HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Juli 2016
17. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Strafprozessuale Ermittlungsmaßnahmen bei Datenübertragung im Cloud-Computing
Von Dr. Sven Gerry Gähler, Berlin
Je mehr die technische Entwicklung exponentiell von Jahr zu Jahr zunimmt, desto schneller und weiter verbreiten sich innovative IT-Infrastrukturen und neuere informationstechnische Anwendungen. Einer der neuesten Trends ist die inzwischen verbreitete Nutzung des sog. "Cloud Computing".[1] Das Spektrum dieser Dienste reicht von der Bereitstellung "einfacher" Datenspeicherplätze wie etwa Dropbox, Skydrive, Googledrive und der iCloud bis zur Auslagerung ganzer Benutzeroberflächen und gar Firmensystemen in die "Cloud".[2] In diesen Fällen verbleibt am eigentlichen Arbeitsplatz nur noch ein Monitor und ein rudimentärer Rechner, der mehr oder weniger nur noch den Zugang zur Cloud ermöglicht. Ging man 2014 noch davon aus, dass ca. 12% der Unternehmen in Deutschland "Cloud-Computing" in jeweils unterschiedlichen Ausgestaltungen einsetzten,[3] gehen Studien aus dem März 2015 davon aus, dass es sich vielmehr um 44 % handelt.[4] Vor allem mehr als zwei Drittel der Unternehmen mit mehr als 2.000 Mitarbeitern setzen auf Cloud-Lösungen.[5]
Die grundsätzliche Struktur des Cloud-Zugriffs lässt sich dabei – stark vereinfacht – in drei beteiligte Akteure untergliedern: Den Cloud-Nutzer (Kunde oder Endnutzer), der zumeist physisch über das jeweilige Endgerät verfügt, den für die Übertragung auf den Cloud-Server notwendigen Telekommunikationsdienstanbieter und den Cloud-Dienstanbieter, der den Cloud-Server bereitstellt und unterhält.[6]
Es liegt auf der Hand, dass diese neueren Systeme der Datenspeicherung die Strafverfolgungsbehörden vor erhebliche Probleme stellen: Daten sind immer seltener auf physisch greifbaren Speichermedien entweder in der Wohnung oder am Arbeitsplatz des Beschuldigten oder eines Dritten vorhanden.
Es stellt sich aber die Frage, ob nicht die Nutzung von Cloud-Diensten auch neue Zugriffsmöglichkeiten eröffnet.[7] Aus den umfangreichen und vielschichtigen Problemen, die mit der Verbreitung des Cloud-Computing einhergehen, sollen daher zwei Ansatzpunkte herausgegriffen werden: der heimliche Zugriff bei der Übertragung der Daten in die Cloud, vor allem der Zugriff bei einer (automatischen) Synchronisation der Daten (hierzu unter I.), und der heimliche Zugriff auf den Cloud-Speicher selbst (hierzu unter II.). Dabei handelt es sich in beiden Fällen um sog. Inhaltsdaten,[8] so dass es auf die mit dem Zugriff auf andere Datenkategorien verbundenen Fragen nicht ankommt. Zudem soll nur der Fall betrachtet werden, dass die eigentlichen Daten stets auf dem Cloud-Server gespeichert werden. Ob sie auch auf den Endgeräten vorhanden sind, ist dagegen unerheblich.
I. Heimlicher Zugriff auf die Datenübertragung in den Cloud-Speicher
Was den Zugriff bei der Übertragung der Daten in die Cloud anbelangt, so hat der Bundesinnenminister Thomas de Maizière in einer Rede anlässlich der BKA-Herbsttagung 2014 das Problem umrissen:
"Die bisherige Zuordnung zu den Schutzbereichen des GG (Art. 10 oder Recht auf Integrität informationstechnischer Systeme) passen nicht mehr wirklich. Dokumente z.B. an denen ich arbeite, werden zu Kommunikationsdaten, wenn mein System sie in der Cloud speichert, obwohl ich sie als Nutzer nicht bewusst übermittele. Unser Rechtssystem setzt bislang am Zustand der Daten an, nicht an der Qualität. Doch das System entscheidet zunehmend über den Zustand, nicht der User." [9]
In Bezug auf die Datenspeicherung in der Cloud wird in erster Linie eine automatisierte Synchronisation angesprochen.[10]
1. Allgemeines
Ein Zugriff auf diese, während des Synchronisationsvorgangs übertragene Daten bietet einen besonderen Anreiz: Automatische Synchronisierungen umfassen – anders als etwa E-Mails – nicht zwangsläufig nur einen begrenzten Datenstrom. Vielmehr können sie sich eventuell sogar auf die gesamten gespeicherten Daten erstrecken. Ein Zugriff auf all diese Daten ist aus Perspektive der Ermittlungsbehörden selbstredend von großem Interesse.
Ansprechend ist aus der Perspektive der Ermittlungsbehörden daher auch ein Abgreifen dieses Datenstroms während des Übertragungsvorgangs. Dies kann entweder durch eine Inanspruchnahme des Telekommunikationsdienstanbieters oder aber durch unmittelbares Abfangen des Datenstroms durch die Ermittlungsbehörden selbst erfolgen. Entscheidend ist jedoch zunächst, auf welcher Eingriffsgrundlage der StPO eine solche Maßnahme beruhen könnte.
Als Ermächtigungsgrundlage für einen heimlichen Eingriff in den Übertragungsvorgang kommt die Telekommunikationsüberwachung nach §§ 100a ff. StPO in Betracht. Dabei stellt sich die entscheidende Frage, ob der Datenstrom einer automatischen Synchronisation ohne menschliches Zutun zwischen Endgerät und Cloud-Server das Merkmal "Telekommunikation" im Sinne der Norm erfüllt.
2. Datensynchronisation als "Telekomunikation" i.S.d. § 100a StPO
Das Merkmal "Telekommunikation" in § 100a StPO wird in der StPO nicht näher definiert. Es wurde damit vom Gesetzgeber bewusst offengehalten, um neue, noch nicht bekannte Techniken der Nachrichtenübertragung zu erfassen.[11] Seine Auslegung orientiert sich zum einen an der Legaldefinition des Begriffs "Telekommunikation" in § 3 Nr. 22 TKG und zum anderen am Grundrecht des Fernmeldegeheimnisses und damit am Schutzbereich des Art. 10 Abs. 1 Var. 3 GG.[12] Eine Grenze stellt in allen Fällen die gebotene restriktive Auslegung dar. Zwar ist die Anwendung eines Analogieverbots – gleich ob man es auf Art. 103 Abs. 2 GG stütz oder es aus allgemeinen rechtsstaatlichen Grundsätzen folgt – im Strafverfahrens-
recht umstritten und wird von der wohl überwiegenden Auffassung abgelehnt.[13] Allerdings geht auch in diesen Fällen ein Teil der herrschenden Meinung zumindest davon aus, dass bei der Auslegung strafprozessualer Normen aufgrund der grundrechtsschützenden Funktion von Verfahrensvorschriften restriktiv vorzugehen ist.[14]
a) Die Legaldefinition § 3 Nr. 22 TKG
Nach der Legaldefinition des § 3 Nr. 22 TKG ist "Telekommunikation" der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen". Der Wortlaut der Definition differenziert nicht zwischen einem bloßen Datenaustausch zwischen zwei technischen Geräten und legt auch nicht nahe, dass Informationen bewusst von Personen übermittelt werden müssen. Nach dieser rein technischen Definition unterfällt daher auch die automatische Synchronisation von Daten zwischen Endgerät und Cloud-Speicher dem Telekommunikationsbegriff.[15]
b) Schutzbereich des Art. 10 Abs. 1 Var. 3 GG
Entscheidend ist daher, ob die Datensynchronisation dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG unterfällt. In der Literatur wird diese konkrete Frage nur sporadisch behandelt: Zum Teil wird pauschal davon ausgegangen, dass Telekommunikation (denklogisch) das Vorhandensein von (mindestens zwei) menschlichen Kommunikationspartnern voraussetzt.[16] Ein Teil des Schrifttums geht davon aus, dass auch selbstverständlich der maschinelle Datenaustausch miterfasst wird.[17] Auch wird angeführt, dass man nur nach der konkreten Nutzung der Cloud Aussagen zum einschlägigen Grundrecht machen könne.[18] Zumeist wird Kommunikation im Sinne des Art. 10 GG lediglich als Informationsaustausch angesehen, ohne dass auf die Qualität des Kommunikationspartners eingegangen wird.[19] Andererseits wird auch der kommunikative Austausch zwischen zwei Akteuren in den Vordergrund gerückt: Etwa, wenn festgestellt wird, dass sicherzustellen sei, dass die Grundrechtsträger unbefangen kommunizieren können.[20]
Grundsätzlich ist der sachliche Schutzbereich von Art. 10 Abs. 1 GG entwicklungsoffen und umfasst daher auch neuartige Übertragungstechniken.[21] Das Grundrecht begegnet Persönlichkeitsgefährdungen, die sich aus der gestiegenen Bedeutung der Informationstechnik für die Entfaltung des Einzelnen ergeben.[22] Betrachtet man die verfassungsrechtlichen Kriterien, nach denen eine Eröffnung des Schutzbereichs beurteilt wird, näher, so zeigt sich, dass sich die Datensynchronisation auf den ersten Blick in einem Spannungsfeld zweier verfassungsgerichtlicher Entscheidungen bewegt: den Beschlüssen des BVerfG zum Einsatz sog. IMSI-Catcher[23] und zum Zugriff auf E-Mail-Server.[24]
aa) Der Beschluss des BVerfG zum Einsatz sog. IMSI-Catcher
Betrachtet man den Beschluss des BVerfG vom 22. August 2006 zum Einsatz sog. IMSI-Catcher, so scheint es, als nähme das Gericht einen wertungsmäßigen Unterschied zwischen menschlicher Interaktion und lediglich maschinellem Informationsaustausch an. Gegenstand dieser Entscheidung war der Einsatz eines sog. IMSI-Catchers. Stark vereinfacht erlaubt dieser, Daten, die auf der Karte eines Mobilfunktelefons gespeichert sind, auszulesen und somit den Standort eines Mobiltelefons innerhalb einer Funkzelle einzugrenzen.
