslehre nichts Neues und bereits so alt wie der Vorbehalt des Gesetzes selbst, Böckenförde, Gesetz und gesetzgebende Gewalt, S. 385 f.; Rogall, Informationseingriff und Gesetzesvorbehalt im Strafprozessrecht, S. 18. 8 Allgemein dazu Kloepfer, JZ 1984, 685 (689 ff.); Krebs, Jura 1979, 304 (311 f.); Rogall, Informationseingriff und Gesetzesvorbehalt im Strafprozessrecht, S. 4. 9 Böckenförde, Die Ermittlungen im Netz, S. 122.
60
2. Kap.: Erarbeitung des rechtlichen Rahmens
das Erfordernis einer gesetzlichen Regelung danach, ob die Tätigkeit in die Grundrechte des Betroffenen eingreift.10 Nicht entscheidend ist, ob die Tätigkeit eine wesentliche Grundrechtsrelevanz aufweist.11 Der allgemeine Gesetzesvorbehalt gilt daher nicht nur „uneingeschränkt auch“12, sondern sogar „in besonderem Maße“13 für das Strafverfolgungsrecht, soweit dieses einen Eingriff in die subjektiven Rechte des Bürgers darstellt.14 Strafprozessuale Maßnahmen mit grundrechtsbeschränkendem Charakter bedürfen daher stets einer – und nachdem grundrechtsbeschränkende Maßnahmen wohl immer „wesentlich“ sein dürften15 – formellen Ermächtigungsgrundlage.16
II. Betroffene Grundrechte Beim Zugriff der Strafverfolgungsbehörden auf in der Cloud gespeicherte Daten und den damit im Zusammenhang stehenden Maßnahmen können eine Reihe von Grundrechten betroffen sein. Die folgende Darstellung der einzelnen Grundrechte beschränkt sich auf Grundrechte der deutschen Verfassung, deren Schutzbereich beim Zugriff auf in der Cloud gespeicherte Daten eröffnet sein kann. Die Reihenfolge orientiert sich dabei weitestgehend an der Reihenfolge der in Betracht kommenden Ermächtigungsgrundlagen. Etwaige Konkurrenzprobleme sollen an dieser Stelle noch unberücksichtigt bleiben. 1. Unverletzlichkeit der Wohnung, Art. 13 GG Art. 13 Abs. 1 GG gewährleistet die Unverletzlichkeit der Wohnung. Durchsuchungen dürfen nur durch den Richter, bei Gefahr im Verzug auch durch die in den Gesetzen vorgesehenen anderen Organe angeordnet und in der dort vorgesehenen Form durchgeführt werden (Abs. 2). Die Vorausset10 Roxin / Schünemann, Strafverfahrensrecht, § 2 Rn. 4; Kudlich, Strafprozess und allgemeines Missbrauchsverbot, S. 146, wonach ein Rückgriff auf die sogenannte Wesentlichkeitstheorie des BVerfG für die Frage nach der grundsätzlichen Geltung des Gesetzesvorbehalts im Strafprozessrecht weder erforderlich, noch wirklich hilfreich sei. 11 Böckenförde, Die Ermittlungen im Netz, S. 121. 12 Rudolphi, in: SK-StGB, vor § 94 Rn. 18. 13 Kudlich, Strafprozess und allgemeines Missbrauchsverbot, S. 146. 14 Kudlich, Strafprozess und allgemeines Missbrauchsverbot, S. 146; Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 130; Böckenförde, Die Ermittlungen im Netz, S. 120; Krey, Studien zum Gesetzesvorbehalt, S. 240. 15 Krey, Blau-FS, S. 144; Rudolphi, in: SK-StGB, vor § 94 Rn. 17; für „Informationseingriffe“ auch Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 131. 16 Zu den Ermächtigungsgrundlagen vgl. Zweites Kap. B.
A. Verfassungsrechtlicher Rahmen61
zungen für die lange rechtspolitisch und verfassungsrechtlich sehr umstrittene Wohnraumüberwachung regeln die Absätze 2–6. Absatz 7 konkretisiert weitere Schranken der Unverletzlichkeit der Wohnung, die keine Durchsuchung und keine Wohnraumüberwachung darstellen. Art. 13 Abs. 1 GG steht in einem engen Zusammenhang mit dem allgemeinen Persönlichkeitsrecht und schützt den räumlich gegenständlichen Bereich der Privatsphäre.17 Unter den Begriff der Wohnung fallen alle privaten Wohnzwecken gewidmeten Räumlichkeiten, „in denen der Mensch das Recht hat, in Ruhe gelassen zu werden“,18 also alle zum Aufenthalts- oder Arbeitszweck dienenden Räume. Neben Wohnraum und Büro sind auch Hotelzimmer, allgemein zugängliche Geschäftsräume sowie Arbeitshallen und Werkstätten erfasst.19 Außerhalb der Wohnung liegende Einrichtungen fallen nicht unter den Schutzbereich des Art. 13 Abs. 1 GG.20 Eine Durchsuchung in den Geschäftsräumen des Cloud-Anbieters tangiert daher nicht den Schutzbereich des Art. 13 Abs. 1 GG des Cloud-Nutzers, jedoch ist der Eingriff vom Schutzbereich des Cloud-Anbieters erfasst.21 Bis zur Entscheidung des BVerfG22 zur Online-Durchsuchung war umstritten, ob auch der heimliche Internet-Fernzugriff auf ein IT-System einen Eingriff in Art. 13 Abs. 1 GG darstellt. In diesem Zusammenhang wurde diskutiert, ob der Datenbestand eines Computers als „virtueller Raum“ noch vom Schutzbereich des Art. 13 Abs. 1 GG umfasst sei.23 Das BVerfG lehnt in seiner Entscheidung die Ausdehnung des Schutzbereichs des Art. 13 Abs. 1 GG auf den „virtuellen Raum“ mit der Begründung ab, dass Internet-Fernzugriffe unabhängig vom Standort des IT-Systems erfolgen können und der Standort für den Zugreifenden oftmals überhaupt nicht erkennbar sei.24 Die bestehende Schutzlücke hat das BVerfG durch die Konstruktion des ITGrundrechts25 geschlossen.26 17 Ständige
Rspr. seit BVerfGE 32, 54 = LMRR 1971, 11. in: BeckOK GG Art. 13 Rn. 1; BVerfGE 109, 279 = MMR 2004, 302. 19 Vgl. Papier, in: Maunz / Dürig GG Art. 13 Rn. 10 f. 20 Bode, Verdeckte strafprozessuale Ermittlungsmaßnahmen, S. 189. 21 BVerfGE 124, 43 = NJW 2009, 2431 zur Beschlagnahme von E-Mails auf dem Mailserver des Providers. 22 BVerfGE 120, 274 = NJW 2008, 822 (825). 23 Vgl. Rux, JZ 2007, 285 (293 f.) der sich allerdings später selbst korrigiert ders., JZ 2007, 828 (832); Buermeyer, HRRS 2007, 329 (332); Hornung, DuD 2007, 575 (577); Kutscha, NJW 2007, 1169 (1170); Schaar / Landwehr, K&R 2007, 202 (204); ausführlich dazu Kohlmann, Online-Durchsuchungen, S. 57 ff.; Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 197 Rn. 913 m. w. N. 24 BVerfGE 120, 274 = NJW 2008, 822 (825). 25 Zum IT-Grundrecht vgl. Zweites Kap. A.II.6. 26 Vgl. BVerfGE 120, 274 = NJW 2008, 822 (825 f.). 18 Fink,
62
2. Kap.: Erarbeitung des rechtlichen Rahmens
§§ 102 ff. StPO konkretisieren die Voraussetzungen, unter denen eine Durchsuchung und damit ein Eingriff in die Unverletzlichkeit der Wohnung zulässig ist.27 Bereits die Formulierung des Art. 13 Abs. 1 GG macht deutlich, dass der Gesetzgeber einen Eingriff grundsätzlich billigt, so dass die Maßnahmen unter Wahrung des Grundsatzes der Verhältnismäßigkeit tendenziell zulässig sind.28 Eine akustische Wohnraumüberwachung gemäß § 100c StPO ist hingegen nur bei Vorliegen der extrem hohen Voraussetzungen des Art. 13 Abs. 4 GG zulässig und kommt in der Praxis der Strafverfolgungsbehörden nur noch sehr selten vor.29 2. Eigentumsfreiheit, Art. 14 GG Art. 14 Abs. 1 GG gewährleistet die Eigentumsfreiheit sowohl als subjektives Recht als auch als Rechtsinstitut.30 Inhalt und Schranken werden durch die Gesetze bestimmt (Abs. 2). Die Eigentumsfreiheit gewährleistet den Besitz, die Nutzung, die Verwaltung sowie die Verfügung über das Eigentum.31 Unter „Eigentum“ sind dabei alle Vermögenswerte subsumierbar, die ihrem Inhaber rechtlich derart zuzuordnen sind, dass er die eben genannten Befugnisse „nach eigenverantwortlicher Entscheidung zu seinem privaten Nutzen ausüben darf“.32 Auf die zivilrechtlichen Eigentumsverhältnisse kommt es dabei nicht an. Somit ist auch der Besitz von der Eigentumsfreiheit umfasst.33 Erfolgt ein Zugriff der Strafverfolgungsbehörden auf einen körperlichen Gegenstand, wie beispielsweise einen Datenträger, so wird bereits das engere zivilrechtliche Eigentum an dem Datenträger beeinträchtigt.34 Fraglich ist, inwieweit der Zugriff auf Dateien als unkörperliche Gegenstände einen Eingriff in die Eigentumsfreiheit darstellt.35 Alleine die Einordnung von Daten als unkörperliche Gegenstände bedeutet nicht, dass der Schutzbereich des Art. 14 27 Zur
Durchsuchung siehe Zweites Kap. B.I.1 und B.II.1. dazu vgl. Wicker, Cloud Computing und staatlicher Strafanspruch,
28 Insgesamt
S. 317. 29 Für den letzten veröffentlichen Berichtszeitraum neun Mal (vgl. BT-Drs. 18 / 5900, S. 3), zuvor acht Mal (BT-Drs. 18 / 2495). 30 Statt vieler nur Papier, in: Maunz / Dürig GG Art. 14 Rn. 1. 31 BVerfGE 105, 17 = JuS 2003, 286 (287). 32 BVerfGE 112, 93 = JuS 2005, 454 (455). 33 Lepsius, Besitz und Sachherrschaft im öffentlichen Recht, S. 41 ff. 34 Die Befugnisse des Eigentümers nach § 903 S. 1 BGB beziehen sich auf Sachen i. S. d. § 90 BGB. Gemäß § 90 BGB sind Sachen nur körperliche Gegenstände. 35 Zur Unkörperlichkeit von Dateien vgl. Zweites Kap. B.I.3.b)bb). Die Speicherung der Daten auf einem körperlichen Gegenstand, d. h. einer Sache i. S. v. § 90 BGB, macht die Daten selbst nicht zu körperlichen Gegenständen und damit zu Sa-
A. Verfassungsrechtlicher Rahmen63
Abs. 1 GG nicht eröffnet ist. Der Eigentumsbegriff des Art. 14 Abs. 1 GG geht über den zivilrechtlichen Eigentumsbegriff hinaus und erfasst neben körperlichen auch unkörperliche Gegenstände.36 Geschützt ist die rechtliche Zuordnung von Vermögenswerten zu ihrem Inhaber.37 Soweit Daten also vermögenswert sind, fallen sie unter den Schutzbereich des Art. 14 Abs. 1 GG.38 Beim Zugriff auf Daten als unkörperliche Gegenstände stellt sich die Frage, wann der Zugriff einen Eingriff in den Schutzbereich darstellt, denn im Unterschied zu körperlichen Gegenständen können Daten beliebig oft vervielfältigt werden. Unproblematisch kann von einem Eingriff daher zunächst nur ausgegangen werden, wenn dem Inhaber die Daten entzogen werden und ihm keine Kopie verbleibt.39 Fertigen die Ermittlungsbehörden eine Kopie der Daten an und verbleibt ein Datensatz beim Betroffenen, ist eine differenzierte Betrachtung geboten: Die ausschließliche Nutzung des Eigentums ist zunächst ein wesentliches Kriterium des Art. 14 Abs. 1 GG. Durch die gleichzeitige Nutzung der Daten durch die Behörde ist das Recht des Inhabers, Dritte von der Nutzung auszuschließen, berührt. Dies könnte bereits einen Eingriff in den Schutzbereich des Art. 14 Abs. 1 GG darstellen. Mit Blick auf teleologische und historische Gründe ist eine derart pauschale Betrachtung jedoch abzulehnen.40 Die Eigentumsfreiheit soll dem Grundrechtsträger „eine eigenverantwortliche Gestaltung seines Lebens ermöglichen“41 und das vermögenswerte Ergebnis eigener Leistung schützen.42 Die ständige Verfügbarkeit von Daten stellt zunehmend eine wirtschaftliche Grundlage der Lebensgestaltung dar. Das Anfertigen und Nutzen einer Kopie durch die Strafverfolgungsbehörden hat zunächst keine Auswirkungen auf die Verfügbarkeit der Daten. Eine Beeinträchtigung ist jedoch dann gegeben, wenn die Daten aufgrund der Nutzung durch Dritte ihren Vermögenswert verlieren. Der Zugriff auf Daten als unkörperliche Gegenstände stellt mithin nur dann einen Eingriff in den Schutzbereich des Art. 14 Abs. 1 GG dar, wenn die Daten einen Vermögenswert besitzen und dieser chen i. S. d. § 90 BGB, Wicker, Cloud Computing und staatlicher Strafanspruch, S. 319 und – allerdings bezogen auf Software – Mehrings, NJW 1986, 1904 (1905). 36 Der zivilrechtliche Eigentumsbegriff ist vom verfassungsrechtlichen Eigentumsbegriff mitumfasst, vgl. Depenheuer, in: v. Mangoldt / Klein / Starck GG Art. 14 Rn. 33. 37 Depenheuer, in: v. Mangoldt / Klein / Starck GG Art. 14 Rn. 111. 38 Manssen, in: Uerpmann-Wittzack, Das neue Computergrundrecht, S. 61 (65 f.) sieht in der Beschränkung des Art. 14 Abs. 1 GG auf den Vermögensschutz eine unzulässige Grundrechtsverkürzung und hält alle Dateien vom Schutzbereich umfasst. 39 Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 172 f. 40 So auch Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 173. 41 BVerfGE 89, 1 = NJW 1993, 2035. 42 Vgl. Sieckmann, in: Berliner Kommentar GG, Art. 14 Rn. 37.
64
2. Kap.: Erarbeitung des rechtlichen Rahmens
durch die gleichzeitige Nutzung der Strafverfolgungsbehörden beeinträchtigt wird.43 Dies ist bei einem Zugriff der Strafverfolgungsbehörden in aller Regel nicht der Fall.44 3. Berufsfreiheit, Art. 12 GG Art. 12 Abs. 1 GG gewährleistet die freie Berufswahl und Berufsausübung.45 Der „Beruf“ ist jede auf Dauer angelegte und nicht nur vorübergehende, der Schaffung und Erhaltung einer Lebensgrundlage dienende Tätigkeit.46 Die Berufsfreiheit schützt vor staatlichen Maßnahmen, die durch eine deutlich erkennbare subjektive oder objektive berufsregelnde Tendenz gekennzeichnet sind.47 Eine subjektiv berufsregelnde Tendenz liegt vor, wenn die staatliche Maßnahme zielgerichtet eine berufliche Betätigung beeinträchtigt oder unterbindet. Eine objektiv berufsregelnde Tendenz liegt vor, wenn die staatliche Maßnahme bei berufsneutraler Zielsetzung zumindest gewichtige mittelbare Auswirkungen auf den Beruf hat. Die Maßnahme muss dabei schwerpunktmäßig Tätigkeiten betreffen, die typischerweise beruflich ausgeübt werden.48 Die Ermächtigungsgrundlagen der StPO betreffen Zeugen oder Beschuldigte, nicht Verdächtigte oder Verdächtige, nicht jedoch Angehörige bestimmter Berufsgruppen.49 Eine subjektiv berufsregelnde Tendenz ist bei Maßnahmen der Strafverfolgungsbehörden daher grundsätzlich nicht gegeben.50 Die Maßnahmen können jedoch im Einzelfall eine objektiv berufsregelnde Tendenz aufweisen, wenn langandauernde Durchsuchungen und die Beschlagnahme von Endgeräten, Speichermedien oder Daten den Betroffenen an der Ausübung seiner Arbeit hindern.51 Dies ist im Rahmen der Verhältnismäßigkeitsprüfung zu berücksichtigen.52 auch Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 174. vermögenswerte Daten über Geschäftsideen und -geheimnisse von den Ermittlungsbehörden beschlagnahmt, geht mit der Auswertung keine „Entwertung“ einher. Der Inhaber kann die Dateien auch weiterhin als wirtschaftliche Grundlage nutzen. Anders liegt der Fall, wenn ein Wettbewerber des Inhabers die Kopien der Daten nutzen kann, vgl. Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 174. 45 Bei Art. 12 GG handelt es sich um ein Inländergrundrecht. EU-Ausländern kommt ein entsprechender Schutz über Art. 2 Abs. 1 GG zu, vgl. Ruffert, in: BeckOK GG Art. 12 Rn. 35 ff. zur Anwendbarkeit des Art. 12 GG auf nicht deutsche Staatsangehörige. 46 Statt vieler nur Ruffert, in Beck-OK GG Art. 12 Rn. 40 ff. 47 BVerfGE 70, 191 = NVwZ 1986, 113 (117); 95, 267 = NJW 1997, 1975 (1976). 48 Insgesamt dazu vgl. BVerfGE 13, 181 = NJW 1961, 2299. 49 Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 175 f. m. w. N. 50 So auch Korge, Beschlagnahme elektronisch gespeicherter Daten, S. 141. 51 A. A. Korge, Beschlagnahme elektronisch gespeicherter Daten, S. 141 f. der jedoch auf die Ermächtigungsgrundlagen der §§ 94 ff. StPO abstellt. 43 So
44 Werden
A. Verfassungsrechtlicher Rahmen65
4. Post- und Fernmeldegeheimnis, Art. 10 GG (Telekommunikationsgeheimnis) Das Fernmeldegeheimnis gewährleistet laut Bundesverfassungsgericht die Vertraulichkeit der individuellen Kommunikation, wenn diese wegen der räumlichen Distanz zwischen den Beteiligten auf eine Übermittlung durch andere angewiesen ist und deshalb in besonderer Weise einen Zugriff Dritter – einschließlich staatlicher Stellen – ermöglicht.53 Die Notwendigkeit, die freie Kommunikation grundrechtlich zu gewährleisten, resultiert vor allem aus dem Bedürfnis der Behörden, private Kommunikation überwachen zu können.54 Anders als bei Gesprächen unter Anwesenden, können die Kommunikationsteilnehmer über räumliche Distanz die Rahmenbedingungen und die Kenntnisnahmemöglichkeiten Dritter nicht selbst überwachen.55 Der Schutzbereich des Art. 10 Abs. 1 GG soll die Teilnehmer der Kommunikation weitestgehend so stellen, als fände die Kommunikation unter Anwesenden statt.56 Ihm unterfallen daher Inhalt und Umstände der Kommunikation.57 Nach Auffassung des Bundesverfassungsgerichts umfasst Art. 10 Abs. 1 GG auch Kommunikationsdienste im Internet. Was unter „Kommunikationsdiensten“ zu verstehen ist, wird jedoch nicht näher konkretisiert.58 Synonym wird jedoch auch der Begriff „Telekommunikation“ verwendet.59 Nach der Legaldefinition in § 3 Nr. 22 TKG ist „Telekommunikation“ der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen. Dieser formale Begriff der Telekommunikation verzichtet auf das Erfordernis eines kommunikativen Elements, also der Mitteilungsabsicht zwischen mindestens zwei individuellen Kommunikationspartnern.60 Spätestens seit der Entscheidung des Bundesverfassungsgerichts zur Online-Durchsuchung und der Konstruktion des IT-Grundrechts ist der Schutzbereich des Art. 10 Abs. 1 GG nicht (mehr) derartig weit zu fas52 Im Ergebnis auch Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 176 und Wicker, Cloud Computing und Staatlicher Strafanspruch, S. 315 f. 53 BVerfG, NJW-Spezial 2011, 185. 54 BVerfGE 85, 386 = NJW 1992, 1875. 55 BVerfGE 106, 28 = NJW 2002, 3619 (3620). 56 BVerfGE 115, 166 = NJW 2006 552 (553). 57 Durner, in: Maunz / Dürig GG Art. 10 Rn. 81; Baldus, in: BeckOK GG Art. 10 Rn. 8 m. w. N. 58 Bas BVerfG nennt hier beispielhaft „Sprache, Bilder, Töne, Zeichen oder sonstige Daten“, BVerfGE 120, 274 = NJW 2008, 822 (825). 59 So zum Beispiel BVerfGE 106, 28 = NJW 2002, 3619 (3620); 120, 274 = NJW 2008, 822 (825); 130, 151 = NJW 2012, 1419 (1421). 60 Zum Wortsinn der Kommunikation Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 182 auch m. w. N.
66
2. Kap.: Erarbeitung des rechtlichen Rahmens
sen.61 Der vom Bundesverfassungsgericht synonym zu „Kommunikationsdiensten“ verwendete Begriff der „Telekommunikation“ ist vielmehr funktional zu verstehen: Telekommunikation im Sinne des Art. 10 Abs. 1 GG ist der Informationsaustausch zwischen mindestens zwei individuellen Kommunikationspartnern unter Nutzung von Telekommunikationsanlagen zur Überwindung einer räumlichen Distanz.62 Telekommunikation im Sinne des § 3 Nr. 22 TGK, die nicht mehr vom Schutzbereich des § 10 Abs. 1 GG umfasst ist, findet im IT-Grundrecht eine Entsprechung. Art. 10 Abs. 1 GG schützt die Vertraulichkeit des technisch übermittelten, zwischenmenschlichen Informationsaustausches. Das IT-Grundrecht schützt die Vertraulichkeit der Inhalte und der Nutzung eines IT-Systems.63 a) Up- und Download der Daten als Telekommunikation im Sinne des Art. 10 Abs. 1 GG Um Daten in oder aus der Cloud zu laden, werden die Datenpakete über eine Internetverbindung zwischen dem Cloud-Nutzer und dem Cloud-Anbieter hin- und hergeschickt. Damit liegt grundsätzlich eine Kommunikation im Sinne des Mitteilens und Kenntnisnehmens von Inhalten vor, die dem Schutzbereich des Art. 10 Abs. 1 GG unterfällt. Für die Beurteilung ist zunächst unbeachtlich, dass der Nutzer durch die Übermittlung mit dem CloudAnbieter gar nicht derart kommunizieren will,64 dass dieser die Inhalte als Information zur Kenntnis nimmt. Durch die unkörperliche Übermittlung von Daten findet ein laufender Telekommunikationsvorgang statt, so dass der Schutzbereich des Art. 10 Abs. 1 GG eröffnet ist.65 Der Schutzbereich des Fernmeldegeheimnisses erfasst jedoch nur die Individualkommunikation, also die allein an bestimmte Empfänger gerichteten Kommunikationsinhalte und nicht die Massenkommunikation.66 Die Dienste 61 Auch bis dahin ließ sich aus der Rechtsprechung des Bundesverfassungsgerichts keine Übernahme des formalen Kommunikationsbegriffs ableiten. Allen Anknüpfungspunkten lag ein kommunikationsbezogener Sachverhalt zu Grunde. Ausführlich dazu Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 183 ff. und 190 f. 62 Zum funktionalen Begriff der Kommunikation statt vieler nur Bosesky / Hoffmann / Schulz, DuD 2013, 95 (99 f.) und Meinicke, DSRITB 2013, 967 (976). 63 Zum IT-Grundrecht vgl. Zweites Kap. A.II.6, sowie Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 191 f. 64 Zum kommunikativen Element der Telekommunikation i. S. d. § 100a StPO, vgl. Zweites Kap. B.IV.1.a). 65 So auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 307 mit Verweis auf Puschke / Singelnstein, NJW 2008, 113 (115). 66 Vgl. auch Gersdorf, in: BeckOK Informations- und Medienrecht, Art. 10 GG Rn. 12. Unter Massenkommunikation ist z. B. der Aufruf von Internetseiten zu verste-
A. Verfassungsrechtlicher Rahmen67
des Cloud-Anbieters richten sich zwar häufig an die Allgemeinheit und bieten standardisierte Lösungen an. Die Inanspruchnahme eines Dienstes durch den Cloud-Nutzer wird jedoch durch eine einzelvertragliche Vertragsbeziehung ermöglicht und stellt somit eine individuelle Verbindung zum CloudAnbieter dar. Der Nutzer kann sodann mithilfe seiner Anmeldedaten exklusiv auf die ihm zur Verfügung gestellte Speichermöglichkeit zugreifen, so dass die Individualität des Vertragspartners zu bejahen ist.67 Unter den personellen Schutzbereich fallen daher sowohl der Cloud-Nutzer als auch der CloudAnbieter als tatsächliche Teilnehmer der Telekommunikation.68 b) Synchronisation der Daten als Telekommunikation im Sinne des Art. 10 Abs. 1 GG Fraglich ist, ob auch die automatische Synchronisation von Inhaltsdaten durch Desktopanwendungen69 als Telekommunikation im Sinne des Art. 10 Abs. 1 GG zu qualifizieren ist. Aus Sicht des Nutzers besteht der Unterschied zur oben genannten Kommunikation darin, dass er die Daten nicht „manuell“ in oder aus der Cloud lädt, sondern nur in die Desktopanwendung eines Endgeräts verschiebt, und der Upload in die Cloud sowie die Synchronisation mit den übrigen Endgeräten, sprich der Download in die jeweilige Anwendung der Endgeräte, automatisch erfolgt. Bei der automatischen Synchronisation ist daher dieselbe telekommunikationsspezifische Gefährdungslage wie beim Up- und Download der Daten gegeben, so dass von Telekommunikation im Sinne des Art. 10 Abs. 1 GG auszugehen ist.70 Der Telekommunikationsvorgang ist auch mittelbar durch das Verhalten des Nutzers veranlasst, da dieser die Synchronisationsmöglichkeiten des Cloud-Anbieters bewusst in Anspruch nimmt.71 Die durch den Nutzer veranlasste automatische Synchronisation – und erst recht eine manuelle Synchronisation – ist als Telekommunikation im Sinne des Art. 10 Abs. 1 GG zu qualifizieren. hen, die sich an einen unbegrenzten Personenkreis richten, vgl. dazu Park, Wandel des Polizeirechts, S. 307. 67 So auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 311. 68 Vgl. Durner, in: Maunz / Dürig GG, Art. 10 Rn. 100; a. A. Wicker, Cloud Computing und staatlicher Strafanspruch, S. 310 f., wonach Art. 10 Abs. 1 GG nur für den Cloud-Nutzer und nicht für den Cloud-Anbieter gilt. 69 Zu Desktopanwendungen vgl. bereits Erstes Kap. F.II. 70 Im Ergebnis und bezogen auf das Vorliegen der telekommunikationsspezifischen Gefährdungslage auch Gähler, HRRS 2016, 340 (343). 71 A. A. Gähler, HRRS 2016, 340 (343), wonach „kein menschlich veranlasster Kommunikationsvorgang vorliegt“. Da es sich um einen „menschlich veranlassten Informationsaustausch“ handelt, „der sich auf Kommunikationsinhalte bezieht“ (BVerfG, NJW 2007, 351 (353)) ist der Vergleich zu IMSI-Catchern in zweierlei Hinsicht nicht geboten.
68
2. Kap.: Erarbeitung des rechtlichen Rahmens
c) Zugriff auf in der Cloud gespeicherte Inhalte als Telekommunikation im Sinne des Art. 10 Abs. 1 GG Hat der Cloud-Nutzer die Daten in die Cloud geladen, werden diese auf einem Server des Cloud-Anbieters gespeichert, auf welchen der Nutzer von überall auf der Welt aus zugreifen kann. Voraussetzung ist jedoch eine bestehende Internetverbindung. „Offline“72 können die Daten vom Nutzer nicht mehr abgerufen werden. Versucht der Nutzer auf seine Daten zuzugreifen, ist eine Übertragung von Signalen notwendig, die dem Nutzer den Zugriff ermöglicht. Dies gilt insbesondere auch, wenn der Nutzer seine in der Cloud gespeicherten Inhalte bearbeitet.73 Eine Bearbeitung ist dann entweder nur online möglich oder der bereits gespeicherte Inhalt wird nach der Bearbeitung online neu überschrieben. In jedem Fall ist für die Bearbeitung eine Übertragung der Daten mit Hilfe von Signalen notwendig. Eine Mitteilungsabsicht im oben genannten Sinne liegt jedoch nur beim Ändern beziehungsweise Bearbeiten von Inhalten vor. Das bloße Auf- oder Abrufen bereits gespeicherter Inhalte geht über die Mitteilungsabsicht beim bereits erfolgten Upload nicht hinaus. Ein laufender Telekommunikationsvorgang findet daher nur beim online Bearbeiten beziehungsweise Überschreiben der geänderten Daten statt.74 Das bloße Abrufen der bereits gespeicherten Daten stellt mangels Mitteilungsabsicht keinen Telekommunikationsvorgang dar. Denkbar wäre jedoch, dass der Schutzbereich des Art. 10 Abs. 1 GG solange eröffnet ist, wie die Inhalte auf den Servern des Cloud-Anbieters ruhen beziehungsweise gespeichert sind. Aufgrund des bestehenden Risikos betrachtet das Bundesverfassungsgericht einen Telekommunikationsvorgang bei E-Mails auch dann als laufend, wenn E-Mails nicht im Herrschaftsbereich des Kommunikationsteilnehmers, sondern auf den Servern des Providers gespeichert sind. Denn solange fehlt dem Nutzer die technische Möglichkeit, die Weitergabe durch den Provider zu verhindern. Dieser technisch bedingte Mangel der Beherrschbarkeit begründet nach Auffassung des Gerichts die besondere Schutzwürdigkeit des Nutzers durch das Fernmeldegeheimnis.75 Dieser Ansatz lässt sich jedoch nicht auf die Cloud-Storage-Dienste übertragen, bei denen der Cloud-Nutzer den Dienst lediglich als Speichermedium 72 Das Vorhandensein einer Desktop-Cloud ist in dieser Konstellation nicht zur berücksichtigen. 73 Zu denken ist hier beispielsweise an ein in der Cloud gespeichertes Word-Dokument, welches nach dem Hochladen noch bearbeitet und dann erneut gespeichert wird. 74 Insoweit a. A. Wicker, Cloud Computing und staatlicher Strafanspruch, S. 307, wonach beim Zugriff auf in der Cloud gespeicherte Inhalte bereits keine Telekommunikationstechnik zur Überwindung von Entfernung zum Einsatz kommt. 75 BVerfGE 124, 43 = NJW 2009, 2431 (2432).
A. Verfassungsrechtlicher Rahmen69
nutzt. In diesem Fall ist der Cloud-Anbieter der Telekommunikationspartner des Nutzers und – anders als der Provider – kein unbeteiligter Dritter, in dessen Herrschaftsbereich sich der Kommunikationsinhalt befindet. Eine besondere Schutzwürdigkeit lässt sich daher nicht begründen. Nutzt der CloudNutzer den Service, um mit anderen zu interagieren, ist unter Umständen eine andere Beurteilung geboten.76 Solange der Nutzer den Cloud-Dienst nur als externen Speicherplatz in Anspruch nimmt, kann von einem laufenden Telekommunikationsvorgang nur ausgegangen werden, wenn der Nutzer die in der Cloud gespeicherten Inhalte nachträglich bearbeitet oder verändert. Findet die Bearbeitung offline statt, so stellt die Aktualisierung der Änderungen den laufenden Telekommunikationsvorgang dar.77 d) Cloud Collaboration als Telekommunikation im Sinne des Art. 10 Abs. 1 GG Nutzt der Cloud-Nutzer die Cloud-Dienste des Anbieters, um mit anderen – nicht zwingend anderen Cloud-Nutzern – zu interagieren, ist zu überlegen, ob die Rechtsprechung des Bundesverfassungsgerichts zur Sicherstellung und Beschlagnahme von E-Mails78 auf diese Konstellation zu übertragen ist, und aufgrund besonderer Schutzwürdigkeit auch die ruhenden, in der Cloud gespeicherten Inhalte als laufende Telekommunikation zu qualifizieren sind. Erlaubt der Cloud-Dienst die Bearbeitung von in der Cloud gespeicherten Inhalten durch mehrere Personen, findet während der Bearbeitung beziehungsweise Aktualisierung ein laufender Telekommunikationsvorgang zwischen dem jeweiligen Nutzer und dem Cloud-Anbieter statt. Beim Teilen oder Senden von Inhalten werden Dritten – diese können, müssen jedoch nicht zwingend ebenfalls Cloud-Nutzer sein – Zugriffsrechte auf in der Cloud gespeicherte Daten eingeräumt. Dies geschieht durch den Cloud-Anbieter auf Betreiben des Cloud-Nutzers. Der Dritte erhält dann die Möglichkeit auf die in der Cloud gespeicherten Inhalte zuzugreifen. Ist der Dritte auch CloudNutzer, erfolgt dies beispielsweise durch das Anmelden mittels einer gemeinsamen Zugangserkennung. Ist der Dritte nicht auch Cloud-Nutzer, kann der Zugriff durch das Aufrufen eines mitgeteilten Links erfolgen. Mangels Mitteilungsabsicht stellt das bloße Abrufen der in der Cloud gespeicherten Inhalte durch den Dritten keinen laufenden Telekommunikationsvorgang dar. Eine Mitteilungsabsicht – und damit ein laufender Telekommunikationsvorgang – ist jedoch gegeben, wenn der Cloud-Nutzer dem Dritten die Zugriffsrechte einräumt beziehungsweise einräumen lässt. Dies kann beispielsweise 76 Vgl.
dazu sogleich Zweites Kap. A.II.4.d). Synchronisation vgl. bereits Zweites Kap. A.II.4.b). 78 BVerfGE 124, 43 = NJW 2009, 2431 (2432). 77 Zur
70
2. Kap.: Erarbeitung des rechtlichen Rahmens
durch das Versenden eines entsprechenden Links oder das Freigeben gewisser Ordner für andere Cloud-Nutzer geschehen. Dennoch unterscheidet sich das Versenden eines Links zur Dropbox beziehungsweise das Freigeben von Ordnern im Ergebnis vom Versenden einer E-Mail mit Anhang.79 Beim Versenden einer E-Mail fungiert der Provider lediglich als Telekommunikationsmittler. Beim Einräumen von Zugriffsrechten auf in der Cloud gespeicherte Inhalte erfolgt die Mitteilung zwingend über den vorherigen Kommunikationsteilnehmer, den Cloud-Anbieter. Dieser gibt die zuvor mittels Telekommunikation an ihn übermittelten Informationen dann an den Dritten weiter. Unabhängig davon, ob der Dritte der Einladung des Nutzers folgt und die in der Cloud gespeicherten Inhalte tatsächlich zur Kenntnis nimmt, liegt ein laufender Telekommunikationsvorgang vor, an dem auch der Cloud-Anbieter – zumindest mittelbar – beteiligt ist. Der Schutzbereich des Art. 10 Abs. 1 GG entfaltet seine Wirkung jedoch nicht im (Innen-)Verhältnis zwischen den am Kommunikationsvorgang Beteiligten.80 Ermöglicht ein Kommunikationsteilnehmer – hier der Cloud-Anbieter – privaten Dritten oder dem Staat den Zugriff auf die in der Cloud gespeicherten Inhalte, so wird nicht das Vertrauen in die Sicherheit des zur Nachrichtenübermittlung genutzten Dienstes, sondern das personengebundene Vertrauen in den Kommunikationspartner verletzt.81 Nimmt der Dritte Veränderungen an den zugänglichen Informationen vor, findet ein laufender Telekommunikationsvorgang zwischen ihm und dem Cloud-Anbieter statt, der sich sodann auch auf den Cloud-Nutzer erstreckt. Die verschiedenen Aktivitäten der Cloud Collaboration sind daher immer als Telekommunikationsvorgänge zwischen dem Cloud-Nutzer und dem Dritten zu qualifizieren, an denen der Cloud-Anbieter beteiligt ist. Die Inhalte sind dabei immer auf den Servern eines Kommunikationsteilnehmers gespeichert, so dass auch hier eine besondere Schutzwürdigkeit nicht begründet werden kann.82 79 A. A.: Wicker, Cloud Computing und staatlicher Strafanspruch, S. 312 f.: Sachlich resultiert die Unterscheidung im Wesentlichen daraus, dass beim Cloud-Com puting die Inhalte regelmäßig auf dem Server des Cloud-Anbieters gespeichert bleiben sollen und eben keine Speicherung auf dem jeweiligen Endgerät beabsichtigt ist. Wohingegen beim Versenden von E-Mails mit Anhängen regelmäßig eine Speicherung auf dem Endgerät erfolgen soll. 80 Vgl. BVerfGE 85, 386 = NJW 1992, 1875; 106, 28 = NJW 2002, 3619, (3620); 120, 274 = NJW 2008, 822 (825); 130, 151 = NJW 2012, 1419 (1421); Gersdorf, in: BeckOK Informations- und Medienrecht, Art. 10 GG Rn. 13. 81 BVerfGE 106, 28 = NJW 2002, 3619, (3620); BVerfGE 130, 151 = NJW 2012, 1419 (1421). 82 Der Vergleich mit der Weitergabe eines Wohnungs- beziehungsweise Ersatzschlüssels an einen Dritten, der sich dann selbstständig in den Räumen aufhalten und
A. Verfassungsrechtlicher Rahmen71
e) Zusammenfassung Sowohl der Up- und Download als auch der Zugriff auf in der Cloud gespeicherte Inhalte stellt einen Kommunikationsvorgang dar, für den der Schutzbereich des Art. 10 Abs. 1 GG eröffnet ist. Dies gilt sowohl für den Cloud-Nutzer als auch für Dritte,83 welche vom Cloud-Anbieter auf Betreiben des Nutzers Zugriffsrechte eingeräumt bekommen. Von einem laufenden Telekommunikationsvorgang ist jedoch nur auszugehen, solange der Up- und Download oder der Zugriff tatsächlich stattfindet. Ist dieser Prozess beendet, ist auch der Telekommunikationsvorgang beendet. Da die Telekommunikation jeweils zwischen dem Cloud-Anbieter und dem Nutzer, beziehungsweise Dritten stattfindet, ist auch keine besondere Schutzwürdigkeit gegeben, da sich die Inhalte immer im Herrschaftsbereich eines Telekommunikationsbeteiligten, namentlich des Cloud-Anbieters, befinden. Das bloße „Ruhenlassen“ der Inhalte auf der „Festplatte im Internet“84 ist daher nicht als laufender Telekommunikationsvorgang zu qualifizieren. 5. Das Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG Im Jahre 1983 wurde vom Bundesverfassungsgericht im Volkszählungsurteil das Recht auf informationelle Selbstbestimmung entwickelt.85 Dabei handelt es sich um einen Ausfluss des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG), das seinen Schutzbereich für solche Bereiche eröffnet, die von den speziellen Freiheitsrechten nicht umfasst, für die Entfaltung der Persönlichkeit aber gleichermaßen bedeutsam sind.86
informieren kann (Wicker, Cloud Computing und staatlicher Strafanspruch, S. 312) ist insoweit nicht überzeugend, als nicht berücksichtigt wird, dass die Kommunikation „per Cloud“ zwingend im ersten Schritt – namentlich beim Upload – einen Telekommunikationsvorgang zwischen Cloud-Nutzer und Cloud-Anbieter voraussetzt (insoweit auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 307) und die weitere Kommunikation systembedingt nicht mehr selbstständig ohne den CloudAnbieter stattfinden kann. 83 Liegt bei der Nutzung von Cloud Collaboration ein laufender Telekommunikationsvorgang vor, ist auch der Dritte vom personellen Schutzbereich des Fernmeldegeheimnisses erfasst. 84 So Bär, MMR 2013, 700 (702). 85 BVerfGE 65, 1 = NJW 1984, 419. 86 BVerfGE 80, 137 = NJW 1989, 2525 (2528); 84, 192 = NJW 1991, 2411; 96, 171 = NZA 1997, 992 (993).
72
2. Kap.: Erarbeitung des rechtlichen Rahmens
Das Recht auf informationelle Selbstbestimmung gewährleistet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.87 Der Einzelne soll die Möglichkeit erhalten, selbst darüber zu entscheiden, welche Informationen über ihn in Umlauf gebracht werden und welches Bild sich dadurch in der Öffentlichkeit von ihm ergibt.88 An die Persönlichkeit der Daten werden keine allzu hohen Anforderungen gestellt. Unter den Bedingungen der automatisierten Datenverarbeitung gibt es nach Auffassung des Bundesverfassungsgerichts kein „belangloses Datum“ mehr.89 Jeder staatliche Eingriff, der Informationen über Bürger zum Gegenstand hat, stellt somit einen Eingriff in den Schutzbereich des Rechts auf informationelle Selbstbestimmung dar.90 Im Rahmen der Verhältnismäßigkeitsprüfung ist daher die Maßnahme mit dem Recht des Betroffenen auf informationelle Selbstbestimmung miteinander abzuwägen. Dabei ist insbesondere der Inhalt der Daten von Bedeutung. Neben Umfang, Verwendungsmöglichkeit und Missbrauchsgefahr richtet sich die Eingriffsschwere auch nach der Art der erhobenen Daten.91 Unter Rückgriff auf die Sphärentheorie sind Daten zu unterscheiden, die der Intim-, der Privat- und der Öffentlichkeitssphäre zuzuordnen sind.92 Intimsphäre ist der Bereich, der für die Außenwelt nicht zugänglich ist. Eingriffe in die Intimsphäre stellen eine Verletzung der Menschenwürde dar und sind grundsätzlich nicht zu rechtfertigen.93 Die Privatsphäre hingegen zeichnet sich durch private, mitunter intimste94 Inhalte aus, die jedoch nicht der Intimsphäre zuzuordnen sind, da der Betroffene sie freiwillig Dritten mitgeteilt95 und dadurch einen Sozialbezug hergestellt hat.96 Eingriffe in die Privatsphäre sind mit den überwiegenden Interessen der Allgemeinheit abzuwägen und können 87 BVerfGE
65, 1 = NJW 1984, 419. 65, 1 = NJW 1984, 419; dazu auch Roßnagel MMR 2003, 693. 89 Vgl. BVerfGE 65, 1 = NJW 1984, 419 (422); in BVerfGE 120, 378 = NJW 2008, 1505 (1506) und 128, 1 = NVwZ 2011, 94 (100) beispielsweise betont das BVerfG, dass es grundsätzlich nur personenbezogene Daten von grundrechtlich zu schützendem Wert gebe. 90 Perschke, Ermittlungsmethoden, S. 60; Schmitz, TDDSG und das Recht auf informationelle Selbstbestimmung, S. 20; Scholz / Pitschas, Informationelle Selbst bestimmung, S. 83; Welsing, Informationelle Selbstbestimmung, S. 46; im Erg. auch BVerfGE 65 1 = NJW 1984, 419 (422). 91 BVerfGE 65, 1= NJW 1984, 419 (421). 92 Vgl. Wölfl, NVwZ 2002, 49 f.; Ähnlich Perschke, Ermittlungsmethoden, S. 106 ff. 93 BVerfGE 27, 1 = NJW 1969, 1707; 32, 373 = NJW 1972, 1123 (1124); 80, 367 (373) = NJW 1990, 563 (565). 94 BVerfGE 6, 389 = NJW 1957, 865 (867). 95 BVerfGE 33, 367 = NJW 1972, 2214 (2215). 96 BVerfGE 35, 202 = GRUR 1973, 541 (544). 88 BVerfGE
A. Verfassungsrechtlicher Rahmen73
im Einzelfall gerechtfertigt sein.97 Die Öffentlichkeitssphäre unterscheidet sich von der Intim- und Privatsphäre insbesondere dadurch, dass sich der Einzelne bewusst der Öffentlichkeit zuwendet, was das Gewicht des Grundrechtsschutzes durch einen zunehmenden Sozialbezug verringert.98 Eingriffe in die Öffentlichkeitssphäre sind daher am ehesten verfassungsrechtlich zu rechtfertigen.99 6. Das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG Im Jahre 2008 hat das Bundesverfassungsgericht im Zusammenhang mit der Online-Durchsuchung eines Computers das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme entwickelt.100 Grund dafür war, dass die Nutzung der Informationstechnik für die Entfaltung der Persönlichkeit eine wesentliche Bedeutung erlangt hat. Informationstechnische Systeme sind nach Auffassung des Gerichts allgegenwärtig und ihre Nutzung ist für viele Bürger von zentraler Bedeutung.101 Das sogenannte IT-Grundrecht102 oder Computer-Grundrecht103 stützt seine dogmatische Herleitung ebenfalls auf Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.104 Nach Auffassung des Bundesverfassungsgerichts soll das Computer-Grundrecht die Schutzlücke schließen, die für Bereiche besteht, die nicht vom Schutzbereich des Fernmeldegeheimnisses,105 der Unverletzlichkeit der Woh nung,106 sowie dem Recht auf informationelle Selbstbestimmung107 umfasst 97 Vgl. BVerfGE 27, 344 = NJW 1970, 555; 34, 238 = NJW 1973, 891 (892); 35, 35 = GRUR 1973, 541 (544). Der Schutz intimster Inhalte der Privatsphäre wird im Rahmen der Verhältnismäßigkeitsprüfung jedoch teilweise wieder mit Kernbereichsaspekten angereichert, vgl. VerfGH Berlin, JR 2010, 339 im Zusammenhang mit Tagebuchaufzeichnungen. 98 Vgl. Rogall, Informationseingriff und Gesetzesvorbehalt im Strafprozeßrecht, S. 32. 99 Ausführlich zu den einzelnen Aspekten der verfassungsmäßigen Rechtfertigung, Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 140 ff. 100 BVerfGE 120, 274 = NJW 2008, 822. 101 BVerfGE 120, 274 = NJW 2008, 822 (824). 102 Schulz, DuD 2012, 395. 103 Kutscha, DuD 2012, 391. 104 BVerfGE 120, 274 = NJW 2008, 822. 105 Zum Fernmeldegeheimnis vgl. bereits Zweites Kap. A.II.4. 106 Zur Unverletzlichkeit der Wohnung vgl. bereits Zweites Kap. A.II.1. 107 Zum Recht auf informationelle Selbstbestimmung vgl. bereits Zweites Kap. A.II.5.
74
2. Kap.: Erarbeitung des rechtlichen Rahmens
sind.108 Einer solchen lückenschließenden Gewährleistung bedarf es insbesondere, um neuartigen Gefährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse kommen kann.109 Der Schutzbereich des Rechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist daher immer dann eröffnet, wenn der Schutz nicht bereits durch andere Grundrechte gewährleistet ist.110 Schutzobjekt des Computer-Grundrechts sind IT-Systeme111 soweit diese konstruktionsbedingt dazu geeignet sind, „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“112, unabhängig davon, auf welche Daten im Einzelfall zugegriffen werden kann oder welche Daten anhand konkreter Umstände zu erwarten sind.113 IT-Systeme, die hingegen konstruktionsbedingt nur Daten mit einem „punktuellen Bezug zu einem bestimmten Lebensbereich des Betroffenen“ enthalten können, fallen (nur) in den Schutzbereich des Rechts auf informationelle Selbstbestimmung.114 Computer, Laptop, Tablet und Smartphone fallen demnach alleine aufgrund ihrer technischen Beschaffenheit in den Schutzbereich des Computergrundrechts.115 Fraglich ist, ob auch der (externe) Speicherplatz der Cloud vom sachlichen Schutzbereich des Computergrundrechts umfasst ist. Bei der Eröffnung des Schutzbereichs des Computergrundrechts ist maßgeblich darauf abzustellen, ob „der Betroffene den Umständen nach davon ausgehen darf, dass er allein oder zusammen mit anderen zur Nutzung berechtigten Personen über das informationstechnische System selbstbestimmt verfügt“.116 Der Einfluss des Cloud-Nutzers auf den externen Speicherplatz ist derart gestaltet, dass er die dort gespeicherten Daten ändern, ergänzen oder löschen und Dritten den Zugriff verweigern kann. Der Cloud-Speicher unterliegt daher 108 BVerfGE 120, 274 = NJW 2008, 822 (825) zur Herleitung auch Lepsius, in: Roggan, Online-Durchsuchungen, S. 22. 109 BVerfGE 120, 274 = NJW 2008, 822 (824) mit Verweis auf BVerfGE 54, 148 = NJW 1980, 2070; 65, 1 = NJW 1984, 419; 118, 168 = NJW 2007, 2464 (2465). 110 BVerfGE 120, 274 = NJW 2008, 822 (827); sowie ausführlich dazu Roßnagel / Schnabel, NJW 2008, 3534. 111 Ausführlich zur Begriffsbestimmung vgl. Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 13 ff. 112 BVerfGE 120, 274 = NJW 2008, 822 (827); Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 150 bezeichnet diese als „potentiell datenintensive IT-Systeme“. 113 Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 149. 114 BVerfGE 120, 274 (313) = NJW 2008, 822 (827). 115 Hinsichtlich PC und Smartphone auch Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 149. 116 BVerfGE 120, 274 = NJW 2008, 822 (827).
B. Strafprozessuale Ermächtigungsgrundlagen75
der Verfügungsgewalt des Cloud-Nutzers, so dass das System als sein eigenes anzusehen ist.117 Der sachliche Schutzbereich des Computergrundrechts umfasst daher auch die Nutzung eigener informationstechnischer Systeme über informationstechnische Systeme, die sich in der Verfügungsgewalt anderer befinden.118 Auch der Cloud-Speicher ist daher vom Schutzbereich des Computergrundrechts umfasst.119 Die Infiltration eines IT-Systems mithilfe einer speziellen Software, die es ermöglicht, auf das System in der Art zuzugreifen, dass Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden und künftig auch überwacht werden können, stellt einen derartigen Eingriff in den Schutzbereich des Computergrundrechts dar.120 Auch wenn derartige Eingriffe nicht generell für unzulässig erklärt werden, bedarf es grundsätzlich einer Ermächtigungsgrundlage, die den verfassungsrechtlichen Anforderungen genügt.121
B. Strafprozessuale Ermächtigungsgrundlagen und ihre Voraussetzungen Die Ermittlungsbefugnisse der StPO wurden in ihrer Entstehungszeit auf „Handfestes“ zugeschnitten. Der Gesetzgeber ging davon aus, dass Wohnungen, Räume und Personen durchsucht, Gegenstände sichergestellt und beschlagnahmt und Papiere durchgesehen werden.122 Schon mit der Entwicklung von Computern geht es den Strafverfolgungsbehörden jedoch in der Regel nicht mehr vorrangig um derart Handfestes. Durchsucht werden seitdem auch Computer und lokale Speichermedien. Seit der Entwicklung des Cloud Computing erstreckt sich das Interesse der Strafverfolgungsbehörden auch auf externe Cloud-Speicher, die vom Ort der Durchsuchung nicht einmal mehr physisch zugänglich sind. Beschlagnahmt werden sollen lokal und extern gespeicherte Daten und Datenspuren.
117 Bedner, Cloud Computing, S. 113; Wicker, Cloud Computing und staatlicher Strafanspruch, S. 300. 118 So auch BVerfGE 120, 274 = NJW 2008, 822 (827) jedoch ohne Bezug zum Cloud Computing. 119 Skistims, Smart Homes, S. 186; Wicker, Cloud Computing und staatlicher Strafanspruch, S. 300. 120 BVerfGE 120, 274 = NJW 2008, 822 (827). 121 Vgl. zu den von Bundesverfassungsgericht aufgestellten Voraussetzungen BVerfGE 120, 274 = NJW 2008, 822 (831) insbesondere im Hinblick auf „unantastbaren Kernbereich privater Lebensgestaltung“. Sowie zur verfassungsrechtlichen Rechtfertigung der Online-Durchsuchung vgl. Zweites Kap. B.I.4. 122 Zerbes / El-Ghanzi, NStZ 2015, 425.
76
2. Kap.: Erarbeitung des rechtlichen Rahmens
Beim Cloud Computing fallen wie oben gezeigt unterschiedlichste Daten an. So können für die Ermittlungsbehörden Inhalts-, Bestands- oder Nutzungsdaten relevant sein.123 Im Mittelpunkt des Interesses stehen jedoch regelmäßig die Inhaltsdaten des Cloud-Nutzers, die auf den Servern des CloudAnbieters gespeichert sind und vom Nutzer von beliebigen Endgeräten aus abgerufen werden können. Für die Strafverfolgungsbehörden geht es daher weniger um den körperlichen Gegenstand – den Cloud Server oder das Endgerät –, als um die Daten, die auf dem körperlichen Gegenstand gespeichert sind oder über diesen zugänglich gemacht werden können. Im Folgenden sollen daher zunächst die in Frage kommenden Ermächtigungsgrundlagen dargestellt und auf ihre Anwendbarkeit auf lokal und extern gespeicherte Daten im Zusammenhang mit dem Cloud Computing untersucht werden. Dabei sollen auch die typischerweise auftretenden Problembereiche Berücksichtigung finden. Die folgenden Ausführungen legen somit den Grundstein, um im dritten Teil der Arbeit eine umfassende Bewertung der einzelnen aufgeworfenen Fallkonstellationen vornehmen zu können.
I. Maßnahmen am Ort des verdächtigen Cloud-Nutzers Wollen die Ermittlungsbehörden beim verdächtigen Cloud-Nutzer auf dessen Daten zugreifen, kommt zunächst als offene Maßnahme eine Durchsuchung gemäß § 102 StPO in Betracht. Im Rahmen der Durchsuchung kann gemäß § 110 Abs. 3 StPO auch auf externe Datenspeicher zugegriffen werden. Haben die Behörden potentielle Beweisgegenstände gefunden, können diese gemäß § 94 StPO sichergestellt werden. Wollen die Behörden aus ermittlungstaktischen Gründen nicht offen, sondern verdeckt operieren, ist eine „Online-Durchsuchung“ gemäß § 100b StPO in Erwägung zu ziehen, bei der die Ermittlungsbehörden heimlich eine Software auf dem Endgerät des Nutzers installieren und so heimlich den Inhalt durchsuchen oder das Verhalten des Nutzers überwachen. 1. § 102 StPO – Durchsuchung beim Verdächtigen Wollen die Strafverfolgungsbehörden die Wohnung und sonstigen Räume des Verdächtigen und die darin befindlichen Endgeräte durchsuchen (Fall 1a124), kommt zunächst eine Durchsuchung gemäß § 102 StPO in Betracht. Die Durchsuchung ist eines der wichtigsten Instrumente der Strafver123 Zu
den verschiedenen Datenkategorien vgl. Erstes Kap. D. den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 124 Zu
B. Strafprozessuale Ermächtigungsgrundlagen77
folgungsbehörden bei der Durchführung eines Ermittlungsverfahrens. In § 102 und § 103 StPO unterscheidet der Gesetzgeber zwischen einer Durchsuchung beim Verdächtigen und bei (nicht verdächtigen) Dritten, wobei die Durchsuchung nach § 103 StPO an strengere Eingriffsvoraussetzungen gebunden und nur in eingeschränkterem Umfang zulässig ist.125 Durchsuchen bedeutet im Allgemeinen „alles sorgfältig untersuchen, durchforschen, um etwas aufzufinden“.126 Nach Auffassung des BVerfG127 ist kennzeichnend für die Durchsuchung „das ziel- und zweckgerichtete Suchen staatlicher Organe nach Personen und Sachen oder zur Ermittlung eines Sachverhalts, um etwas aufzuspüren, was der Inhaber (…) von sich aus nicht offenlegen oder herausgeben will“. Dabei geht der Gesetzgeber – wie die §§ 105 Abs. 2, 106 und 107 StPO indizieren – von einem offenen Vorgehen der Ermittlungsbehörden aus.128 Eine Durchsuchung erfordert stets die physische Anwesenheit der Strafverfolgungsbehörden vor Ort.129 Ein heimliches Ausforschen ist von §§ 102 und § 103 StPO nicht umfasst. a) Zweck der Durchsuchung Gemäß § 102 StPO kann eine Durchsuchung durchgeführt werden, wenn zu vermuten ist, dass die Durchsuchung zur Auffindung von Beweismitteln führen wird. Zweck der Durchsuchung ist somit entweder das Auffinden von Beweismitteln (Ermittlungsdurchsuchung) oder das Auffinden und Ergreifen eines Beschuldigten (Ergreifungsdurchsuchung).130 Beweismittel im Sinne des § 102 StPO können sowohl beschlagnahmefähige Beweismittel sein, als auch Spuren, die selbst nicht beschlagnahmefähig sind und deren Gehalt von den Ermittlungsbehörden nur durch Aktenvermerke, Fotografien oder in sonstiger Weise fixiert werden kann.131
125 Zur
Durchsuchung nach § 103 StPO vgl. Zweites Kap. B.II.1. bereits Grimm, Deutsches Wörterbuch, Band 2, 1860, S. 1699. 127 BVerfGE 51, 97 = NJW 1979, 1539; 75, 318 = NJW 1987, 2500 (2501); 76, 83 = NJW 1987, 2499 im Anschluss an BVerwGE 47, 31 = NJW 1975, 130 (131); 28, 285 = NJW 1968, 563. Auch wenn sich die Definition des BVerfG zunächst nur auf Wohnungen i. S. d. Art. 13 GG bezieht, gilt dies für jede Durchsuchung; so auch Tsambikakis, in: LR-StPO § 102 Rn. 1 auch m. w. N. 128 BGHSt. 51, 211 = NJW 2007, 930; Zöller, GA 2000, 563 (573); Müller / Römer, NStZ 2012, 543 (544). 129 BVerfGE 115, 166 = NJW 2006, 976 (981); Zöller, GA 2000, 563 (573); a. A. Hofmann, NStZ 2005, 121 (123) wonach § 102 StPO als Rechtsgrundlage für eine Online-Durchsuchung herangezogen werden kann. 130 Bruns, in: KK-StPO § 102 Rn. 2. 131 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 348. 126 So
78
2. Kap.: Erarbeitung des rechtlichen Rahmens
b) Verdächtiger Im Gegensatz zu anderen Grundrechtseingriffen ist in § 102 StPO begrifflich vom „Verdächtigten“ statt vom „Beschuldigten“ die Rede. Der Verdächtige kann daher, muss aber noch nicht Beschuldigter sein.132 Erfolgt die Anordnung der Durchsuchung vor der Einleitung eines Ermittlungsverfahrens, muss die Möglichkeit der Durchführung eines Strafverfahrens gegen den Verdächtigen bestehen.133 Für das Vorliegen eines Verdachts sind gewisse tatsächliche Anhaltspunkte für die Begehung einer bestimmten Straftat erforderlich. Es muss also zumindest möglich erscheinen, dass sich der Betroffene nach materiellem Recht strafbar gemacht hat. Aufgrund der Schwere des Eingriffs bei einer Durchsuchung – insbesondere bei einer Wohnungsdurchsuchung – müssen für die Begründung der Verdächtigeneigenschaft im Sinne des § 102 StPO mindestens Tatsachen vorliegen, die unter Vermittlung kriminalistischer Erfahrungswerte mit einer gewissen Wahrscheinlichkeit die strafrechtliche Verurteilung des Betroffenen als möglich erscheinen lassen.134 Bloße Vermutungen und vage Anhaltspunkte genügen nicht, um einen Eingriff zu begründen. Insbesondere darf die Durchsuchung nicht dazu dienen, Tatsachen zu ermitteln, die für die Begründung eines Verdachts erforderlich sind.135 c) Gegenstand der Durchsuchung § 102 StPO gestattet den Ermittlungsbehörden, die Wohnung, andere Räume und Sachen sowie den Verdächtigen selbst zu durchsuchen. Hinsichtlich der Eingriffsvoraussetzungen nimmt der Gesetzgeber keine Differenzierung vor, es ist jedoch zu beachten, dass der Schutzbereich des Art. 13 GG nur Wohnungen umfasst. Unter Wohnung sind die Räumlichkeiten zu verstehen, in denen sich der Verdächtige tatsächlich aufhält oder die er tatsächlich nutzt.136 Der Begriff ist nicht umgangssprachlich eng zu fassen, sondern weit auszulegen und als „räumliche Privatsphäre“137 zu verstehen. Auf eine Bestimmung oder Eignung der Räume zur Übernachtung kommt es dabei nicht an.138 So fallen 132 Bruns,
in: KK-StPO § 102 Rn. 1; Huber, JuS 2013, 408. 20, 162 = NJW 1966, 1603 (1607). 134 Geerds, in: FS-Dünnebier 171 (173 f.). 135 BVerfG, BeckRS 2011, 56457; Bruns, in: KK-StPO § 102 Rn. 1. 136 Bruns, in: KK-StPO § 102 Rn. 8. 137 BVerfGE 32, 54 = NJW 1971, 2299 (2300); BGHSt. 44, 138 = NJW 1998, 3284. 138 Tsambikakis, in: LR-StPO § 102 Rn. 30. 133 BVerfGE
B. Strafprozessuale Ermächtigungsgrundlagen79
darunter auch Arbeits-, Geschäfts- und Büroräume.139 Dabei kommt es weder auf die konkreten Eigentumsverhältnisse noch auf die individuellen Besitzund Nutzungsrechte an. Entscheidend ist alleine die tatsächliche Nutzung durch den Betroffenen.140 Andere Räume unterfallen nicht dem Schutzbereich des Art. 13 GG. Eine Durchsuchung ist jedoch ebenfalls unter den Voraussetzungen des § 102 StPO möglich. Unter anderen Räumen sind Räume zu verstehen, die keinem Grundrechteschutz unterliegen, also keine Privatsphäre begründen.141 Dürfen Räume nach §§ 102 und 103 StPO durchsucht werden, so erstreckt sich die Befugnis zur Durchsuchung gleichermaßen auch auf die sich in den Räumen befindlichen Sachen.142 Trotz der Formulierung „gehören“ kommt es nicht auf die Eigentums-, sondern die tatsächlichen Gewahrsamsverhältnisse an.143 Gewahrsam ist die vom Herrschaftswillen getragene tatsächliche Sachherrschaft.144 Es ist auch nicht entscheidend, wo sich die Gegenstände befinden. Es können auch Gegenstände durchsucht werden, die sich in einiger Entfernung zum Verdächtigen befinden, solange diese erreichbar sind. Auch bei bloßem Mitgewahrsam eines Dritten kann die Durchsuchung auf § 102 StPO gestützt werden. Einzig der Alleingewahrsam eines Anderen würde einer Durchsuchung nach § 102 StPO im Wege stehen, sofern dieser nicht auch Verdächtiger ist.145 Die Gewahrsamsverhältnisse sind für jeden Gegenstand gesondert zu ermitteln. Dabei ist danach zu fragen, wessen Verfügungsgewalt durch die Maßnahmen der Strafverfolgungsbehörden tangiert, beziehungsweise „in wessen Rechte im konkreten Einzelfall eingegriffen wird“146.147
nur Bruns, in: KK-StPO § 102 Rn. 8 f. m. w. N. Handbuch zur EDV-Beweissicherung im Strafverfahren, S. 240 Rn. 350; Tsambikakis, in: LR-StPO § 102 Rn. 38; Geerds, in: FS-Dünnebier 171 (174); Stoffers, wistra 2009, 379 (380); a. A. Nelles, StV 1991, 488 (491) wonach auf das Hausrecht des Inhabers abzustellen sei. 141 Vertieft Tsambikakis, in: LR-StPO § 102 Rn. 33. 142 Tsambikakis, in: LR-StPO § 102 Rn. 28. 143 Geerds, in: FS-Dünnebier 171 (174); BGH, StV 2007, 60. 144 Statt vieler nur BGH, wistra 2007, 28; Schmitt, in: Meyer-Goßner / Schmitt StPO § 102 Rn. 10. 145 Insgesamt dazu Bruns, in: KK-StPO § 102 Rn. 12. 146 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 354. 147 Wicker, MMR 2013, 765 (767). 139 Vgl. 140 Bär,
80
2. Kap.: Erarbeitung des rechtlichen Rahmens
aa) Inbetriebnahme vorgefundener Endgeräte Stoßen die Ermittlungsbehörden bei einer Hausdurchsuchung nun auf Endgeräte des verdächtigen Cloud-Nutzers, stellt sich die Frage, ob diese von den Ermittlungsbehörden in Betrieb genommen werden dürfen, um auf beweisrelevante Informationen hin untersucht zu werden. Die vorgefundenen Endgeräte können von den Ermittlungsbehörden technisch entweder dazu genutzt werden, gespeicherte Daten sichtbar zu machen oder sie können den Ermittlungsbehörden dazu dienen, weitere beweisrelevante Daten zu suchen. Es stellt sich daher die entscheidende rechtliche Frage, ob die Inbetriebnahme und damit die Nutzung der vorgefundenen Geräte noch von der Ermächtigungsgrundlage des § 102 StPO umfasst ist. Beispiele aus anderen Rechtsgebieten zeigen, dass dies nicht grundsätzlich ohne weiteres möglich ist. So wird die Auffassung vertreten, dass bei einer steuerlichen Betriebsprüfung (§§ 193 ff. AO) der Steuerpflichtige zwar verpflichtet sei, ausgedrucktes Buchungsmaterial an den Prüfer herauszugeben. Seine EDV-Anlage müsse er den Beamten für Prüfungszwecke jedoch nicht überlassen.148 In der „Druckbalkenentscheidung“ zu § 809 BGB hat der BGH bezüglich der Vorlegung und Besichtigung von Sachen klargestellt, dass diese nur sinnlich in Augenschein zu nehmen, eine Nutzung oder teilweise Beschädigung jedoch nicht umfasst sei.149 Vergleicht man die Inbetriebnahme der Endgeräte mit dem Öffnen eines Behältnisses, so bleibt der wesentliche Unterschied, dass die im Endgerät enthaltenen Informationen noch in eine andere Darstellungsform überführt werden müssen.150 Die Frage nach der Reichweite der Durchsuchungsbefugnisse lässt sich daher nur durch die Bestimmung der Reichweite des Durchsuchungsbegriffs beurteilen.151 „Durchsuchen“ bedeutet nach dem sprachlichen Begriff, in etwas gründlich suchen, um etwas oder jemanden zu finden.152 Synonym können die Begriffe Durchforschen, Untersuchen, Nachsetzen und Filzen verwendet werden.153 Kennzeichnend ist daher eine über die zivilrechtliche – dazu Birk, in: Dörner / Ehlers, S. 142. 93, 191 = NJW-RR1986, 480 (483). 150 Bezogen auf die Inbetriebnahme von EDV-Anlagen Bär, Handbuch zur EDVBeweissicherung im Strafverfahren, Rn. 362. 151 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 363. 152 Duden, Stichwort „durchsuchen“ http: / / www.duden.de / rechtschreibung / durch suchen_kontrollieren_durchsehen (zuletzt besucht am 20.03.2018). 153 Grimm, Deutsches Wörterbuch, Stichwort „ Durchsuchen“ und „Suchen“ sowie Duden, Stichwort „Durchsuchung“ http: / / www.duden.de / rechtschreibung / Durch suchung und „Suchen“ http: / / www.duden.de / rechtschreibung / suchen (beide zuletzt besucht am 20.03.2018). 148 Vgl.
149 BGHZ
B. Strafprozessuale Ermächtigungsgrundlagen81
rein visuelle – Besichtigung hinausgehende Untersuchung des Objekts.154 Dieser „Untersuchung“ werden inhaltlich nur Grenzen durch die Zweckbestimmung der Durchsuchungshandlung gesetzt. Hinsichtlich der Inbetriebnahme von Endgeräten sind daher zwei Konstellationen zu unterscheiden: Soll mit dem Endgerät nach weiteren beweiserheblichen Informationen gesucht werden, entspricht die Inbetriebnahme dem Zweck der Durchsuchungshandlung. Werden die gesuchten Informationen mit Hilfe des Einsatzes des Endgeräts tatsächlich aufgefunden, so ist der Zweck der Durchsuchungshandlung erreicht und die Durchsuchung beendet. Dient der Einsatz des Endgeräts jedoch lediglich – als rein technisches Hilfsmittel – zum Sichtbarmachen der bereits gefundenen Inhalte, so entspricht dies nicht dem Zweck der Durchsuchung – dem Auffinden von beweiserheblichen Daten – und ist von der Ermächtigungsgrundlage des § 102 StPO nicht mehr umfasst.155 Müssen die Ermittlungsbehörden das vorgefundene Speichermedium erst noch durchsehen, um festzustellen, ob es sich bei den darauf gespeicherten Daten um beweiserhebliche Daten und damit um die gesuchten Gegenstände handelt,156 ist die Inbetriebnahme der vorgefundenen Endgeräte noch von der Ermächtigungsgrundlage des § 102 StPO umfasst, da der Zweck der Durchsuchung noch nicht erreicht ist. Auswertende Tätigkeiten können allgemein nicht mehr auf §§ 102 und 103 StPO gestützt werden und bedürfen immer einer gesonderten Ermächtigungsgrundlage.157 bb) Überwinden der Zugangssicherung Wie in Fall 1c158 geschildert, wird der verdächtige Cloud-Nutzer seine Endgeräte jedoch regelmäßig mit einer Zugangssicherung versehen. Bereits bei der ersten Inbetriebnahme sehen sich die Behörden dann mit dem Problem der Zugangssicherung konfrontiert. Sie werden daher dazu geneigt sein, den verdächtigen Cloud-Nutzer zur Nennung der Zugangsdaten aufzufordern. Dieses Verlangen ist rechtlich jedoch nicht durchsetzbar, da der Verdächtige – gemäß des Grundsatzes nemo tenetur – zu seiner Überführung nichts 154 Dies wird auch durch die Auffassung des BFH bestätigt, wonach das bloße Betreten und Besichtigen von Räumen durch Vollziehungsbeamte noch keine Durchsuchung i. S. d. Art. 13 Abs. 2 GG darstellt. BFHE 154, 435 = NJW 1989, 1183 (1184) unter Verweis auf BVerfGE 32, 54 = NJW 1971, 2299. 155 Vgl. dazu insgesamt bezogen auf die Inbetriebnahme von EDV-Anlagen Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 362. 156 Zur Durchsuchung von gespeicherten Daten als Durchsuchung von Sachen vgl. Kohlmann, Online-Durchsuchungen, S. 55 f. 157 Zu Auswertung der sichergestellten Gegenstände vgl. Zweites Kap. B.I.3.e). 158 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I.
82
2. Kap.: Erarbeitung des rechtlichen Rahmens
beizutragen hat.159 Selbiges gilt auch für den Betroffenen einer Durchsuchung, der das Recht hat, das Zeugnis zu verweigern.160 Eine Verweigerung des verdächtigen Cloud-Nutzers ist für die Ermittlungsbehörden jedoch unbeachtlich, wenn eine anderweitige Möglichkeit besteht, die Zugangssicherung zu überwinden. Technisch besteht die Möglichkeit, die Verschlüsselung mittels Cracking Tools, wie zum Beispiel Keyloggern, zu „knacken“.161 Fraglich ist, ob diese Vorgehensweise noch von § 102 StPO umfasst ist. Die Zugangsdaten haben für sich genommen keinen Beweiswert. Sie sind jedoch der „Schlüssel“, um zu weiteren, beweiserheblichen Daten zu gelangen. Die Zulässigkeit des Einsatzes solcher Cracking Tools hängt davon ab, wie die erlangten Passwörter weiter verwendet werden sollen. Dass Auffinden eines passwortgeschützten Endgeräts lässt sich grundsätzlich mit dem Auffinden eines verschlossenen Behältnisses ohne Schlüssel vergleichen. Unter Zugrundelegung der Zweckbestimmung der Durchsuchungshandlung gelangt man zu dem Ergebnis, dass auch das Öffnen des Behältnisses – zum Beispiel mittels eines gebogenen Drahtes oder eines nachgemachten Schlüssels – von der Ermächtigungsgrundlage des § 102 StPO umfasst ist, da diese Maßnahme dem Auffinden von Beweismitteln dient.162 Darüber hinaus kann sogar das gewaltsame Öffnen, verbunden mit der Zerstörung der Sache verhältnismäßig sein, soweit im Inneren relevante Beweismittel vermutet werden.163 Die Durchsuchung deckt also die vollständige Inaugenscheinnahme der Sache, selbst wenn – und erst recht wenn keine – Schäden an der Sache entstehen. Hierzu zählt auch die Inaugenscheinnahme des Inhalts. Überträgt man dies auf die Inaugenscheinnahme von zugangsgesicherten Endgeräten, ergibt sich konsequenterweise daraus, dass auch die auf dem Endgerät gespeicherten Daten in Augenschein genommen werden können, 159 Worüber
der Beschuldigte auch gemäß § 136 StPO zu belehren ist. NJW 2010, 651 (652). 161 Keylogger gibt es als hard- oder software-basierte Variante. Sie können die Eingaben des Nutzers über das Bedienfeld protokollieren oder rekonstruieren. Software Keylogger sind Programme, die auf dem Endgerät installiert werden. Die Software beginnt jedoch erst mit dem Start des Betriebssystems zu arbeiten. D. h., dass Passwörter, die vor dem Start des Betriebssystems eingegeben werden, auf diese Weise nicht erlangt werden können. In diesem Fall können die Ermittlungsbehörden auf Hardware-Keylogger zurückgreifen. Diese werden direkt am betroffenen Endgerät installiert. Aufgrund der immer kompakter werdenden Endgeräte können sich jedoch auch hier Schwierigkeiten bei der Installation ergeben. Vertieft Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 42 f. 162 Wohlers, in: SK-StPO § 105 Rn. 64 f.; Schmitt, in: Meyer-Goßner / Schmitt StPO § 105 StPO Rn. 13; Zerbes / El-Ghazi, NStZ 2015, 425 (427). 163 Tsambikakis, in: LR-StPO § 105 Rn. 125. 160 Obenhaus,
B. Strafprozessuale Ermächtigungsgrundlagen83
wenn hierunter beweisrelevante Daten vermutet werden. Um an diese Daten zu gelangen, kann die Zugangssicherung mittels Keyloggern überwunden werden. Solange die Verwendung solcher Tools der Zweckbestimmung der Untersuchungshandlung – dem Auffinden von Beweismitteln – dient, ist der Einsatz von der Ermächtigungsgrundlage des § 102 StPO mitumfasst.164 Insbesondere beeinflusst der Einsatz solcher Cracking Tools auch nicht die Offenheit der Maßnahme. Das „Knacken“ der Passwörter stellt sich als Anwendung unmittelbaren Zwangs dar und ändert nichts an der Zulässigkeit der Maßnahme nach § 102 StPO.165 cc) Zwischenergebnis – Durchsuchung „offline“ Die Ermittlungsbehörden können daher gemäß § 102 StPO nicht nur die Wohnung und sonstigen Räume, sondern auch die Endgeräte als körperliche Gegenstände des verdächtigen Cloud-Nutzers durchsuchen. Diese können gemäß § 102 StPO auch nach Überwinden der Zugangssicherung in Betrieb genommen werden, um nach weiteren Informationen des verdächtigen Cloud-Nutzers zu suchen. § 102 StPO ermächtigt die Strafverfolgungsbehörden daher, den lokalen Datenbestand des verdächtigen Cloud-Nutzers zu durchsuchen. Auf „in der Cloud gespeicherte“ Inhalte können die Ermittlungsbehörden in dieser Konstellation jedoch nur zugreifen, wenn sich der Nutzer einer Desktopanwendung („Desktop Cloud“) bedient, die es dem Cloud-Nutzer ermöglicht, durch die automatische oder manuelle Synchronisierung über lokal gespeicherte Ordner direkt und lokal auf die in der Cloud gespeicherten Inhalte zuzugreifen.166 Nehmen die Ermittlungsbehörden im Rahmen einer Durchsuchung ein vorgefundenes Endgerät in Betrieb, können sie auch rechtmäßigerweise auf die Inhalte der Desktop Cloud Zugriff nehmen, da sich diese zum Zeitpunkt der Inbetriebnahme lokal auf dem Endgerät befinden. Wird durch die bloße Inbetriebnahme des Endgeräts167 eine automatisch (vor-)eingestellte Synchronisation in Gang gesetzt, so können die Ermittlungsbehörden auch auf die (neu) synchronisierten Daten zugreifen, sobald diese auf dem Endgerät lokal gespeichert sind. Die Inbetriebnahme eines vorgefundenen Endgeräts ist jedoch strikt von der Vornahme einer manuellen 164 Im Ergebnis auch Tsambikakis, in: LR-StPO § 105 Rn. 125; Schmitt, in: MeyerGoßner / Schmitt StPO § 105 StPO Rn. 13; Obenhaus, NJW 2010, 651 (653). 165 BGH, NJW 1997, 2189 am Beispiel des § 100c Abs. 1 StPO; LG Frankfurt, NJW 2008, 2201; Tsambikakis, in: LR-StPO § 105 Rn. 124. 166 Zur „Desktop Cloud“ vgl. Erstes Kap. F.II. 167 Dies setzt wiederum voraus, dass das Endgerät mit der Inbetriebnahme automatisch mit dem Internet verbunden wird.
