LG Koblenz: Online-Durchsicht ermöglicht auch Zugriff auf (Cloud-)Daten im Ausland
Mit dem Landgericht Koblenz hat erstmals ein Gericht den direkten Zugriff auf digitale Beweismittel im Ausland gestattet. Leitet es damit einen Paradigmenwechsel ein?
Bislang entspricht es der herrschenden Auffassung, dass Daten im Ausland ausschließlich über Rechtshilfeverfahren erhoben werden können. Zuletzt hatte das Landgericht München im Jahr 2017 diesen Grundsatz bestätigt („Jones Day“-Entscheidung des BVerfG). Das Landgericht Koblenz hat diese Linie nun in Frage gestellt (Beschluss vom 24.08.2021 – 4 Qs 59/21, BeckRS 2021, 24917). Es geht davon aus, dass im Rahmen der Online-Durchsicht auch direkt auf Daten im Ausland zugegriffen werden kann.
Strafprozessualer Hintergrund
§ 110 Abs. 3 StPO erlaubt Ermittlern bei einer Durchsuchung auch die elektronischen Speichermedien des Betroffenen durchzusehen. Dies gilt nach dem Wortlaut der Norm auch für räumlich getrennte Speichermedien, soweit auf sie von dem elektronischen Speichermedium aus zugegriffen werden kann, wenn andernfalls der Verlust der gesuchten Daten zu befürchten ist. Die Daten dürfen in diesem Fall auch gesichert werden.
Nach bislang überwiegender Auffassung erstreckt sich diese Befugnis jedoch nur auf Daten, die sich in Deutschland befinden – nicht auf Daten, die auf Servern im Ausland gespeichert sind. Dieses wird als Verstoß gegen die Souveränität des ausländischen Staates gewertet. Vereinfacht gesagt gilt: Die deutsche Strafgewalt, samt der dazugehörigen staatlichen Befugnisse zur Klärung des Sachverhalts, endet an den nationalen Grenzen. Sobald Beweise aus dem Ausland zu erheben sind, muss die Ermittlungsbehörde den Weg der internationalen Rechtshilfe gehen.
Ermittler stellt dies immer dann vor Schwierigkeiten, wenn der Betroffene – wie mittlerweile üblich – Cloud-Dienste zur Speicherung seiner Daten nutzt. Die Server der Cloud-Anbieter stehen in der Regel nicht im Inland. Folglich müssen Ermittler ein Rechtshilfeersuchen an den ausländischen Staat richten, auf dessen Gebiet sich die Server mit den Daten befinden. Ermittler betrachten den Weg über das Rechtshilfeverfahren regelmäßig als große Hürde. Wollen sie sie umgehen, sind sie auf die (freiwillige) Kooperation mit dem Beschuldigten oder dem Betroffenen angewiesen.
Der Fall: Online-Durchsicht im Ausland via Handy-Zugriff
Ein Beschuldigter übergab im Rahmen einer Durchsuchung den IT-Fahndungsbeamten sein Handy. Das Handy wurde vor Ort mit dem sog. UFED Physical Analyzer gesichert. Mit dem Physical Analyzer werden – neben den Inhaltsdaten auf dem Handy – auch die auf dem Handy gespeicherten Zugangsdaten zu Online- und Clouddiensten ausgelesen und in einem sog. Account-Package dem IT-Prüfer zur Verfügung gestellt. Ein sog. UFED Cloud Analyzer kann genau das Account-Package einlesen. Der Analyzer versucht dann online mit Hilfe der Zugangsdaten weitere, online gespeicherte Daten abzurufen. Für Ermittler sind diese Zugangsdaten von großem Interesse, weil damit der Zugriff auf die (kompletten) digitalen Profile und den dort hinterlegten Daten möglich wird.
Im Nachhinein stellte der Beschuldigte fest, dass wenige Tage nach der Durchsuchung von einer fremden IP-Adresse – dem Cloud Analyzer – auf seine Konten u.a. bei Facebook und Google zugegriffen worden war. Dagegen erhob er Beschwerde und rügte vor allem: Die Maßnahme sei unzulässig gewesen, weil die durchsuchten Medien im Ausland lägen und der Zugriff hierauf strafprozessual nicht gedeckt sei.