In seiner Entscheidung betont das BVerfG, dass die technische Kommunikation zwischen zwei Geräten nicht das spezifische Gefährdungspotential aufweise, vor dem das Grundrecht Schutz gewährt.[25] Der Einsatz eines IMSI-Catchers beziehe sich nicht auf einen tatsächlich stattfindenden oder zumindest versuchten Kommunikationsvorgang zwischen Menschen. Beim Einsatz des "IMSI-Catchers” "kommunizieren” ausschließlich technische Geräte miteinander. Es fehle an einem menschlich veranlassten Informationsaustausch, der sich auf Kommunikationsinhalte bezieht.[26] Art. 10 GG folge gerade nicht dem rein technischen Telekommunikationsbegriff des § 3 Nr. 22 TKG sondern knüpfe personal an den Grundrechtsträger und dessen Schutzbedürftigkeit an.[27]
bb) Der Beschluss des BVerfG zum Zugriff auf E-Mail-Server
Demgegenüber betont das BVerfG in seiner Entscheidung vom 16. Juni 2009 zur Sicherstellung und Beschlagnahme von E-Mails auf dem Mailserver des Providers, dass entscheidendes Kriterium für die Eröffnung des Schutzbereichs des Art. 10 Abs. 1 Var. 3 GG die spezifische Gefährdungslage aufgrund des technisch bedingten Mangels an Beherrschbarkeit des gewählten Übermittlungsvorgangs sei.[28]
Zur Begründung führt das BVerfG an, die notwendige Einschaltung Dritter in den Kommunikationsvorgang führe dazu, dass sich die Daten nicht im ausschließlichen Herrschaftsbereich des Nutzers befänden und sie daher einem staatlichen Zugriff leichter ausgesetzt seien als eine direkte Kommunikation unter Anwesenden. Der Nutzer habe technisch keine Möglichkeit die Weitergabe der Informationen durch den E-Mail-Provider zu verhindern.[29]
cc) Datensynchronisation unterfällt dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG
Vor diesem Hintergrund ist festzustellen, dass auch die automatische Synchronisation von Daten dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG unterfallen muss.[30]
Die Entscheidung des BVerfG zum Einsatz des IMSI-Catchers steht einer Eröffnung des Schutzbereichs nicht entgegen.[31] Es besteht ein wesentlicher Unterschied zwischen dem Einsatz eines IMSI-Catchers und dem Abgreifen von bei der Synchronisation übertragenen Daten: IMSI-Daten geben lediglich Auskunft über die Kommunikationsanbahnung wohingegen synchronisierte Daten als Inhaltsdaten den Kommunikationsgegenstand an sich darstellen. Die Erfassung dieser Inhaltsdaten birgt gerade diejenigen spezifischen Gefahren für die Privatheit des Informationsaustausches, vor denen Art. 10 Abs. 1 Var. 3 GG Schutz gewähren soll.
Stellt man auf das Vorliegen einer telekommunikationsspezifischen Gefährdungslage als entscheidendes Kriterium ab,[32] so ist zu konstatieren, dass diese bei der automatischen Datenübertragung in die Cloud gegeben ist.
Technisch beherrscht wird diese Form der Übermittlung vom Telekommunikationsanbieter und vom Cloud-Anbieter selbst. Der Cloud-Nutzer hingegen steht einem von ihm nicht kontrollierbaren Fremdbeherrschungspotential gegenüber.[33] Faktisch kann er auf den konkreten Vorgang der Datenübertragung keinen Einfluss nehmen. Hierüber entscheidet allein der Telekommunikationsanbieter oder der Netzbetreiber als notwendiges Bindeglied zwischen Cloud-Nutzer und Cloud-Anbieter. Zudem stehen auch dem Cloud-Anbieter technische Möglichkeiten zur Verfügung, den Cloud-Nutzer von seinen gespeicherten Daten vollständig auszuschließen.[34] Die rechtlichen Konsequenzen, welche eine solche Vorgehensweise nach sich ziehen mag, berühren dabei nicht die faktische Unbeherrschbarkeit der Datenübermittlung durch den Cloud-Nutzer.[35] Dieses Fremdbeherrschungspotential ist unabhängig davon, ob die Daten aufgrund menschlicher oder maschineller Veranlassung den Herrschaftsbereich des Cloud-Nutzers verlassen. Dem kann nicht entgegengehalten werden, dass eine Beherrschbarkeit dadurch besteht, dass der Nutzer die Synchronisation aktivieren oder deaktivieren kann. Denn diese Entscheidungsmöglichkeit betrifft lediglich die Einleitung des Übermittlungsvorgangs, nicht aber die technische Übermittlung selbst.
Unerheblich ist ferner, dass kein menschlich veranlasster Kommunikationsvorgang vorliegt.[36] Zum einen ist festzustellen, dass Art. 10 Abs. 1 Var. 3 GG von seinem Wortlaut her keine "Kommunikation" voraussetzt, sondern lediglich das "Fernmeldegeheimnis" für unverletzlich erklärt. Zudem entsteht die spezifische Gefahr für die Privatheit von übertragenen Inhaltsdaten, vor denen Art. 10 Abs. 1 Var. 3 GG Schutz gewährt, allein durch die räumliche Trennung des zu erreichenden Speichermediums und der notwendigen Nutzung informationstechnischer Wege. Der Nutzer ist gerade wegen der räumlichen Distanz auf eine Übermittlung durch andere angewiesen und deshalb in besonderer Weise einem Zugriff Dritter ausgesetzt.[37] Diese mangelnde Beherrschbarkeit ist aber unabhängig von einer menschlichen Veranlassung des entsprechenden Übertragungsvorgangs.
c) Fazit zur Einordnung der Synchronisation als Telekommunikation i.S.d. § 100a StPO
Für die Einordnung der Synchronisation als Telekommunikation i.S.d. § 100a StPO bedeutet dies folgendes: Soweit sich der Terminus an § 3 Nr. 22 TKG und Art. 10 Abs. 1 Var. 3 GG orientiert, ist nach beiden Begriffen die Synchronisation auch als Telekommunikation aufzufassen. Zwar ist es anerkannt, dass allein von der Eröffnung des Schutzbereichs des Art. 10 Abs. 1 Var. 3 GG nicht auf Vorliegen einer "Telekommunikation" i.S.d. §§ 100a ff. StPO geschlossen werden kann.[38] Allerdings ist eine Einbeziehung der Synchronisation in den Anwendungs-
bereich des § 100a StPO auch wertungsgemäß angezeigt.[39] Eine Zuordnung muss auch unter Berücksichtigung des Aspektes erfolgen, ob der Betroffene aufgrund der Verdecktheit des Eingriffs in erhöhtem Maße schutzbedürftig ist.[40] Dies ist der Fall: Der Cloud-Nutzer ist in besonderem Maße schutzwürdig, weil der Zugriff gerade während des von ihm überhaupt nicht kontrollierbaren Übertragungsvorgangs stattfindet.