84
2. Kap.: Erarbeitung des rechtlichen Rahmens
Synchronisation der Desktop Cloud zu unterscheiden. Eine manuelle Synchronisation stellt keinen „offline“-Zugriff dar und kann daher nicht nach Maßgabe des § 102 StPO erfolgen.168 d) Verhältnismäßigkeit Aufgrund des regelmäßig schwerwiegenden Eingriffs bei Durchsuchungen ist dem Grundsatz der Verhältnismäßigkeit besondere Beachtung zu schenken.169 Sowohl das „Ob“ als auch das „Wie“ der Durchsuchung müssen dem Grundsatz der Verhältnismäßigkeit entsprechen. Unterbleiben schonendere Ermittlungsmaßnahmen oder werden diese ohne sachlichen Grund zurückgestellt, ist dem Grundsatz der Verhältnismäßigkeit bei einer Durchsuchung nicht genüge getan. Dies bedeutet insbesondere, dass dem Verdächtigen die Möglichkeit gegeben werden muss, die Durchsuchung durch die freiwillige Herausgabe der zu suchenden Beweismittel abwenden zu können.170 e) Anordnung der Durchsuchung (§ 105 StPO) aa) Inhalt Soweit der Betroffene die Durchsuchung nicht freiwillig gestattet, bedarf es aufgrund des Eingriffs in Art. 13 Abs. 2 GG einer Durchsuchungsanordnung nach § 105 Abs. 1 StPO.171 Die Anordnung soll im Rahmen des Möglichen und Zumutbaren sicherstellen, dass der mit der Durchsuchung verbundene Grundrechtseingriff überschaubar und kontrolliert bleibt.172 Daher müssen Rahmen, Grenzen und Ziel der Untersuchung definiert werden.173 Neben den Angaben zum Inhalt des Tatvorwurfs und der zu durchsuchenden Räume sind auch die gesuchten Beweismittel – so genau, wie es der aktuelle Stand des Verfahrens ermöglicht – zu bezeichnen.174 Ist eine genaue Bezeichnung nicht möglich, ist es ausreichend, durch beispielhafte Benennung die Gattung festzulegen.175 Ähnlich verhält es sich mit der ge168 Zum
„online“ Zugriff vgl. Zweites Kap. B.I.2 insbesondere B.I.2.d). Tsambikakis, in: LR-StPO § 105 Rn. 59 ff. 170 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 351. 171 Bruns, in: KK-StPO § 102 Rn. 1; BVerfG, NJW 2003, 2669 m. w. N. 172 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, S. 240 Rn. 350. 173 BVerfG, NJW 2009, 2516; BVerfG, NJW 1997, 2165. 174 Bruns, in: KK-StPO § 102 Rn. 4; BVerfG, NJW 1976, 1735; BVerfG, NJW 2004, 1517. 175 Wie beispielsweise „Geschäftskorrespondenz“ oder „Buchhaltungsunterlagen“ Wicker, MMR 2013, 765 (766); BVerfGE 42, 212 = NJW 1976, 1735 (1736); 44, 353 169 Ausführlich
B. Strafprozessuale Ermächtigungsgrundlagen85
nauen Bezeichnung der zu durchsuchenden Räume: Ist die Lage der Räume bei der Anordnung unbekannt, ist es ausreichend, wenn durch beispielhafte Aufzählung zum Ausdruck kommt, dass weitere bestimmbare Bereiche umfasst sind.176 § 110 Abs. 3 StPO erweitert den Ort der Durchsuchung dahingehend, dass auch ein Zugriff auf externe Speichermedien, die sich zwar nicht in den zu durchsuchenden Räumlichkeiten befinden, auf die aber von den zu durchsuchenden Räumlichkeiten aus zugegriffen werden kann, von der Durchsuchungsanordnung umfasst ist.177 Dies ist insbesondere für in der Cloud gespeicherte Daten von Bedeutung, da diese nicht lokal, sondern extern gespeichert sind. bb) Zuständigkeit Die Anordnungskompetenz einer Durchsuchung nach §§ 102–104 StPO liegt grundsätzlich beim Richter. Dieser entscheidet während des Ermittlungsverfahrens der Staatsanwaltschaft nach Aktenlage.178 Würde der Durchsuchungszweck durch die Verzögerung, welche durch die Anrufung eines Richters entsteht, gefährdet werden, liegt also Gefahr im Verzug vor,179 kann die Anordnung der Durchsuchung auch durch die Staatsanwaltschaft oder ihre Ermittlungspersonen erfolgen. f) Beendigung der Durchsuchung Die Durchsuchung ist beendet, wenn das Durchsuchungsziel erreicht wurde oder – aufgrund des erfolglosen Verlaufes – nicht mehr erreicht werden kann.180 Eine Durchsuchungsanordnung berechtigt grundsätzlich nur zu einer einmaligen, einheitlichen Durchsuchung, die in einem Zuge durchgeführt wird.181 Unterbrechungen sind möglich, diese müssen jedoch von den Ermitt= NJW 1977, 1489 (1490); BGH, NStZ 2002, 215. Zur Problematik der Präzisierung der gesuchten Gegenstände bei einer Durchsuchung nach § 103 StPO vgl. Hiéramente, wistra 2016, 432 (433). 176 Hartmann, in: Dölling / Duttge / Rössner, Gesamtes Strafrecht, Teil 2, § 105 Rn. 7. 177 Bär, MMR 2008, 215 (221). 178 Bruns, in: KK-StPO § 102 Rn. 1. 179 BVerfG, NJW 1979, 1539; Grundsatzentscheidung zur Durchsuchung BVerfG, NJW 2001, 1121. 180 Wohlers, in: SK-StPO § 105 Rn. 71; Tsambikakis, in: LR-StPO § 105 Rn. 129. 181 Rengier, NStZ 1981, 372 (377); Schmitt, in: Meyer-Goßner / Schmitt StPO § 105 StPO Rn. 14; Park, Durchsuchung und Beschlagnahme Rn. 142.
86
2. Kap.: Erarbeitung des rechtlichen Rahmens
lungsbehörden ausdrücklich als solche bezeichnet werden.182 Die Anordnung der Durchsuchung bedarf keiner ausdrücklichen Aufhebung.183 Die Beendigung ergibt sich vielmehr durch Mitteilung gegenüber dem Betroffenen oder durch schlüssiges Verhalten der Ermittlungsbehörden.184 Eine erneute Durchsuchung bedarf grundsätzlich einer erneuten Durchsuchungsanordnung. 2. § 110 StPO – Durchsicht von Papieren und elektronischen Speichermedien Haben sich die Ermittlungsbehörden in Fall 1185 Zugang zu dem Endgerät des Nutzers verschafft, können sie unter den Voraussetzungen des § 110 StPO die lokal gespeicherten Datenbestände durchsehen. Die Vorschrift ermächtigt die Staatsanwaltschaft und auf Anordnung deren Ermittlungspersonen zur Durchsicht der Papiere des von der Durchsuchung Betroffenen. Dabei handelt es sich nicht um eine weitere Ermächtigungsgrundlage, sondern um eine Verfahrensvorschrift im Hinblick auf eine Durchsuchung nach §§ 102 f. StPO.186 § 110 StPO erstreckt sich auf alle Papiere des von der Durchsuchung Betroffenen. Wie bei der Durchsuchung sind auch hier nicht die Eigentums-, sondern die Gewahrsamsverhältnisse entscheidend.187 Der Begriff Papiere ist der ratio legis entsprechend weit auszulegen. Er umfasst alles, was wegen seines Gedankeninhalts Bedeutung hat, also nicht nur Schriftstücke jeder Art, sondern alle Gegenstände, die Gedankenerklärungen oder sonstige Informationen verkörpern oder speichern. Spätestens seit der Einführung des § 110 Abs. 3 StPO besteht auch Einigkeit darüber, dass neben Filmen, Bild- und Tonträgern auch EDV-Daten, welche im Arbeitsspeicher des Rechners oder auf Massenspeichern wie externen Festplatten, USB-Speichern und so weiter gespeichert sind, vom Begriff des Papiers im Sinne des § 110 StPO erfasst sind.188 Der Begriff der Papiere ist daher für Daten synonym zu verwenden. 182 Fezer, StV 1989, 290 (292); Rengier, NStZ 1981, 372 (377); Roxin, NStZ 1989, 376 (378) mit Anmerkung zu BGH 1989, 375. 183 Schmitt, in: Meyer-Goßner / Schmitt StPO § 105 StPO Rn. 14; Park, Durchsuchung und Beschlagnahme, Rn. 142. 184 Tsambikakis, in: LR-StPO § 105 Rn. 129; Wohlers, in: SK-StPO § 105 Rn. 71. 185 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 186 Hegmann, in: BeckOK StPO § 110 Vor Rn. 1; a. A. Bär, MMR 2008, 215 (221). 187 Schmitt, in: Meyer-Goßner / Schmitt StPO, § 110 Rn. 1; sowie Zweites Kap. B.I.1.c). 188 BGH, NStZ 2003, 670; LG Köln, NStZ 1995, 54 m. Anm. Klaas; Rengier, NStZ 1981, 372 (376); Bruns, in: KK-StPO § 110 Rn. 2; Schmitt, in: Meyer-Goß-
B. Strafprozessuale Ermächtigungsgrundlagen87
a) Zweck der Durchsicht Unter Durchsicht ist die Kenntnisnahme des Inhalts zu verstehen. Die Strafverfolgungsbehörden sollen so prüfen, ob es sich um das in der Durchsuchungsanordnung genannte Papier handelt oder – falls keine derartige Konkretisierung vorhanden ist – ob das Papier als Beweismittel in Betracht zu ziehen ist189. So sollen die Ermittlungsbehörden sicherstellen, dass lediglich die verfahrensrelevanten und verwertbaren Informationen für weitere Analysen verbleiben,190 und eine übermäßige Datenerhebung vermeiden, um so den Eingriff in das Recht auf informationelle Selbstbestimmung191 beziehungsweise das Fernmeldegeheimnis192 so gering wie möglich zu halten. Für die Durchsicht gelten die allgemeinen Grenzen der Durchsuchung. Die Durchsicht ist unzulässig, wenn auf der Hand liegt, dass hinsichtlich des Papiers ein Beschlagnahmeverbot besteht193 und sie ist zu beenden, sobald sich herausstellt, dass beschlagnahmefähige Beweismittel nicht zu erwarten sind.194 § 110 StPO trägt dem Umstand Rechnung, dass größere Mengen an Papieren nicht in der Zeit durchgesehen werden können, in der zum Beispiel in einer Wohnung nach einer Tatwaffe gesucht werden kann. Die Ermittlungsbehörden sollen jedoch trotzdem die Möglichkeit erhalten, beweisrelevante Gegenstände zu finden.195 Die Durchsicht dient somit der Feststellung, ob die Papiere herauszugeben oder zu beschlagnahmen sind.196 Soweit möglich, soll der Gewahrsamsinhaber während der Durchsicht anwesend sein. Dies wird aus § 106 StPO abgeleitet, wonach der Inhaber bei der Durchsuchung grundsätzlich anwesend sein soll.197 Auch kann die Anwesenheit des Betroffenen die Aussonderung beweisirrelevanter und relevanter ner / Schmitt § 110 Rn. 1; Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 227; Park, Durchsuchung und Beschlagnahme, Rn. 233; Graulich, wistra 2009, 299 (300); zur Entstehungsgeschichte des § 110 Abs. 3 StPO vgl. Zweites Kap. B.I.2.d) aa). 189 Tsambikakis, in: LR-StPO § 110 Rn. 1. 190 BVerfG, NJW 2009, 2431 (2436); BVerfG, NJW 2005, 1917 (1921). 191 BVerfG, NJW 2005, 1917 (1922). 192 BVerfG, NJW 2009, 2431 (2437). 193 In diesem Fall besteht eine Pflicht zur sofortigen und ungelesenen Herausgabe BVerfG, NVwZ-RR 2003, 705. 194 Greven, in: KK-StPO § 97 Rn. 25. 195 Vgl. dazu auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 352 mit Verweis in Fn. 1468. 196 Tsambikakis, in: LR-StPO § 110 Rn. 3. 197 Vertieft zu Historie und Ableitung Wohlers, in: SK-StPO (2010) § 110 Rn. 25.
88
2. Kap.: Erarbeitung des rechtlichen Rahmens
Dateien erheblich beschleunigen.198 Hinzu kommt, dass die gezielte Suche nach Zufallsfunden durch die Anwesenheit des Betroffenen minimiert wird.199 b) Zur Durchsicht befugte Personen Nach § 110 Abs. 1 StPO steht die Befugnis zur Durchsicht von Papieren grundsätzlich der Staatsanwaltschaft zu. Diese kann jedoch auch Ermittlungspersonen mit der Durchsicht beauftragen. Wer Ermittlungspersonen nach § 152 GVG sind, wird von den einzelnen Landesregierungen durch Rechtsvorschrift bestimmt. Regelmäßig sind dies – jedoch nicht alle und nicht nur – Polizeibeamte.200 Die Sachleitung verbleibt jedoch bei der Staatsanwaltschaft.201 Wird die Durchsuchung von nicht zur Durchsicht befugten Personen vorgenommen, dürfen die Papiere nur mit Einwilligung des Inhabers durchgesehen werden (vergleiche § 110 Abs. 2 S. 1 StPO).202 Die Durchsicht hat grundsätzlich persönlich durch die zur Durchsicht berechtigten Personen zu erfolgen. Um das Durchsuchungsziel zu erreichen, können jedoch auch Hilfskräfte mit Spezialkenntnissen hinzugezogen werden.203 Insbesondere bei Durchsuchungen im EDV-Bereich ist dies eine Erleichterung für die Strafverfolgungsbehörden. Der zur Durchsicht Berechtigte muss jedoch sicherstellen, dass der Eingriff in die Privatsphäre des Betroffenen so gering wie möglich bleibt.204 Keinesfalls darf daher den Hilfskräften die Durchsicht eigenverantwortlich überlassen werden.205 Anderen Beamten ist die Durchsicht nur gestattet, wenn der Inhaber dies ausdrücklich genehmigt (§ 110 Abs. 2 S. 1 StPO). Genehmigung im Sinne des § 110 Abs. 2 S. 1 StPO bedeutet vorherige Einwilligung des Gewahrsamsinhabers.206 Liegt keine Genehmigung vor, müssen die Durchsuchungsbeamten nach § 110 Abs. 2 S. 2 StPO verfahren. Sie müssen alle Papiere, 198 Zu
denken ist hier insbesondere an Unternehmen. dazu Szesny, WiJ 4.2012, 228 (232). 200 Vgl. dazu Tsambikakis, in: LR-StPO § 110 Rn. 10. 201 Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 StPO Rn. 3. 202 Tsambikakis, in: LR-StPO § 110 Rn. 10. 203 Rengier, NStZ 1981, 376; Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 StPO Rn. 3; Wohlers, in: SK-StPO (2010) § 110 Rn. 13. 204 Tsambikakis, in: LR-StPO § 110 Rn. 13. 205 Brüning, StV 2008, 100 (103); Schlegel, HRRS 2008, 23 (25); Wehnert, JR 2007, 82; Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 StPO Rn. 3. 206 Tsambikakis, in: LR-StPO § 110 Rn. 14; zur „vorherigen Genehmigung“ OLG Hamm, NStZ 1986, 326 (327) m. Anm. Kiehl, StV 1988, 48; Wohlers, in: SK-StPO (2010) § 110 Rn. 15. 199 Insgesamt
B. Strafprozessuale Ermächtigungsgrundlagen89
deren Durchsicht sie für geboten halten, versiegeln und der Staatsanwaltschaft übergeben. Bei Daten ist eine solche Vorgehensweise nicht immer ohne weiteres möglich. Hier müssen die Beamten jedoch vergleichbare Vorkehrungen treffen. (Mobile) Datenträger können in geeigneten Behältnissen versiegelt werden,207 ansonsten ist eine Kopie der Daten auf einem Speichermedium der Ermittlungsbehörden anzufertigen, welches dann zu siegeln ist.208 Die Aussonderung darf dabei nur nach äußeren Merkmalen erfolgen.209 Auch eine inhaltliche Grobsichtung ist den nicht zur Durchsicht berechtigten Beamten verboten.210 Bei Schriftstücken darf die Kenntnisnahme über das Lesen des Betreffs nicht hinausgehen.211 Überträgt man diese Grundsätze auf Daten, so ist offensichtlich, dass die einzelnen Dateien nicht geöffnet werden dürfen. Es wird jedoch als zulässig erachtet, dass sich die Beamten eine Dateiübersicht anzeigen lassen dürfen.212 Die Anzeige der Dateiübersicht offenbart in der Regel Name, Änderungsdatum, Größe und Art der Datei, da diese Informationen automatisch von dem Speichersystem erhoben werden. Konsequenterweise ist es auch als zulässig zu erachten, Dateien anhand vom Nutzer selbst angelegter (Daten-)Ordner auszusondern.213 Wenn das Anzeigen eines Verzeichnisses grundsätzlich von der Ermächtigungsnorm gedeckt ist, so muss es auch möglich sein, die Sortierung des Verzeichnisses entsprechend der Möglichkeiten variabel zu bestimmen. Fraglich ist jedoch, inwieweit darüber hinaus den nicht zur Durchsicht Berechtigten auch eine Schlagwortsuche gestattet ist.214 Die Schlagwortsuche in Datensätzen ermöglicht eine inhaltliche „Grobsichtung“, ohne die jeweilige Datei zu öffnen und so 207 Schlegel,
HRRS 2008, 23 (27); Gercke, in: HK-StPO § 110 Rn. 21. in: SK-StPO (2010) § 110 Rn. 18. Die Sicherung der beim Inhaber verbleibenden Anlagen mittels eines Passwortes (so Bruns, in: KK-StPO § 110 Rn. 5) wird aufgrund der Manipulationsmöglichkeiten z. T. als nicht ausreichend erachtet, Park, Durchsuchung und Beschlagnahme, Rn. 816. 209 Beispielsweise gekennzeichnet durch den Ort der Aufbewahrung (Schreibtisch, Beschriftung eines Ordners) Tsambikakis, in: LR-StPO § 110 Rn. 15. 210 Herrmann / Soiné, NJW 2011, 2922 (2925); Rengier, NStZ 1981, 376; Welp, JZ 1972, 423 (424); insgesamt dazu OLG Celle, StV 1985, 138 (139) und Schlegel, HRRS 2008, 23 (26). 211 OLG Celle, StV 1985, 138 (139); Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 StPO Rn. 4; Schlegel, HRRS 2008, 23 (26). 212 Schlegel, HRRS 2008, 23 (26 f.); m. w. N. Tsambikakis, in: LR-StPO § 110 Rn. 15; soweit auch Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 229, der den praktischen Nutzen jedoch als nur gering einstuft. 213 Im Erg. auch auch Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 229. 214 Zur Schlagwortsuche bei zur Durchsuchung berechtigten Beamten im Rahmen einer Durchsuchung nach § 103 StPO, vgl. Hiéramente, wistra 2016 432 (435 ff.). 208 Wohlers,
90
2. Kap.: Erarbeitung des rechtlichen Rahmens
den Inhalt tatsächlich zur Kenntnis zu nehmen. In diesem Fall wird die äußerliche Aussonderung automatisch durch inhaltliche Kriterien ergänzt. Durch dieses Vorgehen lässt sich der Umfang der zur Durchsicht mitzunehmenden Dateien deutlich besser begrenzen, so dass die Maßnahme im Ergebnis weniger eingriffsintensiv als die Mitnahme des gesamten Datenbestandes wäre und daher im Ergebnis als zulässig zu erachten ist.215 Um die Mitnahme des gesamten Datenbestandes zu verhindern, beziehungsweise den Umfang so gering wie möglich zu halten, wird dem Betroffenen in der Praxis jedoch meist nichts anderes übrig bleiben, als den Beamten die Durchsicht in einem von ihm bestimmten Umfang zu gestatten.216 c) Mitnahme zur Durchsicht Wollen die Ermittlungsbehörden aufgrund des Umfangs des lokal gespeicherten Datenbestands das Endgerät des Nutzers mitnehmen, um die darauf gespeicherten, nicht zugangsgeschützten Daten durchzusehen (Fall 1b217), gestattet § 110 StPO auch die Mitnahme zur Durchsicht.218 In diesem Fall liegt noch keine Beschlagnahme nach §§ 94 ff. StPO vor. Werden Papiere zur Durchsicht mitgenommen, hat die Durchsicht unverzüglich durch die Staatsanwaltschaft oder zur Durchsicht berechtigte Personen zu erfolgen.219 Die Dauer der Durchsicht richtet sich nach Menge und Komplexität der zur Durchsicht mitgenommenen Papiere sowie dem Grad des Eingriffs in die Grundrechte des Betroffenen und dem zugrunde liegenden Tatvorwurf. Eine starre Grenze wurde von der Rechtsprechung ausdrücklich nicht gesetzt.220 Die sechsmonatige Wirksamkeit von Durchsuchungsbeschlüssen betrifft nur die Zulässigkeit der Durchsuchung als solche – für den Fall, dass mit der Durchsuchung innerhalb von sechs Monaten nicht einmal begonnen wurde – und findet auf die Dauer der Durchsicht keine Anwendung. Im Hinblick auf das in Art. 6 Abs. 1 EMRK enthaltene Beschleunigungsgebot darf die Durchsicht jedoch nicht unzumutbar lange dauern. Die inhaltlichen Grobsichtung auch Bruns, in: KK-StPO § 110 Rn. 7. Durchsuchung und Beschlagnahme, Rn. 813. 217 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 218 Wohlers, in: SK-StPO (2010) § 110 Rn. 16. Synonym für die Mitnahme zur Durchsicht wird häufig die Bezeichnung „vorläufige Sicherstellung“ verwendet, vgl. BGH, NJW 1995, 3397. 219 BGH, NStZ 2003, 670; vgl. statt vieler Schmitt, in: Meyer-Goßner / Schmitt StPO, § 110 Rn. 2. 220 LG Frankfurt, StV 1997, 179 (180); Graulich, wistra 2009, 299 (302); a. A. Lemke, in: HK-StPO § 110 Rn. 4; Ciolek-Krepold, Durchsuchung und Beschlagnahme Rn. 152. 215 Zur
216 Park,
B. Strafprozessuale Ermächtigungsgrundlagen91
Behörden müssen die mitgenommenen Unterlagen zügig nach potentiell beweiserheblichen Informationen durchsehen, um diese sicherzustellen, beziehungsweise die nicht benötigten Daten an den Inhaber wieder herauszugeben.221 Die zumutbare Dauer hängt dabei im Wesentlichen von der Größe des Datensatzes und der Schwierigkeit der Auswertung ab.222 d) Räumlich getrennte Speichermedien Stoßen die Strafverfolgungsbehörden im Rahmen der Durchsuchung beim Verdächtigen Cloud-Nutzer gemäß § 102 StPO auf einen externen CloudSpeicher (Fall 3a223) ist ihnen daran gelegen, die Durchsicht auch auf den externen Cloud-Speicher auszuweiten. § 110 Abs. 3 StPO ermächtigt die Behörden, die Durchsicht auch auf Speichermedien zu auszuweiten, die räumlich von dem durchsuchten Objekt getrennt sind, soweit darauf von einem Endgerät aus auf elektronischem Wege zugegriffen werden kann, welches sich an dem Ort befindet, für den der Durchsuchungsbeschluss gilt und anderenfalls der Verlust der gesuchten Daten zu besorgen ist.224 aa) Entstehungsgeschichte Geschaffen in einer Zeit, in der es noch keine elektronisch gespeicherten Daten gab, enthielt die StPO lange Zeit keine ausdrücklichen Regeln bezüglich der Gewinnung von Daten als Beweismittel. In der Praxis und überwiegenden Teilen der Literatur hat man sich damit beholfen, den Begriff der Papiere im Sinne des § 110 StPO dahingehend auszulegen, dass er alle Gegenstände umfasst, die menschliche Gedankenerklärungen oder sonstige Informationen verkörpern oder speichern.225 Neben der Frage, wie elektronische Daten zu beschlagnahmen seien,226 war auch ungeklärt, ob Papiere im Sinne von § 110 StPO auch die von einem Computer aus zugänglichen 221 Tsambikakis,
in: LR-StPO § 110 Rn. 22 m. w. N. „außerordentlich umfangreicher“ Unterlagen und „der internationalen Bezüge“ des Verfahrensgegenstands hat das LG Frankfurt, NStZ 1997, 564 (565) die 15 monatige Dauer der Durchsicht für „noch als hinnehmbar“ bezeichnet. Zu weiteren Urteilen vgl. Tsambikakis, in: LR-StPO § 110 Rn. 22. 223 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 224 So Schlegel, HRRS 2008, 23 (27 f.). 225 Schlegel, HRRS 2008, 23 (25); zur Begriffsbestimmung vgl. Zweites Kap. B.I.2. 226 Zur Beschlagnahmefähigkeit von Daten vgl. Zweites Kap. B.I.3.b)bb) sowie Zweites Kap. B.I.3.c)bb). 222 Wegen
92
2. Kap.: Erarbeitung des rechtlichen Rahmens
Netzwerkressourcen sein können, die an einem anderen Ort physisch gespeichert sind. Vor der Einfügung des § 110 Abs. 3 StPO war zudem unklar, ob und unter welchen Voraussetzungen ein solches Vorgehen der Ermittlungsbehörden zulässig ist. Teilweise wurde es als zulässig erachtet, wenn die Strafverfolgungsbehörden für die Räume, in denen sich die entsprechenden Server befanden, eine Durchsuchungsanordnung vorlegen konnten.227 Am 31.12.2007 wurde im Bundesgesetzblatt das stark umstrittene228 „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006 / 24 / EG“229 verkündet und konnte damit zum 01.01.2008 in Kraft treten. Mit der Einführung des § 110 Abs. 3 StPO sollten zum einen die bestehenden Unklarheiten bezüglich der Anwendung der Vorschriften zur Durchsicht auf Computernetzwerke gelöst und zum anderen die Vorgaben des Art. 19 Abs. 2 der Cybercrime Convention (Übereinkommen über Computerkriminalität = CCC) umgesetzt werden. Mit der Regelung des § 110 Abs. 3 StPO versucht der Gesetzgeber in Fällen, in denen der von der Durchsuchung Betroffene Daten auf einem räumlich getrennten Speichermedium ausgelagert hat und eine Beschlagnahme nicht oder nur mit „erheblicher zeitlicher Verzögerung“230 möglich ist, einem drohenden Beweismittelverlust vorzubeugen.231 bb) Begriffsbestimmung „räumlich getrenntes Speichermedium“ § 110 Abs. 3 StPO erlaubt den Zugriff von einem Speichermedium auf ein anderes Speichermedium. Der Begriff „Speichermedium“ ist dabei vom Gesetzgeber etwas unglücklich gewählt. Speichermedien wie beispielsweise SD- oder CF-Karten, CDs, DVDs, USB-Speicher oder externe Festplatten haben regelmäßig keine eigene Programmlogik, so dass es technisch nicht möglich ist, von ihnen auf andere Geräte zuzugreifen. Nach Sinn und Zweck des § 110 Abs. 3 StPO kann jedoch sowohl unter dem „Speichermedium“, von dem aus zugegriffen wird, als auch auf das zugegriffen wird, nur ein 227 So zum Beispiel Bär, CR 1995, 227 (228 f.); ders., Der Zugriff auf Computerdaten im Strafverfahren, S. 217 ff.; Matzky, Zugriff auf EDV im Strafprozess, S. 235 f. 228 Starker öffentlicher Kritik sah sich v. a. die geplante Schaffung einer „Vorratsdatenspeicherung“ für Telekommunikationsverbindungsdaten ausgesetzt. Unmittelbar nach Verkündung des Gesetzes wurden mehrere Verfassungsbeschwerden eingelegt. Am 02.03.10 entschied das BVerfG, dass die Vorschriften zur Vorratsdatenspeicherung mit dem Grundgesetz nicht vereinbar sind, BVerfGE 125, 260 = NJW 2010, 833. 229 BGBl. 2007 I S. 3198 ff. 230 BT-Drs. 16 / 5846, S. 63. 231 Brodowski / Eisenmenger, ZD 2014, 119 (120).
B. Strafprozessuale Ermächtigungsgrundlagen93
Computersystem verstanden werden.232 Ein Computersystem ist ein programmierbares System mit Eingabe-, Ausgabe- und Speichermöglichkeit.233 Dem entspricht sowohl die Gesetzesbegründung, in der der Begriff „Computersystem“ ausdrücklich verwendet wird,234 als auch die Verwendung des terminus technicus in der Cybercrime Convention, deren Vorgaben aus Art. 19 Abs. 2 CCC durch § 110 Abs. 3 StPO umgesetzt werden sollten.235 Die Cloud Server des Anbieters sind als „Speichermedium“ im Sinne des § 110 Abs. 3 StPO zu qualifizieren, da sie ein eigenständiges Computersystem darstellen. Der Zugriff kann von einem Speichermedium auf ein anderes, „räumlich getrenntes“ Speichermedium erfolgen. Auch diese Formulierung ist im Lichte des Art. 19 Abs. 2 CCC zu konkretisieren. Art. 19 Abs. 2 CCC spricht von einem „anderen System“. Räumlich getrennte Speichermedien sind daher alle Speichermedien, die nicht physisch mit dem Speichermedium verbunden sind. Das räumlich getrennte Speichermedium muss ein anderes, eigenes System darstellen.236 Externe Festplatten oder andere lokale externe Speichermedien, die direkt mit dem Endgerät verbunden werden, sind von dem Begriff des räumlich getrennten Speichermediums nicht mit umfasst. Daraus würde zunächst folgen, dass der Begriff des „Speichermediums“ jedes räumlich getrennte Computersystem erfasst, so dass neben den klassischen Datenspeicherdiensten auch weitere Speichermedien wie soziale Netzwerke, Internetforen und E-Mail-Dienste erfasst wären.237 Eine derartig weite Auslegung des Begriffs vermag jedoch in mehrerlei Hinsicht nicht zu überzeugen. Zum einen ist zu bedenken, dass § 110 StPO gemäß seiner Verfahrenssicherung und seiner Regelungsstruktur nach allenfalls eine Rechtsgrundlage für Grundrechtseingriffe mittlerer Art darstellt. § 110 Abs. 3 StPO gestatte zwar einen offenen Zugriff auf extern gespeicherte Daten; ein umfassender Zugriff auf gerade stattfindende Kommunikationsvorgänge erfordert jedoch weitreichendere Verfahrenssicherungen, um dem sich aus dem Mehrpersonenverhältnis ergebenden besonderen Gefährdungspotential Rechnung zu tragen.238 Zudem ist der historische Hintergrund des § 110 Abs. 3 StPO zu beachten. Mit der Einführung des § 110 Abs. 3 StPO wollte der Gesetzgeber – nach der Vorgabe des Art. 19 Abs. 2 CCC – die Situationen erfassen, in denen der Nutzer auf extern gespeicherte Daten zugreifen kann dazu Schlegel, HRRS 2008, 23 (27); Braun, PStR 15.03.2012. Erläuternder Bericht, Tz. 23. 234 BT-Drs. 16 / 5846, S. 27. 235 So auch Schlegel, HRRS 2008, 23 (27). 236 Schlegel, HRRS 2008, 23 (27). 237 Vgl. auch im Folgenden dazu Brodowski / Eisenmenger, ZD 2014, 119 (122). 238 Brodowski, JR 2009, 402 (408). 232 Insgesamt 233 Vgl.
94
2. Kap.: Erarbeitung des rechtlichen Rahmens
und diese nicht zwingend lokal auf seinem Endgerät speichern muss. Der Anwendungsbereich des § 110 Abs. 3 StPO ist daher teleologisch so auszulegen, dass nur auf Daten in solchen Diensten zugegriffen werden kann, deren alleiniger oder überwiegender Zweck das Angebot einer externen Datenspeicherung ist.239 Dies ist der Fall, wenn Veranlasser und Anlass der Datenspeicherung auf ein lokales System zurückzuführen sind.240 Klassisches Beispiel hierfür ist das Speichern von Daten in einer Storage Cloud.241 Bei sogenannten Home-Cloud-Modellen242 werden die Daten auf einer (privaten) Netzwerkfestplatte gespeichert, die der Nutzer beispielsweise unter dem heimischen Schreibtisch stehen hat. Über eine entsprechende Software243 kann der Nutzer jedoch „online“ von überall auf die darin gespeicherten Daten zugreifen. Auch, wenn sich die Daten tatsächlich in den Räumlichkeiten des Nutzers befinden, ist solange von einem räumlich getrennten Speichermedium auszugehen, wie auf die Daten nicht unmittelbar – ohne Zwischenschaltung eines räumlich getrennten Computersystems, das heißt „offline“ – vom Endgerät aus zugegriffen werden kann. cc) Arten von Daten Ausgehend vom Wortlaut des § 110 Abs. 3 StPO gibt es keine Einschränkungen, auf welche Daten zugegriffen werden kann. Die Ermittlungsbehörden können daher grundsätzlich auf alle Daten zugreifen, die über das Computersystem zu erreichen sind. § 110 Abs. 3 StPO beinhaltet jedoch keinen Freifahrtschein zum Zugriff auf alle vom Endgerät aus zugänglichen Informationen. Die Durchsicht ist vielmehr auf das erforderliche Maß zu begrenzen. Liegen keine Anhaltspunkte vor, dass die Durchsicht des Computersystems Ergebnisse bringen wird, so hat diese zu unterbleiben.244 Allgemein öffentlich zugängliche Daten fallen nicht unter den Regelungsbereich des § 110 Abs. 3 StPO, denn der Schutzbereich des § 110 StPO umfasst nur Papiere, deren Inhalt (noch) nicht für jedermann zugänglich ist.245 Solche Daten können ungeachtet der Voraussetzungen des § 110 Abs. 3 StPO gesichert werden. auch Brodowski, JR 2009, 402 (408). ZD 2014, 119 (122). 241 Zum technischen Aufbau der Cloud und insbesondere zur Virtualisierung vgl. Erstes Kap. C.III. 242 Beispielsweise My-Cloud (https: / / www.wdc.com / de-de / products / personalcloud-storage / my-cloud.html), angeboten von Western Digital Technologies, Inc. (zuletzt besucht am 20.03.2018). 243 Diese ist auf dem Computersystem des Home Cloud-Anbieters gespeichert. 244 Allgemein dazu bereits Zweites Kap. B.I.2.e). 245 Zum Begriff des Papiers vgl. bereits Zweites Kap. B.I.2. 239 Vgl.
240 Brodowski / Eisenmenger,
B. Strafprozessuale Ermächtigungsgrundlagen95
Im Übrigen ist ein Zugriff auf extern gespeicherte Daten nach § 110 Abs. 3 StPO nur zulässig, wenn anderenfalls der Verlust der gesuchten Daten zu besorgen ist (vergleiche § 110 Abs. 3 S. 1 letzter Halbsatz StPO). Dies ist insbesondere immer dann der Fall, wenn zu befürchten ist, dass die Daten vor der Sicherstellung gelöscht werden.246 dd) Zugriff vom Speichermedium aus § 110 Abs. 3 StPO gestattet den Ermittlungsbehörden den Zugriff auf Daten, die auf einem anderen System gespeichert sind, soweit der Zugriff von dem System des Betroffenen aus möglich ist. Diese wesentliche Einschränkung verlangt, dass das vorgefundene System derartig konfiguriert ist, dass es technisch einen Zugriff auf das externe System gestattet.247 Fraglich ist, was unter dieser Einschränkung im Einzelnen zu verstehen ist. Es ist insbesondere zu klären, ob bereits eine abstrakte technische Zugriffsmöglichkeit ausreichend ist, auch wenn unter Umständen noch weitere Zwischenschritte notwendig sind, oder ob das vorgefundene Endgerät im konkreten Einzelfall so konfiguriert sein muss, dass es ohne weitere Zwischenschritte den Zugriff ermöglicht.248 Relativ unproblematisch sind Fälle, in denen nur unwesentliche, nicht eingreifende Zwischenschritte wie beispielsweise das Anschalten des Endgeräts, die Herstellung der Verbindung mit dem Internet oder das Laden des Akkus vorgenommen werden. Eine Berücksichtigung derartiger Kriterien wäre zum einen inpraktikabel und zum anderen willkürlich und würde zu Ergebnissen führen, die mit dem Sinn und Zweck des § 110 Abs. 3 StPO nicht mehr vereinbar sind.249 Maßgeblich ist daher, dass der Zugriff auf den Cloud-Speicher von dem lokalen Endgerät aus möglich wäre, soweit dieses ordnungs- und bestimmungsgemäß funktioniert.250 Ist der Zugriff auf den Cloud-Speicher ohne dazwischen geschaltete Zugangssicherung möglich, kommt es also überhaupt nicht auf die Eingabe von Benutzernamen oder Passwörtern an, können die Ermittlungsbehörden unge246 BT-Drs. 16 / 6979 S. 65; Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 Rn. 6; Gercke, in: HK-StPO § 110 Rn. 19. 247 Bär, ZIS 2011, 53 (54); Schlegel, HRRS 2008, 23 (28). 248 Brodowski / Eisenmenger, ZD 2014, 119 (122); Zerbes / El-Ghazi, NStZ 2015, 425 (429). 249 Brodowski / Eisenmenger, ZD 2014, 119 (122). 250 Vgl. Brodowski, JR 2009, 402 (408); Park, Durchsuchung und Beschlagnahme, Rn. 788; Wohlers, in: SK-StPO § 110 Rn. 10. Wurde in der Vergangenheit bereits von dem lokalen Speichermedium aus auf das externe Speichermedium über ein Netzwerksystem zugegriffen, so stellt dies ein wichtiges Indiz für die Möglichkeit des Zugriffs dar, Brodowski / Eisenmenger, ZD 2014, 119 (122).
96
2. Kap.: Erarbeitung des rechtlichen Rahmens
hindert zu den in der Cloud gespeicherten Daten vordringen. In diesen Fällen ermöglicht das lokale System ohne Zweifel den Zugriff auf das räumlich getrennte Speichermedium.251 Ähnlich gelagert ist der Fall, in dem der Zugriff auf die extern gespeicherten Daten zwar durch eine Zugangssicherung geschützt ist, diese aber faktisch keine Wirkung entfaltet, da das lokale Speichermedium so konfiguriert ist, dass Benutzername und Passwort bereits vorgespeichert sind und eine erneute Eingabe nicht von Nöten ist. Auch in diesen Fällen können die Ermittlungsbehörden ungehindert zu den in der Cloud gespeicherten Daten vordringen.252 Eine weitere Möglichkeit wäre, dass die Ermittlungsbehörden im Laufe der Durchsuchung die handschriftlich oder sonst wo notierten Zugangsschlüssel zu dem Cloud-Speicher auffinden. Die Eingabe der Zugangserkennung dürfte ebenfalls von § 110 Abs. 3 StPO umfasst sein, da die Behörden lediglich die Informationen aller aus der Durchsicht beim Betroffenen gefundenen Papiere verknüpfen.253 Schlussendlich stellt sich die Frage, ob § 110 Abs. 3 StPO die Ermittlungsbehörden auch dann zum Zugriff auf den in der Cloud gespeicherten Datenbestand berechtigt, wenn der verdächtige Cloud-Nutzer den Datenbestand effektiv durch eine Zugangssicherung geschützt hat und die Zugangssicherung erst durch den Einsatz spezieller Programme „geknackt“ werden muss. In diesen Fällen ist der Zugriff auf das externe System gerade noch nicht möglich und muss erst durch den Einsatz entsprechender Spionagesoftware ermöglicht werden.254 Aus dem Wortlaut des § 110 Abs. 3 StPO lässt sich nicht ableiten, dass der Zugriff der Ermittlungsbehörden von Anfang an hindernisfrei erfolgen muss. Von dem lokalen Speichermedium aus kann auch auf das externe Speichermedium zugegriffen werden, wenn hierfür weitere technische Zwischenschritte erforderlich sind.255 Es ist jedoch die Intention des Gesetzgebers zu beachten, die in § 110 Abs. 3 StPO zum Ausdruck kommt: Die Durchsuchung nach § 102 und § 103 StPO sowie die Sicherstellung beziehungsweise Beschlagnahme nach § 94 ff. StPO sind – unstrei251 Zerbes / El-Ghazi,
NStZ 2015, 425 (429). NStZ 2015, 425 (429); im Ergebnis auch Bär, ZIS 2011, 53 (54); Schlegel, HRRS 2008, 23 (28); Tsambikakis, in: LR-StPO § 110 Rn. 8. 253 Schlegel, HRRS 2008, 23 (28); Bär, ZIS 2011, 53 (54); Zimmermann, JA 2014, 321 (322); Obenhaus, NJW 2010, 651 (653); Zerbes / El-Ghazi, NStZ 2015, 425 (429); im Ergebnis auch Brodowski / Eisenmenger, ZD 2014, 119 (123). 254 Zu Keyloggern vgl. bereits Zweites Kap. B.I.1.c)bb). 255 Zerbes / El-Ghazi, NStZ 2015, 425 (431); soweit auch Brodowski / Eisenmenger, ZD 2014, 119 (123). 252 Zerbes / El-Ghazi,
B. Strafprozessuale Ermächtigungsgrundlagen97
tig256 – offene Maßnahmen. Daher ist auch die Durchsicht nach § 110 StPO an den Grundsatz der Offenheit gebunden. Für den Zugriff auf extern gespeicherte Daten kann daher nichts anderes gelten. Die Bindung an das lokale Medium in § 110 Abs. 3 StPO soll die Offenheit der Maßnahme gegenüber dem von der Durchsuchung Betroffenen gewährleisten.257 Der Betroffene muss grundsätzlich davon ausgehen, dass die Behörden von Endgeräten aus, die sie im Rahmen der (offenen) Durchsuchung auffinden, auf extern gespeicherte Daten zugreifen. Muss der Betroffene darüber hinaus jedoch auch davon ausgehen, dass die Ermittlungsbehörden Keylogger einsetzen, um die Zugangssicherung zu den extern gespeicherten Daten zu überwinden? Oder nimmt das „Knacken“ der Zugangssicherung der Maßnahme den Charakter eines offenen Zugriffs? Wie oben bereits erörtert,258 handelt es sich beim Einsatz sogenannter Keylogger im Rahmen einer Durchsuchung um die Anwendung einer Art unmittelbaren Zwangs. Dies gilt auch entsprechend für § 110 Abs. 3 StPO. Die Vorschrift erlaubt den Ermittlungsbehörden den Zugriff auf externe Speicherplätze soweit dies vom Endgerät des Betroffenen aus möglich ist. Es macht daher keinen Unterschied, ob der Betroffene den Zugang zu den extern gespeicherten Daten mit einer sehr guten, nur laienhaften oder gar keiner Zugangssicherung versieht. Dies spiegelt sich alleine in dem Aufwand wieder, den die Ermittlungsbehörden betreiben müssen, um die Zugangssicherung zu überwinden. Das „Knacken“ der Zugangssicherung stellt sich mithin als Anwendung von unmittelbarem Zwang dar, womit der verdächtige CloudNutzer rechnen muss, und nimmt der Durchsicht nicht den Charakter der Offenheit.259 Zur Wahrung des Grundsatzes der Verhältnismäßigkeit ist der verdächtige Cloud-Nutzer jedoch zunächst aufzufordern, die Zugangssicherung preiszugeben. Dies kann entweder dadurch geschehen, dass er die Zugangsdaten selbst am Endgerät eingibt und den Ermittlungsbehörden sodann den Zugriff auf die in der Cloud gespeicherten Daten ermöglicht. Er kann die Zugangsdaten jedoch auch den Ermittlungsbehörden nennen, so dass diese die Daten selbst am Endgerät eingeben können oder er kann die gespeicherten Daten direkt in Kopie herausgeben.260 Erst wenn der verdächtige CloudNutzer die Preisgabe seiner Zugangsdaten verweigert, dürfen die Ermitt256 Vgl.
nur BGHSt. 51, 21. NStZ 2015, 425 (431); BVerfGE 122, 63 = MMR 2009, 36
257 Zerbes / El-Ghazi,
(37).
258 Zum
Einsatz von Keyloggern vgl. bereits Zweites Kap. B.I.1.c)bb). zu § 110 Abs. 3 StPO vgl. Zerbes / El-Ghazi, NStZ 2015, 425 (431); Obenhaus, NJW 2010, 651 (653). 260 Wohlers, in: SK-StPO § 102 Rn. 33; insoweit auch Obenhaus, NJW 2010, 651 (653). 259 Speziell
98
2. Kap.: Erarbeitung des rechtlichen Rahmens
lungsbehörden die Durchsuchung zwangsweise vornehmen und entsprechende Keylogger einsetzen.261 Die Gewährung von rechtlichem Gehör vor der Anwendung des unmittelbaren Zwangs dient somit nicht nur der Wahrung des Verhältnismäßigkeitsgrundsatzes, sondern stellt auch die Offenheit der Maßnahme sicher. Verweigert der Betroffene nach Aufforderung die Preisgabe der Zugangsdaten, muss er erst recht damit rechnen, dass sich die Behörden zwangsweise den Zugriff auf die in der Cloud gespeicherten Daten verschaffen. Daher darf – ausnahmsweise – auch nur dann auf eine Aufforderung des Betroffenen zur Preisgabe seiner Zugangsdaten verzichtet werden, wenn Grund zur Annahme besteht, dass eine Aufforderung den Erfolg der Maßnahme gefährden würde.262 ee) Kein Zugriff nach Mitnahme zur Durchsicht Anknüpfend an den eben beschriebenen Zugriff auf in der Cloud gespeicherte Daten stellt sich die Frage, ob § 110 Abs. 3 StPO auch bei der Mitnahme zur Durchsicht Anwendung findet (Fall 3b und 3d263). Die Durchsicht ist grundsätzlich zur Durchsuchung akzessorisch. Das bedeutet, dass auch die Durchsicht eines externen Speichers eine punktuelle, und damit auf einen bestimmten Zeitpunkt gerichtete Einzelmaßnahme und keine Dauermaßnahme darstellt. Darüber hinaus handelt es sich sowohl bei der Durchsuchung als auch bei der Durchsicht um offene Maßnahmen. Die Zulässigkeit eines „online“-Zugriffs nach der Mitnahme zur Durchsicht würde dazu führen, dass aus einer offenen Einzelmaßnahme eine verdeckte Dauermaßnahme werden würde, da die Behörden nach Belieben auf den Cloud-Speicher zugreifen und so das Verhalten des Nutzers überwachen könnten. Für einen derartig intensiven Eingriff in die Rechte des Betroffenen hält § 110 Abs. 3 StPO jedoch keine Ermächtigungsgrundlage bereit. Eine heimliche Überwachung ist an die Voraussetzungen der §§ 100a, 100b n. F. StPO gebunden, deren deutlich strengere Hürden auch nicht umgangen werden dürfen.264 Auch der Wortlaut des § 110 Abs. 3 StPO steht einer solchen Vorgehensweise der Ermittlungsbehörden entgegen. Zum einen gestattet § 110 Abs. 3 StPO die Erstreckung der Durchsicht auch auf räumlich getrennte Speichermedien
261 Vgl. insgesamt Zerbes / El-Ghazi, NStZ 2015, 425 (431). Ebenso verhält es sich, wenn der Betroffene mit einem Password Manager (Kennwortverwaltungsprogramm) arbeitet, mit dessen Hilfe er sichere Kennwörter erzeugen, speichern und verwalten kann. 262 Zerbes / El-Ghazi, NStZ 2015, 425 (431). 263 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 264 Vgl. insoweit Brodowski / Eisenmenger, ZD 2014, 119 (125).
B. Strafprozessuale Ermächtigungsgrundlagen99
nur „bei dem von der Durchsuchung Betroffenen“.265 Daraus lässt sich ableiten, dass der Zugriff auf den externen Cloud-Speicher nur vom Ort der Durchsuchung aus erfolgen kann.266 Ist die Durchsicht des Cloud-Speichers vor Ort nicht möglich oder würde sie eine unverhältnismäßig lange Zeit in Anspruch nehmen, können die Ermittlungsbehörden eine Kopie der extern gespeicherten Daten anfertigen und diese zur Durchsicht mitnehmen. Die Durchsicht kann dann auf Grundlage der Kopie auch in den Räumen der Ermittlungsbehörden durchgeführt werden. Durch diese Einschränkung wird sichergestellt, dass der Zugriff der Strafverfolgungsbehörden auf den externen Datenbestand nur einmalig und punktuell erfolgt. Auch ist für den verdächtigen Cloud-Nutzer offensichtlich, zu welchem Zeitpunkt und zu welchem Stand die Daten abgefragt werden. Zum anderen ist ein Zugriff auf extern gespeicherte Daten nur möglich, wenn „anderenfalls der Verlust der gesuchten Daten zu besorgen ist“. Voraussetzung ist also, dass die konkrete Gefahr besteht, dass der verdächtige Cloud-Nutzer die Daten löscht oder auf andere Weise dem Zugriff der Ermittlungsbehörden entzieht, was freilich sehr häufig der Fall sein dürfte. Bei einer wiederholten Abfrage der in der Cloud gespeicherten Daten geht es den Behörden jedoch in erster Linie darum, die Veränderung des extern gespeicherten Datenbestands zu verfolgen. Eine konkrete Gefahr des Verlusts des externen Datenbestands ist dann gerade nicht gegeben.267 ff) Zwischenergebnis – Zugriff „online“ Zusammenfassend kann daher festgehalten werden: § 110 Abs. 3 StPO ermächtigt die Strafverfolgungsbehörden nur zu einem einmaligen Zugriff auf den in der Cloud gespeicherten Datenbestand vom Ort der Durchsuchung und von dem Endgerät des verdächtigen Nutzers aus. Ist die Durchsicht an Ort und Stelle nicht möglich, können die Daten – durch Anfertigen einer Kopie – zur Durchsicht mitgenommen werden. Mit der Beschlagnahme des Endgeräts und dem Abschluss der Durchsuchung268 endet die Möglichkeit des Zugriffs auf die in der Cloud gespeicherten Daten. Von nun an dürfen die Behörden nur noch auf die auf dem Endgerät gespeicherten Daten zugrei-
265 A. A. Zerbes / El-Ghazi, NStZ 2015, 425 (432) im Hinblick auf das mehrmalige Abfragen. 266 A. A. Brodowski / Eisenmenger, ZD 2014, 119 (124), wonach der Zugriff auf den externen Speicher „auch im Kontext einer räumlich und zeitlich getrennten digital-forensischen Auswertung“ möglich sei. Dem ist jedoch mit den genannten Argumenten entschieden entgegen zu treten. 267 Vgl. auch Zerbes / El-Ghazi, NStZ 2015, 425 (432). 268 Zur Beendigung der Durchsuchung vgl. Zweites Kap. B.I.1.f).
100
2. Kap.: Erarbeitung des rechtlichen Rahmens
fen.269 Ein Zugriff auf den Cloud-Speicher des verdächtigen Nutzers von einem Endgerät der Behörden aus ist per se – weder einmalig noch wiederholt – nicht möglich. gg) Zwischenergebnis – „Online-Durchsuchung light“ Auch wenn der Zugriff auf die in der Cloud gespeicherten Daten – selbst unter Überwindung der Zugangssicherung mittels spezieller Keylogger – als eine offene Maßnahme gegenüber dem Inhaber des Endgeräts (vorliegend der verdächtige Cloud-Nutzer) zu qualifizieren ist,270 so ist die Bezeichnung als „Online-Durchsuchung light“271 dennoch treffend, denn gegenüber dem Inhaber des externen Speichermediums (vorliegend der nicht verdächtige Cloud-Anbieter) erfolgt der Zugriff typischerweise verdeckt. Da sich die Durchsuchung nicht gegen ihn richtet, wird er vorerst auch nicht über den Vorgang in Kenntnis gesetzt. Dessen war sich der Gesetzgeber im Gesetzgebungsverfahren durchaus bewusst. In den Materialien zu § 110 Abs. 3 StPO wird ausgeführt: „Als eine (…) heimliche Maßnahme könnte sich die OnlineDurchsuchung aber gegenüber demjenigen darstellen, in dessen Gewahrsam die online zugänglichen Daten gespeichert sind. Dies wird etwa bei sogenannten Telearbeitsplätzen der Fall sein, wenn der Arbeitgeber dem Arbeitnehmer gestattet, von zu Hause aus auf im Betrieb gespeicherte Daten online zuzugreifen“.272 In der ursprünglichen Fassung des § 110 Abs. 3 StPO musste der von der Durchsuchung Betroffene daher zusätzlich dazu berechtigt sein, Dritten den Zugriff auf die extern gespeicherten Daten zu gestatten. Dies sollte „etwa der Fall sein, wenn der Betroffene von einem entsprechenden Anbieter online zugänglichen Speicherplatz gemietet hat. In solchen Fällen steht es dem Betroffenen regelmäßig frei, auch dritten Personen den Zugang zu den virtuell gespeicherten Daten zu ermöglichen“.273 Die Einschränkung, dass der von der Durchsuchung unmittelbar Betroffene „frei darüber befinden kann, ob er auch dritten Personen den Zugang zu den andernorts gespeicherten Daten ermöglichen will“,274 hätte zwar nichts an der Heimlichkeit der Maßnahme gegenüber dem Inhaber des externen Speichermediums geändert, hätte jedoch gewährleistet, dass seine Rechte überhaupt nicht tangiert 269 Zur
Auswertung der sichergestellten Gegenstände vgl. Zweites Kap. B.I.3.e). Zugriff gemäß § 110 Abs. 3 StPO nach dem Überwinden der Zugangssicherung vgl. Zweites Kap. B.I.2.d)dd). 271 So Schlegel, HRRS 2008, 23; Michalke, StraFo 2014, 89 (91) bezeichnet die Durchsicht nach § 110 Abs. 3 StPO als „kleine Onlinedurchsuchung“. 272 BT-Drs. 16 / 5846, S. 64. 273 BT-Drs. 16 / 5846, S. 64. 274 BT-Drs. 16 / 5846, S. 64. 270 Zum
B. Strafprozessuale Ermächtigungsgrundlagen101
sind, solange er mit der Nutzung der Daten durch Dritte generell einverstanden ist.275 Aufgrund der „praktisch kaum verlässlich abzuklärenden Absprachen“276 hat der Gesetzgeber schlussendlich davon Abstand genommen, die Zulässigkeit der Ausweitung der Durchsicht auf extern gespeicherte Daten von einer derartigen Berechtigung abhängig zu machen.277 Stattdessen verweist nun § 110 Abs. 2 S. 2 Halbsatz 2 StPO auf § 98 Abs. 2 StPO. Damit bedarf auch die digitale Beschlagnahme einer gerichtlichen Bestätigung. Im Rahmen der Erteilung hat das zuständige Gericht dem (Mit-)Betroffenen rechtliches Gehör zu gewähren (§ 33 Abs. 2 und Abs. 3 StPO) und ihn über seine Rechte zu belehren (§ 98 Abs. 2 S. 6 StPO). Dadurch wird gewährleistet, dass zumindest für den Fall, dass Daten bei der Durchsicht gesichert werden,278 auch der Cloud-Anbieter als Inhaber des Speichermediums (nachträglich) Kenntnis von der Maßnahme erlangt und die Gelegenheit zur Wahrung seiner Interessen erhält.279 e) Verhältnismäßigkeit Auch die Durchsicht nach § 110 StPO ist am Grundsatz der Verhältnismäßigkeit zu messen. Der mit der Durchsicht einhergehende Eingriff muss in einem angemessenen Verhältnis zu der Schwere der Straftat und der Stärke des Tatverdachts stehen. So ist zunächst zu prüfen, ob die Dauer der Durchsicht vor Ort in einem angemessenen zeitlichen Rahmen erfolgen kann oder 275 Übertragen in die Welt der Gegenstände wäre der Fall vergleichbar mit einem Hauseigentümer, der seine Wohnung an einen Dritten vermietet. Wird diese Wohnung durchsucht, wird nur das Hausrecht des Mieters beeinträchtigt. Die Rechte des Hauseigentümers bleiben unberührt. Anders gelagert ist der Fall, indem das Büro eines Arbeitnehmers durchsucht wird, welches sich im Geschäftsgebäude des Arbeitgebers befindet. Hier liegt zwar (auch) eine Nutzungsbeeinträchtigung für den Arbeitnehmer vor, es ist jedoch insbesondere das Hausrecht des Arbeitgebers betroffen, so dass der Eingriff ihm gegenüber legitimationsbedürftig ist. Vgl. dazu Zerbes / El-Ghazi, NStZ 2015, 425 (430). 276 BT-Drs. 16 / 6979, S. 45. 277 Nach Obenhaus, NJW 2010, 651 (653) ist dies weiterhin das maßgebliche Abgrenzungskriterium für die Beurteilung der Offenheit des Zugriffs. 278 Die Systematik des Verweises in § 110 Abs. 3 S. 2 StPO macht deutlich, dass dies nur für den Fall gilt, bei dem Daten nach der Durchsicht sichergestellt werden. So Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 Rn. 11; a. A. Tsambikakis, in: SKStPO § 110 Rn. 30. 279 So BT-Drs. 16 / 6979, S. 45 und BVerfGE 122, 63 = MMR 2009, 36 (37 f.) das – obwohl es zur Verfassungskonformität des § 110 Abs. 3 StPO explizit noch kein Urteil gesprochen – bereits durchklingen gelassen hat, dass es keine verfassungsrechtlichen Bedenken im Hinblick auf den von der Durchsicht mitbetroffenen Inhaber des externen Speichermediums hat.
102
2. Kap.: Erarbeitung des rechtlichen Rahmens
eine Mitnahme der Papiere zur Durchsicht geboten ist. Dabei ist zu beachten, dass sich die Durchsicht durchaus zeit- und personalintensiv gestalten kann (und muss). Als milderes Mittel kommt dabei nur selten die Mitnahme des (gesamten) Endgeräts oder die Anfertigung eines Images280 in Betracht, da bei der Mitnahme solcher beträchtlichen Datenmengen die Wahrscheinlichkeit erheblich ansteigt, dass auch solche Daten umfasst sind, die für das Verfahren nicht von Bedeutung sind, weil sie entweder keine potentielle Beweisbedeutung besitzen oder sogar einem Beschlagnahmeverbot unterliegen.281 Die Gefahr, dass auch solche Daten zur Durchsicht mitgenommen werden, liegt zwar grundsätzlich in der Natur der Sache, wird aber dadurch kompensiert, dass die vorläufige Sicherstellung nur einen vorübergehenden Zustand bezeichnet. Dennoch lässt sich die Mitnahme des gesamten Datenbestands nicht dadurch begründen, dass der sich auf dem Datenträger befindliche Datenbestand in seiner Gesamtheit als Beweismittel in Betracht kommt.282 Bereits vor der vorläufigen Sicherstellung ist zu prüfen, welche Daten als potentielle Beweismittel offensichtlich ausscheiden, bereits an Ort und Stelle durchgesehen werden können oder zur Durchsicht mitgenommen werden müssen.283 Hinsichtlich lokal gespeicherter Daten wird es daher regelmäßig ausreichend sein, eine Kopie des zur Durchsicht mitzunehmenden Datenbestandteils anzufertigen und die Durchsicht hierauf zu beschränken.284 Dies gilt auch, wenn auf der Hardware noch gelöschte, aber wiederherstellbare Dateien vermutet werden und dadurch die Möglichkeit der Wiederherstellung von Dateien verloren geht.285 Der Grundsatz der Verhältnismäßigkeit ist insbesondere auch beim Überwinden der Zugangssicherung mittels spezieller Keylogger zu beachten. Zur Wahrung des Grundsatzes der Verhältnismäßigkeit ist der Betroffene zunächst aufzufordern, die Daten der Zugangssicherung herauszugeben. Erst wenn der 280 Unter einem Image ist die Abbildung eines (gesamten) Datenspeichers oder Datenträgers zu verstehen, die im Gegensatz zur einfachen Datensicherung auch Rohdaten erfasst. So können auch versteckte oder gelöschte Dateien rekonstruiert und gelesen werden. 281 Szesny, WiJ 4.2012, 228 (229) berichtet von einer Tendenz der Strafverfolgungsbehörden in der Praxis meist das gesamte Speichermedium (Endgerät) zur Durchsicht mitzunehmen, beziehungsweise eine Komplettsicherung (Image) anzufertigen, um später in aller Ruhe die Durchsicht vornehmen zu können und um bloß nichts Verfahrensrelevantes „liegen zu lassen“. 282 Dies folgt daraus, dass sich der Beweiswert einzelner Daten häufig aus dem Kontext ergibt, vgl. LG Köln, NStZ 1995, 54. 283 Szesny, WiJ 4.2012, 228 (231) weißt in diesem Zusammenhang noch darauf hin, dass bei der Mitnahme des gesamten Datenbestands der unzulässigen zielgerichteten Suche nach Zufallsfunden sonst Tür und Tor geöffnet werden würde. 284 Wohlers, in: SK-StPO § 110 Rn. 16; Tsambikakis, in: KK-StPO § 110 Rn. 23. 285 LG Limburg, StraFo 2006, 198.
B. Strafprozessuale Ermächtigungsgrundlagen103
Betroffene die Preisgabe seiner Zugangsdaten verweigert, dürfen die Ermittlungsbehörden die Durchsuchung zwangsweise vornehmen und entsprechende Keylogger einsetzen.286 Insgesamt müssen Anordnung und Durchführung der Maßnahme erkennen lassen, dass dem Grundsatz der Verhältnismäßigkeit im konkreten Einzelfall Rechnung getragen wurde.287 f) Beendigung der Durchsicht Die Durchsicht ist mit der Entscheidung der Staatsanwaltschaft, welche Papiere beweiserheblich sind, beendet.288 Die als nicht verfahrenserheblich erachteten Papiere sind anschließend unverzüglich an den Inhaber zurück-, beziehungsweise freizugeben.289 Eine physische Rückgabe kommt jedoch nur dann in Betracht, wenn der originale Datenträger zur Durchsicht mitgenommen wurde und ausschließlich verfahrensunerhebliche Daten enthält. Sind neben verfahrensrelevanten auch verfahrensirrelevante Daten enthalten, können die Behörden eine Kopie anfertigen, auf der die aussonderbaren und ausgesonderten Daten endgültig gelöscht werden und nur die verfahrensrelevanten Daten verbleiben.290 Haben die Behörden im Rahmen der Mitnahme zur Durchsicht eine Kopie der Daten angefertigt, scheidet eine Rückgabe an den Inhaber der Daten aus, da dieser nach wie vor im Besitz der Ausgangsdaten ist. Neben der Zurückerlangung des Gewahrsams hat die Rückgabe jedoch auch den Zweck, den Gewahrsam der Strafverfolgungsbehörden zu beenden. Denn mit der Durchsicht endet auch die Rechtfertigung des Eingriffs in das Recht auf informa tionelle Selbstbestimmung, hervorgerufen durch den Zugriff der Behörden auf nicht verfahrensrelevante Papiere. Zur Durchsicht kopierte und mitgenommene Daten müssen daher vernichtet werden, sobald ihre Verfahrens unerheblichkeit festgestellt ist.291 Um dies zu gewährleisten, müssen bei der Mitnahme zur Durchsicht Programme zur Anwendung kommen, die es ermöglichen, dass verfahrensunerhebliche Teile jederzeit gelöscht werden können.292 Ist das Löschen einzelner 286 Vgl.
dazu bereits Zweites Kap. B.I.2.d)dd). Durchsuchung und Beschlagnahme, Rn. 822. 288 BGH, NJW 1995, 3997. 289 Vgl. Bruns, in: KK-StPO § 110 Rn. 4. 290 Szesny, WiJ 2012.4, 228 (233). 291 Szesny, WiJ 2012.4, 228 (233). 292 Probleme ergeben sich regelmäßig bei der Verwendung von Containerprogrammen, wenn also der gesamte Datenbestand in einer einzigen „Containerdatei“ abgespeichert wird. 287 Park,
104
2. Kap.: Erarbeitung des rechtlichen Rahmens
Datensätze aufgrund der Programmwahl technisch nicht möglich, bleibt nur die Möglichkeit, die verfahrensrelavanten Daten auf einen gesonderten Datenträger zu kopieren oder auszudrucken und in dieser Form zu den Asservaten zu nehmen, denn die Verwahrung verfahrensirrelevanter Daten stellt einen rechtswidrigen Eingriff in das Recht auf informationelle Selbstbestimmung des Dateninhabers beziehungsweise der Personen dar, deren Daten sich im „überschießenden“ Datenbestand befinden.293 g) Auswirkungen der Durchsicht auf den Zeitpunkt der Beendigung der Durchsuchung Nach nahezu einhelliger Auffassung in Rechtsprechung und Literatur ist die Durchsuchung erst beendet, wenn die Durchsicht abgeschlossen ist.294 In konsequenter Anwendung würde dies bedeuten, dass die Durchsuchung der Räume fortgesetzt werden kann, solange die Durchsicht der zur Durchsicht mitgenommenen Papiere andauert. Die Durchsuchung ist jedoch beendet, sobald sich die Ermittlungsbeamten vom Durchsuchungsobjekt entfernen und nicht ausdrücklich darauf hingewiesen wird, dass es sich nur um eine Unterbrechung handelt.295 Dies gilt auch bei der Durchsicht von Papieren.296 Insbesondere ist es nicht zulässig, Unterlagen zur Durchsicht mitzunehmen und einige Zeit später die Räume unter Hinweis auf die wegen der Durchsicht noch nicht abgeschlossene Durchsuchung erneut zu durchsuchen. Ist die Durchsuchung erst einmal beendet, bedarf es zur Fortsetzung einer erneuten Durchsuchungsanordnung. Dies gilt auch, wenn sich bei der Durchsicht Anhaltspunkte dafür ergeben, dass sich noch weitere Beweismittel in den durchsuchten Räumlichkeiten befinden.297 Uneingeschränkt ist dieser Auffassung daher nur für den Fall zuzustimmen, dass die Durchsicht noch am Ort der Durchsuchung erfolgt.298 In dieser Konstellation dauert die Durchsuchung tatsächlich bis zum Ende der Durchsicht an. Für den Fall, dass eine Mitnahme zur Durchsicht erfolgt, ist diese Auffassung zunächst vor dem Hintergrund der bisherigen Rechtsprechung zu den Rechtsschutzmöglichkeiten gegen die Anordnung der Durchsuchung zu betrachten. Die Betroffenen haben häufig das Bedürfnis, sich auch während dazu vgl. Szesny, WiJ 2012.4, 228 (234). NJW 2002, 1410; BGH, NJW 1973, 2035; Bruns, in: KK-StPO § 105 Rn. 20; Schmitt, in: Meyer-Goßner / Schmitt § 110 Rn. 10; Tsambikakis, in: LR-StPO § 110 Rn. 28; Wohlers, in: SK-StPO § 110 Rn. 28. 295 Zur Beendigung der Durchsuchung vgl. Zweites Kap. B.I.1.f). 296 Roxin, NStZ 1989, 376 (377); Rengier, NStZ 1981, 372 (377). 297 Park, Durchsuchung und Beschlagnahme, Rn. 257. 298 Ebenso Park, Durchsuchung und Beschlagnahme, Rn. 259. 293 Insgesamt 294 BVerfG,
B. Strafprozessuale Ermächtigungsgrundlagen105
der Durchsicht gegen die Anordnung der Durchsuchung zur Wehr zu setzen. Eine Beschwerde gegen die Durchsuchung – der neben § 23 EGGVG einzige Rechtsbehelf299 – war in der Vergangenheit jedoch nur möglich, solange die Durchsuchung noch nicht abgeschlossen war, da sonst wegen „prozessualer Überholung“ das Rechtsschutzbedürfnis fehlte.300 Um dem Betroffenen im Rahmen der Durchsicht die Möglichkeit zu geben, sich gegen die Anordnung der Durchsuchung zu wenden, musste die Durchsuchung auf die Dauer der Durchsicht ausgedehnt werden.301 Seit einer Entscheidung des Bundesverfassungsgerichts aus dem Jahre 1997,302 der auch die ordentlichen Gerichte gefolgt sind,303 sind nunmehr auch Beschwerden gegen bereits abgeschlossene Durchsuchungen zulässig.304 Der oben genannten Auffassung ist daher auch vor dem Hintergrund der Rechtsschutzmöglichkeiten in dieser generellen Form nicht (mehr) zuzustimmen. Der Zeitpunkt der Beendigung der Durchsuchung muss nicht mehr – fiktiv – so lange hinausgezögert werden, bis die Durchsicht beendet ist. Er ist vielmehr unabhängig von dem Zeitpunkt der Beendigung der Durchsicht zu bestimmen und anhand tatsächlicher Kriterien zu beurteilen.305 3. § 94 StPO – Sicherstellung und Beschlagnahme Ist die Durchsuchung in den Räumen des verdächtigen Cloud-Nutzers erfolgreich verlaufen, haben die Strafverfolgungsbehörden also Beweismittel gefunden, finden die Maßnahmen der §§ 94 ff. StPO statt. Die Vorschriften der §§ 94 bis 98 StPO beziehen sich auf die Sicherstellung von Beweismitteln und dienen der Beweisbeschaffung und der Beweissicherung zum Zwecke der ordentlichen Durchführung eines Strafverfahrens.306 Die vollstreckungssichernde Beschlagnahme aller anderen Einziehungsgegenstände und 299 Ein Antrag nach § 23 EGGVG war nur zulässig, wenn die Art und Weise der Durchführung der Durchsuchung beanstandet wurde und ein besonderes Rechtsschutzbedürfnis bestand. BGHSt. 28, 206 = NJW 1979, 882 m. w. N. 300 BVerfGE 49, 329 = NJW 1979, 154; BGHSt. 28, 57 = NJW 1978, 1815; 28, 206 = NJW 1979, 882. 301 Vgl. dazu vertieft Park, Durchsuchung und Beschlagnahme, Rn. 258, insb. Fn. 690. 302 BVerfGE 96, 27 = NJW 1997, 2163. 303 Vgl. etwa BGHSt. 44, 265 = NJW 1999, 730; 45, 183 = JuS 2000, 196. 304 BVerfG, NJW 2005, 1637 (zur Beschlagnahme eines Mobiltelefons); dazu Weyand, StV 2005, 520. 305 Im Ergebnis auch Park, Durchsuchung und Beschlagnahme, Rn. 258 f. 306 Menges, in: LR-StPO § 94 Rn. 1.
106
2. Kap.: Erarbeitung des rechtlichen Rahmens
der Gegenstände, die dem Verfall nach §§ 73 ff. StGB unterliegen, ist in §§ 111b ff. StPO geregelt. a) Begriff Unter dem Oberbegriff Sicherstellung ist die Herstellung staatlicher Gewalt über einen Gegenstand zu verstehen, der als Beweismittel in Betracht kommt.307 Er umfasst zwei Arten der staatlichen Inbesitznahme: die formlose Sicherstellung (§ 94 Abs. 1 StPO) und die förmliche Beschlagnahme (§ 94 Abs. 2 StPO).308 Soweit der Wortlaut zwischen Sicherstellung und Beschlagnahme unterscheidet,309 ist unter „Sicherstellung“ die formlose Sicherstellung nach § 94 Abs. 1 StPO zu verstehen. Diese erfolgt bei gewahrsamslosen Sachen oder wenn der Gewahrsamsinhaber die Sache freiwillig herausgibt.310 Freiwillig handelt, wer sich bewusst ist, dass er die Sachen an die Strafverfolgungsbehörden ausliefert und dazu bereit ist.311 Die freiwillige Herausgabe erfolgt in der Regel, um eine Durchsuchung312, eine Beschlagnahme oder ein förmliches Verfahren nach § 95 Abs. 2 StPO zu verhindern oder um einem Herausgabeverlangen der Strafverfolgungsbehörden nach § 95 Abs. 1 StPO zu entsprechen.313 Von der formlosen Sicherstellung streng zu unterscheiden ist die – häufig als „vorläufige Sicherstellung“314 bezeichnete – Mitnahme von Papieren zur Durchsicht. Diese findet ihre Rechtsgrundlage in § 110 StPO und folgt nicht etwa als „Minus“ aus den Vorschriften zur Beschlagnahme.315 Unter Beschlagnahme ist die förmliche Sicherstellung von Gegenständen zu verstehen, bestehend aus Anordnung (§ 98 StPO) und Vollstreckung (§ 36 Abs. 2 StPO). Von der formlosen Sicherstellung unterscheidet sich die Beschlagnahme durch ihre Eingriffsintensität. Wird die Verfügungsgewalt an einer Sache dem Gewahrsamsinhaber gegen oder ohne dessen Willen entzovieler nur Schmitt, in: Meyer-Goßner / Schmitt StPO § 94 Rn. 11. § 111k StPO: „ nach § 94 beschlagnahmt oder sonst sichergestellt“. 309 Zum Beispiel § 69a Abs. 6 StGB, § 111a Abs. 5 S. 1 StPO, § 21 Abs. 2 Nr. 2 StVG. 310 Menges, in: LR-StPO § 94 Rn. 4, vertieft Rn. 35; Schmitt, in: Meyer-Goßner / Schmitt StPO § 94 Rn. 12; Greven, in: KK-StPO § 94 Rn. 15. 311 Amelung, StV 1985, 257 (262). 312 Diese wäre bei der Bereitschaft zur freiwilligen Herausgabe unverhältnismäßig, vgl. LG München II WM 1989, 79; Bär, Der Zugriff auf Computerdaten im Strafverfahren S. 221. 313 Menges, in: LR-StPO § 94 Rn. 36. 314 Insoweit missverständlich LG Koblenz, WM 1998, 2290 (2292). 315 Zur Mitnahme zur Durchsicht vgl. bereits Zweites Kap. B.I.2.c). 307 Statt 308 Vgl.