Die Entscheidung des LG Koblenz
Das LG Koblenz sah dies anders und hielt die Maßnahme für von § 110 Abs. 3 StPO in sämtlichen Belangen gedeckt. Dies aus den folgenden Gründen:
Zunächst seien die bei eBay, Facebook und Google gespeicherten Daten über das durchsuchte Mobiltelefon des Beschuldigten nach § 110 Abs. 3 StPO zugänglich gewesen. Daran ändere auch der Passwortschutz nichts, da die Zugangsdaten den Ermittlungsbehörden bekannt geworden waren.
Die Online-Sichtung werde auch nicht dadurch zu einer (echten) verdeckten Online-Durchsuchung, dass sie gegenüber den Gewahrsamsinhabern der Daten – hier eBay, Facebook und Google – heimlich erfolgt, solange der Zugriff aufgrund der Konfiguration des Computersystems des Betroffenen technisch möglich sei.
Auch sei für den Beschuldigten erwartbar gewesen, dass die auf seinem Handy gespeicherten Daten abgerufen werden würden, weil das Gerät und die darauf befindlichen Zugangsdaten im Rahmen einer Durchsuchung sichergestellt worden waren. Gleiches gelte für weitere Speicherorte, deren Zugangsdaten sich auf den Geräten befanden. Der Zugriff auf die Daten habe auch innerhalb der üblichen Sichtungszeiten stattgefunden.
Auch der Zugriff auf die (wohl) im Ausland gespeicherten Daten hält das LG Koblenz für nach § 110 Abs. 3 StPO zulässig und insbesondere für ohne Rechtshilfeersuchen möglich. Denn der Wortlaut der Norm beinhalte keine Einschränkung auf Daten im Inland. Dem Argument, dass diese Beschränkung aus der Begründung des Gesetzentwurfes hervorgeht, hält das LG entgegen: Der historische Gesetzgeber habe 2007 nicht vor Augen gehabt, dass Daten künftig dezentral über Drittanbieter in Clouds gespeichert werden würden.
Gegen das Erfordernis des Rechtshilfeersuchens spreche außerdem, dass der Staat, an den ein solches Ersuchen zu richten wäre, entweder nicht feststellbar sei oder sich durch eine Neuordnung des Speicherplatzes durch den Dritten jederzeit ändern könne. Es entspreche gerade dem Geschäftsmodell, dass der Standort der tatsächlich genutzten Server nicht mit denen der Drittanbieter übereinstimmen müsse. Zu verlangen, dass Behörden sich vor einem Zugriff auf die Daten zuerst an den unbekannten oder wechselnden Staat wenden müssten, auf dessen Hoheitsgebiet der gerade genutzte Server steht, führe § 110 Abs. 3 StPO ad absurdum.
Das LG Koblenz sieht in dieser Auslegung auch keinen Verstoß gegen das Souveränitätsprinzip. Zwar sei nach Art. 32 der Cybercrime-Konvention (nur) ein Zugriff auf in einem fremden Staat gespeicherte Daten bei offenen Quellen oder mit Einverständnis des Verfügungsberechtigten möglich. Daraus sei jedoch nicht abzuleiten, dass ein darüberhinausgehender Zugriff völkerrechtswidrig wäre.
Das Gericht stützt sich hierbei zum einen auf ein Diskussionspapier des Europarats von 2010. Danach solle der Zugriff auf gespeicherte Daten unabhängig vom Speicherort möglich sein, wenn
(1) wegen der Nutzung von Cloud-Speichern der Speicherort unbekannt oder unsicher sei,
(2) der Abruf der Daten aufgrund eines autorisierten Zugriffs (Benutzername und Kennwort) möglich sei,
(3) die Zugriffsdaten dem Beschuldigten gehören oder von ihm verwendet würden,
(4) die Zugriffsdaten rechtmäßig von den Strafverfolgungsbehörden erlangt wurden,
(5) kein Auskunftsersuchen an den Drittanbieter erging und
(6) der Beschuldigte sich auf dem Hoheitsgebiet des handelnden Staates befinde oder dessen Staatsbürger sei.