Hieraus folgt auch nur ein scheinbarer Widerspruch: Die hohe Schutzbedürftigkeit des Cloud-Nutzers ermöglicht nicht erst einen Eingriff auf Basis des § 100a StPO. Durch die Subsumtion als Telekommunikation wird der Cloud-Nutzer vielmehr privilegiert. Der Eingriff darf erst unter den vergleichsweise strengen Voraussetzungen des § 100a StPO[41] erfolgen und nicht schon nach den weiter gefassten Eingriffsvoraussetzungen anderer strafprozessualer Ermittlungsmaßnahmen.
3. Ausblick über die Anwendung einer Überwachung nach § 100a StPO
Wenn nun ein "Abgreifen" des Datenstroms während des Übertragungsvorgangs nach § 100a StPO möglich ist, so kann eine Telekommunikationsüberwachung zunächst gezielt zum Abgreifen synchronisierter Daten angeordnet werden. Wenn dies erfolgt, so müssen zwar die recht hohen Voraussetzungen der Maßnahmen und der verfahrensrechtlichen Anforderungen beachtet werden. Allerdings limitiert das Gebot der Verhältnismäßigkeit eine Erhebung nicht zwangsläufig. Das BVerfG hat im Kontext der Durchsuchung, Sicherstellung und Beschlagnahme von Datenträgern ein abgestuftes System entwickelt.[42] Dieses ist auch auf den Zugriff auf den Datenstrom bei einer Synchronisierung übertragbar. Danach beschränkt das Gebot der Verhältnismäßigkeit – insbesondere die Anforderungen der Erforderlichkeit der Maßnahme – den Zugriff auch nur in den Grenzen des technisch Möglichen, d.h. soweit überhaupt ein Aussondern gewisser Daten erreicht werden kann. Ist es technisch nicht möglich, die unterschiedlichen übertragenen Daten bereits beim Abgreifen des Übertragungsvorgangs zu isolieren, so können ohne Verstoß gegen das Gebot der Verhältnismäßigkeit zunächst alle Daten erhoben werden.[43] Zudem mögen einer flächendeckenden Anwendung zwar derzeit technische Schwierigkeiten gegenüberstehen, die insbesondere aus der Verschlüsselung der übertragenen Daten resultieren.[44] Allerdings betrifft dies nicht zum einen ein Abgreifen von unverschlüsselt oder nur mangelhaft verschlüsselten Daten. Zum anderen ist es in Anbetracht des rasanten technischen Fortschritts im Bereich der Ver- aber auch der Entschlüsselungstechniken nicht von vornherein aussichtlos, zukünftig synchronisierte Daten abzugreifen und vollständig entschlüsseln zu können. So war es noch vor einigen Jahren nicht möglich, Teile eines während einer Datenübertragung mitübertragenen Schlüssels abzugreifen und diesen zu rekonstruieren. Nunmehr ist auch dies in bestimmten Fällen bereits technisch realisierbar.
II. Heimlicher Zugriff auf die im Cloud-Speicher gesicherten Daten
Neben dem heimlichen Zugriff auf die während der Synchronisierung übertragenen Daten kommt vor allem ein zweiter Ansatzpunkt für eine Ermittlungsmaßnahme in Frage: Der heimliche, direkte Zugriff auf den (inländischen) Cloud-Speicher selbst.[45]
1. Allgemeines
Was die Zulässigkeit und die Ermächtigungsgrundlage eines derartigen Eingriffs anbelangt, so zeigt sich die Literatur relativ gespalten und geht zumeist über die eigentlichen Fragestellungen hinweg. So wird etwa ohne nähere Begründung angenommen, es fehle für einen Eingriff eine Ermächtigungsgrundlage in der StPO.[46] Parallelen zur Entscheidung des BGH zur Online-Durchsuchung eines Computers drängen sich auf.[47] Hier muss der zweite Schritt vor dem ersten getätigt werden. Denn ob die Rechtsprechung des BGH zur Online-Durchsuchung auf den Zugriff auf Cloud-Speicher tatsächlich vollständig übertragbar ist, bestimmt sich nach zwei Fragen, die – wie bereits aufgezeigt – eng miteinander verbunden sind: Erstens, ob ein Zugriff auf den Cloud-Speicher auch nach § 100a StPO möglich wäre. Und zweitens, welchen grundrechtlichen Schutz die auf einem Cloud-Speicher befindlichen Daten genießen.[48] Denn – dieser Vorgriff sei erlaubt – die Gleichsetzung eines Cloud-Speichers mit einem Heimrechner geht fehl. Der sich zunächst aufdrängende Verweis auf die naheliegende "Online-Durchsuchung" trifft in der Sache nicht zu.
Sucht man daher zunächst nach einer strafprozessualen Ermächtigungsgrundlage für einen heimlichen Zugriff auf
den Cloud-Speicher, so kommt wiederum § 100a StPO in Betracht. Es stellt sich daher auch hier die Frage: Ist auch die Datenspeicherung auf Cloud-Servern "Telekommunikation" i.S.d. § 100a StPO?
2. Die Speicherung von Daten auf Cloud-Servern als Telekomunikation i.S.d. § 100a StPO
Wirft man zunächst einen Blick auf die Definition des § 3 Nr. 22 TKG, so ist festzustellen, dass eine "Telekommunikation" nach dieser Norm einen "Übertragungsvorgang" voraussetzt. Ein solcher ist aber bei einer bloßen Speicherung von Daten nicht mehr gegeben.
a) Der grundrechtliche Schutz des Cloud-Speichers
Scheidet daher Telekommunikation nach der ersten Orientierung an der Legaldefinition des TKG aus, so kommt es entscheidend auf die zweite Orientierung, den grundrechtlichen Schutz des Cloud-Speichers an.
aa) Die Einordnung des Cloud-Speichers in der Literatur
Infrage kommt insoweit sowohl eine Miteinbeziehung der auf einem Cloud-Server gespeicherten Daten in den grundrechtlichen Schutzbereich des Art. 10 Abs. 1 Var. 3 GG oder des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Diese Frage ist in der Literatur umstritten: Eine Ansicht tendiert zu einem Schutz durch das informationstechnische Grundrecht.[49] Eine andere Strömung spricht sich für eine Eröffnung des Schutzbereichs des Art. 10 Abs. 1 Var. 3 GG aus.[50]
Insoweit ist festzustellen, dass die auf einem Cloud-Server gespeicherten Daten jedenfalls dem Schutzbereich des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme unterfallen. Nach der Rechtsprechung des BVerfG erstreckt sich der Schutz dieses Grundrechts auch auf solche Systeme, die der Nutzer nur über informationstechnische Systeme erreichen kann.[51] Allerdings kann daraus gerade nicht geschlossen werden, dass der Cloud-Speicher ausschließlich diesem Grundrecht unterfällt. Denn das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist subsidiär und findet nur dann Anwendung, wenn ein anderes Grundrecht keinen Schutz gewährleistet.[52]
Somit ist vorranging zu fragen, ob die auf einem Cloud-Server gespeicherten Daten nach Art. 10 Abs. 1 Var. 3 GG Schutz genießen. Denn das BVerfG ging in seiner Entscheidung zur "Online-Durchsuchung" davon aus, dass ein Schutz durch das informationstechnische Grundrecht notwendig sei, weil die auf einem Heimrechner befindlichen Daten nicht dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG unterfielen.[53]
bb) Schutzbereich des Art. 10 Abs. 1 Var. 3 GG
Maßgebliches Kriterium für die Eröffnung dieses Schutzbereichs ist nach der Rechtsprechung des BVerfG die Frage, ob eine spezifische Gefahr vorliegt, die aus der räumlich distanzierten Kommunikation und der fehlenden Herrschaftsmacht des Nutzers – korrespondierend mit einem erheblichen Fremdbeherrschungspotential – resultiert.
