Netzwerkdurchsetzungsgesetz

E-Evidence: Können Strafverfolgungsbehörden auf meine Passwörter zugreifen und sie verwenden?

Haben Strafverfolgungsbehörden das Recht, auf bestimmte Daten zuzugreifen, kann ein Passwortschutz sie daran hindern. Sie sind aber berechtigt, Wege zu finden, den Schutz zu brechen oder zu umgehen.

Passwörter mitteilen?

Beschuldigte sind nicht verpflichtet, Passwörter gegenüber Ermittlern preiszugeben. Passwörter, die bei einer Durchsuchung bspw. auf Zetteln gefunden werden, dürfen allerdings sichergestellt bzw. beschlagnahmt und verwendet werden.

Verwendung von Analyse-Tools

Über Analyse-Tools können Zugangsdaten, die auf einem sichergestellten Gerät gespeichert sind, ausgelesen werden. Umstritten und nicht geklärt ist allerdings, ob diese Zugangsdaten im Nachgang verwendet werden dürfen, um auf Social Media-Accounts zuzugreifen. Nach zutreffender, wenn auch umstrittener Ansicht handelt es sich bei Social Media-Accounts nicht um räumlich getrennte Speichermedien, sodass eine Durchsicht nicht auf § 110 Abs. 3 StPO gestützt werden kann.

Anfrage bei Diensteanbietern

Darüber hinaus können Strafverfolgungsbehörden Passwörter bei Dienstanbietern von Telemedien abfragen. Dazu müssen allerdings die gesetzlichen Voraussetzungen vorliegen, wie etwa die in § 100a StPO geregelten Erfordernisse bei einer Nutzung der Zugangsdaten für eine Telekommunikationsüberwachung.

Zum anderen bleibt die Verschlüsselung der Passwörter von der Befugnis der Strafverfolger unberührt. Weil die DS-GVO vorschreibt, dass Passwörter verschlüsselt und nicht etwa im Klartext abzuspeichern sind, werden sie in der Regel auch nur in dieser Form herausgegeben. Daraus müssen die Ermittler das Passwort sodann im Klartext ermitteln.

Anfrage beim Administrator des Unternehmens 

Eine weitere Möglichkeit ist es, den IT-Administrator des Unternehmens beizuziehen. Dieser ist nicht zu einer technischen Unterstützung verpflichtet, auch bei einer IT Durchsuchung nicht. Gleichwohl kann er als (normaler) Zeuge zu den Passwörtern befragt werden. Wenn er diese kennt, muss er im Rahmen einer ordentlichen Zeugenvernehmung dazu eine Aussage tätigen. Er ist aber nicht verpflichtet, diese aktiv zu beschaffen.

Und in der Praxis?

Angesichts des hohen Aufwands fragen Ermittler häufig zunächst bei den Betroffenen an, ob diese das Passwort freiwillig herausgeben. Nicht selten – vor allem im Umfeld von Wirtschafts- und Cyberstrafverfahren – kommen die Betroffenen dem (insbesondere im Rahmen einer Durchsuchung) schnell nach. Eine solche Entscheidung kann im Interesse der Betroffenen sein, sollte aber möglichst erst nach Rücksprache mit der (Unternehmens-)Verteidigung erfolgen, damit die Vor- und Nachteile einer solchen Kooperation richtig gewichtet werden.

 

Geschrieben von