„EncroChat“-Daten: unzulässige Massenüberwachung oder goldener Zufallsfund?

Die Medien haben in den letzten Monaten über „EncroChat“-Prozesse berichtet. Mehrere deutsche Gerichte mussten sich mit der Frage beschäftigen, ob die Daten des Krypto-Messengerdienstes „EncroChat“ als Beweise verwertbar sind. Doch was hat es mit diesen Verfahren auf sich? Und wieso ist die Verwertbarkeit der gewonnenen Daten so umstritten?

„EncroChat“ und Krypto-Handys

„EncroChat“ ist der Name eines früheren Anbieters von Ende-zu-Ende verschlüsselten Instantmessagingdiensten und Krypto-Handys. Android-Smartphones wurden so modifiziert, dass sie eine absolut anonyme Kommunikation ermöglichten. Dazu wurden die GPS-, Kamera- und Mikrofon-Hardware entfernt und ein paralleles Betriebssystem mit einem Ende-zu-Ende verschlüsselten Instant-Messenger installiert. Alle über das Handy versandten Nachrichten wurden über den Firmenserver von „EncroChat“ in Frankreich geroutet.

Die Geräte verfügten außerdem über eine „Wipe“-Funktion: Durch Eingabe einer PIN konnten sämtliche Daten vom Endgerät schnell gelöscht werden. Für Kriminelle eine nützliche Funktion. Denn gerieten sie ins Visier der Ermittler, könnten sie im letzten Moment vor dem Zugriff mit einem Klick sicherstellen, dass diese nicht mehr auf die Handydaten als Beweismittel zugreifen können. Ein solches Krypto-Handy war für etwa 1.000 Euro zu erwerben und konnte nur mit einer Lizenz genutzt werden, die zusätzlich 3.000 Euro im Jahr kostete.

Die „EncroChat“-Verfahren

Angesichts der zwielichtigen Zusatzfunktionen gingen die Ermittler in Frankreich davon aus, dass Krypto-Handys vornehmlich für Zwecke organisierter Kriminalität benutzt wurden. In Zusammenarbeit mit Europol und Eurojust platzierten sie einen Trojaner auf die EuroChat-Server in Frankreich, der sich auf die Endgeräte sämtlicher Nutzer verbreitete. Damit hatten die Ermittler über Monate Zugriff auf mehr als 32.000 Telefone in über 120 Ländern. Über 100 Million Nachrichten sollen durch die Ermittler gelesen worden sein.

Von den Ermittlungen waren Nutzer in Ländern ganz Europas betroffen, unter anderem auch in Deutschland. Die französischen Ermittler leiteten aktiv auch Datensätze zur Aufdeckung von Straftaten auf deutschem Hoheitsgebiet an die deutschen Ermittler weiter. Aufgrund dieser Daten wurden zahlreiche Strafverfahren in Deutschland eingeleitet – die „EncroChat“-Verfahren. Kritischer Punkt dabei: Konnten die Verfahren eingeleitet werden allein aufgrund der „EnroChat“-Daten? Unter anderem die Oberlandesgerichte in Brandenburg, Rostock, Schleswig und Hamburg kamen zu der Auffassung, dass die Daten verwertbar seien. Das Landgericht Berlin stellte sich dagegen, doch der Beschluss wurde kurz darauf vom Kammergericht Berlin aufgehoben.

Das Landgericht Berlin wagt sich vor…

Das Landgericht Berlin lehnte die Eröffnung eines Hauptverfahrens ab, welches hauptsächlich auf „EncroChat“-Daten des Angeklagten basiert hätte, weil die Daten nicht als Beweise verwertbar seien. Zur Begründung führte das LG Berlin an, dass die Überwachung des Krypto-Handys in Deutschland als Online-Durchsuchung (§ 100b StPO) bzw. als Telekommunikationsüberwachung (§ 100 a StPO) einzustufen sei. Beides setze aber einen konkreten Tatverdacht voraus. Allein der Besitz eines Krypto-Handys begründe einen solchen Verdacht nicht.

