HRRS

Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht

Juni 2013
14. Jahrgang
PDF-Download

Aufsätze und Entscheidungsanmerkungen

Sicherstellung elektronischer Daten und "selektive Datenlöschung"

Von Dr. Hellen Schilling, Rechtsanwältin, Frankfurt am Main, Dr. Carsten Rudolph und Nicolai Kuntze, Fraunhofer SIT, Darmstadt

Anlass und Ausgangspunkt dieses Beitrags ist eine alltägliche Situation: Im Rahmen einer Durchsuchung werden (unter anderem) elektronische Daten sichergestellt, Festplatten und andere Speichermedien werden "gespiegelt", indem – regelmäßig von dem gesamten Datenbestand – sogenannte Images erstellt werden. Der Betroffene ist – bei aller Betroffenheit – erleichtert, sein Datenverarbeitungssystem weiter nutzen zu können. Das so gewonnene Material wird bei den Ermittlungsbehörden unter den Prämissen der Beweiserheblichkeit und der Beschlagnahmefreiheit ausgewertet, das "Datenimage" verbleibt bei den Ermittlungsbehörden.

Offenbar gleichermaßen üblich: Ein Antrag, die nicht beweisrelevanten und/oder beschlagnahmefreien Daten herauszugeben bzw. zu löschen, wird mit der Begründung abgelehnt, dies sei technisch nicht möglich.

Sowohl die damit verbundene Folge – die Ermittlungsbehörden verfügen über eine (Un-)Menge von Daten, die regelmäßig nur zu einem (Bruch-)Teil beweiserheblich und beschlagnahmefähig sind – als auch der Verweis auf fehlende technische Möglichkeiten einer "selektiven Datenlöschung" begegnen, wie die folgenden Ausführungen zeigen, erheblichen rechtlichen und technischen Bedenken.

I. Problemaufriss

Nachdem "die Nutzung der Informationstechnik für die Persönlichkeit und die Entfaltung des Einzelnen eine früher nicht absehbare Bedeutung erlangt hat"[1], die elektronische Datenverarbeitung und Kommunikation zum (auch geschäftlichen) Standard geworden ist, das Handelsgesetzbuch in §§ 238 ff. die papierlose Buchführung anerkennt und sich aus dem "EDV"-System weit mehr ablesen lässt, als die auf "oberster Ebene" gespeicherte, "sichtbaren" Dateien[2], dürften sich Durchsuchungsmaßnahmen nur in Ausnahmefällen auf Unterlagen beschränken, die in Papierform vorliegen.[3] Bei weitem nicht nur im Bereich der "Computerkriminalität"[4], sondern insbesondere auch in so genannten Wirtschaftsstrafsachen sind die Verfahrensbeteiligten daher zunehmend mit komplexen und teilweise unüberschaubar großen Datenmengen konfrontiert.

Ungleich überschaubarer ist hingegen der technische und logistische Aufwand der Beweisgewinnung angesichts der Tatsache, dass sich etwa bequem auf USB-Sticks speichern und transportieren lässt, was ausgedruckt Umzugskisten und -wagen füllen würde.

Die verbreitete [5] Praxis, Speichermedien zu "spiegeln" ist daher nicht nur – jedenfalls auf den ersten Blick – unter Verhältnismäßigkeitsgesichtspunkten geboten, da sie dem Betroffenen die weitere Nutzung seiner "EDV" ermöglicht, sondern auch unter wirtschaftlichen und logistischen Aspekten sinnvoll. Dies gilt umso mehr, als die "Durchsicht" i.S.v. § 110 StPO den Ermittlungsbehörden erlaubt, die als Beweisgegenstände in Betracht kommenden "Papiere" insgesamt mitzunehmen und außerhalb des Durchsuchungsortes zu sichten, wobei der Bundesgerichtshof den Ermittlungsbehörden hinsichtlich der Frage, in welchem Umfang die sofortige Durchsicht am Durchsuchungsort erfolgt und wie sie im einzelnen auszugestalten ist, einen nur eingeschränkt überprüfbaren eigenverantwortlichen Ermessenspielraum zugesteht.[6]

Dass Staatsanwaltschaften und Polizeibehörden von der Möglichkeit, dabei den kompletten Datenbestand zu kopieren, großzügig Gebrauch machen, lässt sich in der Praxis ebenso feststellen[7] wie Unterschiede im Umgang mit körperlichen Papieren und Daten: Die Beobachtung, dass Ermittlungspersonen bei Durchsuchungen Papierordner in die Hand nehmen und durchblättern, um (bereits) über die Mitnahme zu entscheiden, während Speichermedien selbst dann insgesamt gespiegelt werden, wenn einzelne Dateiordner vor Ort exemplarisch durchgesehen werden,[8] ist zwar nicht statistisch belegt, dürfte jedoch durchaus repräsentativ sein.