Etwas anderes folgt nicht aus der Rechtsprechung des BVerfG zur sog. "Online-Durchsuchung".[54] Denn zwar betont das BVerfG in dieser Entscheidung mehrfach, dass Art. 10 Abs. 1 GG die Inhalte und Umstände des "laufenden" Kommunikationsvorgangs umfasst.[55] Allerdings misst das BVerfG einem anderen Kriterium eine entscheidendere Bedeutung zu: Art. 10 Abs. 1 Var. 3 GG erfasse deswegen nicht die nach Abschluss eines Kommunikationsvorgangs vorhandenen Daten, weil diese im Herrschaftsbereich eines Teilnehmers gespeichert sind, wenn und soweit dieser auch eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen könne.[56] Ausschlaggebend ist daher nicht, ob es sich um einen Übertragungsvorgang handelt und die Daten sich noch in einem solchen befinden, sondern vielmehr ob der Nutzer selbst die Herrschaft über Daten innehat und ausreichende Schutzvorkehrungen treffen kann. Dieses ist ein Aspekt des Kriteriums der telekommunikationsspezifischen Gefährdungslage.[57]
Wendet man diese Kriterien konsequent an, so unterfällt auch der Cloud-Speicher dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG.[58] Die nach dem ersten Anschein einleuchtende Gleichsetzung von Cloud-Speichern mit lokalen Speichermedien trifft in verfassungsrechtlicher Hinsicht nicht zu. Denn auf Cloud-Speichern gesicherte Daten entsprechen vielmehr den auf Mail-Servern belas-
senen E-Mails. Ausschlaggebend ist hierfür die Tatsache, dass Cloud-Speicher wie auch E-Mail-Server fremdbeherrscht sind.[59]
Technisch beherrscht wird auch diese Form der Datenspeicherung in erster Linie durch den Cloud-Anbieter. Ihm sind diese Daten prinzipiell technisch zugänglich. Er kennt zumeist die notwendigen Verschlüsselungsalgorithmen. Entscheidender ist aber, dass er dem Cloud-Nutzer jederzeit die gespeicherten Daten vollständig vorenthalten kann, indem er etwa den Dienst vollkommen einstellt.[60]
Hierin liegt auch der entscheidende Unterschied zur Situation der sog. "Online-Durchsuchung": In diesen Fällen geht es um die einmalige oder dauerhafte Überwachung eines bestimmten Zielrechners, der sich in der Herrschaftssphäre des Betroffenen befindet.[61] Zu weit geht daher die Definition des Bundesministerium des Inneren[62], welche hierunter jeden verdeckten staatlichen Zugriff auf fremde informationstechnische Systeme über Kommunikationsnetze versteht. Denn die Entscheidung des BGH zum repressiv-strafrechtlichen Vorgehen betraf den heimlichen Zugriff auf den vom Beschuldigten benutzten Rechner und den damit verbunden Einsatz spezieller Computerprogramme zur Durchsuchung des Computerspeichers und die Übertragung dieser Daten an die Ermittlungsbehörden.[63] Auch der Entscheidung des BVerfG zur präventiv-polizeirechtlichen Durchsuchung lag die Konstellation zugrunde, dass die sog. "Online-Durchsuchungen" den Zugriff auf ein Zielsystem ermöglichen sollten, das sich in der Herrschaftssphäre seines Nutzers befindet. Dies betrifft Rechner und sonstige Endgeräte, die der Betroffene selbst nutzt.[64] Denn zum einen soll gerade auf diese Weise eine wirkungsvolle Umgehung der Verschlüsselungstechnologien erreicht werden.[65] Zum anderen besteht nach Ansicht des BVerfG ein Schutz nach Art. 10 Abs. 1 Var. 3 GG deswegen nicht, weil sich die Daten im Herrschaftsbereich eines Kommunikationsteilnehmers befänden und dieser eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen könne, so dass die spezifische Gefahr der räumlich distanzierten Kommunikation nicht vorliege.[66] Offensichtlich ging das BVerfG insoweit allein von dem sich im physischen Herrschaftsbereich des Nutzers befindlichen PC aus und gerade nicht von einem räumlich getrennten Cloud-Server. Dieser ist für den Nutzer ausschließlich im Wege eines räumlichen distanzierten Zugriffs zu erreichen. Zudem kennt der Nutzer in den meisten Fällen nicht einmal den Standort des entsprechenden Speichermediums: Sie befinden sich außerhalb seines räumlichen Einflussbereichs und unter Umständen sogar im Ausland.[67]
Aufgrund dessen unterfällt auch der Cloud-Speicher dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG.
b) "Ruhende" Daten als "Telekommunikation" i.S.d. § 100a StPO
Nachdem festzustellen ist, dass auch der Cloud-Speicher den Schutz des Art. 10 Abs. 1 Var. 3 GG genießt, stellt sich die Frage, ob diese "ruhenden" Daten als Telekommunikation i.S.d. § 100a StPO aufzufassen sind. Diese Frage liegt an der Schnittstelle zweier Problemkreise, die je nachdem wie man den Cloud-Speicher einordnen möchte, zu unterschiedlichen Ergebnissen führen: Versteht man den Cloud-Speicher eher als eine Art "ausgelagerte Festplatte" so gelangt man schnell zu dem Themenkomplex, der unter dem Schlagwort "Online-Durchsuchung" geführt wird. Erkennt man hingegen eine Parallele zwischen Cloud-Speichern und Daten auf externen Mailservern so geht es um einen weiteren in Wissenschaft und Rechtsprechung präsenten Themenkomplex: den heimlichen Zugriff auf gespeicherte E-Mails auf Mailservern.
aa) Gleichbehandlung des Zugriffs auf Cloud-Server und des Zugriffs auf E-Mail-Server
Zutreffend ist es, im Rahmen der Telekommunikationsüberwachung nach § 100a StPO den Zugriff auf einen Cloud-Speicher wie den heimlichen Zugriff auf einen E-Mail-Server zu behandeln. Denn es besteht kein relevanter Unterschied in der Art und Weise der Datenspeicherung. Werden E-Mails auf Servern belassen, so wird der Server selbst nicht anders als ein externer Speicherplatz im Sinne einer Datenablage gebraucht. Hierfür spricht insbesondere auch, dass E-Mail-Dienste Ordner und Archivierungsmöglichkeiten anbieten. Durch die Nutzung derartiger Möglichkeiten wird der Server zu einem Medium der reinen Verwaltung von Datenbeständen. Nichts anders geschieht aber bei der Übertragung der Daten zur Sicherung auf Cloud-Servern: In beiden Fällen sollen die Daten lediglich gesichert und "abgelegt" werden.
Hiergegen kann nicht vorgebracht werden, dass eine Differenzierung nach der Qualität der jeweils gespeicherten Daten angezeigt sei. So wurde in der Literatur – im Kontext des heimlichen Zugriffs auf Mailserver – vorgebracht, dass bei einem Provider gespeicherte E-Mails noch einen gewissen Kommunikationsbezug aufwiesen.[68] Dies überzeugt nicht. Auf das Kriterium eines "Kommunikationsbezug" sollte vollständig verzichtet werden.
Zum einen sind bereits die Grenzen unklar, ab wann Daten einen "Kommunikationsbezug" tatsächlich verlieren: Jeder Versuch, eine zeitliche Grenze festzulegen, wäre willkürlich. Denn streng genommen E-Mails verlieren bereits dann ihren Kommunikationsbezug, wenn der Empfänger sie zur Kenntnis genommen, genauer gesagt gelesen hat. Anschließend wird die E-Mail zu einer Datei, die lediglich archiviert wird, so dass es sich um bloße Datenablage handelt. Damit weist sie dieselbe Qualität in kommunikativer Hinsicht auf wie ein zur Sicherung auf einem Cloud-Server gespeicherte Datei.
