EDV-Beweissicherung im Strafverfahren bei Computer, Handy, Internet

Alle Bereiche der privaten und wirtschaftlichen Betätigung sind heute ohne Einsatz von Informations- und Kommunikationstechniken einschließlich der Nutzung des Internets kaum mehr vorstellbar. Neben bekannten Delikten finden sich gerade hier aber auch immer wieder neue Kriminalitätsformen. Diese reichen vom Hacking, Spamming, Wardriving und Phishing u. a. bis hin zu bekannten Delikten bei Online-Auktionen oder im Bereich der Kinderpornographie.¹ Speziell diese neuen Begehungsformen stellen die Ermittlungsbehörden vor die Frage, mit welchen strafprozessualen Mitteln diese Delikte verfolgt werden können. Nur wenn es gelingt, Beweise zu sichern, kann ein Ermittlungsverfahren erfolgreich geführt werden. Der folgende Beitrag will deshalb die wichtigsten einschlägigen Möglichkeiten kurz mit ihren Problemen in Theorie und Praxis erläutern.² Dabei sollen auch künftige Entwicklungen, die sich aus dem derzeit in den parlamentarischen Beratungen befindlichen Gesetzentwurf zur Reform der verdeckten Ermittlungsmaßnahmen ergeben, einbezogen werden.³

1. Eingriffe in die Telekommunikation

Von besonderer Bedeutung im Ermittlungsverfahren sind zunächst alle Formen der Eingriffe in die Telekommunikation, mit denen auf die hierbei anfallenden Daten zurückgegriffen werden soll.⁴ Dabei ist es aus Sicht der Strafverfolgungsbehörden wichtig, hinsichtlich der relevanten Eingriffsermächtigungen zunächst zu klären, welche konkreten Daten der Telekommunikation bzw. bei Telemedien für das Verfahren benötigt werden. Rechtsgrundlagen für die Erhebung und Speicherung der jeweiligen Daten finden sich in den §§ 3 und 95 ff. des TKG vom 22. 6. 2004 für Verkehrs- und Bestandsdaten. Soweit es um die Nutzung von Telemedien geht, sind die Grundlagen der Datenerhebung seit 1. 3. 2007 in §§ 14, 15 des neuen Telemediengesetz (TMG) enthalten.

a) Daten bei der Telekommunikation

Abgestuft nach der Eingriffsintensität in die Rechte des Betroffenen ist zu unterscheiden zwischen Bestands- oder Benutzerdaten, Verbindungs- bzw. Verkehrsdaten, Nutzungsdaten und Inhaltsdaten. Daneben finden sich noch Zugangsdaten zu Mobiltelefonen bzw. Internet-Anbietern und die sog. Positions- oder Standortdaten beim Mobilfunk. Bestandsdaten werden durch § 3 Nr. 3 i. V. m. § 95 TKG und § 14 TMG legal definiert und inhaltlich näher konkretisiert. Sie umfassen Name, Anschrift, Rufnummer oder Kennung sowie sonstige Vertragsdaten des Nutzers. Kennzeichnend für diese Daten ist, dass sie keinen Bezug zu einem konkreten Kommunikationsvorgang haben und damit grundrechtlich nicht durch Art. 10 GG, sondern nur durch das Recht auf informationelle Selbstbestimmung i. S. d. Art. 2 I GG geschützt sind. Ein Zugriff auf diese Daten kann über die §§ 111–113 TKG und 14 II TMG erfolgen. Demgegenüber beinhalten die Verkehrs- bzw. Verbindungsdaten i. S. d. § 3 Nr. 30 i. V. m. § 96 TKG bzw. § 100g III StPO Informationen zu einem konkreten Kommunikationsvorgang mit den beteiligten Rufnummern, Datum und Uhrzeit sowie beim Mobilfunk auch die Angabe des Standortes, also der jeweiligen Funkzelle, in der sich der Anrufer gerade aufgehalten hat. Darunter fällt bei der Internet-Kommunikation auch die dem Nutzer jeweils zugewiesene dynamische IP-Adresse. Ein Zugriff auf diese viel sensibleren und dem Schutz des Art. 10 GG unterliegenden Daten ist nur über die Eingriffsermächtigung des § 100 g StPO möglich. Hier ist für den Erfolg des Zugriffs vor allem die Frist der Datenspeicherung von besonderer Bedeutung. Bisher ist in § 97 TKG eine Speicherung dieser Informationen nur zulässig, wenn die Daten für Abrechnungszwecke benötigt werden und eine Höchstspeicherfrist von sechs Monaten nach Absendung der Rechnung vorgesehen, so dass viele Daten für Ermittlungen gar nicht bzw. nicht mehr greifbar sind. Hier ergibt sich derzeit eine heftige politische Diskussion um die Einführung einer generellen Vorratsspeicherung dieser Daten auf Grund der EU-Richtlinie 2006/24/EG vom 13. 4. 2006, die durch die Einfügung von §§ 113 a, b TKG mit einer Mindestspeicherfrist von sechs Monaten für alle Verkehrsdaten ins nationale Recht umgesetzt werden soll.⁵ Nutzungsdaten fallen gem. § 15 TMG für die Inanspruchnahme von Telemedien an. Auf sie kann ebenfalls nur auf der Basis des § 100 g StPO zugegriffen werden, soweit es sich noch nicht um konkrete Inhalte der Kommunikation handelt. Auf diese sog. Inhaltsdaten, also die gesamten bei einer Kommunikation anfallenden gesprächsbegleitenden und übertragenen Informationen aller Art kann als stärkstem Eingriff im Strafverfahren nur auf der Grundlage des § 100 a StPO zugegriffen werden.