Zweifel an der Verhältnismäßigkeit einer "Komplettsicherung"[9] ergeben sich spätestens dann, wenn die Durchsicht und damit die Durchsuchung abgeschlossen ist und sodann die "Herausgabe" bzw. Löschung der nichtbeweisrelevanten und/oder beschlagnahmefreien Daten von den Ermittlungsbehörden mit Verweis darauf abgelehnt wird, die "selektive Löschung von Imagedaten" sei technisch nicht möglich. So vertritt etwa das Landeskriminalamt Baden-Württemberg, die – offenbar repräsentative[10] – Auffassung, es bestehe technisch keine Möglichkeit, aus Images von kompletten Festplatten einzelne Dateien oder Ordner zu löschen. Darüber hinaus komme auch der Ausschluss einzelner Dateien/Ordner von der Sicherung nicht in Betracht; vielmehr sei die "separate Speicherung von beweiserheblichen Daten nicht praktikabel, da die Beweiskraft der Daten bei dem Exportvorgang beeinträchtigt" werde. Die – wohl üblicherweise verwendete – forensische Auswertungssoftware "Forensic Toolkit" lasse Änderungen oder Löschen von Daten gerade nicht zu und gewährleiste so, "dass die Daten und ihre Beweiskraft erhalten bleiben"; dies sei nicht mehr der Fall, "wenn man hier Daten beliebig hinzufügen oder löschen könnte".

Eine vergleichbare Situation dürfte sich – auch insoweit fehlt es weitgehend an Rechtsprechung und Literatur – im Hinblick auf Maßnahmen der Telekommunikations- und Wohnraumüberwachung ergeben, wobei in diesen Bereichen in §§ 100c Abs. 5 S. 2, 100d Abs. 5 Ziff. 2 StPO Löschungspflichten sogar gesetzlich angeordnet werden. Das Bundesverfassungsgericht spricht in seinem Beschluss vom 3. März 2004 zur Verfassungsmäßigkeit der Wohnraumüberwachung die Pflicht zur unverzüglichen Löschung kernbereichsrelevanter Daten zwar an, [11] geht aber in diesem Zusammenhang nicht auf etwaige technische Schwierigkeiten einer nur teilweisen Löschung ein. Das Landgericht Frankfurt hat in einem Beschluss zur Wohnraumüberwachung vom 20. Juli 2004 ausgeführt, ein selektives Löschen kernbereichsrelevanter Daten sei technisch nicht möglich und ergänzt, dass zum Zeitpunkt der Maßnahme "noch nicht die entsprechenden

technischen Mittel eingesetzt wurden, die eine selektive Löschung von Datensätzen ermöglichen.[12]

II. Rechtliche Rahmenbedingungen

Die Strafprozessordnung hat die immensen informationstechnologischen Entwicklungen im Bereich der "Digitalisierung" seit dem Jahr 1877 bislang nur vereinzelt nachvollzogen.[13] Die ursprünglich auf körperliche Gegenstände zugeschnittenen Rechtsgrundlagen der Sicherstellung/Beschlagnahme bzw. der Durchsicht beziehen sich ihrem Wortlaut nach auf "Gegenstände" bzw. "Papiere" und können (auch) die im Zusammenhang mit der Beschlagnahme im EDV-Bereich auftretenden Rechtsfragen nur bedingt beantworten.[14]

1. Grundrechtseingriff und Ermächtigungsgrundlage

Die Sicherstellung sowohl von Datenträgern als auch der darauf gespeicherten Daten bedeutet einen Grundrechtseingriff und bedarf daher einer gesetzlichen Ermächtigungsgrundlage.

Das Bundesverfassungsgericht hat in einem grundlegenden Beschluss zur Sicherstellung und Beschlagnahme von Datenträgern und hierauf gespeicherten Daten vom 12. April 2005 die Eingriffsintensität solcher Maßnahmen betont. Es hat festgestellt, dass der "Datenzugriff" ein Eingriff in das das durch Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG verbürgte Recht auf informationelle Selbstbestimmung ist und in diesem Zusammenhang an die "mit den technischen Möglichkeiten einhergehende gesteigerte Gefährdungslage" erinnert.[15] Nach den im Beschluss vom 27. Februar 2008 zur "Online-Durchsuchung" entwickelten Maßstäben dürfe mit der Datensicherung zudem bzw. zugleich ein Eingriff in das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme"[16] vorliegen.

Die Sicherstellung elektronischer Datenträger bzw. der darauf gespeicherten Daten bedarf daher nach dem Grundsatz des Vorbehalts des Gesetzes, Art. 20 Abs. 3 GG, einer Ermächtigungsgrundlage, "aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben".[17]

Zwar enthält die Strafprozessordnung keine mit Art. 19 Abs. 3 der Cybercrime-Konvention von 2001 vergleichbare Regelung, wonach die Sicherstellung gespeicherter Computerdaten explizit die Befugnis umfasst, a) ein Computersystem oder einen Teil davon oder einen Computerdatenträger zu beschlagnahmen oder in ähnlicher Weise sicherzustellen, b) eine Kopie dieser Computerdaten anzufertigen und zurückzubehalten, c) die Unversehrtheit der einschlägigen gespeicherten Computerdaten zu erhalten und d) diese Computerdaten in dem Computersystem, auf das Zugriff genommen wurde, unzugänglich zu machen oder sie daraus zu entfernen.[18]