Zum anderen sind Kriterien für eine sinnvolle qualitative Differenzierung nicht auszumachen:
Erstens ist eine Abgrenzung nach der ursprünglichen Herkunft der Daten nicht erfolgversprechend. Zwar würde man hierdurch den auf dem Server belassenen E-Mails aufgrund ihrer ursprünglichen Verwendung als Kommunikationsmedium einen Kommunikationsbezug zubilligen. Wird eine E-Mail aber nicht auf dem Server belassen, sondern heruntergeladen, lokal archiviert und danach wieder – etwa im Zuge einer automatischen Synchronisierung – "in die Cloud" übertragen, ist diese Datei wie auch alle anderen Dateien längst zur Datenablage geworden. Deutlicher wird dies noch, wenn E-Mails nicht mal mehr in einem hierfür vorgesehenen Programm, sondern in Word-Dateien gespeichert werden. Zudem liegt bei jeder Übertragung von Daten in die Cloud bereits eine Telekommunikation vor.[69] Das bedeutet: Ein Kommunikationsbezug i.S.d. § 100a StPO und Art. 10 Abs. 1 Var. 3 GG wäre bei jeder Datei, die in eine Cloud übertragen wird, automatisch bereits durch die Art und Weise ihrer Übertragung gegeben.
Und zweitens kann auch eine Differenzierung nicht danach vorgenommen werden, ob eine Kommunikation im Sinne eines Austausches zwischen zwei Personen vorliegt.[70] Eine solche kann auch auf Cloud-Servern stattfinden. Viele Cloud-Anbieter eröffnen die Möglichkeit, dass mehrere Benutzer auf denselben Speicherplatz zugreifen können, um Daten auszutauschen oder gemeinsam zu bearbeiten. Oder aber ein Benutzer kann seine auf dem Cloud-Sever gespeicherten Daten für den Download durch andere freigeben, ein Verfahren, das insbesondere den Austausch größerer Dateien wie etwa Bildern erleichtert. In diesen Fällen dient der Cloud-Dienst funktional als E-Mail-Ersatz und als Kommunikationsmittel zwischen zwei oder mehreren natürlichen Personen. Zudem dienen streng genommen auch abgelegte E-Mails nicht einmal mehr dem Informationsaustausch. Denn dieser hat bereits mit der Kenntniserlangung stattgefunden und ist daher abgeschlossen. Auch weisen sowohl E-Mails[71] als auch in der Cloud gespeicherte Daten eine gewisse "Telekommunikationsnachwirkung" auf. Diese Nachwirkung wird durch die spezifische Telekommunikationsgefährdungslage begründet, weil die E-Mail gerade im Herrschaftsbereich des E-Mail-Dienstanbieters verbleibt.[72] Bei auf Cloud-Servern gespeicherten Daten besteht jedoch die gleiche tatsächliche Gefährdungslage.[73]
Dementsprechend sind im Anwendungsbereich von § 100a StPO Daten auf Cloud-Servern und die auf E-Mail-Servern abgelegten E-Mails gleich zu behandeln.
bb) Fazit zur Einordnung "ruhender" Daten als Telekommunikation i.S.d. § 100a StPO
Geht man nunmehr von einer grundsätzlichen Gleichbehandlung beider Sachverhalte aus, stellt sich die Frage, ob die Speicherung von Daten auf externen Speicherplätzen – gleich ob auf E-Mail- oder Cloud-Servern – eine "Telekommunikation" im Sinne des § 100a StPO darstellt. In beiden Fällen liegt zwar nach der Definition des § 3 Nr. 22 TKG kein Übertragungsvorgang mehr vor, allerdings ist der Schutzbereich des Art. 10 Abs. 1 Var. 3 GG eröffnet.
Was den heimlichen Zugriff auf E-Mails anbelangt, so ist umstritten, ob § 100a StPO als Ermächtigungsgrundlage einschlägig ist. Während der BGH davon ausging, dass § 100a StPO ausscheide, da kein Kommunikationsvorgang mehr vorläge,[74] wollen Teile der Literatur und Rechtsprechung einen Zugriff auf die auf dem E-Mail-Server gespeicherten Daten nur nach §§ 100a, 100b StPO zulassen.[75] Entgegen Stimmen in der Literatur[76] hat das BVerfG noch keine Aussage darüber getroffen, ob auf E-Mail-Servern belassene E-Mails "Telekommunikation" i.S.d. § 100a StPO darstellen: Zwar differenziert das Gericht in seinem Beschluss vom 16. Juni 2009 nicht danach, ob ein "laufender" oder "ruhender" Kommunikationsvorgang vorliegt. Es stellt vielmehr hauptsächlich auf die Schwere des Eingriffs ab, d.h. ob ein Eingriff heimlich oder offen erfolgen soll.[77] Allerdings behandelt diese Entscheidung zum einen nur die Frage, ob "ruhende" E-
Mails dem Schutzbereich des Art. 10 Abs. 1 Var. 3 GG unterfallen, nicht aber, ob sie auch Telekommunikation i.S.d. § 100a StPO darstellen. Zum anderen war Streitgegenstand der Entscheidung nicht die Frage, ob der heimliche Zugriff auf E-Mails auf § 100a StPO gestützt werden könnte, sondern vielmehr, ob eine offene Durchsuchung und Beschlagnahme nach §§ 94 ff. StPO verfassungsrechtlich zulässig sei. Die Entscheidung behandelt also die Frage, ob die §§ 94 ff. StPO den verfassungsrechtlichen Anforderungen an einen Eingriff in Art. 10 Abs. 1 Var. 3 GG genügen.[78]
Gegen einen Zugriff auf Cloud- oder E-Mail-Server nach §§ 100a, 100b StPO ließe sich anführen, dass ein solches Vorgehen den Wortsinn des Merkmals "Telekommunikation" überschreite und somit nicht den – für einen Eingriff in Art. 10 Abs. 1 GG erforderlichen – Anforderungen des Gebots der Normenklarheit und Normenwahrheit entspräche. Erfasst werden könnten nur "laufende" Kommunikationsvorgänge, nicht aber der Zugriff auf "ruhende" Daten.[79] Hierfür streitet, dass sich die Ermittlungsbehörden auf diese Weise Zugriff auf umfangreichere Datenbestände – nämlich alle auf den Cloud-Servern gespeicherten Daten – verschaffen könnten. Dies entspräche nicht dem herkömmlichen Verständnis einer "Telekommunikationsüberwachung".[80]
Allerdings ist die durch den Wortlaut gezogene Grenze (noch) nicht erreicht. Zumindest wenn ein Cloud-Speicher als Platz zum Datenaustausch genutzt wird, ist dies einleuchtend. Insoweit ersetzt der Upload und die Speicherung der Dateien lediglich den Datenaustausch per E-Mail oder anderen Medien.[81] Aber auch für die bloße Speicherung von Daten und E-Mails auf externen Servern gilt nichts anderes. Wenn man die auf E-Mail-Servern belassenen E-Mails und die in einer Cloud gespeicherten Daten grundsätzlich gleichsetzt, so streiten für die Zulässigkeit eines heimlichen Zugriff auf Cloud-Server nach §§ 100a, 100b StPO prinzipiell die gleichen Argumente, die von Seiten der Literatur und der Rechtsprechung[82] für eine Durchsuchung von E-Mail-Servern nach diesen Normen vorgebracht werden. Insbesondere ist Gaede beizupflichten, dass der Wortsinn "Überwachung" nicht nur auf ein punktuelles Abgreifen beschränkt ist, sondern vielmehr auch entwicklungsoffen andere Arten des Zugriffs erfasst.[83] Zudem steht einem Rekurs auf §§ 100a, 100b StPO auch nicht das Gebot der Normenklarheit und Normenbestimmtheit entgegen. Dieses Gebot besagt lediglich, dass der Anlass, der Verwendungszweck und die Grenzen des Eingriffs in der Ermächtigung bereichsspezifisch, präzise und normenklar festgelegt werden müssen.[84] Nicht zu beanstanden ist die Verwendung unbestimmter Rechtsbegriffe und die Auslegungsbedürftigkeit einer Norm.[85] Anders als die vom BVerfG in seinem Urteil vom 27. Februar 2008 als nicht ausreichend betrachteten Vorschriften des Verfassungsschutzgesetzes Nordrhein-Westfalen sind die tatbestandlichen Voraussetzungen des § 100a StPO sehr restriktiv gefasst und insbesondere durch den Straftatenkatalog des § 100a Abs. 2 StPO begrenzt.[86] Zudem wahren die §§ 100a, 100b StPO – anders als die (nichtigen) Vorschriften des Verfassungsschutzgesetzes Nordrhein-Westfalen – den Grundsatz der Verhältnismäßigkeit: Sie sehen einen Richtervorbehalt vor (§ 100b StPO) und § 100a Abs. 4 StPO trifft hinreichende gesetzliche Vorkehrungen, um Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung zu vermeiden.[87] Zudem stellt § 100a Abs. 1 und Abs. 2 StPO eine ausreichend hohe materielle Eingriffsschwelle auf.[88]
3. Ausblick über die weiteren Voraussetzungen eines Zugriffs nach §§ 100a, 100b StPO
Nachdem somit ein Zugriff auf die auf einem Cloud-Server gespeicherten Daten prinzipiell nach §§ 100a, 100b StPO möglich ist,[89] stellt sich weiterhin die Frage, ob ein heimlicher Zugriff aus anderen Gründen nicht von der StPO gedeckt wäre.