b) Zugriff auf Bestandsdaten (§§ 111–113 TKG)

Dem Zugriff auf Bestandsdaten wird der »Charakter eines zweiten Melderegisters«⁶ zugerechnet. Durch § 111 TKG werden die TK-Provider generell dazu verpflichtet, Bestandsdaten zu erheben und unverzüglich zu speichern. Diese Daten sind neben den Strafverfolgungsbehörden auch anderen Bedarfsträgern auf der Grundlage der §§ 112 bzw. 113 TKG ohne richterliche Anordnung zur Verfügung zu stellen. Im automatisierten Auskunftsverfahren des § 112 TKG wird den Bedarfsträgern über die Bundesnetzagentur ein unmittelbarer eigener kostenloser Zugriff auf inhaltlich begrenzte Bestandsdaten ermöglicht, ohne dass es zu einem direkten Kontakt zwischen dem TK-Anbieter und den Ermittlungsbehörden kommt. Beim manuellen und vom Umfang her weitergehenden, dafür aber kostenpflichtigen Auskunftsverfahren i. S. d. § 113 TKG muss die Sicherheitsbehörde demgegenüber unmittelbar beim TK-Provider anfragen. Spezielle formelle Anforderungen ergeben sich hier nicht. Besonders umstritten ist in diesem Zusammenhang, inwieweit bei der Internet-Kommunikation hier die Personenauskunft zu einer dynamischen IP-Adresse von § 113 I 1 TKG erfasst wird oder bereits auf § 100 g StPO mit richterlicher Anordnung zurückgegriffen werden muss.⁷ Durch § 113 I 2 TKG ist erstmals gesetzlich auch klargestellt, dass ein Zugriff auf die Zugangsdaten für Mobiltelefone in Form der PIN oder Super-PIN auf der Grundlage der §§ 161, 163 StPO zu erfolgen hat.

c) Auskunft über Verkehrsdaten(§ 100 g StPO)

