Finden sich in Deutschland Beweise schwer, dann krieg ich sie woanders her

Hier erfahren Sie, wie es deutschen Strafverfolgern gelungen ist, an hoch aufwändig verschlüsselte digitale Kommunikation zu gelangen, nämlich in Frankreich und weshalb besonders darauf geachtet werden muss, was wie digital kommuniziert wird. Wer schreibt, der bleibt!

Der Wind dreht sich – die Welt wird zusehends digitaler und mit der Zunahme der Digitalität findet, ohne dass Frau und Mann sich dessen immer bewusst sind, eine eigene Dokumentation statt, die sich in keinem Leitzordner und keiner Ablage wiederfindet, wohl aber auf Festplatten, Servern oder in einer „Cloud“. Dies wird rechtlich dann brisant, wenn oftmals launige Korrespondenz elektronisch, sei es über E-Mail oder – wesentlich häufiger – in Messenger Diensten (SMS, WhatsApp, Facebook, Instagram etc.) versandt wird. Ein Beispiel hierzu ist die E-Mail eines Mitarbeiters einer Mandantin zu untersuchten Teilen nach einem Großbrandereignis im Hinblick auf Brandrisiken: „Hier riechts so brandig“.

Signifikant erhöht wird die Relevanz solcher Kommunikation dadurch, dass vermeintliche Gesetzesverletzungen immer wieder auch zu strafrechtlichen Ermittlungen führen und in diesem Zuge solche Korrespondenz aufgefunden wird, sei es durch das Auslesen von Servern im Rahmen einer Durchsuchung oder durch Sicherstellung / Beschlagnahme von Mobilfunkgeräten, die – einmal entschlüsselt – einen Zugriff auf die mit dieser Hardware geführte Korrespondenz erlauben. Mit dem Ergebnis, dass in diesem Zuge aufgefundene launige Korrespondenz schnell die Laune von Verfasser, Empfänger und dahinterstehenden Unternehmen trübt, wenn klar wird, wie diese Korrespondenz von im Dienst dem Humor wenig zugetanen Strafverfolgungsbehörden gelesen, interpretiert und verwertet wird.

EncroChat

Eine kürzlich ergangene BGH Entscheidung zu sog. EncroChats lässt hierzu aufhorchen. Worum ging es: EncroChat war ein Unternehmen, das abhörsichere sog. Kryptohandys einschließlich eines Messengerdienstes angeboten hat, dies über eine sog. Ende-zu-Ende-Verschlüsselung (end-to-end-encryption, „EE2E“). Weltweit gab es rund 60.000 Nutzer, die offenbar besonderen Wert auf ihre Privatsphäre legten. In Deutschland sind aus guten Gründen die Voraussetzungen, unter denen eine sog. Quellen-TKÜ (Überwachung der Telekommunikation über das Aufspielen sog. Trojaner) oder eine sog. Online-Durchsuchung durchgeführt werden darf, sehr hoch (§§ 100a, 100b StPO). Bei beiden Maßnahmen wird „mit technischen Mitteln“ in von den Betroffenen genutzte informationstechnische Systeme eingegriffen. In beiden Fällen geht es daher um gesetzlich legitimiertes „Hacking“ von digitalen Geräten, nichts anderes. Zulässig sind diese unter Richtervorbehalt stehenden Maßnahmen nur, wenn ein sog. Qualifizierter Tatverdacht wegen besonders aufgelisteter Katalogstraftaten, wie beispielsweise Straftaten gegen das Leben, Formen der organisierten Kriminalität, erhebliche Steuerstraftaten oder Geldwäsche, vorliegt. Aber: Nach Teilen der deutschen Rechtsprechung deutet schon die Verwendung eines Krypto-Handys der Fa. EncroChat auf ein konspiratives Verhalten zur Begehung und Verdeckung von Straftaten hin. Die deutsche Rechtsprechung (so OLG Bremen und OLG Rostock) stellt hierzu die nicht ansatzweise bewiesene Behauptung auf, dass die Technik dieses Anbieters in großem Maße und vorwiegend europaweit im kriminellen Milieu zur Begehung von schweren Straftaten genutzt worden sein soll.