B. Strafprozessuale Ermächtigungsgrundlagen107
gen oder beschränkt, liegt ein Eingriff in Art. 14 Abs. 1 GG vor. Dieser Umstand macht ein förmliches Vorgehen der Strafverfolgungsbehörden erforderlich, in dem die Beschlagnahmeverbote des § 97 StPO und der Richtervorbehalt (§ 98 StPO) zu beachten sind.316 b) Der Sicherstellung unterliegende Gegenstände aa) Körperliche Gegenstände Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, können sichergestellt oder beschlagnahmt werden (vgl. § 94 Abs. 1 und 2 StPO). Bewegliche oder unbewegliche körperliche Gegenstände fallen unstreitig unter den Gegenstandsbegriff des § 94 StPO. Hierunter fallen Endgeräte wie Computer, Laptops, Tablets und Smartphones, aber auch Speichermedien wie Server, Festplatten, CDs / DVDs oder USB-Speicher.317 Aber auch Notizzettel mit Zugangsdaten können durch Inbesitznahme sichergestellt werden. Damit die Ermittlungsbehörden nicht stets das Speichermedium sicherstellen müssen – obwohl sie nur an den darauf befindlichen Daten interessiert sind (Fall 2318) –, stellt sich die Frage, ob auch elektronisch gespeicherte Daten beschlagnahmefähige Gegenstände sind. bb) Daten als nicht körperliche Gegenstände Die Beschlagnahmefähigkeit von Daten als unkörperliche Gegenstände wird immer dann relevant, wenn es nicht darum geht, die Daten mitsamt dem Datenträger zu beschlagnahmen, sondern die Daten auf einen Datenträger der Ermittlungsbehörden zu kopieren. Diese Frage gewinnt insbesondere bei der Beschlagnahme von in der Cloud gespeicherten Daten am Ort des CloudNutzers an Bedeutung, da von dort auf das Speichermedium – die Cloud Server – von den Ermittlungsbehörden nicht zugegriffen werden kann (Fall 1b319).
dazu Menges, in: LR-StPO § 94 Rn. 39 und 6. NJW 2005, 1920; Kemper, NStZ 2005, 538 (540); Bär, Der Zugriff auf Computerdaten im Strafverfahren S. 246; aus der Kommentarliteratur statt vieler nur Schmitt, in: Meyer-Goßner / Schmitt StPO § 94 Rn. 4; so auch Liebig, Der Zugriff auf Computerinhaltsdaten im Ermittlungsverfahren, S. 16. 318 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 319 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 316 Insgesamt 317 BVerfG,
108
2. Kap.: Erarbeitung des rechtlichen Rahmens
Elektronisch gespeicherte Daten sind für sich genommen unkörperlicher Natur.320 Um eine Beschlagnahmefähigkeit nach § 94 StPO zu bejahen, müsste der Gegenstandsbegriff des § 94 StPO auch nicht körperliche Gegenstände umfassen. In der Vergangenheit wurde eine Subsumtion von unkörperlichen Gegenständen unter den Gegenstandsbegriff weitgehend abgelehnt.321 Die überwiegende Auffassung sieht inzwischen jedoch auch Daten als nicht körperliche Gegenstände vom Gegenstandsbegriff des § 94 StPO umfasst.322 Das Bundesverfassungsgericht führt in seiner Entscheidung vom 12. April 2005323 treffend aus, dass der Gegenstandsbegriff des § 94 StPO zunächst nur auf körperliche Gegenstände zugeschnitten war. Mit der Einführung der §§ 98a ff. StPO hat der Gesetzgeber jedoch gezeigt, dass er nunmehr auch von eine Beschlagnahmefähigkeit von Daten ausgeht. Nach der Auffassung des Gerichts verstößt die Subsumtion von nicht körperlichen Gegenständen unter den Gegenstandsbegriff des § 94 StPO auch nicht gegen den Wortsinn, da dieser ohne weiteres auch unkörperliche Gegenstände erfassen kann. Auch systematische Erwägungen sprechen für eine Einbeziehung nicht körperlicher Gegenstände. Neben der bereits erwähnten Einführung der § 98a ff. StPO können hierzu auch die gesetzgeberische Wertung zu 320 Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 246 ff.; ders., CR 1996, 675; Menges, in: LR-StPO § 94 Rn. 14 m. w. N.; zur physikalischen Betrachtung Korge, Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, S. 7. 321 Greven, in: KK-StPO § 94 Rn. 4; Schmitt, in: Meyer-Goßner / Schmitt StPO (47. Auflage) § 94 Rn. 4; Schäfer, in: LR-StPO (25. Auflage) § 94 Rn. 11; Wohlers, in: SK-StPO § 94 Rn. 26; Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 241 ff.; Lemcke, Die Sicherstellung gemäß § 94 StPO, S. 19 ff.; Kemper, NStZ 2005, 538 (541). Begründet wurde diese Auffassung in erster Linie mit der Herstellung von Gewahrsam: Bei der Sicherstellung durch die Strafverfolgungsbehörden wird an dem Gegenstand staatlicher Gewahrsam hergestellt. Dies geschehe unter gleichzeitiger Aufhebung oder Modifizierung des Gewahrsams des bisherigen Gewahrsamsinhabers. Da eine Gewahrsamsbeziehung aber ein Mindestmaß an tatsächlicher Sachherrschaft voraussetzte, sei dies nur bei körperlichen Gegenständen denkbar, Lemcke, Die Sicherstellung gemäß § 94 StPO, S. 21. 322 Schäfer, wistra 1989, 8 (11 ff.); Matzky, Zugriff auf EDV im Strafprozeß, S. 102 f.; Böckenförde, Die Ermittlung im Netz, S. 288 ff.; Korge, Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, S. 44 ff.; Park, Durchsuchung und Beschlagnahme, Rn. 799; Menges, in: LR-StPO § 94 Rn. 14; Schmitt, in: Meyer-Goßner / Schmitt StPO § 94 Rn. 16a; BVerfGE 113, 29 = NJW 2005, 1917 (1920); 124, 43 = NJW 2009, 2431 (2436); a. A. Kemper, NStZ 2005, 538 (540 f.), der aus praktischer Sicht insbesondere Bedenken bezüglich der Durchführung der Dokumentationspflicht äußert; Zimmermann, JA 2014, 321 (322); Singelnstein, NStZ 2012, 593 (594); ausführlich dazu auch Neuhöfer, Der Zugriff auf E-Mails, S. 129 ff., insb. 134. 323 BVerfGE 113, 29 = NJW 2005, 1917 (1920); zur Rechtsprechung auch Liebig, Der Zugriff auf Computerinhaltsdaten im Ermittlungsverfahren, S. 18 ff.
B. Strafprozessuale Ermächtigungsgrundlagen109
§ 97 Abs. 5 S. 1 StPO sowie die Gesetzesmaterialien zur Neufassung des § 110 StPO herangezogen werden.324 Diese Auffassung bestätigte das Bundesverfassungsgericht abermals mit seiner Entscheidung vom 16.06.2009.325 c) Gewahrsam aa) Allgemein Bei einer formlosen Sicherstellung nach § 94 Abs. 1 StPO kommt es auf Eigentum, Besitz und Gewahrsam an den jeweiligen Gegenständen nicht an.326 Eine förmliche Beschlagnahme ist jedoch immer dann erforderlich, wenn sich die Gegenstände im Gewahrsam einer Person befinden und von dieser nicht freiwillig herausgegeben werden. Nach dem strafrechtlichen Gewahrsamsbegriff, welcher den Zueignungsdelikten der §§ 242 ff. StGB zugrunde liegt, wird unter Gewahrsam die von einem Herrschaftswillen getragene tatsächliche Herrschaft einer natürlichen Person über eine Sache (im Sinne des § 90 BGB) verstanden.327 Würde man diese Auffassung auf den Gewahrsamsbegriff des § 94 Abs. 2 StPO übertragen, würde dies der Beschlagnahmefähigkeit von Daten als unkörperliche Gegenstände entgegenstehen. bb) Gewahrsam an Daten Aufgrund der unterschiedlichen Funktion und Zielsetzung lässt sich der Gewahrsamsbegriff des StGB jedoch nicht unreflektiert auf die StPO übertragen.328 Die §§ 242 ff. StGB normieren die Tatbestandsvoraussetzungen für ein strafbares Verhalten in Bezug auf körperliche Gegenstände. Der Gewahrsamsbegriff dient dabei in erster Linie als Unterscheidungsmerkmal zwischen Diebstahl (§ 242 StGB), Raub (§ 249 StGB) und Unterschlagung (§ 246 StGB).329 Tatobjekt ist bei diesen Delikten durchwegs eine fremde beweg liche Sache – ein körperlicher Gegenstand – im Sinne des § 90 BGB. Der materiell-rechtliche Schutz von Daten wird über die §§ 202a ff. und §§ 303a ff. StGB gewährleistet. § 94 Abs. 2 StPO dient der Sicherung von Beweisen für 324 BVerfGE
113, 29 = NJW 2005, 1917 (1920). NJW 2009, 2431 (2434). 326 Menges, in: LR-StPO § 94 Rn. 17. 327 Insoweit absolut h. M. vgl. statt vieler nur Fischer, StGB § 242 Rn. 11; Kühl, in: Lackner / Kühl StGB § 242 Rn. 8a. 328 Entgegen der wohl überwiegenden Auffassung, vgl. Lemcke, Die Sicherstellung gemäß § 94 StPO, S. 52 ff. 329 Vgl. dazu Eser / Bosch, in: Sch / Sch StGB § 242 Rn. 22 und § 246 Rn. 1. 325 BVerfG
110
2. Kap.: Erarbeitung des rechtlichen Rahmens
ein durchzuführendes Strafverfahren, damit diese nicht abhanden kommen oder in ihrer Beweiskraft beeinträchtigt werden.330 Der Gewahrsamsbegriff verfolgt dabei vordringlich den Zweck, den Beweisgegenstand einer bestimmten Person zuzuordnen.331 Er ist konstitutiv für die Herausgabepflicht nach § 95 StPO332 sowie die Beschlagnahmeverbote nach § 97 StPO.333 Darüber hinaus dient er im Zusammenhang mit dem Merkmal der Unfreiwilligkeit als Abgrenzungskriterium der formlosen Sicherstellung zur förmlichen Beschlagnahme. Zweck und Funktion des materiell-strafrechtlichen Gewahrsamsbegriffs können daher auf die StPO nicht übertragen werden. Fraglich ist, wie der Gewahrsamsbegriff des § 94 Abs. 2 StPO zu verstehen ist. Der historische Gesetzgeber regelt zwar die Voraussetzungen, unter denen eine Beschlagnahme möglich sein soll, macht zum Gewahrsamsbegriff selbst jedoch keine Ausführungen. Das förmliche Verfahren der Beschlagnahme bietet dem von der Beweissicherung Betroffenen einen besonderen recht lichen Schutz.334 Anknüpfungspunkt für diesen Rechtsschutz sollte die (tatsächliche) Innehabung und nicht etwa die bloße rechtliche Verfügungsbefugnis über einen Gegenstand sein.335 Der zunächst gewählte Begriff „Innehabung“ wurde später durch den Begriff „Gewahrsam“ im Gesetzestext ersetzt.336 Nach der Intention des Gesetzgebers soll dieser Anknüpfungspunkt jedoch nach wie vor dazu dienen, den Beweisgegenstand in tatsächlicher Hinsicht einer Person zuordnen zu können.337 Nach dem allgemeinen Sprachgebrauch hat Gewahrsam die Bedeutung von „Obhut“ und „Schutz“338. Ein Gegenstand wird von dem Gewahrsamsinhaber durch Beobachtung und Aufmerksamkeit „in Gewahr“ genommen und befindet sich damit unter dessen Aufsicht und somit in Sicherheit.339 Gewahrsam beschreibt somit in erster Linie den Einfluss des Gewahrsamsinhabers auf den Gegenstand, um ihn zu 330 So auch Böckenförde, Die Ermittlung im Netz, S. 339 f. Im Ergebnis übereinstimmend Matzky, Zugriff auf EDV im Strafprozeß, S. 95; a. A. Korge, Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, S. 60 f. der insbesondere auf die Intention des Gesetzgebers abstellt. 331 Zum Gewahrsam vgl. bereits Zweites Kap. B.I.1.c). 332 Tschacksch, Editionspflicht, S. 54. 333 Böckenförde, Die Ermittlung im Netz, S. 341. 334 Böckenförde, Die Ermittlung im Netz, S. 339. 335 Vgl. vertieft Hahn, Materialien, Abt. 1, S. 621. 336 Damals § 85, heute 94 StPO. Durch die Änderung wurde der Wortlaut an den damaligen § 86 StPO (heute 95 StPO) angeglichen. Den Materialien zur Gesetzgebung lassen sich die Motive für diese Änderung nicht entnehmen, vgl. Hahn, Mate rialien, Abt. 2, S. 1262 und 2176. 337 Vgl. dazu insgesamt Böckenförde, Die Ermittlung im Netz, S. 339 f. 338 Brockhaus, Band 10 Stichwort „Gewahrsam“. 339 Vgl. hierzu Kluge, Etymologisches Wörterbuch, S. 321 Stichwort „gewahr“.
B. Strafprozessuale Ermächtigungsgrundlagen111
schützen und zu sichern. Über die konkrete Ausgestaltung des Schutz- oder Sicherungsverhältnisses werden keine Aussagen getroffen. Je nach Beschaffenheit des Gegenstands kann dieses beispielsweise direkter, indirekter, körperlicher oder unkörperlicher technischer Art sein.340 Es ist daher festzuhalten, dass der Begriff „Gewahrsam“ im Sinne des § 94 Abs. 2 StPO der Einbeziehung unkörperlicher Daten unter den Gegenstandsbegriff des § 94 StPO weder aus systematischer, historischer noch aus grammatikalischer Sicht entgegensteht. Vielmehr wird deutlich, dass beide Begrifflichkeiten untrennbar miteinander verbunden sind. Der Gewahrsam dient der Zuordnung des Gegenstandes als Beweismittel zu einer Person. Seine Bedeutung kann daher nur im Bezug auf den Gegenstandsbegriff des § 94 StPO erörtert werden.341 Für sich genommen sind Daten aus technischer Sicht nichts anderes als magnetische Speicherungen auf einem Datenträger, die ohne das Speichermedium nicht existieren können.342 Zur Visualisierung bedürfen sie immer eines Mediums mit einer entsprechenden Software. Gegenüber anderen unkörperlichen Gegenständen wie Forderungen besteht ihre Besonderheit darin, dass Existenz und Umfang jedoch anhand des eingenommenen Speicherplatzes jederzeit belegbar sind. Auch sind sie grundsätzlich nicht fest mit einem bestimmten Speichermedium verbunden, sondern können beliebig auf andere Speichermedien kopiert werden.343 So können Daten als unkörperliche Gegenstände sehr wohl in Gewahrsam genommen werden. Zwar sind sie immer mit (irgend-)einem Speichermedium verbunden,344 befinden sich jedoch in 340 Böckenförde,
Die Ermittlung im Netz, S. 338 f. Korge, Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, S. 61, der den Begriff „Gewahrsam“ als bestimmten Rechtsbegriff begreift, der unabhängig vom (unbestimmten) Gegenstandsbegriff nach dem materiell-rechtlichen Verständnis – dem Grundpfeiler der Zueignungsdelikte – zu beurteilen sei. 342 Kemper, NStZ 2005, 538 (539); Möhrenschlager, wistra 1991, 321 (329). 343 Unabhängig von einem eventuell bestehenden und gesondert eingerichteten „Kopierschutz“. 344 Das Abstellen auf das physische Speichermedium und eine Zuordnung von Daten zu ihrem „ursprünglichen Datenträger“ – so Wohlers, in: SK-StPO § 94 Rn. 26 – ist wenig sachgerecht. Als ursprünglicher Datenträger wäre konsequenterweise nur das Speichermedium zu qualifizieren, auf dem die neu geschaffene Datei erstmalig (zwischen-)gespeichert wird. Bei der Erstellung einer Word-Datei wäre dies beispielsweise der Arbeitsspeicher, bis eine Speicherung auf einem Speichermedium zum Beispiel in Form einer in- oder externen Festplatte vorgenommen wird. Bei einer Foto-Datei der Arbeitsspeicher beziehungsweise die Speicherkarte der Kamera, welche das Foto aufnimmt. Der Zugriff der Strafverfolgungsbehörden findet aber häufig erst statt, nachdem die Dateien vom Inhaber (mehrmals) verschoben, d. h. kopiert und gelöscht worden sind. Es ist quasi vom Zufall abhängig, wo sich die Dateien gerade befinden. Auf eine Zuordnung zum ursprünglichen Datenträger kommt es dann nach allen Ansichten nicht mehr an. 341 A. A.
112
2. Kap.: Erarbeitung des rechtlichen Rahmens
der Obhut dessen, der tatsächlich über sie verfügen und sie dadurch schützen und sichern kann. Diese Annahme bestätigt die Tatsache, dass es durchaus möglich ist, dass der Gewahrsam an Daten und Speichermedium auseinanderfällt. Dies zeigt sich insbesondere beim Cloud Computing, wo die Inhaltsdaten des Nutzers auf den Servern des Cloud-Anbieters gespeichert sind und sich im Mitgewahrsam des Cloud-Anbieters befinden, der Cloud-Nutzer aber keine Einwirkungsmöglichkeiten und mithin auch keinen Gewahrsam an den Cloud Servern des Anbieters hat.345 Der Rückgriff auf ein argumentum a majore ad minus,346 wonach die Sicherstellung von Daten als weniger eingriffsintensive Maßnahme von der förmlichen Sicherstellung des Datenträgers nach § 94 Abs. 2 StPO mitumfasst ist, ist daher weder interessengerecht noch erforderlich: Wie das Bundesverfassungsgericht zutreffend festgestellt hat, entspricht es dem weiterentwickelten Willen des Gesetzgebers, unter den Gegenstandsbegriff des § 94 StPO nun auch Daten als unkörperliche Gegenstände zu subsumieren.347 Diese historische Erweiterung würde jedoch durch die an das materielle Strafrecht gekoppelte Auslegung des Gewahrsamsbegriffs konterkariert werden. Die Einbeziehung von Daten unter den Gegenstandsbegriff würde dann nur die formlose Sicherstellung von Daten ermöglichen, die förmliche Beschlagnahme würde an der an das materielle Strafrecht gekoppelten Auslegung des Gewahrsamsbegriffs scheitern. Insbesondere unter Berücksichtigung der Tatsache, dass Gewahrsam auch an unkörperlichen Daten begründet werden kann, sind keine sachlichen Anhaltspunkte ersichtlich, die eine derartige Differenzierung rechtfertigen.348 Somit steht auch der Gewahrsamsbegriff der förmlichen Sicherstellung von Daten als unkörperliche Gegenstände nach § 94 Abs. 2 StPO nicht entgegen. d) Durchführung der Sicherstellung Die Sicherstellung eines Gegenstands erfolgt gemäß § 94 Abs. 1 StPO durch Inverwahrnahme oder auf andere Weise. Dazu ist eine Handlung erforderlich, die hinreichend klar zum Ausdruck bringt, dass der Gegenstand von 345 Zu den Gewahrsamsverhältnissen an den Cloud-Servern vgl. Zweites Kap. B. II.1.a). 346 Menges, in: LR-StPO § 94 Rn. 14 und 28; Möhrenschlager, wistra 1991 321 (329); im Erg. auch Bär, der Zugriff auf Computerdaten im Strafverfahren, S. 275 f.; Schäfer, wistra 1989 8, 12; ausführlich Korge, Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, S. 61 ff. 347 Zur Beschlagnahmefähigkeit von Daten vgl. Zweites Kap. B.I.3.b)bb) sowie Zweites Kap. B.I.3.c)bb). 348 Insbesondere spricht das BVerfG von einer Beschlagnahmefähigkeit von Daten nach §§ 94 ff. StPO. BVerfGE 113, 29 = NJW 2005, 1917 (1920).
B. Strafprozessuale Ermächtigungsgrundlagen113
nun an der amtlichen Obhut untersteht.349 Stets muss durch Inbesitznahme oder sonstige Sicherstellung ein staatliches Herrschaftsverhältnis begründet werden.350 Bei körperlichen Gegenständen erfolgt die Inverwahrnahme durch Überführung des Gegenstands in den Besitz der Behörde oder einer von ihr mit der Aufbewahrung betrauten Person oder Stelle.351 Die Sicherstellung von Gegenständen erfolgt in anderer Weise, wenn die Gegenstände nicht in Verwahrung genommen werden können352 oder der Zweck der Sicherstellung auch auf andere Weise erreicht werden kann353. Ist das bloße Kopieren der Daten zur Beweissicherung nicht ausreichend, etwa weil ein Kopierschutz besteht, kann der gesamte Datenträger durch Inbesitznahme in amtliche Verwahrung genommen werden. Endgeräte wie beispielsweise Computer, Laptop oder Tablet sowie externe Speichermedien können in den Besitz der Behörde oder einer von ihr mit der Aufbewahrung betrauten Person oder Stelle überführt werden. Diese Flexibilität bei der Sicherstellung von Daten als unkörperliche Gegenstände ist im Hinblick auf die Effektivität der Strafverfolgung unabdingbar, solange die Maßnahme mit dem Grundsatz der Verhältnismäßigkeit in Einklang zu bringen ist. Erfolgt die Sicherstellung von Daten durch die Sicherstellung der Daten – als unkörperliche Gegenstände – selbst, werden diese vom Datenträger des Betroffenen auf ein Speichermedium der Ermittlungsbehörden übermittelt.354 Eine solche Übermittlung erfolgt durch Kopieren der Daten von dem ursprünglichen Speicherort auf das Speichermedium der Behörden.355 Bei dem Kopiervorgang wird eine weitere wesensgleiche Datei erstellt, die von der Ausgangsdatei nicht zu unterscheiden ist.356 Je nach Befehl wird die Ausgangsdatei dann entweder automatisch gelöscht357 oder bleibt weiterhin erauf Sachen Schmitt, StPO § 94 Rn. 14. 15, 149 = NJW 1960, 2300; Hoffman / Knierim, NStZ 2000, 461; Schmitt, in: Meyer-Goßner / Schmitt-StPO § 94 Rn. 14. 351 Graulich, wistra 2009, 299. 352 Beispielsweise bei unbeweglichen Gegenständen wie Grundstücken und Räumen. 353 Beispielsweise wenn die Unterlagen des Schuldners beim Insolvenzverwalter verbleiben können. 354 So auch Schmitt, in: Meyer-Goßner / Schmitt StPO § 94 Rn. 16a, der jedoch von einer Übermittlung „in den Computer“ der Staatsanwaltschaft spricht; Park, Durchsuchung und Beschlagnahme, Rn. 799; Hiéramente, wistra 2016, 432 (434) m. w. N. 355 Kemper, NStZ 2005, 538 (540); Zimmermann, JA 2014, 321 (322); Dalby, Grundlagen der Strafverfolgung, S. 185. 356 Die Bezeichnung als „Originaldatei“ (so zum Beispiel Kemper, NStZ 2005, 538 (541)) ist daher irreführend. Treffender ist die Rede von der „Ausgangsdatei“. 357 Dies entspräche beispielsweise dem Befehl „Ausschneiden“. 349 Bezogen 350 BGHSt.
114
2. Kap.: Erarbeitung des rechtlichen Rahmens
halten358.359 Fraglich ist, ob auch Daten als unkörperliche Gegenstände in Verwahrung genommen werden können. Bei der begrifflichen Inhaltsbestimmung der „Inverwahrnahme“ lässt sich weder aus dem Wortsinn noch aus der Intention des Gesetzgebers eine Begrenzung auf körperliche Gegenstände ableiten.360 Auch wenn die Wegnahme eines Gegenstandes den Präzedenzfall der Inverwahrnahme darstellt,361 erschöpft sich die faktische Durchführung der Maßnahme nicht darin.362 Nach der ratio legis des § 94 StPO dient die Sicherstellung der Sicherung von Beweisgegenständen für ein weiteres Strafverfahren. In Abgrenzung zur Sicherstellung in anderer Weise wird bei der Inverwahrnahme ein Gegenstand, der sich vorher nicht in Verwahrung befand, in amtliche Obhut genommen und sicher und sorgfältig aufbewahrt.363 Die Sicherstellung in anderer Weise betrifft die Sicherung von Beweisgegenständen, ohne dass diese in die Obhut, das heißt die Einflusssphäre der Ermittlungsbehörden, gebracht werden.364 Aus § 94 StPO lässt sich daher keine Gleichsetzung von Inverwahrnahme und Inbesitznahme ableiten. Vielmehr ist die Inbesitznahme der ratio legis des § 94 StPO nachgeordnet. Sie ist nur dann ein notwendiger Bestandteil der Inverwahrnahme, wenn nur durch Inbesitznahme der Beweisgehalt des Gegenstands effektiv gesichert werden kann. Dies wiederum ist nur dann der Fall, wenn das Beweismittel nur durch Überführung der tatsächlichen Sachherrschaft vor unberechtigten Zugriffen geschützt werden kann. Hiervon ist bei körperlichen Gegenständen regelmäßig auszugehen. Ansonsten genügt jedoch die Überführung des Beweismittels in den Einflussbereich und die Obhut der Ermittlungsbehörden. Die Sicherstellung durch Inverwahrnahme setzt daher nicht zwingend die Inbesitznahme eines körperlichen Gegenstands voraus.365 358 Dies
entspräche beispielsweise dem Befehl „Kopieren“. Frage, ob der Entzug des Beweisgegenstands zum „Wesen“ der Sicherstellung gehöre (verneinend Böckenförde, Die Ermittlung im Netz, S. S. 332 ff.; a. A. Lemcke, Die Sicherstellung gemäß § 94 StPO, S. 23.) kann dahinstehen, da der Entzug in jedem Fall technisch möglich ist. Ob die Ermittlungsbehörden dem Betroffenen weiterhin die Ausgangsdateien überlassen, ist eine Frage der Verhältnismäßigkeit, vgl. dazu Zweites Kap. B.I.3.f). Dazu auch Warken, NZWiSt 2017, 289 (294 f.). 360 Vgl. die vertiefte Auseinandersetzung zur inhaltlichen Bestimmung der „Inverwahrnahme“ von Böckenförde, Die Ermittlung im Netz, S. S. 327 ff. 361 Vgl. Hahn, Materialien, Abt. 1 S. 621 und S. 626 ff. 362 Böckenförde, Die Ermittlung im Netz, S. S. 329. 363 Böckenförde, Die Ermittlung im Netz, S. S. 330. 364 Unbewegliche Gegenstände wie Grundstücke oder Räume können durch Sperrund Versiegelungsmaßnahmen gesichert werden. Bewegliche Gegenstände können durch Ge- und Verbote zum Beispiel hinsichtlich Herausgabe oder Vernichtung in anderer Weise sichergestellt werden. Vgl. dazu Menges, in: LR-StPO § 94 Rn. 49. 365 Insgesamt dazu vgl. Böckenförde, Die Ermittlung im Netz, S. S. 335; a. A. Liebig, Der Zugriff auf Computerinhaltsdaten im Ermittlungsverfahren, S. 26 f., wonach 359 Die
B. Strafprozessuale Ermächtigungsgrundlagen115
Unkörperliche Daten können demnach durch Überführung des Beweisgegenstands in die Obhut und den Einflussbereich der Ermittlungsbehörden durch Inverwahrnahme sichergestellt werden.366 Die gegen eine Sicherstellung von Daten angeführten Argumente, dem Betroffenen werde nichts „weggenommen“ beziehungsweise eine „Rückgabe“ des Beweismittels im Sinne der Strafprozessordnung sei nicht möglich,367 können entkräftet werden. Wie bereits dargelegt, können zum einen dem Betroffenen die sichergestellten Daten vollständig entzogen, indem Duplikate – in diesem Fall die Ausgangsdatei – endgültig gelöscht werden. Zum anderen ist eine „Rückgabe“ der Daten als Beweismittel durchaus möglich.368 e) Auswertung der sichergestellten Gegenstände Im Anschluss an eine formlose Sicherstellung oder eine förmliche Beschlagnahme stellt sich die Frage, was die Behörden mit dem sichergestellten Gegenstand machen dürfen. Einigkeit besteht dahingehend, dass die sichergestellten Gegenstände so untersucht werden dürfen, dass ihr Beweiswert vollständig genutzt werden kann.369 aa) „offline“ Relativ unproblematisch zu beurteilen sind die Fälle, in denen die auf dem sichergestellten Speichermedium oder Endgerät lokal370 gespeicherten oder auf ein Speichermedium der Ermittlungsbehörden kopierten Daten ausgewertet werden (Fall 1d 371). Dies gilt auch für gespeicherte Daten, die aus einem Kommunikationsvorgang entstanden sind. Bereits empfangene oder noch nicht gesendete Inhalte sind mit traditionell übermittelter Post vergleichbar. eine Inverwahrnahme „praktisch unmöglich“ sei, da sie voraussetzt, dass dem Beschuldigten die Möglichkeit entzogen wird, auf die Ausgangsdatei zuzugreifen, diese von den Ermittlungsbehörden aber in der Regel nicht unwiederbringlich gelöscht, d. h. mit Hilfe einer Software überschrieben, würde. 366 Die Frage, ob die Begründung von Besitz nur körperlichen Gegenständen vorbehalten bleibt, kann dahingestellt bleiben. 367 So Kemper, NStZ 2005, 538 (541); Liebig, Der Zugriff auf Computerinhaltsdaten im Ermittlungsverfahren, S. 26 f. 368 Zur Rückgabe nach Beendigung der Beschlagnahme vgl. Zweites Kap. B.I.3.h). 369 Insgesamt dazu vgl. Zerbes / El-Ghazi, NStZ 2015, 425 (427). 370 Das Auslesen lokal gespeicherter Dateien kann auch mit dem Auslesen „offline“ gleichgesetzt werden. 371 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I.
116
2. Kap.: Erarbeitung des rechtlichen Rahmens
Auch empfangene oder noch nicht versendete Briefe können – ungeachtet der engen Voraussetzungen der Postbeschlagnahme – gemäß § 94 StPO sichergestellt werden. So sind auch für digital gespeicherte Inhalte nicht die Vorschriften zur Telekommunikationsüberwachung, sondern die §§ 94 ff. StPO maßgebend.372 Um die Daten auf sichergestellten Speichermedien „offline“ auszulesen, dürfen die Behörden auch bestehende Zugangssicherungen überwinden.373 Die durch Anfertigen einer Kopie sichergestellten Daten können ohne weitere Hindernisse ausgewertet werden. bb) „online“ Deutlich restriktiver sind die Befugnisse der Ermittlungsbehörden, wenn es um die Auswertung extern, also in der Cloud gespeicherten Daten, geht. § 110 Abs. 3 S. 1 StPO gestattet den Zugriff auf extern gespeicherten Daten soweit dies vom Endgerät des Betroffenen aus möglich ist (Fall 3b und 3d374). Die Befugnis des § 110 Abs. 3 S. 1 StPO ist jedoch an Ort und Dauer der Durchsuchung geknüpft.375 Mit dem Abschluss der Durchsuchung beziehungsweise mit der Beschlagnahme des Endgeräts endet die Befugnis nach § 110 Abs. 3 StPO. Extern gespeicherte Daten können nur auf Grundlage von Kopien ausgewertet werden, die im Rahmen der Durchsicht beziehungsweise der Sicherstellung angefertigt worden sind. cc) Desktopanwendungen Cloud-Nutzer haben die Möglichkeit, für ihre Cloud-Dienste integrierte376 oder externe377 Desktopanwendungen zu nutzen. Dabei kann der Nutzer mit Hilfe eines lokal gespeicherten Ordners direkt auf die Cloud zugreifen (Fall 1a378). Der Ordner unterscheidet sich nur insoweit von den anderen Ordnern auf dem Endgerät, als dass sein Inhalt online mit allen verknüpften Endgeräten synchronisiert wird. Ist das Endgerät nicht mit dem Internet ver372 Zerbes,
Spitzeln, Spähen, Spionieren S. 24. Durchsicht offline vgl. Zweites Kap. B.I.1.c)cc). 374 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 375 Zur Durchsicht online vgl. Zweites Kap. B.I.2.d)ff). 376 Beispielsweise der Desktop Client von Dropbox, zum Angebot: https: / / www. dropbox.com / de / help / 65 (zuletzt besucht am 20.03.2018). 377 Beispielsweise Synology, zum Angebot: https: / / www.synology.com / de-de / dsm / 6.0 / cloud_file_syncing (zuletzt besucht am 20.03.2018). 378 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 373 Zur
B. Strafprozessuale Ermächtigungsgrundlagen117
bunden, bleiben die Änderungen solange nur in der Anwendung gespeichert, bis das Endgerät das nächste Mal mit dem Internet verbunden ist. Je nach Anwendung hat der Nutzer auch die Möglichkeit, eine selektive Synchronisierung zu wählen. Er kann dann auswählen, welche Ordner manuell oder automatisch mit welchem Endgerät synchronisiert werden. Die Anwendung ersetzt also das manuelle Hoch- und Herunterladen der in der Cloud gespeicherten Dateien. Für die Ermittlungsbehörden bedeutet dies Folgendes: Mit dem sichergestellten Endgerät bereits synchronisierte Daten können „offline“ ausgewertet werden. Nicht von der Ermächtigungsgrundlage des § 94 StPO umfasst ist jedoch das erneute Synchronisieren des Endgeräts. Wird bei einer Durchsuchung ein Endgerät in Betrieb genommen379 und wird der Ordner durch eine (automatische) Verbindung mit dem Internet automatisch synchronisiert, so können die Inhalte gemäß § 110 Abs. 1 StPO durchgesehen werden. Nicht von der Durchsuchung umfasst ist die Ermächtigung, eine manuelle Synchronisierung vorzunehmen, um so die zusätzlichen Voraussetzungen des § 110 Abs. 3 StPO zu umgehen. Eine manuelle Synchronisierung ist einem „online“-Zugriff gleichzustellen und immer an den Voraussetzungen des § 110 Abs. 3 StPO zu messen.380 f) Verhältnismäßigkeit Wie alle Zwangsmaßnahmen muss auch die Anordnung und Vollziehung der Beschlagnahme dem Grundsatz der Verhältnismäßigkeit entsprechen, das heißt, sie muss in einem angemessenen Verhältnis zur Schwere der Tat und des bestehenden Tatverdachts stehen und für das weitere Ermittlungsverfahren notwendig sein.381 Dies ist insbesondere bei der Beschlagnahme des gesamten Datenträgers zu berücksichtigen. Geht es den Ermittlungsbehörden nur um bestimmte oder um einen Teil der darauf gespeicherten Daten, ist die Beschlagnahme des gesamten Datenträgers regelmäßig ein unverhältnismäßiger Eingriff.382 Denn im Hinblick auf den Grundsatz der Verhältnismäßigkeit ist auch ein besonderes Augenmerk darauf zu legen, dass bei der Beschlagnahme ein Zugriff auf überschießende Informationen – insbesondere vertrauliche Daten Dritter –, die für das Verfahren nicht von Bedeutung sind, mög379 Zur
Inbetriebnahme vorgefundener Endgeräte vgl. Zweites Kap. B.I.1.c)aa). Durchsicht räumlich getrennter Speichermedien vgl. Zweites Kap. B.I.2.d). 381 BVerfGE 20, 162 = NJW 1966, 1603 (1607). 382 Hinsichtlich eines reinen Speichermediums (zum Beispiel externe Festplatte, USB-Speicher, etc.) und eines Endgeräts mit integriertem Speicherplatz (zum Beispiel Rechner, Notebook, Smartphone, etc.) ergibt sich ein Stufenverhältnis bei der Prüfung der Verhältnismäßigkeit. 380 Zur
118
2. Kap.: Erarbeitung des rechtlichen Rahmens
lichst vermieden wird.383 Dies gilt auch für das Anfertigen eines Images. Auch hier überwiegt in aller Regelmäßigkeit das Interesse der Allgemeinheit an einer leistungsfähigen Strafjustiz, nicht die Grundrechte des Betroffenen. Im Sinne der Verhältnismäßigkeit sind die Ermittlungsbehörden daher gehalten, die Daten nicht durch die Sicherstellung des Datenträgers, sondern durch die Sicherstellung der Daten als unkörperliche Gegenstände zu beschlagnahmen. Im Anschluss daran ist im Lichte der Verhältnismäßigkeit weiter zu prüfen, ob das Anfertigen einer bloßen Kopie der Daten als milderes Mittel ausreichend ist.384 Dies ist immer dann der Fall, wenn es nicht darum geht, dem Inhaber die Ausgangsdateien zu entziehen. Liegen die Voraussetzungen der Sicherstellung vor, so ist das Anfertigen einer Kopie als „Minus“ zur Sicherstellung des unkörperlichen Gegenstands ebenfalls gestattet.385 Eine Ausnahme besteht bei kopiergeschützten Dateien: Ist das Anfertigen einer Kopie aufgrund besonders getroffener Vorkehrungen nicht möglich,386 gibt es kein milderes Mittel und die Behörden müssen den Datenträger selbst sicherstellen. Die Beschlagnahme erstreckt sich grundsätzlich auch auf Software und Programme, sowie Peripheriegeräte387 und Passwörter, soweit diese zur Auswertung der Daten erforderlich sind.388 g) Anordnung der Beschlagnahme, § 98 StPO Erforderlich ist eine Anordnung immer dann, wenn der Gegenstand weder herrenlos ist noch freiwillig herausgegeben wird, es sich also nicht mehr um eine formlose Sicherstellung nach § 94 Abs. 1 StPO handelt. Zuständig ist gemäß § 98 Abs. 1 S. 1 StPO das Gericht, bei Gefahr im Verzug auch die Staatsanwaltschaft und deren Ermittlungspersonen. h) Beendigung Die Beschlagnahme wird durch Erlöschen oder Aufhebung der Beschlagnahme beendet. Nach rechtskräftiger Beendigung des Verfahrens fällt der Zweck der beschlagnahmten Beweismittel weg, so dass die Beschlagnahme 383 BVerfGE
113, 29 = NJW 2006, 1917; 124, 43 = NJW 2009, 2431 (2434 f.). auch Schmitt, StPO § 94 Rn. 18a m. w. N. 385 In Anlehnung an körperliche Gegenstände, statt vieler nur Menges, in: LRStPO § 94 Rn. 63. Dies muss auch insbesondere bei der Sicherstellung von Daten gelten, da Daten grundsätzlich nur durch das Anfertigen von wesensgleichen Kopien verschoben werden können. 386 Zu denken ist hier insbesondere an einen „Kopierschutz“. 387 Beispielsweise Maus, Tastatur, etc. 388 M. w. N. Park, Durchsuchung und Beschlagnahme, Rn. 800. 384 Soweit
B. Strafprozessuale Ermächtigungsgrundlagen119
ohne Weiteres erlischt.389 Vor rechtskräftiger Beendigung des Verfahrens ist die Beschlagnahme aufzuheben, wenn sich zeigt, dass die Beschlagnahme als Beweismittel nicht mehr gerechtfertigt ist.390 Nach Erlöschen oder Aufhebung der Beschlagnahme sind die beschlagnahmten Gegenstände grundsätzlich herauszugeben, da der staatliche Gewahrsam nicht mehr erforderlich ist.391 Durch amtliche Inverwahrungnahme sichergestellte Beweismittel sind zurückzugeben,392 eine in anderer Weise erfolgte Sicherstellung ist aufzuheben393. So soll der vor der Sicherstellung bestehende (rechtmäßige) Zustand wiederhergestellt werden.394 In amtliche Verwahrung genommene körperliche Gegenstände sind daher grundsätzlich an den letzten Gewahrsamsinhaber zurückzugeben.395 Die in anderer Weise erfolgte Sicherstellung der unkörperlichen Daten ist aufzuheben. Eine klassische Rückgabe kommt hier freilich nicht in Betracht. Wie an anderer Stelle bereits erörtert, hat die „Rückgabe“ neben der Zurückerlangung des Gewahrsams auch den Zweck, den Gewahrsam der Strafverfolgungsbehörden zu beenden.396 Haben die Strafverfolgungsbehörden dem Betroffenen eine „Kopie“ seiner Daten überlassen,397 scheidet eine „Rückgabe“ gleich welcher Art tatsächlich aus, da der Betroffene nach wie vor im Besitz der (Ausgangs-)Dateien ist. Um den Gewahrsam der Strafverfolgungsbehörden zu beenden, müssen die Daten daher vernichtet werden, sobald sie als Beweismittel nicht mehr benötigt werden. Damit ist die in anderer Weise erfolgte Sicherstellung aufgehoben und der vor der Sicherstellung bestehende Zustand wiederhergestellt. „Verschobene“ Dateien müssen „zurückgegeben“ werden, um die in anderer Weise erfolgte Sicherstellung wieder aufzuheben. Diese „Rückgabe“ erfolgt durch Kopieren beziehungsweise „Verschieben“ der Daten vom Speichermedium der Ermittlungsbehörden auf einen Datenträger des Betroffenen398 und nicht etwa durch tatsächliche Rückgabe des im Eigentum der Ermittlungsbehörden stehenden Datenträgers399. Menges, in: LR-StPO § 98 Rn. 56. in: Meyer-Goßner / Schmitt § 98 Rn. 30. 391 Dazu vertieft Hoffmann / Knierim, NStZ 2000, 461 ff. 392 BVerfGE 44, 353 = NJW 1977, 1489. 393 Menges, in: LR-StPO § 98 Rn. 63. 394 Vgl. Löffler, NJW 1991, 1705 (1706). 395 Vgl. Löffler, NJW 1991, 1705 (1707). 396 BVerfGE 44, 353 = NJW 1977, 1489. 397 Dies kann beispielsweise aus Gründen der Verhältnismäßigkeit geboten sein, vgl. dazu Zweites Kap. B.I.3.f). 398 Wenn Kemper, NStZ 2005, 538 (541 Fn. 44) davon spricht, es wäre geradezu grotesk, die Daten zurück auf den Datenträger des Betroffenen zu überspielen, so 389 M. w. N. 390 Schmitt,
120
2. Kap.: Erarbeitung des rechtlichen Rahmens
4. Online-Durchsuchung – § 100b StPO Neben dem offenen Zugriff auf Inhaltsdaten im Zusammenhang mit dem Cloud Computing haben die Ermittlungsbehörden nun auch die Möglichkeit, auf die Speichermedien des Betroffenen heimlich und von außen unter Einsatz einer Spionagesoftware zuzugreifen.400 Ein derartiges Vorgehen kann aus ermittlungstaktischen Gründen durchaus vorteilhaft sein, insbesondere dann, wenn die Strafverfolgungsbehörden zwar vermuten, dass der Nutzer einen Cloud-Dienst nutzt, bei der Durchsuchung jedoch keine Hinweise auf einen Cloud-Speicher gefunden haben (Fall 7401). Aufgrund der Schwere des Eingriffs kommt eine Online-Durchsuchung jedoch nur bei besonders schweren Straftaten in Betracht und ist an hohe Zuständigkeits-Hürden gebunden. Der Anwendungsbereich der Online-Durchsuchung ist daher – wie die akkustische Wohnraumüberwachung, deren Zahlen sich pro Jahr im einstelligen Bereich bewegen402 – eng begrenzt. Am 22. Juni 2017 hat der Bundestag den von der Bundesregierung eingebrachten Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens403 zur Entscheidung angenommen und mit der Quellen-Telekommunikationsüberwachung404 und der Online-Durchsuchung zwei äußerst eingriffsintensive heimliche Ermittlungsmaßnahmen gesetzlich geregelt. Das Gesetz wurde von Netzaktivisten als das „krasseste Gesetz der Legislaturperiode“ bezeichnet405 und wurde im Eilverfahren und ohne Debatte in ein bereits laufendes Gesetzgebungsverfahren eingebracht. Die stark umwird verkannt, dass Daten nicht an ein bestimmtes Trägermedium gebunden sind. Daten, die vor der Beschlagnahme beispielsweise auf dem Server eines Cloud-Anbieters gespeichert waren, können nach der Rückgabe auch auf einer lokalen Festplatte gespeichert werden. 399 Insoweit auch Kemper, NStZ 2005, 538 (542). 400 Zu den technischen Möglichkeiten vertiefend, Buermeyer, HRRS 2007, 154 ff. 401 Zu den denkbaren Fallvarianten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 402 Sechs Maßnahmen für das Berichtsjahr 2015 (abrufbar unter: https: / / www. bundesjustizamt.de / DE / SharedDocs / Publikationen / Justizstatistik / BTDrs_18_9660. pdf;jsessionid=1476A66ACB69C7510726F11D7CDF48AE.1_cid377?__blob= publicationFile&v=3, zuletzt besucht am 20.03.2018) und neun Maßnahmen für das Berichtsjahr 2014 (abrufbar unter: https: / / www.bundesjustizamt.de / DE / SharedDocs / Publikationen / Justizstatistik / BTDrs_18_9660.pdf;jsessionid=1476A66ACB69C751 0726F11D7CDF48AE.1_cid377?__blob=publicationFile&v=3, zuletzt besucht am 20.03.2018). 403 BT-Drs. 18 / 12785. 404 Zur Quellen-Telekommunikationsüberwachung vgl. Zweites Kap. B.IV.2. 405 Meister, Netzpolitik.org, 19.06.2017, abrufbar unter: https: / / netzpolitik. org / 2017 / staatstrojaner-bundestag-beschliesst-diese-woche-das-krasseste-ueberwa chungsgesetz-der-legislaturperiode / (zuletzt besucht am 20.03.2018).
B. Strafprozessuale Ermächtigungsgrundlagen121
strittene Online-Durchsuchung wurde dadurch erstmalig einer gesetzlichen Regelung im Strafprozessrecht zugeführt. Zuvor hatte der Bundesgerichtshof in seiner Entscheidung vom 31.01.2007406 der Online-Durchsuchung mangels Vorliegen einer erforderlichen Ermächtigungsgrundlage eine Absage erteilt. Nach Auffassung des Gerichts konnte eine Online-Durchsuchung insbesondere nicht auf §§ 102 ff. StPO gestützt werden, da es sich um eine heimliche und keine offene Maßnahme handelt, die aufgrund ihrer Eingriffsintensität an strengeren Voraussetzungen zu messen sei. Auch § 100a StPO kam nach Auffassung des Gerichts als Ermächtigungsgrundlage nicht in Betracht, da es den Strafverfolgungsbehörden bei einer Online-Durchsuchung nicht auf die Überwachung der Telekommunikation zwischen dem Betroffenen und einem Dritten ankommt, sondern zielgerichtet auf auf dem Endgerät (bereits) gespeicherte Daten zugegriffen werden soll. Auch die weiteren diskutierten möglichen Ermächtigungsgrundlagen (§ 100c, § 100f Abs. 1 Nr. 2 und § 161 StPO) hat das Gericht für nicht einschlägig erachtet.407 a) Begriffsbestimmung Der neu gefasste § 100b Abs. 1 StPO ermächtigt die Strafverfolgungsbehörden, auch ohne Wissen des Betroffenen mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System einzugreifen und Daten daraus zu erheben. Unter Online-Durchsuchung ist der „verdeckte staatliche Zugriff auf ein fremdes informationstechnisches System mit dem Ziel, dessen Nutzung zu überwachen und gespeicherte Inhalte aufzuzeichnen“ zu verstehen.408 Der Eingriff besteht in dem Aufspielen einer Software, um die gespeicherten Informationen auszuleiten.409 In Abgrenzung zur offen durchzuführenden Durchsuchung und Beschlagnahme erfolgt der Zugriff nach § 100b Abs. 1 StPO „heimlich und kann nicht nur einmalig und punktuell stattfinden, sondern sich auch über einen längeren Zeitraum erstrecken“ und alle gespeicherten Daten sowie das gesamte Nutzungsverhalten des Betroffenen erfassen.410 Online-Durchsuchung ist daher als Überbegriff für 406 BGHSt.
51, 211 = NJW 2007, 930. dazu vgl. auch Kudlich, HFR 19 / 2007, S. 202; a. A. Hofmann, NStZ 2005, 121 (123 f.). 408 BT-Drs. 18 / 12785, S. 54. 409 Ebenfalls Sinn, Stellungnahme BT-Drs. 18 / 11272, S. 10. Bei der Durchführung der Online-Durchsuchung dürfen „an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind“ (§100b Abs. 4 in Verbindung mit § 100a Abs. 5 Nr. 2 StPO). Diese sind nach Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig zu machen (Nr. 3 StPO). 410 BT-Drs. 18 / 12785, S. 54. 407 Insgesamt
122
2. Kap.: Erarbeitung des rechtlichen Rahmens
Online-Durchsicht (Online-Durchsuchung im engeren Sinne) und OnlineÜberwachung (Monitoring) zu verstehen.411 So können die Behörden bei einem Zugriff entweder eine einmalige Kopie sämtlicher Daten des Systems (Spiegelung) oder Teile davon anfertigen oder nach einer einmal angefertigten Kopie das System auf mögliche Änderungen hin überwachen.412 Die Online-Durchsicht, also der einmalige Zugriff auf das Endgerät des Betroffenen, stellt die mildeste Form des Zugriffs dar und kommt der offenen Durchsuchung nach §§ 102 ff. StPO am nächsten. Sie birgt für die Strafverfolgungsbehörden jedoch den Vorteil, dass die Verschlüsselung – zumindest teilweise413 – umgangen werden kann. Setzt der Betroffene Verschlüsselungsprogramme ein, die durch die Installation der Software nicht umgangen werden können, hängt es vom Zufall ab, ob er diese im Zeitpunkt der Spiegelung durch Eingabe des Passworts freischaltet. Das Zufalls-Moment kann durch eine Online-Überwachung jedoch minimiert werden, denn über kurz oder lang wird der Nutzer auch die separat verschlüsselten Daten freischalten, um mit ihnen zu arbeiten. Dauert die Überwachung ausreichend lange an, kann mit großer Wahrscheinlichkeit eine Kopie aller gespeicherten Dateien gewonnen werden. Darüber hinaus lässt sich durch das Monitoring das WWW-Verhalten des Nutzers relativ mühelos rekonstruieren.414 b) Gegenstand der Durchsuchung Gegenstand der Online-Durchsuchung ist ein informationstechnisches System, das von dem Betroffenen genutzt wird. Was unter einem informationstechnischen System im Einzelnen zu verstehen ist, wird vom Gesetzgeber nicht näher definiert, es orientiert sich jedoch am Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.415 Schutzobjekt des Computer-Grundrechts sind ITSysteme, soweit diese konstruktionsbedingt dazu geeignet sind, „einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“416. Endge411 Arbeitskreis, „Technische und organisatorische Datenschutzfragen“, S. 1; Zie barth, Online Durchsuchung, S. 3. 412 Buermeyer, HRRS 2007, 154 (160); Hornick, StraFo 2008, 281 (282); Zimmermann, JA 2014, 321 (323) Fn. 35; Ziebarth, Online Durchsuchung, S. 3. 413 Abhängig von der jeweils verwendeten Verschlüsselungstechnologie, vgl. dazu Buermeyer, HRRS 2007, 154 (160). 414 Insgesamt dazu Buermeyer, HRRS 2007, 154 (160 f.). 415 Dies lässt sich zumindest dem Bericht des Ausschusses für Recht und Verbraucherschutz entnehmen, vgl. BT-Drs. 18 / 12785, S. 54. 416 BVerfGE 120, 274 = NJW 2008, 822 (827); Bunzel, Der strafprozessuale Zugriff auf IT-Systeme, S. 150 bezeichnet diese als „potentiell datenintensive IT-Systeme“.
B. Strafprozessuale Ermächtigungsgrundlagen123
räte wie Computer, Laptop, Tablet und Smartphone sind demnach aufgrund ihrer technischen Beschaffenheit vom Schutzbereich des Computergrundrechts umfasst417 und mithin tauglicher Gegenstand der Online-Durchsuchung. Dies gilt auch für (unselbstständige) externe Speichermedien wie externe Festplatten, USB-Speicher, etc.,418 nicht hingegen für kommunizierende Geräte wie Mikrofone oder Webcams.419 Fraglich ist, ob § 100b Abs. 1 StPO den Strafverfolgungsbehörden auch den Zugriff auf den Cloud-Speicher des Betroffenen gestattet, denn wie im Zuge der Darstellung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme bereits erörtert, ist auch der Cloud-Speicher vom Schutzbereich des Computergrundrechts umfasst.420 Eine Einschränkung, wonach die Begriffsbestimmung des § 100b StPO enger gefasst ist als der korrespondierende Schutzbereich,421 ist derzeit nicht ersichtlich. Es ist daher davon auszugehen, dass die Online-Durchsuchung grundsätzlich auch die Cloud-Speicher des Betroffenen mitumfasst.422 Dies entspricht auch der Auffassung des Bundesverfassungsgerichts zur präventiven Online-Durchsuchung gemäß § 20k Abs. 1 BKAG.423 c) Weitere Eingriffsvoraussetzungen Die Anordnung einer Online-Durchsuchung im Sinne des § 100b Abs. 1 Nr. 1 StPO setzt voraus, dass bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete Katalogstraftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat. In § 100b Abs. 2 StPO hat der Gesetzgeber die Katalogstraftaten der akustischen Wohnraumüberwachung (§ 100c Abs. 2 StPO a. F.) 417 Zum
„Computergrundrecht“ vgl. Zweites Kap. A.II.6. auch Arbeitskreis, „Technische und organisatorische Datenschutzfra-
418 Insoweit
gen“, S. 1. 419 Mit diesen Geräten erhobene Daten können jedoch Gegenstand der OnlineDurchsuchung sein, vgl. Arbeitskreis, „Technische und organisatorische Datenschutzfragen“, S. 3; so auch Sinn, Stellungnahme BT-Drs. 18 / 11272, S. 10, der auf die Notwendigkeit einer entsprechenden Formulierung in der Gesetzesbegründung verweist; zu den Möglichkeiten eines „Vollzugriffs“ auf das infiltrierte System vgl. Buermeyer, HRRS 2007, 154 (161). 420 Vgl. dazu bereits Zweites Kap. A.II.6. 421 Vergleichbar mit dem Verständnis von „Telekommunikation“ i. S. d. § 100a StPO (vgl. dazu Zweites Kap. B.IV.1.a)) im Verhältnis zur Schutzbereichseröffnung des Art. 10 GG (vgl. dazu Zweites Kap. A.II.4). 422 So auch Sinn, Stellungnahme BT-Drs. 18 / 11272, S. 10. 423 Die Cloud wird im Urteil ausdrücklich genannt, BVerfGE 141, 220 = NJW 2016, 1781 (1794 Rn. 209).
124
2. Kap.: Erarbeitung des rechtlichen Rahmens
und nicht den der Telekommunikationsbewachung (§ 100a Abs. 2 StPO) übernommen und ordnet damit die Maßnahme von der Schwere des Eingriffs wie die akustische Wohnraumüberwachung ein. Eine Online-Durchsuchung darf daher nur durchgeführt werden, wenn bestimmte Tatsachen vorliegen, die einen entsprechenden, über das Vorliegen eines Anfangsverdachts hinausgehenden Verdacht begründen. Darüber hinaus muss die Tat nicht nur abstrakt, sondern auch im Einzelfall schwer wiegen (§ 100b Abs. 1 Nr. 2 StPO). Als Anhaltspunkte hierfür können die Folgen der Tat, die Schutzwürdigkeit des verletzten Rechtsguts oder das Hinzutreten besonderer Umstände, wie das Zusammenwirken des Beschuldigten mit anderen Straftätern, oder die Vernetzung mit anderen Katalogstraftaten dienen.424 Des Weiteren darf eine Maßnahme nach § 100b Abs. 1 StPO nur angeordnet werden, wenn anderenfalls die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten wesentlich erschwert oder aussichtslos wäre (§ 100b Abs. 1 Nr. 3 StPO).425 Vor der Anordnung einer Online-Durchsuchung „ist daher insbesondere zu prüfen, ob nicht auch eine offene Durchsuchung und Beschlagnahme in Betracht kommt“.426 Diese Voraussetzungen stellen eine Ausprägung des Grundsatzes der Verhältnismäßigkeit dar und tragen der Intensität des Eingriffs Rechnung. Bei der Online-Durchsuchung des CloudSpeichers des beschuldigten Nutzers wäre es daher denkbar zunächst zu prüfen, ob auch ein direkter Zugriff am Ort des Cloud-Anbieters erfolgen kann. Dessen Zulässigkeit und die Frage, ob es sich dabei tatsächlich um ein milderes Mittel handelt, gilt es im weiteren Verlauf der Untersuchung noch zu klären.427 d) Betroffene der Maßnahme Die Online-Durchsuchung erfolgt ohne Wissen des Betroffenen (§ 100b Abs. 1 StPO) und darf sich nur gegen den Beschuldigten richten (§ 100b Abs. 3 S. 1 StPO). Ein Eingriff in informationstechnische Systeme anderer Personen ist nach den zusätzlichen kumulativen Voraussetzungen des § 100b Abs. 3 S. 2 StPO möglich, wenn auf Grund bestimmter Tatsachen anzuneh424 Insgesamt vgl. zur akustischen Wohnraumüberwachung Schmitt, in: MeyerGoßner / Schmitt StPO, § 100c Rn. 5, 6. 425 Die Subsidiaritätsklausel orientiert sich insoweit an der des § 100a Abs. 1 Nr. 3 StPO (zur „besonders qualifizierten Subsidiarität“ i. S. d. § 100a Abs. 1 Nr. 3 StPO vgl. Zweites Kap. B.IV.1.b)) und nicht der strengsten Subsidiaritätsklausel des § 100c Abs. 1 Nr. 4 StPO (BVerfGE 109, 279 = MMR 2004, 302 (306 f.), wonach die Maßnahme nur als ultima ratio in Betracht kommt (BT-Drs. 15 / 4533, S. 13; kritisch zum Stufenverhältnis der Subsidiaritätsklauseln, Wolter, in: SK-StPO, § 100c Rn. 47). 426 BT-Drs. 18 / 12785, S. 55. 427 Zur Durchsuchung am Ort des Cloud-Anbieters vgl. Zweites Kap. B.II.1.
B. Strafprozessuale Ermächtigungsgrundlagen125
men ist, dass der Beschuldigte das informationstechnische System der anderen Person nutzt (Nr. 1) und die Durchführung des Eingriffs in das informationstechnische System des Beschuldigten alleine nicht den mit der Maßnahme bezweckten Erfolg herbeiführen wird (Nr. 2). aa) Bei einer exklusiv genutzten Cloud Fraglich ist, wie die Online-Durchsuchung des Cloud-Speichers des Beschuldigten einzuordnen ist. Wie vorgehend bereits erörtert, erstreckt sich der Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auch auf den Cloud-Speicher des Beschuldigten. Der Cloud-Speicher selbst stellt jedoch technisch gesehen ein informationstechnisches System des Cloud-Anbieters dar, so dass prima vista eine Online-Durchsuchung nur nach den zusätzlichen Voraussetzungen des § 100b Abs. 1 S. 2 StPO möglich wäre. Ein derartiges Vorgehen würde jedoch der ratio legis der Norm nicht gerecht. Ziel der Online-Durchsuchung ist die Erforschung sachdienlicher Hinweise, welche sich aus dem informa tionstechnischen System ergeben. Dies setzt zunächst die Nutzung des Systems durch den Beschuldigten voraus. Dem entspricht auch die Regelung des § 100b Abs. 3 S. 2 Nr. 1 StPO. Die zusätzlichen Voraussetzungen des § 100b Abs. 3 S. 2 StPO dienen dem Ziel, das Risiko, dass andere Personen zum Gegenstand staatlicher Ermittlungen werden, nach Möglichkeit zu vermeiden und die Beeinträchtigungen anderer Personen durch die gegen den Beschuldigten eingeleiteten Ermittlungsmaßnahmen so gering wie möglich zu halten.428 Derartige Vorkehrungen sind jedoch nur zu treffen, wenn das in Rede stehende System – zumindest auch – von anderen Personen genutzt wird. Die Nutzung des Systems ist im Hinblick auf den Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu verstehen. Maßgeblich ist daher, wer davon ausgehen kann, die in der Cloud gespeicherten Daten selbstbestimmt zu ändern, zu ergänzen oder zu löschen und Dritten den Zugang verweigern zu können.429 Überträgt man diese Überlegungen auf den Cloud-Speicher des Beschuldigten, ist Folgendes zu konstatieren: Der Cloud-Speicher als solcher wird zwar in seiner Gesamtheit – dies betrifft die Organisation aller Hard- und Software-Komponenten – vom Cloud-Anbieter betrieben. Dieser stellt dem Cloud-Nutzer jedoch virtuellen Speicherplatz zur Verfügung. Die hinter dem Cloud Computing stehende Virtualisierungstechnik gewährleistet eine saubere Trennung der Daten der einzelnen Nutzer. So kann kein Nutzer in die 428 Ähnlich, jedoch im Kontext des § 100c StPO, Eckstein, Ermittlungen zu Lasten Dritter, S. 210 ff. 429 Zum Schutzbereich des Computergrundrechts vgl. Zweites Kap.A.II.6.
126
2. Kap.: Erarbeitung des rechtlichen Rahmens
Daten des anderen Einsicht nehmen und die Daten können eindeutig dem jeweiligen Nutzer zugeordnet werden.430 Der jeweils zugewiesene virtuelle Speicherplatz wird sodann ausschließlich vom Cloud-Nutzer – und insbesondere nicht vom Cloud-Anbieter – genutzt. Nutzt der Beschuldigte seinen Cloud-Dienst exklusiv431, besteht keine Gefahr, dass andere Personen zum Gegenstand staatlicher Ermittlungen werden. Bei der Online-Durchsuchung einer exklusiv genutzten Cloud ist daher nur der beschuldigte Cloud-Nutzer von der Maßnahme der Strafverfolgungsbehörden in seinem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen. bb) Bei einer gemeinsam genutzten Cloud Bei einer gemeinsam genutzten Cloud haben mehrere Nutzer gleichwertigen Zugang zu einem Cloud-Speicher, sprich sie teilen sich den vom CloudAnbieter zur Verfügung gestellten virtuellen Speicherplatz. Infiltrieren die Strafverfolgungsbehörden den Cloud-Speicher, ist auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme des anderen – nicht beschuldigten – Cloud-Nutzers betroffen. Fraglich ist daher, nach welcher Maßgabe der Eingriff zu beurteilen ist. Überwachungsanordnungen ergehen grundsätzlich systembezogen (§ 100e Abs. 3 Nr. 6 StPO). Bei der Anordnung der Überwachung ist daher zwischen dem jeweiligen Endgerät des Beschuldigten und dem Cloud-Speicher zu differenzieren. Die Überwachung eines gemeinsam genutzten Cloud-Speichers ist vergleichbar mit der akustischen Überwachung in einer Wohngemeinschaft gemäß § 100c StPO. Wie in § 100c Abs. 3 StPO hat der Gesetzgeber auch in § 100b Abs. 3 StPO ein sachbezogenes Stufenverhältnis der Überwachungsobjekte statuiert. § 100b Abs. 3 S. 2 StPO privilegiert informationstechnische Systeme anderer Personen gegenüber denen des Beschuldigten. Unter mehreren informationstechnischen Systemen müssen vorrangig solche überwacht werden, die keine andere Person (mit) benutzt. Dies gilt nicht nur für exklusiv genutzte Systeme.432 Wollen die Strafverfolgungsbehörden die Online-Durchsuchung auf einen gemeinsam genutzten Cloud-Speicher ausweiten, sind die zusätzlichen Vo raussetzungen des § 100b Abs. 3 S. 2 StPO zu beachten, sprich, es ist zu 430 Zur Virtualisierungstechnik vgl. Erstes Kap. C.III sowie zur Durchsuchung am Ort des Cloud-Anbieters vgl. Zweites Kap. B.II.1.a). 431 Sprich nicht zusammen mit weiteren Cloud-Nutzern. 432 Eckstein, Ermittlungen zu Lasten Dritter, S. 216, jedoch in Bezug auf § 100c StPO, der bei sachbezogenen Belastungen keinen Raum für § 100c Abs. 3 S. 3 StPO sieht, da diese immer zielgerichtet erfolgen.
B. Strafprozessuale Ermächtigungsgrundlagen127
prüfen, ob die Überwachung exklusiv genutzter Systeme nicht ausreichend ist, um den bezweckten Erfolg zu erreichen. Darüber hinaus stellt § 100b Abs. 3 S. 3 StPO klar, dass eine Online-Durchsuchung, die andere Personen belastet, nur angeordnet werden darf, wenn die Belastung weder zielgerichtet noch vermeidbar ist.433 e) Schutz des Kernbereichs privater Lebensgestaltung § 100d StPO n. F. trägt der Forderung des Bundesverfassungsgerichts Rechnung, wonach bei eingriffsintensiven Maßnahmen mit genereller Relevanz für den Kernbereich privater Lebensgestaltung einer Person auf Erhebungs- und Verwertungsebene hinreichende Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung zu treffen sind.434 § 100d Abs. 1 StPO n. F. betrifft die Erhebungsebene und erklärt die Online-Durchsuchung für unzulässig, wenn tatsächliche Anhaltspunkte für die Annahme vorliegen, dass durch die Maßnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt werden. Ein Überwachungsverbot liegt daher nur vor, wenn die Strafverfolgungsbehörden durch die Online-Durchsuchung allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangen würden. Derartige Anhaltspunkte werden in lebensnahen Fällen jedoch kaum zu finden sein, da informationstechnische Systeme so gut wie immer – und wohl auch mehrheitlich –Daten enthalten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind. § 100d Abs. 3 S. 1 StPO n. F. stellt daher eine spezifische Ergänzung auf Erhebungsebene dar, wonach, soweit möglich, technisch sicherzustellen ist, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Die Anforderungen liegen daher deutlich unter denen des § 100d Abs. 4 StPO. Ein weiteres Indiz dafür, dass der Gesetzgeber § 100b StPO n. F. von der Eingriffsschwere her wohl zwischen § 100a und § 100c StPO einordnet. Die vom Bundesverfassungsgericht geforderten Schutzvorkehrungen auf Verwertungsebene werden in § 100d Abs. 2 StPO normiert. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung dürfen nicht verwertet werden (S. 1) und sind unverzüglich zu löschen (S. 2). Die Tatsache ihrer Erlangung und die Löschung sind zu dokumentieren (S. 3).
433 Ebenfalls in Bezug auf § 100c StPO, Eckstein, Ermittlungen zu Lasten Dritter, S. 217. 434 BVerfG, DÖV 2008, 459 (463); dies., NJW 2012, 833 (837).
128
2. Kap.: Erarbeitung des rechtlichen Rahmens
f) Anordnung der Online-Durchsuchung aa) Form, Inhalt und Begründung Form und Inhalt der Anordnung einer Online-Durchsuchung richten sich nach § 100e Abs. 3 StPO. Die Anordnung ergeht schriftlich und soll – unter anderem – „eine möglichst genaue Bezeichnung des informationstechnischen Systems, aus dem Daten erhoben werden sollen“ enthalten (Nr. 6). Diese Regelung kommt im Lichte des Grundsatzes der Verhältnismäßigkeit insbesondere bei gemeinsam genutzten Cloud-Speichern zum Tragen, wenn nicht nur das exklusiv genutzte Endgerät, sondern auch eine gemeinsam genutzte Cloud überwacht werden soll. Die Begründung der Anordnung richtet sich nach § 100e Abs. 4 StPO und unterliegt strengen Anforderungen, da es dem Betroffenen aufgrund der Heimlichkeit der Maßnahme verwehrt ist, päventiv Einwände zu erheben. Das Gericht hat die Voraussetzungen des § 100b StPO und die wesentlichen Abwägungsgesichtspunkte daher so darzulegen, dass der Grundrechtseingriff kontrollier- und messbar bleibt.435 bb) Zuständigkeit Die Online-Durchsuchung darf – wie die akustische Wohnraumüberwachung gemäß § 100c StPO – nur auf Antrag der Staatsanwaltschaft durch die in § 74a Abs. 4 GVG genannte Kammer des Landgerichts angeordnet werden, in dessen Bezirk die Staatsanwaltschaft ihren Sitz hat (§ 100e Abs. 2 S. 1 StPO). Bei Gefahr in Verzug kann die Anordnung auch durch den Vorsitzenden getroffen werden (S. 2), muss dann jedoch binnen drei Tagen von der Kammer bestätigt werden (S. 3). Die nach § 74 a Abs. 4 GVG zuständige Kammer des Landgerichts darf im Übrigen nicht mit Hauptverfahren in Strafsachen befasst sein. Dadurch soll mit Blick auf Art. 103 Abs. 1 GG und das Recht auf ein faires Verfahren sichergestellt werden, dass das erkennende Gericht nicht über Informationen verfügt, die dem Betroffenen noch nicht bekannt sind.436 Um eine fortlaufende Überwachung des Fortbestehens der Anordnungsvoraussetzungen durch das Gericht zu ermöglichen, ist die Anordnung der Online-Durchsuchung auf höchstens einen Monat zu befristen (§ 100e Abs. 2 435 BVerfGE 109, 279 = MMR 2004, 302 (306); 103, 142 = JuS 2001, 701 (702) jeweils im Kontext der akustischen Wohnraumüberwachung. 436 Diese Gefahr besteht namentlich bei der Zurückstellung der Benachrichtigung nach § 101 Abs. 7 StPO, vgl. insoweit nur Wolter, in: SK-StPO § 100d Rn. 3, jedoch im Bezug auf Maßnahmen nach § 100c StPO.
B. Strafprozessuale Ermächtigungsgrundlagen129
S. 4 StPO). Eine Verlängerung ist jedoch unter den Voraussetzungen des § 100e Abs. 2 S. 5 StPO möglich. g) Beendigung, Verwendung und Berichtspflichten Liegen die Anordnungsvoraussetzungen nicht mehr vor, so ist die OnlineDurchsuchung unverzüglich zu beenden (§100e Abs. 5 S. 1 StPO) und das anordnende Gericht ist über den Verlauf sowie die Ergebnisse zu unterrichten (S. 2 und 3). Der Verwendungsbereich von bei der Online-Durchsuchung erlangten Daten richtet sich nach §100e Abs. 6 StPO. § 101b Abs. 1 S. 1 StPO sieht eine jährliche Berichtspflicht gegenüber dem Bundesamt für Justiz vor. Das Bundesamt für Justiz erstellt sodann eine Übersicht nach Maßgabe des § 101b Abs. 3 StPO zu den durchgeführten Online-Durchsuchungen und veröffentlicht diese im Internet (§ 101b Abs. 1 S. 2 StPO). So wird die Transparenz der Maßnahme gestärkt und ihre Evaluierung erleichtert.
II. Maßnahmen am Ort des Cloud-Anbieters im Bezug auf Inhaltsdaten Wollen die Ermittlungsbehörden über den Cloud-Anbieter auf die Daten des verdächtigen Cloud-Nutzers zugreifen, kommt als offene Ermittlungsmaßnahme eine Durchsuchung bei Dritten gemäß § 103 StPO in Betracht. Die Durchsuchung des Cloud-Speichers des verdächtigen Cloud-Nutzers am Ort des Cloud-Anbieters ist vor allem deshalb interessant, weil offene Durchsuchungen nach §§ 102 ff. StPO keinen Straftatenkatalog vorsehen, sondern bei jeder Straftat angeordnet werden können und auch sonst verfahrensmäßig wesentlich einfacher zu erlangen sind. § 95 StPO gestattet den Ermittlungsbehörden zudem, beweiserhebliche Gegenstände vom Gewahrsamsinhaber herauszuverlangen. 1. § 103 StPO – Durchsuchung bei Dritten Haben die Ermittlungsbehörden Kenntnis davon erlangt, dass der Verdächtige einen Cloud-Dienst nutzt, kann auch eine Durchsuchung beim nicht verdächtigen Cloud-Anbieter angeordnet werden (Fall 8437). Unter den engeren Voraussetzungen des § 103 Abs. 1 StPO ist eine Durchsuchung auch bei Personen zulässig, die nicht im Verdacht stehen, an der Tat beteiligt gewesen 437 Zu
G.II.
den denkbaren Fallvarianten am Ort des Cloud-Anbieters vgl. Erstes Kap.
130
2. Kap.: Erarbeitung des rechtlichen Rahmens
zu sein, zu deren Verfolgung die Durchsuchung durchgeführt werden soll. Trotz des teilweise unterschiedlichen Wortlauts sind Begriff, Zweck sowie Gegenstand der Durchsuchung identisch mit denen des § 102 StPO.438 a) Der Cloud-Anbieter als „andere Person“ Unter andere Personen im Sinne des § 103 Abs. 1 StPO sind alle Personen zu subsumieren, die nicht beschuldigt sind, an der den Gegenstand des Verfahrens bildenden Straftat beteiligt zu sein, oder die aufgrund eines Rechtfertigungs-, Schuldausschluss- oder Strafausschließungsgrundes nicht verfolgt werden können.439 Voraussetzung ist jedoch immer, dass eine andere Person, die als Beschuldigter in Betracht kommt, existiert.440 Die engeren Voraussetzungen des § 103 StPO resultieren daraus, dass eine Person, gegen die kein Tatverdacht besteht, gegenüber dem Beschuldigten nur beschränkt in Anspruch genommen werden kann.441 In diesem Zusammenhang gewinnt auch § 108 StPO an Bedeutung. Gemäß § 108 Abs. 1 S. 1 StPO dürfen Gegenstände, die bei einer Durchsuchung gefunden wurden und in keiner Beziehung zu der Untersuchung stehen, jedoch auf die Verübung einer anderen Straftat hindeuten, einstweilen in Beschlag genommen werden. Findet eine Durchsuchung beim Nichtverdächtigen statt, sieht sich auch dieser der Gefahr von Zufallsfunden gemäß § 108 StPO ausgesetzt. Die Gefahr von Zufallsfunden bei Unbeteiligten ist jedoch nur dann gegeben, wenn tatsächlich eine Suche stattfindet. Bei Cloud-Storage-Angeboten stellt der Betreiber dem Nutzer im Wesentlichen Speicherplatz auf virtuellen Servern zur Verfügung.442 Die Virtualisierungstechnik gewährleistet eine saubere Trennung der Daten der einzelnen Nutzer. So kann kein Nutzer in die Daten des anderen Einsicht nehmen und die Daten können eindeutig dem jeweiligen Nutzer zugeordnet werden.443 Wird demnach am Ort des Cloud-Anbieters nur der Datensatz des verdächtigen Cloud-Nutzers durchsucht beziehungsweise durchgesehen, erhalten die Strafverfolgungsbehörden nur in die Daten des verdächtigen Cloud-Nutzers Einblick. Die Gefahr der Zufallsfunde gemäß § 108 Abs. 1 S. 1 StPO gegen438 Tsambikakis, in: LR-StPO § 103 Rn. 1; zur Durchsuchung gemäß § 102 StPO vgl. Zweites Kap. B.I.1. 439 Schmitt, in: Meyer-Goßner / Schmitt StPO § 103 Rn. 1; Tsambikakis, in: LRStPO § 103 Rn. 3; Wohlers, in: SK-StPO § 103 Rn. 3. 440 Schmitt, in: Meyer-Goßner / Schmitt StPO § 103 Rn. 1; Wohlers, in: SK-StPO § 103 Rn. 3. 441 Wohlers, in: SK-StPO § 103 Rn. 1. 442 Zu IaaS- und SaaS-Angeboten vgl. Erstes Kap. C.I.1 sowie C.I.3. 443 Zur Virtualisierungstechnik vgl. Erstes Kap. C.III.
