E-Evidence: Die wichtigsten digitalen Überwachungsmittel der Strafverfolgungsbehörden kurz erklärt

Um bei einem begründeten Verdacht eine Straftat zu verhindern oder im Nachhinein aufzuklären, greifen die Ermittler immer öfter auch auf Daten und elektronische Endgeräte zu. Doch wie weit darf die Überwachung durch staatliche Behörden gehen? Und welche Mittel sind erlaubt? In unserer neuen Beitragsreihe „E-Evidence“ befassen wir uns mit den wichtigsten Fragen rund um das Thema digitale Beweismittel.

Telekommunikationsüberwachung

Die Telekommunikationsüberwachung ermöglicht die Überwachung laufender Kommunikationsvorgänge (§ 100a Abs. 1 Satz 1 StPO). Darunter fallen das Überwachen und Aufzeichnen von Telefonaten, Text-, Bild- oder Sprachnachrichten. Die Telekommunikationsüberwachung darf nur zur Verfolgung bestimmter, im Einzelfall schwerwiegender schwerer Straftaten eingesetzt werden. Dazu gehören beispielsweise Mord, Totschlag oder besonders schwerer Betrug.

Erkenntnisse aus der Telekommunikationsüberwachung dürfen allerdings auch zur Aufklärung anderer als der aktuell ermittelten Straftat genutzt werden. Ein Beispiel: Stoßen die Ermittler beim Abhören von Telefongesprächen in einem Mordfall auf Hinweise auf einen besonders schweren Betrug, dürfen sie diese Zufallserkenntnisse nutzen, um auch den Betrug zu verfolgen.

Zu den rechtlichen Grenzen der Telekommunikationsüberwachung kommen technische: Üblicherweise sind Nachrichten auf dem Übertragungsweg verschlüsselt, beispielsweise bei WhatsApp (Ende-zu-Ende-Verschlüsselung). Während der Übertragung kann deshalb nicht auf die Inhalte der Kommunikation zugegriffen werden. Die einfache Telekommunikationsüberwachung ist in diesen Fällen nicht nutzbar.

Quellen-Telekommunikationsüberwachung

Da sich die  Verschlüsselungstechniken immer weiter entwickelt haben, wurde 2017 die Quellen-Telekommunikationsüberwachung eingeführt (§ 100a Abs. 1 Satz 1 und 2 StPO). Dabei greifen Ermittler auf das Endgerät, etwa das Smartphone oder den Laptop, eines Tatverdächtigen zu. So können Chat-Verläufe unverschlüsselt abgeschöpft werden.

Bei der Quellen-Telekommunikationsüberwachung „infiziert“ die Sicherheitsbehörde das Endgerät des Betroffenen mit einer Überwachungssoftware (sog. Staatstrojaner). So kann die laufende Kommunikation über das Endgerät mitgelesen werden.

Überwacht und aufgezeichnet werden dürfen außerdem bereits übertragene Inhalte, die noch auf dem Endgerät gespeichert sind. Dies sind vor allem Nachrichten, die über Messengerdienste ausgetauscht werden.

Erhoben werden dürfen aber nur die Daten, die ab dem Zeitpunkt der Anordnung der Quellen-Telekommunikationsüberwachung hätten überwacht und aufgezeichnet werden können. Eine rückwirkende Erhebung von Daten ist nicht erlaubt.

Online-Durchsuchung

Bei der Online-Durchsuchung greifen die Ermittler heimlich mittels Spähsoftware auf IT-Systeme (Laptop, Smartphone usw.) zu, um Daten aus dem jeweiligen IT-System zu erheben (§ 100b StPO).

Bei einer Online-Durchsuchung können neben neuen Kommunikationsinhalten auch alle anderen gespeicherten Inhalte und das Nutzungsverhalten einer Person überwacht werden. Die Online-Durchsuchung reicht damit weiter als die Quellen-Telekommunikationsüberwachung.