Zudem hätten die französischen Ermittlungsbehörden gegen einschlägige Rechtshilfevorschriften verstoßen, indem sie die deutschen Behörden nicht über die auf deutschem Gebiet stattfindende Überwachung unterrichtet hätten. Damit sei die Beweisgewinnung rechtswidrig gewesen. Das zieht zwar im deutschen Strafverfahren nicht zwingend das Verbot der Verwertung nach sich. Aber in diesem Fall sah das LG in dem mangelnden konkreten Tatverdacht eine anlasslose „Massenüberwachung“, die unter Berücksichtigung der betroffenen Grundrechte (Allgemeines Persönlichkeitsrecht, Art. 2 Abs. 1, Art. 1 Abs. 1 GG, Telekommunikationsfreiheit, Art. 10 GG) nicht mehr als rechtsstaatlich angesehen werden könne.

…und das Kammergericht dreht es zurück

Das Kammergericht Berlin entschied auf Beschwerde der Staatsanwaltschaft anders. Es ordnet die „EncroChat“-Daten als Zufallsfunde im Sinne des § 100e Abs. 6 Nr. 1 StPO ein. Konsequenz: Der maßgebliche Zeitpunkt für das Vorliegen eines konkreten Tatverdachts ist nicht der Beginn der Überwachungshandlung durch die französischen Behörden, sondern der Zeitpunkt, zu dem das deutsche Strafverfahren beginnt. Ob der Tatverdacht auch ohne die Erkenntnisse aus dem ersten Verfahren (hier dem französischen Ermittlungsverfahren) entstanden wäre, hielt das KG für unerheblich.

Zudem gelte zwischen Mitgliedsstaaten der EU der Grundsatz der justiziellen Zusammenarbeit, inklusive der gegenseitigen Anerkennung von Urteilen und Entscheidungen. Die richterlichen Beschlüsse, auf denen die Überwachungsmaßnahmen der französischen Ermittlungsbehörden beruhten, unterlägen deshalb einem eingeschränkten Prüfungsmaßstab (z.B. dem des Art. 6 EMRK oder dem Grundsatz des ordre public), der nicht verletzt wurde.

Auch die fehlende Unterrichtung der deutschen Behörden bei Beginn der Abhörung von Nutzern auf deutschem Hoheitsgebiet sei kein Grund für ein Beweisverwertungsverbot. Durch ihr weiteres Verhalten nach Weitergabe der „EncroChat“-Daten hätten die deutschen Behörden klargemacht, dass sie die Überwachung billigen würden. Das käme einer nachträglichen Heilung gleich.

Das KG Berlin hob den Beschluss des Landgerichts auf und ordnete die Eröffnung des Hauptverfahrens vor einer anderen Kammer des Landgerichts an.

Bewertung

Die Entscheidungen in den „EnroChat“-Fällen tangieren Grundsatzfragen, die weit über die einzelnen Verfahren hinausgehen. In der deutschen Rechtsordnung gilt, dass der Staat ohne Vorliegen einer Gefahr oder eines Anfangsverdachts nicht zwangsweise auf die Sphäre des Bürgers zuzugreifen darf. Darin steckt ein wesentliches Element der Freiheitssicherung.

Stufen die Gerichte nun wie das Kammergericht Berlin ohne konkreten Tatverdacht sichergestellte Messenger-Daten als „Zufallsfunde“ ein, erlauben sie im Ergebnis eine anlasslose Überwachung von Telekommunikationsgeräten, die erst dazu führt, dass Verdachtsmomente entstehen. Eine solche Form der Überwachung ist dem deutschen Recht aber fremd. Sie sollte auch nicht durch die Hintertür ermöglicht werden, indem auf Daten aus dem EU-Ausland zugegriffen wird.

Hinzu kommt, dass staatliche Ermittler die Nutzung von verschlüsselten Geräten immer noch argwöhnisch betrachten. Angesichts der im europäischen Recht zunehmend verankerten Verpflichtung, die Sicherheit der Verarbeitung von Daten zu gewährleisten (Art. 32 DSGVO), bewegt sich das Recht hier in einem Dauerwiderspruch: Einerseits wird die Verschlüsselung von Daten eingefordert, andererseits als Beleg dafür herangezogen, dass da wohl jemand etwas zu verbergen hat.

Es bleibt zu hoffen, dass der BGH und gegebenenfalls später das Bundesverfassungsgericht die mit den „EnroChat“-Entscheidungen entstandenen Tendenzen wieder einfangen.