B. Strafprozessuale Ermächtigungsgrundlagen131
über dem Cloud-Anbieter ist nicht gegeben. Die Durchsuchung des Datensatzes des verdächtigen Cloud-Nutzers ist vielmehr vergleichbar mit der Durchsuchung eines Bankschließfachs, die sich ebenfalls nach § 102 StPO richtet,444 da dort nicht erst in fremden Räumen nach den Sachen des Verdächtigen gesucht werden muss, die Strafverfolgungsbehörden vielmehr ausschließlich in den Sachen des Verdächtigen suchen.445 Dies setzt jedoch voraus, dass der Cloud-Anbieter den Ermittlungsbehörden den Datensatz des verdächtigen Cloud-Nutzers zugänglich macht, sozusagen das Schließfach öffnet. Macht der Cloud-Anbieter den Strafverfolgungsbehörden den Datensatz des verdächtigen Cloud-Nutzers zugänglich, findet keine Durchsuchung gemäß § 103 StPO beim Cloud-Anbieter als unverdächtigen Dritten statt.446 Es handelt sich vielmehr um eine Durchsuchung beim Verdächtigen gemäß § 102 StPO, die am Ort des Cloud-Anbieters stattfindet. Haben die Ermittlungsbehörden bereits Kenntnis davon erlangt, dass sich in der Cloud beweiserhebliche Daten befinden, ist der Cloud-Anbieter gemäß § 95 Abs. 1 StPO zur Herausgabe dieser Daten verpflichtet. Sind die Ermittlungsbehörden jedoch noch auf der Suche nach beweiserheblichen Daten in der Cloud, ist noch kein Herausgabeanspruch gemäß § 95 Abs. 1 StPO gegenüber dem Cloud-Anbieter gegeben.447 Aus Gründen der Verhältnismäßigkeit werden die Strafverfolgungsbehörden den Cloud-Anbieter dann jedoch zur Zugänglichmachung des Datensatzes des verdächtigen Cloud-Nutzers auffordern. Kommt dieser der Aufforderung nach und macht er die Daten beispielsweise über einen Gastzugang zugänglich, findet die Durchsuchung ausschließlich in den Gegenständen des verdächtigen Nutzers statt. Im Zweifel müssen die Strafverfolgungsbehörden dafür nicht einmal die Räume des Cloud-Anbieters betreten. Suchen die Ermittlungsbehörden also am Ort des Cloud-Anbieters nach beweiserheblichen Daten ausschließlich im Datensatz des verdächtigen Cloud-Nutzers, handelt es sich um eine Maßnahme nach § 102 StPO. Wird der Datensatz des verdächtigen Nutzers den Ermittlungs444 Lübke / Müller / Bonenberger, Steuerfahndung, § 3 Rn. 3 mit Verweis; vgl. auch BVerfG, BeckRS 2002 30288104 wonach Bankschließfächer – auch wenn es sich dabei nicht um eine Wohnung i. S. d. Art. 13 GG handelt – den sonstigen Räumen oder Sachen des Verdächtigen zuzuordnen sind; sowie LG Fulda, NJW 2000, 1508 wonach die Durchsuchung der Bankschließfächer nicht an den Voraussetzungen des § 103 StPO gemessen wird. 445 Vgl. Tsambikakis, in: LR-StPO § 102 Rn. 40. 446 Wicker, Cloud Computing und staatlicher Strafanspruch, S. 346 f. geht bei einer Durchsuchung im Cloud-Speicher des Nutzers am Ort des Anbieters auch vom Vorliegen der Voraussetzungen des § 103 Abs. 2 StPO aus. Demnach seien Cloud-Speicher als Räume i. S. d. § 103 Abs. 2 StPO zu betrachten, in denen die virtuelle Anwesenheit des Verdächtigen für die Anwendbarkeit des § 103 Abs. 2 StPO genüge. 447 So – jedoch ohne weitere Differenzierung – auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 350.
132
2. Kap.: Erarbeitung des rechtlichen Rahmens
behörden seitens des Cloud-Anbieters nicht zugänglich gemacht, ist die Durchsuchung beim Cloud-Anbieter an den Voraussetzungen des § 103 StPO zu messen.448 b) Erfolgsaussicht § 103 Abs. 1 S. 1 StPO setzt weiterhin eine Erfolgsaussicht voraus. Es müssen also bestimmte Tatsachen vorliegen, die die Annahme rechtfertigen, dass der Dritte beweisrelevante Gegenstände besitzt und der Durchsuchungserfolg herbeigeführt werden kann.449 Bloße Vermutungen oder rein kriminalistische Erfahrungen vermögen den mit der Durchsuchung einhergehenden Eingriff in die Reche Dritter nicht zu rechtfertigen.450 Im Hinblick auf einen effektiven Grundrechteschutz muss der Durchsuchungserfolg wenigstens wahrscheinlich sein.451 Es müssen also Anhaltspunkte vorliegen, die darauf hindeuten, dass der Nutzer beweisrelevante Gegenstände in der Cloud und damit auf den Servern des Anbieters gespeichert hat. Haben die Behörden aus dem bisherigen Ermittlungsverfahren die Kenntnis erlangt, dass der Verdächtige einen Cloud-Dienst nutzt, ist dies aus kriminalistischer Sicht für die Annahme ausreichend, dass die gesuchten Informationen in der Cloud – und damit auf den Servern des Anbieters – gespeichert sein könnten.452 c) Grundsatz der Verhältnismäßigkeit Besondere Beachtung bei Durchsuchungen nach § 103 Abs. 1 StPO muss der Grundsatz der Verhältnismäßigkeit finden, da sich die Maßnahme gegen Personen richtet, deren Verhalten aus Sicht der Ermittlungsbehörden keinen Anlass für das Einleiten der Ermittlungstätigkeiten gegeben hat.453 Dient die Durchsuchung dem Auffinden von Beweismitteln, so ist der Betroffene in jedem Fall zunächst aufzufordern, die gesuchten Beweismittel freiwillig herauszugeben.454 Bevor am Ort des Cloud-Anbieters eine Durchsuchung gemäß 448 Insgesamt dazu und im Ergebnis auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 349 f. 449 BGH, wistra 1997, 107 f. 450 LG Frankfurt, StV 2002, 70; LG Berlin, StV 2002, 69; Schmitt, in: MeyerGoßner / Schmitt StPO § 103 Rn. 5 f. 451 Die Wahrscheinlichkeit des Erfolgs ist erforderlich, aber auch ausreichend, OLG Düsseldorf, wistra 2008, 318; LG Frankfurt, StV 2002, 70. 452 Insgesamt dazu Wicker, Cloud Computing und staatlicher Strafanspruch, S. 346. 453 BVerfG, NJW 2007, 1804; Wohlers, in: SK-StPO § 103 Rn. 16 m. w. N. 454 LG Köln, NJW 1981, 1746 (1747); LG Bremen, NJW 1981, 592; LG Köln, StV 2005, 260. Zur Editionspflicht vgl. Zweites Kap. B.II.2.
B. Strafprozessuale Ermächtigungsgrundlagen133
§ 103 StPO stattfindet, ist der Cloud-Anbieter daher zunächst aufzufordern, den Behörden die Daten des verdächtigen Cloud-Nutzers zugänglich zu machen, damit diese sodann gemäß § 102 StPO durchsucht werden können. Ist abzusehen, dass der Anbieter nicht mit den Ermittlungsbehörden kooperiert, kann vorsorglich bereits eine Durchsuchungsanordnung gemäß § 103 StPO beschafft werden. Diese ist jedoch erst dann zu vollstrecken, wenn das gesuchte Beweismittel nicht freiwillig herausgegeben wird,455 beziehungsweise die Daten des verdächtigen Cloud-Nutzers den Strafverfolgungsbehörden nicht zugänglich gemacht werden. d) Rechte des verdächtigen Cloud-Nutzers bei einer Durchsuchung am Ort des Cloud-Anbieters aa) Anwesenheitsrecht gem. § 106 StPO § 106 Abs. 1 S. 1 StPO räumt dem Inhaber der zu durchsuchenden Gegenstände ein Anwesenheitsrecht ein. § 106 StPO regelt zusammen mit § 104 und § 105 Abs. 2 StPO das Verfahren und ist Ausdruck des Prinzips der Offenheit der Durchsuchung.456 Bei der Bestimmung des Inhabers kommt es auf die tatsächlichen Umstände an. Inhaber ist somit der Gewahrsamsinhaber,457 der am Ort der Durchsuchung anwesend ist458. Findet die Durchsuchung des Cloud-Speichers – gleichwohl ob gemäß § 102 oder § 103 StPO – am Ort des Cloud-Anbieters statt, steht dem verdächtigen Cloud-Nutzer als Mitgewahrsamsinhaber daher ein Anwesenheitsrecht nach § 106 Abs. 1 S. 1 StPO nur zu, soweit er am Ort des Cloud-Anbieters anwesend ist. Dies wird regelmäßig jedoch nicht der Fall sein. Das Anwesenheitsrecht kann daher regelmäßig nur durch den Cloud-Anbieter, als Mitgewahrsamsinhaber der in der Cloud gespeicherten Daten, wahrgenommen werden. Nach § 106 Abs. 2 S. 1 StPO ist dem Betroffenen vor Beginn der Durchsuchung der Zweck der Durchsuchung bekanntzugeben. Mit Blick auf das Rechtsstaatsprinzip gilt dies – über den Wortlaut des § 106 Abs. 2 S. 1 StPO hinaus – für Durchsuchungen nach § 103 und § 102 StPO.459 Soweit der Datensatz des verdächtigen Cloud-Nutzers den Ermittlungsbehörden vom Cloud455 Amelung, StV 1985, 257 (262); Quermann, wistra 1988, 254 (257); Sommermeyer, Jura 1992, 449 (452); LG Kaiserslautern, NStZ 1981, 438 (439); Schmitt, in: Meyer-Goßner / Schmitt StPO § 103 Rn. 1a; Tsambikakis, in: LR-StPO § 103 Rn. 8. 456 BGH, StV 2007, 115; Ransiek, wistra 1999, 401 (405). 457 Vgl. dazu nur Bruns, in: KK-StPO, § 106 Rn. 1. 458 Das Recht zur Anwesenheit ist an den Umstand gebunden, dass der Inhaber sich am Ort der Durchsuchung aufhält, vgl. Tsambikakis, in: LR-StPO § 106 Rn. 3. 459 Wohlers, in: SK-StPO § 106 Rn. 25; Rengier, NStZ 1981, 372 (373 f.); Schuhmann, wistra 1993, 93 (95).
134
2. Kap.: Erarbeitung des rechtlichen Rahmens
Anbieter zugänglich gemacht wird, ist von einer Durchsuchung gemäß § 102 StPO auszugehen, die am Ort des Cloud-Anbieters stattfindet. Dies bedeutet, dass dem verdächtigen Cloud-Nutzer als Betroffenem der Durchsuchung grundsätzlich vor der Durchsuchung am Ort des Cloud-Anbieters die richterliche Durchsuchungsanordnung auszuhändigen ist.460 Ist die Information über die bevorstehende Durchsuchung jedoch geeignet, den Durchsuchungserfolg zu gefährden, kommt auch eine nachträgliche Mitteilung in Betracht.461 Dies ist bei der Durchsuchung des Cloud-Speichers am Ort des Cloud-Anbieters regelmäßig der Fall, da anderenfalls die Gefahr besteht, dass der verdächtige Cloud-Nutzer aus der Ferne die beweiserheblichen in der Cloud gespeicherten Daten löscht. Kooperiert der Cloud-Anbieter nicht mit den Strafverfolgungsbehörden und findet eine Durchsuchung des Cloud-Speichers gemäß § 103 StPO am Ort des Cloud-Anbieters statt, hat die Bekanntmachung gemäß § 106 Abs. 2 S. 1 StPO diesem gegenüber zu erfolgen.462 bb) Mitteilungspflichten gem. § 107 StPO Gemäß § 107 S. 1 StPO ist dem von der Durchsuchung Betroffenen nach Beendigung der Durchsuchung auf Verlangen eine schriftliche Mitteilung zu machen, die den Grund der Durchsuchung sowie im Falle des § 102 StPO die Straftat bezeichnen muss.463 Auch ist ihm auf Verlangen ein Verzeichnis der in Verwahrung oder Beschlag genommenen Gegenstände und soweit nichts Verdächtiges gefunden wurde, eine Bescheinigung hierüber zu geben (Satz 2). § 107 StPO dient der Sicherstellung des rechtlichen Gehörs und gewährleistet, dass der Betroffene unmittelbar nach der Durchsuchung informiert wird, und dadurch die Gelegenheit erhält, die Maßnahme auf deren Rechtmäßigkeit hin zu überprüfen und gegebenenfalls Rechtsschutz in Anspruch zu nehmen.464 Antragsberechtigt ist jeder (Mit-)Gewahrsamsinhaber 460 Vgl. Tsambikakis, in: LR-StPO § 107 Rn. 2; einschränkend Nack, in: KK-StPO § 107 Rn. 3, wonach der Betroffene möglichst schon vor der Durchsuchung informiert werden soll. 461 Tsambikakis, in: LR-StPO § 107 Rn. 2. 462 Die Bekanntmachung gemäß § 106 Abs. 2 S. 1 StPO gebietet grundsätzlich auch der Grundsatz der Verhältnismäßigkeit, da der Betroffene (Dritte) nur so in die Lage versetzt wird, die gesuchten beweiserheblichen Gegenstände freiwillig herauszugeben und so die Maßnahme der Durchsuchung abzuwenden. Hat der Anbieter jedoch die Kooperation verweigert, läuft dieses Argument leer. 463 Die Mitteilungspflicht für richterliche Entscheidungen ergibt sich bereits aus § 35 StPO. § 107 S. 1 StPO ist daher in erster Linie für die Fälle von Bedeutung, in denen eine nichtrichterliche Anordnung vorliegt oder die Bekanntmachung einer richterlichen Anordnung zurückgestellt wurde (BGHSt 51, 211 (213) = MMR 2007, 237), beispielsweise um den Durchsuchungserfolg nicht zu gefährden. 464 Hauschild, in: MüKo-StPO § 107 Rn. 3.
B. Strafprozessuale Ermächtigungsgrundlagen135
der durchsuchten Räume oder Gegenstände.465 Ist der Gewahrsamsinhaber am Ort der Durchsuchung nicht anwesend, kann dieser die Bescheinigung auch nachträglich verlangen.466 Hat der Mitgewahrsamsinhaber von der Durchsuchung keine Kenntnis erlangt und kann er deshalb seinen Anspruch nach § 107 StPO nicht selbstständig wahrnehmen, sind ihm die erforderlichen Mitteilungen von Amts wegen zu machen.467 Findet die Durchsuchung des Cloud-Speichers gemäß § 102 StPO am Ort des Cloud-Anbieters statt, so ist der Verdächtige sobald der Durchsuchungserfolg nicht mehr gefährdet ist, spätestens jedoch nach Beendigung der Durchsuchung gemäß § 107 S. 1 StPO, schriftlich zu benachrichtigen. Dies ist geradezu essentiell, da die Durchsuchung gemäß § 102 StPO aus Sicht des verdächtigen Cloud-Nutzers einer heimlichen Online-Durchsuchung gemäß § 100b StPO gleichkommt, welche jedoch an wesentlich höheren Vo raussetzungen zu messen ist. Ist die Durchsuchung am Ort des Cloud-Anbieters nach Maßgabe des § 103 StPO zu beurteilen, so ist der verdächtige Cloud-Nutzer spätestens nach Beendigung der Maßnahme von Amts wegen zu benachrichtigen. Zusammenfassend lässt sich daher festhalten, dass die hier vorgeschlagene Auslegung der Vorschriften der §§ 106, 107 StPO sicherstellen können, dass eine Durchsuchung des Cloud-Speichers am Ort des Cloud-Anbieters gemäß § 103 StPO für den verdächtigen Cloud-Nutzer keiner heimlichen OnlineDurchsuchung gemäß § 100b StPO gleichkommt. Bei einer Durchsuchung nach §§ 102, 103 StPO handelt es sich um eine punktuelle Maßnahme, deren Offenheit durch Anwesenheits- und Bekanntmachungsrechte gewährleistet wird. Auch wenn der verdächtige Cloud-Nutzer überwiegend nicht am Ort der Durchsuchung anwesend sein und in den meisten Fällen auch erst nach Beendigung der Durchsuchung von der Maßnahme Kenntnis erlangen wird, erfolgt die Durchsuchung offen gegenüber dem Cloud-Anbieter als Mitgewahrsamsinhaber. Dabei handelt es sich jedoch nicht um ein Cloud-spezifisches Phänomen. Es verwirklicht sich vielmehr die Gefahr, die entsteht, wenn beweiserhebliche Gegenstände – gleichwohl ob körperlich oder unkörperlich – aus der Hand gegeben werden und der Mitgewahrsam einer anderen Person begründet wird, da die Vorschriften zur Durchsuchung nicht an die Eigentumsverhältnisse sondern den Gewahrsam anknüpfen.468 465 Hauschild,
Rn. 4.
466 Wohlers,
in: MüKo-StPO § 107 Rn. 2; Tsambikakis, in: LR-StPO § 107
in: SK-StPO § 107 Rn. 4. in: SK-StPO § 107 Rn. 3; einschränkend Tsambikakis, in: LR-StPO § 107 Rn. 4, wonach – allgemein – eine Verpflichtung der Behörden von Amts wegen nicht besteht. 468 Zum Gewahrsam vgl. bereits die Ausführungen zu Zweites Kap. B.I.1.c). 467 Wohlers,
136
2. Kap.: Erarbeitung des rechtlichen Rahmens
2. § 95 StPO – Herausgabeverlangen Haben die Ermittlungsbehörden bereits Kenntnis davon erlangt, dass der verdächtige Cloud-Nutzer beweiserhebliche Daten in seinem Cloud-Speicher gespeichert hat (Fall 10469), steht den Strafverfolgungsbehörden neben der Sicherstellung gemäß § 94 StPO auch das Herausgabeverlangen gemäß § 95 StPO zur Verfügung. Besteht Gewissheit darüber, dass sich ein beweiserheblicher Gegenstand im Gewahrsam eines Betroffenen befindet, der zur Mitwirkung verpflichtet ist, kommt ein Herausgabeverlangen gestützt auf § 95 StPO in Betracht.470 Die Editionspflicht ist gegenüber Durchsuchung und Beschlagnahme das mildere Mittel, da es dem Betroffenen die Möglichkeit bietet, sich für oder gegen eine Kooperation mit den Strafverfolgungsbehörden zu entscheiden.471 Solange das Herausgabeverlangen nicht die Gefahr begründet, den Erfolg der Sicherstellung zu schmälern, ist das Vorgehen nach § 95 StPO grundsätzlich das vorrangige Mittel.472 a) Zuständigkeit Zuständig sind grundsätzlich – auch wenn Gefahr in Verzug nicht besteht – sowohl der Richter, die Staatsanwaltschaft als auch die Polizei.473 Für den Fall der Weigerung kann mit dem Herausgabeverlangen gleichzeitig auch die Anwendung von Ordnungs- und Zwangsmitteln (§ 95 Abs. 2 StPO) angedroht sowie auf die Möglichkeit der Durchsuchung und Beschlagnahme hingewiesen werden.474 Das Herausgabeverlangen berechtigt die Behörden nicht zur Anwendung unmittelbaren Zwangs, sondern begründet eine öffentlich-rechtliche Pflicht des Betroffenen zur Mitwirkung, deren Nichtbefolgen dann mittelbar mit Zwangsmitteln bedroht ist.475
469 Zu
G.II.
den denkbaren Fallvarianten am Ort des Cloud-Anbieters vgl. Erstes Kap.
470 Hauschild,
in: MüKo-StPO § 95 Rn. 1. ThürOLG, StV 2002, 63 (64 f.); Wohlers, in: SK-StGB § 95 Rn. 4 m. w. N. 472 ThürOLG, StV 2002, 63 (65); Lemcke, Die Sicherstellung gemäß § 94 StPO, S. 271 f. 473 LG Koblenz, wistra 2002, 359; LG Lübeck, NJW 2000, 3148 m. w. N.; Bittmann, wistra 1990, 325 (327 ff.); Reichling, JR 2011, 12 (14). Die Durchsetzung der Editionspflicht mit Zwangsmitteln steht unter Richtervorbehalt (§ 70 Abs. 3 StPO), so dass eine Verkürzung des Rechtsschutzes nicht zu befürchten ist. A. A. Menges, LRStPO § 95 Rn. 20 m. w. N. 474 Dazu Bittmann, NStZ 2001, 231. 475 Hauschild, in: MüKo-StPO § 95 Rn. 7. 471 Vgl.
B. Strafprozessuale Ermächtigungsgrundlagen137
b) Gegenstand Der Editionspflicht unterliegen Gegenstände der vorbezeichneten Art, das heißt Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können (§ 94 Abs. 1 StPO). § 95 StPO stellt daher einen unmittelbaren Bezug zu den Sicherstellungsbefugnissen des § 94 StPO her. Da nach § 94 StPO nur vorhandene Objekte sichergestellt werden können, muss dies auch für § 95 StPO gelten.476 Die Editionspflicht des § 95 StPO soll den Ermittlungsbehörden den Zugriff auf potentiell beweiserhebliche Gegenstände erleichtern, indem Gegenstände herausverlangt werden, die sonst entweder gar nicht oder nur im Rahmen einer aufwändigen Durchsuchung sichergestellt werden könnten. Die aktive Mitwirkungspflicht des Betroffenen erstreckt sich daher grundsätzlich nur auf die Auslieferung bereits vorhandener Gegenstände, die einen potentiellen Beweiswert für die weitere Untersuchung haben.477 Körperliche Gegenstände wie Speichermedien oder ganze Endgeräte können demnach nach § 95 StPO herausverlangt werden. Wie oben bereits erörtert, fallen jedoch auch unkörperliche Daten unter den Gegenstandsbegriff des § 94 StPO.478 Diese können entweder durch Sicherstellung des gesamten Datenträgers oder – da dies meist einen unverhältnismäßigen Eingriff darstellt – durch Übermitteln der beweisrelevanten Inhalte auf ein Speichermedium der Ermittlungsbehörden sichergestellt werden.479 Anknüpfungspunkt für die Existenz des Beweismittels ist daher die Existenz der Daten selbst. Inkonsequent wäre es, hier auf den körperlichen Gegenstand des Speichermediums abzustellen, der durch das Bespielen mit den entsprechenden Daten erst geschaffen wird.480 Das Speichermedium selbst steht nicht im Interesse der Ermittlungsbehörden, es ist nur Mittel zum Zweck, ein beliebiges Trägermedium der beweiserheblichen Daten selbst. Hiervon differenziert zu betrachten ist das Verlangen der Behörden, die Daten als Ausdruck im Klartext vorgelegt zu bekommen. Dieses Verlangen ist im Hinblick auf den eindeutigen Wortlaut des § 95 StPO abzulehnen. Wie oben bereits erörtert, bezieht 476 Ausführlich dazu Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 379 ff. 477 Insgesamt dazu Kramer, Grundlagen des Strafverfahrensrechts, Rn. 210. 478 Zur Beschlagnahmefähigkeit von Daten vgl. Zweites Kap. B.I.3.b)bb). 479 Zur Durchführung der Sicherstellung von Daten vgl. Zweites Kap. B.I.3.d). 480 So noch BVerfG, NStZ-RR 2003, 176 (177), das im Ergebnis allerdings die derartige Herstellung eines (körperlichen) Beweisgegenstands noch von der Ermächtigungsgrundlage des § 95 StPO umfasst sieht. Bei der Argumentation ist jedoch zu berücksichtigen, dass das BVerfG erstmalig 2005 von der Beschlagnahmefähigkeit von Daten als unkörperliche Gegenstände ausgegangen ist, vgl. BVerfGE 113, 29 = NJW 2005, 1917.
138
2. Kap.: Erarbeitung des rechtlichen Rahmens
sich die Editionspflicht auf bereits vorhandene Gegenstände. Werden die Daten als Ausdruck im Klartext vorgelegt, geht es nicht mehr um die Daten als unkörperliche Gegenstände selbst, sondern um den Ausdruck als körperlichen Gegenstand. Die Verpflichtung zur Schaffung neuer Beweisgegenstände zum Zwecke der Herausgabe ist jedoch vom Wortlaut des § 95 StPO nicht mehr umfasst.481 Die Editionspflicht des § 95 StPO verpflichtet daher nur zur Herausgabe des Speichermediums beziehungsweise zur Zusammenstellung und Herausgabe der näher bezeichneten beweiserheblichen Daten selbst,482 nicht jedoch zur Vorlage der Daten als Ausdruck im Klartext. Die nach § 95 StPO herauszugebenden Gegenstände müssen potentiell beweisgeeignet sein. Sowohl das Herausgabeverlangen als auch die Sicherstellung dienen der Vorbereitung und Durchführung der Hauptverhandlung, so dass die potentielle Beweisgeeignetheit ebenso wie bei § 94 StPO zu interpretieren ist. Die Editionspflicht umfasst daher auch Gegenstände, aus denen oder mit deren Hilfe sich erst weitere Beweismittel gewinnen lassen.483 Dies bedeutet konkret, dass neben den Endgeräten, Speichermedien und unkörperlichen (Inhalts-)Daten grundsätzlich auch Zugangsdaten, Nutzungsdaten und Spuren an sich gelöschter Daten nach § 95 StPO herausverlangt werden können,484 soweit es sich dabei nicht um Bestandsdaten nach dem TKG handelt.485 c) Adressat Das Herausgabeverlangen der Behörden ist ausschließlich an den Gewahrsamsinhaber zu richten. Dabei kommt es nicht darauf an, ob der Gewahrsamsinhaber Eigentümer ist oder den Gegenstand rechtmäßiger Weise in Gewahrsam hat.486 Im Falle des gleichgeordneten Mitgewahrsams ist jeder Gewahrsamsinhaber zur Herausgabe verpflichtet.487 Von einer freiwilligen 481 Ausführlich dazu Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 379 ff.; Sieber, Gutachten zum 69. DJT, C 121; Schmitt, in: Meyer-Goßner / Schmitt § 95 Rn. 3a; a. A. BVerfG NStZ-RR 2003, 176 (177), wonach die Schaffung neuer Gegenstände zum Zwecke der Herausgabe in vertretbarer Weise noch unter die Ermächtigungsgrundlage des § 95 StPO zu subsumieren ist. 482 Im Ergebnis auch Menges, in: LR-StPO § 95 Rn. 5 und Hauschild, in: MüKoStPO § 95 Rn. 8, bezugnehmend auf BVerfG, NStZ-RR 2003, 176 (177). 483 Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 408 f. m. w. N. 484 Trüg / Mansdörfer, in: Hilber, Handbuch Cloud Computing, Teil 7 Rz. 46; Bär, ZIS 2011, 53; Hetmank, Internetrecht, S. 157. 485 Zum Herausgabeverlangen von Bestandsdaten nach dem TKG vgl. Zweites Kap. B.III.2. 486 Statt vieler nur Schäfer, in: LR-StPO § 95 Rn. 9. 487 Menges, in: LR-StPO § 95 Rn. 10.
B. Strafprozessuale Ermächtigungsgrundlagen139
Herausgabe im Sinne des § 95 Abs. 1 StPO kann dann jedoch nur ausgegangen werden, wenn alle Gewahrsamsinhaber den Gegenstand freiwillig, das heißt ohne den Einsatz von Zwangsmitteln (Abs. 2) herausgeben, sofern nicht einer alleine verfügungsberechtigt ist.488 Die Inhaltsdaten des verdächtigen Cloud-Nutzers, die auf dem Cloud Server des Anbieters gespeichert sind, stehen im Mitgewahrsam des Cloud-Anbieters und können von diesem grundsätzlich gemäß § 95 StPO herausverlangt werden.489 Für eine freiwillige Herausgabe im Sinne des § 95 Abs. 1 StPO mit anschließender formloser Sicherstellung (§ 94 Abs. 1 StPO) müsste dann jedoch auch der verdächtige Cloud-Nutzer als Mitgewahrsamsinhaber beteiligt werden. Dieser muss jedoch nicht durch die Herausgabe der Daten aktiv an seiner Überführung mitwirken490 und wird die Herausgabe daher in aller Regel vermeiden. Ein gegen den Cloud-Anbieter gerichtetes Herausgabeverlangen setzt daher regelmäßig die Beschlagnahme und Beschlagnahmefähigkeit gemäß § 94 Abs. 2 StPO der in der Cloud des Nutzers gespeicherten Daten voraus. d) Verhältnismäßigkeit Wie alle strafprozessualen Zwangsmaßnahmen ist auch das Herausgabeverlangen gemäß § 95 StPO am Grundsatz der Verhältnismäßigkeit zu messen. Ebenso wie bei der Beschlagnahme von Datenträgern ist auch bei dem auf Datenträger gerichteten Herausgabeverlangen der Strafverfolgungsbehörden ein besonderes Augenmerk darauf zu legen, dass ein Zugriff auf überschießende Informationen – insbesondere vertrauliche Daten Dritter, die für das Verfahren nicht von Bedeutung sind – möglichst vermieden wird.491 Ein auf die Zusammenstellung und Herausgabe bestimmter Daten gerichtetes Herausgabeverlangen wird daher den Grundsätzen der Verhältnismäßigkeit eher entsprechen als die Herausgabe eines gesamten Speicherme diums.492
Schmitt, in: Meyer-Goßner / Schmitt StPO § 94 Rn. 12. Mitgewahrsam des Cloud-Anbieters vgl. auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 342. 490 Gemäß dem Grundsatz „nemo tenetur se ipsum accusare“ sind von der Edi tionspflicht nur Zeugen umfasst (vgl. nur Mayer, JZ 1989, 908 ff.). 491 Zur Verhältnismäßigkeit der Sicherstellung vgl. Zweites Kap. B.I.3.f). 492 Dies entspricht im Ergebnis auch der Auffassung Riegels, wonach die Ermittlungsbehörden aus Gründen der Verhältnismäßigkeit bei der Herausgabe des gesamten Speichermediums auf die Möglichkeit der Auswahl (sog. Umsortierung) hinweisen müssen, vgl. Riegel, ZRP 1980, 303. A. A. Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 407 f. 488 Vgl.
489 Zum
140
2. Kap.: Erarbeitung des rechtlichen Rahmens
Die Offenheit der Maßnahme wird – soweit der Nutzer der Herausgabe durch den Anbieter nicht freiwillig zugestimmt hat – durch die Bekanntgabe der Beschlagnahmeanordnung (§ 98 StPO) gegenüber dem verdächtigen Cloud-Nutzer als Mitgewahrsamsinhaber gewahrt. Die Bekanntgabe der Maßnahme darf – um den Erfolg nicht zu gefährden – auch nur bis unmittelbar zu Beginn der Maßnahme zurückgestellt werden, da ansonsten dem Grundsatz der Offenheit der Maßnahme nicht Genüge getan ist.493
III. Maßnahmen am Ort des Cloud-Anbieters im Bezug auf sonstige Daten Wollen die Ermittlungsbehörden wissen, wann und von wo der verdächtige Cloud-Nutzer auf seine Daten zugreift oder mit welcher Zugangssicherung der Cloud-Speicher versehen ist, kommen § 100g und § 100j StPO, beziehungsweise §§ 161 Abs. 1, 163 Abs. 1 StPO als Ermächtigungsgrundlage in Betracht. 1. § 100g StPO – Verkehrsdatenauskunft § 100g Abs. 1 S. 1 StPO ermächtigt beim Vorliegen bestimmter Voraussetzungen zur Erhebung von Verkehrsdaten. Welche Verkehrsdaten erhoben werden dürfen, wird von § 96 Abs. 1 TKG näher konkretisiert.494 Zu nennen sind hier beispielsweise der Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit oder die übermittelten Datenmengen (Nr. 2). Nimmt der Nutzer einen Cloud-Dienst in Anspruch, können Daten darüber anfallen, dass der Nutzer Daten in die Cloud geladen, bestehende Daten gelöscht oder Änderungen vorgenommen oder schlicht auf seine in der Cloud gespeicherten Inhalte zugegriffen hat. Dabei handelt es sich jedoch nicht um Verkehrsdaten im Sinne des § 96 Abs. 1 S. 1 TKG. Es ist vielmehr der Anwendungsbereich des TMG eröffnet.495 Die Verkehrsdatenauskunft gemäß § 100g StPO ist daher bei im Zusammenhang mit dem Cloud Computing anfallenden Daten nicht von Bedeutung.
dazu Schmitt, in: Meyer-Goßner / Schmitt StPO § 98 Rn. 10. Abs. 1 TKG dient somit auch nach Ablauf der Übergangsfrist und alleiniger Anwendbarkeit der DSGVO als Anhaltspunkt zur Begriffsbestimmung. 495 Zur medienrechtlichen Einordnung der anfallenden Daten vgl. Erstes Kap. D.I. 493 Vgl. 494 § 96
B. Strafprozessuale Ermächtigungsgrundlagen141
2. § 100j StPO – Bestandsdatenauskunft Ist es den Ermittlungsbehörden nicht gelungen, die Zugangssicherung des verdächtigen Cloud-Nutzers zu seinem Cloud-Speicher zu überwinden, bleibt die Möglichkeit, diese vom Cloud-Anbieter herauszuverlangen (Fall 11496). § 100j StPO ermächtigt die Ermittlungsbehörden auf Bestandsdaten nach dem TKG zuzugreifen.497 Nach Vorstellung des Gesetzgebers soll die Vorschrift auch auf das Cloud Computing Anwendung finden. In der Stellungnahme zum Gesetzgebungsverfahren heißt es: „Die Bestimmung trägt grundsätzlich der aktuellen technischen Entwicklung (Cloud-Speicherlösungen wie Dropbox, Google Drive, etc.) Rechnung, da der Zugriff auf vom Endgerät räumlich getrennte Speichereinrichtungen ermöglicht wird“.498 Im Hinblick auf die Informationspflicht aus § 100j Abs. 4 StPO ist das Auskunftsverlangen grundsätzlich als offene Maßnahme ausgestaltet.499 a) Zuständigkeit Auskunftsverlangen werden grundsätzlich auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet (§ 100j Abs. 3 S. 1 StPO). Bei Gefahr in Verzug kann die Anordnung auch von der Staatsanwaltschaft oder ihren Ermittlungspersonen vorgenommen werden (§ 100j Abs. 3 S. 2 StPO), wobei dann eine gerichtliche Entscheidung unverzüglich nachzuholen ist (§ 100j Abs. 3 S. 3 StPO). Einer Anordnung bedarf es nicht, wenn der Betroffene bereits Kenntnis vom Auskunftsverlangen hat oder haben muss oder wenn die Nutzung der Daten bereits durch eine gerichtliche Entscheidung gestattet wurde (§ 100j Abs. 3 S. 4 StPO). Diese Gründe sind sodann aktenkundig zu machen (§ 100j Abs. 3 S. 5 StPO).500 496 Zu
G.II.
den denkbaren Fallvarianten am Ort des Cloud-Anbieters vgl. Erstes Kap.
497 Die Vorschrift wurde 2013 zusammen mit § 113 TKG neu eingeführt, nachdem das Bundesverfassungsgericht die Unvereinbarkeit des § 113 TKG alter Fassung mit dem Grundgesetz festgestellt hat (BVerfG, MMR 2012, 410). Das Gericht monierte, dass neben einer Ermächtigungsgrundlage zum Erheben und Speichern und zur Weitergabe an die Ermittlungsbehörden (erste Tür) eine Rechtsgrundlage zum Abruf der entsprechenden Daten durch die Ermittlungsbehörden geschaffen werden müsse (zweite Tür). Dieses „Doppeltürmodell“ wurde mit der Neueinführung des § 100j StPO und § 113 TKG verwirklicht (ausführlich dazu Wicker, Cloud Computing und staatlicher Strafanspruch, S. 383 ff.). 498 BT-Drs. 664 / 1 / 12, S. 13 f. 499 Kritisch Hauck, in: LR-StPO § 100j Rn. 23 ff.; vertieft Wicker, Cloud Comput ing und staatlicher Strafanspruch, S. 394 f. 500 Kritik am Richtervorbehalt Stadler, ZPR 2013, 179 (180).
142
2. Kap.: Erarbeitung des rechtlichen Rahmens
b) Adressat Gemäß § 100j Abs. 1 S. 1 StPO kann von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, Auskunft über die nach den §§ 95 und 111 des TKG erhobenen Daten verlangt werden. Adressat der Maßnahme ist also der Telekommunikationsanbieter im Sinne des TKG. Gemäß § 3 Nr. 24 TKG sind Telekommunikationsdienste Dienste, die ganz oder überwiegend501 in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Gemäß § 3 Nr. 22 TKG ist Telekommunikation als der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlangen zu verstehen. Kurz gefasst: Telekommunikationsdienste umfassen alle Vorgänge der Nachrichtenübertragung, bei denen keine Aufbereitung von Inhalten erfolgt.502 Im Falle des Cloud Computing fällt darunter zunächst der Access-Provider503, der dem Cloud-Nutzer das Internet oder den Mobilfunkvertrag bereitstellt. Damit das Auskunftsverlangen des § 100j StPO auch den Cloud-Anbieter verpflichtet, müsste der Cloud-Dienst ebenfalls als Telekommunikation zu qualifizieren sein. Bei der Übertragung von Daten in und aus der Cloud handelt es sich zwar um einen Datentransportvorgang. Dieser wird jedoch im Rahmen der Internetnutzung durch den Telekommunikationsanbieter erbracht. Dieser Dienst ist somit unabhängig vom Verhältnis des Cloud-Nutzers zum Cloud-Anbieter.504 Die vom Cloud-Anbieter zur Verfügung gestellte Möglichkeit, Daten in der Cloud zu speichern, stellt daher für sich genommen keinen Telekommunikationsdienst dar,505 so dass zwar der Access-Provider, nicht jedoch der Cloud-Anbieter nach § 100j StPO in Anspruch genommen werden kann. Der Cloud-Anbieter ist vielmehr Telemedienanbieter im Sinne von § 1 TMG.506
501 Dienste, die neben der Übertragung noch eine inhaltliche Dienstleistung anbieten, sind zugleich Telemediendienste vgl. Oster, in: Hoeren / Sieber / Holznagel, Multimedia-Recht, Teil 4 Rn. 23. 502 Schmitz, DuD 2001, 395 (396). 503 Zum Begriff Ballhausen / Roggenkamp, in: Kilian / Heussen, 1. Abschnitt, Teil 2, Providerverträge Rn. 5. 504 Boos / Kroschwald / Wicker, ZD 2013, 205 (206); insgesamt dazu Wicker, MMR 2014, 298 (300). 505 Bedner, Cloud Computing, S. 115 f.; Heidrich / Wegener, MMR 2010, 803 (805); Koch, CR 2006, 118; Grünwald / Döpkes, MMR 2011, 287 (288); Boos / Kroschwald / Wicker, ZD 2013, 205 (206); Wicker, MMR 2014, 298 (300); a. A. Dalby, Grundlagen der Strafverfogung im Internet, S. 190. 506 Boos / Kroschwald / Wicker, ZD 2013, 205 (206) m. w. N. Zu „gebündelten“ Angeboten vgl. Dalby, Grundlagen der Strafverfolgung im Internet und in der Cloud, S. 190 ff.
B. Strafprozessuale Ermächtigungsgrundlagen143
c) Gegenstand des Auskunftsverlangens § 100j Abs. 1 S. 1 StPO ermächtigt die Strafverfolgungsbehörden Auskunft über die nach den §§ 95 und 111 TKG erhobenen Daten zu verlangen. Hierbei handelt es sich um Bestandsdaten nach dem TKG. Diese müssen vom Access Provider bei der Einrichtung des Internet-Dienstes oder Mobilfunkvertrags – in der Regel mit Hilfe von Ausweisdokumenten – korrekt erfasst werden.507 Dabei handelt es sich jedoch nicht um die Bestandsdaten des Cloud-Nutzers, die bei der Erbringung von Cloud-Diensten beim Cloud-Anbieter anfallen. Die im Rahmen solcher Dienste anfallenden Bestandsdaten fallen unter § 14 TMG508 und liegen zwar dem Cloud-Anbieter, nicht jedoch dem nach § 100j StPO auskunftspflichtigen Access Provider vor. d) Zwischenergebnis für in der Cloud gespeicherte Daten Zusammenfassend lässt sich daher Folgendes festhalten: Die Zugangsdaten zu den externen Cloud-Speichern sind als Bestandsdaten im Sinne des § 14 TMG zu qualifizieren. Für den Telekommunikationsanbieter handelt es sich dabei um Inhaltsdaten, von denen er keine Kenntnis haben darf. Dem Cloud-Anbieter gegenüber handelt es sich um Bestandsdaten. Da dieser jedoch nicht als Telekommunikationsanbieter zu qualifizieren ist, liegen keine Daten im Sinne des TKG vor. Die Zugangsdaten können daher weder vom Cloud- noch vom Telekommunikationsanbieter nach § 100j StPO herausverlangt werden. Die Neuregelung des § 100j StPO ist daher – entgegen der Intention des Gesetzgebers – auf Cloud-Computing-Sachverhalte nicht unmittelbar509 anwendbar, da nur Bestandsdaten nach dem TKG erfasst werden. 3. §§ 161 Abs. 1, 163 Abs. 1 StPO Bestandsdaten nach dem TMG konnten bisher gemäß §§ 161 Abs. 1 S. 1, 163 Abs. 1 StPO in Verbindung mit § 14 Abs. 2 TMG von den Cloud-Anbietern herausverlangt werden.510 Hierunter fallen insbesondere die Zugangs 507 Zur Frage, ob die Vorlage eines Ausweisdokuments erforderlich ist, vgl. Holznagel, ZD 2013, 73. 508 Zu den Bestandsdaten nach § 14 Abs. 1 TMG vgl. Erstes Kap. D.I.4. 509 Eine denkbare Kombination im Zusammenhang mit Cloud Computing wäre, dass die Behörden ein Endgerät (zum Beispiel Smartphone) sicherstellen, dass mit einer PIN / PUK gesichert ist. Mithilfe dieser Bestandsdaten wäre ein Zugriff auf den externen Cloud-Speicher möglich, soweit dieser nicht wiederum mit Zugangsdaten geschützt ist. Vgl. auch Wicker, MMR 2014, 298 (301). 510 Vgl. Schmitt, in: Meyer-Goßner / Schmitt StPO § 99 Rn. 16.
144
2. Kap.: Erarbeitung des rechtlichen Rahmens
daten von Cloud-Diensten (Fall 11511), die nicht über die Bestandsdatenauskunft nach § 100j Abs. 1 S. 1 StPO herausverlangt werden können. § 14 Abs. 2 TMG verpflichtete den Dienstanbieter im Einzelfall Auskunft über die Bestandsdaten erteilen, soweit dies für die Zwecke der Strafverfolgung erforderlich ist.512 Mit Ablauf der Übergangsfrist und alleiniger Anwendbarkeit der DSGVO zum 25.05.2018 stellt sich die Frage nach einer dem § 14 Abs. 2 TMG vergleichbaren Regelung. Anders als das TMG hält die DSGVO keine ähnlich explizite Regelung bereit. Art. 6 Abs. 1 Buchstabe f) DSGVO gestattet jedoch eine Weiterverarbeitung der personenbezogenen Daten, wenn dies zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, und nicht die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach Erwägungsgrund 50 Satz 9 zur DSGVO ist der Verantwortliche stets berechtigt personenbezogene Daten an die zuständigen Stellen zu übermitteln, wenn es Hinweise auf mögliche Straftaten oder eine Bedrohung der öffentlichen Sicherheit gibt,513 es sei denn, die Weitergabe ist mit einer rechtlichen, beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar (Satz 10). Mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) hat der Bundesgesetzgeber von den zahlreichen Öffnungsklauseln der DSGVO Gebrauch gemacht und ein Gesetz erlassen, das ab dem 25.05.2018 die DSGVO auf nationaler Ebene ergänzt. Wie bisher gemäß § 28 Abs. 2 Nr. 2 BDSG ist nunmehr gemäß § 24 Abs. 1 Nr. 1 BDSG-neu eine Datenweitergabe zulässig, wenn dies zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist. Wie bisher § 14 Abs. 2 TMG beinhalten nun Art. 6 Abs. 1 Buchstabe f) DSGVO und § 24 Abs. 1 Nr. 1 BDSG-neu eine Übermittlungsbefugnius des Dienstanbieters ohne selbst Ermächtigungsgrundlage zu sein.
511 Zu
G.II.
den denkbaren Fallvarianten am Ort des Cloud-Anbieters vgl. Erstes Kap.
512 Die Formulierung „darf“ bezieht sich auf die Befugnis des Anbieters zur He rausgabe und ist nicht als Entscheidungsspielraum des Anbieters zur Kooperation mit den Ermittlungsbehörden zu verstehen. Die Argumentation Hoerens, wonach ein Dienstanbieter de facto die Herausgabe der einmal gesammelten Daten wohl kaum verweigern wird, da die Ermittlungsbehörden bei fehlender Kooperation sofort die Durchsuchung und Konfiszierung des Servers androhen werden, greift freilich nur, wenn es sich um einen deutschen Dienstanbieter handelt, Hoeren, NJW 2007, 801 (805). 513 So auch Härting, CR-online.de Blog 9.5.2016.
B. Strafprozessuale Ermächtigungsgrundlagen145
a) Umfang der Editionspflicht Der Telemediendienstanbieter kann jedoch nur die Bestandsdaten herausgeben, die er überhaupt erhebt. Der Klarname des Nutzers ist daher nur dann erfasst, wenn dieser vom Cloud-Anbieter erhoben wird. Bisher ging § 13 Abs. 6 TMG davon aus, dass der Telemedienanbieter die Nutzung und Bezahlung des Dienstes grundsätzlich anonym oder unter Pseudonym zu ermöglichen hatte. Die DSGVO sieht hingegen keine Regelung vor, wonach die anonyme Nutzung eines Telemediendienstes (zwingend) zu ermöglichen ist. In den meisten Fällen wird das Herausgabeverlangen der Strafverfolgungsbehörden gemäß §§ 161 Abs. 1 S. 1, 163 Abs. 1 StPO dennoch nur die Zugangsdaten des Cloud-Nutzers, das heißt Benutzername und Passwort, erfassen. Zuständig für das Herausgabeverlangen gemäß §§ 161 Abs. 1 S. 1, 163 Abs. 1 StPO sind die Ermittlungsbehörden. Das bedeutet, dass die Maßnahme keinem Richtervorbehalt untersteht. Bedenken, dass ein Zugriff auf in der Cloud gespeicherte Daten bereits auf Grundlage der Ermittlungsgeneralklausel möglich ist, können jedoch entkräftet werden. Angenommen, die Behörden erhalten über das Auskunftsverlangen gemäß §§ 161 Abs. 1 S. 1, 163 Abs. 1 StPO den Klarnamen sowie Benutzername und Passwort des CloudNutzers, bedeutet dies nicht, dass sie ohne weiteres die erlangten Informationen verwenden können, um auf die in der Cloud gespeicherten Daten zuzugreifen, denn die Bestandsdatenauskunft rechtfertigt keinen Zugriff auf die Inhaltsdaten des Cloud-Nutzers.514 Der Zugriff auf Inhaltsdaten stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1, 1 Abs. 1 GG) dar und bedarf einer weiteren Ermächtigungsgrundlage. Bei Vorliegen der Voraussetzungen ist dies gemäß §§ 102 ff. StPO und § 94 ff. StPO möglich.515 Neben den Bestandsdaten konnten bisher gemäß §§ 161 Abs. 1, 163 Abs. 1 StPO in Verbindung mit §§ 15 Abs. 5 S. 4, 14 Abs. 2 TMG auch die Nutzungsdaten vom Cloud-Anbieter herausverlangt werden. Nutzungsdaten im Sinne des § 15 Abs. 1 S. 1 TMG sind Daten eines Nutzers, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Hierunter fallen insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Tele-
514 Insgesamt dazu Wicker, Cloud Computing und staatlicher Strafanspruch, S. 407. 515 Zur den Voraussetzungen der Durchsuchung und Beschlagnahme vgl. Zweites Kap. B.I.1, B.II.1 sowie B.I.3.
146
2. Kap.: Erarbeitung des rechtlichen Rahmens
medien (S. 2).516 Künftig gestattet Art. 6 Abs. 1 Buchstabe f) DSGVO beziehungsweise § 24 Abs. 1 Nr. 1 BDSG-neu bei Vorliegen der Voraussetzungen auch die Weitergabe der Nutzungsdaten im Sinne des Art. 15 Abs. 1 S. 1 TMG an die Strafverfolgungsbehörden.
IV. Maßnahmen in der Übertragungsphase Wollen die Ermittlungsbehörden die Inhaltsdaten des verdächtigen CloudNutzers während der Übertragungsphase heimlich abfangen, kommt § 100a StPO als Ermächtigungsgrundlage in Betracht. Ist aufgrund der Verschlüsselung der Daten in der Übertragungsphase eine Überwachung vor dem Einsetzen des Verschlüsselungsvorgangs notwendig, ist eine Quellen-TKÜ als weitere heimliche Ermittlungsmaßnahme in Erwägung zu ziehen. 1. § 100a StPO – Telekommunikationsüberwachung § 100a Abs. 1 StPO ermächtigt die Ermittlungsbehörden zur Überwachung und Aufzeichnung der Telekommunikation ohne das Wissen des Betroffenen, wenn bestimmte Tatsachen den Verdacht begründen, dass der Betroffene eine schwere Straftat im Sinne des Abs. 2 (Katalogtat) begangen hat, die Tat auch im Einzelfall schwer wiegt und die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. Unter Überwachen ist die akustische oder sonstige Wahrnehmung, unter Aufzeichnen das Abzielen auf die spätere Auswertung des durch die Überwachung gewonnenen Mediums zu verstehen.517 Anders als Durchsuchung und Beschlagnahme ist die Telekommunikationsüberwachung eine in die Zukunft gerichtete Maßnahme, die – um den Erfolg nicht zu vereiteln – heimlich erfolgen soll. Die systembedingte Datenübertragung zwischen Cloud-Nutzer und Cloud-Anbieter könnten die Ermittlungsbehörden technisch mittels Deep Packet Inspection in Echtzeit überwachen (Fall 14518).519 Die Telekommunikationsüberwachung (TKÜ) wird mit Hilfe des Telekommunikationsanbieters umgesetzt. Dieser muss die technischen Vorrichtungen zur Umsetzung derartiger Beschlüsse bereithalten (§ 110 Abs. 1 TKG). Der Dienstanbieter übermittelt sodann eine Überwachungskopie an die ermitteln516 Zu
den Nutzungsdaten i. S. d. § 15 Abs. 1 TMG vgl. Erstes Kap. D.I.5. in: SK-StPO LS § 100a Rn. 19. 518 Zu den denkbaren Fallvarianten der Zugriffs in der Übertragungsphase vgl. Erstes Kap. G.III. 519 Vertieft dazu Bedner, Cloud Computing. S. 296 ff. 517 Wolter,
B. Strafprozessuale Ermächtigungsgrundlagen147
den Behörden (§ 9 TKÜV). Die Überwachung und Aufzeichnung selbst wird sodann von den Ermittlungspersonen wahrgenommen.520 a) Telekommunikation im Sinne des § 100a StPO Die StPO selbst enthält keine Angaben darüber, was unter „Telekommunikation“ zu verstehen ist. Die Begriffsbestimmung orientiert sich am Schutzbereich des Fernmeldegeheimnisses (Art. 10 Abs. 1 GG).521 Das Fernmeldegeheimnis schützt die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs, ungeachtet der konkreten Art der Übermittlung.522 Der Befugnisbereich des § 100a StPO ist jedoch nicht deckungsgleich mit dem Schutzbereich des Fernmeldegeheimnisses, sondern enger gefasst.523 Unter Telekommunikation im Sinne des § 100a StPO ist der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen (§ 3 Nr. 22 TKG) zu verstehen, soweit die Telekommunikationsanlage kommunikationsbezogen, also zur Nachrichtenübermittlung genutzt wird.524 aa) Up- und Download als Telekommunikation im Sinne des § 100a StPO Wie an anderer Stelle bereits ausführlich erörtert, ist für den Up- und Download der Daten in die Cloud grundsätzlich der Schutzbereich des vieler nur Graf, in: BeckOK StPO § 100b Rn. 18. Fernmeldegeheimnis vgl. Zweites Kap. A.II.4. 522 BVerfG, NJW 2009, 2431 (2432); BVerfGE 115, 166 = NJW 2006, 976 (978); 120, 274 = NJW 2008, 822. 523 Vgl. dazu Wolter, in: SK-StPO LS § 100a Rn. 13 und 18. „Nur weil das Verhalten des Bürgers im Lichte des Art. 10 GG besonders schutzbedürftig ist, muss es noch nicht § 100a StPO unterfallen.“ Dies gilt umso mehr, als dass durch eine extensive Interpretation die Eingriffsbefugnisse des § 100a StPO erweitert würden. Denn handelt es sich nicht um Daten der Telekommunikation, ist der Betroffene auch nicht schutzlos gestellt. Im Gegenteil ist eine Überwachung der Strafverfolgungsbehörden mangels Ermächtigungsgrundlage rechtlich unzulässig, Hiéramente / Fenina, StraFo 2015, 365 (369 ff.); ders., HRRS 2016, 448 (450); a. A. Gähler, HRRS 2016, 340 (344), ohne jedoch die anderen strafprozessualen Ermächtigungsgrundlagen zu benennen. 524 Bär, TK-Überwachung, § 100a Rn. 10; Wicker, Cloud Computing und staatlicher Strafanspruch, S. 379 ff. Zum rein technischen Kommunikationsbegriff und den dagegen anzuführenden Argumenten Hiéramente / Fenina, StraFo 2015, 365 (369 ff.), die insbesondere betonen, dass die § 100a StPO häufig attestierte „technische Entwicklungsoffenheit“ nicht den Kommunikationsbegriff, sondern nur das Kommunikationsmedium betrifft. 520 Statt
521 Zum
148
2. Kap.: Erarbeitung des rechtlichen Rahmens
Art. 10 Abs. 1 GG eröffnet.525 Erforderlich für eine Befugnis nach § 100a StPO ist aber stets eine kommunikationsbezogene, also der Nachrichtenübermittlung dienende Inanspruchnahme einer Telekommunikationsanlage.526 Fraglich ist, ob dieses kommunikative Element beim Up- und Download der Daten in die Cloud tatsächlich angenommen werden kann. Beim Up- und Download von Inhalten in und aus der Cloud werden Signale zwischen dem Cloud-Nutzer und dem Cloud-Anbieter über Fernmeldeanlagen übertragen. Technisch gesehen findet also nichts anderes als beim Versenden einer E-Mail statt. Ein wesentlicher Unterschied besteht jedoch darin, dass der Versender einer E-Mail diese eindeutig mit dem Ziel versendet, dass der Inhalt vom Empfänger zur Kenntnis genommen wird. Beim Up- und Download will der Cloud-Storage-Nutzer seine Inhalte jedoch nur an einem externen Ort, nämlich in der Cloud, speichern. Von einer gezielten Kommunikation mit dem Cloud-Anbieter kann dabei nicht die Rede sein.527 Mangels Kommunikationswillen stellt der Up- und Download keine Kommunikation im Sinne des § 100a StPO dar,528 so dass ein Zugriff über die Vorschriften der Telekommunikationsüberwachung unzulässig ist. Dies gilt auch, wenn der Nutzer gespeicherte Inhalte online bearbeitet oder offline bearbeitete Inhalte online neu überschrieben werden.529 Aus diesen Gründen stellt auch die automatische Synchronisation von in der Cloud gespeicherten Inhalten keine Telekommunikation im Sinne des § 100a StPO dar.530 bb) Cloud Collaboration als Telekommunikation im Sinne des § 100a StPO Nutzt der Cloud-Nutzer die Cloud-Collaboration-Dienste des Cloud-Storage-Anbieters, um in der Cloud gespeicherte Inhalte mit Dritten zu teilen, ist ebenfalls ein laufender Telekommunikationsvorgang im Sinne des Art. 10 525 Zur Qualifikation als Telekommunikation i. S. d. Art. 10 Abs. 1 GG vgl. Zweites Kap. A.II.4.a). 526 BGHSt 31, 296 = NJW 1983, 1569; BGH NJW 2003, 2034 (2035); Sankol, MMR 2007, 692 ff.; Bär, TK-Überwachung, § 100a Rn. 10. 527 Insgesamt dazu Krcmar et al., Cloud Services aus der Geschäftsperspektive, S. 314; im Ergebnis auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 407. 528 Braun, jurisPR-ITR 18 / 2013 Anm. 5; Albrecht / Braun, HRRS 2013, 500 (502); bezogen auf den „Datenaustausch zwischen digitalen Endgeräten“, insbesondere das Cloud Computing, Sinn, Stellungnahme BT-drs. 18 / 11272, S. 4. 529 Zur Qualifikation als Telekommunikation i. S. d. Art. 10 Abs. 1 GG vgl. Zweites Kap. A.II.4.c). 530 A. A. Gähler, HRRS 2016, 340 (343), der insbesondere mit der – vermeintlich bestehenden – erhöhten Schutzwürdigkeit argumentiert.
B. Strafprozessuale Ermächtigungsgrundlagen149
Abs. 1 GG gegeben und der Schutzbereich des Fernmeldegeheimnisses eröffnet.531 In diesen Fällen ist auch das kommunikationsbezogene Element des § 100a StPO gegeben, da die Dienste des Cloud-Anbieters zur Nachrichtenübermittlung beziehungsweise zum Informationsaustausch genutzt werden. Nutzt der Cloud-Nutzer die Dienste des Cloud-Storage-Anbieters um mit Dritten zu kommunizieren, scheint § 100a StPO eine taugliche Ermächtigungsgrundlage für den Zugriff auf die sich in der Übertragung befindlichen Daten zu sein. b) Weitere Voraussetzungen Die Anordnung einer Maßnahme nach § 100a StPO setzt jedoch voraus, dass ein durch bestimmte Tatsachen konkretisierter Tatverdacht hinsichtlich der in Abs. 2 abschließend aufgeführten Katalogstraftaten gegeben ist (§ 100a Abs. 1 Nr. 1 StPO). Dabei genügt ein einfacher Tatverdacht, der sich jedoch aus bestimmten Tatsachen ergeben muss.532 Die Katalogstraftat muss darüber hinaus auch im Einzelfall schwer wiegen (§ 100a Abs. 1 Nr. 2 StPO). Damit sollen anhand einer Einzelfallprüfung Fälle ausscheiden, die zwar dem Tatbestand einer Katalogstraftat im Sinne des Absatz 2 verwirklichen, im Einzelfall jedoch nicht schwer genug wiegen, um einen Eingriff in Art. 10 Abs. 1 GG zu rechtfertigen.533 § 100a Abs. 1 Nr. 3 StPO setzt weiterhin voraus, dass „die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre“. Die „besonders qualifizierte Subsidiaritätsklausel“ soll sicherstellen, dass die Überwachung der Telekommunikation als ultima ratio zum Einsatz gebracht wird.534 Auch, wenn der Grundsatz der Verhältnismäßigkeit bereits bei der Aufnahme als Katalogstraftat (Abs. 1 Nr. 1 in Verbindung mit Abs. 2) und der Einzelfallprüfung (Abs. 1 Nr. 2) Berücksichtigung gefunden hat, muss auch im Einzelfall die Schwere des Eingriffs gegen die Schwere der Tat, den Grad des Tatverdachts und die Erfolgsaussichten der Maßnahme abgewogen werden.535
531 Zur Qualifikation als Telekommunikation i. S. d. Art. 10 Abs. 1 GG vgl. Zweites Kap. A.II.4.d). 532 Bär, TK-Überwachung, § 100a Rn. 17; Schmitt, in: Meyer-Goßner / Schmitt StPO § 100a Rn. 9. 533 Bär, TK-Überwachung, § 100a Rn. 23. 534 Wolter, in: SK-StPO § 100a Rn. 46; zur Aussichtslosigkeit Bär, TK-Überwachung, § 100a Rn. 24. 535 Bär, TK-Überwachung, § 100a Rn. 25.
150
2. Kap.: Erarbeitung des rechtlichen Rahmens
2. Quellen-Telekommunikationsüberwachung Aufgrund der zunehmenden Verschlüsselung von Telekommunikation können bei der Telekommunikationsüberwachung häufig nur kryptierte Daten auf dem Kommunikationsweg gewonnen werden, was die Auswertung der erlangten Informationen für die Strafverfolgungsbehörden erschwert oder – je nach Verschlüsselungssoftware – vollständig vereitelt.536 In solchen Fällen wird der Rückgriff auf eine Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) relevant, bei der die Ermittlungsbehörden auf dem Endgerät, von dem aus die zu überwachende Telekommunikation getätigt wird, eine Software installieren, welche die Kommunikation vor oder nach der Verschlüsselung erfasst und an die Strafverfolgungsbehörden übermittelt (Fall 15537).538 a) Überwachung der Telekommunikation gemäß § 100a Abs. 1 S. 2 StPO Gemäß § 100a Abs. 1 S. 2 StPO darf die Überwachung und Aufzeichnung der Telekommunikation auch in der Weise erfolgen, „dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen“. Damit hat der Gesetzgeber die lange Zeit kontrovers diskutierte Frage, ob § 100a StPO auch die Anordnung einer Quellen-TKÜ erfasst, explizit beantwortet.539 Der Verweis auf die „Notwendigkeit“ der Maßnahme stellt eine besondere Ausprägung des Grundsatzes der Verhältnismäßigkeit dar, wonach die Quel536 Ein Überblick über die technischen Möglichkeiten der TKÜ bei verschlüsselter und unverschlüsselter Telekommunikation, Buermeyer, 37. Strafverteidigertag, S. 160 f. 537 Zu den denkbaren Fallvarianten am Ort des Cloud-Anbieters vgl. Erstes Kap. G.III. 538 Graf, in: BeckOK StPO § 100a Rn. 106; zum technischen Ablauf der QuellenTKÜ Bär, TK-Überwachung, § 100a Rn. 31 sowie Bratke, Die Quellen-Telekommunikationsüberwachung im Strafverfahren, S. 82 ff., 90 ff.; zur Notwendigkeit einer Quellen-TKÜ aus Sicht der Ermittlungsbehörden, Petri, Prüfbericht Quellen-TKÜ, S. 13 ff. 539 Für eine Zulässigkeit plädierten LG Landshut, MMR 2011, 690 m. Anm. Bär (691); AG Bayreuth, MMR 2010, 266 m. Anm. Bär (267); Graf, in: BeckOK StPO 27. Ed. § 100a Rn. 107a f.; Schmitt, in: Meyer-Goßner / Schmitt 2017 § 100a Rn. 7a m. w. N.; kritisch Buermeyer / Bäcker, HRRS 2009, 433 (439 ff.); a. A. OLG Hamburg, StV 2009, 630 (631) m. Anm. Vogel / Brodowski, (632); Hauck, in: LR-StPO, § 100a Rn. 75 f.; Liebig, Der Zugriff auf Computerinhaltsdaten im Strafverfahren, S. 171; der bisherige Streitstand wird auch in der Gesetzesbegründung aufgegriffen, vgl. BT-Drs. 18 / 12785, S. 49.
B. Strafprozessuale Ermächtigungsgrundlagen151
len-TKÜ nach § 100a Abs. 1 S. 2 StPO nur subsidiär zu Maßnahmen nach § 100a Abs. 1 S. 1 StPO zulässig ist.540 Der Quellen-TKÜ nach § 100a Abs. 1 S. 2 StPO stehen auch keine verfassungsrechtlichen Bedenken entgegen: Auch, wenn im Zeitpunkt vor dem Einsetzen der Verschlüsselung möglicherweise noch nicht von einem laufenden Kommunikationsvorgang ausgegangen werden kann, wird dieser Zeitpunkt überwiegend dem laufenden Kommunikationsvorgang als Vorstufe zugerechnet.541 Sofern also durch technische Maßnahmen sichergestellt werden kann,542 dass sich der Zugriff nur auf Daten aus der laufenden Kommunikation erstreckt und kein Zugriff auf weitere Daten des informationstechnischen Systems erfolgt, ist der Eingriff nur nach Maßgabe des Art. 10 GG zu beurteilen.543 Nach Auffassung des Chaos Computer Clubs ist eine zuverlässige Beschränkung der zum Einsatz kommenden Software auf laufende Kommunikationsinhalte technisch jedoch kaum möglich. Auch, wenn die Software für den genutzten Kommunikationskanal entwickelt und auf das System des Verdächtigen angepasst wurde, lässt sich der Funktionsumfang nicht sinnvoll auf laufende Kommunikation begrenzen.544 Ruft der verdächtige Nutzer über den Web Browser seinen Cloud-Storage-Dienst auf, um anschließend mit Dritten über die Cloud zu kommunizieren, dürften diese Datenströme mittels Quellen-TKÜ erfasst werden. Ruft der verdächtige Nutzer anschließend eine andere Website im WWW über den selben Web-Browser auf, dürfte dies nicht von der Spionagesoftware erfasst werden. Eine derartige Unterscheidung kann von einer Software jedoch aus technischer Sicht nicht treffsicher gewährleistet werden.545 Auch mit der Einführung des § 100a Abs. 1 S. 2 StPO scheint die Zulässigkeit einer Quellen-TKÜ derzeit noch an den technischen Möglichkeiten zu scheitern.
540 BT-Drs.
18 / 12785, S. 51. ausführliche Darstellung des Streitstandes findet sich bei Liebig, Der Zugriff auf Computerinhaltsdaten im Strafverfahren, S. 164 ff. 542 Dieses Zulässigkeitserfordernis (vgl. BT-DRs. 18 / 12785) wird in § 100a Abs. 5 S. 1 Nr. 1 StPO explizit aufgeführt. 543 BVerfG, NJW 2016, 1781 (1796); dazu auch Dalby, Grundlagen der Strafverfolgung im Internet, S. 142; auch die Gesetzesbegründung hebt den Aspekt der technischen Umsetzbarkeit noch einmal explizit hervor, vgl. BT-Drs. 18 / 12785, S. 49; kritisch Kurz et al., Stellungnahme zur „Quellen-TKÜ“, S. 4 ff. 544 Kurz et al., Stellungnahme zur „Quellen-TKÜ“, S. 6. 545 Im Bezug auf „klassische“ Kommunikationsdienste wie Web-Mailer oder Social Networks, Kurz et al., Stellungnahme zur „Quellen-TKÜ“, S. 6. 541 Eine
152
2. Kap.: Erarbeitung des rechtlichen Rahmens
b) „Kleine Online-Durchsuchung“ gemäß § 100a Abs. 1 S. 3 StPO § 100a Abs. 1 S. 3 StPO erweitert die Befugnisse der Strafverfolgungsbehörden dahingehend, dass im Rahmen einer Quellen-TKÜ auch „auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation“ überwacht und aufgezeichnet werden können, „wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können“. Der Gesetzgeber begründet diese Regelung mit der Notwendigkeit, den unterschiedlichen Telekommunikationsformen Rechnung tragen zu müssen.546 In Abgrenzung zur Online-Durchsuchung darf die Quellen-TKÜ nach § 100a Abs. 1 S. 3 StPO jedoch nur als „funk tionales Äquivalent zur Überwachung und Ausleitung der Nachrichten aus dem Telekommunikationsnetz“ dienen und nur Kommunikationsinhalte erfassen, die zwischen dem Zeitpunkt der Anordnung der Maßnahme und der erfolgreichen Installation der Software in verschlüsselter Form übertragen wurden.547 Die Maßnahme ist dabei auf Inhalte begrenzt, die innerhalb von drei Monaten nach dem Ergehen des Anordnungsbeschlusses abgesendet werden.548 Den Hauptanwendungsbereich des § 100a Abs. 1 S. 3 StPO sieht der Gesetzgeber insbesondere bei Messenger-Diensten wie WhatsApp549 oder Telegram550.551 Tatsächlich sind jedoch alle Telekommunikationsformen erfasst, die keine Sprach- oder Videotelefonie darstellen und bleibende Informationen hinterlassen. So auch die Kommunikation über Cloud Collaboration Tools. Soll im Rahmen der „kleinen Online-Durchsuchung“552 nach § 100a Abs. 1 S. 3 StPO auf bereits gespeicherte Inhalte und Umstände der Kommunikation 546 Insgesamt
dazu BT-Drs. 18 / 12785, S. 49 f. 18 / 12785, S. 49 f. 548 Dies resultiert daraus, dass die Anordnung der Quellen-TKÜ auf höchstens drei Monate zu befristen ist (§100e Abs. 1 StPO). Vgl. dazu auch BT-Drs. 18 / 12785, S. 51. 549 Zum Angebot: https: / / www.whatsapp.com / ?l=de (zuletzt besucht am 03.08.2017). 550 Zum Angebot: https: / / telegram.org / (zuletzt besucht am 03.08.2017). 551 BT-Drs. 18 / 12785, S. 50. 552 Bezeichnet der Gesetzgeber nur eine zeitlich unbegrenzte Ausleitung der Nachrichten als „kleine Online-Durchsuchung“, die an den Voraussetzungen des § 100b StPO zu messen ist (BT-Drs. 18 / 12785, S. 50), werden Maßnahmen nach § 100a Abs. 1 S. 3 StPO von anderen Autoren per se als „kleine Online-Durchsuchung“ bezeichnet (Sinn, Stellungnahme BT-Drs. 18 / 11272, S. 5; Stoklas / Wendorf , ZD-Aktuell 2017, 05725). 547 BT-Drs.
B. Strafprozessuale Ermächtigungsgrundlagen153
zugegriffen werden, liegt kein laufender Telekommunikationsvorgang (mehr) vor, so dass der Schutzbereich des Grundrechtes der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme eröffnet ist.553 Dies hat auch der Gesetzgeber erkannt. Aufgrund der engen Begrenzung der durch die kleine Online-Durchsuchung zu erlangenden Inhalte hält er es jedoch verfassungsrechtlich nicht für geboten, „die wegen der besonderen Sensibilität informationstechnischer Systeme für die Ermittlung von Persönlichkeitsprofilen des Betroffenen liegenden Gefährdung aufgestellten höheren Anforderungen des Bundesverfassungsgerichts anzuwenden“.554 Zutreffend ist, dass die kleine Online-Durchsuchung nur eine Teilmenge der Daten erfasst, die bei einer Online-Durchsuchung nach § 100b StPO erhoben werden können. Zutreffend ist auch, dass die nach § 100a Abs. 1 S. 3 StPO zu erhebenden Informationen grundsätzlich nicht über diejenigen hinausgehen, welche im Wege einer Telekommunikationsüberwachung nach § 100a Abs. 1 S. 1 StPO zu ermitteln wären, wenn der Betroffene eine andere unverschlüsselte Kommunikationsform gewählt hätte. Es wird jedoch verkannt, dass sich die Intensität des Einriffs mit der Umgehung der vom Betroffenen zum Schutze seiner Kommunikationsinhalte ergriffenen Maßnahmen gegenüber der Überwachung nach § 100a Abs. 1 S. 1 StPO deutlich erhöht.555 Die „kleine Online-Durchsuchung“ ist auch nicht vergleichbar mit der Quellen-TKÜ nach § 100a Abs. 1 S. 2 StPO. Zweck der Quellen-TKÜ nach § 100a Abs. 1 S. 2 StPO ist die Gewährleistung der Durchführbarkeit der Telekommunikationsüberwachung nach § 100a Abs. 1 S. 1 StPO, auch wenn der Verdächtige verschlüsselte Kommunikationswege nutzt. Die Infiltration des Endgeräts des Nutzers dient daher nur dem Zweck, die Quellen-TKÜ zu ermöglichen und Inhalte der laufenden Kommunikation unverschlüsselt auszuleiten, was insgesamt an den Maßstäben des Art. 10 Abs. 1 GG zu messen ist.556 Die „kleine Online-Durchsuchung“ nach § 100a Abs. 1 S. 3 StPO dient jedoch nicht dem Zweck, Kommunikationsinhalte unverschlüsselt auszuleiten. Sinn und Zweck der Norm ist die Minimierung des Risikos der Strafverfolgungsbehörden, Daten nicht (rechtzeitig) erfassen zu können, weil sich die Installation der Software auf dem Endgerät verzögert. Die „kleine OnlineDurchsuchung“ ist daher wie ihre große Schwester von Beginn an darauf gerichtet, auf dem Endgerät gespeicherte Inhalte auszuleiten und somit als eigenständige Maßnahme zu betrachten.557 553 BVerfGE
124, 43 = NJW 2009, 2431 (2432 Rn. 45). 18 / 12785, S. 50. 555 Vgl. BVerfG, NJW 2008, 822 (830). 556 Zur dienenden Funktion der Quellen-TKÜ vgl. Sinn, Stellungnahme BT-Drs. 18 / 11272, S. 6. 557 Insoweit auch Sinn, Stellungnahme BT-Drs. 18 / 11272, S. 7. 554 BT-Drs.
154
2. Kap.: Erarbeitung des rechtlichen Rahmens
Die Voraussetzungen des § 100a StPO sind zudem auf in die Zukunft gerichtete Maßnahmen zugeschnitten. Dies verdeutlicht auch § 100e Abs. 5 StPO. Denn liegen die Voraussetzungen des § 100a Abs. 1 S. 2 StPO nicht mehr vor, sind die auf Grund der Anordnung getroffenen Maßnahmen unverzüglich zu beenden. Dies ist beispielsweise der Fall, wenn durch die Telekommunikationsüberwachung Erkenntnisse gewonnen werden, aufgrund derer der Tatverdacht bezüglich einer Katalogtat entfällt.558 Werden die Inhalte der Kommunikation erst rückwirkend ausgeleitet, kann der Beendigungszeitpunkt keine Berücksichtigung finden. Die rückwirkende Überwachung würde dann ab diesem Zeitpunkt ohne Rechtsgrundlage erfolgen, da eine QuellenTKÜ mit dem Entfall der Anordnungsvoraussetzungen zu beenden gewesen wäre.559 Der Regelungsgehalt des § 100a Abs. 1 S. 3 StPO ist daher aus verfassungsrechtlicher Sicht äußert bedenklich.560 Es erscheint nicht nur fraglich, ob bei Vorliegen der Voraussetzungen des § 100a StPO den Anforderungen des Bundesverfassungsgerichts für Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Genüge getan ist. Mit dem Verfassungsrecht unvereinbar ist jedenfalls die Tatsache, dass § 100a Abs. 1 S. 3 StPO an Voraussetzungen anknüpft, deren Vorliegen erst im Nachhinein feststellbar ist.