Das Bundesverfassungsgericht hat jedoch ausdrücklich festgestellt, dass die Bestimmungen für die Durchsuchung und Beschlagnahme sowohl für körperliche Datenträger, als auch für die auf ihnen gespeicherten Daten gelten[19] und dafür nicht nur den Wortsinn, sondern auch die "aktuellere Gesetzgebung" bzw. die in §§ 97 Abs. 5 S. 1 StPO, §§ 98a ff. StPO bzw. der Neufassung von § 110 Ab. 1 StPO zum Ausdruck kommenden gesetzgeberischen Wertungen angeführt.[20] Die in § 94 Abs. 1 StPO enthaltene Anforderung, dass es sich um Gegenstände handeln muss, "die als Beweismittel für die Untersuchung von Bedeutung sein können" sei angesichts der Vielgestaltigkeit möglicher Sachverhalte ausreichend, die "verfahrensbezogene Konkretisierung" habe "von Verfassungs wegen der Richter nach Möglichkeit im jeweiligen Durchsuchungs- oder Beschlagnahmebeschluss zu leisten"[21].

Danach ist zunächst festzuhalten, dass das Bundesverfassungsgericht nicht nur das körperliche Speichermedium, sondern auch die darauf befindlichen Daten als Gegenstand der Sicherstellung anerkennt.

Das Merkmal der potentiellen Beweisbedeutung – "Beweismittel kann für die Untersuchung von Bedeutung sein", § 94 Abs. 1 StPO – welches demnach körperliche Gegenstände und Daten grundsätzlich gleichermaßen für sich in Anspruch nehmen können, und das insofern den Anwendungsbereich der §§ 94 ff. StPO erweitert, hat jedoch – wie das Bundesverfassungsgericht im unmittelbaren Anschluss betont – vor allem eine limitierende Funktion. Denn es stellt sämtliche Beweismittel unter den Vorbehalt der "Begrenzung auf den Ermittlungszweck"[22]. Danach sind strafprozessuale Ermittlungsmaßnahmen nur dann zulässig, "soweit dies zur Vorbereitung der anstehenden Entscheidungen im Hinblick auf die in Frage stehende Straftat nötig ist"[23] Aus dem – auch in §§ 155 Abs. 1, 161 Abs. 1 und 163 Abs. 2 StPO ausdrücklich normierten – Postulat der Zweckbindung ergebe sich zugleich und zwingend, dass "Ermittlungen außerhalb

dieses Zwecks keine gesetzliche Grundlage haben"[24]. Daher dürften "gelegentlich einer strafrechtlichen Ermittlung keine Sachverhalte und persönlichen Verhältnisse ausgeforscht werden, die für die Beurteilung der Täterschaft und für die Bemessung der Rechtsfolgen der Tat nicht von Bedeutung sind"[25].

Gerade an diesen Voraussetzungen fehlt es jedoch solchen Daten, die sich – ggf. mit einer Vielzahl anderer Daten – "gespiegelt" auf einem Speichermedium befinden und gerade nicht beweiserheblich sind. Insoweit gibt es keine gesetzliche Grundlage für die Sicherstellung, für das "Behaltendürfen".

Dass dies gleichermaßen für beschlagnahmefreie Daten i.S.v. § 97 StPO gilt, bedarf kaum einer Begründung: Wenn schon die Anordnung und Durchführung ihrer Beschlagnahme unzulässig ist, kann es (erst recht) keine gesetzliche Legitimation für das "Behaltendürfen" geben. Dementsprechend sind beschlagnahmefreie Gegenstände sofort – und zwar ungelesen – herauszugeben, wenn die Voraussetzungen von § 97 StPO vorliegen, sonst nach Durchsicht gemäß § 110 StPO.[26]

Als Zwischenergebnis lässt sich daher feststellen, dass es für die Sicherstellung nicht beweiserheblicher bzw. beschlagnahmefreier Daten selbst dann an einer erforderlichen Ermächtigungsgrundlage fehlt, wenn die §§ 94 ff. StPO unter den vom Bundesverfassungsgericht entwickelten Prämissen grundsätzlich als gesetzliche Grundlagen für Datenzugriffe anerkannt werden.

2. Bedeutung der "Durchsicht" gemäß § 110 Abs. 1 StPO

Sofern und solange unklar ist, ob die für eine Sicherstellung bzw. Beschlagnahme erforderlichen Voraussetzungen der Beweiseignung und der Beschlagnahmefähigkeit vorliegen, sieht § 110 Abs. 1 StPO mit der Durchsicht ein "Mittel" vor, die als Beweisgegenstände in Betracht kommenden "Papiere" inhaltlich darauf zu prüfen, ob die richterliche Beschlagnahme zu beantragen oder die Rückgabe notwendig ist.[27] Der Sache nach handelt es sich gleichsam um eine "vorläufige Sicherstellung".[28]