Über § 100 g I StPO kann nach der 1. Alt. beim Vorliegen von bestimmten Tatsachen für eine Straftat von erheblicher Bedeutung, also im Bereich der mittleren Kriminalität, oder nach der 2. Alt. ohne weitere Begrenzungen bei einer Straftat, die mittels einer Endeinrichtung begangen wurde – Telefon oder Computer dienen unmittelbar zur Begehung von Straftaten – vom geschäftsmäßigen Anbieter von TK-Diensten Auskunft über die Verbindungsdaten i. S. d. § 100 g III StPO verlangt werden. Grundlage für eine Anordnung kann dabei auch die IMEI-Nummer eines Mobiltelefons oder bei der Internet-Kommunikation auch die Angabe einer dynamischen IP-Adresse als sonstige Kennung sein. Da damit aber keine eigenständige Verpflichtung für den Provider zur Aufzeichnung von Verbindungsdaten enthalten ist, findet der Zugriff auf Verkehrsdaten seine Grenzen bei den gesetzlichen Bestimmungen der §§ 96, 97 TKG und § 15 TMG zur Erhebung und Speicherung von TK-Daten. So sind Provider im Bereich von Anonymisierungsdiensten oder bei Flatrates derzeit nicht zur Erhebung von Verkehrsdaten verpflichtet, so dass insoweit ein Auskunftsersuchen faktisch ohne Erfolg bleibt, weil die für das Ermittlungsverfahren benötigten Daten gar nicht vorhanden sind.⁸ Die Art und Weise des Vollzugs einer Anordnung nach § 100 g StPO bestimmt der Richter, der rechtmäßig auch eine Übermittlung von Daten in elektronischer Form statt als Ausdruck in Papierform anordnen kann.⁹ Für die Auswertung von Mobiltelefonen ist dagegen kein Beschluss nach § 100 g StPO mehr erforderlich, da der Schutz des Art. 10 GG sich nicht mehr auf alle im Herrschaftsbereich des Nutzers befindliche Daten bezieht, die dieser jederzeit selbst vernichten, löschen oder sonst beseitigen kann.¹⁰ Besondere praktische Bedeutung haben insoweit auch die sog. Zielwahlsuche i. S. d. § 100 g II StPO, mit der die Rufnummern festgestellt werden können, die eine Verbindung zu einem Beschuldigten hergestellt haben sowie die durch § 100 h Abs. 1 Satz 2 StPO gesondert geregelte Funkzellenabfrage. Hier kann für einen bestimmten Zeitpunkt die Herausgabe aller über eine konkrete Funkzelle abgewickelten Telefonate vom Provider verlangt werden.¹¹ Die von der Geltungsdauer bis 31. 12.2007 befristete Regelung der §§ 100 g, h StPO soll nach dem neuen Gesetzentwurf künftig zu einer allgemeinen Befugnis mit einer Echtzeiterhebung von Verkehrsdaten erweitert werden,¹² was im Zusammenhang mit der Vorratsdatenspeicherung zahlreiche praktische Probleme bei der Umsetzung der bisherigen Regelung beheben würde.

d) Überwachung der Telekommunikation (§ 100 a StPO)

Der schwerste Eingriff in das Grundrecht des Art. 10 GG, eine Aufzeichnung von Inhaltsdaten, ist nur möglich, wenn eine Form der Telekommunikation im Netzbereich sowie eine der abschließend aufgeführten Katalogtaten und einer der benannten Adressaten vorliegen. Da der Begriff der Telekommunikation i. S. d. § 3 Nr. 22 TKG weit zu verstehen ist, werden davon alle Formen von Zeichen, Sprache, Bildern und Tönen erfasst und damit alle modernen Kommunikationsformen. Darunter einzuordnen sind auch alle technisch bedingten Positionsmeldungen nicht telefonierender Mobiltelefone.¹³ Rechtlich umstritten ist insoweit vor allem der Zugriff auf E-Mails, soweit sie vor dem Abruf noch im Postfach des Empfängers zwischengespeichert sind. Während auch hier überwiegend eine Anordnung nach § 100 a StPO für erforderlich gehalten wird, da der eigentliche Kommunikationsvorgang noch andauere, wird nach a. A. ein Durchsuchung und Beschlagnahme der Daten beim Provider für zulässig erachtet.¹⁴ Erhebliche praktische Probleme ergeben sich hier im Zusammenhang mit Voice-over-IP (VoIP), der Sprachübertragung in Echtzeit mittels des Internet-Protokolls. Hierbei handelt es sich zwar auch um eine Form der Telekommunikation, für die praktische Umsetzung der Überwachung fehlen aber entsprechende Standards und die Täter können hier auf verschlüsselte Übertragungsformen zurückgreifen oder diese Dienste anonym z. B. über WLAN-Hotspots, Internetcafes orts- und netzunabhängig nutzen (sog. Nomadisierung).¹⁵ Hinzu kommt, dass ein Rückgriff auf § 100 a StPO meist deshalb ausscheidet, weil im konkreten Verfahren keine der abschließend aufgeführten Katalogtaten erfüllt ist. Insoweit ist im Gesetzentwurf zur StPO-Reform zwar eine Überarbeitung der aufgeführten Anlasstaten bezogen auf schwere Straftaten vorgesehen, doch ergeben sich hier auch zahlreiche Einschränkungen für die Praxis durch eine neue Regelung zum Schutz des Kernbereichs privater Lebensgestaltung und die Reduzierung der bisherigen Anordnungsdauer von drei auf nur noch zwei Monate.¹⁶