V. Résumé zu den strafprozessualen Ermächtigungsgrundlagen Zusammenfassend lässt sich also festhalten, dass die Strafverfolgungsbehörden am Ort des verdächtigen Cloud-Nutzers sowohl die lokal gespeicherten Daten in der „Desktop Cloud“ als auch die im externen Cloud-Speicher abgelegten Daten gemäß § 102 StPO offen durchsuchen beziehungsweise gemäß § 110 Abs. 1 und 3 StPO offen durchsehen können. In diesem Zuge können vorgefundene Endgeräte in Betrieb genommen und bestehende ZuWolter, in: SK-STPO § 100b Rn. 25. Veranschaulichung dient folgendes Beispiel: Der Beschuldigte speichert tagebuchähnliche Aufzeichnungen in der Cloud, die er mit anderen Nutzern teilt. Zwei Tage nach Anordnung der Quellen-TKÜ macht er Angaben, die den Tatverdacht entfallen lassen. Den Strafverfolgungsbehörden gelingt es jedoch erst nach 80 Tagen, die Software zur Quellen-TKÜ auf dem Endgerät des Beschuldigten zu installieren. Greifen sie nun auf die in den letzten 80 Tagen geteilten Inhalte zu, werden auch Inhalte erfasst, die mit der Quellen-TKÜ nicht mehr zu erfassen gewesen wären, da die Maßnahme nach § 100a Abs. 1 S. 2 StPO am zweiten Tag hätte beendet werden müssen (§ 100e Abs. 5 StPO). 560 Im Ergebnis auch Warken, NZWiSt 2017, 329 (335) die auch die Gefahr des Ausnutzens und Erhaltens bestehender Sicherheitslücken anführt. 558 Vgl. 559 Zur
B. Strafprozessuale Ermächtigungsgrundlagen155
gangssicherungen – auch durch den Einsatz von Cracking-Programmen – überwunden werden. Beweiserhebliche Daten können sodann gemäß §§ 94 ff. StPO als unkörperliche Gegenstände sichergestellt beziehungsweise beschlagnahmt werden, indem regelmäßig eine Kopie auf einem Speichermedium der Ermittlungsbehörden anzufertigen ist. Soweit es aus Gründen der Verhältnismäßigkeit geboten erscheint, kann die Sicherstellung der Daten auch durch die Sicherstellung des lokalen Datenträgers erfolgen. Können die Ermittlungsbehörden am Ort der Durchsuchung noch nicht feststellen, ob es sich bei den Inhaltsdaten des verdächtigen Cloud-Nutzers um zu sichernde beweiserhebliche Daten handelt, können die Daten auch gemäß § 110 StPO zur Durchsicht mitgenommen werden. Bei in der Cloud gespeicherten Daten setzt diese jedoch voraus, dass sie vorher auf einem lokalen Speichermedium der Strafverfolgungsbehörden gespeichert werden, da der Zugriff auf ein externes Speichermedium – hier die Server des Cloud-Anbieters – gemäß § 110 Abs. 3 StPO nur am Ort und während der Durchsuchung zulässig ist. Neben den Möglichkeiten einer offenen Durchsuchung beim verdächtigen CloudNutzer können die Strafverfolgungsbehörden nun auch unter den strengen Voraussetzungen des § 100b StPO im Wege einer Online-Durchsuchung heimlich auf die informationstechnischen Systeme des Beschuldigten zugreifen. Als informationstechnisches System im Sinne des § 100b Abs. 1 StPO ist nicht nur das Endgerät des Nutzers sondern auch dessen externer CloudSpeicher zu verstehen. Der Zugriff bei einer Online-Durchsuchung nach § 100b StPO erfolgt nicht nur heimlich, sondern kann sich auch über einen längeren Zeitraum erstrecken. Aufgrund der Schwere des Eingriffs ist die Anordnung der Maßnahme jedoch auf das Vorliegen einer besonders schweren Straftat im Sinne des § 100b Abs. 2 StPO begrenzt. Wollen die Strafverfolgungsbehörden am Ort des Cloud-Anbieters auf die Inhaltsdaten des verdächtigen Cloud-Nutzers zugreifen, kommt eine Durchsuchung gemäß § 102 oder § 103 StPO in Betracht. Arbeitet der Cloud-Anbieter mit den Ermittlungsbehörden zusammen – und dies ist aus Gründen der Verhältnismäßigkeit zunächst anzustreben – und macht er ihnen den Datensatz des verdächtigen Cloud-Nutzers zugänglich, ist die Durchsuchung an den Voraussetzungen des § 102 StPO zu messen. Kooperiert der Cloud-Anbieter jedoch nicht mit den Strafverfolgungsbehörden und müssen sodann die gesamten Daten nach dem Datensatz des verdächtigen Cloud-Nutzers durchsucht werden, findet eine Durchsuchung unter den strengeren Voraussetzungen des § 103 StPO statt. Die Daten des verdächtigen Cloud-Nutzers können sodann auch – soweit deren Beweiserheblichkeit festgestellt wurde – gemäß §§ 94 ff. StPO sichergestellt beziehungsweise beschlagnahmt oder gemäß § 110 StPO zur Durchsicht mitgenommen werden. Wissen die Strafverfolgungsbehörden bereits, dass der verdächtige Cloud-Nutzer beweiserhebliche Daten in der Cloud gespeichert hat, können diese gemäß § 95 StPO vom
156
2. Kap.: Erarbeitung des rechtlichen Rahmens
Cloud-Anbieter herausverlangt werden. Wie bei der Sicherstellung von Daten ist jedoch auch bei der Editionspflicht nach § 95 StPO ein Zugriff auf überschießende Informationen, insbesondere vertrauliche Daten Dritter, die für das Verfahren nicht von Bedeutung sind, möglichst zu vermeiden. In aller Regel wird daher ein auf die Zusammenstellung und Herausgabe bestimmter Daten gerichtetes Herausgabeverlangen den Grundsätzen der Verhältnismäßigkeit eher entsprechen, als die Herausgabe eines gesamten Datenbestandes. Sonstige Daten, die nach bisherigen Verständnis als Bestands- oder Nutzungsdaten nach dem TMG zu qualifizieren waren, können vom Cloud-Anbieter über die Ermittlungsgeneralklausel der §§ 161 Abs. 1 S. 1, 163 Abs. 1 StPO in Verbindung mit Art. 6 Abs. 1 Buchstabe f) DSGVO und § 24 Abs. 1 Nr. 1 BDSG-neu vom Cloud-Anbieter herausverlangt werden. Wollen die Ermittlungsbehörden die Inhaltsdaten des verdächtigen CloudNutzers während der Übertragungsphase heimlich abfangen, kommt § 100a StPO als Ermächtigungsgrundlage in Betracht. Der Transfer von Daten in die Cloud und aus der Cloud ist jedoch nur dann als Telekommunikation im Sinne des § 100a Abs. 1 S. 1 StPO zu qualifizieren, wenn der Cloud-Nutzer die Dienste des Cloud-Storage-Anbieters ausschließlich nutzt, um mit Dritten zu kommunizieren. Nur dann kommt eine Telekommunikationsüberwachung gemäß § 100a Abs. 1 S. 1 StPO in Betracht. Können im Rahmen einer solchen Maßnahme nur kryptierte Daten auf dem Kommunikationsweg gewonnen werden, hat der Gesetzgeber mit der Neufassung des § 100a Abs. 1 StPO der lange Zeit umstrittenen Quellen-TKÜ explizit eine rechtliche Grundlage gegeben. Gemäß § 100a Abs. 1 S. 2 StPO darf die Überwachung und Aufzeichnung der Telekommunikation auch in der Weise erfolgen, dass mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen wird, wenn dies notwendig ist, um die Aufzeichnung und Überwachung in unverschlüsselter Form zu ermöglichen. Nutzt der Cloud-Nutzer seinen Dienst – ausschließlich – um im Sinne des § 100a Abs. 1 S. 1 StPO mit Dritten zu kommunizieren, kann der Überwachungsvorgang gemäß § 100a Abs. 1 S. 2 StPO auch schon vor beziehungsweise nach Einsetzen der Verschlüsselung erfolgen. Der darüber hinausgehenden „kleinen Online-Durchsuchung“ gemäß § 100a Abs. 1 S. 3 StPO, wonach bei Vorliegen der Voraussetzungen auch auf bereits gespeicherte Inhalte und Umstände der Telekommunikation zugegriffen werden kann, stehen hingegen verfassungsrechtliche Bedenken entgegen. Das Bundesverfassungsgericht hat sich zu dieser jüngsten Erweiterung der Ermittlungsbefugnisse noch nicht geäußert.
Drittes Kapitel
Völkerrechtliche Begrenzung der Ermittlungsbefugnisse Ging es bisher nur um die nationalen Ermittlungsbefugnisse der Strafverfolgungsbehörden, muss nun dem Umstand Rechnung getragen werden, dass die meisten Cloud-Dienste von ausländischen Firmen angeboten werden beziehungsweise auch inländische oder im Inland ansässige Firmen Serverfarmen im Ausland betreiben. Die Strafprozessordnung verlangt im Ermittlungsverfahren von der Staatsanwaltschaft (§ 160 StPO) und in der Hauptverhandlung vom Gericht (§ 244 Abs. 2 StPO) eine umfassende Erforschung des zu Grunde liegenden Sachverhalts. Dabei wird an sich nicht zwischen im In- und im Ausland belegenen Beweismitteln unterschieden. Auch das Internet setzt den Strafverfolgungsbehörden bei ihren Ermittlungen in der Cloud aufgrund seiner technischen Beschaffenheit faktisch keine räumlichen Grenzen. Dennoch sind die Maßnahmen der Strafverfolgungsbehörden auf das eigene Hoheitsgebiet beschränkt. Dies ergibt sich aus völkerrechtlichen Grundsätzen, namentlich dem Territorialprinzip, an welche die Ermittlungsbehörden gebunden sind.1 Greifen die Strafverfolgungsbehörden auf in der Cloud gespeicherte Inhalte zu, die sich auf Servern des Cloud-Anbieters befinden, die ausschließlich im Inland belegen sind, ergeben sich aus völkerrechtlicher Sicht keine weiteren Probleme. Nutzt der Cloud-Anbieter jedoch auch – und dies ist insbesondere bei großen Anbietern meist der Fall – Serverfarmen im Ausland, sind die Ermittlungsmaßnahmen auch auf ihre völkerrechtliche Zulässigkeit hin zu überprüfen. Auch das auf bestimmte Daten gerichtete Herausgabeverlangen der Ermittlungsbehörden bedarf einer gesonderten völkerrechtlichen Betrachtung, und zwar nicht nur, wenn es sich gegen einen ausländischen Cloud-Anbieter richtet, sondern auch, wenn es sich gegen einen inländischen oder im Inland ansässigen Anbieter richtet, die in Rede stehenden Daten jedoch auf einem ausländischen Server gespeichert sind.
1 Insgesamt dazu Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 132; Schaar, Datenschutz im Internet, S. 263 Rn. 839; Ziebarth, OnlineDurchsuchung, S. 149.
158
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
A. Das Territorialprinzip Das Völkerrecht beruht im Wesentlichen auf zwei Fundamenten: Der Gleichheit und der Souveränität der Staaten. Daraus resultiert das Gebot der Achtung der Gebietshoheit (Territorialprinzip), das Einmischungs- und Interventionsverbot sowie das Gebot der Achtung fremder Hoheitsakte.2 Das Territorialprinzip besagt, dass grundsätzlich kein Staat berechtigt ist, auf fremdes Staatsgebiet einzuwirken;3 unabhängig davon, ob die Einwirkung hoheitlich oder rein tatsächlich, heimlich oder offen geschieht.4 Staatliche Eingriffe dürfen im Ausland nur vorgenommen werden, sofern sie von dem betroffenen Staat zugelassen oder völkerrechtlich gerechtfertigt sind.5 Anderenfalls muss der betroffene Staat ersucht werden, den Hoheitsakt vorzunehmen. Das Territorialprinzip gilt nach überwiegender Auffassung auch im Internet, dem „Netz der Netze“6. Die Gebietshoheit obliegt dabei dem Staat, in welchem die Daten gespeichert sind.7 Gerade bei Ermittlungsmaßnahmen im Zusammenhang mit der Cloud ist ein besonderes Augenmerk auf die Ausübungskompetenz des Staates für die Ermittlungsmaßnahme zu legen, da die gesuchten Daten nicht zwingend im Inland gespeichert sind. Neben der meist eindeutig zu beurteilenden Frage, ob Ermittlungsbehörden Hoheitsakte auf fremdem Staatsgebiet vornehmen dürfen, bleibt noch zu klären, ob die Strafverfolgungsbehörden auch zu Maßnahmen berechtigt sind, deren Auswirkungen nicht nur das eigene Staatsge2 Vgl. dazu Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 5; v. Heinegg, Legal Implications of Territorial Souvereignty in Cyberspace, S. 8 f. 3 Council of Europe, Extraterritorial criminal jurisdiction, S. 446; Doehring, Völkerrecht Rn. 88 f.; Geiger, Grundgesetz und Völkerrecht mit Europarecht, S. 247 f., 312; Ipsen, Völkerrecht (2004), § 23 Rn. 67, 69; v. Arnauld, Völkerrecht, Rn. 344; Schuster, Verwertbarkeit im Ausland gewonnener Beweise, S. 24; Schwörer, wistra 2009, 452 (453). 4 Dahm / Delbrück / Wolfrum, Völkerrecht, Bd. 1 / 3 S. 792 f.; Ipsen, Völkerrecht (2004), § 23 Rn. 69–72; Verdross / Simma, Universelles Völkerrecht, § 456. 5 Zum völkerrechtlichen Territorialprinzip Streinz, in: Sachs GG Art. 25 Rn. 51 ff. 6 Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 10. Andere Autoren betrachten das Internet, vergleichbar mit dem Weltall, als eine hoheitsneu trale Sphäre, als „Weltöffentlichkeit“ (im Zusammenhang mit behördlicher Öffentlichkeitsarbeit im Internet, Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 650) oder sind der Auffassung, dass der Cyberspace jenseits geographischer Grenzen existiert und nur im Einzelfall staatlicher Gewalt zugänglich sei (SpangHanssen, Cyberspace & International Law, S. 313 ff. m. w. N.); differenzierend zwischen „Cyberspace“ und „Cyberinfrastruktur“ Schaller, SWP-Studie, S. 7. 7 Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 10; im Ergebnis zur physischen Kopplung auch v. Heinegg, Legal Implications of Territorial Souvereignty in Cyberspace, S. 9 f.; im Ergebnis auch Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 3.
B. Die Zulässigkeit extraterritorialer Ermittlungshandlungen 159
biet betreffen, obwohl die ermittelnden Beamten das Staatsgebiet zu keinem Zeitpunkt physisch verlassen.
B. Die Zulässigkeit extraterritorialer Ermittlungshandlungen Nach dem völkerrechtlichen Prinzip der Gebietshoheit beschränkt sich die Ausübungskompetenz grundsätzlich auf das eigene Staatsgebiet.8 Ausnahmen davon können sich durch abweichende Genehmigungen im Einzelfall, wie beispielsweise im Wege der Rechtshilfe aufgrund völkerrechtlicher Verträge oder genereller Ermächtigungen, durch stetige Anerkennung bestimmter Verhaltensweisen in der Staatenpraxis ergeben.9 Hoheitsakte, welche auf dem eigenen Staatsgebiet vorgenommen werden, jedoch (auch) in fremdes Staatsgebiet hineinwirken, sind nicht generell als völkerrechtswidrig zu betrachten. Sie sind nur dann unzulässig, wenn sie tatbestandlich ein völkerrechtliches Delikt verwirklichen.10 Der Tatbestand eines solchen ist verwirklicht, wenn ein Völkerrechtssubjekt eine ihm völkerrechtlich auferlegte Pflicht verletzt. Teilweise wird darüber hinaus als konstitutives Element noch das Hervorrufen eines Schadens materieller oder immaterieller Art gefordert.11 Andere sehen den Schaden bereits in der Verletzung eines Rechts des Völkerrechtsubjekts.12 Umstritten ist weiterhin, ob der Unrechtstatbestand schuldhaft herbeigeführt werden muss oder alleine die objektive Erfolgsbegründung ausreichend ist. Auch wenn sich bisher weder das Verschuldens- noch das Erfolgsprinzip endgültig durchsetzen konnte,13 ist eine Tendenz zum Erfolgsprinzip zu verzeichnen.14 Dem ist in mehrerlei 8 Statt vieler nur Daum, Grenzverletzungen und Völkerrecht, S. 37 f.; Geiger, Grundgesetz und Völkerrecht mit Europarecht, S. 247 f.; Rehbinder, Extraterritoriale Wirkungen des deutschen Kartellrechts, S. 394; Siegrist, Hoheitsakte auf fremden Staatsgebiet, S. 10 f. 9 Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 132 m. w. N. 10 Schlochauer, Die extraterritoriale Wirkung von Hoheitsakten, S. 41; v. Münch, Das völkerrechtliche Delikt, S. 65. 11 Zum völkerrechtlichen Delikt Daum, Grenzverletzungen und Völkerrecht, S. 27 ff.; v. Münch, Das völkerrechtliche Delikt, S. 134, 140; v. Heinegg, Legal Implications of Territorial Souvereignty in Cyberspace, S. 11 m. w. N. 12 Zu dieser im Vordringen befindlichen Auffassung Daum, Grenzverletzungen und Völkerrecht, S. 41 m. w. N. 13 Sieber, Straftaten und Strafverfolgung im Internet, C147; Siegrist, Hoheitsakte auf fremdem Staatsgebiet, S. 87 ff.; v. Münch, Das völkerrechtliche Delikt, S. 152 ff.; Wilske, Die völkerrechtswidrige Entführung, S. 105 f. jeweils m. w. N. 14 Daum, Grenzverletzungen und Völkerrecht, S. 38 ff.; Siegrist, Hoheitsakte auf fremdem Staatsgebiet, S. 90; v. Münch, Das völkerrechtliche Delikt, S. 163 f.
160
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
Hinsicht zuzustimmen: Zum einen sprechen für das Erfolgsprinzip die geringeren Beweisschwierigkeiten, zum anderen lassen sich die bestehenden Risiken beim Einsatz neuer Techniken besser abstecken.15 Die tatbestandliche Verwirklichung eines völkerrechtlichen Delikts liegt jedenfalls immer dann vor, wenn der Hoheitsakt die Gebietshoheit eines anderen Staates unmittelbar verletzt, er seiner Wirkung nach einem Hoheitsakt auf fremden Staatsgebiet gleichkommt oder die Sicherheit und Ordnung eines anderen Staates gefährdet.16
C. Der Zugriff auf im Ausland gespeicherte Daten Im Folgenden soll untersucht werden, ob der Zugriff auf in der Cloud gespeicherte Daten von einem im Inland belegenen Endgerät aus mit dem Völkerrecht zu vereinbaren ist, auch wenn der Cloud-Anbieter die Daten auf Servern im Ausland speichert. Auf der ersten Stufe stellt sich daher die Frage nach dem Vorliegen eines Eingriffs, welcher auf der zweiten Stufe gerechtfertigt sein kann. Eine Rechtfertigung lässt sich dogmatisch nur aus den anerkannten Rechtsquellen des Völkerrechts herleiten. Zu nennen sind hierbei internationale Verträge, internationales Gewohnheitsrecht (völkerrechtliche Übung) sowie anerkannte allgemeine Rechtsgrundsätze.17
I. Allgemein Da im weiteren Verlauf der Darstellung zwischen öffentlich zugänglichen Daten und nicht öffentlich zugänglichen Daten unterschieden wird, ist zunächst zu klären, was unter den verwendeten Begrifflichkeiten im Einzelnen zu verstehen ist. Die Differenzierung ist im Wesentlichen auf Art. 32 der Convention on Cybercrime (CCC)18 zurückzuführen. Die Cybercrime-Konvention des Europarates ist ein Resultat jahrelanger internationaler Bemühungen zur Verbesserung der Bekämpfung der Computerkriminalität. Die Ausarbeitung wurde im November 1996 durch eine Entscheidung des Lenkungsausschusses für Strafrecht („European Committee on Crime Problems“) initiiert und sollte in verfahrensrechtlicher Sicht die grenzüberschreitende Anwendbarkeit von Eingriffsbefugnissen sowie Fragen der internationalen 15 v. Münch, Das völkerrechtliche Delikt, S. 164 f.; insgesamt dazu Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 13 auch mit weitergehender Argumentation. 16 v. Münch, Das völkerrechtliche Delikt, S. 65; im Ergebnis auch v. Heinegg, Legal Implications of Territorial Souvereignty in Cyberspace, S. 15 f. 17 Vgl. dazu nur Ipsen, Völkerrecht (2004), § 16 Rn. 3. 18 SEV-Nr. 185, in Kraft getreten am 01.07.2004.
C. Der Zugriff auf im Ausland gespeicherte Daten 161
Zusammenarbeit bei der Ermittlung im Bereich von Computerdelikten zum Gegenstand haben.19 Das Übereinkommen trat am 01.07.2004 in Kraft und wurde inzwischen von 56 Ländern unterzeichnet und ratifiziert;20 Darunter auch Deutschland.21 Art. 32 Buchstabe a) CCC spricht vom Zugriff auf „öffentlich zugängliche gespeicherte Computerdaten (offene Quellen)“ und Art. 32 Buchstabe b) CCC von gespeicherten, also nicht öffentlich zugänglichen Computerdaten. Was öffentlich zugängliche gespeicherte Daten ausmacht, wird jedoch nicht näher definiert22 und stattdessen auf das nationale Recht der Mitgliedstaaten zurückgeworfen. Art. 32 Buchstabe a) CCC lässt die Tendenz erkennen, die Maßnahmen der Strafverfolgungsbehörden, die öffentlich zugänglich gespeicherte Daten zum Gegenstand haben, nicht auf die territoriale Souveränität anderer Staaten begrenzen zu wollen. Begrifflich sind daher Daten erfasst, die dem Anwendungsbereich allgemeiner Ermittlungsmaßnahmen (§§ 161, 163 StPO) unterfallen.23 Dies sind Daten, die ohne echte Zugangsbeschränkung von den Strafverfolgungsbehörden abrufbar sind, weil eine Identifizierung der zugreifenden Person nicht vorausgesetzt ist.24
II. Öffentlich zugänglich gespeicherte Daten Stellt der Cloud-Anbieter dem Nutzer externen Speicherplatz zur Verfügung, ist der Zugang üblicherweise mit einer Zugangssicherung versehen. Damit wird sichergestellt, dass grundsätzlich nur der Nutzer auf der in der Cloud gespeicherte Inhalte zugreifen kann. Bei in der Cloud gespeicherten Inhalten handelt es sich daher grundsätzlich nicht um öffentlich zugängliche Daten. Viele Cloud-Storage-Dienste bieten jedoch die Möglichkeit, Ordner oder Dateien öffentlich zu teilen beziehungsweise freizugeben, so dass auch in der klassischen Storage Cloud gespeicherte Daten mitunter öffentlich zugänglich sind.
19 Ausführlich zur Entstehung der Konvention vgl. Spannbrucker, Convention on Cybercrime, S. 3 ff. 20 Stand 15.11.2017: https: / / www.coe.int / de / web / conventions / full-list / - / conven tions / treaty / 185 / signatures?p_auth=hWycePFf (zuletzt besucht am 20.03.2018). 21 Unterzeichnung im November 2001 und Ratifizierung im März 2009. 22 Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 6. 23 Insgesamt dazu Böckenförde, Die Ermittlung im Netz, S. 208. 24 Im Ergebnis auch Trüg / Mansdörfer, in: Hilber, Cloud Computing, Teil 7 Rn. 42; vertieft zu unechten und echten Zugangsbeschränkungen vgl. Böckenförde, Die Ermittlung im Netz, S. 167 ff. sowie Dalby, Grundlagen der Strafverfolgung im Internet, S. 49 ff.
162
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
1. Eingriff Soweit die im Ausland gespeicherten Daten öffentlich zugänglich sind, ist umstritten, ob der Zugriff bereits einen Eingriff in die Gebietshoheit des speichernden Staates darstellt. Für die Beurteilung des Eingriffscharakters ist dabei zunächst unerheblich, dass sich die ermittelnden Beamten nicht physisch auf fremdes Staatsgebiet begeben. So wird zum Beispiel auch die telefonische oder postalische Kontaktaufnahme mit im Ausland befindlichen Personen durch nationale Strafverfolgungsbehörden im deutschen Schrifttum wohl weitgehend als Eingriff in die Gebietshoheit des Staates gewertet, in dem sich der Empfänger aufhält, da auf fremden Staatsgebiet eine substanzielle Auswirkung eintritt, die aufgrund ihres investigativen Hintergrundes nur einem Hoheitsträger zustehen kann.25 Ein Eingriff liegt also vielmehr bereits dann vor, wenn das Handeln der Strafverfolgungsbehörden in fremdes Staatsgebiet hineinwirkt. Beim Abruf der Daten durch die Strafverfolgungsbehörden werden Datenverarbeitungsprozesse in Gang gesetzt und physisch wahrnehmbare Außenweltveränderungen nicht nur auf dem eigenen Staatsgebiet bewirkt. Es macht daher keinen Unterschied, ob sich der handelnde Beamte physisch auf fremdes Staatsgebiet begibt. Maßgeblich ist vielmehr die kausale Herbeiführung einer wahrnehmbaren Veränderung der Außenwelt auf fremdem Staatsgebiet. Die Entscheidung, ob eine Ermittlungsmaßnahme auf dem eigenen Staatsgebiet durchgeführt werden soll, obliegt jedoch dem betroffenen Staat und darf nicht durch die Verwendung des Internets ausgehebelt werden.26 Dennoch wird teilweise davon ausgegangen, dass der Zugriff auf öffentlich zugängliche Daten keinen Eingriff in die Gebietshoheit des betroffenen Staates darstellt und daher ohne weiteres völkerrechtlich nicht zu beanstanden ist.27 Dieser Auffassung liegt die Begründung zu Grunde, dass der Zugriff auf öffentlich zugängliche Daten keinen Eingriff in das Recht auf infor25 Ausführlich dazu und m. w. N. Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 143 ff. 26 Seitz, Strafverfolgungsmaßnahmen im Internet, S. 364. 27 Im Ergebnis wohl Bär, EDV-Beweissicherung im Strafverfahren, S. 345, Rn. 507; Hackner, in: Wabnitz / Janovsky, 24. Kap. Rn. 88a zum „Surfen“ im Internet; Böckenförde, Die Ermittlung im Netz, S. 208; im Ergebnis auch Eschelbach, in: Eberle / Rudolf / Wasserburg, Mainzer Rechtshandbuch der neuen Medien, Kap. 11 Rn. 161 auch m. w. N.; ohne Differenzierung nach Eingriff und Rechtfertigung Hausschild, in: MüKo-StPO § 110 Rn. 18; Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 651 f. der grundsätzlich nicht vom Vorliegen eines Eingriffs ausgeht, ansonsten jedenfalls aber eine rechtfertigende Duldung annimmt; Graf, in: Herrmann / Ohly, Verantwortlichkeit im Netz, S. 85 (99 f.); Kudlich, JA 2000, 227 (228 f.); so wohl auch Schmidt, Gefahrenabwehrmaßnahmen im Internet, S. 264 f. und Walden, Computer Crimes and Digital Investigations, S. 316, Rn. 5.63.
C. Der Zugriff auf im Ausland gespeicherte Daten 163
mationelle Selbstbestimmung darstelle, da der Inhaber durch die öffentliche Abrufbarkeit zum Ausdruck bringt, dass er die Daten nicht für schutzwürdig erachtet und diese mithin nicht der Privatsphäre zuzuordnen sind.28 Aber selbst wenn der Zugriff auf öffentlich zugängliche Daten keinen Eingriff in das Recht auf informationelle Selbstbestimmung darstellt, bedeutet dies nicht gleichsam, dass durch den Zugriff nicht in fremde Hoheitsrechte eingegriffen wird.29 Denn dabei würde verkannt, dass der Zugriff der Strafverfolgungsbehörden der Strafverfolgung dient und sich die Gefährdung fremder Staatsinteressen auch aus der Menge der leicht und unauffällig zu erlangenden Informationen ergibt.30 Der Annahme eines Eingriffs kann insbesondere auch nicht entgegengehalten werden, der Inhaber der Daten habe durch den Verzicht auf eine Zugangssicherung dem Zugriff beliebiger Dritter zugestimmt. Denn eine Einwilligung natürlicher oder juristischer Personen des Privatrechts ist mangels Dispositionsbefugnis gegenstandslos.31 Auch der Zugriff auf öffentlich zugänglich gespeicherte Daten stellt daher grundsätzlich einen völkerrechtlichen Verstoß dar, der einer völkerrechtlichen Rechtfertigung bedarf.32 Greifen die Strafverfolgungsbehörden von einem in Inland belegenen Endgerät aus auf in der Cloud gespeicherte und offen zugängliche Inhalte zu, werden über das lokale Endgerät Rechnerprozesse beim Cloud-Anbieter hervorgerufen. Soweit sich diese Rechner im Ausland befinden, wirken die Behörden auf das Gebiet des betroffenen Staates ein, so dass insoweit von einem Eingriff in die Gebietshoheit des betroffenen Staates ausgegangen werden kann.33 dazu Jofer, Strafverfolgung im Internet, S. 192 f. auch Jofer, Strafverfolgung im Internet, S 193. 30 Dazu Bär, CR 1995, 489 (500). 31 Bertele, Souveränität und Verfahrensrecht, S. 86 f.; Moritz, CR 1998, 505 (509); Gercke, StraFo 2009, 271 (273); Sieber, Straftaten und Strafverfolgung im Internet, C 79. 32 Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 Rn. 7a; Determann, Kommunikationsfreiheit im Internet, S. 149 f.; Gercke, Rechtswidrige Inhalte im Internet, S. 171; Gruhl, in: Welp, kriminalität@net, S. 67, 73; Meininghaus, Zugriff auf EMails, S. 179; im Ergebnis und ohne Differenzierung zwischen zugangs- und nicht zugangsgeschützten Daten wohl auch Möhrenschlager, wistra 1991, 321, 329; ebenfalls ohne Differenzierung Wiedemann, Kriminalistik 2000, 229, 238; Spatscheck, in: Welp, kriminalität@net, S. 91 f. Teilweise wird auch von einer „generelle Einwilligung“ des von der Maßnahme betroffenen Staates oder einer Rechtfertigung kraft Gewohnheitsrecht ausgegangen, Gercke, StraFo 2009, 271 (273); Jofer, Strafverfolgung im Internet, S. 193 ff.; Sieber, Straftaten und Strafverfolgung im Internet, C. 144 f. 33 So jedenfalls Bär, der Zugriff auf Computerdaten im Strafverfahren, S. 234 ff.; Council of Europe, Recommendation No. (95) 13; Erläuternder Bericht, Tz. 187 ff.; Determann, Kommunikationsfreiheit im Internet, S. 149; Meininghaus, Zugriff auf 28 Insgesamt 29 So
164
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
2. Rechtfertigung Geht man beim Zugriff auf die im Ausland öffentlich zugänglich gespeicherten Daten von einem Eingriff in die Gebietshoheit aus, ist dieser jedoch gerechtfertigt. Eine Rechtfertigung ergibt sich zum einen aus Art. 32 Buchstabe a) CCC, wonach eine Vertragspartei ohne die Genehmigung einer anderen Vertragspartei auf öffentlich zugänglich gespeicherte Daten zugreifen darf, unabhängig vom konkreten Speicherort der Daten. Alle Staaten, die den Vertrag unterzeichnet und ratifiziert haben, können sich daher im jeweiligen Verhältnis auf Art. 32 Buchstabe a) CCC berufen.34 Aber auch abseits der Regelung des Art. 32 CCC ist zumindest von einer Rechtfertigung auszugehen. Aufgrund des intensiven Zugriffs auf öffentlich zugänglich gespeicherte Daten in der Vergangenheit, der trotz der durchaus langanhaltenden Dauer nicht auf Widerstand der betroffenen Länder gestoßen ist,35 ist nicht nur von einer rechtfertigenden generellen Einwilligung auszugehen, es liegt vielmehr eine von gemeinsamer Rechtsauffassung getragene Übung vor, die sich durch Anerkennung der Staaten zum Gewohnheitsrecht entwickelt hat.36 Denn anderenfalls bliebe den Ländern auch die Möglichkeit ihr Netz und die darin enthaltenen Informationen nach außen abzuschirmen. Soweit man also beim Zugriff auf öffentlich zugänglich in der Cloud gespeicherte Daten einen Eingriff in die Gebietshoheit des betroffenen Staates annimmt, ist dieser jedoch über Art. 32 CCC gerechtfertigt. Im Verhältnis zu Staaten, die die Convention on Cybercrime nicht unterzeichnet und ratifiziert haben – zu denken sei hier beispielsweise an Russland und China –, ist der Zugriff auf öffentlich zugänglich gespeicherte Daten gewohnheitsrechtlich anerkannt.
E-Mails, S. 180; Sankol, K&R 2008, 279 (280); Seitz, Strafverfolgungsmaßnahmen im Internet, S. 364 ff.; Sieber, in: Eser / Thormundsson, S. 203 (211f.); ders., COMCRIME-Study, S. 107 (Fn. 239), wobei keine Unterscheidung zwischen Eingriff und Rechtfertigung stattfindet; im Ergebnis auch Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 3. 34 Ein aktuelles Gesamtverzeichnis über den Unterschriften- und Ratifikationsstand des Vertrages 185 kann auf der Homepage des Europarats abgerufen werden https: / / www.coe.int / en / web / conventions / full-list / - / conventions / treaty / 185 / signa tures?p_auth=oSpdZZr7 (zuletzt besucht am 20.03.2018). 35 Zu den Voraussetzungen der Festigung von Gewohnheitsrecht kraft anerkannter Übung im technischen Zeitalter, Doehring, Völkerrecht Rn. 288; Stein / v. Buttlar, Völkerrecht, Rn. 125 ff. 36 Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 158 m. w. N.
C. Der Zugriff auf im Ausland gespeicherte Daten 165
III. Nicht öffentlich zugänglich gespeicherte Daten Solange der Nutzer seine in der Cloud gespeicherten Daten nicht über einen Link der Öffentlichkeit freigibt, handelt es sich bei den Inhaltsdaten um nicht öffentlich zugänglich gespeicherte Daten, auf die nur über den Account des Nutzers zugegriffen werden kann (Fall 3c und Fall 437). Für den Zugriff benötigen die Strafverfolgungsbehörden daher entweder die Unterstützung eines Berechtigten, oder sie müssen sich selbst den Zugriff zu dem Konto des Nutzers verschaffen. 1. Eingriff Liegt beim Zugriff auf öffentlich zugänglich gespeicherte Daten ein Eingriff in fremde Souveränitätsrechte vor, so gilt dies auch und erst recht für den Zugriff auf nicht öffentlich zugänglich gespeicherte Daten, denn die Brechung des nach außen dokumentierten Willens, die Daten durch eine Zugangssicherung dem Zugriff Dritter zu entziehen, verstärkt den hoheit lichen Charakter der Maßnahme. Dies gilt auch dann, wenn die Strafverfolgungsbehörden die Zugangsdaten für den Account des Nutzers bei einer Durchsuchung vorfinden,38 insbesondere dann, wenn der unberechtigte Zugang in dem jeweiligen Hoheitsgebiet mit Strafe bedroht ist.39 2. Rechtfertigung a) Zugriff mit Zustimung des Berechtigten Stoßen die Strafverfolgungsbehörden auf einen nicht öffentlich zugäng lichen Cloud-Speicher des Verdächtigen, sind sie mitunter geneigt, zugriffsberechtigte Personen aufzufordern dem Zugriff zuzustimmen. Die Zustimmung des Berechtigten hat jedoch keinen Einfluss auf die Rechtswidrigkeit des Eingriffs, da der Zustimmende mangels Dispositionsbefugnis nicht über die Souveränitätsrechte des betroffenen Staates verfügen kann. Eine andere Beurteilung ergibt sich jedoch dann, wenn der Zustimmungsberechtigte die Daten selbst kopiert und an die ermittelnden Behörden herausgibt. 37 Zu den denkbaren Fallkonstellationen bei einem Zugriff der Strafverfolgungsbehörden am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 38 Die Auffassung, wonach in solchen Fällen ein Rechtshilfeersuchen nicht erforderlich sei (Hegmann, in: Beck-OK StPO § 110 Rn. 15), vermag daher nicht zu überzeugen. 39 § 202a Abs. 1 StGB beispielsweise betrifft das Ausspähen von Daten; vgl. auch § 271 schweiz. StGB.
166
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
aa) Convention on Cybercrime Eine Rechtfertigung des Eingriffs kann sich jedoch aus Art. 32 Buchstabe b) CCC ergeben. Gemäß der Vorschrift darf eine Vertragspartei auf im Ausland gespeicherte Daten zugreifen, wenn „sie die rechtmäßige und freiwillige Zustimmung der Person einholt, die rechtmäßig befugt ist, die Daten mittels dieses Computersystems an sie weiterzugeben“. Im Rahmen der CCC ist daher ein Zugriff auf nicht öffentlich zugänglich gespeicherte Daten mit der entsprechenden Einwilligung rechtmäßiger Weise möglich. Es ist jedoch zu klären, welche Anforderungen an die Person des Einwilligenden zu stellen sind. Dabei ist es zunächst nicht ausreichend, dass der Einwilligende auf die im Ausland gespeicherten Daten selbst in rechtmäßiger Weise zugreifen kann. Er muss darüber hinaus auch befugt sein, den Ermittlungsbehörden den Zugriff auf die Daten zu gestatten. Wer diese Befugnis inne hat, ist nach den Umständen, der Art der Person und dem anwendbaren Recht zu beurteilen.40 Ob sich die Rechtmäßigkeit nach dem Recht des ermittelnden Staates oder dem Sitzstaat des Servers richtet, geht aus der Konvention nicht eindeutig hervor. Es wird jedoch übereinstimmend davon ausgegangen, die Fragen nach dem Recht des handelnden Staates zu beurteilen.41 Um einen weiteren Eingriff in fremde Hoheitsrechte zu vermeiden, dürfen nur Personen um Zustimmung ersucht werden, die sich im Hoheitsgebiet der agierenden Strafverfolgungsbehörden aufhalten.42 Dass die zustimmungsberechtigte Person jedoch nicht zwingend mit der unmittelbar von der Maßnahme der Strafverfolgungsbehörden betroffenen Person identisch sein muss, ergibt sich aus dem Erläuternden Bericht zur CCC, wonach zum Beispiel auch der Provider als Zugangsberechtigter von den Strafverfolgungsbehörden angesprochen werden kann, da die Speicherung im Ausland auf seinen Willen zurückzuführen ist.43 40 Erläuternder
Bericht, Tz. 294. Bericht, Tz. 294; BR-Drs. 666 / 07, S. 55; vgl. dazu auch Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 8. 42 Dementsprechend geht der Bundestag von einer Begrenzung auf befugte Personen im Inland aus, BT-Drs. 16 / 7218, S. 55. Der erläuternde Bericht stellt bezüglich der rechtmäßig befugten Person auf nationale Regelungen ab, Erläuternder Bericht, Tz. 294. Im Ergebnis auch Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 162. 43 Erläuternder Bericht, Tz. 294; sowie Seitz, Strafverfolgungsmaßnahmen im Internet, S. 371; Dieser hat jedoch regelmäßig kein Recht, über die auf dem Speicher abgelegten Daten zu verfügen und scheidet daher im Ergebnis meist aus, Meininghaus, Zugriff auf E-Mails, S. 179. 41 Erläuternder
C. Der Zugriff auf im Ausland gespeicherte Daten 167
Übertragen auf das Cloud Computing bedeutet dies, dass grundsätzlich auch der Cloud-Anbieter als Zugangsberechtigter in Betracht kommt. Ob dieser zur Weitergabe der Daten an Dritte berechtigt ist, ergibt sich aus dem zugrunde liegenden Vertragsverhältnis. Nach der Klärung der Frage der Berechtigung ist darauf zu achten, dass der Zustimmungsberechtigte die Zustimmung auch tatsächlich erteilen muss. Für eine derart enge Auslegung spricht der Wortlaut des Art. 32 Buchstabe b) CCC, der die Einholung der Zustimmung fordert. Dem entsprechen auch die Ausführungen im Erläuternden Bericht und der Bundestagsdrucksache zur Konvention, die auf eine eingeholte beziehungsweise erteilte Zustimmung abstellen.44 Die Zustimmung muss des Weiteren freiwillig erfolgen. Ist der Zustimmungsberechtigte gesetzlich verpflichtet, den Zugriff zu gewähren, so ist eine Gewährung des Zugriffs regelmäßig nicht auf den freien Willen, sondern auf die gesetzliche Verpflichtung zurückzuführen, so dass die Erteilung der freiwilligen Zustimmung im Sinne des Art. 32 Buchstabe b) CCC in der Regel ausscheidet.45 bb) Abseits der Convention on Cybercrime Ob abseits der Regelung des Art. 32 Buchstabe b) CC ein Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten mit der Zustimmung des Berechtigten durch international anerkanntes Gewohnheitsrecht gerechtfertigt ist, ist unklar. Auch wenn die Einwilligung Privater abseits völkerrechtlicher Verträge mangels Dispositionsbefugnis keine rechtfertigende Wirkung hat, sprechen wesentliche Aspekte für eine anerkannte gewohnheitsrechtliche Rechtfertigung. Die Regelung in der Convention on Cybercrime geht auf eine breite Zustimmung bedeutender Staaten zurück.46 Es ist auch nicht belegt, inwieweit sich die nicht unterzeichnenden Staaten mit dieser Herangehensweise nicht einverstanden erklären.47 Denn auch nach der Auffassung der G8-Gruppe ist in solchen Fällen ein Rechtshilfeersuchen nicht erforderlich.48 44 Erläuternder Bericht, Tz. 294; BT-Drs. 16 / 7218, S. 55; dazu auch Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 163. 45 So auch Seitz, Strafverfolgungsmaßnahmen im Internet, S. 371. Andererseits gilt eine Zustimmung auch dann als freiwillig erteilt, wenn sie nur abgegeben wurde, weil anderenfalls die Verhängung eines Haftbefehls wegen Verdunkelungsgefahr droht (vgl. dazu Trüg / Mansdörfer, in: Hilber, Cloud Computing, Teil 7 Rn. 42, 45). 46 So auch Seitz, Strafverfolgungsmaßnahmen im Internet, S. 371 f. 47 In die andere Richtung argumentierend Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 163. 48 G8-Gruppe, Principles on transborder access to stored computer data, 1999, princible No. 6 (b), abrufbar unter: https: / / www.coe.int / t / dg1 / legalcooperation / eco
168
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
b) Zugriff ohne Zustimmung des Berechtigten Häufig wird es jedoch so sein, dass die Strafverfolgungsbehörden ohne die Zustimmung des Berechtigten auskommen und sich selbst den Zugriff auf die gespeicherten Inhalte verschaffen müssen oder – aus ermittlungstaktischen Gründen – wollen (Fall 3c und Fall 449). aa) Convention on Cybercrime Die Convention on Cybercrime enthält keine Regelung für den Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten und dies ganz bewusst. So ergibt sich aus Nr. 293 des Erläuternden Berichts, dass die Verfasser von einer Regelung abgesehen haben, bis mehr Erfahrungen vorliegen und diskutiert worden sind.50 Auch wenn sich die Staaten auf keine gemeinsame Regelung einigen konnten, spricht dies nicht gegen eine völkerrecht liche Rechtfertigung des Zugriffs auf im Ausland nicht öffentlich zugänglich gespeicherte Daten. Denn Art. 39 Abs. 3 CCC besagt, dass die Regelungen der Konvention andere Rechte nicht berühren oder beschneiden. Aus der Convention on Cybercrime lässt sich daher weder ein Ansatz für noch gegen die Rechtfertigung eines derartigen Eingriffs ableiten.51
nomiccrime / cybercrime / Documents / Points %20of %20Contact / 24 %208 %20Princip les%20on %20Transborder %20Access %20to %20Stored %20Computer %20Data_ en.pdf (zuletzt besucht am 20.03.2018). 49 Zu den denkbaren Fallkonstellationen am Ort des verdächtigen Cloud-Nutzers vgl. Zweites Kap. G.I. 50 Die Arbeitsgruppe, die mit der Ausarbeitung der Konvention befasst war, übernahm zunächst weitestgehend den vom Europäischen Rat ausgearbeiteten gemeinsamen Standpunkt, im Zuge der Verhandlung wurde davon jedoch Abstand genommen. Abl. EG L 142 v. 05.06.1999, S. 1 f. Art. 1 Nr. 7 des gemeinsamen Standpunkts lautet: „(…) a transborder computer search for the purpose of the investigation of a serious criminal offence, to be further defined in the Convention, may be considered in exceptional cases, and in particular where there is an emergency, for example, as far as necessary to prevent the destruction or alternation of evidence oft he serious offence, or to prevent the commission of an offence that is likely to result in the death of or seriuos physical injury to a person.“; dazu auch Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 3 f. 51 So auch Gercke, StraFo 2009, 271 (273); Seitz, Strafverfolgungsmaßnahmen im Internet, S. 374; Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 164; Im Ergebnis auch Seitz, Strafverfolgungsmaßnahmen im Internet, S 374.
C. Der Zugriff auf im Ausland gespeicherte Daten 169
bb) Abseits der Convention on Cybercrime Da sich keine weiteren völkerrechtlichen Verträge mit dem Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten befassen,52 ist fraglich, ob der Eingriff neben dem Vorliegen einer Einwilligung, die die Strafverfolgungsbehörden auf dem förmlichen Wege der internationalen Rechtshilfe erlangen können, auch in Ausnahmefällen gerechtfertigt ist.53 (1) Völkerrechtliche Übung Eine völkerrechtliche Übung, wonach die Staaten mit dem Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten einverstanden sind, ist bisher weder dokumentiert noch nachweisbar – im Gegenteil. International ausgerichtete Studien und Vorschläge verschiedener Vereinigungen und Organisationen deuten darauf hin, dass die Staaten den grenzüberschreitenden Zugriff überwiegend als einen völkerrechtswidrigen Eingriff in die Souveränitätsrechte des betroffenen Staates begreifen.54 Diese These stützen auch Beispiele aus der Praxis, bei denen das Berufen der Staaten auf die eigene Souveränität beziehungsweise die Achtung fremder Souveränität deutlich wird. Zu nennen ist hier insbesondere der Fall „United States v. Ivanov“, bei dem das FBI über einen in den Vereinigten Staaten belegenen Rechner auf in Russland gespeicherte Daten zugegriffen und diese online übertragen hat. Der zuständige russische Inlandsgeheimdienst FSB legte nach Bekanntwerden des Vorfalls gegen die Vorgehensweise des FBI Protest ein.55 Für internationales Aufsehen sorgte auch die Entscheidung des Bezirksgerichts Southern District of New York (SDNY) gegen Microsoft.56 Bei dem Verfahren ging es in der Sache darum, dass eine nicht näher bezeichnete US-Behörde einen Warrant (Durchsuchungs- und Beschlagnahmebeschluss) nach dem Stored Communication Act (SCA) erlassen hat, der Microsoft zur Herausgabe von Informationen in Bezug auf einen E-Mail Account verdazu Seitz, Strafverfolgungsmaßnahmen im Internet, S 374 Fn. 1060. internationalen Rechtshilfe Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 171 ff. 54 Council of Europe, Recommendation No. (95) 13; Sieber, COMCRIME-Study, S. 107; United Nations, Manual on the prevention and control of computer-related crime, Tz. 264 ff. 55 Zur Fallbeschreibung vgl. Seitz, Strafverfolgungsmaßnahmen im Internet, S. 375 (Fn. 1061) m. w. N. 56 18. U.S.C. §§ 2701 – 2712, Entscheidung (Richter James C. Francis IV, US Magistrate Judge) vom 25.04.2014 – 13 Mag. 2814, ZD 2014, 346 mit Anmerkungen zum Urteil Schröder / Spies, ZD 2014, 348. 52 Vgl. 53 Zur
170
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
pflichtete.57 Die Server, auf denen die Daten gespeichert sind, befanden sich überwiegend in Irland. Microsoft kam der Aufforderung in Folge nur soweit nach, als sich die Daten auf einem in den USA belegenen Server befanden und legte Beschwerde ein. Das Gericht bestätigte die Verpflichtung Microsofts, auch die in Irland gespeicherten Daten an die Behörde herauszugeben. Microsoft hat diese Entscheidung beim US Court of Appeals for the Second Circuit angefochten. Am 14.07.2016 traf das US Court of Appeals for the Second Circuit eine bedeutende Entscheidung: Es beschränkte die extraterritoriale Anwendung US-amerikanischen Rechts auf solche Gesetze, bei welchen der Kongress eine extraterritoriale Anwendung ausdrücklich vorsieht. Damit reduziert das Gericht die extraterritoriale Anwendung von US-amerikanischen Gesetzen und betont somit den Souveränitätsanspruch der betroffenen Staaten.58 Zusammenfassend lässt sich daher festhalten, dass von einer einheitlichen völkerrechtlichen Übung derzeit (noch) nicht die Rede sein kann.59 Eine Ausnahme gilt jedoch, wenn die Daten auf Servern in der USA gespeichert sind. Denn das Verhalten der USA hat gezeigt, dass sie in Ausnahmefällen von der völkerrechtlichen Zulässigkeit extraterritorialer Ermittlungshandlungen ausgehen. Dem entsprechen auch die Abänderungen beziehungsweise Erweiterungen der bestehenden Ermittlungsbefugnisse durch den Patriot Act60 sowie die sogenannte „Bank of Nova Scotia Subpoena“ (BSN-Maßnahme), wonach die US-Behörden in Fällen, in denen keine effektive Rechtshilfe zu erwarten ist, den Adressaten unmittelbar verpflichten.61 57 Ein Warrant nach dem SCA besteht aus zwei Teilen. Zum einen muss bei einem Gericht glaubhaft dargelegt werden, dass ein hinreichender Verdacht auf eine Straftat besteht. Insoweit ähnelt der Warrant einem Durchsuchungsbeschluss nach der StPO. Zum anderen verpflichtet der Warrant den Adressaten Informationen herauszugeben, die sich in seinem Besitz befinden, stellt also eine Zwangsmaßnahme dar. 58 18 U.S.C. §§ 2701, 2703, 2707, Entscheidung (Richter Lynch, Carney und Bolden) vom 14.07.2016 – 14–2985 (US-District Clourt Southern District of New York), ZD 2016, 480 mit Anmerkungen zum Urteil Schröder / Spies, ZD 2016, 481. Inwieweit das Herausgabeverlangen im Hinblick auf Art. 18 Abs. 1 Buchstabe a) CCC tatsächlich völkerrechtlich zu beanstanden war (vgl. dazu Drittes Kap. E.II.1), kann vorliegend dahinstehen, da sich das Urteil ausschließlich auf die Auslegung der nationalen Vorschrift bezieht. 59 So auch Seitz, Strafverfolgungsmaßnahmen im Internet, S. 377; Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 166. 60 Die Gesamtbezeichnung lautet: „Uniting and Strengthening America by Provid ing Appropriate Tools Required to Intercept and Obstruct Terrorism Act“, PL 107–56. Zu nennen sind hier insbesondere die Foreign Intelligence Surveillance Act (FISA) Subpoenas sowie das Herausgabeverlangen aufgrund eines National Security Letters (NSL), vertieft dazu Schneider DSRITB 2012, 759 (761 f.); Becker / Nikolaeva, CR 2012, 170 (170 f.); Voigt, MMR 2014, 158 (158 ff.). Zur territorialen Reichweite des US Patriot Acts Voigt / Klein, ZD 2013, 16 (17).
C. Der Zugriff auf im Ausland gespeicherte Daten 171
Dies ist im Ergebnis zwar unzutreffend, führt jedoch dazu, dass die USA in Ausnahmefällen mit Eingriffen in ihre Gebietshoheit einverstanden sind und der Eingriff dadurch gerechtfertigt ist. Machen andere Staaten von dieser Option Gebrauch, zeigen sie sich jedoch wiederum auch mit dem grenzüberschreitenden Zugriff in Ausnahmefällen einverstanden. Dies wären die Anfänge für die Entwicklung einer völkerrechtlichen Übung.62 (2) Allgemeine völkerrechtliche Grundsätze Darüber hinaus könnte der Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten nur im Einzelfall über allgemeine völkerrechtliche Grundsätze zu rechtfertigen sein.63 Das Gebot der Achtung der Gebietshoheit resultiert aus dem Abwehrinteresse des betroffenen Staates. Überwiegt jedoch das Interesse des eingreifenden Staates das Abwehrinteresse des betroffenen Staates oder steht es dem zumindest gleichwertig gegenüber, sind Konstellationen denkbar, in denen der Eingriff ausnahmsweise gerechtfertigt ist. Denn die Befugnis des Staates grenzüberschreitend tätig zu werden, wird nur durch die entgegenstehenden Interessen des betroffenen Staates begrenzt.64 Bei der Gegenüberstellung und Abwägung der betroffenen Interessen ist dem Abwehrinteresse des betroffenen Staates ein besonderes Gewicht beizumessen, da das Abwehrinteresse mit der Frage des Bestands des betroffenen Staates eng verbunden ist. Hoheitliche Eingriffe fremder Staaten führen immer zur Untergrabung der staatlichen Autorität und erzeugen Rechtsunsicherheit und politischen Handlungsdruck. Die Eingriffsinteressen des handelnden Staates müssen daher eine erhebliche Qualität aufweisen, um zumindest ein gleichwertiges Interesse begründen zu können. Ein derartig gewichtiges Interesse kann beispielsweise bei Staatsschutzdelikten, die den Bestand des handelnden Staates bedrohen, oder in Fällen angenommen werden, in denen die Untätigkeit eines Staates zu schweren Erschütterungen der inneren Sicherheit führen würde.65 Der Individualrechtsgüterschutz kann hingegen ein dazu Schneider, DSRITB 2012, 759 (764). Ergebnis auch Seitz, Strafverfolgungsmaßnahmen im Internet, S. 377. 63 Zu den allgemeinen Rechtsgrundsätzen vgl. dazu Doehring, Völkerrecht, Rn. 408; Ipsen, Völkerrecht (2004), § 17 Rn. 1. Gegen eine Rechtfertigung aufgrund allgemeiner völkerrechtlicher Grundsätze, Meininghaus, Zugriff auf E-Mails, S. 180 ff.; ihm folgend Gercke, StraFo 2009, 271 (273). 64 Dazu auch Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 167. 65 Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 167 (insgesamt dazu), führt als Beispiel die massive und offene Unterstützung terroristischer Organisationen aus dem Ausland an. 61 Vgl. 62 Im
172
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
derartiges Interesse nur begründen, wenn besondere staatliche Schutzpflichten, wie beispielsweise der Schutz des unmittelbar bedrohten Lebens bestehen.66 Darüber hinaus existieren keine weiteren Ausnahmen von der völkerrechtlichen Unzulässigkeit des Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten.67 Den Behörden bleibt daher nur die Möglichkeit, den Weg der internationalen Rechtshilfe zu beschreiten.68 Um die Gefahren eines zwischenzeitlichen Datenverlusts zu vermeiden, fordert die Praxis die vorläufige Sicherung der Daten, bis die Entscheidung des betroffenen Staates herbeigeführt werden kann.69 3. „Quick Freeze“ Die Gefahr des Datenverlustes bei zeitaufwändigen Rechtshilfeersuchen hat auch die Convention on Cybercrime erkannt und sieht daher mit Art. 16, 29 CCC ein zweistufigen Verfahren vor, dass eine Sicherung der Daten gestattet, bis die endgültige Maßnahme den Weg der Rechtshilfe durchschritten ist. In Deutschland wurde ein explizites Quick-freeze-Verfahren nicht eingeführt. Die Sicherungsvorgabe der Convention on Cybercrime kann daher nur mit den allgemeinen Vorschriften zur Herausgabe (§ 95 beziehungsweise §§ 161 Abs. 1, 163 Abs. 1 StPO) und Beschlagnahme (§ 94 StPO) in Verbindung mit den jeweiligen Regelungen zu Gefahr im Verzug bedingt erfüllt werden. Da die §§ 94 f. StPO jedoch auf eine endgültige Herausgabe an die Ermittlungsbehörden gerichtet sind, unterliegen sie grundsätzlich dem Richtervorbehalt, welcher das „Quick-freeze“ mitunter verzögern kann. Über §§ 161 Abs. 1, 163 Abs. 1 StPO können die Strafverfolgungsbehörden hingegen nur Bestands- und Nutzungsdaten im Sinne des TMG herausverlangen. Im Hinblick auf Inhaltsdaten ist die Möglichkeit einer Quick-Freeze-Anordnung im Sinne der Art. 16, 29 CCC im deutschen Recht daher nicht gegeben.70 66 Vgl. hierzu auch Art. 1 Abs. 7 des Gemeinsamen Standpunktes vom 27.05.1999 zu den Verhandlungen im Europarat über das Übereinkommen über Cyber-Kriminalität (CELEX 31999F0364); sowie Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 168 (Fn. 170) m. w. N. 67 Zu den „good faith“-Fällen vgl. Drittes Kap. D.III.3. 68 Zu den wichtigsten Regelwerken der internationalen Rechtshilfe vgl. Dom browski, Extraterritoriale Strafrechtsanwendung im Internet, S. 171 ff. 69 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, S. 258 (Rn. 374); ders., DRiZ 2007, 218 (221); Gaede, StV 2009, 96 (101); Gercke, StraFo 2009, 271 (273); Braun, PStR 15.03.2012, 2.3.2.; dagegen Hackner, in: Wabnitz / Janovsky, 24. Kap. Rn. 88a. 70 Ausführlich dazu Sieber, Gutachten 69. DJT, 122 ff.
C. Der Zugriff auf im Ausland gespeicherte Daten 173
Soweit die anderen Mitgliedstaaten die Vorgaben der Art. 16, 29 CCC umgesetzt und entsprechende Instrumente zum „Quick freeze“ bereitgestellt haben, können die Strafverfolgungsbehörden gemäß Art. 16, 29 CCC eine vorläufige Sicherung der nicht öffentlich zugänglich im Ausland gespeicherten Daten erreichen. Dies setzt jedoch voraus, dass der Serverstandort der in Rede stehenden Daten den Behörden bekannt ist, denn auch das QuickFreeze-Verfahren setzt ein Ersuchen der ermittelnden Behörde an die betroffene Vertragspartei voraus,71 was wiederum Zweifel an der Praktikabilität der Maßnahme begründet. Insbesondere bei in der Cloud gespeicherten Daten auf grenzübergreifenden Serververbunden ist das Quick-Freeze-Verfahren daher kaum relevant.72 4. Ergebnis Im Ergebnis lässt sich daher festhalten, dass der Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten mit der Zustimmung des Berechtigten gemäß Art. 32 Buchstabe b) CCC oder – abseits der Konvention – über international anerkanntes Gewohnheitsrecht gerechtfertigt ist. Anders verhält es sich beim Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten ohne die Zustimmung des Berechtigten. Für derartige Konstellationen hält die Konvention – bewusst – keine Regelung bereit. Eine völkerrechtliche Übung, die den Zugriff auf im Ausland nicht öffentlich zugänglich gespeicherte Daten gewohnheitsrechtlich anerkennt, ist ebenfalls nicht ersichtlich. Ausnahmen bestehen, soweit die Daten in den USA gespeichert sind. Ein Zugriff kann jedoch im Einzelfall über allgemeine völkerrechtliche Grundsätze gerechtfertigt sein, wenn das Eingriffsinteresse das Abwehrinteresse des betroffenen Staates überwiegt oder zumindest gleichwertig gegenübersteht. Ob und unter welchen Voraussetzungen ein Verstoß der Strafverfolgungsbehörden gegen das Souveränitätsrecht fremder Staaten zu einem Verwertungsverbot der erlangten Daten im Strafprozess führt soll im Rahmen dieser Arbeit nicht näher beleuchet werden.73 Es ist jedoch anzumerken, dass bei der Verletzung des Territorialprinzips die Annahme eines Beweisverwertungsverbotes wohl eher fraglich erscheint,74 da die Einhaltung der Verfah71 „Eine Vertragspartei kann eine andere Vertragspartei um Anordnung (…) der umgehenden Sicherung von Daten ersuchen“, Art. 29 Abs. 1 CCC. 72 Zur Problematik der grenzübergreifenden Serververbunden vgl. insbesondere die Ausführungen zu Drittes Kap. D.I. 73 Weiterführend Schuster, Verwertbarkeit im Ausland gewonnener Beweise, S. 83 ff.; ders., ZIS 2016, 564 m. w. N. 74 Legt der von der Verletzung der Gebietshoheit betroffene Staat jedoch Widerspruch gegen die Verwertung ein, ist von einem Beweisverwertungsverbot auszuge-
174
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
rensvorschriften und die Annahme von Beweisverwertungsverboten ihrem Telos nach dem Schutz des Beschuldigten dienen. Aus völkerrechtlichen Hoheitsrechten lassen sich jedoch keine subjektiven Rechte des Betroffenen ableiten, so dass eine Verletzung des Territorialprinzips jedenfalls nicht erschwerend in die Rechte des Beschuldigten eingreift.75 Etwas anderes gilt jedoch, wenn die Sicherstellung beziehungsweise Verwertung der Daten mit dem ausdrücklichen Willen des betroffenen Staates im Widerspruch steht.76
D. Der Zugriff auf in der Cloud gespeicherte Daten bei grenzübergreifenden Serververbunden Den bisher herausgearbeiteten Grundsätzen zum völkerrechtskonformen Zugriff auf im Ausland gespeicherte Daten konnte jeweils der exakte Speicherort der Daten zugrunde gelegt werden. Für in der Cloud gespeicherte Daten bedeutet dies, dass der Cloud-Anbieter nur auf Server in einem (Aus-) Land zurückgreift. Bei Private-Cloud-Angeboten ist dies regelmäßig der Fall.77 Große kostengünstige oder teils kostenlose Public-Cloud-Anbieter greifen jedoch regelmäßig auf Serverpools zurück, die über mehrere Länder verteilt sind. Fraglich ist daher, ob die oben aufgeführten Grundsätze auch auf grenzübergreifende Serververbunde anwendbar sind.
I. „Loss of (knowledge of) location“ Für die Beantwortung der Frage ist zunächst noch einmal die Cloud spezifische Besonderheit, die Virtualisierungstechnik, in Erinnerung zu rufen.78 Wie eingangs bereits dargestellt, wird beim Zugriff auf in der Cloud gespeicherte Inhalte der Zugriffsbefehl zunächst an die Virtualisierungstechnik gesendet und von dort an den entsprechenden Serverstandort weitergeleitet. Der Standort des Servers, auf welchem die Virtualisierungstechnik gespeichert ist, und der Standort des Servers, auf welchen die Daten tatsächlich gespeichert sind, ist dabei nicht zwingend – und tatsächlich wohl auch nur selten – identisch. Selbst die Virtualisierungstechnik einer Home hen. Vgl. BGHSt. 34, 344 = NJW 1987, 2168; Gercke, SraFo 2009, 271; Bär, ZIS 2011, 53 (59); Hauschild, in: MüKo-StPO, § 110 Rn. 19. 75 Vgl. dazu auch Dalby, Grundlagen und Strafverfolgung im Internet, S. 249; Bär, ZIS 2011, 53 (59); Gercke, SraFo 2009, 271. 76 Schmitt, in: Meyer-Goßner / Schmitt § 110 Rn. 7c m. w. N. 77 Zur Private Cloud vgl. Erstes Kap. C.II.2, wobei die Server dann regelmäßig auch im Inland zu finden sind. 78 Zu den technischen Grundlagen, insbesondere zur Virtualisierung vgl. bereits Erstes Kap. C.III.
D. Der Zugriff auf in der Cloud gespeicherte Daten175
Cloud79 kann daher im Ausland gespeichert sein. Die Virtualisierungstechnik ordnet dem Zugriffsbefehl dann die entsprechende Hardware, also den konkreten Speicherort zu. Bereits zu diesem Zeitpunkt, kann sich der Datenabfragungsprozess durch mehrere Länder ziehen.80 Der zugewiesene Server ist sodann weder vom Cloud-Nutzer und meist auch nicht vom Cloud-Anbieter selbst zu lokalisieren.81 Mietet der Cloud-Anbieter zusätzlichen Speicherplatz von Subunternehmern an, wird eine Lokalisierung noch weiter erschwert. Je nach Cloud-Angebot lässt sich aus dem Vertragswerk eine mehr oder weniger präzise Eingrenzung auf verschiedene Länder entnehmen,82 auf welche die Virtualisierungstechnik die Daten verteilen kann. Die Virtualisierungstechnik entscheidet einzig und alleine nach Kapazitätsgesichtspunkten. Dabei werden die Daten eines Nutzers auch meist nicht nur auf einem Server gespeichert. Hinzu kommt, dass der Cloud-Anbieter Sicherungskopien anfertigt, um dem Nutzer im Falle eines Serverausfalls dennoch die volle Verfügbarkeit seiner Daten zu gewährleisten. Wird durch die Behörden oder den Nutzer selbst auf den Datensatz von einem Endgerät aus zugegriffen, werden die durch die Virtualisierung fragmentierten Daten (-sätze) wieder zusammengesetzt. Auf welchen Datensatz im Falle eines Abrufs zugegriffen wird, richtet sich ebenfalls nach Kapazitätsgründen. Darüber hinaus kann die Virtualisierungstechnik den Speicherstandort innerhalb von Sekundenbruchteilen wieder ändern.83 Dropbox beispielsweise gibt an, die Daten „weltweit“ zu speichern.84 Es wäre daher theoretisch möglich, dass die Virtualisierungstechnik einen Teil des Datensatzes oder Teile einer Sicherungskopie auf einem Server in jedem Land der Welt verteilt hat und diese Verteilung in Sekundenbruchteilen rotiert. Welcher Datensatz in welchem Land im Falle des Zugriffs abgerufen wird, entscheidet sich dann im konkreten Augenblick anhand von Kapazitätsgesichtspunk79 Vgl.
dazu bereits die Ausführungen in Zweites Kap. B.I.2.d)bb). Jofer, Strafverfolgung im Internet, S. 194; zu dieser Problematik auch Gleixner, Kriminalistik 2017, 707. 81 Zu den Lokalisierungsmöglichkeiten vgl. Erstes Kap. E sowie Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 3. 82 Insbesondere kostenlose Cloud-Dienste bedienen sich grenzübergreifender Serverfarmen. Auch Google Drive speichert hochgeladene Inhalte weltweit, https: / / www. google.com / intl / de / policies / terms / (zuletzt besucht am 20.03.2018). Kostenpflichtige Angebote werben des Öfteren mit einem inländischen Serverstandort. So zum Beispiel Magenta Cloud https: / / cloud.telekom-dienste.de / (zuletzt besucht am 20.03.2018). 83 Zur Flüchtigkeit vgl. Erstes Kap. C.IV; Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen, II D 1 Art. 32 Rn. 3; Gercke, DRITB 2009, S. 503. 84 Vgl. die Datenschutzrichtlinien, abrufbar unter https: / / www.dropbox.com / de / privacy (zuletzt besucht am 20.03.2018). 80 Ähnlich
176
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
ten.85 Aus der Sicht des Nutzers und der Behörden – und weitgehend auch aus der Sicht des Anbieters – ist der finale Speicherort vom Zufall abhängig.
II. Eingriff Legt man die beispielhaft aufgezeigte Dropbox-Konstellation zu Grunde, stellt sich die Frage: Bedeutet der Zugriff auf in der Cloud gespeicherte Inhalte die – potentielle – Verletzung der Gebietshoheit eines jeden Landes der Welt? Oder hat das Territorialprinzip – wie Einzelrichter Francis im Fall Bezirksgericht Southern District of New York (SDNY) gegen Microsoft bereits aufgeworfen hat86 – beim Cloud Computing ausgedient? 1. Anknüpfungspunkt für die Beurteilung Aufgrund der Zufälligkeit und Flüchtigkeit des physikalischen Speicherortes könnte man zunächst davon ausgehen, dass dieser für die Beurteilung der völkerrechtlichen Zulässigkeit nicht von Bedeutung ist, solange von dem Endgerät des Verdächtigen aus ein Zugriff auf die in der Cloud gespeicherten Daten technisch und nach nationalem Recht rechtlich möglich ist.87 Demnach wäre ein Zugriff auf in der Cloud gespeicherte Inhalte auch dann zulässig, wenn sich die Server, auf denen die Daten gespeichert sind, mit Sicherheit im Ausland befinden. Auch wenn dieses Vorgehen den Rückgriff auf „ein langes und im Ermittlungsverfahren wenig Erfolg versprechendes Rechtshilfeersuchen oder eine Vorgehensweise im Wege von geltenden übernationalen Kooperationsabkommen“ ersparen würde,88 wird verkannt, dass die Ermittlungsbefugnisse der StPO keine Befugnis der Behörden zum Tätigwerden im Ausland begründen.89 Daran vermag auch die Tatsache nichts zu ändern, dass der im Inland ansässige Cloud-Anbieter, der seine Dienste (auch) an den inländischen Markt richtet, seine Server nur aus technisch- / organisatorischen Gründen im Ausland betreibt.90 85 Die Problematik der Entkopplung vom physischen Serverstandort wird auch vom Final Report oft he T-CY Cloud Evidence Group, 16.09.2016 mehrfach aufgegriffen, S. 7 Rn. 16, S. 15 Rn. 39 ff. 86 18. U.S.C. §§ 2701 – 2712, Entscheidung (Richter James C. Francis IV, US Magistrate Judge) vom 25.04.2014 – 13 Mag. 2814, ZD 2014, 346 mit Anmerkungen zum Urteil Schröder / Spies, ZD 2014, 348. 87 Vertreten von Wicker, Cloud Computing und staatlicher Strafanspruch, S. 342 f. 88 Wicker, Cloud Computing und staatlicher Strafanspruch, S. 343. 89 Zur Ausübungskompetenz vgl. bereits Drittes Kap. 90 So jedoch Bär, ZIS 2011, 53 (57) im Zusammenhang mit dem Zugriff auf E-Mails beim Provider.
D. Der Zugriff auf in der Cloud gespeicherte Daten177
Eine Abkehr vom Territorialprinzip im Kontext des Cloud Computings ist weder möglich91 noch geboten. Werden beim Zugriff auf in der Cloud gespeicherte Daten Datenverarbeitungsprozesse auf einem Server im Ausland herbeigeführt, liegt ein völkerrechtlich zu rechtfertigender Eingriff vor. Auch beim Cloud Computing ist daher der Speicherort der Daten entscheidend. Auch wenn dieser dann nur vom Zufall abhängig und meist nicht statisch ist, handelt es sich dabei um den einzig „festen“ Anknüpfungspunkt, der zur Bestimmung der Zuständigkeit geeignet ist.92 2. Denkbare Fallkonstellationen Legt man auch beim Cloud Computing den Serverstandort der gespeicherten Daten zugrunde, sind im Wesentlichen zwei Konstellationen denkbar: Entweder liegen die Daten definitiv im Ausland, weil der Anbieter nur Serverfarmen im Ausland betreibt (Fall 6) oder die Daten liegen möglicherweise auch im Inland, weil der Anbieter auch Serverfarmen im Inland betreibt (Fall 593).94 Im ersten Fall liegt definitiv ein Eingriff in fremde Souveränitätsrechte vor.95 Im zweiten Fall könnte von einem potentiellen Eingriff ausgegangen werden, da der Zugriff nur möglicherweise einen Eingriff in eine fremde Gebietshoheit darstellt. Die beim Cloud Computing auftretende loss of (knowledge of) location könnte den Gedanken nach der Existenz oder Begründung eines „gemeinsamen Hoheitsgebiets“ aller Länder mit Serverstandort aufwerfen. Dies würde dazu führen, dass der Zugriff eines „Mitgliedstaates“ nicht als Eingriff in die „gemeinsame Gebietshoheit“ zu werten ist. Auch wenn dieser Ansatz durchaus zu befriedigenderen Ergebnissen in der Praxis führen würde, darf nicht übersehen werden, dass (private) IT-Angebote die hoheitlichen Grenzen nicht beeinflussen können. Jedes Datum ist am Ende einem physischen Server 91 Hier kann wiederum auf die Anwendbarkeit der völkerrechtlichen Grundsätze im Internet (allgemein) verwiesen werden, vgl. dazu bereits Drittes Kap. A. 92 Gercke, CR 2010, 345 (346); Dalby, Grundlagen der Strafverfolgung im Internet, S. 247; Trautmann, in: Schomburg et al., Internationale Rechtshilfe in Straf sachen, II D 1 Art. 32 Rn. 3. 93 Zu den denkbaren Zugriffsmöglichkeiten am Ort des verdächtigen Cloud-Nutzers vgl. Erstes Kap. G.I. 94 Die dritte mögliche Konstellation, in der die Daten sicher im Inland liegen, weil der Anbieter nur Server im Inland betreibt, ist unproblematisch und für die Beurteilung der Rechtmäßigkeit aus völkerrechtlicher Sicht nicht relevant, so dass sie an dieser Stelle nicht näher zu beleuchten ist. 95 Hier kann weiterhin noch danach unterschieden werden, ob der Serverstandort hinsichtlich der Staatsgrenzen lokalisierbar ist. Dies wäre der Fall, wenn der CloudAnbieter seine Serverfarmen nur ein einem (Aus-)Land betreibt.
178
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
zuzuordnen, an dessen Standort das Vorliegen eines völkerrechtlichen Eingriffs zu messen ist. Auch im Falle eines Cloud-Dienstes mit einem – die eigenen – Staatsgrenzen übergreifenden Serververbund, ist daher von einem möglichen Eingriff in fremde Gebietshoheit auszugehen, der einer völkerrechtlichen Rechtfertigung bedarf.
III. Rechtfertigung Fraglich ist, ob und wie derartige Eingriffe völkerrechtlich zu rechtfertigen sind. 1. Anwendbarkeit der Art. 31 f. der Convention on Cybercrime Wie bereits dargestellt, enthalten die Art. 31 f. CCC Regeln für eine völkerrechtliche Rechtfertigung für den Zugriff auf im Ausland gespeicherte Daten.96 Es ist jedoch zu untersuchen, ob die Regelungen der Konvention überhaupt Anwendung finden, wenn der Serverstandort hinsichtlich der Staatsgrenzen im Moment des Zugriffs nicht bestimmbar ist. Dabei geht es im Wesentlichen um zwei Fragen: Zum einen ist zu untersuchen, ob die Konvention bei im Ausland gespeicherten Daten davon ausgeht, dass die Daten aus Sicht des handelnden Staates möglicherweise auch oder tatsächlich ausschließlich im Ausland gespeichert sind. Und ob darüber hinaus der Server standort hinsichtlich der Staatsgrenzen bestimmt oder bestimmbar sein muss. Dies ist durch Auslegung zu ermitteln. Grammatisch unterscheidet die Konvention zwischen Daten „in ihrem Hoheitsgebiet“ (beispielsweise Art. 19 Abs. 1 Buchstabe b) CCC) oder „im Hoheitsgebiet der betreffenden Vertragspartei“ (Art. 19 Abs. 2 CCC) und Daten „der ersuchten“ (Art. 31 Abs. 1 CCC) oder „einer anderen Vertragspartei“ (Art. 32 Buchstabe b) CCC). Der Wortlaut liefert keine Anhaltspunkte für die Annahme, dass sich die Daten möglicherweise sowohl im eigenen als auch im fremden Hoheitsgebiet befinden können. Die Formulierungen deuten vielmehr darauf hin, dass die Konvention davon ausgeht, dass sich die Daten entweder im eigenen oder im fremden Hoheitsgebiet befinden. Auch die Formulierungen „der betreffenden Vertragspartei“ oder „der ersuchten Vertragspartei“ deuten darauf hin, dass der Serverstandort einer Vertragspartei zuzuordnen ist. Fälle, in denen die Daten möglicherweise im eigenen oder im fremden Hoheitsgebiet gespeichert sind, werden vom Wortlaut nicht er96 Zum Zugriff auf öffentlich zugängliche Daten vgl. Drittes Kap. C.II und zum Zugriff auf nicht öffentlich zugängliche Daten vgl. Drittes Kap. C.III.