Diese Voraussetzungen seien im Fall des Beschuldigten erfüllt gewesen.
Zum anderen beruft sich das LG auf höchstrichterliche Rechtsprechung als „Quelle des Völker(gewohnheits)rechts“. So habe der belgische Kassationshof entschieden, dass ein in den USA ansässiges Unternehmen in Cloud-Systemen gespeicherte Daten an belgische Behörden herausgeben müsse. Für die territoriale Anknüpfung sei ausreichend gewesen, dass das Unternehmen in Belgien eine Webpräsenz unterhalten und dort am Wirtschaftsleben teilgenommen habe.
Auch der US Court of Appeal habe im obiter dictum ausgeführt, dass der Standort elektronischer Dokumente virtuell sei. Und weiter: Würde von einer amerikanischen Firma die Vorlage von E-Mails eines amerikanischen, sich dort aufhaltenden Staatsbürgers verlangt, welche zwar in Irland gespeichert, aber durch Knopfdruck abrufbar seien, so erscheine es als bemerkenswert formalistisch, dies als extraterritorial anzusehen und nicht als innerstaatlichen Vorgang.
Urteil des LG nicht nachvollziehbar
Die Entscheidung des LG Koblenz ist aus einer Vielzahl von Gründen kaum nachvollziehbar.
Es gibt zwar durchaus Stimmen, die einen direkten Zugriff in einer bestimmten Konstellation für zulässig erachten. Dies aber nur dann, wenn sich der Speicherort der Daten nicht aufklären lässt. Dass die Ermittler im vorliegenden Fall Anstrengungen unternommen hätten, den Speicherort festzustellen, lässt sich der Entscheidung nicht entnehmen.
Stattdessen nutzt das LG Koblenz die Flüchtigkeit von Daten als generelles Kriterium für die Unwissenheit des Speicherstandortes um die Anwendung dieser isolierten Ausnahme begründen zu können. Das paart sich mit einem „rhetorischen Trick“, nämlich der Behauptung, dass § 110 Abs. 3 StPO keine Regelung zum Zugriff auf Daten im Ausland enthält, aber eben auch keine Beschränkung auf Daten im Inland. Verkannt wird dabei, dass das Gebot der Normenklarheit dem Gesetzgeber aufgibt, staatliche Befugnisse zu regeln und Zweifel zu Lasten des Staates gehen. Dies muss gerade dann gelten, wenn eine Norm Ermittlungsmaßnahmen legitimieren soll, die möglicherweise in Konflikt mit der Souveränität fremder Staaten treten. In solchen „Grenzfällen“ bedarf es einer eindeutigen gesetzgeberischen Entscheidung für die völkerrechtlich brisante Beweisgewinnung aus außerstaatlichen Quellen. Das Fehlen eines entsprechenden Verbots in § 110 Abs. 3 StPO ist keine hinreichende Grundlage für entsprechende Maßnahmen, denn für Strafverfolgungsbehörden gilt eben nicht, dass alles was nicht verboten ist, erlaubt sein muss.
Höchst kritisch zu sehen ist auch, dass das Landgericht ein Diskussionspapier aus 2010 und weitere „Ansätze“ in der „höchstrichterlichen“ Rechtsprechung als Quelle des „Völkergewohnheitsrechts“ bemüht. Diese drei Dokumente dürften kaum ausreichend sein für den Befund einer dauernden und einheitlichen Übung im Sinne des Völkergewohnheitsrechts. Vielmehr drängt sich der Eindruck auf, das Gericht habe einige sein späteres Ergebnis stützende Dokumente zitiert, ohne sich allzu intensiv mit den Gegenargumenten zu beschäftigen. So hat z.B. das Komitee des Europarates zur Cybercrime Konvention am 28. Mai 2021 ein umfassendes Protokoll zu einer Reform der Verbesserung der Zusammenarbeit Beweismitteln vorgelegt. In den Erwägungen hierzu wird festgehalten, dass die Ausweitung von Durchsuchungen im internationalen Kontext aus verschiedenen Gründen nicht weiterverfolgt wurden, sondern dass man eine Verbesserung der Zusammenarbeit anstrebt. Hierzu verliert das Landgericht Koblenz allerdings kein Wort. Ebenso wird die entgegenstehende Entscheidung des Landgerichts München aus dem Jahr 2017 nicht erwähnt.