Was in Deutschland somit nur bei vorherigem Vorliegen erschwerter Voraussetzungen möglich ist, nämlich das Hacking und Ausforschen der Kommunikation über Kryptohandys, ist in Frankreich nicht einmal halb so schwer: Französischen Ermittlungsbehörden war nämlich in Einzelfällen aufgefallen, dass Kryptohandys der Firma EncroChat (Modelle OnePlus One, OnePlusX und BQ Aquaris X) von Verdächtigen von (eher leichteren) Betäubungsmittelstraftaten verwendet wurden. Darauf begann in Frankreich eine großangelegte Ermittlungsmaßnahme, der – soweit bekannt – kein Tatverdacht gegen bestimmte Personen zu Grunde lag. Den französischen Behörden gelang es bis zum Jahr 2020, die Server des Unternehmens in Frankreich sowie die dazugehörigen informationstechnischen Systeme, das heißt die Kryptohandys, zu infiltrieren. Wie die Erhebung konkret abgelaufen ist, ist bis heute nicht in allen Details bekannt. Diese – alles andere als banale – Information soll aus Sicht der französischen Behörden der Geheimhaltung unterliegen. Bekannt ist jedoch, dass der Zugriff mittels Installation einer Software im Sinne einer Abfangeinrichtung erfolgte: Zur Umgehung der Nachrichtenverschlüsselung wurde mithilfe eines Updates ein Trojaner auf alle EncroChat Endgeräte aufgespielt. Dieser ermöglichte es den französischen Behörden, sowohl auf gespeicherte Inhalte zuzugreifen als auch die laufende Kommunikation abzufangen. Die so gewonnenen Daten wurden sodann auch mutmaßlich ab April 2020 den deutschen Ermittlungsbehörden zur Verfügung gestellt, weil es auch Anhaltspunkte für Straftaten in Deutschland gab. Ein förmliches Rechtshilfeersuchen gab es zu diesem Zeitpunkt, soweit bekannt, nicht. Die Generalstaatsanwaltschaft Frankfurt a. M. erließ erst am 02.06.2020 eine sog. Europäische Ermittlungsanordnung (EEA). Das Untersuchungsgericht in Lille genehmigte am 13.06.2020 die Übersendung und die Verwendung der Daten in Deutschland. Zuvor hatte es deren Erhebung nach französischem Recht angeordnet. Bis 28.06.2020 wurden Daten nach Deutschland übermittelt. Auf deren Grundlage wurden über 2.000 Ermittlungsverfahren eingeleitet.

Der deutsche Bundesgerichtshof musste sich mit der Frage der Verwertbarkeit von EncroChats beschäftigen, weil Verurteilungen in Strafverfahren auf eben diese von Frankreich übermittelten EncroChats gestützt wurden. Ein Beweisverwertungsverbot hat der Bundesgerichtshof ausdrücklich abgelehnt, obwohl in der deutschen Verfassung das Fernmeldegeheimnis besonders geschützt ist (Art. 10 GG) und hieraus sogar eine Schutzpflicht des Staates vor Eingriffen ausländischer Staaten in informationstechnische Systeme in Deutschland abgeleitet wird. Eben deswegen unterliegen Online-Durchsuchungen und Quellen-TKÜs hohen rechtlichen Hürden. Solche Maßnahmen wurden in Deutschland soweit bekannt nicht ergriffen, sondern dankend auf die vorbei an deutschen Regeln von Frankreich ausgeforschten EncroChats zugegriffen. Es gab auch seitens der französischen Ermittlungsbehörden keinerlei Abstimmung mit den deutschen Behörden, insbesondere erging von Frankreich aus keine sog. Europäische Ermittlungsanordnung; der Erlass der Ermittlungsanordnung hätte Deutschland nach der Richtlinie 2014/41/EU die Möglichkeit gegeben, der Maßnahme zu widersprechen. Die deutschen Behörden wiederum hätten widersprechen müssen, weil die Maßnahme nach deutschem Strafrecht mangels qualifiziertem Tatverdacht nicht zulässig gewesen wäre (§ 91g Abs. 6 IRG).

Und hier wird es nun interessant: Statt die französische Maßnahme zu prüfen und dieser zu widersprechen, wie gesetzlich vorgesehen, haben die deutschen Ermittlungsbehörden eine eigene europäische Ermittlungsanordnung erlassen – dies offensichtlich mit dem Ziel zu kaschieren, was von Anfang an der Plan war: Nämlich die in Frankreich unter Umgehung klarer deutscher Regeln erhobenen Beweismittel abzugreifen. Unser Bundesgerichtshof sah darin keinerlei Problem. Weder stellte für ihn die lediglich zur Camouflage bestimmte europäische Ermittlungsanordnung der deutschen Ermittlungsbehörden ein Problem dar, noch Grundsätze des deutschen Verfassungsrechtes, des Völkerrechtes und der Europäischen Menschenrechtskonvention.

Fazit

Dies lehrt Folgendes: Digitale Kommunikation ist die Zukunft. Daran kommt niemand mehr vorbei. Aber selbst über spezielle dafür geschaffene Hard- und Software lässt sich digitale Kommunikation nicht schützen. Dies gilt für den ungewollten Zugriff von Staatsanwaltschaften genauso wie für den von Wettbewerbern. Und der Grundsatz: Was stört es mich, ich habe nichts zu verbergen, war schon immer falsch. Denn wie digitale Kommunikation, insbesondere über Messengerdienste, einmal gelesen, verstanden und verwertet wird, sagt am Ende ein Gericht, und nicht der Verfasser dieser Kommunikation. Dies bedeutet weiterhin, dass es in diesem Lichte wichtig ist, dass in Unternehmen mit der notwendigen Sensibilität für jedes geschriebene Wort kommuniziert wird. Denn wer später mitliest, weiß man nicht. Und deutscher jedenfalls in gewissen Grundlagen vorhandener Rechtsschutz ist nichts wert, wenn er im Wege eines modernen Forum Shopping einfach dadurch vollständig entwertet wird, dass der Eingriff in digitale Kommunikation einfach über Staaten stattfindet, die ein vergleichbares Schutzniveau nicht kennen.