D. Der Zugriff auf in der Cloud gespeicherte Daten179
fasst. Nach dem Wortlaut geht die Convention daher davon aus, dass der Speicherort der Daten im Hinblick auf das Staatsgebiet bestimmt oder bestimmbar ist. Wird in der Konvention Bezug auf ein anderes als das eigene Hoheitsgebiet genommen, so geschieht dies stets im systematischen Zusammenhang mit einem anzustrebenden Rechtshilfeersuchen.97 Ein solches setzt jedoch die Bekanntheit des Serverstandortes voraus, da der Adressat des Gesuchs sonst nicht bestimmt werden kann. Die systematischen Erwägungen stützen daher nicht nur die Annahme, dass sich die Daten entweder im eigenen oder im fremden Hoheitsgebiet befinden müssen, sondern sprechen darüber hi naus auch für die Bestimmtheit und Bestimmbarkeit der „ersuchten“ beziehungsweise der „anderen“ Vertragspartei. Zu untersuchen bleibt daher, ob historische oder teleologische Aspekte der Annahme entgegenstehen. Die Ausarbeitung der Konvention wurde 1996 durch eine Entscheidung des „European Committee on Crime Problems“ (CDPC) angeregt und ist ein Resultat jahrelanger internationaler Bemühungen zur Verbesserung der Bekämpfung der Computerkriminalität.98 Am 23.11.2001 wurde die Convention on Cybercrime zur Zeichnung aufgelegt. In dieser Entwicklungszeit spielte das Cloud Computing quasi noch überhaupt keine Rolle.99 Das Komitee konnte die Besonderheiten des Cloud Computings bei ihren Überlegungen daher noch nicht berücksichtigen. Bei der Ausarbeitung der Konvention wurde der Sachverständigenausschuss in verfahrensrechtlicher Hinsicht beauftragt, die Anwendbarkeit von Eingriffsbefugnissen auf die neuen Informations- und Kommunikationstechnologien zu prüfen, auch und vor allem im grenzüberschreitenden Bereich. Darüber hinaus sollten die Fragen der internationalen Zusammenarbeit bei Ermittlungen im Bereich von Computerdelikten erörtert werden.100 Sinn und Zweck der Konvention sollte die rechtlich bindende Fixierung des bestehenden Konsens sein, um die Strafverfolgung in faktischer und völkerrechtlicher Hinsicht zu optimieren.101 Ginge man in den Fällen des Cloud Computing, in denen die Daten möglicherweise auch im Ausland gespeichert sind, von einer Pflicht zum Rechtshilfeersuchen aus, würde dies zu einer erheblichen Beeinträchtigung bis hin zur vollständigen Handlungsunfähigkeit der Straf97 Art. 31 ff. CCC sind mit Abschnitt 2, Titel 2 (Rechtshilfe in Bezug auf Ermittlungsbefugnisse) überschrieben. 98 Vgl. Erläuternder Bericht, Tz. 7; sowie ausführlich zur Entstehung der Konvention Spannbrucker, Convention on Cybercrime, S. 3 ff. 99 Zur Historie vgl. Erstes Kap. A. 100 Ausführlich zur Entstehung der Konvention Spannbrucker, Convention on Cybercrime, S. 3 ff. 101 Vgl. dazu Erläuternder Bericht, Tz. 11.
180
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
verfolgungsbehörden führen, da nicht ersichtlich ist, an welchen Staat oder welche Staaten der Antrag zu richten wäre. Auch wenn die Besonderheiten des Cloud Computing bei der Erarbeitung der Konvention und damit auch bei der Bildung des Konsens der beteiligten Staaten keine Berücksichtigung finden konnten, so sollten die in der Konvention fixierten Vorgaben Klarheit – und damit eine Optimierung der Strafverfolgung in faktischer und völkerrechtlicher Hinsicht – und keine Unklarheit schaffen. Die Mitglieder der Konvention sind stets davon ausgegangen, dass der Speicherort der Daten einem Hoheitsgebiet zugeordnet werden kann. Nur so können die Souveränitätsrechte der Mitgliedstaaten gewahrt und gleichzeitig eine effektive Strafverfolgung gewährleistet werden. So sprechen auch die historischen und teleologischen Argumente für die Annahme, dass die Art. 31 f. CCC nur Anwendung finden, wenn die Daten entweder im eigenen oder im fremden Hoheitsgebiet gespeichert sind und der Speicherort darüber hinaus bestimmt oder bestimmbar ist. Zusammenfassend kann daher festgehalten werden, dass die Art. 31 f. CCC nur für die Fälle Anwendung finden, in denen der Speicherort der Daten hinsichtlich der Staatsgrenzen bestimmt oder bestimmbar ist. Für andere Fälle beinhalten die Art. 31 f. CCC weder eine Einschränkung noch eine Legitimation völkerrechtlicher Eingriffe.102 Bezogen auf das Cloud Computing wäre dies nur der Fall, wenn der Cloud-Anbieter ausschließlich Serverfarmen in einem Hoheitsgebiet für seinen Dienst zur Verfügung stellt. Dies ist jedoch überwiegend nicht der Fall. Auf die Mehrheit der Cloud-Dienste sind die Art. 31 f. CCC daher nicht anwendbar.103 2. Eigener Lösungsansatz Greifen die Strafverfolgungsbehörden nun auf die Dropbox-Cloud eines Nutzers zu, lässt sich nicht feststellen oder steuern, auf welchem Server, in welchem Land Datenverarbeitungsprozesse in Gang gesetzt werden. Die Entscheidung, welche Daten wann, wo gespeichert oder abgerufen werden, trifft systemimmanent die Virtualisierungstechnik anhand von Kapazitätsgesichtspunkten. Der tatsächliche Speicherort der Daten verliert in diesem Gefüge mehr und mehr an Bedeutung.104 Dieser Aspekt muss bei der völkerrechtlichen Rechtfertigung Berücksichtigung finden. 102 Vgl. dazu bereits Drittes Kap. C.III.2.b)aa) am Ende; zur Anwendbarkeit der CCC bei Unkenntnis des Speicherortes vgl. auch Gleixner, Kriminalistik 2017, 707 (708). 103 Die vier größten Konzerne (Amazon AWS, Microsoft, IBM und Google) dominieren mit 54 % den Markt (vgl. https: / / www.heise.de / ix / meldung / Vier-Konzernedominieren-den-Cloud-Markt-2763042.html) und setzen alle auf grenzübergreifende Serverfarmen (zuletzt besucht am 20.03.2018).
D. Der Zugriff auf in der Cloud gespeicherte Daten181
Eine völkerrechtliche Übung, wonach die Staaten mit dem Zugriff auf Daten in einer die Staatsgrenzen überschreitenden Cloud einverstanden sind, ist bisher weder dokumentiert noch nachweisbar. Eine Rechtfertigung könnte sich daher nur aus allgemeinen, völkerrechtlichen Grundsätzen ergeben. Dies wäre der Fall, wenn das Eingriffsinteresse des handelnden Staates das Abwehrinteresse des betroffenen Staates überwiegt. Bei der anzustellenden Interessenabwägung ist dem Abwehrinteresse des betroffenen Staates grundsätzlich ein besonderes Gewicht beizumessen, da das Abwehrinteresse mit der Frage des Bestandes des betroffenen Staates eng verbunden ist.105 Dem ist jedoch entgegenzuhalten, dass bei einem grenzübergreifenden Cloud-Dienst möglicherweise überhaupt kein Eingriff in die Gebietshoheit fremder Staaten gegeben ist. Dies ist nämlich dann der Fall, wenn die abgerufenen Daten zum Zeitpunkt des Abrufs – zufällig – auf einem Server im eigenen Staatsgebiet gespeichert sind. Da im Zeitpunkt des Zugriffs der Belegenheitsort der Daten nicht festgestellt werden kann, liegt auch – für den Fall, dass tatsächlich ein Eingriff in eine fremde Gebietshoheit gegeben ist – kein zielgerichteter und damit willkürlicher Eingriff vor.106 Auch der Staat, in dem der Server steht, auf welchem die Datenverarbeitungsprozesse in Gang gesetzt werden, kann von dem tatsächlichen Eingriff keine Kenntnis erlangen. Der Bestand des Staates wird daher in der Außenwirkung nicht in Frage gestellt. Diese Tatsache ändert zwar nichts an dem Vorliegen eines Eingriffs, jedoch an der Eingriffsqualität und ist bei der Interessenabwägung daher entsprechend zu berücksichtigen. Dem Abwehrinteresse des betroffenen Staates steht das Handlungsinteresse des eingreifenden Staates gegenüber. Die Selbstbestimmtheit eines Staates definiert sich nicht nur dadurch, dass sein Handeln von anderen Staaten nicht beeinflusst wird, sondern beinhaltet im Umkehrschluss auch, dass er ohne fremdes Zutun handlungsfähig bleibt. Diese Handlungsfähigkeit würde jedoch in Frage gestellt, wenn jedes Mal von einem völkerrechtlich zu rechtfertigenden Eingriff ausgegangen werden würde, wenn die Behörden auf Daten zugreifen, die auf dem eigenen – oder möglicherweise auch auf fremden Staatsgebiet – gespeichert sind. Darüber hinaus sind Cloud-Angebote 104 So auch Obenhaus, NJW 2010, 651; Gercke, CR 2010, 345 (348); Braun, PStR, 15.03.2012, 3.3. merkt an, dass die Daten nicht örtlich gebunden seien. Dieser Grundsatz würde beim Cloud Computing auf die Spitze getrieben. 105 Vgl. dazu auch bereits Drittes Kap. C.III.2.b)bb)(2). 106 Im Ergebnis auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 356; Braun, PStR, 15.03.2012, S. 5; a. A. mit unterschiedlicher Begründung: Seitz, Strafverfolgungsmaßnahmen im Internet, S. 377, ohne auf die Besonderheiten des Cloud Computings näher einzugehen; ebenfalls Bär, Handbuch zur EDV-Beweis sicherung im Strafverfahren, Rn. 374 f.; Gercke, CR 2010, 345 (347) auch im Bezug auf das Cloud Computing.
182
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
mit grenzübergreifenden Serververbunden auf eine breite Akzeptanz der beteiligten Staaten zurückzuführen. Die überwiegende Mehrheit der Staaten duldet sowohl das Angebot als auch die Inanspruchnahme von Diensten, bei denen die Daten systemimmanent zufällig im In- oder Ausland gespeichert werden können. Dass dies auch anders geht, zeigt Russland. Dort dürfen seit September 2015 personenbezogene Daten russischer Bürger ausschließlich auf russischen Staatsgebiet gespeichert und verarbeitet werden.107 Man kann daher annehmen, dass die Staaten mit der Duldung derartiger Angebote die grenzübergreifende Datenfragmentierung akzeptieren, ohne jedoch eine Beschränkung der eigenen Ermittlungsbefugnisse zu forcieren. Dies führt zwangsläufig zu einer „Aufweichung“ der Grenzen des eigenen Hoheitsgebiets in der Cloud. Berücksichtigt man nun die Tatsache, dass bei einem derartigen Zugriff entweder überhaupt kein, oder kein willkürlicher und damit nur geringfügiger Eingriff vorliegt, überwiegt das Handlungsinteresse das Abwehrinteresse des tatsächlich betroffenen Staates. Unabhängig des dem Ermittlungsverfahren zugrunde liegenden Anlasses, also der in Rede stehenden Tat, schlägt die Interessenabwägung daher zu Gunsten des handelnden Staates aus. Die bloße Möglichkeit, dass die in der Cloud gespeicherten Daten auch auf Servern im Ausland liegen, begründet auch keine Pflicht zur Einleitung eines Rechtshilfeverfahrens, da überhaupt nicht ersichtlich ist, an welchen Staat – oder welche Staaten – das Gesuch zu richten wäre.108 Selbst wenn sich im Nachhinein herausstellen würde, dass die gesamten Daten pro grammbedingtin einem Fremdstaat gespeichert waren, ist kein nachträg liches Rechtshilfeverfahren erforderlich, da die örtliche Zuordnung automatisch erfolgte und deswegen kein zielgerichteter Eingriff seitens der Ermittlungsbehörden gegeben ist.109 3. Abgrenzung zu den „Good faith“-Fällen Ein Ansatz mit ähnlicher Begründung wird auch in den sog. „good faith“Fällen erörtert. Demnach soll der Eingriff gerechtfertigt sein, wenn die Er107 Ausschlaggebend hierfür ist die Neufassung des Art. 18 Abs. 5 des russischen Datenschutzgesetzes, welcher durch das russische Bundesgesetz N 242-FZ (abrufbar unter: https: / / pd.rkn.gov.ru / authority / p146 / p191 / zuletzt besucht am 20.03.2018) ergänzt wurde und eine Server- und Datenlokalisierung notwendig macht. 108 So auch Schmitt, in: Meyer-Goßner / Schmitt StPO § 110 Rn. 7b; im Erg. auch Braun, PStR, 15.03.2012, 3.3. 109 A. A., jedoch von einem (ausländischen) Serverstandort ausgehend, Braun, PStR, 15.03.2012, 2.3.2; Seitz, Strafverfolgungsmaßnahmen im Internet, S. 377, ohne Berücksichtigung der Besonderheiten des Cloud Computings; in Bezug auf das Cloud Computing, Bär, ZIS 2011, 53 (55).
D. Der Zugriff auf in der Cloud gespeicherte Daten183
mittlungsbehörden irrtümlich davon ausgegangen sind, dass die Daten auf einem im Hoheitsgebiet belegenen Server gespeichert waren.110 So soll vermieden werden, dass der handelnde Staat in erheblichem Umfang auf die Ausübung seiner Hoheitsgewalt im eigenen Staatsgebiet verzichten muss. Auch hier wird argumentiert, dass die völkerrechtliche Verpflichtung, staatliches Handeln zu unterlassen, das möglicherweise auch grenzüberschreitende Auswirkungen haben könnte, die Gebietshoheit des handelnden Staates zu sehr einschränken.111 Dem ist jedoch entgegenzuhalten, dass der „gute Glaube“ der Ermittlungsbehörden im Einzelfall nur schwer zu ermitteln ist und darüber hinaus einen völkerrechtlichen Eingriff auch nicht zu rechtfertigen vermag.112 Denn wie an anderer Stelle bereits aufgezeigt, ist für die Annahme des Unrechtstatbestands die objektive Erfolgsbegründung ausreichend, so dass die Schuldhaftigkeit der Handlung eben nicht entscheidend ist.113 Außerdem haben die Ermittlungsbehörden mit sogenannten trace route-Verfahren die Möglichkeit, den Serverstandort weitgehend präzise ausfindig zu machen.114 Die „good faith“-Fälle unterscheiden sich jedoch in zwei wesentlichen Punkten: Zum einen sind trace route-Verfahren beim Cloud Computing nicht praktikabel, da sich der Serverstandort aufgrund von Kapazitätsgesichtspunkten binnen Sekundenbruchteilen wieder ändern kann und Daten oder Datensätze auf mehreren Servern verteilt gespeichert werden können. Die „good faith“-Fälle beziehen sich hingegen auf eine statische Datenspeicherung im Ausland. Zum anderen ist das Konstrukt des guten Glaubens nicht erforderlich, da bei Vorliegen der Voraussetzungen tatsächlich die Möglichkeit besteht, dass die Daten (oder Datenteile, zumindest zeitweise auch) auf einem Server im eigenen Staatsgebiet gespeichert sind. Die gegen diesen Ansatz angeführten Argumente lassen sich auf den Lösungsansatz beim Cloud Computing daher nicht übertragen.
110 Sieber, COMCRIME-Study, S. 107 (Fn. 239); ders., in: Eser / Thormundsson (Hrsg.), S. 203 (211 f. in Fn. 25); Council of Europe, Erklärender Bericht zur Cybercrime Convention, Rn. 282; Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 644 und 654. 111 So insbesondere Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 644 und 654; vgl. auch die Darstellung von Seitz, Strafverfolgungsmaßnahmen im Internet, S. 368. 112 Gercke, StraFo 2009, 273; im Erg. auch Seitz, Strafverfolgungsmaßnahmen im Internet, S. 377. 113 Zum Erfolgsprinzip vgl. bereits Drittes Kap. B. 114 Insgesamt dazu Gercke, in: HK-StPO § 110 Rn. 28.
184
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
IV. Ergebnis Für die beiden aufgezeigten Konstellationen beim Cloud Computing ist daher im Ergebnis festzuhalten: Befinden sich die Server ausschließlich im Ausland, liegt ein Eingriff in fremde Gebietshoheit vor, der abseits der Convention on Cybercrime in Ausnahmefällen gerechtfertigt sein kann. Inhaltlich kann dabei auf die Ausführungen zu den Rechtfertigungsmöglichkeiten bei einem Zugriff auf nicht öffentlich zugängliche Daten ohne Zustimmung des Berechtigten verwiesen werden, also insbesondere dann, wenn sich die Server in den USA befinden, oder in besonderen Einzelfällen das Handlungsinteresse das Abwehrinteresse des oder der betroffenen Staaten überwiegt.115 Ansonsten bleibt nur der – unter Umständen mühsame bis unbegehbare – Weg der Rechtshilfe, um einen Eingriff zu rechtfertigen.116 Für diese Fälle besteht daher dringender Handlungsbedarf.117 Der Zugriff eines Staates auf einen Cloud-Speicher mit grenzüberschreitenden Serverfarmen ist jedoch völkerrechtlich nicht zu beanstanden, solange der Serververbund auch den handelnden Staat mit umfasst. Denn dann liegt entweder tatsächlich überhaupt kein Eingriff in fremde Hoheitsrechte vor oder der (geringfügige) Eingriff ist völkerrechtlich gerechtfertigt, da das Eingriffsinteresse das Abwehrinteresse des oder der betroffenen Staaten überwiegt.
E. Herausgabeanspruch bezüglich im Ausland gespeicherter Daten Eine Herausgabeanordnung stellt regelmäßig ein milderes Mittel gegenüber der Durchsuchung und Beschlagnahme dar.118 Fraglich ist, ob sich das Herausgabeverlangen der Behörden auch auf im Ausland gespeicherte Daten erstrecken kann (Fall 12 und Fall 13119) oder, ob beziehungsweise inwieweit dem völkerrechtliche Begrenzungen entgegenstehen.
115 Zur Rechtfertigung in Ausnahmefällen nach allgemeinen völkerrechtlichen Grundsätzen vgl. Drittes Kap. C.III.2.b)bb)(2). 116 Für Mitglieder der Convention on Cybercrime können die Vorschriften zur Rechtshilfe Anwendung finden. 117 Zum Handlungsbedarf auf völkerrechtlicher Ebene vgl. Viertes Kap. B.II.2. 118 Zum Herausgabeverlangen vgl. bereits Zweites Kap. B.II.2. 119 Zu den denkbaren Zugriffsmöglichkeiten am Ort des Cloud-Anbieters vgl. Erstes Kap. G.II.
E. Herausgabeanspruch bezüglich im Ausland gespeicherter Daten 185
I. Eingriff Fordern die Ermittlungsbehörden eine Person zur Herausgabe von im Ausland gespeicherten Daten auf, werden ebenfalls Datenverarbeitungsprozesse im Ausland in Gang gesetzt, die zwar nicht unmittelbar, jedenfalls aber mittelbar auf das Verhalten der Strafverfolgungsbehörden zurückzuführen sind. Fraglich ist, ob der Zugriff auf im Ausland gespeicherte Daten durch eine Privatperson, die einem Herausgabeverlangen der Behörden Folge leistet, als Hoheitsakt zu verstehen ist. Greift die Privatperson aus privater Veranlassung auf Daten zu, die im Ausland gespeichert sind, ist unstreitig kein Hoheitsakt gegeben. Bei der Beurteilung ist dabei jedoch keinesfalls alleine auf den Status der handelnden Person abzustellen.120 Entscheidend ist vielmehr, ob der Zugriff in irgendeiner Form dem ausländischen Staat zugerechnet werden kann. Es findet also eine funktionelle Betrachtungsweise statt.121 So ist beispielsweise auch die Zustellung von Schriftstücken als Hoheitsakt anzusehen.122 Greift also die Privatperson durch staatliche Veranlassung auf im Ausland gespeicherte Daten zu und werden dadurch Datenverarbeitungsprozesse im Ausland in Gang gesetzt, liegt ein Hoheitsakt der Strafverfolgungsbehörden vor, der in fremdes Staatsgebiet hineinwirkt und einer völkerrechtlichen Rechtfertigung bedarf.
II. Rechtfertigung 1. Convention on Cybercrime Greifen die Strafverfolgungsbehörden nicht unmittelbar auf die im Ausland gespeicherten Daten zu, sondern fordern sie eine Person zur Herausgabe dieser Daten auf, finden die in Art. 32 CCC niedergelegten völkerrechtlichen Rechtfertigungsmöglichkeiten keine Anwendung. In Kapitel II („Innerstaatlich zu treffende Maßnahmen“) der Convention on Cybercrime hält Art. 18 CCC jedoch eine Verfahrensregel bereit. Art. 18 Abs. 1 Buchstabe a) CCC verpflichtet die Mitglieder der Konvention, innerstaatliche Ermächtigungsgrundlagen zu schaffen, aufgrund derer von einer Person im eigenen Hoheitsgebiet die Vorlage bestimmter Computerdaten gefordert werden kann, „die sich in ihrem Besitz oder ihrer Kon
120 So ist beispielsweise auch das Verhalten von V-Leuten dem Staat zuzurechnen, Schuster, Verwertbarkeit im Ausland gewonnener Beweise, S. 25 m. w. N. 121 Insgesamt dazu Schuster, Verwertbarkeit im Ausland gewonnener Beweise, S. 25. 122 BVerfGE 63, 343 (372) = NJW 1983, 2757 (2758).
186
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
trolle befinden und die in einem Computersystem oder auf einem Computerdatenträger gespeichert sind“. Unter „Computerdaten“ sind alle Arten von Daten zu verstehen, mit Ausnahme künftiger Inhalts- und Verbindungsdaten der Telekommunikation. Diese Einschränkung ergibt sich aus einem Umkehrschluss zu Art. 20 und 21 CCC.123 Adressat der Maßnahme kann jede natürliche oder juristische Person – also auch der Service Provider – sein, die physisch oder rechtlich im Staatsgebiet präsent ist.124 Die herauszugebenden Daten müssen sich im Besitz oder unter der Kon trolle des Maßnahmeadressaten befinden. Unter „Besitz“ ist die physische Herrschaft über die Daten – soweit dies aufgrund der Unkörperlichkeit der Daten möglich ist – zu verstehen. Gemeint sind also insbesondere Fälle, in denen die Daten auf einem Computersystem oder einem Speichermedium gespeichert sind, das sich im Besitz des Maßnahmeadressaten befindet. Die Formulierung „Verfügungsgewalt“ soll die Konstellationen erfassen, in denen die Daten nicht lokal gespeichert sind, aber über Netzwerkverbindungen aus dem eigenen Hoheitsgebiet abgerufen werden können. Die tatsächliche Verfügungsmöglichkeit ist dabei nicht ausreichend. Erforderlich ist vielmehr, dass der Zugriff über das Netzwerk in rechtmäßiger Weise erfolgt.125 Dies bedeutet, dass die Daten auch im Ausland gespeichert sein können, solange sie von der Person vom Inland aus kontrollierbar sind, mithin sich in deren Verfügungsgewalt befinden.126 Art. 18 Abs. 1 Buchstabe b) CCC verpflichtet die Mitglieder der Konvention, innerstaatliche Ermächtigungsgrundlagen zu schaffen, aufgrund derer die Behörden von einem „Dienstanbieter, der seine Dienste im Hoheitsgebiet der Vertragspartei anbietet, Bestandsdaten (…), die sich in seinem Besitz oder unter seiner Kontrolle befinden“, herausverlangt werden können. Was unter „Bestandsdaten“ zu verstehen ist, wird in Art. 18 Abs. 3 CCC legal definiert. Demnach handelt es sich dabei um alle Daten eines Dienstanbieters über seine Kunden, mit Ausnahme von Verbindungs- und Inhaltsdaten. Art. 18 Abs. 1 Buchstabe b) CCC rechtfertigt nur Maßnahmen gegen den Dienstanbieter. Dieser muss nicht physisch im Hoheitsgebiet anwesend sein, er muss jedoch seine Dienste im Hoheitsgebiet anbieten. Wer Dienstanbieter ist, wird in Art. 1 Buchstabe c) CCC legal definiert und umfasst sowohl Anauch Spannbrucker, Convention on Cybercrime, S. 169. insoweit auch Erläuternder Bericht, Tz. 137; Cybercrime Convention Committee, Final Report oft he T-CY Cloud Evidence Group, Tz. 55 sowie T-CY Guidance Note #10 (Draft), S. 52. 125 Insgesamt vgl. Erläuternder Bericht, Tz. 173; sowie die Ausführungen von Spannbrucker, Convention on Cybercrime, S. 170. 126 T-CY Guidance Note #10 (Draft), S. 52. 123 So
124 Vgl.
E. Herausgabeanspruch bezüglich im Ausland gespeicherter Daten 187
bieter von Telekommunikationsdiensten als auch „jede andere Stelle, die für einen solchen Kommunikationsdienst (gemeint ist ein Telekommunikationsdienst) oder für seine Nutzer Computerdaten verarbeitet oder speichert“. Fraglich ist, wann ein Dienstanbieter seine „Dienste im Hoheitsgebiet anbietet“. Nach den Ausführungen des T-CY dies der Fall, wenn der Dienstanbieter es Nutzern des jeweiligen Staates ermöglicht, den Dienst in Anspruch zu nehmen127 und er darüber hinaus seine betrieblichen Tätigkeiten nach diesen potentiellen Nutzern ausrichtet, indem er beispielsweise lokal oder in der Sprache des jeweiligen Staates für den Dienst wirbt oder im Zuge seiner betrieblichen Aktivitäten die jeweiligen Nutzerdaten (oder die damit verbundenen Verbindungsdaten) verwendet oder mit Nutzern aus dem jeweiligen Staat Umgang pflegt.128 Die systematische Eingliederung des Art. 18 CCC in Kapitel II (Innerstaatlich zu treffende Maßnahmen) legt nahe, dass es bei der völkerrechtlichen Beurteilung eines Herausgabeanspruchs nicht (mehr) auf den tatsächlichen Speicherort der in Rede stehenden Daten, sondern auf die Person des Maßnahmeadressaten ankommt. Soweit bei einem auf im Ausland gespeicherte Daten gerichteten Herausgabeverlangen nach hergebrachten Grundsätzen von einem völkerrechtlich zu rechtfertigenden Eingriff auszugehen ist, ist dieser im Rahmen der Convention on Cybercrime gerechtfertigt. Auch wenn Art. 18 CCC nicht als klassische Rechtfertigungsnorm zu lesen ist, impliziert die Verpflichtung zur Bereithaltung von nationalen Ermächtigungsgrundlagen, auf Grundlage derer die Ermittlungsbehörden ungeachtet des tatsächlichen Speicherortes von bestimmten Personen die Herausgabe bestimmter Daten fordern können, die Auffassung, dass derartige Ermittlungshandlungen völkerrechtlich nicht zu beanstanden sind. Dafür spricht auch die Abstufung der bereitzuhaltenden Befugnisse, nach der Art der Daten, verbunden mit dem erforderlichen nationalen Bezug. Können bei nach Art. 18 Abs. 1 Buchstabe a) CCC geforderten Maßnahmen alle Arten von Daten (mit Ausnahme künftiger Inhalts- und Verbindungsdaten der Telekommunikation) herausverlangt werden, muss der Maßnahmeadressat physisch oder rechtlich im Staatsgebiet anwesend sein. Die Berechtigung zur Herausgabe von Daten – bis hin zu sensiblen Inhaltsdaten – setzt einen vergleichsweise starken nationalen Bezug voraus. Für nach Art. 18 Abs. 1 Buchstabe b) CCC geforderte Maßnahmen ist es hingegen für den nationalen Bezug ausreichend, wenn der Dienstanbieter als Maßnahmeadressat seine Dienste im Hoheitsgebiet anbietet. Er muss weder physisch noch rechtlich im Staatsgebiet anwesend sein. Dafür sollen bei nach Art. 18 Abs. 1 Buchstabe b) CCC geforder127 Davon ist auszugehen, wenn der Dienstanbieter die Anmeldung ermöglicht, indem er beispielsweise den Zugang nicht blockiert. 128 Vgl. Final Report oft he T-CY Cloud Evidence Group, 16.09.2016, S. 54. (3.6).
188
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
ten Maßnahmen jedoch auch nur „Bestandsdaten“ im Sinne des Art. 18 Abs. 3 CCC herausverlangt werden können. Sensiblere Verkehrsdaten oder sogar inhaltsbezogene Daten sind von Art. 18 Abs. 1 Buchstabe b) CCC nicht erfasst. Auch wenn Art. 18 CCC auf den ersten Blick nur als Verfahrensvorschrift zur innerstaatlichen Umsetzung erscheint, beinhaltet Absatz 1 Buchstabe a) und b) auch eine völkerrechtliche Rechtfertigung zu (mittelbar) hervorgerufenen Eingriffen in die Gebietshoheit fremder Staaten. Ob Art. 18 CCC als bloße Verfahrensvorschrift deklariert wurde, weil bei einem auf im Ausland gespeicherte Daten gerichteten Herausgabeverlangen nicht von einem völkerrechtlich zu rechtfertigenden Eingriff ausgegangen wurde oder ob die Verortung aus politischen Gründen „harmloser“ erscheint, kann dahingestellt bleiben. Der abschließende Bericht der Cloud Evidence Group betont jedenfalls nachdrücklich die Wichtigkeit der Norm im grenzüberschreitenden Kontext, ohne sich klar von dem Vorliegen eines Eingriffs zu distanzieren.129 2. Abseits der Convention on Cybercrime Fraglich ist, ob auch abseits der Konvention ein auf im Ausland gespeicherte Daten gerichtetes Herausgabeverlangen völkerrechtlich gerechtfertigt ist. Ein Blick in die Transparenzberichte der einzelnen Cloud-Service-Anbieter, kann durchaus einen ersten Anhaltspunkt für die Haltung der Staaten geben. Der international agierende US-amerikanische StaaS-Anbieter Dropbox verzeichnete in der ersten Jahreshälfte 2017130 33 Anfragen aus dem außeramerikanischen Ausland. Wovon 28 von Mitgliedern der Konvention stammen. Mit einer weitaus höheren Anzahl an außeramerikanischen Anfragen sah sich im selben Zeitraum der SaaS-Anbieter Twitter – ebenfalls ein US-amerikanisches Unternehmen – konfrontiert.131 Irland, Schweden und Russland – allesamt Staaten, in denen die Convention on Cybercrime noch nicht in Kraft getreten ist – haben zusammen 20 Anfragen gestellt.132 Aus dem südamerikanischen Raum und Saudi Arabien kommen über 313 weitere 129 „Legal regimes increasingly recognize, both in the criminal justice sphere and in the privacy and data protection sphere, that the location of the data is not the determining factor for establishing jurisdiction.“ Final Report oft he T-CY Cloud Evidence Group, 16.09.2016, S. 54. 130 Dropbox Transparenzbericht abrufbar unter: https: / / www.dropbox.com / trans parency (zuletzt besucht am 20.03.2018). 131 Zum Transparenzbericht: https: / / transparency.twitter.com / en / informationrequests.html (zuletzt besucht am 20.03.2018). 132 Drei aus Irland, 15 aus Schweden und zwei aus Russland.
E. Herausgabeanspruch bezüglich im Ausland gespeicherter Daten 189
Anfragen hinzu und weitere 659 allein aus Indien.133 Auch Twitter gibt an, personenbezogene Daten, unabhängig vom Wohnsitz des Nutzers in den Vereinigten Staaten, Irland und jedem anderen Land, in dem das Unternehmen geschäftlich tätig ist, zu übertragen und zu speichern.134 Auch wenn eine nähere Spezifikation der in den Transparenzberichten aufgeführten Anfragen mangels weiterführender Angaben nicht möglich ist, ist doch die deutliche Tendenz zu erkennen, dass das Herausgabeverlangen im Ausland gespeicherter Daten auch abseits der Konvention gewohnheitsrechtlich anerkannt, jedenfalls je weniger gewichtig der Eingriff in die Rechte des Betroffenen ist.
III. Weitere (datenschutz-)rechtliche Hürden Verlangen die Strafverfolgungsbehörden vom Cloud-Anbieter Daten des verdächtigen Cloud-Nutzers heraus, so sieht sich der Cloud-Anbieter mit der Problematik konfrontiert, einerseits dem Verlangen der Strafverfolgungsbehörden Folge zu leisten und andererseits die datenschutzrechtlichen Vorgaben gegenüber seinem Kunden, dem Cloud-Nutzer zu wahren. Das deutsche Datenschutzrecht enthielt bisher in § 28 Abs. 2 Nr. 2 Buchstabe b) BDSG für Inhaltsdaten und in § 14 Abs. 2 TMG für Bestands- und über den Verweis in § 15 Abs. 2 TMG für Nutzungsdaten, eine Übermittlungsbefugnis des Dienstanbieters an nationale Stellen, ohne selbst Ermächtigungsgrundlage zu sein. Die Normen stellten lediglich klar, dass bei Vorliegen der Voraussetzungen einem bestehenden Auskunftsanspruch keine datenschutzrechtlichen Bedenken entgegengehalten werden können.135 Wird jedoch ein deutscher Cloud-Anbieter mit einem völkerrechtlich gerechtfertigten Herausgabeverlangen ausländischer Strafverfolgungsbehörden konfrontiert, geriet er bisher durch die Regelungen der § 28 Abs. 2 Nr. 2 Buchstabe b) BDSG und § 14 Abs. 2 TMG in ein Spannungsfeld zwischen Datenschutz und Auskunftspflicht. Auch andere europäische Datenschutzgesetze sahen regelmäßig nur eine datenschutzrechtliche Befugnis zur Herausgabe an nationale Stellen vor.136 Dem strafprozessual rechtmäßigen und völkerrechtlich gerechtfertig133 Zu nennen sind hier insbesondere Brasilien (102), Argentinien (64) und Saudi Arabien (57). Kolumbien und Indien haben als Nichtmitgliedstaaten des Europarates 2013 beziehungsweise 2016 eine Einladung erhalten, binnen fünf Jahren den Vertrag zu ratifizieren, Quelle: https: / / rm.coe.int / CoERMPublicCommonSearchServices / Dis playDCTMContent?documentId=09000016806cac22 (zuletzt besucht am 20.03.2018). 134 Twitter Datenschutzrichtlinie: https: / / twitter.com / privacy?lang=de (zuletzt besucht am 20.03.2018). 135 Roßnagel, NVwZ 2007, 743 (748); Müller-Broich, TMG § 14 Rn. 6; Spindler / Nick, in: Spindler / Schuster TMG § 14 Rn. 6; BGH, NJW 2014, 2651 (2652). 136 So ist beispielsweise in Italien die Herausgabe von Verkehrsdaten nur an na tionale Stellen gestattet (Legislative Decree No. 196 of 30 June 2003 – Personal Data
190
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
ten Herausgabeverlangen beziehungsweise Auskunftsersuchen der Ermittlungsbehörden standen sodann datenschutzrechtliche Bedenken entgegen, die nur im Wege der Rechtshilfe zu beseitigen waren.137 Art. 6 Abs. 1 Buchstabe f) DSGVO ist zunächst keine Einschränkung zu entnehmen, wonach Daten nur an nationale Strafverfolgungsbehörden heraus gegeben werden dürfen. Die Art. 44 ff. DSGVO halten besondere Regelungen für eine Datenweitergabe an Drittstaaten bereit, statuieren darüber hinaus jedoch keine Beschränkungen für eine Datenweitergabe an Strafverfolgungsbehörden aus dem europäischen Ausland. Und auch § 24 Abs. 1 Nr. 1 BDSGneu enthält – anders als § 14 Abs. 2 TMG – keine explizite Regelung, wonach die Daten nur an nationale Stellen zum Zwecke der Strafverfolgung herausgegeben werden dürfen. US-amerikanischen Cloud-Anbietern ist es hingegen gemäß 18 US Code § 2702138 gestattet, auf freiwilliger Basis mit ausländischen Strafverfolgungsbehörden zusammenzuarbeiten. Ein ähnlicher Ansatz wird im Abschlussbericht der Europäischen Kommission Services vom 22.05.2017139 diskutiert, wonach eine Ermächtigungsgrundlage für ein förmliches Auskunftsbegehren an den Dienstleister geschaffen werden soll, die zwischen freiwillig zu befolgenden und zwingenden Begehren unterscheidet, wobei verbindliche Auskunftsverlangen nur für Dienstanbieter aus anderen EU-Mitgliedstaaten in Betracht zu ziehen sind.140 Darüber hinaus soll auch eine gesetzliche Regelung geschaffen werden, die festlegt, unter welchen Voraussetzungen Dienstleister aus der EU Auskunftsersuchen von Behörden aus Drittländern Folge leisten können.141 Eine Herausgabebefugnis der Cloud-Anbieter an alle europäischen Strafverfolgungsbehörden wäre jedenfalls die konsequente Fortsetzung eines einheitlichen europäischen Datenschutzniveaus, das durch die DSGVO und die Protection Code, Section 132, abrufbar unter: http: / / www.privacy.it / archivio / privacycode-en.html#sect132 [zuletzt besucht am 20.03.2018]). 137 Zu dieser Problematik nimmt auch die T-CY Cloud Evidence Group in ihrem Bericht umfassend Stellung, Final Report of the T-CY Cloud Evidence Group, 16.09.2016 Rn. 75. 138 Abrufbar unter: https: / / www.law.cornell.edu / uscode / text / 18 / 2702 (zuletzt besucht am 20.03.2018). 139 Abrufbar unter: http: / / data.consilium.europa.eu / doc / document / ST-9554– 2017-INIT / en / pdf (zuletzt besucht am 20.03.2018). 140 Europäische Kommission Services, S. 20 f. 141 Europäische Kommission Services, S. 22 wobei die Auskunfterteilung den Anforderungen der DSGVO genügen muss. Insgesamt zum Abschlussbericht der Europäischen Kommission Services vom 22.05.2017 und den gesetzgeberischen Verbesserungsvorschlägen vgl. auch die Zusammenfassung von Warken, NZWiSt 2017, 449 (455 ff.).
F. Résumé zur völkerrechtlichen Begrenzung191
zu erwartende E-Privacy-Verordnung gewährleistet werden soll und würde darüber hinaus dem strafprozessual zulässigen und völkerrechtlich gerechtfertigten Herausgabeverlangen keine weiteren Steine in den Weg legen, die nur im Wege der Rechtshilfe zu beseitigen sind.142
IV. Ergebnis Im Ergebnis ist festzuhalten, dass die Convention on Cybercrime umfassende Rechtfertigungsmöglichkeiten für das auf im Ausland gespeicherte Daten gerichtete Herausgabeverlangen bereithält. Ist der Maßnahmeadressat im Hoheitsgebiet physisch anwesend, kann sich das Herausgabeverlangen auf alle Arten von Daten, mit Ausnahme künftiger Inhalts- und Verbindungsdaten der Telekommunikation, erstrecken (Art. 18 Abs. 1 Buchstabe a) CCC). Bietet der Dienstanbieter lediglich seine Dienste im Hoheitsgebiet der betroffenen Vertragspartei an, ohne selbst physisch anwesend zu sein, kann sich das Herausgabeverlangen nur auf Bestandsdaten im Sinne der Konvention, das heißt auf alle Daten des Dienstanbieters über seinen Nutzer mit Ausnahme von Verbindungs- und Inhaltsdaten beziehen (Art. 18 Abs. 1 Buchstabe a) CCC). Auch abseits der Konvention entsprechen Anfragen an den Dienstanbieter der völkerrechtlichen Praxis und sind daher als gewohnheitsrechtlich gerechtfertigt zu betrachten.
F. Résumé zur völkerrechtlichen Begrenzung der nationalen Ermittlungsbefugnisse Befinden sich die Server des inländischen Cloud-Anbieters auf deutschem Staatsgebiet, steht den Strafverfolgungsbehörden ein breiter Kanon an offenen und heimlichen Ermittlungsbefugnissen zur Verfügung um auf Inhaltsoder sonstige Daten des verdächtigen Cloud-Nutzers Zugriff zu nehmen.143 Befinden sich jedoch die Server des inländischen Cloud-Anbieters (auch) im Ausland oder wollen die Strafverfolgungsbehörden von einem ausländischen Anbieter Daten des Cloud-Nutzers herausverlangen, sind die Maßnahmen der Ermittlungsbehörden auch an völkerrechtlichen Grundsätzen, namentlich dem Territorialprinzip zu messen. Für die Annahme eines völkerrechtlich zu 142 Zu dieser Problematik nimmt auch die T-CY Cloud Evidence Group in ihrem Bericht umfassend Stellung, Final Report of the T-CY Cloud Evidence Group, 16.09.2016 Rn. 75. 143 Zu den strafprozessualen Ermittlungsbefugnissen siehe die Ausführungen zu Zweites Kap. B.
192
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
rechtfertigenden Eingriffs ist es dabei ausreichend, dass die Maßnahme tatsächlich in fremdes Staatsgebiet hineinwirkt, ohne dass sich der handelnde Beamte physisch auf fremdes Staatsgebiet begibt.144 Greifen die Strafverfolgungsbehörden im Rahmen einer Durchsuchung gemäß §§ 102 ff. StPO im Inland auf in der Cloud gespeicherte Daten zu, die – möglicherweise auch – auf einem Server im Ausland gespeichert sind, werden über das inländische Endgerät Datenverarbeitungsprozesse am Speicherort in Gang gesetzt, sodass die extraterritoriale hoheitliche Maßnahme in fremdes Staatsgebiet hineinwirkt und einer völkerrechtlichen Rechtfertigung bedarf. Dies gilt auch, wenn die im Ausland gespeicherten Daten nicht unmittelbar sondern nur mittelbar durch die Strafverfolgungsbehörden abgerufen werden, beispielsweise weil der inländische Cloud-Anbieter einem Herausgabeverlangen der Behörden Folge leistet und die auf einem ausländischen Server gespeicherten Daten abruft oder wenn sich das Herausgabeverlagen der Strafverfolgungsbehörden gegen einen im Ausland ansässigen Cloud-Anbieter richtet, gleichwohl wo die in Rede stehenden Daten tatsächlich gespeichert sind.145 Die Convention on Cybercrime hält eine Reihe von Tatbeständen bereit, wonach die Maßnahme – bei Vorliegen der Voraussetzungen – völkerrechtlich gerechtfertigt ist. So können Inhaltsdaten – unabhängig von ihrem Speicherort – vom Cloud-Anbieter herausverlangt werden, soweit dieser physisch oder rechtlich im Staatsgebiet des handelnden Staates präsent ist (Art. 18 Abs. 1 Buchstabe a) CCC). Geht es den Strafverfolgungsbehörden (nur) um Bestandsdaten des Cloud-Nutzers, können diese gemäß Art. 18 Abs. 1 Buchstabe b) CCC auch dann vom Cloud-Anbieter herausverlangt werden, wenn dieser seine Dienste im jeweiligen Staat anbietet, sprich den Nutzern des jeweiligen Staates ermöglicht, den Dienst in Anspruch zu nehmen. Und auch abseits der Konvention scheint das Herausgabeverlangen auf im Ausland gespeicherte Daten gewohnheitsrechtlich anerkannt, jedenfalls je weniger gewichtig der Eingriff in die Rechte des Betroffenen ist. Wollen die Strafverfolgungsbehörden jedoch am Ort der Durchsuchung auf in der Cloud gespeicherte Daten zugreifen, die auf einem ausländischen Server gespeichert sind, so ist dieser Zugriff – nach Maßgabe der Konvention (Art. 32 Buchstabe a) CCC) und auch abseits146 – völkerrechtlich nur gerechtfertigt, soweit es sich um öffentlich zugänglich gespeicherte Daten handelt. Öffentlich zugänglich sind die Daten, wenn sie ohne echte Zugangsbeschränkung von den Strafverfolgungsbehörden abrufbar sind, weil eine 144 Zum Vorliegen eines Eingriffs vergleiche die Ausführungen zu Drittes Kap. C.III.1. 145 Zum Vorliegen eines Eingriffs vergleiche die Ausführungen zu Drittes Kap. E.I. 146 Dombrowski, Extraterritoriale Strafrechtsanwendung im Internet, S. 158 m. w. N.
F. Résumé zur völkerrechtlichen Begrenzung193
Identifizierung der zugreifenden Person nicht vorausgesetzt ist.147 Auch wenn in der Cloud gespeicherte Daten vom Nutzern in Ausnahmefällen in Ordnern öffentlich geteilt werden können und in Folge dessen öffentlich zugänglich gespeichert sind, so ist doch die ganz überwiegende Mehrheit nicht öffentlich zugänglich gespeichert und nur durch den jeweiligen Nutzer nach Anmeldung im Benutzer-Account abrufbar. Wollen die Strafverfolgungsbehörden auf diese nicht öffentlich zugänglich im Ausland gespeicherten Daten zugreifen, so ist die Maßnahme völkerrechtlich gerechtfertigt, soweit der Zugriff mit der rechtmäßigen und freiwilligen Zustimmung der berechtigten Person erfolgt. Dies ergibt sich aus Art. 32 Buchstabe b) CCC und ist auch abseits der Konvention gewohnheitsrechtlich anerkannt. Als Zustimmungsberechtigte kommen sowohl der Cloud-Nutzer als auch der Cloud-Anbieter in Betracht.148 Der Zustimmung kommt jedoch nur dann eine rechtfertigende Wirkung zu, wenn sie vom Berechtigten auch freiwillig erteilt wurde. Die Freiwilligkeit entfällt, wenn der Berechtigte gesetzlich verpflichtet ist, den Zugriff zu gewähren, sodass eine Rechtfertigung gemäß Art. 32 Buchstabe b) CCC regelmäßig ausscheidet.149 Wollen die Strafverfolgungsbehörden ohne die Zustimmung des Berechtigten auf nicht öffentlich zugänglich im Ausland gespeicherte Daten zugreifen, hält die Konvention keinen Rechtfertigungstatbestand bereit. Und auch Abseits der Konvention wird ein solcher Zugriff überwiegend als Eingriff in die Souveränitätsrechte des betroffenen Staates begriffen. Der Eingriff kann daher nur im Einzelfall über allgemeine völkerrechtliche Grundsätze gerechtfertigt sein, namentlich dann, wenn das Eingriffsinteresse des handelnden Staates das Abwehrinteresse des betroffenen Staates überwiegt. Die Regelungen der Konvention zum Zugriff auf öffentlich oder nicht öffentlich zugänglich im Ausland gespeicherte Daten finden jedoch nur dann Anwendung, wenn der Speicherort der Daten im Zeitpunkt des Zugriffs hinsichtlich der Hoheitsgrenzen bestimmt oder bestimmbar ist. Für andere Fälle hält die Konvention weder eine Einschränkung noch eine Legitimation völkerrechtlicher Eingriffe bereit. Nutzt der Cloud-Nutzer einen Dienst, bei dem die Daten auf grenzübergreifenden Serververbunden gespeichert sind, bedarf die völkerrechtliche Rechtfertigung einer gesonderten Betrachtung. Dem liegt die Cloud-spezifische Besonderheit zugrunde, dass der Speicherort zum einen von der Virtualisierungstechnik nach Kapazitätsgesichtspunkten bestimmt wird und darüber hinaus nicht statisch ist, sich also binnen kürzester Zeit wieder ändern kann, wenn dies aus Gründen der Kapazitätsauslastung erforderlich ist. Zum anderen werden automatisch Sicherungskopien ange147 Trüg / Mansdörfer,
in: Hilber, Cloud Computing, Teil 7 Rn. 42. Erläuternder Bericht, Tz. 294. 149 Seitz, Strafverfolgungsmaßnahmen im Internet, S. 371. 148 Vgl.
194
3. Kap.: Völkerrechtliche Begrenzung der Ermittlungsbefugnisse
legt, um dem Cloud-Nutzer im Falle eines Serverausfalls dennoch die volle Verfügbarkeit der in der Cloud gespeicherten Daten zu gewährleisten. Auch werden die Daten eines Nutzers ganz überwiegend nicht en bloc, sondern fragmentiert gespeichert. Auf welchen Datensatz im Falle eines Zugriffs zugegriffen wird, entscheidet wiederum die Virtualisierungstechnik anhand von Kapazitätsgesichtspunkten. Aus Sicht des Nutzers und der Behörden – und weitgehend auch aus der Sicht des Anbieters – ist der finale Speicherort vom Zufall abhängig.150 Dennoch kommt auch hier für die Bestimmung der völkerrechtlichen Zuständigkeit nur der Speicherort der in Rede stehenden Daten in Betracht.151 Beinhaltet der grenzübergreifende Serververbund auch Standorte im Inland, liegt bei einem Zugriff der Strafverfolgungsbehörden möglicherweise überhaupt kein völkerrechtlich zu rechtfertigender Eingriff vor, nämlich dann, wenn die abgerufenen Daten zufälligerweise ausschließlich auf Servern im Inland abgelegt sind. Sind die abgerundenen Daten jedoch (auch) auf Servern im Ausland gespeichert, liegt tatsächlich ein völkerrechtlich zu rechtfertigender Eingriff vor. Die Rechtfertigung einer solchen Maßnahme lässt sich – unabhängig des Anlasses, sprich der in Rede stehenden Tat – aus allgemeinen, völkerrechtlichen Grundsätzen ableiten. Stellt man bei der Interessenabwägung das Handlungsinteresse des eingreifenden Staates dem Abwehrinteresse des betroffenen Staates gegenüber, so ist zu berücksichtigen, dass die Daten im Zeitpunkt des Zugriffs nur zufällig im Ausland gespeichert sind. Dieser zufällige Speicherort ist zudem weder vom handelnden noch vom betroffenen Staat erkennbar, so dass einerseits kein zielgerichteter und andererseits kein merklicher Eingriff vorliegt. In diesen Fällen überwiegt daher das Eingriffsinteresse des handelnden das Abwehrinteresse des betroffenen Staates, so dass der Eingriff im Ergebnis völkerrechtlich gerechtfertigt ist.152 Umfasst der grenzübergreifende Serververbund jedoch keine Standorte im Inland, überwiegt das Handlungsinteresse des eingreifenden Staates nicht per se das Abwehrinteresse des betroffenen Staates, so dass der Eingriff nur im Einzelfall über allgemeine, völkerrechtliche Grundsätze gerechtfertigt ist.
150 Ausführlich
zu den Cloud-spezifischen Besonderheiten, Drittes Kap. D.I. zum Anknüpfungspunkt für die Beurteilung, Drittes Kap. D.II.1. 152 Ausführlich zum Lösungsansatz bei grenzübergreifenden Serververbunden, Drittes Kap. D.III.2. 151 Ausführlich
Viertes Kapitel
Untersuchung der Tragfähigkeit der bisherigen Ergebnisse und verbleibender Handlungsbedarf A. Anwendung der bisherigen Ergebnisse auf die ausgewählten Fallkonstellationen Wie die Ausführungen zu den strafprozessualen Ermächtigungsgrundlagen gezeigt haben, finden die Ermittlungsbefugnisse der Strafprozessordnung grundsätzlich auch auf Cloud-basierte Sachverhalte Anwendung.1 Insbesondere die offenen Maßnahmen ermöglichen den Ermittlungsbehörden einen umfassenden Zugriff auf in der Cloud gespeicherte Inhalte. Darüber hinaus können die Ermittlungsbehörden Inhalts-, Bestands- und Nutzungsdaten vom Cloud-Anbieter herausverlangen. Lediglich die heimlichen Ermittlungsbefugnisse der Strafprozessordnung finden auf (Storage-)Cloud-basierte Sachverhalte – zum überwiegenden Teil – keine Anwendung. Da insbesondere die Server der großen Public Cloud-Anbieter meist nicht (ausschließlich) im Inland zu finden sind, müssen bei der Rechtmäßigkeit der Ermittlungsbefugnisse auch völkerrechtliche Aspekte Berücksichtigung finden.2 Verlangen die Strafverfolgungsbehörden von dem Cloud-Anbieter die Herausgabe bestimmter Daten, sind die Maßnahmen darüber hinaus auch an datenschutzrecht lichen Bestimmungen zu messen. Der Mannigfaltigkeit der zu berücksichtigenden Aspekte soll im Folgenden durch eine Zusammenfassung der Ermittlungsbefugnisse in den anfangs aufgeführten denkbaren Fallkonstellationen aus strafprozessualer, völkerrechtlicher und datenschutzrechtlicher Sicht Rechnung getragen werden.
1 Zu
den strafprozessualen Ermächtigungsgrundlagen, vgl. Zweites Kap. B. völkerrechtlichen Begrenzung der strafprozessualen Ermittlungsbefugnisse vgl. Drittes Kap. 2 Zur
196
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
I. Zugriff beim verdächtigen Cloud-Nutzer 1. Auslesen des lokalen Datenbestands „offline“ Fall 1 (Ausgangsfall): Der Cloud-Nutzer wird einer Straftat verdächtigt. Die Ermittlungsbehörden durchsuchen daraufhin in aller Offenheit die Wohnung und sonstigen Räume des Verdächtigen. Im Zuge der Durchsuchung finden sie mehrere Endgeräte – Smartphone, Tablet, PC, etc. – des Nutzers. Noch vor Ort greifen sie auf die darauf gespeicherten Daten zu. a) Ohne Zugangssicherung vor Ort gemäß § 102 StPO Fall 1a: Die Behörden müssen dabei keine Zugangssicherung überwinden. Bei der unter 1a beschriebenen Konstellation greifen die Behörden nur auf Daten zu, die auf dem vorgefundenen Endgerät „statisch“ gespeichert und nicht mit einer Zugangssicherung versehen sind. Gemäß § 102 StPO können die Strafverfolgungsbehörden zur Auffindung von Beweismitteln die Wohnung und andere Räume, die Person sowie die ihm gehörenden Sachen eines Verdächtigen durchsuchen.3 Im Rahmen der Durchsuchung können auch vorgefundene Endgeräte von den Ermittlungsbehörden in Betrieb genommen werden, soweit dies dem Zweck der Durchsuchung – dem Auffinden von Beweismitteln – dient.4 Der lokal gespeicherte Datenbestand kann sodann gemäß § 110 StPO durchgesehen werden.5 Stellt sich nach der Durchsicht heraus, dass es sich um das gesuchte Beweismittel handelt, finden die Vorschriften zur Sicherstellung und Beschlagnahme (§§ 94 ff. StPO) Anwendung.6 Auf in der Cloud gespeicherte Daten können die Ermittlungsbehörden in dieser Konstellation nur zugreifen, wenn sich der Nutzer einer Desktopanwendung („Desktop Cloud“) bedient.7 Denn nehmen die Ermittlungsbehörden im Rahmen einer Durchsuchung ein vorgefundenes Endgerät in Betrieb, können sie auch rechtmäßigerweise auf die Inhalte der Desktop Cloud Zugriff nehmen, da sich diese zum Zeitpunkt der Inbetriebnahme lokal auf dem Endgerät befinden. Wird durch die bloße Inbetriebnahme des Endge3 Zur
Durchsuchung beim Verdächtigen vgl. Zweites Kap. B.I.1. den Möglichkeiten der Inbetriebnahme vorgefundener Endgeräte vgl. Zweites Kap. B.I.1.c)aa). 5 Zur Durchsicht von Papieren und elektronischen Speichermedien vgl. Zweites Kap. B.I.2. 6 Zur Sicherstellung und Beschlagnahme vgl. Zweites Kap. B.I.3. 7 Zur „Desktop Cloud“ vgl. Erstes Kap. F.II. 4 Zu
A. Anwendung der bisherigen Ergebnisse 197
räts8 eine automatisch (vor-)eingestellte Synchronisierung der Cloud mit dem Endgerät in Gang gesetzt, so können die Ermittlungsbehörden auch auf die (neu) synchronisierten Daten zugreifen, sobald diese auf dem Endgerät lokal gespeichert sind. Die Inbetriebnahme eines vorgefundenen Endgeräts ist jedoch strikt von der Vornahme einer manuellen Synchronisation der Desktop Cloud zu unterscheiden. Eine manuelle Synchronisation stellt keinen „offline“ Zugriff dar und ist immer an den Voraussetzungen des § 110 Abs. 3 StPO zu messen.9 b) Ohne Zugangssicherung nach Mitnahme gemäß § 110 StPO Fall 1b: Die Behörden nehmen die gefundenen Endgeräte mit. Anschließend sehen sie den gespeicherten Datenbestand nach beweiserheblichen Gegenständen durch, ohne eine Zugangssicherung zu überwinden. Eine Sicherstellung oder Beschlagnahme gemäß §§ 94 ff. StPO setzt grundsätzlich voraus, dass feststeht, dass es sich um einen beweiserheblichen Gegenstand handelt. Müssen sich die Ermittlungsbehörden jedoch erst einmal Kenntnis vom Inhalt der gespeicherten Daten verschaffen, um festzustellen, ob es sich um beweiserhebliche und sodann nach §§ 94 ff. StPO zu beschlagnahmende Gegenstände handelt, können die Ermittlungsbehörden den Datenbestand gemäß § 110 StPO durchsehen. Die Durchsicht erfolgt grundsätzlich am Ort der Durchsuchung. Ist es den Ermittlungsbehörden jedoch zum Beispiel aufgrund des Umfangs der Daten nicht möglich, die Durchsicht an Ort und Stelle vorzunehmen, so ermächtigt § 110 StPO auch zur Mitnahme der durchzusehenden Daten. In diesem Fall liegt noch keine Sicherstellung gemäß §§ 94 ff. StPO sondern eine Mitnahme zur Durchsicht vor.10 Die Mitnahme zur Durchsicht kann jedoch auch aufgrund des Grundsatzes der Verhältnismäßigkeit geboten sein.11 Insbesondere gilt dies dann, wenn die Durchsicht vor Ort eine unverhältnismäßig lange Zeit in Anspruch nehmen würde. Die Mitnahme des vorgefundenen Endgeräts ist jedoch wiederum am Grundsatz der Verhältnismäßigkeit zu messen. Bei nicht zugangsgeschützten Endgeräten kommt als milderes Mittel regelmäßig die Anfertigung einer Spiegelung in Betracht. Aufgrund der Fülle der Daten werden bei einer Spiegelung jedoch mit erhöhter Wahrscheinlichkeit auch Daten zur Durchsicht mitgenommen, die für das Verfahren nicht von Bedeutung sind. Entwe8 Dies setzt wiederum voraus, dass das Endgerät mit der Inbetriebnahme automatisch mit dem Internet verbunden wird. 9 Vgl. dazu Zweites Kap. B.I.3.e)cc) sowie Fall 3a. 10 Zur Mitnahme zur Durchsicht vgl. Zweites Kap. B.I.2.c). 11 Zum Grundsatz der Verhältnismäßigkeit der Durchsicht vgl. Zweites Kap. B.I.2.e).
198
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
der weil sie keine potentielle Beweisbedeutung besitzen, oder sogar einem Beweisverwertungsverbot unterliegen. Diese Gefahr ist zwar der Mitnahme zur Durchsicht inhärent, lässt sich jedoch dadurch kompensieren, dass bereits an Ort und Stelle zu prüfen ist, welche Daten als Beweismittel offensichtlich ausscheiden. An die Mitnahme eines Endgeräts beziehungsweise die Anfertigung einer Spiegelung zur Mitnahme zur Durchsicht sind aus Gründen der Verhältnismäßigkeit hohe Anforderungen zu stellen. Ist diesen Anforderungen Genüge getan, können auch in der Desktop Cloud gespeicherte Daten – wie die übrigen lokal gespeicherten Daten – zur Durchsicht mitgenommen werden. c) Mit Zugangssicherung vor Ort gemäß § 102 StPO Fall 1c: Die Behörden entschlüsseln noch vor Ort Benutzererkennung und Passwort durch den Einsatz von Cracking-Programmen und nutzen die entschlüsselte Zugangssicherung, um auf die auf dem Endgerät gespeicherten Daten zuzugreifen. Stoßen die Ermittlungsbehörden im Rahmen einer Durchsuchung auf ein zugangsgeschütztes Endgerät, so ist auch das Überwinden der Zugangssicherung von der Ermächtigungsgrundlage des § 102 StPO12 mitumfasst, solange die Maßnahme dem Zweck der Durchsuchung – dem Auffinden von Beweismitteln – dient. Der Einsatz von Cracking-Programmen stellt die Anwendung unmittelbaren Zwangs dar und ändert auch nichts an der Offenheit der Durchsuchungsmaßnahme.13 Dies gilt auch, wenn nur einzelne lokal gespeicherte Ordner – wie beispielsweise die Desktop Cloud – mit einer Passwortsicherung versehen sind. d) Mit Zugangssicherung nach Mitnahme Fall 1d: Die Behörden nehmen die gefundenen Endgeräte mit. Anschließend entschlüsseln sie die Zugangssicherung und werten die auf dem Endgerät gespeicherten Daten aus. Verlassen die Strafverfolgungsbehörden endgültig den Ort der Durchsuchung, so ist die Durchsuchung beendet und die Durchsuchungsanordnung verbraucht.14 Die Durchsicht beziehungsweise die Mitnahme zur Durchsicht dauert jedoch darüber hinaus solange an, bis die Behörden festgestellt haben, 12 Dies
gilt auch für § 103 StPO. Überwindung der Zugangssicherung im Rahmen einer Durchsuchung vgl. Zweites Kap. B.I.1.c)bb). 14 Zur Beendigung der Durchsuchung vgl. Zweites Kap. B.I.1.f). 13 Zur
A. Anwendung der bisherigen Ergebnisse 199
ob den durchgesehenen Gegenständen Beweiswert zukommt oder nicht.15 Um auch nach der Beendigung der Durchsuchung eine Zugangssicherung mittels Cracking-Programmen zu entschlüsseln und die gespeicherten Daten auszuwerten, bedarf es der Sicherstellung des Endgeräts nach §§ 94 ff. StPO.16 Dies setzt jedoch voraus, dass die Behörden bereits festgestellt haben, dass es sich bei dem Endgerät um einen potentiell beweiserheblichen Gegenstand handelt.17 Eine Mitnahme zur Durchsicht berechtigt – nach der Beendigung der Durchsuchung – jedenfalls nicht zum Entschlüsseln der Zugangssicherung. 2. Beschlagnahme der gespeicherten Daten gemäß § 94 StPO Fall 2: Die Ermittlungsbehörden haben im Rahmen der Durchsuchung Daten gefunden, die für das weitere Verfahren von Bedeutung sind, und beschlagnahmen diese. Haben die Ermittlungsbehörden im Laufe der Durchsuchung, zum Beispiel auch nach der Mitnahme zur Durchsicht, festgestellt, dass die vorgefundenen Informationen für das weitere Verfahren von Bedeutung sind, finden die Vorschriften der §§ 94 ff. StPO Anwendung. Gibt der verdächtige CloudNutzer die Daten freiwillig heraus, findet eine formlose Sicherstellung gemäß § 94 Abs. 1 StPO statt. Ist dies nicht der Fall, sind die Informationen förmlich zu beschlagnahmen (§ 94 Abs. 2 StPO).18 Der Sicherstellung und Beschlagnahme unterliegen sowohl die jeweiligen Datenträger als körperliche Gegenstände19 als auch die unkörperlichen Daten selbst.20 Dabei wird der beweiserhebliche Gegenstand in Verwahrung genommen. Speichermedien können von den Behörden in Besitz genommen werden. Die Daten selbst werden von dem ursprünglichen Speichermedium auf ein Speichermedium der Ermittlungsbehörden kopiert und – falls nötig – anschließend beim Cloud-Nutzer gelöscht und somit dessen Einflussbereich entzogen.21 Wie alle Zwangsmaßnahmen muss auch die Anordnung und Vollziehung der förmlichen Beschlagnahme dem Grundsatz der Verhältnismäßigkeit ent15 Zur
Beendigung der Durchsicht vgl. Zweites Kap. B.I.2.f). „offline“-Auswertung von sichergestellten Gegenständen vgl. Zweites Kap. B.I.3.e)aa). 17 Zur Sicherstellung und Beschlagnahme vgl. Zweites Kap. B.I.3. 18 Zum Begriff der Sicherstellung und Beschlagnahme vgl. Zweites Kap. B.I.3.a). 19 Zur Beschlagnahmefähigkeit von körperlichen Gegenständen vgl. Zweites Kap. B.I.3.b)aa). 20 Zur Beschlagnahmefähigkeit von Daten als unkörperliche Gegenstände vgl. Zweites Kap. B.I.3.b)bb) sowie B.I.3.c)bb). 21 Zur Durchführung der Sicherstellung vgl. Zweites Kap. B.I.3.d). 16 Zur
200
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
sprechen.22 Dies ist insbesondere bei der klassischen Beschlagnahme der Daten durch Beschlagnahme des physischen Datenträgers selbst zu berücksichtigen. Geht es den Ermittlungsbehörden nur um einen Teil der darauf gespeicherten Daten, stellt die Beschlagnahme des gesamten Speicherme diums meist einen unverhältnismäßigen Eingriff dar. Dies gilt insbesondere dann, wenn es sich bei dem Datenträger nicht nur um ein bloßes Speichermedium wie beispielsweise eine externe Festplatte oder einen USB-Stick handelt, sondern um ein Endgerät – beispielsweise Tablet, Smartphone oder Laptop – des Nutzers. Übertragen auf die Beschlagnahme in der Cloud gespeicherter Daten, wird regelmäßig nur das Anfertigen einer Kopie verhältnismäßig sein. Greifen die Behörden „offline“ auf in der Cloud gespeicherte Daten zu, sind diese in einer Desktop Cloud auf einem Endgerät des Nutzers gespeichert. Bei der Beschlagnahme eines Endgeräts erfolgt jedoch häufig ein Zugriff auf überschießende Informationen, insbesondere auch vertrauliche Daten Dritter, was gemäß des Grundsatzes der Verhältnismäßigkeit nach Möglichkeit zu vermeiden ist. Greifen die Behörden „online“ auf in der Cloud gespeicherte Inhalte zu, scheidet die Beschlagnahme des Speichermediums ohnehin aus, da die Strafverfolgungsbehörden vom Ort des Cloud-Nutzers aus nicht physisch auf den Cloud-Speicher zugreifen können.23 In der Cloud gespeicherte Daten werden daher überwiegend durch Anfertigen einer Kopie auf einem Speichermedium der Ermittlungsbehörden beschlagnahmt.24 Der Umfang der Kopie ist jedoch auch am Grundsatz der Verhältnismäßigkeit zu messen. So stehen der Anfertigung eines Images, also einer Spiegelung des gesamten Datenträgers, beim Endgerät die selben Bedenken wie bei der körperlichen Beschlagnahme entgegen.25 Die Beschlagnahme erstreckt sich jedoch grundsätzlich auch auf Software und Passwörter, soweit diese zur Auswertung der Daten erforderlich sind.26
22 Zur Verhältnismäßigkeit der förmlichen Beschlagnahme vgl. Zweites Kap. B.I.3.f). 23 Zum Gewahrsam am Cloud Server vgl. Fall 3a. 24 Bei der Beschlagnahme von in der Cloud gespeicherten Daten sind auch die Beschlagnahmeverbote des § 97 Abs. 1 StPO zu beachten, wenn der Cloud-Nutzer privilegiert ist, da sich die Daten im (Mit-)Gewahrsam des Cloud-Nutzers befinden. Ausführlich dazu Wicker, Cloud Computing und staatlicher Strafanspruch, S. 363 ff. 25 Zur Verhältnismäßigkeit des Anfertigens einer Spiegelung vgl. auch Fall 1b. 26 Zur Beschlagnahmefähigkeit von Software und Passwörtern vgl. auch Zweites Kap. B.I.3.f).
A. Anwendung der bisherigen Ergebnisse 201
3. Auslesen „online“ Fall 3 (Ausgangsfall): Die Ermittlungsbehörden stoßen auf einen (externen) Cloud-Speicher. Sie greifen noch vor Ort von dem Endgerät des Nutzers aus auf die in der Cloud gespeicherten Daten zu die auf einem Server im Inland belegen sind. a) Ohne Zugangssicherung vor Ort als Durchsicht gemäß § 110 Abs. 3 StPO Fall 3a: Dabei müssen sie keine Zugangssicherung überwinden. § 110 Abs. 3 StPO erlaubt den Ermittlungsbehörden, von einem Speichermedium auf ein anderes Speichermedium zuzugreifen, um Daten nach potentiellen Beweisgegenständen durchzusehen.27 Klassisches Beispiel hierfür ist der Zugriff von einem Endgerät auf einen Cloud-Speicher. Dass es sich bei den Cloud-Servern, auf denen die Daten extern gespeichert sind, nicht um eine dem Verdächtigen „gehörende Sache“ (§ 102 StPO) handelt,28 ist unschädlich, da eine anschließende Beschlagnahme ohnehin nicht auf den Datenträger, sondern die darauf gespeicherten Daten gerichtet ist.29 Verschiebt der Nutzer seine Daten von einem lokalen Speichermedium in die Cloud und speichert sie damit auf dem Speichermedium des Cloud-Anbieters, wandelt sich zwar der Gewahrsam vom Allein- zum Mitgewahrsam, die Daten sind jedoch weiterhin als eine dem Nutzer „gehörende Sache“ zu betrachten. Von seinem Endgerät aus kann der Nutzer die in der Cloud gespeicherten Daten über eine bestehende Internetverbindung jederzeit abrufen, verändern oder löschen und so seine tatsächliche Verfügungsgewalt ausüben.30 Die Ausweitung der Durchsuchung durch die Durchsicht externer Speichermedien gemäß § 110 Abs. 3 StPO bezieht sich daher – hinsichtlich der in der Cloud gespeicherten Daten – weiterhin auf die Durchsuchung von „ihm gehörenden Sa-
27 Zum Terminus „Speichermedium“ i. S. d. § 110 Abs. 3 StPO vgl. Zweites Kap. B.I.2.d)bb). 28 Der Cloud-Nutzer hat keine Möglichkeit, auf die Server des Cloud-Anbieters zuzugreifen. Er kann die Server weder abschalten, noch an einen anderen Ort verbringen. Die bloße Möglichkeit der Nutzung des Speicherplatzes über eine bestehende Internetverbindung stellt keine tatsächliche Verfügungsgewalt über die Server des Cloud-Anbieters dar, so dass auch kein Mitgewahrsam des Cloud-Nutzers am Speichermedium angenommen werden kann. So und ausführlich zur Zuordnung der Gewahrsamsverhältnisse am Cloud Server Wicker, Cloud Computing und staatlicher Strafanspruch, S. 336 f. 29 Zur Beschlagnahme von in der Cloud gespeicherten Daten vgl. Fall 2. 30 So auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 341.
202
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
chen“ im Sinne des § 102 StPO. Wird der Cloud-Speicher von mehreren Nutzern genutzt, erweitert sich der Kreis der Mitgewahrsamsinhaber. § 110 Abs. 3 StPO setzt weiterhin voraus, dass ohne den Zugriff der Verlust der gesuchten Daten zu besorgen ist. Da der Cloud-Nutzer jedoch über eine bestehende Internetverbindung von jedem beliebigen Endgerät aus auf seine in der Cloud gespeicherten Daten zugreifen kann, ist diesem Erfordernis in der Regel Genüge getan. § 110 Abs. 3 StPO erlaubt den Ermittlungsbehörden somit den Zugriff auf in der Cloud gespeicherte Inhalte. b) Ohne Zugangssicherung nach Mitnahme Fall 3b: Die Behörden nehmen das Endgerät mit und greifen auf die in der Cloud gespeicherten Daten – gegebenenfalls sogar wiederholt – über das Endgerät des Nutzers zu, ohne eine Zugangssicherung zu überwinden. § 110 Abs. 3 StPO gestatten den Ermittlungsbehörden von dem Endgerät des Nutzers aus auf die in der Cloud gespeicherten Daten zuzugreifen. Die Durchsicht gemäß § 110 StPO erfolgt grundsätzlich im Rahmen der Durchsuchung, kann jedoch in den Fällen der Mitnahme zur Durchsicht über die Durchsuchung hinaus andauern. Aufgrund der Akzessorietät der Durchsicht zur Durchsuchung ist auch der Zugriff auf extern gespeicherte Daten eine punktuelle, auf einen bestimmten Zeitpunkt gerichtete Einzel- und keine Dauermaßnahme, die offen erfolgt. Darüber hinaus gestattet § 110 Abs. 3 StPO den „online“-Zugriff auf extern gespeicherte Daten „bei dem von der Durchsuchung Betroffenen“. Ein Zugriff gemäß § 110 Abs. 3 StPO ist daher nur während und am Ort der Durchsuchung möglich. Nur so wird gewährleistet, dass der Zugriff nur punktuell und offen erfolgt und darüber hinaus keine bestehenden Hürden wie beispielsweise § 100a StPO beim Zugriff auf Kommunikationsdienste wie E-Mail-Postfächer umgangen werden.31 Das in Fall 3b geschilderte Vorgehen der Ermittlungsbehörden ist daher in mehrerlei Hinsicht von der Ermächtigungsgrundlage des § 110 Abs. 3 StPO nicht mehr umfasst. c) Mit Zugangssicherung vor Ort als Durchsicht gemäß § 110 Abs. 3 StPO Fall 3c: Die Ermittlungsbehörden entschlüsseln die Zugangssicherung mittels Cracking-Programmen und lesen die in der Cloud gespeicherten Daten aus.
31 Zum
ein- oder mehrmaligen Zugriff vgl. Zweites Kap. B.I.2.d)ee).
A. Anwendung der bisherigen Ergebnisse 203
Ein Zugriff auf externe Cloud-Speicher gemäß § 110 Abs. 3 StPO setzt voraus, dass das vorgefundene Endgerät so konfiguriert ist, dass es technisch den Zugriff auf den externen Cloud-Speicher gestattet. Müssen die Strafverfolgungsbehörden die Zugangssicherung jedoch erst unter dem Einsatz von Cracking-Werkzeugen überwinden, muss der Zugriff auf den Cloud-Speicher erst ermöglicht werden. Dies ändert jedoch nichts an der Zulässigkeit der Maßnahme nach § 110 Abs. 3 StPO. § 110 Abs. 3 StPO setzt nur voraus, dass das Endgerät so konfiguriert ist, dass technisch ein Zugriff auf den CloudSpeicher möglich ist. Diesem Erfordernis ist in der Regel mit dem Bestehen einer Internetverbindung Genüge getan. Weitere Zwischenschritte, wie das Aufrufen des Dienstes und die Eingabe eines Passwortes, ändern nichts an der technischen Zugriffsmöglichkeit. Die Bindung an das Endgerät gewährleistet dabei die Offenheit der Maßnahme. Der Einsatz von Cracking-Programmen macht jedoch eine offene nicht zur verdeckten Maßnahme, sondern ist als Anwendung von unmittelbarem Zwang im Rahmen der Durchsuchung zu qualifizieren.32 d) Mit Zugangssicherung nach Mitnahme Fall 3d: Die Behörden nehmen die gefundenen Endgeräte mit. Anschließend entschlüsseln sie die Zugangssicherung und lesen über das Endgerät des Nutzers die in der Cloud gespeicherten Daten aus. Wie bereits bei Konstellation 1d dargelegt, ist nach der Mitnahme des Endgeräts und nach Beendigung der Durchsuchung eine Entschlüsselung der Zugangssicherung nur im Rahmen der Möglichkeiten der Auswertung von sichergestellten Gegenständen gestattet. Die Auswertung von sichergestellten Endgeräten umfasst jedoch nur die lokal auf dem Endgerät gespeicherten Daten. §§ 94 ff. StPO gestatten nicht den „online“-Zugriff auf in der Cloud gespeicherte Inhalte, auch wenn dies von dem sichergestellten Endgerät aus technisch möglich ist.33 Der Zugriff auf extern in der Cloud gespeicherte Inhalte ist nur gemäß § 110 Abs. 3 StPO im Rahmen und am Ort der Durchsuchung möglich. 4. Ausländischer Serverstandort Fall 4: Wie in Ausgangsfall 3, jedoch nutzt der Cloud-Nutzer einen Dienst, dessen Server sich ausschließlich im Ausland befinden. 32 Zum
dd).
