Читать книгу Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud - Dirk Meinicke - Страница 5

„Das Internet kennt keine Grenzen.“1 Mit dieser Feststellung illustriert die Europäische Kommission im Jahr 2018 die Notwendigkeit einer europaweit einheitlichen Regelung für den grenzüberschreitenden strafprozessualen Zugriff auf elektronische Beweismittel. Die von der Kommission vorgeschlagene Verordnung nehme „das spezifische Problem ins Visier, das durch die Volatilität elektronischer Beweismittel und die internationale Dimension entsteht“.2 An späterer Stelle gibt die Begründung des Verordnungsentwurfs einen guten zusammenfassenden Überblick über die Struktur jener Technologie, bei der das besagte spezifische Problem der Volatilität und Internationalität in besonderer Weise entsteht.

„In vielen Fällen werden Daten nicht mehr auf dem Gerät eines Nutzers gespeichert, sondern über eine Cloud-Infrastruktur grundsätzlich für den Zugang von jedem beliebigen Ort aus zur Verfügung gestellt. Diensteanbieter müssen nicht in jedem Staat niedergelassen sein oder dort Server unterhalten, sondern können vielmehr eine zentrale Verwaltung und dezentrale Systeme nutzen, um Daten zu speichern und ihre Dienste anzubieten. Sie tun dies, um den Lastausgleich zu optimieren und um schneller auf Ersuchen der Nutzer um Daten zu reagieren. Inhalt verteilende Netze (content delivery networks, CDN) werden in der Regel eingesetzt, um das Bereitstellen von Inhalten durch das Kopieren von Inhalten auf verschiedene Server in aller Welt zu beschleunigen. Damit können Unternehmen Inhalte von dem Server liefern, der dem Nutzer am nächsten ist oder der die Kommunikation durch ein schwächer frequentiertes Netzwerk leiten kann.“3

Nun ist die die Relevanz moderner Kommunikationsmittel für die Strafverfolgung insgesamt alles andere als eine neue Erkenntnis, sondern vielmehr fast schon ein Allgemeinplatz.4 Auch wurde das Phänomen Cloud-Computing schon vor einigen Jahren erstmals in den Fokus strafprozessualer Diskussionen gerückt5 und ist zuletzt auch Gegenstand einzelner Monographien6 gewesen. Dass die mit dem strafprozessualen Zugriff auf Cloud-Systeme verbundenen Fragestellungen gleichwohl weiterhin nicht befriedigend gelöst sind, hat aus Sicht des Verf. im Wesentlichen zwei Ursachen: Zum einen sind Cloud-Sachverhalte praktisch immer inter- bzw. transnational, weil die Daten im absoluten Regelfall auf Servern außerhalb des Bundesgebietes gespeichert sind, womit das nationale Recht allein keine Handhabe zur Beantwortung der aufgeworfenen Rechtsfragen bietet.7 Zum anderen zeigen sich die Schwierigkeiten beim Umgang mit Cloud-Sachverhalten als Symptom eines tiefergehenden Defizits, das darin besteht, dass der bundesdeutsche Gesetzgeber bislang wenig Mühe darauf verwendet hat, den Katalog strafprozessualer Ermittlungsbefugnisse an die Herausforderungen des digitalen Zeitalters anzupassen.8 Die erst kürzlich eingeführten Vorschriften zu Quellen-TKÜ und Online-Durchsuchung9 haben insofern zwar die richtige Zielrichtung, sind aber in einem hektischen und fragwürdigen Verfahren verabschiedet worden und weisen dementsprechend eine Reihe von Mängeln auf.

Die Diskussion über Cloud-Sachverhalte im nationalen Recht wird daher letztlich unweigerlich auf die klassischen Maßnahmen der Beschlagnahme bzw. Durchsuchung und der Telekommunikationsüberwachung (TKÜ) zurückgeworfen. Weil nun aber die Notwendigkeit des Zugriffs auf Cloud-Daten zur Gewährleistung einer effektiven Strafverfolgung angesichts der ubiquitären Verbreitung dieser Technologie unbezweifelbar ist, scheint sich eine gewisse Tendenz im Schrifttum bemerkbar zu machen, die überkommenen Eingriffsbefugnisse in einer Weise zu interpretieren, die den Zugriff auf die Cloud sicherstellt.10 Dieser Tendenz wird in der vorliegenden Arbeit mit Nachdruck entgegengetreten. Dem wird die Einsicht entgegengehalten, dass der staatliche Zugriff auf Datenbestände in informationstechnischen Systemen mit Blick auf Intensität und Reichweite des Grundrechtseingriffs eine neuartige Qualität hat. Das ist vom Ersten Senat des Bundesverfassungsgerichts in seiner Entscheidung zur (präventiven) Online-Durchsuchung – sowie anschließend in der Entscheidung zum BKAG – im Grundsatz zutreffend herausgearbeitet worden.11