2. Durchsuchung und Beschlagnahme

Sofern der Standort eines Rechners und damit auch der Aufbewahrungsort beweisrelevanter EDV-Daten bekannt ist, kommt als klassische Ermittlungsmaßnahme auch eine Durchsuchung und Beschlagnahme gem. §§ 102, 103 und 94 StPO von Rechnern und gespeicherten Informationen in Betracht. Da der Begriff der Suche grundsätzlich offen für eine Auslegung ist, umfasst er auch das Auffinden von beweisrelevanten Informationen im Computer auf internen oder externen Speichermedien. Soweit bei diesem Vorgehen auf fremde Computerprogramme zurückgegriffen wird, die auf dem jeweiligen Rechner eingesetzt werden, kommt es zu keinen Urheberrechtsverletzungen, da die gesetzlichen Schranken des § 45 UrhG eine Vervielfältigung von Werken für Zwecke des Verfahrens ausdrücklich zulassen. Problematisch sind aber die Grenzen von Durchsuchungen über Netzwerke, wenn die in den durchsuchten Räumlichkeiten vorhandenen Rechner über LAN, WLAN oder andere Datenübertragungsformen miteinander verbunden sind. Hier ist ein Zugriff auf weitere gespeicherte Daten ausgeschlossen, wenn die primär durchsuchten und in der Anordnung bezeichneten Räumlichkeiten und der Speicherort der sonstigen Daten (z. B. Zentralserver eines Unternehmens) auseinander fallen. In diesem Fall kann von Anfang an eine sich auf alle betroffenen Orte erstreckende Durchsuchungsanordnung beantragt werden oder im Hinblick auf die Gefahr des Datenverlustes über § 105 StPO die Möglichkeit zur Ausdehnung der bestehenden Anordnung im Wege der Eilkompetenz genutzt werden. Eine generelle Befugnis zur Suche nach Daten, die von den durchsuchten Räumlichkeiten erreicht werden können, fehlt bisher – im Gegensatz zu anderen Staaten – im deutschen Recht. Zusätzliche, durch das nationale Recht nicht zu lösende Rechtsfragen treten dann auf, soweit sich die Ermittlungen via Datenleitung auf das Hoheitsgebiet anderer Staaten erstrecken, wenn dort die vom Inland aus abrufbaren und nicht allgemein zugänglichen Daten gespeichert werden. Hier kann allenfalls eine vorläufige Sicherung der Daten vorgenommen werden, um Zeit für die notwendige Abklärung mit dem jeweils betroffenen Staat im Wege der Rechtshilfe oder anderen beschleunigten Verfahren zu gewinnen.¹⁷ Entsprechende Lösungsansätze für diese Rechtsfragen bietet die Cyber-Crime-Konvention des Europarats vom 23.11.2001¹⁸ an, die aber in nationales Recht umgesetzt werden muss. So sieht der Gesetzesentwurf zur StPO-Reform insoweit als ersten Schritt in § 110 III StPO die Befugnis vor, dass eine Durchsicht elektronischer Speichermedien auch auf räumlich getrennte Speichermedien erstreckt werden darf, wenn der von einer Durchsuchung Betroffene zum Zugriff darauf berechtigt ist, wobei damit aber ausdrücklich keine Online-Durchsuchung gestattet wird.¹⁹ Ein Zugriff auf Daten im Ausland (Transborder Search) kann nach Art. 25, 29 und 30 der Konvention durch ein beschleunigtes Verfahren und durch die Einholung des Einverständnisses der über die Daten verfügungsberechtigten Personen erfolgen.²⁰