33 Zur
bb).
hindernisfreien Zugriff vom Speichermedium aus vgl. Zweites Kap. B.I.2.d)
Auswertung von „online“ gespeicherten Daten vgl. Zweites Kap. B.I.3.e)
204
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
Aufgrund des völkerrechtlich verankerten Territorialprinzips34 sind die Ermittlungsbefugnisse der Strafverfolgungsbehörden auch im Kontext des Cloud Computings grundsätzlich auf das eigene Hoheitsgebiet begrenzt.35 Eingriffe in die Souveränitätsrechte anderer Staaten bedürfen daher stets einer völkerrechtlichen Rechtfertigung. Greifen die Ermittlungsbehörden am Ort der Durchsuchung von dem vorgefundenen Endgerät nach § 110 Abs. 3 StPO auf den Cloud-Speicher des Nutzers zu, werden durch die Virtualisierungstechnik Datenverarbeitungsprozesse im Ausland in Gang gesetzt, so dass die Behörden – auch wenn sie sich physisch nicht auf fremden Staatsgebiet befinden – in fremdes Hoheitsgebiet hineinwirken. Dies stellt einen Eingriff in die Gebietshoheit des betroffenen Staates dar, der ohne Vorliegen einer völkerrechtlichen Rechtfertigung völkerrechtswidrig ist.36 Cloud-Storage-Angebote richten sich typischerweise an einen privaten Nutzerkreis. Ob der nur für den Nutzer zugängliche Cloud-Speicher darüber hinaus mit einem Passwortschutz versehen (wie in Fall 3c) oder ohne weiteres vom Endgerät aus zugänglich ist (wie in Fall 3a), ist für die völkerrechtliche Beurteilung nicht von Bedeutung. In beiden Fällen sind die in der Storage Cloud gespeicherten Daten der Öffentlichkeit nicht zugänglich und mithin als nicht öffentlich zugänglich gespeicherte Daten zu qualifizieren. Der Zugriff auf nicht öffentlich zugänglich gespeicherte Daten ist gemäß Art. 32 Buchstabe b) CCC völkerrechtlich gerechtfertigt, wenn die Ermittlungsbehörden die „rechtmäßige und freiwillige Zustimmung der Person einholt, die rechtmäßig befugt ist, die Daten mittels des Computersystems an sie weiterzugeben“. Als zustimmungsberechtigte Person im Sinne des Art. 32 Buchstabe b) CCC kommt neben dem Cloud-Nutzer grundsätzlich auch der Cloud-Anbieter in Betracht. Ob dieser zur Weitergabe der Daten an Dritte berechtigt ist, ergibt sich aus dem zugrunde liegenden Vertragsverhältnis. Um einen weiteren Eingriff in fremde Hoheitsrechte zu vermeiden, muss sich der Zustimmungsberechtigte im Hoheitsgebiet der Strafverfolgungsbehörden aufhalten und die Zustimmung freiwillig, das heißt ohne gesetzliche Verpflichtung, erteilen.37 Sobald die Ermittlungsbehörden den Cloud-Anbieter zur Herausgabe der Inhaltsdaten des Nutzers verpflichten können, scheidet 34 Zum
Territorialprinzip vgl. Drittes Kap. A. völkerrechtlichen Begrenzung der Ermittlungsbefugnisse vgl. Drittes Kap. 36 Zur Zulässigkeit eines Zugriffs auf nicht öffentlich zugängliche Daten vgl. Drittes Kap. C.III. 37 Zur Rechtfertigung des Eingriffs mit Zustimmung des Berechtigten nach der Convention on Cybercrime vgl. Drittes Kap. C.III.2.a)aa). 35 Zur
A. Anwendung der bisherigen Ergebnisse 205
eine Rechtfertigung gemäß Art. 32 Buchstabe b) CCC aus.38 Liegt eine freiwillige Zustimmung des Berechtigten vor, ist der Eingriff auch Abseits der Konvention durch anerkanntes Gewohnheitsrecht völkerrechtlich gerechtfertigt.39 Liegt jedoch wie in den meisten Fällen keine freiwillige Zustimmung des Berechtigten vor, hält die Convention on Cybercrime keine Rechtfertigungsmöglichkeit bereit. Und auch abseits der Konvention ist der Eingriff nur in wenigen Ausnahmefällen über völkerrechtliche Grundsätze gerechtfertigt. Namentlich dann, wenn das Eingriffsinteresse des handelnden Staates das Abwehrinteresse des betroffenen Staates überwiegt oder zumindest gleichwertig gegenübersteht. Dies wäre der Fall, wenn der Bestand des handelnden Staates bedroht ist oder besondere staatliche Schutzpflichten, wie beispielsweise der Schutz des unmittelbar bedrohten Lebens, bestehen.40 Nur in diesen Ausnahmefällen ist ein Zugriff gemäß § 110 Abs. 3 StPO auf im Ausland belegenen Cloud Servern gespeicherte Inhalte völkerrechtskonform möglich. Anderenfalls ist der Weg der Rechtshilfe zu beschreiten und ein Rechtshilfegesuch an den Staat des Serverstandorts zu richten. 5. Grenzübergreifender Serververbund Fall 5: Wie oben. Der Nutzer nutzt jedoch einen Cloud-Dienst, der angibt, Serverfarmen „in Europa“ oder „weltweit“ zu betreiben. Viele große Public Cloud-Anbieter, die ihre Basis-Dienste meist kostenlos anbieten, geben an, ihre Serverfarmen „weltweit“ oder „in Europa“ zu betreiben. Greifen die Ermittlungsbehörden am Ort der Durchsuchung von dem vorgefundenen Endgerät nach § 110 Abs. 3 StPO auf den Cloud-Speicher zu, werden durch die Virtualisierungstechnik „in Europa“ oder „weltweit“ Datenverarbeitungsprozesse in Gang gesetzt. Dabei besteht die Möglichkeit, dass die Daten im Zeitpunkt des Abrufs – zufällig – im Inland gespeichert sind. In diesem Fall wäre ein Zugriff der deutschen Strafverfolgungsbehörden gemäß § 110 Abs. 3 StPO aus völkerrechtlicher Sicht problemlos möglich. Die Daten können jedoch auch – zufällig – in jedem anderen Land des Serververbunds gespeichert sein, was einen Eingriff in fremde Souveränitätsrechte bedeuten würde.41 Da der tatsächliche Speicherort der Daten im Zeit38 Selbiges gilt auch für einen anderen Nutzer, der Mitgewahrsam an der Cloud, beziehungsweise den darin gespeicherten Daten hat. 39 Zur Rechtfertigung des Eingriffs mit Zustimmung des Berechtigten abseits der Convetion on Cybercrime vgl. Drittes Kap. C.III.2.b)bb). 40 Zur den Rechtfertigungsmöglichkeiten ohne Zustimmung des Berechtigten nach der Convention on Cybercrime vgl. Drittes Kap. C.III.2.b)aa). 41 Zu den Besonderheiten des Cloud Computing vgl. Drittes Kap. D.I.
206
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
punkt des Zugriffs von außen nicht bestimm- oder steuerbar ist, und darüber hinaus die Möglichkeit besteht, dass die Daten sogar auf dem eigenen Hoheitsgebiet gespeichert sind, ist der – potentielle – Eingriff nach der hier vertretenen Auffassung völkerrechtlich gerechtfertigt, da bei einer Abwägung der widerstreitenden Interessen das Eingriffsinteresse des handelnden das Abwehrinteresse der potentiell betroffenen Staaten überwiegt.42 Solange die Möglichkeit besteht, dass die Daten auch auf dem eigenen Hoheitsgebiet gespeichert sind, der handelnde Staat also Teil des Serververbundes ist, liegt – wenn überhaupt – kein zielgerichteter Eingriff vor, der durch allgemeine völkerrechtliche Grundsätze gerechtfertigt ist. Die Ermittlungsbehörden können daher bei einem „europäischen“ oder „weltweiten“ Serververbund grundsätzlich ohne Rechtshilfeersuchen gemäß § 110 Abs. 3 StPO auf die Inhalte zugreifen. 6. Ausländischer grenzübergreifender Serververbund Fall 6: Wie oben. Der Nutzer nutzt jedoch einen Cloud-Dienst, der Serverfarmen in mehreren Ländern außerhalb Deutschlands betreibt. In dieser Konstellation treffen aus nationaler Sicht zwei Probleme aufeinander: Zum einen befinden sich die Daten im Zeitpunkt des Zugriffs definitiv im Ausland und zum anderen ist der tatsächliche Speicherort der Daten im Zeitpunkt des Zugriffs aufgrund der Virtualisierungstechnik nicht bestimmbar. Greifen die Ermittlungsbehörden am Ort der Durchsuchung von dem vorgefundenen Endgerät nach § 110 Abs. 3 StPO auf den Cloud-Speicher zu, werden durch die Virtualisierungstechnik Datenverarbeitungsprozesse im Ausland in Gang gesetzt. Es handelt sich also um einen Eingriff in fremde Souveränitätsrechte, der einer völkerrechtlichen Rechtfertigung bedarf.43 Da in dieser Konstellation die Möglichkeit, dass sich die Daten im Zeitpunkt des Zugriffs auf dem eigenen Hoheitsgebiet befinden, nicht gegeben ist, die Behörden bei einem Zugriff also wissent- und willentlich in fremde Souveränitätsrechte eingreifen, scheidet eine generelle Rechtfertigung nach allgemeinen völkerrechtlichen Grundsätzen aufgrund des überwiegenden Interesses des handelnden Staates aus. Eine völkerrechtliche Rechtfertigung kann sich daher nur im Einzelfall über allgemeine völkerrechtliche Grundsätze ergeben. Dafür müsste das Interesse des handelnden Staates im Einzelfall das Interesse des betroffenen Staates überwiegen. Auch hier ist dem Abwehrinteresse des betroffenen Staates bei der Gegenüberstellung und Abwägung ein besonderes Gewicht beizu42 Zum 43 Vgl.
Lösungsansatz beim Cloud Computing, vgl. Drittes Kap. D.III.2. dazu die Konstellation zu Fall 6 Drittes Kap. D.II.2.
A. Anwendung der bisherigen Ergebnisse 207
messen, da dieses mit dem Bestand des betroffenen Staates eng verbunden ist. Um zumindest ein gleichwertiges Interesse begründen zu können, muss das Eingriffsinteresse des handelnden Staates eine erhebliche Qualität aufweisen. Dies wäre beispielsweise der Fall, wenn der Bestand des handelnden Staates bedroht ist oder besondere staatliche Schutzpflichten, wie beispielsweise der Schutz des unmittelbar bedrohten Lebens, bestehen.44 Nur in diesen Ausnahmefällen ist der Eingriff im Einzelfall völkerrechtlich zu rechtfertigen. 7. Online-Durchsuchung gemäß § 100b StPO Fall 7: Die Ermittlungsbehörden vermuten, dass der Verdächtige beweiserhebliche Daten in einer Cloud speichert. Bereits die Durchsicht des Endgeräts wird jedoch durch die verwendeten Passwörter derart erschwert, dass nicht einmal feststellbar ist, welchen Cloud-Dienst der Verdächtige nutzt. Die Ermittlungsbehörden installieren daher heimlich ein Programm auf dem Endgerät, um das Verhalten des Verdächtigen zu überwachen und auf die in der Cloud gespeicherten Daten zugreifen zu können. § 100b Abs. 1 StPO ermächtigt die Strafverfolgungsbehörden in besonderen Ausnahmefällen auch ohne Wissen des Betroffenen mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System einzugreifen und Daten daraus zu erheben. Ein informationstechnisches System im Sinne der Norm ist nicht nur das Endgerät des Cloud-Nutzers sondern auch der Cloud-Speicher selbst.45 Die Ermittlungsbehörden können daher sowohl das Endgerät als auch den Cloud-Speicher heimlich durch suchen beziehungsweise über einen längeren Zeitraum überwachen. Beide Systeme sind jedoch getrennt voneinander zu betrachten. Dies ist insbesondere von Bedeutung, wenn der Cloud-Speicher von mehreren Nutzern gemeinsam genutzt wird.46 Aufgrund der Schwere des Eingriffs ist die Maßnahme mit der akustischen Wohnraumüberwachung vergleichbar und an besonders erhöhten Voraussetzungen zu messen.47 Neben den hohen Genehmigungshürden greift die Maßnahme nur beim Vorliegen besonders schwerer Straftaten aus dem Strafgesetz, dem Asylgesetz, dem Aufenthaltsgesetz, dem Betäubungsmittelgesetz, dem Gesetz über die Kontrolle von Kriegswaffen, dem Völkerstrafgesetzbuch 44 Zur Rechtfertigung nach allgemeinen völkerrechtlichen Grundsätzen vgl. Drittes Kap. C.III.2.b)bb). 45 Zum Gegenstand der Online-Durchsuchung vgl. Zweites Kap. B.I.4.b). 46 Zur Online-Durchsuchung einer gemeinsam genutzten Cloud vgl. Zweites Kap. B.I.4.d)bb). 47 Zu den Voraussetzungen der Online-Durchsuchung vgl. Zweites Kap. B.I.4.
208
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
und dem Waffengesetz. Es bleibt daher abzuwarten, ob sich die OnlineDurchsuchung wie die akustische Wohnraumüberwachung auf wenige Anwendungsfälle im Jahr beschränkt,48 oder ob die Gerichte die Maßnahme – möglicherweise auch aufgrund ihres geringeren Personalaufwands – häufiger anordnen.
II. Am Ort des Cloud-Anbieters 1. Zugriff am Ort des Cloud-Anbieters als Durchsuchung gemäß § 102 oder § 103 StPO Fall 8: Der Cloud-Nutzer wird einer Straftat verdächtigt. Die Ermittlungsbehörden haben Kenntnis davon erlangt, dass der Verdächtige einen CloudDienst nutzt. Sie durchsuchen daraufhin am Ort des Cloud-Anbieters in aller Offenheit die Daten des verdächtigen Cloud-Nutzers. Eine Durchsuchung am Ort des Cloud-Anbieters kann entweder gemäß § 102 oder § 103 StPO stattfinden, je nach dem, ob der Cloud-Anbieter mit den Strafverfolgungsbehörden kooperiert oder nicht. Beschränkt sich die Suche auf den vom Cloud-Nutzer angemieteten Speicher und wird dieser den Ermittlungsbehörden als separater Bereich vom Cloud-Anbieter zugänglich gemacht, liegt eine Durchsuchung beim verdächtigen Cloud-Nutzer gemäß § 102 StPO vor, die am Ort des Cloud-Anbieters stattfindet.49 Kooperiert der Cloud-Anbieter nicht mit den Ermittlungsbehörden, indem er den Datensatz des verdächtigen Cloud-Nutzers nicht zugänglich macht, findet eine Durchsuchung gemäß § 103 StPO beim Cloud-Anbieter als unverdächtigem Dritten statt.50 In diesem Fall werden die gesamten Server des Anbieters nach dem Datensatz des Nutzers durchsucht, wobei die Gefahr von Zufallsfunden bei Nichtverdächtigen im Sinne des § 108 Abs. 1 StPO erheblich ansteigt. Die 48 So wurde die akustischen Wohnraumüberwachung beispielsweise sechsmal im Berichtsjahr 2015 (abrufbar unter: https: / / www.bundesjustizamt.de / DE / SharedDocs / Publikationen / Justizstatistik / BTDrs_18_9660.pdf;jsessionid=1476A66ACB69C751 0726F11D7CDF48AE.1_cid377?__blob=publicationFile&v=3, zuletzt besucht am 20.03.2018) und neunmal im Berichtsjahr 2014 (abrufbar unter: https: / / www. bundesjustizamt.de / DE / SharedDocs / Publikationen / Justizstatistik / BTDrs_18_9660. pdf;jsessionid=1476A66ACB69C7510726F11D7CDF48AE.1_cid377?__blob=publi cationFile&v=3, zuletzt besucht am 20.03.2018) angeordnet. 49 Zur Durchsuchung am Ort des Cloud-Anbieters vgl. Zweites Kap. B.II.1. Sollten auch in diesem Fall die zugänglich gemachten Daten des verdächtigen CloudNutzers auf einem ausländischen Server gespeichert sein, ist der völkerrechtliche Eingriff gemäß Art. 32 Buchstabe b) CCC beziehungsweise abseits der Konvention gewohnheitsrechtlich gerechtfertigt. 50 Für ausländische oder (ausländische) grenzübergreifende Server kann auf die Fälle 4–6 verwiesen werden.
A. Anwendung der bisherigen Ergebnisse 209
gemäß § 103 Abs. 1 S. 1 StPO gesuchten „bestimmten Gegenstände zur Beschlagnahme“ stellen die auf den Servern des Anbieters gespeicherten Daten des Nutzers dar. § 103 Abs. 1 S. 1 StPO setzt weiterhin eine Erfolgsaussicht voraus. Es müssen also bestimmte Tatsachen vorliegen, die die Annahme rechtfertigen, dass der Dritte beweisrelevante Gegenstände besitzt.51 Dafür müssten Anhaltspunkte vorliegen, die darauf hindeuten, dass der Nutzer beweisrelevante Gegenstände in der Cloud und damit auf den Servern des Anbieters gespeichert hat. Haben die Behörden aus dem bisherigen Ermittlungsverfahren die Kenntnis erlangt, dass der Verdächtige einen Cloud-Dienst nutzt, ist dies aus kriminalistischer Sicht für die Annahme ausreichend, dass die gesuchten Informationen in der Cloud – und damit auf den Servern des Anbieters – gespeichert sein könnten.52 Der Cloud-Anbieter wird jedoch in der Regel mit den Ermittlungsbehörden kooperieren, um eine umfassende Durchsuchung gemäß § 103 StPO abzuwenden. Die Maßnahme ist dann an den Voraussetzungen des § 102 StPO zu messen. 2. Nach Mitnahme des Cloud Servers als Beschlagnahme gemäß § 94 StPO Fall 9: Wie oben. Die Ermittlungsbehörden wollen jedoch das Speichermedium oder eine Kopie davon, auf welchem die Daten des verdächtigen Cloud-Nutzers gespeichert sind, mitnehmen, da sie darauf gelöschte, aber wiederherstellbare Datenspuren vermuten. Gemäß § 94 StPO können beweiserhebliche Gegenstände sichergestellt (Abs. 1) oder – für den Fall der nicht freiwilligen Herausgabe – beschlagnahmt werden (Abs. 2). Steht noch nicht fest, ob es sich um beweiserhebliche Gegenstände handelt, können Daten – mitsamt Datenträger – gemäß § 110 StPO zur Durchsicht mitgenommen werden. Sowohl Maßnahmen nach § 110 StPO als auch – und insbesondere – nach § 94 StPO sind jedoch am Grundsatz der Verhältnismäßigkeit zu messen. Auch wenn es den Ermittlungsbehörden in erster Linie um die auf dem Datenträger des Cloud-Anbieters gespeicherten Daten des Cloud-Nutzers geht, ist eine Beschlagnahme beziehungsweise Mitnahme gemäß § 110 StPO des gesamten Datenträgers grundsätzlich möglich.53 Aufgrund der Virtualisierungstechnik ist der genaue Speicherort der Daten jedoch überwiegend nicht genau bestimmbar.54 Dieser Aspekt führt nicht nur zu Ungewissheit 51 Zur
Erfolgsaussicht vgl. Zweites Kap. B.II.1.b). dazu Wicker, Cloud Computing und staatlicher Strafanspruch, S. 346. 53 Zur Beschlagnahme des Speichermediums vgl. Zweites Kap. B.I.3.b)aa) und zur Mitnahme zur Durchsicht vgl. Zweites Kap. B.I.2.c). 54 Zur Virtualisierungstechnik vgl. Erstes Kap. C.III. 52 Insgesamt
210
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
hinsichtlich der Überschreitung von Staatsgrenzen, sondern ermöglicht auch keine genaue Zuordnung der Server, selbst dann nicht, wenn sich die gesamte Hardware in einem Raum befindet. Selbst wenn jedoch – in Ausnahmefällen – der tatsächliche Speicherort durch die Virtualisierungstechnik nachvollziehbar und durch ein „Einfrieren“ des Datenverschiebungsprozesses fixierbar ist, ist die Mitnahme eines Cloud Servers bei Public- oder Hybrid Cloud-Angeboten im besonderen Maße mit Nachteilen für unbeteiligte Dritte verbunden. So führt sie nicht nur zu einer Einschränkung bis „Lahmlegung“55 der Cloud-Infrastruktur des Cloud-Anbieters, sondern beeinträchtigt auch die Rechte anderer Cloud-Nutzer, deren Daten mit auf dem Server gespeichert sind. Das Interesse der Ermittlungsbehörden an der Mitnahme beziehungsweise endgültigen Beschlagnahme eines Servers, um vermutete oder vorhandene Datenspuren zu rekonstruieren, muss daher die Interessen der betroffenen unbeteiligten Dritten überwiegen. Eine zugunsten der Ermittlungsbehörden ausfallende Interessenabwägung ist daher nur bei Private Cloud-Angeboten denkbar, da dann keine Rechte weiterer Cloud-Nutzer betroffen sind, und eine Einschränkung der Rechte des CloudAnbieters im Verhältnis zum Private Cloud-Nutzer bei einer strafrechtlichen Ermittlung gegen den Nutzer als weniger gewichtig einzustufen ist. Bei Public oder Hybrid Cloud-Angeboten dürfte die Mitnahme des Speichermediums aufgrund der betroffenen Rechte Dritter meist unverhältnismäßig sein, selbst dann, wenn Ermittlungsbehörden gelöschte, aber wiederherstellbare Datenspuren darauf vermuten. Betreffend die Mitnahme zur Durchsicht gemäß § 110 StPO ist die Anfertigung einer Spiegelung des Gesamtdatenbestandes oder die Kopie von Teilen von Daten als milderes Mittel in Erwägung zu ziehen.56 Ebenso sind bei einer Sicherstellung oder Beschlagnahme gemäß § 94 StPO die unkörperlichen Daten als beweiserhebliche Gegenstände auf ein Speichermedium der Ermittlungsbehörden zu überspielen.57 3. Herausgabeverlangen a) Inhaltsdaten des Cloud-Nutzers gemäß § 95 StPO Fall 10: Die Ermittlungsbehörden haben bereits Kenntnis davon erlangt, dass der verdächtige Cloud-Nutzer beweiserhebliche Daten in der Cloud ge55 So
Wicker, Cloud Computing und staatlicher Strafanspruch, S. 349. Verhältnismäßigkeit bei der Mitnahme zur Durchsicht vgl. Zweites Kap.
56 Zur
B.I.2.e). 57 Zur Durchführung der Sicherstellung von Daten vgl. Zweites Kap. B.I.3.d) sowie Fall 3.
A. Anwendung der bisherigen Ergebnisse 211
speichert hat. Sie fordern den Cloud-Anbieter daraufhin zur Herausgabe von Inhaltsdaten des Cloud-Nutzers auf, die auf einem inländischen Server gespeichert sind. Gemäß § 95 Abs. 1 StPO können die Ermittlungsbehörden beweiserhebliche Gegenstände im Sinne des § 94 StPO auch von dem Gewahrsamsinhaber herausverlangen.58 Die Bezugnahme auf § 94 StPO macht deutlich, dass die potentielle Beweiserheblichkeit der herausverlangten Gegenstände bereits feststehen muss. Ein auf die Herausgabe sämtlicher Inhaltsdaten des CloudNutzers gerichtetes Herausgabeverlangen wäre daher nicht hinreichend konkretisiert. Eine entsprechende Beschlagnahmeanordnung wäre ebenfalls unwirksam.59 So kann beispielsweise bei dem Verdacht auf Verbreitung pornographischer Schriften (§ 184 StGB) eine Beschränkung auf Bild- und Videodateien erfolgen. Muss die Beweiserheblichkeit der Daten zunächst noch festgestellt werden, können die Ermittlungsbehörden im Rahmen einer Durchsuchung die Zugänglichmachung der gesamten Inhaltsdaten des Nutzers durch den Cloud-Anbieter forcieren.60 Die herausverlangten Daten sind sodann vom Cloud-Anbieter den Ermittlungsbehörden vorzulegen und auszuliefern. Dieser kann die Daten entweder an ein Speichermedium der Ermittlungsbehörden übermitteln, zum Beispiel via E-Mail, oder den Ermittlungsbehörden einen Gastzugang zum Konto des verdächtigen Cloud-Nutzers eröffnen. Die Ermittlungsbehörden dürfen dann jedoch nur einmalig und auch nur auf die beweiserheblichen Daten zugreifen.61 b) Sonstige Daten (Bestands- und Nutzungsdaten) gemäß §§ 161 Abs. 1, 163 Abs. 1 StPO Fall 11: Den Ermittlungsbehörden ist es nicht gelungen, die Zugangssicherung des Cloud-Nutzers zu knacken. Sie fordern den Cloud-Anbieter daher zur Herausgabe von Benutzername und Passwort auf, die auf einem inländischen Server gespeichert sind. Darüber hinaus möchten sie auch wissen, wie oft und von wo der Nutzer auf seine Cloud zugreift. Bei der Begründung des Vertragsverhältnisses zwischen Cloud-Nutzer und Cloud-Anbieter wird der Account des Nutzers zunächst mit einer Zugangs 58 Zum
Herausgabeverlangen gemäß § 95 StPO vgl. Zweites Kap. B.II.2. BGH hat bereits die Beschlagnahme des gesamten E-Mail-Postfachs abgelehnt, BGH, NJW 2010, 1297. 60 Vgl. insoweit Fall 10. 61 Zur längerfristigen „Überwachung“ eines E-Mail-Accounts, LG Mannheim, StV 2011, 352. 59 Der
212
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
sicherung versehen. Dabei werden entweder vom Anbieter Benutzername und Passwort vergeben oder der Nutzer wählt Benutzername und Passwort bei der Einrichtung des Accounts selbst. In jedem Fall werden die Daten beim Cloud-Anbieter hinterlegt. Da diese Daten zur Begründung des Vertragsverhältnisses erforderlich sind, handelt es sich um Bestandsdaten im Sinne des § 14 Abs. 1 TMG.62 Diese konnten bisher gemäß § 14 Abs. 2 TMG und künftig gemäß Art. 6 Abs. 1 Buchstabe f) DSGVO beziehungsweise § 24 Abs. 1 Nr. 1 BDSG-neu an die Ermittlungsbehörden herausgegeben werden, soweit dies für die Zwecke der Strafverfolgung erforderlich ist. Die Ermächtigungsgrundlage für das Verlangen der Strafverfolgungsbehörden findet sich in §§ 161 Abs. 1, 163 Abs. 1 StPO.63 Diesem zunächst erfolgversprechenden Ansatz der Ermittlungsbehörden sind jedoch technische Grenzen gesetzt. So liegt „bei der weit überwiegenden Anzahl der Anbieter“ das Passwort nicht in Klartext, sondern lediglich als sogenannter Hash-Wert vor.64 Da aus einem Hash-Wert der Klartext nicht zurückgewonnen werden kann,65 ist der Herausgabeanspruch der Behörden nur wenig erfolgversprechend. Die vom Bundesrat im Zusammenhang mit § 100j StPO und § 113 TKG diskutierte Pflicht des Anbieters, im Falle des Vorliegens eines Hash-Wert-Passworts, dass Passwort des Nutzers aktiv zurückzusetzen, lässt sich mit dem TMG und auch der DSGVO nicht begründen.66 Die Ermittlungsbehörden können zwar grundsätzlich Benutzername und Passwort gemäß §§ 161 Abs. 1, 163 Abs. 1 StPO herausverlangen. Im Falle der Speicherung des Passworts als Hash-Wert sind die erlangten Informationen für das weitere Verfahren jedoch wertlos. Angaben zu Beginn und Ende der Nutzung des Cloud-Dienstes sowie Angaben zur verwendeten IP-Adresse sind als Nutzungsdaten im Sinne des § 15 Abs. 1 S. 1 TMG zu qualifizieren, da sie technisch bedingt während der Nutzung anfallen und die Inanspruchnahme des Dienstes ermöglichen.67 Die Erhebung und Verwendung von Nutzungsdaten regelte bisher § 15 TMG. § 15 Abs. 5 S. 4 TMG verwies auf § 14 Abs. 2 TMG, welcher den Dienst anbieter zur Herausgabe der Nutzungsdaten verpflichtete, soweit dies für die Zwecke der Strafverfolgung erforderlich war. Mit alleiniger Anwendbarkeit der DSGVO zum 25.05.2018 ist auch bei Nutzungsdaten im Sinne des TMG 62 Zu
den Bestandsdaten i. S. d. § 14 Abs. 1 TMG vgl. Erstes Kap. D.I.4. Bestandsdatenauskunft nach dem TMG vgl. Zweites Kap. B.III.3. 64 BT-Drs. 664 / 1 / 12 S. 14. 65 Herchenbach-Canarius / Mertes, in: Kilian / Heussen, Computerrechts-Handbuch 2009, 1. Abschnitt, Teil 15, Rn. 12. 66 Zum TMG vgl. Wicker, Cloud Computing und staatlicher Strafanspruch, S. 406. 67 Zu den Nutzungsdaten i. S. d. § 15 Abs. 1 TMG vgl. Erstes Kap. D.I.5. 63 Zur
A. Anwendung der bisherigen Ergebnisse 213
auf Art. 6 Abs. 1 Buchstabe f) DSGVO beziehungsweise § 24 Abs. 1 Nr. 1 BDSG-neu abzustellen. Der korrespondierende Anspruch der Ermittlungsbehörden ergibt sich wiederum aus §§ 161 Abs. 1, 163 Abs. 1 StPO.68 c) Hinsichtlich im Ausland gespeicherter Daten gegenüber einem Anbieter mit Sitz in Deutschland Fall 12: In Anlehnung an Fall 10 und 11. Die Ermittlungsbehörden fordern einen Cloud-Anbieter mit Sitz in Deutschland und Servern (auch) im Ausland zur Herausgabe von Inhalts-, Bestands- und Nutzungsdaten auf. Art. 18 Abs. 1 Buchstabe a) CCC verpflichtet die Mitgliedstaaten der Konvention nationale Ermächtigungsgrundlagen zu schaffen, um von einer „Person“ im eigenen Hoheitsgebiet die Herausgabe bestimmter „Computerdaten“ zu fordern, die sich in deren Besitz oder unter deren Kontrolle befinden und zwar unabhängig vom konkreten Speicherort der in Rede stehenden Daten. Unter „Computerdaten“ sind alle Arten von Daten zu verstehen, mit Ausnahme künftiger Inhalts- und Verbindungsdaten der Telekommunikation. Die in Rede stehenden Inhalts-, Bestands- und Nutzungsdaten sind daher als „Computerdaten“ zu qualifizieren. „Person“ im Sinne des Art. 18 Abs. 1 Buchstabe a) CCC können natürliche und juristische Personen, also auch der Cloud-Anbieter sein.69 Dieser muss vom Inland aus Gewahrsam an den im Ausland gespeicherten Daten haben. Potentiell beweiserhebliche Daten können die Ermittlungsbehörden gemäß § 95 StPO vom Gewahrsamsinhaber herausverlangen. Dies können sowohl Inhalts-, Bestands- als auch Nutzungsdaten sein.70 Ist die potentielle Beweisgeeignetheit noch nicht festgestellt und müssen sich die Behörden erst einen Überblick über die Daten verschaffen, können Bestands- und Nutzungsdaten nach dem TMG vom Anbieter gemäß §§ 161 Abs. 1, 163 Abs. 1 StPO herausverlangt werden.71 Für die Herausgabe von nicht potentiell beweisgeeigneten Inhaltsdaten hält die StPO jedoch keine Ermächtigungsgrundlage bereit. Die Ermittlungsbehörden können höchstens im Rahmen einer Durchsuchung gemäß § 102 StPO am Ort des Cloud-Anbieters die Zugänglichmachung des Datensatzes des Cloud-Nutzers „verlangen“.72
68 Zur
Nutzungsdatenauskunft nach dem TMG vgl. Zweites Kap. B.III.3. Art. 18 Abs. 1 Buchstabe a) CCC vgl. Drittes Kap. E.II.1. 70 Vgl. auch Fall 10. 71 Vgl. auch Fall 11. 72 Vgl. insoweit Fall 8. 69 Zu
214
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
Aus den nationalen Ermächtigungsgrundlagen ergeben sich auch keine Beschränkungen auf innerstaatliche Datenspeicher. Der mittelbar von den Ermittlungsbehörden hervorgerufene Eingriff in fremde Hoheitsrechte erfährt durch den Regelungsgehalt des Art. 18 Abs. 1 Buchstabe a) CCC im Anwendungsbereich der Convention on Cybercrime eine völkerrechtliche Rechtfertigung.73 Und auch abseits der Konvention entsprechen Anfragen – ungeachtet des tatsächlichen Speicherortes der Daten – an den Cloud-Anbieter der völkerrechtlichen Praxis und sind daher als gewohnheitsrechtlich gerechtfertigt zu betrachten.74 d) Hinsichtlich im Ausland gespeicherter Daten gegenüber einem Anbieter ohne Sitz in Deutschland Fall 13: In Anlehnung an Fall 12. Es handelt sich jedoch um einen ausländischen Anbieter ohne Sitz in Deutschland. Eine eingeschränktere Verpflichtung zur Vorhaltung von Ermächtigungsgrundlagen gerichtet auf die Herausgabe von Daten hält Art. 18 Abs. 1 Buchstabe b) CCC bereit. Gemäß Art. 18 Abs. 1 Buchstabe b) CCC sollen „Bestandsdaten“ von einem Dienstanbieter, der seine „Dienste im Hoheitsgebiet anbietet“, herausverlangt werden können und zwar ebenfalls unabhängig vom tatsächlichen Speicherort der in Rede stehenden Daten. „Bestandsdaten“ werden in Art. 18 Abs. 3 CCC legal definiert. Demnach handelt es sich dabei um alle Daten eines Dienstanbieters über seine Kunden, mit Ausnahme von Inhalts- und Verbindungsdaten. Bestandsdaten im Sinne des § 14 Abs. 1 TMG sind als Bestandsdaten im Sinne des Art. 18 Abs. 3 CCC zu qualifizieren. Nutzungsdaten im Sinne des § 15 Abs. 1 TMG sind nur soweit als Bestandsdaten im Sinne des Art. 18 Abs. 3 CCC zu qualifizieren, wie sie keinen inhaltlichen Bezug aufweisen.75 Wer „Dienstanbieter“ ist, wird in Art. 1 Buchstabe c) CCC legal definiert und umfasst auch den Cloud-Storage-Anbieter als Telemedienanbieter. Von einem Anbieten der Dienste im Inland ist auszugehen, wenn der ausländische Cloud-Anbieter inländischen Nutzern ermöglicht, den Dienst in Anspruch zu nehmen. Dies ist beispielsweise der Fall, wenn er eine Anmeldung ermöglicht, ohne den Zugang zu versperren. Darüber hinaus muss er seine Tätigkeiten auch nach den inländischen Nutzern ausrichten, also beispielsweise lokal oder in Landessprache für seinen 73 Zum Rechtfertigungscharakter des Art. 18 Abs. 1 Buchstabe a) CCC vgl. Drittes Kap. E.II.1. 74 Zur völkerrechtlichen Rechtfertigung abseits der Convention on Cybercrime vgl. Drittes Kap. E.II.2. Dies gilt insbesondere dann, wenn der Dienstanbieter im Hoheitsgebiet anwesend ist. 75 Zu den sog. inhaltlich aufgeladenen Nutzungsdaten vgl. Erstes Kap. D.I.5.
A. Anwendung der bisherigen Ergebnisse 215
Dienst werben, oder im Zuge seiner betrieblichen Aktivitäten die jeweiligen Nutzer- oder Verbindungsdaten verwenden.76 Die Bestandsdaten im Sinne des § 14 Abs. 1 TMG sowie die nicht inhaltlich aufgeladenen Nutzungsdaten im Sinne des § 15 Abs. 1 TMG müssen sich im Gewahrsam des Cloud-Anbieters befinden. Dann kann ein Herausgabeverlangen gemäß § 95 StPO und §§ 161 Abs. 1, 163 Abs. 1 StPO aus strafprozessualer und völkerrechtlicher Sicht an einen ausländischen Cloud-Anbieter ohne Sitz im Inland gerichtet werden.
III. Zugriff in der Übertragungsphase 1. Überwachung des Datenübertragungsprozesses Fall 14: Die Ermittlungsbehörden haben Kenntnis davon erlangt, dass der Verdächtige Nutzer einen Cloud-Storage-Dienst nutzt und regelmäßig über Cloud Collaboration Tools mit anderen Nutzern kommuniziert. Sie wollen daher in Echtzeit die Übertragungsprozesse der Daten in und aus der Cloud überwachen. § 100a Abs. 1 StPO ermächtig die Ermittlungsbehörden unter engen Voraussetzungen zur heimlichen Überwachung und Aufzeichnung der Telekommunikation. Telekommunikation im Sinne des § 100a StPO ist der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen zu kommunikativen Zwecken.77 Der Up- und Download von Daten in und aus der Cloud erfolgt nicht zu kommunikativen Zwecken und stellt mithin keine Kommunikation im Sinne des § 100a StPO dar.78 Nutzt der Nutzer jedoch die vom Cloud Storage Provider zusätzlich angebotenen Cloud Collaboration Tools, um mit anderen Nutzern zu kommunizieren, ist auch das kommunikative Element gegeben, so dass die Nutzung des Cloud-Dienstes als Kommunikation im Sinne des § 100a StPO zu qualifizieren ist.79 Demnach wäre eine Überwachung und Aufzeichnung der Telekommunikation ohne das Wissen des Betroffenen gemäß § 100a Abs. 1 StPO grundsätzlich möglich. Es sind jedoch zwei Aspekte zu berücksichtigen: die Möglichkeit der Synchronisierung80 sowie die untergeordnete Rolle der Cloud Collaboration Tools bei Cloud-Storage-Angebo76 Zu
Art. 18 Abs. 1 Buchstabe b) CCC vgl. Drittes Kap. E.II.1. Telekommunikation i. S. d. § 100a StPO vgl. Zweites Kap. B.IV.1.a). 78 Zur Qualifikation des Up- und Downloads von Daten als Telekommunikation i. S. d. § 100a StPO vgl, Zweites Kap. B.IV.1.a)aa). 79 Zur Qualifikation der Nutzung von Cloud Collaboration Tools als Telekommunikation vgl. Zweites Kap. B.IV.1.a)bb). 80 Vgl. dazu bereits Zweites Kap. B.IV.1.a)aa) am Ende. 77 Zur
216
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
ten.81 Wie an anderer Stelle bereits erörtert, machen Nutzer von Cloud Storage-Diensten häufig von der Möglichkeit der Desktopsynchronisierung Gebrauch.82 Nutzt der Cloud-Nutzer die Synchronisierungsmöglichkeiten seines Cloud-Storage-Dienstes, besteht die Gefahr, dass bei der Überwachung des Datentransfers auch ein Zugriff auf weitere Daten erfolgt.83 Der Zugriff auf „alte“, bereits gespeicherte Daten ist jedoch nur nach §§ 102 ff. und §§ 94 ff. StPO möglich. Die Vorschriften zur Durchsuchung84 und Beschlagnahme85 ermöglichen den Zugriff auf den gesamten Datenbestand zu einem bestimmten Stichtag. Voraussetzung ist jedoch, dass der Zugriff offen erfolgt. Der Zugriff auf Datenbestände, welche der Nutzer nicht auf seiner Hardware, sondern in der Cloud verwalten möchte und gerade zufällig automatisch synchronisiert, lässt sich nicht als Überwachung der Telekommunikation gemäß § 100a StPO verstehen.86 Der Zugriff auf Daten, die sich nicht zu Kommunikationszwecken in der Cloud befinden, ist den Ermittlungsbehörden daher gemäß § 100a StPO nicht gestattet. Der Zugriff gemäß § 100a StPO beschränkt sich nur auf den Fall, dass Daten zum Zwecke der Kommunikation in und aus der Cloud geladen werden.87 Darüber hinaus machen die Funktionen der Cloud Collaboration bei Cloud-Storage-Diensten meist nur einen untergeordneten Bruchteil des Nutzerverhaltens aus.88 Für die Zulässigkeit einer Maßnahme nach § 100a Abs. 1 StPO müssen die Behörden daher sicherstellen (können), dass nur die wenigen Datenströme überwacht oder aufgezeichnet werden, die zum Zwecke der Kommunikation in und aus der Cloud geladen werden. Dies wird jedoch überwiegend nicht möglich sein. Die Ermittlungsbehörden müssen dann davon ausgehen, dass die Nutzung von Cloud-Storage-Diensten überwiegend keine Telekommunikation im Sinne des § 100a StPO darstellt und eine Überwachung aufgrund des (mehrheitlich) fehlenden kommunikativen Elements nicht auf § 100a StPO gestützt werden kann.89
81 Dalby, CR 2013, 361 (368) spricht auch von einem „Missbrauch“ der CloudStorage-Dienste zur Kommunikation. 82 Vgl. dazu Erstes Kap. F.II. 83 Wicker, Cloud Computing und staatlicher Strafanspruch, S. 379. 84 Zur Durchsuchung vgl. Zweites Kap. B.I.1 und B.II.1. 85 Zur Sicherstellung und Beschlagnahme vgl. Zweites Kap. B.I.3. 86 Vgl. dazu bereits Zweites Kap. B.IV.1.a)aa); bezogen auf E-Mails Meinicke, Der Zugriff der Ermittlungsbehörden, S. 65. 87 Insoweit auch Wicker, Cloud Computing und staatlicher Strafanspruch, S. 381. 88 Spezielle Cloud Collaboration Services wie beispielsweise HornetDrive (https: / / www.hornetdrive.com / de / ) sind SaaS Angebote (zuletzt besucht am 20.03. 2018). 89 Zum Problem der Beweislast auch Dalby, CR 2013, 361 (368).
A. Anwendung der bisherigen Ergebnisse 217
2. Abfangen von Daten vor beziehungsweise nach dem Einsetzen des Verschlüsselungsprozesses als „Quellen-TKÜ“ Fall 15: Die Strafverfolgungsbehörden können ausnahmsweise sicherstellen, dass der verdächtige Cloud-Nutzer seinen Cloud-Storage-Dienst ausschließlich zu Kommunikationszwecken „missbraucht“. Aufgrund des vor der Übertragung einsetzenden Verschlüsselungsprozesses liefert die Überwachung während der Übertragungsphase jedoch keine brauchbaren Erkenntnisse. Die Ermittlungsbehörden installieren daher heimlich ein Programm auf dem Endgerät des verdächtigen Cloud-Nutzers und überwachen so den Datentransfer vor beziehungsweise nach dem Einsetzen des Verschlüsselungsprozesses. Können die Ermittlungsbehörden in Ausnahmefällen tatsächlich sicherstellen, dass der Datenübertragungsprozess in und aus dem Cloud-StorageSpeicher ausschließlich der Kommunikation via Cloud Collaboration Tools dient, ist die Anordnung der Überwachung der Kommunikation gemäß § 100a StPO möglich. Ist eine Auswertung der erlangten Informationen aufgrund der Verwendung von Verschlüsselungssoftware nicht möglich, kommt grundsätzlich die Anordnung einer Quellen-TKÜ nach § 100a Abs. 1 S. 2 StPO in Betracht. Bei der Quellen-TKÜ wird von den Strafverfolgungsbehörden eine Software auf dem Endgerät des verdächtigen Nutzers installiert, so dass die Kommunikation vor oder nach dem Einsetzen des Verschlüsselungsprozesses erfasst und an die Ermittlungsbehörden übermittelt werden kann.90 Beginnt der verdächtige Cloud-Nutzer die „Kommunikation“ über die Cloud, indem er Inhalte „teilt“ oder „versendet“ oder anderen Nutzern zur Bearbeitung zur Verfügung stellt, können die Inhalte vor dem Einsetzen des Verschlüsselungsprozesses gemäß § 100a Abs. 1 S. 2 StPO ausgeleitet werden. Von der Online-Durchsuchung unterscheidet sich die Quellen-TKÜ dahingehend, dass programmbedingt nur auf Daten der Kommunikation zugegriffen werden kann. Werden von der Software auch andere Informationen als Kommunikationsdaten erfasst, ist der Zugriff als Online-Durchsuchung gemäß § 100b Abs. 1 StPO zu werten.
90 Zur
Quellen-TKÜ vgl. Zweites Kap. B.IV.2.
218
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
B. Zusammenfassung und Bewertung der bisherigen Ergebnisse I. Zusammenfassung der Ergebnisse Zusammenfassend lässt sich also festhalten, dass am Ort des verdächtigen Cloud-Nutzers sowohl die lokal gespeicherten Daten in der „Desktop Cloud“ als auch die Daten im externen Cloud-Speicher gemäß § 102 StPO durchsucht beziehungsweise gemäß § 110 Abs. 1 und 3 StPO durchgesehen werden können. Die beweisrelevanten Daten können sodann gemäß §§ 94 ff. StPO durch das Anfertigen einer Kopie auf einem Speichermedium der Ermittlungsbehörden sichergestellt werden. Alternativ kann auch eine Beschlagnahme des lokalen Datenträgers erfolgen, wenn dies aus Gesichtspunkten der Verhältnismäßigkeit geboten erscheint. Speichert der verdächtige Nutzer alle Daten auch lokal in der Desktop Cloud oder nutzt er das Angebot eines Private-Cloud-Anbieters, der seine Server aus Gründen der Datensicherheit ausschließlich im Inland betreibt, stehen den Ermittlungsmaßnahmen auch keine völkerrechtlichen Bedenken entgegen. Nutzt der verdächtige Cloud-Nutzer jedoch die Dienste eines Anbieters, dessen Server sich im Ausland befinden, bedarf der Eingriff einer völkerrechtlichen Rechtfertigung. Sind die Server des Cloud-Anbieters hinsichtlich der Staatsgrenzen klar zu lokalisieren, richtet sich die völkerrechtliche Zulässigkeit nach Art. 32 CCC mit dem Ergebnis, dass ein Rechtshilfeersuchen anzustreben ist, soweit die in der Cloud gespeicherten Daten nicht öffentlich zugänglich sind (Art. 32 Buchstabe a) CCC) und der verdächtige Nutzer dem Zugriff nicht gemäß Art. 32 Buchstabe b) CCC zustimmt. Um bis zur Durchführung eines Rechtshilfeersuchen Datenverlust zu vermeiden, sehen Art. 16, 29 CCC die vorläufige Datensicherung in einem Quick-Freeze-Verfahren vor.91 Dies setzt jedoch voraus, dass der jeweilige Mitgliedstaat entsprechende Vorkehrungen getroffenen hat, um im beschleunigten Verfahren die Daten vorläufig zu sichern und der Server des Cloud-Anbieters hinsichtlich der Staatsgrenzen klar zu lokalisieren ist. Ist dies der Fall, so kann der betroffene Staat ersucht werden, die umgehende Sicherung der in Rede stehenden Daten vorzunehmen. Speichert der Anbieter die Daten des verdächtigen Cloud-Nutzers in einem grenzübergreifenden Serverpool und ist aufgrund der Zwischenschaltung der Virtualisierungstechnik der Serverstandort hinsichtlich der Staatsgrenzen nicht klar zu bestimmen, findet Art. 32 CCC keine Anwendung. Der (poten91 Zum
Quick-Freeze-Verfahren vgl. Drittes Kap. C.III.3.
B. Zusammenfassung und Bewertung der bisherigen Ergebnisse 219
tielle) Eingriff ist jedoch nach allgemeinen völkerrechtlichen Grundsätzen gerechtfertigt, wenn die Daten im Zeitpunkt des Zugriffs auch im eigenen Hoheitsgebiet gespeichert sein können. Dies ist immer dann der Fall, wenn der Serverpool auch Server aus dem Inland mitumfasst. Nutzt der verdächtige Cloud-Nutzer jedoch die Dienste eines Anbieters mit einem ausländischen grenzübergreifenden Serverpool, findet weder Art. 32 CCC Anwendung noch ist der Eingriff generell über allgemeine völkerrechtliche Grundsätze gerechtfertigt, da nach den hergebrachten Grundsätzen in jedem Fall ein Eingriff in fremde Gebietshoheit gegeben ist. Mangels Lokalisierbarkeit der Daten kann auch nicht über ein Rechtshilfeersuchen der direkte Zugriff beim verdächtigen Cloud-Nutzer angestrebt werden.92 Den Strafverfolgungsbehörden verbleibt in dieser Konstellation nur die Möglichkeit, über den Cloud-Anbieter auf die Daten des verdächtigen Cloud-Nutzers zuzugreifen. Dies setzt jedoch voraus, dass der Anbieter einen Sitz im Inland hat und den Ermittlungsbehörden den Datensatz des verdächtigen Nutzers im Rahmen einer Durchsuchung am Ort des Anbieters gemäß § 102 StPO zugänglich macht, beziehungsweise bereits feststeht, dass es sich um beweis erhebliche Daten handelt, die nach § 95 StPO herausverlangt werden können. Steht bereits fest, dass es sich um beweiserhebliche (Inhalts-)Daten handelt, beziehungsweise geht es den Ermittlungsbehörden um die Bestandsund Nutzungsdaten des verdächtigen Cloud-Nutzers, können diese gemäß § 95 StPO beziehungsweise §§ 161 Abs. 1, 163 Abs. 1 StPO herausverlangt werden. Aus völkerrechtlicher Sicht wird im ersten Fall gemäß Art. 18 Abs. 1 Buchstabe a) CCC der Sitz des Dienstanbieters im Hoheitsgebiet vorausgesetzt. Für den zweiten Fall ist zur völkerrechtlichen Rechtfertigung ausreichend, dass der Cloud-Anbieter seine Dienste im Hoheitsgebiet anbietet (Art. 18 Abs. 1 Buchstabe b) CCC). Bei gegen den Cloud-Anbieter gerichteten Herausgabeverlangen sind jedoch auch die datenschutzrechtlichen Bestimmungen zu berücksichtigen. Bisher sahen die meisten nationalen europäi schen Datenschutzgesetze nur eine Übermittlungsbefugnis der Dienstanbieter an nationale Stellen vor. So auch § 28 Abs. 2 Nr. 2 Buchstabe b) BDSG für Inhaltsdaten und § 14 Abs. 2 TMG für Bestands- und Nutzungsdaten nach dem TMG. Mit alleiniger Anwendbarkeit der DSGVO und des BDSG-neu ab dem 25.05.2018 ist auf europäischer und nationaler Ebene keine explizite Begrenzung auf nationale Stellen mehr enthalten. Es werden zudem Ansätze diskutiert, wonach explizite Ermächtigungsgrundlagen für ein gegen den 92 Gleichwohl ist es jedoch möglich, den Cloud-Anbieter zunächst zur Mitteilung des Speicherortes der Daten aufzufordern und sodann ein Rechtshilfeersuchen an den betroffenen Staat zu stellen. In den überwiegenden Fällen wird eine klare Zuordnung bei grenzübergreifenden Serververbunden jedoch nicht möglich sein, so dass die Ermittlungsbehörden auf das Herausgabeverlangen beschränkt sind.
220
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
Dienstanbieter gerichtetes Auskunftsverlangen geschaffen werden sollen. Hier bleibt abzuwarten, ob sich die vereinheitlichenden Tendenzen auf europäischer Ebene durchsetzen oder ob dem durch neue nationale Vorschriften zur Ergänzung der DSGVO ein Riegel vorgeschoben wird. Mit der Einführung der Online-Durchsuchung und der gesetzlichen Normierung der Quellen-TKÜ stehen den Strafverfolgungsbehörden auch heimliche Ermittlungsbefugnisse bei Cloud-basierten Sachverhalten zur Verfügung. Zwar stellt die Überwachung des Datenflusses in und aus der Cloud nicht per se einen laufenden Telekommunikationsvorgang dar, „missbraucht“ der Cloud-Nutzer jedoch seinen Cloud-Storage-Dienst um mit anderen Nutzern zu kommunizieren (Stichwort: Cloud Collaboration), ist ein laufender Telekommunikationsvorgang gegeben, so dass eine Überwachung gemäß § 100a Abs. 1 S. 1 oder 2 StPO grundsätzlich möglich ist. Bei einer Maßnahme nach § 100a StPO besteht jedoch die Gefahr, dass auch Daten erfasst werden, die keinem laufenden Telekommunikationsvorgang zugeordnet werden können. Entweder, weil auch Daten aus einer Synchronisation erfasst werden, oder der Nutzer Daten zur Speicherung in die Cloud lädt, was dem bestimmungsgemäßen Gebrauch des Cloud-Storage-Dienstes entspricht. Diese Bedenken bleiben auch bei der Durchführung einer Quellen-TKÜ bestehen. Liegen die Voraussetzungen des § 100b StPO vor, kann sowohl das Endgerät und damit die Desktop Cloud, als auch der externe Cloud-Speicher des Nutzers heimlich durchsucht und überwacht werden. Den Ermittlungsbehörden steht somit ein umfassender Kanon offener und heimlicher Ermittlungsmaßnahmen zur Verfügung, die auf Cloud-basierte Sachverhalte Anwendung finden.
II. Bestehender Handlungsbedarf Diese Untersuchung hat gezeigt, dass sich die Cloud mit den bestehenden strafprozessualen Mitteln durchaus erschließen lässt. Das Fehlen spezieller, auf die Cloud-spezifischen Besonderheiten zugeschnittener gesetzlicher Regelungen macht sich jedoch auf anderen Ebenen bemerkbar. Probleme ergeben sich insbesondere bei der Frage nach der völkerrechtlichen Zulässigkeit strafprozessualer Ermittlungstätigkeiten in der Cloud. 1. Handlungsbedarf auf datenschutzrechtlicher Ebene Da die Ermittlungsbehörden in aller Regel im Rahmen einer Durchsuchung am Ort des Cloud-Nutzers erstmalig Kenntnis von der Nutzung eines CloudSpeicherdienstes erlangen, stellt der direkte Zugriff am Ort des verdächtigen Cloud-Nutzers die unmittelbarste Zugriffsmöglichkeit dar. Unabhängig von
B. Zusammenfassung und Bewertung der bisherigen Ergebnisse 221
der Tatsache, ob die Ermittlungsbehörden aufgrund eventuell bestehender Zugangssicherungen tatsächlich auf die extern in der Cloud gespeicherten Daten zugreifen können, stellt sich die Frage nach der völkerrechtlichen Zulässigkeit als größte Hürde dar. Denn meist ist nur schwer festzustellen, auf welchen Servern in welchen Ländern die Daten gespeichert sein können. Aus den Vertragsbedingungen des Anbieters wird mitunter überhaupt nicht oder nur schwer ersichtlich, welche Länder der Serverpool umfasst. Die Ermittlungsbehörden müssen sodann beim Anbieter Auskunft darüber verlangen, in welchen Ländern die Daten gespeichert sein können oder direkt über den Anbieter auf die Daten des verdächtigen Cloud-Nutzers zugreifen. Dieses Vorgehen birgt jedoch immer die Gefahr des Verlustes der Daten, da die in der Cloud gespeicherten Inhalte von überall und zu jeder Zeit abrufbar sind und verändert oder gelöscht werden können. a) Verpflichtung des Anbieters zur Festlegung eines Server Pools Dieser zeitaufwendige und die Erfolgschancen mindernde Zwischenschritt könnte vermieden werden, wenn den Ermittlungsbehörden beim Zugriff auf in der Cloud gespeicherte Inhalte bekannt ist, auf welchen Server Pool der Anbieter zurück greift, sprich, in welchen Ländern die Daten im Zeitpunkt des Zugriffs gespeichert sein können. Cloud-Anbieter sind daher auf internationaler und nationaler Ebene gesetzlich zu verpflichten, die Standorte der Server hinsichtlich der Staatsgrenzen verbindlich festzulegen.93 Durch eine entsprechende Verpflichtung der Dienstanbieter von standardisierten Diensten auf datenschutzrechtlicher Ebene kann damit nicht nur das Handeln der Strafverfolgungsbehörden in völkerrechtlicher Hinsicht aus der bestehenden „Dunkelzone“ gehoben werden, auch für den Nutzer wäre eine Verpflichtung zur Auflistung der Speicherorte ein Zugewinn an Transparenz, da dieser so die Reichweite seines „Outsourcings“ besser überblicken kann.94
93 Denkbar wären hier Angaben in den Nutzungsbedingungen oder / und die Meldung an ein Zentralregister. Ein Leiden der Kapazität der logischen Ausnutzung der Ressourcen ist dadurch nicht zu befürchten, da die Regelung keine Vorgaben enthalten soll, wo die Daten zu speichern sind. Zur Festlegung eines Server-Pools und bestehender Bedenken vgl. auch Dalby, Grundlagen der Strafverfolgung im Internet, S. 245. 94 Zum selben Ergebnis gelangt auch der Ansatz, die Cloud Service Provider zur Festlegung eines „Pools“ an Servern zu verpflichten, deren Standorte bekannt sind. So Dalby, Grundlagen der Strafverfolgung im Internet, S. 245. Zur Lokalisierbarkeit der in der Cloud gespeicherten Daten durch den Nutzer vgl. Erstes Kap. E.I.
222
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
b) Verpflichtung des Anbieters zur Vorhaltung der Zugangsdaten in Klartext Ein weiterer Schritt, um den Zugriff auf den Cloud-Speicher nach Möglichkeit am Ort des verdächtigen Cloud-Nutzers vorzunehmen, ist die Verpflichtung des Cloud-Anbieters zur Vorhaltung der Zugangsdaten in Klartext. Dies betrifft insbesondere das Passwort, das dem Cloud-Anbieter meist nur als Hash-Wert vorliegt.95 Gemäß § 14 Abs. 1 TMG darf der Dienstanbieter derzeit Bestandsdaten nur erheben, „soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen dem Dienstanbieter und dem Nutzer“ erforderlich sind. Da sich daraus zwar die Befugnis, nicht jedoch die Verpflichtung ableiten lässt, das Passwort aktiv zurückzusetzen, ist eine weitergehende Regelung im TMG erforderlich. Das Bedürfnis zur Vorlage der Zugangsdaten in Klartext wurde auch schon 2012 vom Bundesrat in der Stellungnahme zum Entwurf eines Gesetzes zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestands datenauskunft betont.96 2. Handlungsbedarf auf völkerrechtlicher Ebene Die auf den ersten Blick unüberwindbar scheinenden völkerrechtlichen Hürden sind bei genauerer Betrachtung zum Teil über datenschutzrechtliche Bestimmungen besser in den Griff zu bekommen.97 Wissen die Strafverfolgungsbehörden genau, auf welchen Servern die Daten des verdächtigen Nutzers gespeichert sein können, finden die dargestellten völkerrechtlichen Grundsätze Anwendung. Die Convention on Cybercrime findet auf Cloud-basierte Sachverhalte jedoch nur in Teilen Anwendung. So setzt insbesondere Art. 32 CCC voraus, dass bestimmbar ist, in welchem Land die in Rede stehenden Daten gespeichert sind. Für das Cloud Computing bedeutet dies, dass die Vorschrift nur Anwendung findet, wenn der Anbieter – bezogen auf den jeweiligen Dienst – keine grenzübergreifenden Serverfarmen betreibt. Bei grenzübergreifenden Serverfarmen ist eine Rechtfertigung nach allgemeinen völkerrechtlichen Grundsätzen möglich, nämlich – nach der hier vertretenen Auffassung – (immer) dann, wenn der Serverpool auch Server auf dem eigenen Staatsgebiet 95 Zur
Problematik vgl. Fall 11 Viertes Kap. A.II.3.b). 664 / 1 / 12, 14. Die Problematik um die Pflicht zur Vorhaltung von Klardaten im Allgemeinen wird auch von Warken, NZWiSt 2017, 417 (420 f.) aufgeworfen. 97 Zum Handlungsbedarf auf datenschutzrechtlicher Ebene, vgl. Viertes Kap. B.II. 96 BR-Drs.
B. Zusammenfassung und Bewertung der bisherigen Ergebnisse 223
umfasst, oder der Zugriff im Einzelfall über allgemeine völkerrechtliche Grundsätze gerechtfertigt ist. Bei ausländischen grenzübergreifenden Serverfarmen ist der Eingriff nur im Einzelfall über allgemeine völkerrechtliche Grundsätze gerechtfertigt. Ansonsten führt kein Weg an einem Rechtshilfeersuchen vorbei. Soweit die Strafverfolgungsbehörden noch nicht festgestellt haben, dass es sich bei den in der Cloud gespeicherten Daten um beweiserhebliche Gegenstände handelt, muss ein Rechtshilfegesuch gestellt werden, damit die in der Cloud gespeicherten Daten durchgesehen werden können. Dieses ist an den Staat zu richten, in dem der Cloud-Anbieter des verdächtigen Nutzers seinen Sitz hat. Bei grenzübergreifenden Serverfarmen muss jedoch auch der ersuchte Staat die völkerrechtlichen Grundsätze beachten. Dies bedeutet insbesondere, dass die Strafverfolgungsbehörden des ersuchten Staates die ersuchte Handlung nur vornehmen können, soweit der Cloud-Anbieter auch Serverfarmen in dem Hoheitsgebiet der ersuchten Partei betreibt, die erbetenen Daten also auch auf dem Hoheitsgebiet der ersuchten Partei gespeichert sein können. Betreibt der Cloud-Anbieter seine grenzübergreifenden Serverfarmen weder in dem ersuchenden noch in dem ersuchten Staat, in welchem er seinen Sitz hat, stehen die Behörden erneut vor dem selben Problem. Dieses – wenn auch wohl eher seltene – Szenario verdeutlicht die Schwachstelle des am Speicherort der Daten anknüpfenden Territorialprinzips im Kontext des Cloud Computings. In Art. 18 CCC hat die Konvention bereits eine Regelung geschaffen, die auf die völkerrechtlichen Bedürfnisse des gegen den Cloud-Anbieter gerichteten Herausgabeverlangens zugeschnitten ist. Anknüpfungspunkt ist hier nicht der tatsächliche Speicherort der in Rede stehenden Daten, sondern die Person des Adressaten des Herausgabeverlangens. Eine vergleichbare Regelung ist auch für den direkten Zugriff auf in der Cloud gespeicherte Daten dringend erforderlich, um obigen Szenarien effektiv begegnen zu können.98 Aufgrund der herausragenden praktischen Bedeutung der Cloud-StorageDienste und auch unter Berücksichtigung der Tatsache, dass ein gegen den Cloud-Anbieter gerichtetes Herausgabeverlangen aus Sicht der Ermittlungsbehörden qualitativ den direkten Zugriff auf in der Cloud gespeicherte Inhalte nicht zu ersetzen vermag, ist die Convention on Cybercrime um einen Rechtfertigungstatbestand zu ergänzen, der nicht am Speicherort der in Rede 98 Im Final Report of the T-CY Cloud Evidence Group, 16.09.2016 Tz. 20 werden bereits verschiedene Ansätze diskutiert: „Locat Nationality of owner of data? Location of owner of data? Nationality of data owner? Location of data controller? Headquarters of a cloud service provider? Subsidiary of a cloud service provider? Territory where a cloud provider is offering its services? Laws of the territory where the data owner has subscribed to a service? Territory of the criminal justice authority? Degree to which the provider is active in the territory?“.
224
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
stehenden Daten sondern der Person des Maßnahmeadressaten – also des verdächtigen Cloud-Nutzers – anknüpft. 3. Entwurf eines zweiten Zusatzprotokolls zur Convention on Cybercrime Die unzureichenden Rechtfertigungstatbestände der Convention on Cybercrime hinsichtlich im Ausland gespeicherter Daten im Allgemeinen und auf grenzübergreifenden Serverfarmen im Speziellen wurden bereits 2013 von der Ad-hoc Subgroup on Transborder Access des Cybercrime Conventions Committees (T-CY) erkannt99 und werden seitdem von der Cloud Evidence Group des Cybercrime Conventions Committees (T-CY) im Hinblick auf ein zweites Zusatzprotokoll zur Cybercrime Convention diskutiert.100 Inhaltlich sollen dabei sowohl die Rechtfertigungstatbestände bezüglich nicht öffentlich zugänglich im Ausland gespeicherter Daten erweitert, als auch ein neuer Rechtfertigungstatbestand für Situationen des „loss of (knowledge of) location“ geschaffen werden. Der Zugriff auf nicht öffentlich zugänglich im Ausland gespeicherte Daten soll auch dann völkerrechtlich gerechtfertigt sein, wenn die ermittelnden Behörden die Zugangsdaten rechtmäßiger Weise erlangt haben. Finden die Behörden bei einer Durchsuchung die Zugangsdaten des Nutzers zu einem externen Cloud-Speicher,101 so sollen sie diese künftig verwenden können, um auch ohne Zustimmung des verdächtigen Nutzers völkerrechtskonform auf die in der Cloud gespeicherten Inhalte zuzugreifen, auch wenn sich diese auf einem ausländischen Server befinden. Der betroffene Staat, auf dessen Staatsgebiet die Daten gespeichert sind, soll sodann – abgesehen von weiteren Vorkehrungen – während oder nach dem Zugriff über die hoheitliche Maßnahme in Kenntnis gesetzt werden. Darüber hinaus soll ein Zugriff auf nicht öffentlich zugänglich im Ausland gespeicherte Daten auch ohne Zustimmung des Betroffenen zulässig sein, wenn die Behörden nicht wissen, ob oder auf welchem anderen Staatsgebiet die in Rede stehenden Daten tatsächlich gespeichert sind – also ein sogenannter Good-faith-Fall vorliegt – oder der direkte Zugriff in dringenden Ausnahmefällen geboten ist102.103 99 Council of Europe, Cybercrime Convention Committee „(Draft) elements of an Additional Protocol to the Budapest Convention on Cybercrime regarding transborder access to data,“ April 9, 2013. 100 Final Report of the T-CY Cloud Evidence Group, 16.09.2016. 101 Das „hacken“ der Zugangssicherung wäre von dem Rechtfertigungstatbestand jedoch nicht umfasst. 102 Als Beispiel werden hier drohende Gefahren, Gefahren für das Leben oder die körperliche Unversehrtheit oder die Flucht eines Verdächtigen genannt, vgl. Final Report of the T-CY Cloud Evidence Group, 16.09.2016, S. 45 Rn. 144.
B. Zusammenfassung und Bewertung der bisherigen Ergebnisse 225
Die angeführten Rechtfertigungstatbestände knüpfen dabei weiterhin am tatsächlichen Speicherort der in Rede stehenden Daten an und würden daher auf Cloud-basierte Sachverhalte nur bedingt Anwendung finden. Aus strafprozessualer Sicht inhaltlich begrüßenswert ist jedenfalls eine Erweiterung der Rechtfertigungstatbestände auf Fälle, in denen die Strafverfolgungsbehörden nach nationalen Vorschriften rechtmäßiger Weise die Zugangssicherung erlangen und diese anschließend auch völkerrechtskonform verwerten können. Hinsichtlich einer Erweiterung der Rechtfertigungstatbestände auf sogenannte Good-faith-Fälle kann auf die an anderer Stelle bereits angebrachte Kritik an derartigen Konstellationen verwiesen werden.104 Im Wesentlichen wird der „gute Glaube“ der Strafverfolgungsbehörden im Einzelfall nur schwer zu ermitteln sein. Ebenso unbestimmt geraten die bisherigen Vorschläge zur Rechtfertigung eines Zugriffs in dringenden Ausnahmefällen, so dass abzuwarten bleibt, ob diesbezüglich überhaupt eine Einigung der Mitgliedstaaten erzielt werden kann. Aber auch ohne einen eigens dafür geschaffenen Rechtsfertigungstatbestand ist der direkte Zugriff auf nicht öffentlich zugänglich im Ausland gespeicherte Daten in besonderen Ausnahmefällen über allgemeine völkerrechtliche Grundsätze völkerrechtlich gerechtfertigt.105 Ausgesprochen positiv zu bewerten sind die Vorschläge zu einem Rechtfertigungstatbestand, der Situationen des „loss of (knowledge of) location“106 erfassen soll bei denen die Daten „irgendwo in den Wolken“ gespeichert sind.107 Hier stellt die Cloud Evidence Group zutreffend fest, dass als Anknüpfungsort für einen Rechtfertigungstatbestand sinnvollerweise nicht mehr auf den tatsächlichen Speicherort, sondern vielmehr auf die Person abzustellen ist, die die Verfügungsgewalt über die in Rede stehenden Daten innehat. Denn auch wenn aufgrund der technischen Gegebenheiten, namentlich der hinter dem Cloud Computing stehenden Virtualisierungstechnik der tatsächliche Speicherort im Zeitpunkt des Zugriffs nicht eindeutig bestimmbar und darüber hinaus vom Zufall abhängig ist, können die Daten stets einer Person zugeordnet werden, die diese verändern, löschen, unterdrücken oder unbrauchbar machen kann oder das Recht hat andere vom Zugriff oder jeder anderen Verwendung auszuschließen.108 Denn wenn – wie an anderer Stelle 103 Final
Report of the T-CY Cloud Evidence Group, 16.09.2016, S. 45 Rn. 144. dazu bereits die Ausführungen zu Drittes Kap. D.III.3. 105 Zur Rechtfertigung über allgemeine völkerrechtliche Grundsätze Drittes Kap. C.III.2.b)bb)(2). 106 Vgl. dazu bereits die Ausführungen zu Drittes Kap. D.I. 107 Namentlich ist die Rede von „somewhere in the clouds“, Final Report of the T-CY Cloud Evidence Group, 16.09.2016, S. 45 Rn. 144. 108 „ … a person having the power to „alter, delete, suppress or to render unusable as well as the right to exclude others from access and any usage whatsoever“.“ Final Report of the T-CY Cloud Evidence Group, 16.09.2016, S. 45 f. Rn. 144. 104 Vgl.
226
4. Kap.: Ergebnisse und verbleibender Handlungsbedarf
dieser Arbeit bereits ausführlich dargestellt109 – die Entscheidung über den finalen Speicherort der in Rede stehenden Daten zum Zeitpunkt des Abrufs systemimmanent von der Virtualisierungstechnik abhängt und anhand von Kapazitätsgesichtspunkten zugewiesen wird, verliert der tatsächliche Speicherort der Daten in diesem Gefüge mehr und mehr an Bedeutung, was auch bei der völkerrechtlichen Rechtfertigung zu berücksichtigen ist. Auch wenn ein neu geschaffener Rechtfertigungstatbestand der Convention on Cybercrime nicht alle Fälle zu erfassen vermag – zu denken sei hier beispielsweise wiederum an den Anbieter Dropbox, der weltweit Serverfarmen betreibt – so kann er dennoch als maßgeblicher Wegweiser fungieren, wie – nach der Auffassung der Staaten – die entgrenzende Wirkung des Internets mit der begrenzenden Wirkung des Völkerrechts in Einklang gebracht werden kann.
109 Drittes Kap. D.III.2.
Schlusswort Doch wie lautet nun die Antwort auf den zweiten Teil der anfangs eingebrachten Prognose Wozniaks?1 Stehen auch die Strafverfolgungsbehörden bei ihren Ermittlungen in der Cloud vor einer ganzen Menge Probleme? Im Verlauf der Arbeit hat sich zunächst gezeigt, dass es bei Ermittlungen im Cloud-Kontext verschiedene technische, strafprozessuale, datenschutzrechtliche und völkerrechtliche Aspekte zu berücksichtigen gilt. Die strafprozessualen Ermittlungsbefugnisse sind entwicklungsoffen und finden auch auf Cloud-basierte Sachverhalte Anwendung. Soweit es um offene Maßnahmen geht, können die Strafverfolgungsbehörden auf ihr altbekanntes Repertoire zurückgreifen. Aufgrund des jüngsten Tätigwerdens des Gesetzgebers ist der Speicherplatz in der Cloud nun auch heimlichen Ermittlungsmaßnahmen zugänglich. Die prominenteste Rolle spielt hier sicherlich die Online-Durchsuchung gemäß § 100b StPO, welche jedoch an extrem hohe Voraussetzungen gebunden ist und daher nur in wenigen Fällen zum Einsatz kommen wird. Die Erweiterung des Kanons der heimlichen Ermittlungsbefugnisse der Strafverfolgungsbehörden ist aus strafprozessualer Sicht zwar grundsätzlich begrüßenswert, es darf jedoch nicht vergessen werden, dass die Quellen-TKÜ und die Online-Durchsuchung nur durch einen manipulativen Eingriff in das System des Cloud-Nutzers realisierbar sind. Es ist daher zu befürchten, dass der Staat nunmehr ein strukturelles Interesse daran hat, Sicherheitslücken im System nicht zu schließen, sondern offen zu halten, um gegebenenfalls das Aufspielen einer Software zu erleichtern. Sind die Daten des verdächtigen Cloud-Nutzers im Ausland gespeichert, so ist die strafprozessual zulässige Maßnahme auch dann an völkerrecht lichen Grundsätzen zu messen, wenn sich die Strafverfolgungsbehörden bei ihren Ermittlungen physisch überhaupt nicht auf fremdes Staatsgebiet begeben, sondern von einem inländischen Endgerät aus Datenverarbeitungsprozesse im Ausland in Gang setzen. Denn nach bisherigem Verständnis ist für die Beurteilung des Vorliegens eines völkerrechtlich zu rechtfertigenden Eingriffs, der Speicherort der in Rede stehenden Daten maßgeblich. Bei grenzübergreifenden Serverfarmen ist die Bestimmung des Speicherortes im Zeitpunkt des Zugriffs jedoch hinsichtlich der Staatsgrenzen nicht bestimmbar, da die hinter dem Cloud Computing stehende Virtualisierungstechnik 1 Vgl.
dazu Einleitung.
228 Schlusswort
die Datensätze des Nutzers fragmentiert, spiegelt und auf verschiedenen Servern speichert. Welche Datensätze im Zeitpunkt des Zugriffs dann tatsächlich abgerufen werden, ist wiederum von der Virtualisierungstechnik abhängig und wird nach Kapazitätsgesichtspunkten entschieden. Wie in dieser Arbeit herausgestellt, ist es zur völkerrechtlichen Rechtfertigung nach geltendem Recht ausreichend, dass die Daten möglicherweise auch auf dem eigenen Staatsgebiet gespeichert sind. Dies ist immer dann der Fall, wenn der Serverpool auch Standorte im Inland umfasst. Dies ist bei vielen CloudAnbietern – und insbesondere auch bei den „Big Four“2 – tatsächlich der Fall. Das größte Problem bereitet jedoch die häufige Unkenntnis über den verwendeten Serverzusammenschluss. Abhilfe können daher in erster Linie ergänzende Regelungen auf datenschutzrechtlicher Ebene schaffen, die den Cloud-Anbieter zur Festlegung und Benennung des Serverpools verpflichten. Mit positiver Spannung ist auch das in Rede stehende zweite Protokoll zur Convention on Cybercrime zu erwarten, welches die Konvention um einen eigens für Cloud-basierte Sachverhalte geschaffenen Rechtfertigungstatbestand ergänzen und erstmalig – in Anlehnung an die Regelungen des Art. 18 CCC – an der Person anknüpfen soll, die die Verfügungsgewalt über die Daten innehat. Denn auch ein verstärkter Rückgriff auf Art. 18 CCC – und damit auf das gegen den Cloud-Anbieter gerichtete Herausgabeverlangen – stellt keinen Ersatz, sondern lediglich eine Ergänzung der völkerrechtlichen Rechtfertigung der Ermittlungsbefugnisse der nationalen Strafverfolgungsbehörden dar. Der direkte Zugriff auf in der Cloud gespeicherte Daten am Ort der Durchsuchung über das Endgerät des Betroffenen bleibt nach wie vor der maßgeblicher Anknüpfungspunkt der Ermittlungsbehörden und fordert spezifische Regelungen auf datenschutzrechtlicher sowie völkerrechtlicher Ebene. Es lässt sich daher festhalten, dass die Strafverfolgungsbehörden bei ihren Ermittlungen in der Cloud zwar keine „ganze Menge“, jedoch einige spezifische Probleme haben, die mit spezifischen Vorschriften besser in den Griff zu bekommen sind. Das mit jeglichen Neuregelungen im Bereich der Telemediendienste befürchtete „Ende der Anonymität im Internet“ erscheint bis zu einem gewissen Grad gerechtfertigt, wenn man bedenkt, dass Telemedien inzwischen zu weit mehr als nur zu Informationszwecken genutzt werden. Dies beweist nicht nur das Problem der in Foren und Social Media Kanälen betriebenen „Hetze im Internet“,3 sondern auch die systematische Auslagerung von geschätzten 73 % der Daten in die Cloud.4 2 Als „Big Four“ werden die vier, den Markt dominierenden Anbieter bezeichnet. Dies sind Amazon AWS, Microsoft, IBM und Google. 3 Am 30. Juni 2017 hat der Bundestag das umstrittene Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG) verabschiedet, welches
Schlusswort229
Die rechtliche Lage für Ermittlungen in der Cloud ist daher „wolkig, mit Aussicht auf klare Verhältnisse“5.
sich gegen Hetze und gefälschte Meldungen („fake news“) im Internet richtet. Zu den Kritikpunkten vgl. nur Wimmers / Heckmann, CR 2017, 310 ff. 4 Kroker, Wirtschaftswoche vom 12.08.2015. 5 Im anderen Kontext Karg, MMR-Aktuell 2016, 379851.