Dabei ist der Begriff des "Papiers" in einem weiten Wortsinn zu verstehen; erfasst sind – wiederum – sowohl Speichergeräte wie EDV-Daten selbst.[29] Die Durchsicht darf daher nicht mit dem Argument unterbleiben, der Datenträger mit dem Gesamtdatenbestand sei ein Beweismittel im Ganzen, das unteilbar der Beschlagnahme unterliege.[30]

Erst nach Abschluss dieses Verfahrens, das noch Bestandteil der Durchsuchung ist,[31] "kann und muss die Ermittlungsbehörde bewerten, welche Objekte sie für beweiserheblich hält und deshalb – wenn der Betroffene sie herausbegehrt – richterlich beschlagnahmen lassen will"[32]. Diese Entscheidung markiert zugleich den Abschluss der Durchsuchung.[33] So soll sichergestellt werden, dass "lediglich diejenigen Informationen einem dauerhaften und damit vertiefenden Eingriff[zugeführt werden], die verfahrensrelevant und verwertbar sind"[34]

Zugleich hat der Gesetzgeber mit dem Institut der Durchsicht praktischen Bedürfnissen Rechnung getragen und anerkannt, dass eine sorgfältige Sichtung und Trennung der Daten nach ihrer Verfahrensrelevanz am Durchsuchungsort nicht immer möglich ist.[35] Dabei wird verlangt, dass die Durchsicht in "angemessener Dauer" durchgeführt und abgeschlossen wird;[36] feststehende zeitliche Grenzen hat die Rechtsprechung nicht entwickelt.[37]

Die Sicherstellung bzw. Beschlagname darf also – wie vorstehend im Zusammenhang mit dem Gesetzesvorbehalt dargestellt – nur und – wie § 110 Abs. 1 StPO in zeitlicher Hinsicht konkretisiert – erst dann erfolgen, wenn bereits festgestellt wurde, dass die aufgefundenen Gegenstände beweiserheblich und beschlagnahmefähig sind.

Dieses gesetzgeberische Ziel würde unterlaufen und § 110 Abs. 1 StPO wäre entbehrlich, wenn die Rückgabe mit Verweis auf vermeintliche technische Schwierigkeiten abgelehnt werden könnte. Denn dann wäre nicht mehr der Inhalt der aufgefundenen Gegenstände der entscheidende Prüfungsmaßstab. Die Durchsicht wäre obsolet, sofern die damit bezweckte Aussonderung beweisunerheblicher– oder beschlagnahmefreier Gegenstände von vornherein ausgeschlossen wäre oder mit dem Hinweis abgelehnt werden könnte, der auf einem behördlichen Datenträger kopierte Datenbestand sei im Ganzen Beweismittel.[38]

Diesem Befund lässt sich auch nicht etwa entgegen halten, dass es innerhalb des gespiegelten Datenbestandes Daten geben könnte, die sich erst in einem späteren Verfahrensstadium – etwa aufgrund von mittlerweile vorliegenden Zeugenaussagen oder in der Gesamtschau mit anderen Beweismitteln – als beweiserheblich herausstellen. Denn dieses "Risiko" besteht immer und schon deshalb, weil das Strafverfahren ein dynamischer Prozess ist. Es entbindet die Staatsanwaltschaft nicht von der Pflicht "in angemessener Zeit zu dem Ergebnis zu gelangen, was als potentiell beweiserheblich dem Gericht zur Beschlagnahme angetragen und was an den Betroffenen herausgegeben werden soll"[39].

Dass § 110 StPO die Durchsuchung zeitlich über den Vollzug der Maßnahme am Durchsuchungsobjekt hinaus ausdehnt, bedeutet bereits ein die praktischen Bedürfnisse an Zeit und (personellen) Ressourcen berücksichtigendes "Entgegenkommen" des Gesetzgebers. Eine Befugnis, nach Belieben in einem einmal gesicherten "Pool" potentieller Beweismittel suchen zu können, enthält die Vorschrift hingegen nicht. Eine solche Regelung würde auch weder dem Vorbehalt des Gesetzes gerecht noch der Systematik der gesetzlichen Bestimmungen der §§ 94 ff. StPO, die dieses Prinzip absichern und zur Geltung bringen.

Nach Abschluss der Durchsicht und damit der Durchsuchung ist daher für jeden weiteren Zugriff auf "Gegenstände" bzw. "Papiere" des betroffenen eine neue Ermächtigungsgrundlage – d.h. ein den Voraussetzungen der §§ 94 ff. StPO und den insofern erfolgten Konkretisierungen durch die Rechtsprechungen entsprechender Durchsuchungsbeschluss – erforderlich.