3. Ermittlungen in Datennetzen

Soweit von Seiten der Strafverfolgungsbehörden allgemein in offen zugänglichen Bereichen des Internets nach strafbaren Inhalten gesucht wird, ist dies von der Ermittlungsgeneralklausel der §§ 161, 163 StPO abgedeckt, da insoweit noch nicht von einem Grundrechtseingriff auszugehen ist.²¹ Soll dagegen über die Datennetze online heimlich auf gespeicherte Daten zugegriffen werden, die sich auf fremden Rechnern oder Servern befinden, so kann dieses Maßnahme jedenfalls nicht als Durchsuchung angesehen werden, da die Offenheit hier konstitutives Merkmal für den Eingriff ist.²² Aber auch ein Rückgriff auf § 100 a StPO scheidet an dieser Stelle aus, da kein Kommunikationsvorgang zwischen zwei Personen überwacht wird, sondern beim Online-Zugriff eine bereits bestehende Verbindung nur für andere Zwecke mitbenutzt wird, ohne den eigentlich stattfindenden Informationsaustausch zu kontrollieren.²³ Auch ein Rückgriff auf die Ermittlungsgeneralklausel kann an dieser Stelle im Hinblick auf die Schwere des Eingriffs nicht weiterhelfen. Insoweit rechtlich ungeklärt ist an dieser Stelle auch die Frage, inwieweit von Seiten der Strafverfolger hier zur Ermöglichung eines solchen Online-Zugriffs auf Daten auch sog. Spionageprogramme unterschiedlichster Art (»Kommissar Trojaner«) auf dem fremden Rechner installiert werden dürfen. Dafür könnte als Begründung allenfalls auf § 100 f Abs. 1 Nr. 2 StPO mit der Befugnis zum Einsatz sonstiger technischer Mittel zurückgegriffen werden. Doch reicht die dortige Befugnis für diese Zwecke ebenfalls nicht aus. Eine strafprozessuale Online-Durchsuchung, besser Online-Überwachung, als Zugriff auf fremde Daten ist damit derzeit gesetzlich ausgeschlossen, in bestimmten eng begrenzten Fällen aber gleichwohl nötig. Hier wird derzeit im Rahmen der politischen Diskussion heftig um die Notwendigkeit einer entsprechenden Rechtsgrundlage in diesem Bereich gestritten, die etwa in § 5 Nr. 11 des Verfassungsschutzgesetzes NRW mit dem Einsatz technischer Mittel für den Zugriff auf informationstechnische Systeme bereits geschaffen wurde.²⁴

4. Zusammenfassung

Die bestehenden Ermittlungsmöglichkeiten der Strafverfolgungsbehörden werfen an zahlreichen Stellen noch Defizite auf, da die bestehenden Rechtsgrundlagen noch zu sehr auf die Sicherung von körperlichen Gegenständen statt auf die Gewinnung unverkörperter Informationen ausgerichtet sind. Erste positive Ansätze dazu finden sich im Gesetzentwurf zur StPO-Reform. Es bleibt daher zu hoffen, dass das derzeit laufende Gesetzgebungsverfahren dazu genutzt werden kann, auch weitere gesetzliche Lücken – wie die Online-Durchsuchung – bei der EDV-Beweissicherung weitestgehend zu beseitigen, damit die Strafverfolgungsbehörden auch weiterhin ihrem gesetzlichen Auftrag nachkommen können und den Straftätern nicht technisch immer mehrere Schritte hinterher sind. Hinzu kommt aber das Problem der nationalen Grenzen der Ermittlungstätigkeit, die durch die weltweite Vernetzung in Sekundenbruchteilen überwunden werden können. Hier kann Abhilfe nur durch eine engere internationale Zusammenarbeit im Bereich von beschleunigten Verfahren geschaffen werden.