Es muss beachtet werden, dass in verfahrensrechtlicher Hinsicht Art. 10 Abs. 1 Var. 3 GG dem Grundrechtsträger einen Anspruch auf Kenntnis der Datenerhebung vermittelt.[90] Eine Ausnahme ist jedoch dann geboten, wenn durch die Kenntnis des Grundrechtsträgers der staatliche Ermittlungserfolg gefährdet wäre.[91] Dies wird bei einfach zu beseitigenden Datenbeständen in der Cloud fast regelmäßig der Fall sein. In der Literatur wird weiter gefolgert, dass gegenüber dem Telekommunikationsanbieter die Maßnahme ohne Ausnahme offen zu erfolgen habe. Deswegen könne insbesondere der verdeckte Zugriff auf Daten in einer Cloud unter Überwindung des Passwortschutzes nicht von der StPO gedeckt sein.[92] Dies steht einem Zugriff auf den Cloud-Speicher nach §§ 100a, 100b StPO zwar nicht prinzipiell entgegen. Denn diese Einschränkung betrifft nur heimliche Maßnahme
gegenüber dem Cloud-Anbieter, nicht jedoch solche die ausschließlich gegenüber dem Cloud-Nutzer verdeckt erfolgen. §§ 100a, 100b StPO sehen aber gerade verdeckte Maßnahmen gegen den Nutzer der Telekommunikation vor. Wenn also der Cloud-Anbieter vor dem Zugriff auf die Cloud unterrichtet wird, die Maßnahme aber gegenüber dem Cloud-Nutzer verdeckt erfolgt – was im Übrigen auch einen übliche Vorgehensweise bei einer Telekommunikationsüberwachung darstellt[93] – bleibt ein Zugriff auf den Cloud-Speicher nach §§ 100a, 100b StPO weiterhin möglich. Hierfür müsste sowohl der Cloud-Anbieter bekannt sein, als auch involviert werden. Die praktischen Vorteile eines heimlichen Zugriffs fielen in diesen Fällen daher in gewissem Umfang fort. Zudem ist überhaupt fraglich, ob auch den Cloud-Anbieter Mitwirkungspflichten nach § 100b Abs. 2 StPO treffen können.[94]
III. Fazit
Die verbreitete Verwendung von Cloud-Speichern stellt somit die Strafverfolgungsbehörden nicht nur vor neue Probleme, um auf inkriminierende Daten zuzugreifen. Vielmehr eröffnet sie in der Tat neue Ansatzmöglichkeiten, um etwa zukünftig auf Basis der strafprozessualen Vorschriften über die Telekommunikationsüberwachung sowohl auf den Datenstrom im Zuge einer automatischen Synchronisierung, als auch auf den Cloud-Speicher selbst heimlich zuzugreifen. Die Tatsache, dass die hohe Schutzbedürftigkeit des Nutzers solcher Daten dazu führt, dass diese Datensätze den grundrechtlichen Schutz des Art. 10 Abs. 1 Var. 3 GG genießen, steht nur scheinbar im Widerspruch zu der gleichzeitig eröffneten Möglichkeit, auf diese Daten nach §§ 100a, 100b StPO zuzugreifen. Denn gerade die hohen Eingriffsvoraussetzungen der §§ 100a, 100b StPO entfalten in ihrem Anwendungsbereich eine Sperrwirkung, so dass ein heimlicher Zugriff auf diese Daten nicht aufgrund anderer strafprozessualer Normen mit geringeren tatbestandlichen Voraussetzungen vorgenommen werden kann. Ob derartige Zugriffe zukünftig durchgeführt werden, ist im Wesentlichen eine Frage der technischen Umsetzbarkeit: Entscheidend ist dabei, wer im Wettlauf der Ver- und Entschlüsselungstechnik im Moment der Maßnahme den technischen Vorsprung genießt. Die rechtlichen Rahmenbedingungen für einen Zugriff sind jedenfalls bereits geschaffen worden.
[1] Näher Eymann/Stüpitz DUD 2013, 307.
[2] Michael Kroker "2,4 Milliarden Menschen nutzen Cloud-Dienste; bis 2017 drei Viertel aller Daten in der Cloud", Artikel vom 12. August 2015, abrufbar unter http://blog.wiwo.de/look-at-it/2015/08/12/24-milliarden-menschen-nutzen-cloud-dienste-bis-2017-drei-viertel-aller-daten-in-der-wolke/ (Stand 14. 04.2016).
[3] Pressemitteilung des Statistischen Bundesamtes vom 19.12.2014 – 467/14, abrufbar unter https://www.destatis.de/DE/PresseService/Presse/Pressemitteilungen/2014/12/PD14_467_52911pdf.pdf;jsessionid=FAE593F45E6E44886CE2846340C4CD38.cae4?__blob=publicationFile (Stand: 14.04.2016).
[4] "Cloud Monitor 2015", erstellt von der Bitkom Research GmbH im Auftrag des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG, abrufbar unter https://www.bitkom.org/Publikationen/2015/Studien/Cloud-Monitor-2015/Cloud-Monitor-2015-KPMG-Bitkom-Research.pdf.
[5] Vgl. Fn. 4.
[6] Pavel/Mattes Cloud Computing: Großes Wachstumspotenzial, Wochenbericht des DIW Berlin, Nr. 48/2010, 10, 14 gehen zwar ebenfalls nur von drei Akteuren aus (Plattformanbieter, Anwendungsanbieter und Endnutzer), blenden indes den Telekommunikationsdienstanbieter als wichtiges Bindeglied aus. Walterbusch/Teuteberg HMD Praxis der Wirtschaftsinformatik, Band 49, Ausgabe 6 (Dezember 2012) 50 ff. benennen als Akteure differenzierender Infrastrukturanbieter, Plattformanbieter, Anwendungsanbieter, Mediator, Berater und Kunden.
[7] Diese Möglichkeit stellt Singelnstein NStZ 2012, 593, 594 heraus.
[8] Wicker DSRITB 2013, 981; zu den verschiedenen Datenkategorien (Bestandsdaten gem. § 14 TMG, Nutzungsdaten gem. § 15 TMG und Inhaltsdaten) vgl. Bruns, in: Hannich, Karlsruher Kommentar zur Strafprozessordnung, 7. Aufl. (2013), § 100a Rn.6 ff.; Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. (2014) 27. Kapitel Rn. 73 ff.; Singelnstein NStZ 2012, 593, 595; Boos/Kroschwald/Wicker ZD 2013, 205, 206.
[9] Eröffnungsansprache Thomas de Maizière, BKA-Herbsttagung 2014, abrufbar unter http://www.bka.de/nn_250880/SharedDocs/Downloads/DE/Publikationen/Herbsttagungen/2014/herbsttagung2014DeMaiziereLangfassung.html (Stand 14.04.2016).
[10] Hierunter ist der voreingestellte und daher automatisch ablaufende Datenabgleich zwischen der Cloud und dem jeweiligen Endgerät zu verstehen.