3. Verhältnismäßigkeit

Der bei jedem staatlichen Handeln zu wahrende Grundsatz der Verhältnismäßigkeit wird im Hinblick auf den "Datenzugriff" vom Bundesverfassungsgericht mit der Feststellung, "dass die strafprozessuale Maßnahme wegen der Vielzahl verfahrensunerheblicher Daten eine Streubreite aufweist" besonders hervorgehoben.[40]

Konkret gebiete dieses Prinzip, dass die Sicherstellung der Daten(-träger) – erstens – zur Verfolgung des gesetzlichen Strafverfolgungszwecks Erfolg versprechend ist und sie – zweitens – zur Ermittlung und Verfolgung der Straftat erforderlich ist, dass also keine anderen, weniger einschneidenden Mittel zur Verfügung stehen. Drittens muss der jeweilige Eingriff in angemessenem Verhältnis zur Schwere der Straftat und der Stärke des Tatverdachts stehen.[41]

Aus diesen (allgemeingültigen) Prämissen leitet das Bundesverfassungsgericht konkrete Maßgaben für den Umgang mit nicht verfahrenserheblichen Daten ab: Sofern sich solche Daten auf dem Datenträger befinden, sei die Sicherstellung zur Erreichung des Ermittlungszwecks bereits ungeeignet.[42] Der Zugriff auf den gesamten auf den gesamten Datenbestand eines Speichermediums – auf dem "neben den potentiell beweiserheblichen Informationen regelmäßig auch in erheblichem Umfang verfahrensirrelevante Beweismittel enthalten sind" sei nicht erforderlich, "wenn die Sicherung der beweiserheblichen Daten auf andere, weniger belastende Weise erreicht werden kann".[43]

Auch dabei belässt es das Bundesverfassungsgericht nicht. Vielmehr werden, nachdem noch einmal betont wird, dass die "Möglichkeit einer Trennung der potentiell erheblichen von den restlichen Daten von Verfassungs wegen zu prüfen" ist, die "weniger belastenden" Alternativen eines "Gesamtzugriffs" beim Namen genannt: "Erstellung einer (Teil-)Kopie hinsichtlich der verfahrenserheblichen Daten" bzw. "Löschen oder die Herausgabe der für das Verfahren irrelevanten Daten." Ohne auf etwaige technische Schwierigkeiten oder Hinderungsgründe dieser Verfahren einzugehen, heißt es sodann, die "Datentrennung" sei "regelmäßig nicht mit einer Minderung des Beweiswerts verbunden, da die jeweilige Datei beim Kopiervorgang lediglich dupliziert wird."[44]

4. Zwischenergebnis

Als Zwischenergebnis lässt sich somit festhalten, dass die "Herausgabe" bzw. die Löschung nicht beweiserheblicher und beschlagnahmefreier Daten (verfassungs-)rechtlich geboten ist. Für ihre Sicherstellung gibt es keine gesetzliche Grundlage. Bereits der Zugriff darauf, erst recht aber ihre Beschlagnahme, bedeutet zudem eine Verletzung des Verhältnismäßigkeitsprinzips. Denn bei einer endgültigen Beschlagnahme des Datenträgers und aller darauf vorhandenen Daten würde – wie das Bundesverfassungsgericht betont – der staatliche Zugriff "zeitlich perpetuiert und damit erheblich intensiviert"[45] .

III. Technische Aspekte

1. "Spiegelung"

Technisch gesehen ist das Spiegeln eines Datenträgers eine logische Kopie des Datenträgers. Für alle Datenträger gilt, dass Informationen, wie z.B. Dateien, in Form von Blöcken organisiert auf den Datenträger abgelegt sind. Somit ist ein Datenträger vereinfacht gesagt eine Folge von Blöcken und jeweils eine Menge von Blöcken bildet eine Datei. Auch die Informationen, die nicht direkt Dateien zugeordnet werden können, wie z.B. Reste gelöschter Dateien lassen sich so in Blöcke unterteilen. Bei der Spiegelung wird der Datenträger ausgelesen und geeignet auf einem zweiten Datenträger in Blöcke aufgeteilt abgespeichert. Hierdurch sind alle Dateien und auch aktuell nicht verwendete oder nicht mehr genutzte Blöcke des Datenträgers erfasst und stehen der Untersuchung zur Verfügung. Bei der Auswertung der Daten ist es dementsprechend immer möglich, identifizierte Daten – etwa bestimmte Dateien – den entsprechenden Blöcken zuzuordnen.

Aus forensischer Sicht muss ein Image zunächst immer komplett erstellt werden, um so das Sichten des Datenträgers unter Berücksichtigung von vielleicht auch durch den Benutzer gelöschten Informationen zu ermöglichen. Die Informationen von gelöschten Dateien können sich in den Blöcken befinden, die nicht bzw. nicht mehr zu einer Datei assoziiert sind. Erst nach dieser Sichtung kann ein Löschen der nicht benötigten Blöcke erfolgen. Dementsprechend ist es nicht möglich, schon beim Erstellen des Images eine Auswahl über die Inhalte zu treffen. [46]

2. "Selektive Datenlöschung"

Um das Löschen bestimmter Informationen – im konkreten Fall Dateien – zu ermöglichen, die nicht beweiserheblich und/oder nicht beschlagnahmefähig sind, müssen zunächst diejenigen Blöcke identifiziert werden, welche die gewünschten Informationen enthalten, die also zu den Dateien gehören, die verwendet werden sollen. Die Informationen in den restlichen Blöcken können gelöscht werden, wobei verschiedene Verfahren verwendet werden können. Dabei wird sich ein einfaches Überschreiben der Blöcke im Abbild mit einem festen Wert– also beispielsweise das Überschreiben der Blöcke mit Nullen – wohl als am einfachsten und als vollkommen ausreichend darstellen. Dabei wird die Information gelöscht, ohne die logische Struktur des Images zu ändern.