1 Vgl. zu materiellen Fragen der Computerkriminalität ausführlich: Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 3. Auflage 2007, Kapitel 12.

2 Vgl. umfassend zu allen Rechtsfragen im Zusammenhang mit der EDV-Beweissicherung einschließlich entsprechender Formularbeschlüssen und Glossar für technische Begriffe für die Praxis: Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Stuttgart 2007.

3 Vgl. BR-Drs. 275/07 vom 27. 4. 2007 mit Gesetzentwurf zur Neuregelung der TK-Überwachung und anderer verdeckter Ermittlungsmaßnahmen.

4 Vgl. zu den einzelnen Daten näher Bär, a.a.O. (FN 2), Rn. 12–46.

5 Vgl. BR-Drs. 275/07, S. 28 und 161 ff sowie näher zur EU-Richtlinie und zum Streit um die Vorratsdatenspeicherung: Bär, a.a.O. (FN 2), Rn. 27–34.

6 Bizer, DuD 2002, 429.

7 Vgl. etwa nur LG Stuttgart, NStZ-RR 2005, 218 und NJW 2005, 614 sowie umfassend zum Meinungsstand: Bär, a.a.O. (FN 2), Rn. 205-213.

8 Vgl. insoweit zum AN.ON-Verfahren: LG Frankfurt, MMR 2004, 334 und 339 sowie weiterführend Bär, a.a.O. (FN 2) , Rn. 182–189.

9 BGH, NStZ 2005, 278 sowie Bär, a.a.O. (FN 2), Rn. 230–242.

10 So BVerfG, NJW 2006, 976, a.A. noch die Kammerentscheidung BVerfG, NJW 2005, 1637 sowie dazu näher Bär, a.a.O. (FN 2), Rn. 214–225.

11 Vgl. dazu Bär, a.a.O. (FN 2), Rn. 176–180.

12 BR-Drs. 275/07, S. 14 f. und S. 111 ff.

13 Vgl. § 7 Nr. 7 TKÜV und Bär, a.a.O. (FN 2) Rn. 84–91.

14 Vgl. BVerfG, MMR 2007, 168 sowie einerseits LG Hanau, NJW 1999, 3647; LG Mannheim, StV 2002, 242 und andererseits LG Ravensburg, NJW 2003, 2112 sowie ausführlich Bär, a.a.O. (FN 2), Rn. 101–111.

15 Vgl. zu den technischen und juristischen Problemen: Bär, a.a.O. (FN 2), Rn. 121–129.

16 Vgl. BR-Drs. 275/07, S. 5–11 und S. 84 – 108.

17 Vgl. zu diesen Problemen der Durchsuchung näher Bär, a.a.O. (FN 2), Rn. 360–400.

18 Vgl. zum Text: http://conventions.coe.int/Treaty/GER/Treaties/Html/185.htm.

19 Vgl. BR-Drs. 275/07, S. 20 und S. 145–147.

20 Vgl. näher dazu: Bär, a.a.O. (FN 2), Rn. 503–508 m.w.N.

21 So die h.M., vgl. zum Meinungsstand: Bär, a.a.O. (FN 2), Rn. 453–455.

22 So: BGH, NJW 2007, 930 und BGH-ErmRi, MMR 2007, 174; a.A. noch BGH-ErmRi, StV 2007, 60.

23 Vgl. BGH, NJW 2007, 930 und BGH-ErmRi MMR 2007, 174. Vgl. zum technischen Hintergrund Buermeyer, HRRS 4/2007, 154 ff., online abrufbar unter http://www.hrr-strafrecht.de/hrr/archiv/07-04/index.php?sz=8.

24 Vgl. ausführlich zur Online-Durchsuchung: Bär, a.a.O. (FN 2), Rn. 456–480.