Weil in informationstechnischen Systemen also permanent (oft vom Nutzer unbemerkt) unterschiedlichste Daten gespeichert und erzeugt werden, aus denen sich in der Gesamtheit nicht selten aussagekräftige Persönlichkeitsbilder, Bewegungsprofile und Verhaltensmuster ableiten lassen, ist es unabdingbar, dass die wesentlichen Voraussetzungen des strafprozessualen Zugriffs auf entsprechende Daten vom Gesetzgeber in bereichsspezifischer und klarer Weise bestimmt werden. Die Uminterpretation geltender Vorschriften ist demgegenüber kein gangbarer Weg. Damit lässt sich das Ergebnis dieser Untersuchung an dieser Stelle vorwegnehmen: Das geltende Recht sieht – da auch die kürzlich neu in die Strafprozessordnung eingefügten Vorschriften zu Quellen-TKÜ und Online-Durchsucheng einer kritischen (verfassungsrechtlichen) Prüfung nicht standhalten – derzeit keine Ermächtigungsgrundlage für den Zugriff auf Cloud-Systeme vor. Das ist unter dem im Grundsatz anerkennenswerten Bedürfnis nach effektiver Strafverfolgung unbefriedigend, wobei den gravierendsten Auswirkungen durch die Anerkennung einer Übergangsfrist begegnet werden kann.12 Im Übrigen sollte es nach Ansicht des Verf. aber auch Aufgabe einer rechtswissenschaftlichen Arbeit sein, ein entsprechendes Regelungsdefizit klar zu benennen, anstatt im vorauseilenden Gehorsam der gerichtlichen Praxis vermeintliche „Lösungen“ anzubieten und damit den Gesetzgeber von seiner Verantwortung zu entlasten.

Die Rechtsprechung – namentlich ist hier der Zweite Senat des Bundesverfassungsgerichts zu nennen – hat in der Vergangenheit die eine oder andere Chance verpasst, den Gesetzgeber an seine verfassungsrechtlich verbürgte Verantwortung zu erinnern, die darin besteht, die wesentlichen Voraussetzungen neuartiger Grundrechtseingriffe in hinreichend bestimmter Weise zu regeln. In erster Linie ist hier die Entscheidung zum strafprozessualen Zugriff auf beim Diensteanbieter gespeicherte E-Mails zu nennen,13 eine Maßnahme, die in technischer Hinsicht ein Unterfall der Cloud-Problematik ist. Zuletzt wurde auch die Überwachung des Surfverhaltens, und damit ein der Intensität nach mit einer Online-Durchsuchung zumindest teilweise vergleichbarer Eingriff, auf die herkömmliche Telekommunikationsüberwachung gestützt.14 Indem die Judikatur bis hin zum Zweiten Senat des Bundesverfassungsgerichts in dieser Weise das Instrumentarium der Zwangsmaßnahmen im geltenden Recht auf neuartige Eingriffe mit ihren spezifischen Gefährdungslagen ausdehnt, konnte für die Praxis eine trügerische Scheinsicherheit geschaffen werden dahingehend, dass der mit Blick auf die Bedürfnisse effektiver Strafverfolgung ohne Frage notwendige Zugriff auf informationstechnische Systeme – speziell auf die heute besonders weit verbreitete E-Mail-Kommunikation – auch ohne Gesetzesänderung möglich sein würde.

Indes zeigt sich spätestens bei der Rechtslage hinsichtlich der Überwachung des Surfverhaltens, dass solche Lösungen auf der Basis des überkommenen geltenden Rechts vermutlich nicht von Dauer sein können. Denn während der für das Strafrecht zuständige Zweite Senat am BVerfG diese Maßnahme in wenig überzeugender Weise unter Berufung auf § 100a StPO für zulässig erklärt hat, gibt es Rechtsprechung des für die präventiven Ermittlungsmaßnahmen zuständigen Ersten Senats, die diesem Verständnis recht eindeutig entgegensteht. Womöglich ist daher das letzte Wort noch nicht gesprochen hinsichtlich der Frage, ob die StPO in ihrer geltenden Fassung den Herausforderungen des digitalen Zeitalters gewachsen ist. Nach der hier entwickelten Lösung, die sich auf dem sicheren Boden allgemeiner verfassungsrechtlicher Maßstäbe verortet,15 scheitert das geltend Recht hieran beinahe schon krachend.