Durch das Löschen der Informationen wird das Image des gespiegelten Datenträgers auf eine klar definierte Weise verändert. Um die gerichtliche Verwertbarkeit zu erhalten, muss daher jede Löschung von Informationen dokumentiert und die Auswertbarkeit der zurückbehaltenen Blöcke erhalten werden. Es muss nachweisbar sein, dass die fraglichen Blöcke immer noch die Information unverändert zum Originalimage tragen.

Erforderlich ist mithin ein Integritätsschutz, der ermöglicht und garantiert, die Unterschiede zu dokumentieren und als legitim zu vermerken. Hierfür werden typischerweise kryptografische Hash-Wert-Verfahren verwendet.

Ein Hashwert ist ein Wert fester Länge (z.B. 128 Bit, 160 Bit), typischerweise codiert als hexadezimale Zeichenkette, der über eine Hashfunktion aus den Originaldaten gewonnen wird und als digitaler Fingerabdruck der Originaldaten dient.[47] Im Prinzip ist eine Hashfunktion eine mathematische Funktion, die einen großen Eingabewert (z.B. ein Festplattenimage) einem kurzen Hashwert mit fester Länge zuordnet. Moderne Hashfunktionen haben die Eigenschaft, dass die Wahrscheinlichkeit sehr gering ist, zwei Eingabewerte – also zwei unterschiedliche Festplattenimages – mit demselben Hashwert zu finden. Daher bedeuten Änderungen immer eine Änderung des Hashwertes. Außerdem ist es nicht möglich, aus dem Hashwert allein die Originaldaten zu berechnen.

Zusätzlich kann ein solcher "digitaler Fingerabdruck" unter Verwendung kryptographischer Schlüssel digital signiert werden, wodurch ein bestimmter Zustand der Originaldaten belegt wird und gewollte oder versehentliche Änderungen erkannt werden können, wenn der Hash-Wert der Originaldaten nicht mit dem Hash-Wert der Duplikate übereinstimmt (digitale Signatur). Eine bewusste Veränderung kann dann nur noch unter Verwendung des geheimen Schlüssels der digitalen Signatur stattfinden.[48]

Außerdem muss die Erstellung der Hashwerte dokumentiert werden, also wer, wann und mit welchem System die Hashwerte erzeugt hat, weshalb eine überprüfbare Verknüpfung dieser Prozessinformationen mit dem Image stattfinden muss. Ansonsten kann einem Hash-Wert nicht entnommen werden, ob er zum Zeitpunkt der Festplattenspiegelung hergestellt wurde oder später, nachdem Daten auf dem Image verändert wurden.[49]

Um nun nach der teilweisen Löschung noch die Integrität spezieller Blöcke bestimmen zu können, muss für jeden Datenblock einzeln ein Hashwert erzeugt werden. Über diese einzelnen Hashwerte wird dann wiederum ein Hashwert erzeugt (Hash-Baum). Hash-Bäume werden bereits bei der vertrauenswürdigen Langzeitarchivierung eingesetzt.[50] Dieser neue Hashwert, der nun die Fingerabdrücke aller einzelnen Blöcke kombiniert, muss dann wiederum signiert werden. In der Prüfung des Images müssen für gelöschte Blöcke jeweils direkt die Hashwerte des Original-Blocks verwendet werden, um die Übereinstimmung der Blöcke mit denen des Originalimages nachzuweisen. Diese Vorgehensweise erlaubt es, gezielt zu ermitteln, welcher einzelne Datenblock aus den nicht gelöschten Blöcken eventuell verändert wurde.

3. Zwischenergebnis

In technischer Hinsicht lässt sich feststellen, dass eine "selektive Datenlöschung" weder per se ausgeschlossen ist noch notwendig mit der Gefahr verbunden ist, dass die "Beweiskraft der Daten bei dem Exportvorgang beeinträchtigt" wird, wobei sich die "Beweiskraft" in diesem Sinne auf den Nachweis bezieht, dass die duplizierte Datei inhaltlich mit der Originaldatei übereinstimmt. Vielmehr bietet das beschriebene Verfahren die – rechtlich gebotene – Garantie, dass es sich bei den verbleiben-

den Daten tatsächlich um eine – insoweit unveränderte – Kopie der Originalinformation handelt.

IV. Schluss

Die verbreitete Praxis der Datenspiegelung zur Beweisgewinnung hat für den Betroffenen den Vorteil, dass die EDV-Anlage weiter genutzt werden kann und erscheint daher auf den ersten Blick unter Verhältnismäßigkeitserwägungen gegenüber der Mitnahme entsprechender Geräte als milderes Mittel. Dieses Bild verschiebt sich jedoch angesichts der Tatsache, dass die Ermittlungsbehörden bei einer "Komplettsicherung" in der Regel Zugriff auf eine Vielzahl von Daten erhalten, die – im maßgeblichen Zeitpunkt des Abschlusses der Durchsuchung – nicht beweiserheblich und/oder beschlagnahmefrei sind. Erhebliche rechtsstaatliche Bedenken ergeben sich jedoch, wenn die "Herausgabe" dieser Daten mit Verweis auf vermeintliche technische Gegebenheiten verweigert wird.