[11] Hierzu bereits BVerfG, Beschl. v. 12.10.1977, 1 BvR 216/75, BVerfGE 46, 120, 143 zu § 1 FAG; Bär, in: Kleinknecht/Müller/Reitberger, StPO, Stand: 77. EL (Oktober 2015), § 100a Rn. 9; Graf, in: Beck'scher Online-Kommentar StPO, Stand: 01.09.2015, § 100a Rn. 6.
[12] Vgl. Bär, in: Kleinknecht/Müller/Reitberger, StPO, Stand: 77. EL (Oktober 2015), § 100a Rn. 10 ff.; Graf, in: Graf, StPO, 2010, § 100a Rn. 6; Bruns, in: Hannich, Karlsruher Kommentar zur Strafprozessordnung, 7. Aufl. (2013), § 100a Rn.4 f.; ähnlich Kudlich JA 2000, 227, 231.
[13] KG Berlin, Beschl. v. 04.05.1979, (1) 1 StE 2/77 (130/77), NJW 1979, 1668, 1669; Schmidt-Aßmann, in: Maunz/Dürig, GG, Stand: 75. EL (September 2015), Art. 103 Rn. 231 m.w.N.; a.A. von Heintschel-Heinegg, in: v. Heintschel-Heinegg, Beck’scher Online-Kommentar StGB, Stand: 01.03.2016, § 1 Rn. 12a; Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. (2014), 27. Kapitel Rn. 7.
[14] Schmidt-Aßmann, in: Maunz/Dürig, GG, Stand: 75. EL (September 2015), Art. 103 Rn. 233; Eser, in: Schönke/Schröder, StGB, 29. Aufl. (2014), § 1 Rn. 34.
[15] So auch Eymann/Stüpitz DUD 2013, 307, 309.
[16] Soiné MMR 2015, 22, 23. Zweifelnd auch Schwabenhauer AöR 137 (2012), 1, 11 und 16 ff., der sich im Ergebnis aber gegen die strenge Beschränkung auf intersubjektive Kommunikation ausspricht.
[17] Graf, in: Beck‘scher Online-Kommentar StPO, Stand: 01.09.2015, § 100a Rn. 7a; Bruns, in: Karlsruher Kommentar zur Strafprozessordnung, 7. Aufl. (2013), § 100a Rn. 4; ähnlich Pagenkopf, in: Sachs, GG, 7. Aufl. (2014), Art. 10 Rn. 14.
[18] Guckelberger, in: Schmidt-Bleibtreu/Hofmann/Henneke, GG, 13 Aufl. (2014), Art. 10 Rn. 25.
[19] Vgl. nur Durner, in: Maunz-Düring, GG, Stand: 75. EL (September 2015), Art. 10, Rn. 45 ff.; Jarass, in: Jarass/Pieroth, GG, 13. Aufl. (2014), Art. 10 Rn. 5.
[20] Vgl. BVerfG, Beschl. v. 22.08.2006, 2 BvR 1345/03, NJW 2007, 351 = HRRS 2006 Nr. 807; Urt. v. 14.07.1999, 1 BvR 2226/94, 1 BvR 2420/95, 1 BvR 2437/95, BVerfGE 100, 313, 363; Durner, in: Maunz/Dürig, GG, 75. EL (September 2015), Art. 10 Rn. 46 mit Herv. d. Verf.
[21] Hierzu nur BVerfGE 46, 120, 144; BVerfG, Urt. v. 02.03.2006, 2 BvR 2099/04, BVerfGE 115, 166, 182 = HRRS 2006 Nr. 235; Durner, in: Maunz-Dürig, GG, Stand: 75. EL (September 2015), Art. 10, Rn. 47.
[22] BVerfG, Urt. v. 27.02.2008, 1 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274, 307 = HRRS 2008 Nr. 160; Durner, in: Maunz-Dürig, GG, Stand: 75. EL (September 2015), Art. 10, Rn. 47 und 82.
[23] BVerfG, NJW 2007, 351 = HRRS 2006 Nr. 807.
[24] BVerfG, Beschl. v. 16.06.2009, 2 BvR 902/06, BVerfGE 124, 43 = HRRS 2009 Nr. 800.
[25] BVerfG NJW 2007, 351, 354 = HRRS 2006 Nr. 807.
[26] BVerfG NJW 2007, 351, 353 = HRRS 2006 Nr. 807, Herv. d. Verf.
[27] BVerfG NJW 2007, 351, 354 = HRRS 2006 Nr. 807.
[28] BVerfGE 124, 43, 54 f. = HRRS 2009 Nr. 800, Herv. d. Verf.
[29] BVerfGE 124, 43, 54 f. = HRRS 2009 Nr. 800; zustimmend Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 17; Schwabenhauer AöR 137 (2012), 1, 10.
[30] Im Ergebnis Bär MMR 2013, 700, 703; Eymann/Stüpitz DUD 2013, 307, 309; ähnlich auch Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 18.
[31] A.A. Schwabenhauer AöR 137 (2012), 1, 11 mit Fn. 50.
[32] Graf, in: Beck‘scher Online-Kommentar StPO, Stand: 01.09.2015, § 100a Rn. 28a; Singelnstein NStZ 2012, 593, 594 f.; Brodowski/Eisenmenger ZD 2014, 119, 121; a.A. Meinicke DSRITB, 2013, 967, 974.
[33] Zu diesem Begriff Gaede StV 2009, 96, 97.
[34] Zur technischen Beherrschung des E-Mail-Verkehrs durch einen Provider bereits Gaede StV 2009, 96, 97.
[35] So bereits Herrmann/Soiné NJW 2011, 2922, 2923.
[36] Im Ergebnis wohl auch Singelnstein NStZ 2012, 593, 595.
[37] In diese Richtung bereits Singelnstein NStZ 2012, 593, 594 f.; Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 17 f.
[38] Deutlich Kudlich JuS 1998, 209, 213 f.; ders. JA 2000, 227, 232; so auch BVerfGE 124, 43, 62 f. = HRRS 2009 Nr. 800; Gaede StV 2009, 96, 99; Zimmerman JA 2014, 321, 325; Safferling/Rückert MMR 2015, 788, 789.
[39] Für einen Zugriff nach § 100a StPO auch Bär MMR 2013, 700, 703.
[40] BVerfGE 124, 43, 62 f. = HRRS 2009 Nr. 800; Singelnstein NStZ 2012, 593, 596; Zimmermann JA 2014, 321, 324 f.; Safferling/Rückert MMR 2015, 788, 793.
[41] Siehe nur zur einschränkenden Voraussetzung der Katalogtaten Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. (2014), 27. Kapitel Rn. 79 f.
[42] BVerfG, Beschl. v. 12.04.2006, 1 BvR 1027/02, BVerfGE 113, 29, 55 ff.; BVerfGE 124, 43, 67 ff. = HRRS 2009 Nr. 800.
[43] Vgl. BVerfGE 113, 29, 57; BVerfGE 124, 43, 68 = HRRS 2009 Nr. 800.
[44] Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. (2014), 27. Kapitel Rn. 146 ff.; Eymann/Stüpitz DUD 2013, 307, 309 f.
[45] Ein Zugriff auf einen sich im Ausland befindlichen Cloud-Speicher wirft – soweit man den genauen Standort überhaupt lokalisieren kann – weitergehende Fragen des Rechtshilfe- und Völkerrechts auf, auf die im Rahmen dieses kurzen Beitrages nicht näher eingegangen werden kann.
[46] Singelnstein NStZ 2012, 593, 597.
[47] In diese Richtung wohl Wicker MMR 2014, 298, 302 mit Fn. 75; instruktiv auch Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Auf. (2014), 27. Kapitel Rn. 133.
[48] Siehe hierzu Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. (2014), 27. Kapitel Rn. 133.
[49] In der Tendenz wohl auch Wicker MMR 2013, 766.
[50] In diese Richtung Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 18; Singelnstein NStZ 2012, 593, 603, Fn. 181; Brodowski/Eisenmenger ZD 2014, 119, 121; im Ergebnis wohl auch Schwabenhauer AöR 137 (2012), 1, 20.
[51] BVerfGE 120, 274, 306 f., 315= HRRS 2008 Nr. 160.
