Die Regulierung des (grenzüberschreitenden) Zugangs zu elektronischen Beweismitteln Aktuelle nationale, europa- und völkerrechtliche Entwicklungen

• Date: 11 October 2023
• Author: Prof. Dr. Kristin Pfeffer
• DOI: https://doi.org/10.30709/eucrim-2023-012
• Pages: 64

I. Einleitung

Die Fallzahlen im Bereich der Internetkriminalität steigen im Zuge der weltweiten Digitalisierung auch in Europa stetig an. Laut Europäischem Rat lag der Anteil strafrechtlicher Ermittlungen, die digitale Daten zum Gegenstand hatten, bereits 2018 bei 85 Prozent, gegenwärtig ist der Prozentsatz noch höher.¹ Zur Verfolgung dieses regelmäßig grenzüberschreitenden Phänomens² sind die Strafverfolgungsbehörden bei ihren Ermittlungen auf die Zusammenarbeit mit ausländischen Stellen angewiesen. Somit werde, so heißt es weiter in dem Bericht des Europäischen Rates, in über 50 Prozent aller strafrechtlichen Ermittlungen ein Rechtshilfeersuchen gestellt, um elektronische Beweismittel zu erhalten.³

Doch obwohl es durchaus erfolgreiche Ermittlungen gegen grenzüberschreitend agierende Täter im Internet gibt, werden die meisten Verfahren eingestellt, weil die dafür erforderlichen justiziellen Rechtshilfeersuchen-Prozesse zu lange andauern und häufig im Sande verlaufen.⁴ Deshalb werden sowohl auf nationaler als auch europäischer und völkerrechtlicher Ebene neue rechtliche Lösungen gesucht: So wurden von deutschen Gerichten vereinzelt die vorhandenen nationalen Ermächtigungsgrundlagen weit ausgelegt (dazu unter II.). Auf der Ebene der EU-Mitgliedstaaten wurde jüngst eine Harmonisierung der mitgliedstaatlichen Rechtsordnung im Verordnungs- und Richtlinienwege beschlossen, was künftig mit einem Abkommen zwischen der EU und den USA (dazu unter III.) flankiert werden soll. Daneben gibt es bereits völkerrechtliche Abkommen, wie das zweite Zusatzprotokoll zur Cybercrime-Konvention des Europarates (siehe IV). Inzwischen wird auch in der UN eine künftige UN-Cybercrime-Konvention ausgehandelt (siehe V).

II Weite Auslegung vorhandener nationaler Vorschriften (Beispiel Deutschland)

Ein Ansatz, zeitaufwendige Rechtshilfegesuche zu vermeiden, ist die extensive Auslegung der Erlaubnis zur Online-Durchsicht elektronischer Speichermedien im Strafprozessrecht nach § 110 Abs. 3 StPO.⁵

Dem Wortlaut nach erlaubt § 110 Abs. 3 StPO den offenen Zugriff auf räumlich getrennte Speichermedien. Die Regelung dient dazu, den Verlust beweiserheblicher Daten zu vermeiden, die von dem durchsuchten Computer aus zwar zugänglich sind, sich aber auf einem räumlich getrennten Speichermedium, wie etwa dem Server im Intra- oder Internet, befinden.

Nach Auffassung des LG Koblenz etwa stellt der Zugriff auf Daten von Cloud-Nutzern stets eine rein inländische Ermittlungsmaßnahme im Sinne des § 110 Abs. 3 S. 2 StPO dar, unabhängig vom Speicherort. Jedenfalls bei Cloud-basierten Speicherdiensten sei ein Ermitteln des aktuellen Speicherorts regelmäßig nicht zielführend, sodass ein Zugriff inländischer Ermittler:innen auch auf im Ausland gespeicherte Daten erfolgen könne. Infolge des regelmäßig nicht bekannten Speicherorts sei jedenfalls keine willkürliche Missachtung ausländischer Hoheitsrechte anzunehmen und damit kein Beweisverwertungsverbot die Folge.⁶

Die herrschende Ansicht in der Rechtswissenschaft sieht in einer solchen Maßnahme hingegen eine Überschreitung der Grenzen des § 110 Abs. 3 S. 2 StPO und einen Verstoß gegen das Recht des Beschuldigten auf ein faires Verfahren, welches zu einem Beweisverwertungsverbot führe.⁷

III. E-Evidence-Gesetzgebungspaket der EU und Abkommen mit den USA

Im Juni 2023 hat die EU das Gesetzgebungspaket zur grenzüberschreitenden Sicherung und Herausgabe elektronischer Beweismittel verabschiedet, das seit Vorlage durch die Europäische Kommission im Jahr 2018 heftig diskutiert wurde. Vollständig in Kraft treten werden die Regeln erst in rund drei Jahren. Das Paket besteht aus der Verordnung über Europäische Herausgabe- und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen⁸ und der Richtlinie zur Festlegung einheitlicher Regeln für die Bestellung von Vertretern zu Zwecken der Beweiserhebung in Strafverfahren.⁹