Der Katalog an Straftaten, zu deren Verfolgung die Online-Durchsuchung eingesetzt werden darf, ist strenger ausgestaltet. Er enthält weniger und nur schwere Straftaten, dazu gehört bspw. die Gefahrenabwehr etwa bei Lebensgefahr von Personen. Die Online-Durchsuchung darf zum Beispiel nicht genutzt werden, um einen Betrug zu verfolgen.

Erkenntnisse, die aus einer Online-Durchsuchung gewonnen wurden, dürfen auch weniger umfangreich verwendet werden. Zufallserkenntnisse können nur zur Verfolgung von solchen Straftaten verwendet werden, bei denen eine Online-Durchsuchung hätte angeordnet werden dürfen.

Statt dieser heimlichen Online-Durchsuchung können Ermittler auch eine offene (IT-)Durchsuchung vor Ort durchführen und so an gespeicherte Daten gelangen. Im Zusammenhang mit der Durchsuchung bei Beschuldigten oder Dritten können Datenträger und Daten durchgesehen und sodann sichergestellt bzw. beschlagnahmt werden. Auch auf räumlich getrennte Speichermedien kann zugegriffen werden, soweit von elektronischen Speichermedien aus auf sie zugegriffen werden kann. Das heißt: Wird bei einer Durchsuchung etwa der Laptop durchgesehen, darf auch auf Daten, die in einer Cloud liegen, zugegriffen werden. Das gilt aber nur, wenn sie im Inland gespeichert sind.

Strafverfolgungsbehörden können direkte Auskunft von Telekommunikations- und Telemediendienstanbietern über Bestands-, Verkehrs- bzw. Nutzungsdaten verlangen. Anbieter sind verpflichtet, die abgefragten Daten an die Ermittler herauszugeben. Der Betroffene bekommt hiervon regelmäßig zunächst nichts mit.

Möglich sind bei einer Online-Durchsuchung darüber hinaus auch sogenannte Herausgabeanordnungen, die sich auf Daten unverdächtiger Dritter beziehen (etwa Unternehmen, die Daten gespeichert haben, § 95 Abs. 1 StPO). Prominentes Beispiel ist die Herausgabeanordnung über Bankunterlagen durch Banken.

Neuerdings gibt es einen Auskunftsanspruch gegenüber Erbringern von Postdiensten hinsichtlich Postsendungen, die an den Beschuldigten gerichtet sind, von ihm herrühren oder für ihn bestimmt sind (§ 99 Abs. 2 StPO).

IP-Tracking und IP-Catching

Strafverfolgungsbehörden nutzen IP-Tracking und IP-Catching, um die IP-Adresse einer Person festzustellen und  eine Person anhand der IP-Adresse zu identifizieren.

Um die Identität einer Zielperson festzustellen, die im Internet unter Verschleierung ihrer IP-Adresse agiert, wird der Zielperson beispielsweise eine Nachricht (z. B. per E-Mail oder WhatsApp) mit einem Anhang zugeleitet, der einen Lesebestätigungsdienst enthält. Wird der Anhang geöffnet, übermittelt der Lesebestätigungsdienst automatisch die IP-Adresse der Zielperson zurück.

So können die Ermittler etwa den Namen und die Adresse der Zielperson bei deren Telekommunikationsdienstanbieter abfragen.

Im Einzelnen wird darüber gestritten, auf welche Rechtsgrundlage das IP-Tracking zu stützen ist. Der BGH jedenfalls meint, IP-Tracking sei nach § 100g StPO zulässig.

Ziel des IP-Catchings ist es, herauszufinden, welche Personen einen bestimmten Dienst (z. B. Website, Internet-Telefondienst, Forum, Anonymisierungsdienst oder Kontaktformulare) genutzt haben. Dazu werden alle IP-Adressen der Nutzer des jeweiligen Dienstes erhoben. Auf Grundlage der so gewonnenen IP-Adressen erfolgt in einem zweiten Schritt die Zuordnung der IP-Adressen zu bestimmten Personen über die Bestandsdatenauskunft (§ 100j StPO).

