Durchsuchungen Teil 3: die IT-Durchsuchung

Digitale Beweismittel stehen immer häufiger im Zentrum der Beweisgewinnung. Schließlich können sie neben dem eigentlichen Inhalt über die sog. Metainformationen das ganze Benutzerverhalten offenlegen: Wer hat wann, wie und wie oft welches System genutzt und auf welche Daten zugegriffen? – für die Ermittler im Zweifel eine höchst interessante Information. Warum Unternehmen gut beraten sind, sich mit den Besonderheiten der IT-Durchsuchung vertraut zu machen, beleuchten wir in diesem dritten Teil unserer Beitragsreihe zum Thema Durchsuchungen.

Ohne die IT-Abteilung geht es nicht

Wenig überraschend dürfte sein, dass die IT-Abteilung beziehungsweise der IT-Spezialist des Unternehmens eine wesentliche Rolle im Falle einer IT-Durchsuchung spielt. Sie oder er ist also gleich zu Beginn der Durchsuchung hinzuzuziehen.

Wichtig ist, dass der IT-Verantwortliche auf solch eine Situation auch vorbereitet ist. Er muss wissen, wo die verlangten Daten mit dem bestimmten Inhalt gespeichert sind und wie darauf zugegriffen werden kann. Dazu muss er den Überblick über die gesamte IT-Struktur des Unternehmens haben und diese jederzeit dokumentieren können. Praktisch jederzeit griffbereit sein sollten ein Übersichtsplan über lokale und mobile Geräte, ein Netzwerkplan, eine Liste mit Mitarbeiteraccounts, eine Berechtigungsliste und eine Backup-Übersicht.

Jeder Datenzugriff durch die Ermittler ist durch die IT-Mitarbeiter zu begleiten und zu dokumentieren.

Auch das Backup-System sollte die IT prüfen und dabei etwaige Fristen im Auge behalten. Nicht selten zieht sich ein Untersuchungsverfahren über mehrere Jahre. Sichergestellt sein muss dann, dass die Backups für den betreffenden Zeitraum nicht mehr verändert werden. Dies sollte mit den Ermittlern offen besprochen werden.

IT-Besonderheiten des Durchsuchungsbeschlusses  

Bei einer IT-Durchsuchung muss das Durchsuchungsziel sehr konkret dargestellt sein. Die gesuchten Datenträger müssen der Art nach beschrieben und explizit im Durchsuchungsbeschluss aufgeführt werden.

Zusätzlich muss der Beschluss die sog. „Auffindevermutung“ enthalten. Das heißt, im Beschluss muss erläutert sein, warum die Ermittler annehmen, dass sich bestimmte Daten an dem Durchsuchungsort befinden. In den Beschlüssen werden dazu viele Standardinformationen angegeben, die gemeinsam mit dem Unternehmensverteidiger genauestens geprüft werden sollten. Wird beispielsweise das Verfahren nur gegen einen Geschäftsführer geführt, ordnet der Beschluss aber ohne weitere Begründung die Sicherstellung der Geräte aller Geschäftsführer an, fehlt es an der Auffindevermutung. Gegen diesen sog. „überschießenden Beschluss“ kann dann Beschwerde eingelegt werden.

Den Durchschungsbeschluss intensiv zu prüfen, ist auch vor einem anderen Hintergrund wichtig. Bei Beweismitteln, die nicht im Beschluss aufgeführt werden, besteht keine Pflicht zur Herausgabe. Das bedeutet allerdings nicht, dass das Unternehmen diese Unterlagen nicht freiwillig herausgeben darf. In diesen Fällen sollte das Unternehmen selbst vorab eine eigene datenschutzrechtliche Prüfung vornehmen. Geschieht dies nicht, könnte es sein, dass die freiwillige Herausgabe von Beweismitteln einen Datenverstoß darstellt.

Ob der freiwilligen Herausgabe außerdem die Pflicht zur Verschwiegenheit nach § 203 StGB entgegensteht, sollte durch die Unternehmensleitung und der Unternehmensverteidigung im Einzelfall geklärt werden.

Durchsicht von Daten: Suchwortliste abstimmen 

Eine weitere Besonderheit bei einer IT-Durchsuchung ist die Durchsicht von elektronischen Speichermedien. Hierfür enthält § 110 StPO eine eigene Regelung. Hintergrund ist, dass bei digitalen Beweismitteln normalerweise eine große Datenmenge vorhanden ist, die sich auf den sicherzustellenden EDV-Trägern oder auf den Laufwerken der Netzwerke befinden.

Aus Gründen der Verhältnismäßigkeit sind die Ermittler gehalten, nicht einfach nach der Staubsaugermethode alle Daten abzugreifen, sondern die für das Verfahren relevanten Daten zu isolieren. In der Praxis geschieht das durch Suchwortlisten: Die Ermittler haben regelmäßig vorab eine Liste von Begriffen erstellt, die den Bezug zum Tatverdacht herstellen und so eine Isolierung ermöglicht.

Oft wird versucht, dies schon beim Zugriff vor Ort umzusetzen. Teilweise sind die Datenmengen aber so groß, dass die Ermittler die Daten kopieren und sodann (teilweise Wochen und Monate lang) eine Suche in den Räumlichkeiten der Ermittler durchführen. In diesen Fällen müssen Unternehmensleitung und Unternehmensverteidiger erwägen, mit den Ermittlern zu kooperieren.