Den grundsätzlich richtigen Weg für eine zukünftige gesetzliche Regelung weist aus Sicht des Verfassers der eingangs erwähnte Verordnungsvorschlag der Europäischen Kommission.16 Darin wird ebenso simpel wie revolutionär das sog. Marktortprinzip implementiert, wonach die Strafverfolgungsorgane den Zugriff auf etwaige Daten unabhängig von ihrem konkreten – häufig gar nicht mehr zuverlässig zu ermittelnden – Speicherort an dem Ort vornehmen, an der der Serviceprovider seine Dienste anbietet. Damit wird der ansonsten unvermeidliche loss of location,17 der Verlust eines erreichbaren Ortes für den ermittlungsbehördlichen Zugriff auf die in der weltweiten informationstechnischen Netzwerkstruktur zirkulierenden Daten, verhindert. Sofern dann – was dem Vorschlag der Kommission leider gründlich misslingt – Eingriffsnormen geschaffen werden, die den sensiblen Anforderungen eines zeitgemäßen Grundrechts- und Verfahrensschutzes Rechnung tragen, müssen effektive Strafverfolgung einerseits und tragfähiger Grundrechtsschutz andererseits auch im „Strafprozessrecht 4.0“ keine unüberwindbaren Gegensätze bleiben.

Die vorliegende Untersuchung geht zur Klärung der beim strafprozessualen Zugriff auf Cloud-Systeme auftretenden Fragen wie folgt vor: Zunächst werden im ersten Abschnitt die technischen Grundlagen etwas näher geschildert, die für das Funktionieren von Cloud-Anwendungen von Bedeutung sind (B). Anschließend müssen die verfassungsrechtlichen Rahmenbedingungen skizziert werden, die bei der Suche nach einschlägigen Ermächtigungsnormen zu beachten sind (C), bevor darauf aufbauend die einzelnen in Betracht kommenden Eingriffsgrundlagen innerhalb des deutschen Strafprozessrechts auf ihre Eignung zur Legitimation des Zugriffs auf die Cloud hin untersucht werden (D). Schließlich ist zu der Frage der Verwertbarkeit von rechtswidrig erlangten Daten Stellung zu nehmen (E), bevor die Arbeit mit einer Zusammenfassung der wesentlichen Ergebnisse endet (F). Die Untersuchung beschränkt sich dabei auf die Voraussetzungen eines Zugriffs auf Inhaltsdaten,18 weil diese unter dem Gesichtspunkt eines angemessenen Grundrechtsschutzes von herausragender Bedeutung sind.19

1 COM(2018) 225 final vom 17.4.2018, S. 1. 2 COM(2018) 225 final vom 17.4.2018, S. 2. 3 COM(2018) 225 final vom 17.4.2018, S. 16 4 Der Hinweis hierauf wurde bereits im Jahr 2011 als „inflationär“ bezeichnet, vgl. Kudlich, GA 2011,193; aus der Literatur näher etwa Klesczewski, ZStW 123 (2011), S. 737ff.; umfassend Sieber, DJT-Gutachten, C 35ff.; C 62ff. und C 103ff. 5 Frühzeitig etwa Obenhaus, NJW 2010, 651ff.; M. Gercke, CR 2010, 345ff. 6 Dalby, Grundlagen; Wicker, Strafanspruch, jew. passim. 7 Vgl. hierzu unten D.V. 2. 8 Siehe bereits knapp hierzu Meinicke, StV 2012, 463 sowie vertiefend ders., in: Scholz/Funk (Hrsg.), S. 73, 75ff.; grds. ebenso auch Sieber, DJT-Gutachten, C 155f. 9 Hierzu unten D. IV. 10 Siehe etwa den Hinweis auf „unüberwindbare praktische Schwierigkeiten“ beim Zugriff auf im Ausland gespeicherte Daten bei Wohlers/Jäger, in: SK-StPO, § 102 Rn. 15a a.E.; ausführlich nunmehr für eine „Problemlösung“ auf der Basis des geltenden Rechts Wicker, Strafanspruch, S. 333ff. 11 Hierzu eingehend unten D I 3 a). 12 Siehe unten D. VI. 13 Vgl. hierzu unten D. I. 2. 14 Dazu unter D. III. 15 Vgl. zu diesen unten C. 16 Dazu unten D.V. 2. b). 17 Begriff von Spoenle, Cloud Computing, S. 5. 18 Vgl. zu diesem im TKG nicht ausdrücklich definierten Begriff statt Vieler B. Gercke, GA 2012, 474, 484f. 19 Zum Zugriff auf andere (insbesondere Bestands-)Daten vgl. nur Dalby, Grundlagen, S. 56ff.