Funkzellenabfrage

Bei der Funkzellenabfrage werden unabhängig von einem Einzelkommunikationsvorgang alle Verkehrsdaten vom Netzbetreiber erhoben, die innerhalb eines eng begrenzten Zeitraums in einer bestimmten Funkzelle angefallen sind (§ 100g Abs. 3 StPO). So wird festgestellt, welche Mobilgeräte zu einer bestimmten Zeit der jeweiligen Funkzelle zugeordnet waren. Daten der sich in diesem Bereich eingeloggten Mobiltelefone können zur Identifizierung von Tatverdächtigen dienen bzw. deren Anwesenheit in diesem Bereich nachweisen.

Die Ausforschung der Karten- und Gerätenummer eines Mobilfunkgeräts ist zulässig, wenn dies erforderlich ist, um den Sachverhalt zu erforschen oder den Aufenthaltsort eines Beschuldigten zu ermitteln (§ 100i StPO). Hier können die Ermittler selbst technische Mittel einsetzen und müssen nicht den Umweg über die Anbieter gehen: Mithilfe des sog. IMSI-Catchers können die Ermittler die IMEI wie auch die IMSI eines eingeschalteten Mobiltelefons und seinen Standort selbst erheben. Anhand der IMEI kann über eine Bestandsdatenabfrage die Identität des Inhabers aufgedeckt werden.

Außerdem können die Ermittler anhand der IMSI herausfinden, welches Mobiltelefon eine Zielperson aktuell nutzt, um anschließend eine (Quellen-)TKÜ durchzuführen. Der Standort wird ermittelt, indem die virtuelle Funkzelle des IMSI-Catchers nach dem Mobiltelefon der Zielperson durchsucht wird und Messungen von verschiedenen Punkten mit dem IMSI-Catcher fortgesetzt werden.

Stille SMS

Stille SMS dienen dazu, den Aufenthaltsort eines Mobilfunkgeräts – also seines Besitzers – zu ermitteln. Auch hier dient laut BGH § 100i StPO als Rechtsgrundlage.

Bei der stillen SMS versendet die Polizei eine SMS an das Handy. Das Handy zeigt diese SMS nicht an, sendet aber von der aktuellen Funkzelle ein Signal an den Mobilfunkbetreiber. So erfahren die Ermittler, welches Handy sich zu einer bestimmten Zeit in welcher Funkzelle aufhält.

Durch mehrfache Wiederholung des Vorgangs lässt sich ein Bewegungsprofil erstellen. Die Staatsanwaltschaft erhebt die Informationen beim Mobilfunkbetreiber.

Die stille SMS gilt als eine der wichtigsten technischen Ermittlungsmaßnahmen zur Standortbestimmung von Personen.

Klassische Überwachungsmaßnahmen

Im Repertoire sind natürlich auch die „klassischen“ Maßnahmen der Überwachung:

• die akustische Überwachung innerhalb und außerhalb von Wohnraum,
• die Bildaufnahme (inkl. Videoaufnahmen) und
• der Einsatz weiterer technischer Mittel (Nachtsichtgeräte, Bewegungsmelder, GPS-Sender, Satellitenbilder usw.) außerhalb von Wohnraum sowie
• die klassische Observation.

Das Aufrufen von Internetseiten und das „Einwählen“ in öffentlich zugängliche, spezielle Datennetze und Speicher mit einer Gastkennung durch die Polizei ist grundsätzlich möglich (Internetstreife).

Neben der bloßen Internetstreife besteht auch die Möglichkeit, Polizeibeamte als virtuelle verdeckte Ermittler einzusetzen, die unter einer Legende etwa in Chatforen auftreten. Unterschieden wird dabei zwischen verdeckten Ermittlern und nicht offen ermittelnden Polizeibeamten. Letztere werden im Unterschied zu verdeckten Ermittlern nur bei einzelnen Ermittlungsmaßnahmen aktiv und sie verfügen über keine auf Dauer angelegte veränderte Identität.

Auch Inhalte aus sozialen Netzwerken dürfen Gegenstand von Überwachungsmaßnahmen sein. Erlaubt sind sowohl die Internetstreife, verdeckte Ermittler und nicht offen ermittelnde Polizeibeamte als auch die (Quellen-)Telekommunikationsüberwachung und Online-Durchsuchung.