Die Untersuchung hat gezeigt, dass eine selektive Löschung nicht beweiserheblicher und/oder beschlagnahmefreier Daten (verfassungs-)rechtlich zwingend und technisch möglich ist. Sofern bestimmte von Ermittlungsbehörden verwendete Softwareprodukte diesen Anforderungen nicht gerecht werden (können), sind sie für die Verwendung im Strafverfahren ungeeignet. Wenn und solange solche Verfahren angewandt werden, müssen beweiserhebliche Daten bzw. entsprechende Dateien ausgedruckt zur Akte genommen und muss das Datenimage insgesamt gelöscht werden.

Die Herausgabe bzw. Löschung nicht verfahrensrelevanter/beschlagnahmefreier Daten kann nicht mit Verweis auf technische Schwierigkeiten abgelehnt werden. Denn die im Strafverfahren eingesetzte Technik muss den (verfassungs-)rechtlichen Anforderungen entsprechen, nicht umgekehrt.

Der gezeigte technische Lösungsweg lässt sich nahtlos in die bestehenden forensischen Prozesse und Softwarelandschaft integrieren. Entsprechende Produkte sind in einem prototypischen Stadium bereits verfügbar und können relativ kurzfristig marktfähig gemacht werden.


[1] BVerfGE 120, 274, 303 (= HRRS 2008 Nr. 160).

[2] Vgl. nur BVerfGE 113, 29, 51 (= HRRS 2005 Nr. 549).

[3] Vgl. Wabnitz/Janovsky/Bär, Handbuch des Wirtschafts- und Steuerstrafrechts, 3. Aufl., (2007), Kap. 12, Rn. 1.

[4] Vom BKA verstanden als "Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik (IuK) oder gegen diese begangen werden." (vgl. BKA, Cybercrime Bundeslagebild 2011, S. 5, abrufbar unter http://www.bka.de/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrime__node.htm ).

[5] Vgl. Saller (Referent in der Sonderkommission der Kartellbekämpfung des BKartA), CCZ 2012, 189, 189: Mitnahme von Hardware nur in Ausnahmefällen; aus staatsanwaltschaftlicher Sicht Ciolek-Krepold, Durchsuchung und Beschlagnahme in Wirtschaftsstrafsachen (2000), Rn. 358; aus Sicht der Finanzverwaltung Graulich wistra 2009, 299.

[6] Vgl. BGH, Beschl. v. 5.8.2003 – 2 BJs 11/03-5-StB 7/03NStZ 2003, 670, 671.

[7] Vgl. etwa Bäcker/Freiling/Schmitt DuD 2010, 80, 81; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (DLU), Tätigkeitsbericht 2013, S. 49; wohl auch Ciolek-Krepold (Fn. 5), Rn. 357, mit der Formulierung es sei "der Datenbestand zu spiegeln".

[8] Vgl. Szesny WiJ 2012, 228, 229 (abrufbar unter www.wi-j.de ).

[9] Vgl. Bäcker/Freiling/Schmitt DuD 2010, 80, 81.

[10] Anfragen bei dem Bundesdatenschutzbeauftragten, diversen Landesdatenschutz- und Ermittlungsbehörden sowie einem Landesjustizministerium haben ergeben, dass die Problematik dort bekannt ist und teilweise Lösungsansätze gesucht und diskutiert werden.

[11] BVerfGE 109, 279, 332 ff. (= HRRS 2004 Nr. 170).

[12] LG Frankfurt, Beschl. v. 20.7.2004 – 5/30 ARTW 3/03, 5-30 ARTW 3/03, StV 2005, 79, 80, im Original ohne Hervorhebung.

[13] Insbesondere durch Einfügung bzw. Änderung der §§ 98a ff., 97 Abs. 5.

[14] Daher fordert etwa Sieber, Gutachten 69. DJT, C67, eine "umfassende Reformdiskussion", inwieweit entsprechende Eingriffsermächtigungen den Besonderheiten des Zugriffs auf computergespeicherte Daten angepasst werden müssen.

[15] BVerfGE 113, 29, 45 (= HRRS 2005 Nr. 549) unter Bezugnahme auf BVerfGE 65, 1, 42 (Volkszählung).

[16] BVerfGE 120, 274, 303 (= HRRS 2008 Nr. 160).

[17] BVerfGE 113, 29, 50 (= HRRS 2005 Nr. 549).

[18] Übereinkommen über Computerkriminalität (Convention on Cybercrime vom 21.11.2001, ETS Nr. 185), zit. nach der bereinigten Übersetzung der zwischen Deutschland, Österreich und der Schweiz abgestimmten Fassung, abrufbar unter http://conventions.coe.int/treaty/ger/treaties/ html/185.htm.