Neuerdings treffen Unternehmen und Staatsanwaltschaften auch Datenlieferungsvereinbarungen. Dies kann zur Beschleunigung des Verfahrens beitragen. Es sollte aber gut bedacht werden, weil die Nichterfüllung der Datenlieferungsvereinbarung durchaus Auswirkungen auf das Strafverfahren haben kann.

Relevante von irrelevanten Daten trennen

Nach der Rechtsprechung muss bei einer Durchsuchung der Zugriff auf für das Verfahren bedeutungslose Informationen vermieden werden. Die wichtigste Aufgabe für das Unternehmen ist somit zu gewährleisten, dass sich die Sicherstellung auf relevante Daten bezieht und keine Daten von nicht betroffenen Personen in den staatlichen Gewahrsam gelangen. Verfahrensrelevante und nicht verfahrensrelevante Daten sollten also möglichst gleich zu Beginn der Durchsuchung getrennt werden.

In der Praxis behaupten die Ermittler oftmals, dass eine saubere Trennung von verfahrensrelevanten und nicht verfahrensirrelevanten Daten kaum möglich ist. Der wahre Grund ist hier natürlich, dass die Durchführung einer solchen Trennung höchst aufwendig ist und die Ermittler dies gerne vermeiden möchten. Technisch ist dies allerdings sehr gut möglich. Das Unternehmen muss die aktive Mitarbeit allerdings anbieten.

Über entsprechende Containerlösungen ist es für das Unternehmen möglich, eine eigene Vorauswahl zu treffen, die die Staatsanwaltschaft dann prüfen und „abnehmen“ kann. Sollte die Staatsanwaltschaft sich darauf nicht einlassen, hat das Unternehmen die Möglichkeit, dagegen Beschwerde einzulegen.

Das betroffene Unternehmen und der Strafverteidiger haben übrigens auch dann ein Anwesenheitsrecht, wenn die Durchsicht von Daten nicht vor Ort stattfindet. Dieses Recht kann und sollte geltend gemacht werden, um eine Übereinkunft über die Daten mit Verfahrensrelevanz zu erzielen und nur die erheblichen Daten bei den Ermittlern zu belassen.

Cloud-Speicher und Passwörter  

Die Behörden dürfen grundsätzlich auch auf Daten zugreifen, die in einer Cloud gespeichert sind. Steht allerdings der Cloud-Server im Ausland, gibt es dafür – Stand heute – keine unmittelbare Rechtsgrundlage. Die Ermittler müssen dann im Wege der Rechtshilfe vorgehen, also die Hilfe der zuständigen ausländischen Behörde in Anspruch nehmen.

Clouds sind normalerweise passwortgesichert. Preisgegeben werden müssen Passwörter nur, wenn die betroffene Person – meistens der zuständige IT-Administrator – formal als Zeuge geladen wird. Liegen Passwörter jedoch offen herum, können sie sichergestellt werden. Auch eine Entschlüsselung ist den Behörden erlaubt. Wichtig ist daher, Mitarbeiter deutlich anzuweisen, keine Passwörter aufzuschreiben und für sichere Passwörter zu sorgen.

Der Unternehmensverantwortliche und der Strafverteidiger können jedoch überlegen, ob die freiwillige Preisgabe des Passwortes oder Herausgabe der gespeicherten Daten im Einzelfall sinnvoll ist, etwa um die Sicherstellung ganzer Server zu vermeiden.

Kooperation ist oftmals sinnvoll

Eine Kooperation mit den Ermittlern bietet sich in vielen Fällen an. Das gilt vor allem für Fälle, in denen es um die Herausgabe von Daten oder Datenarealen geht, die vom Durchsuchungsbeschluss nicht gedeckt sind. Wenn eine Datenlieferungsvereinbarung geschlossen wird, muss das Unternehmen genau darauf achten, dass es die Zusage der Datenlieferung auch einhält. Unterlaufen bei der Zusammenstellung oder Aufbereitung von Datensätzen Fehler, kann dies zum Vorwurf der Strafvereitelung führen. Das gleiche gilt für nicht eingehaltene zeitliche Zusagen. Bei der Aufbereitung und Selektion von Datenmengen kommt es in der Praxis oft zu Komplikationen, die zu Anfang des Prozesses nicht ersichtlich waren und den Prozess verlängern. Insofern sollte eine Datenlieferungsvereinbarung unter Einbeziehung von Spezialisten gut vorbereitet werden.

Fazit

Jede Durchsuchung bedeutet eine große Herausforderung für Unternehmen. Für die IT-Durchsuchung gilt dies in besonderem Maße. Denn hier wird das Unternehmen tendenziell kooperieren wollen, weil ansonsten eine Sicherstellung des gesamten Datenbestands droht. Die Kooperation sollte allerdings nicht so weit gehen, dass sie die Verteidigungsrechte des Unternehmens aushebelt.

Weil mit der Durchsuchung der IT einige technische Besonderheiten einhergehen, sollten die Mitarbeiter für den Fall der Fälle gesondert geschult und sensibilisiert werden. Insbesondere muss der Notfallplan für Durchsuchungen diese Besonderheiten einbeziehen. Auch für die IT-Durchsuchung gilt: Je gründlicher die Vorbereitung, desto besser ist das Unternehmen für den Ernstfall gewappnet.


Teil 1: Durchsuchungen – die rechtlichen Voraussetzungen

Teil 2: Checkliste für den Ernstfall

Teil 4: Wie läuft eine Durchsuchung ab?

Teil 5: Beschlagnahme von Verteidigerunterlagen

Sie haben Fragen zum Thema? Sprechen Sie uns gerne direkt an.