Unbefriedigende Rechtslage
Zuzugestehen ist dem Landgericht Koblenz, dass die derzeitige Rechtslage unbefriedigend ist. Das betrifft allerdings nicht nur die fehlende Möglichkeit des direkten Zugriffs auf Daten im Ausland. Vielmehr gilt, dass der Gesetzgeber insgesamt kaum mehr auf der Höhe der Technik ist. Viele Fragen rund um die digitale Beweisgewinnung sind überhaupt nicht geregelt und werden ausschließlich auf §§ 94 ff. StPO gestützt. In der Praxis beachten die Ermittler darüber hinaus so gut wie nie das strafprozessuale Datenschutzrecht und greifen stattdessen gerne auf alle Daten vollumfänglich zu.
Dieser „ermittlungsfreundliche“ Ansatz setzt sich bei den zwischenstaatlichen Vereinbarungen fort. Sowohl die Cybercrime Konvention, als auch die europäische Ermittlungsanordnung (EEA) und die geplanten Reformen der Europäischen Union (E-Evidence-Verordnung) sollen einseitig Zugriffsmöglichkeiten schaffen, ohne zugleich den Rechtsschutz aufzuwerten. Auch die kürzlich verabschiedete Reform der Cybercrime-Konvention tariert staatliche Befugnisse und den Grundrechtsschutz nicht aus (Zweites Zusatzprotokoll zur Cybercrime-Konvention: Wichtige Eckpunkte (unternehmensstrafrecht.de).
Folgen für die Praxis
Setzt sich die Rechtsauffassung des LG Koblenz durch, hat dies deutliche Konsequenzen für Durchsuchungen beim Beschuldigten. Zwar muss ein Beschuldigter Passwörter nicht aktiv zur Verfügung stellen und kann dazu auch nicht gezwungen werden (§ 136 Abs. 1 S. 2 StPO). Allerdings ist damit zu rechnen, dass Computer und mobile Endgeräte auch im Hinblick auf darauf gespeicherte Zugangsdaten ausgelesen werden.
Hat die Behörde die Zugangsdaten erst einmal rechtmäßig erlangt, kann sie nach der Entscheidung des LG zusätzlich auf Daten im Ausland zugreifen. Der mitunter langwierige Weg über das Rechtshilfeverfahren entfällt. Und weil es sich bei dieser Maßnahme um eine Online-Durchsicht und keine Online-Durchsuchung handelt, ist dafür nicht einmal eine weitere richterliche Anordnung erforderlich.
Möglicherweise geringer sind die Auswirkungen auf Durchsuchungen in Unternehmen. Das Unternehmen ist nicht Beschuldigter, sondern Dritter. Auch im Rahmen von Durchsuchungen im Unternehmen können die Behörden an Zugangsdaten gelangen. Neben der Sicherstellung „herumliegender“ Passwörter, können die Ermittler Zeugen verpflichten, ihnen bekannte Zugangsdaten anzugeben. Ob und inwiefern nach der Entscheidung des LG mit diesen Zugangsdaten dann auch auf Daten im Ausland zugegriffen werden könnte, hängt aber davon ab, inwieweit die Kriterien des Diskussionspapiers künftig als maßgeblich erachtet werden. Nach diesen Kriterien dürfen nur Zugangsdaten für den Zugriff auf Daten im Ausland verwendet werden, die dem Beschuldigten gehören oder von diesem verwendet werden – nicht aber sämtliche Zugangsdaten des Unternehmens.