[19] So auch die ganz überwiegende Ansicht der Literatur, vgl. Meyer-Goßner StPO, 55. Aufl. (2012), § 94, Rn. 2 m. zahlr. Nachw.; eingehend Böckenförde, Die Ermittlung im Netz (2003), S. 274 ff.; a.A. Kemper NStZ 2002, 238, 240.

[20] Vgl. BVerfGE 113, 29, 50/51 m.w.N. (= HRRS 2005 Nr. 549).

[21] BVerfGE 113, 29, 51 m.w.N. (= HRRS 2005 Nr. 549)

[22] BVerfGE 113, 29, 52 (= HRRS 2005 Nr. 549).

[23] BVerfGE 113, 29, 52 (= HRRS 2005 Nr. 549).

[24] BVerfGE 113, 29, 52 (= HRRS 2005 Nr. 549).

[25] BVerfGE 113, 29, 52 (= HRRS 2005 Nr. 549).

[26] Vgl. Meyer-Goßner, StPO, 55. Aufl. (2012), § 110, Rn. 2 m.w.N.; Einzelheiten zur "Durchsicht" nachfolgend unter II.2.

[27] BGH, Beschluss vom 5.8.2003 – StB 7/08 – NStZ 2003, 670, 671; ähnlich BVerfGE 113, 29, 56 m.w.N. (= HRRS 2005, 549); vgl. auch Meyer-Goßner (Fn. 19), § 110, Rn. 2 m.w.N.

[28] Vgl. Szesny, WiJ 2012, 228, 230 (abrufbar unter www.wi-j.de ).

[29] Vgl. KK-Nack, StPO, 6. Aufl. (2008), § 110, Rn. 2; Schlegel, HRRS 2008, 23, 25 m.w.N.

[30] Vgl. Szesny WiJ 2012, 228, 230 (abrufbar unter www.wi-j.de ).

[31] Dass die Durchsuchung erst der Abschluss der Durchsicht beendet ist, ist (auch) unter Rechtsschutzgesichtspunkten relevant, Einzelheiten etwa bei Marberth-Kubicki ITRB 2006, 59, 60 m.w.N.

[32] LG Frankfurt a.M., Beschl. v. 4.9.1996 – 5/29 Qs 16/96NStZ 1997, 564 m.w.N.

[33] Vgl. Meyer-Goßner (Fn. 19), § 110, Rn. 10, § 105, Rn. 15 m.w.N.

[34] BVerfGE 113, 29, 56 (= HRRS 2005, 549).

[35] BVerfGE 113, 29, 56 (= HRRS 2005, 549).

[36] LG Frankfurt a.M., Beschl. v. 4.9.1996 – 5/29 Qs 16/96NStZ 1997, 564 m.w.N.

[37] Krit. Hoffmann/Wißmann NStZ 1998, 443, 444, mit dem Vorschlag, die Grundsätze des Bundesverfassungsgerichts zum "Haltbarkeitsdatum" von Durchsuchungsbeschlüssen (NStZ 1997, 447) auch insoweit zu berücksichtigen.

[38] Vgl. LG Bonn, Beschl. v. 17.6.2003 – 37 Qs 20/03, wistra 2005, 76, 77 m. Verweis darauf, dass der BGH § 110 Abs. 1 StPO ausdrücklich auf Daten anwendet. A.A. LG Köln, Beschl. v. 11.8.1994 – 112 Qs 2/94, NStZ 1995, 54.

[39] LG Frankfurt a.M., NStZ 1997, 564, 565.

[40] BVerfGE 113, 29, 53 (= HRRS 2005 Nr. 549).

[41] BVerfGE 113, 29, 53 (= HRRS 2005 Nr. 549).

[42] Zur "Zweckbindung" vgl. bereits die vorstehenden Ausführungen unter II.1. m.w.N.

[43] Vgl. BVerfGE 113, 29, 55 (= HRRS 2005 Nr. 549).

[44] Vgl. zum Vorstehenden insgesamt BVerfGE 113, 29, 55 (= HRRS 2005 Nr. 549).

[45] BVerfGE 113, 29, 56 (= HRRS 2005 Nr. 549).

[46] Vgl. NIST SP 800-86, Guide to Integrating Forensic Techniques into Incident Response, 2006 (abrufbar unter http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf).

[47] Vgl. BSI-Leitfaden IT-Forensik, Version 1.0.1, 03/2011, S. 61.

[48] Buchmann, Einführung in die Kryptographie, 5. Aufl. (2010), S. 193 ff.

[49] Rossnagel, Die digitale Signatur in der öffentlichen Verwaltung in: Kuicek/Braczyk/Klumpp/Müller/Neu /Raubold/Rossnagel (Hrsg.) Multimedia @Verwaltung (1999), S. 158.

[50] ArchiSig-Prinzip, siehe die noch im Entwurf befindliche "Technische Richtlinie 03138 - Rechtssicheres ersetzendes Scannen" (TR RESISCAN) sowie P. Rehäußer /Zimmer/Korte/Hühnlein/Fischer-Dieskau/Gnaida, Technische Richtlinie zur vertrauenswürdigen Langzeitarchivierung in: Horster/Schartner (Hrsg.) D*A*CH Security (2009), S. 470.