Literaturverzeichnis Albrecht, Florian / Braun, Frank: Die strafprozessuale Überwachung des Serververhaltens, Zugleich Anmerkung zu LG Ellwangen, Beschl. v. 28.05.2013 – 1 Qs 130 / 12, HRRS 2013 S. 500–508. Amelung, Knut: Probleme der Einwilligung in strafprozessuale Grundrechtsbeeinträchtigungen, StV 1985, S. 257–263. Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe – Cloud Computing, Version 1.0, Stand 26.09.2011, abrufbar unter: https: / / www.datenschutz.hessen.de / download. php?download_ID=237 (zuletzt besucht am 20.03.2018) (zitiert als: Arbeitskreise Technik und Medien, Orientierungshilfe – Cloud Computing (Vol. 1)). − Orientierungshilfe – Cloud Computing, Version 2.0, Stand 09.10.2014, abrufbar unter: https: / / www.datenschutz-bayern.de / technik / orient / oh_cloud.pdf (zuletzt besucht am 20.03.2018). Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Technische Aspekte der Online-Durchsuchung, 21. September 2007, abrufbar unter: https: / / www.daten schutz-hamburg.de / uploads / media / Technische_Aspekte_der_Onlinedurch suchung.pdf (zuletzt besucht am 20.03.2018) (zitiert als: Arbeitskreis Technische und organisatorische Datenschutzfragen). Arnauld, Andreas von: Völkerrecht, 3., neu bearbeitete Auflage, Heidelberg 2016. Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.): Handbuch IT- und Datenschutzrecht, 2. Auflage, München 2016 (zitiert als: Bearbeiter, in: Auer-Reinsdorff / Conrad). Barton, Thomas / Münzl, Gerald: Cloud Computing als neue Herausforderung für Management und IT, Management und IT, Tagungsband zur AKWI-Fachtagung vom 16. bis 18.09.2012 an der Hochschule Pforzheim, S. 77–105. Bär, Wolfgang: Der Zugriff auf Computerdaten im Strafverfahren, Köln / Berlin / Bonn / München 1992. − Durchsuchungen im EDV-Bereich (II), CR 1995, S. 227–234. − Polizeilicher Zugriff auf kriminelle Mailboxen, CR 1995, S. 489–500. − Beschlagnahme von Computerdaten (I), CR 1996, S. 675–683. − Strafprozessuale Fragen der EDV-Beweissicherung, MMR 1998, S. 577–584. − Anmerkung zum Urteil LG Ravensburg: Beschlagnahme von E-Mails beim Provider, MMR 2003, S. 679–681. − EDV-Beweissicherung im Strafverfahren bei Computer, Hand, Internet, DRiZ 2007, S. 218–221.
Literaturverzeichnis231 − Handbuch zur EDV-Beweissicherung im Strafverfahren, Stuttgart / München / Hannover / Berlin / Weimar / Dresden 2007. − Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen, Gesetzliche Neuregelung zum 1.1.2008, MMR 2008, S. 215–222. − TK-Überwachung, §§ 100a-101 StPO mit Nebengesetzen, München 2010. − Transnationaler Zugriff auf Computerdaten, ZIS 2011, S. 53–59. − Die Neuregelung des § 100j StPO zur Bestandsdatenauskunft, Auswirkungen auf die Praxis der Strafverfolgung, MMR 2013, S. 700–704. Baun, Christian / Kunze, Marcel / Nimis, Jens / Tai, Stefan: Cloud Computing, Web-basierte dynamische IT-Services, 2. Auflage, Berlin / Heidelberg 2010, 2011 (zitiert als: Baun et al., Cloud Computing). Bayer, Martin: IT auf dem Weg in die Wolke, Computerwoche, 13.02.2008, abrufbar unter: http: / / www.computerwoche.de / a / it-auf-dem-weg-in-die-wolke,1856879,6 (zuletzt besucht am 20.03.2018). Becker, Philipp / Nikolaeva, Julia: Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG. Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende Cloud-Anbieter, CR 2012, S. 170–176. Bedner, Mark: „Deep Packet Inspection“ – Technologie und rechtliche Initiativen. Steht die Freiheit im Internet auch in wesentlichen Demokratien auf dem Spiel?, CR 2010, S. 339–345. − Cloud Computing, Technik, Sicherheit und rechtliche Gestaltung, Kassel 2013 (zitiert als: Bedner, Cloud Computing). Beiersmann, Stefan: Apple meldet 782 Millionen iCloud-Nutzer, ZDNet, 15. Februar 2016, abrufbar unter: http: / / www.zdnet.de / 88259924 / apple-meldet-782-millio nen-icloud-nutzer / (zuletzt besucht am 20.03.2018). Bertele, Joachim: Souveränität und Verfahrensrecht, Eine Untersuchung der aus dem Völkerrecht ableitbaren Grenzen staatlicher extraterritorialer Jurisdiktion im Verfahrensrecht, Tübingen, 1998. Birk, Dominik / Heinson, Dennis / Wegener, Christoph: Virtuelle Spurensuche, Digitale Forensik in Cloud-Umgebungen, DuD 2011, S. 329–332. Birk, Dominik / Wegener, Christoph: Über den Wolken, Cloud Computing im Überblick, DuD 2010, S. 641–645. BITKOM: Cloud Computing – Was Entscheider wissen müssen, abrufbar unter: https: / / www.bitkom.org / noindex / Publikationen / 2010 / Leitfaden / LeitfadenCloud-Computing-Was-Entscheider-wissen-muessen / BITKOM-Leitfaden-CloudComputing-Was-Entscheider-wissen-muessen.pdf (zuletzt besucht am 20.03.2018) (zitiert als: BITKOM, Cloud Computing – Was Entscheider wissen müssen). – Speichervirtualisierung, Leitfaden, Version 1, abrufbar unter: https: / / www.bit kom.org / noindex / Publikationen / 2012 / Leitfaden / Speichervirtualisierung / 121119-Speichervirtualisierung.pdf (zuletzt besucht am 20.03.2018) (zitiert als: BITKOM, Speichervirtualisierung).
232 Literaturverzeichnis – Virtualisierung, Glossar und Überblick, Version 1.0, abrufbar unter: http: / / www. witcom-in-hannover.de / 81_news / dynpix / BITKOM-Virtualisierungsglossar.pdf (zuletzt besucht am 20.03.2018) (zitiert als: BITKOM, Virtualisierung). Bittmann, Folker: Das Beziehen von Kontounterlagen im staatsanwaltschaftlichen Ermittlungsverfahren, wistra 1990, S. 325–335. – Das staatsanwaltschaftliche Auskunftsverlangen gemäß § 95 StPO – Zugleich Besprechung zu LG Halle und LG Gera, NStZ 2001, 277, NStZ 2001, S. 231–233. Böckenförde, Ernst-Wolfgang: Gesetz und gesetzgebende Gewalt. Von den Anfängen der deutschen Staatsrechtslehre bis zur Höhe des staatsrechtlichen Positivismus, Berlin 1958. Böckenförde, Thomas: Die Ermittlung im Netz, Tübingen 2003. Bode, Thomas A.: Verdeckte strafprozessuale Ermittlungsmaßnahmen, Berlin / Heidelberg 2012. Böhm, Markus / Leimeister, Stefanie / Riedl, Christoph / Kremar, Helmut: Cloud Computing: Outsourcing 2.0 oder ein neues Geschäftsmodell zur Bereitstellung von IT-Ressourcen?, Application Management, Challenges – Service Creation – Strategies (Hrsg.: Keuper, Frank / Oecking, Christian / Degenhardt, Andreas), Wiesbaden 2011 (zitiert als: Böhm et al., in: Keuper et al.). Boos, Carina: Nutzungsunterstützung durch automatisierte Auswertung einzelner standardisierter Vertragsbedingungen, VuR 2014, S. 47–53. Boos, Carina / Kroschwald, Steffen / Wicker, Magda: Datenschutz bei Cloud Computing zwischen TKG, TMG und BDSG, Datenkategorien bei der Nutzung von Cloud-Diensten, ZD 2013 S. 205–209. Borges, Georg / Brennscheidt, Kristin: Rechtsfragen des Cloud Computing – ein Zwischenbericht, Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, (Hrsg: Borges, Georg / Schwenk, Jens), S. 43–78, Heidelberg 2012 (zitiert als: Borges / Brennscheidt, in: Borges / Schwenk). Borges, Georg / Schwenk, Jörg (Hrsg.): Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Heidelberg 2012 (zitiert als: Bearbeiter in: Borges / Schwenk). Bosesky, Pino / Hoffmann, Christian / Schulz, Sönke E.: Datenhoheit im Cloud-Umfeld, DuD 2013, S. 95–100. Bratke, Bastian: Die Quellen-Telekommunikationsüberwachung im Strafverfahren: Grundlagen, Dogmatik, Lösungsmodelle, Berlin 2013. Braun, Frank: Überwachung des Surferverhaltens nach den §§ 100a, 100b StPO zulässig, Anmerkung zu LG Ellwangen 1. Große Strafkammer, Beschluss vom 28.05.2013 – 1 Qs 130 / 12, jurisPR-ITR 18 / 2013 Anm. 5 = jurisPR extra 2013, S. 252–254. Braun, Michael: Die Durchsicht elektronischer Speichermedien: Zugriff auf Speichermedien andernorts zulässig, PStR 15.03.2012, abrufbar unter: http: / / www.iww. de / pstr / schwerpunktthema / durchsuchung-beschlagnahme-die-durchsicht-elektro nischer-speichermedien-zugriff-auf-speichermedien-andernorts-zulaessig-f56098 (zuletzt besucht am 20.03.2018).
Literaturverzeichnis233 Brennscheidt, Kristin: Cloud Computing und Datenschutz, Baden-Baden 2013. Breyer, Patrick: Personenbezug von IT-Adressen, Internetnutzung und Datenschutz, ZD 2014, S. 400–405. Briel, Olaf von / Ehlscheid, Dirk: Steuerstrafrecht Anwaltspraxis, 2. Auflage, Bonn 2001 (zitiert als: Bearbeiter, in: v. Briel / Ehlscheid, Steuerstrafrecht). Brink, Stefan: Wann ist ein Datum ein personenbezogenes Datum?, ZD 2015, S. 1–2. Brodowski, Dominik: Strafprozessualer Zugriff auf E-Mail-Kommunikation. Zugleich Besprechung zu BVerfG, Beschl. v. 16.6.2009 – 2 BvR 902 / 06 sowie BGH, Beschl. v. 31.3.2009 – 1 StR 76 / 09, JR 2009, S. 402–412. Brodowski, Dominik / Eisenmenger, Florian: Zugriff auf Cloud-Speicher und Internetdienste durch Ermittlungsbehörden. Sachliche und zeitliche Reichweite der „kleinen Online-Durchsuchung“ nach § 110 Abs. 3 StPO, ZD 2014, S. 119–126. Brüning, Janique: Privatisierungstendenzen im Strafprozess – Chancen und Risiken der Mitwirkung sachverständiger Privatpersonen im strafrechtlichen Ermittlungsverfahren, StV 2008, S. 100–104. Buermeyer, Ulf: Die Online-Durchsuchung. Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, HRRS 2007, S. 154–166. – Die „Online-Durchsuchung“. Verfassungsrechtliche Grenzen des verdeckten hoheitlichen Zugriffs auf Computersysteme, HRRS 2007, S. 329–337. – Technische Grundlagen und rechtliche Grenzen der Quellen-Telekommunikationsüberwachung insbesondere: der Begriff der „laufenden Kommunikation“ im Sinne der Online-Durchsuchungs-Entscheidung. Beitrag zum 37. Strafverteidigertag, Freiburg 2013, abrufbar unter: http: / / www.strafverteidigervereinigungen.org / Ma terial / Themen / Technik%20&%20Ueberwachung / 37_buermeyer.pdf (zuletzt besucht am 20.03.2018) (zitiert als: Buermeyer, 37. Strafverteidigertag). Bundesamt für Sicherheit in der Informationstechnik: Sicher in die digitale Welt von morgen, Tagungsband zum 12. Deutschen IT-Sicherheitskongress, Gau-Algesheim 2011 (zitiert als: Bearbeiter, in: Tagungsband zum 12. IT-Sicherheitskongress). – Eckpunktepapier, Sicherheitsempfehlungen für Cloud Computing-Anbieter – Mindest sicherheitsanforderungen in der Informationssicherheit, abrufbar unter: https: / / www.bsi.bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Bro schueren / Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter. pdf?__blob=publicationFile&v=6 (zuletzt besucht am 20.03.18) (zitiert als: BSIEckpunkte Cloud Computing, S. 7). Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: 23. Tätigkeitsbericht zum Datenschutz für die Jahre 2009 und 2010, abrufbar unter: https: / / www.bfdi.bund.de / SharedDocs / Publikationen / Taetigkeitsberichte / TB_BfDI / 23TB_09_10.html (zuletzt besucht am 20.03.2018) (zitiert als: BfDI 23. Tätigkeitsbericht 2009–2010). Büst, René: Die historische Entwicklung des Cloud Computing, clouduser.de, abrufbar unter: http: / / clouduser.de / grundlagen / die-historische-entwicklung-des-cloudcomputing-6080 (zuletzt besucht am 20.03.2018).
234 Literaturverzeichnis Carr, Nicholas: The Big Switch: Der Große Wandel. Cloud Computing und die Vernetzung der Welt von Edison bis Google, 1. Auflage, Heidelberg 2009. Ciolek-Krepold, Katja: Durchsuchung und Beschlagnahme in Wirtschaftsstrafsachen, München 2000 (zitiert als: Ciolek-Krepold, Durchsuchung und Beschlagnahme). Council of Europe, European Committee on Crime Problems: Extraterritorial Criminal Jurisdiction, abrufbar unter: https: / / link.springer.com / content / pdf / 10.1007% 2FBF01096364.pdf (zuletzt besucht am 20.03.2018). Council of the European Union, Commission Services: Technical document: Measures to improve cross-border access to electronic evidence for criminal investigations following the adoption of the Council Conclusions on Improving Criminal Justice in Cyberspace, Brussels, 22 May 2017, abrufbar unter: http: / / data. consilium.europa.eu / doc / document / ST-9554–2017-INIT / en / pdf (zuletzt besucht am 20.03.2018) (zitiert als: Europäische Kommission Services). Cybercrime Convention Committee (T-CY): Criminal Justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report oft he T-CY Cloud Evidence Group, 16. September 2016, Strasbourg, France, abrufbar unter: https: / / rm.coe.int / CoERMPublicCommonSearchServices / Display DCTMContent?documentId=09000016806a495e (zuletzt besucht am 20.03.2018). Dahm, Georg / Delbrück, Jost / Wolfrum, Rüdiger: Völkerrecht, Band 1 / 3, Die Formen des völkerrechtlichen Handelns; Die inhaltliche Ordnung der internationalen Gemeinschaft, 2., völlig neu bearbeitete Auflage, Berlin 2002. Dalby, Jakob: Das neue Auskunftsverfahren nach § 113 TKG – Zeitdruck macht Gesetze, CR 2013, S. 361–369. – Grundlagen der Strafverfolgung im Internet und in der Cloud, Wiesbaden 2016 (zitiert als: Dalby, Grundlagen der Strafverfolgung). Dammann, Ulrich / Simitis, Spiros: EG-Datenschutzrichtlinie, Kommentar, Baden-Baden 1997. Daum, Brigitte: Grenzverletzungen und Völkerrecht, Eine Untersuchung zu den Rechtsfolgen von Grenzverletzungen in der Staatenpraxis und Folgerungen für das Projekt der International Law Commission zur Kodifizierung des Rechts der Staatenverantwortlichkeit, Frankfurt am Main 1999. Determann, Lothar: Kommunikationsfreiheit im Internet, Freiheitsrechte und gesetzliche Beschränkungen, Baden-Baden 1999. Dietrich, Florian / Ziegelmayer, David: Facebook’s „Sponsored Stories“ – ein personenbezogenes unlauteres Vergnügen. Anwendbares Recht und AGB-rechtliche Beurteilung der Werbeform „Sponsored Stories“ (Gesponserte Meldungen), CR 2013, S. 104–110. Doehring, Karl: Völkerrecht, ein Lehrbuch, 2., neu bearbeitete Auflage, Heidelberg 2004. Dölling, Dieter / Duttge, Gunnar / Rössner, Dieter (Hrsg.): Gesamtes Strafrecht, StGB, StPO, Nebengesetze, Handkommentar, 4. Auflage, Baden-Baden 2017 (zitiert als: Bearbeiter, in: Dölling / Duttge / Rössner, Gesamtes Strafrecht). Dombrowski, Nadine: Extraterritoriale Strafrechtsanwendung im Internet, Berlin 2014.
Literaturverzeichnis235 Dörner, Heinrich / Ehlers, Dirk (Hrsg.): Rechtsprobleme der EDV, Münsteraner Ringvorlesung, München 1989 (zitiert als: Bearbeiter, in: Dörner / Ehlers). Eberle, Carl-Eugen / Rudolf, Walter / Wasserburg, Klaus (Hrsg.): Mainzer Rechtshandbuch der neuen Medien, Heidelberg 2003 (zitiert als: Bearbeiter, in: Eberle / Rudolf / Wasserburg, Mainzer Rechtshandbuch der neuen Medien). Eckhard, Jens: Datenschutz im „Cloud Computing“ aus Anbietersicht, Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Borges, Georg / Schwenk, Jens (Hrsg.), S. 97–116, Heidelberg 2012 (zitiert als: Eckhard, in: Borges / Schwenk). Eckstein, Ken: Ermittlungen zu Lasten Dritter, Tübingen 2013. Economic Crime Division: Cloud Computing and cybercrime investigations: Territoriality vs. the power of disposal?, Version 31, August 2010, abrufbar unter: https: / / rm.coe.int / 16802fa3df (zuletzt besucht am 20.03.2018), (zitiert als: Econo mic Crime Division, Cloud Computing and cybercrime investigations). Eiermann, Helmut: Work in Progress – Zur Zukunft des technischen Datenschutzes, DuD 2013, S. 92–94. Epping, Volker / Hillgruber, Christian (Hrsg.): Beck’scher Online-Kommentar Grundgesetz 37. Edition, Stand 15.05.2018, München 2016 (zitiert als: Bearbeiter, in: Beck-OK GG). Erb, Volker / Esser, Robert / Franke, Ulrich / Graalmann-Scheerer, Kirsten / Hilger, Hans / Ignor, Alexander (Hrsg.): Löwe-Rosenberg. Die Strafprozessordnung und das Gerichtsverfassungsgesetz, Großkommentar, 26., neu bearbeitete Auflage, Dritter Band §§ 94–111p, Berlin 2014 (zitiert als: Bearbeiter, in: LR-StPO). Europäische Kommission: Freisetzung des Cloud-Computings-Potentials in Europa, Memo, Brüssel, 27.09.2012, abrufbar unter: http: / / europa.eu / rapid / press-release_ MEMO-12–713_de.htm (zuletzt besucht am 20.03.2018). Explanatory Report to the Convention on Cybercrime, Budapest 23.XI.2001, European Treaty Series – No 185, abrufbar unter: https: / / rm.coe.int / 16800cce5b (zuletzt besucht am 20.03.2018), (zitiert als: Erläuternder Bericht). Fezer, Gerhard: Anmerkung zu BGH Urteil vom 17.02.1989 – 2 StR 402 / 88, StV 1989, S. 290–295. Fickert, Tim: Entwicklung des Cloud Computing im Überblick – Aktuelle und künftige rechtliche Probleme, Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2009 (Hrsg.: Taeger, Jürgen / Wiebe, Anderas), S. 419–426, Edewecht 2009 (zitiert als: Fickert, DSRITB 2009). Fischer, Thomas: Strafgesetzbuch mit Nebengesetzen, Beck’sche Kurz-Kommentare, Band 10, 63. Auflage, München 2016. Friauf, Karl Heinrich / Höfling, Wolfram (Hrsg.): Berliner Kommentar zum Grundgesetz Band 2, Stand: 51. Ergänzungslieferung, Berlin 2016 (zitiert als: Bearbeiter, in: Berliner Kommentar GG). Gaede, Karsten: Der grundrechtliche Schutz gespeicherter E-Mails beim Provider und ihre weltweite strafprozessuale Überwachung. Zugleich Besprechung zu LG Hamburg Beschluss vom 08.01.2008 – 619 Qs 1 / 08, StV 2009, S. 96–102.
236 Literaturverzeichnis Gähler, Sven Gerry: Strafprozessuale Ermittlungsmaßnahmen bei Datenübertragung im Cloud Computing, HRRS 2016, S. 340–349. Garfinkel, Simson: The Cloud Imperative, MIT Technology Review, abrufbar unter: http: / / www.technologyreview.com / news / 425623 / the-cloud-imperative / (zuletzt besucht am 20.03.2018). Geerds, Friedrich: Durchsuchungen von Personen, Räumen und Sachen – Strafprozessuale Probleme und kriminalistische Erkenntnisse, Festschrift für Hans Dünnebier zum 75. Geburtstag am 12. Juni 1982 (Hrsg.: Hanack, Ernst-Walter / Rieß, Peter / Wendisch, Günter), S. 171–198, Berlin 1982 (zitiert als: Geerds, in: FSDünnebier). Geiger, Rudolf: Grundgesetz und Völkerrecht mit Europarecht, Die Bezüge des Staatsrechts zum Völkerrecht und Europarecht, 6., überarbeitete Auflage, München 2013. Geppert, Martin / Schütz, Raimund (Hrsg.): Beck’scher TKG-Kommentar, 4. Auflage, München 2013 (zitiert als: Bearbeiter, in: Geppert / Schütz TKG). Gercke, Björn: Zur Zulässigkeit sog. Transborder Searches – Der strafprozessuale Zugriff auf im Ausland gespeicherte Daten, StraFo 2009, S. 271–274. Gercke, Björn / Julius, Karl Peter / Temming, Dieter / Zöller, Mark Alexander (Hrsg.): Heidelberger Kommentar Strafprozessordnung, 5., völlig neu bearbeitete und erweiterte Auflage, Heidelberg, München, Landsberg, Frechen, Hamburg 2012 (zitiert als: Bearbeiter, in: HK-StPO). Gercke, Marco: Rechtswidrige Inhalte im Internet, Eine Diskussion ausgewählter Problemfelder des Internet-Strafrechts unter Berücksichtigung strafprozessualer Aspekte, Köln 2000. – Die Auswirkungen von Cloud Storage auf die Tätigkeit der Strafverfolgungsbehörden, Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2009 (Hrsg.: Taeger, Jürgen / Wiebe, Andreas), S. 499–506, Edewecht 2009 (zitiert als: Gercke, DRITB 2009). – Strafrechtliche und strafprozessuale Aspekte von Cloud Computing und Cloud Storage, CR 2010, S. 345–348. – Straftaten und Strafverfolgung im Internet, GA 2012, S. 474–490. Germann, Michael: Gefahrenabwehr und Strafverfolgung im Internet, Berlin 2000. Giedke, Anna: Cloud Computing: Eine wirtschaftliche Analyse mit besonderer Berücksichtigung des Urheberrechts, München 2013. Gleixner, Jennifer: Online-Speicherdienste, Aktuelle Problemstellungen bei der vorläufigen Sicherstellung räumlich getrennter Speichermedien, Kriminalistik 11 / 2017, S. 707–712. Graf, Jürgen-Peter (Hrsg.): 27. Edition, Stand 01.01.2017 München (zitiert als: Bearbeiter, in: Beck-OK StPO 27. Ed.). – Beck’scher Online-Kommentar StPO mit RiStBV und MiStra 29. Edition, Stand: 01.01.2018 München (zitiert als: Bearbeiter, in: Beck-OK StPO).
Literaturverzeichnis237 Graulich, Volker: Die Sicherstellung von während einer Durchsuchung aufgefundenen Gegenständen – Beispiel Steuerstrafverfahren, wistra 2009, S. 299–302. Grimm, Jacob / Grimm, Wilhelm (Hrsg.): Deutsches Wörterbuch, Abgeschlossene Originalausgabe in Leinen, Band 2 / 33, Wortgrenzen: Biermörder-D, Jahr 1860 München. Gruhl, Jens: „Grenzenlose“ Ermittlungen im Internet?, kriminalität@net (Hrsg.: Welp, Jürgen), S. 49–84, Baden-Baden 2003 (zitiert als: Gruhl, in: Welp, kriminalität@net). Grünwald, Andreas / Döpkens, Harm-Randolf: Cloud Control? Regulierung von Cloud-Angeboten, MMR 2011, S. 287–290. Hahn, Carl / Mugdan, Benno (Hrsg.): Die gesamten Materialien zu den Reichs-Justizgesetzen, Band 3: Materialien zur Stafprozessordnung, Abt. 1, Neudruck (2. Auflage) 1983 Aalen (zitiert als: Hahn, Materialien). – (Hrsg.): Die gesamten Materialien zu den Reichs-Justizgesetzen, Band 3: Materialien zur Strafprozessordnung, Abt. 2, Neudruck (2. Auflage) 1983 Aalen (zitiert als: Hahn, Materialien). Hanack, Ernst-Walter / Rieß, Peter / Wendisch, Günter (Hrsg.): Festschrift für Hans Dünnebier zum 75. Geburtstag am 12. Juni 1982, Berlin 1982 (zitiert als: Bearbeiter, in: FS-Dünnebier). Hannich, Rolf (Hrsg.): Karlsruher Kommentar zur Strafprozessordnung mit GVG, EGGVG und EMRK, 7., neu bearbeitete Auflage, München 2013 (zitiert als: Bearbeiter, in: KK-StPO). Hansen, Marit / Meissner, Sebastian: Verkettung digitaler Identitäten, Version 1.0, Kiel, Oktober 2007, abrufbar unter: https: / / www.datenschutzzentrum.de / up loads / projekte / verkettung / 2007-uld-tud-verkettung-digitaler-identitaeten-bmbf1. pdf (zuletzt besucht am 20.03.2018). Härting, Niko: DSGVO: Welche Regelungen gibt es für das „Whistleblowing“?, CRonline Blog, 9.5.2016 – 00:19 (zitiert als: Härting, CR-online Blog, 9.5.2016). Heckmann, Dirk (Hrsg.): juris Praxiskommentar Internetrecht: 5. Auflage, Saarbrücken 2017 (zitiert als: Bearbeiter, in: jurisPK-Internetrecht). Heermann, Peter / Ohly, Ansgar (Hrsg.): Verantwortlichkeit im Netz, Wer haftet wofür? Nehren 2003 (zitiert als: Bearbeiter, in: Heermann / Ohly). Heidrich, Joerg / Wegener, Christoph: Sichere Datenwolken, Cloud Computing und Datenschutz, MMR 2010, S. 803–807. Heintschel-Heinegg, Bernd / Stöckel, Heinz (Hrsg.): Kommentar zur Strafprozessordnung – KMR, 82. Lieferung (Stand: April 2018) (zitiert als: Bearbeiter, in: Heintschel-Heinegg / Stöckel StGB). Heintschel von Heinegg, Wolff: Legal Implications of Territorial Souvereignty in Cyberspace, 4th International Conference on Cyber Conflict, Tallin 2012, abrufbar unter: https: / / ccdcoe.org / publications / 2012proceedings / 1_1_von_Heinegg_Lega lImplicationsOfTerritorialSovereigntyInCyberspace.pdf (zuletzt besucht am 20.03.2018).
238 Literaturverzeichnis Helmbrecht, Udo / Teege, Gunnar / Stelte, Björn (Hrsg.): Virtualisierung: Techniken und sicherheitsorientierte Anwendung, München 2010, abrufbar unter: https: / / www.unibw.de / rz / dokumente / public / getFILE?fid=5811473&tid=public (zuletzt besucht am 20.03.2018) (zitiert als: Bearbeiter, in: Helmbrecht et al., Virtualisierung). Hennrich, Thorsten: Compliance in Clouds, Datenschutz und Datensicherheit in Datenwolken, CR 2011, S. 546–552. Herrmann, Klaus / Soiné, Michael: Durchsuchung persönlicher Datenspeicher und Grundrechtsschutz, NJW 2011, S. 2922–2928. Hetmank, Sven: Internetrecht: Grundlagen – Streitfälle – Aktuelle Entwicklungen, Wiesbaden 2016. Hiéramente, Mayeul: Legalität der strafprozessualen Überwachung des Surfverhaltens, StraFo 2013 S. 96–102. – Durchsuchung und „Durchsicht“ der Unternehmens-IT – Betrachtungen zu §§ 103, 110 StPO, wistra 2016, S. 432–440. – Surfen im Internet doch Telekommunikation im Sinne des § 100a StPO? Anmerkungen zum Beschluss des Bundesverfassungsgerichts vom 6. Juli 2016 (2BvR 1454 / 13), HRRS 2016, S. 448–452. Hiéramente, Mayeul / Fenina, Patrick: Telekommunikationsüberwachung und Cloud Computing, Der § 100a-Beschluss als Nimbus der Legalität?, StraFo 2015, S. 365–374. Hilber, Marc (Hrsg.): Handbuch Cloud Computing, Köln 2014 (zitiert als: Bearbeiter, in: Hilber). Hill, Herrmann / Schliesky, Utz (Hrsg.): Innovationen im und durch Recht. E-Volution des Rechts- und Verwaltungssystems II (zitiert als: Bearbeiter, in: Hill / Schliesky). Hoeren, Thomas: Das Telemediengesetz, NJW 2009, S. 801–806. Hoeren, Thomas / Sieber, Ulrich / Holznagel, Bernd: Handbuch Multimedia-Recht, 42. Ergänzungslieferung, Stand Juni 2015, München. – (Hrsg.): Handbuch Multimedia-Recht, Rechtsfragen des elektronischen Geschäftsverkehrs, Stand: Januar 2017, 44. Ergänzungslieferung, München (zitiert als: Bearbeiter, in Hoeren / Sieber / Holznagel, Multimedia-Recht) Hoeren, Thomas / Spittka, Jan: Aktuelle Entwicklungen des IT-Vertragsrechts ITIL, Third Party Maintenance, Cloud Computing und Open Source Hybrids, MMR 2009, S. 583–589. Hoffmann, Volker / Knierim, Thomas: Rückgabe von im Strafverfahren sichergestellten oder beschlagnahmten Gegenständen, NStZ 2000, S. 461–464. Hofmann, Manfred: Die Online-Durchsuchung – staatliches „Hacken“ oder zulässige Ermittlungsmaßnahme? NStZ 2005, S. 121–125. Holznagel, Bernd: Ausweispflicht beim Verkauf von Prepaid-Karten, Pflicht zur Verifizierung der Kundendaten nach § 111 TKG, ZD 2013, S. 73–77.
Literaturverzeichnis239 Hornick, Andreas: Staatlicher Zugriff auf elektronische Medien, StraFo 2008, S. 281– 286. Hornung, Gerrit: „Ermächtigungsgrundlage für die Online-Durchsuchung“? Verfassungsrechtliche Anforderungen an und Grenzen für den heimlichen Zugriff auf IT-Systeme im Ermittlungsverfahren, DuD 2007, S. 575–580. Hornung, Gerrit / Sädtler, Stephan: Eitel Sonnenschein oder Wolken am Horizont, Cloud Computing im Gesundheitswesen und die rechtlichen Schutzinstrumente der Telematik-Infrastruktur, DuD 2013, S. 148–153. Huber, Michael: Grundwissen – Strafprozessrecht: Durchsuchung, JuS 2013, S. 408– 410. Hurwitz, Judith / Bloor, Robin / Kaufman, Marcia / Halper, Fern: Cloud Computing for Dummies, Indiana 2010 (zitiert als: Hurwitz et al., Cloud Computing für Dummies). Ipsen, Knut: Völkerrecht, 5., völlig neu bearbeitete Auflage, München 2004. ISPRAT-Studie: Cloud Computing für die öffentliche Verwaltung, abrufbar unter: http: / / www.cloud.fraunhofer.de / content / dam / allianzcloud / de / documents / ISPRAT_cloud_studievorabversion20101129tcm421–76759.pdf (zuletzt besucht am 20.03.2018). IT-Gipfel 2011: Rechtliche Anforderungen an Cloud Computing – Sichere CloudDienste, Version 1.0 vom 15. November 2011, abrufbar unter: http: / / www. eurocloud.de / wp-content / blogs.dir / 5 / files / anford_recht_beicloudcomputing_ v1.pdf (zuletzt besucht am 20.03.2018), (zitiert als: IT-Gipfel 2011). Jofer, Robert: Strafverfolgung im Internet, Phänomenologie und Bekämpfung kriminellen Verhaltens in internationalen Computernetzen, Frankfurt am Main 1999. Jotzo, Florian: Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr? MMR 2009, S. 232–237. Karg, Moritz: Rezession zu Roßnagel, Wolken über dem Rechtsstaat?, MMR-Aktuell, 379851. Karger, Björn: The Cloud vs. The Grid, abrufbar unter: https: / / www.mi.fu-berlin. de / inf / groups / ag-tech / teaching / 2008–09_WS / S_19565_Proseminar_Techni sche_Informatik / karger09cloud.pdf (zuletzt besucht am 20.03.2018). Kemper, Martin: Die Beschlagnahmefähigkeit von Daten und E-Mails, NStZ 2005, S. 538–544. Keppeler, Martin: Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, S. 779–783. Keuper, Frank / Oecking, Christian / Degenhardt, Andreas (Hrsg.): Application Management, Challenges – Service Creation – Strategies, Wiesbaden 2011 (zitiert als: Bearbeiter et al., in: Keuper et al.) Kiehl, Walter-Hermann: Anmerkung zu OLG Hamm, Beschluss vom 16.01.1986 – I V As 94 / 85, StV 1988, S. 48–52.
240 Literaturverzeichnis Kilian, Wolfgang / Heussen, Benno (Hrsg.): Computerrechts-Handbuch, Informationstechnologie in der Rechts- und Wirtschaftspraxis, Stand Februar 2017 (33. Ergänzungslieferung) München (zitiert als: Bearbeiter, in: Kilian / Heussen, Computerrechts-Handbuch 2009). Klaas, Jakob: Anmerkung zu LG Köln, Beschluss vom 11.08.1994 – 112 Qs 2 / 94 – Beschlagnahme von EDV-Daten, NStZ 1995, S. 54–55. Kloepfer, Michael: Der Vorbehalt des Gesetzes im Wandel, JZ 1984, S. 685–695. Kluge, Friedrich (Hrsg.): Etymologisches Wörterbuch der deutschen Sprache, 24., durchgesehene und erweiterte Auflage (bearbeitet von Elmar Seebold), Berlin / New York 2002 (zitiert als: Kluge, Etymologisches Wörterbuch). Knauer, Wolfgang / Kudlich, Klaus / Schneider, Hartmut (Hrsg.), Münchner Kommentar zur StPO Band 1, §§ 1–150 StPO, 1. Auflage, München 2014 (zitiert als: Bearbeiter, in: MüKo-StPO). Koch, Frank: Grid Computing im Spiegel des Telemedien-, Urheber- und Datenschutzrechts, CR 2006, S. 112–120. Kohlmann, Diana: Online-Durchsuchungen und andere Maßnahmen mit Technikeinsatz. Bedeutung und Legitimation ihres Einsatzes im Ermittlungsverfahren, Baden-Baden 2012 (zitiert als: Kohlmann, Online-Durchsuchungen). Köhler-Schute, Christina (Hrsg.): Cloud Computing: Neue Optionen für Unternehmen, Strategische Überlegungen, Konzepte und Lösungen, Beispiele aus der Praxis; Berlin 2011, (zitiert als: Bearbeiter, in: Köhler-Schute). Korge, Tobias: Die Beschlagnahme elektronisch gespeicherter Daten bei privaten Trägern von Berufsgeheimnissen, Berlin / Heidelberg 2009. Kramer, Bernhard: Grundlagen des Strafverfahrensrechts: Ermittlungen und Verfahren, 8., überarbeitete Auflage, Stuttgart 2014. – Videoaufnahmen und andere Eingriffe in das Allgemeine Persönlichkeitsrecht auf der Grundlage des § 163 StPO, NJW 1992, S. 2732–2738. Krebs, Walter: Zum aktuellen Stand der Lehre vom Vorbehalt des Gesetzes, Jura 1979, S. 304–312. Krey, Volker: Studien zum Gesetzesvorbehalt im Strafrecht. Eine Einführung in die Problematik des Analogieverbots, Berlin 1977 (zitiert als: Krey, Studien zum Gesetzesvorbehalt). – Grundzüge des Strafverfahrensrechts – Einführung (1. Teil), JA 1983, S. 233–239. – Parallelitäten und Divergenzen zwischen strafrechtlichem und öffentlichrechtlichem Gesetzesvorbehalt. Festschrift für Günter Blau zum 70. Geburtstag am 18. Dezember 1985, S. 123–150, Berlin, New York 1985 (zitiert als: Krey, Blau-FS). Kroker, Michael: 2,4 Milliarden Menschen nutzen Cloud-Dienste; bis 2017 drei Viertel aller Daten in der Wolke, Wirtschaftswoche vom 12.08.2015, abrufbar unter: http: / / blog.wiwo.de / look-at-it / 2015 / 08 / 12 / 24-milliarden-menschen-nutzencloud-dienste-bis-2017-drei-viertel-aller-daten-in-der-wolke / (zuletzt besucht am 20.03.2018).
Literaturverzeichnis241 Kudlich, Hans: Strafprozess und allgemeines Missbrauchsverbot. Anwendbarkeit und Konsequenzen eines ungeschriebenen Missbrauchsverbots für die Ausübung strafprozessualer Verteidigungsbefugnisse, Berlin 1998. – Strafprozessuale Probleme des Internet – Rechtliche Probleme der Beweisgewinnung in Computernetzen, JA 2000, S. 227–234. – Die Zulässigkeit strafprozessualer Online-Durchsuchungen, HFR 19 / 2007, S. 202–213. – Strafverfolgung im Internet, Bestandsaufnahme und aktuelle Probleme, GA 2011, S. 193–208. Kurz, Constanze / Neumann, Linus / Rieger, Frank / Engling, Dirk: Stellungnahme zur „Quellen-TKÜ“ nach dem Urteil des Bundesverfassungsgerichts vom 20. April 2016, 1 BvR 966 / 09, 9. August 2016, abrufbar unter: https: / / ccc.de / system / uploads / 216 / original / quellen-tkue-CCC.pdf (zuletzt besucht am 20.03.2018) (zitiert als: Kurz et al., Stellungnahme zur „Quellen-TKÜ“). Kusnetzky, Dan: Virtualization: A Manager’s Guide, O’Reilly Media, June 2011 (zitiert als: Kusnetzky, Virtualization). Kutscha, Martin: Verdeckte Online-Durchsuchung und Unverletzlichkeit der Wohnung, NJW 2007, S. 1169–1172. – Das „Computer-Grundrecht“ – eine Erfolgsgeschichte? DuD 2012, S. 391–394. Lackner, Karl / Kühl, Kristian (Hrsg.): StGB, Strafgesetzbuch Kommentar, 28., neu bearbeitete Auflage, München 2014 (zitiert als: Bearbeiter, in: Lackner / Kühl StGB). Landesbeauftragter für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Ulrich Lepper: Zwanzigster Datenschutz- und Informationsfreiheitsbericht, für die Zeit vom 1. Januar 2009 bis zum 31. Dezember 2010, abrufbar unter: https: / / www. ldi.nrw.de / mainmenu_Service / submenu_Berichte / Inhalt / 20_DIB / 20_DIB.pdf (zuletzt besucht am 20.03.2018), (zitiert als: 20. DIB LDI NRW). Lehmann, Michael / Giedke, Anna: Cloud Computing – technische Hintergründe für die territorial gebundene rechtliche Analyse, Cloudspezifische Serververbindungen und eingesetzte Virtualisierungstechnik, CR 2013, S. 608–616. Lehmann, Michael / Meents, Jan-Geert: Handbuch des Fachanwalts für Informationstechnologierecht, Köln 2011 (zitiert als: Bearbeiter, in: FA IT-Recht). Lemcke, Thomas: Die Sicherstellung gem. § 94 StPO und deren Förderung durch die Inpflichtnahme Dritter als Mittel des Zugriffs auf elektronisch gespeicherte Daten, Frankfurt am Main 1995 (zitiert als: Lemcke, Die Sicherstellung gem. § 94 StPO). Lepsius, Oliver: Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, Online-Durchsuchungen, Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008 (Hrsg.: Roggan, Fredrik), S. 21–56 (zitiert als: Lepsius, in: Roggan, Online-Durchsuchungen). Leupold, Andreas / Glossner, Silke (Hrsg.): Münchner Anwalts-Handbuch zum ITRecht, 3., überarbeitete und erweiterte Auflage, München 2013 (zitiert als: Bearbeiter, in: MAH IT-Recht).
242 Literaturverzeichnis Löffler, Joachim: Die Herausgabe von beschlagnahmten oder sichergestellten Sachen im Strafverfahren, NJW 1991, S. 1705–1711. Lübke, Wolfgang / Müller, Ulrike / Bonenberger, Saskia: Steuerfahndung. Situationen erkennen, vermeiden, richtig beraten, 1. Auflage, Wiesbaden 2008. Mangoldt, Hermann von / Klein, Friedrich / Starck, Christian (Hrsg.): Kommentar zum Grundgesetz, Band 1: Präambel, Artikel 1–19, München 2010 (zitiert als: Bearbeiter, in: v. Mangoldt / Klein / Starck GG). Manssen, Gerrit: Das „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ – Ein gelungener Beitrag zur Findung unbenannter Freiheitsrechte? Das neue Computergrundrecht (Hrsg.: Uerpmann-Wittzack, Robert), S. 61–72, Berlin 2009 (zitiert als: Manssen, in: Uerpmann-Wittzack). Martini, Mario / Zimmermann, Georg von: E-Mail und integrierte VoIP-Services: Telekommunikationsdienste i. S. d. § 3 Nr. 24 TKG, CR 2007, S. 427–431. Matzky, Ralph: Zugriff auf EDV im Strafprozess, Rechtliche und technische Probleme der Beschlagnahme und Durchsuchung beim Zugriff auf das Beweismittel „EDV“, Berlin 1999. Maunz, Theodor / Dürig, Günter (Hrsg.): Grundgesetz Kommentar, Band 2, Art. 6–15, 76. Lieferung, München 2015. (zitiert als: Bearbeiter, in: Maunz / Dürig GG). Mayer, Markus: Anmerkung zu OLG Celle, Beschluss vom 14.03.1989 – 1 Ss 41 / 89, JZ 1989, S. 908–910. Mehrings, Josef: Computersoftware und Gewährleistungsrecht, NJW 1986, S. 1904– 1909. Meinicke, Dirk: der Zugriff der Ermittlungsbehörden auf beim Provider zwischengelagerte E-Mails, Edewecht 2013 (zitiert als: Meinicke, Der Zugriff der Ermittlungsbehörden). Meininghaus, Florian: Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren, Hamburg 2007 (zitiert als: Meininghaus, Der Zugriff auf E-Mails). Meir-Huber, Mario: Cloud Computing, Praxisratgeber und Einstiegsstrategien, Frankfurt a. M. 2010. Mell, Peter / Grance, Timothy: The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology, NIST Special Publication 800–145, abrufbar unter: http: / / nvlpubs.nist.gov / nistpubs / Legacy / S P / nistspecialpublication800–145.pdf (zuletzt besucht am 28.06.2017). Meyer-Goßner, Lutz / Schmitt, Bertram (Hrsg.): Strafprozessordnung, Gerichtsverfassungsgesetz, Nebengesetze und ergänzende Bestimmungen, 47., neu bearbeitete Auflage, München 2004 (zitiert als: Bearbeiter, in: Meyer-Goßner / Schmitt (47. Auflage) StPO). – (Hrsg.): Strafprozessordnung, Gerichtsverfassungsgesetz, Nebengesetze und ergänzende Bestimmungen, 61., neu bearbeitete Auflage, München 2018 (zitiert als: Bearbeiter, in: Meyer-Goßner / Schmitt StPO). Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten? MMR 2009, S. 8–13. Michalke, Reinhart: Durchsuchung und Beschlagnahme – Verfassungsrecht im Alltag, StraFo 2014, S. 89–93.
Literaturverzeichnis243 Möhrenschlager, Manfred: Computerstraftaten und ihre Bekämpfung in der Bundesrepublik Deutschland, wistra 1991, S. 321–331. Moritz, Hans-Werner: Zur Strafbarkeit wegen Verbreitung pornographischer Schriften im Internet, CR 1998, S. 505–510. Müller, Wolfgang / Römer, Sebastian: Legendierte Kontrollen, Die gezielte Suche nach dem Zufallsfund, NStZ 2012, S. 543–547. Müller-Broich, Jan: NomosKommentar Telemediengesetz, 1. Auflage 2012 (zitiert als: Müller-Broich, TMG). Münch, Ingo von: Das völkerrechtliche Delikt in der modernen Entwicklung der Völkerrechtsgemeinschaft, Frankfurt am Main 1963 (zitiert als: v. Münch, Das völkerrechtliche Delikt). Münch, Isabel / Doubrava, Clemens / Essoh, Alex Didier: Eine Gefährdungsanalyse von Private Clouds, Sichere Virtualisierung als Grundlage für sichere Private Cloud-Umgebungen, DuD 2011, S. 322–328. Nägele, Thomas / Jacobs, Sven: Rechtsfragen des Cloud Computing, ZUM 2010, S. 281–376. Nelles, Ursula: Strafprozessuale Eingriffe in das Hausrecht von Angehörigen, StV 1991, S. 488–492. Neuhöfer, Daniel: Der Zugriff auf serverbasiert gespeicherte E-Mails beim Provider, Verfassungsrechtliche Anforderungen an eine strafverfahrensrechtliche Ermächtigungsgrundlage, Hamburg 2011 (zitiert als: Neuhöfer, Der Zugriff auf E-Mails). Niemann, Fabian / Hennrich, Thorsten: Kontrollen in den Wolken? Auftragsdatenverarbeitung in Zeiten des Cloud Computing, CR 2010, S. 686–692. Niemann, Fabian / Paul, Jörg-Alexander: Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings, K&R 2009, S. 444–452. Obenhaus, Nils: Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, S. 651–655. Park, Byungwoog: Wandel des klassischen Polizeirechts zum neuen Sicherheitsrecht. Eine Untersuchung am Beispiel der Entscheidung über sogenannte Online-Durchsuchungen, Berlin 2013 (zitiert als: Park, Wandel des Polizeirechts). Park, Tido: Durchsuchung und Beschlagnahme, 3. Auflage, München 2015. Parkhill, Douglas F.: The Challenge of the Computer Utility, Reading (Massachusetts), Palo Alto / London / Don Mills (Ontario) 1966. Pelzer, Andreas: Die Vorschriften zur Form der Durchführung einer Durchsuchung im Strafprozess – „wesentliche Förmlichkeiten“ oder nur „Ordnungsvorschriften“?, Berlin 2008. Perschke, Stefan: Die Zulässigkeit nicht gesetzlich geregelter Ermittlungsmethoden im Strafverfahren, Köln / Berlin / Bonn / München 1997 (zitiert als: Perschke, Ermittlungsmethoden). Petri, Thomas: Prüfbericht Quellen-TKÜ, 30.07.2012, abrufbar unter: https: / / www. datenschutz-bayern.de / Quellen-TKUE.html (zuletzt besucht am 20.03.2017).
244 Literaturverzeichnis Pietzcker, Jost: Vorrang und Vorbehalt des Gesetzes, JuS 1979, S. 710–715. Pohle, Jan / Ammann, Thorsten: Über den Wolken… – Chancen und Risiken des Cloud Computing, CR 2009, S. 273–278. Puschke, Jens / Singelnstein, Tobias: Telekommunikationsüberwachung, Vorratsdatenspeicherung und (sonstige) heimliche Ermittlungsmaßnahmen der StPO nach der Neuregelung zum 1.1.2008, NJW 2008, S. 113–119. Quermann, Dieter: Durchsuchung und Beschlagnahme beim steuerlichen Berater, wistra 1988, S. 254–259. Ransiek, Andreas: Die Information der Kunden über strafprozessuale und steuerrechtliche Ermittlungamaßnahmen bei Kreditinstituten, wistra 1999, S. 401–410. Rehbinder, Eckhard: Extraterritoriale Wirkungen des deutschen Kartellrechts, BadenBaden 1965. Reichling, Tilman: Strafprozessuale Ermittlungen bei Kreditinstituten – ein Überblick, JR 2011, S. 12–17. Reindl, Martin: Cloud Computing & Datenschutz, Inside the Cloud, Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2009, (Hrsg.: Taeger, Jürgen / Wiebe, Andreas), S. 441–454, Edewecht 2009 (zitiert als: Reindl, DSRITB 2009). Rengier, Rudolf: Praktische Fragen bei Durchsuchungen, insbesondere in Wirtschaftsstrafsachen, NStZ 1981 S. 372–378. Rickmann, Hagen: Die Sorge Ernst nehmen, kes Verlagsbeilage, März 2012, S. 5–9, abrufbar unter: http: / / 2014.kes.info / archiv / material / cloudsec2012 / cloudsec2012. pdf (zuletzt besucht am 20.03.2018). Riegel, Reinhard: Rechtsprobleme der Rasterfahndung, ZPR 1980, S. 300–305. Rieß, Peter (Hrsg.): 25., neu bearbeitete Auflage Zweiter Band §§ 72–136a, Berlin / Boston 2004 (zitiert als: Bearbeiter, in: LR-StPO (25. Auflage)). Rogall, Klaus: Informationseingriff und Gesetzesvorbehalt im Strafprozeßrecht, ZStW, 103. Band, 1991, S. 907–956. – Informationseingriff und Gesetzesvorbehalt im Strafprozeßrecht, Tübingen 1992. Roggan, Fredrik (Hrsg.): Online-Durchsuchungen, Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008 (zitiert als: Bearbeiter, in: Roggan, Online-Durchsuchungen). Roßnagel, Alexander: 20 Jahre Volkszählungsurteil, MMR 2003, S. 693–694. – (Hrsg.): Handbuch Datenschutzrecht, Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003 (zitiert als: Bearbeiter, in: Roßnagel, Hdb. Datenschutzrecht). – Das Telemediengesetz, Neuordnung für Informations- und Kommunikationsdienste, NVwZ 2007, S. 743–748. – (Hrsg.): Beck’scher Kommentar zum Recht der Telemediendienste, München 2013 (zitiert als: Bearbeiter, in: Roßnagel, Recht der Telemedienste, TMG).
Literaturverzeichnis245 Roßnagel, Alexander / Schnabel, Christoph: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und sein Einfluss auf das Privatrecht, NJW 2008, S. 3534–3538. Roxin, Claus: Anmerkung zu BGH, Urteil vom 15.02.1989 – 2 StR 402 / 88 – Anwesenheit von Fernsehen und Rundfunk; Durchsuchung ohne richterliche Anordnung, NStZ 1989, S. 375–379. Roxin, Claus / Schünemann, Bernd: Strafverfahrensrecht, Ein Studienbuch, 28., neu bearbeitete Auflage, München 2014. Rux, Johannes: Ausforschung privater Rechner durch die Polizei- und Sicherheitsbehörden – Rechtsfragen der „Online-Durchsuchung“, JZ 2007, S. 285–295. – Schlusswort – Analogie oder besondere Ausprägung des Verhältnismäßigkeitsprinzips?, JZ 2007, S. 831–833. Sachs, Michael: Grundgesetz Kommentar, 6. Auflage, München 2011. Säcker, Franz Jürgen (Hrsg.): Berliner Kommentar zum Telekommunikationsgesetz, 2., überarbeitete und erweiterte Auflage, Frankfurt am Main 2009 (zitiert als: Bearbeiter, in: Säcker-TKG) Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut / Limperg, Bettina (Hrsg.): Münchner Kommentar zum Bürgerlichen Gesetzbuch, Band 10, Internationales Privatrecht, Europäisches Kollisionsrecht, Einführungsgesetz zum Bürgerlichen Gesetzbuche (Art. 1–24), 6. Auflage, München 2015 (zitiert als: Bearbeiter, in: MüKo BGB). Sankol, Barry: Das sog. „Raumgespräch“ und seine Verwertbarkeit im Strafverfahren, MMR 2007, S. 692–698. – Verletzung fremdstaatlicher Souveränität durch ermittlungsbehördliche Zugriffe auf E-Mail Postfächer, K&R 2008, S. 279–283. Schaar, Peter: Datenschutz im Internet, Die Grundlagen, München 2002. Schaar, Peter / Landwehr, Sebastian: Anmerkung zum Beschluss des BGH vom 31.01.2007 – StB 18 / 06 – zur verdeckten Online-Durchsuchung, K&R 2007, S. 202–205. Schäfer, Helmut: Der Computer im Strafverfahren, wistra 1989, S. 8–13. Schaller, Christian: Internationale Sicherheit und Cyberspace im Völkerrecht, für klarere Regeln und mehr Verantwortung, SWP-Studie, Oktober 2014, Berlin, abrufbar unter: https: / / www.swp-berlin.org / fileadmin / contents / products / studien / 201 4_S18_slr.pdf (zuletzt besucht am 20.03.2018), (zitiert als: Schaller, SWP-Studie). Schlegel, Stephan: „Online-Durchsuchung light“ – Die Änderung des § 110 StPO durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung, HRRS 2008 S. 23–30. Schlochauer, Hans-Jürgen: Die extraterritoriale Wirkung von Hoheitsakten nach dem Öffentlichen Recht der Bundesrepublik Deutschland und nach internationalem Recht, Frankfurt am Main 1962 (zitiert als: Schlochauer, Die extraterritoriale Wirkung von Hoheitsakten).
246 Literaturverzeichnis Schmidt, Stephan: Die Rechtmäßigkeit staatlicher Gefahrenabwehrmaßnahmen im Internet unter besonderer Berücksichtigung des Europäischen Gemeinschaftsrechts, Frankfurt am Main 2005 (zitiert als: Schmidt, Gefahrenabwehrmaßnahmen im Internet). Schmitz, Peter: TDDSG und das Recht auf informationelle Selbstbestimmung, München 2000. – Datenschutzgerechte Gestaltung von AGB für Telemedien-Dienste, DuD 2001 S. 395–399. Schneider, Mathias: Cloud Computing und US-amerikanische Ermittlungsbefugnisse nach dem Patriot Act, IT und Internet – mit Recht gestalten, Tagungsband Herbstakademie 2012, (Hrsg.: Taeger, Jürgen.), S. 759–772, Edewecht 2012 (zitiert als: Schneider, DSRITB 2012). Scholz, Rupert / Pitschas, Rainer: Informationelle Selbstbestimmung und staatliche Informationsverantwortung, Berlin 1984 (zitiert als: Scholz / Pitschas, Informationelle Selbstbestimmung). Schomburg, Wolfgang / Lagodny, Otto / Gleß, Sabine / Hackner, Thomas (Hrsg.): Internationale Rechtshilfe in Strafsachen, International Cooperation in Criminal Matters, Kommentar zum Gesetz über die internationale Rechtshilfe in Strafsachen (IRG), 5., völlig neu bearbeitete Auflage, München 2012 (zitiert als: Bearbeiter, in: Schomburg et al., Internationale Rechtshilfe in Strafsachen). Schönke, Adolf / Schröder, Horst (Hrsg.): Strafgesetzbuch Kommentar, Strafgesetzbuch Kommentar, 29., neu bearbeitete Auflage 2014 (zitiert als: Bearbeiter, in: Sch / Sch StGB). Schuhmann, Helmut: Durchsuchung und Beschlagnahme im Steuerstrafverfahren, wistra 1993, S. 93–99. Schulz, Carsten: Rechtliche Aspekte des Cloud Computings im Überblick, Inside the Cloud, Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2009, (Hrsg.: Taeger, Jürgen / Wiebe, Andreas), S. 403–418, Oldenburg 2009 (zitiert als: Schulz, DSRITB 2009). Schulz, Gabriel: Das neue IT-Grundrecht – staatliche Schutzpflicht und Infrastrukturverantwortung, DuD 2012, S. 395–400. Schulz, Sönke: Cloud Computing in der öffentlichen Verwaltung – Chancen – Risiken – Modelle, MMR 2010, S. 75–80. Schuster, Fabian / Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? CR 2010, 38–43. Schuster, Frank: Verwertbarkeit im Ausland gewonnener Beweise im deutschen Strafprozess, Berlin 2006. – Verwertbarkeit von Beweismitteln bei grenzüberschreitender Strafverfolgung, ZIS 2016, S. 564–573. Schweinoch, Martin / Störtkuhl, Thomas: Die 10 größten Security-Risiken in der Cloud, Computerwoche, 11.02.2014, abrufbar unter: http: / / www.computerwoche. de / a / ratgeber-it-sicherheit,2363872,2 (zuletzt besucht am 20.03.2018).
Literaturverzeichnis247 Schwörer, Andreas: Schranken grenzüberschreitender Beweisnutzung im Steuer- und Strafverfahren, wistra 2009, S. 452–458. Seitz, Nicolai: Strafverfolgungsmaßnahmen im Internet, Köln 2004. Sieber, Ulrich: Collecting and Using Evidence in the Field of Information Technology, Eser, Albin / Thormundsson, Jonathan (Hrsg.), Old Ways and New Needs in Criminal Legislation, Documentation of a German-Icelandic Colloquium on the Development of Penal Law in general and Economic Crime in Particular, Freiburg 1989 (zitiert als: Sieber, in: Eser / Thormundsson). – Straftaten und Strafverfolgung im Internet, Gutachten C zum 69. Deutschen Juristentag, München 2012 (zitiert als: Sieber, Gutachten 69. DJT). – Legal Aspects of Computer-Related Crime in the information Society – COMCRIME-Study – prepared for the European Commission, Version 1.0 of 1st January 1998, abrufbar unter: http: / / www.edc.uoc.gr / ~panas / PATRA / sieber.pdf (zuletzt besucht am 20.03.2018) (zitiert als: Sieber, COMCRIME-Study). Siegrist, Dave: Hoheitsakte auf fremdem Staatsgebiet, Zürich 1987. Simitis, Sprios (Hrsg.): Bundesdatenschutzgesetz, 8., neu bearbeitete Auflage, BadenBaden 2014 (zitiert als: Bearbeiter, in: Simitis-DBSG). Singelnstein, Tobias: Möglichkeiten und Grenzen neuer strafprozessualer Ermittlungsmaßnahmen – Telekommunikation, Web 2.0, Datenbeschlagnahme, polizeiliche Datenverarbeitung & Co, NStZ 2012, S. 593–606. Sinn, Arndt: Stellungnahme zum Entwurf eines Gesetzes zur Änderung des Strafgesetzbuchs, des Jugendgerichtsgesetzes, der Strafprozessordnung und weiterer Gesetze – BT-Drucksache 18 / 11272, sowie zur Formulierungshilfe der Bundesregierung für einen Änderungsantrag zum o. g. Gesetzentwurf (Ausschussdrucksache 18(6)334, Osnarbrück, den 30.05.2017, abrufbar unter: https: / / www.bundestag. de / blob / 509050 / 6f72dd42df72be6f2da6a024475b3f8a / sinn-data.pdf (zuletzt besucht am 26.07.2017), (zitiert als: Sinn, Stellungnahme BT-Drs. 18 / 11272). Skistims, Hendrik: Smart Homes, Rechtsprobleme intelligenter Haussysteme unter besonderer Beachtung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Baden-Baden 2016. Söbbing, Thomas: Cloud und Grid Computing: IT-Strategien der Zukunft rechtlich betrachtet, MMR 2008, Heft Nr. 5, S. XII-XIV. – Cloud Computing von der juristischen Seite, Computerwoche, 12.10.2009, ab rufbar unter: http: / / www.computerwoche.de / a / cloud-computing-von-der-juristi schen-seite,1904060 (zuletzt besucht am 20.03.2018). – Einführung in das Recht der Informations-Technologie (IT-Recht), Das Leben in parallelen Welten, Jura 2010, S. 915–922. Sommermeyer, Jörg: Die materiellen und formellen Voraussetzungen der strafprozessualen Hausdurchsuchung, Jura 1992, S. 449–457. Spang-Hanssen, Henrik: Cyberspace & International Law on Jurisdiction, Possibilities of Dividing Cyberspace into Jurisdictions with help of Filters and Firewall Software, Copenhagen 2004.
248 Literaturverzeichnis Spannbrucker, Christian: Convention on Cybercrime (ETS 185), Ein Vergleich mit dem deutschen Computerstrafrecht in materiell- und verfahrensrechtlicher Hinsicht, abrufbar unter: https: / / epub.uni-regensburg.de / 10281 / 1 / CCC.pdf (zuletzt besucht am 20.03.2018). Spatscheck, Rainer: Der Beschuldigte im virtuellen Ermittlungsverfahren, kriminalität@net (Hrsg.: Welp, Jürgen), S. 85–96, Baden-Baden 2003 (zitiert als: Spatscheck, in: Welp, kriminalität@net). Spindler, Gerald / Schmitz, Gerald / Geis, Ivo (Hrsg.): TDG, Teledienstgesetz, Teledienstdatenschutzgesetz, Signaturgesetz, Kommentar, München 2004. (zitiert als: Bearbeiter, in: Spindler / Schmitz / Geis, TDG). Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, Kommentar, 3. Auflage, München 2015 (zitiert als: Bearbeiter, in: Spindler / Schuster). Stadler, Thomas: Der Richtervorbehalt – ein stumpfes Schwert oder ein rechtsstaatlich gebotenes Instrumet? ZPR 2013, S. 179–180. Staupe, Jürgen: Parlamentsvorbehalt und Delegationsbefugnis, Zur „Wesentlichkeitstheorie“ und zur Reichweite legislativer Regelungskompetenz, insbesondere im Strafrecht, Berlin 1986 (zitiert als: Staupe, Parlamentsvorbehalt). Stein, Torsten / Buttlar, Christian von / Kotzur, Markus: Völkerrecht, 14., neu bearbeitete Auflage, München 2017. Stiemerling, Oliver: Wo werden eigentlich meine Cloud-Daten gespeichert?, CRonline, 20.09.2013, abrufbar unter: http: / / www.cr-online.de / blog / 2013 / 09 / 30 / wo-werden-eigentlich-meine-cloud-daten-gespeichert / (zuletzt besucht am 20.03.2018). Stoffers, Kristian: Einführung eines „Krisenmanagements“ bei Unternehmen im Hinblick auf mögliche Strafverfahren, wistra 2009, S. 379–384. Süptitz, Thomas / Utz, Christine / Eymann, Torsten: State-of-the-Art: Ermittlungen in der Cloud, Sicherstellung und Beschlagnahme von Daten bei Cloud Storage-Betreibern, DuD 2013, S. 307–312. Wolter, Jürgen (Hrsg.): Systematischer Kommentar zur StPO mit GVG und EMRK, Band II, §§ 94–136a StPO, 5., neu bearbeitete Auflage, Köln 2015 (zitiert als: Bearbeiter, in: SK-StPO). Rudolphi, H.-J. / Wolter, Jürgen (Hrsg.), Systematischer Kommentar zur Strafprozessordnung und zum Gerichtsverfassungsgesetz Band 2, §§ 94–136a StPO, 1. und 2., teilweise 3. und 4. neu bearbeitete Auflage, Stand: 64. Lieferung (Oktober 2009) (zitiert als: Bearbeiter, in: SK-StPO LS). Szer, Benjamin: Cloud Computing und Wissensmanagement, Bewertung von Wissenschaftsmanagementsystemen in der Cloud, Hamburg 2013. Szesny, André-M.: Durchsicht von Daten gem. § 110 StPO, WiJ Ausgabe 4.2012 S. 228–235. Taeger, Jürgen: Die Entwicklung des Computerrechts, NJW 2010, S. 25–31. – (Hrsg.): IT und Internet – mit Recht gestalten, Tagungsband Herbstakademie 2012, Edewecht 2012 (zitiert als: Bearbeiter, DSRITB 2012).
Literaturverzeichnis249 – (Hrsg.): Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Tagungsband Herbstakademie 2013, Band 2, Edewecht 2013 (zitiert als: Bearbeiter, DSRITB 2013). Taeger, Jürgen / Wiebe, Andreas (Hrsg.): Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2009, Edewecht 2009 (zitiert als: Bearbeiter, DSRITB 2009). Terplan, Kornel / Voigt, Christian: Cloud Computing, Heidelberg, München, Landsberg, Frechen, Hamburg 2011. Tezel, Tino: Cloud Computing: SaaS, PaaS & IaaS einfach erklärt, ZD-Aktuell 201605026. Tinnefeld, Marie-Theres / Buchner, Benedikt / Petri, Thomas / Hof, Hans-Joachim (Hrsg.): Einführung in das Datenschutzrecht, Datenschutz und Informationsfreiheit in europäischer Sicht, 6. Auflage, Berlin / Boston 2018 (zitiert als: Bearbeiter, in: Tinnefeld et al.). Tschacksch, Diethard: Die Strafprozessuale Editionspflicht, Gelsenkirchen 1988 (zitiert als: Tschacksch, Editionspflicht). Uerpmann-Wittzack, Robert (Hrsg.): Das neue Computergrundrecht, Berlin 2009 (zitiert als: Bearbeiter, in: Uerpmann-Wittzack). United Nations: Manual on the prevention and control of computer-related crime, abrufbar unter: http: / / 216.55.97.163 / wp-content / themes / bcb / bdf / int_regulations / un / CompCrims_UN_Guide.pdf (zuletzt besucht am 20.03.2018). Verdross, Alfred / Simma, Bruno: Universelles Völkerrecht, Theorie und Praxis, 3., völlig neu bearbeitete Auflage, Berlin 1984. Vogel, Joachim / Brodowski, Dominik: Anmerkung zu OLG Hamburg, Beschluss vom 12.11.2007 – 6 Ws 1 / 07, StV 2009, S. 630–635. Voigt, Paul: Weltweiter Datenzugriff durch US-Behörden, Auswirkungen für deutsche Unternehmen bei der Nutzung von Cloud-Diensten, MMR 2014, S. 158–161. Voigt, Paul / Klein, David: Deutsches Datenschutzrecht als „blocking statute“? Auftragsdatenverarbeitung unter dem USA Patriot Act, ZD 2013, S. 16–20. Wabnitz, Heinz-Bernd / Janovsky, Thomas (Hrsg.): Handbuch des Wirtschafts- und Steuerstrafrechts, 4., neu bearbeitete und erweiterte Auflage, München 2014 (zitiert als: Bearbeiter, in: Wabnitz / Janovsky). Walden, Ian: Computer Crimes and digital Investigations, Second Edition, Oxford 2016. Warken, Claudia: Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 1: Beweissicherung im Zeitalter der digitalen Cloud, NZWiSt 2017, S. 289–298. – Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 2: Beweisverwertung im Zeitalter der digitalen Cloud und datenspezifische Regelungen in der StPO, NZWiSt 2017, S. 329–338. – Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 3: Jenseits der StPO: Analogie, supra- und internationale Regelungen, praktische Lösungsansätze, NZWiSt 2017, S. 417–425.
250 Literaturverzeichnis – Elektronische Beweismittel im Strafprozessrecht – eine Momentaufnahme über den deutschen Tellerrand hinaus, Teil 4: Quo vadis, StPO? Warum es expliziter gesetzlicher Regelungen für den Umgang mit elektronischen Beweismitteln im Strafprozess bedarf und welche Rolle die Europäische Union dabei spielt, NZWiSt 2017, S. 449–458. Wehnert, Anne: Anmerkung zu Beschl. des LG Kiel v. 22.6.2006 – 37 Qs 54 / 06, JR 2007 S. 82–84. Welp, Jürgen: „Vereinfachter“ Geheimnisschutz im Strafverfahren?, JZ 1972, S. 423– 428. – (Hrsg.): kriminalität@net, Baden-Baden 2003 (zitiert als: Bearbeiter, in: Welp, kriminalität@net). Welsing, Ruth: Das Recht auf informationelle Selbstbestimmung im Rahmen der Terrorabwehr: Darstellung anhand einer Untersuchung der präventiven Rasterfahndung, Hamburg 2009. Weyand, Carolin: Die Beschlagnahme von Mobiltelefonen – Zugleich Anmerkung zum Beschluss des BVerfG vom 04.02.2005, StV 2005, S. 520–522. Wicker, Magda: Durchsuchung in der Cloud, Nutzung von Cloud-Speichern und der strafprozessuale Zugriff deutscher Ermittlungsbehörden, MMR 2013, S. 765–769. – Ermittlungsmöglichkeiten in der Cloud, Vereitelt das Speichern in der Cloud die Zuständigkeit deutscher Ermittlungsbehörden? Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, Tagungsband Herbstakademie 2013, Band 2 (Hrsg.: Taeger, Jürgen), S. 981–1000, Edewecht 2013 (zitiert als: Wicker, DSRITB 2013). – Cloud Computing und staatlicher Strafanspruch, strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, Baden-Baden 2016. Wiedemann, Peter: Tatwerkzeug Internet, Ein Überblick über das System und seine kriminelle Nutzung, Kriminalistik 2000, S. 229–239. Wilske, Stephan: Die völkerrechtswidrige Entführung und ihre Rechtsfolgen, Berlin 2000. Wimmers, Jörg / Heckmann, Dirk: Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG), CR 2017, S. 310–316. Windisch, Eva / Medman, Niclas: Understanding the digital natives, Ericsson Business Review, 1 / 2008, S. 36–39. Zerbes, Ingeborg: Spitzeln, Spähen, Spionieren, Sprengung strafprozessualer Grenzen durch geheime Zugriffe auf Telekommunikation, Wien 2010. Zerbes, Ingeborg / El-Ghazi, Mohamad: Zugriff auf Computer: Von der gegenständlichen zur virtuellen Durchsuchung, NStZ 2015 S. 425–433. Ziebarth, Wolfgang: Online-Durchsuchung, Hamburg 2013. Zimmermann, Till: Der strafprozessuale Zugriff auf E-Mails, JA 2014, S. 321–327. Zöller, Mark Alexander: Verdachtslose Recherchen und Ermittlungen im Internet, GA 2000, S. 563–577.
Sachwortverzeichnis Beschlagnahme 16, 64, 69, 77, 87, 90 ff., 96, 99 ff., 105 ff., 136, 139 f., 146, 169, 172, 184, 196 f., 199 ff., 209 ff., 216, 218 Bestandsdaten 40, 44, 138, 141 ff., 186, 188, 191 f., 212, 214 f., 222
Infrastructure as a Service (IaaS) 17, 27 ff. Inhaltsdaten 45 f., 55, 67, 76, 112, 120, 129 ff., 139, 143, 145 f., 155 f., 165, 172, 186 f., 189, 191 f., 204, 210 ff., 219
Cloud-Collaboration 43, 148 Community Cloud 30, 33 Convention on Cybercrime 160 ff., 166 ff., 172, 178 f., 185 ff., 191 ff., 205, 214, 222 f., 224, 226
Nutzungsdaten 44 ff., 55, 76, 138, 145 f., 156, 172, 189, 195, 211 ff.
Datenschutz 18, 38 f., 45 f., 144, 189, 190, 195, 219 ff., 227 Datenschutzgrundverordnung 38 f., 45 f., 144 ff., 156, 190, 212 f., 219 f. Datenträger 62, 89, 102 ff., 107, 111 ff., 117 ff., 137, 139, 155, 186, 199 ff., 209, 218 Desktopanwendungen 51, 67, 116 Download 43, 56, 66 ff., 71, 147 f., 215 Durchsicht 54, 86 ff., 106, 116, 122, 155, 196 ff., 207, 209 f. Durchsuchung 15 f., 18, 52 ff., 57 f., 60 ff., 73 ff., 76 ff., 86 ff., 91 ff., 120 ff., 129 ff., 136 f., 146, 152 ff., 165, 169, 184, 192, 196 ff., 207 ff., 216 f., 219 f., 224, 227 f.
Offline 51, 53, 68 f., 83 f., 94, 115 ff., 148, 196 ff. Online-Durchsuchung 18, 58, 61, 65, 73, 76, 100, 120 ff., 135, 152 f., 155 ff., 207 f., 217, 220, 227 Passwort 38, 44, 53 ff., 82 f., 95 f., 118, 122, 145, 198, 200, 203 f., 207, 211 f., 222 Platform as a Service (PaaS) 27 ff. Private Cloud 30, 32 f., 38, 174, 210, 218 Public Cloud 30 ff., 38, 47 f., 174, 195, 205 Quellen-Telekommunikations überwachung (TKÜ) 18, 58, 120, 146, 150 ff., 217 f., 220, 227 Quick-Freeze 172 f., 218
Gewahrsam 79, 86 ff., 100, 103, 106, 109 ff., 119, 129, 133 ff., 138 ff., 201 f., 211, 213, 215
Rechtfertigung 16, 18, 103, 130, 160, 163 ff., 178, 180 f., 184 f., 187 f., 191 ff., 204 ff., 214, 218 f., 222 ff., 228
Herausgabe 16 f., 53, 55, 84, 106, 110, 131, 136, 138 ff., 145, 156 f., 169, 172, 184 f., 187 ff., 195, 204, 209 ff., 219, 223, 228 Hybrid Cloud 32 f., 210
Serverstandort/Standort 38, 47 ff., 55, 61, 173 ff., 177 ff., 183, 194, 203, 205, 218, 221, 228 Serververbund 47 f., 173 f., 178, 182, 184, 193 f., 205 f.
252 Sachwortverzeichnis Sicherstellung 69, 95 f., 102, 105 ff., 134, 136 ff., 155 f., 174, 196 ff., 210 Software as a Service (SaaS) 27, 29 f., 51, 188 Speichermedium 38, 55, 68, 81, 89, 92 ff., 100 f., 107, 111 ff., 115, 119, 137 ff., 155, 186, 199 ff., 209 ff., 218 Territorialprinzip 18, 157 ff., 173 f., 176 f., 191, 204, 223 Upload 43, 66 ff., 71, 147 f., 215 Verhältnismäßigkeit 62, 64, 72, 84, 97 f., 101 ff., 113, 117 f., 124, 128,
131 f., 134, 139, 149 f., 155 f., 197 ff., 209, 218 Verkehrsdatenauskunft 140 ff. Verschlüsselung 53, 56, 82, 122, 146, 150 f., 156, 217 Virtualisierung 16 f., 21, 33 ff., 47 ff., 56, 125, 130, 174 f., 180, 193 f., 204 ff., 209 f., 218, 225 ff. Zugangssicherung 52 ff., 81 ff., 95 ff., 100, 102, 116, 140 f., 161, 163, 165, 196 ff., 201 ff., 211, 221, 225 Zusatzprotokoll 224