E-Evidence: Dürfen Strafverfolgungsbehörden auf Daten zugreifen, wenn sie auf Servern im Ausland liegen?
Nein, bisher dürfen Behörden Daten, die im Ausland gespeichert sind, nicht ohne Weiteres erheben. Sie müssen stattdessen auf das Rechtshilfeverfahren zurückgreifen, d.h. die ausländische Behörde, die im jeweiligen Land zuständig ist, darum bitten, die Daten zu erheben und nach Deutschland zu übermitteln.
Hindernis für Ermittler
Das ist unpraktisch für die inländischen Ermittlungsbehörden, denn sie müssen zunächst ermitteln, wo im Ausland die Daten gespeichert sind, was oftmals gar nicht so leicht ist und überdies im Ermittlungsverfahren wertvolle Zeit kostet.
Diese Probleme hat auch das LG Koblenz gesehen, aber nur vermeintlich gelöst (Beschluss vom 24.8.2021 – 4 Qs 59/21): Jedenfalls bei Cloud basierten Speicherdiensten sei ein Ausfindigmachen des (aktuellen) Speicherorts nach Auffassung des LG Koblenz regelmäßig sinnlos, sodass ein Zugriff inländischer Ermittler über die Online-Durchsicht nach § 110 Abs. 3 StPO auch auf (mutmaßlich) im Ausland gespeicherte Daten erfolgen könne. Dies verletzt jedoch die Souveränitätsrechte des Staates, in dem die Daten gespeichert sind. Schon aus diesem Grund steht das LG Koblenz mit seiner Auffassung bisher zu Recht allein da (siehe dazu unseren Blogbeitrag). Stand jetzt sind Behörden also weiterhin auf das unter Umständen langwierige Rechtshilfeverfahren angewiesen.
Die Cybercrime-Konvention
Nach dem Zweiten Zusatzprotokoll der sog. Cybercrime-Konvention soll der Zugriff auf Daten im Ausland künftig vereinfacht bzw. teilweise ein Direktzugriff bei ausländischen Unternehmen ermöglicht werden. Die Konvention ist ein völkerrechtlicher Vertrag, den europäische und außereuropäische Staaten miteinander geschlossen haben – sie haben sich dazu verpflichtet, die darin geschlossenen Vereinbarungen innerstaatlich umzusetzen. Wann die Staaten den geplanten vereinfachten Zugriff auf digitale Beweismittel nach dem Zweiten Zusatzprotokoll rechtlich umsetzen, ist allerdings noch nicht abzusehen. Einzelheiten hierzu haben wir in unserem Blogbeitrag zusammengefasst.
Die E-Evidence-Verordnung
In der „Pipeline“ ist zudem die sog. E-Evidence-Verordnung der EU. Auch sie soll Direktzugriffe auf Daten bei ausländischen Unternehmen möglich machen – wenn auch nur innerhalb der EU. Danach dürfen Strafverfolgungsbehörden in einem EU-Staat unter Ausschluss der Behörden des Zielstaates unmittelbar mit dort ansässigen Diensteanbietern kommunizieren und Daten anfordern können. Auch in Bezug auf diese Verordnung ist derzeit aber noch unklar, wann sie verabschiedet und in Kraft treten wird. Der Rat und das EU-Parlament haben sich am 29. November 2022 auf einen Kompromiss geeinigt (siehe dazu Pressemitteilung der EU-Kommission).
Sonderregeln für Telekommunikations- und Telemedienanbieter
Eine „Ausnahme“ von alledem bilden Datenauskünfte, die Strafverfolgungsbehörden an Unternehmen mit Sitz im Ausland richten, soweit diese dem Anwendungsbereich eines Gesetzes unterliegen, welches das sog. Marktortprinzip anordnet. Es verpflichtet Unternehmen , die im Ausland sitzen und dort ihre Daten speichern, aber im Gebiet des Staates der anordnenden Behörde etwa ihre Dienstleistung erbringen, zur Kooperation. Geregelt ist dies beispielsweise schon jetzt für die Bestands-, Verkehrs- und Nutzungsdatenauskunft im TKG und im TTDSG für Telekommunikations- und Telemediendienstanbieter.