[52] BVerfGE 120, 274, 302 f. = HRRS 2008 Nr. 160; BVerfGE 124, 43, 57 = HRRS 2009 Nr. 800.
[53] BVerfGE 120, 274, 307 ff. = HRRS 2008 Nr. 160.
[54] So aber wohl Singelnstein NStZ 2012, 593, 598: Wenn nicht sichergestellt werde, dass durch Infiltration des Computers "ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang" zugegriffen werden kann, müssten sich die jeweiligen Rechtsgrundlagen auch an den Anforderungen des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme messen lassen.
[55] BVerfGE 120, 274, 307, 308 ff. und 340 = HRRS 2008 Nr. 160.
[56] BVerfGE 120, 274, 307 f. = HRRS 2008 Nr. 160.
[57] So auch Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 17 f.; Brodowski/Eisenmenger ZD 2014, 119, 121; Schwabenhauer AöR 137 (2012), 1, 34.
[58] Brodowski/Eisenmenger ZD 2014, 119, 121. Für die Miteinbeziehung von "ruhender" Telekommunikation, insbesondere von auf Servern gespeicherten E-Mails bereits Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 17 f. m.w.N.; Gaede StV 2009, 96, 97.
[59] Vgl. Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 18; für den Schutz von E-Mails auf Servern bereits Gaede StV 2009, 96, 97.
[60] Vgl. Gersdorf, in: Beck’scher Online-Kommentar Informations- und Medienrecht, Stand 01.11.2015, Art. 10 GG Rn. 18; Herrmann/Soiné NJW 2011, 2922 f.; Wicker DSRITB 2013, 981, 986 und 988; für den Schutz von E-Mails auf Servern bereits Gaede StV 2009, 96, 97.
[61] Vgl. Graf, in: Beck‘scher Online-Kommentar StPO, Stand: 01.09.2015, § 100a Rn. 108 ff.
[62] Antworten des Bundesministeriums des Innern auf den Fragenkatalog des Bundesministeriums der Justiz vom 22.08.2007, abrufbar unter http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ.pdf (Stand: 14.04.2016).
[63] BGH, Beschl. v. 31.01.2007, StB 18/06, BGHSt 52, 211 f. und 218 = HRRS 2007 Nr. 197.
[64] Vgl. BVerfGE 120, 274, 278 f. und 303 f. = HRRS 2008 Nr. 160.
[65] Vgl. BVerfGE 120, 274, 278 f. = HRRS 2008 Nr. 160.
[66] BVerfGE 120, 274, 207 f. = HRRS 2008 Nr. 160 mit Herv. d. Verf.
[67] Vgl. Brodowski/Eisenmenger ZD 2014, 119, 121; Zerbes/El-Ghazi NStZ 2015, 425, 428; Schwabenhauer AöR 137 (2012), 1, 34. Aufgrund der günstigeren klimatischen Bedingungen für die Kühlung befinden sich viele größere Serverfarmen in kalten Regionen, so z.B. die Serverfarm von Facebook in Luleå, Schweden (http://arstechnica.com/information-technology/2013/06/facebook-opens-data-center-filled-entirely-with-servers-it-designed/, Stand: 14.04.2016), und auch die auch Serverfarmen von Google in Finnland, Schweden und Österreich (vgl. http://diepresse.com/home/techscience/internet/google/545190/Google-baut-riesige-Serverfarm-in-Finnland, Stand: 14.04.2016).
[68] Vgl. zur Darstellung des Meinungsstandes Park, Durchsuchung und Beschlagnahme, 3. Aufl. (2015), § 4 Rn. 806.
[69] Hierzu bereits unter A.II.
[70] Für die Gleichbehandlung automatisierten und menschlich veranlassten Informationsaustausches als Telekommunikation vgl. Graf, in: Beck’scher Online-Kommentar StPO, Stand: 01.09.2015, § 100a Rn. 2.
[71] Klein NJW 2009, 2996, 2997.
[72] Vgl. Klein NJW 2009, 2996, 2997 unter Verweis auf BVerfGE 124, 43 = HRRS 2009 Nr. 800.
[73] Hierzu bereits unter B.II.1.b).
[74] BGH, Beschl. v. 31.03.2009, 1 StR 76/09, NStZ 2009, 397, 398 = HRRS 2009 Nr. 419.
[75] Siehe nur LG Hanau, Beschl. v. 23. 09. 1999, 3 Qs 149-99, NJW 1999, 3647; LG Mannheim, Beschl. v. 30.11.2001, 22 KLs 628 Js 15705/00, StV 2002, 242 f.; LG Hamburg, Beschl. v. 08.01.2008, 619 Qs 1/08, MMR 2008, 186 f.; Schmitt, in: Meyer-Goßner/Schmitt, StPO, 58. Aufl. (2015), § 100a Rn. 6c mwN; Schlegel HRRS 2007, 44, 49 ff.; Gaede StV 2009, 96, 99.
[76] Vgl. Singelnstein NStZ 2012, 593, 597; Bruns, in: Hannich, Karlsruher Kommentar zur Strafprozessordnung, 7. Aufl. (2013), § 100a Rn.18; von einer zumindest impliziten Aussage geht Zimmermann JA 2014, 321, 325 aus.
[77] BVerfGE 124, 43, 55 f. = HRRS 2009 Nr. 800.
[78] BVerfGE 124, 43, 58 ff. = HRRS 2009 Nr. 800.
[79] Siehe nur AG Hamburg, Beschl. v. 10.12.2007, 164 Gs 1082/07, S. 3.
[80] Im Kontext des Zugriffs auf E-Mail-Server bereits Gaede StV 2009, 96, 99.
[81] So bereits Zimmermann JA 2014, 321, 326; Brodowski/Eisenmenger ZD 2014, 119. Im Kontext des Art. 10 Abs. 1 Var. 3 GG Schwabenhauer AöR 137 (2012), 1, 16.
[82] Siehe hierzu die Nachweise unter Fn. 74 .
[83] Gaede StV 2009, 96, 99 f.
[84] BVerfG, Beschl. v. 03.03.2004, 1 BvF 3/92, BVerfGE 110, 33, 53; BVerfGE 120, 274, 315 f. = HRRS 2008 Nr. 160.
[85] BVerfG, Beschl. v. 13.06.2007, 1 BvR 1550/03, 2357/04, 603/05, BVerfGE 118, 168, 188 f. = HRRS 2007 Nr. 648; BVerfGE 120, 274, 316 = HRRS 2008 Nr. 160.
[86] BVerfG, Beschl. v. 12.10 2011, 2 BvR 236/08, 2 BvR 237/08, 2 BvR 422/08, BVerfGE 129, 208, 242 ff. = HRRS 2012 Nr. 29.
[87] BVerfGE 129, 208, 245 ff. und 250 = HRRS 2012 Nr. 29; vgl. auch BGHSt 52, 211, 216 = HRRS 2007 Nr. 197.
[88] BVerfGE 129, 208, 243 ff. = HRRS 2012 Nr. 29; vgl. auch BGHSt 52, 211, 216 = HRRS 2007 Nr. 197.
[89] So auch Schmitt, in: Meyer-Goßner/Schmitt, StPO, 58. Aufl. (2015), § 100a Rn. 6c; Zimmermann JA 2014, 321, 326; differenzierter Bär, in: Wabnitz/Janovsky, Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl. (2014), 27. Kapitel Rn. 134: Kombination aus § 100a StPO und §§ 102, 103, 110 Abs. 3 StPO.
[90] BVerfGE 124, 43, 71 = HRRS 2009 Nr. 800.
[91] BVerfGE 100, 313, 361; BVerfG, Urt. v. 03.03.2004, 1 BvR 2378/98, 1 BvR 1084/99, BVerfGE 109, 279, 363 ff. = HRRS 2004 Nr. 170; BVerfGE 124, 43, 71= HRRS 2009 Nr. 800.
[92] Singelnstein NStZ 2012, 593, 596.
[93] Vgl. Zerbes/El-Ghazi NStZ 2015, 425, 431: Abfragen der Nachrichten beim Anbieter des Kommunikationsdienstes als Konzept, dass der Gesetzgeber bei der Schaffung der §§ 100a ff. StPO zugrunde gelegt hat.