Die neuen Vorschriften ermöglichen es nationalen Strafverfolgungsbehörden, Beweismittel direkt von Diensteanbietern in anderen Mitgliedstaaten anzufordern (sog. "Herausgabeanordnungen") oder die Aufbewahrung von Daten für bis zu 60 Tage zu verlangen, damit relevante Daten nicht zerstört werden oder verloren gehen (sog. "Sicherungsanordnung"). Es wird auch eine verbindliche Frist von 10 Tagen für die Beantwortung einer Herausgabeanordnung eingeführt; in Notfällen ist die Frist auf 8 Stunden reduziert.

Diese Anordnungen können sich auf alle bei den Online-Diensten gespeicherten Daten beziehen, z.B. auf Teilnehmer-, Verkehrs- und Inhaltsdaten. Für Verkehrsdaten (außer für Daten, die ausschließlich zur Identifizierung der Nutzer angefordert werden) und für Inhaltsdaten wurde eine Einschränkung vorgesehen. Diese Daten können nur bei Straftaten, die im Anordnungsstaat mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren geahndet werden, oder bei bestimmten Straftaten in Verbindung mit Cyberkriminalität, Kinderpornografie, Fälschung im Zusammenhang mit unbaren Zahlungsmitteln oder Terrorismus angefordert werden.

Die bisher üblichen Rechtshilfegesuche zwischen den Mitgliedstaaten werden danach nicht mehr erforderlich sein. Die Behörden im Land des Online-Dienstes müssen nach Inkrafttreten der neuen Regelung nicht mehr benachrichtigt werden, wenn eine „Sicherungsanordnung“ das Einfrieren von Daten für bis zu 60 Tage anordnet, auch dann nicht, wenn mittels einer Herausgabeanordnung Verkehrsdaten wie unter anderem IP-Adressen, angewählte Rufnummern oder auch Bestandsdaten angefragt werden, um die Identität von Nutzern festzustellen.

Behörden, die sensible Daten anfordern (z.B. Inhaltsdaten und Verkehrsdaten, die nicht nur zur Identifizierung verwendet werden), müssen die Behörden des Ziellandes benachrichtigen. Die benachrichtigte Behörde hat dann 10 Tage Zeit, die Anfrage zu überprüfen und gegebenenfalls Widerspruch einzulegen, wenn die Anfrage den Vorgaben des Gesetzes nicht genügt. Reagiert sie innerhalb dieser Frist nicht, muss der Diensteanbieter die Daten übermitteln. Bei grundrechtlichen Bedenken können die benachrichtigten Behörden dann Beweisanfragen an Dienstleister in ihrem Land auch ablehnen. Diensteanbieter selbst können ebenfalls rechtliche Bedenken gegen Anfragen äußern.

Die begleitende Richtlinie über gesetzliche Vertreter verpflichtet Unternehmen, die in der EU Dienstleistungen anbieten, Niederlassungen oder rechtliche Vertreter in der EU zu benennen, an welche die Behörden der Mitgliedstaaten Anfragen zur Übermittlung elektronischer Beweismitteln richten können.

Eine weitere erhebliche Neuerung, neben der Tatsache, dass die üblichen Rechtshilfegesuche nicht mehr nötig sind, birgt ein erhebliches Konfliktpotential mit Drittstaaten: Nach der neuen Verordnung ist es irrelevant, wo die Daten, die im Rahmen einer Europäischen Herausgabeanordnung zu übermitteln sind, tatsächlich gespeichert sind: Dies kann der Fall sein a) in dem Staat, in dem der benannte Vertreter sitzt, b) in einem anderen EU-Staat, aber eben auch c) in einem Drittstaat außerhalb der Europäischen Union. Dass die Verpflichtung zur Herausgabe unabhängig vom Datenspeicherort gilt, ergibt sich aus verschiedenen Regelungen der Verordnung.¹⁰ Damit Anordnungen an die Diensteanbieter adressiert werden können, ist es lediglich relevant, dass das jeweilige Unternehmen seine Dienste in der Europäischen Union anbietet, was insbesondere auf die großen Unternehmen aus den USA zutrifft. US-Diensteanbietern ist es aber grundsätzlich verboten, Inhaltsdaten, die auf Servern in den USA gespeichert sind, an ausländische Strafverfolgungsbehörden herauszugeben (18 U.S.C. § 2702). Die US-Diensteanbieter könnten dann zwar nach Art. 17 VO als Adressaten von Herausgabeanordnungen von der Möglichkeit Gebrauch...